El webinar “Ciberriesgo: amenazas y riesgos en un mundo hiperconectado”, impartido por Mariano Blanco Gema, generó cuestiones sobre el ámbito de la Gestión de Riesgos en el ciberespacio. El ponente, experto en Risk Management y Seguros, da respuesta a cada una de las preguntas planteadas en el seminario online.
Pregunta: ¿Qué metodología de análisis de riesgo se debería utilizar para ciberriesgo?
Respuesta: El tipo de actividad de la empresa, su exposición a procesos en Internet, el hecho de que hagan o no ventas online, en función de esos y otros parámetros habrá que actuar de un modo u otro.
P: ¿Dónde puedo conseguir material sobre estrategias de continuidad para el proceso de ciberseguridad y seguridad de la información?
R: Existe muy poca bibliografía al respecto. Se trata de un tema aún poco explorado en cuanto a continuidad de negocio. CRAWFORD tiene algo, también puede encontrar algo en Lazarus.
P: ¿Cuál es su visión sobre los seguros para ciberataques? ¿Cómo ve la situación frente a la ciberseguridad en Latinoamérica?
R: América Latina no es diferente al resto de países. La piratería y los ciberataques son algo muy globalizado. En cuanto a los seguros, actualmente hay ya mucho desarrollo de soluciones aseguradoras. Para los daños físicos, todavía hay desarrollo por hacer y pocas soluciones disponibles.
P: ¿Qué elementos como mínimo recomienda para una buena arquitectura en seguridad? ¿Implementar una VPN es un modo seguro para conectarse o también es vulnerable hoy en día?
R: No hablaré aquí de arquitectura de seguridad. Hay una serie de elementos que son fundamentales y básicos, del tipo Cortafuegos, Antivirus y demás. Para mí el elemento clave es el humano. Los empleados a todos los niveles de la empresa han de estar bien concienciados y entrenados.
P: ¿Necesitamos un código global? ¿Podría permitir este mundo hiperconectado la rápida expansión viral de información engañosa o provocadora, con intención o sin ella, con consecuencias serias?
R: En general me temo que las noticias son malas. Los gobiernos en general están muy poco activos en esta materia. Sí que prestan atención a algunas infraestructuras críticas, pero de una manera muy tímida y poco decidida. Fíjese que en España solo en 2015 se lanza el INCIBE, que es una iniciativa gubernamental.
P: ¿Cuál es el riesgo más alto que tienen las compañías de seguros en cuanto a la seguridad de la información o ciberdelincuencia? ¿Qué políticas básicas deberían implementarse?
R: Para una compañía de seguros el riesgo más alto es la captación de datos de los clientes, y el posterior uso malicioso de esos datos. Otra forma de riesgo es que los procesos de moneda (dinero en movimiento) se vean interceptados, el acceso indebido a los sistemas de siniestros, las bases de datos y los repositorios de material actuarial. Las redes de ordenadores de las aseguradoras suelen presentar muchas vulnerabilidades. Son varios los peligros concretos y por desgracia el seguro no es muy modélico en prevención, tampoco la banca.
P: ¿Es posible medir mediante software el ciberriesgo de la empresa? ¿Cómo se cuantifican las necesidades de protección del ciberriesgo con respecto al ROI? ¿Cuál es la mejor forma de protegerse contra el ciberriesgo?
R: La mejor manera de cuantificar este peligro respecto a la inversión necesaria y la repercusión en el ROI es a través de un proxi, un criterio indirecto. Yo tomaría como medida el precio del seguro para transferir este riesgo. Suele ser una valoración generalmente aceptada. Si el seguro cuesta X, ese X es el coste de no protegerse y debería trasladarse al ROI. Es mi modesta opinión.
P: El ciberriesgo se potencia cuando el nivel de preparación y conocimiento de los usuarios de recursos tecnológicos es bajo. ¿Cuál sería una estrategia que la organización puede usar con sus clientes externos que tiene ese perfil de usuario?
R: Los niveles de acceso de los usuarios deben estar bien jerarquizados, con formato de privilegios, de manera que solo aquellas personas que tienen necesidad real de acceso a ciertas áreas o repositorios de datos puedan acceder. Es decir, hay que establecer y definir con mucha precisión el nivel de acceso de cada tipo de usuario y hacerlo con carácter restrictivo. Otra buena idea es impedir que los ordenadores de la empresa y los de los usuarios externos no acepten lápices de memoria, ni memorias externas. También, establecer vigilancia sobre las descargas que hace cada usuario del sistema. Es algo muy usado en las firmas de trabajo legal (grandes bufetes) cuando alguien descarga mucha información. Hay que investigarlo de inmediato y detener la descarga si no estuviese justificada.
