Llegamos a ustedes gracias a:



Conversando con...

Florín Baras, director global de Bitdefender

Reforzar al eslabón más débil de la cadena de seguridad

[30/10/2018] Hace unos días conversamos con Florín Baras, director global de Bitdefender, sobre el estado de la seguridad en las empresas. Como siempre, tocamos el punto de las amenazas más recurrentes y la forma en que las organizaciones las están enfrentando. Lo novedoso en la respuesta del ejecutivo es que ahora la organización de seguridad ya no solo plantea lo que es común a las empresas de este campo, es decir, técnicas y software de seguridad.

Más bien, Baras nos habló de una iniciativa que están preparando para ofrecer capacitación a los empleados de las organizaciones, para no caer en las trampas usuales que lanzan los cibercriminales para penetrar la seguridad de las firmas a través de su punto más débil: las personas. Esa iniciativa consiste en capacitar al personal lanzándole pruebas para determinar si ellos 'caen' en las 'trampas' -por llamarlas de alguna manera, aunque Baras no quiso darles ese calificativo- que se les lanzaban.

Ya hay algunas pruebas y los resultados indican que todos caemos, incluso el personal de TI. Por tanto, la tarea, además de las usuales en cuanto a tecnología, es reforzar el eslabón más débil de la cadena de seguridad: el usuario.

El entorno

El ambiente sigue siendo peligroso para todos; pero más, obviamente, para las organizaciones que manejan directamente el dinero de las personas: los bancos. Baras, por ejemplo, indicó que unos días atrás se había reunido con ejecutivos de un país caribeño en el cual los cibercriminales habían logrado sustraer 400 millones de dólares tan solo de los cajeros automáticos.

La razón es simple, muchos de estos aparatos aún se manejan con el sistema operativo Windows XP que ya no recibe actualizaciones y, por tanto, ofrece más vulnerabilidades.

"En general, se han incrementado en 144% los ataques año a año, y casi nadie se escapa. Pero hablando de América Latina, el 92% de las entidades financieras han sufrido algún ataque más grave o menos grave, y en instituciones bancarias que son las que más invierten en tecnología, eso nos dice hasta donde hemos llegado con los ataques, sostiene el ejecutivo.

Después de las entidades financieras, el Gobierno es otro objetivo, tanto por intereses económicos como por intereses políticos. En este sector hay mucha inversión -sobre todo por parte de los estados más fuertes- para ampliar los servicios de gobierno electrónico y la interacción entre la población y las entidades públicas. Y, precisamente, el hecho de que haya cada vez más transacciones entre las dos partes y que, además, el gobierno guarde datos de todo lo que hacemos nos sugiere que hay que tomar precauciones en este campo; y aquí un rol importante lo sigue teniendo el usuario, tanto en la entidad del Estado como en la empresa privada.

"De hecho, en ciertos estudios que hemos hecho desde Bitdefender, el 70% de los ataques tienen algo que ver con el usuario, debido a una falta de cultura y sensibilización en ciberseguridad que permiten que se ejecuten este tipo de ataques, sostuvo Baras.

Pero la inversión no se está dirigiendo hacia él. Generalmente, la inversión en seguridad se orienta a tener herramientas más sofisticadas o de mayor alcance para evitar que los intrusos ingresen a un sistema. Pero la inversión en la educación del usuario es casi plana, de acuerdo a Baras.

Eso se debe a que es difícil formar a todos los colaboradores de una gran organización o siquiera contar con la cantidad de personas con las que se pueda cubrir a tantas personas.

"Y aquí nosotros estamos en una iniciativa para el próximo año, en enero, lanzar una herramienta automatizada que, en base a la interacción con el usuario, éste se puede quedar con este tipo de conocimientos; es decir, cómo detectar un ransomware, un phishing, un fraude, etcétera, indica el entrevistado.

Además, en esta herramienta el departamento de TI no tendrá que intervenir, solo deberá tener una metodología que permita al departamento de seguridad o TI implementar la herramienta con algunos clics. Luego, a partir de ahí un sistema automatizado se encargará de todas las simulaciones y de ver cómo responde el personal, y en base a este comportamiento el usuario va creciendo y se le puede brindar más conocimiento.

Se trata entonces de una herramienta de capacitación interactiva y automatizada, que se diferencia de otras ya existentes en que éstas dependen del departamento de TI o del de seguridad para personalizar el tipo de ataques.

"Se evalúa al usuario poniéndole pruebas, porque hay que hacerlo dentro de un proceso reconocido de formación; o sea, no lo haces con el propósito de solo evaluarlo sino de llevarlo por un proceso de cambio de comportamiento; la idea es transformarlo en alguien activo en la detección, señala Baras.

Este producto de educación se lanzó como prueba en varios mercados, y es curioso que casi siempre las organizaciones desean iniciar los tests en los departamentos de TI, para probar y ver cómo funciona. En las pruebas se pudo comprobar que los ratios de apertura de los colaboradores de los departamentos de TI son un poco menores a lo normal, se encuentran entre el 20 a 30%, mientras que los ratios de clics se encuentran entre el 10 y el 15%. Lo habitual es estar por encima de 30 o 35%, en el primer caso, y entre 18 a 20% en el segundo caso.

Todos caemos, aunque unos más que otros. En todo caso, la seguridad ya no solo depende de tener la mejor tecnología, sino de contar con la participación activa de los colaboradores.