No importando la generación a la que pertenezcas, nuestros padres siempre han ido adaptando sus enseñanzas para prevenirnos contra los riesgos más importantes que nos puedan ocasionar algún daño. Probablemente todos podamos recordar cuando éramos pequeños, a nuestros padres enseñándonos a revisar el tránsito en ambos sentidos de una calle antes de atravesarla cuando vamos caminando. Las enseñanzas y los riesgos han ido evolucionando según hemos ido creciendo, y son muy diferentes cuando eres tú ya el que va al volante y no el que va cruzando la avenida.
Siempre hay un común denominador, de acuerdo a nuestras rutinas actuales, nuestros padres buscan qué es aquello que nos puede ocasionar más daño y tratan de crear conciencia en nosotros de ese riesgo para que podamos prevenirlo.
En la actualidad, cada vez somos más dependientes de la tecnología en todos los aspectos de nuestra rutina diaria, por lo que los riesgos asociados a la tecnología también han aumentado de manera exponencial. Hace 30 años, muy pocas personas tenían una identidad digital, hoy en día, especialmente con la pandemia, muchos niños desde Kindergarden, ya tienen acceso a tecnología de videoconferencia, tienen un dispositivo y al menos una identidad digital.
¿Cómo nace el Cibercrimen?, un poco de historia.
El reto de poder penetrar una instalación física o sistema informático sin autorización fue interesante para adolescentes que tenían hambre de aprender y demostrar sus habilidades de conocimiento tecnológico, era como un juego destreza para ellos. Algunas personas probablemente recordarán el filme “Juegos de Guerra”, en 1983, del director John Badham. En este filme vemos como se utiliza Ingeniera Social para obtener información privilegiada y así poder penetrar en el sistema de control militar. En esa época se veía como Ciencia Ficción, sin embargo, con el transcurso de los años y la importancia de la tecnología en nuestra rutina diaria han cambiado los motivos, la ganancia económica y el tipo de personas interesadas en realizar este tipo de acciones.
Así es como desafortunadamente llegamos al cibercrimen, donde se busca el robo de activos informáticos, tales como: propiedad intelectual, información de clientes, cuentas bancarias, perjudicar imagen corporativa, secuestro de datos de individuos o empresas, entre otras cosas. Finalmente, el objetivo es tener un beneficio de lucro o activismo cuando se está en contra de un gobierno. En otro artículo, hablaremos sobre el tipo de CiberCrimen.
¿Cómo genero conciencia en mi organización sobre la importancia del Cibercrimen?
En estas líneas quiero resaltar la importancia del crecimiento del Cibercrimen impulsado por la crisis de COVID-19 y sobre todo como instrumentar una autoevaluación de los controles de CiberSeguridad de mi organización para identificar, prevenir, detectar, responder y recuperarse a un incidente de CiberSeguridad, sin importar el tamaño de mi empresa. Normalmente pensamos que este tipo de controles sólo son para empresas grandes o globales y que manejan mucho dinero o instalaciones de seguridad nacional pero nuestra realidad es otra.
México sufrió más de 2.1 billones de intentos de ciberataques en el primer trimestre del año 2020, considerando todos los tipos de amenazas: virus/malware, exploits y botnets. sumando al total de 9.7 billones en América Latina y el Caribe (Fuente Fortinet, mayo 2020).
La Interpol en su reporte de análisis de impacto de COVID-19 menciona que detectaron 907,000 mensajes “Phishing”, 737 incidentes de malware, creación de 48,000 URLs (Uniform Resource Locator, de sus siglas en Inglés) maliciosos, que no es otra cosa que el número de sitios web maliciosos nuevos, dónde se realiza la venta de instrumentos clínicos o medicamentos para tratamientos de COVID-19 entre otras trampas para estafar personas y/o empresas.
¿Está nuestra empresa preparada para identificar, prevenir, detectar, responder y recuperarse a un incidente del Cibercrimen?
Tal vez está pregunta nos inquiete y obligue a preocuparnos por tener una respuesta que nos permita proteger y minimizar el riesgo de un ciberataque.
El primer paso es determinar cuáles son los activos (riesgos) más importantes para el negocio, qué controles tengo para minimizar un incidente y cuáles planes de recuperación tengo que ejecutar en caso de que se presente un incidente.
El segundo paso es construir una estrategia de CiberSeguridad que esté alineada con los objetivos del negocio, dónde el equipo ejecutivo de la organización este involucrado en la creación y ejecución de ésta.
Existen metodologías y marcos de referencia internacionales que podemos utilizar en nuestra organización para responder esta pregunta inquietante y desarrollar una estrategia de CiberSeguridad con base en las mejores prácticas. Un estándar internacional de CiberSeguriad es ISO 27032:2012, en esta ocasión platicaremos sobre Instituto Nacional de Estándares y Tecnología de Estados Unidos de América (NIST, siglas en Inglés) que desarrolló un marco de referencia basado en una visión global: Personas, Procesos y Tecnología, el Cibersecurity Framework, que considera controles en estos tres ejes que deben de ser implementados en una organización. Lo desarrollaron recopilando las mejores prácticas de estándares como la Organización Internacional de Estandarización (ISO por sus siglas en Inglés) y la Unión Internacional de Telecomunicaciones (ITU de sus siglas en Inglés. Este marco de referencia permite a cualquier organización:
- Describir su situación actual de CiberSeguridad
- Describir el objetivo deseado de CiberSeguridad
- Identificar y priorizar las áreas de oportunidad de CiberSeguridad
- Evaluar el progreso hacia el modelo deseado de madurez de CiberSeguridad
- Establecer el proceso de comunicación de las diferentes partes interesadas
El marco de trabajo de CiberSeguridad tiene 5 funciones: Identificar, Prevenir, Detectar, Responder y Recuperar; cada función, a su vez, tiene categorías y subcategorías. Incluye una herramienta (cuestionario) de autoevaluación para determinar la situación actual de CiberSeguridad en nuestra organización, el resultado de la evaluación se analiza para determinar las áreas de oportunidad y establecer planes de acción para llegar al nivel de madurez deseado en función de los objetivos de negocio y en un horizonte de tiempo. Involucra a todas las áreas interesadas en prevenir problemas de CiberSeguridad.
El crecimiento del Cibercrimen es cada vez mayor, organizaciones delictivas se suman al nuevo modelo de economía digital para cometer ciberataques que perjudican a las empresas en perdida de activos, ventas y reputación con sus clientes, por lo cual, es importante diseñar estrategias de CiberSeguridad con base en las mejores prácticas de organizaciones internacionales. El COVID-19 aceleró el proceso de transformación digital para todo tipo de empresa y de cualquier tamaño, con ello trajo inherentemente el riesgo de un ciberataque, para el que la mayoría no se ha preparado. Tenemos que reaccionar de forma proactiva para diseñar un plan estratégico de CiberSeguridad y ejecutar eficazmente su implementación.
