Socio-director S2 GRUPO

Indudablemente, la noticia con más impacto en los medios de comunicación en los últimos días ha sido el desgraciado accidente del vuelo de GermanWings sobre los Alpes. Sin hacer un análisis cronológico de las diferentes teorías para explicar la causa del accidente, lo que queda fuera del objeto de este artículo, sí podemos decir que, inmediatamente después de la tragedia se pensó que el incidente podía ser consecuencia de un ataque terrorista.

Descartada esta causa, y dado que las condiciones meteorológicas eran buenas, no quedaba más que considerar la existencia de un fallo técnico. Sin embargo, el hecho de que no se hubiera producido una comunicación desde la cabina en ese sentido y ni siquiera una petición de ayuda, restaba credibilidad a esta hipótesis. El hallazgo de una de las cajas negras del avión nos dio una respuesta no por lógica menos sorprendente: el avión habría sido estrellado intencionadamente por el copiloto.

Sin entrar a considerar sus motivaciones, que quizás nunca conozcamos completamente, el copiloto es lo que, en el ámbito de la seguridad, se conoce como un insider, es decir, una persona que forma parte de la organización y que goza, en principio, de su confianza.

Un insider es más peligroso que un atacante externo, ya que tiene un acceso más fácil a los recursos de la organización y no se le asume un comportamiento criminal o perjudicial por su parte. Es un hecho que un porcentaje muy alto de los incidentes de seguridad de una organización está causado por un insider. Con frecuencia se trata, además, de los incidentes más graves.

Cuando el ataque llega de dentro
¿Como pueden defenderse las organizaciones de los ataques realizados por insiders? La primera regla de oro consiste en autorizar el acceso solo a aquellos recursos que cada persona requiere para desarrollar su trabajo: Evita la ocasión y evitarás el peligro. En caso de que el insider tenga una intención delictiva, no queda otra que proceder en su contra como se haría con cualquier otro delincuente. Es una cuestión de confianza y de defensa jurídica.

Con mayor frecuencia, sin embargo, el insider carece de mala intención: el perjuicio que causa a la organización nace, fundamentalmente, de su ignorancia. Como no es consciente de los riesgos a los que se expone, no toma las precauciones adecuadas y contribuye a facilitar la intrusión del malware en su organización.

Algunos riesgos
La mayor parte de los vectores de intrusión se apoyan en el comportamiento de riesgo de alguno de sus miembros. Algunos ejemplos ilustrativos: descargar un archivo anexo de un correo electrónico no deseado o falso, acceder a una red wifi insegura, utilizar una memoria USB no controlada que puede contener malware o acceder a un sitio web inseguro. En casi todos estos casos, una persona consciente de los riesgos que siga una pauta de comportamiento razonablemente segura, puede conjurar el peligro y evitar un incidente de seguridad que puede tener consecuencias graves en la cuenta de resultados e imagen de su organización.

Frente a estas amenazas, la respuesta tradicional ha sido la limitación radical de los medios de extracción, envío, copia y borrado de información por parte de los empleados: bloqueo del acceso a webmails, control y restricción de la impresión de documentos, etiquetado y seguimiento lógico de todo tipo de información, control de los envíos por e-mail a terceros o restricciones en el uso de puertos USB. Sin embargo, la experiencia demuestra que esta estrategia es poco efectiva por diversas razones: se introducen dificultades en el desempeño de las tareas funcionales, lo que lleva a la relajación de las normas; se requieren frecuentes autorizaciones, lo que ralentiza los procesos de negocio; y técnica o legalmente, la vigilancia de algunas acciones del usuario es complicada.

Un enfoque más innovador y, desde luego, mucho más efectivo, consiste en incrementar el nivel de concienciación en ciberseguridad de los miembros de la organización. Como se apuntaba arriba, un usuario consciente de los riesgos deja de ser un problema para convertirse en parte de la solución.

De la misma manera que no se entiende que una organización sea innovadora o tenga una cultura de calidad sin la involucración de todos sus miembros, es necesario introducir en la cultura de empresa la conciencia de la ciberseguridad, lo que constituye uno de los medios más eficaces para disminuir el riesgo de incidentes de seguridad, actuando sobre el que muchas veces es el eslabón más débil de la cadena: las personas.