El Economista - El Economista Tecnologia
Ciberdefensa: la cara oculta de la moneda
A nivel de usuario, para evitar un ataque hay que empezar por instalar un antivirus, no confiar en todas las actualizacones y no abrir archivos adjuntos de desconocidos. Las empresas tienen otras reglas de oro
Desde hace un tiempo se ha puesto de moda la palabra ciberataque para designar la explotación de una vulnerabilidad del mundo digital, entendido como la relación del serhumano con las redes y los servicios que ofrece. Sin embargo, en nuestro entorno cercano se habla poco de ciberdefensa, la cara oculta de la moneda. Según el prestigioso Ponemon Institute –centro de investigación para la privacidad, protección de datos y políticas de seguridad de la información– ocho de cada 10 Responsables de Seguridad (CISO) no creen que los ejecutivos de la Junta Directiva de su firma entiendan los riesgos de perder datos sensibles. Este dato y la observación del entorno nos pueden hacer pensar que, cuantomenos, en el caso de que el paradigma actual sobre la seguridad de la información esté bien definido, podemos tener un problema de comunicación. Los expertos en seguridad tenemos que esforzarnos en transmitir mensajes simples, claros y tangibles a la sociedad sobre cómo proteger la información, tanto a nivel personal como a nivel corporativo.
Eugene Kaspersky es el CEO de Kaspersky Lab, la mayor empresa de seguridad informática privada. En su despacho tiene una pizarra con la siguiente inscripción garabateada amano: Today’s Task: Save the World. Afirma que su misión es salvar el mundo, y en los ratos libres, viajar. Cuando se le pregunta ¿por qué? responde: “Es la misión de la compañía, la visión que tenemos: salvar al mundo. No sólo es un negocio, no sólo es obtener beneficios, no es sólo tecnología estamos peleando contra los villanos, contra las amenazas del ciberespacio, contra la Internet oscura y el lado malévolo de las tecnologías que la habitan”. En opinión de Eugene, para que un usuario proteja su información, en realidad, sólo hay que seguir tres mandatos muy simples: “[1-U] no olvides instalar un antivirus, [2-U] no confíes en cualquier aplicación, [3U] no abras adjuntos de desconocidos. Con esto una persona puede estar segura al 100 por cien”
Eugene, además, afirma que para una corporación la cosa cambia: hay que hacer convivir a los seres humanos con las redes, lo cual no es fácil. Según el Top35 de las estrategias de mitigación del Australian Signals Directorate, al menos el 85 por ciento de las intrusiones en las corporaciones podría haber sido mitigado siguiendo las siguientes cuatro estrategias de mitigación: restringiendo los privilegios administrativos, disponiendo de listas blancas de aplicaciones y actualizando las aplicaciones y el sistema operativo.
En concreto, las estrategias pasan por [1-O] restringir los privilegios administrativos a los sistemas operativos y aplicaciones basándonos en derechos de usuario, [2-O] utilizar listas blancas de aplicaciones de software para ayudar a prevenir la ejecución de programas no aprobados o maliciosos, [3-O] parchear aplicaciones como Java, visores de PDF, Flash, navegadores web y Microsoft Office y parchear las vulnerabilidades del sistema operativo. Estas tres simples, claras y tangibles recomendaciones de ciberdefensa, tanto a nivel usuario [U] como a nivel de organización [O], nos pueden ayudar a comunicar a la sociedad cómo protegerse, de forma que pondríamos en jaque amás de un niño de la pequeña ciudad rusa de Cheliábinsk y haríamos que el Museo de Cera de Víctimas de Ciberataques no creciera exponencialmente.