Xabier Mitxelena: ‘Hackerpocalypsis: ciberinseguridad a la carta’

1474817118_509425_1474817245_noticia_

No es la primera vez en mis 16 años en este sector que las propias circunstancias del mercado y sus “reglas” de contratación me hacen reflexionar sobre la idoneidad de los modelos que hoy gobiernan la contratación de infraestructuras, recursos y servicios de Ciberseguridad.

Parto de la base de que las expectativas que genera un proyecto en el ámbito de esta materia están muy por encima (en la media) de los resultados obtenidos y/o percibidos.

Eran principios del año 2000 cuando en nuestros inicios comprobé la “veracidad” de la inseguridad (al menos tecnológica) que tenían las infraestructuras que daban soporte y servicio al negocio de las Grandes Compañías. Los conceptos de “calidad” del software tenían una prioridad inferior al “claim” más comercial de “funciona”, menos mal. En esa época algún director general inquieto daba fe de la robustez de sus sistemas porque acababan de adquirir e implantar un Firewall en sus sistemas. Trabajar con algunos de los mejores expertos en Hacking de la época me ayudó a entender la fragilidad y vulnerabilidad de los negocios desde el punto de vista de sus aplicaciones.

Los pocos datos y estadísticas que manejábamos de las cifras de incidentes llegaban de USA, y nos hacían ver que en el año 2001 el 65% de las empresas habían declarado haber tenido algún problema de seguridad y el 35% restante “NO ERA CONSCIENTE”  de haberlo sufrido.

La experiencia y el crecimiento del sector han ido asociados a la aprobación de leyes y marcos regulatorios sectoriales que han ido “obligando” a hacer de la Ciberseguridad un elemento necesario que, bien gestionado, mejora los negocios y el posicionamiento de las organizaciones respecto a sus competidores. Desde los modelos de Innovación, el volumen de empresas a nivel nacional e internacional que han ido desarrollando tecnologías, metodologías y modelos de servicios ha ido creciendo de forma exponencial en la última década, lo que ha redundado en que HOY la Ciberseguridad esté de forma permanente en los medios de comunicación y en la hoja de ruta de Empresas y Organizaciones. En paralelo hemos ido aprendiendo palabras como virus, phishing, pharming, vishing, malware, spyware, que son la base de los negocios que nutren “el lado del mal”. Y entendiendo los riesgos IT, Infraestructuras Críticas, IoT, Industria 4.0. Estamos en la verdadera transformación digital y necesitamos ser competitivos a nivel global desde la confianza, lo cual exige que las persones estemos preparadas.

Como símil, puestos a calificar el grado de madurez y compromiso que estamos “aplicando”, diría que estamos al mismo nivel que el aprendizaje del inglés como lenguaje prioritario de comunicación en el entorno empresarial. Lleva más 25 años en nuestra Hoja de Ruta, pero salvo excepciones o necesidades imperativas, su  grado de implantación sigue siendo muy inferior al que requieren los mercados actuales. Si hubiera un indicador que nos dijera qué volumen de negocios referenciado al PIB del país se ha dejado de ganar por esa falta de implantación estoy seguro que nos sentiríamos abrumados. Estamos en la era digital y en los mercados globales y la posición de partida tiene sus desventajas. Afortunadamente las nuevas generaciones, con modelos formativos mucho más avanzados y adecuados, están reduciendo el gap que generaciones anteriores arrastramos.

Hoy en día recibimos múltiples informaciones sobre ataques, vulnerabilidades, soluciones contra las mismas, pero hay algunas de ellas que por sus cifras ha sido el origen de esta reflexión: Global Cost of Cybercrime Predicted to Hit $6 Trillion Annually By 2021. Esta afirmación es el resultado de un estudio realizado por Cybersecurity Ventures, cuyo título es Hackerpocalypse: A Cybercrime Revelation.

Larry Ponemon, Presidente y Fundador el Ponemon Institute dice que cuando se estiman $6 trillones, una desviación adicional al alza de $3 trillones es muy factible. Suponiendo una paridad dólar-euro, y que son trillones americanos, estamos hablando de 6 veces el PIB 2015 de España, cerca de una vez el de la zona Euro.

