Wow, cuando me ponía a escribir este post iba pensando si habría alguna forma de prevenir o evitar efectivamente los ciberataques, entendiendo que tenemos que conectarnos con el resto del mundo, es decir, conectar nuestros sistemas, aplicaciones, usuarios, proveedores, clientes con todo el mundo. Bien, la realidad es que no vamos a poder prevenir todo, por lo que sería mejor hablar acerca de ¿Cómo disminuir la posibilidad de un ciberataque?
En el post anterior he introducido el concepto de la ciber-resiliencia. Y aquí se ve muy claro. Tenemos que estar listos, preparados, atentos a que en cualquier momento algún ciberataque se podría materializar. Estar preparados no significa sólo desde el punto de vista técnico, sino también como empresa, como organización, cómo vamos a responder, qué le vamos a decir a nuestros clientes, como vamos a seguir transmitiendo confianza luego de un evento así.
Cuando comenzamos a pensar acerca de qué cosas podríamos hacer como empresa para disminuir la posibilidad de un ciberataque, se nos vienen a la cabeza, a nuestros pensamientos, infinidad de casos que suceden todos los días, algunos más resonados que otros.
La capacidad de una empresa para disminuir la posibilidad de un ciberataque está directamente relacionada con el nivel de permeabilidad y fluidez de los conceptos de ciberseguridad en la misma.
Alguien podría preguntarme ¿A qué se refiere con esto? ¿Podría explicarnos un poco más? Bien, sencillamente me refiero a ver qué nivel de madurez en conocimientos y divulgación interna hay sobre los temas de ciberseguridad.
Como sabemos en muchas organizaciones debido a su diseño top-down, es crítico que desde los niveles más elevados de la misma (accionistas, directores, gerentes, etc.) se hable todos los días de temas de ciberseguridad y se demuestre mediante acciones el compromiso que existe para mantener los datos protegidos y resguardados. De esta forma los conceptos y la necesidad de proteger los datos se comenzaría a diseminar por toda la empresa, sin excepción. Pero, realmente, en cuántas empresas sucede esto. Ahí tiene la respuesta, a eso me refiero con el nivel de permeabilidad y fluidez de los conceptos de ciberseguridad.
¿Sucede en su empresa? ¿Sucede en nuestras empresas, gobiernos y organizaciones? La respuesta está ligada a su estrategia de ciberseguridad y la ciber-resiliencia de su organización. Cada vez más necesarias e impostergables.
Algunos empresarios y ejecutivos se refieren a parte de esto cómo tener una política de seguridad y concientizar a los empleados. Ambas son en realidad sólo algunas actividades que debemos hacer para llegar al concepto sobre el que escribo.
¿Desea marcar un punto de partida para disminuir efectivamente un ciberataque? Aquí están los primeros pasos, simples y complejos al mismo tiempo.
Cuando hablamos acerca de cómo prevenir un ciberataque, realmente se juntan tres variables, planteándose de una forma simple. Una variable intrínseca a la empresa, y una variable extrínseca a la misma. La variable extrínseca es aquella sobre la que la empresa no tiene control, es decir sobre las ciberamenazas. La empresa no puede impedir que la ciberamenaza esté constantemente intentando, intentando e intentando. Desde el punto de vista técnico sería como ver todos los días en los logs de nuestros dispositivos de seguridad diferentes intentos de accesos no autorizados.
La variable intrínseca está determinada por todo lo que la empresa sí puede hacer, por todo aquello que está bajo su dominio. Por ejemplo, lo que conversábamos más atrás, acerca de las actividades mínimas para dispersar el conocimiento, la importancia y la necesidad de la ciberseguridad.
Los datos más sensibles o críticos que posee una empresa, sí es cierto que están almacenados en algún repositorio con ciertos niveles de protección. ¡Lo sabemos! nadie los deja totalmente desprotegidos, al menos en forma adrede. Pero en realidad estos datos están fluyendo constantemente por toda la empresa y fuera de ella también. Fluyen, van cambiando de forma, a veces en formato digital cuando se reenvía por correos electrónicos, cuando se copia a un USB, otras veces se cambia a otro formato, por ejemplo, cuando se imprimen documentos, o cuando mientras algunas personas almuerzan en lugares públicos conversan a cerca de proyectos, visiones futuras, etc. Es decir, son los mismos datos, sólo que en otros medios diferentes. Por lo cual en estos primeros puntos comienza todo.
