12 maneras para fomentar la cultura de seguridad informática
Por David Montoya, Director General de Paessler Latinoamérica.
Seguramente suene familiar la frase: “Las personas suelen ser la parte más débil en la cadena de seguridad informática“. Por más anticuada que suene la frase, ¡sigue aplicando en 2018! Los administradores de TI se enfrentan al factor humano todos los días, constantemente.
Hoy queremos mirar en detalle cuándo los empleados de una compañía representan un riesgo para la seguridad informática y, a partir de esa identificación de riesgos, mostraremos 12 maneras eficientes para fomentar la cultura de seguridad informática entre colegas y empleados con facilidad por colegas y empleados.
Hoy en día, una de cada dos compañías está siendo atacada digitalmente. Los empleados están permitiendo que muchos hackers accedan a información confidencial. Esto facilita el espionaje industrial, el robo de datos y el sabotaje.
Para tomar medidas apropiadas, observaremos las trampas típicas en las que caen los empleados, y en qué punto algunos colegas pueden crear brechas de seguridad intencionalmente;
- La memoria USB encontrada
¿Alguna vez ha encontrado una memoria USB? No me refiero a una propia, que perdió en algún momento, sino a una, que apareció en algún lado. ¿Sí? ¿Sintió curiosidad e insertó la memoria en su computadora? Si es así, no es la única persona en hacerlo. Según el alcance de un estudio, casi 300 memorias USB se perdieron “accidentalmente”, para descubrir qué pasaría. Casi todas las memorias fueron tomadas por quienes las encontraron, y 45% abrió al menos un archivo contenido en la memoria.
Un hacker que prepara una memoria USB tiene muchas posibilidades. Por ejemplo, puede usar un archivo infectado para espiar datos de acceso y contraseñas (ingeniería social) o difundir amenazas de día cero a través de la red. El atacante incluso puede preparar el dispositivo de tal manera haga creer a la computadora que es un teclado, y luego ejecute comandos a través de simular combinaciones de teclas. Esto se llama HID spoofing.
- La venta de la información de la compañía
Cualquiera que haya trabajado alguna vez en un departamento de desarrollo sabe cuán valiosos pueden ser los datos de la compañía. Vender anteproyectos, recetas, diseños de desarrollo u otros secretos comerciales es un buen negocio para los empleados. Un compañero de trabajo insatisfecho, junto con el justo impulso criminal y que tenga la posibilidad de transferir la información es suficiente para llevar a una empresa a una crisis.
- Robo de información del cliente al cambiar de trabajo
En algunas áreas, parece ser una práctica estándar tomar datos sensibles de clientes de un empleador a otro. Es común escuchar de algún representante de ventas, que fue contratado por un competidor y que se pone en contacto con nosotros poco después para volver a hacer negocios juntos. Lo que sucede en este caso es el robo clásico de información, que no es menos grave que si el empleado se hubiera llevado consigo una laptop de la empresa y el auto al final de su contrato de trabajo.
- Preferir la comodidad sobre la seguridad
Después de instalar las últimas actualizaciones de Windows, la computadora debe ser reiniciada. El antivirus reduce la velocidad de la computadora. Los empleados que anteponen la comodidad prefieren evitar estos procesos. Si es posible desactivar las actualizaciones o los antivirus, lo harán y la seguridad informática sufre mucho.
- Incertidumbre o “el Fraude del CEO”
En el caso del “Fraude del CEO”, por ejemplo, los atacantes simulan ser el director de la compañía por teléfono o email y logran que un empleado transfiera una suma notable de dinero a otro país. El empleado normalmente es engañado por la figura de autoridad de quien lo solicita, y aprueba la transacción. Esta estafa puede causar daño por varios millones con consecuencias de gran peso para las compañías afectadas o los empleados que caen en el engaño.
- Descargas y streaming desprotegidos
Muchos empleados tienen acceso a Internet desde su lugar de trabajo de forma directa. A pesar de estar constantemente mejorando los sistemas de seguridad informática y filtros Web, los colegas que tienen experiencia y conocimiento tecnológico se las ingenian para tener acceso a contenido inseguro en la Web constantemente. Probablemente no deba explicar cómo funciona este proceso a los administradores de TI que nos leen.
