Vamos a ponernos un poco en situación. Pedro es un CISO en una empresa, un profesional con amplios conocimientos, experto y con una larga trayectoria en el sector. Después de convencer a la dirección de la necesidad de invertir en un sistema de seguridad y lo más difícil, conseguir el presupuesto, Pedro se pone en marcha. Meses de análisis, pilotos, pruebas, migraciones y ¡por fin! todo está listo. Seguridad TI perimetral, firewall, proxy, protección de correo, routers, conexiones VPN, protección para dispositivos móviles (incluidos los personales), protección del puesto de trabajo y un largo etcétera.
Todo parece funcionar a la perfección hasta que un día, el director general le llama al despacho y le comunica que tiene exactamente una hora para averiguar y solucionar por qué todos los archivos están cifrados ¡está despedido! A la media hora, el director general le envía un breve, pero contundente informe, de las pérdidas que están sufriendo, aumentando así la presión sobre Pedro. Nuestro Pedro tardó más de una hora en averiguar el origen del problema: un empleado había cometido una imprudencia y había pinchado en uno de esos mails que ofrecían cupones descuento, infectando a la compañía con un ransomware. Cuando el departamento de Seguridad TI fue a hablar con la persona que cometió la imprudencia está aseguro que no tenía ningún tipo de formación en Seguridad TI y que no sabía diferenciar entre correos válidos o los que no lo son, que eso era responsabilidad del departamento de seguridad que él era simplemente una usuario del PC.
Desconocemos si finalmente Pedro fue despedido; pero estamos más que seguros de que situaciones similares se han producido y se producen hoy en día en cualquier empresa, de cualquier tamaño y cualquier sector. De hecho, y para ser sinceros, el caso de Pedro es un caso real.
Hay que tener en cuenta que las pérdidas que puede sufrir la empresa pueden ser tanto económicas como de reputación. Y la conclusión, como ya hemos apuntado en varias ocasiones, es que tu Seguridad TI es tan fuerte o tan frágil como lo sea la de tu eslabón más débil (tus empleados). Ni la mejor, más cara e innovadora infraestructura de seguridad sobrevive a la imprudencia y desconocimiento de los empleados. De hecho, el último estudio europeo de Kaspersky Lab junto al IFOP muestra que el 26% de los 18.000 encuestados ha compartido sus contraseñas con compañeros del trabajo.
Hay varios casos ya publicados y conocidos, unos con mayores o menores consecuencias, pero todos ellos derivados de una imprudencia: Stuxnet, el primer gusano conocido que espía y reprograma sistemas industriales (como centrales nucleares), se propagó mediante dispositivos USBs externos.
Al igual que en la prevención de riesgos laborales donde es fundamental que los trabajadores tomen parte activa y comprendan la importancia de su seguridad física, en el caso de las ciberamenazas la concienciación y la información son vitales. El hecho de que la amenaza no sea palpable hace que a veces no se considere dentro de los asuntos vitales de una compañía, pero las consecuencias pueden ser desastrosas tanto para la empresa como para el conjunto de los empleados. En lo referente a la seguridad de dispositivos e información el trabajo conjunto y sin fisuras es fundamental para que la protección sea lo más sólida posible.
Por eso recomendamos no solo poner medidas de Seguridad TI en la empresa sino también definir un plan de formación y concienciación sobre seguridad a todos los empleados para así reducir los incidentes de Seguridad TI.