La información es tan segura como el eslabón más débil de su organización, y en muchos casos ese eslabón son sus empleados. Una conciencia de seguridad bien establecida y un programa de capacitación pueden derivarse en enormes dividendos.
Sin importar su dominio de la seguridad y los recursos que aplique para proteger sus activos, es poco probable que logre mucho a menos que se enfoque en el elemento más vulnerable de su organización: los empleados.
“Las computadoras se han vuelto mucho más seguras en los últimos 15 años, pero los humanos no”, señala Lance Spitzner, director de capacitación del programa Asegurando al Humano de SANS Institute, una organización de investigación y educación enfocada en la certificación de seguridad. “Realmente, el humano se ha vuelto el eslabón más débil”.
Cuando se trata de la seguridad, los humanos son los más inseguros
Ya que la tecnología por sí misma ya no es necesariamente la manzana que está más a la mano, los hackers están encontrando formas más sencillas de penetrar a las organizaciones, como la ingeniería social o haciendo presa a los empleados que tienen una pobre disciplina para designar contraseñas. Los empleados simplemente no saben cómo escribir contraseñas robustas, cómo cumplir con las políticas de protección de datos o compartir información de forma segura.
“Definimos a la ingeniería social como entender lo que hace que una persona piense, conciba y reaccione y después usar esas respuestas emocionales para manipular a una persona para que haga lo que usted quiera”, asegura Chris Hadnagy, cofundador de Social-Engineering.org.
Durante la Conferencia DEF CON 18 Hacking de 2010, Social-Engineer.org realizó su primera competencia de ingeniería social para demostrar cómo los ingenieros sociales penetran las defensas de las compañías.
Dos semanas antes de la conferencia, a los concursantes, ingenieros sociales amateurs con poca o ninguna experiencia, se les dio el nombre de una compañía real. Se les permitió pasar las dos semanas anteriores a la competencia usando técnicas “no invasivas” (como búsquedas de Google) para reunir un dossier sobre la compañía a la cual habían sido asignados. No se les permitió enviar correos electrónicos, llamar o contactar a las compañías, pero sí podían echar mano de todo lo que estuviera disponible gratuitamente en Internet. Los dossiers se utilizaron para crear un perfil de la compañía y planear un “vector de ataque”, una estrategia para lograr que los empleados de la compañía objetivo revelaran “banderas”, o piezas de información.
Social-Engineer.org recopiló banderas como quién maneja los respaldos de cinta de la firma, qué navegador y que versión usaba el empleado, el cliente PDF que el empleado utilizaba o si la compañía tenía una cafetería y quién la operaba. El FBI investigó la lista de banderas y las reglas de la competencia que le prohibían específicamente a los competidores tratar de obtener las contraseñas, las direcciones IP y otro tipo de información delicada.
“Si usted puede hacer que alguien le dé esa información, los más probable es que pueda lograr que alguien le dé mucho más que eso”, afirma Hadnagy.
Frente a la audiencia durante la conferencia, cada concursante tuvo la oportunidad de usar los teléfonos durante 25 minutos para llamar a la organización a la que había sido asignado y tomar tantas banderas como fuera posible.
En conjunto, los concursantes hicieron 150 llamadas telefónicas a empleados reales de compañías reales. Sólo cinco empleados a quien se llamó se negaron a proporcionar a los concursantes la información que estaban buscando. Y en cada caso, los concursantes que contactaron a esos empleados pudieron colgar y llamar a otro empleado de la misma compañía quien proporcionó la información.
Los ingenieros sociales no sólo se aprovechan de la gente por teléfono. Los ataques de phishing que utilizan correos electrónicos de empresas aparentemente legítimas son un buen ejemplo de la ingeniería social.
Las contraseñas débiles son la norma
Cuando se trata de contraseñas, el panorama es sombrío. En junio, Josepth Bonneau de la Universidad de Cambridge dio a conocer los resultados de un estudio que analizó 70 millones de contraseñas de los usuarios de Yahoo en un esfuerzo por estimar la dificultad de adivinar contraseñas. Bonneau concluyó que los humanos tienden a elegir contraseñas débiles.
