A principios de semana tuvimos el honor de ser invitados al congreso «Spring Meetings» que organiza CECIMO, en esta ocasión en la bellísima ciudad de Rüschlikon, Suiza. Se trata de un importante congreso que reúne a las delegaciones de los diferentes países europeos productores de máquina herramienta. Acudimos a la invitación exponiendo una presentación de nuestros avances en la aplicación de ciberseguridad en el contexto de la máquina herramienta digital, y también participamos en una mesa de discusión con expertos de talla mundial.
Nuestra intención era poder explicar de forma sencilla y comprensible cuál es nuestra visión de la ciberseguridad, intentando evitar entrar en tecnicismos.
Para ello, iniciamos nuestra argumentación haciendo ver por qué la buena seguridad y la mala seguridad se parecen tanto, y la importancia que tiene lo que nosotros denominamos «the weak link effect«.
Imaginemos una cadena física, un conjunto de eslabones, por ejemplo metálicos. Intuitivamente es fácil ver que la fortaleza general de la cadena será igual a la fortaleza del eslabón más débil de entre los que la compone. En otras palabras, al aplicar tensión entre los extremos, la cadena siempre se rompe por su eslabón más débil.
Sucede que en muchas ocasiones las empresas siguen fortaleciendo eslabones que ya son suficientemente fuertes, pero que, por su importancia histórica, son el foco de la mayoría de los recursos que se destinan a ciberseguridad. Tal es el caso de firewalls, sistemas IDS, IPS, etc. En cambio, los eslabones más débiles siguen siendo olvidados, estando muchas veces relacionados con las personas, sus hábitos, y su conocimiento sobre los entornos IT.
Los eslabones débiles no tienen por qué ser elementos técnicos o tecnológicos. Pensemos en el becario que tiene acceso al ordenador de un compañero suyo de trabajo porque éste último dejó su equipo sin bloquear al irse al baño. O el comercial que carga su móvil utilizando para ello el puerto USB de su ordenador de trabajo, sin darse cuenta de que, debido a cómo configuró su móvil cuando estuvo de vacaciones en Aruba, está provocando que se cree una conexión 4G no controlada hacia el interior de la red corporativa de la empresa. La lista de negligencias no intencionadas de este tipo es enorme, desde contraseñas poco seguras, publicación accidental de contraseñas (ver imagen inferior), mala gestión de dispositivos BYOD, etc.
Es por ello que recomendamos dedicar recursos a dichos eslabones débiles. Esto no quiere decir que las empresas no deban seguir invirtiendo recursos en los eslabones fuertes, por supuesto que los firewalls y otros sistemas de seguridad necesitan mantenimiento, actualizaciones, revisiones, etc. Lo que quiere decir es que evitemos la práctica lamentablemente habitual de dejar olvidados los eslabones débiles. A este respecto, todos los expertos coinciden en una misma dirección; formación y concienciación de todos los trabajadores de la compañía. Si, también el personal no técnico tiene que entender los riesgos a los que puede someter a la compañía en caso de no cumplir adecuadamente con las políticas de ciberseguridad establecidas. En este campo, las recomendaciones de la OWASP pueden ser un buen punto de partida.
Es importante ser conscientes de que un atacante siempre buscará el punto de acceso que resulte más efectivo en coste y/o esfuerzo. Son auténticos especialistas en buscar el eslabón débil, porque, para su actividad, es el punto que maximiza la relación entre resultados y coste. No hay más que ver la tendencia de los ataques orientados al fallo humano, como el phishing, el baiting, el smishing… Según la última publicación de IBM en su IBM X-Force Threat Intelligence Index Report, el 95% de las incidencias en ciberseguridad en empresas se deben a fallo humano.
Cada vez que un eslabón débil se vea reforzado, ello provocará un incremento notable en la fortaleza total de la cadena. Por tanto, y como conclusión a esta reflexión, tenemos que convencernos de que si una empresa consigue crear una fuerte cultura de ciberseguridad en sus empleados, y éstos se vuelven suficientemente conscientes como para poder identificar, reportar y resolver dichos eslabones débiles, la mejora en el nivel general de ciberseguridad de la compañía se incrementará enormemente.
Esperamos que nuestras aportaciones fuesen útiles para los asistentes, aprovecho este post para agradecer a AFM y DANOBATGROUP el haber contado con nosotros para participar en un evento tan importante.