“La cultura de la previsión y proactividad es vital en ciberseguridad. Los enfoques reactivos deben ser olvidados y debemos hablar de ciber resiliencia,” es la opinión de la Cybersecurity Strategy Advisor, Rosa Díaz, y que es compartida por otros especialistas, investigadores y guardianes de la seguridad de la información.
Como si llegaran a un consenso, especialistas en ciberseguridad consideran al exceso de confianza el principal riesgo para la seguridad de la información y el gran mal que aqueja a todas las jerarquías tanto del sector público como privado.
“A quien diga ´no nos va a pasar nada, aquí no va a haber un intento de hackeo peor´, pídele la renuncia,” es la frase que predomina en el Equipo de Respuesta ante Emergencias Informáticas (CERT, por sus siglas en inglés) de la Universidad Nacional Autónoma de México, manejado por la Dirección General de Cómputo y de Tecnologías de Información y Comunicación ( DGTIC). Y es que para los encargados de la ciberseguridad de la UNAM los riesgos de los ataques radican en buena medida en la falta de cultura de la seguridad digital y se incrementan con la lenta adopción de prácticas previsoras en comparación a la rapidéz con la que se incluye a la tecnología.
“Ese diferencial entre la adopción de la tecnología y la adopción de las políticas relacionadas con seguridad de esa tecnología es lo que incrementa las posibilidades de la incidencia de un siniestro hablando en términos de seguros,” indicó Fabián Romo, Director de Sistema de Servicios Institucionales de la DGTIC, UNAM en entrevista con El Semaanrio.
La falta de concientización y la ausencia de medidas y procedimientos de prevención es, para el actuario Fabián Romo, el monstruo contra el cual el personal de ciberseguridad está luchando todo el tiempo. “La mayor amenaza la mayor amenaza es el exceso de confianza, es decir aquí no pasa nada, luego lo revisamos, la procrastinación, lo dejamos para después, no es la prioridad número uno, etc.”
Si bien los hackeos son imposibles de predecir con exactitud de tiempo, el riesgo existe y ningún sistema o red de cómputo por más sofisticada que sea puede determinar fecha y hora del ataque, los crímenes cibernéticos se podrían frustrar teniendo mejor conciencia en las empresas.
De acuerdo a Enrique Vaamonde, Director de Consulting Services en Tekium IT Securityun ciberataque se logra frustrar con mucha consciencia a nivel de la empresa. “Somos fieles creyentes de que por la concientización empieza todo,” dijo a El Semanario.
Al igual que para el CERT UNAM, el directivo de la consultora de ciberseguridad, considera que el componente humano no avanza a la misma velocidad que el tecnológico y el descuidar la capacitación y fomento a la prevención en los empleados, eleva el nivel de riesgo.
“Hay herramientas de seguridad maravillosas hoy en día que básicamente son adquiridas, se ponen en uso, pero descuidamos a la persona que trabaja día a día y eso va desde el director de una empresa, hasta las encargadas de la limpieza. Es decir, esa conciencia tiene que existir,” señaló Enrique Vaamonde.
El enemigo está en casa
La consultora Tekium IT Security, comprometida a ayudar a sus clientes a elevar sus niveles de madurez en temas de ciberseguridad, señala que en los casos de ciberataques que ha investigado es difícil descartar que el enemigo está infiltrado en los organismos públicos y privados, por lo que recomienda dividir la información de las empresas en compartimentos, clasificar la información y tener mejor visibilidad del contenido en la red, así como realizar revisiones constantes, pruebas de estrés y pruebas de penetración por externos apoyados en hackers éticos; todo esto con la intención de desarrollar un buen trabajo de respuesta en caso de un ataque.
“Nosotros somos fieles creyentes de que debemos dejar de pensar de que el enemigo está fuera de casa, sino que tenemos que pensar que el enemigo ya está adentro y que básicamente tenemos que pensar en compartimentalizar a las empresas, el manejo de la información compartimentalizar, clasificar la información y una de las cosas que creo que es importante es tener mejor visibilidad de lo que tienes dentro de las redes, de la organizaciones y tener una buena revisión constante, no solamente de los proceso, sino te digo, del código fuente, hacer pruebas de penetración constantemente, externas no hechas por ti porque eres juez y parte, y estar preparados para hacer un buen trabajo de respuesta a incidentes en el caso de que llegue a ocurrir. Todo sería mucho mejor si supieras cómo reaccionar y qué hacer si te llega a pasar algo.” indicó Enrique Vaamonde a El Semanario.
