Artículo elaborado por José Arroyo, responsable de seguridad en Extra Software. Este artículo consta de dos partes. Ciberseguridad empresarial 2 será publicado el mes que viene.
David acaba de entrar a formar parte del departamento de administración de una pequeña empresa dedicada a la venta online de productos para mascotas. Lleva únicamente un par de meses, pero tanto su jefe como sus compañeros están muy contentos con su trabajo.
En la empresa están pensando en implementar el teletrabajo ya que la gestión de la tienda online se puede hacer directamente desde la Web. Únicamente se tienen que conectar a la empresa para la gestión del CRM y del ERP, la cual realizan mediante una intranet. Para David es una alegría ya que podrá disfrutar más tiempo con su familia.
Antes de activar el servicio, la empresa le crea a cada empleado un usuario con el que accederán remotamente a la oficina. La empresa tiene establecida una política de seguridad para el uso de contraseñas seguras. Para David es una lata, ya que ayer también le hicieron poner una contraseña de esas tan difícil de aprender, en un servicio de correo electrónico.
Para no tener que recordar tantas contraseñas, decide poner la misma que puso en ese servicio de correo. Además, ha pensado en crearse una cuenta en Linkedin y Twitter como tienen sus compañeros y así estar conectado con ellos… También utiliza esa misma contraseña para las dos cuentas y las vincula al correo que se había configurado anteriormente.
Para hacer más sencillo el teletrabajo, se configura en su móvil todas las cuentas, incluidas las de la empresa, así se puede conectar desde cualquier parte. David en su móvil no ha configurado ningún control de acceso, le parece una pérdida de tiempo innecesaria. Además, deja que Google Chrome le recuerde todas las contraseñas así no tiene que estar poniéndolas cada vez que quiera acceder.
Un viernes David sale de cena con los amigos, después de la cena se van a tomar unas copas a una serie de pubs. En el ajetreo y el vaivén de las copas, David, pierde el móvil en uno de los pubs, sin recuperarlo.
El lunes, al llegar al trabajo, le comunican desde el departamento de sistemas que desde el sábado por la mañana se ha estado accediendo a la empresa con la cuenta de David y les han sustraído toda la base de datos de clientes, información privada sobre la facturación de la empresa, los datos de todos los empleados y además todo esto ha sido publicado en un sitio llamado pastebin.com. Y esto no termina ahí, ya que se han estado realizando pagos no autorizados con la tarjeta de la empresa. A David lo primero que le viene a la mente es una pregunta:
¿Esto cómo ha podido pasar?
Lo que le ha pasado a David le puede pasar a cualquier trabajador, ya que es más habitual de lo que se piensa. Cuando se diseña una política de ciberseguridad empresarial se ha de tener en cuenta el factor humano, el cual suele ser el causante de un porcentaje muy alto en las fugas de información. Imagínate una empresa que hace un desembolso enorme en seguridad física y perimetral, antivirus, etc. Y viene un empleado conecta su pendrive donde tiene almacenada la música que le pasó un amigo el día anterior, infectando con un virus que llevaba incorporado el propio pendrive a toda la empresa. De nada les ha servido el desembolso tan grande en ciberseguridad.
Vamos a ver las posibles amenazas que supone el no tener en cuenta el factor humano en la ciberseguridad empresarial y cómo podemos defendernos.
BYOD (Bring your own device o Trae tu propio dispositivo)
Cada vez es más frecuente en las empresas que los usuarios se lleven sus propios dispositivos: portátiles, móviles, tabletas, pendrives, etc., y que trabajen o traten con la información sensible de la empresa con ellos.
Por ejemplo, centralizar la información de la empresa en su móvil para no tener que llevar dos (personal y empresarial).
Estos dispositivos tratan la información con aplicaciones que normalmente no ofrecen las mismas medidas de seguridad que las orientadas a servicios de uso empresarial. Y aunque no se produzca ninguna fuga de seguridad, la empresa deja de tener control sobre donde están almacenados sus datos sensibles. Lo que puede llevar al incumplimiento de las normativas de seguridad como la LOPD o el GDPR.
Otro problema que pueden tener estos dispositivos es la capacidad de crear redes de uso personal, por ejemplo, crear un punto de acceso a través del Smartphone para dar Internet a otros dispositivos. Estos pueden ser usados por los usuarios para acceder a páginas que la empresa ha bloqueado: juego online, redes sociales, etc. Estas redes que se crean sin ningún tipo de seguridad por parte de los usuarios, suelen ser usadas muchas veces para acceder a herramientas de trabajo a través de ellas, pudiendo causar fuga de información de la empresa o entrada de malware a la misma.
El fenómeno BYOD va a ser un problema por lo menos durante los próximos 10 años.
Aunque estos dispositivos suponen una amenaza para la seguridad de la empresa, también tienen sus ventajas, como el incremento de la productividad de los empleados, debido a que se encuentran más cómodos trabajando con sus propias herramientas, y también el ahorro de costes para la empresa.
Para proteger la empresa en la medida de lo posible, de este y otros fenómenos, muchos organismos han creado la figura de lo que se conoce como Chief Security officer (CSO), que será el encargado de supervisar la implementación de un SGSI (Sistema de Gestión de la Seguridad de la Información) siguiendo algún estándar internacional. La implementación de un SGSI se puede realizar en varias etapas. Una de las etapas más importante es la de “Capacitar a todos los trabajadores sobre los riesgos de seguridad y en el manejo seguro del hardware y software y respecto a la seguridad física”.
POLÍTICAS DE CIBERSEGURIDAD EMPRESARIAL ORIENTADAS AL BYOD
Las prohibiciones o normas internas en la empresa sin más no suelen funcionar. Lo recomendable es definir unas políticas de seguridad. En el caso del BYOD podemos contemplar aspectos como:
- Elección de contraseña segura obligando a que el usuario la cambie con frecuencia.
- No reutilizar esta contraseña en otros servicios, ni internos ni externos. No apuntar la contraseña en ningún sitio ni facilitársela a nadie.
- Antivirus, firewall y parches de seguridad actualizados en el dispositivo.
- No almacenar información en dispositivos no controlados por la empresa, o hacerlo cifrando los datos y bloqueando el dispositivo con algún tipo de patrón: biométrico, pin, contraseña, etc.
- Llevar en el dispositivo algún filtro de pantalla.
- Cifrar la información enviada por la red.
- No utilizar redes WiFi públicas, en caso necesario realizar la conexión por VPN.
En la segunda parte del artículo conoceremos otras amenazas a la ciberseguridad empresarial que tienen como vector de ataque el factor humano.