Empresa fuerte con ciberseguridad: mayo 2020

hacker, hackear ... como entender estos términos.

“Hackear: investigar cómo hacer que algo funcione de forma diferente a la que fue diseñada.”

Si revisamos los titulares de los periódicos o vemos los noticieros, casi siempre se refieren a los hackers como los delincuentes que se meten a los computadores y roban la información, también son vistos como personajes oscuros que son capaces de obtener contraseñas de acceso a casi cualquier red social, sistema informático o buzón de correo, o también como los chicos malos que pueden dejar fuera de servicio un sistema informático.

Para aclarar un poco el tema vamos a ayudarnos de las definiciones dadas por algunas entidades conocidas como la RAE:

Hacker: Persona con grandes habilidades en el manejo de computadoras que investiga un sistema informático para avisar de los fallos y desarrollar técnicas de mejora.

Se puede decir que el hacker es una persona con altos conocimientos en tecnología informática, el asunto es cuando esos conocimientos son utilizados para cometer delitos informáticos, en esos momentos es cuando el hacker deja de ser hacker para convertirse en un “delincuente informático”.

Delito informático: es toda aquella acción ilegal que se realiza en el entorno digital, espacio digital o de Internet.

Lamentablemente los delitos informáticos dejan grandes sumas de dinero y ya no es solo un individuo sino organizaciones completas de delincuentes las que se lucran con este negocio. Desde hace algunos años, el secuestro de información (ramsomware) se ha convertido en uno de los negocios que mayores ganancias les está dejando a estas organizaciones, las cuales son difíciles de rastrear o ubicar debido a su anonimato.

En la mayoría de los casos, no es que estos delincuentes sean buenos, también sucede que les facilitamos en trabajo poniendo contraseñas débiles, utilizando software pirata, omitiendo las actualizaciones de los sistemas operativos, evadiendo las revisiones de ciberseguridad entre otras cosas.

Regresando al lado blanco de la definición, existen a nivel mundial certificaciones en hacking que son tomadas por personas con altos conocimientos en tecnología para demostrar sus habilidades y poder ser contratados por organizaciones que desean probar en ambientes controlados, como esta su seguridad.

Empresas grandes como Microsoft y Google entre otras, pagan grandes sumas de dinero a investigadores en seguridad (hackers) para que reporten problemas en sus aplicaciones.

Así que, la próxima vez que vea los noticieros y escuche hablar acerca de hackers, recuerde: si está cometiendo un delito entonces es un delincuente informático, ya no es un hacker.

Nota adicional:

Para Colombia, es importante tener en cuenta que existen leyes que tratan los delitos informáticos, como lo es la Ley 1273 de 2009, la cual agregó el bien jurídico tutelado “De la protección de la información y de los datos”, además, tipifica como delito informático las siguientes conductas:

• Acceso abusivo a un sistema informático.
• Obstaculización ilegítima de sistema informático o red de telecomunicación.
• Interceptación de datos informáticos.
• Daño Informático.
• Uso de software malicioso.
• Violación de datos personales.
• Suplantación de sitios web para capturar datos personales.
• Hurto por medios informáticos y semejantes.
• Transferencia no consentida de activos.

Si desea proponer un tema para el blog o hablar acerca de los temas expuestos en este blog, por favor utilice el formulario de contacto.

La fórmula mágica para el tratamiento del riesgo digital

Si piensa que la ciberseguridad solo es cuestión de comprar un firewall, poner un antivirus y ya está, pues permítame decirle que esta fuera de lugar. La ciberseguridad es un asunto que involucra personas, tecnología y procesos, y que al igual que un buen vino, madura con el tiempo.

Lamento decirle que no hay fórmulas mágicas que le permita tener un proceso seguro en cuestión de minutos, tampoco puedo llamar y ordenar dos frascos de ciberseguridad bien madura, para aplicar de inmediato porque debo cumplir con alguna normatividad.

La fórmula para insertar el componente de ciberseguridad en los procesos empresariales comienza por un primer paso, el cual es: tomar conciencia acerca de la importancia de la ciberseguridad. Revise por un momento las noticias acerca de delitos informáticos o cibercrimen para que tenga información de primera mano acerca de cómo las empresas son atacadas constantemente ya sea para robarles información, secuestrarle información y pedir rescate o simplemente para dejarlas fuera de línea.

Segundo paso, aprovisionar los recursos necesarios para su implantación, esto incluye el concientizar a todo el personal de la empresa. Generalmente los recursos económicos son los más escasos para el tema de ciberseguridad, pero piense por un instante, ¿cuánto dinero le puede costar a la empresa el ser atacado y no tener acceso a su información?, ¿cuánto tiempo podría resistir su empresa sin el componente digital del cual dependen sus procesos?

