La ciberseguridad abarca herramientas, políticas, conceptos, prácticas y tecnología, todo lo cual puede ser utilizado conjuntamente para proteger tanto datos virtuales como infraestructura física que forman los activos de la organización. Contra un telón de persistentes e implacables amenzas en el ciberespacio, el mandato de la ciberseguridad es proteger los activos de la organización para asegurar su disponibilidad, integridad y confidencialidad.
Luego de incidentes de gran resonancia como los hackeos a JP Morgan Chase, Target, Sony y Anthem, que pusieron de manifiesto la gran amenaza que plantean los ciberataques tanto para gobiernos como para empresas, IHS –la firma consultora- solicitó a tres especialistas un análisis en profundidad del estado del problema y el trazado de lineamientos estratégicos. Se trata de Thomas Lynch, director de Investigaciones de Technology, Christoforos Papachristou analista en ciberseguridad y Dennis Murphy, analista en ciberespacio de la misma organización. Según el informe resultante, nunca antes se prestó más atención a la ciberseguridad y a lo que puede costar combatir ataques maliciosos de consecuencias desastrosas.
Sin embargo, muchas grandes empresas todavía no aplican planes estratégicos de ciberseguridad a pesar de que cada vez son más los dispositivos interconectados y virtualmente todo lo que importa está en Internet al alcance de todos. La ciberseguridad se está convirtiendo en un tema tan importante precisamente a raíz de esta interconectividad ubicua a través de la cual los ciberataques se pueden difundir con velocidad.
Es cierto que el mercado de la ciberseguridad sigue pequeño por ahora: apenas US$ 589 millones se gastaron en sistemas de ciberseguridad en todo el mundo en 2013. Pero su potencial de crecimiento es enorme, especialmente ahora que el mundo comienza a armar estrategias coherentes para combatir el robo de información.
Pero la defensa es solo un aspecto del problema para Estados Unidos. Según el almirante Mike S. Rogers, jefe del Ciber Comando y de la Agencia Nacional de Seguridad – o sea, la agencia que durante más de diez años estuvo espiando a todos los gobiernos extranjeros que quiso-, Estados Unidos debe protegerse de los países interesados en hacerle daño y para eso una estrategia defensiva no alcanza.
El gobierno de Estados Unidos está aumentando sus inversiones en tecnologías avanzadas de ciberseguridad y apartando fondos especiales para que las pequeñas empresas desarrollen sus propias soluciones innovadoras. Además, el gobierno exige que los grandes contratistas de defensa subcontraten un cierto porcentaje de sus soluciones a las pequeñas empresas. De esta forma, las Pyme tienen múltiples avenidas para entrar en el mercado federal de ciberseguridad, ya sea mediante contrato directo con el gobierno o ayudando a una gran empresa a cumplir con su cuota de contratos con Pymes.
Nuevas tecnologías y ciberataques
Los ataques cibernéticos son cada vez más sofisticados porque buscan nuevas formas de burlar la seguridad e infligir el mayor daño posible. Y en una era de fronteras digitales cada vez más porosas, tres áreas plantean graves peligros en las guerras del ciberespacio:
- El fenómeno de todas las cosas conectadas conocido como Internet de las Cosas.
- La computación en la nube, o el almacenamiento online en un depósito de datos.
- La continua producción de enorme cantidad de información que se reúne y se clasifica para propósitos específicos, o lo que se conoce como Big Data.
La Internet de las Cosas. En los próximos años habrá miles de millones de nuevos dispositivos – desde autos hasta electrodomésticos— que tendrán incorporado un chip de computación que les permita la interconectividad con Internet. Los expertos estiman que habrá casi 50.000 millones de dispositivos para 2020 con un promedio de más de seis dispositivos conectados por persona. Este es el universo que conforma la Internet de las Cosas (IoT) y la interconectividad de tal sistema masivo aumenta de una manera impresionante los factores de riesgo de la ciberseguridad.
