La información es tan segura como el eslabón más débil de su organización, y en muchos casos ese eslabón son sus empleados. Una conciencia de seguridad bien establecida y un programa de capacitación pueden derivarse en enormes dividendos.
Sin importar su dominio de la seguridad y los recursos que aplique para proteger sus activos, es poco probable que logre mucho a menos que se enfoque en el elemento más vulnerable de su organización: los empleados.
“Las computadoras se han vuelto mucho más seguras en los últimos 15 años, pero los humanos noâ€, señala Lance Spitzner, director de capacitación del programa Asegurando al Humano de SANS Institute, una organización de investigación y educación enfocada en la certificación de seguridad. “Realmente, el humano se ha vuelto el eslabón más débilâ€.
Cuando se trata de la seguridad, los humanos son los más inseguros
Ya que la tecnologÃa por sà misma ya no es necesariamente la manzana que está más a la mano, los hackers están encontrando formas más sencillas de penetrar a las organizaciones, como la ingenierÃa social o haciendo presa a los empleados que tienen una pobre disciplina para designar contraseñas. Los empleados simplemente no saben cómo escribir contraseñas robustas, cómo cumplir con las polÃticas de protección de datos o compartir información de forma segura.
“Definimos a la ingenierÃa social como entender lo que hace que una persona piense, conciba y reaccione y después usar esas respuestas emocionales para manipular a una persona para que haga lo que usted quieraâ€, asegura Chris Hadnagy, cofundador de Social-Engineering.org.
Durante la Conferencia DEF CON 18 Hacking de 2010, Social-Engineer.org realizó su primera competencia de ingenierÃa social para demostrar cómo los ingenieros sociales penetran las defensas de las compañÃas.
Dos semanas antes de la conferencia, a los concursantes, ingenieros sociales amateurs con poca o ninguna experiencia, se les dio el nombre de una compañÃa real. Se les permitió pasar las dos semanas anteriores a la competencia usando técnicas “no invasivas†(como búsquedas de Google) para reunir un dossier sobre la compañÃa a la cual habÃan sido asignados. No se les permitió enviar correos electrónicos, llamar o contactar a las compañÃas, pero sà podÃan echar mano de todo lo que estuviera disponible gratuitamente en Internet. Los dossiers se utilizaron para crear un perfil de la compañÃa y planear un “vector de ataqueâ€, una estrategia para lograr que los empleados de la compañÃa objetivo revelaran “banderasâ€, o piezas de información.
Social-Engineer.org recopiló banderas como quién maneja los respaldos de cinta de la firma, qué navegador y que versión usaba el empleado, el cliente PDF que el empleado utilizaba o si la compañÃa tenÃa una cafeterÃa y quién la operaba. El FBI investigó la lista de banderas y las reglas de la competencia que le prohibÃan especÃficamente a los competidores tratar de obtener las contraseñas, las direcciones IP y otro tipo de información delicada.
“Si usted puede hacer que alguien le dé esa información, los más probable es que pueda lograr que alguien le dé mucho más que esoâ€, afirma Hadnagy.
Frente a la audiencia durante la conferencia, cada concursante tuvo la oportunidad de usar los teléfonos durante 25 minutos para llamar a la organización a la que habÃa sido asignado y tomar tantas banderas como fuera posible.
En conjunto, los concursantes hicieron 150 llamadas telefónicas a empleados reales de compañÃas reales. Sólo cinco empleados a quien se llamó se negaron a proporcionar a los concursantes la información que estaban buscando. Y en cada caso, los concursantes que contactaron a esos empleados pudieron colgar y llamar a otro empleado de la misma compañÃa quien proporcionó la información.
Los ingenieros sociales no sólo se aprovechan de la gente por teléfono. Los ataques de phishing que utilizan correos electrónicos de empresas aparentemente legÃtimas son un buen ejemplo de la ingenierÃa social.
Las contraseñas débiles son la norma
Cuando se trata de contraseñas, el panorama es sombrÃo. En junio, Josepth Bonneau de la Universidad de Cambridge dio a conocer los resultados de un estudio que analizó 70 millones de contraseñas de los usuarios de Yahoo en un esfuerzo por estimar la dificultad de adivinar contraseñas. Bonneau concluyó que los humanos tienden a elegir contraseñas débiles.
