Please Go to Settings and Configure Slideshow

26 Dic 2018

Artículo

 

Todos alineados para enfrentar al Cibercrimen organizado: "La unión hace la fuerza"

 

German Vargas

Profesional con más de 23 años de experiencia profesional en gestión de programas de Continuidad de Negocios y Resiliencia. Ha colaborado como Directivo en la Entrega de Servicios de Resiliencia (BCRS), formando y dirigiendo equipos de alto rendimiento.

 

En países como los nuestros, en América Latina, muchas instalaciones y sus infraestructuras han sido construidas con los recursos mínimos suficientes a fin de permitir un retorno de la inversión temprana y así hacer negocios atractivos para los inversionistas, que si bien pueden llegar a ser muy exitosos inicialmente, no están concebidos para soportar suficientemente la materialización de los riesgos que a futuro se exponen.

Y no se trata tan solo de que se exponga la inversión realizada, si no que falsas economías pueden llegar a afectar y comprometer los proyectos, la información propia y datos personales de sus clientes y usuarios, con sus naturales consecuencias e impactos. En casos extremos incluso se puede ponen en riesgo vidas humanas, como consecuencia de no tener la debida protección, como en los casos de infraestructura crítica, los servicios médicos o en general la infraestructura expuesta. Y no nos estamos refiriendo explícitamente a los casos de los proyectos de infraestructura física colapsadas o a punto de serlo por economías en consideraciones de diseño, calidad de materiales, o “ahorros” en seguridad y control; si no que la problemática permea a las infraestructuras tecnológicas con alcance a todos los sectores de producción de bienes y servicios públicos y privados.

La transformación digital y las nuevas tecnologías que participan, como es el caso del Internet de las cosas, hacen que se amplíe considerablemente el área de exposición. Ahora, con el uso intensivo de tecnologías en todos los frentes y sectores de la economía, la exposición a los riesgos potenciales que afectan estas infraestructuras ha aumentado considerablemente, lo mismo que las amenazas que se ciernen sobre ellas. Al igual que las infraestructuras con calamitosas experiencias de construcción; éstas, en todos los casos, no están siendo debidamente concebidas, diseñadas, implementadas, protegidas y salvaguardadas.

Cada vez más nuestras interrelaciones personales y comerciales están mediadas por las comunicaciones móviles y tecnologías inteligentes, se estima por ejemplo, que para el 2020 habrá una cifra cercana a 5.900 millones de teléfonos inteligentes. También es sabido que se hace cada día más frecuente el “working home” o teletrabajo y el “BYOD” o uso de dispositivos móviles personales en el trabajo para acceder a la información de la compañía, lo que hacen que se aumenten las áreas de exposición y hayan mayores blancos de ataque para los delincuentes, que están alerta a explotar posibles vulnerabilidades de seguridad.

El No. 1 en el top de las amenazas mundiales: Ciberataques

Un lugar importante en las clasificaciones de amenazas mundiales la ocupan los ciberataques; en la mayoría de los “rankings” se destaca como la amenaza No. 1 del top. Por ejemplo, en la clasificación del BCI (Business Continuity Institute) para el 2018, encabeza la lista:

  1. Ciberataques
  2. Violación de Datos
  3. Interrupciones no planeadas de TI
  4. Interrupción de suministro de servicios públicos
  5. Clima y fenómenos naturales (Inundaciones, Incendios
  6. Actos de terrorismo
  7. Incidentes de seguridad
  8. Fuego
  9. Interrupción de la cadena de suministro
  10. Interrupción de la red de transporte

Fuente: traducido del BCI, Horizon Scan Report 2018

 

Esta posición en los estudios internacionales se debe a los múltiples casos de ciberataques que se vienen presentando a nivel mundial; en Latinoamérica no nos escapamos de esta gran amenaza. En lo corrido del año las noticias nos han sorprendido con casos como los acontecidos en México y Chile, sin que se escape un solo país en mayor o menor proporción.

