El término ciberseguridad ha tomado mucha fuerza y relevancia últimamente, sin embargo pareciera algo más abstracto que tangible. Si se intenta buscar una definición, de las pocas que existen es la del NIST (National Institute of Standards and Technology),que en traducción libre dice “La habilidad de proteger o defender el uso del ciberespacio de ciberataques”[1]. Aunque sigue siendo un concepto muy general, podemos relacionarlo con infraestructura crítica, que también tiene muchas definiciones, pero en lo personal me agrada la del NIST que, otra vez en traducción libre dice que consta de “sistemas y activos , ya sean físicos o virtuales, tan vitales para los Estados Unidos que la incapacidad o destrucción de dichos sistemas y activos tendrían un impacto que debilitaría la seguridad económica nacional, la salud pública o seguridad nacional o cualquier combinación de estas”[2].
Para una nación, independientemente del país del que se trate, infraestructura crítica pudieran ser sistemas militares, financieros, puertos marítimos y aéreos, sistemas de energía, sistemas de comunicación, etcétera. Si a ello súmanos el hecho de que vivimos en una sociedad global interconectada por el ciberespacio, queda claro por qué en todo el planeta existen iniciativas similares que tratan de abordar el tema, de las cuales mencionaré algunas a continuación.
En febrero de 2014, en Estados Unidos se liberó el “Framework for Improving Critical Infraestructure Cybersecurity” (Marco para mejorar la ciberseguridad de la infraestructura crítica), que permite que las organizaciones, sin importar su tamaño y grado de exposición al riesgo, puedan aplicar los principios y mejores prácticas en la administración de riesgos para aumentar la seguridad de las infraestructuras críticas. Por cierto, dicha liberación se dio con el fin de dar cumplimiento a la Executive Order No. 13636 que tenía como objetivos los siguientes:
Desarrollar un marco de trabajo de ciberseguridad independiente de la tecnología.
- Promover e incentivar la adopción de prácticas de ciberseguridad.
- Incrementar el volumen y calidad de la información sobre ciberamenazas.
- Incorporar una estricta privacidad y protección a las libertades civiles en cada iniciativa que busque asegurar la infraestructura crítica.
- Explorar el uso de regulaciones existentes para promover la ciberseguridad.
En lo que tiene que ver con la Comunidad Europea, esta también tiene su estrategia en ciberseguridad[3], de la que destaco como uno de sus puntos fundamentales el texto que dice que “Una Internet libre y abierta es el corazón de la estrategia de ciberseguridad”. Con el fin de cumplir este y otros objetivos, la ENISA (Europen Network and Information Security Agency) ha trabajado en el aseguramiento de las infraestructuras críticas, ejercicios de ciberseguridad, e incluso los lineamientos de cooperación en este rubro.
En América Latina también existen esfuerzos y posiblemente el más formal es el proyecto AMPARO, un proyecto de LANIC (Latin America Network Information Center) que a partir del año 2013 no solo se enfocará en el fortalecimientos de los centros de respuesta a incidentes de seguridad informática, sino también a generar capacitación y fortalecimiento en temas como son seguridad en DNS, seguridad en redes, etcétera.
Finalmente, África está trabajando en la “African Union Convention on the Establishment of a Credible Legal Framework for Cyber Security in Africa”, para hacer frente a retos como:
- Lograr un nivel de seguridad tecnológica adecuada para prevenir y controlar eficazmente los riesgos tecnológicos y de información.
- Construir una sociedad de la información que respete los valores, que proteja los derechos y libertades, y garantice la seguridad de los bienes de las personas, organizaciones y naciones.
- Contribuir a la economía del conocimiento, garantizar la igualdad de acceso a la información y al mismo tiempo estimular la creación de conocimiento auténtico.
Como es natural, cada una de las iniciativas mencionadas tiene enfoque diferente, de acuerdo al nivel de madurez de la región, pero todas ellas poseen objetivos en común los cuales podríamos enunciar como:
- Crear una conciencia de seguridad de la información.
- Proteger la infraestructura crítica.
- Limitar y proteger las fronteras digitales.
- Enfrentar las ciberamenazas.
- Mantener la confidencialidad, integridad y disponibilidad de la información.
