868 300 513 / [email protected]

WE WORK

AS ONE

Contamos con los mejores

Ciberseguridad: ¿Hemos puesto el foco en el lugar adecuado?

Ciberseguridad: ¿Hemos puesto el foco en el lugar adecuado?

Cualquier servicio de TI necesita tres elementos para funcionar bien: las personas, los procesos y la tecnología. Sin embargo, el mercado de la ciberseguridad parece que está perdiendo de vista los procesos y las personas, y cada día se centra más y más en la tecnología.

Esta opinión no es únicamente nuestra. Por ejemplo, Roger Grimes, reputado autor dedicado en los últimos 40 años a la seguridad informática,argumenta sobre este hecho que «en la mayoría de los entornos empresariales, dos vectores representan el 99% de todos los ataques exitosos: el software sin parchear y la ingeniería social. Pero en lugar de defender nuestros entornos de forma alineada con el riesgo, concentramos nuestros esfuerzos en casi todo lo demás».

En un tono irónico, Grimes, nos invita a pensar en una guerra en la que hay dos ejércitos: el A, el ejército enemigo, y el B, el ejército amigo. El ejército A, lleva años atacando al ejército B y siempre lo hace por el flanco izquierdo. Sin embargo, el ejército B, en vez de reforzar las defensas del flanco izquierdo, ha decidido adquirir baterías de misiles antiaéreos ante el rumor de que el ejército enemigo podría atacar por el aire en un futuro próximo. Mientras tanto, ante una nueva derrota, se preguntan qué les está haciendo perder la guerra.

¿Qué es lo que falla en el ámbito de la ciberseguridad?

Según las principales empresas de la ciberseguridad, es indiscutible que el mercado crece cada año, pero, también es indiscutible, que no lo hace de forma homogénea. El dinero gastado en dispositivos y elementos de ciberseguridad, sean software o hardware, se ha duplicado en los últimos 5 años, mientras que la inversión en servicios profesionales de ciberseguridad, estrechamente relacionados con los procesos y las personas, sólo ha crecido tímidamente.

En los últimos tiempos hay una especie de psicosis por la adquisición de productos de ciberseguridad que Schulz refleja muy bien diciendo que la venta de tecnología, especialmente SIEM y otros sistemas afines, «están impulsando el crecimiento global en el sector de la ciberseguridad con una tasa de crecimiento anual del 16%». Se trata de una desigualdad significativa, a nuestro entender, con una razón subyacente.

Los procesos y las personas son complejos de medir en su eficacia. Así mismo, requieren de mucho más tiempo para optimizar su integración y, por si fuera poco, demandan de algunas mínimas capacidades de gestión.

La falsa sensación de seguridad que ofrece una cuantiosa inversión en hardware y software de ciberseguridad

En cambio, una inversión en ciberseguridad traducida a cientos de miles de euros en hardware y software es fácil de medir erróneamente: obtenemos algo grande, con luces, que se puede ver, tocar, que pinta gráficos, que lanza alertas y que crea una falsa sensación de control y seguridad.

Hoy día la nueva frontera, la tendencia, es hablar de productos de ciberseguridad gestionados por Inteligencia Artificial: machine learning, deep learning, etc. ¿Habiendo Inteligencia Artificial, quién necesita a las personas y a los procesos?

Las debilidades de este modelo de ciberseguridad

Como no podía ser de otra manera, en los últimos años, los «malos» han desplazado el vector de explotación desde los sistemas informáticos hacia las personas, toda una vuelta a los orígenes. El malware más común, el ransomware, o los fraudes de suplantación de identidad digital más frecuentes, se aprovechan del tándem de usuarios no formados y de procesos de gestión diseñados sin tener en cuenta los riesgos digitales para, utilizando ingeniería social, es decir, engaños más o menos elaborados, tener éxito y causar daño real, con impacto económico directo, en la organización. ¿Vemos la contradicción?

Vías para revertir los problemas actuales en el mercado de la ciberseguridad

Afortunadamente, hay un camino claro para reenfocar. Una organización correctamente alineada con un estándar en seguridad de la información como ISO 27001, con un marco de buenas prácticas en ciberseguridad, como el NIST Cybersecurity Framework, o con una ley de ámbito nacional, como Esquema Nacional de Seguridad (ENS), tendrá en cuenta a la hora de protegerse los tres pilares fundamentales de la ciberseguridad: las personas, los procesos y la tecnología; y realizará una inversión equilibrada en cada uno de ellos.

¿Tan simple? En ningún momento pretendemos decir que sea algo simple, si no que hay un camino claro a seguir, apoyado todo él en una idea base sobre la que descansan todos los estándares y buenas prácticas: gestión de riesgos. ¿Cómo hacerlo?

  • Lo primero y fundamental es identificar y razonar cuáles son los riesgos potenciales que nos pueden afectar según nuestro contexto particular: tamaño, sector, nivel de innovación, mercados en los que estamos presentes, etc.
  • Luego definimos qué medidas adoptamos para evitar la materialización de esos riesgos que hemos detectado para nuestro caso particular. Y lo hacemos de forma equilibrada, aplicando medidas sobre las personas, los procesos y la tecnología, y prestando atención a todas las dimensiones de la seguridad: disponibilidad, confidencialidad, integridad, autenticidad y trazabilidad.
  • Por último, debemos aceptar e interiorizar que siempre existirá un riesgo residual, mayor o menor dependiendo de la madurez de las medidas adoptadas y de la propia tolerancia al riesgo que tengamos, y por tanto, debemos estar preparados para detectar y gestionar contingencias y desastres.

En definitiva, aunque el mercado de la ciberseguridad creemos que ha perdido el foco, y los atacantes se están aprovechando de ello, podemos corregirlo implementando medidas y controles de seguridad eficaces, adecuados al contexto de cada organización, apoyados en estándares, conjuntos de buenas prácticas o legislación, que actúen de base para analizar nuestros riesgos, gestionar nuestros riesgos y prepararnos para situaciones excepcionales que puedan acontecer.

Referencias

-Grimes, R. A. (2015). The No. 1 problem with computer security. Published in InfoWorld.com and retrieved from Information Science and Library Issues Collection, http://link.galegroup.com/apps/doc/A481604571/PPIS?u=lirn17237&sid=PPIS&xid=d46fb322.

-Schultz, B. (2010). Love it or leave it: security information and event management (SIEM) tools have frustrated many–yet they are here to stay. Published in SC Magazine and retrieved from Information Science and Library Issues Collection, http://link.galegroup.com/apps/doc/A235015211/PPIS?u=lirn17237&sid=PPIS&xid=67a507c1.

Facebook
Twitter
LinkedIn
Pinterest
WhatsApp