Ahora nos faltaría la tercera variable, la cual se refiere al valor de los datos de la empresa. Es decir, qué impacto le generaría a la empresa que un ciberataque se concretara sobre esos datos. ¿Qué sucedería si los datos sensibles son divulgados en forma no autorizada? Por ejemplo, en algún foro en Internet, y a partir de aquí salimos expuestos en alguna noticia, se enteran nuestros Clientes, socios, etc. A este impacto es lo que llamo el valor de los datos.
Vemos entonces que los primeros pasos, y por ser los primeros no quiero decir que son los más simples ni los más rápidos de conseguir son:
1. Divulgar por toda la empresa la importancia de la ciberseguridad, desde los accionistas, socios, alta dirección, comprometiéndose a proteger en forma adecuada los datos.
2. Entender cuáles son los datos más importantes, ese impacto que recién les comentaba, y dónde están.
Aquí comienza todo, este sería como el punto de partida. Por supuesto, estos pasos no son los únicos.
Quisiera detenerme y dedicar unas líneas a la identificación de los datos sensibles o críticos. Dentro de la jerga de seguridad de la información a esto lo llamamos clasificación de información o de activos. Entonces algunas empresas comienzan clasificando sus activos, es decir, analizando cuáles son los más sensibles o críticos, dándoles un valor. Primero es que las empresas que hacen este tipo de actividades son pocas, realmente pocas. Dentro de las que clasifican la información, muy pocas aún identificación la ubicación de los datos y menos aún el flujo, por dónde circulan.
Es decir, la clasificación de la información la realizan más que nada por la naturaleza de los datos. Ponen en una planilla o en otro tipo de documento, por ejemplo, los datos de los clientes son sensibles. Pero se olvidan de que los riesgos a los cuales están expuestos estos datos no son determinados por su naturaleza, sino por el ambiente donde están en un momento exacto o por las actividades que son ejecutados sobre ellos en un momento exacto. Lo explico de otra forma, si sabemos que ciertos datos son muy importantes para la empresa porque si por ejemplo son divulgados de forma no autorizada, realmente podríamos perder muchos clientes, nos caerían multas importantes, tendríamos un impacto muy fuerte en nuestra imagen y reputación, entonces tendríamos que saber dónde están esos datos, por dónde circulan y en qué circunstancias. Como veíamos al principio, los datos van cambiando de forma, pero en su esencia continúan siendo los mismos. Por ponerlo simple, una contraseña es la misma contraseña si está escrita en un papel, si es enviada por correo electrónico, si se pasa por teléfono, por poner todas actividades de riesgo ¡que no deberíamos hacer nunca! Sólo un ejemplo para comprender mejor este punto.
Entonces el tercer paso sería:
3. Clasificar e identificar los datos más importantes para poder proteger aquellos que son realmente los más importantes para la empresa identificando también los requerimientos regulatorios y contractuales que los alcanzan.
A partir de acá comienzan entonces los la definición e implementación de controles de ciberseguridad. Si bien todo lo que comenté anteriormente también son controles de seguridad, aquí comenzaríamos la definición e implementación de otros controles:
Implementación de controles en nuestros sistemas informáticos y redes de comunicaciones
Evaluación periódica de la seguridad de nuestros sistemas, aplicaciones y redes. Aquí cuando decimos periódico, tal vez quedaría mejor continuo. Ya no damos cuenta que no alcanza hacer una evaluación de seguridad una vez al año, porque está muy claro que los riesgos varían día a día, ya que cambian las ciberamenazas, se incorporan nuevas técnicas, y también nuestro entorno tecnológico cambia: implementamos nuevas configuraciones, nuevos componentes, ponemos en producción nuevas funcionalidades.
Incluir la ciberseguridad en todo el ciclo de vida de nuestras aplicaciones y sistemas. Desde el momento que nacen estos proyectos ya tenemos que pensar en la ciberseguridad y los requerimientos de protección.
Luego tendríamos otros controles, los cuales no voy a enumerar todos en este post, pero seguramente en otro estaremos conversando acerca de éstos.
¡Nos vemos en el próximo post!
Fabián Chiera
Chief Security Ambassador
ElevenPaths
www.elevenpaths.com
@fabianchiera