Hace unos años la ciberseguridad tenía su centro de gravedad en la protección del perímetro de la red. Lo que ocurría fuera de ese perímetro, sencillamente, no era asunto nuestro. Ese modelo antiguo, que se basaba en la idea de la fortificación, ha sido sobradamente superado por el desarrollo de la tecnología. Esa tecnología y los nuevos paradigmas que vienen de la mano nos han obligado a abrir nuevas puertas y ventanas en nuestro castillo: Smart City, Internet de las Cosas, Big Data, 5G y un largo etcétera son buen ejemplo de ello.
Ante esto podemos adoptar fundamentalmente tres actitudes:
- la primera de ellas es la creer que Dios existe, y que además su función principal es ocuparse de que tu seguridad lógica y tu protección de la información sea invulnerable, de que a ti y a los tuyos no os pase nada. Y claro, con ese servicio de ciberseguridad no necesitas nada más. Te deseo suerte. Más pronto que tarde la vas a necesitar. En este aspecto soy un ateo convencido.
- una segunda actitud parte de que todo es riesgo, todo es amenaza, ¡me van a atacar! y haga lo que haga seguiré estando sometido a riesgos y amenazas y ¡me van a atacar! Veamos, aun siendo en parte cierta la amplitud de los riesgos y amenazas, esta postura refleja una distorsión de la realidad más próxima a la neurosis que al conocimiento técnico. En este aspecto mi salud mental puede ser, incluso, certificada.
- y, por último, hay una tercera actitud. Es aquella que pasa inevitablemente por la aptitud. Y utilizo el término “aptitud” en términos amables y cotidianos, para evitar debates sobre el alcance y profundidad del concepto. Debemos prepararnos para entender en este aspecto, al igual que entendemos de otras cosas. Por ejemplo, la inmensa mayoría no somos expertos en seguros pero quién más y quién menos ha contratado un seguro de vivienda, del automóvil, de decesos, o de lo que sea. Quién más y quién menos cuando entra o sale de su casa cierra la puerta. Pues esto no varía mucho. Hay que prevenir, proteger y en su caso responder.
Si algo debemos saber todos es que somos potencialmente vulnerables a los riesgos en el ciberespacio. Si con tu móvil o con tu Tablet te conectas a tus cuentas privadas en una wifi pública has de saber que no sabes que tienes la puerta de casa abierta.
Las grandes organizaciones se preparan y disponen de medios y recursos para ser menos “atacables” y más resilientes ante este tipo de eventualidades. Las pymes suelen disponer de menos recursos y, en parte porque quizá sean más optimistas o menos conscientes del ciberriesgo, hacen caso omiso sobre esta cuestión. Y los autónomos, pues, con las excepciones que seguro que existen, lo llevan cargado a la espalda junto con la prevención, la calidad, la fiscalidad, …, y todas esas cosas que hacen que una vez finalizada la jornada de trabajo comience, sin solución de continuidad, la jornada de administración.
Volvamos a las grandes organizaciones. Sabemos que muchas de ellas, en diferentes sectores, realizan importantes inversiones en recursos tecnológicos y humanos en los departamentos creados ad hoc en este ámbito. Por desgracia, en la ciberseguridad, también sabemos que en no pocas ocasiones lo que suele ser descuidado es el elemento humano. Esto no es distinto en otros ámbitos de la seguridad. Se ponen medios, se destinan recursos, y se olvidan de quienes los utilizan. En torno a un 70% de las brechas de seguridad que se producen en las organizaciones son producidas por errores humanos en el seno de las propias organizaciones. Tenemos, por tanto, un problema evidente, porque el error humano no puede ser siempre contenido por medidas tecnológicas. Este es un asunto cuyas vías de solución está, indubitablemente, en la formación y en la concienciación.
Por otra parte, los datos publicados y las proyecciones a futuro nos dicen que mientras más gastamos en ciberseguridad y ciberdefensa mayor es el número de ciberdelitos y ciberincidentes. Es decir, tenemos un panorama que dice que a más gasto más daño. Es más que posible que, siendo esto cierto, tozudamente cierto, y así lo confirman todos los estudios sobre la materia, no estemos en el camino correcto. Habrá que hacérselo mirar.
Termino este artículo breve con cuatro términos que deberíamos tener siempre presentes y que habitualmente no vemos en artículos y manuales profesionales, a pesar de que deben ser los puntos cardinales de nuestra ciberbrújula: precaución, prudencia, cautela y sensatez.
Ricardo Vidal
Director de Seguridad Dpto. 967