Un análisis de ciberseguridad debe incluir elementos internos y externos que pueden ser un obstáculo para ponderar y analizar la estrategia.
Por Alejandra García
CEO y fundadora de Custos Consulting
La ciberseguridad es un tema de moda en redes sociales, conversaciones de café y (afortunadamente) cada día más en medios masivos de comunicación.
Aunque el nivel de “awareness” sobre las implicaciones y consecuencias de un ataque informático crecen día con día, es importante enfatizar que todavía pocas organizaciones están atendiendo de manera integral y estratégica el problema.
Primero lo primero: ¿qué es un ataque informático?
Un ataque informático o ciberataque es una forma de crimen no violento que busca explotar y/o violentar los sistemas informáticos de una organización.
También es la explotación maliciosa con fines de lucro de las vulnerabilidades informáticas de una organización para hacerse del control de sus sistemas, operación y/o de sus datos críticos.
Cómo ocurren los ataques informáticos tienen muchas formas difíciles de detectar, sobre todo para organizaciones y gobiernos con un bajo nivel de consciencia sobre las consecuencias para la operación, resguardo y destino de los datos y continuidad de las operaciones.
Equipos en riesgo
Conmutadores telefónicos (voz sobre IP), correos electrónicos, datos no estructurados de un repositorio a otro, son sólo algunos ejemplos de cómo un ataque informático puede infiltrarse en nuestros sistemas sin darnos cuenta y, después de:
- Horas
- Días
- Semanas
- O meses…
… ser activado con alguna instrucción específica para atacar sin que nos demos cuenta.
Para detectar este tipo de riesgos informáticos es necesario más que enormes presupuestos y sistemas informáticos de última generación, contar con una cultura de ciberseguridad que, desde el elemento humano (el más vulnerable), tenga una verdadera consciencia de los riesgos y de las consecuencias (económicas, fiscales, financieras y hasta humanas) que pueden existir de ser víctima de un crimen informático.
Proteger los activos – tangibles e intangibles – de las organizaciones, empresas y gobiernos no es cuestión de tecnología solamente: también cuentan la voluntad y la percepción.
Un paso preventivo para detectar los riesgos informáticos a los que una organización puede estar expuesta es la evaluación de riesgos.
Pero, ¿cómo evaluar la ciberseguridad?
Este assessment inicial o diagnóstico de cómo está cada:
- Segmento de la estructura de red de una organización
- Procesos de entrada y salida
- Detección y ponderación de riesgos…
… que puedan existir en la operación del día a día y el nivel de exposición al riesgo de la organización.
La evaluación de riesgos es un componente clave de un proceso de gestión de riesgos integral en toda la organización, según se define en la Publicación especial 800-39 del NIST (National Institute of Standards and Technology) Managing Information Security Risk: Organizatio n,Mission and Information System View, los procesos de gestión de riesgos incluyen:
- (i) enmarcar el riesgo
- (ii) evaluar el riesgo
- (iii) responder al riesgo
- (iv) seguimiento del riesgo
Este modelo es un ejemplo de cómo las organizaciones pueden diseñar sus propias estrategias para reducir los riesgos informáticos, partiendo desde los ejecutivos de nivel C, hasta los practicantes de recién ingreso.
Entender y desarrollar modelos de evaluación y exposición al riesgo, para organizaciones que crecen rápidamente, incorporando nuevo talento y tecnologías informáticas, así como infraestructuras de red es clave para no ser sorprendido.
Identifique y aproveche
Un análisis de ciberseguridad debe incluir elementos internos y externos que pueden ser un obstáculo para ponderar y analizar correctamente los alcances de una estrategia de ciberseguridad tales como:
- Tecnologías IT
- Tecnologías OT/ICS (SCADA)
- Y/o cumplimiento PCI-DSS
La naturaleza restrictiva de algunos fabricantes de TI en la integración de sus sistemas a las soluciones de un competidor deja desprotegida a muchas organizaciones y les quita la capacidad de realizar análisis exhaustivos de TODOS los datos.
Otros riesgos se encuentran desde:
- El punto de vista del usuario
- Las prácticas de captura de información
- Y bases de datos de terceros…
- … que puedan ser un riesgo potencial por una falta de entrenamiento en este rubro.
Vale destacar que otro riesgo asociado a las bases de datos es la falta de awareness por parte del personal de un área o unidad de negocio determinada.
Pérdidas de alto impacto
De acuerdo con información del Institute for Security and Technology, un negocio tarda:
- Aproximadamente 287 días en recuperarse de un ataque informático (los que se recuperan)
- Y US$ 350 millones es el promedio de lo lo que pagaron las empresas durante 2020.
Y esto sólo por retomar el control de sus sistemas y datos después de un ataque de tipo ransomware.
Palo Alto Networks, por su parte, estimó en US$ 312.493 el costo no recuperable que tuvo un rescate solicitado por criminales informáticos a organizaciones y empresas en 2020: 171% más que en 2019.
En 2020, sólo en los Estados Unidos, más de 2.400 instituciones sanitarias y educativas fueron víctimas de ransomware.
En México, la importancia de combatir a los cibercriminales ha sido reconocida por lideres empresariales y legisladores en ambas cámaras, a tal grado que a través de la Comisión lntersecretarial para el Desarrollo del Gobierno Electrónico, la Cámara de Senadores envió a principios de mayo de 2021 una solicitud formal para conocer el estado que guarda la implementación de la Estrategia Nacional de Ciberseguridad.
En las altas esferas
Esta solicitud no es cosa menor ya que en México, de enero a junio de 2020, se registraron 3.100 millones de intentos de ciberataques hacia empresas, instituciones financieras y gubernamentales.
Finalmente, ¿qué tipo de estrategias debería considerar una organización, empresa o institucion de gobierno que ha determinado su nivel de exposición al riesgo en materia de ciberseguridad?
La respuesta es simple y a la vez amplia en su ejecución.
Las organizaciones deben contar con la capacidad de analizar el punto final de ciberseguridad o endpoint, en el cual:
- Se visibilice de manera proactiva toda la infraestructura de red
- De tal forma que permita un monitoreo 24/7 de las operaciones
- Así como analizar y desviar flujos de datos que no comprometan la continuidad del negocio
Todo ello de mara en que se protejan tanto los datos propios de la organización como los de los clientes, empleados y proveedores.