En mis 11 años de carrera en tecnología, he conocido a empleados muy sofisticados que logran ver en streaming las películas más recientes en turnos nocturnos desatendidos o que descargan una gran cantidad de archivos cuestionables y posiblemente maliciosos.
- Ocultar incidentes de seguridad
En 40% de las compañías a nivel mundial, los empleados ya han ocultado incidentes relacionados a la seguridad bajo la alfombra. Este fue el resultado de una encuesta hecha por Kaspersky cooperando con B2B International – se encuestaron a 5,000 compañias.
Estos incidentes de seguridad incluyen ataques de Malware, durante los cuales el software malicioso fue transferido a la computadora de un empleado. Si el empleado afectado permanece en silencio sobre estos incidentes, el código malicioso puede llegar a toda la red de la compañía.
- TTPD (¡Trae tu propio demonio!)
En muchos casos, el empleado lleva al demonio dentro de la compañía. De repente, información sensible de la empresa se escabulle hacia smartphones privados, sin asegurar el dispositivo de forma consistente.
El mismo smartphone en el cual las cifras de ventas actuales se almacenan en la tarde pasa de mano en mano en un bar por la noche, para mostrar fotos de las últimas vacaciones.
La posible pérdida de los dispositivos móviles también juega un rol. Según un estudio, más que la mitad de los incidentes de seguridad en las compañías encuestadas son debido a la pérdida de ese dispositivo.
- Tener buena fe
A muchos atacantes les gusta aprovecharse de la buena fe de las personas ¿Usted como administrador alguna vez llamó a un colega y le pidió su contraseña en el teléfono? ¿Ya sea porque facilita el mantenimiento remoto o porque simplemente ha ahorrado tiempo o distancia en ese momento? Probablemente su colega le haya dicho la contraseña también. ¿Qué sucede si el “colega del departamento de tecnología” no es usted, sino que un atacante desconocido? ¡Este tipo de situaciones ocurren miles de veces al día!
- Descuido
¡Los empleados indiferentes son veneno para las compañías! Raramente contribuyen a la productividad y también son una vulnerabilidad potencial en términos de seguridad tecnológica. La actitud de “no me importa” se puede reflejar en todas las cuestiones relevantes para la seguridad. Ya sea por el manejo laxo de las contraseñas, la divulgación generalizada de información sensible o la distribución demasiado general de los derechos de acceso cuando se comparten archivos con personas externas a la empresa, la seguridad se ve invariablemente comprometida por dichos empleados.
- Spam/Phishing
¡La vulnerabilidad más común relacionada a la seguridad de tecnología sigue siendo muy popular en la actualidad! Hacer click desconsideradamente, o la curiosidad sobre los archivos adjuntos de remitentes desconocidos o el ingreso de información sensible en campos de entrada de formularios no destinados a este propósito continúan causando pérdidas anuales en compañías que alcanzan miles de millones.
- Seguir a tu CEO de cerca
Si, leíste correctamente. Tu CEO no es mucho mejor que el resto del personal. La mujer o el hombre que está al mando de tu compañía también debería estar en la cima de tu lista de seguridad. El FBI estimó que la pérdida monetaria de las estafas de nivel C son cerca de $2.3 millones de dólares en los últimos tres años. Muchos CEO también sienten que están exentos de cometer esos errores, renuncian al software de seguridad y consideran que algo como esto no podría sucederles.
Normalmente, encontramos 5 categorías de vulnerabilidades entre los CEO:
- Contraseñas con seguridad baja
- Manejo descuidado de los datos
- Seguridad del software poco adecuada
- Gestión ineficaz del acceso a los datos
- Baja conciencia de seguridad informática
Bueno, todo esto no es motivo para perder la esperanza de un entorno de tecnología seguro. Se pueden abordar muchas de estas vulnerabilidades y se puede mejorar la comprensión de los datos y los sistemas de tecnología de sus colegas.