Inicio / Noticias / Cuando los empleados se van, ¿sus datos salen por la puerta?
Cuando los empleados se van, ¿sus datos salen por la puerta?
enero 18, 2022

Cuando los empleados se van, ¿sus datos salen por la puerta?

¿Te gustó este artículo?, Compártelo

En el segundo trimestre de 2021, los trabajadores estadounidenses comenzaron a renunciar a sus trabajos a un ritmo histórico. La «Gran Renuncia», como se la ha llamado desde entonces, ha visto a los EE. UU. Establecer récords mensuales para la cantidad de trabajadores que dejan sus trabajos tres veces este año. Solo en septiembre, 4,4 millones de trabajadores renunciaron a sus puestos de trabajo. La misma tendencia se observa en el Reino Unido, donde las renuncias se encuentran en su nivel más alto en 20 años.

Para las organizaciones con propiedad intelectual valiosa o información de identificación personal, estas renuncias representan una grave amenaza para la seguridad. Según Code42, el período de tres meses entre abril y junio de 2021 que inició esta ola de renuncias coincidió con un aumento del 61 por ciento en los eventos de exposición de datos con respecto al trimestre anterior.

La exfiltración de datos a menudo aumenta junto con las renuncias porque más empleados se apropian indebidamente de los datos y lo hacen en el momento en que renuncian. Un estudio de Tessian lo confirmó y encontró que el 45 por ciento de los empleados admiten descargar, guardar o enviar datos de trabajo fuera de la red antes de dejar sus trabajos.

Todo, desde las listas de clientes hasta la propiedad intelectual, está en peligro de ser exfiltrado y por una variedad de razones. Puede ser que los empleados se sientan con derecho a la propiedad intelectual que ayudaron a crear. Puede ser que quieran comenzar su trabajo con una nueva empresa y que tomar datos, en su opinión, no sea un delito. Puede ser que estén descontentos y busquen hacer daño vendiendo los datos a un competidor. En el caso más extremo, los empleados en cuestión pueden ser incluso ciberdelincuentes a sueldo que se infiltran en las empresas con el único propósito de causar daño.

En medio de todas estas posibilidades, ya no es razonable que las organizaciones se arriesguen a dejar al azar la protección de sus datos más valiosos. Las organizaciones con activos intangibles valiosos deben considerar la realización de análisis forenses digitales como parte de sus procedimientos operativos estándar al despedir empleados, para identificar a los actores de amenazas y los datos que están filtrando. Hacerlo permitiría a las organizaciones gestionar mejor el riesgo de la actividad interna y les daría los medios para recuperar datos críticos y, en algunos casos, incluso buscar recursos legales.

Antes de que las organizaciones comiencen a buscar actividad interna, deben actualizar sus prácticas comerciales estándar para reflejar los nuevos desafíos que presentan los internos. Muchas organizaciones solo realizan una revisión estándar de los dispositivos que pertenecen a los empleados salientes después de su partida. Para entonces, ya es demasiado tarde. Recolectar sus dispositivos antes de tiempo tampoco es una opción porque reduciría la productividad, alertaría a los expertos y les daría una ventana para actuar de manera nefasta entre la fecha de devolución de su dispositivo y su último día de empleo.

Para identificar y eliminar la actividad interna, los equipos de seguridad deben actuar semanas antes de la fecha de partida de los empleados y realizar análisis forenses digitales utilizando soluciones que les permitan escanear los puntos finales objetivo de forma remota y encubierta.

Una investigación digital a menudo implicará tres pasos: clasificación, un análisis forense digital completo e intervención, a menudo dirigida por equipos legales y de recursos humanos.

Al comenzar con la clasificación, las organizaciones pueden ahorrar tiempo al escanear rápidamente la actividad interna. Este enfoque también equilibra la necesidad de medidas de seguridad con la privacidad de los empleados, ya que los analistas forenses no analizan toda su actividad digital con la esperanza de encontrar una «pistola humeante». Las soluciones de clasificación pueden determinar rápidamente si los datos se han exfiltrado de un punto final de destino al escanear vectores de amenazas comunes, como el historial de conexión USB, las carpetas a las que se accedió recientemente, el almacenamiento en la nube y el historial y la actividad de Internet.

