ARABIA SAUDÍ, EL PAIS DEL PETROLEO…Y LA CIBERSEGURIDAD!

Dr. José Ramón Coz

Dr. José Ramón Coz

Dr. José Ramón Coz Fernández
Miembro fundador y Analista Internacional de THIBER. 

Es ampliamente conocido que Arabia Saudí es, sin duda, el país del petróleo. Arabia Saudí dispone de un quinta parte de las reservas petrolíferas de todo el planeta, y es el segundo país del mundo con mayores reservas después de Venezuela. Lo que, posiblemente, no sea tan conocido es su vinculación con la Ciberseguridad. Arabia Saudí, que es una de las veinte economías más poderosas del planeta, y el cuarto país del mundo que más invierte en Defensa, también ha considerado el carácter estratégico de la Ciberseguridad, formulada a través de su Estrategia Nacional de Ciberseguridad (conocida como NISS, Developing National Information Security Strategy for the Kingdom of Saudi Arabia).

Desde hace más una década, Arabia Saudí está invirtiendo cantidades ingentes en fortalecer su Ciberseguridad. Es, lo que se conoce en los ámbitos internacionales de análisis de Ciberseguridad a nivel geoestratégico, unos de los más grandes Consumidores de Ciberseguridad a nivel mundial. El país consume productos, servicios, tecnologías, ingeniería y consultoría de procesos, proyectos de investigación y formación relacionados con la Ciberseguridad, y lo hace de forma masiva. Estas grandes inversiones tienen como principal objetivo la protección de la Ciberespacio y, además, apuntalar la protección de sus Capacidades Defensivas.

En sintonía con el grupo de países más avanzados tecnológicamente y con una gran inversión en Defensa, Arabia Saudí realiza una inversión proporcional y equilibrada en Ciberseguridad, que permite al país protegerse de forma adecuada y minimizar los riesgos a los que está sometida, tanto su defensa como sus infraestructuras críticas, como es el caso particular del sector de la energía y, más en concreto, de la industria del petróleo, a la que se otorga una importancia estratégica.

La inversión del país en Defensa en el año 2013 rondó los sesenta y siete mil millones de dólares y su inversión en Ciberseguridad en el año 2013 fue de aproximadamente unos seis mil millones de dólares, de acuerdo a los últimos estudios realizados por el Departamento de Defensa de los Estados Unidos y el SIPRI (el Instituto Internacional de Investigación sobre la Paz de Estocolmo).

Todos los grandes programas y proyectos que se llevan a cabo en el ámbito de la Ciberseguridad en el país están alineados y coordinados. Esto supone un avance significativo, ya que solamente los países que coordinan de forma estratégica estos programas llegan a alcanzar un alto nivel de madurez en la protección global de su ciberespacio.

Ya en el año 2012 solamente el Ministerio de Finanzas Saudí Gestionaba un programa de Ciberseguridad de unos veinte millones de dólares, y en el caso del Ministerio de Petróleo y Minerales el programa estaba dotado de casi nueve millones de dólares; aunque fue precisamente este año 2012 en el que se produjo un punto de inflexión, con una notable evolución creciente en términos de inversiones en Ciberseguridad.

Después del ataque contra Aramco, la mayor empresa de petróleo del mundo, en el año 2012, que inutilizó los grandes sistemas de la compañía durante 10 días, se anunció un incremento en el presupuesto de Ciberseguridad de la propia compañía pública hasta los treinta millones de dólares. Además, en el año 2013 se produjeron importantes ataques contra las infraestructuras Web de los Ministerios en Arabia Saudí y estos hechos han provocado un crecimiento notable a nivel de inversiones. Según estimaciones del Virginia Economic Development Partnership, la inversión pública y privada podría alcanzar unas cifras cercanas a los treinta y siete mil millones de dólares en el año 2016. También, a modo de ejemplo, mencionaremos que tan solo las aerolíneas Saudíes ya invirtieron del orden de diez millones de dólares en programas de Ciberseguridad en el año 2013.

Estas cifras nos pueden dar una idea del alcance de los programas de ingeniería de soporte a la Ciberseguridad y de su complejidad técnica. Estos programas permiten alcanzar al país un grado de madurez alto, no solo en el ámbito de la Ciberseguridad sino también a la postre en las Tecnologías de la Información y las Comunicaciones.

Pero como todas las evoluciones, no se trata de un asunto reciente o esporádico. Si nos remontamos al año 2002, Arabia Saudita comenzó a crear su Framework Legal sobre Ciberseguridad con la creación de leyes como la Propiedad Intelectual, la ley de Copyright, la ley de Patentes o leyes específicas sobre Tecnología. En el año 2007, además, Arabia Saudita aprobó ya una Ley contra el Delito Cibernético (la famosa Ley del Cibercrimen, 8 Rabi 11428 / 26.03.2007), penalizando actos de piratería y fraude electrónico, así como la difusión electrónica información de socavar la moral pública o el apoyo a organizaciones terroristas. Las tareas llevadas a cabo desde entonces por la Oficina de Investigación y la Fiscalía con el apoyo técnico de la Comisión de la Tecnología de las Comunicaciones y la Información permiten también al país otorgar una garantía razonable de control.

