Gartner estima que el gasto total de las empresas en seguridad de la información para 2019 a nivel mundial será de 124 mil millones de dólares¹, dato que no incluye el gasto en seguridad IoT o de sistemas industriales, destaca además que la seguridad como servicio y su entrega desde el cloud sobrepasará en breve las soluciones en local.
Este pronóstico junto con la evidente relevancia que ha ido ganando la ciberseguridad en nuestras vidas, abriendo telediarios, generando portadas en distintos medios, afectando a servicios online que utilizamos a diario, etc. nos da una idea del mundo hacia el que vamos.
Y es que el cibercrimen ya es una amenaza que se estima que costó al mundo en 2017, 600 mil millones de dólares³, casi el 1% del PIB Global y para 2021 se estima que será de 6 billones de dólares ². Esta transferencia económica incluye daños y destrucción de datos, dinero robado, pérdida de productividad, robo de propiedad intelectual, robo de datos personales y financieros, malversación de fondos, fraude, interrupción posterior al ataque al curso normal de los negocios, investigación forense, restauración y eliminación de datos y sistemas hackeados, y daño a la reputación entre otros.
Aunque pueden existir distintas motivaciones por parte de los cibercriminales, no todas tienen porqué ser económicas, existen otras como el daño reputacional al objetivo, el desafío intelectual, el vandalismo, etc. Una reflexión interesante, aunque sumamente simplificada es la de comparar las motivaciones que respaldan a ambos bandos desde las cifras económicas.
En 2018 hemos tenido a un grupo motivado para defenderse invirtiendo 114 mil millones de dólares de otro motivado para atacar por conseguir una parte de esos 600 mil millones de impacto (utilizando la cifra de 2017), la relacionada principalmente con robos y estafas a través de: ingeniería social, phishing, ransomware, ataques contra la infraestructura de entidades bancarias o casas de cambio de criptomonedas, o los beneficios obtenidos por la venta de información (I+D, estratégica, comercial, etc.), o pagos por generar daños en competidores, etc. Esta reflexión nos puede hacer ver que si un cibercriminal puede llegar a pensar que es capaz de robar 60.000€ a una empresa, quizás se planteé dedicar 6 meses 8 horas al día para conseguirlo y la pregunta que nos viene a la mente es ¿cuántos recursos dedicamos para defendernos?
Es fácil pensar que estamos ante un entorno favorable para que todos los pronósticos se cumplan o sean sobrepasados. Con el crecimiento de la población, la digitalización de las empresas, de nuestras vidas que con la tecnología conectada que pretende cada vez abarcar más ámbitos: accesorios corporales, electrodomésticos, coches, elementos de domótica, etc. todos ellos hacen que el objetivo para los atacantes sea aún mayor y más variado.
Pero no nos desanimemos, aunque Sun Tzu predique en una de las frases “la mejor defensa es un buen ataque” en este caso no estamos ante una guerra en la que tengamos que acabar con el enemigo, sino simplemente desmotivarlo, subiendo el listón lo suficiente como para que el cibercrimen deje de ser tan atractivo y nuestra empresa no sea un objetivo tan accesible a atacantes sin un perfil técnico alto. Nuestro único empeño es centrarnos en la defensa y estos últimos años la industria de la seguridad de la información ha evolucionado de manera drástica, consiguiendo que defenderse sea más sencillo que nunca.
Es habitual ver que en algunas empresas la única seguridad que existe es la tecnológica cuando la seguridad está compuesta por tres grandes pilares, personas, procesos y tecnología. Dentro de la tecnología podríamos identificar dos ámbitos principalmente, la seguridad en la arquitectura y la arquitectura de seguridad, la primera hace referencia a todas las medidas de seguridad configurables en las tecnologías que no son de seguridad, como en las aplicaciones (ERP, CRM, etc.) sistemas operativos, bases de datos, routers etc., mientras que la segunda hace referencia a las herramientas propias de seguridad como los antivirus, firewalls, IDS/IPS, filtrado web, anti DDoS, etc. Ambas son complementarias y deben ser consideradas.
Esta tendencia, quizá por desconocimiento o quizá por el empuje comercial de la industria, hace que todo el foco se centre en la arquitectura de seguridad, la cual ha ido ganando peso en el gasto TI, mientras que la seguridad en la arquitectura, que suele requerir menores esfuerzos económicos y más centrados en el CAPEX no es aprovechada del todo. Sin obviar el hecho de que muchas veces aun contando con herramientas de seguridad adecuadas estas no son del todo explotadas debido a que no han sido configuradas correctamente.
Tampoco olvidemos la importancia de tener unos procesos sólidos de gestión de la seguridad para el correcto gobierno de la tecnología y las personas, ni de la importancia de formar a los usuarios que pecan de ser el eslabón más débil.
Cabe recordar que cualquier decisión o plan en materia de seguridad debe estar conformado por esta visión global de personas, procesos y herramientas, y analizado desde una perspectiva de orientación a riesgos, de modo que las inversiones vayan en el sentido de mitigar la probabilidad y/o el impacto que los problemas de ciberseguridad puedan causar en nuestro negocio.
Referencias:
2. https://cybersecurityventures.com/2015-wp/wp-content/uploads/2017/10/2017-Cybercrime-Report.pdf
3. https://www.mcafee.com/enterprise/en-us/solutions/lp/economics-cybercrime.html