Cultura organizacional y su impacto en la ciberseguridad empresarial
Errores humanos en la ciberseguridad
En el 2022 el World Economic Forum afirmó que el 95% de los incidentes de ciberseguridad son causados por errores humanos. Este dato subraya la importancia de la cultura organizacional y su influencia directa en la ciberseguridad de una empresa.
Además, el artículo "Amenazas y principales ciberataques en 2021" destaca que los ataques más reseñables del año pasado fueron el ransomware y el phishing. Ambos dependen en gran medida del factor humano para funcionar y este factor humano por lo general requiere de lo que se conoce como “Ingeniería social”.
¿En qué consiste la ingeniería social para el hackeo?
La ingeniería social en un hackeo implica manipular a las personas para que divulguen información o realicen acciones que comprometan la seguridad. Los atacantes por lo general suelen hacerse pasar por alguien dentro de la empresa usando correos con dominios parecidos o simulando llamadas telefónicas por algún miembro de la organización, entre otras.
Esta manipulación no siempre es directa, es decir mediante alguna llamada por teléfono, chat o una platica presencial, aunque sí las hay. Por lo general son mediante procesos, a veces automatizados, que inician abriendo un correo que se hace pasar por una persona o empresa en particular.
En el peor de los casos recurren al soborno o a la extorsión para que una persona clave les facilite la información con acciones u omisiones.
El phishing es uno de los tipos de ataques más frecuentes a la seguridad informática de las empresas y depende en gran medida de ingeniería social.
¿Qué es el phishing?
El phishing es una técnica de ingeniería social que los ciberdelincuentes utilizan para engañar a las personas y obtener información confidencial, como nombres de usuario, contraseñas y datos de tarjetas de crédito.
Los atacantes suelen hacerse pasar por entidades confiables, como bancos o servicios en línea, y envían correos electrónicos fraudulentos que incitan a las víctimas a hacer clic en enlaces maliciosos o proporcionar sus datos personales.
Un ejemplo de esto son los correos que usan un dominio (lo que va después del @) muy parecido al de su propia empresa o alguna empresa de servicios conocida, por lo general avisándoles que alguna cuenta ha sido bloqueada y para desbloquearla es necesario entrar a la página y confirmar su identidad.
Para esto adjuntan un enlace que dirige a una página web muy bien elaborada que simula ser una página oficial de algún servicio de Microsoft, Google o de alguna institución bancaria. En esta página, con el fin de confirmar su identidad, les pide volver a ingresar su correo y contraseña. La trampa es que al ingresarlo la información se envía a los hackers y ellos luego pueden acceder por su cuenta.
Ejemplos como este hay muchos, pero dependen más de engañar al usuario que de la habilidad informática del hacker. Al final las principales vulnerabilidades en un sistema informático son humanas y hablaremos de algunas.
Vulnerabilidades por factor humano en la ciberseguridad de una empresa
-
Contraseñas débiles
Es común que las personas, al tratarse de cuentas o equipos no personales, no se preocupen tanto por la seguridad y coloquen contraseñas fáciles de recordar, pero vulnerables; fechas de nacimientos, números consecutivos con algún punto para cumplir con lo requerido por el sistema tienden a ser contraseñas comunes.
-
Falta de sistemas de autentificación
Además de lo anterior, si solo se depende de la contraseña es un elemento insuficiente, aun así, muchos optan por no utilizar este tipo de esquemas de verificación de dos pasos con la finalidad de priorizar la facilidad de acceso sobre la seguridad.
-
Ajustes de privacidad inadecuados:
Es común también que las personas acepten políticas o concedan permisos sin detenerse a leerlos o si quiera conocer lo que están aceptando. Por lo genera permisos que provienen de webs sospechosas o software malintencionado; esto es una de las principales formas de vulnerar sistemas como Android que dependen más de la ignorancia de los usuarios para tener efectos.
