¿Cuál es la situación actual?
Nos encontramos viviendo un cambio disruptivo respecto a cómo se entiende la ciberseguridad ahora con respecto a cómo se entendía hace tan solo unos años. Si bien es cierto que las brechas de seguridad de grandes compañías hacen temblar los cimientos de ciertos sectores y provocan miedo, este tipo de noticias suponen un incremento de la inversión y la preocupación de las compañías respecto a la propia seguridad del dato, suponiendo el aumento de la demanda de perfiles especializados y abriendo todo un nuevo abanico de especializaciones y puestos de trabajo en el sector. Este cambio parte también del usuario final, al que se bombardea con información referente a campañas de phishing (modelo de abuso informático acometido mediante el uso de un tipo de ingeniería social para tratar de adquirir información confidencial de forma fraudulenta), fraudes, virus, rescates, engaños y demás peligros a los que se exponen solo con encender el teléfono. Muchos ya han sufrido en primera persona el típico virus de Facebook que publica cosas en tu nombre, o un envío masivo de correos electrónicos desde esa cuenta que ya no usamos y, en el peor de los casos, la famosa pantalla que te pide dinero por devolverte las fotos de tus vacaciones ha hecho aparición en el ordenador familiar, perdiendo por el camino información irrecuperable.
Seamos realistas, la ciberseguridad ha sido como el hombre del saco durante muchos años, y este 2020 va a ser un año en el que la mayoría de empresas y particulares entenderán que el hombre del saco es real, que está aquí desde hace mucho tiempo, pasando desapercibido y creando toda una economía sumergida que mueve tanto o más dinero que muchas multinacionales de primer nivel.
¿El miedo es necesario?
En mi opinión, el miedo es algo que, en determinadas circunstancias, puede hacernos prestar atención, mantenernos alerta y dar importancia a algo que hasta ese momento no nos parecía que la tuviese, pero la realidad es que el usuario con miedo acaba convirtiendo su entorno en propenso a ser víctima de otras estafas. Sin ir más lejos, últimamente se oye hablar mucho de una llamada telefónica por parte de un soporte técnico de una gran compañía, cuyo operador nos avisa de que tenemos un virus en nuestro ordenador, y que, por pura bondad, va a ayudarnos a limpiarlo. Evidentemente, esta técnica pretende, no solo instalar un malware (amenazas informáticas o software hostil) en nuestro ordenador, sino que encima lo hagamos nosotros mismos, robándonos después las credenciales para efectuar transferencias bancarias en nuestro nombre. En este caso, el miedo del usuario a perder su información le hace actuar con ingenuidad ante el supuesto soporte técnico.
Entonces, ¿no podemos hacer nada para evitarlo?
Por supuesto que sí, pero la ciberseguridad es un complejo entramado de acciones, controles, herramientas, métodos y rutinas que mantiene nuestros datos en una relativa seguridad, que nunca será del 100%, pero que puede acercarse. Debemos ser conscientes de que siempre tendremos algo de riesgo, ya que el riesgo cero no existe, pero el daño será menor si finalmente algo sucede en un entorno controlado, teniendo el antivirus actualizado, no dando nuestros datos alegremente en cualquier sorteo online, y evitando cualquier otra acción que sistemáticamente nos vaya asignando papeletas en la lotería de próximas víctimas de robo de datos.
¿Qué panorama nos espera?
Por suerte, algunas de las normativas actuales, cada vez más comprometidas con la seguridad del dato, facilitan el ecosistema preciso para que ésta sea entendida como algo necesario, pero aun así, estamos a años luz de lo que seremos, ya que muchas empresas conciben el cumplimiento solamente como una manera de evitar sanciones económicas por parte de los organismos responsables. Sin embargo, proteger los datos es una responsabilidad compartida que puede causar perjuicios que no alcanzamos a comprender aún. La RGPD (Reglamento General de Protección de Datos) está haciendo que, por primera vez, se mire la seguridad de la información como una necesidad, no como un accesorio de los departamentos de TI que solo las empresas más punteras tenían, y los especialistas y CISO’s, cada vez más frecuentemente nos encontramos con canales directos de comunicación con nuestros C-Level…
Algún día, tener un sistema de gestión de seguridad de la información (SGSI) maduro, será tan natural como tener una administración de prevención de riesgos eficaz y diligente, que evite accidentes a los trabajadores y cumpla con todas las normativas vigentes.
Comentarios
No hay comentarios