1. CONCEPTOS BÁSICOS SOBRE CIBERSEGURIDAD

Hoy en día, las empresas y profesionales, utilizamos las nuevas tecnologías para llevar a cabo nuestra actividad profesional por las posibilidades que nos ofrece:

  • Somos más productivos.
  • Llegamos a mercados a los que hace unos años era impensable acceder.
  • Disponemos de nuevos canales, y más económicos, de comunicación con clientes y proveedores.

La Tecnología llegó hace años a nuestros entornos personales y profesionales para quedarse y no se va a marchar nunca, fundamentalmente porque ya no sabríamos ni vivir ni trabajar sin ella.

A través de Internet, desarrollamos nuestros negocios, sin embargo, sólo alcanzarán el éxito aquellos que se adapten a este nuevo medio de trabajo, sacando el máximo partido de ellas. Al resto les pasará, probablemente, como a los dinosaurios, que acabarán desapareciendo.

Estamos en el siglo en el que la Tecnología va a cambiar radicalmente nuestra forma de vivir y trabajar. No dejamos de oír hablar de términos como BigData, Machine Learning, IA (Inteligencia Artificial), IoT (Internet de las Cosas), Vehículos Autónomos, … y Ciberseguridad.

Si hay algo que trasciende a todas las Tecnologías existentes y futuras es la necesidad imperiosa de dotarlas de una seguridad que haga que su uso nos ayude, no para lo contrario. Las tecnologías, como ha ocurrido siempre, aparecerán y desaparecerán, sin embargo, la Ciberseguridad perdurará para siempre.

Por otro lado, y ciñéndome a lo que ha ocurrido en los últimos 50 años, la realidad es que no sabemos construir tecnología segura. Al principio la escusa era que la tecnología se diseñó atendiendo a su usabilidad, sin pensar en su seguridad (porque en ese momento no era necesario), sin embargo, la que seguimos creando hoy día sigue viéndose afectada por innumerables vulnerabilidades que provocan riesgos por el mero hecho de usarlas. Por eso también oiremos que «la seguridad informática 100% no existe».

Para comprobar que esto es así sólo tenemos que fijarnos en los datos que nos ofrecen los organismos internacionales que se encargan de catalogar las vulnerabilidades que reportan los fabricantes de hardware y software, por ejemplo, Mitre (https://www.mitre.org).

Por otro lado, la ciberdelincuencia también está disparada. Y no es de extrañar. El anonimato que ofrece el uso de la tecnología para cometer delitos hace que sea muy rentable asumiendo un riesgo muy bajo.

La máxima de, «o te sacan el dinero o te convierten en dinero» es una realidad para todos: empresas grandes y pequeñas, administraciones públicas, estados y particulares, no se libra nadie. Se trata de un aspecto de crucial importancia en un entorno interconectado y dependiente de la tecnología.

Por este motivo debemos intentar evitar la sobreexposición a la que nos vemos afectados por el uso de la tecnología y esto lo conseguiremos si sabemos protegernos.

De todos depende alcanzar un grado de seguridad y de confianza en el ámbito digital que permita un desarrollo económico favorable para todos.

Pero… ¿estas cosas a mí no me pasan?

Acabamos de decir que nos afecta a todos. Además, las pequeñas empresas y los autónomos somos un objetivo más fácil y barato de atacar, por parte de los ciberdelincuentes, que las grandes empresas y sus costosas y sofisticadas medidas de seguridad.

Más de la mitad de las empresas españolas ha sufrido algún tipo de fraude económico en los últimos dos años. Esta es una de las principales conclusiones de la encuesta mundial sobre el delito económico que PwC ha elaborado, a partir de 7.228 entrevistas en 123 países. Esta cifra sitúa a España por encima de la media mundial, por encima de los principales países de nuestro entorno.

