El siglo XXI se caracteriza por el desarrollo de la cuarta revolución industrial, que brinda el acceso a grandes fuentes de información con el uso de tecnologías de inteligencia artificial, ciencia de los datos (big data), la robotización de procesos y la ciberseguridad en general.
Antilavadodedinero / Ciberseguridad
El incremento de la productividad y la toma de decisiones basadas en información, que está disponible de forma inmediata y con un alto nivel de exactitud, lo cual se facilita utilizando tecnologías 5G.
Estos hechos hacen notar la importancia que tiene la buena administración de la información en cuanto a la disrupción de servicios y de la economía en general. No obstante, paralelo a este buen uso de los datos, el cibercrimen ha crecido en mas de 1000% en los últimos 18 meses.
Algunos países y regiones han publicado leyes sobre la protección de datos del consumidor, con dos objetivos principales:
- Regular el uso de la información de los usuarios de servicios financieros u otras industrias
- Administrar el acceso a la información y medidas de seguridad en el intercambio de esta de un punto a otro
Las regulaciones de protección de datos son muy afines a la Ley GDPR (General Data Protection Regulation) publicada en la unión europea, la cual se toma como base para el siguiente análisis.
En la siguiente gráfica se muestran los principales puntos que aborda esta ley:
Estas leyes son de carácter general y se aplica en todos los ámbitos de recolección de datos de una persona.
Las instituciones pueden hacer uso de la información de sus clientes únicamente si cuentan con el consentimiento de este. Cualquier entidad que sin la autorización debida haga uso de datos personales recibirá una sanción y multa. Es por esto, que se solicita la aprobación del propietario al inicio de la relación comercial o cuando sea oportuno para mantener el cumplimiento con estas leyes.
Lo que refiere a la privacidad por diseño, puede acotarse a que la información debe almacenarse bajo estándares de acceso y limitar su visibilidad a personas autorizadas. Es decir, los datos no deben presentarse “en claro”, por esta razón puede observarse que datos sensibles se presentan parcialmente y en la mayoría de los casos parte de los números de cuenta, correo electrónico u otro dato importante, se presentan combinando caracteres especiales.
Las medidas de protección de los datos también están relacionadas con la inscripción de la información almacenada o cuando se transporta de un punto a otro, sea al o interno de una institución o entre instituciones.
Estos temas son mas directos en regulaciones complementarias como PCI-DSS que van mas encaminadas a temas de seguridad de la información.
En conclusión, las leyes de protección de datos están encaminadas a:
- Brindar un uso eficiente de la información
- Moderar la utilización de esta para no abusar en cuanto a la generación de campañas o promocionales
- Dictar requerimientos mínimos para el resguardo de los datos (aquí es donde se intersecta con uno de los niveles de ciberseguridad)
- Eliminación de la información cuando el cliente termina su relación comercial con la institución
Qué es la Ciberseguridad
Según Gartner, ciberseguridad es la combinación de los siguientes elementos:
- Personas
- Políticas
- Procesos
- Tecnologías
Utilizadas por una empresa para la protección de sus activos digitales.
Según ISACA, la ciberseguridad contempla la mitigación de múltiples riesgos que difieren en tecnología, vectores de ataque y otros componentes. Para ello debe medirse su probabilidad e impacto para gestionarlos de forma adecuada.
Basado en estas definiciones, puede agregarse que la ciberseguridad es un tema complejo, que está muy relacionado con las áreas de tecnología, pero cuyo impacto debe evaluarse a nivel de junta directiva, ya que este tipo de eventos pueden afectar directamente la supervivencia de la empresa, es por eso por lo que, en distintos países a nivel mundial, existe la práctica que el responsable de ciberseguridad (CISO o equivalente) reporte al directorio de las empresas.
Los expertos de la materia dividen la ciberseguridad en 7 capas:
Como puede notarse, cada capa tiene un ámbito de acción específico.
En relación con la seguridad de los datos, vemos que hay una intersección entre la segunda capa y algunas recomendaciones como PCI-DSS y el espíritu de GDPR.
Las primeras 6 capas, se utilizan tradicionalmente en la industria y se distinguen por características, como, por ejemplo:
- Utilizan técnicas de aprendizaje automatizado (machine learning)
- Análisis con bases de datos de conocimiento (ataques y eventos pasados)
- Requieren atención de alertas por un grupo de trabajo (algunas con falsos positivos superiores al 40%)
- Son eminentemente reactivas. Aunque algunas aplican detección en tiempo real, lo hacen sobre patrones previamente conocidos y no tienen capacidad de reacción ante nuevas amenazas
- Hay capas conectadas a puertos espejo, lo cual refuerza su papel pasivo ante ataques
Algunos componentes mas conocidos en el medio son: Sistemas operativos, antivirus y los Firewall. Todos ellos con importantes funciones, tanto en el ámbito de ciberseguridad y otros, como, por ejemplo: el uso eficiente de los recursos del sistema, identificar amenazas conocidas o bien autenticar a los usuarios que acceden a los aplicativos de la institución.
