Proteja su empresa al estilo del Ministerio de Defensa
Las organizaciones deben establecer líneas de defensa en materia de ciberseguridad La lealtad en el equipo, separar y aislar los sistemas son algunas de las claves
Tierra, mar y aire. Tradicionalmente estos han sido los tres espacios en los que transcurre una guerra. A los dos primeros, prácticamente tan antiguos como el ser humano, se le unió el tercero durante la Primera Guerra Mundial. Un cuarto dominio, el espacio, se sumó al grupo en la década de 1960, y desde hace unos años, existe un campo más, que además, debido al rápido avance tecnológico, se ha convertido en transversal, para afectar también a los otros cuatro: ese nuevo dominio es el ciberespacio.
La peculiaridad de este nuevo terreno es que, tras su aparición, su ritmo de crecimiento ha avanzado a pasos exponenciales. “Por eso, la ciberdefensa es un dominio muy diferente al de otros campos”, afirmó el jueves pasado el comandante jefe del Mando Conjunto de Ciberdefensa, Carlos Gómez López de Medina, durante la inauguración del Programa de Innovación en Ciberseguridad (PIC) de Deusto Business School. “Entre otros aspectos, porque en tiempos de paz pueden sucederse perfectamente este tipo de ataques, porque es realmente complicado establecer quién es el responsable o porque, en materia jurídica, la ley va muy por detrás de la realidad”, explicó el comandante.
El Mando Conjunto de Ciberdefensa, creado hace tres años y dependiente del Ministerio de Defensa, es el encargado de velar por la ciberseguridad en un momento en el que nadie, ni los individuos, ni la Administración ni las empresas, está a salvo. La razón de su existencia, además, plantea una serie de retos: ¿pueden las compañías protegerse de estos ataques como si fuesen el Ministerio de Defensa?
El Estado identifica 12 grandes amenazas nacionales, y una de ellas, recordó el comandante jefe del Mando Conjunto de Ciberdefensa, Carlos Gómez López de Medina, es la del ámbito cibernético. “Entre otras razones porque tiene un efecto tremendamente transversal en la sociedad”, prosiguió el militar. La empresa, además, es uno de los blancos principales de los ciberdelincuentes: “Se les puede robar la propiedad intelectual, arrebatar oportunidades de negocio o sustraer el dinero virtual que almacenan en sus cuentas”. Por esa razón, salvando las distancias con el Ministerio de Defensa, las organizaciones pueden adoptar una serie de medidas que emplean los máximos responsables de la seguridad nacional.
La concienciación de todos los componentes del equipo es una de las principales prevenciones. “En el Ministerio trabajan en torno a 140.000 personas que constituyen la primera línea de defensa”, explicó, en clave militar, Gómez. Porque ser consciente de los peligros que revolotean sobre cualquier empresa es el primer paso para poder defenderla. Dicho de otro modo, “un usuario que no es consciente de la vulnerabilidad y las debilidades de la organización es el elemento más peligroso del sistema”. Por ello, una de las tareas que llevan a cabo de forma continua en el Mando Conjunto de Ciberdefensa, y que deberían adoptar las compañías, es la formación constante del propio personal. “Por eso, es aconsejable contar con centros formativos y de adiestramiento propios, no solo para la iniciación de los profesionales, sino también para mantener el nivel de conocimiento a medida que las amenazas avanzan”.
De hecho, enfatizó el comandante, la formación continuada es uno de los aspectos más importantes en materia de ciberseguridad. Hay que tener presente, explicó el director del Programa de Innovación en Ciberseguridad, Rafael Chelala, que a medida que avanza la innovación tecnológica, hace lo propio el cibercrimen. “Por eso, de la misma forma que la mayoría de ámbitos del día a día están siendo trasladados a internet, la delincuencia hará lo mismo. Sirva como dato que, durante este año, se prevé que los ciberdelitos superen, por primera vez en España, a los delitos físicos. La formación continua es, por ello, el requisito imprescindible para poder estar al día en esta materia, ya que es imposible saber todo lo que deparará este mundillo. “La ciberdefensa es como un barco que se echa al mar sin terminar de estar construido”, resumió Gómez.
Pero la concienciación del equipo, pese a constituir la primera línea de defensa, es perfectamente vulnerable. Gómez recordó que cualquier sistema informático puede ser ciberatacado. “Y aunque esto no siempre sea fácil, es algo totalmente factible”. No obstante, pese a esta vulnerabilidad latente, también hay lugar para el optimismo. “Cualquier sistema puede ser atacado, sí. Pero para ello, primero es imprescindible que el delincuente llegue a él”, recordó Gómez.
Por eso, si la prevención es la primera, el aislamiento es la segunda línea de defensa. Un buen método, recordó Gómez, es separar en sistemas independientes todo el contenido de la organización. “Es decir, depositar en uno todos los datos relacionados con el exterior, tales como la recepción de los correos electrónicos o las peticiones de usuarios, y en otro la información interna, que es la más valiosa”.
Eso sí, nunca hay que perder de vista la característica propia del ciberespacio, que no se da en los otros dominios: “Aquí, el concepto de distancia y tiempo desaparece, por lo que las dificultades son mayores”, señala Gómez. Por eso, en otros campos, aspectos que adquieren un papel protagonista, como el tiempo y la distancia, en materia de ciberdelincuencia directamente desaparecen. Esto hace imposible que la autoría, la procedencia y el momento del ataque, se conozcan.
Siguiendo con el símil militar, la lealtad dentro del equipo es primordial, “desde el grueso de la plantilla hasta la alta dirección, para no dejar ninguna fisura ni ninguna vía de escape abierta”. Eso sí, el peso de los despachos y del consejo de administración es mucho importante, “ya que si la alta dirección está concienciada del problema, invertirá dinero y efectivos en él”, recalcó Gómez. Si en la guerra la mejor defensa es un buen ataque, en materia de ciberseguridad, sin duda, es la prevención y el aislamiento.
Un incremento del 180% en un año
“La tecnología no se ha diseñado para ser segura, el ciberespacio no se ha desarrollado en materia de protección y la justicia va muy por detrás de la innovación”, explicó la secretaria del Consejo Nacional de Ciberseguridad, María del Mar López. Por eso, en un espacio de difícil control y que no está regulado, se presentan una enorme cantidad de retos por delante.
Uno de ellos es que las organizaciones comprendan que las ciberamenazas se presentan a través de distintos canales. “Por eso es necesario contar con profesionales a distintos niveles, desde perfiles más técnicos a otros que se muevan, incluso, entre la Economía y el Derecho. De hecho, para el año 2025 se estima que las organizaciones demandarán en torno a 825.000 profesionales en ciberseguridad”.
Sea como fuere, recordó Eloy Velasco, magistrado de la Audiencia Nacional, “en el último año han llegado 20.000 delitos informáticos a los tribunales de España, y de ellos, algo menos de 300 fueron realmente serios”. Esta cifra, recordaron ambos expertos, supone un incremento de un 180% respecto a los delitos de este tipo que se cuantificaron el año anterior en España. “Esto ya ha llegado, no es ciencia ficción”, señaló el magistrado.