La Ciberseguridad: la desconocida que se hizo famosa

Vivimos un momento increíble, una etapa donde se están fraguando los principios y las bases que tendrán una enorme repercusión en los próximos años dentro del mundo digital e Internet, en un sentido amplio. Por eso es importante que seamos más visionarios que nunca e intentemos acertar en poner esos pilares, ya que la velocidad de los desarrollos de las tecnologías, su ampliación de capacidades y funcionalidades, tendrá que tener una senda de crecimiento económico, pero también de respeto a las normas, a la soberanía de los países, y a los derechos e intereses de empresas y ciudadanos.

Pero el Ciberespacio también se ha convertido en un campo donde se libran nuevas batallas, que hasta hace poco la gran mayoría desconocía, y donde la Ciberseguridad tiene un papel protagonista. Y es que allí donde se sitúan las cosas que tienen valor, allí van los negocios legítimos, pero también los delincuentes. Y es que sin duda, la información y los datos son el activo intangible, que junto a la propiedad intelectual, más valor tienen en la economía actual.

Y las tendencias para que esto siga creciendo son ya una realidad poco a poco:

• El crecimiento de las redes sociales y la publicación de información, fotografías, sentimientos, relaciones, etc.
• El llamado fenómeno del Big Data, las capacidades de recolección de datos, la aplicación de inteligencia para hacer perfiles y predicción de comportamientos, etc.
• El denominado “Internet de las cosas” o la multiplicación de IP´s en nuestra vida cotidiana lanzando información a través de Internet (teléfonos, PC´s, tablets, televisores, consolas, coches, neveras, alarmas de domicilio, etc.).
• El uso de Internet tanto en la vida personal como profesional deriva en cada vez mayor movilidad, diferentes dispositivos, más app´s, etc.
• Las amenazas, o ciberamenazas como ahora son llamadas, evolucionan, cambian y crecen tan rápido como la tecnología permite.

Para prevenir y defenderse de ataques en este entorno resulta fundamental para cualquier país tener una adecuada política de Ciberseguridad, que se traduzca en tener una Estrategia, los roles del Estado y Defensa bien definidos, los recursos y medios adecuados, establecer cauces de colaboración público-privada eficaces, formar a los profesionales de la ciberseguridad con lo último, ayudar a las empresas a repeler y prevenir ataques, establecer un marco jurídico adecuado que permita todo lo demás, realizar labores de concienciación a ciudadanos y empresas de su papel y responsabilidad para prevenir ciberataques, etc.

Actualmente el marco normativo español en Ciberseguridad puede resumirse principalmente en:

• –          La Estrategia de Ciberseguridad Nacional, aprobada hace apenas unos días por el Gobierno.
• –          El vigente Código Penal que tipifica los delitos informáticos.
• –          La normativa de protección de Datos (Ley Orgánica 15/99, Real Decreto 1720/2007, etc.)
• –          La ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
• –          Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
• –          Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

A nivel comunitario, cabe destacar la Directiva 2013/40/UE del Parlamento Europeo y del Consejo de 12 de agosto de 2013 relativa a los ataques contra los sistemas de información, así como la Estrategia Europea de Ciberseguridad.

Y en los próximos meses nos enfrentamos a posibles cambios normativos y publicaciones de nuevas normas que tendrán un gran impacto: Reglamento Europeo de Protección de Datos, planes sectoriales de protección de infraestructuras críticas en sector Nuclear y Energía, modificaciones del Código Penal, etc.

Mientras tanto, debemos utilizar los medios y normas a nuestro alcance para luchar contra las diferentes amenazas y formas de ciberdelincuencia, que el Centro Nacional de Inteligencia clasifica de esta manera:

• Ciberespionaje: robo de propiedad intelectual a AAPP y empresas estratégicas. Amenaza: China, Rusia, Irán, etc.
• Ciberdelito-cibercrimen: hackers, fraude, robo de tarjetas, blanqueo, etc.  Amenaza: Hackers y crimen organizado.
• Ciberactivismo: robo y publicación de información, ataques a servicios web, etc. Amenaza: Anonymous y otros grupos.
• Ciberterrorismo: propaganda, financiación, ataque de infraestructuras críticas, etc. Amenaza: ETA, grupos Yihadistas, etc.

Como vemos, los ataques, los atacantes, las víctimas, así como los objetivos a conseguir son muy diferentes, pero debe existir una coordinación importante en los sistemas de defensa, entre el sector público y privado, y además un marco normativo adecuado para perseguir tales acciones.

En el aspecto empresarial, según nos contó Nick Coleman de IBM el pasado noviembre en la Jornada Internacional de ISMS Forum, una compañía grande, como media, debe filtrar 73.400 ciberataques anualmente para identificar y analizar 90 posibles incidentes con capacidad de causar algún daño en la compañía.

Según el último informe sobre Riesgos globales en seguridad corporativa de abril de 2013 de Kaspersky Lab, los ataques informáticos contra una gran empresa pueden causar daños de hasta 1,7 millones de euros, de los cuales aproximadamente 1.583.860 euros provienen directamente de la pérdida de datos críticos de la compañía, interrupciones del negocio y gastos de reparación.

Pensemos además en el daño reputacional que el éxito de un ciberataque puede causar en una compañía de prestigio y bien posicionada en el mercado. Los propios informes del World Economic Forum de los últimos años posicionan los ciberataques, la protección de las infraestructuras críticas, y los robos masivos de datos, como algunos de los mayores riesgos globales del mundo, junto a otros como el envejecimiento de la población, la emisión de gases, o el cambio climático.

Los profesionales que nos dedicamos a estas materias solemos estar de acuerdo en las líneas de acción para mejorar nuestras capacidades en ciberseguridad, pero hay que admitir que el reto es gigantesco, ya que son muchas las partes y las variables a considerar. Como conclusión, a continuación indico algunos de los aspectos que entiendo fundamentales para avanzar hacia un escenario adecuado de Ciberseguridad:

• –          Fomento de la concienciación y responsabilidad ciudadana en el uso de sistemas de información e Internet.
• –          Mayor vigilancia y monitorización de las redes y sistemas corporativos de empresas y AAPP.
• –          Fomentar la colaboración público-privada, incluyendo incentivos a las compañías, tendiendo líneas de coordinación eficaz con la AAPP y las Fuerzas y Cuerpos de Seguridad del Estado.
• –          Dotar de recursos y medios a los actores que tienen un rol importante en ciberdefensa y ciberseguridad, ya que muchos de ellos se encuentran absolutamente saturados.
• –          Aplicar una inteligencia colectiva y compartida que permita conocer mejor a los atacantes, acercarnos a ellos y prevenir futuros ataques y neutralizar a los atacantes.
• –          Armonizar el marco legal existente tanto en Europa como con otros países que actúan como socios en el ciberespacio para mejorar persecuciones, investigaciones, procesamientos, etc.
• –          Establecer un marco normativo equilibrado que obligue a las compañías a implantar programas eficaces de Compliance para proteger la información de su negocio, de sus clientes, accionistas, empleados, etc.
• –          Contar con ayudas y servicios para entidades y PYMES que se encuentran más indefensos en este territorio.

Carlos Alberto Sáiz Peña

Socio de Ecix Group, y miembro de la Junta Directiva de ENATIC