El pendrive que hará quebrar tu empresa

Existen varias similitudes entre los terraplanistas, los antivacunas y los empresarios que no se preocupan de la ciberseguridad. En primer lugar todos tienen pensamiento mágico. Existe una conspiración mundial para hacernos creer que la tierra es esférica, las enfermedades se curan solas y los ataques de hackers solo ocurren en las películas. En segundo lugar, sus argumentos tienen algunas consecuencias peligrosas, siendo en el caso de los terraplanistas solo llenar Twitter de spam, pero en el de los antivacunas renacer enfermedades abolidas hace siglos y en las empresas simplemente perderlo todo: datos, clientes, reputación, patrimonio, colaboradores y el sueño de una vida.

Solo déjenme contarles una linda historia, en un país altamente desarrollado, cuyos protagonistas no puedo revelar, pero que ilustrará el punto. Imaginen a un vicepresidente de banco multinacional que todos los días sagradamente va a tomar un café al Starbucks de la esquina. Un día se encuentra un ondero pendrive encima de la mesa donde siempre se sienta y presa de la curiosidad, lo introduce en su computador (con antivirus) para ver su contenido. Encuentra algunas películas exclusivas y provocativas fotos que decide guardar. Solo un día después debe renunciar sin beneficios y el banco debe reconstruir la confianza de miles de clientes. ¿Qué pasó?

El pendrive no era solo un dispositivo de memoria, sino que un sofisticado dispositivo con procesador y chip NFC con el que un grupo de espías industriales modificaron los drivers de red del computador para que cuando el vicepresidente se conectara a la Wifi del banco, estableciera contacto con la base de espionaje. Llevaban meses vigilando sus movimientos. En cuestión de minutos penetraron el banco desde dentro sacando información clave, pudiendo frenar el ataque solo mediante el apagado físico de todos los servidores.

¡Pero Andrés!, le estás dando la razón a los empresarios despreocupados, estas cosas solo pasan en países desarrollados, en bancos y multinacionales. Claro, casos como el Banco de Chile o el Banco Estado salen en la prensa, pero las miles de pymes que pierden toda su información por pendrives infectados, computadores sin antivirus, servidores sin respaldo y sitios web pegados con chicle quedan en el olvido.

De acuerdo a una encuesta de IPSOS el 2019, 4 de cada 10 empresas reconocen haber tenido algún ataque cibernético, que se convierten en pérdida de archivos, sitios web eliminados, programas o sistemas corruptos y pérdida de acceso a sistemas críticos de la operación. ¿Cuánto cuesta un día sin vender o producir? ¿una semana?

5 razones para preocuparse por la ciberseguridad

Continuidad Operacional: Si tus sistemas son hackeados, pierdes acceso a tus archivos o sistemas, simplemente no puedes trabajar. A no ser que tengas un taller de tallado en piedra o seas fabricante de violines, seguramente tu empresa depende de sistemas, archivos y bases de datos. Si pierdes todo eso y mas encima no lo tienes respaldado, es muerte y desolación. Si ahora no usas la oficina porque haces teletrabajo, ahora no la usarás porque tendrás que cerrar tus operaciones.

Reputación: El mercado se va a regocijar cuando aparezcas en las portadas de los diarios, revistas y tweets como una empresa insegura, que no cuida los datos de los clientes y que tiene problemas operacionales. Conseguir una buena reputación toma años, perderla, solo unos días.

Protección legal: ¿Sabías que los hackers pueden alojar en tu sitio web que mandaste a hacer por unas pocas lucas en un hosting desconocido, una máquina de spam para hacer phishing y robarle a personas en otros países o coordinar una red de narcotráfico?. Si, puede pasar. Vas a tener que defenderte, pagar abogados (y sabemos que saben cobrar). Ah… y si pierdes los datos personales de tus clientes, también te van a demandar.

Satisfacción (y retención) de clientes: Nada peor que entrar a un sitio que te da advertencias de que es inseguro, que te llena de popups y te lleva a la página especial donde alguien te va a regalar un iphone solo porque tienes un buen peinado. Si tu sitio funciona pésimo, lo tienes abajo por semanas, si pierdes la información de tus clientes, tu competencia estará más que feliz de recibirlos.

