Por Miguel Ángel Mendoza.- Las ventajas que ofrece la tecnología son múltiples, desde acceso inmediato a la información hasta interacciones instantáneas, con aspectos transformadores y de mucho provecho. Un ejemplo evidente son los trámites bancarios. Si comparamos una transacción desde Internet con una presencial en una sucursal, la virtualidad ofrece una experiencia rápida, sencilla y segura.
Ciertamente, el ecosistema digital que tenemos goza de innumerables beneficios, por lo que esta tendencia requiere que nuestra información y, en particular los datos personales sean cada vez más utilizados. Sin embargo, en este contexto, está en constante riesgo, por ende, también las personas. En ese sentido, es fundamental protegerla.
La necesidad de resguardo surge como resultado de la gran cantidad de amenazas que continuamente aparecen. Una de las amenazas principales continúa siendo el malware; mientras que los códigos maliciosos, que van desde virus, troyanos, gusanos, spyware hasta ransomware presentan la mayor cantidad de detecciones en la actualidad. Los códigos maliciosos son la principal causa de incidentes en las empresas latinoamericanas, así como de los sistemas de usuarios.
Para tener un panorama general, los laboratorios de investigación en el mundo diariamente reciben alrededor de 450 mil nuevas muestras únicas de malware para todas las plataformas, lo que muestra el impacto de esta amenaza. Por ello, la ciberseguridad no solo debe cimentarse en la tecnología, sino que también debe apoyarse de buenas prácticas de seguridad, educación, concientización, legislaciones y regulaciones. Por ello, desde la perspectiva organizacional resulta indispensable contar con procesos, personal y tecnología necesaria para hacer frente a las amenazas y ataques que una vez obtienen los datos, que luego son comercializados en mercados negros o suelen ser utilizados para llevar a cabo extorsiones, chantajes, fraudes, robo de identidad, entre otros peligros.
En este sentido, regular la alta penetración en el ecosistema digital de las personas, protegiendo su información sensible y datos personales, resulta necesario y urgente, de modo que puedan ser establecidos sus derechos y obligaciones.
Normar para avanzar
Sin duda ha habido avances en las últimas décadas, sin embargo, todavía falta un camino importante por recorrer. Con un fácil y rápido acceso a la información, la educación y concientización en temas de seguridad digital se han convertido, paulatinamente, en uno de los pilares en las estrategias de seguridad.
Actualmente en Chile, la protección de datos, los ciberdelitos y el resguardo digital de la infraestructura crítica toma fuerza. Esto, ante el reciente anuncio de un Sistema Nacional de Ciberseguridad y un proyecto que aborda una nueva Ley de Datos Personales, que incorpora las recomendaciones del reglamento europeo, pero que aún sigue en la comisión de Hacienda del Senado en su primer trámite legislativo.
Pese a estas iniciativas públicas para abordar este tema crítico, aún se requieren más esfuerzos para lograr crear una cultura de ciberseguridad. Es decir, que los conocimientos e ideas adquiridas puedan aplicarse de manera generalizada como una práctica común, inherente a las actividades cotidianas. Pero no debemos olvidar que generar cultura lleva tiempo, incluso generaciones.
Otras iniciativas de corto o mediano plazo como la promulgación de legislaciones y marcos regulatorios en materia de protección de datos personales y de información en general, resultan básicos en los Estados-naciones para brindar las garantías a los ciudadanos sobre el cuidado de su información, ya sea tanto en el ámbito privado como público.
Aunado a lo anterior, la leyes y reglamentos son elementos catalizadores para que las organizaciones y personas cumplan con los requisitos para aumentar y mejorar las prácticas de seguridad; en otras palabras, ya que se trata de cumplimiento obligatorio, las empresas se ven forzadas a estar en concordancia con las mejores prácticas de protección de la información, lo que se traduce en un aumento en el nivel de protección y conciencia.
Amenazas latentes, ataques día a día
No es un secreto que existen múltiples amenazas que atentan contra uno de los activos más valiosos de la actualidad: los datos. Para aprovechar todos los beneficios que nos brindan las herramientas digitales y utilizar la tecnología de forma segura, existen cuatro acciones clave:
Desde el punto de vista operativo, las organizaciones pueden crear equipos de respuesta a incidentes, contar con planes de contingencia y manejo de situaciones críticas, y modelos y arquitecturas de seguridad dinámicas y adaptativas para predecir, prevenir, detectar y dar respuesta a las amenazas y ataques. En el ámbito tecnológico, la revisión continua a la infraestructura tecnológica es básica como una medida proactiva, por ejemplo, mediante evaluaciones de vulnerabilidades y riesgos, la creación de inteligencia para la detección temprana de amenazas y el reconocimiento de patrones.
En cuanto a los recursos humanos, la concientización es una actividad fundamental para minimizar riesgos, ya que el personal informado, capacitado y concientizado representa una línea de defensa. Desde la perspectiva del usuario, se requiere el uso de tecnologías de protección (como las soluciones antimalware), la aplicación de buenas prácticas de seguridad (como no compartir los datos con terceros que no brinden las garantías de protección) y estar cada vez más informados y actualizados en temas de seguridad para generar la educación y concientización.
Por lo tanto, la ciberseguridad y, en un espectro más amplio, la seguridad de la información es un problema complejo y multifactorial, por lo que no basta con soluciones técnicas, se requiere de un enfoque holístico para la identificación de riesgos que puedan afectar la información. Se necesitan soluciones tecnológicas, administrativas, legales y culturales; un solo enfoque no es suficiente para enfrentar los retos de la seguridad de la información de la actualidad y los venideros.
Miguel Ángel Mendoza es investigador de Seguridad Informática en ESET Latinoamérica