El software de Gestión de Amenazas Internas (ITM) es un software de monitoreo de actividad de usuario que ayuda a las empresas a prevenir que los usuarios internos realicen acciones maliciosas o negligentes dentro de los sistemas, como acceder, copiar, eliminar, manipular o destruir datos de la empresa u otros activos sin permiso. Las empresas utilizan el software ITM para monitorear y registrar las acciones de los usuarios internos del sistema en sus puntos finales, como empleados actuales y anteriores, contratistas, socios comerciales y otras personas autorizadas, con el fin de proteger los activos de la empresa, como datos de clientes o propiedad intelectual. El software ITM es utilizado por profesionales de TI o de seguridad. El software ITM desempeña un papel crítico en la estrategia de seguridad general de una empresa, ya que las herramientas de seguridad que se centran en amenazas externas a los sistemas o redes a menudo no pueden detectar las amenazas matizadas de los usuarios internos autorizados.
El software ITM a menudo se integra con herramientas de software de gestión de identidad y acceso (IAM) para extraer datos de usuarios internos. Las herramientas ITM también suelen integrarse con herramientas de software de gestión de información y eventos de seguridad (SIEM) y otros sistemas de análisis de amenazas para centralizar las operaciones de seguridad en un solo lugar. Muchas soluciones de software ITM tienen funcionalidades que se superponen con software de gestión de acceso privilegiado (PAM), software de prevención de pérdida de datos (DLP) y software de análisis de comportamiento de usuarios y entidades (UEBA), sin embargo, estas herramientas tienen diferentes usos. PAM se utiliza para monitorear las acciones de usuarios privilegiados. Las herramientas DLP detectan fugas de datos sensibles. El software UEBA utiliza aprendizaje automático para detectar anomalías a partir del uso de referencia; esto es diferente del software ITM que utiliza sensores de punto final y datos contextuales de usuario para descubrir riesgos de amenazas internas.
Para calificar para la inclusión en la categoría de Gestión de Amenazas Internas, un producto debe:
Monitorear los puntos finales de usuario y activar alertas cuando se realicen acciones de amenazas internas
Detectar el movimiento de datos a USBs externos o unidades externas o cargados a almacenamiento en la nube o correos electrónicos, uso excesivo de impresoras y uso de teclas de copiar/cortar/pegar en los puntos finales de usuario
Proporcionar grabación de video de sesiones, capturas de pantalla y registro de pulsaciones de teclas como evidencia de acciones maliciosas o negligentes
