La pesadilla del CISO

Vamos a ponernos un poco en situación.

Pedro es un CISO (Chief Information Security Officer/director de seguridad de la información) en una empresa, un profesional con amplios conocimientos, experto y con una larga trayectoria en el sector. Después de convencer a la dirección de la necesidad de invertir en un sistema de seguridad y lo más difícil, conseguir el presupuesto, Pedro se pone en marcha. Meses de análisis, pilotos, pruebas, migraciones y ¡por fin! todo está listo. Seguridad perimetral, firewall, proxy, protección de correo, routers, conexiones VPN, protección para dispositivos móviles (incluidos los personales), protección del puesto de trabajo y un largo etcétera.

Alfonso Ramírez

Todo parece funcionar a la perfección hasta que un día, el director general le llama al despacho y le comunica que tiene exactamente una hora para averiguar y solucionar por qué todos los archivos están cifrados ¡está despedido! A la media hora, el director general le envía un breve, pero contundente informe, de las pérdidas que están sufriendo, aumentando así la presión sobre Pedro. Pedro tardó más de una hora en averiguar el origen del problema: un empleado había cometido una imprudencia y había pinchado en uno de esos mails que ofrecían cupones descuento, infectando a la compañía con un ransomware. Cuando el departamento de seguridad fue a hablar con la persona que cometió la imprudencia, quedó claro que no tenía ningún tipo de formación en seguridad y que no sabía diferenciar entre correos válidos o los que no lo son, que eso era responsabilidad del departamento de seguridad que él era simplemente una usuario del PC.

Desconocemos si finalmente Pedro fue despedido; pero estamos más que seguros de que situaciones similares se han producido y se producen hoy en día en cualquier empresa, de cualquier tamaño y cualquier sector. De hecho, y para ser sinceros, el caso de Pedro es real.

Hay que tener en cuenta que las pérdidas que puede sufrir la empresa pueden ser tanto económicas como de reputación. Y la conclusión, como ya hemos apuntado en varias ocasiones, es que tu seguridad es tan fuerte o tan frágil como lo sea la de tu eslabón más débil (tus empleados). Ni la mejor, más cara e innovadora infraestructura de seguridad sobrevive a la imprudencia y desconocimiento de los empleados. De hecho, el último estudio europeo de Kaspersky Lab junto al IFOP muestra que el 26% de los 18.000 encuestados ha compartido sus contraseñas con compañeros del trabajo.

Hay varios casos ya publicados y conocidos, unos con mayores o menores consecuencias, pero todos ellos derivados de una imprudencia: Stuxnet, el primer gusano conocido que espía y reprograma sistemas industriales (como centrales nucleares), se propagó mediante dispositivos USBs externos.

Al igual que en la prevención de riesgos laborales donde es fundamental que los trabajadores tomen parte activa y comprendan la importancia de su seguridad física, en el caso de las ciberamenazas la concienciación y la información son vitales. El hecho de que la amenaza no sea palpable hace que a veces no se considere dentro de los asuntos vitales de una compañía, pero las consecuencias pueden ser desastrosas tanto para la empresa como para el conjunto de los empleados. En lo referente a la seguridad de dispositivos e información el trabajo conjunto y sin fisuras es fundamental para que la protección sea lo más sólida posible.

Por eso recomendamos no solo poner medidas de seguridad en la empresa sino también definir un plan de formación y concienciación sobre seguridad a todos los empleados para así reducir los incidentes de seguridad.