Pese a ser un gran consumidor, y estableciendo las grandes distancias con los grandes desarrolladores de Ciberseguridad, Arabia Saudí está cambiando su visión del ámbito de la Ciberseguridad. Una visión más cortoplacista podría llevar al país a seguir realizando una gran inversión creciente en el consumo de Ciberseguridad, sin embargo, el gobierno Saudí está invirtiendo no solo en grandes proyectos de ingeniería, sino también en educación y formación en este campo. Además, sin duda, el mayor salto cualitativo a futuro es su inversión en Investigación sobre Ciberseguridad.

A modo de ejemplo mencionaremos la ciudad de la investigación KACST (King Abdulaziz City for Science and Technology) que es, en la actualidad, uno de los Centros más avanzados en Investigación del mundo. El programa de Ciberseguridad que gestiona este centro actualmente tiene un valor estimado de unos doce millones de dólares, y se han llevado a cabo desde el año 2011 importantes pactos de gran impacto con organizaciones de enorme prestigio como el MIT, que permiten a sus Universidades y Centros de Investigación seguir avanzando en todos los campos que engloban las TIC.

A nivel nacional, el País tiene una estructura de soporte a la Ciberseguridad coordinada, lo que se traduce en un liderazgo organizado. Destacaremos, en primer lugar, el Gran Centro de Respuesta a Incidentes que a nivel nacional lleva el liderazgo en la gestión de los Ciber-incidentes y la Gestión de Riesgos Tecnológicos. En segundo lugar, mencionaremos el Ciber-comando. Las fuerzas armadas de Arabia cuentan con servicios muy especializados y que están soportados por grandes programas e inversiones, y permiten garantizar la seguridad en los sistemas de la información y los sistemas de mando y control.

Además, existen cuerpos especialistas que actúan como asesoramiento para el resto de los cuerpos y fuerzas de seguridad del estado. Dispone el país, además, de un gran Centro de Operaciones de la Red que tiene como objetivo proteger los servidores y los sistemas de comunicación y proporcionar apoyo técnico, y de un Centro de Seguridad de la red que protege la confidencialidad de la información.

Como principal conclusión podemos destacar que Arabia Saudita, por sus grandes inversiones en todos los campos de la Ciberseguridad, incluyendo la ingeniería, la educación y la investigación principalmente, se convertirá sin lugar a dudas, y a muy corto plazo, en una de las grandes potencias mundiales en el campo de la Ciberseguridad y la Ciberdefensa.

Nota del administrador:

Las opiniones contenidas en el Blog son de exclusiva responsabilidad de los autores y no necesariamente reflejan la opinión de la organización.

FRANCIA, UN LIDERAZGO EN CIBERDEFENSA

Dr. José Ramón Coz

Dr. José Ramón Coz

Dr. José Ramón Coz Fernández
Miembro fundador y Analista Internacional de THIBER. 

Se puede afirmar, sin lugar a dudas, que Francia es uno de los países que mayor evolución ha tenido en la última década en el campo de la Ciberdefensa, pese a no ser uno de los pioneros en esta área, como puedan ser el Reino Unido, Israel, Rusia o Estados Unidos. Francia ha decido apostar por las Tecnologías de la Información y las Comunicaciones (TIC) desde hace más de tres décadas, sobretodo en el ámbito de las Administraciones Públicas y desde hace aproximadamente unos 5 años ha apostado fuertemente por la Ciberdefensa como un componente más de vital importancia, dentro del campo de las TIC.

Desde que Francia publicara su Estrategia Nacional de Ciberseguridad en Febrero del año 2011 se ha producido un auténtico terremoto que ha cristalizado en el Programa Nacional de Ciberseguridad que ha hecho público este año 2014. Este programa está dotado presupuestariamente con mil millones de euros. La propia Estrategia afirmaba que el mayor reto de la misma era convertir a Francia en una potencia mundial en Ciberseguridad.

Para decidir implicarse en un programa de estas dimensiones se ha producido previamente un trabajo ingente de análisis muy detallado de las inversiones, los programas, los proyectos y los servicios relacionados con la Seguridad de las TIC que estaban llevándose a cabo en todo el país. Todos los países con un grado de madurez alto en este campo han llevado a cabo estos estudios, aunque en el caso de Francia el proyecto es de extrema complejidad, pues su alcance abarca no solo el campo de la defensa y las administraciones públicas, sino también el de las Infraestructuras Críticas. Es importante señalar que estos retos tan complejos solo se pueden realizar con la colaboración estrecha del sector privado, que es responsable de gestionar una gran parte de estas infraestructuras, en la mayoría de los países.