Finalmente, garantizar su mantenimiento y mejora continua, recuerde que la ciberseguridad madura con el tiempo y se hace más robusta con lecciones aprendidas ya sea de incidentes propios o de terceros. Tenga en cuenta que de aquí en adelante va a tener que hacer reserva de recursos económicos para garantizar su mantenimiento.

Como puede ver, no existen las fórmulas mágicas, en su lugar, están estas recomendaciones, primero, tomar conciencia, segundo, aprovisionar los recursos económicos, y tercero, reservar los recursos necesarios para garantizar su mantenimiento.

La era digital implica riego digital y por ende ciberseguridad.

Transformación digital... y su contraparte: el riesgo digital.

La transformación digital es un tema que toda empresa debe abordar más temprano que tarde si desea ser competitiva en el actual mundo empresarial. Los cambios son buenos, y más aún si se realizan de manera organizada ejecutando un apropiado tratamiento de esa nueva variable que va de la mano de las nuevas tecnologías: el riesgo digital.

Lamentablemente, para un gran número de empresas, esta nueva variable no es importante hasta que se ven enfrentadas a su materialización. Cuando esto ocurre, ya es tarde, el camino a seguir es el tratamiento reactivo del riesgo digital lo cual implica la inversión de grandes cantidades de dinero en su tratamiento para intentar regresar a un estado normal de operación.

Un ejemplo acerca de esto, es la empresa que se niega a invertir dinero en un antivirus avanzado porque es muy costoso, adicionalmente el que tiene siempre ha funcionado y nunca ha pasado nada. Para este ejemplo vamos a hablar de la ocurrencia de un ataque de afectación de información:

Cuando se materializa el riesgo en la empresa, el delincuente puede encriptar o cifrar la información, es decir, ingresa a los equipos y pone una contraseña de acceso a los archivos, contraseña que solo el delincuente conoce, posterior a esto, pide un rescate, es decir, exige dinero a cambio de entregar la contraseña de acceso a la información de la empresa. El delincuente no se puede rastrear, las autoridades no pueden localizarlo, las recomendaciones es que no paguen el rescate porque lo más posible es que se pierda el dinero y la información, por último, se recomienda que reconfigure sus equipos, “compre un antivirus avanzado” y regrese a su copia de respaldo más reciente, si la tiene.

La empresa hubiese ahorrado recursos importantes si se hubiera tratado el riesgo de forma adecuada en el momento oportuno. El costo del tratamiento reactivo de un riesgo es demasiado elevado en comparación con el tratamiento preventivo. Al final, siempre va a tener que implementar el control preventivo y adicionar los costos de recuperación del incidente.

Como conclusión, realizar un tratamiento de riesgos digitales es una buena práctica en aras de prevenir que incidentes de seguridad digital puedan poner en riesgo la estabilidad de la empresa. Identificar las vulnerabilidades y tratarlas de forma preventiva es más económico que hacerlo reactivamente.

Desenredando el ciber-nudo: un enfoque no informático.

El objetivo de esta entrada es abordar las definiciones de los principales términos relacionados con ciberseguridad, de una forma clara y simple, que permita entender facilmente como estan relacionados y como afectan la ciberseguridad.

Vamos a ir describiendo el significado de cada término y viendo su relación con el engranaje de ciberseguridad.

activo: cualquier información o elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas…) que tenga valor para la organización.

Aqui, cabe anotar que estamos hablando de activos de información, los cuales son diferentes a los activos de una empresa. Por ejemplo, un ecritorio es un activo para la empresa, pero no es un activo de información, a menos que sirva para almacenar información importante para la empresa.

Cuando hablamos en terminos de ciberseguridad o seguridad de la información, (los más puritanos dirán que son dos cosas diferentes) la palabra activo se relaciona con todo aquello que involucre o este relacionado con información ya sea escrita, digital o electrónica.

vulnerabilidad: Fallo o deficiencia que puede permitir que un usuario no legítimo acceda a la información o lleve a cabo operaciones no permitidas.

Las vulnerabilidades son fallas, errores o deficiencias que tienen o afectan a los activos y que de llegarsen a materializar pueden llegar a afectar al menos una de las tres principales características: la confidencialidad, la integridad o la disponibilidad.

Siguiendo con el ejemplo del escritorio, una vulnerabilidad puede ser que los cajones donde se almacenan los informes secretos no se pueden cerrar con llave.

amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización.

Un activo puede tener vulnerabilidades, pero si no tiene amenazas que se aprovechen de estas, no hay riesgos. Regresando al ejemplo del escritorio y su vulnerabilidad en los cajones, una amenaza sería el ingreso de personas no autorizadas que puedan hacerse con los informes.

riesgo: Se relaciona con la posibilidad de que las amenazas exploten vulnerabilidades de un activo o grupo de activos de información y causen daño a una organización.

