Follow us on:
Perspectives

Articles tagged with: ciberriesgo

Si puerta para qué abierta; y si abierta para qué puerta

Tuesday, 25 April 2017 Maria Jose de la Calle Posted in iTTi Views

La seguridad en general es un concepto que atañe a todas personas en mayor o menor grado. 

Todos los años cuando se acerca el verano aparecen las campañas contra el fuego recomendando ciertas normas para que no se produzcan incendios accidentales cuyas consecuencias pueden ir desde pérdidas medioambientales hasta pérdidas humanas, sin ir más lejos las de los propios bomberos[i]. 

 

Otro ejemplo son las campañas de seguridad vial de la Dirección General de Tráfico, o las medidas de seguridad que en cualquier vuelo se recuerda a todos los pasajeros del avión sin excepción -no preguntan a los pasajeros si las conocen o si ya han viajado en un avión con anterioridad-.

 

De igual modo, la seguridad de la información digitalizada, y de los dispositivos en los que reside y por donde circula es un asunto que en mayor o menor medida nos atañe a todos, tanto en actividades profesionales como privadas.

 

El que hoy en día la información fundamentalmente resida en dispositivos englobados en el término "Tecnologías de la Información" o TI, no significa que los medios para mantenerla segura sean meramente técnicos y que, por tanto, su único responsable sea también el técnico. 

 

No hay duda de que tecnologías más maduras, como el automóvil o la electricidad en el hogar, han evolucionado para ser cada vez más seguras en el plano técnico, pero por muy seguras que consideremos la instalaciones eléctricas que nos rodean a nadie se le ocurre meter los dedos en un enchufe o sumergir en agua un dispositivo conectado a la red eléctrica. Las normas básicas de seguridad de la electricidad las tenemos muy presentes. 

 

El rastro digital 

 

El uso masivo de las TI se ha producido de manera muy rápida, fundamentalmente con la llegada, primero de internet en los años 90[ii], y posteriormente, en la primera década del s. XXI con los dispositivos móviles, principalmente el smartphone[iii].

 

La aceptación de las nuevas tecnologías ha sido tan rápida que prácticamente no ha dado tiempo para la maduración de procedimientos para un uso adecuado. Cuando han empezado a saltar las alarmas los daños también se habían generalizado. 

 

Términos más bien técnicos como malware, virus -no biológicos, sino virtuales-, ataques de denegación de servicio (DDoS), phising, ransomware, etc., etc., se han hecho tristemente famosos, figurando en las primeras páginas de periódicos.

 

El uso de cualquier tecnología comporta unos riesgos de los que hay que ser conscientes y hay que saber cómo tratarlos. 

 

Desde el descubrimiento del fuego hace más de 750.000 años, hasta el uso de máquinas-herramientas o los medios de transporte, ya bastantes más modernos,  la humanidad paga un alto precio por el control y uso de la tecnología, no sólo en medios materiales sino también en vidas humanas o en desastres en el medio ambiente.   

 

Siguen produciéndose incendios con pérdidas materiales y humanas, y desastres medio-ambientales, como los incendios que Chile viene sufriendo desde julio de 2016[iv]. Siguen produciéndose accidentes en la utilización de máquinas-herramientas, como el que tuvo lugar el pasado diciembre en la localidad de Alhedín (Granada)[v] en el que murió un trabajador aplastado por un contenedor, al parecer al fallar el brazo basculante del camión que lo sostenía. 

 

En cuanto a los medios de transporte, todos los días hay accidentes de tráfico [vi] y no son infrecuentes los accidentes de trenes o los de aviones. 

 

Así, con las tecnologías de la información no podía ser menos. Pero hay una diferencia, por lo menos a primera vista. Hasta la llegada de las TI, lo que se quería "asegurar" eran entes con realidad física -bienes materiales, personas o incluso el medio ambiente-; con la llegada, de las TI, lo que se quiere asegurar -entre otras cosas- es la información digitalizada, la cual es intangible. Con el auge y abaratamiento de las comunicaciones, y su ubiquidad, hay una percepción de que la información es un ente etéreo. 

 

Aunque quizás no tanto ...  

