enes

Publicaciones

CIBERSEGURIDAD Por que hablar del tema?

Seguridad Profesional; Consultoría de Gestión de Crisis | Professional Security; Crisis Management Consulting

Descargar PDF

La seguridad cibernética esta dejando de ser un concepto teórico para convertirse en un tema de conversación esencial pues representa un riesgo latente que no solo afecta a grandes organizaciones y gobiernos sino también, esencialmente, a usuarios finales y ciudadanos del mundo. La preocupación no solo va en torno a la protección de información a nivel gubernamental o empresarial para prevenir ataques cibernéticos estructurados, sino que también abarca al ciudadano común quien continuamente interactúa con diferentes plataformas tecnológicas ingresando sus datos personales, información bancaria, etc. Para muchos, más importante aún, es el riesgo a que se vea violada su privacidad lo que genera preocupación, como lo serían sus fotos, mensajes, calendario, notas, etc. Es por esto que ahora de forma más seguida, el término ciberseguridad está perdiendo ambigüedad y se hace más entendible y prioritario, no sólo para las empresas y gobiernos, sino también para los ciudadanos comunes.

Zehirut recientemente ha participado en diferentes eventos como el Cyber Disrupt Summit organizado por CSIS (Center for Strategic and International Studies) en Washington DC y diferentes conferencias de la Reunión Internacional de Seguridad (ISC-West) llevada a cabo en Las Vegas, donde representantes del gobierno americano e internacional, desarrolladores de software, fabricantes de diferentes tipos de tecnologías y consultores de seguridad intercambiaron sus opiniones y visiones en torno a la seguridad cibernética. El presente artículo pretende aclarar algunas definiciones y resaltar los aspectos más importantes que se  discutieron.

 

 

 

 

 

Los cinco puntos sobre  Ciberseguridad

1. Que es Ciberseguridad?

La ciberseguridad se refiere al conjunto de las tecnologías, los procesos y las prácticas que llevan a la protección de redes, equipos tecnológicos, programas y lo más importante, la información y privacidad, ya sean de una organización o de un individuo. Chris Holland, CEO de HiveWind, una compañía desarrolladora de software preventivo, considera que la seguridad cibernética plena es algo que no se puede alcanzar debido a la rapidez en que diariamente se desarrollan los riesgos. Mencionó que diariamente son desarrollados alrededor de 400.000 tipos de malware (malicious software) que buscan explícitamente vulnerar equipos y redes. Una de las problemáticas más importantes de la seguridad cibernética es la rapidez en que evolucionan los ataques, que en su gran mayoría, van muy por delante de la posible solución. Es por esto que el enfoque para combatir la inseguridad cibernética ha ido cambiando y poco a poco las grandes organizaciones y los gobiernos están siendo más proactivos y adaptativos haciendo menos énfasis en la prevención y en cambio enfocándose más en las medidas de detección y respuesta. Por ejemplo, el Instituto Nacional de Estándares y Tecnología de EEUU publicó recientemente directrices actualizadas que recomiendan a todos los entes gubernamentales (EEUU) un cambio hacia la vigilancia continua de sus redes tecnológicas por medio de evaluaciones en tiempo real.

El Instituto Nacional de Estándares y Tecnología de EEUU publicó recientemente directrices actualizadas que recomiendan a todos los entes gubernamentales (EEUU) un cambio hacia la vigilancia continua de sus redes tecnológicas por medio de evaluaciones en tiempo real. (ver https://www.nist.gov/topics/cybersecurity)

El Instituto Nacional de Estándares y Tecnología de EEUU publicó recientemente directrices actualizadas que recomiendan a todos los entes gubernamentales (EEUU) un cambio hacia la vigilancia continua de sus redes tecnológicas por medio de evaluaciones en tiempo real. (ver https://www.nist.gov/topics/cybersecurity)

“Una de las problemáticas más importantes de la seguridad cibernética es la rapidez en que evolucionan los ataques”

