Según un estudio realizado al día se descubren 46 vulnerabilidades en la brecha de seguridad, las que al año suman 16 mil. De acuerdo a Encuesta Global de Seguridad de la Información (GISS), un 77% de los encuestados considera que el descuido de un empleado es la fuente más probable de un ataque. Esto nos obliga a pensar que la cultura de ciberseguridad de una empresa parte por medio de procesos de capacitación continua a sus funcionarios respecto de la importancia de la seguridad de la información y las herramientas disponibles para su uso adecuado.
El costo de esta falla cultural amenaza con ser elevadísimo para una empresa: puede perder su información, la de sus clientes, de sus proveedores y de su personal. También pueden perder capacidad de producción al bloquearse la maquinaria industrial por un malvare o ransomware.
Cuando se trata de ciberseguridad, las empresas de todos los tamaños son blancos para los cibercriminales, y sus propietarios nunca deben asumir que nada es completamente seguro. Recientemente se realizó un ejercicio se pidió investigar y poner a prueba la ciberseguridad de un club de golf independiente en Reino Unido lo que resultado un experimento bastante enriquecedor.
El dueño del club aseguró que “costaría” hackearlos, ya que tenían a alguien “cuidando de su seguridad”.
Quien realizo el experimento cuenta con 14 años de experiencia en la unidad de ciberdelincuencia y forense digital en la policía, ahora se dedica a revisar y analizar las posibles ciber amenazas que enfrentan las empresas. El experto ha desarrollado la capacidad de ser capaz de entender a los criminales cibernéticos, a menudo le ayuda a revelar información sobre su mentalidad, lo que puede conducir a una mejor protección para las organizaciones.
De acuerdo a sus propios comentarios, “necesito agregar un pequeño descargo de responsabilidad. Antes de embarcarme en mi escapada en este hermoso campo en la impresionante campiña inglesa, el propietario del club me concedió pleno acceso y permiso para ir a donde quisiera y hacer lo que quisiera, ¡dentro de lo razonable, por supuesto!
LO MAS IMPORTANTE…
Es importante tomar en cuenta que en este tipo de ejercicios la investigación es vital. Aun cuando se esté familiarizado con el entorno de la una organización (cualquiera que sea su giro y que se conozca) es necesario aprender todo lo que pudiera sobre el personal que lo conforma y la propia operación del negocio.
El realizar lo siguiente nos permite poder acezar (si, aunque no se pueda creer) a cualquier sitio físico y por lo tanto hasta virtual de la empresa en la que se lleve a cabo.
Desde acezar al lugar sin un protocolo de identificación por el solo hecho de ser una cara conocida ya es iniciar mal en cualquier ejercicio que tenga que ver con seguridad aun cuando solo sea el acceso a las instalaciones de una compañía u organización.
Poder obtener datos como claves de Wi-Fi, acceso a las computadoras para descargar y cargar cualquier tipo de información es un descuido y/o falta de cultura de seguridad que puede generar una afectación de enormes proporciones a la empresa.
En el ejercicio realizado el experto comenta que se dio cuenta que la organización usaba en sus equipos un sistema operativo si bien no obsoleto si total y completamente vulnerable (en este caso fue Windows XP) ya que dejan de tener soporte y si se encuentran conectados a internet se convierten en puertas de libre acceso para cualquier persona.
Se obtuvo que lo más peligroso es que algunos de los equipos se usaban para su punto de venta, con todos los datos financieros y sensibles que se ocupan mediante estos dispositivos
Dejar la computadora sin supervisión y desbloqueada es un peligro en cualquier lugar de trabajo, pero particularmente en una posición a la que el público puede acceder y aprovechar otros desaciertos de seguridad, me hizo dar cuenta que algunas empresas todavía están demasiado atrasadas en lo que refiere a seguridad.
Si bien en el ejercicio no se comprometió la red de la organización, las lecciones aprendidas fueron vitales y la gravedad preocupante. El haber tenido acceso completo a una cantidad de datos personales, confidenciales y financieros presentes en la red podría haber significado un costo extremadamente elevado para la organización. Si se ven comprometidas las redes, las multas por parte de las instituciones gubernamentales por filtrar este tipo de información personal podrían haber sido catastróficas. Como usuarios en este caso de un club de golf incluye la entrega de una gran cantidad de información, por lo que la pérdida de estos datos podría provocar enormes consecuencias y más de una víctima.
La facilidad con la que se puede realizar un ataque algunas veces puede ser impresionante. Los actores de amenazas son buenos exactamente en aprovecharse de las debilidades o vulnerabilidades, por lo que todos necesitamos mejorar lo que hacemos lejos del campo de golf y comenzar a enfocarnos en averiguar dónde están esas debilidades en nuestros negocios.
Se informo al dueño de la organización el resultado del ejercicio, no se sorprendió, pero si se preocupó, comento que él nunca había imaginado que su empresa podría estar tan vulnerable y comprometer la información confidencial de la misma y de los clientes.
La verdad es, sin embargo, que cada negocio es un potencial objetivo y si siguen siendo tan fácilmente penetrables, seguirá siendo redituable para los criminales atacarlos.
Es necesario que se cree una cultura de seguridad empezando por lo básico que es el acceso a las instalaciones de la empresa esto a nivel institución a nivel personal ahora con el bum del home office recordemos que aun cuando estamos en nuestra casa y en teoría no permitamos que otros se conecten a nuestra red, usamos configuraciones de fabrica fáciles de El mayor error de las empresas es considerar que los ciber incidentes ocurren por medio de ataques externos de las organizaciones y confiar el mayor recurso e inversión a las redes perimetrales, cuando internamente se establecen controles mínimos para proteger la información. Es ahí donde la estrategia debe ser holística partiendo desde la anticipación a través de la ciber inteligencia, la prevención con controles avanzados, la detección con monitoreo robusto todos los días las 24 horas, y los mecanismos de respuesta eficientes y bien orquestados.
Referencias
More, Jake, Lo fácil que pude resultar realizar un ataque a un negocio, welivesecurity.com, recuperado: https://www.welivesecurity.com/la-es/2021/08/23/facil-pude-resultar-realizar-ciberataque-negocio/
El Mercurio, La cultura de ciberseguridad en la empresa: Un cambio que avanza de forma paulatina, seguridaddigital.emol.com, recuperado: https://seguridaddigital.emol.com/amenazas-informatica/la-cultura-de-ciberseguridad-en-la-empresa-un-cambio-que-avanza-de-forma-paulatina/
