Seguro que no estoy escribiendo nada nuevo si utilizo estas líneas para hablar sobre la cantidad de amenazas nuevas que se crean diariamente. Sí, el malware no deja de crecer, no solo en número, sino también en tipología y lo que es más preocupante, en complejidad, ya que este hecho hace que las medidas de seguridad implantadas sean menos eficaces a la hora de detectar, contener o responder ante ellas.
El hecho de que los cibercriminales generen tanto dinero con su actividad, superando al que se genera con la venta de armas o drogas, es un factor clave para que los “actores” del mundo del cibercrimen inviertan más tiempo, esfuerzo y dinero en el desarrollo de nuevos códigos maliciosos y herramientas para llevar a cabo su “negocio”, y digo negocio, porque el cibercrimen se ha profesionalizado hasta tal punto que estos grupos cuentan con estructuras propias de organización que ya quisieran muchas PYME.
Estructuras que pueden contar perfectamente con departamentos financieros, desarrollo, diseño gráfico o de recursos humanos. Sí, amigo lector, has leído bien. Lo último es que estos grupos utilizan las redes sociales para publicar sus anuncios y ofertas de “empleo” para reclutar a personas que quieren ganar dinero con el cibercrimen.
El grupo LAPSUS$, que, entre otras organizaciones, consiguió hackear al Ministerio de Salud de Brasil, Vodafone en Portugal, Samsung y Nvidia, utilizaban cuentas en redes sociales para reclutar “personal”. En realidad, buscaban a “insiders” de grandes corporaciones para que, a cambio de 20.000 $ a la semana, les facilitara una conexión a través de la VPN de la corporación.
Esa profesionalización del cibercrimen lleva incluso a los grupos de cibercriminales a marcar una estrategia de su “negocio”, porque para ellos es un negocio, un gran negocio. Uno de los aspectos claves de esa estrategia es no gastarse todo el dinero conseguido en coches de alta gama o casas de lujo. Invierten un porcentaje de los beneficios mejorar la estructura organizativa, tener mejor pagados a sus “empleados”, desarrollar las mejores herramientas y malware, o si es necesario, adquirirlas, porque el retorno de inversión lo tienen garantizado.
Ante esta situación creo que a todos nos ha quedado claro que los mecanismos habituales de seguridad, como los antivirus o firewalls, por sí solos, no son suficientes. Necesitamos medidas de seguridad complementarias que nos permitan adoptar una defensa eficaz ante estas nuevas amenazas. Y no hablo solo de medidas técnicas, también son necesarias las medidas organizativas, para poder dar respuesta a los riesgos que ciertas amenazas pueden suponer y a las que no se le puede hacer frente con una solución técnica.
A nivel técnico, afortunadamente, en la industria de la ciberseguridad tenemos una gran cantidad de fabricantes con soluciones estupendas que nos pueden ayudar a hacer frente a estas amenazas. Además, no solo desde el punto de vista de la protección, también de la prevención, identificación, respuesta o recuperación. Es un error bastante habitual, el de poner foco solo en la protección, cuando quizás deberíamos de pensar en hacer un movimiento a la izquierda, en la cadena del ataque, anticiparnos y prevenir. No significa que podamos prescindir de las medidas de protección, pero quizás ganemos en rendimiento y eficacia si aplicamos unas medidas de prevención correctas.
Aquí es donde la gestión de riesgos, y concretamente la evaluación de riesgos juega un papel crucial en esta batalla continua que tenemos con las amenazas. Disponemos de un importante abanico de soluciones de seguridad, de medidas técnicas, pero ¿por dónde empezamos?
Por desgracia, el presupuesto de ciberseguridad en las organizaciones es limitado, y no se puede invertir en todas las soluciones nuevas que nos ofrece el mercado. Hay que priorizar, seguro que todos los proyectos de ciberseguridad que se han puesto sobre la mesa del CISO son súper interesantes, pero hay que elegir aquellos que nos ayuden a reducir el riesgo de la organización, de una manera eficaz y óptima, no solo en el grado de reducción de la probabilidad o impacto en caso de materialización de la amenaza, sino también en la relación coste / beneficio.
¿Qué coste tiene la implementación de la medida de seguridad? ¿En qué grado reduce la probabilidad de que una amenaza se materialice? ¿Y la reducción del impacto?
De ahí que todo gire entorno a la gestión de riesgos, ya que una buena evaluación de riesgos permitirá identificar los riesgos de la organización, ordenados por criticidad y ayudará a diseñar un plan de tratamiento eficaz para reducir el riesgo de la organización.
Y recordad, no todo son medidas técnicas, hay medidas organizativas, menos costosas pero muy eficaces. Seguro que hablaremos de ellas en próximos artículos.
¡Nos leemos!
Miguel Ángel es consultor de seguridad de la información, con certificación CISA de ISACA y 15 años de experiencia en el mundo de la ciberseguridad. Experiencia en auditorías de seguridad e implantación de SGSI (ISO/IEC 27001). Desempeña la labor de Director de Ciberseguridad, liderando la estrategia de seguridad para la gestión de riesgos IT. Es Co-Líder del Grupo de Expertos de Seguridad en la Asociación itSMF España. Profesor en varios másteres de ciberseguridad (UCLM, Universidad de Sevilla y Universidad de Córdoba). Es autor del blog hacking-etico.com, fundador de Hack&Beers y ponente en congresos de ciberseguridad de ámbito nacional.
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.