¿Cultura de Seguridad Tecnológica y de la Información?
En el mundo actual, la información se ha convertido en el principal recurso en empresas y organizaciones de diversa naturaleza. En este entendido, gran parte del éxito institucional o empresarial está determinado por una adecuada gestión de la seguridad de la información, garantizando su confidencialidad, disponibilidad e integridad.
Cuando hablamos de confidencialidad nos referimos a la propiedad que tiene la información de mantenerse accesible solamente a los usuarios o personal autorizado, la integridad se refiere a la propiedad que tiene la información de mantenerse libre de modificaciones no autorizadas, y finalmente la disponibilidad es la propiedad de mantenerse accesible cuando ésta se requiera y solo por la entidad autorizada.
El concepto de seguridad de la información es amplio, puesto que abarca la seguridad de la información tangible o intangible. Un concepto relacionado al de seguridad de la información es el de “Seguridad Informática”. A menudo existe la tendencia de manejar los conceptos de “Seguridad de la Información” y el de “Seguridad Informática” de manera similar, sin embargo, no son lo mismo, puesto que el concepto de “Seguridad Informática” está referido al de garantizar y proteger la disponibilidad, integridad y confidencialidad de recursos, servicios y activos informáticos.
“Ciberseguridad”, es una generalización de los dos anteriores, resumiéndose en prevenir, detectar y responder acciones que pudieran comprometer la confidencialidad, disponibilidad e integridad de personas, procesos y tecnología. “Ciberseguridad” centra sus esfuerzos en la protección de tecnología, procesos, personas en empresas, organizaciones e instituciones de diversa naturaleza que van desde privadas, públicas, estatales, gubernamentales, de inteligencia, de educación, ejército, centros y departamentos de investigación, universidades, fábricas, industrias, empresas de procesado y provisión de recursos energéticos, de potabilización de aguas, infraestructuras críticas, etc.
Desde nuestra perspectiva, el “Desarrollo Tecnológico” y la “Gestión de la información” en una sociedad debe ir acompañado del desarrollo de una “Cultura Tecnológica y de la Información”, entendiéndose como cultura un conjunto de conocimientos e ideas generales de noción sobre una temática, obtenidos mediante la lectura, el estudio y el trabajo. La Tecnología involucra una serie de concepciones y dimensiones de análisis para una sociedad, pero en la temática de análisis haremos énfasis en el aspecto de la seguridad.
Por naturaleza la Tecnología es funcional y se ha desarrollado para facilitar el trabajo y actividades del día a día, mejorar la comunicación entre personas, automatizar la ejecución de tareas mecánicas, resolver problemas a través del procesamiento y cálculo informático de avanzada, etc. Este aspecto funcional de la tecnología se contrapone con el concepto de seguridad. Mientras más funcional y fácil de utilizar es la tecnología, es menos segura, de manera similar, mientras más segura es la tecnología se limita su aspecto funcional y facilidad de uso.
Cuando hablamos de seguridad, debemos estar conscientes de que no existe un sistema cien por ciento seguro. Los sistemas siempre serán susceptibles a ataques de diversa índole, que tarde o temprano terminarán impactando en su funcionalidad. La tarea de los especialistas en seguridad es disminuir los riesgos y el impacto que podrían ocasionar estos incidentes.
Volviendo a la concepción de “Cultura Tecnológica y de la Información” deberíamos también en base al razonamiento del párrafo anterior, desarrollar como sociedad una “Cultura de Seguridad Tecnológica y de la Información”.
En nuestro país, actualmente contamos con tecnología moderna que se ha difundido en diferentes sectores para cubrir las necesidades de los ciudadanos en el ámbito de las telecomunicaciones, la automatización, robótica y procesamiento de datos, entre otros. Hubo un gran avance para la sociedad al poder acceder a toda esta tecnología, pero hemos descuidado acompañar esta evolución de una “Cultura de Seguridad Tecnológica y de la Información”. La falta de ésta, acompañada a la poca existencia en nuestro medio de profesionales especializados en el área de la Ciberseguridad, falta de programas de formación de especialidad en el área, poca regulación y normativa escasa sobre Ciberseguridad a nivel país, generan que día a día, los eventos e incidentes de Ciberseguridad ocurran con bastante frecuencia en nuestro medio.
En nuestro entorno local y a nivel nacional, en los últimos años se vienen suscitando diversos eventos e incidentes de Ciberseguridad que impactan de manera negativa en empresas y personas, generando pérdidas económicas, daños a la privacidad, reputación, imagen y continuidad del negocio.
Como profesionales del área de la Ciberseguridad hemos atendido, asesorado y dirigido el tratamiento, contención, mitigación y control de eventos e incidentes de Ciberseguridad de diversa naturaleza en nuestro medio local y nacional, siendo de alarmante preocupación las estadísticas generales obtenidas a lo largo de nuestra experiencia y trabajo profesional.
