redseguridad 071

red seguridad cuarto trimestre 2015 69 ciberseguridad opinión Debemos encontrar una nueva aproximación a la ciberseguridad que potencie la capacidad de reacción y diseñe arquitecturas de seguridad ciberresilientes de la que pueda parecer, ya que viene a sugerir que los esfuerzos de las organizaciones deberían ir mov- iéndose desde la prevención hacia la reacción y recuperación. Al fin y al cabo, todos estamos de acuerdo en que la seguridad cien por cien no existe. ¿Cuáles son nuestras capa- cidades en el momento en el que la ciberseguridad falla? La ciberresiliencia debe ser uno de los principales focos de la ciber- seguridad en el futuro. Las organiza- ciones tienen que ser capaces de hacer frente a un incidente de segu- ridad, reaccionar de manera rápida y eficaz y conseguir reducir al máximo los daños que dicho incidente pueda producir, con el fin de que su impac- to sea el menor posible. Tenemos que aprender a diseñar sistemas de información más resilientes, arqui- tecturas de seguridad más flexibles, que sean capaces de resistir frente a amenazas desconocidas y cuyas capacidades de recuperación sean más rápidas y sencillas. Por todos los motivos anterior- mente mencionados, debemos encontrar una nueva aproximación a la ciberseguridad. Una aproximación que, sin olvidar las medidas de seguridad preventivas, potencie la capacidad de reacción y sea capaz de conseguir diseñar arquitecturas de seguridad ciberresilientes. Una aproximación que, más allá de la tecnología, no sólo no olvide sino que se centre en el factor humano, y que no sólo trate de reforzar la con- cienciación y capacitación de las personas como eslabón más débil de la cadena sino que también potencie su responsabilidad a la hora de aplicar unos procedimientos de gestión y administración de siste- mas más robustos y confiables. Una nueva aproximación que, en defini- tiva, deje atrás las inercias históricas y se centre en luchar contra las debilidades más esquivas con las que en la actualidad tienen que lidiar las organizaciones. del departamento encargado de ges- tionar sólo uno de los vértices? Uno de los aspectos en los que históricamente siempre se ha segui- do la inercia es en el relativo a la aplicación práctica de la ciberse- guridad. Por mucho que siempre se haya dicho que la visión de la ciberseguridad debe ser holística, la mayor parte de los planteamientos han venido siempre dirigidos a la visión preventiva de la seguridad. De hecho, es tan habitual que es probable que el lector no se haya dado cuenta de que en los párrafos anteriores he pasado a utilizar el concepto de medidas de protección como sustitutivo del concepto de medidas de seguridad. Ésta es una de las mayores inercias históricas de la ciberseguridad, y uno de los principales retos frente a los que estamos intentando luchar desde organismos oficiales y empresas pri- vadas. Ciberresiliencia Una de las últimas recomendaciones de un organismo como el CCN era la de “ trabajar como si se estuvie- se comprometido ”. Acertada reco- mendación, teniendo en cuenta lo comentado al principio del artículo. Sin embargo, la propuesta esconde mucha más carga de profundidad za… y también su talón de Aquiles. Fortaleza porque su uso no deja la seguridad en manos de las personas sino que garantiza la aplicación de las medidas de protección. Y talón de Aquiles en el momento en el que las tecnologías presentan vulnerabi- lidades que además no siempre son bien gestionadas. Otra de las inercias más acu- sadas de la ciberseguridad es ver cómo una y otra vez se insiste en la importancia de la concienciación de la personas y cómo, a continuación, se observa una prácticamente com- pleta ausencia de iniciativas, actua- ciones o presupuestos específicos orientados a abordar este asunto dentro de las organizaciones. La aplicación práctica de la filosofía de la ciberseguridad acaba relegando la fortificación del universalmente aceptado como eslabón más débil de la cadena: las personas. Esta realidad nos lleva a analizar otra de las inercias más aceptadas de la ciberseguridad: su presupues- to proviene íntegramente del presu- puesto del departamento TIC de las organizaciones. No obstante, otra de las máximas de la ciberseguridad es que su aplicación eficaz depende del triángulo personas-procesos-tecno- logía. Si esto es así, ¿por qué el pre- supuesto de ciberseguridad proviene