La ciberseguridad ahora en manos de las pymes y los usuarios corporativos
Según los expertos estamos actualmente librando una batalla en el ciberespacio
La ciberseguridad se ha convertido uno de los puntos prioritarios de preocupación de la organización y, muy especialmente, de los departamentos de tecnología. Pese a los esfuerzos realizados a instancias de la industria TI, de organismos gubernamentales, universidades y una buena parte del colectivo empresarial, a ciertas partes de la población así como un a buen número de pequeñas y medianas empresas les queda mucho camino que recorrer en aspectos relacionados la protección de sus sistemas.
Los expertos presentes en la mesa redonda sobre el estado actual de la ciberseguridad, organizada recientemente por IDG, se muestran de acuerdo con la afirmación que apunta a que la ciberguerra hace tiempo que se está librando en el ecosistema de las redes; “de una manera sutil y sin hacer ruido: algo que, según señalan, nos habría de intranquilizar como usuarios de tecnología.
A la pregunta inicial lanzada por Marlon Molina, Director de Computerworld University y moderador del evento, con respecto a lo qué es lo está pasando en el ecosistema de los sistemas TI, y si podría se llegar a plantear incluso una ciberguerra declarada, Tomás Asasia Infante, Analista experto en Ciberseguridad y Colaborador de la RED de Conocimiento IDG, señala que ciertos ataques efectivamente podrían tratase como tales: a modo de ofensivas orientadas a la destrucción y a la posesión, como ocurre en los espacios de conflicto de fuego reales.
“Tirar misiles resulta muy costoso, por lo que resulta más efectivo y barato contratar a un grupo de expertos en seguridad informática, sentados en una sala, y lanzando ataques dirigidos contra infraestructuras, empresas, tanto de países amigos como enemigos. Los motivos de tales ataques obedecen a objetivos económicos, políticos y, en muchas ocasiones, se dirigen para boicotear proyectos o para espiar. El espionaje industrial está más de moda que nunca con el objetivo de desbancar a un competidor”, apunta Asasia.
“Hace unos años hablábamos de la frontera digital, mientras que hoy en día nos referimos a la frontera de la empresa. Dentro de nada, lo fronterizo lo serán las personas mientras que, tras las personas, lo será internet de las cosas”
Por su parte, José Miguel Rosell, Socio Fundador de S2Grupo -una empresa especializada en seguridad tecnológica que se está especializando últimamente en serviciosde seguridad a sistemas de control industrial- afirma que, efectivamente, existe una especie de ciberguerra no declarada, y va más allá: “Nos encontramos al borde de que ocurra un incidente grave. Y, mientras tanto, la sociedad no toma conciencia del problema. Sabemos que países como Estados Unidos y China se espían mutuamente y se roban información, atacando instalaciones industriales y empresas del oponente. Sin embargo, no hay una declaración abierta de guerra. Creo que los gobiernos, en general, se están preparando, mientras que las empresas están metidas en medio de una vorágine de ciberespionaje brutal.”
Rosell alude a un aspecto que pone en el centro del problema al usuario corporativo. “La gente no se está dando cuenta de que amenazas como las APT (Amenazas Persistentes Avanzadas), de las cuales se sabe qu, de media, una compañía ha tenido residiendo en su sistema este malware 265 días, pueden llegar a robar absolutamente todo. El siguiente paso es el sabotaje o el daño físico”, sentencia este experto.
“Los usuarios y las pequeñas y medianas empresas han de ser conscientes de que se están librando ciberguerras silenciosas”
Frente a la falta de concienciación de ciertos colectivos como las pymes y los usuarios finales de muchas organizaciones, emerge la figura del CIO como una especie de “llanero solitario” preocupado en su anacorética lucha con otros departamentos que no entienden tanta alarma, y enfrentándose a escenarios de amenazas constantemente cambiantes. “En este ecosistema, los CIOs incorporan tecnología perdiendo, muchas veces, la frontera de lo que estaban protegiendo. Hace unos años hablábamos de la frontera digital, mientras que hoy en día nos referimos a la frontera de la empresa. Dentro de nada, lo fronterizo lo serán las personas, mientras que, tras las personas, lo será internet de las cosas”, afirmaba Rosell, al tiempo que señalaba que otra de las grandes preocupaciones de las empresas es ver cómo trasladar el mensaje de que la seguridad depende de todos.
Otro profesional de alto nivel como es Manuel Sánchez Rubio, Director del Máster de Seguridad Informática de la Universidad Internacional de la Rioja, señala que el objetivo de la universidad consiste en formar, al más alto nivel posible, a especialistas que luego utilicen estos conocimientos en las empresas. “El profesorado en seguridad universitario no puede ser docente puro, sino que tiene que proceder en gran parte de la empresa ya que tiene que aportar los conocimientos necesarios los cuales se están renovando constantemente, al tiempo que concentran las trincheras de la seguridad”, señala Sánchez al tiempo que asegura que “más que de una guerra, creo que se trata de luchas anárquicas en el sentido en que cualquiera, con la ayuda de un pequeño dispositivo, puede tener la capaz de hacer mucho daño.”
José Antonio Rubio, Profesor y Responsable de Seguridad TI y Protección de Datos de la Universidad Rey Juan Carlos, cuenta con diversos másteres de formación a nivel de ciberseguridad, y con una cátedra relacionada con la ciberguerra, de la cual el profesor Rubio es colaborador. “Dicha cátedra es la correspondiente a ”Servicios de inteligencia y sistemas democráticos”, desde la cual tocamos diversos aspectos relacionados con la ciberseguridad.” Para saber en qué están centrando una parte de la investigación las más altas esferas de la defensa en TI, José Antonio Rubio señala que dentro de la Seguridad Nacional, han sido trasladadas toda las competencias relativas a la inteligencia competitiva, que consiste en asegurar a superviviencia y defensa de las grandes empresas nacionales.” Estas grandes empresas a las que se refiere Rubio son las grandes organizaciones que generan empleo y riqueza a nivel nacional. “Son los “grandes ciudadanos”, cuya custodia está asumida dentro de esta seguridad nacional. Todo ello para preservarlas de esa guerra silenciosa que está ocurriendo diariamente en las redes.”
Al igual que el resto de expertos, el profesor Rubio manifiesta su preocupación de lo que calificó como la relajación de las pymes en materia de ciberseguridad, dado que suponen un porcentaje muy alto del tejido industrial europeo. “Aquí habría dos subderivadas”, puntualiza este entendido, “ la concienciación para que la pyme de verdad se lo crea y, por otro lado, como desescalar los modelos de análisis de riesgos, y hacerlos entendibles a las pymes, la mayoría de las cuales tienen pocos recursos.”
Por otro lado, en opinión de Tomás Asasia, se sigue entendiendo que los modelos de análisis ISO y normativas de riesgos constituyen el corazón desde el cual tiene que partir esa visión. “Un aspecto difícil de alcanzar debido a que ciertas medidas son demasiado estrictas y complejas como para que las pueda seguir una pyme”. Con respecto a la concienciación de las pymes en aspectos relativos a ciberseguridad, José Miguel Rosell afirma que: “en la adopción de capas de seguridad que hemos de adoptar como sociedad, la pyme es un motor relevante. ¿Cómo se puede enfrentar una pyme a una normativa 27001? Ésta normativa garantiza que aquellas medidas de control o de salvaguarda que se han implementado en el sistema siguen funcionando con el tiempo.”
