Ciberataques y Compliance: ¿dos caras de la misma moneda?
Fernando lleva trabajando en una empresa española desde hace 8 años en el departamento de contabilidad. Su compañía ha invertido una importante cantidad de dinero en asegurar sus infraestructuras, y todos los empleados han recibido formación sobre LOPD, Compliance y Ciberseguridad. Están en un proyecto en Rumania y le acaba de llegar un email de Rumania con un adjunto que pone “Factura”. Como estaba haciendo dos cosas a la vez, no lo ha pensado y ha abierto el fichero adjunto. Inconscientemente y sin darse cuenta acaba de infectar el equipo con un virus adjunto en el mensaje.
Aunque en un primer momento Fernando sospecha que quizás haya cometido una imprudencia, pasados unos días sin notar nada extraño en el comportamiento del equipo, acaba por no darle importancia.
Al cabo de un mes, el virus intenta comunicarse con sus creadores. Lo consigue en cuanto Fernando conecta el equipo a Internet. Los cibercriminales han tomado el control remoto del ordenador de Fernando sin que nadie se haya dado cuenta y tras varios meses de trabajo en la sombra, los ciber-terroristas tienen en sus manos toda la información de la compañía, datos de clientes, y ya tienen el malvare (virus) en los sistemas de la compañía.
¿Ciencia Ficción?
Aunque la posibilidad de que esta historia le parezca remotamente posible, la realidad es bien distinta. Esta historia pasa continuamente en todas las empresas tanto grandes como PYMES. Técnicamente es completamente viable y no hay que tener grandes conocimientos sobre ordenadores para llevarlo a cabo.
Con el nuevo Reglamento General de Protección de Datos de la UE (GDPR), que entrará en vigor en el 2018, las empresas deberán comunicar las brechas de seguridad a las autoridades y a los usuarios, es decir a sus clientes, con el daño reputacional que esto puede implicar.
Los ciber-terroristas conocen perfectamente las medidas de seguridad que implementan las organizaciones y buscan otras vías de infección que sean cada más difíciles de detectar. Una de esas vías es dirigirse al usuario final utilizando ingeniería social ya que son conscientes de que el comportamiento humano es el elemento más vulnerable de la cadena. De hecho, ni la configuración más estricta de anti-spam ni las herramientas y sistemas de seguridad perimetral se han demostrado completamente eficaces contra las últimas amenazas que consiguen atravesar este perímetro y llegar al usuario final.
Medidas de prevención
Además de las inversiones en herramientas de seguridad informática existen una serie de “buenas prácticas” que deberían implementarse tanto para prevenir como para reaccionar ante este tipo de amenazas.
Evitar BYOD (Equipos ajenos a la organización) y dispositivos USB, formación de los usuarios, monitorización de la actividad de los usuarios, rigurosas políticas de seguridad.
Pero la medida más importante y efectiva para evitar el malware en las organizaciones, es el control del privilegio de los usuarios a los recursos informáticos de la empresa. Especialmente para aquellas aplicaciones que accedan a internet y al correo electrónico. Esto nos permitirá reducir las brechas de entrada en un porcentaje cercano al 100% y a poner una barrera infranqueable para algunos de los delitos con responsabilidad penal para la empresa.