 

Se habla de Internet o de la "nube", como si fueran conceptos incorpóreos, cuando la realidad es que están soportados en cables, conectores, dispositivos físicos como routers, switches, ordenadores y mucho silicio, objetos físicos en los que el uso de las TI deja un rastro digital por diversos motivos posibles: 

 

- la propia definición y construcción de dispositivos, sistemas operativos, protocolos de comunicaciones, aplicaciones, etc. que para hacer más rápido, efectivo y eficiente su uso guardan e intercambian información con otros dispositivos; 

- es el propio usuario el que almacena información, como contactos o documentos; o coloca en la red información para que otros la conozcan, información que permanece en servidores de empresas sin que se sea muy consciente de ello [vii]. 

 

Dicho rastro constituye un riesgo para la información, en primer lugar, almacenada en dispositivos personales, susceptibles de perderse, olvidarse o que los roben. En segundo lugar, el almacenamiento que hacen empresas dueñas de las aplicaciones que se utilizan en los dispositivos, también constituye un riesgo, no sólo por el uso que la empresa propietaria de los servidores pueda hacer de dicha información sin el conocimiento ni mucho menos el permiso de su propietario, sino porque otros se la puedan robar. Casos hay muchos, desde "Ashley Madison"[viii], las cuentas de correo de Yahoo [ix], o las cuentas de Dropbox [x], entre otros. 

 

Además, la información no sólo está en reposo en las máquinas que la albergan, también se mueve en un continuo viaje de dispositivo en dispositivo por redes de comunicaciones, o por el aire entre dispositivos y antenas, siendo relativamente fácil su interceptación. 

 

Consecuentemente con todo ello, sería necesario definir y tener en cuenta una serie de normas a cumplir por todos, tanto en la actividad de la vida privada, como en la actividad laboral, teniendo en cuenta que hay dispositivos que se utilizan indistintamente tanto en una como en la otra.  

 

Unas normas básicas, como "cuidado con las redes abiertas", "tener abiertas las comunicaciones sólo cuando sea necesario -si no se necesita wifi o bluetooth no tenerlas activadas-", "la información sensible protegerla adecuadamente -cifrarla- y si hay que comunicarla, utilizar canales seguros". "Información relacionada con la intimidad no "colgarla" en la red"; "no "pinchar" en cualesquiera enlace que llegue en un correo", etc.. 

 

Una medida de seguridad de una casa, sería colocar una puerta. El tipo de puerta -blindada o no, y sus distintos tipos- depende de lo que el propietario quiera gastarse en ella, y una vez elegida, su calidad y su colocación es un asunto técnico, no hay duda. Una vez colocada, el dejarla abierta cuando se sale o entra, es una elección de las personas que la utilizan, y, también es una elección seguir un procedimiento como "cuando entres o salgas, cierra la puerta".  

 

De poco serviría una puerta si se dejara abierta, o como reza el dicho, título de este artículo, "Si puerta, para qué abierta; y si abierta, para qué puerta". 

 

Seguridad en las organizaciones 

 

La seguridad es un sistema que abarca unas normas y procesos; personas que, por una parte, los definan y den a conocer, y, por otra, todas aquellas que en el uso diario de las tecnologías, cumplan con dichos procesos y normas; unas medidas técnicas que soporten, detecten y corrijan las debilidades -técnicas-; y un sistema de gestión que englobe todo: personas, procesos y tecnología. 

 

Tiene como fin mitigar el riesgo de ocurrencia de sucesos no deseados, y cumplir con unos objetivos de seguridad basados en 'el riesgo asumible' o 'la propensión al riesgo'. Por tanto, el sistema de seguridad depende fuertemente de la organización a la cual sirva -proteja-, y también del entorno en el cual dicha organización se desarrolle. 

 

Los perjuicios que se deriven de un daño sobre dicha información son difíciles de estimar, sobre todo monetariamente [xi], no tienen porqué ser inmediatos ni de detección inmediata [xii], y se pueden extender a un periodo de tiempo [xiii]. 

 

Si roban información digitalizada sin más puede que sólo se detecte cuando el beneficiario del robo la utilice -por ejemplo, espionaje industrial o robo de identidad-, o en el caso de las APT, cuando se hagan efectivas. 

