Asesoría

Todo el mundo habla de Ciberseguridad, pero nadie se compromete

Hola, para este articulo tomamos como referencia a Pacifico Cabrera, un personaje de televisión de Colombia, que en tiempos del conflicto armado, se la pasaba hablando con líderes, personalidades y gobernantes; preguntando que se necesitaba para hacer posible la paz, al finalizar “Pacifico” mencionaba: Todo el mundo habla de paz, pero nadie se compromete.

Sucede lo mismo con la ciberseguridad. Cada día vemos reportes de nuevas ciber amenazas, cada vez más complejas y especializadas, dirigidas a personas y empresas. Algunas de ellas se envían y se liberan de forma masiva, y otras van dirigidas a objetivos específicos, que han sido estudiados y tienen un trabajo de inteligencia previo, por parte de los ciber criminales.  

A través de múltiples campañas de grupos de actores maliciosos, muchas de estas amenazas tienen éxito y comprometen la seguridad de las personas y organizaciones. Estos eventos van desde el cifrado de la información en las estaciones y dispositivos de la empresa, robo de la identidad e información bancaria de las personas, hasta fuga de información sensible y confidencial de las empresas; que puede generar un daño catastrófico en pérdidas económicas y de reputación.

Algunos pensamientos relacionados con estos comentarios son los siguientes:

  • Los programas de capacitación, concientización y entramiento en ciberseguridad para las personas y colaboradores en las empresas son aburridos. Se muestran como un contenido obligatorio poco interesante, que las personas buscan acabar en el menor tiempo posible, dando siguiente-siguiente a cada material, sin comprender, analizar, ni interiorizar el contexto y la importancia de la ciberseguridad.
  • Este contenido no es llamativo, didáctico, no es interactivo, inmersivo y no despierta ningún interés. Son documentos largos y duros en PDFs, documentos de texto, presentaciones en power point, fondos de pantalla, mensajes de correo electrónico, charlas de 2 horas semestrales, etc.

– Nosotros mismos nos encargamos de sabotear el entrenamiento en ciberseguridad, no se dedica el esfuerzo suficiente, para mostrar como operan las ciber amenazas en el mundo real, como piensan los ciber criminales o ciber atacantes, las habilidades y conocimiento especializado que tienen los desarrolladores de las amenazas.

– No se desarrollan y simulan casos y escenarios que puedan ser lo mas reales posibles, en donde las personas puedan tomar decisiones que evidencien hábitos y comportamientos seguros, buenas prácticas, en la identificación de las características de una ciber amenaza y que permitan identificar si las personas saben o no que hacer en cada situación.  

  • No hay entrenamiento suficiente para las personas que integran los equipos de tecnologías de la información (TI), como los equipos de seguridad de la información, ciberseguridad, desarrollo, operaciones, etc. Los equipos que se encargan de la gestión y respuesta a incidentes.

No identificamos que nos enfrentamos a amenazas globales y no locales, nos enfrentamos contra las capacidades que tienen grupos especializados, con un gran conocimiento, un arsenal de herramientas y con importantes recursos económicos, ya sean obtenidos de sus actividades propias o de la financiación de organizaciones y estados. Grupos y personas (adversarios) que se entrenan cada día, para mejorar sus habilidades y capacidades.

  • No se enseña de Ciberseguridad. Desafortunadamente, las universidades, gobiernos, colegios, empresas y comunidades, no enseñan de ciberseguridad. No se enseña en casa, ni los padres enseñan a sus hijos.

Las personas y los usuarios están a merced de los que los cibercriminales puedan hacer con ellos en los medios digitales, a través de engaños, estafas, extorsiones, correos electrónicos falsos y no seguros, sitios web maliciosos, códigos o software malicioso.

 

Por desconocimiento y falta de habilidades, muchos son víctimas del ciber crimen, muchos pierden su preciado dinero, necesario para mantener a sus familias, o pierden acceso a sus correos electrónicos con toda su información personal, algunos son victimas de ciber acoso o tienen una violación a su privacidad.

