Sin duda alguna, la vulnerabilidad más importante de cualquier sistema de información se encuentra en los usuarios. Todos los ataques dirigidos, en especial los de mayor éxito, utilizan técnicas de Ingeniería Social como parte de su estrategia. Esta debilidad, sin embargo, se puede convertir en fortaleza. El personal de una empresa puede llegar a ser la mejor medida de seguridad si se tiene en cuenta, al igual que los atacantes, que las personas son muy diferentes de las máquinas y no se pueden ‘configurar’ de la misma forma.
Siendo así, está claro que el área de la empresa cuya principal función son las personas no puede ser ajena a los temas de seguridad de la información y tiene que reforzarse más que los demás miembros de la plantilla de una empresa, si cabe, para prevenir y gestionar ciberataques en caso de haber sido víctimas de alguno.
En concreto, se puede analizar su especial implicación desde tres puntos de vista:
- Como usuarios que manejan datos de carácter personal y por tanto tienen obligaciones legales relacionadas
- Como posibles objetivos de ataques a la información sensible que manejan
- Como soporte a los demás miembros del personal de la empresa
1.- Como usuarios que manejan datos de carácter personal y tienen obligaciones legales relacionadas
El personal de recursos humanos tiene acceso, al menos, a los datos personales de los empleados. Sin entrar en detalles que pueden variar de una empresa a otra, está claro que deben ser conocedores de las obligaciones que provienen de la LOPD, RGPD y demás legislación vigente en este ámbito.
Seguir las normas internas de una organización a ciegas no sirve, pues no todo lo que ocurre en el día a día se corresponde literalmente con una norma. Resulta fundamental comprender dichas normas, de dónde vienen y por qué. Es necesario, en ocasiones, acudir a el ‘espíritu de la ley’ para entender cómo aplicarla a algún caso concreto.
Además, tampoco pasa nada por tener dudas. De hecho, es lo más normal. En la empresa siempre habrá posibilidad de consultar situaciones ordinarias o excepcionales con el Delegado de Protección de Datos, si existe, con el departamento de Seguridad de la Información, o con algún especialista externo con el que se trabaje.
Lo único que no se debe hacer nunca es actuar como autómatas cuando se manejan datos de otras personas o datos sensibles de la empresa. Hay que ser muy conscientes de la importancia de cada decisión que se tome dentro del departamento de recursos humanos.
2.- Como posibles objetivos de ataques a la información sensible que manejan
El personal que trabaja en un departamento de RRHH de cualquier empresa presenta dos vertientes que lo convierten en posible objetivo de especial interés para los atacantes:
-Por un lado, el acceso a los datos personales de empleados y candidatos
-Por el otro, el acceso a números de cuenta y su consecuente manejo de dinero a la hora de realizar transferencias de nóminas.
En ambos casos, existen fundamentalmente dos tipos de ataques dirigidos:
- Infección con malware. Ya sea para robar información mediante software espía o para controlar remotamente el ordenador mediante rootkits, RAT (Remote Administration Tools) u otros sistemas.
- Phishing o Spear Phishing, o el empleo de ingeniería social, de forma dirigida o masiva, para la obtención de credenciales de acceso a banca online, tarjetas de crédito, datos bancarios, etc.
Por supuesto, e, incluso, con mayor insistencia en los departamentos de recursos humanos, son importantes las medidas de seguridad técnicas habituales, como:
*Un buen firewall
*Un buen antivirus, con licencia en vigor y actualizado.
*Sistema operativo y demás software instalado en el equipo actualizados.
*Copias de seguridad regulares y comprobadas periódicamente.
*No utilizar usuario administrador.
*No instalar ningún tipo de software no aprobado previamente por el departamento de sistemas.
También es importante una buena gestión de las contraseñas.
- Uso de contraseñas largas y complejas. El motivo es ponérselo más difícil a un posible atacante para ‘adivinar’ una contraseña o conseguirla a base de probar todas las combinaciones posibles (ataque por fuerza bruta o diccionario).
- Cambiar la contraseña con cierta frecuencia, y no reutilizar las anteriores. El objetivo de esta medida es limitar el impacto si, a pesar de todas las precauciones adoptadas, un atacante consigue la contraseña del usuario. De esta forma, el intruso dejará de tener acceso cuando se modifique periódicamente la contraseña.
- Usar contraseñas diferentes para cada servicio. Algunos servicios guardan las contraseñas de forma insegura y se producen filtraciones, o incluso algunos servicios están administrados por maleantes que buscan contraseñas ofreciéndonos algo gratis. Si alguna contraseña se filtra y se utiliza la misma en un servicio más sensible, ese servicio queda expuesto.
