7 lecciones de seguridad que puede aprender tu empresa viendo Mr. Robot

Una de las series más interesantes y con un mayor número de fans en los últimos tiempos es Mr. Robot, que nos cuenta las andanzas de un grupo de hackers que tratan de derribar el sistema financiero de Estados Unidos y por ende mundial. Para llevar a cabo sus propósitos tienen que entrar aprovechando las puertas traseras en los sistemas de empresas y Gobiernos. Por ello vamos a ver hoy siete lecciones de seguridad que puede aprender tu empresa viendo Mr. Robot.

Se trata de una serie de ficción, pero ello no implica que no tenga ciertas similitudes con casos reales que han ocurrido, brechas de seguridad que han sufrido empresas de renombre, incluso recientemente, y que dejan a sus usuarios y la información que guardaban expuestos. En las empresas muchas veces se confía en los empleados, en que a nadie le interesa nuestra información porque somos una empresa pequeña, etc. Esto hace que la seguridad se piense de una forma un tanto laxa y ver una serie como Mr. Robot da que pensar.

1. Copias de seguridad, ¿son suficientes y están seguras?

Dentro de la trama de la serie el objetivo es destruir los datos de una de las principales corporaciones de Estados Unidos. Para ello no sólo tienen que atacar sus sistemas y destruirlos o cifrarlos, sino que también tienen que evitar la posibilidad de recuperar la información a través de las copias de seguridad. No sólo se trata de las copias locales, que se guardan en el centro de datos de la empresa, sino también las copias remotas que se guardan fuera de las mismas en otro país.

En caso de un incidente que afecte a la información, ¿puede tu empresa recuperar datos? ¿Estamos seguros de que se hacen las copias correctamente? Realizar test de esfuerzo es fundamental para comprobarlo. También tener una copia antidesastre que se encuentre fuera de la organización, que esté cifrada y en una ubicación diferente, a ser posible custodiada y sin conexión a la red para servir como último recurso.

2. Lecciones de seguridad con Mr. Robot: Todos los sistemas son vulnerables

Todos los sistemas son vulnerables. Se trata de una cuestión de tiempo y de paciencia. Las brechas de seguridad son múltiples, ya sea el sistema operativo de los ordenadores, de los teléfonos móviles, una página web que visita un empleado, etc. Existen múltiples fórmulas de acceder a la información, pero los equipos personales son especialmente vulnerables.

¿Tienen tus empleados información corporativa en sus dispositivos personales? ¿Has revisado los portátiles y equipos de conexión remota? A veces las brechas de seguridad son tan evidentes que no hace falta ser un experto para explotarlas, solo documentarse y leer un poco para saber hacerlo.

3. Siempre hay alguien estúpido que introduce una memoria USB

En uno de los episodios Mr. Robot tiene que hackear el sistema de una cárcel. Para lograrlo simplemente se dedican a tirar pendrive por el parking de la misma, con la esperanza de que alguien estúpido introduzca la memoria USB infectada en el equipo del trabajo. Y lo consiguen. Puede parecer ciencia ficción, pero lo cierto es que así se consiguió introducir el virus Stuxnex en las centrales nucleares de Irán y los estudios afirman que muchos empleados realizarán la prueba.

4. Todo el mundo tiene debilidades

Otra de las cuestiones importantes es que las debilidades de la seguridad no sólo están en los sistemas. Muchas veces son los usuarios del mismo los colaboradores necesarios para crear la brecha, de forma inconsciente, como en el caso del empleado que introduce la memoria USB encontrada en el parking u obligados. Los usuarios deben tener el mínimo privilegio necesario para realizar su trabajo, todo lo demás supondrá un riesgo para nuestra empresa.

5. Las redes sociales son una fuente de información sobre empleados y empresas muy valiosa

Otra de las cuestiones que la serie deja patente es que no sólo se hackean sistemas, también se hackean personas. Para ello el arma fundamental son las redes sociales. ¿Sabes que información comparten tus empleados de tu empresa en las redes sociales? Muchas veces lo que se puede encontrar es mucho más de lo que querían mostrar. Pero también puede ser una valiosa fuente de información para empresas a la hora de reclutar nuevos empleados.

6. Las contraseñas de acceso a servicios de Internet no son seguras

Otra de las formas de acceder a información privilegiada es el descubrimiento de las contraseñas. Con un poco de indagación de la persona cuya información se quiere obtener resulta fácil. La mayoría utiliza siempre la misma, la tienen apuntada en sus agendas, es el nombre de su mascota, matrícula del coche, etc. No hay que utilizar información personal para la contraseña a ningún servicio ni sistema de la empresa. ¿Tiene una política de contraseñas tu empresa? ¿Obliga a los empleados a cambiarlas?

7. ¿Cuánto pierde tu empresa por dejar de trabajar?

Al final lo que debería preguntarse cada empresa es cuánto dinero perdemos si no podemos trabajar. En función de dicho dato y del perjuicio que tengamos es necesario establecer un plan de seguridad adecuado para nuestra organización. Copias de seguridad, privilegios de usuario, trazabilidad para ver quién accede a qué, etc. No se trata de volverse paranoicos, pero si de tener un plan B por si cualquier día tenemos un incidente de seguridad que compromete los sistemas de nuestra organización.

En Blog Sage | Tres puntos negros de la seguridad en las oficinas
Imagen | PROCory Doctorow / Flickr