Mes de la Ciberseguridad: ¿Por qué es necesario?

El factor humano sigue siendo clave a la hora de habilitar o evitar un ciberataque. 

Octubre ha sido adoptado a nivel internacional como el Mes de la Concientización en Ciberseguridad.  Chile no es una excepción.  En 2018 la ley 21.113 estableció este mes como el mes de la Ciberseguridad en Chile. 

¿Por qué es tan importante esto, que diferentes países han avanzado en esta dirección? 

La Ciberseguridad busca proteger tres aspectos clave relacionados con los datos: la confidencialidad (que los datos estén disponibles sólo para quienes tienen autorización a verlos), la integridad (que los datos no sean destruidos ni modificados sin autorización) y la disponibilidad (que los datos estén allí cuando los necesitemos utilizar). 

Para enfrentar este desafío, existen variados marcos conceptuales de ciberseguridad, por ejemplo: ISO 27000, NIST CSF, CIS-Controls, PCI-DSS, etc.  En todos ellos hay extensas definiciones respeto a procedimientos y mecanismos de control que protegen los activos críticos de la organización.   

Un ejemplo gráfico es el del NIST CSF

En general se parte identificando cuáles son esos activos, cómo están relacionados, cuál es el valor que tienen para la organización, qué características técnicas tienen, etc.; cuáles son los riesgos a los que están expuestos y cuál es la exposición actual que tenemos a esos riesgos. 

Luego, estos activos deben ser protegidos, para lo cual se definen distintos controles, muchos de ellos son controles tecnológicos que permiten mantener los distintos activos críticos con el mayor resguardo ante un ataque. 

No obstante, los esfuerzos que se realicen para proteger los datos, se entiende que no hay mecanismo infalible y, por lo tanto, hay preocupación por detectar un posible ataque, para lo cual también hay mecanismos tecnológicos que son capaces de llevar a cabo esta tarea. 

Si se detecta un incidente de seguridad, se debe estar en condiciones de responder al mismo, conteniendo el daño y evitando su propagación, y para eso se debe estar preparado tanto en equipo de profesionales como en recursos disponibles para finalmente recuperar el servicio afectado. 

Un viejo adagio dice que “el hilo se corta por lo más delgado” o bien “una cadena es tan fuerte como su eslabón más débil”.  La seguridad de los datos está brindada por un conjunto de mecanismos y controles tecnológicos que pueden ser de última generación, sin embargo, somos las personas las que usamos los datos y operamos los sistemas.  Esto quiere decir que también somos parte de la cadena que brinda seguridad a nuestra información.  Si hay algo que no deja de asombrar es la infinita capacidad del ser humano para comportarse de forma impredecible y echar por tierra los resguardos técnicos que pueda haber implementado la organización.  Aquí es donde se hace importante el mes de la ciberseguridad… “El objetivo de esta iniciativa es lograr la concienciación en ciberseguridad, promoverla entre la ciudadanía y las organizaciones, junto con recursos para protegerse en línea, por intermedio de la educación y el intercambio de buenas prácticas1.

Es de suma importancia entender que nosotros tenemos más de un rol con respecto a la ciberseguridad:

  • Como personas, nuestra información reside en distintos sistemas, de distintas organizaciones (públicas o privadas), las que nos han provisto de credenciales para poder acceder a esos datos y realizar los trámites que necesitemos.
    Es relevante que cuidemos las credenciales que nos permiten realizar estas actividades.  Para ello valen las siguientes recomendaciones: 
    • No descargues archivos o hagas click en links si no tienes certeza de conocer al remitente 
    • Utiliza contraseñas seguras: usa números, símbolos y combina mayúsculas con minúsculas.  Además, usa una contraseña distinta para cada servicio. 
    • Evita usar redes públicas para operaciones privadas. 
    • Se consciente que en redes sociales hay delincuentes que intentarán engañarte, por lo tanto, no le des tu confianza a usuarios que no conoces, tal como no lo harías en una relación en el mundo físico. 
  • Como informáticos tenemos una responsabilidad tanto con nuestros clientes, como con los usuarios de nuestros clientes.  El software que desarrollamos debe observar las mejores prácticas, no solo en calidad, sino también en seguridad.  Si nuestro cliente es un Banco, y el sistema permite las operaciones de cuenta corriente, es muy claro el impacto que puede tener una falla de seguridad.  Pero si es algo más simple, un sistema de información sencillo, igualmente una falla de seguridad puede filtrar datos que de forma aislada no tengan ‘tanto valor’ aparente, sin embargo, si lo que se filtra es información personal y/o una tabla de contraseñas, podría esa información mejorar las posibilidades de éxito de un ataque en otra institución donde si haya algún riesgo mayor.

En conclusión, la ciberseguridad tiene mucho apoyo de parte de la tecnología, sin embargo, las personas somos un eslabón clave para reafirmarla.  Es por esto que la generación de cultura de ciberseguridad, tanto en la población general como en los profesionales de las TI es tan importante y de ahí que se haya instituido el mes de Octubre como el mes nacional de la ciberseguridad en Chile. 

Carlos Durán Sepúlveda, Director & CISO de Tuxpan

Comparte este artículo

¡Síguenos!

Artículos relacionados

¡No te vayas!

Te invitamos a leer este artículo