“Descubrimos con sorpresa poca variación para adivinar la dificultad; cada grupo identificable de usuarios generó una distribución de contraseñas débiles similaresâ€, reporta Bonneau. “Las motivaciones de seguridad como el registro de una tarjeta de pago no tienen un mayor impacto que los factores demográficos como la edad y la nacionalidad. Incluso los esfuerzos proactivos de hacer que los usuarios utilicen mejores contraseñas con retroalimentación gráfica hacen poca diferencia. Más sorprendente, incluso comunidades distantes con idiomas distintos eligen las mismas contraseñas débiles y un atacante nunca tiene que esforzarse mucho al cambiar de un idioma a otroâ€.
Conciencia y capacitación
“La solución es la capacitación y la educación, y hacer la tareaâ€, apunta Spitzner. Señala que una organización que trabajó con SANS Institute logró reducir su número de computadoras infectadas considerablemente de modo que hizo que un empleado que se hacÃa cargo de las máquinas infectadas cambiara a trabajar en algo más.
Pero decidirlo no es fácil. La mayorÃa de los programas de conciencia de seguridad dentro de las empresas logran poco, afirma. Pero la razón es que no están diseñados para ser efectivos.
Â
Comience con un Comité de Vigilancia
Para empezar, sugiere, se debe primero establecer un comité de vigilancia de capacitación en seguridad. El comité debe estar integrado por cinco a diez voluntarios de diferentes departamentos y roles que puedan ayudar a planear, ejecutar y mantener el programa. Se recomienda incluir a gente de auditorÃa y del área legal. Spitzner dice que los miembros del comité deben no sólo ser guÃas, sino embajadores del programa que ayuden a involucrar a los miembros de la organización.
Â
Responda a “Quiénâ€, “Qué†y “Cómoâ€
Una vez establecido, el comité de vigilancia necesita crear un plan que responda a tres preguntas: quién, qué y cómo. “Quién†es primero. Uno de los errores más comunes que cometen las compañÃas es tratar de crear un programa de concientización y capacitación de seguridad monolÃtico.
“Muchos programas son simplemente adecuadoâ€, anota. “Un plan adecuado identifica a quién se está usted dirigiendo y el alcanceâ€.
En muchos casos, diferentes objetivos – empleados generales/contratistas, personal de TI, escritorio de ayuda, alta administración – requerirán diferentes programas de capacitación.
“Usted necesita enseñar a todos los miembros de su organización que tenga contacto con cualquier tipo de datosâ€, advierte Spitzner.
Una vez que se ha identificado a los objetivos, el comité debe determinar lo que cada objetivo necesita aprender. Se recomienda que en lugar de tratar de enseñar un poco de todo, el programa de capacitación se enfoque en algunos temas que tengan un impacto grande. Las necesidades y riesgos de cada organización serán diferentes, asà que serÃa útil una evaluación de riesgos de cada tema. Los temas comunes incluyen: contraseñas, ingenierÃa social, cumplimiento, correo electrónico y mensajerÃa instantánea, protección de datos y destrucción de datos.
Entonces el comité de vigilancia necesita determinar cómo involucrará a los empleados. “¿Cómo va a comunicar esto? Tiene que pensar en la conciencia como un productoâ€, dice Spitzner. “Tiene que pensar en comprometerlos. No se enfoque en los beneficios para la organización. Concéntrese en los beneficios para los empleados. En la mayorÃa de los casos, esta educación beneficia a los empleados en su vida personal y en la organización. Si uno se enfoca en los beneficios que la gente obtiene en su vida personal, logrará que se comprometan mucho más, lo cual es un gran beneficioâ€.
Adopte un enfoque modular
Spitzner también recomienda evitar una capacitación monolÃtica y que dure horas. En lugar de eso, adopte un enfoque modular sobre los temas. Los módulos pueden ser de tres a cinco minutos. La capacitación principal debe consistir de una combinación de videos cortos y capacitación presencial, con boletines e incluso valoraciones para reforzarla. Publicaciones en Facebook, Twitter, pósters y folletos también pueden jugar un papel importante. Es importante que los empleados reciban la capacitación una vez al año y después reforzar a lo largo del año. Finalmente, el programa requiere métricas que midan el compromiso del empleado con el programa y cómo su comportamiento cambia como consecuencia. El programa debe ser reevaluado y actualizado por lo menos una vez al año de acuerdo con las métricas.
