Cómo evitar abrir las puertas de la empresa al atacante

En un mundo cada vez más digitalizado y conectado tanto usuarios como empresas han de estar alerta en todo momento para no solo evitar los ciberataques, sino prevenirlos. Las organizaciones han comenzado a interesarse en la protección de sus sistemas y redes con medidas de protección técnicas (software o hardware), pero se han olvidado de una de las piezas clave del engranaje (y además la más vulnerable): el factor humano.

Y son precisamente las personas, en un entorno de control insuficiente, las que están convirtiéndose en el blanco predilecto de los ciberdelincuentes. Estos, a través de diversas técnicas y modalidades de ataque, convierten al empleado en su objetivo directo o en la puerta de entrada a la organización, escalando privilegios en la red hasta alcanzar a su verdadero objetivo.

Por ello, desde Entelgy y su división especializada en ciberseguridad, Entelgy Innotec Cybersecurity, se ofrecen algunas propuestas para reforzar la seguridad de las organizaciones. Y lo hace en el Mes Europeo de la Ciberseguridad, promovido por ENISA (Agencia Europea de las Redes y de la Información) cuyo principal objetivo es, precisamente, concienciar a los ciudadanos de la necesidad de preservar la información y abogar por un cambio en la percepción de las ciberamenazas mediante la promoción de la seguridad de los datos y la información, la educación, el intercambio de buenas prácticas y la competencia.

• Nuevos modelos de concienciación que provoquen un verdadero cambio de hábitos en las personas. Un modelo experiencial, en donde el usuario identifique a lo largo del tiempo (a modo de lluvia fina) las diferentes herramientas y técnicas empleadas en los ciberataques (como el phishing o el ransomware) e incorpore a su vida cotidiana (tanto en el ámbito profesional como en el personal), unas buenas prácticas de ciberseguridad. Modelos como 'Firewall Mindset', de Entelgy Innotec Cybersecurity, donde, a través de ataques reales, historias impactantes desde un punto de vista emocional e información en todo tipo de formatos (web-episodios, cibertestimonios, infografías, evaluaciones, ataques reales...), el empleado estará preparado para cuando, de verdad, reciba un ciberataque.
• Directivos y altos cargos comprometidos con la ciberseguridad. Cuanto mayor es el nivel de responsabilidad del empleado, mayor ha de ser su compromiso por mantener la seguridad de la empresa. Por ello, deben ser los primeros en implantar las medidas en su actividad diaria, aceptando que existen riesgos y que cualquier desliz puede llevar consigo una pérdida en la información de su empresa, haciendo tambalear su futuro y el de sus empleados. Sirva de ejemplo el conocido como ‘Fraude del CEO’, cada vez más utilizado, en el que son objetivos directos dada su potestad para hacer transferencias económicas y por su amplio acceso a datos de cuentas bancarias..
• Simulación de ataques reales, con ejercicios de Red Team. Si las amenazas están en constante evolución, las organizaciones deben probar y evaluar en profundidad sus sistemas de protección de forma regular. Es necesario ejecutar ataques y evaluar el desempeño de las líneas de defensa y respuesta para determinar las fortalezas y debilidades de cada organización. Todo ello, al tiempo que se toman las medidas necesarias que permiten estar preparados frente a incidentes reales. Con servicios de Red Team la organización se pone en la mente del atacante e identifica sus vulnerabilidades en todos los ámbitos: digital, físico y humano.

Si se conocen las amenazas que acechan a las empresas y la plantilla está formada para evitarlo y cuenta con los últimos protocolos de seguridad, el riesgo de que el error humano conduzca un ciberataque hacia la empresa será mucho menor.