Para llevar a cabo el diseño de este gran programa de inversiones, se ha contado con el liderazgo del Ministerio de Defensa Francés y la Agencia Nacional de Sistemas de Información, en su rol estratégico y de soporte a los Ciber-incidentes de seguridad a nivel nacional, tanto para el sector público como el privado (CERT-FR). El programa de Ciberseguridad convertirá a Francia en una próxima potencia de Ciberseguridad, sin lugar a dudas. Hay otros países con un grado de inversión similar, como el caso de IRAN, Arabia Saudí, Rusia o el Reino Unido, que se podrán destacar en un futuro próximo como las grandes potencias en este campo, siempre bajo el liderazgo de Estados Unidos, que es el desarrollador de la mayor parte de la tecnología de soporte a la Ciberdefensa.

Este gran programa cuenta no solo grandes proyectos de protección de infraestructuras críticas, dotados con un valor de unos cuatrocientos millones de Euros, sino también con importantes programas de I+D+i coordinados con centros de investigación básica y aplicada. El mayor grado de inversión será para los programas de Armamento y Material y la Seguridad de la Defensa. Francia, además, cuenta con una presencia muy relevante dentro de las instituciones internacionales, como la Unión Europea o las Naciones Unidas y está contribuyendo activamente a la formulación y el desarrollo de las estrategias futuras en Ciberdefensa.

Se conocen algunos grandes proyectos declarados oficialmente que cubre el Programa Nacional como el Proyecto de Seguridad en Comunicaciones, el Proyecto de Cifrado o el de Vigilancia de la Red Global de Defensa. Al tratarse de una prioridad para el Ministerio de Defensa, porque su capacidad operativa puede ser gravemente amenazada por las amenazas cibernéticas, se ha dotado de proyectos específicos de Mando y Control que permiten dotar de la seguridad de la información necesaria a los grandes programas de armamento. Esto es un aspecto fundamental, que ya ha sido incorporado en otros países. Como ya se ha mencionado, la mayor parte de las inversiones se destinarán a apuntalar la seguridad en el Ministerio de Defensa y sus socios estratégicos.

Francia, que gasta más dinero en sus fuerzas armadas que cualquier otro país europeo, excepto Gran Bretaña, se dotará en pocos años de la más alta tecnología de soporte a la Ciberdefensa y se pondrá al día con la OTAN en las defensas cibernéticas. También se pondrá en marcha un centro para capacitar al personal en la defensa cibernética, coordinado con las Universidades punteras en tecnología y seguridad, que tendrá un potente brazo de investigación para desarrollar las armas ofensivas de seguridad cibernética de Francia.

Otro aspecto clave es que el personal de la unidad de defensa cibernética en el campo militar se ha multiplicado por seis, y se ha creado un cuerpo específico de abogados especializados que serán capacitados para monitorizar todo el aspecto legal. Este cuerpo se integrará con el sistema judicial. Aquí, la colaboración Defensa y Justicia se considera clave, y existen numerosas líneas de acción para integrar sistemas, procesos y grupos de trabajo con este propósito. Esto es de vital importancia y cada día cobra más impacto en todos los países desarrollados.

Otro de los aspectos ya mencionados, pero absolutamente crítico, es la Ciberseguridad en los Programas de Mando y Control. Hasta la fecha los ataques monitorizados y protegidos por el Gobierno han tenido un foco en sistemas de información, pero el futuro de la Ciberdefensa es la protección de los sistemas críticos de armamento, como los aviones de combate, buques, drones y las plataformas terrestres.

En el caso particular de Francia, tras el acuerdo firmado con el Reino Unido en el año 2010 para el desarrollo común de Grandes Programas de Mando y Control, este Programa de Ciberseguridad Nacional tiene una importancia, si cabe, más estratégica porque las capacidades del Reino Unido en este campo son muy avanzadas y permite a Francia desarrollar potentes interfaces necesarios para la coordinación de estos Grandes Programas. Uno de los programas conjuntos Francia-UK es precisamente el de Ciberseguridad Conjunta, ya acordado como uno de los objetivos del acuerdo del año 2010.

Para llevar a cabo estos Programas Conjuntos y poder seguir avanzado en la protección de la Ciberseguridad nacional, el Programa Nacional de soporte a la Ciberdefensa es absolutamente crítico y por esa razón Francia está apostando fuerte en este campo, que llevará a consolidar al país como una gran potencia en el campo de la Ciberdefensa.

Nota del administrador:

Las opiniones contenidas en el Blog son de exclusiva responsabilidad de los autores y no necesariamente reflejan la opinión de la organización.

Ciberseguridad y Estrategia a largo plazo pero con recursos a corto… muy corto (Parte 2)

Gianluca D'Antonio
Gianluca D’Antonio
Presidente de ISMS Forum Spain y CISO de Grupo FCC. 

