PROGRAMA DEFINITIVO

En paralelo al auge del Crime as a Service (CaaS, catalogado así por Europol) y la sofisticación de los ataques dirigidos a las organizaciones, los expertos constatan que tan importante es la protección como asegurarse de disponer de una infraestructura resiliente. En otras palabras, no basta con una estrategia de seguridad preventiva; es necesario habilitar una infraestructura TIC capaz de reponerse de los ataques y seguir operando con normalidad.

La XVI Jornada Internacional de ISMS Forum pondrá el foco sobre este paradigma mediante una mesa redonda denominada “Construyendo una defensa resiliente frente a los ciberataques”. Moderados por el presidente de ISMS Forum Spain, Gianluca D’Antonio, cuatro expertos de talla internacional debatirán en torno a las estrategias corporativas para ser más resilientes y lograr que los negocios no se vean interrumpidos por las acciones de los cibercriminales. Completarán la mesa Michael Kaiser, Executive Director de US National Cyber Security Alliance; David Van Duren, Coordinating policy advisor Cyber Security del Ministerio de Seguridad y Justicia de Países Bajos; Taylor Roberts, del Global Cyber Security Capacity Centre de la Universidad de Oxford; y Benoit Godart, Head of European Cybercrime Centre (EC3) Outreach, de Europol.

Todos los participantes, reputados especialistas y representantes de algunas de las instituciones públicas europeas más importantes en todos los ámbitos coincidirán en algo: ya no es suficiente un enfoque tradicional de la Seguridad TIC. Como viene defendiendo ISMS Forum en todos sus encuentros, combatir el cibercrimen requiere una visión diferente, tal y como indica el último informe de Europol: “The Internet Organised CrimeThreat Assessment (iOCTA) 2014”. A diferencia de los crímenes del mundo off-line, donde es necesario estar presente en la escena del crimen, para delinquir en el ciberespacio no se requiere la presencia física y, además, es relativamente sencillo alumbrar un ataque masivo que afecte a un enorme número de víctimas en todo el mundo.

Como respuesta a este nuevo escenario, las organizaciones policiales de todo el mundo están implementando nuevas políticas de coordinación para tratar de resolver ataques que no entienden de fronteras y cuyas consecuencias pueden ser impredecibles en un mundo cada vez más globalizado. Llegados a este punto, será muy interesante escuchar la opinión del portavoz del European Cybercrime Centre (EC3) de Europol, una institución que desde su nacimiento promueve la colaboración de todas las policías europeas y trata de rodearse de los mejores profesionales de la industria privada para afrontar conjuntamente estas nuevas amenazas.

El Crimen as a Service, como recuerda Europol en el citado estudio, es un modelo de negocio muy lucrativo para los amantes de la economía sumergida en Internet, ya que desde la Red ponen en manos de quien pague por ello herramientas de ciberataques muy fáciles de utilizar, sin ni siquiera conocimientos técnicos. Servicios como alquiler de botnets, ataques de denegación de servicio (DDoS), desarrollo de malware o programas de cracking para el robo de contraseñas están disponibles en este ‘supermercado’ del cibercrimen organizado donde el pago se realiza a través de monedas virtuales o de transferencias al margen de la legalidad.

El reto de la “ciber-resiliencia”

¿Qué pueden hacer las organizaciones para proteger sus activos ante un panorama tan sombrío? ¿Cómo pueden reforzar sus infraestructuras de TI con el objetivo de reponerse lo más rápido posible en caso de sufrir un ciberataque?

Es un reto difícil en un mundo donde 2.800 millones de personas y 10.000 millones de dispositivos tienen acceso a Internet, según el informe iOCTA 2014 de Europol. La creciente adopción de dispositivos con acceso a Internet aumenta las oportunidades de cometer un ciberataque y también la tentación para aquellos que aprecian en el cibercrimen un modo ágil de ganar dinero y manteniendo oculta su identidad.

Por otra parte, el Internet de las Cosas o “Internet of Everything” genera nuevos vectores de ataque y más puntos de entrada en las organizaciones, así como métodos de ingeniería social. En consecuencia, nos hallamos en un período en el que es necesario redoblar esfuerzos para lograr ser resiliente.

Como respuesta ante el desafío, desde todas las instancias –también desde Europol– se insta a los Estados a definir leyes más rigurosas que permitan luchar contra el anonimato de los cibercriminales. Asimismo, como se viene defendiendo en España, especialmente desde la aprobación de la Estrategia de Ciberseguridad Nacional, se debe apostar por la cooperación sin fisuras entre organismos públicos y entidades privadas. Europol también aboga por instaurar medidas de “higiene digital” y “security by desing” en el desarrollo de aplicaciones, así como por promover la publicación de más recursos online que faciliten a las víctimas reportar e informar sobre un ciberataque.

En abril de este año, el Instituto Nacional de Tecnologías de la Comunicación (Inteco) a través de su CERT de Seguridad-Industria, publicaba un interesante estudio que aborda todas estas cuestiones: “Ciber Resiliencia: Aproximación a un marco de medición”. El objetivo de este trabajo es trasladar a las organizaciones un instrumento para evaluar su capacidad de resistencia frente a los crecientes y sofisticados ataques o incidentes de ciberseguridad que pueden sufrir. Gracias a este estudio, los profesionales de Seguridad TIC pueden servirse de un esquema en el que se definen los dominios funcionales de ciber-resiliencia (Detección, Respuesta, Recuperación tras el incidente y Continuidad de la actividad), los controles a ejecutar y los indicadores (como por ejemplo el tiempo de recuperación) para medir el nivel de ciber-resiliencia. El objetivo último es que la organización no se vea fuera de juego y aprenda a garantizar la protección de su activo más importante –la información–, desplegando medidas de ciberseguridad acertadas.

A tenor del estudio de Inteco, a día de hoy los modelos de indicadores no contemplan la ciber-resiliencia de las organizaciones a través de un marco de gobernanza. Por tanto, la definición de un modelo adecuado debe ser el punto de partida para medir el grado de preparación ante el peor supuesto. Y usted, ¿ve a su organización capacitada para resistir? ¿Considera que la suya es una empresa resiliente? Sin duda, esta mesa redonda en el marco de una nueva Jornada Internacional de ISMS Forum arrojará más luz sobre el reto de la resiliencia.