La importancia de la ciberseguridad

En este, mi primer post, antes de entrar en materia sobre la importancia que tiene la ciberseguridad, quisiera contar algo sobre mí.

Llevo algo más de veinte años trabajando en ciberseguridad y he tocado muchos de los aspectos relativos a la protección de los negocios ante las amenazas cibernéticas. He trabajado para proteger los datos personales de las personas y a las empresas de sanciones en relación con el tratamiento de dichos datos, he trabajado para proteger la identidad de usuarios de sistemas de información de diversas formas, también la identidad de los servidores que prestan servicios a través de internet ha sido una de mis responsabilidades, para que los usuarios de servicios a través de internet puedan confiar en los servidores que están al otro lado es necesario que existan “terceras partes de confianza” y ahí he estado también. Otra de las inquietudes de cualquier negocio respecto a la información que maneja es la integridad de la información, que los contratos que se firman mediante medios electrónicos conserven las características de integridad, autenticación y no repudio, como en las recetas electrónicas, facturas electrónicas y documentación en la que se fundamentan las actividades de muchos negocios. La firma electrónica también me ha ocupado durante un tiempo así como la seguridad en el perímetro de las organizaciones y he preparado estructuras defensiva para proteger el perímetro de varias organizaciones. Por supuesto, la consultoría y auditoría de seguridad forman parte de las actividades que he desarrollado durante mucho tiempo, soy auditor CISA certificado por el ISACA y también estoy certificado para gestionar la seguridad de la información como CISM por el mismo organismo. La seguridad en sistemas de control industrial tampoco me suena desconocida. Otro de los aspectos en los que la ciberseguridad resulta importante y en los que estoy involucrado es el Programa de Cibercooperantes del INCIBE, que consiste en impartir charlas en colegios e institutos a ese colectivo vulnerable que son los menores haciéndoles comprender lo que significan los medios electrónicos, las redes sociales y las nuevas maneras en que las personas, principalmente  los menores, pueden verse afectadas por un uso indebido. Y si, querido lector, deseas que imparta alguna charla sobre los peligros de internet en el instituto donde estudia tu hijo/hija/sobrino/etc.  estoy abierto a ello. En resumen: estoy muy involucrado en la ciberseguridad a todos los niveles y espero que las palabras que emitiré a través de este punto de encuentro lleguen a ser de tu interés y te aporten una parte de la visión que tengo sobre la ciberseguridad.

Quería, en este post, hablar sobre la necesidad de la ciberseguridad. Muy a menudo, en el mundo empresarial, la ciberseguridad se relega al entorno de los departamentos de tecnología sin pensar que hoy en día todas las empresas son empresas tecnológicas. ¿Qué empresa hoy en día no está conectada a Internet? ¿Qué empresa no depende de unos datos que gestiona un sistema para su control financiero? ¿Cuales son las que no se anuncian a través de medios electrónicos y participan en las redes sociales más diversas para impulsar el negocio? ¿A qué empresa no afectaría una parada de los sistemas o un deterioro de los datos que manejan?

La transformación digital implica la inclusión de tecnologías en todos los áreas de las empresas y esa inclusión de tecnología implica un riesgo de un mal funcionamiento que puede afectar al negocio en todos los áreas. Últimamente estos “malos funcionamientos” suelen ser inducidos y se llaman “ataques cibernéticos”. No se ha borrado aún de nuestra memoria el ataque conocido como Wannacry, o el más reciente “Petya” en el que se han utilizado vulnerabilidades conocidas para aprovecharlas en la difusión de ‘malware’ que ha provocado paradas en los negocios al hacer indisponibles los datos necesarios.

Un ataque de estas características, en los que los objetivos han sido grandes empresas de varios paises y el eco mediático ha sido enorme, es una oportunidad para plantearse una estrategia de ciberseguridad para remediar las vulnerabilidades, minimizar los riesgos y desarrollar la actividad empresarial con los medios protegidos ante la probabilidad de cualquier ataque.

Para ello, en el mundo de la ciberseguridad, disponemos de frameworks que nos ayudan a organizar las líneas de seguridad y las acciones a desarrollar para estar más seguros. El NIST (National Institute of Standars and Technology), ha desarollado toda una serie de estándares relacionados con la ciberseguridad fundamentados en un framework dividido en funciones, categorías, subcategorías y referencias informativas cuyas funciones principales, vistas desde una perspectiva amplia, son:

Identificar – Implica el desarrollo organizativo para comprender el riesgo de  de seguridad cibernética sobre sistemas, activos, datos y capacidades.

La función de Identificación es básica en el uso del framework. Comprender el contexto empresarial, los recursos que soportan funciones críticas y su conexión con los riesgos de ciberseguridad permite a una organización priorizar sus esfuerzos, en consonancia con su estrategia de gestión de riesgos y las necesidades del negocio.

Ejemplos de algunas categorías resultantes de esta función son: Gestión de Activos, Gobernanza, Evaluación de riesgos y estrategia de Gestión de Riesgos.

Proteger – Implica desarrollar y aplicar las protecciones adecuadas para garantizar los servicios básicos de infraestructura.

La Función de proteger implica desarrollar la capacidad de limitar o contener el impacto de un potencial incidente de ciberseguridad.

Ejemplos de categorías dentro de esta función son: Control de acceso, Concienciación y Capacitación, Seguridad de datos.

Detectar – Implica desarrollar e implementar las actividades apropiadas para identificar la ocurrencia de un incidente de Ciberseguridad.

La función de detección permite el descubrimiento oportuno de incidentes de ciberseguridad.

Ejemplos de categorías dentro de esta función son: Anomalías y eventos, monitoreo continuo de Seguridad, procesos de detección.

Responder – Desarrollar e implementar las actividades apropiadas para actuar ante incidentes.

La función de Respuesta desarrolla la capacidad de contener el impacto de un potencial incidente de ciberseguridad.

Ejemplos de categorías dentro de esta función son: Plan de respuesta, Comunicaciones, análisis, mitigación.

Recuperar – Desarrollar e implementar las actividades para mantener planes de resiliencia y restaurar capacidades o servicios afectados debido a un incidente de ciberseguridad.

La Función Recuperar permite la recuperación oportuna de las operaciones normales ante el impacto de un evento de ciberseguridad.

Ejemplos de categorías dentro de esta función son: Planificación de backup, Mejoras de la recuperación, Comunicaciones.

Resulta gratificante comprobar que existe un marco de trabajo para la ciberseguridad que podemos hacer efectivo mediante planes estratégicos de ciberseguridad. Cada negocio tiene unas necesidades específicas dentro de este framework, y las acciones necesarias a desarrollar dependen en gran manera de los riesgos que pueden afectar al negocio y aquellos que se deben mitigar o asumir. En sucesivos posts iremos desarrollando las maneras en que un negocio debe responder ante determinados riesgos y las soluciones que plantea Capgemini para los problemas relacionados con la ciberseguridad.