No olvides la cultura de seguridad

De
Después de un largo tiempo sin postear nada (Casi un año), me decidí a crear una entrada a partir de unos artículos que escribí para el diplomado de ciberseguridad que realice a finales del año pasado.

Esta es la primera de tres minutas (si, así lo llaman en la Universidad de Chile) y espero les sea útil para reflexionar un poco sobre la seguridad de la información y ciberseguridad.

Resultado de imagen para cultura ciberseguridad
Imagen de CSO. Aquí pueden leer sobre el articulo de cultura de seguridad.

La cultura de seguridad como primera línea de defensa en el ciberespacio


El desarrollo humano se ha caracterizado por su capacidad de adaptación a circunstancias desconocidas. Capacidad que le ha permitido cambiar el entorno de acuerdo a sus necesidades y demandas de mejora. Todas estas cualidades o aptitudes que nos permiten cambiarlo todo, nos ha traído nuevos retos y riesgos, entre ellos, la dependencia que hemos formado con nuestros propios inventos.

La imaginación ha permitido que el ser humano invente fronteras territoriales donde nunca hubo nada que nos separara. Construcciones que pueden ser vistas desde el espacio exterior y tecnología digital que ponen a nuestra disposición una vasta red de información en Internet.

Cada uno de esos nuevos inventos han traído nuevos espacios a explotar y desafíos que superar. Entre los cuales destaca, la protección de toda información e infraestructura tecnológica que se encuentra en redes interconectadas o aisladas, ya sea porque por ella viaja información privada y confidencial o existe algún tipo de dependencia con algún proceso crítico de nuestro modelo de vida actual.

Si a todo ese nuevo ecosistema de elementos y tecnologías que pueden o no estar interconectados en redes cerradas o de “libre” acceso como el internet lo llamamos espacio cibernético, o como popularmente le llaman ciberespacio; tiene todo el sentido del mundo que exista una disciplina que intente hacer de ese lugar virtual con integración al mundo fìsico algo más seguro, la ciberseguridad. Pero

 ¿Qué es el prefijo ciber? 


La definición de las palabras con el prefijo ciber puede variar dependiendo del contexto en que se encuentre, por lo que para generalizar en este documento lo utilizaremos como cualquier elemento “involucrando, usando, o relacionado con computadoras, especialmente internet...”. 

Con esta definición de ciber es importante aclarar que al hablar de computadoras, no se incluyen solamente aquellas que vemos en nuestro día a día, como laptops, teléfonos móvil o servidores, sino cualquier máquina que pueda almacenar información y tomar decisiones en base a una programación. Un ejemplo de computador, no tradicional, son los controladores lógicos programables (PLC por sus siglas en inglés) utilizados en la automatización y control de procesos industriales, manejo del tráfico e incluso en la industria militar.

En base a lo anteriormente expuesto podemos decir que:
  • Cualquier palabra que tenga el prefijo ciber guarda relación en mayor o menor medida con tecnología informática. Por ello cuando hablamos de ciberataques, hablamos de ataques que utilizan o impactan a medios computacionales o electrónicos.
  • En el concepto de ciberespacio debemos incluir aquellos elementos que no necesariamente están conectados a internet, como los PLC.
  • La ciberseguridad, es la capacidad de proteger o defender el uso del ciberespacio de los ciberataques. O un término más general, como el de seguridad, el estado en el que se garantiza la integridad, confidencialidad y disponibilidad de la información, el servicio o la entidad de la red.

Elementos del ciberespacio

En el ciberespacio podemos encontrar dos tipos de elementos que lo conforman y pueden poner en riesgo cualquier proceso al que esté asociado: físicos, que incluye desde un computador y sus cables, hasta una cerradura electrónica, o por qué no, una memoria portátil, como por ejemplo un pendrive, y lógicos donde se encuentra toda la inteligencia, como los softwares, protocolos, etc..

Cada elemento que conforma este espacio, en el que podríamos incluir al ser humano por su interacción, está expuesto a amenazas que pueden comprometer el procesamiento de la información y, por consiguiente, la toma de decisiones. Algo tan simple como cambiar un cero por un uno, podría hacer que se inicie una guerra, si ese uno representa la activación de un arma o la desactivación de un suministro vital para la vida, como el oxígeno.

Si nos enfocamos solamente en el apartado informático, los riesgos a los que está expuesto el ciberespacio tiene que ver con las vulnerabilidades de los elementos que lo componen, debido a un mal diseño o limitaciones de la tecnología. Esto trae como consecuencia profundos problemas de seguridad, llevándolos a un mal funcionamiento, ya sea por un error fortuito o por un diseño premeditado, se puede dejar un hueco de seguridad con el cual se podría materializar un ciberdelito.

Si consideramos al ser humano como el tercer elemento que compone al ciberespacio y que por diseño estamos lejos de la perfección, las debilidades propias de cada componente físico y lógico, y que todo en el ciberespacio se trata de información, podemos afirmar lo siguiente: 
  1. Nada es seguro.
  2. Todo software puede ser hackeado.
  3. Todos los ataques informáticos son información.
Esto no vislumbra un buen panorama si nos podemos a pensar que, desde el apartado doméstico día a día estamos siendo bombardeados por productos inteligentes como luces, televisores, neveras y cocinas interconectadas, que tienen la capacidad de hacer compras automáticas con los datos de nuestras tarjetas de crédito y que, además, desde un panorama más global, las industrias, empresas y gobiernos tienen un foco permanente en la automatización e integración de procesos mediante la tecnología, ya que que lo posicionan como un factor de crecimiento económico.

