Riesgos y Ciber Riesgos ¿hay diferencia?

A lo largo de estas décadas el rumbo de la seguridad de la información se ha encaminado hacia una constante metamorfosis, anteriormente nos preocupábamos por problemas de lentitud, comportamientos erráticos del sistema causados por virus entre otros tipos de malware y herramientas como firewalls y antivirus en equipos y servidores, actualmente los temas que nos ocupan son el secuestro o robo de información, espionaje y la ciber guerra que además ahora se extiende a entornos como los dispositivos móviles, la nube y pronto a todo aquello que se conecte a internet.

En términos de seguridad informática estos son los orígenes históricos en cuanto a incidentes de seguridad, por ejemplo:

1972 El primer virus informático de la historia y como consecuencia el primer antivirus
1975 La manifestación del primer Troyano “Animal/Pervade”
1978 Primer antecedente de infestación de SPAM
1983 Los virus comienzan a propagarse al público
1994 El SPAM comienza a ser un dolor de cabeza en las compañías
1999 “Melissa” el primer virus que colapsa servicios corporativos con contenido pornográfico

Es a partir de entonces cuando la seguridad informática da inicio a la evolución de erradicar simples amenazas a la administración de métodos de contención de ataques más sofisticados, por consecuencia la administración de riesgos de seguridad de la información cambia su arista hacia una gestión asertiva de los ciber riesgos.

¿Cuál es la diferencia entonces?

Los riesgos de seguridad existen como correspondencia a un proceso concreto y probado de identificar, analizar y evaluar eventos futuros de amenazas y vulnerabilidades internas y/o externas existentes, es decir, permite pronosticar la probabilidad de ocurrencia de un evento futuro conocido (provenientes de lecciones aprendidas, antecedentes o pruebas, eventos de seguridad ocurridos, intuición, etc.).

Una metodología de riesgos de seguridad de la información correctamente implementada en una organización permitirá beneficios estratégicos como determinar la cuantificación del riesgo (es decir, conocer el costo al que una organización se afrontaría ante la manifestación del riesgo), predecir el impacto al negocio de proyectos, así como determinar el tratamiento del riesgo si es que éste se llega a manifestar.

Un ciber riesgo o riesgo de ciber seguridad hace énfasis a la combinación 1 a N de riesgos conocidos y no conocidos que pueden causar daños adversos a las organizaciones, ya que en este caso las amenazas se transforman en ataques dirigidos (espionaje, robo o secuestro de información, crimen organizado, etc.) hacia alguna industria en particular (energética, gubernamental, telecomunicaciones, educación, hospitalaria, etc.) y su geolocalización.

Fuente: FireEye Mandiant Trends 2019 – Industrias más vulneradas por ciberataquesM(https://content.fireeye.com/m-trends)

Lo anterior quiere decir que aquella organización donde existe la posibilidad de un daño adverso derivado de un ciber riesgo tendrá un impacto diferente según al tipo de industria que pertenezca y en donde esta se encuentre ubicada, y no sólo eso, la manifestación de una amenaza avanzada persistente en dicha organización incrementará considerablemente la posibilidad de movimientos laterales y su persistencia a largo plazo.

En este caso, no existe una metodología o proceso a seguir que nos pueda asegurar la protección de los activos críticos ya que la mayoría de las amenazas son cambiantes de un día a otro.

La buena noticia es que existen herramientas y plataformas que permiten conocer el nivel del ciber riesgo de una organización a través de la inteligencia de amenazas, esta inteligencia permite identificar las amenazas cibernéticas relacionadas con la geolocalización y la industria basándose en el  análisis en línea de datos de open-source y fuentes confiables de ciberseguridad (fabricantes, comunidades, organizaciones) y así generar pronósticos de amenazas avanzadas.

Fuente: Cytegic ACRO CDSS – Cyber Decision Support System (www.cytegic.com)

Las ventajas que trae consigo este tipo de soluciones es que:

  • Optimiza la gestión de las defensas existentes tanto de las organizaciones como de sus proveedores de servicios.
  • Visualiza de forma dinámica en qué posición se encuentra una organización ante las tendencias actuales que amenazan a la industria a la que pertenece.
  • Ampliar el entendimiento del negocio y su impacto financiero en términos de la ciber seguridad y por tanto optimizar la complejidad de la gestión de los controles de seguridad actualmente implementados.

En resumen, la administración de riesgos de seguridad es una buena práctica que toda organización debería realizar, más sin embargo llevar a cabo la inteligencia de amenazas a través de la gestión de ciber riesgos debería ser una función implícita en las áreas o gerencias de seguridad.

“No basta con tener más tecnología de seguridad, sino tener los controles de seguridad correctos” 

Autor: Diana Cadena Martínez – Consultor en Ciberseguridad Estratégica.

10 year challenge

Morgan Freeman decía: “Desafíate a ti mismo; es el único camino que conduce al crecimiento”. Una frase fuerte que evoca a la superación personal, y que nos hace recordar que los retos y su conquista son importantes en nuestro progreso como profesionales y en consecuencia como personas.

Photo by Mikito Tateisi on Unsplash

Lamentablemente, hay retos malentendidos que persiguen objetivos intrascendentes, difundidos masivamente por mera moda y peor aún, con resultados en ocasiones no muy gratos para los desafiados. En ese sentido ¿Cuántos retos se han viralizado en redes sociales? Saltan a mi memoria desde el “Ice bucket” hasta el tristemente célebre “In my feellings” mejor conocido en nuestro país como “Chona Challenge” -qué desafortunado nombre-. Ociosos todos ellos, algunos graciosos y otros más que representan un gran riesgo y que penosamente se han vuelto atractivos para menores. Recientemente ha ganado terreno en las redes sociales el “10 year challenge”, un reto que busca que la gente comparta fotografías de 10 años atrás y las compare con su imagen actual evidenciando las diferencias en su aspecto físico. Por cierto, este desafío parece inofensivo, sin embargo se sospecha que su difusión tiene como finalidad entrenar a algoritmos de sistemas de reconocimiento facial[1].