Mal uso de software o hardware
-
Instalar software no autorizado
Es frecuente que las personas instalen softwares no autorizados y poco seguros en los equipos conectados a la red de la empresa, con la finalidad de acceder a algún medio de entretenimiento como juegos o consumo audiovisual. O algunos inclusive instalan programas sin licencia que representan un gran riesgo para la seguridad.
-
Usar hardware no autorizado
Lo mismo aplica para hardware, es decir equipos externos y no autorizados que representan un riesgo; la instalación de repetidores de señal wifi para tener mayor cobertura por parte de algún colaborador es común, o inclusive equipos de computo ya vulnerados que se conectan sin las debidas previsiones a la red.
Manejo incorrecto de la información sensible
-
Enviar correos electrónicos sin verificar la autenticidad del destinatario
En ocasiones los colaboradores contestan correos sin ver todos los destinatarios que estaban incluidos originalmente con información comprometedora, o los envían a correos que suplantan alguna identidad haciendo uso de phishing.
-
Dejar información sensible de fácil acceso
Esto es más común de lo que uno se puede imaginar; cuando los colaboradores dejan las computadoras abiertas o sin bloquear cuentas o accesos. También se presenta cuando usan dispositivos externos como memorias USB o Discos duros externos para guardar información sensible teniendo en cuenta que estos dispositivos no están encriptados ni resguardados de la forma debida.
A veces se “pierden” y terminan en manos incorrectas; Otro ejemplo es anotar contraseñas en lugares visibles o de fácil acceso.
Recomendaciones
Ahora, una vez visto las principales vulnerabilidades de factor humano es importante establecer algunas recomendaciones para poder mitigarlas.
Política de ciberseguridad: Primero es importante contar con una política de ciberseguridad dirigida a todos los colaboradores, que establezca un margen de actuación y lineamientos para poder prevenir y en su caso actuar ante vulneraciones al sistema informático.
Capacitación constante: Aquí la capacitación tiene un papel fundamental y no necesariamente debe centrarse en tomar un curso de informática o algo complicado.
La capacitación consiste en simulaciones para poder evaluar que tan conscientes son los colaboradores de los riesgos a los que se exponen en temas de ciberseguridad, después, con los resultados, se pueden generar campañas, platicas y hasta material audiovisual para que las personas puedan aprender a evitar este tipo de riesgos.
Cultura de la ciberseguridad y manejo de la información: Construir una cultura organizacional en la que las personas sean conscientes de los riesgos a los que están expuestos tanto la empresa como ellos es fundamental, tener cuidado en como se manejar la información y sobre todo que puedan apropiarse de ella para generar mayor sentido de precaución es importante.
Respaldo informático: Un buen equipo de informática interno o externo ayuda a configurar de manera correcta accesos y mecanismos de control a fin de evitar que las personas usen software o hardware no autorizados.
Hoy en día plataformas como Microsoft o Google ofrecen mecanismos automáticos para que las personas actualicen sus accesos constantemente con requisitos mínimos para garantizar la seguridad. Asesorarse en este sentido ayuda.
Las empresas que se dedican a la ciberseguridad dedican más esfuerzo a la capacitación y a los simulacros para poder medir y detectar la cultura organizacional en temas de ciberseguridad y poder mejorar para mitigar este riesgo.
Para finalizar
Los ataques complejos en dónde un grupo de informáticos mediante fuerza bruta rompen la ciberseguridad de alguna empresa mediante códigos, puertas traseras en los software o sistemas operativos son costosos y por lo general se conectan en empresas grandes o estratégicas.
Para la mayoría de las empresas, la ingeniería social y el phishing es más que suficiente. En conclusión, la cultura organizacional juega un papel crucial en la ciberseguridad.
Es esencial que las empresas capaciten a sus empleados para manejar adecuadamente la información y los recursos tecnológicos, minimizando así los riesgos de seguridad. Solo a través de una cultura de ciberseguridad robusta se pueden prevenir los errores humanos que tanto afectan a la integridad de los sistemas informáticos.