“Una vez descartado lo imposible, lo que queda, por improbable que parezca, debe ser la verdad”. Frase del novelista escoces Sir Arthur Conan Doyle, conocido por crear al célebre detective de ficción Sherlock Holmes.
Como vimos en la entrada anterior, Las “olimpiadas” del Gobierno de IT, en la actualidad la información juega un papel vital en todo tipo de organizaciones, lo que ha hecho que su seguridad haya ido convirtiéndose en un aspecto clave; con un vistazo rápido a las noticias generalistas podemos ver que el crecimiento de los ciberataques está teniendo graves consecuencias. Diariamente se producen miles de “ataques” en todo el mundo, ritmo que aumenta de manera exponencial y que crea la necesidad de defender los recursos de las organizaciones frente a amenazas externas.
La pregunta que debemos hacernos es ¿está nuestra empresa en riesgo?. De los resultados del estudio 2014 Advanced Persistent Threat Awareness llevado a cabo por ISACA se concluye que:
- El 92% de las empresas que sufre una APT la considera una amenaza grave.
- El 66% piensa que solo es cuestión de tiempo.
- El 75% cree que el “gap” está en la prevención de APTs.
- Una de cada cinco ha experimentado un ataque de APT o amenaza persistente avanzada (APT, por sus siglas en inglés).
Según el estudio State of Cybersecurity: Implications for 2015, realizado por ISACA y RSA Conference, el 82% de las organizaciones esperan ser atacadas en este 2015.
Pasando a una fuente nacional, para el INCIBE (Instituto Nacional de Ciberseguridad) la ciberseguridad consiste en “la aplicación de un proceso de análisis y gestión de los riesgos relacionados con el uso, procesamiento, almacenamiento y transmisión de información o datos y los sistemas y procesos usados, basándose en los estándares internacionalmente aceptados“. Dicho organismo ha realizado un análisis para establecer un mapa de la ciberseguridad en España, determinando qué tendencias y necesidades existen en los diferentes segmentos de mercado de cara al futuro: Análisis y caracterización del mercado de la ciberseguridad en España.
El ejemplo más claro de la importancia que está adquiriendo la ciberseguridad lo tenemos en EEUU. En 2013, el presidente estadounidense Obama emitió la Executive Order – Improving Critical Infrastructure Cybersecurity. El Framework for Improving Critical Infrastructure Cybersecurity aboga por el desarrollo de un marco de ciberseguridad (CSF de sus siglas en inglés, Cybersecurity Framework) desarrollado de manera internacional por pequeñas y grandes organizaciones, públicas y privadas, bajo la batuta del Instituto Nacional de Estándares y Tecnología (NIST). A través de él se proporcionan un conjunto de actividades para lograr resultados específicos y “orientativos”.
De regreso a España, AENOR define un modelo integral de ciberseguridad, basado en los estándares internacionales ISO, con la finalidad de que las organizaciones puedan mitigar los riesgos y amenazas ante posibles ataques, barajando tres posibles escenarios: seguridad, continuidad del negocio y de infraestructuras críticas, yendo de menos a más en el alcance.
Con todo esto, y teniendo en cuenta que “las empresas españolas pierden 14.000 millones de euros anuales por ataques informáticos” y que “España sufrió en 2014 más de 70.000 ataques cibernéticos…”, volvemos al principio de esta entrada y lo que pensamos que es imposible que ocurra, acaba ocurriendo.
Antiguamente se cruzaba el mundo navegando en barco de lado a lado del océano; hoy en día se cruza a través de la red generando un mapa de “acciones” cuyo resultado final ha de acabar siendo la toma de conciencia de las organizaciones de que ante el incesante goteo de ciberataques es necesario cumplir algunos de estos marcos, normas y guías (nacionales e internacionales) de seguridad.