“Descubrimos con sorpresa poca variación para adivinar la dificultad; cada grupo identificable de usuarios generó una distribución de contraseñas débiles similares”, reporta Bonneau. “Las motivaciones de seguridad como el registro de una tarjeta de pago no tienen un mayor impacto que los factores demográficos como la edad y la nacionalidad. Incluso los esfuerzos proactivos de hacer que los usuarios utilicen mejores contraseñas con retroalimentación gráfica hacen poca diferencia. Más sorprendente, incluso comunidades distantes con idiomas distintos eligen las mismas contraseñas débiles y un atacante nunca tiene que esforzarse mucho al cambiar de un idioma a otro”.
Conciencia y capacitación
“La solución es la capacitación y la educación, y hacer la tarea”, apunta Spitzner. Señala que una organización que trabajó con SANS Institute logró reducir su número de computadoras infectadas considerablemente de modo que hizo que un empleado que se hacía cargo de las máquinas infectadas cambiara a trabajar en algo más.
Pero decidirlo no es fácil. La mayoría de los programas de conciencia de seguridad dentro de las empresas logran poco, afirma. Pero la razón es que no están diseñados para ser efectivos.
Comience con un Comité de Vigilancia
Para empezar, sugiere, se debe primero establecer un comité de vigilancia de capacitación en seguridad. El comité debe estar integrado por cinco a diez voluntarios de diferentes departamentos y roles que puedan ayudar a planear, ejecutar y mantener el programa. Se recomienda incluir a gente de auditoría y del área legal. Spitzner dice que los miembros del comité deben no sólo ser guías, sino embajadores del programa que ayuden a involucrar a los miembros de la organización.
Responda a “Quién”, “Qué” y “Cómo”
Una vez establecido, el comité de vigilancia necesita crear un plan que responda a tres preguntas: quién, qué y cómo. “Quién” es primero. Uno de los errores más comunes que cometen las compañías es tratar de crear un programa de concientización y capacitación de seguridad monolítico.
“Muchos programas son simplemente adecuado”, anota. “Un plan adecuado identifica a quién se está usted dirigiendo y el alcance”.
En muchos casos, diferentes objetivos – empleados generales/contratistas, personal de TI, escritorio de ayuda, alta administración – requerirán diferentes programas de capacitación.
“Usted necesita enseñar a todos los miembros de su organización que tenga contacto con cualquier tipo de datos”, advierte Spitzner.
Una vez que se ha identificado a los objetivos, el comité debe determinar lo que cada objetivo necesita aprender. Se recomienda que en lugar de tratar de enseñar un poco de todo, el programa de capacitación se enfoque en algunos temas que tengan un impacto grande. Las necesidades y riesgos de cada organización serán diferentes, así que sería útil una evaluación de riesgos de cada tema. Los temas comunes incluyen: contraseñas, ingeniería social, cumplimiento, correo electrónico y mensajería instantánea, protección de datos y destrucción de datos.
Entonces el comité de vigilancia necesita determinar cómo involucrará a los empleados. “¿Cómo va a comunicar esto? Tiene que pensar en la conciencia como un producto”, dice Spitzner. “Tiene que pensar en comprometerlos. No se enfoque en los beneficios para la organización. Concéntrese en los beneficios para los empleados. En la mayoría de los casos, esta educación beneficia a los empleados en su vida personal y en la organización. Si uno se enfoca en los beneficios que la gente obtiene en su vida personal, logrará que se comprometan mucho más, lo cual es un gran beneficio”.
Adopte un enfoque modular
Spitzner también recomienda evitar una capacitación monolítica y que dure horas. En lugar de eso, adopte un enfoque modular sobre los temas. Los módulos pueden ser de tres a cinco minutos. La capacitación principal debe consistir de una combinación de videos cortos y capacitación presencial, con boletines e incluso valoraciones para reforzarla. Publicaciones en Facebook, Twitter, pósters y folletos también pueden jugar un papel importante. Es importante que los empleados reciban la capacitación una vez al año y después reforzar a lo largo del año. Finalmente, el programa requiere métricas que midan el compromiso del empleado con el programa y cómo su comportamiento cambia como consecuencia. El programa debe ser reevaluado y actualizado por lo menos una vez al año de acuerdo con las métricas.
