Empleados de la empresa: ¿Aliados o enemigos?

Publicado por ISN el día 12 de noviembre de 2020

La respuesta a esta pregunta, suele crear muchos quebraderos de cabeza entre los administradores de sistemas y responsables de ciberseguridad de la empresa. A continuación, vamos a tratar de abordar esta problemática desde una perspectiva lo más amplia posible y desde mi experiencia personal.

En general, cuando una empresa decide contratarnos suele ser para securizar su infraestructura (https://isnum.com/servicios/seguridad-integral/) IT que disponen en sus instalaciones, pero ¿Por qué se deciden a llevar a cabo este conjunto de acciones técnicas? En la mayoría de los casos, el motivo suele ser como consecuencia de haber sufrido un ataque de ransomware con el consiguiente daño económico y reputacional. Otras veces, es porque el dueño se ha enterado a través del amigo del vecino que hay “hackers” que pueden entrar en su empresa y robarles todo y que encima, además, ¡te toca pagar! (lol). Sea como sea, lo cierto es que por suerte o por desgracia, los dueños de las empresas de este país están adquiriendo más concienciación en materia de ciberseguridad en los últimos años. 

De cualquier forma, la cronología suele ser más o menos la misma, un empleado de la empresa abre su correo y, entre los miles de emails que recibe a diario no se da cuenta que en uno de ellos está el “bicho” y, sin querer, hace doble click desencadenando una “bomba”. Es importante recalcar “sin querer” ya que muchas veces se tiende a criminalizar al empleado diciendo aquello de ¿Por qué has abierto ese correo? ¡O menuda nos has liado! Lo cierto es que no hay que tener “síndrome de Estocolmo” y tener claro que la culpa no puede ser del empleado en primera instancia. Otra cosa bien distinta es analizar si el usuario disponía de suficiente formación para haber evitado esta desagradable situación. 

Bueno, como iba diciendo al principio, cuando contactan con nosotros, lo primero que hacemos es concertar una visita con el cliente a sus instalaciones con el fin de conocer de primera mano la situación actual de sus infraestructuras. En ella, solemos darnos cuenta rápidamente de muchas brechas o agujeros de seguridad que tienen sus infraestructuras: puertos abiertos como el rdp (escritorio remoto, posit con la contraseña de usuario ademin s 1234 y something like that. Dicho esto, para darse cuenta de estas vulnerabilidades no hay que ser un “super arquitecto de seguridad” o tener cinco certificaciones de pentester. Basta con tener un poco de sentido de común y analizar las vulnerabilidades más típicas. Tiempo habrá de profundizar, pero si los cimientos ya están mal…. Con todo esto, no pretendo lapidar a la empresa “Pepito” por no haber tomado medidas de seguridad antes. De hecho, para eso han decidido contratar nuestros servicios. Creo que nuestra obligación como profesionales es asesorar e informar al cliente con rigor, pero sin “juzgar” al cliente. 

La conclusión que sacamos de esta primera visita suele ser muchas a nivel técnico, pero sin embargo pocas o nulas de la formación en materia de ciberseguridad de los empleados. ¿Alguien se preocupa de preguntar o de conocer si los empleados están formados en materia de ciberseguridad? La respuesta por parte de la empresa suele ser en la mayoría de los casos un silencio incómodo… 

Por lo general, los empleados tienen la frase o “el chip” desde la noche de los tiempos de: “si no sabes, no toques o mejor, tú no hagas nada”. Por desgracia, hoy en día eso ya no vale. Nuestra empresa ISN es partidaria de todo lo contrario, ya que el empleado va a tener que interactuar con un equipo mejor, vamos a dotarle de “armas” con las cuales puedan defenderse, y así tomar mejores decisiones. No hay que olvidar que el usuario es siempre el eslabón más débil de la cadena y eso, los ciberdelincuentes, también lo saben. ¡Y tanto que lo saben!

Dicho esto, ¿qué podemos hacer? La respuesta desde mi empresa es clara: formar, concienciar y trabajar en equipo. 

  • Formación: Fundamental impartir curso/charla a los empleados donde se describan los principales vectores de ataque a las empresas: Emails fraudulentos y cómo identificarlos, por ejemplo: correo de hacienda/proveedor de internet. Explicar el funcionamiento del principal ataque hoy en día a las empresas: ransomware y por último, uso de políticas en la empresa: escritorios limpios, contraseñas robustas.
  • Concienciación: Mandar emails indicando los últimos ataques que se producen. Es importante hacerle sentir al usuario como una parte fundamental en la seguridad de la empresa. De hecho, esto se conoce como HUMAN FIREWALL.
  • Entrenamiento: realizar campañas de “phishing” simulando que somos por ejemplo el CEO de la empresa, para ver si saben identificar un email fraudulento. Esto se debe de hacer siempre con el consentimiento del dueño de la empresa.

Con esto me despido por el momento. Espero que os guste este y post y que os pueda servir para reflexionar acerca de esta disyuntiva de hoy en día.

¡Tenemos un ejército en la sombra a nuestra disposición, a qué esperamos para contar con ellos!

¿Hablamos?

Si necesitas información acerca de nuestros servicios o quieres conocernos en persona, por favor, no dudes en ponerte en contacto con nosotros. Primera visita al cliente sin coste ni compromiso. Estaremos encantados de poder ayudarte.

Contacta con ISN