Porque nos debemos preocupar por nuestra ciberseguridad

La ciberseguridad nos afecta a todos, no sólo a grandes entidades o compañías. Todos debemos prestar atención a los consejos y sugerencia de expertos en ciberseguridad y en este artículo veremos el porqué.

Cuando oímos hablar de ciberseguridad no debemos pensar en hackers encapuchados que trabajan a favor o en contra de grandes intereses económicos o políticos y que estamos lejos de esas ciberguerras de las que nos llegan noticias, rumores y también leyendas.

Tengamos en cuenta en primer lugar que dentro de los objetivos de nuestra transformación digital está tener una presencia relevante dentro del ciberespacio. Éste es el principal objetivo de nuestro marketing digital: ser reconocibles como proveedor de unas determinadas soluciones, bienes o servicios.

Debemos pensar que somos potenciales actores en actividades de ciberdelinquencia más grandes.

Ahora bien, el papel que interpretan los actores puede ser diferente:

Víctimas: no es necesario eliminarnos nosotros mismos como tales porque creemos que, tal y como he mencionado arriba, la película no va con nosotros.Debemos pensar que los ataques muy frecuentemente tienen un componente aleatorio y masivo que pretende obtener resultados aumentando su superficie de ataque a lo largo de multitud de “pequeños usuarios” (las desgraciadamente habituales campañas de phising).Es posible que a partir de aquí el ataque continúe hacia los activos corporativos (un ransomware que cifra todo un servidor de archivos) o hacia objetivos más personales (trabajadores que, alarmados ante un falsa notificación urgente de su banco, depositan sus credenciales de acceso en un sitio que suplanta el original).
Actores: También los cibertacantes pueden desear emplear los recursos de computación de nuestros equipos para distribuir ataques mucho más complejos y exigentes (como ocurre por ejemplo en los ataques DDOS).Así mismo incluiríamos aquí el cryptojacking (por ejemplo, código javascript que ejecutamos al visitar una página y que se emplea en el minado de criptomonedas) que también puede estar presente en imágenes para contenedores Docker o incluso en aplicaciones móviles.

En definitiva, sea cual sea nuestra posición y perspectiva con respecto las nuevas tecnologías que, recordemos, tienen como misión aportar valor a nuestras compañías, debemos mantener un alto interés en la formación en materia de ciberseguridad ya que gran parte de la misma recae en el factor humano.

Desde el punto de vista de la gerencia, hay que tomar conciencia del valor del daño en términos no solo económicos, sino también de reputación. A partir de aquí, las acciones podrán abarcar desde adquirir un antivirus hasta exigir a nuestros proveedores de servicios que lleven prácticas de desarrollo seguro o que garanticen una gestión segura de la información. En este sentido hay diferentes estándares, oficiales o de facto, cuya adhesión puede darnos ciertas garantías (por no mencionar el marco legal y regulatorio).

Ponemos aquí algunos ejemplos:

Familia de normas ISO 27000, que definen lo que se entiende por un sistema de gestión segura de la información.
Estándar PCI DSS, generado por la industria de las tarjetas de crédito, para definir un uso seguro de las mismas como medio de pago.
Proyecto OWASP, que en este caso es abierto y no cuenta con grandes compañías en su respaldo, para crear un marco común de desarrollo seguro.

Por otra parte, como participantes en el área de TI, conocer todo lo anterior nos permitirá implementarlo y ofrecer garantías a nuestros usuarios. Solo por poner algún ejemplo, mencionamos:

Llevar a la práctica frameworks de desarrollo seguro
Hacer auditorías de seguridad internas, con independencia de las externas que se puedan solicitar
Securizar la infraestructura. Disponer de cortafuegos, de detección de intrusiones, de filtrado de contenidos, etc
Desplegar sistemas SIEM/SIM/SEM

Como conclusión podemos decir que hay un territorio que explorar desde diferentes disciplinas. Es necesario saber qué hacer, qué objetivos perseguir, cómo llegar a ellos; entender qué pretende el marco normativo, cómo nos ayudaría a reducir nuestros riesgos y cómo conseguir que la tecnología nos posibilite lograrlo.

Esperamos que haya sido de su interés este artículo, para más información puede visitar nuestra guía de Ciberseguridad.

Referencias:

Artículo escrito por Juanma Reina, IT Project Manager en Pulsia Technology.

Ingeniero Técnico Industrial por Universidad de Córdoba y Máster en Ciberseguridad por la UCAV.

Disfruto gestionando proyectos. Hacer las cosas fáciles para mi equipo y prever cualquier dificultad futura que podamos enfrentar para reducirlo es lo que entiendo cuando se trata de hablar sobre liderazgo.

Después de un tiempo involucrado en el soporte de infraestructura, he estado cada vez más implicado en diferentes tipos de proyectos, es por eso que trato de dar un punto de vista desde una perspectiva más amplia que incluya control de calidad, seguridad, rendimiento, etc.