  • No seguimos buenas prácticas y recomendaciones, no trabajamos en tener un modelo de madurez de ciberseguridad en las organizaciones y los servicios que prestamos.
  • No nos tomamos la tarea de hacer una análisis profundo, hacer un análisis de riesgos, una implementación de controles de seguridad por capaz, no verificamos las recomendaciones de fabricantes, proveedores, especialistas y la comunidad. No aplicamos los controles con base a las necesidades de la empresa.  Pensamos que como mencionan muchos fabricantes, solo es poner y conectar una solución, un appliance en su lugar y este se encarga de hacer todo lo demás. No nos tomamos el tiempo de hacer un afinamiento de la solución, de aplicar las políticas y configuraciones requeridas, de ver que se esta detectando e identificando, que no estamos viendo y que falta de visibilidad tenemos.

 

  • No somos sensatos, no identificamos que nivel de conocimiento tenemos, que debilidades y opciones de mejora. No reconocemos que la ciberseguridad es un mudo amplio y complejo, que requiere de entrenamiento y desarrollo, que es un proceso y una labor continua, de nunca acabar, que siempre debemos estar entrenándonos y aprendiendo. No equilibramos y desarrollamos el conocimiento teórico y práctico, no mantenemos un constante entrenamiento para desarrollar las habilidades de los equipos de trabajo, no creamos grupos de estudio y no compartimos conocimiento y recursos en comunidad, no hacemos ejercicios periódicos y continuos de seguridad estratégica, defensiva y ofensiva para comprobar la efectividad de los controles de seguridad. Nos autodenominamos y nos llamamos “expertos”, personalmente me gusta mas la palabra “especialista”. De allí surge la pregunta, que tipo de expertos somos?, somos expertos locales de nuestra empresa o comunidad, de nuestra ciudad, nuestro país, la región, del continente o de nivel mundial?. Si somos y tenemos tantos expertos, por que hay tantas brechas de seguridad en todos los niveles?, por que tanta falta de conocimiento y entrenamiento?, por que no somos desarrolladores y fabricantes de soluciones top en ciberseguridad a nivel mundial?, por que dependemos tanto de los fabricantes de los países de “primer mundo”. Aprendemos de lo que alguien mas crea y desarrolla, desafortunadamente no tenemos la delantera y no estamos a la vanguardia en ciberseguridad y debemos reconocerlo.

Aprendemos de soluciones, como desplegar, administrar y operar una solución. Conocemos como dar clic aquí y allá, para configurar los parámetros necesarios. Pero no nos preocupamos porque el conocimiento sea integral, por conocer a detalle cómo funciona la tecnología y los protocolos con los que estamos trabajando e interactuando. Como tener una visión integral, no tenemos un contexto de lo que sucede, como esa solución interactúa con las demás, como se establecen las comunicaciones, como se cifran las comunicaciones, como realiza las transacciones y procesos, etc. En que capa del modelo OSI opera la solución, como podría un ciber atacante tratar de vulnerar la solución. Nos encanta conectar las cosas y ver que están funcionando, ver graficas y dashboards, pero no vamos mas allá.


 

Son muchos los puntos que podríamos resaltar y tener en cuenta, por lo pronto, esperamos que con los mencionados, podamos lograr entregar una idea clara, de la falta de desarrollo y compromiso que necesita la Ciberseguridad y que necesitamos todos. todos nos vemos obligados a utilizar medio digitales, en los que hay una gran presencia de ciber amenazas y ciber criminales.

Esperamos despertar conciencia y que podamos generar iniciativas, para ayudar a todas las personas, empresas, organizaciones, comunidades y familias, que utilizan los medio digitales y necesitan estar mas seguros.  

Si te gusto el articulo, comparte.

Picture of ciber seguro

ciber seguro

× ¿Cómo podemos ayudarte?