Hacia un nuevo paradigma de Ciberseguridad y Protección de la información


El pasado 30 de noviembre se celebró el Día Internacional de la Seguridad de la Información (Computer Security Day). Una celebración que surgió en el año 1988, después del primer caso de malware de propagación globalizada en red que se registró en el mundo, conocido bajo el nombre de "Gusanos de Morris", el cual afecto al 10% de los sistemas conectados al Internet de aquel entonces.
Esta fecha vale para recordar, a todos, la necesidad y obligación que tenemos de proteger nuestra información y sistemas de cualquier tipo de acción malintencionada o delictiva que puede ocurrir en el plano digital.


12/12/2022

MANUEL SANCHEZ GÓMEZ-MERELO

Una ocasión para concienciar sobre la importancia de la seguridad de la información y recordar las medidas que, como usuarios, podemos llevar a cabo para evitar vernos afectados a posibles ataques, especialmente en períodos, como el que nos encontramos, donde a diario nos inundan los buzones del email o del teléfono con campañas promocionales, llamativos descuentos por el Black Friday, promociones de ventas navideñas y de viajes, etc.
 

Evolución de riesgos y amenazas. Nuevos retos
 

En la actual situación, en la que los riegos y ciberataques han aumentado de forma considerable, principalmente con el ransomware como principal amenaza y con la implementación del modelo de trabajo híbrido y el teletrabajo en la gran mayoría de las organizaciones públicas y privadas, se hace cada vez más necesario incorporar estrategias de seguridad que fortalezcan los accesos a los datos e información desde cualquier punto y en todo dispositivo.
 

En este sentido, la ciberseguridad debe centrarse tanto en la protección del sistema y el dispositivo como en la protección de la información y el usuario y asegurar y verificar su legitimidad sin importar de dónde provenga, lo que puede garantizar que solo los usuarios y dispositivos autorizados tengan acceso a esos datos concretos.
 


 

Hemos de tener en cuenta que, en la actualidad, el 85% de los ataques contra activos digitales es consecuencia del error humano y, consecuentemente, según los últimos análisis de IDC Research, se espera que la ciberseguridad vuelva a crecer este año un 7,7%, pues los ciberataques no dejan de aumentar y se calcula que en el año 2022 han afectado al 90% de las organizaciones, de alguna manera, sin olvidar que el factor humano es el eslabón más débil de la ciberseguridad.
 

Igualmente hemos de considerar que España tiene otra asignatura pendiente y es que necesita más de 80.000 profesionales de ciberseguridad.
 

Ciberseguridad para todos
 

Conviene recordar que garantizar la ciberseguridad individual y colectiva, personal y pública es una cuestión de todos que empieza en el ámbito personal.
 

Así, debemos subrayar la importancia que tienen hoy todos los especialistas y las organizaciones vinculados al sector de la prevención y protección de la información, sistemas, redes y dispositivos y concienciarnos sobre los problemas de esta necesaria seguridad informática y, sobre todo, para animarnos a proteger nuestra privacidad y la información personal almacenada en nuestros ordenadores como la mejor aportación a la seguridad de todos.
 

Para ello, hemos de darle el protagonismo que tiene a la necesaria nueva cultura de ciberseguridad. Así, la Ley 36/2015, de Seguridad Nacional, recoge la importancia de promover una Cultura de Seguridad Nacional «que favorezca la implicación activa de la sociedad en su preservación y garantía, como requisito indispensable para el disfrute de la libertad, la justicia, el bienestar, el progreso y los derechos de los ciudadanos». Además, y en el año 2021, el Consejo de Ministros aprobó el Plan Integral de Cultura de Seguridad Nacional, que pretende desarrollar acciones para, como ciudadanos y sociedad, concienciarnos de que la seguridad es una condición imprescindible para el crecimiento del ser humano y el normal desarrollo de nuestra vida cotidiana, cuya protección requiere del esfuerzo y la corresponsabilidad de todos.
 

Gestión del riesgo y la seguridad global
 

En los últimos tiempos, han aflorado nuevos riesgos y exigencias derivadas de la situación generada por la pandemia, tanto a nivel de la seguridad global como de la seguridad particular del mundo que compartimos, a la dimensión personal (mundo, país, ciudad, barrio, vecindad, vivienda, persona).
 

Así, es necesario reasegurar: Actividades (industrial, comercial, social); Transporte (internacional, nacional, local); Economía (global, local); Educación y capacitación (nacional, local, personal); Seguridad (prevención, protección); Laboral (empresarial, autónomos); Sanitaria (global, local, personal) y un largo etcétera.
 

Como base de trabajo hemos plantearnos nuevos modelos de gestión integral e integrada del riesgo y la seguridad global y, basado en un nuevo esquema holístico de visión de la gestión de los ciber-riesgos, hemos de plantear el desarrollo de nuevas plataformas de gestión de los riesgos, amenazas y vulnerabilidades de todo tipo de organizaciones.
 