 

Sin embargo, los daños que puede producir cualquier brecha de seguridad pueden costarle a una organización, en primer lugar, pérdidas monetarias por: i) uso por terceros no autorizados de información confidencial; ii) no disponibilidad de parte o todas las funciones de una organización; iii) manipulación no autorizada de información, pudiendo tener como consecuencia una toma de decisiones erróneas; y, en segundo lugar, pudiera suponer un daño en su imagen de marca.  

 

Dado que las organizaciones de hoy en día dependen fuertemente de los sistemas de información por su alto grado de digitalización, los riesgos derivados del uso de las TI se han convertido en riesgo del negocio, y, por ello deben formar parte de los riesgos corporativos, en la misma línea que los financieros -controlados por procesos soportados por las TI- o los de cumplimiento legal. Aquellas organizaciones que de manera explícita así lo reconocen, son las que utilizan las TI como motor del negocio.  

 

Los riesgos tecnológicos deben conducir a definir una estrategia de ciberseguridad como parte integral de la estrategia corporativa. Estrategia que definirá una política de seguridad y unas normas que deberán conocer y aplicar todos los empleados de la organización. Los miembros del Consejo de Administración y el Comité directivo son quienes las deben definir y controlar su cumplimiento. Dichas normas también deben extenderse a clientes, proveedores y terceros en general que se relacionan con la organización. 

 

De nada sirve que, por ejemplo, técnicamente no se pueda enviar información sensible de la organización por medio del correo electrónico de dicha organización, si ese documento se copia a un dispositivo desde el cual se utiliza otro correo. De nada sirve un control de acceso físico a servidores, si se deja la puerta abierta para no molestarse en usar la tarjeta de acceso. Las medidas técnicas deben ir acompañadas de procedimientos y normas de uso. 

 

Más arriba afirmaba que en el caso de las TI, lo que se quiere "asegurar" es un bien intangible -la información-, en contraposición a otras tecnologías, que son bienes tangibles. Si bien hasta hace poco era así, con la "Internet de las Cosas" (IoT), la repercusión de una modificación de datos o de software en cualquiera de estos objetos conectados puede tener una repercusión en el mundo físico. Los fallos de seguridad pueden ser muy tangibles. 

 

Una parte de la información la constituye el software, o código que maneja los objetos virtuales que se mueven por los dispositivos como ordenadores, redes de comunicación, dispositivos móviles, etc..  

 

El software, además, ha pasado a los objetos físicos, para, por una parte recoger datos, y por otro poder controlar acciones realizadas por ellos, caso de la IoT o de la robótica. 

 

Esto cobra una especial relevancia en los sistemas de control industriales, tanto para los sistemas de fabricación como  los sistemas de control de subestaciones eléctricas, distribución y control de agua o gas, etc.  

 

En el documento "Beneficios de la ciberseguridad para las empresas industriales", recientemente publicado [xiv], se afirma "En ningún otro sector como en el industrial convergen los activos lógicos y físicos tan nítidamente, dando lugar a lo “ciberfísico”, que se constituye en la más amplia superficie de riesgo para las personas, el medioambiente,...", y aquí los riesgos ligados a las TI se han colocado al mismo nivel de riesgos físicos, como otras tecnologías. 

 

De pesca

 

La importancia de la concienciación en los riesgos del uso de las TI y de seguir unos procedimientos y normas de uso adecuados, queda de manifiesto singularmente por el tipo de engaño por Internet, conocido como phising, palabra que suena igual que "fishing" palabra inglesa que significa pescar. 

 

Es una forma de conseguir información tanto privada como de organizaciones -nombres de usuarios, contraseñas, datos bancarios, etc.- a través de correos electrónicos o mensajes en redes sociales,  con enlaces a páginas falsas; o de introducir cualquier tipo de malware -por ejemplo, una APT- al pinchar en un enlace.  

 

El "spear phising" (pesca con arpón) es más selectivo: va dirigido a una persona o departamento concreto. Es especialmente peligroso porque va precedido de un estudio previo sobre dicha persona u organización, lo que se llama "ingeniería social", para que el mensaje parezca de una persona o entidad fiable, y el "cebo" sea creíble. 

