Por qué cualquier empleado puede ser el mayor riesgo de seguridad
Hoy en día, los ataques se centran en las personas, no en las infraestructuras.
Las organizaciones invierten más que nunca en ciberseguridad, pero el valor que obtienen de esa inversión es cada vez menor. Los ataques siguen superando sus barreras. Información sensible sigue cayendo en las manos equivocadas. Y las brechas de seguridad siguen saltando a los titulares.
Es hora de replantearse algo fundamental. Los modelos de seguridad tradicionales se diseñaron para una era primigenia, en la que el modelo de seguridad habitual se centraba en bloquear el perímetro y hacer frente a las amenazas después de que entrasen en la organización. Este enfoque apenas funcionaba entonces, y ahora es completamente inservible.
Esto se debe a que son las personas, y no la tecnología, el mayor objetivo de los atacantes, y el mayor riesgo para las organizaciones. Este cambio en el panorama de amenazas requiere una nueva mentalidad y una nueva estrategia, centrada en proteger a las personas en lugar del antiguo perímetro.
Protección empieza por ‘p’ de persona
Está claro que el modelo habitual de crear un perímetro de ciberseguridad no funciona, y no ha funcionado durante años. Más de dos tercios de los profesionales de seguridad de TI encuestados en un estudio reciente de Ponemon esperan que los ciberataques “disminuyan sensiblemente el valor de sus organizaciones para los accionistas”. Y más de la mitad cree que su postura de ciberseguridad se está estabilizando o incluso bajando.
La causa se encuentra en dos tendencias convergentes: el perímetro se está disolviendo y los atacantes están desviando su atención de la tecnología a las personas.
Hay una razón simple por la que no funcionan las defensas perimetrales: en la economía móvil y de cloud actual ya no hay un perímetro que defender. El trabajo se hace en dispositivos a los que las organizaciones no dan soporte, en infraestructura que no gestionan y en canales que no les pertenecen. Como afirma Gartner, el departamento de TI “simplemente no controla los límites de la información y la tecnología de las organizaciones en la forma en que solía hacerlo”.
Las personas son siempre los mejores ‘exploits’
A medida que las empresas migran a la nube, también lo hacen los atacantes. La infraestructura cloud puede ser muy segura, pero las personas que la utilizan suelen ser vulnerables.
Por ello, los ataques explotan actualmente la naturaleza humana en lugar de las vulnerabilidades técnicas. Más del 99% de los ciberataques son activados por personas. Estos ataques confían en que una persona abra el documento enviado, haga clic en un enlace inseguro, introduzca sus credenciales, o incluso ejecute directamente las órdenes del atacante (por ejemplo, transferir dinero o enviar archivos confidenciales).
El phishing de credenciales, que engaña a los usuarios para que introduzcan sus datos de acceso en un falso inicio de sesión, es uno de los ejemplos más peligrosos. En la era de la nube, esas credenciales son las claves de todo: correo electrónico, datos confidenciales, agenda y contactos de confianza.
En el tercer trimestre de 2018, por ejemplo, los intentos de phishing de credenciales corporativas se cuadruplicaron respecto al mismo trimestre del año anterior, según el Informe Trimestral de Amenazas de Proofpoint, y el fraude por correo electrónico aumentó un 77% durante el mismo período de tiempo.
Es hora de identificar a tus usuarios más atacados
Cada persona es diferente, y también lo es su valor para los atacantes y el riesgo para su empresa. Tienen hábitos digitales y puntos débiles perceptibles. Sufren ataques diversos y con diferente intensidad. Y tienen contactos profesionales y permisos de acceso únicos a los datos con los que trabajan, tanto en red como en la nube.
Juntos, estos factores constituyen el riesgo global de un usuario. Es lo que llamamos índice VAP: vulnerabilidad, ataques y permisos.
Vulnerabilidad: cómo trabajan las personas
La vulnerabilidad de los usuarios comienza con su comportamiento digital: cómo funcionan y en qué hacen clic. Algunos empleados pueden teletrabajar o acceder al correo electrónico de la empresa a través de sus dispositivos personales. Pueden utilizar servicios de almacenamiento de archivos en la nube e instalar complementos de terceros en sus aplicaciones cloud. O pueden ser especialmente receptivos a las tácticas de phishing por correo electrónico.
