Seguridad

Fallos en la política de seguridad de la empresa: cuáles son y cómo resolverlos

contrasena segura

Repasamos algunos de los errores de seguridad más frecuentes en las compañías y que tienen un origen humano fácilmente corregible con algo de educación.

España es uno de los países europeos donde más peligro corren los datos digitales, según un reciente informe. Otro estudio refleja que la mitad de los smartphones en España están expuestos a ciberamenazas. Y otro cifra en 75.000 euros el coste de un ciberataque para las empresas. Son sólo algunas variables a tener en cuenta y que muestran la importancia capital de la ciberseguridad en estos momentos, más todavía si tenemos en cuenta que no hay suficientes profesionales cualificados para hacer frente al incremento de este tipo de ataques.

Es por ello que las empresas están aumentando exponencialmente su inversión en aplicaciones y servicios de seguridad, fortaleciendo la formación interna en materia de seguridad entre sus empleados o revisando sus estrategias y políticas de seguridad. Y es que, es en este último aspecto, donde se concentran la mayor parte de las vulnerabilidades de origen humano que se pueden evitar con tan sólo un poco de concienciación y cuidado por parte de todos los trabajadores que conforman la organización.

¿Cuáles son estos fallos en las políticas de seguridad? ¿Cómo evitarlos? Aunque existen mil y una lagunas en este aspecto, sujetas también a las particularidades de cada compañía, hay algunos puntos que son tan frecuentes que casi parecen la norma a seguir. He aquí algunos de ellos:

Usuarios fantasma y ‘superusuarios’

No es que creamos en seres de otros mundos, pero sí en personas que ya no forman parte de la organización y cuyas cuentas de correo electrónico o de las aplicaciones de negocio siguen activas. Y es que, en muchas empresas de gran tamaño, la comunicación entre los equipos de TI y los responsables de Recursos Humanos no es la ideal, con lo que se pueden producir este tipo de lagunas que permitirían a un extrabajador (que quizás ahora esté en nómina de un competidor) consultar e incluso editar o eliminar a su antojo toda la información sensible que maneja nuestra compañía.

Y si los usuarios fantasma son un problema, los ‘superusuarios’ no se quedan atrás. En estos casos hablamos de profesionales de la compañía que, bien por su cargo directivo o por las funciones que desempeña en la organización, cuentan con un acceso privilegiado a todos los sistemas de la empresa. Así, estos trabajadores pueden llevar a cabo modificaciones de alto nivel sobre todos los programas de la red corporativa, lo cual puede suponer un grave agujero de seguridad en muchos de los casos. No en vano, si uno de estos ‘superusuarios’ resulta infectado por cualquier virus, el atacante obtendrá al instante el acceso horizontal a toda la compañía, extendiéndose de forma veloz y sin que haya una manera sencilla de interrumpir su maliciosa actividad a tiempo.

El INCIBE lanza kit gratuito para que compruebes el estado de seguridad de tu pyme

En ese sentido, muchos hackers ya focalizan sus esfuerzos en identificar y atacar a los ‘superusuarios’ de cada empresa, con lo que la organización debe tener un mayor cuidado en este campo respecto a los usuarios de a pie. Llevar a cabo una monitorización constante de los movimientos de estos ‘superusuarios’ y profundizar en las directrices de seguridad extremadamente estrictas que han de seguir estos profesionales son sólo las dos normas más obvias para evitar un susto que deje patas arriba la empresa.

Como-ayuda-Big-Data-a-la-policia-y-fuerzas-de-seguridad

A vueltas con las contraseñas

Mientras esperemos que nuevos métodos de identificación (como la biometría) lleguen al entorno corporativo, las contraseñas siguen siendo el protocolo por defecto para identificar y dar acceso a un trabajador a su equipo, programas y servicios. Sin embargo, la privacidad que procuran las passwords suele irse al garete a causa de las malas prácticas de los empleados.

Uno de los fallos más frecuentes suele producirse cuando un trabajador comparte su clave personal, bien con un compañero de la empresa o con un partner o cliente. Se trata de un fenómeno muy común, especialmente cuando se trabaja en grupo o se quiere hacer una demostración de un producto a un cliente. Aunque sea más cómodo pasar la contraseña que instalar o solicitar un sistema de intercambio de archivos o trabajo colaborativo, lo cierto es que en cuanto se intercambian passwords, el riesgo para la integridad de las TIC de la empresa aumenta exponencialmente, ya que el perímetro de seguridad se expande… sin que los supervisores sean conscientes.

Otra vulnerabilidad muy habitual es la que se genera cuando los trabajadores no actualizan sus claves personales con la frecuencia recomendada, cada tres o seis meses. Una contraseña aleatoria que muta periódicamente reduce significativamente el riesgo de exposición a ciberataques, pero muchos empleados rechazan estas medidas (incluso revirtiendo los cambios impuestos por el equipo TIC) por pura comodidad.

En la misma línea, existe un gran grupo de profesionales que opta por reutilizar sus passwords en distintos servicios y aplicativos; incluso usando la misma contraseña para sus apps corporativas y sus apps personales. Una práctica muy peligrosa, teniendo en cuenta los robos de claves que han sufrido algunos de los servicios online más populares, como Yahoo, LinkedIn o Twitter… y cuyos usuarios no supieron -en algunos casos- que sus passwords estaban comprometidas hasta cuatro años después del ataque.

Gestión de identidades

En línea con todo lo anterior, uno de los aspectos que nunca deben faltar en una buena política de seguridad es la gestión de identidades. El equipo responsable de la ciberseguridad en la compañía ha de monitorizar de forma continuada todos los usuarios que tratan de acceder a los sistemas de la empresa, comprobando (en base a información contextual o sistemas de identificación alternativos, como verificaciones adicionales en situaciones anómalas) si se trata efectivamente de un trabajador autorizado a tales efectos.

Usa apps de forma responsable

Quizás convendría incorporar los avisos tan manidos del tabaco, el alcohol o el juego a este entorno digital, con el fin de advertir de los riesgos de emplear determinadas aplicaciones personales en dispositivos que también se conectan a los sistemas corporativos. Y ya no sólo eso: muchos trabajadores optan por dar su dirección de correo electrónico al registrarse en numerosas páginas web, aplicaciones o redes WiFi públicas para evitar que les llegue el molesto spam a su cuenta personal. Esta práctica supone un riesgo brutal para la empresa, ya que expone toda el ‘core’ de la organización y, aun encima, lo hace por motivos totalmente ajenos a la actividad profesional del infractor.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, El Mundo, ComputerWorld, CIO España, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big de Telefónica, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo y Finalista en los European Digital Mindset Awards 2016.