Aunque no siempre estés al tanto de las últimas noticias, has oído hablar de recientes violaciones de datos en un puñado de grandes empresas. En los últimos años, Target, Home Depot, Anthem y eBay han sido víctimas de violaciones de datos que afectaron a más de 300 millones de cuentas. Incluso el gobierno federal ha sufrido violaciones de datos que afectan a millones de empleados. Dados estos hackeos de alto perfil, usted podría preguntarse, ¿qué es lo más importante que puede hacer para proteger los datos de su organización? La respuesta puede sorprenderle.
Imagina un empleado de ventas o de marketing. Está preocupado por hacer su trabajo más rápido, mejor y más eficientemente. De hecho, su próximo ascenso probablemente depende de ello. Encuentra una aplicación que le ayuda a gestionar mejor sus proyectos y su tiempo, así que se inscribe y la descarga en su portátil. En este momento, no le preocupa que alguien lea su correo electrónico o que obtenga la información que pondrá en la aplicación, sólo quiere un acceso rápido y fácil. Así que usa una contraseña fácil de recordar, algo como pass1234.
Te pedí que imaginaras este escenario, pero si has estado en IT por más de un año o dos, probablemente puedes pensar en varias situaciones reales cuando esto haya sucedido. Hoy en día, muchos de los hackeos de datos que vemos no son brechas en los servidores de la compañía (aunque también suceden). Por lo general, se trata de algo relacionado con una mala administración de contraseñas o la reutilización de la misma contraseña para múltiples aplicaciones y sitios web. Los hackers se meten en un lugar y luego acceden a información sensible en otro lugar con la misma contraseña. Entonces, ¿de quién es la responsabilidad de asegurarse de que esto no suceda?
Ciertamente los empleados son responsables de seguir los procedimientos de seguridad. Pero no siempre piensan en cómo su comportamiento afecta a la seguridad. Su preocupación es hacer su trabajo de manera eficiente. Y una contraseña de 16 caracteres imposible de recordar no les ayuda a hacerlo. Así que recae en el equipo de IT el poseer esa educación en toda la organización. Necesitamos ayudar a los empleados a entender los impactos potenciales en la seguridad debido a su comportamiento. Luego, seguir con la formación y los productos que facilitan hacer lo correcto.
Otro escenario típico es el de la informática en la sombra: un equipo de marketing que contrata a un desarrollador junior para que ayude a escribir una aplicación interna para apoyar al equipo. La aplicación se conecta a la base de datos de la empresa y le da al equipo de marketing la información que necesita. Pero sin saberlo, crea un nuevo riesgo. El desarrollador puede no saber lo que es una inyección SQL. Ni siquiera sabe las preguntas que hay que hacer sobre este riesgo porque no tiene experiencia. Sólo está construyendo la aplicación, haciendo su trabajo.
Hablemos de uno más. Jason de Recursos Humanos recibe un correo electrónico de su CEO el viernes por la tarde. El correo electrónico dice:
Por favor, envíeme nuestro directorio de empleados más actualizado y la revisión de la compensación. Lo necesito antes del fin de semana, así que siéntase libre de enviarme una copia de toda la información. No hay necesidad de pulirlo. Gracias.
Jason entra en acción enviando los documentos a «su jefe» sin querer decepcionarla. Lo que Jason no se da cuenta es que el nombre del correo electrónico es falsificado y envía el archivo a un atacante en su lugar. El atacante obtuvo su información de LinkedIn y sólo tuvo que adivinar una dirección de correo electrónico (la mayoría de las empresas tienen convenciones de nombres estándar que son fáciles de descifrar). Ahora ese atacante tiene todos los nombres, direcciones, números de seguro social y más para los empleados de esa empresa. La ingeniería social se utiliza ahora comúnmente como un ataque, o al menos como un punto de entrada, sabiendo que las personas son, en muchos casos, el eslabón más débil de la seguridad de un sistema.
