Guía de ciberseguridad para el lugar de trabajo

El principio de escasez dice que valoramos más un bien con una escasa disponibilidad, mientras que tendemos a pensar que aquello que existe en abundancia tiene poco o ningún valor.

Es posible que esta teoría explique por qué no le damos importancia a la información que generamos como usuarios.

También es probable que esta estimación a la baja sea el motivo por el cual el cibercrimen se ha convertido en una de las actividades delictivas más rentables de estos tiempos. Y es que seguirá siendo así mientras pensemos que la dirección de correo electrónico o el número del DNI son datos que podemos facilitar sin reserva a cualquiera que nos lo pida.

La cuestión se agrava cuando los cibercriminales tienen como objetivo las empresas. En cualquier entidad, la información tanto de la propia corporación como la de los clientes, sustentan parte de la actividad económica.

Es por ello por lo que proteger la información debería ser una de las prioridades de las empresas, y en la mayoría de ellas aún no lo es.

Internet nos ha brindado una ventana de oportunidades de negocio que a veces dificulta la percepción de las amenazas reales. Eso hace que, en lo que respecta a la ciberseguridad, las compañías reaccionan de forma reactiva y no activa, es decir, solo buscan soluciones cuando han sufrido un ataque en vez de prevenirlo por medio de la implantación de políticas de ciberseguridad.

Pero volvamos a la raíz del problema.

¿Por qué los hackers nos atacan cuando estamos trabajando?

Haz memoria, ¿recuerdas cómo fue tu primer día de trabajo?

Seguramente, no fue uno de los más fáciles.

Tuviste que aprenderte los nombres de tus compañeros no sin cierta vacilación. Te explicaron detalles de la empresa mientras pensabas que era probable que se te olvidara al poco tiempo.

Pero nada de eso tenía que ver con cómo protegerte de los ciberataque, sobre cómo desempeñar tu trabajo de forma más segura.

¿Y por qué eso es un problema?

Porque a diario recibimos decenas de correos electrónicos de clientes, proveedores y publicidad; gestionamos pedidos por medio de aplicaciones corporativas o de terceros; y en definitiva, llevamos a cabo tareas propias de la actividad que desempeñamos sin la formación necesaria.

Todo esto puede hacer que el próximo click termine con el secuestro del equipo y la encriptación de los datos que se almacenan en él.

Los ciberdelincuentes son conscientes de la falta de formación de la mayoría de los usuarios en ciberseguridad. Se aprovechan de ello, al igual que lo hacen del frénetico ritmo que muchos trabajadores tienen en sus horas de trabajo.

La falta de conciencia y las prisas configuran el contexto perfecto para que un ataque tenga grandes probabilidades de éxito. Y parte de ese éxito está determinado por la metodología que utilizan los cibercriminales y que les funciona: la ingeniería social y el phishing.

¿Qué métodos utilizan? Así es la ingeniería social y el phishing

Un ejercicio de persuasión. Así es como se podría definir lo que hacen las personas que realizan ingeniería social.

Mediante un conjunto de técnicas psicológicas y habilidades sociales, el ingeniero social tiene el objetivo de que le sea revelada información sensible sin que su receptor sea consciente de los riesgos.

Un ejemplo de ingeniería social podría ser recibir el correo de quien supuestamente se hace pasar por un superior de tu empresa. En él, te pide que le envíes ciertos datos confidenciales de los que dispones o, dependiendo de tu responsabilidad, que realices una transferencia bancaria a un número de cuenta que te facilita con la excusa de que es necesario realizar ese pago cuanto antes.

Desde fuera, podría parecer bastante evidente la Estafa del CEO, pero la realidad es que el nivel de sofisticación que ha alcanzado, la han convertido en un engaño bastante frecuente entre las empresas.