 

Al parecer, como otros tantos fraudes utilizando TI, en este 2017 el phising va a seguir con fuerza. El artículo "3 ways that phishing will evolve in 2017"[xv], dice que en 2016 se produjo un incremento de 150% de esta forma de ataque a través de las redes sociales. Y, al igual que otros ataques, como ransomware o DDoS, también se vende como servicio. 

 

El riesgo es doble ya que además de afectar a los datos de la vida privada, puede afectar a la vida laboral, como le ha pasado a Mike Pence, gobernador del estado de Indiana (EEUU) a quién "hackearon" su correo personal de AOL, que estaba utilizando para asuntos del estado. ¿Por qué? Porque las cortapisas que impone el correo del trabajo no las tiene el correo personal. 

 

Entre los muchos artículos hablando sobre esto, el de WIRED[xvi] tiene un título muy significativo "La edad de oro del pirateo de correos electrónicos no ha hecho más que empezar". 

 

* * *

 

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", abril, 2017, nº 321, pg.76, Ciberseguridad – "Si puerta para qué abierta; y si abierta para qué puerta" – María José de la Calle.

 

----------------------------------------

[i] ABC (20120804)  "67 muertos en la extinción de incendios desde el año 2000". url [a 20170313] http://www.abc.es/20120804/sociedad/rc-muertos-extincion-incendios-desde-201208042243.html   

[ii] Véase la evolución del uso de internet en los hogares de los países de la UE en el informe de EUROSTAT (20161220) "Estadísticas sobre la sociedad de la información - Hogares y particulares". url [a 20170313] http://ec.europa.eu/eurostat/statistics-explained/index.php/Information_society_statistics_-_households_and_individuals/es  

[iii] Hablar de tecnología de la información hace prácticamente inevitable el uso de ciertos términos y vocablos ingleses. Por no hacer mucho más largo el artículo en sí interrumpiendo su ritmo y dificultando su lectura, no se facilita una explicación o traducción de los mismos, remitiendo al lector a una consulta en Internet de aquellos por los que muestre un especial interés. 

[iv] "El País" (20170131) "Chile recibe ayuda internacional para combatir sus peores incendios". url [a 20170313]  http://internacional.elpais.com/internacional/2017/01/30/actualidad/1485746887_102479.html  

[v] "El País" (20161224) "Un trabajador fallece aplastado por un contenedor en Alhendín". url [a 20170313]   http://ccaa.elpais.com/ccaa/2016/12/24/andalucia/1482601762_483785.html

[vi] En España en el año 2016, según la Dirección General de Tráfico, murieron 1.160 personas por esta causa. url [a 20170313] http://revista.dgt.es/es/noticias/nacional/2017/01ENERO/0103balance-accidentes-2016.shtml#.WMBhJxhDmHo   

 [vii] Véase la política de privacidad de Google con respecto a los datos que almacena cada vez que se utiliza,  y como se utilizan, para que el usuario en ciertos casos pueda decidir sobre dicho uso. url [a 20170313] https://www.google.es/intl/es/policies/privacy/?fg=1  

[viii] Blog "Un informático en el lado del mal" (20150814)  "Ashley Madison Hack: Suicidios, Mentiras y Negocios Turbios". url [a 20170313] http://www.elladodelmal.com/2015/08/ashley-madison-hack-suicidios-mentiras.html  

[ix] "El Confidencial" (20161214) " Yahoo reconoce un segundo 'hackeo' masivo: 1.000 millones de cuentas afectadas". url [a 20170313] http://www.elconfidencial.com/tecnologia/2016-12-14/yahoo-hackeo-internet-seguridad-informatica_1304213/  

[x] "Motherboard" (20160831) "Hackers Stole Account Details for Over 60 Million Dropbox Users". url [a 20170313] https://motherboard.vice.com/en_us/article/hackers-stole-over-60-million-dropbox-accounts  