No es que IT no lo esté intentando. Lo están haciendo. Pero el enfoque habitual puede no ser tan efectivo como podría ser. Típicamente el equipo de seguridad enviará un correo electrónico a toda la organización que diga algo como:
Aquí está el informe técnico que recibimos sobre Shellshock, un error que afecta a todos los sistemas Unix y Linux. Por favor, lea, cambie su comportamiento según sea necesario y siga los pasos de mitigación documentados.
O
Debido a la reciente explotación de nuestros sistemas internos, todas las nuevas solicitudes de aplicación deben ser revisadas por nuestro equipo informático interno. Cualquier aplicación no autorizada será bloqueada y el tráfico será puesto en cuarentena…
Esto no proporciona ningún valor al negocio y crea una responsabilidad adicional para un equipo de IT que ya está muy ocupado. En cambio, la TI necesita considerar las necesidades de la organización y cómo están usando la tecnología en sus trabajos e identificar maneras de educar a todos los que están en la empresa para que sean conscientes de los riesgos de seguridad que asumen y su impacto potencial.
¿Y si el equipo de seguridad tomó un enfoque diferente? ¿Podrían armar un video de entrenamiento que muestre cómo un ladrón puede oler las contraseñas del wi-fi local de Starbucks? Demostrar cómo se puede hacer con 100 dólares de hardware, una batería y una mochila. El trabajo de TI es hacer que la información sea consumible y procesable. En lugar de hacerla cumplir con un correo electrónico que muy pocos leerán, mostrar los peligros que los empleados están creando si no se conectan a través de la VPN de la empresa. Hacerlo concreto y procesable. Mostrar la facilidad con la que alguien puede ser explotado.
Un entrenamiento como este requiere una inversión inicial de tiempo, pero el pago real a largo plazo es muy beneficioso. Cuando los empleados entiendan los riesgos, su equipo de apoyo se encontrará arreglando y apagando incendios menos a menudo. Y eso abre la posibilidad de pasar ese tiempo enfocándose en amenazas más grandes, pruebas de penetración y realmente monitoreando el tráfico de la red para identificar otros problemas potenciales.
Hacer cumplir las buenas prácticas de contraseñas es algo que no hay que pensar. La mayoría de los instrumentos de gestión de la identidad tienen buenas políticas de contraseñas incorporadas. Pero es sorprendente la frecuencia con la que se desactivan esas cosas. Tal vez el CEO decide que no quiere cambiar su contraseña cada 45 días. Así que se hacen cambios en la herramienta de gestión de identidades que eliminan este requisito para ella. Pero el CEO y otros ejecutivos son algunas de las personas en una organización que los hackers apuntan más porque muchas veces tendrán acceso completo a los sistemas de datos. Una vez más, depende de la TI educar a todos sobre los riesgos reales que este comportamiento crea.
Incluso con la educación, las cosas irán mal. Los empleados caerán en esquemas de phishing o descargarán archivos infectados de un sitio que no deberían visitar en primer lugar. Cuando se identifica una vulnerabilidad, ayuda tener una cultura de apertura y apoyo dentro de su equipo de TI, en lugar de ser cerrado y difícil de trabajar.
Si quiere que los empleados acudan a usted cuando han cometido un error (en lugar de esperar a descubrir que el daño se ha extendido por toda la organización), no los trate como a un enemigo o un prisionero. Probablemente ya se sientan ingenuos por haber cometido el error. Incluso pueden sentirse culpables por ver un sitio web en el que no deberían haber estado. En lugar de infligirles un castigo, ayúdales a volver a ponerse en marcha lo antes posible. Luego edúquelos y encuentre maneras de convertirlos en evangelistas.
Cuando su equipo de TI actúe como socio, entrenador y asesor, en lugar de guardián y castigador, creará una cultura de empresa en la que todos se preocupen por la seguridad. En última instancia, corresponde al equipo de TI ser dueño de esa educación, permitiendo, innovando y apoyando a los demás departamentos y divisiones de su organización. Y esa es la política de seguridad más importante que puedes establecer en tu organización.
Mantén tu organización segura. Vea nuestro seminario web: Constructores contra rompedores: 10 ataques en línea que podríamos haber prevenido fácilmente