Daniel Largacha     Director del Cyber Security Center de ISMS Forum y Global Control Center Assistant Director en Mapfre.

Nadie pone hoy en duda que la seguridad es uno de los pilares básicos de la sociedad del siglo XXI. La configuración actual de la sociedad se ha confeccionado gracias a la creación de servicios que están soportados ya sea directa o indirectamente en Tecnologías de la Información, a su vez en gran medida gestionadas por empresas privadas. Nos encontramos en un momento bastante disruptivo, pero a la vez bonito, en el que estamos cruzando el punto de inflexión que realmente nos ayude a darnos cuenta de que el cambio de era ha tenido finalmente lugar. La seguridad está disfrutando de un momento de singularidad al calor del auge de la eclosión de la TI. Esta situación modifica por completo el escenario actual, ya que afecta tanto a las amenazas como a los riesgos. El cambio podría ser en una u otra dirección pero lamentablemente, si atendemos a los datos está siendo en el sentido más desfavorable. Según datos de PWC en el informe de 2015 el número de incidentes que habían sufrido las empresas en el último año se había incrementado en un 38%. Podríamos llegar a pensar que es algo de lo que nuestro país es ajeno, pero, según datos del CCN-CERT los ataques han crecido un 356% desde 2012 y tan sólo en el último año han crecido 41%.

El hecho de que el número de incidentes haya aumentado por sí sólo no tiene que significar que nos encontremos en una peor situación que en el pasado. Una posible hipótesis válida podría ser que ahora se contabiliza y registra aquellos que antes no se contabilizaba. Sin tratar de quitar la razón a esta hipótesis, que tiene su sentido, también es cierto que los incidentes son cada vez no sólo más comunes sino más costosos (aprox. 7 millones de € por incidente según el Ponemon Institute) y de mayor criticidad.

Nos podríamos preguntar sobre cómo hemos llegado a esta situación, incluso a una persona neófita se le pueden plantear dudas de cómo es posible que estemos en un momento tan precario. Sin embargo, no debemos de olvidar que tanto hoy como dentro de 20 años, el software es inherentemente vulnerable. Toda la tecnología toma vida con un fragmento de software, desde un ordenador con su sistema operativo, hasta una pequeña antena 4G/LTE que funciona con un firmware. Sin software no hay tecnología, y el software está desarrollado directa o indirectamente por seres humanos que no dejan de introducir cierta manualidad en el proceso de desarrollo.

Esta situación de vulnerabilidad se ve condicionada de forma negativa en tres dimensiones adicionales:

-          El aumento de la presión regulatoria. Están surgiendo nuevas regulaciones de los distintos países con respecto a la privacidad que vuelven a complicar el escenario. Tenemos en Europa la nueva GDPR, que establece un nuevo tablero de juego para el tratamiento de los datos de los ciudadanos europeos (en definitiva los datos que realmente importan a las empresas), pero en otros países la tendencia es similar, ya que también están aflorando nuevas regulaciones muy restrictivas con respecto a los datos de sus ciudadanos (Rusia, China, Panamá, Ecuador, Colombia…etc). La seguridad y la privacidad se están empleando como el nuevo arancel utilizado por los países para la protección de sus mercados internos.

-          La digitalización de procesos. Las empresas de hoy en día están abordando sus planes internos para que sus procesos internos, recojan ese cambio digital que ya venimos recogiendo a nivel personal, como integrantes de la sociedad de hoy en día. Este proceso que tiene muchas ventajas, también tiene algún inconveniente, en particular en seguridad, aquellos procesos que no tenían un alto grado de digitalización estaban menos expuestos a los riesgos de seguridad, que una vez abordado el proceso de digitalización. Es una cuestión simple de grado de exposición.

-          La aparición de nuevas tendencias de TI.Para terminarde confeccionar el panorama, no tenemos que olvidar que tendencias como el Cloud Computing, los nuevos dispositivos IoT, nuevos escenarios de movilidad (tanto B2B como B2C), y los entornos dinámicos que nos plantea la virtualización (con infraestructura de TI que se crea de manera temporal y a demanda, y dentro o fuera de las empresas), no ayudan particularmente a simplificar el panorama.

Las empresas están observando como las estrategias de seguridad que venían implantado van perdiendo eficacia tornando el paradigma de la seguridad actual en altamente inefectivo. Por ello, las empresas se están planteando nuevas aproximaciones centradas en el ámbito reactivo, tratando de optimizar los costes, recursos y ganando en eficacia.

La situación actual ha puesto en una situación complicada a las empresas, pero estas han entendido que se ha producido un aumento del riesgo, tanto por su dependencia con las TI como el mayor peso que las TI han tomado y van a tomar. Además han terminado por aceptar que los ataques son inevitables, y que éstos cada vez son más sofisticados.

Posiblemente en los próximos años veremos pivotar la estrategia de seguridad de las empresas sobre estas cinco líneas de actividad:

-          Aumento y mejora de las capacidades: Las empresas deben de poner el foco en mejorar su efectividad en entornos detectivos y reactivos, partiendo de la premisa “cuando vamos a tener un incidente de seguridad” y evolucionando a cómo mejorar en la respuesta. Así. las aproximaciones de colaboración público-privada y privada-privada tendrán un importante auge en los próximos años.

-          Seguridad por defecto: Tanto las tradicionales como las nuevas tendencias de TI deben limitar su riesgo de exposición mediante la aplicación de medidas que sean por defecto, tratando de minimizar la exposición a las crecientes amenazas. Es la única manera de tratar de tornar en eficiente una estrategia de seguridad que cada vez ha de abarcar un escenario en crecimiento y evolución continua.

-          Consolidación: La mejora de la eficiencia y reducción de costes pasa necesariamente porque las empresas fabricantes de tecnologías de seguridad integren y consoliden funcionalidades y tecnologías que actualmente están dispersas en soluciones independientes, reduciendo los TCO y ayudando en la eficiencia.

-          Mejora de la visibilidad: En entornos que se encuentran fuera de los límites de la organización. El perímetro de la tecnología que queda dentro y fuera del ámbito del ámbito de una empresa está completamente desdibujado. La regla de utilizar los firewalls para conocer aquellos sistemas que estaban dentro o fuera del ámbito de actuación de la empresa ha dejado de ser útil, y las empresas deben de definir e implantar estrategias y soluciones que les permitan controlar y actuar en ubicaciones fuera de su perímetro, allá dónde se encuentre su información.

-          Automatización: La mejora de la efectividad pasa irremediablemente por ir dejando en un segundo nivel las actuaciones de seguridad realizadas por personas, para ir aumentando en un primer nivel las actuaciones automatizadas de los sistemas de información de seguridad, permitiendo focalizarse principalmente en aquello que requiere un mayor nivel de dedicación humana.

Desde la creación del ISMS las empresas asociadas vienen colaborando en estos ámbitos. El Cloud Secutiry Alliance (CSA) trata de mejorar la seguridad y la privacidad en entornos cloud. El Centro de Estudios de Movilidad (CEM) abarca la seguridad tanto los nuevos entornos de movilidad como con los nuevo dispositivos IoT. El Cyber Security Center (CSC) desarrollo actividades dentro del ámbito de la ciber seguridad que ayuden a las empresas a estar mejor preparados como la plataforma de compartición e intercambio de seguridad (IoCs) o los ejercicios de simulación de ciber crisis. Todas estas actividades están disponibles para las empresas asociadas al ISMS sin coste adicional alguno.