Table of Contents Table of Contents
Previous Page  34 / 116 Next Page
Information
Show Menu
Previous Page 34 / 116 Next Page
Page Background

34

Segundo cuatrimestre 2016

artículo técnico

Ciberseguridad

A

nivel internacional, las cor-

poraciones privadas y las ad-

ministraciones públicas son

totalmente conscientes de lo vulnera-

bles que son sus activos digitales ante

las constantes amenazas cibernéticas.

Cuestión aparte es si la alta dirección

conoce la traducción de tales amenazas

en términos de negocio, área en la que

falta aún mucha concienciación y vi-

sión tanto por parte de las unidades de

negocio como de los profesionales del

mundo de la ciberseguridad. Tales ries-

gos no dejan de incrementarse año tras

año, y no sólo en número y frecuencia

de ocurrencia, sino también en lo que a

la sofisticación de los ataques se refiere.

No obstante, seguimos compro-

bando cómo un considerable número

de los ataques efectuados hacen uso

de vulnerabilidades conocidas desde

hace años, las cuales, supuestamente,

debían haber sido oportunamente so-

lucionadas en las infraestructuras tec-

nológicas. Asimismo, siguen siendo no-

torias las brechas provocadas por una

falta de cultura de seguridad en las or-

ganizaciones, por lo que podemos de-

cir que una de sus principales preocu-

paciones debe ser la introducción de

esa cultura y de una concienciación so-

bre el riesgo digital.

Esa falta de madurez nos muestra, en

la mayoría de los casos, la ausencia de

una mínima capa tecnológica en mate-

ria de ciberseguridad que permita a las

organizaciones filtrar un importante nú-

mero de ataques contra sus sistemas.

Por otro lado, y con un grado de impor-

tancia aún mayor, comprobamos cómo

las carencias o, directamente, la inexis-

tencia de un proceso de seguridad ha-

cen que las organizaciones sean extre-

madamente vulnerables. Por lo tanto,

podemos concluir que contar con un

proceso en materia de seguridad, y el

despliegue de soluciones tecnológicas

de valor, hará que el nivel de madurez

de las organizaciones aumente conside-

rablemente.

Ataques sofisticados

Otro tema aparte son los ataques sofis-

ticados, donde adversarios con recursos

y conocimientos elevados pueden lan-

zar ataques dirigidos contra nuestros sis-

temas. El concepto ligado a este tipo de

vectores de ataque lo representan las

amenazas persistentes avanzadas (APT,

por sus siglas en inglés), pero, usual-

mente, se emplea de forma errónea.

Una APT no es un ataque concreto

lanzado en un momento determinado

contra una organización durante un

cierto umbral de tiempo, sino el grupo

de adversarios que intentan aten-

tar contra una organización y el ciclo

de vida del proceso que emplean para

conseguir sus objetivos. En cualquier

caso, y como se comentaba anterior-

mente, debemos ser francos con no-

sotros mismos y entender que la ver-

dadera preocupación de las organiza-

ciones ha de ser alcanzar un nivel de

madurez en ciberseguridad sensato y

acorde a sus necesidades de negocio.

Una vez logrado este hito podremos

preocuparnos de cuestiones mayores.

Niveles de madurez

Dentro de este preocupante contexto

también existen diferentes niveles de

madurez y enfoques en los distintos paí-

ses y bloques geográficos. Por ejemplo,

en España se sigue avanzando con la im-

plantación del Esquema Nacional de Se-

guridad, que persigue que las adminis-

traciones públicas y los servicios que

presten a la ciudadanía tengan unas mí-

nimas condiciones de seguridad. Y ello

tanto desde el punto de vista de activos

nacionales estratégicos como desde el

razonamiento de que una verdadera ad-

ministración electrónica sólo podrá te-

ner lugar si los sistemas que lo sustentan

son fiables y, por lo tanto, los servicios

prestados tienen al menos las mismas

garantías que sus equivalentes en for-

mato manual o presencial.

Igualmente, la Unión Europea sigue

avanzando en su lucha contra la ciber-

delincuencia y el diseño de un espacio

digital donde se preserven los derechos

digitales de los ciudadanos. En ese sen-

tido, tenemos la Directiva NIS (Network

and Information Security), que da forma

a la construcción de una estrategia eu-

ropea en materia de ciberseguridad, los

mecanismos de cooperación para el in-

tercambio de información y la constitu-

ción de las pertinentes autoridades na-

cionales en esta área.

Retos latinoamericanos

En relación a Latinoamérica, un impor-

tante punto de partida es el informe rea-

lizado por el Banco Interamericano de

Desarrollo (BID) y la Organización de los

Estados Americanos (OEA), estudio en el

que se ponen de manifiesto una serie de

carencias de importancia en cibersegu-

ridad. Así, encontramos que un conside-

rable número de países no cuenta con

las oportunas estrategias y planes para

proteger sus infraestructuras críticas. Por

otro lado, y también como un factor real-

mente importante, se identifica la inexis-

tencia de legislación específica en esta

materia que permita perseguir oportu-

namente los delitos llevados a cabo. Y

aún queda todo o casi todo por hacer en

cuanto a la cooperación entre los diver-

José Antonio Rubio Blanco

PhD Ciberseguridad y Confianza Digital. Director de Responsabilidad Social y

Tecnopolítica. Fundación Ciencias de la Documentación

Confianza digital en Latinoamérica