La amenaza del “malicious insider” en los entornos de operación industrial y de infraestructuras críticas
¿Qué es un malicious insider? y..¿Qué se puede hacer para combatir este tipo de amenaza? Te enumeramos las acciones más comunes y la manera de poder evitarlas...
Es difícil traducir el término “malicious insider” al castellano, pero con algo de imaginación y puestos en contexto, se puede concluir que este tipo de amenaza se refiere a la existencia de personas de una organización (bien internas-empleados o externas-proveedores, ingenierías, integradores, contratas) que por descuido, desconocimiento y/o mala fe, realizan una “acción” que afecta a la seguridad de los procesos, sistemas o instalaciones de un entorno de operación industrial o infraestructura crítica.
Entre estas “acciones” podríamos enumerar las siguientes: realizar malas praxis al tener acceso a sistemas críticos con privilegios de administrador; utilizar dispositivos USB no autorizados por la organización que contengan malware; llevar a cabo acciones maliciosas al poseer conocimiento detallado de diagramas y configuraciones de la red industrial; efectuar acciones provocadas por ingeniería social; ignorar las políticas, procedimientos, estándares y mejores prácticas diseñadas y así un largo etcétera.
Este tipo de amenaza ha sido objeto de análisis por parte de instituciones como el US-CERT. De hecho en mayo de 2014, se publicaba un whitepaper que llevaba como título: “Combating the Insider Threat”. De esta publicación destacaríamos la descripción del perfil de un “Insider Threat” que a continuación extrapolamos.
La pregunta que surge de forma natural es: ¿Qué se puede hacer para combatir este tipo de amenaza?
Desde nuestro punto de vista, se deberían trabajar las siguientes tres áreas:
- El diseño y, muy importante la correcta comunicación de políticas y procedimientos.
- La realización de jornadas de concienciación y formación en el ámbito de la ciberseguridad industrial.
- La puesta en marcha de iniciativas que aúnen esfuerzos y entendimiento entre los responsables de la seguridad IT y la seguridad OT.
No es tarea fácil, las personas somos el eslabón más débil de la cadena que asegura el entorno OT de una organización, pero alguna acción específica ha de hacerse, si queremos mitigar y/o eliminar esta importante amenaza.
