¿Estamos en Ciber Guerra?

En las guerras tradicionales donde se utilizan bombas y armas, es fácil darse cuenta de que se está en peligro, incluso mucho antes de realmente estarlo y, por lo tanto; se pueden tomar medidas preventivas, persuasivas o correctivas; En la ciberguerra hay ataques todos los días desde hace ya bastante tiempo, sin embargo; es más difícil percibir el peligro y usualmente se piensa que eso sucede en otros países o empresas, pero no en la nuestra.
Lamentablemente, la gran mayoría de las empresas toman la seguridad con la seriedad que merece luego de ser víctimas de un incidente. Es entonces cuando ponen atención a las estadísticas de los ciberataques, a los riesgos existentes y corren a implementar controles por medio de herramientas para mitigar las amenazas.
Existen diferentes formas de pelear una guerra, algunos sin recursos tendrán que luchar con piedras y palos contra tanques, otros serán un pequeño grupo de resistencia escondido y hacinados en una pequeña oficina, habrá quienes tendrán la última tecnología y algunos posiblemente pagarán por su seguridad, porque les resulta más conveniente.
Evidentemente la cantidad de bajas y la probabilidad de ganar una guerra será diferente para cada realidad. Particularmente, me preocupa que las organizaciones implementen herramientas buscando mitigar alguna vulnerabilidad, pero sin tomar en consideración una estrategia de gestión de seguridad de la información y ciberseguridad. Por lo que terminarán con herramientas que posiblemente no harán la diferencia ante un eventual ataque.
Si buscan en Internet, encontrarán muchas estadísticas, ¿cuáles son los vectores de ataque más utilizados?, ¿cuál es el origen de los ataques, la motivación, el monto, el tipo de empresa?, etc. Yo solamente quisiera darles un dato, publicado precisamente en uno de los tantos informes que se generan al año y que quienes no han sido víctimas posiblemente los leen como un dato de algo que está muy lejano a sus empresas: Solamente en Estados Unidos, el FBI en su reporte anual de crimen por Internet, estimó las pérdidas del 2019 en 3.5 billones de dólares.
Si buscan quienes son las víctimas, se identificarán empresas de servicios, bancos, aseguradoras, telefónicas, escuelas, universidades, hospitales, empresas de Gobierno, incluso militares, empresas
grandes, medianas y pequeñas. Una de las últimas víctimas fue la fábrica de autos Honda, quienes tuvieron que detener su producción a nivel mundial, con el evidente impacto económico producido
no solo por la paralización de la empresa, sino por las acciones que requerirán para retomar su operación.
En un mundo en donde los servicios ofrecidos por las empresas están basados en tecnología y en la información, un incidente de seguridad podría tener un alto impacto económico y de imagen. En aquellas empresas como las financieras, que se basan en la confianza de los clientes, podría ser catastrófico y fácilmente llevar a una empresa a la quiebra. Lo cierto es que, no existe seguridad absoluta, esto es una máxima que las empresas deben tener siempre presente y es indispensable que entiendan que la seguridad de la información no es un asunto técnico, no se trata de hardware o software, la seguridad de la información y ciberseguridad es un asunto estratégico.
¿Cómo hago para que mi empresa sea segura?
Debemos tener presente que la seguridad no es una actividad, es un proceso continuo, que tal y como lo indica ISO27001 se basa en el ciclo Planear-Hacer-Revisar-Corregir (PDCA por sus siglas en ingles) y por tanto, no basta con implementar controles o herramientas, es indispensablemente realizar una adecuada gestión de la seguridad de la información.
Los controles de seguridad por su parte deben originarse en una adecuada identificación de riesgos, el no hacerlo, tiene el gran riesgo de omitir riesgos. El trabajo conjunto de las áreas de riesgo y de seguridad es indispensable, para garantizarnos un enfoque y una atención integral. Debemos apegarnos a un estándar o marco de referencia, tal como ISO27001 o el Modelo de Ciberseguridad emitido por Instituto Nacional de Estándares y Tecnología del Ministerio de Comercio de Estados Unidos (NIST).
“La seguridad de la información y ciberseguridad es un asunto
estratégico”
Es usual, que muchas áreas de tecnología no vean con buenos ojos el trabajo de las áreas de Riesgo y de Seguridad de la información, porque consideran que de forma ingrata evidencian los errores en su gestión, sin entender la importancia para el negocio de tener claridad sobre cuáles son sus riesgos y cuál es su verdadero nivel de seguridad. Solamente teniendo presente cuales son las brechas, éstas podrán ser atendidas de acuerdo con las prioridades del negocio. Si su empresa piensa de esa forma muy posiblemente pronto será una víctima más.
Asegurar una empresa es trabajo de todos los miembros de la empresa, algunos con mayor o menor participación, pero todos deben al menos aplicar en su puesto de trabajo las medidas de seguridad que han sido definidas por el área de Seguridad de la información en relación con el plan de Ciberseguridad que planteen.
Por desgracia los que más frecuentemente obvian los controles de seguridad son quienes más deberían aplicarlos, y me refiero al personal de tecnología, que muchas veces en su afán de servicio busca erróneamente como obviar los controles de seguridad e incluso áreas como soporte técnico facilitan a usuarios “amigos” las herramientas para vulnerar los controles, como por ejemplo para poder navegar “libremente” o para instalar software. Por otro lado, es usual que se generen excepciones para algunos grupos, por ejemplo: nadie puede instalar software en sus equipos, pero las jefaturas sí.
Es imposible para una sola persona o un grupo a cargo de la Seguridad de la información y Ciberseguridad, poder asegurar su empresa, porque la seguridad tiene que ver prácticamente con todos los procesos, servicios y actividades de la empresa. Es por eso por lo que la disciplina en la adopción y aplicación de los controles de seguridad debe ser estricta.
Posiblemente en estos tiempos, nadie dejará las llaves pegadas en la puerta de la entrada, porque existe conciencia del riesgo que eso implica, precisamente con ese mismo nivel de consciencia es que cada persona debe entender y aplicar los controles de seguridad, porque de lo contrario, es aquí en donde las herramientas por más sofisticadas que sean perderán su efectividad y valor.