ESPECIAL
10
REVISTA A
Octubre 2014
Ciberseguridad, un reto para todos
CIBERSEGURIDAD, UN RETO PARA TODOS La creación de grupos de intercambio de información (experiencias y aprendizajes en el manejo de las amenazas) y de respuesta a los ataques cibernéticos.
POR: SANTIAGO PINZÓN GALÁN, Director Cámara de BPO/ITO/KPO
Octubre 2014
L
a ciberseguridad es un asunto crucial para los sectores público y privado en el siglo XXI. En resumen, se entiende como ese conjunto de tecnologías, las redes y sistemas de información y telecomunicaciones, procesos, aplicaciones, procedimientos y servicios entre otros elementos destinados a ofrecer protección de los activos (físicos y virtuales) de una organización, entidad o empresa. En los últimos años, la ciberseguridad ha venido tomando una mayor importancia, gracias a la expansión y adopción de las tecnologías de la información (TIC), a la innovación y la digitalización de información utilizada por las economías del mundo, soportada en buena parte por el gran acceso a internet. Las TIC permiten el intercambio y flujo de información y comunicaciones, superando las barreras físicas de tiempo y distancia de antes. Hoy en día, las amenazas y ataques cibernéticos han evolucionado al punto de poder penetrar los sistemas de seguridad de entidades del gobierno, organismos internacionales, empresas del sector público y privado e infraestructura critica para el Estado.
Los siguientes temas son las principales amenazas a las que se enfrentan las organizaciones actualmente: • Ciberguerra: el objetivo principal es la obtención de información confidencial, deterioro de reputaciones, ejecución de fraudes y daños a la propiedad intelectual (espionaje industrial). • Ataques por redes sociales: utilización de perfiles falsos de redes sociales para ejecutar ciberataques, con el fin de evitar la posibilidad de rastreo. • Ataques especializados: se toma ventaja del atraso tecnológico de los sistemas de información basados únicamente en firmas, para ejecutar ciberataques casi indetectables y en nuevas modalidades. • Siempre un paso adelante: los ciberataques están por encima de las medidas de prevención de las instituciones si estas no se encuentran debidamente actualizadas y administradas. De tal manera que cuando las instituciones hacen una actualización de sus sistemas, es posible que ya se tengan identificados posibles puntos débiles de la infraestructura tecnológica por parte de los atacantes. En Colombia no hemos sido ajenos a este reto y por lo mismo es importante reconocer el esfuerzo del gobierno nacional por generar normatividad para la protección de amenazas de este tipo.
11
ESPECIAL
Un claro ejemplo es el documento Conpes 3701 de 2011, que establece lineamientos de política para ciberseguridad y ciberdefensa. De igual forma, está la Ley 1582 de 2012, (ley estatutaria) que establece disposiciones generales para la protección de datos personales. No obstante, es pertinente renovar y mejorar la normatividad en la medida en que se actualiza y desarrolla la tecnología, ya que al igual que un sistema operativo desactualizado es vulnerable a nuevos ataques de ciberseguridad, una normatividad atrasada no genera suficientes incentivos a las empresas públicas y privadas a protegerse. De igual forma, se recomienda desarrollar una estrategia de ciberseguridad basada en cinco pilares vitales: educación, normatividad, metodología, infraestructura y cooperación. 1. Educación El Estado puede desarrollar programas educativos. con el objetivo de que las personas adopten una posición consciente de la seguridad en el ciberespacio. Así mismo, se podría hacer con las poblaciones de menor edad, ya que estas han crecido en compañía de la era digital y de una masificación de la tecnología, lo que permitiría asegurar efectos de consciencia a largo plazo. 2. Normatividad Es necesario establecer marcos legales de seguridad para todo tipo de entidades (públicas y privadas), que contengan mejores prácticas, estándares y la inclusión de políticas para valoración y gestión del riesgo. 3. Metodología Se recomienda la ejecución de programas de certificación en el tema, un claro ejemplo es la ISO/IEC 27000, que define los requisitos de un sistema de seguridad de la información. Para el caso de Colombia, también se sugiere la generación de planes específicos de seguridad de información, mejora continua, prevención de fuga de información, evaluación y auditorias periódicas.
En Colombia no hemos sido ajenos a este reto y por lo mismo es importante reconocer el esfuerzo del gobierno nacional por generar normatividad para la protección de amenazas de este tipo.
