Ciberseguridad: la clave es colaborar

Publicado el 08/10/2013, por INCIBE
compartir

La dependencia de los negocios en las tecnologías de la información es cada vez mayor. Asegurar nuestro negocio en el ciberespacio se hace imprescindible: buena parte de nuestra información circula por la red. De hecho la ciberseguridad nunca ha sido tan importante, como queda reconocido en la Agenda Digital Española y en análogas políticas públicas de otros países.

Pero, ¿qué es eso del ciberespacio?

Según la norma ISO/IEC 27023:2012, Guidelines for cibersecurity es «el entorno complejo resultante de la interacción de personas, software y servicios en Internet a través de dispositivos tecnológicos y redes conectadas a ella,...». La seguridad en el ciberespacio es la protección de la confidencialidad, integridad y disponibilidad de la información en este mundo virtual.

Cada uno de los integrantes del ciberespacio tenemos un interés genuino, diríamos incluso intrínseco, en su seguridad. La ciberseguridad depende de:

  • los consumidores, es decir, individuos y todo tipo de organizaciones y empresas públicas o privadas
  • los proveedores, tanto ISP (Proveedores de Servicios Internet, del inglés, Internet Service Provider) como otros proveedores, por ejemplo: de servicios de almacenamiento, entretenimiento, gestión de recursos empresariales, tiendas virtuales, redes sociales, etc.

En este medio global y enmarañado de interacciones entre personas, software y servicios, con nuevos dispositivos (tabletas, teléfonos inteligentes,...) y redes cada vez más complejas, los riesgos toman las más diversas formas. Por citar algunos, para la empresa son factores de riesgo: el nivel de formación o concienciación de los empleados, partners y clientes, el clima laboral, las diferencias culturales en empresas internacionales, las características de las políticas internas (por ejemplo, para prevenir la fuga de información o el uso de dispositivos propios, BYOD, del inglés Bring Your Own Device), el peligro de espionaje industrial, los contratos y ANS (Acuerdos de Nivel de Servicio) con proveedores de servicios, la ubicación física y legal de estos proveedores, los factores sociopolíticos, el incumplimiento legal, etc.

¿Qué hacer ante tantos riesgos?

No hay remedios mágicos ni un protocolo que sirva para todas las organizaciones, cada una tiene su idiosincrasia. Algunas necesitarán reforzar la formación de sus empleados o fortalecer sus sistemas y otras proteger mejor su página web o los datos de sus clientes. Ante tanto riesgo, ¿qué hacer? —Solo hay una salida: gestionarlos.

En la empresa el término de gestión de riesgos nos resulta familiar: sopesar los costes de tratar el riesgo frente a su probabilidad y el coste de no prevenirlo. En el caso de los ciberriesgos no es diferente como se comenta en el reciente post en este blog «Si no inviertes en seguridad corres un alto riesgo»: se trata de reconocer y valorar amenazas y vulnerabilidades y trabajar para reducirlas.

Desde un punto de vista económico podemos plantearnos estas preguntas:

  • ¿cuánto está costando la falta de seguridad al negocio?
  • ¿qué impacto tiene la falta de seguridad en la productividad?
  • ¿qué impacto tendría un fallo de seguridad?
  • ¿cuáles son las soluciones más económicas y efectivas?
  • ¿qué impacto tendrán las soluciones en la productividad?

No obstante, una gestión de riesgos rigurosa puede ser intimidante, especialmente si no tenemos experiencia previa, por no mencionar la disponibilidad de presupuesto. En este caso es recomendable seguir estándares y mejores prácticas como las de la norma ISO/IEC 27001 «Sistemas de Gestión de Seguridad de la Información» (cuya revisión se publicará próximamente), sin olvidarnos de incluir estrategias para la seguridad física y teniendo en cuenta aspectos de comportamiento, liderazgo y cultura.

Aunando esfuerzos

Afortunadamente no estamos solos. La interrelación, el intercambio y la cooperación son la esencia del ciberespacio. Cuando ocurre un incidente afecta a nuestros clientes y colaboradores además de a nuestra imagen y a nuestro bolsillo. Por otra parte si somos víctimas de ciertos ataques podemos, sin querer, esparcir el daño a nuestro entorno (cuentas de nuestros usuarios o partners comprometidas, siendo parte de una red zombi o botnet,...). Además podemos aprender de otros. Por ello, la colaboración es clave para una ciberseguridad efectiva. Consumidores y proveedores del ciberespacio podemos:

  • aplicar buenas prácticas en nuestras organizaciones y exigirlas a nuestros partners y colaboradores
  • reclamar software y servicios más seguros, aunque tengamos que asociarnos para ello  reclamando más garantías y utilizando, por ejemplo, modelos de contratos que garanticen nuestros derechos, como los recientemente publicados por Fundetec
  • denunciar los incidentes a las autoridades para que con los datos de todos puedan detectar con rapidez el origen y poner cuanto antes freno a los ataques

Así se van cimentando las bases para generar a nuestro alrededor, y de forma global, un ecosistema seguro, un factor clave para atraer negocio.