La urgencia por construir un país con enfoque en la ciberseguridad
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, instructor certificado en ciberseguridad — CSCT™, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
Los ciberataques están aumentando, tanto en cantidad como en sofisticación, con incidentes cada vez más graves que afectan cada semana a las empresas y a las dependencias del gobierno mexicano.
En fechas recientes, en el sector gobierno y organismos relacionados, las dependencias vulneradas incluyen a Petróleos Mexicanos (Pemex), Secretaría de Economía (SE), Secretaría de la Función Pública (SFP), Sistema de Administración Tributaria (SAT), Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), Comisión Nacional de Seguros y Fianzas (CNSF), Lotería Nacional (Lotenal), Secretaría de la Defensa Nacional (Sedena), Suprema Corte de Justicia de la Nación (SCJN), Banco Nacional de México (Banxico), Instituto Nacional para Transparencia y Protección de Datos Personales (INAI) y Secretaría de Infraestructura, Comunicaciones y Transportes (SICT), por mencionar algunos.
En este sentido, de acuerdo con un análisis de la unidad de investigación de SILIKN, el 78.3% de los responsables de las áreas de tecnología de información dentro del sector gobierno señalan que los ciberataques se han convertido ya en una amenaza a la seguridad nacional; no obstante, sólo alrededor del 10.2% de estas dependencias cuenta con un plan de respuesta a incidentes, una brecha que le cuesta a los contribuyentes más de $524,800 millones de pesos al año, y que representa un alto riesgo para los servicios públicos, sistemas de control, redes de producción e infraestructura crítica del país.
El riesgo continuo de que las organizaciones en México sean vulnerables a los ciberataques, hace que estas mismas dependencias e instituciones sean señaladas como objetivos fáciles para el cibercrimen, todo esto debido a la falta de mejores prácticas de ciberseguridad y a la falta de voluntad por parte de sus dirigentes para poder establecer planes y programas de prevención y respuesta a incidentes.
Y si bien en el Senado de la República se ha estado trabajando para expedir una Ley General de Ciberseguridad que establezca debidamente las competencias y bases de coordinación entre la Federación, los estados y municipios en esa materia, también es cierto que hace falta un mayor conocimiento en temas de ciberamenazas, ciberatacantes, técnicas, metodologías y herramientas, así como una mayor rapidez para implementar la ley y estar al nivel de velocidad con la que se presentan los ciberataques.
Pero también hace falta mayor interés y compromiso por parte del gobierno, ya que recientemente se dio a conocer que la actual administración presidencial recortó 3 mil 300 millones de pesos en los servicios de informática y ciberseguridad en todo el gobierno, lo cual significa que muchos funcionarios trabajen con computadoras y sistemas operativos obsoletos, sin actualizaciones, sin parches de seguridad, sin antivirus y utilizando programas piratas, poniendo en peligro a millones de ciudadanos, así como a sus respectiva información personal.
Además, lo anterior también afecta a organismos como la Secretaría de la Defensa Nacional, la Secretaría de Marina, la Guardia Nacional o a la Policía Cibernética ya que los deja sin recursos de ciberdefensa y totalmente expuestos ante el cibercrimen organizado, hacktivistas, ciberterroristas, amenazas avanzadas persistentes (APT) y Estados-nación.
¿Qué pueden hacer las instituciones para defenderse y mitigar estos riesgos?
El camino hacia la protección comienza con las mejores prácticas en ciberseguridad que incluyan la protección de datos y medidas para su recuperación, seguidas de planes integrales para capacitar a los funcionarios e informar y educar a la ciudadanía.
La primera línea de defensa absoluta de una organización son las medidas proactivas de ciberseguridad. Es importante tener la máxima visibilidad de todos los activos digitales e información, ya que no se puede proteger lo que no se puede ver.
Pero no existe una solución única para todos, por lo que tomar ese camino comienza con la concientización del personal y la integración y automatización de herramientas estandarizadas en todo el entorno de operaciones de seguridad y tecnología de información. Con este enfoque, tanto las organizaciones de tecnología de información, como las de seguridad, pueden obtener visibilidad en tiempo real de lo que está conectado a sus redes, dónde pueden existir datos confidenciales y permitirles remediar cualquier problema encontrado en el proceso.
La frecuencia con la que una organización debe hacer una copia de seguridad de sus datos depende de su misión. Los datos de archivos, por ejemplo, que no son críticos para las operaciones de la misión se incluirán en necesidades menos frecuentes. Pero las copias de seguridad de los sistemas que son críticos para los servicios de los ciudadanos, como la seguridad pública, la atención médica, la nómina, la asistencia financiera y los servicios públicos, deben mantenerse con la mayor frecuencia posible. Si esos sistemas no están disponibles, el impacto en la sociedad en general será muy grave.
Para más información, visite: https://www.silikn.com/