Ante esta situación existen diferentes medidas técnicas que se pueden implementar en una organización. Las más sencillas son las que eliminan las contraseñas sustituyéndolas por algún sistema biométrico, como las huellas dactilares. Reforzar el acceso a los servicios más críticos con un segundo factor de autenticación, o más de uno, es otra buena solución si se ejecuta bien. Es decir, que el sistema, tras introducir usuario y contraseña, pida confirmación de la autenticación por otra vía, como por ejemplo el teléfono móvil.
En cualquier caso, puesto que no se puede prescindir de las contraseñas en todos los servicios, resulta muy aconsejable el uso de algún software de gestión de contraseñas. Existen muchos y algunos gratuitos, por lo que se tiene que valorar mucho a la hora de elegir de cuál nos fiamos. Se trata de una aplicación, que puede estar en el móvil, donde almacenamos todas nuestras contraseñas de forma protegida.
Pero cualquier hacker sabe que la forma más fácil de romper un sistema de autenticación es ‘pedirle’ a un usuario su contraseña. Evidentemente no siempre se solicita directamente, sino que a veces se le engaña para que la teclee en una web que controla el atacante. Es la vía más básica de hacer phishing.
¿Cómo se protegen los usuarios de este tipo de ataques?
Los ciberdelincuentes van a intentar engañar siempre a los usuarios y si dan con el motivo adecuado, lo pueden conseguir. Por ejemplo, uno de los últimos casos detectados atacó directamente a un departamento de rrhh en el que el ciberdelincuente se hizo pasar por un empleado que solicitaba un cambio de número de cuenta para la transferencia de la nómina, una cuenta que, en realidad, estaba a nombre del propio hacker que pasaba a recibir el salario del trabajador de la empresa timada. Esta técnica es conocida como email spoofing y se basa en la suplantación de identidad del remitente. Esto es posible si la cuenta del remitente ha sido comprometida o simplemente emulando el dominio legítimo del remitente mediante técnicas de cybersquatting.
Pero tampoco hay que caer en una situación de paranoia dentro del departamento de RRHH. Desconfiar, sí, pero ¿de todo? Sería lo mejor, pero probablemente no sería productivo. Al menos sí se puede partir de una serie de criterios básicos:
- Concienciar a los miembros de los departamentos de recursos humanos sobre qué datos manejan que pueden ser interesantes para un atacante. Cualquier dato de carácter personal, datos relacionados con el dinero (cuentas bancarias, tarjetas de crédito…), credenciales de acceso, etc.
- Verificar las fuentes. Siempre que soliciten realizar cualquier acción (instalar algo, entrar en una web, avisar a otros de cierto peligro…) o facilitar cualquier dato (por correo electrónico, aplicación de mensajería instantánea, teléfono…), hay que asegurarse de quién lo está pidiendo y si es de confianza. Si la información que piden es importante, la forma de asegurarse debe ir en consonancia, y si puede ser, confirmar por una segunda vía. Si piden algo por email, confirmar por teléfono, por ejemplo.
- Desconfiar de los ‘regalos’. Un buen atacante investiga a su objetivo. Si le gusta el fútbol, le pondrá un cebo sobre este tema (una noticia jugosa para que entre en una web, un asunto interesante en un correo electrónico, por ejemplo).
- Por supuesto, si el mensaje tiene una redacción ‘extraña’ o el tema se sale de lo habitual, o al menos de lo habitual con ese contacto, desconfiar y confirmar por otra vía.
- En ocasiones, en lugar de un premio el ciberdelincuente utiliza una amenaza. La mayor parte de las veces es vacía, y sólo busca generar miedo para vulnerar el comportamiento racional del usuario.
Parece complicado, pero cuando se está en situación de alerta muchos detalles que se podrían haber pasado por alto resultan evidentes. Lo importante es que esto no ocurra después de haber sido víctimas, que es lo habitual, sino tras una buena sesión formativa de concienciación.
3.3 Como soporte a los demás miembros del personal de la empresa
El departamento de RRHH también desarrolla ciertas labores destinadas a mejorar la seguridad de la empresa en general.
Los sistemas y protocolos de seguridad deben mantener un equilibrio muy importante, y muy difícil, entre confidencialidad, integridad y disponibilidad. Y ese equilibrio, además, será diferente para cada activo de información de la organización.
Por ejemplo, no tienen el mismo peso estas tres variables en:
- Los resultados de reconocimientos médicos o discapacidad de los empleados, en los que se da más importancia a asegurar la confidencialidad, es decir, prevenir una posible fuga de información.
