Antes de referirme a las heridas autoinflingidas, es preciso observar que diversos especialistas coinciden en lo poco que sabemos sobre el cerebro humano. Pese a los recientes avances de la ciencia aún falta camino por recorrer para entender su compleja estructura. Las relaciones humanas –igualmente complejas– también resultan de interés para el estudio de los comportamientos sociales. Particularmente, los que originan conflictos en las relaciones interpersonales. Y en posiciones clave de una organización, mucho más.
Julian Assange
En el ámbito de la ciberseguridad, el caso de Julian Assange es emblemático dado el impacto y cobertura mediática que ha tenido el sitio WikiLeaks (2010) al revelar cerca de medio millón de documentos clasificados de los Estados Unidos vinculados con actos de guerra, poniendo en jaque la política exterior de los americanos. El incidente tuvo, además, la colaboración de la analista de inteligencia Chelsea Manning, quien facilitó la obtención de información a Assange. Una lamentable situación que dejó una herida difícil de sanar, tristemente autoinflingida, al ser un acto consciente del daño que se genera y el beneficio que aporta a su autor.
Los motivos que haya tenido Assange, justificados o no, provocaron una exfiltración sin precedentes de información. Ello nos lleva a reflexionar sobre la eficacia de los controles que existen en las organizaciones –sobre todo en las de alta seguridad como el Ejército de los Estados Unidos– para evitar que eventos de esta naturaleza se materialicen ocasionando daños a la reputación o a la actividad comercial e incluso la pérdida de ganancias en modelos económicos que están basados en la confianza como factor de éxito.
Reporte de Verizon
De esta manera, las metodologías y los analistas de riesgos en las organizaciones consideran el factor humano, incluyendo la posibilidad de que agentes internos sean parte de la agenda de posibles afectaciones a los objetivos de negocio.
Un ejemplo es el reporte de investigaciones de vulneración de datos 2021 de la firma de tecnología Verizon, que analiza las tendencias sobre las principales causas que motivaron la afectación a diversos sistemas de información en el año anterior.
El citado reporte analizó más de 79.000 incidentes cibernéticos de 88 países alrededor del mundo. Entre los hallazgos relevantes destaca que más del 40% utilizó el engaño (ingeniería social) para la obtención ilegal de claves de acceso; de manera general, el 85% tuvo un componente humano que influyó en la vulneración y que cerca del 30% fueron realizados por personal de la institución.
Esta última cifra cobra importancia en grandes organizaciones en términos de que a mayor plantilla de personal, más probabilidad de que surja uno o más posibles empleados con impericia o disgustados. Y cuanto más compleja la arquitectura de información, más difícil la implementación y supervisión de controles de seguridad a lo largo de sus centros de datos y oficinas operativas.
Es importante considerar que son diversos los factores que pueden influir en la afectación de la organización cuando se consideran, sobre todo, las motivaciones de los fallos de seguridad. Juegan la negligencia en el manejo de la información, el exceso de confianza, la falta de entrenamiento, incluso la deshonestidad, los que han dejado la organización en malos términos y quizás los que aprovechan su posición para el espionaje empresarial o de estado, como el caso de Assange.
Riesgos y amenazas
En un análisis de riesgos se deben tomar en cuenta, al menos, dos aspectos: el origen de la amenaza incluyendo sus motivaciones, la probabilidad e impacto del incidente, en términos ya sea del valor de la información (secreto comercial, pérdida de reputación, etc.) o económicas por falta de ingreso o pérdidas. Usualmente, este tipo de análisis requiere una visión multidisciplinaria y, dependiendo de la naturaleza de la organización, podrían estar involucrados, además de las de tecnología, las áreas de finanzas, seguros y legales.
En cuanto a las posibles amenazas, es recomendable que la organización separe los incidentes de empleados considerando a los que se encuentran activos, si ya no pertenecen a la organización –y si tuvieron privilegios de acceso– o si se trata de contratistas con intervención en la arquitectura de los datos y sistemas a proteger.
