lunes, 17 de julio de 2017

Ciberseguridad, la asignatura pendiente

Ciberseguridad

     La mitad de las personas del planeta son usuarios de Internet y, a pesar de ello, parece no afectarnos el hecho de que sigamos suspendiendo en una materia tan importante como es la ciberseguridad.

Ya en el año 2015, un informe del Índice Mundial de Ciberseguridad y Perfiles del Bienestar, situó a España con un índice de seguridad similar al de países como Egipto, Colombia, Dinamarca, Francia y Mauricio, por debajo en la clasificación mundial de países como Letonia, Suecia y República de Corea, entre otros.

La percepción de las empresas españolas es, a menudo, volátil frente a las amenazas de índole informático. Sin embargo, desde los datos y la información sensible, hasta el propio desarrollo de la actividad, se ven comprometidos en ataques -cada vez más habituales- cuyo último protagonista es el ransonware, un software malicioso que secuestra los datos del usuario, encriptándolos, para luego ofrecer la posibilidad de desencriptarlos previo pago en bitcoins. Es evidente que la alarma despertada por uno de estos programas maliciosos, conocido como wannacry, wannacrypt o wcrypt, ha expuesto a empresas y particulares frente a una responsabilidad que nos atañe a todos, la ciberseguridad.

Las principales amenazas provienen del ciberespionaje, la ciberdelincuencia, el ciberactivismo o hacktivismo, los cibervándalos o los ataques de Denegación de Servicio, que son aquellos que provocan el colapso de un servidor o sistema por el elevado número de peticiones de información. A esta lista, hemos de sumarle una serie de elementos que contribuyen, en mayor o menor medida, a incrementar la vulnerabilidad de los sistemas e infraestructuras de información a estas amenazas: el déficit en las pequeñas y medianas organizaciones, las actualizaciones de software, la publicidad dañina y, por último, el comportamiento del usuario.

No en vano, el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), tiene el nivel de alerta en cuatro, de riesgo alto, de los cinco existentes. En el 2016, el Ministerio del Interior constató 105.000 ciberataques, cinco veces más ataques de los detectados en el 2014.

Uno de los elementos fundamentales de mitigación del riesgo de sufrir un ciberataque está íntimamente relacionado con el comportamiento del usuario, que a nivel empresarial, deberá traducirse en el modo en el que las empresas se enfrentan al reto de la ciberseguridad en sus redes prestando especial atención a los dispositivos móviles y al IoT (Internet de las cosas). Estos comprenden los dispositivos destinados a hacer nuestra vida más fácil y que no siempre cumplen los estándares de seguridad y fiabilidad que el resto de dispositivos conectados a nuestra red.

Para reducir estos riesgos que se multiplican día a día, es necesario realizar un análisis de nuestros sistemas de información, para conocer y detectar las posibles vulnerabilidades, implantando un conjunto adecuado de controles, políticas, protocolos, estructuras organizativas, equipos, buenas prácticas y funciones de software.

No es necesario tener altos conocimientos informáticos para saber que uno de los modos más sencillos para lograr el acceso a un sistema de información es el denominado hacking social, pues pequeñas acciones a las que podemos no estar dando importancia, como tratar de acceder a información de un pendrive que acabamos de encontrarnos en el suelo del aparcamiento, o la reproducción de un cd de música que regalaban en la puerta de la oficina, son dos ejemplos burdos, pero significativos (e incluso televisivos, gracias a la serie Mr. Robot) del modo en el que el usuario del sistema supone una brecha de seguridad para el mismo.

Ya hace un año tuvimos un susto importante con el Cryptolocker, un tipo de ransonware que hizo tambalear el pasado mes de mayo a las principales multinacionales españolas de las comunicaciones y la energía en España, al sistema de salud Inglés e incluso casi afectando a las infraestructuras de Rusia.

Es responsabilidad de los administradores y el consejo de gobierno de las sociedades asumir que la protección de los sistemas de información estén preparados no sólo para evitar una fuga, pérdida o robo de información, sino para evitar un riesgo operacional -es decir, que se detenga totalmente la actividad de la empresa por tener que desconectar ordenadores y servidores para evitar un contagio- y un riesgo reputacional, que finalmente incida en la imagen que proyecte la empresa a los clientes y proveedores, y de su compromiso con la protección de sus datos.

En este sentido, juega un papel esencial la implantación de un Sistema de Gestión de la Seguridad de la Información, conforme determina la ISO 27.001, en los cuatro niveles que supone la elaboración del Manual de Seguridad, inspirador del sistema, los Procedimientos destinados a asegurar una eficaz planificación, operación y control de los procesos de seguridad, los Checklist y las instrucciones que inciden en las tareas y actividades específicas relacionadas con la seguridad de la información y los Registros, destinados a reflejar las evidencias objetivas del cumplimiento del SGSI.

Esta es la oportunidad de que las empresas tomen el control no sólo de la seguridad en sus sistemas de información, sino en la imagen que proyectan en internet, lo que hoy conocemos como su identidad digital, que se verá seriamente afectada si no se toman medidas efectivas que permitan aprobar en ciberseguridad, una asignatura que, si bien hemos suspendido en junio, aún nos quedará pendiente para septiembre. ¿Seremos capaces de aprobarla?

Fuente: Expansión

No hay comentarios:

Publicar un comentario