Además, este ejemplo puede ser aún más terrorífico si cabe. Por una parte, está el hacerte pensar que el correo proviene de un superior (ingeniería social); por otra, podría no solo pedirte que hagas una transferencia, sino que también descargues un archivo malicioso que puede comprometer la infraestructura de tu compañía (phishing).

Como este caso, los cibercriminales inventan cada día nuevas formas de llevar a cabo ataques usando ingeniería social y phishing.

Ante este panorama, aprender a reconocer una amenaza se convierte en un ejercicio fundamental y básico, entre otros que debería haber en cualquier compañía en la que se utilicen dispositivos electrónicos conectados a Internet.

¿Qué ocurre cuando las amenazas vienen de dentro?

“La verdad está ahí fuera”. ¿Te acuerdas? Eso era lo que decían en la serie Expediente X, dejando caer que teníamos que buscar en el exterior los peligros a los que nos enfrentábamos. Qué equivocados estábamos.

En lo que respecta a ciberseguridad, las personas que hacen posible un ataque no tienen porqué vestir sudadera con capucha o hacer de las suyas de madrugada. Pueden vestir traje y corbata o tener un horario de oficina. Pueden ser las personas con las que pasas más tiempo que con tu familia. Es posible que sean tus compañeros del trabajo.

Según un estudio que publicó IBM en 2015, el 60% de los ataques provenían de dentro de una organización. De esa cifra, el 44,5% de los ataques eran perpetrados a maldad, mientras que el 15,5% de esos ataques se originaron por accidente, es decir por un trabajador que ha permitido el acceso de un atacante externo a la infraestructura de la compañía sin querer.

Si la mala noticia es que no solo hay que defenderse de lo que está fuera, la noticia medio buena es que hay un pequeño porcentaje de esos ataques que se producen por accidente. Situaciones que se pueden evitar cumpliendo con los básicos en ciberseguridad.

¿Cuáles son los básicos de ciberseguridad para una compañía?

La información es poder, pero más poderoso es aquel que sabe qué hacer con esa información.

Por eso, de nada sirve saber que nos pueden atacar, que existen riesgos y amenazas tanto fuera como dentro de la empresa. Aquí, lo verdaderamente importante es saber qué hacer con esa información, adquirir el conocimiento necesario para saber cómo protegerse, y en definitiva, formarse.

1. Formación personalizada y acorde a la actividad de la empresa

A menudo pensamos que para proteger nuestros equipos hace falta un buen antivirus. Lo cierto es que tener este tipo de herramientas instaladas está bien, pero de nada sirven cuando somos nosotros los que permitimos (por error) que toda clase de malware acceda a nuestros sistemas.

Si hay un motivo por el que el cibercrimen se ha convertido en la actividad delictiva más rentable del mundo es porque la mayoría de los usuarios aún no somos conscientes de cómo identificar y actuar ante potenciales ciberamenazas.

El objetivo de la formación en seguridad informática es precisamente ese.

De la misma manera que desconfiamos cuando un desconocido pretende llamar nuestra atención en la calle, con la formación en ciberseguridad aprendemos a tomar la misma actitud, a pesar de no poder verle la cara a nuestro interlocutor.

Pero también se aprende la importancia de otros métodos de protección: establecer contraseñas seguras o tratar de mantener los equipos y las aplicaciones actualizados.

Por otra parte, la formación en una empresa debería cumplir algunas características:

• Personalizada y/o acorde a la actividad que se desempeña en la organización: porque no es lo mismo formar a trabajadores de un banco que aquellos que manejan equipos en una tienda de textil.
• Distinta en función del departamento: porque los del departamento financiero serán más susceptibles de recibir potenciales amenazas que las personas que están en atención al cliente. También hay que tener en cuenta que los hackers pueden diseñar ataques para los puestos con más responsabilidad en una empresa, ya que son quienes gozan de más privilegios e información crítica de la compañía.

