A través del análisis de las temáticas tratadas en la XVII Jornada Internacional de Seguridad de la Información trazamos las líneas generales para comprender qué es la ciberseguridad y cómo implementarla fácilmente.
El Matadero, ese centro de creación multidisciplinar contemporáneo del Ayuntamiento de Madrid, como dice la descripción de su propia web, puede provocar asociaciones o reacciones curiosas en relación con su nombre y con las actividades que se desarrollan en este complejo municipal.
A finales de mayo de este 2015 tuvo lugar en este escenario la decimoséptima Jornada Internacional de Seguridad de la Información, que versó sobre “Los confusos límites entre la privacidad y la seguridad: ideas que mueven el mercado”. El foco se puso en la ciberseguridad, su gestión pública y privada, los problemas y soluciones que se encuentran en la actualidad, las tendencias a corto y medio plazo y qué están haciendo las empresas punteras del sector respecto a medidas de ciberseguridad, prevención, gestión de crisis y continuidad de negocio. En resumidas cuentas, en este encuentro el eje central fue el desarrollo de técnicas, protocolos y herramientas para evitar que las empresas caigan en su “matadero” particular por los ataques cibernéticos y la mala formación en seguridad de la información de sus trabajadores.
La Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, organizó este evento reuniendo a profesionales y expertos, de España e internacionales, siguiendo su cometido de difundir las buenas prácticas en seguridad de la información. Si bien se trata de un tema que llevamos tratando desde hace tiempo, con el intenso desarrollo digital de los últimos años, esta función se está convirtiendo en una rama estratégica y decisiva en el devenir de empresas e instituciones públicas.
Francisco Lázaro, CISO de Renfe, puso el punto de mira en la asociación entre confianza y seguridad, por lo que hoy más que nunca hay que conocer bien el entorno en el que se mueve una organización y apostar por la movilidad y el internet de las cosas (que se trata de un término muy extendido en su expresión en inglés, el internet of things o IoT). Y es que cada vez se acelera más la introducción de nuevos aparatos electrónicos con conexión a internet desde el mercado de consumo al mundo empresarial. Si bien la televisión o el teléfono tardaron bastantes décadas en llegar a casi todos los hogares, los smartphones y las tablets han tardado apenas unos años, menos de los que llevamos de siglo XXI. Esta veloz adopción de herramientas tecnológicas exige flexibilidad y, sobre todo, control. Al implantarlas en los sistemas informáticos empresariales, en la mayoría de ocasiones no se tienen en cuenta las medidas de seguridad necesarias para que el uso de estos dispositivos no suponga un peligro para la información vital o confidencial de la empresa o de instituciones públicas.
Es en este punto donde entra en juego la ciberseguridad, que lucha contra los ciberdelitos así como contra agujeros de seguridad provocados por un mal uso de los dispositivos, como conectar móviles y USB a ordenadores sin filtros de MAC o descargar programas y archivos de dudosa procedencia. Además, según los estudios más recientes, las ciberamenazas van en aumento, produciéndose hoy en día unos 40.000 ataques cibernéticos a diario. Pinchando aquí puedes ver estas amenazas en tiempo real. Además, como se destacó también en esta interesante jornada, cobran mayor importancia (y, por tanto, peligro) los ataques DDoS, que utilizan el protocolo SSDP; junto a la vulnerabilidad de las bases de datos por los ataques a través de comandos SQL, cuando precisamente son éstas las que guardan la información más privada de las empresas.
Soluciones de ciberseguridad a gran escala
Hoy por hoy nadie puede afirmar que está completamente a salvo de ser objeto de ciberdelitos, salvo que no exista ningún dispositivo con conexión a internet, situación cada vez más difícil de encontrar. Los expertos opinamos que la mejor medicina es la educación. Tanto el sector público como el privado deben colaborar para instaurar una cultura global de seguridad de la información para que se adopten medidas de este tipo como hábitos diarios, tanto en las empresas como en los hogares. De esta forma no solo se evita que los ciberdelincuentes campen a sus anchas, sino que se trata de un factor básico para el crecimiento económico y para el desarrollo tecnológico. Esta colaboración público-privada es complicada y “requiere mucho trabajo y compromiso”, como explicó Richard Bach, subdirector de ciberseguridad del Ministerio de Negocios, Innovación y Capacitación Empresarial del Reino Unido, además de “diálogo y participación” para ofrecer más recursos para afrontar la constante y cambiante amenaza.
En España, con la entrada en vigor este 1 de julio de la reforma del Código Penal, que puedes consultar cómo le afecta a tu empresa aquí, parece que el gobierno quiere imponer la adopción de medidas de seguridad informática a costa de elevadas sanciones y yendo en contra no solo de los culpables de las infracciones, sino de los responsables o autorizados de las empresas por no tener una gestión segura de la información. Sin duda se trata de una forma de obligar “por las malas” a acometer unas medidas muy beneficiosas para todos. Solo el tiempo dirá si esta manera de actuar es efectiva.
Los expertos reunidos en la Cineteca del Matadero, con los que coincidimos, abogan por “trabajar para innovar (invirtiendo en I+D), buscando un desarrollo y una estabilidad”. Para ello, iniciativas actuales en el Reino Unido como los cursos de formación gratuitos o subvencionados y la creación de un Servicio Cibernético de Respuestas a Incidentes marcan el camino.
Soluciones de ciberseguridad de aplicación inmediata
Como hemos dicho anteriormente, siempre existe el riesgo de ser hackeados, robados o estafados de alguna manera, pero sí pueden aplicarse medidas preventivas eficaces como:
-
Medir y controlar:
En primer lugar, tener indicadores, métricas, para prevenir el riesgo y detectarlo a tiempo. Además, hay que conocer el origen y la naturaleza de la amenaza para mitigar el posible impacto.
-
Establecer protocolos de actuación:
Ante crisis de seguridad, lo que ayuda a que se activen las comunicaciones y las acciones para combatir el asalto.
-
Adoptar un plan de continuidad del negocio:
Con elementos básicos como un software de copias de seguridad remotas poder restaurar las funciones críticas de una organización dentro de un tiempo predeterminado después de una interrupción no deseada o desastre.
-
Passwords:
Escribir contraseñas complejas (caracteres, combinación de letras, números y símbolos) y únicas para cada cuenta, con autenticación de dos factores (cuando sea posible).
-
Antivirus:
Utilizar en todos los dispositivos este tipo de softwares actuales, actualizados a diario y con firewall personal.
-
Precaución al navegar por la red:
Usar plugins que bloqueen scripts, utilizar navegadores distintos para navegar y para realizar compras e introducir datos privados, no visitar webs “para adultos” ni descargar programas de intercambio de archivos (P2P).
-
Wifi:
No utilizar redes wifi gratuitas o ajenas, pues pueden hackear cualquier dispositivo conectado.
ARTÍCULOS RELACIONADOS:
{ BreezingForms : contacto_norma,1 }