En este segundo post explicaré cómo diseñar una estrategia que, teniendo en cuenta los factores limitantes que hemos enumerado y descrito en la primera parte, defina los pasos a seguir para generar el cambio necesario en la organización para hacer frente a los nuevos desafíos que el ciberespacio presenta.

Iré por orden, definiendo las contra-medidas por cada factor limitante. Es preciso remarcar que algunas contra-medidas se aplican en más de un factor.

Apatía

Kevin Kelly, el fundador de Wired afirma que “en general, es mucho más fácil matar una organización que cambiarla significativamente” y con los años que he pasado trabajando en grandes y medianas organizaciones, tengo que reconocer que sigue teniendo razón. Existe todo un argumento para no salir de la zona de confort. Se trata de una inercia cultural que construye su trinchera con variaciones que giran alrededor del mismo argumento: “Nosotros no lo hacemos así porque somos distintos”. Y las variaciones cubren todo tipo de escenarios: distintos por mercado, por nivel de madurez, por organización, por regulación y, obviamente, por cultura.

Ante estos obstáculos, en mi opinión, la mejor estrategia es objetivar cuanto más posible el enfoque. En primer lugar, es necesario identificar los elementos de resistencia así como aquellos que puedan favorecer el cambio. En segundo lugar, hay que objetivar la necesidad del cambio. Tratando de Ciberseguridad, hay que determinar el gap existente entre la situación actual y la deseada por la organización. Los resultados del gap análisis irán acompañados por un estudio de mercado (que comúnmente denominamos benchmarking) y las buenas prácticas del Sector. El objetivo de este trabajo es desmitificar los argumentos arriba mencionados. Ninguna organización es única si la consideramos como la interrelación de Personas, Procesos y Tecnología, ámbito en el cual tenemos que definir la estrategia de ciberseguridad.

Infancia

Quizá este sea el factor que menos resistencias ofrece. Si es cierto que nos encontramos ante una disciplina todavía en fase de desarrollo, es también cierto que su consolidación está siendo favorecida por múltiples factores entre los cuales destacaría los siguientes:

  1. La adopción de Estrategias Nacionales de Ciberseguridad por parte de muchos países.
  2. El desarrollo de normas legales que contemplan aspectos de ciberseguridad en varios ámbitos de actuación de la iniciativa privada como la protección de infraestructuras criticas, la privacidad, la legislación penal, etc.
  3. La creciente entidad de los ataques e incidentes.
  4. El incremento de la cobertura mediática de los eventos arriba mencionados

Queda, sin embargo, recorrido para sistematizar de forma integral y coherente el conjunto de competencias y habilidades requeridas para una gestión idónea de las ciberamenazas.

En este ámbito es de fundamental relevancia la estructura que se dé a una unidad organizativa dedicada al dominio de la ciberseguridad. Tratándose de una práctica todavía en fieri, es importante planificar detenidamente todos los elementos del Programa de Ciberseguridad. Con este término quiero referirme a un conjunto ordenado de actividades encaminadas a conseguir los objetivos de la organización.

El orden de las actividades que componen un Programa de Ciberseguridad podría ser enumerado de la siguiente forma:

  • Definición de la Visión, Misión y Objetivos de la organización para el tratamiento de los ciber-riesgos.
  • Análisis contextualizado de la ciber-situación de la organización.
  • Delimitación del GAP y del ámbito de aplicación del Programa de Ciberseguridad.
  • Elaboración del conjunto de competencias y capacidades necesarias.
  • Definición de la estrategia de ciberseguridad.
  • Reclutamiento y formación del equipo.
  • Desarrollo del programa de acuerdo con la estrategia de ciberseguridad.
  • Revisión del estado de ejecución del programa.
  • Acciones correctivas y de mejoras.

Miopía.

Quizá sea este el factor limitante más difícil de reducir por ser intrínsecamente ligado a la naturaleza del razonamiento humano. “¿Cómo podemos conocer el futuro teniendo en cuenta nuestro conocimiento del pasado?” esta frase de Nassim Nicholas Taleb[1] introduce, en su forma original, el problema de la previsibilidad de los Cisnes Negros. En este contexto, las consecuencias de lo que aquí estamos clasificando bajo el paraguas de Miopía, mantienen una estrecha relación con nuestro sucesivo factor limitante, el de Primigenia. La falta de un dilatado y consolidado conjunto de series estadísticas sobre ciber-incidentes y ciberataques, que hayan influido de forma relevante y reconocida sobre hechos históricos, determina por parte de la mayoría de las personas una infra ponderación del riesgo. Ante este hecho, que el autor del Cisne Negro denomina falacia narrativa solo cabe una afirmación: “la naturaleza humana no está programada para los Cisnes Negros[2].