2. Pregúntate, ¿cada cuánto haces copias de seguridad?

En lo primero que pensamos cuando se masca el desastre son en ellas, en las copias de seguridad. Siempre están preparadas para ser usadas. Aunque bueno, solo si esas copias llegan a realizarse…

Quizás sea uno de los consejos de seguridad informática más repetidos. Por eso, aunque está todo dicho, nosotros vamos a decirlo una vez más.

Las copias de seguridad hay que hacerlas sí o sí.

Tiene que ser de forma periódica y a poder ser, guardarse varias copias de una misma copia de seguridad, una local (offline), otra puede ser en la nube.

Hoy en día disponemos de infinidad de herramientas para todo tipo de soportes con las que podemos programar copias de seguridad cada cierto tiempo. De esta forma nos quitamos el estar pendiente de hacerlas y podemos irnos a dormir tranquilos, ya que si somos víctima de un tipo de ataque que borra o encripta nuestros datos, entonces al menos podremos recuperarlos.

3. Política específica para los datos sensibles de la compañía y los clientes

¿Te suenan las siglas GDPR?

Responden a General Data Protection Regulation, es decir al Reglamento Europeo de Protección de Datos. Una normativa que salió en mayo de 2016 para hacerse aplicable en mayo de 2018. Ese espacio de tiempo fue concedido para que todas las organizaciones que operan en Europa implantaran las políticas y procedimientos necesarios para que los consumidores tengan más control sobre su información.

Esto implica muchos cambios para las organizaciones que manejan datos de los usuarios y de ello hemos hablado largo y tendido aquí y aquí. Para la privacidad de los usuarios es una buena noticia, ya que se vela porque las empresas (solo las que operan en Europa) cuiden la información que almacenan sobre nosotros.

4. Protocolo de actuación, ¿qué hacer si sospechamos que estamos sufriendo un ciberataque?

¿Sabes a quién llamar si tu empresa está siendo víctima de un ciberataque?

Es posible que pienses que no te corresponde saber eso, y lo cierto es que parte de razón tienes porque la mayoría de organizaciones disponen de un departamento técnico que se ocupa de ello.

Pero no todos los ciberataquen se hacen notar. No todos son como el famoso ransomware Wannacry, que infectó dispositivos de todo el mundo. Hay ataques que pasan inadvertidos y se tarda meses en saber que ha habido robo de información.

También se da el caso que descargues (sin querer) un archivo de un correo que parecía de confianza, que lo hayas ejecutado y que, apesar de no sucedió nada en este momento, sospechas que no tenía buena pinta.

Para estos casos y muchos más debería haber un protocolo de actuación donde no puede faltar el contacto a una empresa de ciberseguridad o el de un experto en seguridad informática, en caso de no contar con uno dentro de la organización.

Pero todo esto, ¿cuánto cuesta?

En el mundo empresarial, los costes lo son todo.

De ahí que una de las primeras cuestiones que surgen a la hora de mejorar la seguridad de las empresas es si se trata de un servicio caro.

Pues bien, para contestar a esa duda, la realidad habla por sí sola:

Basta un solo ciberataque para que una empresa tenga que cesar su actividad.

Por un lado están los costes de recuperación: recuperar información perdida, cuantificar cuántos datos se han filtrado, reestablecer equipos infectados… los costes varían según el tipo de ataque que se ha sufrido.

Por otro lado, está el que probablemente es el coste más alto: el de imagen. Esto quiere que no está bien visto que a una empresa le hayan robado información de sus clientes, y en última instancia, las consecuencia de un ciberataque puede repercutir en las ventas de la organización.

Y por último, en lo que respecta a ciberataques a empresas, hay que tener en cuenta que los cibercriminales han dejado de tener como objetivo a las grandes corporaciones. La realidad es que cada vez se ven afectadas las medianas y pequeñas empresas. Y es que campañas como el ransomware están diseñadas para ir contra organizaciones de todos los tamaños para pedir un rescate acorde a la dimensión de la compañía.

[:]