El ABC del Ciberriesgo
Publicado en dos partes en el magazine de Community of Insurance el 18 y 25 de septiembre de 2016
¿A qué nos exponemos? ¿Qué queremos proteger?
Desde preservar nuestro nuevo mundo digital y evitar volver al pasado, hasta maximizar la prosperidad y el bienestar de nuestras empresas y de nuestras vidas.
Tenemos que proteger nuestro mundo, y desde este siglo en nuestro mundo, tiene un protagonismo clave lo digital y lo tecnológico.
A nivel macro, puede ser apocalíptico o cercano a la ciencia ficción considerar un “ worse escenario” en el que la inseguridad e inestabilidad en las redes supere a sus ventajas. Incluso podemos pensar en el peor de los escenarios, en el que lleguemos a una situación tal de incidentabilidad, ciber delincuencia, ciber guerra y colapso debido a un gran ataque o a la conjunción de grandes ataques que lleve a nuestro mundo y a nuestra sociedad a una vuelta al pasado, incluso a la época preindustrial.
Es difícil cuantificar cual sería la perdida máxima posible para este mundo interconectado. Incluso cuesta imaginarla. Desafortunadamente el “mal“ tiene más imaginación cuando de destrucción hablamos.
¿Se imaginan un mundo sin comunicaciones, en el que los aviones no volasen, las personas no pudieran desplazarse, las máquinas no fabricasen y la información hubiese sido borrada (nuestras cuentas bancarias y nuestros ahorros, nuestros historiales clínicos, académicos, nuestra identidad, nuestros recuerdos, etc.), en el que solo pudiéramos transaccionar con el entorno que tuviéramos físicamente al lado?.
¿Se imaginan los daños personales derivados de un sabotaje a una central nuclear, de la contaminación de un bien básico como el agua, o de un virus letal esparcido? ¿ o quizás ciudades sin energía que las mueva, el colapso de un país, la desaparición de la información financiera? ¿Se imaginan millones de nuestros próximos coches autónomos descontrolados por una intrusión? ¿o la vulnerabilidad de los sistemas, aparatos y elementos clínicos interconectados?…
No ocurrirá, pero teóricamente puede ocurrir.
Se han de poner todos los medios en prevención, detección, recuperación, en la protección de las infraestructuras críticas y en la colaboración, por parte de los Agentes públicos, la fuerzas de seguridad y defensa, mundo académico, los agentes privados (empresas y otras organizaciones), y por parte del último pero quizás el más importante eslabón de cadena: la ciudadanía ( ya actuemos como clientes, empleados, usuarios, etc.).
Los “malignos” estarán en activo permanentemente (sea por motivos económicos, por motivos de radicalismo político, odio y terrorismo, o simplemente por pasar a la historia, o sean estados soberanos prevaricadores), intentándolo sin cejar, con sus capacidades, a sus escalas, con sus objetivos, afectando a lo macro o a lo micro, pero ahí están.
Bajando a lo micro, al mundo de las empresas, de otras organizaciones y de los particulares, el ciber crimen nos afecta a las personas y empresas en nuestro día a día.
Piense como afectaría a su negocio o a la empresa en la que trabaja (y por lo tanto a usted) un ataque que produzca un robo de datos, que le suponga sanciones importantes, y/o que interrumpa el negocio de forma no recuperable o al menos gravemente, que dañe la reputación de su empresa y tengan impacto en la caída de las ventas, y/o que produzca reclamaciones de terceros, o daños a bienes e incluso a personas.
O sin que realmente haya habido ningún ataque, piense en la posibilidad de que su empresa pierda un buen cliente o no lo gane, por no disponer, en un mundo de los negocios interconectados, de las medidas de seguridad, protección y defensa necesarias y requeridas por el cliente para contratarle y ser su empresa un peligro para la empresa cliente y para su cadena de suministro. (pese a que pueda ser la mejor en todo lo demás)
La ciber seguridad es un asunto de Pymes, no solo de grandes empresas. Nos ha de preocupar, pero sobre todo nos ha de ocupar más que preocupar.
Cerremos este apartado pensando en términos de normalidad: hay que protegerse contra los ciberriesgos del día a día de nuestras empresas y nuestra sociedad, para hacer nuestros negocios más prósperos y nuestras vidas más seguras.
