LAS POLÍTICAS DE SEGURIDAD DE MUY POCO VALEN SI NO CREAMOS Y FOMENTAMOS UNA CULTURA EN SEGURIDAD DENTRO Y FUERA DE LA EMPRESA.
Seguramente habrán escuchado frases como: “La cadena se rompe por el eslabón más débil”. Dentro del ámbito de la seguridad se utiliza mucho haciendo referencia al usuario, ya que podemos tener un entorno súper seguro y muchísimas herramientas de monitoreo, pero si el usuario no utiliza la tecnología en forma consciente y segura, es muy probable que tengamos una brecha de seguridad. De esta forma, nuestra empresa podría ser víctima de diferentes amenazas. Por ejemplo: un Ransomware que secuestre nuestros propios datos y no podamos acceder a ellos sin pagar un rescate; un engaño donde se le otorgue a un intruso acceso físico a lugares restringidos o se le entreguen datos sensibles a un ciberdelincuente; y así podríamos seguir y seguir. Es por todo ello que debemos crear una cultura segura tanto dentro como fuera de nuestra empresa.
POR DÓNDE EMPEZAR
Una muy buena forma de comenzar es incluir un programa de concientización dentro de nuestra estrategia de seguridad, y así poder alcanzar a todas y cada una de las personas que componen nuestra empresa. Ahora, muchos se preguntarán por qué hacemos tanto hincapié en “dentro y fuera de la empresa”. Bueno, es simple: a una persona se la puede entrenar para que utilice en forma segura y consciente las herramientas y recursos tecnológicos de su empresa, pero de nada sirve si no hace lo mismo con los propios.
Veamos un ejemplo:
Un usuario obtuvo un muy buen entrenamiento dentro de su empresa, donde tomó conciencia en el uso seguro de la tecnología y la detección de técnicas de ingeniería social. Al conocer las distintas amenazas y la forma de proceder de los ciberdelincuentes, él se encuentra más atento y es más cuidadoso en su trabajo. Pero a las 18:00 hs., cuando se retira (o todavía dentro de la empresa), recibe solicitudes de amistad en Facebook, aceptándolas sin preguntarse siquiera de quiénes proceden. Hace publica fotos en las redes sociales (hasta incluso tomadas desde dentro de la empresa), descarga cualquier tipo de aplicación (oficial y no oficial) en su celular sin chequear los permisos y el desarrollador antes de instalarla, mantiene las conexiones inalámbricas de sus dispositivos continuamente encendidas, se conecta a cuanta red inalámbrica encuentre y navega con su notebook por cualquier sitio dando aceptar a cuanto cartel se le presente.
Como se puede apreciar, este usuario tiene un proceder correcto al utilizar los recursos de la empresa, pero no es así con su vida personal. Si bien parece que en este caso exageramos un poco, deben creernos algo en base a nuestra experiencia en consultorías: existen muchas personas que actúan de esta manera. Muchas veces, esto es debido a que se instruyó al usuario en el uso seguro de las distintas herramientas de la empresa y no así en el uso de redes sociales, dispositivos personales, etc.
Aquí podemos apreciar una gran brecha de seguridad, ya que si el objetivo es claro, los ciberdelincuentes no solo se limitarán a atacar los recursos de la empresa, sino que también podrán enfocarse en los recursos personales de sus empleados o hasta incluso (dependiendo la magnitud del ataque) objetivos satélites como familiares o amigos.
PROGRAMA DE CONCIENTIZACIÓN
A continuación detallaremos algunas de las acciones que se pueden llevar adelante para cubrir distintos frentes y así lograr mayor visibilidad, sustentabilidad e interés por un programa de concientización.
- Evaluación: como primera medida, es muy importante poder evaluar tanto el conocimiento o la percepción que los empleados poseen con respecto a la seguridad, como también realizar diferentes tests que nos ayuden a conocer cómo estamos parados frente a posibles ataques (campañas de phishing, engaños telefónicos, intentos de intrusión, etc.). La información resultante nos servirá para poder realizar una comparativa de estado a medida que avanzamos con las diferentes acciones.
- Charlas y talleres: muy buenos resultados son los que podemos obtener al realizar charlas y talleres. Pueden ser segmentados en grupos específicos (gerentes, técnicos, etc.) o abiertos dependiendo los recursos y alcances de (la empresa), siempre intentando alcanzar a todos los usuarios.
- Videos y material gráfico: nunca está de más contar videos y material gráfico para el apoyo de las diferentes acciones. Algo muy importante es que deben expresar de forma simple y clara lo que se quiere transmitir (tips, datos de referencia, infografías).
El material gráfico puede ser tanto digital (para ser distribuido a tra-vés de mailing, publicarlo en el sitio web de la empresa o la intranet), como también impreso (folletos, carteles).
- Plataforma de e-learning: debido al ritmo de trabajo en las empresas, en general no se llega a exponer o profundizar sobre todos los temas en las charlas y talleres.
Es por eso que una muy buena práctica es disponer de una plataforma de e-learning que sirva a los usuarios como material de apoyo y consulta permanente. Es importante disponer de información clara y precisa. Y se pueden adoptar distintos formatos: videos, imágenes, audio, documentos, etc.
VOLVER A EMPEZAR
Es un error pensar en la seguridad como una solución que se implementa y funciona en forma desatendida. Diríamos que es todo lo contrario: cuando implementamos una solución, un programa de concientización o habilitamos un canal para la comunicación, estamos recién comenzando. Todas y cada una de las acciones que realicemos necesitan un seguimiento, ajuste o cambio.
La tecnología está en constante evolución, como también las amenazas, nada es estático y mucho menos debemos serlo nosotros.
CONCLUSIONES
Al finalizar nuestras charlas nos gustar hacer una analogía, que compartimos a continuación: Seguramente cuando éramos niños muchos de nosotros cruzábamos la calle sin prestar atención, nos daba lo mismo cruzar por la esquina que por mitad cuadra y que el semáforo estuviera en rojo o en verde. Esto sucedía porque no teníamos conciencia sobre las amenazas existentes (automóviles que pudieran atropellarnos) y no teníamos consciencia sobre nuestra integridad física. Por suerte, tuvimos a nuestros familiares o amigos que nos enseñaron a cruzar por la senda peatonal, pero antes esperar que el semáforo se pusiera en rojo y mirar hacia ambos lados.
Hoy en día, es impensable que una persona adulta cruce una calle o avenida por cualquier lugar, sin mirar y con el semáforo en habilitándolo. La persona no realiza un gran esfuerzo mental para poder cruzar en forma segura, ya que lo hace de una manera natural. Esto mismo debemos lograr con nuestra vida digital (tanto personal como laboral), incorporando de a poco hábitos seguros y utilizando la tecnología en forma consciente hasta lograr que estas acciones se vuelvan totalmente naturales.