1. CONCEPTOS BÁSICOS SOBRE CIBERSEGURIDAD

Fuente: Informe PwC 2018

Desde 2009, el porcentaje de empresas españolas, víctimas de delitos económicos ha crecido casi 20 puntos, pasando del 35% al 54%. Un incremento que tiene que ver con aumento de las Nuevas Tecnologías y paradójicamente con el aumento de los controles y de una mayor consciencia y persecución de este tipo de fraudes por parte de las compañías.

La apropiación indebida, la corrupción y el soborno, la manipulación contable y los ciberataques son los principales delitos económicos que padecen las empresas. Y todo apunta a que, en los próximos dos años, el ciberfraude va a ir ganando peso significativamente.

Para combatir esta situación, las empresas españolas están aumentando los presupuestos destinados a luchar contra los ciberataques. Sin embargo, una de cada diez empresas todavía no ha realizado ningún tipo de revisión ni evaluación de riesgos.

Por eso, tenemos más probabilidades de ser objetivo de un ciberataque o de sufrir un incidente de seguridad. Tenemos que ser conscientes de que debemos proteger nuestros recursos, ya que nos arriesgamos a:

  • Perder información vital para muestro negocio.
  • No disponer de los equipos, sistemas o servicios cuando los necesitemos.
  • Que nos roben nuestro dinero.
  • Que nos extorsionen, secuestrando nuestros equipos informáticos al vernos afectados por ataques de tipo Ransomware o similares.

En definitiva, no podemos permitirnos que ni nuestros negocios ni nuestros clientes puedan sufrir perjuicio alguno.

Los riesgos asociados al uso de la tecnología pueden estar provocados por diversas causas:

  • Descuidos o errores, en un porcentaje muy elevado de las ocasiones.
  • Falta de concienciación de la importancia de la ciberseguridad.
  • Ataques externos o internos malintencionados.
  • Causas naturales como incendios, inundaciones, etc.

Todo esto puede causarnos daños económicos y comprometer la continuidad de nuestro negocio. Por ello, es importante que conozcamos los riesgos derivados del uso de las nuevas tecnologías, de cara a intentar minimizar el riesgo de sufrir uno de estos problemas.

Internet, la nube y más recientemente los desarrollos de Big Data, Machine Learning e Internet de las cosas (IoT), están provocando un cambio de paradigma:

  • El mundo físico y digital están hiperconectados.
  • Los usuarios son un elemento activo.
  • La información es procesada, almacenada y transmitida sin restricciones.
  • Hoy día generamos más información en un solo año de la que habíamos generado hasta el año 2011.
  • Y las organizaciones tenemos a nuestro alcance mecanismos que antes sólo podían imaginar.

Este hecho tiene una gran trascendencia tanto para las empresas como para la sociedad. Los mercados y la economía se han hecho globales y digitales. La ciberseguridad se hace indispensable.

Proteger la privacidad del consumidor, protegernos frente a las ciberamenazas (malware, fugas de datos, extorsiones, robos de identidad, …), intencionadas o no; y fomentar la seguridad en servicios constituyen un factor esencial para el desarrollo de la sociedad. Por ello la legislación está adaptándose para que las sociedades puedan aprovechar las ventajas de este nuevo paradigma sin que haya una merma de derechos y libertades.

Será complicado que se legislen estos nuevos ciberproblemas a la misma velocidad a la que avanza la tecnología, sin embargo, esa legislación debe ser más rápida, ya que surgen constantemente nuevos ciberdelitos que, o se apoyan en la tecnología para cometerse o directamente se cometen en el ciberespacio, sin que hasta la fecha se pueda hacer gran cosa para perseguirlos. Las mismas FFSS del Estado nos dicen que, como el ciberdelincuente no se encuentre físicamente en España o si el dinero que nos han robado sale del país, prácticamente no hay nada que hacer.

Para que nos hagamos una idea del calado del problema, informes de Europool, de finales de 2016, ya hacen referencia a que ya hay países en los que los ciberdelitos superan, porcentualmente, a los delitos tradicionales.

