Sensibilización De Los Empleados: Un Requisito Previo Para La Protección De Los Datos

Ideas & iniciativas

Los empleados, eslabón clave del sistema de ciberseguridad

En un mundo que está experimentando una revolución digital fundamental, la cuestión de la seguridad de los datos es cada vez más importante. Más del 50% de las empresas francesas reconocen haber sufrido ataques informáticos el año pasado*. Al mismo tiempo, se calcula que más del 90% de los pirateos tienen como puerta de entrada un error humano*, principalmente ataques de phishing y ataques smurf a través de un proveedor hackeado.

¿POR QUÉ FALLAN LOS EMPLEADOS?

En la actualidad, la tendencia dominante en los ataques informáticos es el pirateo que reporta beneficios económicos al ciberatacante. Peticiones de rescate, apropiación indebida de transferencias de dinero, reventa de datos confidenciales: los escenarios son numerosos.

Para llevar a cabo este tipo de pirateo, es indispensable que los atacantes accedan a los servidores de una empresa. Una forma de hacerlo es robar las credenciales de un empleado autorizado, o incluso piratear su teléfono si está protegido con una autenticación de dos factores.

La brecha está aquí: sin saberlo, un empleado deja filtrar sus credenciales, lo que permite al hacker entrar en el sistema, explorarlo y aumentar los privilegios (derechos de acceso a los servidores) para llevar a cabo su ataque:

  • robo de datos;
  • cifrado de los sistemas;
  • petición de rescate;
  • apropiación indebida de los datos bancarios de un socio para robar sus transferencias;
  • montaje de una transacción falsa para transferirse dinero;
  • etc.

LAS ASTUTAS ESTRATAGEMAS DE LOS ATACANTEs

Los métodos utilizados por los piratas informáticos son variados, pero todos tienen algo en común: necesitan que se haga clic en un enlace o se abra un archivo adjunto que hará que el empleado revele sus credenciales o permita la instalación de un programa malicioso.

Puede tratarse de un correo electrónico procedente de un remitente de confianza cuya dirección ha sido secuestrada (compañero de trabajo, institución, banco, empresa de mensajería, etc.). Al hacer clic en el enlace, se accede a una copia pirata del sitio web que solicita una conexión con las credenciales. 

El círculo se cierra:  las credenciales se comunican al propietario del sitio web falso. Identidad y contraseña. 

Muchos usuarios tienen la misma contraseña para todos sus accesos: la exploración de las posibles conexiones resulta relativamente fácil para los piratas informáticos.

A veces, un IoT (por ejemplo, una cámara de vigilancia) sólo está protegido con la contraseña del fabricante, disponible en línea en el manual del hardware. Más de cien millones de contraseñas de cámaras en el mundo no se cambiaron cuando se instalaron; y a menudo basta una cámara conectada para llegar a los servidores de la empresa.

En el caso de un archivo adjunto supuestamente legítimo (texto, tabla, imagen, pdf), al hacer clic en él se abre y a continuación se descargan discretamente algunas líneas de un programa malicioso que puede ser: 

  • un virus;
  • un caballo de Troya;
  • un gusano (virus que permite descargar otras aplicaciones piratas);
  • un software que captura las contraseñas a medida que se introducen en el teclado o que aprovecha el código de las aplicaciones para copiar las credenciales.

Leer un mensaje sin seguir un enlace o abrir un archivo adjunto fraudulento no presenta normalmente ningún peligro: es el clic el que dirige al usuario a la zona de riesgo.

BUENAS PRÁCTICAS PARA EVITAR LAS FILTRACIONES DE DATOS

Los departamentos informáticos están implantando diversos sistemas de protección:

  • segmentación de los accesos;
  • asignación de privilegios (en particular, los derechos de administrador);
  • vigilancia automatizada de los flujos de datos;
  • imposibilidad de instalar un software ejecutable sin una verificación y autorización especial;
  • cifrado de datos almacenados y en uso;
  • etc.

No obstante, es necesaria la responsabilidad individual del empleado: el uso de recursos informáticos prácticos (sobre todo cuando está de viaje o en casa) exige unas precauciones que sólo el empleado puede adoptar, sistemáticamente, todos los días y en todo momento:

  • Nunca mezclar el uso personal y el uso profesional en un mismo equipo. Un virus descargado en una aplicación pública, un juego, una promoción,… también será aprovechado para piratear el acceso profesional.
  • Definir contraseñas seguras (complejas, variadas, cambiadas regularmente).  
  • Utilizar una autenticación multifactores: duplicar la simple identificación a través de un recurso adicional de confirmación (código enviado por sms, notificación a confirmar, etc.). A priori, no se debe confiar en nadie ni en ninguna máquina – La generalización del concepto de «confianza cero» tiene como objetivo autenticar los equipos y los usuarios en cada solicitud de conexión.
  • Instalación y actualización de los principales programas antivirus en el hardware. 

