Salesforce y el proceso de creación de embajadores de la seguridad
Cuando se trata de promover la ciberseguridad en el actual panorama de ataques a la cadena de suministros, ransomware e inestabilidad política, no llegaremos muy lejos si nos limitamos a señalar a los responsables. En su lugar, creo que es esencial que cada uno seamos embajadores de la seguridad, algo que considero más una mentalidad que un puesto o responsabilidad específicos.
Tomemos como ejemplo algunos de los carteles que hay en las instalaciones del transporte público de Nueva York, en los que puede leerse "Si ves algo sospechoso, no te calles". Formamos a la ciudadanía para que se mantenga alerta ante posibles riesgos, y lo mismo se aplica al sector de la tecnología cuando se trata de proteger nuestros activos más valiosos. Pero ¿cómo nos encargamos de ello exactamente en Salesforce? ¡Con la ayuda de nuestros clientes!
Una comunicación fluida
En Salesforce, nuestros clientes depositan una inmensa confianza (nuestro valor primordial) en nuestra capacidad para mantener sus sistemas en funcionamiento y sus datos a salvo. En el sector de la medicina, los datos son información de los pacientes. En el sector de servicios financieros, serían datos de las cuentas de los inversores. E innumerables gobiernos y autoridades locales usan Salesforce para seguir la vacunación contra la covid-19. Teniendo en cuenta la confidencialidad de estos datos, si los hackers lograran su objetivo, las consecuencias podrían ser catastróficas. Nuestros clientes se merecen saber las precauciones de seguridad que adoptamos y los motivos para confiarnos la seguridad de sus datos.
Como director de seguridad de la información de Salesforce, dedico gran parte de mi tiempo a promover la seguridad como miembro del equipo de Éxito del cliente de seguridad y cumplimiento normativo (SCCS, Security & Compliance Customer Success), que pertenece a la organización de Seguridad de la información de Salesforce. Además de informar a los clientes acerca de las innovaciones de Salesforce en materia de seguridad, mi equipo vela también por los intereses de los clientes ante los equipos internos de producto e ingeniería, creando un importante círculo de comunicación.
La seguridad de la información es un camino a seguir, y Salesforce es consciente de la importancia de aprender de los requisitos e innovaciones de seguridad de nuestros clientes para seguir mejorando. Mi equipo es un medio para canalizar estas ideas hacia los equipos de ingeniería adecuados dentro de Salesforce, así como a los directivos y ejecutivos de Salesforce para otorgarles visibilidad. Defendemos los intereses de los clientes ante los equipos de producto y los responsables de Salesforce para fomentar una mejora continua de la seguridad. También hemos desarrollado herramientas de seguimiento y gestión de los problemas de seguridad que nos notifiquen los clientes, con el fin de mantener informados a los máximos responsables de nuestra organización. Ser la voz crítica de las necesidades de nuestros clientes es parte de nuestra estrategia de seguridad basada en una defensa en profundidad, en la que la tecnología, los procesos y las personas colaboran para evitar cualquier punto de fallo.
Si ves algo sospechoso, no te calles
Dentro del elemento humano de nuestra estrategia de seguridad, cada empleado de Salesforce desempeña una labor fundamental. Sin embargo, no queremos que nuestros empleados se vuelvan paranoicos, por lo que nos esforzamos para formarlos en la identificación de actividades sospechosas que pudieran constituir un indicio de algo más grave. Los correos electrónicos de phishing son un claro ejemplo. Según los expertos, entre el 75% y el 91% de los ataques comienzan con un correo electrónico malintencionado. A día de hoy, estos intentos de engañar a otra persona mediante ingeniería social para que haga clic en vínculos malintencionados o para que compartan información protegida también se extiende a los mensajes de texto, los códigos QR, las redes sociales y las temidas llamadas automáticas.