¿Qué recursos tenemos a nuestro alcance para intentar revertir esta situación de pesimismo ontológico? Yo diría que principalmente dos. El primero consiste en replantear el proceso de análisis de riesgos para transformarlo en análisis de impacto. Partiendo de la evidencia que el cálculo de probabilidad ante un escenario novedoso, como es el ciberespacio, se antoja indeterminable, mi propuesta es pivotar este análisis sobre las demás variables de la ecuación que sí podemos determinar y delimitar: vulnerabilidad e impacto.

El segundo consiste en evidenciar todas las estrechas relaciones de interdependencia que unen los procesos de negocio de cualquier organización de hoy con sus ecosistemas tecnológicos, así como la vulnerabilidad y exposición de estos últimos antes ciberamenazas.

No quiero negar que pasar de la teoría expresada en estas líneas a la práctica no sea un ejercicio sencillo. Probablemente sea todo lo contrario. Antes del 27 de abril de 2007 nadie hubiera imaginado un ciberataque a gran escala y de las consecuencias que luego conocimos contra de un país como Estonia. Las probabilidades eran muy bajas, por no decir casi inexistentes, según el criterio de la mayoría de los seres humanos. El atentado terrorista del 11 S y el desastre nuclear de Fukushima han vuelto a poner en evidencia la incapacidad del hombre de estimar y prevenir el evento primigenio. Lo que pone de manifiesto que ante las amenazas del ciberespacio no vamos a estar preparados por nuestra misma forma de subestimar lo que no hemos visto todavía. Sabemos que nuestra sociedad es cada vez más dependiente de su infraestructura tecnológica, del suministro de fuentes de energías, de sus comunicaciones en tiempo real, de sus servicios online…, lo que no sabemos y tendremos que aprender por la vía de la “prueba y error” es el coste y las consecuencias del incidente o ataque cibernético.

[1] [2] El cisne negro; Nassim Nicholas Taleb, edición Paidós.

Ciberseguridad y Estrategia a largo plazo, pero con recursos a corto… muy corto (Parte 1)

Gianluca D'Antonio
Gianluca D’Antonio
Presidente de ISMS Forum Spain y CISO de Grupo FCC. 

Que la realidad supera la ficción, por lo menos en lo que se refiere a ciberseguridad y al incremento exponencial tanto de las amenazas como de los ataques, ya no es un tema controvertido. Por lo menos, para los expertos y los profesionales del sector que saben dónde buscar datos y estadísticas. Personalmente recomiendo la página de Paolo Passeri www.hackmageddon.com para poder constatar que las tendencias van “in crescendo”.

Sin embargo, parece que la práctica de ciberseguridad es víctima de algunos de los factores limitantes que también afectaron a los Programas de Seguridad de la Información en sus primeros pasos.

Para elaborar la relación de los factores limitantes utilizaré también algunas de las categorías que Ron Collette definió en su libro “Ciso Soft Skills”.

Apatía.

Sinónimo de dejadez o indolencia, cuando referido a organizaciones estructuradas como son las empresas, es un elemento fundamental de la resistencia al cambio. Y como bien dice R. Collette, “desafortunadamente la apatía no afecta solo a la seguridad”. Mientras escribo estas líneas, Target, la empresa de distribución estadunidense que en diciembre pasado fue víctima del robo de más de 40 millones de tarjetas de crédito, publica el nombramiento de su nuevo CISO como una pieza fundamental en la campaña de imagen que está llevando a cabo para recuperar la confianza perdida de sus clientes.

El actual escenario se puede todavía definir como el primer estado de la ciberseguridad desde su conceptualización. Aunque mucho se haya escrito y analizado sobre las consecuencias de un mundo hiperconectado, desde el punto de vista organizativo, las empresas están todavía dando los primeros pasos para estructurar y aprovisionar de recursos una función que sea “accountable” para la ciberseguridad. La misma búsqueda de profesionales y expertos en este nuevo dominio es difícil, y muchas veces viene suplida con personas que carecen del background y competencias necesarias para definir una estrategia de ciberseguridad acorde con los objetivos de la organización.

Miopía.

La falta de visión a largo plazo limita de forma sustancial la capacidad de planificar una estrategia de ciberseguridad que asegure, en el sentido más amplio, la integridad de los activos de la organización. Las consecuencias de esta miopía son claras, empezando por exponer la organización a una serie de riesgos relacionados con el uso de las nuevas tecnologías y el ciberespacio que ni siquiera están definidos o clasificados por esta. En definitiva, estamos ante un approach reactivo más que proactivo, común a la mayoría de las organizaciones y determinado por la agenda de la Dirección Ejecutiva, muy alejada de los riesgos tecnológicos, hasta que se materialice el evento disruptor.