La vigilancia y el sentido común deben prevalecer: hay que comprobar cualquier mensaje (sms, mensajería WhatsApp o Signal, correo electrónico, enlace, archivo adjunto, etc.):

  • En primer lugar, debe comprobarse el remitente ¿conocido, desconocido? Una dirección de emisión compleja y desconocida indica, sin duda, un origen dudoso. Atención, a veces el pirata informático sólo cambia una letra de la dirección de una relación o la sustituye por un signo que parece una letra correcta: esto es un indicio de una dirección de correo electrónico inventada, probablemente de forma indebida.
  • A continuación, comprobar el contenido del mensaje, especialmente si hay un enlace de “inicio de sesión”. Simplemente mover el puntero del ratónsin hacer clicle permite ver (normalmente en la parte inferior izquierda de la pantalla) a qué dirección web redirige este enlace. A veces parece dudosa… y con razón. 
  • Por último, comprobar los archivos adjuntos algunos sistemas de mensajería filtran los archivos adjuntos pasándolos por su software antivirus, pero otros dejan que pasen todos. Un empleado protegido, especialmente con un bloqueo en la instalación de cualquier software, puede descargar el archivo adjunto sin abrirlo y luego pasarlo por el antivirus/antimalware. ¡Aunque el emisor parezca ser legítimo! No dude en ponerse en contacto con el remitente de otra forma para averiguar si ha enviado un documento…

¿Un último consejo? Los empleados nunca deben dejar sus máquinas desatendidas; se recomienda apagarlas o ponerlas en modo de espera y, por supuesto, introducir un código de acceso para volver a encenderlas. Incluso en la oficina…

Es esencial recordar que cualquier solicitud puede suponer un riesgo, aunque parezca totalmente legítima; la vigilancia y la acción positiva para comprobarlo deben ser la norma. Confiar, sí, pero eso no excluye el control.

APLICAR Y MANTENER UNA MENTALIDAD DE SEGURIDAD

Sólo con una buena concienciación y, además, una buena formación con la validación de los conocimientos adquiridos, todo el personal de la organización seguirá estas buenas prácticas

  • carteles y recordatorios de las instrucciones;  
  • cursos de formación serios (no contentarse con solo un MOOC de pocas horas);
  • y repetirlos cada año en función de la constante evolución de las amenazas.

Encontrará buenos consejos y técnicas en la ENISA o, más accesibles, en Incibe.es. Pueden descargarse fichas prácticas y vídeos didácticos, algunos de ellos divertidos. 

SENSIBILIZACIÓN DE LOS EMPLEADOS EN MATERIA DE PROTECCIÓN DE DATOS: DAR UN PASO MÁS

La seguridad informática es crucial para la organización: debe estar organizada, compartida, aceptada y formar parte de las normas de buen funcionamiento de la empresa, que deben combinar compromiso y sanciones formalmente negociadas.

Se trata entonces de implantar un proceso en RR. HH. de sensibilización y negociación con los interlocutores sociales: a través una carta informática adjunta al contrato de trabajo o que sea objeto de una cláusula adicional, firmada por el trabajador interesado, por ejemplo.

Más allá de este marco bien diseñado, la seguridad informática de la empresa también es motivo de orgullo y entusiasmo. Hoy en día, es un factor clave de motivación ser irreprochable en materia de seguridad de los datos

EL ESFUERZO EN MATERIA DE SEGURIDAD DE LOS DATOS DEBE CONVERTIRSE EN UNA VENTAJA COMPETITIVA

La seguridad informática no debe considerarse una fuente de costos adicionales, sino una ventaja empresarial: los socios de la empresa deben sentirse seguros de saber que los datos que confían a la empresa están bien protegidos; incluso pueden exigirlo. Los clientes también. 

La seguridad de los datos se incluye en los pliegos de condiciones de las licitaciones, junto con la RSE o el impacto medioambiental. 

Más allá de esta obligación, aún poco frecuente, es un destacado factor diferenciador que la empresa puede incluir en sus ofertas y en sus respuestas a las licitaciones. Valorar un alto nivel de seguridad y presentarlo es un argumento de peso.

UNA SOLUCIÓN TRANSPARENTE: EL CIFRADO

Existe una forma eficaz y completa de proteger sus datos contra el uso indebido: el cifrado. 

Los datos podrán ser pirateados, pero no podrán ser utilizados ni divulgados. 

Un cifrado transparente (invisible para el usuario), realizado sobre la marcha (en el momento de crear un documento), inmediato y gestionado por la empresa (es decir, el cifrado no debe confiarse a la nube, sino que solo la empresa debe disponer de las claves de cifrado) es la garantía de que nadie más que el usuario debidamente autorizado podrá conocer y entender los datos.

Se trata de un sistema que puede generalizarse a todos los puestos de trabajo fijos o móviles de los equipos.

Cada usuario, desde el más alto nivel de acceso al más bajo, debe asumir la responsabilidad del tratamiento de los datos. Para ello, es de sentido común que cualquier uso del sistema se haga con precaución y que se generalicen las buenas prácticas de seguridad y autenticación.

*fuente: informe CESIN 2021