CIBERSEGURIDAD
Por Bernardo Ramos, experto en seguridad de las TIC
Proteger únicamente lo necesario:
- Por su valor
- Por el coste de reposición/reparación
La situación actual: La verdad es dolorosa. El punto de partida en materia de ciberseguridad, en al menos el 90% de los casos, se resume en lo siguiente:
- Te estás gastando demasiado dinero
- No estás bien protegido
Si tu empresa ha sufrido un ataque que ha trascendido a la dirección:
- Te estás gastando mucho más dinero del necesario
- Cuánto más depende de lo fuerte que haya sido el impacto percibido por la dirección
- Sigues sin estar bien protegido
Estar bien protegido no significa estar protegido al 100%. Es imposible proteger todo al 100%. La protección es inversamente proporcional a las molestias que ocasiona a tus empleados, colaboradores y clientes.
Tú no tienes una idea clara del nivel real de protección de tu empresa o entidad Salvo excepciones que se pueden contar "con los dedos de la oreja".
Tu situación es, muy probablemente, una de estas:
- El caso del inconsciente que confía en su suerte y tiene éxito muchas veces: La mayoría de las Pymes y autónomos no se preocupan en absoluto, o apenas un poco, de la seguridad informática La principal preocupación frente a la informática es encontrar un sistema que se adapte a las necesidades y que funcione. La seguridad ocupa un segundo plano, o incluso no existe, hasta que se tiene un incidente. En la mayoría de los casos, el incidente que trae la seguridad al primer plano es una infección por virus que destruye o deja indisponible los sistemas informáticos o una avería que destruye información que se pierde por no haber hecho una copia de seguridad reciente y comprobada. En muchas ocasiones el incidente no llega o tarda mucho, lo que genera una falsa sensación de seguridad y resulta muy cómodo porque no necesitas ocuparte de la seguridad y además, muy barato hasta que llega el incidente. Esta situación es típica de empresas o entidades que no tienen un informático en plantilla
- Los que hacen lo mínimo no lo suficiente y probablemente demasiado: Este es el caso de la mayoría de empresas o entidades, grandes o pequeñas, que no están sujetas a obligaciones de seguridad por razones reglamentarias y nunca han sufrido un incidente de seguridad importante En estas entidades la seguridad informática es una preocupación, y no la más importante, únicamente para los responsables de informática. Es frecuente que todos los PC de la entidad sigan el mismo modelo y tengan antivirus y reciban sus actualizaciones de seguridad de forma periódica. Los servidores se suelen instalar utilizando las últimas versiones disponibles, pero no siempre se actualizan puntualmente tras su primera instalación. No suele haber procedimientos sistemáticos de rearranque de todos los servidores, o al menos de los más importantes. algunos servidores pueden llevar años sin rearrancar. Las contraseñas principales de los sistemas suelen ser relativamente seguras, pero muchos de los elementos intermedios (gestor de base de datos, etc.) pueden tener contraseñas simples o incluso, la contraseña por defecto. Las contraseñas pueden estar escritas en documentos insuficientemente protegidos. No hay mecanismos de control que permitan garantizar de forma rigurosa la aplicación de las reglas de seguridad. Fuera de la informática, la seguridad de la información no es un tema de preocupación ni se trata en las reuniones sobre asuntos de negocio.
- Los que hacen demasiado y no lo suficiente: En este apartado nos encontramos con empresas o entidades que en materia de ciberseguridad hacen lo "políticamente correcto" movidos por razones reglamentarias o fruto de una mala experiencia. Entidades que tienen obligaciones respecto a la seguridad de la información por razones reglamentarias bancos, aseguradoras, operadores de infraestructuras vitales, administraciones públicas sensibles, entidades que han experimentado un incidente de seguridad que ha sido percibido como importante por parte de la dirección. Las medidas de seguridad suelen ser las correctas, pero se aplican de manera indiscriminada o, al menos, poco selectiva. La consecuencia es doble. Exceso de gasto en ciberseguridad. Limitaciones en aspectos de facilidad de uso de la informática no siempre justificadas. Con un corolario adicional bastante desagradable: Al aplicar las medidas de protección de forma poco selectiva, es frecuente que los activos más sensibles estén insuficientemente protegidos
¿Qué significa proteger?
Los tres criterios:
- Disponibilidad: Asegurarse de que tus sistemas y tu información está disponible para su uso y acceso en el momento en el que los necesitas. Forma de protegerse: Procedimientos de recuperación frente a fallos, sistemas duplicados y planes de contingencia para asegurar el funcionamiento de la empresa o entidad en caso de fallo de la informática.
- Integridad: Asegurarse de que no se pierde o destruye tu información. Forma de protegerse: Hacer copias de seguridad de forma periódica y probar la restauración a partir de las copias de seguridad al menos una vez al año.
- Confidencialidad: Asegurarse de que la parte de tu información cuya divulgación supondría un menoscabo para tu negocio, se mantiene protegida y accesible únicamente a las personas autorizadas. Forma de protegerse: Identificar la información sensible y protegerla mediante contraseñas, cifrado o sistemas de protección avanzados.
Realismo frente a demasiada teoría. La protección al 100% no es posible, a más seguridad, menos facilidad de uso. Un equilibrio adecuado a las características de la empresa o entidad debería ser el objetivo a alcanzar.
La situación ideal, hacer lo adecuado:
- Primero un análisis de riesgos: Empezar por un análisis empírico simple, huir de los métodos demasiado formales y pesados al principio. Realizado por los ejecutivos responsables de la dirección de la empresa o entidad, constituidos en "COMITE DE RIESGOS", que deben identificar dos cosas, los activos de valor verdaderamente importante para la empresa y las amenazas que acechan a dichos activos. Acompañarse por un consultor experto puede ayudar, pero ¡cuidado! Hay que evitar los demasiado expertos en el sector hasta que no se tenga una madurez suficiente.
- Segundo. definir la respuesta en función de los riesgos: Dejar que los expertos (un "EQUIPO DE APOYO") propongan las respuestas, tu informático, si lo tienes, el responsable más significativo de las operaciones de la empresa o entidad, o validar las respuestas en un comité de ciberseguridad compuesto por los mismos que han hecho el análisis de riesgos.
- Tercero, revisar periódicamente la situación y corregir la respuesta para hacerla más adecuada: Apoyándose en un cuadro de mando con indicadores que respondan a tres preguntas (esto lo desarrollaré en otro artículo) ¿Se cumplen las reglas de seguridad definidas? ¿Son adecuadas las reglas de seguridad definidas? ¿Cual ha sido la realidad? Una reunión anual del "COMITÉ DE RIESGOS", con un trabajo previo de un equipo de apoyo, sobre la base de los indicadores debería ser suficiente. El equipo de apoyo podría ser el mismo que definió la propuesta de respuestas a los riesgos. A medida que repitas el proceso, irás adquiriendo una madurez que te permitirá utilizar consultores más expertos e implantar una organización más formal y estructurada, siempre que las características de tu empresa o entidad lo requieran.
Y entonces ¿qué hacer?
- Definir las necesidades de protección en materia de ciberseguridad basándose en criterios de garantía de funcionamiento de la empresa o entidad Implicación de las direcciones responsables del negocio o actividad
- Empezar poco a poco de manera selectiva
- Asegurarse de que el coste de la ciberseguridad está justificado
- Establecer un proceso cíclico para ir mejorando progresivamente.
- Apoyarse en unos socios expertos que te ayuden a definir el proceso pero que no te vendan soluciones
Evitar a los que son juez y parte.