Invertir en herramientas de ciberseguridad ya no basta para blindar las infraestructuras tecnológicas de las compañías. Se debe lograr un alcance más amplio, ya que si solo nos concentramos en la mitigación, terminaremos por pasar por alto el mayor riesgo: las personas. Por eso, en este artículo, aprenderemos qué es el cortafuegos humano y cómo mejorarlo. Para abordar esta tarea contaremos con el apoyo de José Antonio Lopez Chauvet, Vicepresidente para Latinoamérica de Epicor, quien nos concedió una interesante entrevista al respecto.
¿Qué es un cortafuegos humano?
Antes de poder explicar este concepto debemos aclarar otro término, ¿qué son los cortafuegos? ¿Por qué lo usamos de analogía para este caso? Los cortafuegos, o firewalls, son una frontera virtual con el mundo exterior de internet. Este se encarga de supervisar y filtrar el tráfico entrante y saliente con el fin último de impedir cualquier ciberataque.
No es nada nuevo. El concepto se remonta a la década del 80; sin embargo, se han convertido en una poderosa herramienta eficaz hasta estos días. Se debe a que, principalmente, posee un enfoque proactivo y colectivo.
Aunque lo cierto es que perdió una cuota importante de efectividad cuando los ciberataques cambiaron su punto de mira en las infraestructuras tecnológicas, para centrarse en el eslabón más débil: el humano.
Cuando llevamos esta noción al mundo real nos encontramos con el cortafuegos humano. El cual está compuesto por seres humanos, los cuales forman parte de una organización. En ella, reciben todas las herramientas necesarias para reconocer y frustrar cualquier tipo de ciberamenaza.
En definitiva, el cortafuegos humano, está construido en una base de formación continua y de concientización en materia de seguridad. Ya que, como advierte Chauvet, “el mayor foco de vulnerabilidad son los empleados”.
Tipos de información confidencial que pueden ser vulneradas
- Información del empleado: Los datos sobre los trabajadores de una empresa son unos de los requisitos previos para cualquier trabajo. Desde la información de nómina y los currículos antiguos, hasta la dirección o cualquier otro dato confidencial debe almacenarse y eliminarse correctamente.
- Información de la organización: También se lo puede conocer como secretos comerciales. Dentro de esta noción se incluyen cualquier tipo de dato que no pertenezca al dominio público. Son estos los que ayudan a la empresa a optimizar sus tareas y brindar un diferencial en sus servicios. Algunos ejemplos pueden ser la información sobre los procesos industriales, presupuestos o costos.
- Información del cliente: No podemos negar la incidente que tienen los datos en el éxito de una estrategia comercial. Pero, para poder asegurar la integridad de los mismos, deben ser recopilados y almacenados según la legislación correspondiente, como el RGDP. Cualquier filtración, aunque sea del dato más pequeño e insignificante, puede ser perjudicial tanto para el cliente como para la empresa.
- Información profesional: Se refiere a los datos que almacenan los servicios profesionales sobre sus clientes. Cada uno de ellos tiene el deber ético y legal de proteger la información del cliente, ya que, de no hacerlo, se puede derivar en acciones perjudiciales para la reputación profesional.
¿Por qué deberías considerar implementar un cortafuegos humano?
La ciberseguridad de una organización debe ser tan fuerte como su eslabón más débil. Incluso antes de que la pandemia acentuase irremediablemente la dependencia a las infraestructuras tecnológicas diversas de las empresas, ya se podía vislumbrar que las principales debilidades no venían solo del hardware o software.
Los empleados siempre han sido es eslabón más débil de cualquier sistema informático. Convirtiéndolo, de esta manera, en una de las estrategias de seguridad más difíciles de abordar.
En el informe X-Force Threat Intelligence Index Report, IBM advirtió que el error humano continúa generando el porcentaje más alto de problemas de seguridad. Solo en este año, 3 de cada 10 incidencias provenían de técnicas de phishing a través de correo electrónico.
Si a esta perspectiva le sumamos la llegada del trabajo híbrido o remoto, las alarmas sobre la vulnerabilidad del factor humano parece dispararse.
José Antonio Lopez Chauvet menciona que las técnicas favoritas de los ciberatacantes son: el phishing, la descarga de malware mediante correo electrónico o SMS, donde el aspecto que más preocupa es el secuestro de información.
