Cada vez se está presentando con mayor frecuencia el número de compañías afectadas por casos de ciberataques en el mundo y las cifras de pérdidas económicas crecen vertiginosamente. Es difícil precisar las cifras reales que genera esta “industria” del crimen. Un experto del FMI asegura que en el 2017 ascendieron a aproximadamente a US$250.000 millones, otros estudios estiman guarismos superiores, pero el común denominador, casi generalizado, es la impunidad.
Esta situación se debe principalmente a que los países no han desarrollado regulaciones, tipificación o sanciones suficientes del delito y/o las autoridades no cuentan con la capacidad o recursos necesarios para enfrentarlo. Asimismo, los impactos en la reputación e imagen y el afán de proteger la marca silencian de manera equívoca a las compañías, provocando que la gestión se vea reducida a actuar de manera individual y reactiva en la contención y la recuperación.
Los ciberataques hoy día ocupan el primer lugar del “top” de clasificación en casi todos los estudios sobre las principales amenazas en el mundo y no se está dando una respuesta efectiva para identificar, controlar y someter este tipo de delincuencia. Tampoco se realizan esfuerzos suficientes por parte de las organizaciones en prevenir y protegerse de esta amenaza, poniendo en riesgo su negocio y supervivencia y, en ocasiones incluso, dejando expuesta la información y en la indefensión a sus usuarios, clientes y comunidad en general.
Un gran número de compañías están muy poco preparadas para resistir frente a este tipo de ataques y se debe principalmente a:
• Falta de cultura y conciencia organizacional.
• Debilidades en sus sistemas de gestión de riesgos tecnológicos.
• Fallas de diseño en cuanto a seguridad de los sistemas de información.
• Debilidades en la implementación de recuperación de desastres tecnológicos y continuidad de negocio.
• Debilidades en la gestión de crisis.
• Falta de recursos suficientes de personal capacitados y entrenados.
• Falta de recursos tecnológicos necesarios y suficientes para prevenir, controlar, hacer frente y recuperarse ante ciberataques.
• Falta de información detallada relacionada con los impactos reales en las empresas, debido al temor de afectar la imagen y reputación al divulgarse las situaciones y experiencias de las compañías atacadas. Información que podría ser útil a otras empresas del sector, proveedores de seguridad y autoridades, si fuese compartida.
• Falta de pruebas, ejercicios y simulacros de medidas implementadas para evaluar la efectividad de las acciones.
• Falta de cooperación entre sectores y de estos con las autoridades.
• La velocidad del cambio e incorporación de nuevos desarrollos de los atacantes, frente a la evolución tecnológica requerida de la seguridad.
Ciberseguridad
Las mejores prácticas actuales no contemplan suficientemente la seguridad sobre el ciberespacio y las normas ISO y desarrollos de mejores prácticas de la BS (British Standard) han tomado la iniciativa de facilitar el cierre de las brechas y tratamiento de ataques con la emisión de guías y estándares para abordar riesgos comunes de ciberseguridad, que permitan a las organizaciones prepararse para ataques como malware, ciberdelincuentes u organizaciones criminales en Internet y, asimismo, detectar y monitorear ataques para responder efectivamente a los mismos. La ISO 27032 define ciberseguridad como la “preservación de la confidencialidad, integridad y disponibilidad de la información en el ciberespacio”, es decir, parte de los lineamientos de la ISO 27001, pero se concentra en la seguridad en el ciberespacio.
La figura Nº1 enseña cómo la ISO concibe las relaciones de la ciberseguridad con otros ámbitos de seguridad. (Ver figura 1) Se requiere el concurso de los diversos ámbitos de seguridad para estar debidamente protegidos y en cada uno de ellos se deben diseñar e implementar controles, los cuales deben ser permanentemente revisados en su efectividad y actualizados para estar al día frente a las amenazas cambiantes.
El ciberdelito evoluciona con gran velocidad y utiliza como factor sorpresa los cambios en los objetivos y métodos, usa nuevas tecnologías (por ejemplo, Inteligencia Artificial) y/o variaciones de las ya utilizadas que les han generado “éxito” (ejemplo: WannaCry y GoldenEye/ NotPetya), lo que dificulta la capacidad de cubrir al 100% este tipo de ataques.
El ciclo proactivo
La figura Nº2 busca facilitar el entendimiento de los elementos del ciclo de gestión necesarios para enfrentar este tipo de ataques a través de la ciberseguridad. Allí se muestran las acciones típicas a seguir en el ciclo reactivo (iniciando con la identificación oportuna, su atención y contención tempranas) en caso de un incidente inesperado, que tome por sorpresa a la organización.
Pero el propósito especial de este desarrollo es presentar un énfasis sobre la importancia de seguir el ciclo proactivo, para gestionar mejor el riesgo, con el apoyo de las partes interesadas incluidos los proveedores y usuarios (ya sean individuos u organizaciones).
El ciclo proactivo está encaminado a acciones de diagnóstico que permitan la identificación temprana de brechas de seguridad y vulnerabilidades existentes que faciliten la definición de estrategias, a fin de evitar/reducir la ocurrencia de amenazas de tipo personales y/o a los activos de la organización.
También la eliminación o disminución de vulnerabilidades y la implementación de soluciones efectivas, que minimicen la materialización de ataques y la reducción de sus impactos.
Este ciclo contiene, a su vez, un ciclo de afinamiento o “tuning”, que busca la mayor calidad y eficacia de las acciones implementadas, mediante la ejecución de pruebas a las soluciones puestas en operación y los ajustes de mejoramiento necesarios.
En este ciclo se contempla el monitoreo permanente realizado por personal debidamente entrenado, que debe estar comprometido con la mejora continua de los controles y servicios de ciberseguridad. El monitoreo debe estar soportado en herramientas especializadas, que junto con las propias de evaluación, contención y recuperación, le permitan actuar proactivamente, pero también ante un ciberataque inesperado. Otro aspecto importante a señalar es el tratamiento de las evidencias, conservando la cadena de custodia, que incluye la ubicación, fijación, recolección, embalaje y traslado de la evidencia en la escena del siniestro, hasta su presentación ante las autoridades y organismos de investigación y control.
En la segunda parte de este artículo presentaremos a la ciberesiliencia como un estadio superior para enfrentar los ciberataques y cómo alcanzar niveles superiores en el modelo de madurez propio de resiliencia.