Pero, ¿y la seguridad física?
¿Pueden los intrusos entrar realmente en la sede de un banco?
Pusimos a prueba exactamente eso y examinamos cinco bancos alemanes como parte de las tareas de Tiber-EU.
Los resultados son reveladores y, en algunos casos, alarmantes.
1ª tarjeta llave olvidada: Abrepuertas sin éxito
Probablemente, la forma más fácil de acceder a una zona segura es pedir a un empleado que abra la puerta.
Esto podría justificarse, por ejemplo, por el hecho de que has olvidado tu tarjeta-llave.
Pero nuestras pruebas lo demuestran: Esta táctica suele fracasar.
Muchos empleados piden específicamente nombres y afiliaciones antes de dejar pasar a alguien.
El simple abrepuertas ya no funciona tan fácilmente como antes.
Esto demuestra que la conciencia de los riesgos de seguridad ya es mayor en muchos casos.
2. avanzar cuando se abre la puerta: El éxito mediante un hábil camuflaje
Un método mucho más eficaz que probamos fue acompañarles cuando se abría una puerta cercana.
Esta táctica tuvo especial éxito cuando se utilizaron tarjetas de identificación falsas de la empresa para crear credibilidad.
Estos carnés se creaban fácilmente a partir de publicaciones en LinkedIn, donde los empleados suelen publicar una foto de su carné cuando abandonan la empresa.
Esta práctica, por inocente que parezca, conlleva riesgos importantes, ya que replicar estas insignias con la información correcta resulta fácil.
Un momento de descuido puede conducir rápidamente a un incidente de seguridad.
3. Hazte pasar por un técnico: Sin preguntas, sin control
Otro método que probamos fue hacernos pasar por un técnico.
Intentamos instalar un dispositivo espía de hombre en el medio (MITM) en un depósito del suelo de una sala de conferencias.
Aunque nos pillaron, nadie nos interrogó.
Al contrario, incluso nos preguntaron si podíamos resolver otros problemas técnicos en el lugar de trabajo de un empleado.
Este escenario demuestra lo importante que es comprobar incluso a los supuestos expertos antes de concederles acceso a áreas sensibles.
4. entrada de empleados sin control: acceso con confianza en uno mismo
En uno de los bancos que probamos, utilizamos un punto débil importante: la entrada de empleados.
Aquí, un servicio de seguridad externo nos permitió el acceso sin trabas, ya que el control de acceso era inadecuado y no se utilizaba ningún sistema de separación de personal.
Todo lo que necesitábamos era una actitud amistosa y confiada.
Esto pone de relieve lo importante que es que el personal de seguridad esté bien formado y que las barreras tecnológicas aseguren aún más el acceso.
5 Actuar como responsable de la protección de datos: Una cobertura con garantías de éxito
De todos los métodos probados, hacerse pasar por un responsable externo de protección de datos resultó especialmente exitoso.
Una vez en el edificio, era fácil hacerse pasar por uno, lo que reducía significativamente la desconfianza de los empleados y permitía un acceso más prolongado.
Los responsables de la protección de datos son escasos en muchas organizaciones y es poco probable que un empleado se encuentre con un colega auténtico que conozca los hechos.
Este método demuestra lo importante que es identificar claramente y formar regularmente al personal de cumplimiento interno y externo.
Conclusión: Los humanos siguen siendo el mayor punto débil
Nuestras pruebas han demostrado que, a pesar de las precauciones técnicas de seguridad, existen importantes lagunas que pueden ser explotadas.
Ya sea por manipulación social, falta de controles de acceso o escrutinio insuficiente de las partes externas, la mayor vulnerabilidad sigue siendo el elemento humano.
Se trata de una constatación aleccionadora que debería animar a las empresas a replantearse sus estrategias de seguridad y a formar y sensibilizar regularmente tanto a los empleados como al personal de seguridad. Como dice el refrán?
La mayor debilidad es y sigue siendo el ser humano. Protejámonos de ello permaneciendo vigilantes y aprendiendo continuamente.