¿Porque invertir en prevención contra Ingeniería Social?
Durante las primeras visitas a una empresa, es común (casi regla) escucharlos decir: "Nosotros ya contamos con antivirus, firewall, VPN y otros. Ya estamos protegidos". Es un hecho que dichas medidas son imprescindibles, pero lo cierto es que no son suficientes mientras no se reduzca el factor de riesgo humano. El asunto es, que en muchas ocasiones fallamos en ver los beneficios que las contra medidas de ingeniería social traen a la operación de la empresa, más allá del área de la tecnología.
No voy a entrar en detalles de que es la ingeniería social y como funciona este vector de ataque, pues lo pueden encontrar en este artículo sobre "Que es la ingeniería social y porque debería importarme" que escribí hace tiempo. En lugar de eso, quiero hablar sobre las ventajas adicionales de entrenar a su personal en contra medidas, y establecer planes de acción para prevención y recuperación. Ya sea que trabajes en TI o administración, conocer estos beneficios te abrirá la mente a muchas áreas de oportunidad que puedes haber pasado por alto.
FUGA, TRÁFICO O ROBO INTERNO DE DATOS
EL ESCENARIO
Me tocó el caso de una empresa en la que sospechaban del intercambio de información entre uno de sus vendedores y uno de la competencia. Ante esta situación, me pidieron instalar un keylogger en su laptop para recopilar evidencias porque, después de todo, es equipo de la empresa. Les explique que, aunque efectivamente es propiedad de la empresa, carecían de algún documento firmado donde previamente le hubieran aclarado que podía ser sujeto al monitoreo de su actividad en el equipo. Haber instalado un keylogger sin un acuerdo de conformidad por parte del personal, representa un abuso de confianza pues hablamos de equipos que se llevan con ellos a su casa, los usan para navegar en cuentas de correo y redes sociales personales. Esto abriría la posibilidad a consecuencias como una demanda por acoso laboral.
En el caso de los vendedores, hay ocasiones en las que después de invertir mucho tiempo prospectando y estableciendo relaciones con los clientes durante semanas, meses, o incluso años, vean como suya a la cartera que generan. Entonces, cuando la organización los deja ir, o ellos deciden perseguir sus metas en otra empresa, existe la posibilidad de que hagan una copia de todos los datos confidenciales de sus clientes pues, bajo su lógica, han sido suyos desde el inicio así que les parece correcto disponer de ellos como mejor les parece.
EL BENEFICIO
Establecer políticas de prevención contra ingeniería social implica medidas más estrictas en cuanto al uso de los datos que el personal genera y a los que tienen acceso. Es hacerlos conscientes de que todos los datos que generan (como cartera de clientes, documentos, manuales, códigos, diseños, entre otros) son propiedad de la empresa, pues los están registrando en el sistema como parte de su trabajo, no para beneficio personal.
USO DE LAS HERRAMIENTAS DE TRABAJO
EL ESCENARIO
Ya que tocamos el tema del uso personal que le dan a las herramientas de trabajo, cuando los empleados no son conscientes de hasta donde se extiende su responsabilidad en procurar mantenerlos en buen estado es otra situación común. Para el personal de TI, restringir la navegación a redes sociales obedece a razones de seguridad. Para el resto del personal, por otro lado, representa una restricción meramente por cuestiones de productividad. En algunos casos, esto es cierto, pues no es raro que administración vea las redes sociales y sitios multimedia (YouTube, Vimeo, etc.) como una distracción que afecta el desempeño.
Hace años tuve una experiencia en la que durante una ventana de mantenimiento a los equipos de una empresa donde laboré, uno de los usuarios foráneos, a los que se los realizaba remotamente, argumentaba no poder dejarla disponible en horas de oficina porque no podía interrumpir sus actividades. Acorde con el de hacerlo durante la noche a una hora y día específicos, fuera del horario de oficina, poniéndolo por escrito en un correo y con confirmación suya. Llegado el momento, me conecte al equipo y me encontré con una serié de ventanas abiertas en sitios de contenido adulto. El usuario cerro el escritorio remoto en cuanto me notó conectado, e incluso puso una queja pues estaba muy molesto por la "invasión a su privacidad".Obviamente quien llevo las consecuencias fue el usuario, por hacer uso indebido de su equipo de trabajo.
