A lo largo de estas décadas el rumbo de la seguridad de la información se ha encaminado hacia una constante metamorfosis, anteriormente nos preocupábamos por problemas de lentitud, comportamientos erráticos del sistema causados por virus entre otros tipos de malware y herramientas como firewalls y antivirus en equipos y servidores, actualmente los temas que nos ocupan son el secuestro o robo de información, espionaje y la ciber guerra que además ahora se extiende a entornos como los dispositivos móviles, la nube y pronto a todo aquello que se conecte a internet.
En términos de seguridad informática estos son los orígenes históricos en cuanto a incidentes de seguridad, por ejemplo:
| 1972 | El primer virus informático de la historia y como consecuencia el primer antivirus |
| 1975 | La manifestación del primer Troyano “Animal/Pervade” |
| 1978 | Primer antecedente de infestación de SPAM |
| 1983 | Los virus comienzan a propagarse al público |
| 1994 | El SPAM comienza a ser un dolor de cabeza en las compañías |
| 1999 | “Melissa” el primer virus que colapsa servicios corporativos con contenido pornográfico |
Es a partir de entonces cuando la seguridad informática da inicio a la evolución de erradicar simples amenazas a la administración de métodos de contención de ataques más sofisticados, por consecuencia la administración de riesgos de seguridad de la información cambia su arista hacia una gestión asertiva de los ciber riesgos.
¿Cuál es la diferencia entonces?
Los riesgos de seguridad existen como correspondencia a un proceso concreto y probado de identificar, analizar y evaluar eventos futuros de amenazas y vulnerabilidades internas y/o externas existentes, es decir, permite pronosticar la probabilidad de ocurrencia de un evento futuro conocido (provenientes de lecciones aprendidas, antecedentes o pruebas, eventos de seguridad ocurridos, intuición, etc.).
Una metodología de riesgos de seguridad de la información correctamente implementada en una organización permitirá beneficios estratégicos como determinar la cuantificación del riesgo (es decir, conocer el costo al que una organización se afrontaría ante la manifestación del riesgo), predecir el impacto al negocio de proyectos, así como determinar el tratamiento del riesgo si es que éste se llega a manifestar.
Un ciber riesgo o riesgo de ciber seguridad hace énfasis a la combinación 1 a N de riesgos conocidos y no conocidos que pueden causar daños adversos a las organizaciones, ya que en este caso las amenazas se transforman en ataques dirigidos (espionaje, robo o secuestro de información, crimen organizado, etc.) hacia alguna industria en particular (energética, gubernamental, telecomunicaciones, educación, hospitalaria, etc.) y su geolocalización.
Fuente: FireEye Mandiant Trends 2019 – Industrias más vulneradas por ciberataquesM(https://content.fireeye.com/m-trends)
Lo anterior quiere decir que aquella organización donde existe la posibilidad de un daño adverso derivado de un ciber riesgo tendrá un impacto diferente según al tipo de industria que pertenezca y en donde esta se encuentre ubicada, y no sólo eso, la manifestación de una amenaza avanzada persistente en dicha organización incrementará considerablemente la posibilidad de movimientos laterales y su persistencia a largo plazo.
En este caso, no existe una metodología o proceso a seguir que nos pueda asegurar la protección de los activos críticos ya que la mayoría de las amenazas son cambiantes de un día a otro.
La buena noticia es que existen herramientas y plataformas que permiten conocer el nivel del ciber riesgo de una organización a través de la inteligencia de amenazas, esta inteligencia permite identificar las amenazas cibernéticas relacionadas con la geolocalización y la industria basándose en el análisis en línea de datos de open-source y fuentes confiables de ciberseguridad (fabricantes, comunidades, organizaciones) y así generar pronósticos de amenazas avanzadas.
Fuente: Cytegic ACRO CDSS – Cyber Decision Support System (www.cytegic.com)
Las ventajas que trae consigo este tipo de soluciones es que:
- Optimiza la gestión de las defensas existentes tanto de las organizaciones como de sus proveedores de servicios.
- Visualiza de forma dinámica en qué posición se encuentra una organización ante las tendencias actuales que amenazan a la industria a la que pertenece.
- Ampliar el entendimiento del negocio y su impacto financiero en términos de la ciber seguridad y por tanto optimizar la complejidad de la gestión de los controles de seguridad actualmente implementados.
En resumen, la administración de riesgos de seguridad es una buena práctica que toda organización debería realizar, más sin embargo llevar a cabo la inteligencia de amenazas a través de la gestión de ciber riesgos debería ser una función implícita en las áreas o gerencias de seguridad.
“No basta con tener más tecnología de seguridad, sino tener los controles de seguridad correctos”
Autor: Diana Cadena Martínez – Consultor en Ciberseguridad Estratégica.