Hemos llegado a un punto tal de integración con la tecnología que no solemos cuestionar su uso ni los riesgos a los que nos exponen, en especial si consideramos los procesos críticos que dependen de ella, desde la vida de un ser humano que tiene un marcapaso, la información que está viajando durante un consulta médica con todas nuestras dolencias, hasta la infraestructura tecnológica de un país con la cual abastece a toda la población con suministros básicos, ofreciendo servicios y garantizar su soberanía.

Cuando nos detenemos a pensar en todos los elementos del ciberespacio que nos permiten mantener nuestra calidad de vida, el crecimiento económico de un país o que el mundo siga avanzando en una dirección de desarrollo y paz, en ese momento entendemos que hay muchas cosas en riesgo que debemos proteger, y que más allá del esfuerzo que puede hace una persona para mantener un nivel óptimo de seguridad, se debe contar con los recursos necesarios para soportar la carga que representa hacer ciberseguridad, desde un hogar, empresa o nación.

Por más que una persona, de manera individual, se preocupe por su seguridad, si su entorno no tiene como prioridad este elemento, no es parte de la cultura hacer seguridad ni cuenta con los recursos necesarios, se hace muy difícil, por no decir imposible, la administración de los riesgos. Por ello, podemos encontrar en Políticas Nacionales de Ciberseguridad la priorización de este apartado y dentro de sus objetivos específicos la inclusión de la cultura de ciberseguridad como un elemento necesario para cumplir con su objetivo general, incluso marcos de trabajo completos, asociados a la conciencia de seguridad o security awareness del inglés, en los cuales se plantea  la cultura de seguridad como una herramienta para que las personas entiendan las oportunidades, los riesgo y las amenazas del ciberespacio.

Conciencia sobre ciberseguridad

La conciencia sobre la materia de ciberseguridad es básica. Sin ella no podemos priorizar esfuerzos para destinar recursos a la protección de los activos de información que respalda a todo eso que llamamos el ciberespacio. 

Si las personas no tienen la precaución de incluir la seguridad en cada aspecto de su vida, en cada proceso en los que se encuentra involucrado o construyendo, resulta realmente costosa su reparación, una vez que se aprovecha la debilidad. Los ciberdelincuentes se pueden aprovechar desde la ignorancia o buena fe de una persona que abre un correo electrónico y entrega las credenciales de acceso a un sistema crítico o descargar un malware, hasta el mal diseño de un sistema bancario para extraer información y dinero. Por ello, es fundamental y menos costoso educar y entrenar a las personas para que desde el inicio tengan conciencia sobre la ciberseguridad, que esperar a que ocurra algo para tomar acciones al respecto. La prevención siempre será más económica que la reacción.

El entrenamiento es clave, ya que ninguna persona puede resolver o evitar un problema que desconoce. Las personas deben tener conciencia de los riesgos a los que están expuestos y saber cómo protegerse, ya que puede ser crítico desde el ámbito personal, empresarial e incluso gubernamental.

Así como la salud de los habitantes de un país y las enfermedades a las que están expuestos no dependen de una sola persona, sucede lo mismo con la ciberseguridad de una empresa o país. La dirección de la empresa o gobierno de un país debe tomar acciones al respecto, como educar a las personas, asignar recursos y crear un marco de gobierno que priorice la ciberdefensa desde una perspectiva más preventiva que reactiva, estando conscientes siempre que nada es 100% seguro.

Las personas están presente directa o indirectamente en la mayoría, por no decir todos, de los procesos informáticos actuales y como cualquier otro elemento dentro de un proceso, añaden riesgos inherentes que deben ser tratados. La gran ventaja de este elemento es que las personas bien educadas en cuanto a seguridad pueden son un factor de control capaz de reducir las probabilidades de ocurrencia de una amenaza,  convirtiéndose en la primera línea de defensa dentro de cualquier proceso.

Citas bibliográficas
  • Definición de ciber, Diccionario online de Cambridge.
  • Arthur E. Oldehoelf (Febrero 1992). Foundations of Security Policy for the Use of the National Research and Educational Network. U.S. Department of Commerce. Definiciones de seguridad informática. Recuperado de CSRC.
  • Tecnología e Informática. Vulnerabilidades informáticas.
  • Diplomado De ciberseguridad, Universidad de Chile.
  • Andrew Ginter (Abril 2017). Electro Industria. Consideraciones para proteger un SCADA frente a ciberataques.
  • María Fernanda Lozano Agudelo (20 Mayo 2016). Blog del Grupo EMAR. Importancia de la tecnología en el crecimiento económico de los países. 
  • Conceptos generales de seguridad y ciberseguridad, así como Security Awareness. Glosario.
  • Política Nacional de Ciberseguridad de Chile (24 Abril 2017). 
  •  Arvinder Saini (12 Enero 2017). How much do bugs cost to fix during each phase of the SDLC?
  • Stu Sjouwerman (30 Mayo 2018). Some Interesting Security Awareness Computer-Based Training Numbers
  • Sistemas de información. Wikipedia
  • Estadísticas sobre Phishing. Cómo el entrenamiento puede disminuir la susceptibilidad de caer en este tipo de ciberataques.

Comentarios

Publicar un comentario