BINAURAMONLEX: LA CIBERSEGURIDAD GESTIONADA POR PROFESIONALES ACREDITADOS

En opinión de nuestro asesor experto en los servicios más tecnológicos: “la seguridad informática debe ser un esfuerzo conjunto y continuo por parte de todos los miembros de una empresa”. Conseguir la implicación general y global es parte de la cibercultura de la prevención por la que abogamos.

IMAGEN

La nueva realidad tecnológica ha provocado la transformación de las empresas y la forma de relacionarse entre ellas. Las nuevas tecnologías han propiciado esa transformación, generando una gran oportunidad para mejorar su comunicación y el acceso a nuevos mercados, productos y clientes. Sin embargo, todo ello supone nuevos riesgos de diferente índole a los que hacer frente.

La creación de BinauraMonlex responde a esa nueva realidad empresarial y, día a día, un equipo multidisciplinar y acreditado, orienta a sus clientes sobre cómo disfrutar de todas las ventajas que otorgan las TIC…pero controlando sus riesgos organizativos, jurídicos y tecnológicos.

Básicamente se trata de ofrecer una solución integral a las necesidades en seguridad de la información en cada una de las fases de un posible incidente: antes, durante y después (prevención, análisis y reacción). Uno de nuestros consultores de seguridad de la información en su variante más técnica es J. Le hemos pedido a este Ingeniero Superior en Informática con las certificaciones CISA (Certified Information System Auditor) y CISSP (Certified Information Systems Security Profesional), que nos explique su experiencia, opinión y recomendaciones para hacer frente a un momento especialmente importante en lo que BinauraMonlex denomina la ‘cibercultura de la seguridad’. Esperamos que te resulte interesante saber qué personas y sus conocimientos forman la barrera humano-tecnológica frente a la delincuencia en la red.

J, cómo explicarías tu trabajo de la forma menos técnica y más compresible posible…

Mi trabajo es lo que se conoce como hacker de sobrero blanco (white hacker). Intentamos romper la seguridad de los sistemas informáticos sin razones maliciosas y siempre contratados por las propias organizaciones, con el fin de encontrar y arreglar sus vulnerabilidades o agujeros de seguridad presentes. En definitiva, intentando evitar incidentes de seguridad futuros.

Sin embargo, te ‘molesta’ que te llamen hacker.

 En particular, sí, ya que se te encasilla en una posición que, al menos en mi caso, no es la que se me atribuye. La gente en general desconoce los diferentes perfiles del hacking, y por lo tanto, las diferentes razones por la que cada uno nos dedicamos a estas actividades. En el momento en el que escuchamos la palabra hacker, enseguida se asocia a criminal o persona de poca confianza.  No obstante, todo ello es comprensible ya que en los medios de comunicación sólo se da popularidad a los ciberataques realizados por hackers de sombrero negro o gris.

Entonces cuéntanos tu cometido, por qué elegiste este camino…

Cuando empecé a estudiar la carrera, comprendí que quería diferenciarme del resto. A ese sentimiento se añadió que, por entonces, cada vez eran más los casos conocidos de ciberataques y la repercusión (a nivel económico y/o social) que tenían en las organizaciones o sistemas afectados. Me entró el gusanillo y decidí auto formarme al respecto.

¿Crees que tu actividad se entiende en las empresas, o sólo en los departamentos concretos que se ocupan de estas cuestiones?

Normalmente, sólo se entiende en aquellas empresas que manejan/albergan información sensible y/o consideran la información como un activo estratégico dentro de la misma. Por lo tanto, uno de sus mayores objetivos consiste en salvaguardar la seguridad de dicha información, evitando accesos no autorizados que puedan poner en peligro su confidencialidad e integridad.

Y en general, ¿cómo valoras la cultura de la ciberseguridad en las empresas españolas?

Todavía no asignan a la seguridad informática el peso que se merece. Sólo en algunas grandes empresas existe un responsable de seguridad de la información que reporta directamente a la dirección general. Es un claro síntoma de que sigue faltando mucho por hacer. Además, los escasos recursos con los que suelen contar las PYMES, dificultan la expansión de la ciberseguridad en el tejido empresarial.

No obstante, cada vez hay una mayor preocupación al respecto. A raíz del aumento de los incidentes acontecidos cada año, las empresas se están dando cuenta que es vital apostar por la protección informática. Se estima que la inversión en ciberseguridad sufra un aumento exponencial en los próximos años.

¿Cuál sería la foto de la principales amenazas en este momento?

Es necesario tener en cuenta que las amenazas de seguridad a las que se enfrenta cualquier empresa pueden tener un origen tanto externo, como interno.