Aspectos fundamentales a considerar
Nueve puntos principales que hemos de considerar cuando se mapea el ciberriesgo:
- Es un problema transversal y cros sectorial
- Se ha de mirar más allá de las fronteras tradicionales: el ciber riesgo se puede encontrar en cualquier punto de la cadena de valor
- Conocer y saber cómo son y cómo se desenvuelven los ciber criminales: cuáles son sus motivaciones y los activos en riesgos
- Se deben gestionar las expectativas en relación con el apetito de riesgo: la empresa ha de tener claro hasta donde quiere protegerse y que riesgo residual puede y quiere aceptar
- Monitorizar permanentemente, no bajar la guardia: conocer el riesgo que nos rodea y aprender de los incidentes de otros
- Testear permanentemente nuestro nivel de protección y nuestra capacidad de detección y respuesta, a través de ataques simulados
- Compartir y aprender de las mejores prácticas en la industria ( nuestro sector y otros)
- Se han de asignar papeles y responsabilidades dentro de cada organización: cada empleado ha de conocer e interiorizar su responsabilidad en relación a la gestión del ciber riesgo
- Mantener la seguridad higiénica como una prioridad (ej. contraseñas)
ALGUNOS DATOS PARA COMPRENDER EL CIBERIESGO
Mostramos alguna estadística para comprender el ciberriesgo:
a) Los ataques están en los sistemas del atacado de media 256 días hasta que son detectados ( 2015 Cost of Data Breach study, Instituto Ponemom)
b) El 90% de las campañas de “phishing” (suplantación de identidad) tienen existo con el envió de tan solo 10 e-mails a la organización atacada ( Verizon DBIR-2014)
c) En el 95% de todos los incidentes, se reconoce el factor humano como el factor o uno de los factores desencadenantes ( IBM Cibersecurity Intelligence)
d) Un 23% de los usuarios comparte sus claves de acceso con compañeros
e) Un 80% de los ataques podría evitarse simplemente con una “ higiene” de las redes, de los sistemas y los dispositivos, que incluyese claves de acceso y configuración seguras, así como recertificación de accesos. ( National Audit Office-IK Cyber Security Strategy landscape review)
f) Ejemplos de claves comunes: 12345678, password, etc
g) Un 85% de los incidentes de ciber espionaje son descubiertos por terceros ( Verizon DBIR-2014)
h) El 96% de la vulnerabilidades críticas que afectan al sistema operativo Windows se podrían mitigar quitando los derechos de administración de los usuarios ( Avecto 2013 Microsoft Vulnerabilities Study)
i) En el 100% de la brechas de datos se detecta un robo de credenciales ( Mandiant)
j) En 2020 habrá en el mundo 1 trillón de dispositivos conectados
k) Un 30% de la Información de Negocio de las empresas esta en nubes ( IBM)
¿QUIENES SON LOS POTENCIALES ATACANTES?
Estos serían los “actores del mal” involucrados:
A) Estados soberanos. Disponen de alta capacidad, presupuesto para actuar y capacidad de internalizar lo hackeado. Su objetivo es sacar ventaja política y militar, y en muchas ocasiones ganancia económica. Ponen sus ojos en las infraestructuras críticas, la propiedad intelectual e información crítica de otros estados, empresas privadas, centros de investigación, etc.
B) Ciber Terrorismo o Ciberyihadismo (Nuevo)
C) Crimen organizado (ver artículo Afronta con garantías la era digital: Tecnología y amenaza global) Dispone de capacidad entre moderada y alta, y un fácil acceso al mercado negro. Busca ganancia financiera y conocimiento para preparar ataques futuros. Sus ojos están puestos en información personal, propiedad intelectual y en los sistemas de pago.
D) Hacktivistas: con capacidad moderada y bajo presupuesto disponible. Sus objetivos son cambiar los comportamientos de negocio, proporcionar transparencia, mejorar la seguridad poniendo de relieve deficiencias en la misma, cambiar la sociedad. Se dirigen a las comunicaciones sensibles, a los procesos de negocio y a la información personal. A diferencia de los malignos ( cibercriminales), en general son idealistas y en bastantes ocasiones altruistas. No suelen buscar ventajas económica directa ( si en muchas ocasiones indirecta, como ser fichados por grandes corporaciones, fama o reconocimiento público, etc)
E) Script Kiddies: Disponen de poca experiencia, atacan vulnerabilidades conocidas. Buscan reconocimiento, o bien les guía la curiosidad, o bien, en algunos casos, venganza personal. Sus objetivos son aquellos que sean sencillos. Quieren impresionar a sus amigos o ganar reputación en comunidades de entusiastas de la informática, pese a no tener base firme de conocimientos informáticos. Utilizan programas y scripts desarrollados por otros para atacar sistemas de computadoras y redes.
CIERRE
Se habla mucho de ciber riesgo, pero se ha seguir actuando en todos los niveles. En España, si bien la concienciación y actuación es alta a nivel de gobiernos (con plan estratégico en marcha) y entidades públicas, fuerzas de seguridad y grandes empresas, los hechos indican que no existe esa concienciación a nivel de muchas pequeñas empresas y para muchos ciudadanos.
Si tiene una empresa y no está protegido, asesórese con expertos, implemente un sistema de detección de ataques, testee y analice permanentemente las vulnerabilidades de su negocio, de su cadena de suministro y sus proveedores, diseñe y ponga en marcha un plan de contingencias y de respuesta. Una vez evaluado mapeado y evaluado el ciberriesgo, si el nivel de riesgo al que esta expuesto no es asumible para su empresa o excede el apetito de riesgo que quiere retener, hable con su corredor y contrate un seguro de Ciberriesgo.