A fondo
El eslabón más débil: políticas de seguridad frente a usuarios negligentes
A la hora de establecer las políticas de seguridad ocurre, de manera común, que el esfuerzo se concentra en blindarse frente a las amenazas externas. Y es lógico, claro, la ciberdelincuencia vive, desgraciadamente, sus mejores tiempos, y nadie escapa de su amenaza: del usuario particular a las grandes corporaciones y órganos de gobierno (públicos y privados), todos tienen algo potencialmente interesante para una plétora de delincuentes que no ha dejado de crecer y diversificarse durante años.
Pero entonces, ¿cuál es el problema? Pues que, en muchas ocasiones, el “enemigo” está dentro. Un mal uso de las herramientas de IT, por alguien que está dentro, puede ser increíblemente nocivo si las medidas que hemos establecido solo protegen el interior de los ataques desde el exterior. Las murallas de Troya fueron capaces de soportar, según cuenta la leyenda, los ataques de los aqueos, pero en el momento en el que estos pudieron entrar en la ciudad, la derrota estuvo escrita. Muy distintos podrían haber sido los relatos de Homero si los oficiales de seguridad de Troya hubieran contemplado la posibilidad de que, en algún momento, el enemigo pudiera estar dentro.
Llegados a este punto (y de vuelta en la actualidad, dejamos atrás la épica grecolatina), es probable que nos preguntemos: ¿y quién es ese enemigo? De acuerdo, para responder a esa pregunta es importante establecer una dicotomía en base a la intencionalidad. Y es que no es lo mismo un usuario que compromete la seguridad por error (al que llamaremos enemigo entre comillas) que otro que, por las motivaciones que sea, actúa de manera consciente en contra de la empresa (éste será enemigo, sin más).
Aunque los daños que pueden provocar se asemejan bastante, en este artículo nos centraremos en los enemigos entre comillas, dejando el abordaje de cómo actuar frente a un ataque intencionado desde el interior para otra ocasión. No obstante, algunas de las medidas que vamos a recomendar a continuación son aplicables en ambos casos, así que estaremos colaborando en la mitigación de riesgos también frente a usuarios malintencionados.
Concienciar
Como profesionales de la seguridad, desayunamos cada día con noticias, boletines de seguridad, novedades del sector, etcétera (¿y qué mejor elección que MuySeguridad para tal fin?), así que somos muy conscientes de los riesgos a los que se enfrentan las infraestructuras que dependen de nosotros. Sin embargo, y aunque nos sorprenda, el común de los usuarios no tiene conocimiento sobre esos riesgos o, lo que es aún peor, saben de su existencia pero infravaloran su potencial como amenaza.
Así pues, el primer paso que debemos dar para reducir el riesgo de los enemigos entre comillas, es hacer que se involucren de manera activa, que sean agentes de seguridad dentro del sistema. Esto se consigue con una política de formación y comunicación constante. Escribir, cada cierto tiempo, un email, un boletín o una nota en la intranet corporativa puede parecer una pérdida de tiempo, pero nada más lejos de la realidad: nos podemos evitar muchos dolores de cabeza si nuestros usuarios son conscientes de a qué se enfrentan y saben cómo evitarlo.
Contraseñas
Sí, a estas alturas, todavía seguimos a vueltas con el asunto de las contraseñas de usuario. A la espera de la generalización de los sistemas biométricos (si es que algún día termina de ocurrir), de nada sirven nuestros esfuerzos para crear una infraestructura segura, si luego la clave de uno de nuestros usuarios para acceder a todos los recursos compartidos es 1234.
Los principales sistemas de directorio cuentan con herramientas para ajustar determinados parámetros (longitud, tipo de caracteres, caducidad, etcétera). Es mejor ponérselo un poco difícil a los usuarios y, de vez en cuando, tener que resetear una contraseña olvidada, que confiar en su criterio para, al tiempo, descubrir que aún hay gente que emplea la palabra contraseña como contraseña.
Segmentación
Son muchas las razones por las que, en un momento dado, hemos podido dar acceso a los empleados a más recursos de los que necesitan para su día a día. Y aquí, de nuevo, nos enfrentamos a un error común: confiar de exceso.
Las herramientas de gestión de permisos de los perfiles de usuario en los sistemas de directorio son muy potentes y versátiles, así que merece la pena dedicar un tiempo a asegurarnos de que el servidor de archivos del equipo comercial no es accesible para los de mantenimiento, y que los libros de cálculo de contabilidad no están a solo un par de clicks de distancia para la gente de marketing.
Maquetación y deploy de sistemas
Algo que ocurre habitualmente en las pymes (aunque también lo he visto en alguna empresa realmente grande) es que cada ordenador es un mundo. Distintas configuraciones del sistema operativo, plétora de aplicaciones, políticas BYOT de andar por casa… gestionar algo así es intentar administrar algo que no es administrable.
