SKINNER, EL MAR, LA SOCIEDAD DIGITAL Y LA CIBERSEGURIDAD. PARTE II: EL CAMINO | GONZALO HUERTA FERNÁNDEZ | PRESIDENTE EJECUTIVO GRUPO GEMED | ALUMNI PADE

En la primera parte de este artículo titulado “LA REALIDAD”; se hace una analogía sobre los peligros que se ciernen sobre un individuo o una sociedad que es obligada a relacionarse con un nuevo medio, en este caso natural, y que hasta ese momento era desconocido, el mar. También se dan algunos datos que permiten situar desde el punto de vista de la peligrosidad o del impacto que sobre la sociedad actual tiene la utilización de las nuevas tecnologías en esta nueva sociedad digital, o más bien en esta nueva realidad social digital, sin antes tener una conciencia y un conocimiento exacto de como se debe establecer esta relación, y que implicaciones tiene la utilización irracional o irresponsable de la citada tecnología y/o la información a la que se tiene fácil acceso utilizando la citada tecnología.

A la luz del panorama descrito en esa primera parte de este artículo, cabe preguntarse qué podemos hacer, como nos podemos proteger, o cual sería la tendencia o el rumbo que una sociedad analógica y que está digitalizada o digitalizándose a alta velocidad; debe emprender para que el conjunto de la sociedad, empresas, instituciones y ciudadanos, puedan convivir con esta nueva realidad de una manera equilibrada, segura y que no represente más un problema  que una ventaja.

La seguridad, ya sea seguridad física o seguridad lógica o digital; es una de las bases sobre las que se soportan el desarrollo de todas las sociedades, especialmente los Estados de Derecho. Sin seguridad, no existe libertad ni individual ni de mercado, no existe democracia, no existe la posibilidad de un desarrollo completo de la sociedad. Pensemos en cualquier país, por ejemplo, de medio Oriente, que esté inmerso en una larga guerra. La cual, propicia inseguridad, destrucción, falta de libertades, falta de desarrollo económico y social. Esto pasa exactamente igual en una sociedad que se encuentra inmersa en un proceso de cambio de una sociedad analógica a una sociedad digital. Ley y orden o caos. Pero claro, ley y orden digital. Los sistemas de ley y orden analógicos, no sirven para una sociedad digital. Al igual que no sirven las leyes laborales de épocas industriales por muchas reformas que hayan tenido hasta la fecha.

Si esta sociedad en su conjunto no cuenta con una seguridad digital plena, o al menos lo suficientemente elevada, que permita el desarrollo de una economía digital, de unas relaciones entre personas, empresas e instituciones de manera segura en el intercambio de información o en las transacciones comerciales de todo tipo, será una sociedad vulnerable y será una transición incompleta o deficiente y que puede llegar a crear tantos problemas, como soluciones implica su desarrollo.

Igualmente, la sociedad deberá de preocuparse y ser corresponsable por desarrollar capacidades que le permitan identificar qué información, que circula por todo tipo de redes sociales, es buena, válida y veraz a la hora de conformarse una opinión sobre cualquier tema de actualidad o no. Este desarrollo de nuevas competencias, es algo que debería de estar en el debate público, más allá de fiar a la tecnología la solución de los problemas de seguridad digital o ciberseguridad.

Como describíamos en la primera parte, para que los habitantes de la comunidad de Walden Dos se pudieran relacionar de manera segura con el mar, como nuevo y desconocido medio, deberían establecer unos planes dirigidos al conocimiento y estudio de este nuevo medio. Estos planes ayudarán a tomar conciencia de las ventajas del nuevo medio, pero también nos advertirán y explicarán, cuales son los riesgos y peligros a los que nos enfrentamos y como debemos actuar de manera individual y de manera colectiva ante ese nuevo medio.

Si hacemos una analogía de esta ficción, con nuestra nueva realidad social digital, rápidamente llegamos a la conclusión de que, sin planes de estudio, del conocimiento, del establecimiento de modelos de relación y utilización de este nuevo medio digital, del establecimiento y desarrollo de normas y leyes, ajustadas a esta nueva realidad, es imposible avanzar de manera segura desde el punto de vista colectivo, como sociedad.

Utilizamos tecnología para todo. Un ciudadano cualquiera que su trabajo esté relacionado con el sector primario, por ejemplo, un agricultor, para relacionarse con su banco deberá tener un ordenador o smartphone, descargar las aplicaciones de ese banco, y relacionarse digitalmente con el banco. ¿Alguien le ha explicado a ese agricultor que medidas y que procedimientos de seguridad debe adoptar tanto en su ordenador, como él mismo como usuario? ¿Sabe que es un phishing o como un ciberdelincuente puede realizarle una estafa hasta el punto de arruinar su vida o su explotación agrícola? Este ejemplo lo podemos extrapolar a toda la ciudadanía y a cualquier sector económico.

Desde los poderes públicos, la seguridad de la información y la ciberseguridad, no se está abordando desde un punto de vista global como sociedad. Como sociedad vamos muy por detrás de las implicaciones y riesgos que tiene una sociedad digital. Como país vamos parcheando de manera individual y cada grupo o cada sector; empresas, administración, educación, ciudadanía, etc., etc., va aprendiendo o avanzando de manera desigual y con resultados desiguales, siempre visto desde el punto de análisis de la seguridad digital, y lo que implica la falta de esta seguridad para el éxito de los ciberdelincuentes, y por ende para la inseguridad de la sociedad. Son las personas los únicos elementos de la cadena de seguridad, los que pueden conseguir con su conocimiento, su sensibilización y su forma de proceder e interacción con el medio, una sociedad digital más segura, eficiente y libre.

