El ciberriesgo es para todos (Parte 1)

De nuevo otro título de estos artículos orientados a ciberseguridad que, seguro, descoloca al lector que pensaba: “esto de la ciberseguridad no es para mí”. ¡Y nada más lejos de la realidad! He visto ya demasiadas empresas que no se atreven a profundizar en esto de la gestión del ciberriesgo por considerarlo demasiado complejo, fuera de su alcance, que es algo que mejor nos lo dejan a los “expertos” (de hecho, según nos cuentan los datos del “Informe de Ciberpreparación de Hiscox 2020” España continúa siendo el país con más compañías calificadas como cibernovatas: el 72% de las empresas analizadas). Lo que voy a intentar, en esta nueva serie de artículos, si como lector me lo permites, es ayudarte a entender, por un lado, que todos hacemos gestión de riesgos de manera continua sin darnos cuenta y, por otro, que la ciberseguridad, tras toda la complejidad que oculta en herramientas, tendencias, familias del malware, etc., no es ni más ni menos que una prolongación de esta gestión de riesgos, otro riesgo más a tener en cuenta que puede ser tratado de la misma manera. Y espero que, después de esta serie, tanto a nivel individual como en tu empresa, le pierdas el miedo a empezar a aplicar algunas de estas cuestiones de manera habitual.

Así pues, empecemos desmontando complejos. Sé que la gestión de riesgos suena a algo de banqueros o de matemáticos con complejas fórmulas para productos financieros que consiguen resultados milagrosos, pero nada más lejos de la realidad. Lo primero que debemos asumir es que la vida, en sí misma, es riesgo de todo tipo: riesgo de ser atropellado (riesgo de accidentes), riesgo de que se produzca una pandemia (riesgo sanitario), riesgo de quedarme sin trabajo (riesgo laboral) o que mi empresa o mis dispositivos personales sufran un ciberataque (riesgo de ciberseguridad), entre otros muchos ejemplos. Y vivimos la vida entre todos ellos, sin detenernos y sin por ello dejar de vivirla, simplemente sabiendo que debemos tomar medidas en aquellos riesgos a los que somos más sensibles. Y, si miramos los ejemplos anteriores, nos damos cuenta de un factor común: son situaciones sobrevenidas que nos causan un daño. Esto, lector, es la definición misma de riesgo.

El riesgo no es, ni más ni menos, que la valoración de que una amenaza se materialice en nuestras vidas y, para entender cómo debemos afrontar cualquier riesgo, existen dos preguntas fundamentales: ¿Cómo de probable es que suceda? ¿Qué impacto o daño tendría si se materializase? Como podemos ver, son dos preguntas complicadas, para las que se crean fórmulas complejas que nos traen esos matemáticos a la mente pero que, en realidad, podemos estimar cada cual conociendo nuestra propia situación y la de nuestra empresa. Hoy me centraré en intentar arrojar luz sobre la primera.

Y usaré un ejemplo que nos ayudará a lo largo de toda la serie de artículos para entenderlo y que creo que es muy común: la gran mayoría de la población dispone de un vehículo propio, que sería el activo que podría representar la información. Todos los vehículos tienen riesgos asociados: riesgo de rotura, riesgo de fallo de piezas, riesgo de sufrir un accidente al conducirlo, riesgo de robo del vehículo, etc. A priori, seguro que ya puedes ordenarlos por importancia para ti y los que veas más probables. Y este es el primer punto relevante: la gestión de riesgos y nuestras estimaciones son subjetivas, las hacemos nosotros como individuos o empresas, empleando el mejor de nuestros conocimientos y, seguramente, ese mismo riesgo, aplicado en otra persona/empresa, cambie tanto en probabilidad como en impacto (sobre todo en el artículo siguiente comentaremos esta segunda faceta). Pero ya vemos que no tenemos que haber estudiado sobre probabilidad para saber hacer una estimación inicial.

Lo siguiente que podemos hacer, es adquirir información para refinar nuestro conocimiento. Las grandes aseguradoras tienen tablas que aportan información sobre el histórico de accidentes en vehículos (lo que nos permite especular cuáles de todos los riesgos son más probables que se vuelvan a dar). El entorno aporta sus propios factores para modificar la probabilidad: la zona donde vivimos y los índices de delincuencia modifican la probabilidad de robo o la vida útil del vehículo (si nuestra región tiene temperaturas anormalmente altas o bajas, el desgaste sabemos que es mayor). También la motivación del delincuente (no se pone el mismo empeño en robar un Ford Fiesta que un Ferrari).

De manera análoga, en la ciberseguridad, si estamos al día e informados de lo que sucede, podremos determinar cómo de probables son cada uno de los ciberataques: todos somos capaces de ver que es más probable perder un pendrive con información sensible o que nos roben el móvil o el ordenador a que suframos un complejo ataque a nuestros servidores que los deje inoperativos. Pero saber que en 2019 los dos grandes grupos de ataques fueron las brechas de datos y el malware orientado a los mismos (ransomware por ejemplo), requiere que estemos al día de esas tendencias. El entorno también nos influye en este campo: si todo el resto de empresas se hace con un antivirus, el no tenerlo me deja en una situación más expuesta. Si sabemos que guardamos información bancaria o de tarjetas (el Ferrari), deberemos asumir una mayor probabilidad de ataque, pues la motivación del delincuente será mayor. Como vemos, no son ejemplos tan diferentes.

Debemos saber también que se puede trabajar con la probabilidad para reducirla: si sabemos que los iPhone sufren menos ataques que los dispositivos Android (aunque esta tendencia está variando), podemos optar por elegir este sistema operativo frente al anterior, o igual sucede con Linux y Windows. También, con el tiempo y la experiencia, iremos afinando mejor la percepción y la estimación que hacemos: en base a los ataques que he recibido, veo que se centran más en mis empleados que en ataques directos a la infraestructura, por ejemplo. En nuestro ejemplo del coche, podemos ver que elegir entre un modelo u otro, una marca u otra, nos arroja valores inherentes de probabilidad de fallo y robo muy diferentes. Es un conocimiento que además vamos mejorando con el tiempo: hay amigos que nos recomiendan tal marca y modelo porque les duró 15 años sin fallos, nuestra propia experiencia nos dice que la única vez que nos falló fue por conducirlo a demasiadas revoluciones, u otros muchos ejemplos que seguro se os ocurren también a vosotros. También vamos viendo la eficacia de las medidas que desplegamos y cómo afectan a la probabilidad: dejar el coche cerrado es útil, pero si no llega a ser por el cepo del volante, el día que rompieron el cristal, me lo roban. Proteger mis cuentas con una contraseña robusta está bien, pero si no llega a ser por el segundo factor de autenticación con el móvil, cuando me robaron la cuenta, no me hubiese dado cuenta.

Espero haber sabido introducir, de manera algo sencilla, este mundo del riesgo y la probabilidad. Si te ha gustado, te espero en el siguiente artículo para hablar de la segunda parte, el impacto de estos riesgos... ¡Hasta entonces!