Sin embargo, el más sencillo de realizar y el más efectivo suelen ser los correos electrónicos maliciosos. Ya que estos son en los que la gente tropieza regularmente. Estos suelen poseer un “link que, a su vez, tiene acción camuflada. Generalmente, son archivos adjuntos en donde se contiene un virus con cierta pieza de código dentro el cual comenzará a recopilar información”
La necesidad del cortafuegos humano se ha tornado en un debate que domina las oficinas encargadas de la ciberseguridad. Incluso ha contribuido a cambiar el paradigma de la seguridad informática de forma drástica. Pasando de un enfoque en la segurización de las infraestructuras de software y hardware, a una de basada en el factor humano.
Al analizar el ciclo de vida de cualquier amenaza o acción de ciberseguridad, es fácil notar que todas dependen en última instancia de la interacción humana. Cada acción humana termina por interactuar con información crítica, sin percatarse del poder que poseen para socavar el diseño de seguridad más completo.
Características de un cortafuegos humano
- Involucra a toda la organización.
- La responsabilidad de cualquier riesgo de ciberseguridad afecta a todos los departamentos.
- Es un enfoque que se ejecuta permanentemente, y se optimiza con regularidad.
- Su principal herramienta es la concientización y la educación sobre las formas más actualizadas de ataques.
- El cortafuegos humano forma parte de la cultura empresarial de la organización.
¿Cómo mejorar el cortafuegos humano?
Involucra a toda la organización
A todos nos gusta formar parte de algo más grande que nosotros. Por eso, es hora de que incluya a todo su personal en una estrategia general de cortafuegos humanos. Chauvet advierte que “todas las personas son vulnerables. No importa si eres el director de finanzas o si tienes un puesto de analista. Cualquiera que tenga acceso a un dispositivo, ya sea de escritorio o móvil, y que esté relacionado con su trabajo por el cual necesite estar conectado a la red, deberá de tener esos entrenamientos”
De esta forma, tendrá más activos que trabajen en monitorizar y detener cualquier intento de ataque informático. La clave está en brindar las herramientas necesarias para que estos pueden identificar estas brechas de seguridad. Esto incluirá tanto a las campañas de concientización periódicas, como a las herramientas informáticas necesarias.
Educación y concienciación de los empleados
Tenemos que hacer una pequeña parada para una breve aclaración: las filtraciones de datos son un problema de seguridad, pero también de cumplimiento y protección de datos.
¿Cómo podrá un empleado llevar a cabo la estrategia correcta si no cuenta con las herramientas adecuadas para ello? Un cortafuegos humano debe contar con procesos y herramientas claras para luchar con estas filtraciones.
Sin embargo, no basta con información sobre cómo proceder. También se debe proporcionar herramientas que notifiquen sobre los incidentes actuales en la organización. De esta forma, le será mucho más fácil al firewall humano dar aviso sobre un problema.
En el caso de Epicor, tal como nos cuenta Chauvet, los empleados realizan diversas pruebas aleatorias a lo largo del año para medir el estado de su cortafuegos humanos. A través de esta estrategia, se le envían diversos correos con links externos sospechosos. También se altera la redacción de párrafos para dar cuenta de que efectivamente se está intentando llevar a cabo una estafa.
¿Por qué ejecutar estas pruebas? El vicepresidente de Epicor aclara que “si se detecta que la gran mayoría de los empleados empiezan a tener interacción con esos correos se nos enciende una alerta amarilla, o rojo, dependiendo de cuántos empleados tengan acceso”. Gracias a este diagnóstico, se logra “dar con un indicio claro de sí nuestra plantilla se encuentra lo suficientemente madura en cuanto a ciberseguridad. A partir de allí se recomienda hacer una pequeña recapitulación, a través de un entrenamiento en línea, en donde se repasen los diferentes conceptos de ciberseguridad.”
Concienciación y gamificación para el cortafuegos humano
A la hora de mejorar tu cortafuegos humano, debes recordar que estos no poseen capacitación técnica en términos complejos de ciberseguridad. Por lo tanto, deberás evitar bombardearlos con demasiada información en formato rígido y poco atractivo.
En su lugar, recurre a técnicas de gamificación que vuelvan dinámica la jornada de aprendizaje. Esto garantizará que el empleado conserve los conocimientos transmitidos.