Como los dispositivos IoT, están diseñados para la conectividad y no para la seguridad, son vulnerables a los ataques del malware y cada dispositivo es un posible puerta por donde el atacante puede entrar y luego expandirse por la cadena. Hay tres categorías de ciber peligros en el mundo de los dispositivos conectados. En el extremo inferior de la escala, la negación del servicio es un peligro inmediato, potencialmente paralizando todos los servicios que ofrece una red de dispositivos inteligentes. Más arriba está el peligro de los botnets y los ataques por malware. Aquí, un código malicioso podría infectar las computadoras para ganar control de una red de dispositivos inteligentes, o para comprometer el software con el que funcionan con el objeto de convertir a los dispositivos conectados en instrumentos para sus propósitos. Por último, las violaciones de datos pueden aprovechar la agregación de información valiosa que resulta de las acciones cotidianas de los individuos, para acceder a comunicaciones privadas o exponer datos sensibles en la conducta repetida de subgurupos poblacionales.
La industria automotriz pone de manifiesto la promesa y los peligros de la Internet de las Cosas. Pocas industrias están tan listas como esa para aprovechar los beneficios de la increíble expansión de la conectividad, que puede utilizar dispositivos híper conectados para asistir a la navegación por GPS, aumentar los instrumentos de seguridad y asegurar una experiencia de manejo rica en información.
Pero los riesgos están a la vista. Mayor conectividad en autos podría permitir una toma remota de la conducción del vehículo o de las funciones de estacionamiento creando un peligro genuino para el conductor, los pasajeros y para otros vehículos. Un segundo peligro posible se relaciona con los datos sensibles acumulados en los patrones de manejo, con la posibilidad de un secuestro de la información para publicar o para chantajear al conductor.
En el universo IoT, los ciberataques pueden producirse en cualquier parte. Bancos y otras instituciones financieras, de salud e industrlales incluyendo petróleo y gas, químicos e infraestructura crítica; seguros, minorismo y datos de los consumidores; telecomunicaciones y satélites. Ningún negocio está exento del peligro.
Computación en la nube. La computación en la nube permite acceso oportuno y a pedido a individuos y empresas, a un banco compartido de recursos en la nube, que incluyen redes, servidores, almacenes de datos y otras aplicaciones. Pero esas mismas ventajas representan un blanco atractivo para los ciberataques. Esto es porque un ataque a un sistema individual es en última instancia menos peligroso que un ataque a un modelo en red como la nube, que podría resultar en una cascada de fallos en toda la red.
La industria financiera es especialmente vulnerable a las amenazas inherentes a la computación en la nube. Los bancos, los brokers y las entidades de crédito destacan la actividad de transacciones online 24/7 para que los consumidores controlen sus cuentas, realicen transacciones y monitoreen su actividad financiera como un rasgo clave de venta. Sin embargo, este tipo de acceso ubicuo, que descansa fuertemente en la computación en la nube, vuelve al paradigma susceptible de peligros.
Big Data. Aprovecha las montañas de datos que se vuelcan en Internet, impulsadas en gran medida por el crecimiento de las aplicaciones de medios sociales y dispositivos móviles, para identificar las tendencias y los patrones subyacentes. Desde una perspectiva de seguridad empresaria, Big Data permite a las compañías observar el cuadro completo que se levanta contra ellas, teniendo en cuenta los peligros eternos e internos por igual. Al aunar datos internos e información relevante de afuera para relacionar alertas de alta prioridad en los sistemas de monitoreo, las empresas pueden reducir el riesgo endémico usando las herramientas existentes de monitoreo.
Por estas razones, Big Data no es otra vulnerabilidad sino una oportunidead nueva para los jugadores empresariales de tomar medidas proactivas contra las ciber amenazas. Un paradigma de Big Data puede almacenar información, eventos y actividades que ocurren dentro de un entorno de rastreo preseleccionado; consolidar la información en una ubicación central y luego usar analytics avanzada para identificar patrones que ningún monitor individual puede hacer por sí solo, creando de paso un cuadro totalizador para analizar e investigar temas relacionados con la seguridad.
