Evitar ataques es imposible. Reducirlos debe ser tu prioridad. La ciberseguridad es tu mejor aliado.
Cada día nos levantamos escuchando en los medios de comunicación noticias relacionadas con ciberataques a todo tipo de empresas y particulares. El aumento de ciberataques se da, entre otros motivos, porque disponemos de toda nuestra información cargada en dispositivos electrónicos conectados a internet.
Como regla, grábate a fuego que cualquier equipo conectado a internet, antes o después sufrirá un ciberataque, por muy bien que lo tengas protegido.
¿Qué es la ciberseguridad?
Comenzamos el post con la definición de ciberseguridad. Para ello recurrimos a la definición que aporta el Centro Criptográfico Nacional en el glosario de términos y abreviaciones CCN-STIC-401 .
Ciberseguridad es el conjunto de actividades dirigidas a proteger el ciberespacio contra el uso indebido del mismo, defendiendo su estructura tecnológica, los servicios que prestan y la información que manejan.
¿Por qué se dan los ciberataques?
Hay miles de motivaciones por las que se dan los ciberataques, pero bajo mi punto de vista, el motivo principal por el que se dan los ciberataques es porque la información ha tomado un peso enorme y trascendental para empresas y personas físicas y por ese motivo, cualquier persona u organización que consiga esa información (de una forma u otra) podría obtener un beneficio de forma directa e indirecta. En muchas ocasiones, la información se ha convertido en el activo más importante de una organización o una persona.
Centrándonos en el mundo industrial, existen multitud de activos que son susceptibles de ser sometidos a un ciberataque. Llevamos unos párrafos de hablando de “Activos” asi que, vamos a ver qué son.
Definición de Activo
De nuevo recurrimos al Centro Criptográfico Nacional y su glosario de términos y abreviaciones CCN-STIC-401 .
Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos.
Como véis, prácticamente todos los componentes, softwares, servicios, etc son activos valiosos para las organizaciones. Considerando esto, la superficie de ataque es enorme para un ciberdelincuente y son conscientes de que en algún momento, todos esos activos presentan o presentarán algún tipo de vulnerabilidad.
Sin quererlo hemos incorporado otro término muy importante en ciberseguridad. Ese término es Vulnerabilidad.
Definición de Vulnerabilidad
De acuerdo al Centro Criptográfico Nacional y su glosario de términos y abreviaciones CCN-STIC-401:
Debilidad de un activo o de un control que puede ser explotada por una o más amenazas.
Tenemos que ser completamente conscientes de que todos los activos presentan algún tipo de vulnerabilidad que tiene que:
- Identificarse.
- Detectarse las posibles amenazas (Amenazas).
- Evaluarse la exposición del activo (Riesgo de ataque).
- Evaluarse los posibles daños derivados de un ataque como consecuencia de esa vulnerabilidad (Consecuencias).
- En base al resultado del estudio anterior, se tienen que tomar las medidas resultantes del estudio. Si el estudio dice que no es necesario proteger esa vulnerabilidad, se está asumiendo el riesgo.
En los 5 pasos anteriores se han nombrado una gran cantidad de términos fundamentales en la ciberseguridad por lo que iremos definiéndolos uno a uno:
Definición de Amenaza
Condición o actividad capaz de ocasionar que, intencional o accidentalmente, la información o recursos para el procesamiento de la información se pierdan, modifiquen, queden expuestos o vuelvan inaccesibles; o que sean afectados de algún otro modo en detrimento de la organización.CCN-STIC-401
Es importante saber que tambien hay que considerar en los análisis de riesgo las posibles amenazas no intencionadas ya que suelen ser amenazas complicadas de proteger. Un ejemplo típico de amenaza no intencionada es el fallo humano.
Alguna de las soluciones que se utilizan para mitigar esta amenaza son la elaboración de procedimientos, de protocolos de doble acción, etc. Aún así, es imposible reducir el riesgo de estas amenazas a cero.
Definición de Salvaguarda de Seguridad
Práctica, procedimiento o mecanismo tecnológico que reduce el riesgo.CCN-STIC-401
Traduciéndolo a un lenguage más cotidiano, son todas las medidas que se introducen en un sistema para evitar que una amenaza impacte sobre un activo. El ejemplo más común es el antivirus que tienes instalado en tu ordenador. Es una medida de control que evita que una amenaza (Virus) ataque a tu ordenador y te destruya la información que contiene (activo).
Definición de Riesgo
Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. CCN-STIC-401
A modo de ejemplo, el riesgo de que te caiga un rayo es más bajo que el riesgo de que te tuerzas un tobillo. Es decir, el nivel de riesgo varía en función de muchas variables (activo, vulnerabilidades del activo, amenazas, etc.).
Definición de Consecuencias
De acuerdo a la RAE, la consecuencia es un:
Hecho o acontecimiento que se sigue o resulta de otro.
La consecuencias pueden ser muy diversas, pero vamos a nombrar alguna de ellas:
- Interrupción de la operativa del negocio. Por ejemplo, bloqueo de ordenadores de forma imprevista, paradas de producción no programadas, etc.
- Daño en la reputación. Afectan a la marca y tienen consecuencias muy diversas (pérdida de clientes, pérdida de confianza, etc).
- Impacto económico.
- Responsabilidades jurídicas, civiles y penales.
Conclusión
La ciberseguridad es una necesidad que evita tener pérdidas mucho mayores como consecuencia de un ataque.
Tenemos que ser conscientes de que en el momento que conectamos un equipo a otros equipos y/o redes las probabilidades de ataque se incrementan exponencialmente.
Nuestra responsabilidad es trabajar en proteger la infraestructura y tenemos que ser conscientes de que en algún momento las defensas fallarán.
Te recomiendo tener implantadas:
- Medidas de detección.
- Medidas para aislar el posible problema (aislar redes, desconectar equipos, etc)
- Mediadas de reposición de equipos/redes.
Considera que las amenazas siempre están ahí.
Intenta reducir al máximo las vulnerabilidades porque si lo consigues, el riesgo será cero. Si hay vulnerabilidades, hay riesgo.
Por último, establece el riesgo tolerable que se admite para un sistema o planta. Céntrate en reducir las vulnerabilidades y si no lo consigues, trabaja en mitigar las posibles consecuencias derivadas de un ataque.