Evaluar la vulnerabilidad derivada de la forma de trabajar es, en la mayoría de los casos, algo sencillo; aunque con el enfoque de defensa tradicional no siempre es fácil, y en ocasiones ni siquiera es posible. El primer paso es saber qué herramientas, plataformas y aplicaciones utilizan.
La segunda parte a la hora de medir la vulnerabilidad es averiguar lo susceptibles que son los usuarios al phishing y otros ciberataques. A menos que dejemos entrar a los atacantes para ver quién abre un archivo infectado o quién transfiere dinero a un atacante (algo lejos de ser ideal por razones obvias), las simulaciones de phishing son la mejor manera de medir este aspecto de la vulnerabilidad.
Los simulacros de ataques, especialmente aquellos que imitan las técnicas del mundo real, pueden ayudar a identificar quién es susceptible de ser víctima y a través de qué tácticas. Aquellos que abren un correo de phishing simulado y sus archivos adjuntos podrían ser los más vulnerables. Los que lo ignoren estarían menos expuestos. Y los usuarios que informen sobre el correo electrónico al equipo de seguridad o al administrador del correo electrónico se considerarán los menos vulnerables.
No todos los ciberataques se crean de la misma forma
Aunque cada ataque es potencialmente dañino, algunos son más peligrosos, están más dirigidos o son más complejos que otros.
Las amenazas básicas, de distribución indiscriminada, pueden ser más numerosas que otros tipos de amenazas. Pero, generalmente, son menos preocupantes, porque son bien conocidas y fáciles de bloquear. Sin embargo, otras que aparezcan solo en un puñado de ataques pueden suponer un mayor peligro debido a su sofisticación o las personas a las que se dirigen.
Un buen conocimiento de las amenazas y su detección temprana son las claves para cuantificar este aspecto de riesgo para el usuario. Los factores que deben pesar más en la evaluación de cada usuario son la complejidad del ciberataque, el alcance y objetivo del ataque, el tipo de ataque y el volumen global del ataque.
También se deben sopesar estos factores según el departamento o los grupos a los que pertenece el usuario atacado. Por ejemplo, podría parecer que algunos usuarios no están en riesgo por el volumen o el tipo de correo electrónico malicioso que se le envía directamente. Pero, en realidad, podrían representar un mayor riesgo, porque trabajan en un departamento muy atacado y, por lo tanto, es más probable que sean un objetivo clave en el futuro.
Permisos
Las políticas de permisos miden todas las cosas potencialmente valiosas a las que tienen acceso las personas, tales como datos, autorizaciones financieras o relaciones clave. Evaluar este aspecto de riesgo es clave, ya que refleja el beneficio potencial para los atacantes, así como el daño potencial para las organizaciones comprometidas.
Un usuario con acceso a sistemas críticos o a propiedad intelectual de la compañía, por ejemplo, puede necesitar protección adicional, incluso aunque no sea especialmente vulnerable o aún no esté en el radar de los atacantes. La posición de esa persona en el organigrama es, naturalmente, un factor más en la medición de los permisos, pero no debería ser el único.
Para los atacantes, cualquier persona puede ser un objetivo valioso para su finalidad. Por eso los cargos ejecutivos y otros VIP pueden no ser los objetivos más importantes en una organización. De acuerdo con los datos de que disponemos, los colaboradores y los cargos medios representan más de dos tercios de las amenazas dirigidas.
Cómo mitigar los riesgos para el usuario final: un plan de protección centrado en las personas
Protegerse contra todos los factores que influyen en el nivel de riesgo de cada usuario requiere un enfoque múltiple.
Significa reducir la vulnerabilidad de los usuarios haciéndolos más conscientes del riesgo a través de una formación práctica y eficaz sobre ciberseguridad, que incluya las técnicas de ataque que se pueden encontrar en el mundo real. También significa detener todo tipo de amenazas, idealmente antes de que lleguen a la bandeja de entrada del usuario. Y eso implica monitorizar y administrar sus permisos de red para evitar el acceso no autorizado a información confidencial.
