El abc de la ciberseguridad

Hola de nuevo, queridos lectores. Un mes más, os traigo una reflexión que, espero, nos ayude a seguir avanzando en este complejo mundo de la ciberseguridad: ¿existe un "abc" en un ámbito como este? Mi impresión es que sí y no, y es que todo depende de cómo lo enfoquemos.

Empecemos por el “no”

Si entendemos un abc como un conjunto de herramientas básicas de ciberseguridad que no nos pueden faltar, la tentación inicial es pensar que hay una serie de recursos (como puede ser el antivirus, el cortafuegos, las  herramientas de cifrado de datos sensibles o las de monitorización) que son considerados clave en cualquier empresa que aspire a estar protegida. Pese a esto, un análisis más profundo nos ayudará a entender que estas son, "a día de hoy",  herramientas indispensables. 

Lo que quiero decir es que las herramientas de hoy son muy diferentes a las que hace unos años se consideraban imprescindibles y seguro que nada tienen que ver con las herramientas que nos deje el futuro. Y esto es porque están intrínsecamente ligadas a la evolución del entorno de amenazas, por lo que quedan rápidamente desfasadas. Pensemos en el mundo de hace no tantos años, cuando el móvil no era un dispositivo tan potente como lo es hoy en día. Entonces, que las empresas se planteasen proteger sus teléfonos móviles tenía muy poco sentido. Sin embargo, actualmente, la mayoría de los trabajadores llevan su correo de trabajo en el bolsillo, con acceso a toda la información corporativa a solo unas pulsaciones de distancia.

Lo mismo nos sucede si pensamos a nivel de proyectos o iniciativas a acometer. Las personas que estamos en este mundo de la consultoría de ciberseguridad para empresas, a menudo vemos que se intenta reducir todo a “proyectos imprescindibles” para las compañías. Pero, de nuevo, este planteamiento también falla porque el entorno empresarial va cambiando y no podemos plantear una misma solución, sea tecnológica o en forma de procesos, que sirva para todas.

Si pensamos en un caso claro, como la “famosa nube”, actualmente hay muchos proyectos enfocados en este entorno y, con razón, pero quién sabe lo que nos aguarda en el futuro (computación cuántica que puede requerir sus propios proyectos o, incluso, redes deslocalizadas donde el poder de computación lo aporten los dispositivos de los usuarios, lo que se conoce como Edge Computing) y los proyectos que tendremos que desplegar, entonces, para protegernos.

Continuemos con el sí

Ahora bien, os he adelantado que había una forma de verlo que nos conducía al “sí”; veamos cuál. Para mí, sí hay un abc de la ciberseguridad, si lo enfocamos a nivel de los procesos internos que puedo desarrollar como empresa para mantener mi seguridad, ¿y qué procesos son estos? Desde mi punto de vista, son tres: 

• Considero la formación y concienciación de personas, un proceso clave porque, si bien el entorno, las amenazas y las tecnologías pueden cambiar, las personas siempre vamos a estar metidas en la ecuación, bien sea operando, diseñando o haciendo uso de los sistemas informáticos y, por tanto, somos uno de los objetivos claros para cualquier cibercriminal que busque comprometer esos sistemas. Por eso, es por lo que la formación deberá ser una constante en cualquier empresa que desee mantenerse al día en ciberseguridad.

• La priorización de riesgos que, aunque puede sonar un poco rimbombante con esos términos, no es ni más ni menos que elegir dónde gastar nuestro limitado presupuesto para maximizar su eficacia en la protección contra las amenazas. De nuevo, cambiará en qué tenemos que invertir e incluso de qué nos tenemos que proteger pero, sin lugar a dudas, siempre tendremos un presupuesto más escaso de lo que nos gustaría y tendremos que emplearlo de manera eficiente, además de saber explicar a los órganos directivos de las empresas por qué se invierte en ciertos aspectos y no en otros.

• Por último, la automatización que, aunque puede parecer un concepto complejo, no debe faltar en un “top 3 de básicos” a realizar en materia de ciberseguridad al ser un elemento clave por dos cuestiones:

La primera, porque está muy ligada al aspecto que comentaba anteriormente sobre las personas, es decir, al hecho de que las personas estamos involucradas, de algún modo, en todos los procesos, y eso abre la puerta a los errores humanos, tan típicamente explotados por los cibercriminales. Por tanto, cuanto menos dependamos de procesos manuales, menor será la probabilidad de fallo o de cometer errores severos.      

La segunda, y cada vez más importante, se trata de igualar el campo de juego con los cibercriminales. Digo igualar porque los ataques, a día de hoy, no están ya operados manualmente por personas o individuos, sino que han sido refinados y automatizados para obtener el máximo beneficio con el mínimo esfuerzo. Eso implica que, en el tiempo que un humano necesita para reaccionar, un ataque automatizado y programado puede ejecutar miles de sentencias (infectar el equipo, copiarse en otra ubicación, saltar a otro elemento de la red, etc.). Si queremos tener alguna posibilidad, hay que combatirlos en los mismos términos.

Si pudiese añadir un elemento adicional, la letra “d” de este abc sería mantener una adecuada visibilidad de lo que sucede, tema que nos ha ocupado los  artículos anteriores, por si os interesa.

Así pues, queridos lectores, espero que el artículo de hoy os haya ayudado a reflexionar, como a mí, sobre estos conceptos clave. Y quién sabe, puede ser que a vosotros se os ocurra algún otro elemento que debiera estar en ese abc. Si así fuera, os animo a que lo compartáis y, entre todos, sigamos impulsando y haciendo crecer este apasionante mundo.

Sed buenos y permaneced ciberseguros, ¡os espero a todos el mes que viene!