[xi] Aunque el Instituto Ponemon, en el informe "2016 Ponemon Cost of Data Breach Study" nos da algunas pistas: "This year’s study found the average consolidated total cost of a data breach grew from $3.8 million to $4 million. The study also reports that the average cost incurred for each lost or stolen record containing sensitive and confidential information increased from $154 to $158." Instituto Ponemon. url [a 20170313]  http://www-03.ibm.com/security/data-breach/  

[xii] "SecurityWeek"  (20160225)  "Breach Detection Time Improves, Destructive Attacks Rise: FireEye" url [a 20170313] http://www.securityweek.com/breach-detection-time-improves-destructive-attacks-rise-fireeye  

[xiii] Por ejemplo, un software espía, o un bot perteneciendo a una botnet, que esté realizando un atarea ordenada por un tercero; o una APT -Advanced Persistent Threat- malware no detectable, que permanece sin hacer nada hasta que se desea que se ejecute bien como puerta de entrada al sistema para controlar la máquina que lo alberga. 

[xiv] En dicho documento CCI (www.CCI-es.org/mision) e iTTi (www.ittrendsinstitute.org/about-itti)  han unido sus fuerzas para llevar a cabo un ejercicio de análisis, cuyo objetivo ha sido ofrecer una visión positiva de la ciberseguridad para las empresas industriales. url [a 20170313] http://www.ittrendsinstitute.org/news/item/itti-along-with-cci-releases-benefits-of-cybersecurity-for-industrial-enterprises-spanish-ed  

[xv] "Foration Blog" (20161228) "3 ways that phishing will evolve in 2017". url [a 20170313] https://www.foration.com/blog/3-ways-phishing-will-evolve-2017

[xvi] "Wired" (20170303) "The Golden Age of Email Hacks Is Only Getting Started" url [a 20170313]  https://www.wired.com/2017/03/mike-pence-aol-email-hack/?mbid=nl_3517_p1&CNDID=  

 

  

Alcanzar la cumbre

Wednesday, 09 December 2015 iTTi, Innovation & Technology Trends Institute Posted in Corporate Governance of IT

Con seguridad, no hay mayor anhelo para un alpinista que alcanzar la cumbre; mejor aún, las cumbres. Prueba de ello es el atractivo que han despertado, y siguen despertando, los catorce “ochomiles” del Planeta, a cuyas cimas sólo unos pocos privilegiados han podido llegar. Desde la atalaya que nos ofrece nuestra posición de mero espectador (la cota es mucho menor, en este caso), apenas alcanzamos a comprender el esfuerzo de semejantes aventuras. No obstante, sí reconocemos la satisfacción que las mismas han debido provocar en sus protagonistas, por cuanto de logro personal deben haber supuesto. Es la misma admiración con la que observamos otro tipo de cumbres...

La primera de ellas tuvo lugar el 11 de junio de 2014 [i], en el escenario ofrecido por el hotel “Sofitel Chicago Water Tower”. Ese día, la estadounidense Asociación Nacional de Consejeros de Empresa (National Association of Corporate Directors, NACD), a la que hemos alabado reiteradamente desde esta tribuna, organizaba su primera “Cumbre sobre Ciberriesgo” (Cyber Risk Summit). 

Sólo un día antes, el 10 de junio, la Bolsa de Nueva York había sido testigo de la intervención de D. Luis A. Aguilar, Comisario de la SEC (Security and Exchange Commission), el organismo regulador de los mercados en EEUU. Probablemente, en aquellos momentos, el propio Sr. Aguilar distaba mucho de adivinar la trascendencia que iba a alcanzar su conferencia “Consejos de Administración, Gobierno Corporativo y Ciberriesgos: Agudizar el Foco”[ii], en la medida en que iba a ser ampliamente citada con posterioridad. Sirva como ejemplo su “Los consejos que optan por ignorar, o minimizar, la importancia de su responsabilidad sobre la supervisión de la ciberseguridad, lo hacen por su cuenta y riesgo”, frase que ha sido empleada como argumento por numerosos autores y conferenciantes en ocasiones posteriores [iii], como lo hacemos nosotros ahora. 

La NACD imprimió a aquella primera cumbre (volvería a hacerlo después) un carácter educativo, al establecer como objetivo su intención de dotar a los consejeros de las empresas estadounidenses de las habilidades necesarias para aplicar unos principios orientados a prevenir, detectar, responder a, y mitigar los ciberriesgos. 