Una preocupación latente para la amplia aplicación de Big Data es la escasez de científicos de datos que se especializan en temas de seguridad. En muchos casos las organizaciones van a tener que contratar a terceros para compensar la falta de experticia in house.
Ataque y defense
A medida que los gobiernos del mundo se despiertan al impacto de los ciberataques, un primer foco sigue siendo impedir que los ataques sean usados como instrumento de guerra tanto por adversarios gubernamentales como privados. Una rápida mirada al gasto nacional en defensa durante los últimos diez años confirma la creciente inversión en ciberseguridad que hacen los gobiernos. En Estados Unidos solamente, el gasto en agencias civiles y militares llegará a casi US$ 15.000 millones este año fiscal. Esto incluye US$5.500 millones para que el Pentágono invierta en operaciones del ciberespacio. Estos gastos representan un aumento sobre el financiamiento del año pasado cuando en términos generales el gasto se redujo.
Los recientes hackeos tan publicitados al sector privado y al gobierno mantendrán seguramente el foco puesto en la ciberseguridad como imperativo. Si bien estos ataques no son nuevos, lo interesante de 2014 fue la apertura del gobierno norteamericano y su ejército con respecto al uso de operaciones ofensivas, antes escondidas como documentación clasificada.
El gobierno de Obama no solo ha reconocido la presencia de equipos ofensivos a nivel estratégico y operacional sino que ha dado a entender que usa esas capacidades a nivel táctico. Tal vez más importante sea la capacitación activa y los ejercicios militares en operaciones ofensivas que se han convertido ahora en la norma, junto con la creación de organizaciones de ciberfuerza individuales, que alimentan una nueva generación de guerreros digitales especializados. Por ejemplo, el ejército de los Estados Unidos ya tiene una rama cibernética al mismo nivel que la infantería tradicional o las especialidades de armamento.
Esta creciente adopción de capacidades cibernéticas holísticas, que integra atributos defensivos con misiones ofensivas de manera proactiva no es la única nueva fuerza que moldea las operaciones en el ciberepacio en el sector defensa. Otras tendencias incluyen:
- Infraestructura: proteger la seguridad de los sistemas industriales de control para los elementos clave. Se conoce a estos sistemas como SCADA.
- Auto reparación. Más énfasis se pondrá en el monitoreo continuo para defender de ataques persistentes. Ese monitoreo irá reemplazando al método de “reaccionar y emparchar” y permitirá mayor automatización en aplicaciones de defensa.
- Cumplimiento. Desde una perspectiva táctica, las necesidades de la ciberseguridad de la red crecerán cuando las fuerzas armadas de Estados Unidos estén totalmente en red. Esas redes deberán ser aseguradas.
La mirada hacia delante
La conclusión a que llega este estudio es que los ciberataques se han convertido en un peligro permanente para empresas y gobiernos y que manejar los riesgos debe convertirse en una prioridad. Pero entender los peligros e implementar las estrategias necesarias para el largo plazo exige recursos y conocimientos. Los peligros evolucionan junto con las herramientas y las tecnologías.
La ciberseguridad es un imperativo empresarial: cada entidad, sea gubernamental o empresarial, puede ser un blanco. La seguridad completa es imposible, pero los líderes deben defender a sus organizaciones de los ataques. E, en consecuencia, la ciberseguridad es un tema que compete a los directorios, es un problema de la alta gerencia y debe ser incorporado al planeamiento estratégico con la mitigación del peligro bien explicitada.
Gobierno e industria deben aumentar la colaboración para identificar, evaluar y responder a los peligros. Ya pasó el tiempo de los métodos aislados para defender y disuadir. El gobierno de Obama trabaja con el Congreso en una legislación que alienta el manejo compartido de la información sensible que debería formar parte de una respuesta múltiple.
Finalmente la ciberseguridad es demasiado importante para ser abandonada a los especialistas en tecnología o seguridad.