La opinión de Vaamonde no se aleja de lo que Fabián Romo recomienda desde el CERT UNAM. El director del Sistema de Servicios Institucionales de la DGTIC insiste en que “más vale prevenir que lamentar” y para prevenir es importante realizar auditorias al sistema, pruebas de estrés, pruebas de penetración, endurecimiento de los sistemas de manera constante y seguir las recomendaciones del equipo de reacción ante amenazas de hackeo; sin dejar de lado la capacitación del personal de las empresas.
¿Qué recomiendan los expertos?
Todo indica que al momento de emitir recomendaciones para mejorar la ciberseguridad, también hay consenso entre los expertos.
Ante el aumento de amenazas ocultas y difíciles de encontrar que se desencadenaron en 2017 y 2018, Luis Isselin, director general de Tenable México, compartió en marzo de 201935 una serie de recomendaciones con las que exhortó a las empresas e instituciones a reflexionar sobre la seguridad y vulnerabilidad en Internet y sugirió ejecutar los siguientes tres indicadores que alertan a las organizaciones en caso de que tengan huecos que las pongan en riesgo:
- Comprobar todos los dispositivos y servicios que normalmente no manejan los equipos de TI. El seguimiento e identificación de activos pueden ayudar a encontrar dispositivos desconocidos en una red, esto incluye BYOD (traer sus propios dispositivos) y BYOC (traer su propia nube). También debe contemplarse cualquier dispositivo conectado a Internet, sistemas de control ambiental inteligentes, dispositivos de control industrial, televisores en salas de descanso, etc.
- Confiar pero verificar. Se aconseja a las empresas aplicar pruebas de penetración.“Solicite a todos los proveedores, incluidos los servicios en la nube, los resultados de las pruebas de terceros y otras pruebas de seguridad que ofrecen. Luego verifique estos hallazgos. Además, busque deliberadamente los agujeros de seguridad que puede encontrar y las medidas de seguridad de capa para abordarlos.”
- Mapear las exposiciones totales y actualice regularmente. Las organizaciones deben actualizar su software lo más rápido posible, priorizando las vulnerabilidades y atendiendo lo más pronto posible las activas y que representan el mayor riesgo. Solo sabiendo exactamente dónde se encuentran las exposiciones es posible comenzar a mitigar los riesgos totales.
Kaspersky Lab, por su parte difundió un comunicado entre las empresas con una lista de recomendaciones para evitar el desorden digital en empleados y mejorar la prevención:36
- Capacitar a los empleados con habilidades prácticas que se puedan aplicar al trabajo diario.
- Recordar regularmente al personal lo importante que es seguir las reglas de ciberseguridad para no dejar que las habilidades cibernéticas se desvanezcan.
- Hacer copias de seguridad de datos esenciales para garantizar que la información corporativa esté segura y actualizar periódicamente los equipos y aplicaciones de TI para evitar vulnerabilidades que no han sido corregidas.
Con años de experiencia al frente de Panda Security España y ahora como asesor de estrategia de seguridad cibernética, Rosa Diaz Moles recomienda a las empresas confiar en proveedores de seguridad que les ayuden a encontrar la mejor manera de estar protegidos, además de trabajar en la sensibilización, concienciación, formación y capacitación de los empleados,
En cuanto a las recomendaciones para los usuarios, que también pueden tenerse en cuenta para las empresas, Diaz Moles recomienda: “usar un antivirus, tanto en el ordenador como en el teléfono, no conectarse a cualquier wifi pública y si se hace evitar realizar operaciones privadas, mantener el software actualizado, usar contraseñas robustas, hacer copias de seguridad, tener especial cuidado con los adjuntos que se reciben en el correo de direcciones no conocida, y aunque hay algunas más indicar sobre todo resaltar tener sentido común.” indicó Díaz Moles en entrevista con El Semanario.
Para mejorar el entendimiento sobre la relevancia de la prevención, el CERT de la UNAM recomienda hacer un comparativo del mundo real con el virtual, ya que eso permite mejorar las prácticas de seguridad en el ámbito digital.
Para los usuarios, Romo recomienda leer los términos y condiciones por los cuales se recibe un servicio, un producto o un bien. “Normalmente la gente empezando desde como instalar el software o como crea una cuenta de correo electrónico o crea una cuenta en una red social, simplemente le da aceptar a todo y no consulta realmente qué es lo que dice ahí. Por ejemplo; ¿una red social como Facebook puede hacer uso de su información?, la respuesta es sí; pero la mayoría de la gente cree que no, o que es de una manera muy limitada o que no tiene suficiente relevancia para que usen su información cuando en realidad este es el negocio de estas empresas, el vender datos, el vender información.”