Un hecho relevante, es que la ciberseguridad logra un alto nivel de eficiencia únicamente cuando se integra la séptima capa, que denominamos “disruptiva” que es la que ese especializa en neutralizar ataques sofisticados.
Sin tratar de ser exhaustivos en el análisis, puede concluirse que la utilización de estas primeras 6 capas, han dado como resultado, que mas del 90% de las instituciones a nivel global, reconocen que no tienen una defensa adecuada contra lo que se conoce como ataques sofisticados. (1)
Por esta razón, las empresas deben activar las 7 capas de ciberseguridad, que funcionen de forma conjunta y que todas se complementen en un ambiente colaborativo. Es la única forma de lograr neutralizar ataques sofisticados.
- Cybersecurity-Technology-Efficacy-Research-Report-V1.0 (** colocar esta referencia al pié de página **)
¿Qué es un ataque sofisticado?
Según el diccionario de Oxford, significa «de una máquina, sistema o técnica, desarrollado con un alto grado de complejidad. En otras palabras, con un enfoque práctico, podemos afirmar que los ataques sofisticados son aquellos que cuentan con las siguientes características:
- Desarrollan técnicas altamente especializadas para vulnerar los mecanismos tradicionales de ciberseguridad (firewalls de última generación, SIEMs, Anti-virus, sistemas operativos)
- Es usual que previo a un ataque sofisticado, se comprometan las credenciales de usuarios legítimos y de esta forma entran a la red sin ser detectados
- Estos ataques, de forma paulatina, desactivan los mecanismos de seguridad y toman control de la red
- Establecen comunicación con un centro de comando para sincronizar posteriormente el ataque a las instituciones
De esta manera es que se han materializado ataques recientes a múltiples instituciones como, por ejemplo:
- Kaseya, que fue vulnerada e impacto a mas de 40,000 clientes
- Solarwinds que impactó a mas de 20,000 clientes
- Microsoft que impactó a mas de 30,000 clientes
Estos son algunos ejemplos de los miles de ataques que ocurren diariamente y que abren otro esquema a considerar: cuando descargamos software de un proveedor o abrimos archivos adjuntos, podemos ser víctimas de un ataque de “puerta trasera” que luego se ejecuta dentro de la institución.
La pregunta inmediata es, bajo este escenario, ¿Qué mecanismo efectivo de defensa puede agregarse?
La respuesta se encuentra en implementar la última capa de seguridad denominada “Seguridad Disruptiva”
Aunque anteriormente, era conocida como “la capa humana” por el hecho que la decisión final de acción recae sobre una persona. Hoy día, la tecnología es capaz de delegar, en un sistema robotizado, la decisión de reaccionar ante un ataque y neutralizarlo.
Esto se deriva del hecho que los ataques sofisticados se ejecutan en menos de treinta segundos (tiempo que sigue bajando según evolucionan los ciberataques), mientras que la etapa de recolección de datos, traslado a un centro de seguridad (SOC por sus siglas en inglés) o acciones paralelas, pueden tomar al menos 10 minutos en la etapa de recolección y envío, para luego tomar horas y hasta semanas en tener una solución al problema.
Esta es justamente la razón por la cual, miles de empresas, que solo cuentan con las primeras 6 capas, han sido vulneradas sin tener una defensa que sea eficiente.
Entonces la solución del problema debe encaminarse a un mecanismo que sea capaz de responder en milisegundos ante un ataque. De esto se desprende la utilización de sistemas robotizados para poder neutralizarlos.
Detrás de esta técnica, hay toda una ciencia del conocimiento de ataques que permite ser proactivos y basar el análisis en patrones de comportamiento en lugar de hechos históricos.
Conclusiones:
- La industria 4.0 caracterizada por la transformación digital se potencia en la comunicación para que puedan realizarse operaciones financieras en tiempo real, así como tareas de investigación, comunicaciones y traslado de información de una forma que no tiene precedentes en la historia
- La gestión de seguridad de los datos se vuelve crítica, principalmente cuando se relaciona con información sensible de los usuarios
- El uso de la información personal se regula como parte de un ordenamiento comercial y estratégico para las empresas
- Los ciberataques sofisticados surgieron como actores, particularmente en esta revolución 4.0 y sus ingresos se estiman en 6 trillones de dólares al año
- La defensa ante ataques sofisticados ha evolucionado a procesos 100% automatizados y actualmente, las empresas están adoptando esta nueva tecnología como parte de su estrategia de resiliencia
- La tecnología está en el centro del cambio empresarial, lo que permite a las organizaciones transformar sus modelos operativos y de negocio y responder con agilidad a las amenazas competitivas
- La clave del éxito empresarial radica en gestionar los riesgos de forma oportuna