La ingeniería social aspira a estafar a las víctimas abusando de su confianza. Los estafadores buscan ganarse la confianza de su objetivo o víctima mediante la psicología. Normalmente, suelen recurrir al deseo de ayudar de la víctima o a su ego. En circunstancias normales, ¿quién no le sujetaría la puerta a alguien cargado hasta arriba con cajas de pizza a la hora de la comida?
Del mismo modo, los atacantes pueden fingir ser principiantes en el sector de la víctima e intentar conectar con ella a través de las redes sociales (las solicitudes de conexión liberan dopamina en nuestro cerebro, lo cual nos reconforta). El atacante puede hacer preguntas "inocentes", encaminadas a conocer mejor las herramientas y los procedimientos utilizados por la empresa de la víctima.
A continuación, vemos una interacción reciente que muestra cómo el atacante, una vez que ha logrado que la víctima se sienta cómoda respondiendo a sus preguntas, sube un peldaño más para intentar obtener información a la que no debería tener acceso. En este caso, la información podría servir para suplantarme o identificar a otras personas de mi círculo.
Todos los años, la conferencia sobre hackeo DefCon celebra una competición en la cual los profesionales llaman a un objetivo de la empresa e intentan sonsacarle información interna inocentemente mediante ardides y estratagemas. Presenciar los resultados que obtienen estos profesionales es tan instructivo como estremecedor.
El mundo entero al alcance de la mano
Aunque los equipos de seguridad de la información pueden adoptar medidas para reducir el número de correos electrónicos malintencionados y los archivos adjuntos de prueba, no hay soluciones infalibles y es necesario que todo el mundo colabore. Los tipos de ataques que aquí se detallan (junto con innumerables ciberamenazas) requieren que cada empleado adopte una mentalidad de embajador de la seguridad en nombre de su empresa y de sus clientes.
Como responsables, ¿cómo logramos implicar a nuestros empleados para que actúen como embajadores de la seguridad en representación de nuestra empresa? Hemos observado que con un toque de humor y asegurándonos de que los empleados se sientan tanto capacitados como apreciados, logramos resultados notables. En el siguiente correo electrónico, que recibí hace poco del equipo de Seguridad de Salesforce después de notificar un intento de phishing, me felicitan, me lo agradecen, y me dejan claras las repercusiones de mi pequeño gesto.
Lógicamente, no esperamos un índice de éxito del 100% al intentar evitar que los empleados interactúen con un correo electrónico potencialmente peligroso. Las estadísticas muestran que el 12% de las personas que reciben archivos adjuntos malintencionados hace clic en ellos. Si su empresa cuenta con un número considerable de empleados, las probabilidades no son nada halagüeñas. Aun así, lo anterior no hace sino resaltar la importancia de educar a todo el mundo.
Consideramos fundamental evitar que los empleados sientan que han fallado por haber hecho clic donde no debían. En su lugar, hay que tratar de convencerlos de que lo harán mejor la próxima vez, y facilitarles más vínculos para que sigan aprendiendo. Nuestros hallazgos indican que el refuerzo positivo da resultados mucho mejores que poner a alguien en evidencia.
Primeros pasos
En Salesforce, la seguridad no solo está integrada en todo lo que hacemos. Compartimos nuestras herramientas y las lecciones aprendidas con nuestro ecosistema de clientes y socios. Si lo hacemos así es porque sabemos que, si todos nos esforzamos por mejorar la privacidad y la seguridad de los datos, podemos centrarnos en la innovación y crecer juntos más fuertes.
Para obtener más información acerca de la educación de los usuarios, proteger su organización de Salesforce y promover una cultura de la seguridad en su organización, consulte el módulo Fundamentos de seguridad en Trailhead, nuestra plataforma gratuita de formación en línea. En este módulo podrá adquirir habilidades demandadas, lograr credenciales que realzarán su currículum y conectar con una comunidad de Trailblazers para acceder a oportunidades de empleo y de asesoramiento.
Espero que esta entrada del blog le haya servido para reflexionar y le anime a convertirse en embajador de la seguridad y a animar a otros a seguir sus pasos.