Loading...

El papel del usuario final en la seguridad de las empresas

Escrito por:

Orlando Hernández
Orlando Hernández
Ingeniero SR de seguridad de Ikusi Redes

El papel del usuario final en la seguridad de las empresas

Redes de Telecomunicaciones y TI

Hace un mes fuimos testigos del mayor ciberataque jamás antes visto en la época moderna: el Randsomware Wanna Crypt, que causó grandes estragos a nivel mundial. Pero en realidad, ¿dónde se originó todo? Para responderlo, imaginemos la siguiente historia:

Un viernes en la oficina, un empleado cualquiera observa distraído su correo mientras toma su primer café del día, de repente, un correo de un remitente que no reconoce llama su atención, pues le promete fotos “interesantes” y sin titubear, comienza a descargarlas.

De pronto, su fondo de escritorio cambia, sabe que algo anda mal. En su pantalla aparece un letrero enorme advirtiéndole que su información ha sido “secuestrada” y con una clara amenaza de que en caso de no pagar una cuota antes de que el reloj que se muestra termine su conteo, jamás podrá recuperarla.

Lamentablemente este no es un caso aislado. En el transcurso del desarrollo tecnológico de la última década, se ha observado que nuevas técnicas y amenazas que se presentan, en su mayoría, van dirigidas a los usuarios finales. Muchos usuarios han caído en estafas a través de correos phishing, spam e ingeniería social; siendo víctimas de algún tipo de fraude e incluso de robo de identidad.

Según estadísticas de la CONDUSEF, este tipo de actos ilícitos se han disparado un 45%, y en el sector bancario se presenta un incremento del 72%. También señalan que durante el tercer trimestre del 2015 y en el mismo periodo del 2016, el número de quejas por este tipo de ataques aumentó de 2.7 millones a 3.9 millones.

A la fecha, muchas empresas aún no aceptan que el gasto en seguridad es una necesidad básica, hasta que sufren un ataque o fuga de información. Existen casos que son un claro ejemplo, como el de Target Stores, que en 2013 fue víctima de robo de 40 millones de números de tarjetas de crédito.

Se sabe que este incidente tuvo éxito debido a que los atacantes pudieron instalar un malware en uno de los servidores del sistema de pago, con las credenciales de un contratista de Target. A pesar de que los sistemas de seguridad de la empresa dispararon alertas cuando estaban extrayendo la información, nadie del staff de seguridad tuvo la sensibilidad de revisar.

Esta omisión significó perdidas de ganancias y dentro de la bolsa de valores, la salida del CEO Gregg Steinhafel, la reorganización completa de su esquema de seguridad y una multa de 18.9 millones de dólares.

 

¿Qué papel juega el usuario final en todo esto?

Kevin Mitnick, uno de los mayores personajes dentro de la industria de seguridad comentaba que "las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: las personas que usan y administran los ordenadores".

En nuestra primera historia hablamos de un usuario normal, sin entrenamiento más allá del que requieren sus funciones diarias. En el segundo ejemplo, el tema se vuelve más interesante y nos muestra que, a pesar de ser un usuario entrenado tecnológicamente, se llega a caer en vicios capaces de desatar perdidas millonarias.

Alrededor de esto surgen un sinfín de cuestionamientos, pero la conclusión es una: el sentido de seguridad no estuvo presente en ninguno de los dos casos.

Pensemos en cuántas veces hemos dado nuestra información con la promesa de una recompensa, que van desde boletos gratis, fotos o videos “interesantes” de una celebridad; hasta la promesa de recibir una herencia de dudosa procedencia, como se vio hace ya unos años con la famosa “estafa nigeriana”. Ahora pensemos en cuántas veces lo hemos hecho con el contacto de nuestro trabajo.

Las empresas son el objetivo cada vez más frecuente de ataques cibernéticos que buscan ganancias millonarias. Es por ello que siempre será importante el cuidado de los usuarios, pues son la mayor vulnerabilidad de un sistema de seguridad, ya que son quienes manejan la información que genera ingresos, por lo que deben tener bien claro que las amenazas siempre estarán latentes y con la información adecuada, serán capaces de evitarlas, incluso en casa.

 

La importancia del usuario final en la seguridad empresarial

Es por eso que ahora te compartimos los tips básicos de seguridad para el usuario final:

Las empresas deben educar a cada uno de sus empleados mediante campañas de concientización, con cursos impartidos por el personal más capacitado y especializado en temas de seguridad.

Todo usuario debe tener sensibilidad y ser responsable de su información, tanto laboral, como personal. No podemos permitir que alguien ajeno pueda tener acceso a nuestra información sensible o a la de nuestras familias.

Generar conciencia de que hay personas que buscan obtener un beneficio de nuestra información y evitar en la medida de lo posible compartir datos personales, laborales, e incluso fotos en redes sociales como reconocimientos, documentos, lugar de trabajo, etc.

Hay que desconfiar de contactos desconocidos que intenten contactarnos por correo o redes sociales; incluso llamadas telefónicas dentro y fuera del ámbito laboral. Debemos hacer a un lado nuestra curiosidad y cuestionarnos el "por qué alguien intenta tener contacto con nosotros"

Saber cómo clasificar nuestra información, identificando cual es confidencial y cuál puede ser pública y sobre todo, tener mucha precaución de dónde y con quién la compartimos.

Texto extraído de: http://www.ikusiredes.com/es/blog/el-papel-del-usuario-final-en-la-seguridad-de-las-empresas