No dejes de actualizar
El panorama de seguridad cambia con la misma velocidad que se optimiza el sector tecnológico. Cada delincuente innova en nuevas tácticas para engañar a los empleados, ya que las técnicas viejas suelen ser descubiertas y remediadas por los equipos de seguridad.
Por eso, recomendamos que las capacitaciones sean continuas y periódicas. De esta manera, el empleado estará al día sobre las nuevas técnicas y tendencias en cuanto a estadas, phishing y seguridad.
Premia el buen trabajo
Tampoco debemos olvidar que los empleados del cortafuegos humano deben sentirse recompensados por hacer un buen trabajo, y por cooperar a la seguridad del entorno. Recuerda dar pequeñas recompensas a medida que los empleados completan su educación en ciberseguridad.
El cortafuegos humano en la política empresarial
El éxito del establecimiento de un cortafuegos humano también implica la participación activa de la gerencia de una empresa. De hecho, el objetivo de esta técnica es que pase a formar parte de la cultura organizacional. No solo un handicap de cara a la productividad.
Los planes de ciberseguridad deben incluir a todas las áreas y contar con un saludable liderazgo que solo la gerencia de una empresa puede adoptar.
Implementa una estrategia integral: Estructura de ciberseguridad 3×3 en el caso de Epicor
Las empresas tienen diversas formas de abordar la ciberseguridad. En un principio, son estrategias básicas, casi como pequeños pasos en el mundo de la ciberseguridad.
Sin embargo, con el tiempo y la experiencia es común que adopten estructuras personalizadas a la realidad de su compañía. Tal como es el caso de Epicor.
José Antonio Lopez Chauvet, vicepresidente para Latinoamérica de Epicor, nos acerca la dinámica de ciberseguridad que lleva a cabo su empresa. La misma se denomina estructura 3×3 y contiene un interesante enfoque sobre el cortafuegos humano.
El nombre proviene del funcionamiento de la estructura, que se basa en tres grandes pilares. Al respecto explica que “el primer pilar se encarga de proteger e identificar las identidades. El segundo pilar busca garantizar el estado de los dispositivos que se usan dentro de la de la empresa. Por último, el tercer pilar, es el conocer qué está sucediendo dentro de su organización”.
1 | Identidades y accesos
En relación con el primer pilar referido a la protección e identificación de identidades, Chauvet recomienda proteger las aplicaciones externas mediante autentificación de multifactor.
Sin embargo, también hace especial hincapié en el principio de privilegios mínimos. Donde se le conceden al usuario los privilegios básicos para que este puede realizar sus tareas. Evitando que los empleados deambulen a lo largo y ancho de la estructura TI de la empresa y se generen importantes brechas de seguridad.
2 | Estado de los dispositivos
En cuanto al segundo pilar, donde se garantiza el estado de los dispositivos, se recomienda aplicar los parches, tanto de software como de hardware, regularmente. Es decir, deberás procurar que tus aplicaciones se actualicen constantemente.
En este paso también se debe ejecutar una segmentación de las redes. Se puede seguir el criterio de ubicación. Por ejemplo, agrupar las aplicaciones que se encuentren en la nube, por un lado, y las que se encuentran en servidores locales, por el otro. Esto permitirá canalizar el flujo de información para saber qué sucede en la empresa.
3 | Diagnóstico de la empresa
En este tercer pilar encontraremos a nuestro cortafuegos humano. Allí también nos encargaremos de revisar el tráfico de nuestras redes y terminales para lograr un examen exhaustivo de lo que está ocurriendo.
De esta forma, podremos pasar de una postura reactiva ante los ciberataques, que pueden llegar a costar varios cientos de dólares, a un enfoque preventivo y proactivo.
Conclusión
Hemos repasado la importancia de los cortafuegos humanos en ciberseguridad. El factor humano es uno de los principales vectores de ataque y, por tanto, una de las vulnerabilidades más desatendidas dentro del área de mitigación de riesgos en una empresa. Es por ello que José Antonio Lopez Chauvet nos ha acompañado a estructurar los primeros pasos para crear un plan de capacitación de personal en temas de ciberseguridad. Esperamos que estas recomendaciones sean una ayuda relevante para tu organización.
