En el presente artículo el ingeniero de Cyte Damián Salcedo compara el proceso de capacitación de empleados en medidas básicas de ciberseguridad con el proceso de dar medicina a un gato.
El otro día me encontraba con mi esposa haciendo una de las cosas más difíciles que un dueño de gatos puede padecer: intentar darle la pastilla desparasitante al minino. Para los que no estén familiarizados con este proceso, el animalito te va a rasguñar, morder, llorar, y suplicar, con tal de no comerse la pastilla. En ese momento me acordé de cómo los usuarios de plataformas tecnológicas toca rogarles y forzarlos, igual que un gato, para que sigan las medidas de seguridad de la información que mitigan el éxito de muchos tipos de ciberataques:
Round 1: La preparación
Medicina para gatos: Empiezas tratando de envolver la píldora en jamón o queso, convenciéndote de que el gato no notará nada. ¿El resultado? Un pedazo de jamón o queso mordisqueado en el suelo y una píldora intacta al lado.
Ciberseguridad: Entras a la sala de reuniones, armado con un PowerPoint brillante, gráficos coloridos y ejemplos impactantes de los riesgos del mundo digital. ¿El resultado? Algunos empleados bostezando, otros mirando sus teléfonos y uno que pregunta si esto tomará mucho tiempo.
Punto para: Medicina para gatos. Al menos el gato probó el jamón.
Round 2: La técnica
Medicina para gatos: Sostienes al gato con firmeza, abres su boca y lanzas la píldora al fondo de su garganta. Después de un par de minutos de lucha, el gato escupe la píldora y se esconde debajo del sofá.
Ciberseguridad: Explicas la importancia de tener contraseñas robustas. Das ejemplos, propones métodos y finalmente, descubres que el empleado aún usa "123456" porque es "fácil de recordar".
Punto para: Ciberseguridad. Al menos el empleado escuchó.
Round 3: El soborno
Medicina para gatos: Sacas las golosinas favoritas del gato y haces un rastro hacia la píldora. El gato come las golosinas y vuelve a dejar la píldora en el suelo.
Ciberseguridad: Ofreces premios y recompensas a aquellos que sigan las prácticas de ciberseguridad. Al final del mes, descubres que solo uno ha cambiado su contraseña y que ahora es "654321".
Punto para: Nadie. Ambos son desesperantemente desafiantes.
Veredicto final y consejos de ciberseguridad
Ambas tareas son demandantes en las que se necesita saber adaptarse a la personalidad del paciente. A continuación dejo unas sugerencias para evitar salir tan “rasguñado” cuando se esté intentando implementar medidas de control de seguridad de la información:
Periodicidad y complejidad de los controles: De la misma forma que la medicina al gato se le da una vez al año y no mensualmente, los controles intrusivos o molestos de seguridad de la información como el cambio periodico de contraseña o el no permitir ciertos archivos adjuntos en los correos electrónicos puede causar más malestar en la organización que los posibles beneficios.
Obligar a un usuario a estar cambiando su contraseña cada tres meses termina causando que este aplique contraseñas sencillas y secuenciales (claveanterior1, claveanterior2, etc…), o forzar una política muy compleja (“la clave tiene que tener números no consecutivos, signos, mayúsculas, y no ser menor a 12 caracteres”) termina haciendo que el empleado anote las claves en un archivo de texto en el escritorio.
¿Entonces que no cambien las claves y que usen palabras de diccionario?
No, para nada, el punto que quiero reforzar es que se pueden poner controles en tanto la funcionalidad no se vea seriamente afectada. Si muchos empleados o usuarios se van a quejar al gerente que no pudo hacer su función porque “los de TI no me dejan ingresar a la plataforma” al final va a ser más fácil cambiar al oficial de seguridad por otro que encuentre un punto medio aceptable entre seguridad y funcionalidad para la organización.
Verificación de cumplimiento: Si se ponen todas las medidas de seguridad adecuadas, pero no hay una forma de verificar que se cumplen y castigar a los infractores, es como si no se hubiera hecho nada. Me recuerda a los letreros que veo en las calles que dicen “Multa por botar basura aquí de $500 000” mientras veo escombros debajo del cartel, o los stickers de “Protegido satelitalmente” que ponen algunos locales comerciales, cuando sabemos que escasamente tienen caja registradora. Si las medidas de control de una organización no vienen acompañadas de castigos claros y ejemplarizantes, estas medidas dejan de ser efectivas y solo sirven como “saludo a la bandera”.
Entender el negocio: Como oficial de seguridad (jefe de TI, ciberseguridad, seguridad de la información, o similares) lo importante es saber adaptar los lineamientos de seguridad de la información que nos dan los marcos como ISO27000 o COBIT a la cultura organizacional de sus empleados, usuarios y región. Si uno intenta poner medidas genéricas que leyó en un marco regulatorio sin entender su impacto en la organización, es como darle cualquier medicina al gato, y no la que el veterinario le dijo que le diera y terminar enfermando más al gato. En este punto la comunicación clara y bidireccional con los empleados permitirá entender bien los procesos de negocio, el marco regulatorio, y las prioridades de seguridad del mismo.
En conclusión, a medida que las ciberamenazas crecen en sofisticación, es evidente que no basta con implementar medidas de ciberseguridad; es esencial que estas medidas sean adecuadas, pertinentes y, sobre todo, verificables. Solo mediante controles estrictos que puedan ser auditados y evaluados regularmente podemos garantizar que las estrategias de ciberseguridad son efectivas y están alineadas con el cambiante panorama de amenazas. En última instancia, la protección de nuestros activos digitales y la confianza en nuestros sistemas dependen de una implementación meticulosa y una verificación constante de nuestras medidas de seguridad.
Si deseas tener siempre a la mano el artículo escrito por Damian Salcedo, te invitamos a descargarlo, compartirlo y comentarnos qué opinas al respecto.
REFERENCIAS
https://www.ic3.gov/Media/PDF/AnnualReport/2022_IC3Report.pdf
https://www.businessinsider.com/mgm-resorts-casino-caesars-palace-cyberattack-hack-las-vegas-2023-9
https://www.vice.com/en/article/7kvkqb/how-ea-games-was-hacked-slack
https://therecord.media/hackers-leak-full-ea-data-after-failed-extortion-attempt
https://es-us.finanzas.yahoo.com/noticias/fans-super-mario-hackean-proveedor-224600031.html