Juan Carlos Pascual Security Lead en Sogeti España

Cada vez que repaso periódicamente los desafíos a los que se enfrentan las empresas en materia de Ciberseguridad noto una sensación de déjá-vu que me inquieta, siento que las amenazas persisten y los desafíos se mantienen. Y un desafío que se mantiene por mucho tiempo constituye una inquietud constante. ¿Qué ha hecho la industria por eliminar esta inquietud? ¿Cómo podemos acceder a una tecnología cada vez más fascinante, útil y poderosa sin que la seguridad sea una de las virtudes que la hagan confiable? En Sogeti hemos publicado junto a IBM el libro “Staying ahead in the cybersecurity game. What matters now” donde se hace una exposición de desafíos en la ciberseguridad que sigue incidiendo en los retos a afrontar, pero ofrece un cambio sustancial en el enfoque tradicional para afrontar estos desafíos.

Dado que tenemos, y seguiremos teniendo, novedades que irrumpan en el mercado con nuevas y prometedoras funcionalidades, es necesario hacer un enfoque global y aplicar todas las herramientas que la tecnología nos ofrece para que la seguridad no se limite a un simple acto de levantar barreras e imponer restricciones. Necesitamos que la tecnología forme parte del proceso de diseño de cualquier elemento, que el concepto “security by design” esté presente en redes y sistemas y que la entrada en escena de nuevos actores que puedan asumir el protagonismo de la tecnología en cualquier momento no suponga un nuevo reto a la ciberseguridad.

Las cifras, al margen de la conocida cita que proclama la existencia de dos tipos de organizaciones: las que han sido hackeadas y aún no lo saben y las que lo han sido y lo saben, son devastadoras. Cada día se infectan 150.000 dispositivos en todo el mundo. El cibercrimen, con múltiples objetivos y diferentes vectores de ataque provoca unos daños anuales de 300.000 millones de dólares. Por poner un ejemplo conocido, la intrusión en la red PlayStation de Sony produjo unos daños valorados en 170 millones de dólares. Las nuevas plataformas tampoco se libran de estar en el ojo de la tormenta, pues según un estudio de IBM el 70% de los ejecutivos relacionados con la ciberseguridad en las empresas tienen serias preocupaciones con los entornos de movilidad y cloud.

El libro, que se lee de una sentada, comienza sentenciando que “la lucha entre los chicos malos y los chicos buenos está haciendo del mundo un lugar más seguro” para seguidamente atacar el problema de BYOD (Bring Your Own Device). Pone de manifiesto que las fronteras de la información se vuelven borrosas y nunca podrá controlarse el número creciente de dispositivos que tratan de acceder a información restringida. Las empresas no tendrán control sobre los dispositivos con los que trabajan, así el enfoque debería ser “Choose Your Own Security”, construyendo una seguridad por capas que permita el nivel de acceso adecuado a los datos.

Otro tema recurrente es la importancia de la gobernanza de seguridad y el amplio enfoque al que deben aspirar las prácticas de seguridad, bien preparadas, engrasadas y ejercitadas para estar listas ante cualquier ataque. Pero también existe la necesidad de que los estándares de seguridad se establezcan en las relaciones inter-empresa de manera que las compañías que se relacionan y comparten información, colaboren también en las medidas y prácticas de seguridad. En este sentido, los Centros de Operaciones de Seguridad (SOC, en sus siglas en inglés) asumen un papel protagonista, ya que son los encargados de tener toda esa maquinaria engrasada y a punto para detectar y hacer frente a cualquier ataque.

Todos los esfuerzos por mantener la seguridad serán vanos si contamos con herramientas y sistemas que han sido construidos sin pensar en ella. El estado actual de la tecnología nos permite establecer la seguridad desde una fase temprana en el diseño de las soluciones,… o perderla para siempre. De la misma forma, en el estado actual resulta casi anacrónico enfrentarse a los métodos de autenticación de nuestros sistemas. Es una tarea imposible asignar una contraseña endiabladamente difícil de recordar y pretender que el usuario que debe autenticarse con esta contraseña no busque una manera de simplificar dicho proceso. La tecnología y la seguridad deben tener en cuenta un enfoque psicológico, o dicho de otra manera, parafraseando al Manifiesto de Ciberseguridad (http://cybersecuritymanifesto.com), “a la psicología de la seguridad le queda un largo camino por recorrer”, y ciertamente -en lo tocante a la educación de los usuarios- no es el miedo a las consecuencias el medio por el que conseguiremos nuestros propósitos de seguridad. Una adecuada formación y sensibilización en Ciberseguridad es algo que se echa de menos constantemente viendo las prácticas habituales de muchas personas en su vida cotidiana. ¿Será que en su puesto de trabajo tampoco les preocupa la seguridad? ¿Será que nadie les dijo nada?

El uso de equipos de Cibertesting es quizá la recomendación más atrevida. “Sé tú peor enemigo”, utiliza las pruebas y métodos que los atacantes emplearán contra ti, y cuando creas que estás seguro, cambia los roles y convierte a los atacantes en defensores y a los defensores en atacantes. Así te mantendrás alerta y despierto frente a los ataques.

Al final de todo este recorrido podemos sentenciar sin miedo a equivocarnos que hacer frente a un ataque real no es el peor de los escenarios. Lo realmente peligroso es no poder reaccionar frente a un ataque, porque éste tiene varias fases y nuestro objetivo es detectarlo durante la fase de reconocimiento, cuando el atacante está buscando la manera de conseguir su objetivo. Es el momento para identificarlo y tomar medidas, pero sobre todo es necesario tener preparado el engranaje que mantendrá nuestro negocio funcionando ante las circunstancias de cualquier ataque. Es la resiliencia.

Al frente de las preocupaciones encontramos la necesidad de acercar las técnicas de cifrado de datos al nivel de los usuarios facilitando la tarea de comunicar los datos que se precisan con aquellos interlocutores que se desea comunicar. Pero el cifrado es una herramienta que se encuentra en constante evolución y a merced de la potencia de proceso de los sistemas atacantes. Por eso, el análisis de grandes cantidades de datos, el llamado Big Data, es otro de los puntos clave de la ciberseguridad, no solo tratando de descifrar datos, sino también analizando registros del sistema, logs y otros muchos enormes conjuntos de datos; algunos de los cuales a día de hoy solo imaginamos.

Los atacantes aprenden más rápido que los defensores y por eso es necesario dotar a la Ciberseguridad del dinamismo que precisa y enfocarla para que pueda evolucionar con el sistema. La ola de elementos conectados a Internet que se avecina se llama “Internet de las cosas” y promete un futuro apasionante.