Sobre este último reto me gustaría proponerles un giro. Si tuviéramos la oportunidad de jugar el mismo desafío y obtener una fotografía del estado de la seguridad en nuestro país hace 10 años y la comparamos con otra obtenida del día de hoy, ¿Qué nos encontraríamos? Es curioso pero al igual que esas fotos de personajes que te arrancan alguna carcajada, ya sea porque al individuo en cuestión le ha cobrado el tiempo alguna factura con varios kilos de más o cabellos de menos, el estado de la seguridad en el país refleja una entidad que ha perdido ciertos encantos por batallas que le han dejado en el camino aprendizajes, experiencias y por supuesto varios desaguisados. Una decada atrás se comenzaban a trazar los primeros esbozos en la costrucción de capacidades en la materia, sustentados en el Plan Nacional de Desarrollo y el Programa de Seguridad Nacional de esos ayeres[2], y que  posteriormente fueron tomando forma en una Estrategia Nacional de Seguridad de la Información, con esfuerzos aislados y sin el impulso que ésta ameritaba. Al igual que en el proceso de madurez de un ser humano, este ente no aprende a la primera, comete los mismos errores y es hasta que le duelen que toma conciencia de que hay que cambiar, que hay que evolucionar. Como referencia, estamos hablando que durante esa década, ya existía una preocupación latente en el orbe por los impactos económicos y políticos producidos por ciber-delincuencia, hacktivismo y ciber-espionaje; se vislumbra a la ciberseguridad como un riesgo global y en otras latitudes con economías no tan alejadas de la mexicana, emergen proyectos más sólidos: Argentina, Colombia, Panamá o España son algunos ejemplos. Finalmente, y muy de la mano de la OEA, llegamos a la definición de una Estrategia Nacional de Ciberseguridad, que si bien debe aterrizarse, madurar y darle continuidad en esta nueva administración, es un hito importante en nuestro país. 

Ahora bien, relativicemos el reto a nuestras organizaciones, ¿Qué nos encontramos? ¿Será una fotografía similar?

Photo by Tristan Colangelo on Unsplash

CISO, te reto a que rescates esa fotografía de hace 10 años en tu organización y la contrastes con la situación que vives ahora. ¿Es mejor? ¿Has ganado kilos y experiencia? Compártenos qué te has encontrado. Si la imagen no te es tan clara o peor aún, no tienes fotografías, creo que es un buen momento para emprender el reto. Analiza cómo estás -qué tal esa gestión del riesgo, tus controles de seguridad, tu respuesta a incidentes, tus lecciones aprendidas, tu estrategia…-. Busca mejorar, traza un camino, gana experiencia, compárate con los demás y mide tu evolución. Espero que en el próximo reto puedas preciarte de que tu organización se vea mejor. Desafíate a ti mismo.

Provehito in altum 
Por: Juan Pablo Carsi


[1]FACEBOOK’S ’10 YEAR CHALLENGE’ IS JUST A HARMLESS MEME—RIGHT? https://www.wired.com/story/facebook-10-year-meme-challenge/

[2]Revista de Administración Pública. Hacia una estrategia nacional de ciberseguridad en México. Edgar Iván Espinosa.

Más dinero, más preocupaciones sobre el riesgo cibernético

Los ejecutivos de las empresas de servicios financieros están cada vez más preocupados por los riesgos, pero a medida que la tecnología se integra más en la gestión financiera, cada vez más ejecutivos dicen que la seguridad cibernética se está convirtiendo en el tipo de riesgo más importante.

Cuando se les preguntó qué tipos de riesgo crecerían en importancia en los próximos dos años, el 67% de los ejecutivos de servicios financieros denominaron ciberseguridad, frente al 41% en 2016.

Más información

#HablemosDeSeguridad

Vía @InfosecurityMag

Por qué nunca debes reutilizar contraseñas.

Usar una contraseña para todo es conveniente, pero también es peligrosamente inseguro. Examinamos el caso de Mark, un joven diseñador. Mark es un chico normal. Tiene cuentas de correo electrónico, Facebook, Instagram, Amazon, eBay, Steam y Battle.net, por no mencionar las de una docena de tiendas en línea y un foro dedicado a su videojuego favorito. Las cuentas están todas vinculadas a su correo electrónico.

Más información
#HablemosDeSeguridad
Vía @kaspersky

La importancia de implementar políticas digitales para el 2020.

Expertos estiman que al menos un incidente de seguridad digital cobrará vidas humanas a corto plazo. Según el informe “Digital in 2018” elaborado por We Are Social y Hootsuite, el 53% de la población mundial está conectada a internet, ello implica un riesgo muy alto para particulares y empresarios que deben velar por el tema de la ciberseguridad.
Más información
#HablemosDeSeguridad

Muchos sistemas de agua y energía son vulnerables a un importante riesgo cibernético.

Investigación de Trend Micro reveló cómo se podrían explotar los sistemas de interfaz hombre-máquina expuestos en miles de organizaciones críticas de agua y energía en todo el mundo, lo que causaría impactos significativos en el mundo real, como la contaminación del suministro de agua.

Más Información
#HablemosDeSeguridad
Via @helpnetsecurity

3 de cada 4 mexicanos han estado expuestos a riesgos online

México ocupa el lugar 15 de 23 países que integran el Online Civility Index 2017 realizado por Microsoft, el cual mide el nivel de riesgo al que están expuestos los habitantes de un país al navegar en la red.

#HablemosDeSeguridad
Vía El Economista
Más información