Entre la diversidad de Incidentes relacionados a la seguridad tecnología y de la información son frecuentes en nuestro medio fuga y robo de información clave y estratégica de las empresas, modificación no autorizada de información que se considera sensible, acceso no autorizado a sistemas, acceso no autorizado a redes WIFI, suplantación de identidad, incidentes con el correo electrónico y redes sociales de personas y empresas (secuestro de cuentas, acceso sin autorización, extorsión, etc.), Pérdida de información sensible, distorsión de sitios web de acceso público (Defacement), Robo de cuentas y contraseñas de acceso a diversos servicios (Phishing) y Ataques de denegación de servicio entre los más recurrentes.
En su gran mayoría, salvo aquellos que pueden evidenciarse públicamente como los ataques que desfiguran los sitios web, no son expuestos públicamente (por razones de protección de la imagen y reputación) pero que en su mayoría generan fuerte impacto económico en los negocios, discontinuidad operativa y pérdida competitiva frente a empresas, organizaciones y clientes.
Quienes cometen los ataques y provocan los incidentes son actores diversos, pudiendo recaer en hackers no éticos, estudiantes y aficionados que rompen la seguridad informática, grupos organizados de activismo cibernético (hacktivismo), ciberdelincuentes organizados, personal y empleados descontentos de la empresa entre otros.
Los motivos que llevan a los atacantes a cometer estos incidentes de seguridad son diversos, van desde el simple entretenimiento y diversión, fama, ventaja competitiva, poder y dinero. Muchas de las empresas y organizaciones no saben que han sido víctimas de incidentes de Ciberseguridad y solo perciben algunos efectos como ser fallos en sus sistemas, degradación de sus servicios, información estratégica replicada en otras empresas, pérdida de información, etc.
En la mayoría de los casos analizados, los patrones de ataques aprovecharon fallos y vulnerabilidades comunes en los sistemas, configuraciones deficientes y anomalías en la tecnología, descuidos y desconocimiento técnico de los administradores de los sistemas, falta de formación especializada y, lo ya mencionado durante el presente artículo, “Falta de Cultura Tecnológica y de Seguridad de la Información”.
Las amenazas a las que nos enfrentamos en el mundo cibernético son diversas, latentes y pueden venir desde cualquier parte del mundo considerando que hoy en día la tecnología que utilizamos está casada e integrada a través de internet, siendo nosotros y nuestros sistemas vecinos de todo el mundo en el mundo cibernético.
Como se menciona, la problemática a la que nos enfrentamos en materia de Ciberseguridad es bastante amplia y debe estar acompañada de cubrir algunas necesidades importantes si es que se desea minimizar la ocurrencia e impacto que pueden causarnos varios de los incidentes de Ciberseguridad, fomentando de esta manera el desarrollo de una Cultura de Seguridad Tecnológica y de la Información.
Para ello, básicamente se podrían realizar algunas acciones como ser:
- Desarrollo y ejecución de talleres de concientización sobre el uso adecuado de la tecnología y los riesgos de seguridad a los que se expone.
- Desarrollar y difundir programas de formación técnica de Especialidad de profesionales del área de la Ciberseguridad y de usuarios de la tecnología.
- Promover el Establecimiento normativo, reglamentario y legal en el área de Seguridad informática y de la información en nuestro país.
- Fomentar y promover el uso responsable de la tecnología y los aspectos que involucra en distintos contextos que involucren a la familia, escuelas, colegios, medios de comunicación, universidades y sociedad en su conjunto.
- Establecimiento de un Modelo de “Desarrollo Tecnológico y de seguridad de la Información” que integre las instituciones de formación técnica y académica, instancias de gobierno local, departamental y nacional, empresa pública, empresa privada y medios de comunicación entre los principales actores.
Como aporte profesional y como parte del Grupo Hexagone, en pro de colaborar con el Desarrollo de una Cultura Seguridad Tecnológica y de la Información, brindamos consultorías y asesorías de especialidad en el área de la Ciberseguridad a empresas de diversa naturaleza; así mismo ofrecemos programas de capacitación, entrenamiento y formación de especialidad en el área.
En esta Oportunidad lanzamos el curso de Especialidad en “Sistemas de Gestión de Seguridad de la Información” basado en los estándares ISO27001 e ISO 27002 que tiene como objetivo brindar y desarrollar los conocimientos y competencias necesarias para comprender desde su concepción, diseño, implementación y mejoramiento continuo de Sistemas de Gestión de Seguridad de la Información, permitiendo su aplicación práctica acorde a nuestro contexto, recursos, características de negocio y entorno tecnológico.
Redactado por:
Ing. Mauricio Canseco Torres
Co-C.E.O. Hexagone