Recuerda. La ciberseguridad de tu empresa es imprescindible y depende en gran parte de ti.

La mayoría de las grandes multinacionales son conscientes de los riesgos que asumen al utilizar la tecnología en sus procesos productivos y lo reflejan con inversiones, cada  vezmayores, en ciberseguridad. Sin embargo, la percepción de este peligro en empresas más pequeñas es reducida y son pocas las que tienen entre su lista de prioridades proteger sus sistemas.

Y necesitamos cambiar el chip, porque para las pymes, la informática siempre se ha considerado un gasto y no una inversión y no iba a suceder de forma distinta en lo referente a la ciberseguridad. Necesitamos invertir en tecnología y su seguridad para conseguir que nuestros negocios puedan competir con las mismas garantías que los demás.

Las pymes ocupan a diez millones de trabajadores en España y suponen más del 60% del PIB nacional, según datos del Ministerio de Economía. La Confederación Española de la Pequeña y Mediana Empresa puede presumir de que estas compañías conforman la práctica totalidad del tejido empresarial del país. Por eso, no es de extrañar que el 70% de los ataques informáticos que se produjeron el año pasado —que rondan los 125.000, según estimaciones del Instituto Nacional de Ciberseguridad— estuvieran dirigidos a pymes.

La inversión de las empresas con menos de 250 empleados en ciberseguridad es inversamente proporcional al riesgo que tienen de ser atacadas.

Las pymes piensan que no son objetivos de los ciberdelincuentes, pero la realidad es que normalmente estos no son personas atacando ordenadores, sino máquinas atacando a máquinas; por lo que los ataques son indiscriminados. Además, con cientos de miles de sistemas, ¿por qué atacar al que está protegido?

Visto así parece que todos tuviéramos la obligación de ser ingenieros informáticos para vivir/trabajar más seguros en el mundo actual, pero no es así. Lo que si es necesario es un proceso de concienciación generalizado, al igual que ocurre con otros aspectos de nuestras vidas que ya tenemos interiorizados, y para eso está este curso.

1.1. EL VALOR DE LA INFORMACIÓN EN LA EMPRESA.

Antes de nada, debemos tener claras dos ideas:

  • La primera es que lo que realmente tiene valor en tu negocio es la información con la que trabajas y tenemos que identificar que activos de información utilizamos y cuales son las fuentes de las que proceden.
  • Tener que sustituir los equipos informáticos puede ser más o menos costoso, sin embargo, la mayoría de las empresas que pierden sus datos no pueden seguir desarrollando su actividad con normalidad, llegando a desaparecer, en un corto periodo de tiempo, cuando la recuperación de la información no es factible.

Algunos definen a los datos como el petróleo del siglo XXI.

  • La segunda es que debemos diferenciar entre Seguridad Informática y Seguridad de la Información.
  • Cuando hablamos de Seguridad Informática nos referimos a la Seguridad de la infraestructura tecnológica (equipos informáticos y de comunicaciones) que utilizamos para que nuestro negocio pueda desarrollarse a diario.
  • Cuando hablamos de Seguridad de la Información, nos referimos a ese activo que decíamos que era el que realmente tiene valor, los datos, la información.

Nuestra empresa obtiene la información desde múltiples fuentes (internas y externas), la almacena en múltiples soportes (digitales y no digitales) y la utiliza a través de múltiples servicios (documentos internos, correos electrónicos, información mostrada en nuestras páginas web, datos que almacenamos en nuestras bases de datos, …).

También tenemos que tener en cuenta lo que se denomina ciclo de vida de la información, ya que lo que hoy es importante para nosotros puede dejar de serlo en el futuro.

