El ransomware, al menos en España, nos ha pasado factura y tenemos la tentación de pasar página, cuando lo que tenemos que hacer es pensar en la próxima estrategia frente a ciberamenazas.
Los ciberdelincuentes no hacen “folio en blanco” e inventan nuevas cosas, los ciberatacantes trabajan igual que nosotros, con ciclos de proyectos y servicios en la que en su ADN no está el abandonar las técnicas que funcionan, con lo que tenemos que pensar que esto es una carrera de fondo sin meta final, sobre todo con la generalización del trabajo remoto.
Índice de contenidos:
- Ante ciberamenazas, aprende de los errores
- Sigue faltando concienciación en ciberseguridad
- La importancia del valor de la información
- Estrategia de ciberseguridad a seguir
Ante ciberamenazas, aprende de los errores
A colación de esto, me viene a la cabeza lo que mi maestro de esgrima (Adrián, ¡grande!) siempre me ha dicho: “José, cuando algo te funciona en un asalto, ¿¡para qué lo cambias!? Si estás tocando al contrario cerrando con cuarta y al pecho, ¿por qué haces florituras?, le das más espacio al oponente, etc. y por otro lado cuando no te funcione, piensa en el porqué y ¡cambia rápido que el asalto se acaba!”. Para los amantes de la esgrima, seguro que este comentario les ha llegado al corazón, no por bueno, sino porque de repente han encontrado algún texto en el que se menciona este gran deporte…
Además, pensándolo bien, es idéntico a la ciberguerra/defensa, un tío vestido rarito y con careta intentando buscarte la brecha para llegar a un “tocado”… si lo visualizáis ¡es idéntico!. Pero retomando la argumentación, consolida lo expuesto y lo que hay que hacer, la estrategia que debemos de seguir… sigue atento a los ataques anteriores y alerta para detectar los nuevos métodos de penetración, de robo, en definitiva del hacking del malo.
Sigue faltando concienciación en ciberseguridad
Apenas ha pasado un mes del comienzo del año y ya se leen muchas predicciones de las tendencias de ataques y brechas de seguridad. La ciberseguridad está de moda, ya hasta en los colegios se empiezan a dar charlas, y esto es un puntal importantísimo, la concienciación y las técnicas básicas de configuración para el control.
Hoy, precisamente, he escuchado que el 72% de los españoles que usan internet nunca cambian su privacidad, no realizan configuración en su navegador para limitar su seguimiento… y me ha venido a la cabeza Chema Alonso. Cada vez que le escucho en alguna charla, oigo con gran claridad eso de “es mentira que nos preocupe la seguridad” con lo que chapó Chema, tienes toda la razón. Opino lo mismo.
Y de repente, veo con estupor que quien comienza a subir cosas a las nubes (Cloud), se indigna cuando con gran desconocimiento critica la solidez de la seguridad de los servicios cloud. O sea, que como se migran los sistemas desde un entorno con unos niveles de seguridad “más robustos que la NASA”, ahora los sistemas de seguridad de los cloud providers son pocos y malos… Pues bien, comentaros que, como ya hice en alguna otra ocasión, cualquier cloud provider serio es siempre más seguro que el hueco perdido de la oficina donde has ubicado la “robusta” plataforma IT, un “CPD” con “altísima” disponibilidad de servicio … Pero eso sí, una de las tendencias del mercado es “la seguridad de los cloud providers”.
La importancia del valor de la información
Hagamos las cosas bien, miremos primero lo que tenemos en casa y luego alineémoslo con lo que sacamos a la nube. Y esto nos lleva a otra gran cuestión, la identidad, ¡eso sí que es bueno!
A nadie le gustaría que con una careta de esas de cartón que usan los niños para jugar, pudieran suplantarle su identidad y que, por ejemplo, pretendiera que su mujer y sus hijos no le reconocieran como alguien sospechoso. ¡Pues eso es lo que hacemos!, vamos por ahí con unas claves de usuario que quitan el hipo, con una despreocupación absoluta porque realmente como bien dice Chema, “no nos preocupa la seguridad “.
Y lo malo es que en las compañías puede pasar lo mismo. Debemos ser más conscientes de que el valor de cualquier negocio es la información y que su pérdida es lo que más daño puede causar a la compañía y, por lo tanto, es lo que hay que proteger. Y en este proceso, el eslabón más débil siempre es y serán las personas. Entonces, ¿por qué no hacer su autenticación más robusta?
Actualmente, hay herramientas de control de privilegios y de autenticación fuerte con una inteligencia que hace mucho más sencillo su uso y su incorporación a nuestra gestión. Existen herramientas fantásticas para controlar el acceso y el uso de las aplicaciones de nube, denominados servicios CASB. Unas cuantas técnicas e implantaciones que nos liberarían de la carga de saber que lo estamos haciendo mal, así que pongámoslo en marcha, porque ¡esto es lo que debe estar de moda!.
Hay muchas más “tendencias” de seguridad IT para este año: brechas del IoT y ransomware para atacar dicho entorno (ya denominado como ransomware of things “RoT”), miles de tipologías de ataques sobre la “movilidad”, etc., pero sabiendo que es así y que como hemos comenzado diciendo, es un ciclo que no va a parar.
Estrategia de ciberseguridad a seguir
¿Por qué no concentramos nuestras estrategias en tener información, analizar, detectar y predecir y así poder actuar con rapidez? No es tan caro, quitémosle ese “sambenito”. Los costes suelen estar alineados a los riesgos de nuestro negocio, con lo que procuremos hacer como en la esgrima: la mejor táctica inicial es observar, tirar fintas, usar los movimientos que conocemos del rival y predecir los nuevos que nos podemos encontrar, dar distancia y estar preparados para “la flecha” que suele hacer el rival cuando ve que se acaba el tiempo y vamos por encima del marcador.
Para ello, os invito a que veáis el minuto de oro que tuvo que gestionar nuestro gran tirador José Luis Abajo (Pirri) en las Olimpiadas de Pekín (Beijing) de 2008 y que le permitió conseguir a la postre la que a día de hoy es la única medalla olímpica conseguida en esgrima para España; táctica, estrategia y análisis al máximo para proteger lo que más quería en ese momento… hacerse con el preciado metal. ¡Enorme Pirri!
Espero haber aportado algo de visibilidad y haber despertado, al menos, ciertas inquietudes en esto de las ciberamenazas y la ciberseguridad de vuestras organizaciones y, por qué no, en la esgrima.
Quizá te interese: