Definicion de la ciberseguridad y su riesgo

La definición de ciberseguridad por parte de ISACA (Information Systems Audit and Control Association – Asociación de Auditoría y Control sobre los Sistemas de Información) es la “Protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados”.

ISO 27001 define Activo de la Información como “conocimientos o datos que tienen valor para una organización”, y Sistemas de Información como “los que comprenden a las aplicaciones, servicios, activos de tecnologías de información u otros componentes que permiten el manejo de la misma”.

El 12 de mayo de 2017 comenzó una infección masiva de equipos a nivel mundial, tanto de personas como de organizaciones. La causa: un malware del tipo ransomware que bloquea el acceso a los ficheros del ordenador afectado y solicita un rescate para permitir el acceso. Además infectaba los ordenadores vulnerables de la red en la que estaba el primer equipo infectado.

Las personas deben ser conscientes de los riesgos y conocer las buenas prácticas en materia de ciberseguridad, en la utilización de los dispositivos y medios sociales. Si todas las personas de una empresa lo son, por descontado lo serán las empresas. Sin personas probablemente no se posible la existencia de la empresa, al menos por el momento.

La globalidad que significa Internet supone un nuevo escenario en el que empresas y personas deben tomar medidas adecuadas para proteger debidamente los activos de información, y cumplir así el principio de la definición de ciberseguridad.

Conocer y emplear buenas prácticas en redes sociales, e-mail, website, y demás entornos online evitará posibles amenazas e incidentes de seguridad que, de suceder, pueden suponer grandes y graves pérdidas económicas, parada de los negocios, robo de datos sensibles (personales o de negocio), y, en definitiva, pérdida de confianza de los clientes y quebranto de la reputación, que finalmente se traducirán en disminución de resultados o desaparición de un negocio, incluso posibles problemas legales por daños o pérdidas económicas.

En nuestro mundo actual, los riesgos de ser víctimas de un incidente de ciberseguridad se multiplican, y la superficie de exposición al riesgo cada día es mayor: aplicaciones, servicios, activos de tecnologías de información u otros componentes, ordenadores, smartphones, dispositivos del internet de las cosas “IoT” conectados a internet; servicios de cibercrimen, que se ofrecen a cualquiera que esté dispuesto a pagar por ellos; ransomware “as a service”, comercializando los elementos necesarios para ejecutar estas actividades, incluso sin habilidades o conocimientos técnicos por parte del comprador.

La mayoría de los ciberataques están relacionados con la ingeniería social, o el “arte del engaño” (trucos y estrategias para engañar a un usuario para que éste infecte su dispositivo, facilite información privada o acabe haciendo lo que no desea), cuyo objetivo es el engaño para obtener contraseñas, datos personales, credenciales de acceso, imágenes o datos para posteriormente extorsionar.

Las soluciones deben ir encaminadas a tratar las amenazas que ponen en riesgo la información, como se indica en la definición de Ciberseguridad. Además deben ser elementos importantes y principales la concienciación y el uso de buenas prácticas que eviten correr riesgos innecesarios.

El 12 de mayo de 2017 debe suponer un punto de inflexión en la sensibilidad respecto de la definición de ciberseguridad y del riesgo. Hay que estar preparados y trabajar en la prevención / concienciación. Aún así, las amenazas pueden afectarnos irremediablemente, y en cualquier momento, pero estaremos en mejor condición para evitarlas.

El Máster en Ciberseguridad es un excelente foco de conocimiento al respecto de este área estratégica en la empresa.