Relación con ecosistema: No solo tus clientes. Tu banco, tus proveedores, tus distribuidores y todo los que deben hacer negocios contigo tendrán bastante cuidado al relacionarse contigo. Como en esto la mascarilla no es una opción, posiblemente les parezca mejor idea tratar con otro que este un poco mas “sanitizado”.

Las 14 medidas de “ciberdecencia” que deberías comenzar a ejecutar ahora

Autenticación unificada: Utilice un sistema de autenticación de usuarios unificado, que sirva para acceder a los diferentes sistemas y que luego permita gestionar atributos y permisos, así como desactivar a un usuario en todos los sistemas de una sola vez cuando por ejemplo, deja la empresa, en vez de tener miles de usuarios fantasmas en todos los sistemas. Use active directory, LDAP, Microsoft Oauth, OPenID Connect, Google o lo que sea, pero use algo centralizado.

Control de acceso: Desde tener puertas con identificación biométrica (suena sofisticado, pero es muy barato) para que solo algunas personas puedan entrar a la sala de servidores, hasta accesos limitados de ciertas redes, incluyendo el uso de redes privadas virtuales (VPN) para quienes se conectan a sistemas críticos de forma remota.

Atributos y roles: Es genial tener buenas contraseñas para que sea difícil entrar, pero si con una contraseña especial se puede hacer de todo, es un riesgo innecesario. Deben definirse roles con atributos súper claros, para que las personas puedan hacer las menos cosas posibles, lo justo y necesario para hacer su trabajo. Existe un deleite en los más techies con tener permiso administrador de todo, solo por la sensación de poder. Si necesita empoderamiento, la terapia es una mejor opción que la contraseña de administrador.

Respaldo y recuperación: Todo lo crítico debe ser respaldado… y los datos cambian todos los días! por lo que un respaldo de hace semanas es inútil. Hay que hacer respaldos grandes de forma periódica e incrementales de forma aún más periódica, TODO AUTOMATIZADO. Usted debe sentir la tranquilidad de que si mañana alguien con un martillo le muele todos los servidores, da lo mismo, ya que tiene todo respaldado o en la nube. No es necesario decir que respaldar con un disco duro en la misma sala o en el mismo edificio cae en la categoría terraplanista. La “recuperación” es una parte importante de la política y debe ensayarse. No se saca nada con descubrir el día del desastre que el mecanismo de recuperación no funcionaba… haga ensayos de borrado y recuperación.

Eliminación de pendrives: No use pendrives. En serio. Está dropbox, onedrive, google drive… Really. ¿vieron la foto de los pendrives que QUEMAN computadores?.

Antimalware: Usen antimalware, aunque sea aburrido, aunque de mensajes molestos. Paguen por eso… no usen solo cosas gratis. Que sea centralizado y que se actualicen todos los equipos a la vez, hay de bajo costo que hacen eso. No sea porfiado. nada de !Es que a mí nunca me ha pasado¡. Windows trae su propio defender cada vez mas mejorado, actívelo. Use mac o linux si quiere menos virus… pero no crea que se libra, igualmente hay malware y ransomware, de ese que te “rapta” los archivos del computador y te pide un rescate. Lo que nos vuelve la idea de… tener todo siempre respaldado.

Educación: Es necesario educarse sobre ciberseguridad. Gerentes y colaboradores. TODOS. Contraten un curso, un relator, vean un webinar. Como mínimo vean nuestro capítulo WaaS 14 sobre ciberseguridad, para que no estén perdidos en la ignominia digital.

Tarjetas prepago: Si va a comprar cosas de la empresa (o propias) aproveche las nuevas tarjetas de prepago, a las que puede ponerles un límite de gasto. Mach de BCI es una de las mas conocidas, pero el Banco de Chile, Santander, Coopeuch y varios otros están sacando estas tarjetas de prepago / cuenta vista que pueden usar para limitar el riesgo.

