Ciberdelincuentes, ayudados por empleados, representan grandes riesgos para las instituciones, pero la capacitación es clave
[private]Por Robert Hilson
La lucha contra la delincuencia financiera se ha vuelto extremadamente compleja en los últimos años con el advenimiento de la tecnología y su seguidor: el delincuente cibernético. Este nuevo tipo de criminal adquiere nuevas habilidades para explotar la evolución del panorama tecnológico.
Ahora, una nueva generación de delincuentes cibernéticos experimentados está accediendo a los datos confidenciales de los negocios con la asistencia de los empleados y otros “insiders”, que a veces sin saberlo, y otras veces a sabiendas les ayudan a eludir los obstáculos, firewalls, cifrados y otras medidas de seguridad de alta tecnología.
Considere este escenario. Un pirata informático envía un amplio correo electrónico a toda la organización disfrazado de información financiera importante, con la marca y logo del banco. Un empleado de una empresa que tiene miles de empleados responde al mensaje, exponiendo su contraseña y nombre de usuario. El hacker se apodera de la cuenta y haciéndose pasar por el empleado engañado, explora y captura una gran cantidad de información confidencial de los clientes.
La organización no se entera hasta que es muy tarde
«El juego ha cambiado de atacar a la infraestructura para atacar a las personas», dice Patrick Heim, Director de Trust en Salesforce, en San Francisco.
De los tres frentes para luchar contra la delincuencia cibernética – la gente, los procesos y la tecnología – el elemento humano es por lo general el más débil, y se le dio la menor atención por parte de los altos ejecutivos corporativos cuyos negocios dependen de la seguridad de su información.
«[Los hackers] están apuntando a la gente», dice Justin Dolly, Jefe de la Oficina de Seguridad de la Información en ServiceNow, «y la gente comete errores.»
Nuevo escenario representa nuevos desafíos para todos
El crecimiento del enemigo cibernético coincide con un crecimiento en el volumen, complejidad y distribución de datos. Materiales sensibles que alguna vez se almacenaban en un armario bajo llave están reproducidos en correos electrónicos, unidades flash y Dropboxes.
«Dondequiera que usted piensa que [los datos] están, están ahí. Pero también en muchos, muchos otros lugares «, dice Dolly.
Es en este entorno peligroso las compañías se debaten sobre la mejor forma para proteger la información confidencial de los negocios, archivos de clientes, secretos comerciales y otros datos críticos.
Si bien algunas organizaciones han realizado grandes inversiones en procesos y tecnología, esfuerzos para capacitar a los empleados sobre la seguridad de los datos y la vigilancia, la mayoría de las grandes empresas «invierten poco» en el entrenamiento de los empleados.
«Estoy asombrado por lo poco que la gente sabe acerca de las herramientas modernas, como las redes sociales», dijo Robert Brownstone, Asesor de Tecnología y de E-Discovery en la firma legal Fenwick & West. Brownstone asesora a los clientes sobre la seguridad de la información.
La incapacidad de comprender cómo funcionan estas herramientas y la ignorancia sobre cómo los adversarios las explotan con fines perversos plantean uno de los mayores desafíos a la seguridad de los datos corporativos. Por otra parte, educar a los empleados sobre las «conductas correctas e incorrectas» básicas ha demostrado reducir significativamente el riesgo de violación de datos, dijo Heim.
Brownstone sugiere que las organizaciones implementen programas de capacitación de los empleados y establezcan políticas sobre cómo utilizan y comparten información. Sumar estas iniciativas a la tecnología que ayuda a identificar información es crucial. La llamada «fingerprinting o toma de huellas dactilares» de los datos, por ejemplo, permite a las empresas llevar un control sobre la información sensible y sus derivados, dijo Dolly.
«Intente entender cómo funciona su negocio desde el punto de vista electrónico», aconseja Brownstone, alentando a las instituciones y empresas a supervisar a través de inteligencia de fuente abierta en busca de potenciales amenazas.
El rastreo y la transparencia producen resultados
Los expertos dicen que la capacitación debe ser evaluada de forma continua para garantizar la eficacia.
En Salesforce, Heim realiza entrenamientos basados en simulación y sistemas de recompensas sociales para reforzar las iniciativas de educación de la compañía. Por ejemplo, todos los meses Salesforce envía a sus empleados 1.000 mensajes “phishing”. Realiza un seguimiento sobre quiénes hacen clic en ellos, en qué departamento estas personas trabaja, y si han completado la capacitación requerida.
Se realiza un seguimiento a través del tiempo de los resultados y se comparten de forma transparente con el resto de la organización para fomentar la competencia.
Para una mejora se necesita una nueva mentalidad
Para que exista una primera defensa de las personas contra la ciberdelincuencia en primer lugar se necesita un compromiso por parte de la alta gerencia y un replanteamiento fundamental de la seguridad de los datos, de acuerdo con Heim.
«Solo la protección de la información no es suficiente, porque nadie ha descubierto la manera de proteger los datos una vez que se encuentran en formato electrónico», dice.
Una máxima muy popular sobre la seguridad señala que «hay dos tipos de organizaciones: esas que han sido hackeadas y las que no saben que han sido hackeadas». La mayoría de las organizaciones aprenden de la manera dura, dice Heim.
“Uno no compra seguros contra terremotos hasta que su casa no ha sido afectada por uno. Por suerte, la mayoría de las organizaciones sobreviven esta situación”, señala.
Si es seguro que va a experimentar una filtración de datos, entonces la capacidad para detectar y responder ante esta situación es esencial para mitigar el daño financiero y reputacional.
“Es clave el tiempo que demora una respuesta”, dice Dolly. “El equipo de seguridad puede atacar la violación y bloquear el resto de la organización para que no sea atacada [si se informa a tiempo]”.
Incluso con un entrenamiento mínimo, los empleados por lo general muestran una mejor habilidad para detectar y reportar un ardid o actividad sospechosa, señala el experto.
El año pasado, el Instituto Ponemon publicó los resultados de una encuesta realizada a 471 profesionales en las áreas de privacidad y de cumplimiento que informaron un amplio deterioro de la seguridad corporativa e infraestructura para responder a los problemas. Todos los encuestados trabajaban en organizaciones que habían sufrido un robo de al menos 1.000 registros sensibles en los dos años anteriores.
El informe refleja una generalizada parálisis para responder a los problemas y desorganización. Menos de un cuarto de los encuestados dijeron que sus organizaciones tenían un equipo capacitado para responder a las víctimas. Sólo el 23 por ciento dijo que podían identificar el daño real a las víctimas de filtración de datos.
«Existía esta mentalidad de que había un perímetro y que íbamos a proteger a ese ámbito muy bien», añadió Dolly. «Existía la mentalidad de un castillo con su foso. Y entonces inventaron la catapulta».[/private]