- Los números de cuenta bancaria de cada empleado, donde es absolutamente necesario asegurar la integridad, para evitar que una modificación no detectada suponga realizar ingresos en cuentas erróneas.
- El propio sistema de generación de nóminas, especialmente los días del mes en que hay que generarlas, donde la falta de disponibilidad puede suponer un retraso en su pago.
Un buen sistema de seguridad debe contemplar todas estas variables, que son diferentes en cada organización y para cada activo, y por tanto no tiene sentido aplicar las mismas medidas de seguridad estandarizadas en todas las empresas.
Por otro lado, las medidas de seguridad deben proteger al usuario frente a todo tipo de incidentes, pero a la vez deben permitirles hacer su trabajo. En muchas ocasiones, medidas de seguridad aplicadas de forma horizontal suponen un mayor problema que los incidentes que evitan. Si una medida de seguridad es totalmente transparente a las personas su implementación será un éxito. Pero resulta muy poco habitual. Si, por el contrario, supone un pequeño inconveniente en el trabajo, la reacción natural de las personas es buscar la forma de saltarse dicha seguridad. En ese sentido, las normas y un régimen disciplinario no suelen ser suficientes, incluso aunque sean severos.
Se convierte en algo fundamental, por tanto, el que las personas que forman la organización comprendan la necesidad de tomar las medidas que les afectan en su trabajo. Es lo que se llama concienciación. Cuando la persona entiende los riesgos y ve necesaria la precaución establecida, no intentará saltársela. Incluso velará para que los demás compañeros la cumplan y entiendan a su vez la necesidad de cumplirla.
Esto se consigue con tiempo, y con acciones específicas de concienciación. No es necesario formar a la gente para que lleguen a ser expertos en ciberseguridad. Simplemente, que conozcan los riesgos y las consecuencias que puede tener no hacer bien las cosas, y que entiendan las normas y las interioricen.
Por supuesto, no todo el mundo puede cambiar su forma de hacer las cosas a la primera. Por otro lado, las propias normas de actuación a veces han de ser evaluadas para medir su idoneidad y para que puedan evolucionar en un mundo que no se queda nunca estático.
Para esto, igual que se hacen simulacros de incendio en algunas empresas, o simulacros de emergencia en los barcos, también es conveniente realizar simulacros de incidentes de ciberseguridad. Uno de los más habituales son los simulacros de ataques mediante ingeniería social, que nos permiten evaluar el nivel de madurez y concienciación de los empleados respecto a este tipo de riesgos.
El departamento de RRHH genera las gestiones principales de alta y baja de trabajadores, así como la variación de datos de los mismos, y una correcta gestión de estas actividades resultan críticas en seguridad. De ellas, las más olvidadas e importantes son las relacionadas con la baja de trabajadores de la organización.
Es muy habitual que un trabajador que abandona la empresa mantenga algún tipo de acceso durante un tiempo indefinido porque nadie se ha acordado que dicho acceso existía, o quien lo sabía no era consciente de que el trabajador ya no era parte de la organización.
También resulta muy habitual que se produzcan conflictos originados en las actividades del trabajador en su último día, o en las actividades de la empresa con los dispositivos del trabajador o su correo electrónico tras su baja.
Se hace fundamental tener un buen procedimiento para este caso que incluya la eliminación de sus permisos, credenciales, devolución de sus activos (ordenador, móvil, tablet…), información que maneja, etc. Este procedimiento ha de cubrir todos los puntos, cómo se deben realizar, quién es el responsable y en qué momento se deben llevar a cabo.
En resumen, desde los departamentos de RRHH puede incidirse en gran medida en la seguridad de la información con estas acciones:
- Participar en la revisión de los procedimientos de seguridad, para mejorar su adaptación a las necesidades de cada puesto de trabajo.
- Facilitar a todos los empleados una formación en seguridad adecuada a su nivel. En el caso del personal de RRHH, una formación en protección de datos de carácter personal es fundamental.
- Organizar jornadas de concienciación periódicas para que los empleados comprendan mejor los riesgos existentes, la necesidad de las normas que deben cumplir y las hagan suyas.
- Realizar periódicamente simulacros de ataques por ingeniería social o tests de ingeniería social, para conocer el nivel de implicación real de los empleados con la seguridad, y ayudar a mejorar también las normas y procedimientos de seguridad.
- Revisar los procedimientos de alta y baja de trabajadores, asegurarse de que cubran todos los aspectos necesarios y que se estén realizando correctamente.