Por todo lo descrito anteriormente, debemos realizar un análisis que nos permita:

  • Estructurar nuestros sistemas de información.
  • Nos permita clasificar nuestros activos de información en base a su criticidad actual y futura, de tal manera que nos permita identificar los procedimientos que debemos seguir para protegerlos, cumpliendo con la normativa vigente.
  • Y nos permita definir una serie de controles que nos permitan medir cómo de eficaces son las medidas de seguridad que adoptamos.

Por otro lado, la concientización y educación de los usuarios debe realizarse de forma periódica, implicando a todos en el programa de seguridad que estamos definiendo. Nunca conseguiremos un resultado óptimo sin involucrar a todo el personal de la empresa.

Instrumentos de concienciación:

Ente que depende también de INCIBE y desde el que se proporciona información y soporte para evitar y resolver los problemas de seguridad que pueden existir al navegar por Internet.

Su objetivo es reforzar la confianza en el ámbito digital a través de la formación en materia de ciberseguridad.

En la OSI de INCIBE trabajan para:

  • Ayudar a los usuarios a llevar a cabo un cambio positivo de comportamiento en relación con la adopción de buenos hábitos de seguridad. o Hacerles conscientes de su propia responsabilidad en relación con la ciberseguridad.
  • Contribuir a minimizar el número y gravedad de incidencias de seguridad experimentadas por el usuario.

– La Agencia Española de Protección de Datos: (https://www.aepd.es/)

La AEPD es la autoridad encargada de velar por la privacidad y la protección de datos de los ciudadanos.

Su objetivo es, por un lado, fomentar que los ciudadanos conozcan sus derechos y las posibilidades que la Agencia les ofrece para ejercerlos y, por otro, que los sujetos obligados tengan a su disposición un instrumento ágil que les facilite el cumplimiento de la normativa. Todas las empresas grandes y pequeñas, públicas y privadas deben cumplir con la normativa vigente en lo relacionado con la protección de datos de sus trabajadores, clientes, proveedores, … y más si son uno de los colectivos críticos: salud, telecomunicaciones, …

– Potenciar las formaciones orientadas a la seguridad de todos nuestros trabajadores, permite afianzar las medidas y controles implementados. Las iniciativas del propio INCIBE o esta misma de la Junta de Castilla y León son marcos idóneos para comenzar en el mundo de la ciberseguridad de la empresa y para conocer los cambios que se van produciendo de forma constante: nuevas vulnerabilidades, nuevos riesgos, nuevos tipos de ataques, nuevas formas de defendernos.

1.2. CIBERSEGURIDAD PARA PYMES.

Como hemos dejado entrever, la gestión de la seguridad es el componente clave para elaborar un plan de protección de la información que se adapte a la idiosincrasia de cada empresa.

Sin gestión no hay control, que asegure eficientemente los datos de la organización, ni evaluación de los riesgos a los que nos exponemos.

Esta gestión debe entenderse como un proceso dinámico:

  1. Análisis de situación.
  2. Definición de un plan de control de seguridad.
  3. Implementación de medidas.
  4. Evaluación de resultados.
  5. Mejora continua. Implica volver a empezar desde el punto uno.

Para esto definimos una serie de documentos que permiten a cualquiera en la organización concientizarse respecto de la seguridad de la información y conocer qué está permitido y qué no lo está, en el uso diario de los recursos. Además, establecen cómo se deben llevar adelante ciertas tareas que involucran el uso de la información dentro de la organización.

Un programa de Seguridad de la Información debe contemplar medidas relacionadas con el personal, la gestión y el uso de las tecnológicas. El funcionamiento de la organización está directamente relacionado con los componentes informáticos y los sistemas de información, por lo tanto, aumenta su criticidad en relación con los resultados de la empresa.

Por tal motivo, un plan de seguridad debe comenzar en los rangos jerárquicos de la organización, y ser funcional en todos los niveles de la misma, contemplando la Integridad, Disponibilidad y Confidencialidad de la información.

