¿Por qué necesitamos seguir prestando atención a la ciberseguridad?

  • Opinión

Adolfo Pedriza, Deloitte

Por séptimo año consecutivo, la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) ha puesto en marcha durante octubre el Mes Europeo de la Ciberseguridad, lo que da pie a Adolfo Pedriza, socio en el área de Risk Advisory de Deloitte, a firmar esta tribuna de opinión.

Durante este tiempo, se celebrarán jornadas, formaciones, eventos profesionales y lanzamientos de informes centrados en concienciar a todos los ciudadanos europeos, particulares y profesionales, sobre la importancia creciente que este tema tiene en todos los estamentos de la sociedad. Y aunque la aparición diaria de nuevos ciberincidentes en los medios de comunicación todos estamos cada vez más concienciados, lo cierto es que aún queda mucho camino por recorrer.

Esta Tribuna de Opinión fue publicada en el número de Octubre de la revista IT Digital Security, disponible desde este enlace.

En la mejor edición hasta la fecha, durante el Mes Europeo de la Ciberseguridad de 2017 se realizaron un total de 532 actividades en 33 países, un listón difícil de superar, pero no imposible. Para lograrlo, ENISA ha decidido dividir las semanas de este mes en bloques temáticos, dando así la opción de que todos los partners, privados e institucionales, puedan centrar sus esfuerzos en reforzar cada uno de los cuatro pilares en los que se basa esta campaña. En esta ocasión, los temas a abordar serán:

. Ciber higiene básica.
. Educación y habilidades digitales.
. Reconocimiento de ciber estafas.
. Tecnologías emergentes y Seguridad.

Puede que, a primera vista, pensemos que algunos de estos bloques sean demasiado elementales, que años y años de leer y escuchar consejos sobre rutinas, procedimientos y métodos para mantener nuestra identidad digital a salvo nos hayan puesto por encima de la mayoría de los ciberdelincuentes. Es posible, incluso, que en muchos casos sea así, pero lo cierto es que los métodos usados por los cibercriminales son cada vez más sofisticados y es nuestra propia responsabilidad ponerles las cosas un poco más difíciles, al menos en la medida de nuestras posibilidades.

Nunca repetir contraseñas; usar mayúsculas, minúsculas, números y caracteres especiales en nuestras claves; no dejarlas apuntadas en un lugar fácilmente accesible por desconocidos; cambiarlas cada cierto tiempo o cerrar las sesiones cuando se use un ordenador público son algunas de las claves básicas que muchos de nosotros podemos recitar como un mantra, pero ¿cuántos lo hacemos en nuestro día a día? ¿Cuántos desactivamos la geolocalización en nuestros móviles o en las redes sociales? ¿Cuántos siguen informando puntualmente a través de estas mismas redes de nuestras vacaciones? Lo hacemos con el convencimiento de que sólo los más cercanos pueden acceder a esa información, pero ¿y si hubiera alguien más escuchando? ¿Y si en alguno de los ciberincidentes que han registrado estos servicios alguien hubiera obtenido acceso a nuestras cuentas, a toda nuestra información?

Solo durante 2017, el Instituto Nacional de Ciberseguridad (INCIBE) resolvió más de 123.000 incidentes, de los cuales 116.642 afectaron a empresas y ciudadanos, 885 a operadores estratégicos y 5.537 al ámbito académico. 2017 fue también el año en el que se produjo una de las mayores ofensivas de ransomware a nivel mundial, afectando a cerca de 150 países. Hablamos, por supuesto, del ataque Wannacry. Y a pesar de que es posiblemente el que más ríos de tinta ha hecho correr, no ha sido el último ciberincidente de gran calado, aunque, siendo justos, en este año están siendo de otra naturaleza. De hecho, si por algo está destacando 2018 es por la cantidad de datos personales obtenidos de forma ilícita y hechos públicos. A 29 de agosto, los expertos calculaban que esta cifra ascendía a 215.009.428 registros. Según un informe hecho público en 2017 por Pew Research Center, más del 40% de los ciudadanos norteamericanos consultados afirmaban que entre sus prácticas habituales estaba la de compartir claves de acceso con familiares o amigos y otro 40% reconocían que sus contraseñas eran demasiado triviales.

Con estos datos en la mano, y con el conocimiento de dos graves incidentes hechos públicos en las últimas semanas, que afectan tanto a multinacionales como a empresas españolas, no queda otro remedio que afirmar que la ciberseguridad sigue siendo una asignatura pendiente, tanto para particulares como para empresas.

Es más, según datos de 2015, el tiempo medio de detección de un ciberataque es de 170 días, y el tiempo medio de resolución, 45 días. Es decir, incluso en el mejor de los escenarios, los riesgos a los que nos enfrentamos, tanto particulares como empresas, son muy elevados. Cada vez son más los datos que los usuarios cedemos a las compañías, creciendo también las oportunidades para que éstos se vean comprometidos. Y es que no hay que olvidar la cantidad de incidentes registrados en el último año confirma que toda empresa puede tener interés para los ciberdelincuentes, hasta las más pequeñas.

Por supuesto, ni las oportunidades ni los recursos son los mismos para todas las compañías, y cada una debe ser capaz de ofrecer la mayor seguridad de acuerdo a sus posibilidades. En ese sentido, podríamos resumir en cuatro los consejos clave, o requisitos mínimos, que todas deberían seguir:

- La formación y concienciación a los empleados debe ganar protagonismo y ayudar a redefinir la cultura de la organización.

- Implantar mecanismos de detección y monitorización de eventos de ciberseguridad que tengan en cuenta no solo los sistemas internos de la compañía, sino también los localizados fuera de esta. En este sentido conviene destacar la protección de marca, queo debe abordarse tanto desde el punto de vista comercial o de marketing como desde un punto de vista de seguridad de la información.

- La inclusión de mecanismos para garantizar la seguridad de los datos fuera de nuestra organización debe pasar, obligatoriamente, por concienciar a los proveedores de la necesidad de reforzar las medidas de protección de las que dispongan.

- En la medida de lo posible, conviene incluir pruebas de ciberataques, gestión de crisis y simulación de ejercicios de seguridad, de cara a preparar a la organización ante ciberincidentes.

Por supuesto, y como ya hemos señalado, no todas las compañías tienen la misma capacidad para poner en marcha estas medidas por sí mismas, pero no son pocos los recursos que las distintas instituciones públicas han puesto al servicio de las PYMES, por ejemplo. Buscar el asesoramiento de los expertos puede ayudarnos a la hora de reducir costes a la hora de implantar nuevas medidas de seguridad, la asistencia a formaciones gratuitas o a eventos donde se traten estos temas, o el seguimiento de protocolos de actuación publicados por instituciones como el ya citado INCIBE o el CCN-CERT pueden ser buenos puntos de partida.

Y es que, de nada sirve pedir a nuestros usuarios que sean capaces de memorizar contraseñas pobladas de caracteres especiales si luego no somos capaces nosotros de garantizar, en la medida de lo posible, que sus datos están seguros con nosotros.