Auge de las regulaciones sobre Ciberseguridad

Debido a las cuantiosas pérdidas económicas generadas a nivel mundial, hay una tendencia generalizada en los países a desarrollar regulaciones sobre este delito de relativa data reciente. Es el caso de la nueva estrategia del presidente Donald Trump para los Estadios Unidos: National Cyber Estrategy, generada en septiembre de este año.

En España se aprobó en septiembre del 2017, el real decreto ley sobre la directiva europea de ciberseguridad, que busca identificar los sectores en los que se debe garantizar la protección de las redes y sistemas de información y establecer las exigencias de notificación de ciberincidentes y en mayo del 2017 entró en vigor la polémica ley sobre ciberseguridad en China.

Como referencia, algunas disposiciones de los gobiernos latinoamericanos: En el caso de México, el presidente Enrique Peña Nieto presentó en el 2017 la Estrategia Nacional de Ciberseguridad. En Colombia la Superintendencia Financiera expidió la circular 07 de junio del 2018. En el caso del Perú en el 2017 el presidente de la República expidió el Decreto 012 donde se aprobó la Política de Seguridad y Defensa Nacional, en la se incluye la ciberseguridad. Así mismo, República Dominicana aprobó este año la Estrategia Nacional d Ciberseguridad y Chile en el 2017 expidió su política Nacional de Ciberseguridad y actualmente se encuentra en curso su Ley Marco de Ciberseguridad.

A estos esfuerzos nacionales se deben agregar iniciativas transnacionales, como en el caso de Francia, uno de los países pioneros y quizás más avanzados en Ciberseguridad, que ha realizado acuerdos y promueve un esfuerzo multinacional con Reino Unido y la Unión Europea. Una ofensiva similar promueve México en el contexto latinoamericano.

Las buenas prácticas en Ciberseguridad promueven esfuerzos integrados

Las disposiciones y normativas generalmente están soportadas o son derivadas de buenas prácticas y estándares internacionales. La norma ISO 27230 específicamente es un buen marco de referencia para abordar riesgos de Ciberseguridad tales como:

  • Ataques de Ingeniería Social, que es una técnica para obtener información confidencial a través de usuarios legítimos y autorizados.
  • “Hacking” o intrusión y acceso abusivo a sistemas informáticos.
  • “Malware” o software malicioso
  • Spyware o software espía
  • Otros tipos de software potencialmente no deseables.

La ISO 27032 es una buena guía que permite a las partes interesadas colaborar, compartir información, experiencias y soluciones para enfrentar problemas de Ciberseguridad.

Así mismo, el marco de seguridad NIST/CF (Cibersecurity/Framework) proporciona orientación y guía en seguridad para evaluar y mejorar la capacidad de prevenir, detectar y responder a los ciberataques.

Alineación de esfuerzos frente al crimen organizado

El cibercrimen está organizado y se presta colaboración entre sí asociando cadenas de actores del lado “oscuro”. Existen redes mundiales de ciberdelincuencia que comparten y comercian metodologías, técnicas, desarrollos, software, información y datos personales de posibles víctimas. Los hackers que conocíamos en el pasado que actuaban de manera individual por gusto o diversión o simplemente por satisfacción del ego han disminuido considerablemente, para dar paso a grupos transnacionales organizados en la mayoría de los casos con intereses económicos y en otros casos políticos y hasta terroristas.

La delincuencia organizada, no es un fenómeno estático sino que muta y se adapta para aprovechar nuevas vulnerabilidades. Según Eugene Kaspersky, reconocido especialista en seguridad, organizaciones delictivas están contratando a grupos de ‘hackers’ a sueldo para emprender ilícitos o lavar dinero. Otros afirman que inclusive organizaciones terroristas y hasta gobiernos contratan este tipo de expertos para labores de espionaje o para atacar otros países.

