La adopción de la transformación digital en las empresas trae consigo muchos beneficios e innovación, pero también una mayor dependencia de los sistemas de información, lo cual se traduce en un aumento considerable de nuestra superficie de exposición y, con ello, del riesgo de sufrir ciberataques. El ritmo al que sigue evolucionando la tecnología y la hiperconectividad actual hacen más vulnerables a nuestros activos.
Episodios como los de Wannacry y NotPetya nos han enseñado que las amenazas-y-vulnerabilidades son globales. Es un problema de todos, porque todos somos actores con menor o mayor visibilidad en un escenario que, lo queramos o no, es global por naturaleza. Por eso, ahora más que nunca, podemos decir que la cuestión no es si vamos a sufrir un incidente de seguridad o no, porque la seguridad total no existe y realmente es solo cuestión de tiempo. Por ello, cuando ocurra tenemos que estar bien preparados para saber responder y sobreponernos.
El ritmo al que evoluciona la tecnología y la hiperconectividad hace más vulnerables los activos
Las amenazas-y-vulnerabilidades son cada vez mayores y más sofisticadas. En la actualidad conviven las más tradicionales (spam/phishing, fugas de información, infecciones por malware, etc.) con nuevos modelos de cibercrimen (ransomware, wipers, APT, ataques contra infraestructuras críticas, ciberespionaje, etc.). Veámos algunas:
- Ramsonware: cada vez más profesionalizado y a medida de la organización a la que se quiere afectar. Ataques directos a la continuidad del negocio con foco en sectores estratégicos e infraestructuras críticas como puertos, hospitales, aeropuertos, etcétera.
- Fugas de información: usuarios que reutilizan sistemáticamente sus credenciales en el tiempo y en múltiples servicios, más y menos sensibles, y terceros que custodian nuestros datos y son atacados. En ocasiones no se detecta el ataque hasta mucho tiempo después, o nunca en el peor de los casos.
- Malware multifuncional extendiéndose a mayor velocidad que nunca, todo acelerado, lógicamente, por la transformación digital de cada vez más servicios, por la multitud de dispositivos conectados y las múltiples tecnologías con las que hay que lidiar para protegerse.
- Cibercrimen as a Service: es una realidad y está amplificando la magnitud del problema. Está democratizando el crimen en el ciberespacio, poniendo en manos de atacantes poco expertos, por relativamente poco dinero, herramientas muy sofisticadas y poderosas.
- Explosión del cryptomining (minería de criptomoneda).
- Troyanos para robar credenciales de banking.
- Botnets (comprometiendo módems, routers y dispositivos IoT) para promover ataques de DDoS.
- Vulnerabilidades en dispositivos móviles y aplicaciones web.
- Los servicios en la nube son lógicamente un objetivo muy deseado por los atacantes, aunque la realidad es que en la actualidad la mayoría de los incidentes se deben a fallos atribuibles al propio usuario, por mala configuración o uso credenciales débiles.
- La defensa tiene en la actualidad cinco dominios: tierra, mar, aire, espacio y ciberespacio. Países que tienen el ciberespionaje en su estrategia militar y que además piensan que la mejor defensa es atacar y desestabilizar proactivamente:
– Manipulación de la opinión pública online.
– Fake news y ciberpropaganda-desinformación malintencionada.
Un escenario complejo
El escenario que se dibuja, aunque tradicionalmente se visualiza como un reto meramente tecnológico, con buenos y malos en un entorno de ataque y defensa, es mayor y más complejo.
Si queremos proteger de forma efectiva a nuestras organizaciones, hay otras vertientes de la seguridad que se deben vigilar para cubrir no solo la parte tecnológica, sino también la física, organizativa y legal. En este sentido, nuestras organizaciones tienen mucho recorrido de mejora para ser ciberresilientes y estar en buen estado de forma para recuperarse de manera efectiva de un incidente de seguridad.
Si queremos proteger de forma efectiva a nuestras organizaciones, hay otras vertientes de la seguridad que se deben vigilar para cubrir no solo la parte tecnológica, sino también la parte física, organizativa y legal
Es evidente que ya no se trata solo de defender el perímetro, sino de un problema que también tiene retos a nivel de gestión. Para proteger a la empresa de forma adecuada se debe prestar la debida atención a la ciberseguridad, y ésta debe ser vista por la dirección y los empleados como un asunto relevante para el negocio, garantizando su involucración activa y la disponibilidad de recursos suficientes para favorecer el éxito de un programa de ciberseguridad, que se opere con un planteamiento integral.
Las organizaciones que adoptan un enfoque holístico de la ciberseguridad están mejor preparadas para prevenir, mitigar y remediar con éxito los ataques. Es en este apartado donde entra en valor el gobierno de la seguridad, la gestión del riesgo y el cumplimiento normativo y legal. Definitivamente, hay que pensar en la ciberseguridad con un alcance más amplio, y en este sentido es de gran ayuda la implementación de estándares, seguimiento de buenas prácticas, así como la adecuación y cumplimiento de la regulación de aplicación (nacional/internacional, sectorial, etc.).
Adoptar un sistema de gestión de la seguridad de la información (SGSI) basado en la norma ISO 27001, cumplir con el Esquema Nacional de Seguridad (ENS) o el Reglamento General de Protección de Datos (RGPD), nos permitirá identificar y valorar nuestros activos, conocer mejor los riesgos a los que está expuesta nuestra información y aplicar controles adecuados a todos los niveles para preservar su confidencialidad, integridad y disponibilidad. Se deben entender en positivo, como palancas y no como imposiciones, para ayudarnos a mejorar la calidad de la seguridad en nuestras organizaciones.
Una estrategia de seguridad sólida debe alinearse con los objetivos del negocio. Si se implementa de manera efectiva, puede mejorar la experiencia del cliente, las operaciones, el cumplimiento normativo, la reputación de la marca, la confianza de los socios y colaboradores y más, lo que garantiza el retorno de la inversión.