La semana pasada se celebró en León uno de los encuentros más importantes del sector de la Ciberseguridad: el ENISE. Este encuentro, decano en su celebración (10 años ya), ha reunido a todas las partes que tienen algo que decir en el mundo de la Ciberseguridad. En este breve artículo intentaré resumir las principales conclusiones del congreso.
Se ha puesto el foco en la Ciberseguridad
Prueba de que la Ciberseguridad ha atraído la atención que se merece, es la asistencia de tres secretarías de Estado, junto con el propio Alcalde de León, más de 1100 asistentes confirmados en el ENISE y más 6000 seguidores por los diferentes canales de comunicación virtuales.
Otro de los aspectos que ha atraído el foco a la ciberseguridad es el hecho que de España se encuentre en el Top Ten de países más atacados del mundo. Una de las misiones de un gobierno es la protección de sus ciudadanos y empresas, y da igual si se encuentran en la Gran Vía de Madrid o en la 123.143.213.23 del ciberespacio. Siguen siendo ciudadanos españoles.
La rentabilidad de los ciberataques y su recompensa económica, ya no quedan tantos Robin Hood por el mundo, han sido, son y seguirán siendo los motores principales de motivación. Sólo en 2015 se perdieron más de 400.000.000.000€ (sí, están bien puestos los 0s). Por ello en España, en los últimos 3 años, se ha invertido una media de algo más de 18.000.000€.
Y a ti, ¿te importa la Ciberseguridad?
Esa es la pregunta que se han planteó en una de las sesiones en el 10º ENISE para entender el por qué de tal desastre. Como se suele decir, de aquellos polvos, estos lodos. Si desde un principio se hubieran hecho mejor las cosas (análisis de la seguridad, definición desde el diseño, construcción segura, mantenimiento previsto adecuado, etc.) no estaríamos en esta situación. Este es el motivo por el cual se concluye que la ciberseguridad sólo interesa si:
- Eres consciente de que el ciberespacio no es seguro y eso te puede afectar a tu bolsillo de una forma u otra.
- Necesitas una certificación para poder optar a diferentes pliegos que te den acceso a nuevos negocios.
- Te dan un producto, gratis, que puedas usar en tu Organización.
Triste panorama, pero una realidad que hay que conocer y utilizar para saber cómo usarla y conseguir cambiar la inercia.
Legislación: ¿escasa o excesiva?. Eso es lo de menos
La legislación, sea romana o anglosajona, escasa o excesiva, etc. en este caso da igual, porque el problema es que no es homogénea y no se puede aplicar allí donde se necesite. Rara vez el maleante realiza, o parece que realiza, el ataque en el país donde se comete el delito.
España está, tal y como se comentó en el ENISE, a la cabeza en la prestación de apoyo para el desarrollo de normativas y estándares de seguridad. Incluso supera la definición de los 7 sectores a los que se refiere la directiva europea, para llegar a profundizar en 12. Tenemos una de las mejores gestiones de los incidentes a nivel europeo, llegando a detectar más de 90.000 incidentes al año. Los principales eventos son el Malware y las APTs.
Delitos vs Incidentes
Es necesario reportar los incidentes que se sufren ante el gobierno, pero no tienen por qué ser todos delitos. Incluso mucho de ellos son simples eventos que no requieren de atención. Apenas se han recibido unos pocos cientos de denuncias respecto al total de incidentes.
Se pone de manifiesto que la colaboración público-privada debe de aterrizarse más y ser más fructífera, puesto que es muy grande la diferencia entre lo denunciado y lo detectado, más de 90.000 incidentes en el año.
La escasez de recursos a la hora de afrontar este tipo de denuncias no se salva de la saturación generalizada de la justicia. La capacidad de tener pruebas de las actividades delictivas, junto con la complejidad técnica de la obtención, sin usurpar el terreno privado y exento de la actividad perseguible, hacen muy difíciles, costosas y largas las investigaciones.
Lo que está por venir… puede ser peor
Entre los principales retos que están por llegar, y complicarán más si cabe el problema están:
- El aumento de información circulando por el mundo de forma exponencial, complicando más todavía el análisis de la información.
- La integración de la industria en un ámbito que es como un queso de Gruyere desde el punto de vista de la seguridad.
- Las nuevas, y antiguas, monedas virtuales que si no se cambian los modelos de seguridad podrían quedar expuestas.
- La nanotecnología que podría llevar a límites insospechados las consecuencias de la falta de seguridad.
- El desastre legislativo global si no se consiguen acuerdos internacionales que permitan la existencia de una ciberpolicía con competencia mundial.
- La profesionalización de una seguridad privada cibernética que pueda ofrecer servicios de protección en función de la demanda de las organizaciones.
- Entendimiento de los nuevos modelos de negocio, donde no se venden máquinas sino número de piezas fabricadas (dará igual qué maquina las haga, porque lo que se comprará no será el compresor de aire, sino x metros cúbicos de aire a la hora, producidos por 1 o 27 compresores).
- La no definición de protocolos industriales globales que permitan las sinergias en el desarrollo seguro del mismo por parte de fabricantes (de HW o SW).
A pesar de todo, estoy ansioso de llegar a verlo, la imaginación del ser humano es desbordante.
Estrategias a emplear comentadas en ENISE
El objetivo es concienciar. Concienciar por medio de la gamificación, mediante juegos. Es un medio que permite acceder al mayor número de ciudadanos posibles, buscando hacer rentable el gasto, para tener el mayor impacto en la forma de acceder a los usuarios. Diferentes juegos y acciones comerciales se realizarán en los próximos meses para concienciar a la población desde la base: los niños y las familias.
El otro gran problema es, no sólo la escasez de personal formado adecuadamente, y en las diferentes competencias que debe tener un defensor de la Ciberseguridad, sino del número tan escaso de profesores y centros que ofrezcan sólidos planes de aprendizaje. En colaboración con el Gobierno se van a realizar diferentes másteres para intentar paliar esa carencia de profesionales a ambos lados de la mesa de la clase.
La definición clara de los diferentes puestos y roles que deben ocupar los responsables para la protección de la Ciberseguridad es otra de las maneras de afrontar este reto con más posibilidades. Varios ponentes del ENISE hablaron al respecto dando sus diferentes puntos de vista, pero todos coincidieron en que es necesario tender a un modelo más profesional y experto, tanto en el componente técnico como en la dirección de la seguridad.
Modificación de leyes, que aunque locales, puedan aliviar en alguna medida la situación actual.
Generar ecosistemas de Ciberseguridad, formados por diferentes empresas, útiles y de apoyo para generar una comunidad que facilite la defensa común.
La esperanza es lo último que se pierde
Como decía una película que vi recientemente:
Creer en algo, ya es la mitad de la solución, así que estoy convencido de que pondremos sentido común en toda esta locura. Acabamos de empezar y ya tenemos un aprobado 😉
Edito para incluir una parte importante de este evento, el tiempo de charla y cata de productos leoneses, con los hermanos de sangre en esta lucha diaria por divulgar el sentido de la seguridad y proteger a las personas y sus organizaciones.
Muchas gracias: Arón, Dani, Abel, Susana, José, Alberto, Simón, Carmelo, José, Alex, Juan, Miguel, Enrique y todos los demás que hicieron de este evento, no sólo un gran foro profesional, sino también una gran reunión de amigos.
Puedes valorar el artículo si quieres: 
(No Ratings Yet)
Cargando...