Para poder disponer de un plan de ciberseguridad eficaz, primero hay que saber que bienes hay que proteger, sean de carácter material o inmaterial (edificios, ordenadores, programas, datos…), una vez conocido, hay que investigar las posibles vulnerabilidades para determinar los riesgos. ¿Para qué se hace el plan? Para prevenir, evitar o eliminar esos riesgos.
En la primera mitad del pasado año 2017, muchos equipos informáticos de todo el mundo se vieron afectados por un programa dañino llamado “WannaCry”, que una vez ejecutado en los equipos codificaba los datos, de tal manera que impedían la ejecución normal de los programas. Y los usuarios se veían obligados a pagar en bitcoin en una dirección de la red oculta, una vez realizado el pago recibían la clave para descodificar los datos, y poder volver a la normalidad, si es que esa situación de abuso podía llamarse así cuando tanto particulares como empleados recibieron un correo simulando una empresa conocida y ejecutaron un programa adjunto.
¿Por qué se vieron afectados tanto los particulares como las empresas? Porque el camino que siguieron hasta caer en el engaño era fácil y sencillo, ya que en ambos casos habían recibido un correo que simulaba una empresa conocida en el mercado y ejecutaron un programa adjunto iniciando el proceso, volviéndose imparable. ¿Se podría haber evitado la situación anterior?
Colaboración ¿intencionada?
Hoy en día, sabemos que en el mundo hay muchas personas dedicadas a entender las vulnerabilidades de los sistemas operativos, ya sea para grandes corporaciones o para servicios de seguridad, incluso patrocinados por países, lo que podría facilitar a este colectivo realizar ciberataques de carácter intrusivo sobre los equipos. Pero a esta especialización de la que acabamos de hablar hay que añadir lo importante que es la colaboración, intencionada o no, de personas que reciben o usan los email. Surgen algunas cuestiones adicionales ¿todos los empleados necesitan tener acceso a internet? ¿todo el mundo puede introducir o sacar datos pinchando un disco duro externo, (pendrive) o similar? ¿qué empleados pueden tener comunicaciones abiertas? ¿son seguras las claves de acceso que se utiliza? Si tenemos equipos a nuestro cargo ¿aplicamos las políticas de seguridad que los fabricantes de software recomiendan? Se ha constatado y es suficientemente conocido que, aunque se conozca la vulnerabilidad, muchas empresas no aplican las políticas adecuadas.
Todo esto nos lleva a pensar sobre cuántos recursos, en tiempo y dinero, hay que dedicar a la ciberseguridad y hasta dónde llegar. Cuestiones que todo el mundo tiene que responderse de una manera u otra. Por último, para evitar que la ciberseguridad sea tomada como una actividad que impide el desarrollo diario de cualquier negocio y vivirla como una aliada que permite trabajar de manera segura, aunque haya que seguir ciertos procesos y procedimientos, debemos tener una política de comunicación adecuada.
Manuel García Ramírez
Director en MGR Consultores IT y Seguridad