Los principales desarrolladores de sistemas operativos ofrecen herramientas con las que es posible maquetar un perfil (o varios, si es necesario) de sistema operativo, configuración y aplicaciones, y desplegarlo de una manera rápida y fiable en todos los equipos. Esto no solo nos garantiza un entorno uniforme, sino también un control más estricto sobre cada sistema y una mayor agilidad a la hora de responder ante cualquier incidencia. Además, muchas de esas herramientas también permiten gestionar el despliegue de actualizaciones en todos los sistemas, una garantía de que ningún usuario se saltará actualizaciones importantes.
¿BYOT, en serio?
A lo mejor soy un poco extremo en este punto, pero hace tiempo que pienso que la única tecnología que debería llevar un empleado a su puesto de trabajo se resume en materia gris, huesos y músculos. Es más, si hablamos de seguridad, siempre me ha gustado esa teoría que afirma que, en realidad, el acrónimo significa Bring your own Trojan (Trae tu propio troyano).
Pero, de acuerdo, no debo ser tan radical, pues es cierto que en determinadas circunstancias sí que puede aportar ventajas. Eso sí, en estos casos, lo más recomendable es que sea la propia empresa quien adquiera los dispositivos, y luego se lo revenda (obviamente a precio reducido) al empleado, previa configuración de los mismos para que sean 100% seguros a la hora de emplearlos en el entorno laboral. Ni que decir tiene que la política de seguridad del dispositivo la define la empresa, no el usuario, y que las medidas de seguridad y control aplicadas al mismo deben ser, como mínimo, similares a las de los equipos que son propiedad de la empresa.
Gestión centralizada
Otro problema que veo habitualmente en las pymes (especialmente en el segmento “P”), es la falta de herramientas de administración remota, tanto en lo referido a la generalidad de los sistemas, como en particular a las soluciones de seguridad. Y es que no es lo mismo confiar en que los usuarios se responsabilizarán de mantener sus sistemas actualizados, que poder acceder a una consola de gestión en la que, en un momento, puedes comprobar el estado de todos los equipos y, si es necesario, aplicar de manera inmediata cuantas actualizaciones sean necesarias.
Las consolas, además, pueden mostrarte mucha información útil y ponerte sobre la pista de eventos sospechosos (horas de uso fuera de la jornada laboral, consumos excesivos y tráfico de datos sospechoso en la red, etcétera). Algunas de estas herramientas cuentan, incluso, con funciones de aprendizaje basadas en inteligencia artificial, que “aprenden” del funcionamiento normal de nuestra infraestructura, y nos alertan si ven algo que les resulta sospechoso.
Además, en caso de alguna incidencia, y de cara al análisis forense (otro tema muy interesante del que hablaremos en otro momento), muchas de estas herramientas nos permiten guardar y revisar diversos registros de actividad, que pueden ser de gran ayuda a la hora de determinar qué ha pasado y cómo ha ocurrido. No hay que olvidar que el enemigo entre comillas no ejecuta ataques, sino que comete errores y, por lo tanto, no siempre será consciente de cuál ha sido su acción inadecuada. Contar con esos valiosos registros no evitará lo que ya ha ocurrido, pero sí que nos permitirá evitarlo en el futuro.
Escuchar a los usuarios
¿Pero no habíamos quedado en que son el enemigo entre comillas? Pues en parte sí pero, en realidad, también son seres pensantes y cuyas aportaciones pueden ser enriquecedoras en muchas ocasiones. No olvidemos que los sistemas dependen de nosotros, pero que son ellos quienes los emplean día a día para desarrollar sus actividades. Y es posible (a veces incluso probable) que una elección que nos parece óptima, en realidad no lo sea luego en el día a día.
¿Por qué un usuario intenta, por ejemplo, instalar aplicaciones no autorizadas en su ordenador? En algunos casos será, simplemente, porque le gusta más su elección que la tuya, pero también se pueden dar casos en los que tu elección no se adapta bien a sus necesidades, forzando a esa persona a buscar una manera de verlas cubiertas con otra aplicación, otro servicio, otra conexión, etcétera.
En resumen, son varias las claves para lidiar con este perfil de usuarios: por una parte, debemos poner tantas barandillas y vallas como nos sea posible, para evitar que en un descuido pueda salirse del camino marcado; también debemos explicarle, de manera asertiva, lo importante que es su rol en la seguridad global de la empresa; y, last but not least, escuchar y valorar su feedback, pues aunque en algunos casos no aporte nada, en otros sí que puede resultar mucho más interesante de lo que imaginábamos.