 

 

 

 

 

 

 

 

2. PREVENCIÓN, DETECCIÓN Y RESPUESTA

Desde el punto de vista teórico existen tres aspectos fundamentales que conforman la ciberseguridad que son la Prevención, la Detección y la Respuesta. En las organizaciones y compañías la Prevención comúnmente se administra por medio de programas de antivirus y firewalls.  Dentro de las compañías privadas comúnmente la Prevención se ha dejado en manos del departamento de ingenieros electrónicos (IT’s), asumiendo equivocadamente que este departamento cubre plenamente las necesidades en seguridad. En realidad, comúnmente estos no cuentan con sistemas de detección y reacción confiables que permitan determinar un ataque cibernético en tiempo real. En lo referente a Detección y Respuesta, las organizaciones y compañías privadas hoy en día tienden cada vez más a subcontratar estos servicios por parte de especialistas externos que cuentan con herramientas para hacer reconocimientos (ej. hacking ético), desarrollar actividades de detección y control, analizar tendencias como el uso de banda ancha de internet y el uso de los medios tecnológicos, para de esta forma responder a las amenazas a medida que surgen. El mensaje es cada vez más claro, la prevención es inútil a menos que esté vinculada a una capacidad de detección y respuesta que permitan actuar en tiempo real y mitigar los riesgos latentes. Entre muchos ejemplos, uno reciente es el ataque que sufrieron varias entidades bancarias entre el 2015 y 2016 conocido como Swift Banking Hack. Estas organizaciones bancarias contaban con un equipo de prevención robusto que lograron detectar y prevenir un ataque que buscaba desviar fondos a cuentas internacionales por promedio de 900 millones de dólares. Sin embargo, a pesar de que contaban con este equipo, los hackers lograron desviar más de 90 millones de dólares a cuentas internacionales.

“El ataque Swift Banking logró desviar más de 90 Millones de Dólares a cuentas internacionales”

3. LEGISLACIÓN DE  CIBERSEGURIDAD

A nivel gubernamental esta conversación también se ha expandido, abarcando temáticas y generando cuestionamientos importantes que van desde lo legislativo hasta lo pragmático. Por ejemplo, hasta qué punto hay que legislar en torno a la seguridad cibernética? Hasta qué punto el gobierno tiene potestad de acción sobre la información privada de un individuo?. Desde el punto de vista legal, surgen preguntas que requieren respuestas claras. Por ejemplo, Es culpable un ingeniero de sistemas por no haber previsto un ataque cibernético en una organización que esté a su cargo?. Es acaso culpa de la empresa u organización que lo contrata por no haber previsto los riesgos reales que tenía y/o por no haber comprado pólizas o seguros que tuvieran dicha cobertura?. Hasta qué punto es culpa del integrador o contratista que recomendó el uso de ciertos equipos que se hayan visto involucrados en el incidente?. Hasta qué punto es culpa del fabricante o desarrollador de los equipos y/o el software por haber fallado en desarrollar los mismos pero con mayor nivel de seguridad?.Todas estas preguntas son fruto de debate hoy en día a nivel gubernamental donde eventualmente se estarán tomando decisiones y desarrollando nuevas leyes que traerán consigo cambios en las reglas del juego, a las cuales inevitablemente tendremos que adaptarnos.

4. Derechos Cibernéticos

Otro tema importante a tener en cuenta tiene que ver con los derechos fundamentales del ciudadano cibernético y de esto surge la pregunta de hasta qué punto la información privada debe ser privada y hasta qué punto puede ser sujeta a escrutinio por parte de entes gubernamentales en caso de ser necesario. En cuanto a esto y desde el punto de vista gubernamental, Phil Cellestini, director de la división de ciberseguridad del FBI, considera que de la misma forma como existen métodos legales para requisar a los ciudadanos y sus pertenencias (requisas personales, revisión de propiedades, carro, finca raíz, información financiera, etc) de esa misma forma se debiera facilitar acceso al gobierno a la información confidencial de un individuo, por ejemplo en su dispositivo móvil o en su computador. Sin embargo, hay organizaciones con visiones contrarias que argumentan que esto sería una violación a los derechos fundamentales de la privacidad y estos entes se encargan abogar por lo que denominan “derechos civiles cibernéticos”.

