Ciberataques: durmiendo con el enemigo
La seguridad tecnológica de una empresa es cada vez más relevante, por lo que enfocar recursos y capacitar a empleados en esta materia son elementos clave para evitar fugas de información que las pongan en jaque
La pérdida del celular de la empresa, el uso de redes públicas o, lo más grave, el disgusto de algún empleado son factores que pueden vulnerar la seguridad de la información clasificada. El enemigo está en casa y para evitar que deje la puerta abierta a los ciberataques lo mejor es hacerle entender que la seguridad informática de la compañía depende de todos los eslabones.
“No existe una empresa que pueda decir que nunca va a ser atacada, por eso lo importante es estar listos, tener un plan para responder y recuperarnos, y resolverlo lo antes posible”, señala César Ruiz, CIO en OCC Mundial y especialista en ciberseguridad.
“Todas las compañías somos vulnerables a un ciberataque, probablemente algunas más que otras, depende de dos factores: uno es qué tanta inversión se hace en temas de infraestructura y tecnología para disuadir de manera automática este tipo de ataques, y el otro es lo más importante: el nivel de cultura de la organización”.
El Gobierno de México fue víctima de uno de estos “descuidos”. El pasado 30 de septiembre el presidente Andrés Manuel López Obrador confirmó que la Secretaría de la Defensa Nacional (Sedena) sufrió un ciberataque. Un grupo de hackers que se hace llamar Guacamaya extrajo correos electrónicos con información clasificada.
El Presidente minimizó el hecho diciendo que “no hay nada que no se sepa” y señaló que todo indica que la intrusión ocurrió durante un cambio en los sistemas cibernéticos de la Sedena.
“Gran parte de los ataques se planean o son ejecutados internamente, y por desgracia internamente se maneja mucha información.
“El eslabón más débil en temas de ciberseguridad siempre son los empleados, el 80 o 90 por ciento de los ataques es a través de ellos. Es un poco más complejo que las personas que se dedican a este tipo de ataques lo hagan a través de intentos directos a la infraestructura, sucede bastante seguido, pero por lo regular buscan al eslabón más débil: el empleado”, afirma César Ruiz.
Para el experto en ciberseguridad, el principal motivo por el que una empresa puede ser atacada es el exceso de confianza. “Se necesita inteligencia de amenazas, es decir, información actualizada sobre lo que pasa en el exterior, el tipo de ataques más frecuentes, el tipo de información que buscan, el patrón que siguen personas internas que pudieran derivar en este tipo de ataques, todo eso es muy importante. Cuando una empresa tiene exceso de confianza o menosprecia este tema vienen los problemas”.
Para que una herramienta funcione tienen que haber cuatro condiciones: personas, procesos, producto y proveedor, que deben trabajar a la par estar involucrados entre sí”
Andrés Mendoza
Regional Technical manager en Manage Engine
Robo taza por taza
Alexandro Arias, Lead Partner en Deloitte, asegura que lo más importante es sensibilizar a la planta laboral sobre la importancia de resguardar la información con la que trabajan.
“Hicimos un ejercicio sobre ciberseguridad. A una compañía aliada le propusimos un ‘hackeo amistoso’ para detectar áreas de oportunidad y la vulnerabilidad del sistema”.
El ejercicio consistió en ingeniería social. “En el café que está debajo de la empresa nos acercamos a platicar con empleados, poco a poco y sin darse cuenta nos revelaron el funcionamiento interno, el tipo de información que manejan y cuáles plataformas usan; con esa información ya hubiera sido posible hackear alguna base de datos”.
A lo anterior se suma Adriana Islas, CIO de Estafeta, quien tiene más de 20 años de experiencia en el área de Tecnologías de la Información. “Claro que las normas son importantes, en algunos casos habrá que adaptarlas a la situación de la empresa y a que se vuelvan útiles y funcionales, son herramientas que se sugieren, aunque no son obligatorias, pero siempre ayudan a la prevención”.
Islas insiste en que siempre lo más importante es establecer dinámicas y estrategias que ayuden a la empresa a que sus empleados entiendan que es tarea de todos salvaguardar la información delicada: “Con lo que trabajamos es con direcciones, nombres, teléfonos, en fin, información personal muy sensible”.
Desinterés, el otro reto
Andrés Mendoza, Regional Technical manager en Manage Engine, señala que uno de los enemigos a vencer es el desdén que se le da a la prevención y evitar que los empleados se sientan forzados a adoptar medidas de seguridad en sus entornos laborales.
“Mínimo cada tres meses debe haber una capacitación interna hablando de riesgos, potenciales fraudes, de la importancia de un dato o la información, y saber para qué la usamos, quién la debe usar y quién la debe tener”, señala el especialista.
De acuerdo con Mendoza, una empresa se puede apoyar en frameworks como Demyst o ISO 27001, que permitan establecer flujos de prevención ante posibles ataques, sin embargo, la tarea es lograr que se implementen de manera amigable.
Existen mecanismos que nos permiten monitorear la red, los accesos, y estar revisando incluso a nuestros propios empleados: qué tipo de acciones ejecutan, qué tipo de archivos descargan, qué tipo de servidores o de ambientes están intentando acceder”
César Ruiz CIO en OCC Mundial y especialista en ciberseguridad