Gestor de contraseña: Si debe manejar muchas contraseñas utilice gestores de contraseña como lastpass, 1password o dashlane entre otros. No use papelitos debajo del teclado o pegados en el monitor. En serio. También tenga cuidado con las campañas de renovación periódica de contraseña.

Encriptación de disco: Mac y linux traen encriptación de disco por defecto y Windows profesional trae bitlocker (existen encriptadores open source). encriptar el disco y que se desencripte cuando la persona se loguee al computador va a evitar que si le roban el computador los secretos de la empresa terminen en un foro o en el mercadito de Facebook. Recuerde que ahora con teletrabajo, lo primero que roban en las casas son los laptops.

Actualizaciones: Instale las actualizaciones de seguridad recomendadas, no se pase días diciendo que “no” al popoup molesto que le dice que tiene que actualizar. A veces es largo, latero y un dolor de cabeza, pero peor es tener que pagar un rescate por tus datos.

Separación de redes: Si va a tener una Wifi, cree una red de invitados para clientes y proveedores, que no puedan tener acceso a sus activos de información. Es como en su casa… no es lo mismo pasarle a un invitado el baño de visitas que dejarlo entrar a la pieza y que pueda ver todo su desorden.

2FA: Segundo factor de autenticación. Suena sofisticado y difícil, pero no lo es tanto. Esto aplica sobre todo para esa cuenta de gmail (o yahoo) que usted usa para todo, hasta para Tinder (si, sabemos que usted sabe que existe esa aplicación). Esa cuenta que usa para recuperar todas sus contraseñas de la vida, si se la hackean es la perdición. No queremos eso. Puede usar una yubikey si es mas geek, pero también puede usar el mismo teléfono, la huella digital, un código SMS o algo que usted posee. De esa forma, la seguridad es algo que sabe (la contraseña) y algo que posee (la llave) o a lo que tiene acceso en vivo (como un SMS único, aunque francamente SMS NO ES UN MÉTODO RAZONABLE) . Puede parecer abrumador, pero seguramente va a ser mas abrumador que todos tengan esas vergonzosas fotos del carrete que quieres olvidar.

Documentación y procedimientos: Sistemas, plataformas y redes deben estar documentados, no pueden estar en la memoria de alguien. Es necesario escribir documentos que expliquen todo. De forma simple, pero clara. Si mandas a construir sistemas, pide que los documenten, y no dejes que nadie diga que no hay tiempo para documentar, ya que después hacer arqueología es mucho mas caro. Para todo lo que hemos dicho… hacer procedimientos. Usa bullets, pasos, algo simple, pero que incluso se pueda pegar en la pared para que todos lo entiendan.

¿Abrumados?

Ok, sabemos que es un poco abrumador todo lo planteado, y eso que no fue exhaustivo. Lo que importa es que tomen conciencia de que es un tema cada vez mas complejo, a medida que todo se va haciendo digital, aumenta la vulnerablidad y los negocios dependerán de la habilidad para protegerse correctamente. Hoy no es un problema de costo, sino que de estrategia, inversión y precaución.

No dejen que un pendrive haga quebrar su empresa y sus sueños.

Más detalles pueden ver en el episodio 14 de WaaS sobre ciberseguridad que pueden encontrar en https://youtube.authomata.io

Acerca del autor:

Andrés Bustamante Valenzuela es psicólogo organizacional de la Universidad Católica, magíster en Ingeniería de Negocios y Tecnologías de Información de la Universidad de Chile y cuenta con diplomados en Diseño de Servicios (UC) y en Teatro Musical (Projazz). Con más de 20 años de experiencia en tecnología, procesos, políticas públicas y transformación digital. Le apasiona la Realidad Virtual y cantar. Emprendedor, artista amateur, ex Director de Gobierno Digital de Chile, nombrado en 2018 por Apolytical UK como una de las 100 personas mas influyentes del mundo en Gobierno Digital. Actualmente Cofounder y socio de Authomata.io

Facebook
Twitter
LinkedIn
Pinterest

Deja un comentario

Abrir chat
Authomata
Hola, ¿Necesitas ayuda?