Se fía la seguridad a la tecnología y se descuida, especialmente desde todos los poderes públicos, comenzando por quienes tienen las competencias y las obligaciones en educación a nivel Nacional y a nivel Autonómico, el establecimiento de planes y programas dirigidos a las personas. Personas que, si se consiguiera una relación con la tecnología segura, evitaría en gran medida los problemas actuales de seguridad de la información y ciberseguridad, que empresas e instituciones públicas y privadas tienen y que todos sufrimos.

La seguridad es estrategia, no es tecnología. Si la tecnología resolviese los problemas de seguridad, está claro que no existirán los ciberdelitos. Y como hemos visto en la parte uno de este artículo, el negocio es sustancioso. Y como vemos cada día en las noticias Nacionales e Internacionales los problemas de seguridad son permanentes y cada vez más graves y de mayor impacto.

Bruce Schneier, matemático, criptógrafo, experto en seguridad informática y divulgador, dice; “Si piensas que la tecnología puede resolver tus problemas de seguridad; está claro que ni entiendes tus problemas ni entiendes la tecnología”.

La digresión que hago en este artículo, persigue simplemente hacer reflexionar al lector  sobre la situación que tenemos hoy en la sociedad. Y si esta situación la llevamos al ámbito de la empresa, veremos que es una extensión más del problema que existe en la interrelación entre     humanos y tecnología.

Como la seguridad es estrategia, no es tecnología, cabe preguntarse que puede hacer una empresa o una administración pública para elevar la seguridad de sus operaciones y de su interrelación con sus grupos de interés; empleados, clientes, proveedores, administraciones, contribuyentes,...etc.

Desde el punto de vista empresarial, lo primero que hay que decir es que la información que maneja la empresa, es un activo intangible muy valioso. Bases de datos de clientes, de ofertas, de planes comerciales, de estados financieros, de precios, de proveedores, de empleados, de procesos de negocio, de investigación y desarrollo, de innovación, de patentes, etc, etc….

Por tanto, la información es transversal a toda la organización y la estrategia de seguridad también debe de ser transversal e ir dirigida a proteger la seguridad de la información.

Un error muy común y muy extendido y repetido de manera permanente en medios de comunicación y en ámbitos empresariales, incluso en círculos más técnicos, es hablar de ciberseguridad; en vez de hablar de seguridad de la información. Fiando o depositando en esta ciberseguridad, que es la que debe velar por nuestra información y por nuestros activos intangibles, a “tecnologías o sistemas milagrosos”.

La ciberseguridad, es una y solo una, de las disciplinas que componen cualquier estrategia dirigida a la seguridad de la información. La seguridad de la información está soportada sobre tecnología, sobre procesos, sobre políticas y sobre personas, siendo las personas el eslabón más débil de la cadena de seguridad. Debemos pensar que los grupos de ciberdelincuentes actúan a nivel mundial. Es una delincuencia inmediata y transfronteriza, global. También debemos de ser muy conscientes que estos grupos independiente de su origen, cuando fijan un objetivo, o una zona geográfica, estudian muy bien a su sociedad, al sector empresarial o administración pública del país que van a ciberatacar y desarrollan técnicas muy depuradas y precisas para conseguir éxito en sus delitos o en el daño que persiguen hacer a esas sociedades.

De ahí las cifras que se aportan en la primera parte de este artículo. Es decir, cuando se planifica y articula un ciberataque, no es lo mismo que este ciberataque vaya dirigido a Ayuntamientos españoles que a hoteles canarios.

Si además el ciberobjetivo es una cadena hotelera, no es lo mismo los hoteles que esa cadena pueda tener en Alemania, en España o en Estados Unidos, dado que el comportamiento humano, la forma de expresión, de interacción dentro de la organización, tiene una cultura propia normalmente impregnada y asociada a la identidad cultural del país dónde se ubican las personas que están dentro del objetivo ciberatacado. Es decir, los ciberdelincuentes dedican mucho tiempo y recursos a estudiar a sus objetivos, antes de culminar la acción definitiva.

Está documentado que pueden estar incluso más de un año dentro de la red informática de una gran empresa estudiando las interrelaciones entre personas, entre suministradores, estudiando sus operaciones comerciales o formas de expansión e interrelación antes de asestar un golpe    definitivo a la organización.

De ahí la importancia de que las personas estén entrenadas, que NO formadas; en la utilización e interacción con herramientas y con los nuevos entornos digitales. La formación en este caso no es la solución. La formación es pasiva, por el contrario los ciberataques son activos, son ad hoc para cada cliente, para cada sector económico y/o para cada país.

Por eso, las personas deben de ser entrenadas por especialistas mediante técnicas pedagógicas depuradas y especializadas, que a lo largo del tiempo de entrenamiento vayan consiguiendo elevar los niveles de conocimiento y concienciación hasta conseguir que esas personas sean capaces, en un alto porcentaje, de elevar los niveles de seguridad de su empresa u organización y que sean capaces de detectar, cuando estas personas son vectores a través de los cuales un grupo de ciberdelincuentes intenta romper la seguridad de esa organización.

Identificar los elementos débiles de la cadena de seguridad, es decir los empleados o usuarios más proclives a caer en trampas de phishing de los ciberdelincuentes y poder actuar con determinadas estrategias sobre estos empleados; es la diferencia entre tener una organización o empresa con unos niveles de seguridad aceptables o dejar el destino desde el punto de vista de la seguridad de la información a la suerte de no ser atacados. No debemos perder de vista que los empleados y/o usuarios de la tecnología son la primera línea de defensa de una organización y la última capa de seguridad.

En próximos artículos abordaremos que debe de hacer una empresa, administración o cualquier tipo de organización, que esté conectada a la red desde el punto de vista de asegurar su información.

www.gemedcybersecurity.com