1.2.1 Clasificación de la información.

Como indicábamos anteriormente, necesitamos clasificar la información de acuerdo a su criticidad y el impacto negativo que tendría la pérdida de la misma. Esto permite determinar los recursos (tanto económicos, humanos, como de otra índole) que necesitamos asignar a la protección de dicha información. Y cuando hablamos de seguridad no todo se resuelve con dinero.

Clasificar la información de la organización es un componente clave para la valorización de esta, tanto por los criterios de asignación de recursos, antes mencionados, como para la optimización de las medidas de control a implementar para cada tipo de información. Cuánto más valiosa sea la información para la empresa, más recursos deberemos asignar para su protección.

Previo a la clasificación de la información, es necesario identificar todo dato de valor para la organización. Para ello definimos una serie de documentos que, en conjunto, permiten a cualquier integrante de la organización concientizarse respecto de la seguridad de la información y conocer qué está permitido y qué no lo está, durante el uso diario de los recursos. Además, establecen cómo se deben llevar adelante ciertas tareas que involucran el uso de la información dentro de la organización.

NIVELES DE CLASIFICACIÓN

Aunque los criterios para catalogar la información pueden ser más complejos y extensos, en una empresa del tipo PyME podemos clasificarla en:

  • Confidencial: para uso interno y de carácter restrictivo. Es información valiosa que hace a la empresa competitiva. Su divulgación sin autorización puede afectar seriamente a la organización. Por ejemplo: un proyecto de I+D, un código fuente, etc.
  • Privada: Información de uso interno de la organización. Es información sensible y, por lo general, de carácter privado. Su divulgación puede afectar moderadamente a la organización. Por ejemplo: datos financieros, datos médicos, datos personales, etc.
  • Pública: Información que no implica un impacto negativo en la organización. Por ejemplo: listado de direcciones de correo de los empleados.

1.2.2 Políticas de Seguridad.

Una Política de Seguridad es una declaración de intenciones que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se pretenderán.

Es un documento de alcance global, valido para cualquier integrante de la empresa. Es una descripción general de los fundamentos de las medidas de seguridad, qué se desea proteger y cómo se debe proteger.

Entre otras cosas, puede incluir:

  • Objetivos y alcance.
  • Clasificación de la información.
  • Operaciones permitidas y denegadas con la información. – Acuerdos y contratos.

1.2.3 Normas y estándares.

Los estándares son normas que impactan en la interacción de los usuarios con los recursos de la empresa y la información que manejan. Pueden ser internos o externos.

Entre los estándares internos más habituales están:

  • El uso del equipamiento informático por parte de los empleados.
  • Software permitido (y prohibido) en el puesto de trabajo.
  • Acceso o no a redes sociales particulares y otros servicios web con contenidos ilegales o ale
  • Políticas de contraseñas y cifrado de información, sobre todo cuando hablamos de dispositivos móviles (smartphones, tablets o portátiles) que salen de la organización, con información sensible de la misma.

Los estándares externos suelen ser reglamentaciones o legislaciones que debe cumplir la empresa, las cuales pueden ser:

  • De obligado cumplimiento al verse afectada la empresa por la legislación vigente del país o
  • Necesarias para poder trabajar con socios que nos obligan a adoptar ciertos procedimientos de trabajo en nuestra relación con ellos: normas ISO, sello de ciberseguridad, …

1.2.4. Procedimientos.

Estos son acciones documentadas que describen con precisión las tareas a realizar para cumplir con un objetivo. Permiten homogeneizar las tareas que involucren la utilización de información o recursos informáticos de la empresa, consiguiendo minimizar los riesgos que afecten a la seguridad de la misma.

Algunos ejemplos de los procedimientos que pueden utilizarse en una PyME son:

  • Configuración de las cuentas de correo.
  • Configuración de VPNs (Redes Privadas Virtuales) para acceder a los sistemas informáticos desde el exterior de una forma segura.
  • Configuración de las copias de seguridad de la información y procedimientos de restauración.