SEGURIDAD | Artículos | 21 MAR 2019

Incidentes de seguridad: cuando el enemigo está más cerca de lo que se cree

Ataques por aquí, ataques por allá… Y venga a aumentar el gasto en seguridad para reforzar la defensa. Sí, que está bien, pero antes de hacerlo las empresas han de tener claro qué quieren defender, auditar sus estructuras para determinar cuáles y cuántos agujeros de seguridad existen, y después asignar recursos a las soluciones más eficientes. Porque amenazas hay muchas, pero sus autores están más cerca de ellas de lo que creen.
Inteligencia Artificial usuario
Víctor Manuel Fernández

Ataque. Es escuchar esa palabra dentro de una empresa y ponérsele los pelos de escarpias a más de uno y de dos salvo a una persona. ¿Y quién es esa persona a la que no se le ponen los pelos de punta? Al encargado de su seguridad; más bien se cabrea y mira al resto de compañeros, especialmente al gerente o al director, con esa mirada de «¡¿veis, veis?! ¿Qué os dije, qué os dije?» y pateando el suelo, insistente, con cualquiera de los pies.

Y sí, es así. Porque una cosa son los ataques al nivel más alto, los que ponen en jaque la seguridad de un país, los que causan estragos en servicios esenciales para el país —luz, agua, Internet cinco minutos antes de que empiece el enésimo clásico…—. En resumidas cuentas, Hollywood en estado puro, y otra bien distinta es el día a día protagonizado por seres anónimos —delincuentes, en suma— deseosos de amargar la vida a los gerentes, responsables y directores de seguridad de tal o cual empresa.

Porque sí, lectores de DealerWorld: el peligro proviene de lo más próximo que tenemos, de cualquier hijo de vecino con ganas sandungueras en el cuerpo. “Es totalmente cierto que la mayoría del malware que se detecta a diario no es especialmente elaborado, y aun así, muchas veces consigue su objetivo”, admite Josep Albors, responsable de Investigación y Concienciación en ESET España.

¡Venga a gastar en seguridad!

Ni tanto ni tan calvo. Que las amenazas están ahí es una evidencia, pero también lo es que se necesita realizar un análisis antes de dar cualquier paso en lo que a la materia respecta. O como incide de nuevo Josep Albors: “Antes de aumentar el gasto en ciberseguridad sin ningún criterio, las empresas deben primero tener bien claro cuáles son los activos fundamentales que quieren proteger, auditar sus sistemas para saber cuáles son sus agujeros de seguridad más importantes, y, según esta información, asignar los recursos necesarios a las soluciones más eficientes. El problema es que la mayoría de las empresas españolas no realiza ese análisis previo y, por tanto, termina invirtiendo cantidades muy bajas o, por el contrario, elevadas pero en recursos sobredimensionados para sus necesidades reales”.

Lo que pasa, en primer lugar, por saber, como bien comentaba Albors, qué y de qué manera protegerlo. Lo que puede ir desde la confidencialidad de la información hasta la integridad del dato (que el dato no se corrompa), pasando por la disponibilidad de la información. “Además, habría que señalar que, según el sector, el tipo de empresa e incluso tamaño el riesgo reputacional, el posible daño que una brecha de seguridad produzca a la marca, es algo para tener en cuenta y que también puede ser crítico”, sostiene Alf Melin, manager del SOC en Getronics.

Y en segundo, por la puesta en marcha de estrategias para promover la ciberseguridad, tales como “utilizar puntos de acceso seguros, segmentar las redes corporativas, mantener una adecuada política de actualizaciones de forma regular, establecer un control de acceso remoto de usuarios, garantizar un uso seguro del correo electrónico, instalar sistemas antimalware, tener un plan de contingencia ante posibles ataques, etcétera”, puntualiza Sara Crespo, directora de Cuentas de Canal de Fortinet Iberia.

‘Phishing’, ingeniería social y otros ‘palabros’

Y es que, en lo tocante a la seguridad, no viene mal que los empleados de la empresa —sean del grado que sean y ocupen el puesto que sea dentro de ella— cuenten con las nociones básicas de lo que existe por esos mundos de Internet en lo que a las amenazas se refiere. No se trata de que se vuelvan unos expertos capaces de sentarse ante un control de mandos cuales salvadores de la humanidad y que salga el sol por Antequera. Simplemente, conocer lo básico, esos conceptos que, a fuerza de ser repetidos, calan cual lluvia fina. Lo que debería de ser, vamos.

Pues en un mundo dominado por los anglicismos, es lógico que quien no domine la parda de Shakespeare se sienta más perdido que Wally en el estadio Wanda Metropolitano de Madrid. Y más cuando, “lamentablemente, en el momento que utilizamos anglicismos para referirnos a ataques —y también motivado por una falta de conocimiento del usuario medio—, no existe conocimiento de lo que significan ni lo de que implican —que es peor— esas palabras. Cuando se articula una explicación de lo que son y cómo funcionan, sin duda, el usuario lo comprende pero en sí mismo el término inglés no les dice nada (spam, botnet, phishing, zombies...), lamenta Ramsés Gallego.

En este punto, Albors no duda en quejarse de que “pese a que en los últimos años se han realizado importantes campañas de concienciación, la seguridad informática sigue siendo todo un desafío para muchos empleados. Hace falta realizar formaciones continuas y actualizadas, donde se muestren casos reales de ataques y cómo se podrían haber evitado. Incluso se pueden lanzar ataques simulados para que esta concienciación forme parte del día a día de los empleados”. Cristalino.

Es más, si rascamos un poco en la superficie de las empresas descubrimos una realidad atroz: que en su mayor parte, ni ellas y sus empleados conocen el significado real de phishing o ingeniería social, “ni el similar al phishing y muy habitual whaling, que consiste en suplantar también sitios web o correos electrónicos simulando ocupar cargos de nivel superior de la organización, y así contactar con altos directivos o personas que les den acceso dentro de la organización a información confidencial, obtener acceso a sistemas informáticos o robar dinero”, abunda Al Melin. Su receta para combatir dichas prácticas, la misma que la de Albor: educar a los usuarios para afrontar estas situaciones donde el fallo de seguridad se produce por la conducta humana, “que se deja llevar por el stress y la precipitación olvidando cualquier medida de precaución”, apostilla el mánager del SOC de Getronics.

Puede leer aquí el resto del reportaje.

 



Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios