El eslabón más débil de la cadena de seguridad

El eslabón más débil de la cadena de la seguridad es el usuario. Nos guste o no en el ámbito de la seguridad informática en una empresa, esto es así. Obviamente con esto no quiero intentar convenceros de que todas las incidencias de seguridad que se producen en una empresa son culpa del usuario, pero lo que si es cierto es que el posible atacante es consciente de que por falta de formación en materia de seguridad, el usuario (por norma general) no suele estar muy sensibilizado con las posibles amenazas existentes o el riesgo que supone para los activos de la empresa un mal uso de sus herramientas de trabajo; ordenador, tablet, smartphone e Internet.

Supongamos que la mayoría de las empresas (esto por desgracia no es siempre así) disponen de profesionales especializados en seguridad informática, además sus recursos están protegidos con sistemas de protección y sus comunicaciones están correctamente cifradas. Desde el punto de vista del nivel de seguridad de los sistemas de la empresa, el nivel podría ser óptimo. Aquí es donde el atacante podría utilizar técnicas de ingeniería social.

Mediante estas técnicas el atacante, tomando como objetivo a uno o varios empleados de la empresa, podría obtener información sensible de los sistemas de información de la empresa. Podría suplantar la identidad de alguno de los informáticos para solicitarle la contraseña para realizar unas pruebas, suplantar la identidad de un operador de su ISP (Proveedor de Servicio de Internet) para que visite una supuesta Web de pruebas o enviar correos phishing dirigidos al departamento de contabilidad con la intención de obtener credenciales de acceso a la banca online de la organización.

El sistema cortafuegos, antivirus, sistema de cifrado y otros sistemas de defensa poco o nada puede hacer ante este tipo de ataques. Es cierto que existen herramientas de tipo DLP (prevención de fuga de información) o protección de navegación Web para detectar posibles suplantaciones de páginas Web pero o no suelen estar implementadas o si lo están no están correctamente configuradas.

Esto es responsabilidad de la empresa, formar en materia de seguridad informática al usuario. No me refiero a técnicas de hacking ético, sino a buenas prácticas a la hora de usar el correo y navegar por Internet. Sensibilizar al usuario de las amenazas existentes, que aprendan a detectarlas y cómo defenderse ante ellas.

Al igual que la empresa invierte en formación en materia de prevención de riesgos laborales, inglés comercial, contabilidad o para aprender a manejar el paquete Office. ¿Por qué no hacerlo en una formación que posibilite al usuario dejar de ser el eslabón más débil y ser un eslabón resistente en la cadena de seguridad en una empresa?

Esto se traduciría en dificultarle las tareas al posible atacante o imposibilitar directamente que lleve a cabo con éxito un ataque contra nuestra empresa, y evitarnos así un dolor de cabeza.

Hasta la próxima!