La tecnología, más accesible que nunca, se ha convertido en parte fundamental de los negocios y de la vida de las personas. En este sentido, la frontera entre lo privado y lo profesional resulta cada vez más difusa. Tendencias como BYOD se normalizan y, actualmente, millones de empleados en todo el mundo utilizan de forma habitual sus propios dispositivos en su actividad profesional.
Como consecuencia de lo anterior, las personas tienden a pensar que también pueden aprovechar las miles de aplicaciones gratuitas que están a su disposición en Internet para agilizar su labor, por ejemplo, para compartir datos o archivos corporativos con terceros, pero sin preocuparse de saber quién es el propietario de la aplicación o dónde se almacenan esos datos. De esta forma, el Shadow IT, es decir, las soluciones tecnológicas que utilizan los empleados de una organización sin conocimiento de los responsables de TI de sus empresas ya se ha convertido en uno de los mayores riesgos de ciberseguridad para muchas de ellas.
En esta situación, los hackers hacen su agosto. Cada vez les resulta más sencillo hacerse con información crítica de las organizaciones sin necesidad de centrar sus ataques en los Centros de Proceso de Datos (CPDs) en los que se guarda la información más sensible y a los que, tradicionalmente, se ha destinado gran parte del presupuesto de seguridad. Por el contrario, dirigiéndose de forma indiscriminada a activos menos estratégicos, pero mucho más numerosos y peor protegidos, pueden lograr sus objetivos casi sin esfuerzo. Así lo han demostrado ataques de repercusión global, como WannaCry.
La entrada en vigor del nuevo Reglamento Europeo de Protección de Datos (GDPR) en mayo de 2018 va a suponer un antes y un después en todo lo referente a la ciberseguridad de las organizaciones, poniendo orden en esta ciudad sin ley en la que vivimos hasta la fecha. A partir de ahora, cada empresa será responsable de las incidencias de seguridad que sufra y responderá con fuertes sanciones ante cualquier pérdida o filtración de datos.
Las empresas ya están invirtiendo en soluciones enfocadas a la protección e identificación del riesgo de ciberseguridad, como proxys, firewalls, antivirus, VPN, etc., algo que es fundamental, pero que servirá de poco si mantienen en el olvido a uno de los flancos históricamente más sensibles: sus empleados.
La solución: Plan de Concienciación en Ciberseguridad para Empleados
Está demostrado que una gran parte de incidencias se produce por la actividad irresponsable de los empleados, en gran medida por desconocimiento de las amenazas de ciberseguridad existentes. Por ello, resulta de vital importancia dedicar recursos a su formación y concienciación.
El diseño y ejecución de un Plan de Concienciación en Ciberseguridad para Empleados en el que se incluyan distintas actividades de formación y buenas prácticas relacionadas con la seguridad en el puesto de trabajo: uso correcto de dispositivos móviles, USBs, acceso a Wi-Fi, correo electrónico, navegadores, etc., es un paso importante a la hora de avanzar en el cumplimiento de la GDPR.
No es necesario ofrecer a los empleados una formación muy técnica sobre riesgos de ciberseguridad. Mostrándoles una serie de ejemplos concretos de los peligros a los que pueden estar expuestos en su actividad diaria, así como ofreciéndoles unas indicaciones claras sobre lo que deben hacer en cada caso, la organización no solo estará más segura, sino que podrá centrar sus esfuerzos en prevenir otro tipo de ataques más sofisticados.
Un buen comienzo sería comunicar a todo el personal unos puntos básicos de seguridad, como por ejemplo:
- Correos electrónicos. Una herramienta tan necesaria como el correo electrónico ya se ha convertido en la puerta principal de incidentes relacionados con la seguridad. Mensajes en los que se comunica que se ha ganado un premio, que se necesita actualizar cierta información del banco o que es preciso confirmar un pago o un ingreso de la empresa no son más que argucias de los hackers para confundir a los empleados y lograr introducirse en el sistema informático de la compañía. Es necesario alertar al personal sobre estas prácticas y mostrarles cómo deben actuar en cada caso. Hay que ser conscientes de que gran parte de los malwares que entran en las empresas utilizan estas tácticas.
- Descargas de software sin validar por el departamento de Sistemas. Es habitual encontrarse con empleados que deciden, por cuenta propia, descargarse aplicaciones que consideran necesarias para su trabajo. Esta práctica resulta muy peligrosa, ya que las aplicaciones descargadas de forma irregular pueden evitar el correcto funcionamiento del servidor proxy o pueden, incluso, conectar de forma remota con el equipo del empleado, tomando su control.
- Errores de seguridad. Los errores de seguridad más básicos cometidos por los empleados suelen repetirse en todo tipo de organizaciones y suponen un importante riesgo en ciberseguridad. Entre ellos, destacan:
- Mantener la contraseña del ordenador al lado del mismo y visible para cualquiera.
- Utilizar contraseñas obvias y fácilmente adivinables por otros.
- No mantener los sistemas actualizados.
- Descargar software de páginas no oficiales.
- Conectarse y enviar información por redes no seguras (redes abiertas).
- Buenas prácticas. Contra los errores mencionados, surge una serie de buenas prácticas que sería conveniente enseñar a los empleados:
- Gestión correcta de las contraseñas.
- Mantener software y antivirus actualizados.
- No instalar programas o lanzar ejecutables que no sean fiables o de los que no se conozca la procedencia.
- Antes de descargar cualquier archivo adjunto de un correo, verificar que el correo es seguro, que conocemos al remitente y que estamos esperando este correo.
- Actualizar datos solo en páginas web de absoluta confianza.
- Sobre todo y ante cualquier mínima duda, preguntar a los responsables del departamento de sistemas. Siempre es mejor pecar de precavido que exponer a la empresa a un riesgo de ciberseguridad.
Para aumentar la concienciación de los empleados es necesario llevar a cabo una formación proactiva, es decir, no limitarse a informar, sino incluir también ejercicios prácticos que contengan, por ejemplo, ataques dirigidos basados en e-mails maliciosos enviados a empleados. El objetivo es conseguir que las personas vayan aprendiendo e interiorizando las buenas prácticas de seguridad a base de cometer errores. Es, sin duda, la técnica que mejores resultados ofrece.
Por otra parte, no hay que olvidar la conveniencia de incorporar herramientas de seguridad especialmente pensadas para proteger a los empleados de ciertos ataques, como los tipo ransonware. Se trata de herramientas de gestión de privilegios, que ayudan a evitar malas prácticas por parte de los empleados. La incorporación de estas soluciones puede resultar ser un buen complemento hasta que se consiga un nivel mayor de formación y concienciación en ciberseguridad de las personas.
Por Luis Redondo
Responsable del Área de Ciberseguridad de MTP