La falta de trayectoria y de dilatadas experiencias demostrables resta a la ciberseguridad, vista como la disciplina de la resiliencia, capacidad de persuasión para con los demás actores del ecosistema empresarial. Es difícil recurrir al benchmarking cuando de lo que se trata es de anticipar tendencias y acontecimientos futuros. Máxime si el ámbito en el que nos movemos es el de las nuevas tecnologías, solitamente acompañadas de una percepción “virtual” y dicotómica respecto a la real que acompaña el mundo tangible de las cosas. En otras palabras, la percepción de los actores más cercanos a los negocios acerca de los riesgos del ciberespacio es todavía muy incipiente. Por esta razón, hablar de factor primigenio cuando tratamos de ciberseguridad es muy apropiado. Estadísticamente es uno de los elementos limitantes que más aparecen cuando el análisis de las causas de un incidente va más allá de la superficie noticiable del mismo

La existencia de estos factores limitantes como son la Apatía, la Infancia, la Miopía y la Primigenia respecto de la ciberseguridad es algo indudable y fácilmente observable en la mayoría de organizaciones. Así como sus efectos, que resumiría como consecuente marginalidad de la gestión de los ciber-riesgos.

Esta marginalidad se materializa en la falta de un mandato específico, dentro de las organizaciones, que cubra la seguridad de las operaciones llevadas a cabo en el ciberespacio. Aunque mayoritariamente se pueda reconducir esta misión bajo el rol de Chief Information Security Officer (CISO), esta integración de la misión del CISO se hace de forma implícita, sin una clara asunción de este objetivo por parte de la Dirección. Una prueba de ello, es la ausencia, en la mayoría de las memorias empresariales publicadas, de una mención explícita a esta función. Sin una misión y mandato explicito que haga referencia a la ciberseguridad como un área de atención y aplicación de recursos por parte de la empresa es difícil vislumbrar un futuro próximo en el que los factores limitantes que hemos mencionado vayan reduciendo su presencia.

Hay señales positivos, empresas que han creado un rol especifico de Cyber Security Officer, o que han explícitamente refundado la función de Information Security incluyendo el dominio Ciber como parte de los objetivos de seguridad y estableciendo por ello reporting basados en métricas e indicadores específicos.

En mi próximo post trataré de ir más allá del diagnóstico e identificar las posibles estrategias para acelerar sino facilitar la reducción de estos factores limitantes.

Información relacionada y links útiles:

http://hackmageddon.com/

https://www.cisohandbook.com/

http://www.informationweek.com/strategic-cio/executive-insights-and-innovation/10-ways-to-fight-digital-theft-and-fraud/d/d-id/1127869?image_number=1

http://www.homelandsecuritynewswire.com/dr20140622-shortage-of-cybersecurity-professionals-a-risk-to-u-s-national-security

http://www.informationweek.com/strategic-cio/team-building-and-staffing/target-hires-gm-exec-as-first-ciso/d/d-id/1269600

http://blog.lumension.com/3842/the-new-cso-cyber-security-officer/

“No os equivoquéis. Éste no es un artículo sobre el 11-M”

Andreu_Bravo
Andrés Bravo Sánchez
CISO en Gas Natural Fenosa.

No me gusta que el atentado de Atocha sea recordado como el 11-M.

Puedo entender que una cifra y una letra sean fáciles de recordar y que, al pronunciarlas, rápidamente sea más sencillo evitar sentirse afectado por lo que sucedió aquél día, pero no me gusta esa notación.

No me gusta, porque ni siquiera es una fecha completa y eso nos hace olvidar una cronología que, bien analizada, dice mucho de lo mal preparados que estamos para adaptarnos a las nuevas amenazas.

Hablar de 11-S, 11-M y 7-J es lo mismo que hablar de 2001, 2004 y 2005 pero no parece que seamos conscientes de ello.

Está claro que un intervalo de 4 años no fue tiempo suficiente para desarrollar mecanismos de defensa contra este tipo de atentados; sin embargo, la causa de esa incapacidad no fue la falta de presupuesto ni de talento innovador. Basta recordar que en esos cuatro años Apple presentó el primer ipod, Dean creó el Segway PT, salieron los primeros teléfonos con cámara, Microsoft creó la Xbox, se abrió el itunes music store y se inventó youtube.

Lo que de verdad está fallando somos nosotros, las personas.

Ignoramos que las reglas de la guerra han cambiado, que el campo de batalla ya no es una zona abierta donde sólo luchan los soldados. Que Internet y las nuevas tecnologías han hecho que las armas sean mucho más baratas, más anónimas, más silenciosas y más dañinas. Que los servicios esenciales más básicos como la luz o el agua pueden ser controlados o manipulados a miles de kilómetros de distancia provocando envenenamiento, caos y muerte. Y que, como dijo Francis Bacon en 1605, “El conocimiento es poder”; aunque a mi, personalmente, me parece mucho más adecuada la reflexión que hizo Quinn Mc Donald en 2007: “La información es poder y está a la venta”.