En este caso la definición es bastante clara, para que exista un riesgo se requiere de amenazas y vulnerabilidades. Revisemos nuevamente el ejemplo del escritorio, cual es el riesgo de robo de los informes si no existe la vulnerabilidad de los cajones sin llave ? o cual es el riesgo si los cajones no tienen llave pero no hay quien los quiera robar ? ... en ambos casos el riesgo es cero.

En sintesis, al tener un activo con una vulnerabilidad y una amenaza, existe un riesgo sobre el activo. Cual es la probabilidad de que un riesgo se materialice? esa respuesta corresponde a un analisis de riesgos para determinar las vulnerabilidades y posibles amenazas sobre los activos de la empresa.

incidente: Cualquier suceso que afecte a la confidencialidad, integridad o disponibilidad de los activos de información de la empresa.

Un incidente es la materializacion del riesgo, es decir, la amenaza logró aprovechar la vulnerabilidad afectando el activo. Finalizando el ejempo, la persona no autorizada ingresó, abrió el cajón y robó los informes secreto de la empresa.

ciberseguridad: “Protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados”.

En español, la ciberseguridad busca proteger los activos frente a las amenazas y vulnerabilidades. La finalidad de la ciberseguridad es sugerir controles que eviten la materialización de los riegos. Para finalizar nuestro ejemplo, la ciberseguridad sugeriría poner cerrojos en cada uno de los cajones que contengan información secreta.

En la siguiente imagen puede revisar grficamente como estan relacionados cad uno de los términos tratados en esta entrada.

Con esta entrada espero haber ayudado a desnredar el complejo mundo de la ciberseguridad y sus términos anotando que esto es solo la punta del iceberg en cuanto a la jerga utilizada por los informáticos.

Podemos dar un pincelazo a nuestra próxima entrada diciendo que:

la ciberseguridad: tratando de los riesgos digitales a los cuales están expuestos los procesos empresariales.

fuentes de términos:

https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_glosario_ciberseguridad_metad.pdf

https://www.mintic.gov.co/portal/inicio/Glosario/
https://www.ccn-cert.cni.es/publico/seriesCCN-STIC/series/400-Guias_Generales/401-glosario_abreviaturas/index.html?n=55.html

Cara y sello de la era digital

En la actualidad existen dos clases de empresas, las que ingresan a la era digital migrando sus procesos al uso de nuevas tecnologías y las que nacen directamente en ella, las dos buscan apalancar sus procesos en la tecnología creando sus propios ecosistemas digitales.

Sea cual fuere el caso, la entrada en la era digital trae consigo el ingreso de las empresas a un escenario donde la tecnología, en su lado positivo “cara”, apalanca los procesos para crecer a pasos agigantados reduciendo tiempos de procesamiento, mejorando la producción, generando mayores ingresos para las organizaciones, por otra parte, en su lado negativo “sello”, la empresa ingresa en un escenario hostil donde se pone en riesgo los datos, la información y la tecnología.

Un nuevo termino se acuña dentro de los departamentos de gestión de riesgos o auditoría: “riesgo digital” el cual no es mas que la inseguridad a la que se ve expuesta la empresa por el uso de las nuevas tecnologías, es aquí donde ingresa la ciberseguridad, la cual es la práctica de defender la tecnología, la información y los datos de ataques cibernéticos.

Corresponde a las empresas la correcta identificación y tratamiento de este riesgo digital para prevenir la afectación de los procesos empresariales. Para ello se requiere la inclusión del componente de ciberseguridad dentro de los procesos para asegurar el correcto manejo de los riesgos digitales.

Lo recomendado es tener un programa de ciberseguridad en la empresa que pueda controlar los riesgos digitales previniendo de esta forma la materialización de escenarios de riesgo que pueda llegar a afectar los procesos empresariales.

La ciberseguridad llegó para quedarse y ayudar a controlar los riesgos digitales que se presentan diariamente y que amenazan con afectar la operación de los procesos empresariales.

Consultor en Ciberseguridad.
Mi experiencia en el campo de la ciberseguridad me permite brindar soluciones personalizadas a las empresas. Me esfuerzo por comprender las necesidades únicas de cada cliente y brindar soluciones efectivas y eficientes para proteger sus sistemas y datos. Mi objetivo es ayudar a las empresas a mantenerse seguras en línea y estar preparadas ante cualquier desafío cibernético.

Perfil en LinkedIn
Consultor en Ciberseguridad | Especialista en Gerencia de Proyectos de Sistemas | Especialista en Auditoría de Sistemas | Auditor Líder ISO/IEC 27001 | Lead Cyber Security Manager ISO/IEC 27032 | SFCP | RHCE | CEH | Tenable Certificated since 2016

ITIS / UIS / UAN / URosario