La premisa de partida fue reconocer la existencia de un nuevo mundo (acaso “Un Mundo Feliz”), como ya señalara la propia NACD en su programa “La Intersección entre Tecnología, Estrategia y Riesgo”[iv] lanzado en mayo de ese mismo año, que ponía sobre la mesa una serie de retos para el gobierno corporativo y la actividad supervisora de los consejos de administración.

La buena acogida de aquella primera iniciativa llevó a la NACD a repetir la experiencia en 2015. No obstante, esta vez no sería en solitario: la Red Global de Institutos de Consejeros (Global Network of Director Institutes, GNDI) la acompañaría como co-organizadora del evento; aportando, además, el nuevo adjetivo a la renombrada “Cibercumbre Global 2015”[v]. 

Con el propósito de desmitificar la ciberseguridad entre la comunidad de consejeros, los tres días del encuentro (15 a 17 de abril) dieron para mantener jugosos debates sobre el actual panorama de amenazas y las implicaciones para la función supervisora de los consejos de administración.

En el momento en que se publica esta “Referencia Autorizada” la NACD está anunciando la tercera entrega de la serie: su “Cibercumbre 2016”[vi], que tendrá lugar el próximo 15 de junio. Bajo el acentuado escenario actual de amenazas, la nueva edición centrará sus mensajes en la promoción de la ciberresiliencia y en la supervisión, sin complejos por parte de los consejeros, de los ciberriesgos que acechan a sus organizaciones. Una llamativa novedad que llegará, también, con la próxima edición será la expedición de los primeros “Cibercertificados de la NACD”, con los que ésta premiará la asistencia, el compromiso y la mejora en el desarrollo profesional de los consejeros que asistan a la cita. 

Permítannos, para finalizar, reafirmarnos en nuestra recurrente idea de que nada “encumbra” más a la NACD, entre las entidades de su género, que su permanente apuesta por la promoción de las disciplinas “ciber” | “digitales” entre su comunidad de miembros; y por elevarlas a la categoría de temas para la agenda del consejo de administración. 

Y ahora sincérese: como consejero, la organización que lo representa a Ud., ¿se ha planteado, siquiera, encarar la cumbre o sigue alejada de las más crudas y cotidianas realidades corporativas de hoy? 

* * *

Este artículo fué publicado originalmente por la revista NOVÁTICA, nº 233, julio-septiembre 2015. Referencia: Ref. Autoriz. NOVÁTICA 233, pg. 74 – "Alcanzar la cumbre" – Miguel García-Menéndez, Manuel Palao.  

--------------------------------------

[i] NACD. Programa del “Cyber Risk Summit 2014”. 11 de junio de 2014.

[ii] Luis A. Aguilar. Conferencia “Boards of Directors, Corporate Governance and Cyber-Risks: Sharpening the Focus”. Bolsa de Nueva York, 10 de junio de 2014.  url: http://www.sec.gov/News/Speech/Detail/Speech/1370542057946. Último acceso: 8-11-2015.

[iii] Una búsqueda en Google de la cadena “Boards that choose to ignore, or minimise the importance of cybersecurity oversight responsibility, do so at their own peril” (sin comillas) arroja más de doscientas mil referencias. 

[iv] NACD. El programa divulgativo “The Intersection of Technology, Strategy and Risk” fue lanzado por la NACD, el 1 de mayo de 2014, como una video-serie de entrevistas a consejeros y expertos en tecnología, innovación y gestión de riesgos tecnológicos. La asociación profesional ISACA y la firma de servicios profesionales KPMG, acompañaron a la NACD en la iniciativa.

[v] GNDI y NACD. Nota de prensa de la “Global Cyber Summit 2015”. 16 de abril de 2015. url: https://www.nacdonline.org/AboutUs/PressRelease.cfm?ItemNumber=13929. Último acceso: 8-11-2015. 

[vi] NACD. Página de inscripción a la “Cyber Summit 2016”. https://www.nacdonline.org/conference/. Último acceso: 8-11-2015.

 

Publícitis

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk