La Ciberseguridad Empieza por el Sentido Común

La semana pasada estuvimos presentes en el evento Ciberseguridad en Infraestructuras Críticas organizado por ISACA y la Cámara de Comercio de Valencia. En base a todo lo que se debatió en el evento, nos ha parecido un buen momento compartir unas reflexiones para “legos” en la materia ;-)

Contexto

Las posibilidades que ofrece Internet han originado un cambio cultural como nunca antes lo había conocido la humanidad, hemos movido cualquier tarea cotidiana al plano digital: negocios, servicios públicos, relaciones personales, compras, sistema de salud, gestión de centrales nucleares, etc, etc. Todo lo que hacíamos anteriormente por medios físicos ahora tiene su formato digital, por tanto es transmitido vía Internet (red pública) para aprovechar las innumerables ventajas que ofrece la interconexión. Pero quizás, hemos obviado un pequeño pero importante detalle: el coste que esto supone en términos de seguridad (y privacidad).

En Internet hemos replicado también los comportamientos inherentes del ser humano: tanto las luces como los comportamientos más mezquinos y despreciables. ¿Podemos por tanto demonizar a la propia tecnología, como pretenden algunos, o afirmar que Internet es un “invento” negativo? ¡Para nada!. La tecnología es el medio por el cual se ha replicado lo mejor y lo peor del ser humano, como también podemos afirmar que los ciberdelincuentes están ganando la batalla.

¿Cuál es la diferencia: malware, virus, gusanos, spyware, troyanos, ransomware, etcétera? https://estic.pro/2Fyc5YV

¿Cuál es la diferencia: malware, virus, gusanos, spyware, troyanos, ransomware, etcétera? https://estic.pro/2Fyc5YV

Urge Tomar Conciencia

Algún día, tal como se nos exige el permiso de circulación para garantizar que conocemos el código de circulación y el peligro que significa llevar un vehículo, tendremos que pedir exactamente unas garantías de conocimiento básico para el uso de la tecnología, sobretodo en entornos empresariales. Sorprende muchísimo ver personas sentadas, toda la jornada completa, delante de un ordenador sin una base medianamente sólida -no me refiero a una ingeniería- y adecuada a su role de usuario. Si a esto sumamos que su empresa/organización no ha dedicado ni un minuto, ni un céntimo de euro, a formar a sus propios empleados, como si el simple hecho de tener un ordenador en casa ya te convirtiese en profesional de la materia, tenemos el caldo de cultivo perfecto para que nuestra información sea comprometida. El problema de la ciberseguridad radica en que hacemos uso de la tecnología de una manera poco consciente, el patrón detrás de la mayoría de las PyMES es siempre el mismo: poca formación, poca cultura tecnológica y ambigüedad en la toma de decisiones en esta área.

Es ya el momento de despertar conciencias e iniciar una transición hacia la seguridad de los redes de comunicación y los datos. Lo que importa no es ni el hardware, ni el software, es la integridad propia de los datos, la privacidad y los derechos tanto individuales como colectivos. También es momento de interiorizar que la tecnología es mucho más que comprar hardware y software, es todo un proceso de conocimiento, estrategia, formación, concienciación… el manoseado, y a veces oportunista, término transformación digital consisten en un viaje sin retorno que empieza por cambiar la mentalidad, salir de la zona de confort y dejar de hacer las cosas como siempre se han hecho [...].

Si no damos este paso con firmeza seguiremos viendo como “los malos” continúan explotando nuestras debilidades en beneficio de un negocio muy lucrativo.

Técnicas cada vez más sofisticadas

Los ataques a los sistemas informáticos utilizan técnicas cada vez más sofisticadas y virulentas, no hay duda que los ciberdelincuentes están bien formados, lo cual hace que mejoren sus técnicas para que el “negocio” no cese. Solemos pensar en un ataque informático en el formato “robo” o “borrado” de datos, pero son técnicas mucho más complejas. Muestra de los nuevas prácticas de hacking está ahora muy de moda los ataques silenciosos, los cuales modifican la naturaleza de los datos y por tanto afectan con la integridad de los mismos. Estos tipos de ataques, en determinados sectores y contextos, pueden tener efectos letales. Todo podemos imaginar el siguiente escenario: un doctor tomando decisiones en base a un historial médico almacenado en los sistemas informáticos de un hospital “x” que ha sido hackeado. Los datos están, nada parece fuera de lo normal, pero han sido alterados, las consecuencias derivadas de la operativa del uso de dichos datos “alterados” puede tener consecuencias catastróficas.

por tanto…

La ciberseguridad es una prioridad manifiesta que obliga a poner remedio en entornos empresariales empezando por:

  • El sentido de responsabilidad desde Gerencia hacia cualquier empleado y colaborador.

  • Formación de los empleados para evitar la pérdida de datos, robo de contraseñas, uso de webs y software malicioso.

  • Concienciación sobre la importancia de la integridad y custodia de los datos.

Cada empresa privada debería valorar la implementación del ISO:27001, como también la propia administración pública está siendo obligada, por Ley 11/2007, de 22 de junio, a implementar el ENS (Esquema Nacional de Seguridad) como política de seguridad en la utilización de medios electrónicos.

Seguridad Coordinada e Integral.

Mientras no tengamos claro que la seguridad informática es responsabilidad de todos y aplica a todas las áreas, a todos los empleados y a todos los dispositivos, incluidos los móviles y tablets -dónde tan alegremente se vuelvan datos de la empresa-… poco podremos hacer, tendremos la batalla perdida y las puertas abiertas de par en par para el robo de los codiciados datos.

Tal cual “los malos” crean técnicas sofisticadas y colaboran entre ellos, nosotros también tenemos que organizarnos para poner complicado el acceso a nuestros sistemas de información. La seguridad no se puede aplicar únicamente los días impares, por departamentos o sólo a determinados usuarios haciendo excepciones a Gerentes, o cargos intermedios, con la banal escusa de que les resulta incómodo proteger su información. Es una medida integral, debe formar parte de la cultura organizativa y empieza por el sentido común.