Realmente cifras y datos que llegan a marear, pero que a pesar de que hoy somos conscientes y partícipes de nuevas iniciativas a nivel nacional y europeo para reducir la brecha real de Ciberseguridad que tenemos que afrontar, requiere de una reflexión y plan de acción desde los conceptos más básicos. Los beneficios del Cibercrimen superan con creces los del Narcotráfico y otras acciones delictivas y fraudulentas a nivel global. El mundo digital ofrece hoy “al lado del mal” una oferta excelente de “Ciberinseguridad a la carta” que reporta increíbles beneficios con riesgos “físicos” muy inferiores a los del crimen organizado tradicional. Pero también es una “línea de apoyo” a el espionaje industrial, a la “guerra fría” geopolítica, al ciber-terrorismo, en definitiva tal vez el titular de Hackerpocalypse sea el inicio de un guión que nos debe pre-“ocupar” y exigir actuar de forma firme, estructurada y coordinada.

Me gustaría ir analizando muchas de las líneas que tenemos que construir y consolidar para dificultar el éxito de la Ciberinseguridad como modelo de negocio único y global, pero me quiero centrar en esta primera reflexión en una esencial relacionada con la educación.

 Estamos en la sociedad digital conectada, todos trabajamos para mejorar los servicios, optimizar los negocios y crear nuevas líneas de interés. Cloud, Big Data, Mobility, pero debemos hacer de la seguridad una parte de cada proceso e infraestructura para que sea un éxito. Hoy nos anuncian una nueva familia de malware (Bashlite Family) que afecta al mundo IoT (más de 1 millón de cámaras y DVR´s infectados por un ataque DDOS). En el informe del primer semestre de 2016 sobre Ciberseguridad de  CISCO, se deja claro que el “Ransomware” es el tipo de malware más rentable hasta la fecha, y que su sofisticación y complejidad puede llegar a convertir redes importantes en rehenes de los delincuentes. Esta noche, mañana, la semana que viene, decenas de nuevos riesgos e incidentes volverán a “inundar” nuestro entorno digital diario. Por eso, y desde el conocimiento y convencimiento de que el eslabón más débil de la cadena es (somos) el usuario, la primera acción conjunta y global que debemos impulsar desde el entorno público en colaboración con el privado es el de la formación y sensibilización sobre los riesgos y el buen uso de las tecnologías desde las edades más tempranas. Nuestros hijos ya nacen y se desarrollan en la vida digital y es por eso OBLIGATORIO transformar los modelos de formación y desarrollo de sus capacidades con una capa adicional donde la Ciberseguridad sea parte de ese modelo educativo. Aunque cada vez es más difícil por la sofisticación de los modelos y tecnologías de ataque, una buena educación sobre la Identidad Digital de cada persona y un modelo similar al de la Educación Vial en los colegios de Educación primaria y secundaria, ayudarán a hacer frente durante los próximos lustros a esos beneficios excepcionales que obtiene el mundo del Cibercrimen gracias a poder acceder al conocimiento y a las herramientas que permiten explotar la Ciberinseguridad a la carta. Países como el Reino Unido hace ya tiempo que decidieron implantar modelos de formación reglada en aspectos de Ciberseguridad dentro de los ciclos de Educación Primaria. Nos toca mover ficha, y tanto al nivel del Gobierno Central como el de las Comunidades Autónomas con competencias, tenemos que poner en marcha un Plan de Choque para que nuestra brecha se minimice al ritmo necesario. Profesores, padres y alumnos, cada uno en el aspecto y modelo adecuado deben ser el objetivo fundamental. Como con el inglés, desde abajo con un nuevo modelo de formación y formadores “nativos”, empezaremos a construir una sociedad digital de confianza. Ojalá no se cumplan las predicciones del estudio de Cybersecurity Ventures, ni mucho menos las correcciones de Larry Ponemon. Está en nuestras manos: Hackerpocalypse vs Digital Trust&Awareness

Xabier Mitxelena

Recommended Posts

Leave a Comment