Estudios recientes han señalado una correlación entre los ciberdelitos frente al narcotráfico, tráfico y venta de armas y lavado de activos. Es decir, existe una clara colaboración y alineación entre el crimen organizado.

Del mismo modo, se requiere una gran colaboración y cooperación de las partes interesadas y se debe instar a los estados, al sector público y privado a alinear esfuerzos, compartir información, conocimiento, tecnología, métodos de defensa a profundidad, buenas prácticas, más allá del simple “parchado” de equipos, a fin de estar preparados y equipados para dar una respuesta efectiva a incidentes a gran escala y/o particulares como los que se han presentado en el pasado reciente. Un buen ejemplo de ello es la creación y promoción de Equipos de Respuesta de Incidentes de Seguridad Informática (CSIRT).

Se requiere aún más, mayores esfuerzos y compromisos multilaterales y globales entre los afectados. La siguiente gráfica presenta a las diversas partes interesadas y actores que enfrentan o son afectados por ciberataques, los cuales deben cooperar y colaborarse entre sí a fin de hacer un frente unido, poder realizar acciones efectivas y más rápidas contra los ciberataques:

Frente a los Ciberataques: Colaboración y Cooperación Multinacional, Multilateral y Multisectorial

Fuente: Propuesta del autor German Vargas Pedroza

 

Acciones sugeridas para estos actores:

  • Desarrollar y/o mejorar las normas, regulaciones y penalización de delitos en el ciberespacio.
  • Fomentar la colaboración global e intercambios en investigación y tecnologías de seguridad.
  • Favorecer la adopción de las mejores prácticas y apropiación de guías y estándares internacionales de Ciberseguirdad y Ciber-Resiliencia.
  • Desarrollar acciones encaminadas a fortalecer la Ciber-Resiliencia de todas las organizaciones en todos los sectores.
  • Establecer mecanismos de coordinación efectivos entre los diferentes sectores y partes interesadas.
  • Desarrollar programas educativos, diplomados, posgrados y doctorados de Ciber-Resiliencia Organizacional y Ciberseguridad en las universidades y sector académico en general.
  • Fomentar la investigación e innovación para el desarrollo de nuevos modelos y uso de nuevas tecnologías como Inteligencia Artificial, Block Chain y Big data para enfrentar los ciberataques.
  • Desarrollar programas nacionales sobre inteligencia y respuesta cibernéticas contundentes.
  • Incentivar la innovación e investigación en entidades educativas y firmas de consultoría en Ciberseguridad.
  • Definir políticas y procedimientos de Ciberseguridad y Ciber-Resiliencia en todas las organizaciones,
  • Generar cultura, educar, concienciar y entrenar de manera transversal a los empleados para que acaten y sigan las políticas, procedimientos y buenas prácticas de Ciberseguridad.
  • Estimular la creatividad e innovación para incrementar las capacidades y así anticipar, defender, responder oportunamente, resistir, recuperar de manera efectiva y evolucionar ante Ciberataques.
  • Co-crear conjuntamente las fuerzas de seguridad aunadas con los esfuerzos de la operación de la compañía.
  • Diseñar e implementar planes para la Continuidad de las Operaciones frente a la materialización de la amenaza número 1.
  • Efectuar ejercicios, pruebas y simulacros para verificar la capacidad real y efectividad de los planes de respuesta, recuperación y restauración.
  • Incentivar y desarrollar la planificación para gestionar las Emergencias y las Crisis generadas por ciberataques.
  • Educar a las partes interesadas sobre la Ciberseguridad y las buenas prácticas de la gestión de riesgos.
  • Asegurar el intercambio de conocimiento, información y métodos de defensa y actuación sobre amenazas y ataques de manera oportuna, relevante y precisa.
  • Contemplar en la planeación y el diseño de cada proyecto el escenario de riesgo relacionado con ciberataques, primordialmente si se trata de proyectos de infraestructura crítica,
  • Aumentar la investigación sobre delitos del ciberespacio y otros delitos conexos del crimen organizado.