La digitalización, la industria 4.0, el Internet de las Cosas (IoT)… Es imprescindible que nos situemos en el nuevo entorno tecnológico para hablar de ciberseguridad. Y del mismo modo hace falta tener presentes los nuevos riesgos que nos persiguen: hackers profesionales que forman parte de organizaciones delictivas perfectamente organizadas (mismo dirigidas por los gobiernos de algunos países) o ciberhacktivismo, entre otras amenazas.
También es de recibo suministrar de datos estadísticos e información sobre las ingentes pérdidas de las empresas a causa de ciberataques e incluso porcentajes de empresas afectadas. La importancia del tema ya nadie la cuestiona, sobre todo de un tiempo a esta parte, pues tenemos ejemplos varios de incidentes graves con repercusiones mediáticas que vienen de poner a las víctimas en la palestra pública por la mala gestión de su seguridad (Wannacry, Petya, caso Equifax…).
Hay que concienciar -y mucho aún- tanto a la empresa como a la sociedad, de la importancia de la ciberseguridad, de que los riesgos asociados a no fomentarla son reales y pueden finalizar ocasionando graves repercusiones en nuestras vidas, laborales y privadas. Sin embargo, lo esencial no es tanto hablar de la problemática - que también- como de lo que debemos y podemos hacer las empresas de la nueva era para gestionar esta situación y salir bien paradas.
cambio de mentalidad
Las culturas y maneras de hacer de las corporaciones están cambiando, por fortuna. Llegó el momento de romper con las ideas predeterminadas que condicionan la toma de las mejores decisiones de las empresas en este campo. Lo primero es aceptar que cualquier empresa, independientemente de su tamaño, situación geográfica, sector… es objetivo potencial de ciberataques. Y también cualquier ciudadano.
Esto redunda, lógicamente, en riesgos para las empresas, puesto que el dispositivo infectado (pc o smartphone) será también muy probablemente empleado en el contorno laboral. Y ya no hablamos solo de pcs: smartphones, routers, cámaras de videovigilancia, teles inteligentes... y muy pronto también hasta nuestras neveras deberán ser protegidas. Es tiempo de descartar la idea de que nuestro negocio no necesita protección. Todos tenemos que cuidar de nuestra seguridad.
El segundo cambio consiste en aceptar que la seguridad absoluta no existe. Por mucho que trabajemos o que invirtamos, siempre quedará algún hueco que, unido a cibercriminales, trabajadores maliciosos o simples errores humanos, pueden poner en jaque la ciberseguridad de la empresa. Por eso hay que estar preparados para detectar, responder y recuperarse tras una falta en esta área, porque siempre cabe la posibilidad de que se produzca.
Esto no quiere decir que no podamos hacer nada; ni mucho menos. Siempre seremos objetivos y siempre será posible que los atacantes puedan lograr sus fines pero lo importante es reforzar la seguridad en el lugar acomodado de los procesos empresariales, para asegurar que, pase lo que pase, vamos a ser quien de recuperarnos con el menor coste posible.
gestión de riesgos, tecnología y colaboración
¿Y cómo lo logramos? Lo cierto es que no hay recetas mágicas porque cada organización es diferente y debe buscar su manera particular de hacer las cosas.
Pero sí se pueden avanzar tres ideas básicas:
Gestión de riesgos. Como nadie tiene infinitos recursos para gastar en ciberseguridad, debemos invertir lo disponible de forma inteligente. Todas las organizaciones hacen, de una manera más informal o dentro de algún modelo estandarizado, gestión de riesgos empresariales. Pero normalmente se evalúan y se tratan los relativos al negocio y a las finanzas, y son únicamente estos los que se tienen en cuenta a la hora de tomar las decisiones empresariales. En estos momentos es imprescindible añadir a esta gestión los riesgos relacionados con los ciberataques y las consecuencias que podrían tener para el negocio; y siempre dentro del modelo general que ya existe en la organización, no como algo aislado o diferente. En los últimos años se está viendo, en organizaciones más maduras en la gestión de la ciberseguridad, como los responsables de seguridad están evolucionando desde puestos puramente técnicos a puestos de gestión de riesgos, en los que se trabaja muy cerca de los responsables financieros o de “compliance” de la compañía. Evolución que los profesionales de las telecomunicaciones podemos y debemos impulsar para darle más visibilidad y eficiencia a la gestión de la ciberseguridad.
La tecnología. Sería un gran error pensar que la ciberseguridad es una cuestión puramente tecnológica. La tecnología es necesaria, imprescindible: firewalls, antivirus, herramientas anti-DDoS, balanceadores, IDS/IPS, SIEMs… y podríamos seguir añadiendo tecnologías para la seguridad que son necesarias, en algunos casos imprescindibles. Pero por sí solas no habrían sentido porque, como decían en aquel anuncio: “la potencia sin control no sirve de nada”. La ciberseguridad es algo mucho más complejo y debe ir más allá de las áreas técnicas de la compañía: gestión de personas, formación y concienciación, organización interna, procedimientos, legislación, inteligencia, comunicación… Todo esto debe ser gestionado y coordinado, además de avalado por uno amplio conocimiento técnico. Cada vez va a ser más necesario contar con personal con conocimientos técnicos sólidos en todas esas áreas de las compañías. Sin duda, también se trata de una gran oportunidad para nuestra profesión.
La complejidad. En un mundo tan tecnológico y complejo, en el que cada vez tenemos más sistemas interconectados, nuevos ecosistemas (industria 4.0, IoT…) y en el que cada vez se evoluciona más rápido, la seguridad tiene el mismo nivel de complejidad y de cambio constante. Esto conlleva que la mayor parte de las empresas no puedan disponer de áreas de ciberseguridad con presencia de profesionales preparados en todos los campos implicados. Ni las compañías que más invierten en estos servicios son quien de conocer todo lo que está sucediendo a lo largo del mundo.
Frente a esto la única solución posible es la de la colaboración, tanto entre organizaciones privadas cómo entre el sector público y el privado. Colaboración que se puede entender como la búsqueda de socios que les permitan a las empresas dotarse de áreas de ciberseguridad con recursos humanos y conocimientos de sobra, a costes adecuados. El desarrollo de MSSP (Security Service Providers), como evolución de los SOCs y el personal con las herramientas y experiencia precisas al disponer de todos va a ser básico en los próximos años. Y colaboración entendida como las redes de intercambio de información temprana que nos permiten conocer lo que les está pasando a otros, para defendernos antes. Organismos públicos como Incibe o el CCN-Cert, o Certs privados dentro de los mismos MSSPs pueden ayudarnos a todas las organizaciones a participar en estas redes y recibir y acercar conocimiento para la seguridad de todos.
Desde esta perspectiva, el gran reto que tiene la ciberseguridad hoy en día, y en la que los Ingenieros de Telecomunicación y el sector de las telecomunicaciones tenemos mucho que aportar, es disponer de un modelo de gestión eficiente, inteligente y colaborativo, que nos lleve a hacer más con menos y que nos permita, a organizaciones y sociedad, conseguir el nivel de seguridad con el que cada uno se sienta cómodo.
Susana Rey
responsable de Seguridad de R
Imágenes deThomas Kvistholt y Markis Spiske