Mi punto con esta anécdota es que, en algunos casos, los usuarios no son conscientes de las limitantes en el uso de los equipos de cómputo o electrónicos que se les asigna. En otros casos, están plenamente conscientes del uso que le deben dar, pero simplemente no le dan importancia, así que les resulta inconsecuente el navegar en sitios inseguros o inapropiados durante horas laborales, en la privacidad de su hogar, o un lugar de esparcimiento público como cafés.
EL BENEFICIO
Pongamos como ejemplo las leyes de tránsito: Conocemos los límites de velocidad y el uso obligatorio del cinturón, pero a veces preferimos no respetarlas. No es hasta que sufrimos un accidente cuando las valoramos y respetamos por iniciativa propia.
¿Qué pasa cuando el personal ha sido entrenado contra ingeniería social? Se elimina la necesidad de estar monitoreándolos todo el tiempo, de llamarles la atención o pedirles cada 5min que dejen los celulares y redes sociales a un lado. Ahora saben lo que está en riesgo, lo que pueden perder y como esa información puede ser usada contra la empresa o a un nivel personal. Las consecuencias dejan de ser solo laborales, y se vuelven personales pues tienen una conciencia de la información privada que está expuesta y puede dañar a sus familias.
JUSTIFICACIÓN DEL PRESUPUESTO DE TI
EL ESCENARIO
Si eres profesional de TI, y entre tus responsabilidades se encuentra el cálculo y gasto del presupuesto del departamento, seguramente te ha tocado una situación así: La licencia del firewall está por caducar (o necesitan actualizarlo a un modelo más actual), o se requieren equipos de cómputo nuevos que soporten sistemas operativos más actuales, o comprar licencias (como office, software de diseño, edición gráfica, etc.) para eliminar piratería, entre otros casos. Pero al momento de solicitar aprobación para el gasto, a veces las justificaciones se agotan y aún no logras que te den luz verde, a pesar de que es algo necesario (a mí me pasó en más de una ocasión).
Nosotros como ingenieros, licenciados o técnicos de TI, a veces olvidamos que las personas a cargo de aprobar estos gastos tienen como responsabilidad administrar los números que mueven a la empresa, no el monitoreo de los sistemas y sus necesidades, porque es justo para lo que nos tienen a nosotros. Es nuestra responsabilidad hacerles entender lo que está en riesgo si estas inversiones en tecnología no se aplican, más allá de un "porque lo necesitamos". Quien ha estado en esta situación sabe que es más fácil decirlo que hacerlo pues, en muchos casos, TI habla un idioma distinto al resto de los departamentos.
EL BENEFICIO
Un entrenamiento contra ingeniería social bien diseñado y ejecutado, irá más allá de solo señalar que detalles debe uno cuidar por correo, teléfono, redes sociales o en persona. No será solo una presentación más con diapositivas, sino será práctico, mostrando la metodología de un atacante, sus objetivos y como lo logran, involucrando a los asistentes para darles una sensación intima de lo que está en riesgo. Mostrará casos de estudio, de empresas reales que sufrieron pérdidas, detallando donde estuvieron las vulnerabilidades que hicieron posible el ataque. Hará simulaciones que abran los ojos a los asistentes a la información disponible en la red de la que no estaban previamente conscientes.
Esto cambia drásticamente la perspectiva de los miembros de la empresa, y los pone más en sintonía con los objetivos de seguridad y la función del departamento de TI. La siguiente vez que requieran invertir en una licencia, un equipo o un servicio de tecnología, los responsables de la aprobación del gasto tendrán una mejor idea de la razón detrás de esto. Tal vez no les den un cheque en blanco, pero serán más comprensibles en cuanto a porque esto es importante y urgente.
CONCLUSIÓN
Hay más beneficios adicionales que he notado en las empresas durante y después del proceso de prevención contra ingeniería social, pero a fin de no hacer este artículo muy largo o tedioso, creo que estas tres que les presenté son las más sobresalientes. Al final de cuentas, toda acción y decisión (o la falta de ellas) tiene consecuencias, y es responsabilidad de la empresa definir si la mentalidad de "eso a nosotros no nos va a pasar" y "ya cuando nos toque veremos que hacemos" será la que guíe sus políticas de seguridad, o prefieren tomar medidas de prevención mediante la conversión del factor de riesgo humano a un firewall humano.