El usuario, el eslabón débil de la seguridad en la nube

De un tiempo a esta parte hemos visto como empresas de todos los tamaños han ido migrando sus sistemas a la nube, bien en esquemas de sistema como servicio (SaaS) o en sistemas de llave en mano. Una de las principales ventajas de este tipo de migraciones es la posibilidad de obtener un servicio altamente especializado y de gran calidad sin destinar partidas de personal a generar esos servicios. La migración a servicios en la nube habitualmente permite a las empresas ofrecer teletrabajo o trabajo en movilidad a sus usuarios, pero esta mayor libertad de los usuarios a veces viene aparejada a problemas de seguridad. En este artículo veremos cómo los usuarios pueden convertirse en vectores de ataque en este tipo de paradigmas y qué pueden hacer para evitarlo.

El eslabón débil

Dice un proverbio que una cadena es tan fuerte como el más débil de sus eslabones y eso es lo que suele acabar pasando en el tema de servicios informáticos. Unos servidores de última generación, un software altamente depurado, sistemas de autenticación de dos factores y al final todo se viene abajo porque un usuario abre un correo inapropiado o porque deja una sesión abierta o porque su equipo está infectado con un troyano.

En este sentido, es importante que las compañías se tomen en serio la formación de los usuarios, pero no solo en el uso de las herramientas, sino en la forma en la que estos usuarios utilizan internet desde sus dispositivos o los dispositivos del trabajo.

Dispositivos inseguros

El primer punto que las compañías deben observar en sus usuarios es la seguridad de los dispositivos, para ello es necesario establecer una política razonable de seguridad que incluya:

• Actualizaciones del sistema operativo, esto incluye la modernización de dispositivos móviles si estos no reciben actualizaciones de seguridad del fabricante.
• Política razonable de contraseñas, incluyendo la solicitud de cambio periódico de contraseña y el bloqueo automático de los dispositivos.
• Establecer periodicidad de la comprobación del cumplimiento de estas políticas (por ejemplo, un día cada seis meses en el que se compruebe el correcto uso de estas políticas).

Hábitos inseguros

Es importante a su vez mentalizar a los usuarios de algunos hábitos que son potencialmente peligrosos y que pueden dar lugar a problemas de seguridad en sus dispositivos, lo que desemboca en problemas de seguridad en las aplicaciones corporativas:

• Es importante que los usuarios no abran contenido de correos electrónicos si no están completamente seguros de su origen.
• Es fundamental que los usuarios no utilicen sus dispositivos para acceder a contenido de dudosa legalidad (contenidos con derechos de autor, descargas de programas sin licencia, …) pues estos sitios suelen ser ganchos para introducir troyanos en los dispositivos de usuario.
• Es recomendable que los usuarios utilicen un gestor de contraseñas y una contraseña diferente y de alta seguridad para cada aplicación que utilicen.

Conexiones inseguras

También es muy importante concienciar de la necesidad de mantener la seguridad en conexiones inalámbricas. Esto incluye:

• Utilizar conexiones encriptadas en sus redes inalámbricas mediante esquemas WPA2.
• Evitar la navegación a sitios no cifrados mediante conexiones inalámbricas.
• Mejor aún, en el uso de una VPN para asegurar las conexiones mediante una encriptación fuerte.

Conclusiones

Unas sencillas medidas de seguridad y una adecuada política de concienciación de los usuarios es la mejor forma de evitar problemas de seguridad en nuestros sistemas corporativos. Esto es especialmente importante en plantillas que trabajan de forma remota o en movilidad contra aplicaciones en la nube.