“Hasta qué punto la información privada puede ser sujeta a escrutinio por parte de entes gubernamentales?”

Un ejemplo reciente que puso este debate en el foco internacional tuvo que ver con una orden judicial que exigía a la compañía Apple desbloquear el Iphone de Syed Rizwan, asesino en la masacre de San Bernandino. Apple argumentaba legalmente que su responsabilidad era proteger la información privada de todos sus clientes.

 

 

 

5. Inversión en Ciberseguridad

La inversión a nivel mundial en ciber-seguridad está en aumento, la cual en su mayoría va dirigida a la Detección y Respuesta frente a incidentes, por encima de la Prevención. Esta nueva tendencia probablemente causará cambios en cómo se gestiona la seguridad y cómo se mide el éxito de las organizaciones. Según la revista Forbes, el mercado mundial de ciber-seguridad alcanzó los 75.000 millones de dólares para 2015 y se espera que alcance los 170.000 millones de dólares en 2020. Gran parte de este gasto será asignado al aumento en la capacidad de Detección y Respuesta. Una de las formas en que se está percibiendo este cambio se deja ver en el crecimiento del uso de proveedores y consultores de seguridad externos debido a la escasez de personal con conocimientos y habilidades en temas de ciber-seguridad dentro de las organizaciones.

“Se espera que el  mercado de la ciberseguridad alcance los 170.000 millones de dólares en 2020”

Lo que nos debemos preguntar

Las preguntas esenciales que debemos hacernos como organizaciones y como individuos son: ¿Entendemos cabalmente qué es la Seguridad Cibernética y el riesgo que realmente tenemos?. ¿Estamos dando la importancia necesaria a la seguridad cibernética en nuestro entorno?. ¿Estamos haciendo lo realmente necesario para incrementar nuestra seguridad cibernética?. Mathew Rosenquist de Intel Corporation, quien aboga por la búsqueda de una ciberseguridad óptima, considera que las decisiones corporativas y gubernamentales deben ser contundentes en apelar a la inversión proactiva en términos de seguridad. Por ejemplo, toda organización debiera hacer estudios de ciberseguridad. Los empleados de una organización privada o gubernamental debieran tener entrenamientos relacionados a la ciberseguridad. Toda organización debiera tener una política de redes y de uso de medios tecnológicos. Las pólizas y seguros de las empresas, sus proveedores y clientes debieran cubrir los riesgos relacionados con la inseguridad cibernética. A nivel individual, Rosenquist también considera que hay una responsabilidad de todo usuario de internet o “ciudadano cibernético” y que esta se asume manteniendo una correcta “higiene cibernética” que no es nada más que el buen uso del sentido común. No visitar paginas dudosas, no usar software desconocido, no utilizar links indebidos, usar claves (passwords) que sean lo suficientemente seguros y cambiarlos periódicamente, mantener actualizados los programas antivirus, etc. Si logramos aceptar que la inseguridad cibernética es un riesgo real y latente que afecta conjuntamente a gobiernos, empresas e individuos, estaremos dando el primer paso para dirigirnos hacia la adaptación, la cual es absolutamente necesaria para la supervivencia en un mundo en constante evolución.

CiberSeguridad by AlexRincon

Autor: Alexander Rincón – Gerente Comercial de USA para el Grupo Zehirut.

alexander.rincon@zehirut.com

 

 

Ataque Cibernético Global: una batalla que continuaremos luchando por mucho tiempo
Current Tendencies: Drug Trafficking in the Americas