Ya es una realidad que el término ciberseguridad se ha instaurado con gran fuerza en nuestro día a día, donde cada vez más las compañías privadas y organizaciones gubernamentales hacen hincapié en este concepto a través de programas de formación, concienciación y divulgación, y pese a que dicha palabra aún no está recogida en la Real Academia de la Lengua Española, se puede usar la definición que se realiza en el artículo de la empresa Kaspersky como “La práctica de defender las computadoras, los servidores, los dispositivos móviles, los sistemas electrónicos, las redes y los datos de ataques maliciosos“.
En la propia definición anterior se puede encontrar el concepto “infraestructura tecnológica” (en adelante abreviado como “Tecnología”) al hacer referencia a “computadoras, servidores, móviles, etc.”. Por tanto, quedaría una definición concisa y directa que sería:
Ciberseguridad es la práctica de defender nuestra “Tecnología” de ataques maliciosos
Antes, algo de historia y evolución en el tiempo…
Si nos remontamos 10-15 años atrás en el tiempo, los sistemas operativos que se desplegaban en los servidores (incluso en los dispositivos móviles) eran sistemas abiertos y con muchos servicios ejecutándose out-the-box para facilitar la integración de los mismos en las redes interconectadas, por tanto, la superficie de ataque de estos equipos era considerablemente amplia. Además, estos sistemas operativos implementaban medidas básicas de seguridad para su operación:
- Firewalls basados en filtrado de paquetes a nivel de red según modelo OSI.
- Autenticación y control de acceso mediante usuario y contraseñas nada complejas
- Sin gestión de roles ni permisos, etc.
En definitiva, las capacidades y funciones de seguridad se encontraban delegadas en productos que otros fabricantes comenzaban a diseñar y que se desplegaban como capas adicionales en dichos sistemas.
Hoy en día, los propios sistemas operativos que se despliegan en los dispositivos ya están securizados de fábrica y por norma general, aplican el Principio del Mínimo Privilegio que hace referencia, básicamente, a ofrecer las funciones y/o permisos estrictamente necesarios para su correcto funcionamiento. Con esta medida de seguridad tan sencilla, se consigue reducir en gran medida la superficie a atacar de un dispositivo.
¿Qué medidas adicionales de ciberseguridad se han ido implementando?
Con el paso del tiempo, los fabricantes han mejorado sus propios sistemas operativos y estos ya cuentan con un conjunto de medidas de ciberseguridad y de protección más complejas, robustas y eficaces como pueden ser:
1. Autenticación y controles de acceso basados en:
- PIN únicos para cada equipo
- User/Pass con mayor complejidad
- Claves temporales
- Patrones
- Huellas dactilares
- Reconocimiento facial, etc.
2. Protecciones adicionales como:
- Arranque seguro y control de aplicaciones
- Protección de contraseñas almacenadas (chip TPM)
- Aislamiento de zonas de memoria
- Segregación de roles y permisos en dispositivos multiusuarios
- BIOS evolucionada UEFI
- Firewall de equipo de próxima generación (NGFW), etc.
¿Cómo conseguir que la tecnología sea cibersegura y no morir en el intento? Balance entre Operatividad y Seguridad
Teniendo en cuenta todas las medidas de ciberseguridad y protecciones que nos ofrecen los fabricantes hoy en día, hay que llegar a un equilibrio, siempre difícil de conseguir, entre Operatividad y Seguridad, pues de nada serviría tener un dispositivo hiperfortificado, si este exceso de seguridad afecta a la propia operación del equipo y complica, por ende, su funcionalidad para la cual está diseñado.
Este balance entre Operatividad y Seguridad requiere siempre de un análisis y estudio previo de las circunstancias y entorno que rodea a los dispositivos, de su interacción con otros dispositivos, de las medidas y controles que pueden aportar otros activos adyacentes y del propósito para el cuál se va a usar dicho sistema.
Por ejemplo, nunca se deberían aplicar las mismas medidas de seguridad a un dispositivo fijo que se encuentra dentro de una organización en una red segmentada y securizada, que a un dispositivo personal que se puede trasladar y conectar a cualquier red pública.
No suele existir un procedimiento concreto y específico que se deba aplicar a cada dispositivo en materia de seguridad, pero si existen guías de buenas prácticas, normativas y estándares como la ISO/IEC 27032 que contemplan todos los aspectos a tener en cuenta en materia de ciberseguridad y por tanto, facilitan que el balance entre Operatividad y Seguridad sea más equilibrado.
A nivel de usuario particular, suele imponerse más facilidad y la sencillez de uso, es decir, la Operatividad, que medidas de ciberseguridad complejas, lo cual hace posible que estos dispositivos sean más propensos a ataques maliciosos.
En definitiva, si hablamos de ciberseguridad...
Siempre hay tener en mente que la tecnología está concebida para facilitar y simplificar los procesos de negocio, pero hoy en día en este mundo hiperconectado, sin una tecnología cibersegura estaremos expuestos a posibles ataques por parte de actores malintencionados que provocarán el efecto contrario para la cual se concibió dicha tecnología, haciéndola no-operativa y no-funcional.