Los trabajadores cada vez acceden con más frecuencia a datos delicados de la empresa de forma remota, a menudo desde dispositivos personales en que las redes sociales ocupan un lugar destacado. ¿Víctimas fáciles de la ciberdelincuencia? Así lo creen miembros del consorcio DOGANA, por lo que han diseñado un marco de valoración de riesgos para ayudar a las empresas a atenuar esta amenaza.

Economía digital

Seguridad

Trabajar en cualquier momento y desde cualquier lugar. Podría tratarse de un lema publicitario para la cultura corporativa cada vez más extendida del teletrabajo. ¿Y quién podría estar en contra de ella? Trabajar desde casa reduce los gastos de la empresa, aumenta la productividad, mejora la satisfacción de los trabajadores e incluso contribuye a luchar contra problemas tales como los atascos y las emisiones de CO2. No obstante, esta nueva filosofía también plantea ciertas cuestiones, por ejemplo una muy válida relacionada con la seguridad. Mientras que las industrias siempre han sido vulnerables a los ciberataques, el riesgo ha aumentado considerablemente desde que no existe una clara distinción entre dispositivos personales y profesionales, así como a causa del éxito sin precedentes de las redes sociales. Tal como explica Francesca Giampaolo, coordinadora del proyecto DOGANA, están en juego diversos factores: «La gente no solo utiliza cada vez con mayor frecuencia sus dispositivos personales para el trabajo, sino que a menudo también combinan su utilización con la de redes sociales, cuyo modelo de negocio consiste en animarles a revelar y compartir información personal. Estas plataformas no ofrecen mecanismos de autenticación robustos y, para más inri, parece que muchas personas son incapaces de evitar someterse a riesgos innecesarios y carecen de los conocimientos necesarios para proteger sus dispositivos». DOGANA responde a este problema con un marco que proporciona una «valoración de vulnerabilidades e ingeniería social avanzada» para medir y mitigar los riesgos asociados a las vulnerabilidades sociales. Dado que todas las industrias son vulnerables, el sistema permite cuantificar los riesgos reales basándose en la dependencia de una empresa de las tecnologías de la información y la comunicación (TIC), el alcance de las consecuencias tras un ataque, el nivel de riesgo asociado y otros parámetros. El marco consiste en una cadena de herramientas de código libre para llevar a cabo la valoración de vulnerabilidades (recopilación de información, preparación de enganches y ataques, ejecución de ataques y realización de informes), un programa de formación que incluye métodos de sensibilización y un conjunto de herramientas para la mitigación automatizada de riesgos, así como un componente para las fuerzas de seguridad. Según Giampaolo, los principales puntos innovadores de DOGANA incluyen el «marco de recopilación de información» que evita que los controladores deban compilar por su cuenta la información, lo cual a su vez reduce las tasas de error y mejora la eficiencia. Después está el «marco de sensibilización» que ofrece diversos métodos de sensibilización que pueden adaptarse a las necesidades de cada empresa específica, así como el «marco político organizativo» que proporciona una serie de orientaciones y requisitos específicos para empresas europeas. DOGANA es plenamente conforme con el Reglamento general de protección de datos (RGPD). «El marco ha sido diseñado para proporcionar servicios generales de valoración de vulnerabilidades de origen social (SDVA, por sus siglas en inglés), pero al mismo tiempo cuenta con partes específicas adaptadas para los cuatro ámbitos de aplicación que se han comprobado en la fase de prueba (defensa, gobierno, transporte y emergencias)», explica Giampaolo. «Además, DOGANA ha sido diseñado pensando en dos categorías de usuarios finales definidas, cada una con sus propias limitaciones y responsabilidades: el controlador de SDVA, el responsable de las tareas relacionadas con la preparación y realización de SDVA, y el representante de empresa, que puede acceder a las estadísticas y los informes sobre los resultados de la realización de la SDVA». DOGANA se está centrando en empresas cuyos trabajadores utilicen un ordenador a diario, ofreciéndoles una solución que puede ayudarles a controlar el porcentaje de estos empleados que se dejan engañar por prácticas de «phishing» y ataques de ingeniería social en general. «Ayudaremos a estas empresas a ofrecer programas de formación para garantizar que sus empleados comprendan plenamente cómo evitar que les engañen con correos electrónicos que parecen reales para un usuario no experimentado», comenta Giampaolo. La oferta de mercado relacionada con DOGANA incluirá servicios de consultoría y formación, y cada miembro del consorcio promocionará el marco entre sus redes y socios relevantes.

Palabras clave

DOGANA, redes sociales, seguridad, dispositivo personal, datos de empresa, valoración de vulnerabilidades, marco