 

Actualmente resulta muy aconsejable que nos mostremos flexibles y dinámicos pues, sobre todo, con la pandemia de la COVID-19, hemos aprendido a adaptarnos sobre la marcha, así que, a la hora de elaborar nuestras actuales prioridades, debemos hacerlo abordando nuestros objetivos e intereses desde una perspectiva diferente.
 

Todo ello debe llevarnos a considerar como aspecto importante que se reordenen y modifiquen nuestras organizaciones, nuestras metas, acuerdos y actitudes, y se ponga en valor la seguridad global al frente de nuestras prioridades.
 

Respecto a la seguridad global, es la que afecta al conjunto de la humanidad y no solo a una nación u otra y esto es lo que hace que, ciertos ataques o virus tengan una capacidad de convocatoria del ingenio mundial, como nunca antes se ha visto porque el planteamiento de la ciberseguridad debe ser totalmente transversal.
 

En el ámbito de las organizaciones, procede revisar los planes de continuidad, y sistemas para gestionarlos, así como los controles internos para poder anticiparse y responder a una amenaza de ciberinseguridad como la que ha resultado al irrumpir con una pandemia a escala mundial.
 

Así, recientemente, y como consecuencia del riesgo cada vez mayor de ciberataques, el Consejo de la UE ha adoptado legislación para elevar nivel común de ciberseguridad en toda la Unión Europea en su conjunto, a fin de seguir mejorando la resiliencia y las capacidades de respuesta a incidentes de los sectores público y privado.
 

La nueva Directiva, denominada «NIS2», sustituirá a la actual Directiva sobre seguridad de las redes y sistemas de información (Directiva NIS).
 

Además, la nueva Directiva se ha adaptado a la legislación sectorial específica, en particular el Reglamento sobre resiliencia operativa digital para el sector financiero (DORA) y la Directiva sobre la resiliencia de las entidades críticas (RCE), para proporcionar claridad jurídica y garantizar la coherencia entre las NIS2 y estos actos.
 

Consecuentemente y para ser operativos y contribuir a nuestros fines, se debe tener una visión de futuro proactiva e innovadora y continuar manteniéndose lo más implicado con la organización para poner en valor tanto sus riesgos como sus necesidades, lo cual implica cada vez más, no solo consideraciones operacionales, sino también riesgos estratégicos y factores del entorno externo que actúan sobre la organización. Para ello, es importante mejorar el posicionamiento del CISO (Chief Information Security Officer) pues el papel del CISO refleja el grado de madurez de una organización.
 

Seguridad sistemática planificada
 

Para mantener un seguimiento y control sistemático, las organizaciones han de disponer, como mínimo, de un Plan de Contingencia y Continuidad que tiene como objetivo principal, anticiparse a posibles situaciones de materialización de los riesgos de forma que, si estos llegan a producirse, el impacto y consecuencias, sean las menores posibles basado en:

Medidas preventivas, como la organización del trabajo y el tratamiento de la información, minimizando el número de personas con acceso a datos sensibles. Medios de protección, como sistemas de control y seguridad para los sistemas e información y comunicación. Procedimientos de actuación, para atenuar los efectos adversos de la posible contingencia activando medidas que permitan el desarrollo de la actividad de manera alternativa o paralizar tareas de manera temporal.
 


 

Actualmente, la mayoría de la información sensible de las organizaciones se encuentra en Internet, más específicamente en las diferentes nubes, y los empleados son los primeros responsables de asegurar estos datos y no compartirlos por ningún otro medio que pueda poner en riesgo la información. Hemos de tener en cuenta que los empleados son el primer escudo de protección.
 

Como resumen, y para sumarnos a esta nueva celebración del Día Internacional de la Seguridad de la Información, vamos a recordar y compartir algunos consejos básicos que todo usuario de Internet debería cumplir:

Define y gestiona bien tus contraseñas y accesos a información sensible. No confíes en las conexiones de Wifi públicas o abiertas. Mantén actualizados tus programas y aplicaciones. No descargues información de fuentes desconocidas o dudosas. Gestiona la información del teléfono móvil como la del ordenador. Antes de abrir un correo, acceder a un link, descargar un archivo adjunto prestar atención a: la dirección del remitente; los posibles enlaces; la solicitud de credenciales o datos personales; lo sospechoso del cuerpo del mensaje.
 


 

Por último, recordar la reciente campaña de protección de la información 'Ciberprotégete' que se desarrollará hasta el 31 de diciembre, lanzada por el INCIBE (Instituto Nacional de Ciberseguridad) que aprovechamos la ocasión para compartirla, así como recomendar sus “Guía de ciberataques. Todo lo que debes saber a nivel usuario” y “Guía de ciberseguridad. La ciberseguridad al alcance de todos”, para ampliar información y conocimiento al respecto.