Una vez dicho eso, los principales vectores de ataque utilizados hoy en día son:

  • Ataques que causan denegaciones de servicio (DoS o DDoS) y por tanto, pérdida de disponibilidad y daño en la reputación de la imagen de la empresa, dependiendo de los servicios que se vean afectados por los ataques
  • Extorsiones vía ransomware (software malicioso instalado en los computadores que impide el acceso a determinada información, solicitando un rescate para recuperar su control) por parte de los atacantes dirigida a empresas y/o particulares cuyos datos han sido ‘secuestrados’.
  • Accesos no autorizados debido a malas configuraciones (vía web, vía wifi, etc.) desde donde un atacante pudiera acceder a otras redes y/o equipos inicialmente no accesibles.
  • Fuga de información provocada por empleados descontentos con acceso a datos sensibles, o trabajadores con poca formación en materia de ciberseguridad que suponen un riesgo por el uso de dispositivos USB, descargas de páginas inseguras, apertura de correos con phising, etc.

¿Y en el corto-medio plazo, de qué amenazas estaríamos hablando?

Se estima que los vectores de ataque más utilizados a corto plazo sigan la tendencia de este último año, centrándose en las extorsiones vía ransomware dirigidas tanto a empresas como a usuarios. Además con los smartphones como objetivo cada vez más interesante para los atacantes, dada la falta de medidas de seguridad establecidas en los mismos.

Adicionalmente, se estima que con IoT (Internet of things) el número de dispositivos conectados a la red multiplicará por cuatro a la población mundial en los próximos años. Así que será necesario situar a la ciberseguridad entre las prioridades de cualquier empresa o particular. Me gusta recordar que siempre debemos tener en cuenta las máximas de que “La tecnología no nace segura” y “La seguridad completa no existe”.

¿Cuáles son las recomendaciones básicas que darías en un pitch a un grupo de empresarios o sus directivos?

Ninguna empresa está libre de ser objetivo de un ciberataque tanto interno como externo. Por lo tanto, recomendaría una serie de medidas de seguridad mínimas que intenten prevenir y limitar el impacto de un posible incidente de seguridad.

Entre esas recomendaciones básicas incluiría:

  • El establecimiento de una política de contraseñas robusta para todas las aplicaciones y/o dispositivos electrónicos existente en la empresa
  • La definición y puesta en marcha de una política de backups adecuada a las necesidades de la empresa
  • Instalación de equipos de prevención (antivirus, IDS, IPS, firewalls, etc…)
  • Permitir únicamente la navegación por páginas seguras y de confianza
  • Limitar el uso de programas de acceso remoto
  • Mantener actualizado todo el software instalado en la empresa
  • Prestar atención al uso del correo electrónico, es una de las vías más utilizadas por los atacantes para infectar los equipos

La seguridad informática debe ser un esfuerzo conjunto y continuo por parte de todos los miembros que forman parte de una empresa.

¿Y los particulares, qué deberían tener en cuenta?

El principal objetivo de los ciberataques que se producen hoy en día es el dinero, y los particulares son las presas más indefensas. Sin embargo, no parece haber cundido la necesidad de salvaguardar nuestros datos personales entre la gente.

Por lo tanto, como recomendación inicial, siempre aconsejaría ser un poco escéptico a la hora de proporcionar datos personales, sin valorar exhaustivamente el nivel de seguridad aportado por la solución tecnológica utilizada.

Por otro lado, como medidas adicionales, recomendaría

  • No acceder a páginas web consideradas peligrosas
  • Limitar los permisos otorgados a las aplicaciones instaladas en nuestros smartphones
  • Utilizar contraseñas difíciles de averiguar
  • Evitar la instalación de aplicaciones de origen dudoso en nuestros computadores
  • Tener mucho cuidado a la de seguir los enlaces incluidos y/o visualizar los documentos adjuntados en los correos electrónicos recibidos cuyo origen no sea “cotidiano”
  •  llevar a cabo copias de seguridad recurrentes de la información que consideremos sensible

¿Seguís siendo pocos para tanto reto, tiene tu perfil profesional mucha demanda?

Por supuesto que sí, es una profesión con mucho futuro donde cada vez hay mayor demanda. Pero también hay de trabajo vacantes sin cubrir,  por falta de personal cualificado.

Para hacer frente a esas carencias,¿crees que nuestro entorno educativo está preparado para ello, para formar adecuadamente a los profesionales necesarios?

En los últimos años han surgido ofertas educativas en las universidades españolas bastante adecuadas y muy bien enfocadas por expertos en la materia, que permiten a cualquier joven adentrarse e iniciarse en este mundo con una base sólida y estructurada. Sin embargo, no olvidemos que esta profesión tiene un alto grado asociado de autoformación y continuo reciclaje. De hecho, hay que mantenerse activo, poner a prueba diariamente tus conocimientos en cada uno de los proyectos que realizas. Hay que tener en cuenta que los sistemas informáticos de cada organización son diferentes unos de otros.

Lo mismo pasa con la actitud de cada organización: cada una tiene su peculiar forma de afrontar la oportunidad de asesoramiento de Seguridad TIC, Hardening de sistemas, la Auditoría de Cogido Fuente, el Análisis Forense o el Hacking Ético. Quizá saber cómo piensan y actúan los profesionales que prestan esos servicios aporte el valor añadido en el que trabaja BinauraMonlex para contar con la confianza de sus clientes…

 

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.