Las mismas herramientas se pueden usar para investigar incidentes de fuga de datos no intencional, como cuando un empleado carga documentos de trabajo en una cuenta personal de almacenamiento en la nube para continuar un proyecto desde casa o envía un correo electrónico que contiene datos al destinatario equivocado. En el caso de la exfiltración de datos que involucre archivos copiados a una unidad USB, una solución de triaje identificará la fecha en que una persona interna tomó esta acción y el nombre de los archivos y carpetas que fueron exfiltrados. Esto brinda a los analistas las pistas que necesitan para realizar un análisis forense digital más profundo.

Con un examen forense digital completo, un analista puede rastrear los pasos de una persona interna, crear una línea de tiempo de su movimiento y determinar exactamente qué datos se extrajeron. Los analistas comenzarán conectándose de forma remota y encubierta a la computadora del sospechoso, así como a fuentes basadas en la nube, como Microsoft Office 365, Amazon Web Services y Slack. Usando los resultados de la clasificación como guía, los analistas pueden comenzar su investigación apuntando a la fecha de exfiltración y al archivo en sí. Los nombres de archivos y carpetas se pueden cambiar fácilmente para disfrazar los datos que contienen y, por lo tanto, este punto de datos por sí solo no probará ningún delito. Sin embargo, durante un análisis completo, los analistas pueden acceder a los archivos y carpetas que se copiaron en las unidades USB y determinar si se han modificado de alguna manera.

Confirmar que un empleado extrajo el código fuente, las listas de clientes u otros datos valiosos no es suficiente para completar una investigación. Podría ser que varias semanas antes de su renuncia, el empleado en cuestión investigó cómo ocultar su actividad a los equipos de seguridad e implementó un software anti-forense para cubrir sus huellas. Una semana después, es posible que hayan descargado los datos en su escritorio. Antes de filtrar los datos a una unidad USB, es posible que el informante haya enviado otra copia por correo electrónico a una dirección que no sea de la empresa o la haya subido a un sistema de almacenamiento en la nube personal. Cada uno de estos puntos de datos es una evidencia que ayudará a un analista a construir un caso.

Una vez que se completa la investigación, las organizaciones pueden usar los resultados para avanzar hacia una resolución adecuada, que va desde una advertencia hasta una terminación anticipada con causa y, en algunas situaciones, una demanda. Antes de que los equipos legales y de recursos humanos se reúnan con el sospechoso, es importante recordar que algunos empleados no se dan cuenta de que descargar datos confidenciales y abandonar una organización con ellos es un delito.

Según los resultados de la investigación, es posible que las organizaciones deseen tomar un curso de acción diferente con estos empleados que con aquellos que claramente intentaron cubrir sus huellas o fueron sorprendidos negociando una venta de los datos que robaron y sabían muy claramente la gravedad de su situación. comportamiento.

El último y quizás el paso más importante es intentar recuperar los datos perdidos o los daños del evento interno. La amenaza de una acción legal se puede aprovechar para solicitar que una persona interna devuelva los datos y la realidad es que en algunos casos se puede requerir una demanda. Es importante tener en cuenta este escenario en los casos en que los datos que tomó una persona interna eran altamente confidenciales o los daños relacionados con su actividad eran altos.

Si bien las herramientas forenses digitales no pueden recuperar los datos que se han exfiltrado, sí facilitan el proceso legal, en caso de que sea necesario, porque la evidencia que recopilan ha demostrado ser confiable tanto en los tribunales civiles como penales. Esto se debe a que recopilan evidencia de una manera repetible y sólida desde el punto de vista forense, al mismo tiempo que mantienen la cadena de custodia. La misma evidencia que recopiló un analista para garantizar la terminación anticipada de la información privilegiada es lo que los equipos legales podrían usar para emprender acciones legales.

Asumir lo peor de sus empleados es difícil, pero planificarlo es parte de ser un líder reflexivo en la era digital. Con la exfiltración de datos de los empleados aumentando rápidamente junto con las renuncias, las organizaciones deben adoptar un enfoque más completo para la gestión de riesgos. Al implementar el análisis forense digital en sus procesos de desvinculación, las organizaciones pueden recurrir a otra capa de seguridad y asegurarse de que sus activos más valiosos no sean robados debajo de ellos.

 

Adam Belsher, director ejecutivo de Magnet Forensics para helpnetsecurity.com