A dixitalización, a industria 4.0, a Internet das Cousas (IoT)… É imprescindible que nos situemos na nova contorna tecnolóxica para falar de ciberseguridade. E do mesmo xeito cómpre ter presentes os novos riscos que nos perseguen: hackers profesionais que forman parte de organizacións delituosas perfectamente organizadas (mesmo dirixidas polos gobernos dalgúns países) ou ciberhacktivismo, entre outras ameazas.
Tamén é de recibo fornecer de datos estatísticos e información sobre as inxentes perdas das empresas por mor de ciberataques e inclusive porcentaxes de empresas afectadas. A importancia do tema xa ninguén a cuestiona, sobre todo dun tempo ata a data, pois temos exemplos varios de incidentes graves con repercusións mediáticas que veñen de poñer as vítimas na palestra pública pola mala xestión da súa seguridade (Wannacry, Petya, caso Equifax…).
Hai que concienciar -e moito aínda- tanto á empresa como á sociedade, da importancia da ciberseguridade, de que os riscos asociados a non fomentala son reais e poden rematar ocasionando graves repercusións nas nosas vidas, laborais e privadas. Sen embargo, o esencial non é tanto falar da problemática -que tamén- coma do que debemos e podemos facer as empresas da nova era para xestionar esta situación e saír ben paradas.
cambio de mentalidade
As culturas e xeitos de facer das corporacións están cambiando, por fortuna. Chegou o momento de romper coas ideas predeterminadas que condicionan a toma das mellores decisións das empresas neste eido. O primeiro é aceptar que calquera empresa, independentemente do seu tamaño, situación xeográfica, sector… é obxectivo potencial de ciberataques. E tamén calquera cidadán. Isto redunda, loxicamente, en riscos para as empresas, posto que o dispositivo infectado (pc ou smartphone) será tamén moi probablemente empregado no contorno laboral. E xa non falamos só de pcs: smartphones, routers, cámaras de videovixilancia, teles intelixentes... e moi pronto tamén ata as nosas neveiras deberán ser protexidas. É tempo de desbotar a idea de que o noso negocio non necesita protección. Todos temos que coidar da nosa seguridade.
O segundo cambio consiste en aceptar que a seguridade absoluta non existe. Por moito que traballemos ou que invistamos, sempre quedará algunha fenda que, unida a cibercriminais, traballadores maliciosos ou a simples erros humanos, poden poñer en xaque a ciberseguridade da empresa. Por iso hai que estar preparados para detectar, respostar e recuperarse tras unha falla nesta área, porque sempre cabe a posibilidade de que se produza.
Isto non quere dicir que non poidamos facer nada; nin moito menos. Sempre seremos obxectivos e sempre será posible que os atacantes poidan lograr os seus fins pero o importante é reforzar a seguridade no lugar axeitado dos procesos empresariais, para asegurar que, pase o que pase, imos ser quen de recuperarnos co menor custo posible.
xestión de riscos, tecnoloxía e colaboración
E como o logramos? O certo é que non hai recetas máxicas porque cada organización é diferente e debe buscar o seu xeito particular de facer as cousas.
Pero si se poden avanzar tres ideas básicas:
Xestión de riscos. Como ninguén ten infinitos recursos para gastar en ciberseguridade, debemos investir o dispoñible intelixentemente. Todas as organizacións fan, dun xeito máis informal ou dentro dalgún modelo estandarizado, xestión de riscos empresariais. Pero normalmente evalúanse e trátanse os relativos ao negocio é ás finanzas, e son unicamente estes os que se teñen en conta á hora de tomar as decisións empresariais. Nestes momentos é imprescindible engadir a esta xestión os riscos relacionados cos ciberataques e as consecuencias que poderían ter para o negocio; e sempe dentro do modelo xeral que xa existe na organización, non como algo aillado ou diferente. Nos últimos anos estase a ver, en organizacións máis maduras na xestión da ciberseguridade, como os responsables de seguridade están evolucionando dende postos puramente técnicos a postos de xestión de riscos, nos que se traballa moi preto dos responsables financiero ou de “compliance” da compañía. Evolución que os profesionáis das telecomunicacións podemos e debemos impulsar para lle dar máis visibilidade e eficiencia á xestión da ciberseguridade.
A tecnoloxía. Sería un grande erro pensar que a ciberseguridade é unha cuestión puramente tecnolóxica. A tecnoloxía é necesaria, imprescindible: firewalls, antivirus, ferramentas anti-DDoS, balanceadores, IDS/IPS, SIEMs… e poderiamos seguir engadindo tecnoloxías para a seguridade que son necesarias, nalgúns casos imprescindibles. Pero por si soas non terían sentido porque, como dicían nalquel anuncio: “a potencia sen control non serve de nada”. A ciberseguridade é algo moito máis complexo e debe ir máis aló das áreas técnicas da compañía: xestión de persoas, formación e concienciación, organización interna, procedementos, lexislación, intelixencia, comunicación… Todo isto debe ser xestionado e coordinado, ademais de avalado por un amplo coñecemento técnico. Cada vez vai ser máis necesario contar con persoal con coñecementos técnicos sólidos en todas esas áreas das compañías. Sen dúbida, tamén se trata dunha grande oportunidade para a nosa profesión.
A complexidade. Nun mundo tan tecnolóxico e complexo, no que cada vez temos máis sistemas interconectados, novos ecosistemas (industria 4.0, IoT…) e no que cada vez se evoluciona máis rápido, a seguridade ten o mesmo nivel de complexidade e de cambio constante. Isto conleva que a meirande parte das empresas non poidan dispoñer de áreas de ciberseguridade con presenza de profesionais preparados en todos os eidos implicados. Nin as compañías que máis invisten nestes servizos son quen de coñecer todo o que está a acontecer ao longo do mundo.
Fronte a isto a única solución posible é a da colaboración, tanto entre organizacións privadas como entre o sector público e o privado. Colaboración que se pode entender como a busca de socios que lles permitan ás empresas dotarse de áreas de ciberseguridade con recursos humanos e coñecementos dabondo a costes axeitados. O desenvolvemento de MSSP (Security Service Providers), como evolución dos SOCs e o persoal coas ferramentas e experiencia precisas ao dispor de todos vai ser básico nos próximos anos. E colaboración entendida como as redes de intercambio de información temperá que nos permiten coñecer o que lles está pasando a outros, para nos defender antes. Organismos públicos como Incibe ou o CCN-Cert, ou Certs privados dentro dos mesmos MSSPs poden axudarnos a todas as organizacións a participar nestas redes e recibir e achegar coñecemento para a seguridade de todos.
Dende esta perspectiva, o grande reto que ten a ciberseguridade hoxe en día, e na que os Enxeñeiros de Telecomunicación e o sector das telecomunicacións temos moito que aportar, é o de dispor dun modelo de xestión eficiente, intelixente e colaborativo, que nos leve a facer máis con menos e que nos permita, a organizacións e sociedade, acadar o nivel de seguridade co que cada un se sinta cómodo.
Susana Reyresponsable de Seguridade de R
Imaxes de Thomas Kvistholt y Markis Spiske