Ciberseguridad: el arte de la guerra 2.0
“Conoce a tu enemigo y conócete a ti mismo; en cien batallas, nunca saldrás derrotado”.
Sun Tzu
CIBERSEGURIDAD
El mes de octubre fue designado como el “mes de la Ciberseguridad” en el contexto europeo, y por esta razón, recientemente, se han estado desarrollando diferentes iniciativas, promovidas, principalmente, por Agencia Europea de Seguridad de las Redes y de la Información (ENISA), bajo el lema “La seguridad en Internet requiere la participación de todos”.
A este respecto, es importante señalar que, actualmente, el Ciberespacio constituye un escenario decisivo en el que Gobiernos, Organismos públicos, entidades del sector privado y los propios individuos-usuarios, libran auténticas “batallas”, en las que se disputa la supervivencia y sostenibilidad de un entorno abierto, protegido y seguro.
En este sentido, para librar correctamente la “batalla” de la Ciberseguridad, es indispensable “conocernos y conocer a nuestro enemigo”, es decir, resulta fundamental diagnosticar nuestra situación e identificar: (i) las Ciberamenazas a las que estamos expuestos; y (ii) las principales estrategias de seguridad que podríamos acometer, a fin de contrarrestar tales amenazas, y/o, en su caso, mitigar los riesgos que pudieran derivarse de las mismas.
CONOCIENDO EL CAMPO DE BATALLA
En primer lugar, debemos tener en consideración los diversos fenómenos sociales, políticos y tecnológicos que han venido a redimensionar las estructuras del marco regulatorio del Ciberespacio (a nivel local, europeo y global).
A modo de ejemplo, la dependencia y fácil accesibilidad al Ciberespacio, hacen que cada vez sean más comunes y preocupantes las intromisiones en este ámbito. En buena medida, el Ciberespacio permite la materialización de nuevos riesgos y amenazas. Los Ciberataques, presentados en forma de Ciberterrorismo, Ciberdelito/Cibercrimen, Ciberespionaje o hacktivismo, suponen un importante instrumento de agresión contra particulares e instituciones públicas y privadas.
Asimismo, las Ciberamenazas son cada vez más sofisticadas y representan peligros de primer orden que atentan contra la seguridad y estabilidad de gobiernos y/o entidades del sector privado.
CONOCIENDO AL ENEMIGO
En medio del escenario descrito, tal y como diría el estratega militar Sun Tzu en el siglo IV A.C, “No se puede combatir lo que nos es desconocido”. Por lo tanto, es preciso ser conscientes que la Ciberseguridad es una “batalla” que se disputa en un escenario cambiante y que ahora existen amenazas que podrían tener efectos mucho más complejos y perjudiciales que los derivados de las amenazas tradicionales.
A mayor abundamiento, la ejecución de Ciberataques, el robo de información, el Ciberespionaje industrial, los Ciberdelitos patrimoniales, la propagación de códigos maliciosos, la captación indebida de datos de carácter personal, suponen “enemigos” constantes en este “campo de batalla” llamado Ciberespacio. Dichas Ciberamenazas, a pesar de perpetrarse con cierta regularidad, en ocasiones, ni siquiera son advertidas, ni gestionadas de manera adecuada.
La falta de identificación y gestión de tales Ciberamenazas, parece estar intrínsecamente relacionada con:
(i) la falta de concienciación sobre los riesgos de seguridad asociados a la apertura e interconexión entre el Ciberespacio y los entornos tradicionales; y
(ii) la inadecuada valoración de la Ciberamenaza, que suele percibirse como incierta o improbable.
ESTRATEGIA DE CIBERSEGURIDAD
Para poder hacer frente a nuestro “enemigo”, en la “arena” del Ciberespacio, es preciso medir y gestionar los riesgos detectados, de manera objetiva y repetible. A tal efecto, es fundamental disponer de una estrategia de Ciberseguridad, apoyada en herramientas y metodologías que permitan realizar un análisis pormenorizado de cada uno de los riesgos, mediante catálogos de activos, amenazas y vulnerabilidades, capaces de adaptar metodologías a las particularidades del Ciberespacio.
Asimismo, la estrategia de Ciberseguridad debe responder a un proceso de mejora continua, a cuyo efecto conviene implementar: (i) herramientas de monitorización, que permitan medir la seguridad a través de indicadores alineados con los objetivos de la Organización; (ii) sistemas adecuados para detectar y gestionar los incidentes, a fin de examinar las vulnerabilidades expuestas, así como el procedimiento para manejar su respuesta.
CIBERCOMPLIANCE
Tal y como hemos indicado, en el “Campo de Batalla” del Ciberespacio es indispensable “conocerse a sí mismo”. Esto conlleva: (i) identificar cada una de las circunstancias (normativas, económicas, sociales, tecnológicas etc.), que afectan el desempeño de nuestra actividad en el Ciberespacio; (ii) detectar, analizar y gestionar los riesgos y vulnerabilidades, para poder anticipar la probabilidad de que una amenaza aproveche una vulnerabilidad, y pueda provocar un impacto en nuestra organización, empresa, órgano y/o entidad. Este aspecto puede representarse mediante la siguiente formula:
Riesgo = Impacto X Probabilidad
En este sentido, los servicios de Cibercompliance representan un aliado que colabora, eficazmente, en la identificación, bajo criterios objetivos, de las probabilidades existentes de que un riesgo que pueda afectar nuestro entorno se convierta en un impacto.
Dicho objetivo se conseguiría a partir de la evaluación de las Ciberamenazas, el mapeo de los elementos bajo riesgo, la valoración de la vulnerabilidad y la estimación de costos y/o beneficios, que podrían desprenderse de la implantación de una estrategia de Ciberseguridad integral.
De esta manera, los sujetos afectados en el entorno del Ciberespacio, podrán librar las “batallas” en contra de los “enemigos de la Ciberseguridad”, mediante modelo de gestión que permita avanzar de la simple prevención a la detección y respuesta planificada a las posibles Ciberamenazas, en un contexto que permita (i) la Ciberresiliencia; (ii) la reducción de las Ciberamenazas; (iii) el desarrollo de una política de Ciberdefensa, y (iv) el establecimiento de una estrategia integral y coherente en materia de Ciberseguridad.
Álvaro Écija | @Alvaro_Ecija
Managing Partner at Ecix Group