Y es que nuestra vida entera y nuestras identidades se han convertido en información. Desde lo más público e inocuo hasta nuestros secretos más íntimos. Somos números, datos, documentos, sentimientos expresados de mil formas, fotos, vídeos, ideas…, somos sólo eso, información. O peor aún, somos información fuera de control. Porque aunque no queramos publicarla, siempre habrá alguien que lo hará por nosotros; y porque aunque queramos eliminarla, nunca sabremos si otras personas ya la han visto y la han copiado.

Querer creer que toda esa información puede clasificarse como pública o privada es un error, porque siempre habrá alguien con capacidad para acceder a ella, que podrá modificarla y que podrá destruirla. Que podrá suplantarnos, que podrá copiarnos, que podrá utilizarla en contra nuestra, o peor aún, que podrá utilizarla como un medio para alcanzar un fin mayor.

Hace unos días hemos sabido de la existencia de Uroburos, también conocida como “The snake campaign”. Otra ciberarma de espionaje y control. En este caso, diseñada por Rusia y desplegada con intensidad sobre Ucrania, capaz de comunicarse con su panel de control incluso estando instalada en un equipo, ¡sin conexión directa a Internet! Y hace unas horas, un grupo de hackers ucranianos han paralizado los servidores públicos de la asamblea parlamentaria de la OTAN.

Como decimos en nuestro sector, tenemos que actuar como si estuviésemos comprometidos. Pensar que toda la información que manejamos es importante y que siempre hay alguien interesado en utilizarla para hacer daño.

¿Aún no os lo creéis? Pues daros un paseo por la website de la empresa mSpy y podréis comprar teléfonos móviles nuevos con software precargado para grabar las conversaciones de quién los utilice. El regalo ideal para quedar como un señor y tener el control de vuestra pareja, hij@s o emplead@s.

Y ya que me lío a daros ejemplos, ni se os ocurra abrir los vídeos, fotos y noticias recién publicados en Internet sobre los restos del avión encontrado ni los supervivientes del vuelo MH370 de Malaysian Airlines. Si lo hacéis corréis el peligro de que vuestros ordenadores se conviertan en pasto del malware!

Hoy soñé…

Carles Solé Pascual
Director del Instituto Español de Ciberseguridad.

Hoy soñé que me compraba un nuevo y flamante smartphone. No recuerdo la marca, ni el sistema operativo, pero sí algo que me llamó mucho la atención. En la parte posterior, bajo la lente de la cámara, llevaba serigrafiado un pequeño sello dorado en el que se podía leer “Cybercrime Proof”. Me resultó curioso, pues el logo no pertenecía a ninguna firma conocida.

Lo encendí. El dispositivo vibró levemente y apareció una barra de progreso en la pantalla que anunciaba “vinculando el dispositivo al propietario”. Un pequeño láser localizó primero mi rostro y me escaneó después de arriba a abajo. Iban apareciendo chequeos por pantalla: “Facial… Ok. Retina… Ok. Venas… Ok. ADN… Ok.”. En este último tan sólo noté un ligero cosquilleo sobre la palma de mi mano. Genial, ya no harían falta ni pines, ni contraseñas, ni secuencias de movimientos más o menos complicadas de recordar…, pero tan fáciles de robar.

Apareció la pantalla de inicio y se me ocurrió dejarlo un momento sobre la mesa y alejarme algunos pasos. Tal cómo sospechaba: se bloqueó. Al cogerlo de nuevo se encendió la pantalla, listo para empezar a instalar aplicaciones. Empecé por el WhatsThat, la app de mensajería de moda. Bajó de la tienda y apareció un nuevo mensaje en la pantalla, “Analizando App”. Un cuadro de diálogo me mostraba todo aquello que pretendía abrir la aplicación: mi agenda, mi correo, mi cámara, mi geolocalización. Y podía marcar lo que le iba a permitir, como propietario de mi intimidad, y lo que no. También mostraba, para mi sorpresa, qué información pretendía enviar a alguna nube y de qué modo. En una barra lateral se mostraba el nivel de confianza de la aplicación, que iba del verde tira-millas al rojo no-te-fíes. Resultaba hasta intuitivo, como si no lo hubiesen concebido expertos en seguridad sino los propios diseñadores del producto. El mito de la seguridad embebida se materializaba ante mis ojos.

No acabaron aquí las sorpresas. Soñar es gratis, ¿no? El trasto en cuestión ofrecía, desde la pantalla de inicio, una intrigante opción de multi-identidad. Curioso que es uno, me metí hasta el fondo del asunto. Y resultó ser el Santo Grial de la movilidad. Uno se podía crear espacios personales y corporativos, todos ellos aislados y con las necesidades particulares necesarias. Por fin podía, desde un mismo equipo, actuar como tipo normal con su familia y amigos, como empleado de una empresa y como miembro de alguna asociación o grupo de trabajo. Simplemente deslizando los dedos por la pantalla. Brutal.

