La superficie de riesgo se está ampliando y configurando a medida que nuestros hábitos lo hacen. Es lógico. El comportamiento delictivo transcurre por los mismos cauces cognitivos que los comportamientos más plausibles y se nutre, igualmente, del conocimiento del entorno en el que se mueve.
El teléfono móvil ha pasado a ser el primer vector de ataque en las empresas. Evolución esta que viene precedida del incremento del teletrabajo y de las opciones híbridas, así como del aumento del uso de este dispositivo con fines tanto laborales como de ocio, unido, quizás, a un mayor descuido en la planificación de su protección desde el ámbito corporativo.
En paralelo, recientemente confirmaba Thierry Breton, comisario europeo de mercado interior, que los ataques dirigidos a infraestructuras en la nube se han multiplicado por cinco en el último año.
Campañas de ataque
Siguiendo estas pautas, podemos hacer una larga lista de sistemas que se están viendo afectados por una intensidad de campañas de ataque hasta ahora no vista. Objetivos contra los que diariamente se libran toda una suerte de tácticas, técnicas y procedimientos en aras de obtener un lucro ilícito.
Enfrente estamos los que nos queremos proteger, los buenos (hasta que se demuestre lo contrario). Los que comprendemos, a nuestro pesar, la imposibilidad de proteger todo al nivel deseado. Los que nos damos de lleno con la variable que tantas veces nos trae de cabeza: los presupuestos.
En los próximos meses seremos testigos de una acuciante necesidad de prevenir ataques en las cadenas logísticas, de proteger con mayor celo los sistemas de telecomunicaciones o de velar por una seguridad reforzada para los vehículos semiautónomos o autónomos, entre otros. Pero, ¿por qué? Porque la digitalización de sectores como la banca o los seguros está haciendo que estos servicios sean aún más dependientes de la seguridad en las transacciones, cuyo talón de Aquiles no es otro que los protocolos de telecomunicaciones; porque las estrategias de venta digital (en detrimento de mantener establecimientos físicos) dotarán de mayor relevancia a las cadenas logísticas; porque su uso, en términos de accesibilidad a un mayor porcentaje de la población, aumentará. Lógica. El incremento de comportamientos maliciosos en estos ámbitos es cuestión de lógica.
Como en toda acción delictiva, salvando contadas excepciones, su realización se hace tras un análisis de coste-beneficio. Una herramienta tan anacrónica como útil en lo que a toma de decisiones respecta.
Beneficio
Partiendo de un conocimiento y estructura técnica suficiente y asumiendo las consecuencias que en el peor de los casos se puedan dar, el beneficio reside en la economía de golpear al mayor número posible de víctimas con un solo ataque; en explotar vulnerabilidades que aún no están bajo la máxima prioridad preventiva; en aprovechar la criticidad del momento allí donde hay una actividad económica en pleno desarrollo.
Y todo esto transcurre por lógica. La lógica de tratar de conocer cómo cambia el contexto, cómo se transforma el modelo económico, cómo lo hace la industria y en base a qué. Qué hace que las personas y las organizaciones adquieran nuevos hábitos de consumo o se inclinen por nuevas modalidades de servicios. Qué procura que determinados sectores económicos transformen sus procesos de manera repentina.
Podemos hacer una larga lista de sistemas que se están viendo afectados por una intensidad de campañas de ataque hasta ahora no vista
Es aquí donde nosotros, los que nos queremos proteger, tenemos también mucho terreno ganado. Nuestra lógica se focaliza en el seguimiento de la foto, del contexto en el que nos movemos. En entender los diferentes escenarios que, con mayor o menor cercanía, se van a producir; en generar el conocimiento suficiente para determinar dónde enfocar la prevención. Se trata, de facto, de una detección temprana a alto nivel basada, eso sí, en evidencias susceptibles de ser analizadas, comprendidas y monitorizadas.
Es cierto que solo con esta visión no se soluciona el problema presupuestario (¡más quisiéramos!), de ahí el trabajar este tipo de enfoques siempre en dos niveles diferentes pero coordinados.
El seguimiento del contexto ha de estar acompañado de un definido mapa de riesgos corporativo en el que se identifiquen claramente dos grandes bloques: los sistemas más vulnerables (VVS) y las personas más vulnerables (VVP). Entendiendo vulnerabilidad no solo por ser los objetivos más atacados, como tradicionalmente se ha hecho, sino también por ser los que sufren los ataques de mayor envergadura.
Cabe puntualizar que la generación de un mapa detallado y actualizado de sistemas disponibles (sin entrar en si estos son los más vulnerables o no) es, ya de por sí, un ejercicio pendiente en muchas organizaciones: ¿Sabemos cuántos dominios tenemos en uso, también a modo de entornos de pruebas? ¿Tenemos mapeadas nuestras redes WiFi? ¿Hemos identificados los diferentes canales de telecomunicaciones que sustentan nuestra actividad?
Criticidad e interlocución
Respecto a los grupos de personas, el ejercicio a realizar es parecido en tanto en cuanto no basta con mantener foco sobre aquellos que conforman los puestos directivos o de la alta administración de la empresa. Debemos agrupar los diferentes colectivos en base a su criticidad (en observación de la actividad desarrollada) y a su nivel de interlocución con el exterior. Parámetros iniciales que nos ayudarán a comprender los grupos más expuestos a según que prácticas maliciosas.
En los próximos meses seremos testigos de una acuciante necesidad de prevenir ataques en las cadenas logísticas y de proteger con mayor celo los sistemas de telecomunicaciones
Una vez definidas estas variables nos será más sencillo identificar qué sistemas y grupos de personas son más vulnerables a los escenarios de riesgo venideros para así enfocar, en mayor medida, las acciones preventivas y de concienciación.
El objetivo de este proceso es simple: pase lo que pase, la continuidad de negocio no se puede ver afectada.
Cuando este ejercicio se vuelve costumbre y el análisis del entorno nutre periódicamente la redefinición del mapa de riesgos corporativo, las luces rojas dejan de ser la norma. Nuestra prevención ha adquirido diferentes niveles de prioridad y nuestras decisiones presupuestarias se vuelven ordenadas.
En última instancia, los sistemas y grupos de personas sobre los que se ha priorizado la protección se vuelven resilientes a los riesgos. Es en esta última fase, la cual es crucial mantener, en la que estaremos trabajando en el marco de los sistemas y las personas más resilientes (VRS y VRP). Un entorno, a todas luces, mucho más sencillo de gestionar, ¿no os parece?