P: ¿Cuáles son las acciones más complejas de implementar para gestionar este riesgo de ciberseguridad?
R: Insisto en que el factor humano, como en casi todos los riesgos, suele ser el elemento clave. Que los operarios estén bien entrenados y concienciados, para mí, es la primerísima línea de defensa, pero a la vez es la más complicada.
P: ¿Cuál es su opinión respecto a la aplicación del Derecho y los ciberdelitos?
R: Este tema nos daría para un webinar completo o casi para un curso en EALDE por sí solo. Está habiendo muchísimo desarrollo legal sobre ciber delincuencia y habrá mucho más.
P: Por seguridad tengo implementado un firewall y antivirus. ¿Qué sistemas de seguridad adicionales me recomiendas?
R: Un buen sistema de controles de acceso y permisos jerarquizados para que cada quien solo pueda acceder a áreas muy concretas sería prioritario y no muy costoso de implantar. Es solo una pincelada.
P: ¿Cuáles son las herramientas o normas que se usan para reforzar la ciberseguridad en las empresas?
R: Herramientas hay muchas, de tipo hard y soft, las normas legales escasas, aunque sí que están proliferando las normativas de uso interno y las guías de cada empresa al respecto, cursos y tutoriales para que los alumnos revaliden sus conocimientos. Hay todo un universo de normas de carácter interno.
P: ¿Tiene conocimiento de algún país que ya tenga regulación en cuanto a ciberriesgos?
R: El ciberriesgo se introduce en los códigos penales de justicia de manera tímida y lenta. El delito va siempre por delante del derecho. Es una carrera eterna. Los delitos de ciberseguridad suelen ir ligados a otros más antiguos de fraude, difamación, violación de la intimidad y protección de las telecomunicaciones. Esos tipos delictivos se adaptan en cada país para recoger la evolución digital. La Unión Europea es un buen ejemplo de desarrollo legal de ese tipo.
P: Ingeniería social, ¿herramienta o amenaza?
R: Lo veo como una amenaza, por más que me resulte (a veces) simpático. Si prefiere alguien verlo como herramienta… ok, pero es una herramienta para delinquir. Una última cosa, la ingeniería social siempre se basa en la ingenuidad de las personas, en la falta de cuidado de la víctima.
P: ¿Es de utilidad el compartimentaje de información para evitar ataques provenientes del interior de cualquier empresa? ¿Limita la operación de la misma de alguna forma?
R: Yo lo veo fundamental. La información tiene que estar bien compartimentada y quien deba acceder a ella bien vigilado y con un proceso de privilegios bien definido. El acceso a los datos nunca puede ser ni fácil, ni caprichoso.
P: ¿Qué tipo de actividades preventivas podemos implementar para evitar la materialización del ciberriego?
R: Lo fundamental es que nuestros equipos estén bien informados y formados. Luego todo lo demás.
P: ¿Qué apoyo existe sobre este riesgo para las microempresas que deciden digitalizar sus movimientos? ¿Existe algún apoyo?
R: No existe que yo sepa, ni nada similar. Hoy en día las pymes deben vigilar sus infraestructuras con el mismo celo y cuidado que las grandes empresas. El potencial ataque no conoce tamaños de empresas. Es igual para todas.
P: El uso del código abierto forzado a usar por instituciones del Estado hace vulnerables a la información pública. Usar firewalls limita en parte el acceso. Sin embargo, se pueden crear túneles de acceso. ¿Hay manera de limitar estos túneles desde las empresas proveedoras de servicios de internet?
R: Si hay que trabajar con la administración pública, eso nos lleva a grandes peligros. Mi mejor consejo es aislar las máquinas que puedan ser usadas para trabajar con el Estado, de forma que esas máquinas puedan ser las infectadas, sin que un eventual ataque pueda pasar al resto de la empresa. Es un método eficaz y especialmente sencillo de implantar.
P: ¿Puede darnos ejemplos de cómo se podría utilizar este robo de información para realizar operaciones de lavado de dinero?
R: Hay muchas maneras de utilizar el ciberdelito en lavado de activos ilícitos. De hecho, hoy en día es la vía preferencial.
0 comentarios