12
REVISTA A
4. Infraestructura Se requiere que las entidades públicas y privadas cuenten con una infraestructura tecnológica de seguridad flexible y adaptable, que permita actuar en la prevención de incidentes y mejoramiento de la defensa contra los ciberataques. Dentro de los puntos en los cuales las tecnologías dedicadas a seguridad pueden apoyar en la defensa de ataques contra la información sensible de las compañías se encuentran los siguientes: • Descubrimiento y evaluación de las vulnerabilidades de los recursos y aplicaciones sensibles para la organización.
Octubre 2014
Ciberseguridad, un reto para todos
Se requiere que las entidades públicas y privadas cuenten con una infraestructura tecnológica de seguridad flexible y adaptable, que permita actuar en la prevención de incidentes y mejoramiento de la defensa contra los ciberataques.
• Identificación de los perfiles de riesgo de los activos de información. • Generación de los controles requeridos para otorgar los permisos y accesos aprobados a la información sensible. • Visibilidad, alertas y generación de métricas que permita tomar medidas preventivas y correctivas. 5. Cooperación Sugerimos la creación de grupos de intercambio de información (experiencias y aprendizajes en el manejo de las amenazas) y de respuesta a los ataques cibernéticos. Un claro ejemplo de esta ini-
Octubre 2014
ciativa en Colombia es ColCert (Grupo de respuesta a Emergencias Cibernéticas en Colombia). No obstante, es pertinente avanzar en este tipo de temas. Otra de las recomendaciones clave es generar al interior de las empresas procesos de encadenamiento interno, en donde las áreas de investigación y desarrollo trabajen en conjunto con equipos de ciberseguridad en la realización de simulaciones de riesgos y mejoramiento de la infraestructura tecnológica. Al final del ejercicio, se debe involucrar a los directivos de las firmas o instituciones en los procedimientos, para que
Visibilidad, alertas y generación de métricas que permita tomar medidas preventivas y correctivas.
13
ESPECIAL
estos conozcan los resultados de las iniciativas y transmitan la información al personal. Uno de los riesgos que se presentan en las empresas es el desconocimiento que los funcionarios tienen sobre las posibles consecuencias de compartir información sensible para la organización. Este tipo de situaciones pueden generar descuidos del personal al momento de utilizar la plataforma tecnológica (correo, servicios de nube, transferencias y etc.) y es un potencial riesgo de ciberataque. Es por esto que se recomienda realizar campañas de concientización y aprendizaje para los funcionarios. De esta manera, se reducen los riesgos internos de las firmas e instituciones. Promover una cultura empresarial que aborde los desafíos de la ciberseguridad es un trabajo permanente y por lo mismo se debe iniciar de manera práctica. A continuación, sugerimos un listado enunciativo de elementos a tener en cuenta: • Hacer una clasificación de los activos de información para determinar su nivel de importancia.
Promover una cultura empresarial que aborde los desafíos de la ciberseguridad es un trabajo permanente y por lo mismo se debe iniciar de manera práctica.
14
REVISTA A
Octubre 2014
Ciberseguridad, un reto para todos
• Generar diferentes tipos de protección, según la importancia de la información. • Tener plataformas tecnológicas integradas con capacidad de generar alertas e identificar niveles de vulnerabilidad. • Formular estrategias con base en análisis de Big Data. • Realizar simulaciones de riesgo, con el objetivo de hacer retroalimentación de la información y generar nuevas ideas de protección para el fortalecimiento de la seguridad de la organización. • Incluir el tema de ciberataques en la agenda de juntas directivas. 1
Mckinsey Quarterly. 2014. The Rising Strategic Risks of Cyber Attacks. Information Technology Industry Council. 2011. The IT Industry´s Cybersecurity Principles for Industry and Government. Intel Security. 9 pasos para desarrollar una estrategia de Ciberseguridad. Reuniones operativas y técnicas con diferentes actores en grupos de trabajo de la Industria.
Octubre 2014
Uno de los riesgos que se presentan en las empresas es el desconocimiento que los funcionarios tienen sobre las posibles consecuencias de compartir información sensible para la organización. Este tipo de situaciones pueden generar descuidos del personal al momento de utilizar la plataforma tecnológica (correo, servicios de nube, transferencias y etc.) y es un potencial riesgo de ciberataque. Es por esto que se recomienda realizar campañas de concientización y aprendizaje para los funcionarios.
15