Como puede apreciarse, en el fondo esto es lo que la seguridad de la información siempre ha perseguido, por tal razón considero que la ciberseguridad es simplemente la evolución de los principios fundamentales de la seguridad de la información y la atención a ciertos temas que seguían en el aire, como los siguientes:
- Seguridad física vs seguridad lógica: si la seguridad de la información busca que esta sea confiable, íntegra y se encuentre disponible, debería hacerse lo mismo con la infraestructura física que sea crítica. Por ejemplo, un aeropuerto queremos que sea confiable, íntegro y disponible; si esto es correcto entonces ¿Por qué se les da tratamientos diferentes? Cuando la seguridad se aborda desde una perspectiva de ciberseguridad, la línea que divide la seguridad lógica de la física tiende a difuminarse y en lo personal creo que en poco tiempo el responsable de ambas será una misma persona.
- Compartir información con pares: cuando una organización sufre un incidente de seguridad, a menos que una ley la obligue a darlo a conocer, la mayoría de ellas solo guardan silencio, ¿por qué sucede esto? Andrew Jaquith[4] menciona que en Estados Unidos el intercambio de información entre competidores podría violar la leyes antimonopolio, además el compartir información sobre prácticas de seguridad o incidentes podría causar demandas por responsabilidad; si a esto le sumamos que si al compartir información participa una agencia de gobierno, y aunque la información sea confidencial, se podría obligar a darla a conocer por el FOAI (Freedom of information Act). Sobre este escenario casi ninguna organización se aventuraría a compartir información con una similar respecto a temas de seguridad.
Sin embargo cada vez es más frecuente que los ciberataques usan malware diseñado específicamente para atacar una organización en particular, por tal razón cada incidente podría considerarse único y debería permearse información a la industria como parte del proceso del aprendizaje. Aunque ya comienza a suceder cuando algunas firmas o fabricantes de seguridad liberan sus informes anuales sobre ciberamenazas, el esfuerzo no es suficiente y no solo la industria, sino los gobiernos, deberían abrir más mesas de información sobre amenazas avanzadas. Una de las iniciativas que trata de abordar este tema es OpenIOC[5], que es un marco de trabajo abierto para compartir información de inteligencia sobre amenazas.
- Monitoreo de tráfico saliente: durante mucho tiempo el tráfico de red de las organizaciones se ha monitoreado, sin embargo muchas veces el enfoque es revisar lo que entra de Internet, para esto se segmentaban redes, se implementaban firewalls, IDS, IPS y muchos otros dispositivos; pero cuando tratamos con amenazas avanzadas, podría ser más importante monitorear el tráfico saliente y no solo basarse en anomalías de protocolos o firmas que alerten de amenazas, también se vuelve relevante considerar estadísticas y desviaciones de uso. Conforme una organización entiende mejor el flujo de su información, estará más preparada para detectar de manera rápida amenazas avanzadas.
Posiblemente existen otras aristas que las organizaciones pueden o deben seguir para enfrentar el reto que nos muestra el ciberespacio en temas de seguridad, pero, en conclusión, aunque en ocasiones el tema pareciera una simple moda, es importante no descartarlo y entender que en diferente grado todos estamos relacionados con él.
Referencias:
- National Institute of Standars and Technology, Framework for Improving Critical Infraestructure Cybersecurity, 12 febrero 2014. http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214-final.pdf
- Executive Order no. 13636, Improving Critical Infrastructure Cybersecurity, DCPD-201300091, 12 de febrero 2013. http://www.gpo.gov/fdsys/pkg/FR-2013-02-19/pdf/2013-03915.pdf
- ENISA, ,Cybersecurity cooperation- Defending the digital frontline, 18 octubre 2013 https://www.enisa.europa.eu/media/key-documents/cybersecurity-cooperation-defending-the-digital-frontline
- DRAFT AFRICAN UNION CONVENTION ON THE ESTABLISHMENT OF A CREDIBLE LEGAL FRAMEWORK FOR CYBER SECURITY IN AFRICA, 1 septiembre 2012, http://au.int/en/cyberlegislation
[1] NISTIR 7298, Glossary of key Information Security Terms Revision 2, Mayo 2013, pág. 58
[2] National Institute of Standards and Technology, Framework for Improving Critical Infraestructure Cybersecurity, Feb. 2014, pág. 3
[3] EU Cyber Security Strategy-open, safe and secure http://eeas.europa.eu/top_stories/2013/070213_cybersecurity_en.htm
[4] Jaquith Andrew, Security Metrics Replacing Fear, Uncertainty, and Doubt, Addison-Wesley, 2007, pág. 12
Deja tu comentario