Casos como el de Julian Assange nos llevan a reflexionar sobre la eficacia de los controles que existen en las organizaciones
Lo que puede resultar, según los alcances del servicio, en una situación tan intrincada como quedar al margen y sin control del prestador del servicio. Esto dejaría expuesta a la organización ante la posibilidad de una acción coercitiva para ampliar la vigencia de un contrato que ha sido motivado por la necesidad de resolver un incidente de alto impacto provocado de manera intencional por el propio contratista. Nuevamente, una herida autoinflingida que genera beneficios para sus perpetradores.
¿Parece un asunto de suma desconfianza? Creo que es un asunto de sumo cuidado, que vale la pena según las organizaciones determinen el valor de sus activos de información y las posibles consecuencias económicas, legales y de reputación que una de estas heridas autoinflingidas lleguen a impactar.
¿Cómo protegerse?
Uno de los aspectos clave en la selección de personal está en el reclutamiento basado en principios y valores, la formación continua, las estrategias de motivación para retención del personal… Pero, sobre todo, una correcta aplicación de controles de seguridad y un monitoreo constante de la actividad en la red, los datos y los sistemas de información que son esenciales para las operaciones críticas de la organización.
Existen recomendaciones para hacer frente a este tipo de amenazas. Una de ellas es la gestión de credenciales de acceso bajo el principio de mínimo acceso. Es decir, solo permitir lo necesario para la función a desempeñar, aunado a una separación clara de funciones entre las personas que intervienen. Esto permite, además, incentivar el trabajo colaborativo y establecer puntos de posible actividad maliciosa.
Por otra parte, realizar un análisis exhaustivo de riesgos es recomendable para tener visibilidad granular de la actividad durante su gestión. Permite una mejor valoración de la efectividad y anticipar alguna posible acción contra los activos de información y su mejora continua, lo que facilita la implementación de un sistema de gestión de seguridad de la información en procesos sustantivos de la organización, la posibilidad de revisar su efectividad y aplicar mejoras de manera periódica.
Asimismo, desarrollar campañas preventivas de sensibilización al personal contribuye a disminuir la incidencia ocasionada por el desconocimiento y la impericia, además de hacerlos parte de un sistema de protección donde su contribución es a la seguridad de la información digital. Las campañas pueden poner a prueba la acción del personal a través de correos electrónicos tipo phishing para identificar áreas con menos nivel de concientización.
A su vez, es importante implementar un control de cambios en la asignación de permisos en servicios de red, aplicaciones corporativas y sistemas de información. Ello contribuye a la detección de actividades anómalas o inusuales según los horarios y conexiones remotas del personal que las utiliza. También establecer y mantener una política de contraseñas seguras que implique un cambio periódico y criterios para el uso de contraseñas robustas con un mínimo de 12 caracteres alfanuméricos, minúsculas, mayúsculas y, de ser posible, caracteres especiales.
Donde sea posible, complementar la autenticación por medio de un mecanismo de doble factor de autenticación o código de verificación adicional para aplicaciones corporativas y sistemas de información. Esto reduce la posibilidad de accesos no autorizados y violaciones a la seguridad.
Sistemas SIEM
Si la organización cuenta con una arquitectura de equipamiento, aplicaciones, bases de datos y sistemas de información de cierta complejidad, es recomendable apoyar la supervisión con herramientas de monitoreo conocidos como gestores de información y eventos de seguridad (SIEM, por sus siglas en inglés).
Un punto clave de un SIEM es que, a través del monitoreo constante, es útil para controlar los privilegios de usuario y de servicio, como los servicios de directorio activo (Active Directory o LDAP), cambios de configuración de los sistemas y el abastecimiento para fines de auditoría de registro, revisión e incluso para la respuesta a incidentes.
Con esta serie de recomendaciones, quizás sea posible disminuir la posibilidad de un incidente de impacto en nuestra organización. Y aunque no será una garantía para todos los casos, evitaremos en gran medida que las heridas autoinflingidas a la ciberseguridad sean algo trazable durante un análisis post mortem, lo que ofrecerá información relevante para elevar las expectativas de protección ante una amenaza previamente materializada.
