De eslabón más débil a arma secreta: cómo Google enseña a mejorar la formación en seguridad

Google ha anunciado recientemente una forma novedosa e inesperada para mejorar el conocimiento general y la competencia en seguridad del usuario de tecnología. El gigante de Internet puso en marcha recientemente una serie de talleres en Reino Unido diseñados para poner a los individuos al frente del control de su seguridad online. Ésta es una gran iniciativa que sin duda podría beneficiar a los responsables de TI en sus interminables esfuerzos por hacer llegar a los hogares el mensaje de lo importante que es seguridad de la información. Pero esto no puede reemplazar a un riguroso plan corporativo de formación en seguridad TI.

La iniciativa Summer of Safety Roadshow 2015 se llevó a cabo cinco ciudades, en un intento por ofrecer “una introducción detallada de cómo tener mayor seguridad online utilizando herramientas sencillas”. Los escépticos probablemente piensen que ésta es sólo otra manera de impulsar nuevos servicios de Google. Pero, para ser honestos, cualquier esfuerzo destinado a convencer a los usuarios de la importancia de proteger sus cuentas online debe ser bien recibido. De hecho, según una investigación de Google, la cuarta parte de los 2.000 usuarios que participaron en una encuesta, reconoció que sus cuentas habían sido hackeadas en los últimos dos años, mientras que un número similar afirmaba no contar con medidas de seguridad para proteger su smartphone.

Usuarios en la empresa

Estamos ante un aspecto importante, puesto que la consumerización ha cambiado completamente la manera en que las TI operan a día de hoy en las corporaciones. Mientras antes toda la tecnología utilizada en el trabajo era propiedad del departamento de TI y era gestionada y protegida por el mismo, hoy es muy probable que exista una mezcla de hardware y software que gestiona tanto la compañía como el empleado. Herramientas de colaboración y almacenamiento online, CRM y ERP en modo SaaS, cuentas de Webmail e incluso peticiones de Amazon Web Services son, a menudo, adquiridas y ejecutadas por unidades de negocio o particulares.

¿La razón? La tecnología de consumo está superando rápidamente en términos de funcionalidad y potencia informática a cualquier cosa que pueda comprar la empresa y, además, es un millón de veces más fácil de utilizar. Basta con pensar en una cuenta de gmail frente a la cuenta de correo de almacenamiento limitado de la empresa. Por no mencionar el hardware. El BYOD es un fenómeno prácticamente omnipresente y una práctica habitual en cualquier empresa española, ya que los empleados, especialmente los que acaban de llegar al lugar de trabajo, reclaman poder usar sus móviles y tablets personales en sus puestos. Pero esto no acaba aquí. Me atrevo a predecir que en la próxima oleada de esta consumerización veremos wearables como fitness trackers y relojes inteligentes en el trabajo.

Bloquear el riesgo

Pero no se trata de no tener riesgos. El modelo de control empresarial ha tenido varias ventajas clave sobre la tendencia actual de consumerización. El hardware y las apps y hardware eran estrictamente controlados, examinados y gestionados, bloqueando así un posible ataque. Las apps y dispositivos de consumo, por otro lado, han sido criticados por la carencia del mismo de nivel de controles de seguridad. Y fuera del control del departamento de TI, pueden abrir la empresa a mayores riesgos si los datos y/o cuentas son hackeados.

El roadshow de Google puede ser visto como un complemento a los programas de capacitación de seguridad TI de las empresas. La idea es que si alguien está seguro en casa, pueda trasladar esos buenos hábitos a su lugar de trabajo. Puede que el sentido bidireccional del lado empresa-consumidor no se haya trabajado, pues los programas corporativos simplemente han fallado a la hora captar la imaginación de los usuarios.

En este sentido, Google ha subido el nivel para los equipos de TI corporativos. Es vital asegurarse de crear algo informativo, pero también interactivo, entretenido y relevante. Casos de éxito, vídeos, pruebas prácticas y similares son todas ellas buenas opciones. Asegúrese de realizar pruebas regularmente a los empleados para mantenerlos en estado de alerta.

La seguridad es una disciplina en constante evolución, por lo que su programa necesitará reflejarlo con actualizaciones regulares. Particularmente importante, dada la creciente amenaza que los ataques dirigidos suponen en este momento, es ser capaz de detectar un email de spear phishing bien elaborado. También es crítico que el personal tenga una forma rápida y fácil de dar la alarma en caso de que hayan descubierto un nuevo ataque – algo así como un botón “de alarma de incendio” virtual. Tenga presente estas cosas y sus empleados podrán evolucionar para pasar de ser el eslabón más débil a su arma secreta.