Y sospeché. Gato viejo que es uno, claro. Pero todos los intentos para hackear las aplicaciones o para hacerme con el sistema resultaron infructuosos. Era como si los programadores hubiesen incorporado, en una especie de acto de rebeldía, las mejores prácticas de seguridad. Ni siquiera los cero day funcionaban. ¿Había triunfado por fin el ingenio humano?

La emoción me embargó. Incluso derramé un par de lagrimillas ante aquella maravilla. Había esperanza para la humanidad: la evolución progresaba adecuadamente. Iba incluso más allá de lo personal, pues abría la posibilidad de ofrecer a la empresa un entorno seguro donde combinar lo profesional con lo personal. Ya no necesitaría tantos bolsillos en mis americanas. Al menos para llevar los diferentes smartphones, uno por cada identidad.

Y desperté. Pero aunque los sueños, sueños son, busqué rápidamente mi entrada al MWC y me dispuse a visitar stand por stand con la esperanza de encontrarlo en el mundo real. Sin embargo, tenía poco tiempo y no lo encontré. Así que si habéis estado por ahí y habéis visto algo parecido, por favor hacédmelo saber enseguida que me lo quiero comprar.

Ciberseguridad, ¿por qué ahora?

Carles Solé Pascual
Director del Instituto Español de Ciberseguridad.

Es el prefijo de moda: ciber. Llevamos lustros haciendo frente a las amenazas que se fraguaban en el ciberespacio: virus, phishing, troyanos, denegaciones de servicio, inyecciones de código, explotación de vulnerabilidades, robo de información y qué sé yo cuántas palabrejas más. Llevamos, de hecho, años alertando sobre un futuro hostil, postulándonos como los agoreros del negocio con nuestras predicciones, llevándonos las manos a la cabeza cada vez que se saltan nuestras recomendaciones. Y de pronto llegan Wikileaks, Stuxnet, Snowden, Duqu, Flame, brechas a diestro y a siniestro… Y el mundo cambia. Las cúpulas de las empresas se giran de pronto hacia nosotros y nos preguntan: ¿estamos a salvo?

Pero, ¿acaso no es lo mismo que vaticinábamos en el pasado? De acuerdo, hablábamos en un lenguaje que nadie entendía. Ni los propios técnicos. Así que costaba conectar con el negocio. Pero nos esforzamos. Fuimos a costosas escuelas de negocios, aprendimos a manejar el PowerPoint y el Excel mejor que el Nessus y el Perl. Nos pasamos a las certificaciones que llevaban la M de Management. Nos codeamos con la estirpe de nuestras compañías. Incluso nos pusimos una C de Chief en nuestros roles. Nacía el CISO, el único C-level que no suele estar en el Board, pero que debe mantener en equilibrio un millar de platos chinos sobre las delicadas facetas del negocio. Dejamos de ser los que instaban el antivirus. Gran consuelo.

Sin embargo todo esto no ha bastado para hacer llegar el mensaje. El detonante ha sido otro, y le llaman ciber-lo-que-sea: ciberamenazas, cibercrimen, ciberguerra, ciberespionaje, ciberdefensas. Pero, si el ciberespacio existe desde hace décadas, ¿por qué surge esta preocupación ahora? La respuesta es sencilla. Las amenazas han trascendido el ámbito de las empresas y ahora penden sobre los estados y sus sociedades. Ya no se trata de proteger a determinados sectores ante fraudes económicos o molestas denegaciones de servicio. Ahí se apañe el sector privado.

No, ahora se trata de dominar este nuevo espacio operativo y protegernos de las amenazas que entraña a nivel nacional. Disponer de la inteligencia y de las defensas necesarias para proteger nuestros activos más estratégicos y nuestra sociedad. Nuestras infraestructuras críticas están en juego si no estamos bien preparados. Al menos tanto como nuestros potenciales enemigos.

El ciberespacio nos ofrece la oportunidad de desarrollarnos como sociedad, de crecer y de ser competitivos a nivel global. Proporciona el marco de relación ideal para llevar nuestros negocios más lejos y hacerlos crecer más rápido. Pero también entraña riesgos que debemos comprender y mitigar si queremos allanar el camino del progreso. No podemos permitir que otros lo comprometan.

Con el nacimiento de este blog queremos ofrecer un lugar de reflexión, discusión y concienciación acerca de este concepto que está calando con fuerza en la sociedad. Sumar diferentes voces y opiniones para aprender entre todos y poder influir en las decisiones a nivel personal, profesional y nacional que nos ayuden a hacer de ese ciberespacio un lugar más seguro.

Como decía al principio, ciber es el prefijo de moda. De acuerdo. Pero si ha servido para elevar el nivel de concienciación a nivel nacional sobre unas amenazas de tal calado, ¡bienvenido sea!