¿Cómo proteger nuestro alter ego digital?

La identidad digital es, en realidad, la proyección en Internet de la identidad física de una persona o entidad. La conforman una gran cantidad de datos. No solo incluye dirección y correo electrónico sino toda suerte de rastro que hayamos dejado en cada una de las operaciones e interacciones que hayamos realizado en la Red. Ya sea una transacción económica o una transferencia bancaria, o cualquier comentario hecho en nuestras redes sociales, textos, fotografías, imágenes compartidas, todo, contribuye a completar un perfil digital que debe ser protegido contra suplantaciones, malversaciones o intimidaciones, varias.

Los ciberdelincuentes avanzan a un ritmo tan rápido que resulta complicado seguir, más aún, adelantarse a sus pasos para proteger la identidad digital. Desde el hacking, al phishing, pasando por el malvare, todo vale para que los delincuentes informáticos cometan sus fechorías.

Por otra parte, la digitalización de la economía y, también la transformación que está experimentando la sociedad ha impulsado grandes cambios globales en los que la información y los datos juegan un papel determinante. Esto hace que la seguridad de la información no se limite únicamente al control del acceso a las infraestructuras, sino que apunte también a la securización de acceso a los datos de los usuarios.

En este sentido, es importante señalar que los ciudadanos ya hemos tomado conciencia sobre la importancia de protegernos. Pero, también los Gobiernos y los diferentes organismos reguladores nacionales e internacionales han apuntado en la dirección de la prevención y la salvaguarda de la identidad digital, cuya gestión óptima se perfila como una de las principales bazas en el escenario de la seguridad digital.

La Ley se adapta al entorno

Como digo, los reguladores han optado por proteger un entorno en el que cada vez hay más personas, pero también, más dispositivos conectados. Según el último Mobility Report de Ericsson, en 2021 serán 28.000 millones en todo el mundo, de los que 16.000 millones formarán parte del IoT.

Proteger este escenario virtual -y a la vez global- no es nada sencillo ya que, a veces, las causas que provocan los ataques son tan simples como la demostración efectiva de la vulnerabilidad manifiesta de un determinado sistema o estructura. Es decir, mostrar que se puede. Aunque, sin duda, los fines económicos o políticos siguen estando a la cabeza.

Sea cual sea la motivación, lo que sí está claro es que la tecnología ha impulsado también el crecimiento exponencial de los ciberdelitos y ha obligado a la comunidad mundial a replantearse sus Reglamentos y Normativas en cuando a la protección y salvaguarda digital de sus ciudadanos, de sus empresas privadas y, también, de sus organismos públicos para tratar de prevenir y, neutralizar, cualquier acción delictiva que acontezca en el ciberespacio.

En la Unión Europea la Directiva 2013/40, relativa a los ataques contra los sistemas de información apuesta por el establecimiento de unas normas mínimas en relación a la definición de las infracciones penales y las sanciones aplicables y por mejorar la cooperación entre las autoridades competentes. La colaboración público-privada y el intercambio de información siempre es estratégica, más si hablamos de combatir amenazas que apuntan a un entorno global e hiperconectado.

Por otro lado, también caben señalar otras dos normativas en el ámbito europeo que afectan a la ciberseguridad. De una parte, la Directiva NIS destinada a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea y, de otra, el GDPR, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a su libre circulación.

Con respecto al nuevo Reglamento Europeo de Protección de Datos hay algunos aspectos que han modificado sustancialmente la forma de operar en la sociedad civil y en el entorno empresarial. Por un lado, ahora las empresas están obligadas a informar a los ciudadanos sobre el uso que harán de sus datos y a cumplir con lo que dicen que harán, so pena de importantes sanciones económicas.

Y, por otro lado, GDPR ha terminado con la ocultación de las brechas de seguridad en cualquier organización pública o privada al estar obligadas estas, a comunicar, en el plazo de 72 horas, a la autoridad competente -en España, a la Agencia Española de Protección de Datos- cualquier violación de la seguridad que se haya detectado. Si la violación implica, además, un riesgo alto para los afectados también deberá comunicarse con ellos directamente, sin ninguna dilación.

Más concienciación y más inversión

Aunque empezamos a acostumbrarnos a la presencia, cada vez mayor, de algoritmos de todo tipo en nuestra vida ordinaria y a la eclosión del Internet de las Cosas con el acompañamiento extra que implica de una amplísima diversidad de identidades digitales, lo cierto es que las personas siguen siendo el eslabón más débil de la cadena.

Las brechas de seguridad amenazan tanto a las grandes corporaciones como a las empresas más pequeñas o a individuos particulares. Todos estamos expuestos al ataque, aunque a veces no queramos verlo y sigamos cometiendo los mismos errores -tanto en el ámbito doméstico como en el entorno profesional- que dejan la puerta abierta a los ciberdelincuentes y provocan cuantiosas pérdidas económicas.

De hecho, según el último estudio publicado por Kaspersky Lab, el coste medio para las pymes de una brecha de seguridad en la nube alcanzaba los 102.000€, en los últimos 12 meses, un 36% más que 2017. Para las empresas grandes, el aumento fue del 24%, alcanzando un coste medio de 1,05 millones de €.

Los datos no dejan lugar a dudas. Las organizaciones necesitan implementar una mayor inversión en seguridad. Pero deben hacerlo de manera continuada. De hecho, en los últimos años, quizá impulsados por la publicación de noticias como la reciente filtración de datos descubierta en Facebook, que hicieron saltar todas las alarmas sobre la necesidad de proteger nuestra información personal en el entorno digital, asistimos a un incremento moderado del presupuesto de seguridad por parte de las organizaciones.  Una tendencia que debe continuar.

No invertir en una gestión proactiva de la seguridad y tener que implementar de manera reactiva los mecanismos necesarios para neutralizar un ataque suele implicar el despliegue de presupuestos ilimitados. Por eso, no implantar metodologías y herramientas adecuadas para gestionar los riesgos de seguridad es muy poco rentable, desde el punto de vista económico, pero también en el plano reputacional. Un ataque a la seguridad es también un ataque al prestigio de la organización y a la generación de confianza entre sus stakeholders.

Recomendaciones de seguridad

La gestión óptima de la identidad de los usuarios, una identidad que, dicho sea de paso, es cada vez más crítica, ha pasado a convertirse en un aspecto estratégico en el escenario digital en el que nos movemos. Empresas -públicas y privadas- admiten la necesidad de asegurarse para evitar la fuga de información o la apertura de brechas de seguridad que bien podrían ser aprovechadas con fines delictivos.

El Instituto Nacional de Ciberseguridad propone cinco claves para salvaguardar la privacidad de la información en el entorno profesional: clasificar la información para establecer medidas de seguridad conforme a su criticidad, cifrar la información para evitar su robo en caso de sustracción o extravío de los dispositivos móviles, bloquear los equipos cuando no se utilicen para evitar accesos no autorizados, establecer una política de manos limpias para no exponer documentos sensibles y utilizar contraseñas de acceso secretas y consistentes.

Para terminar, te propongo algunas otras cuestiones básicas que pueden servir también, a modo de recomendación, para proteger la seguridad de la identidad digital:

  • Establecer un sistema de gestión de la identidad digital para salvaguardar los datos y gestionar los accesos privilegiados.
  • Implementar un gobierno de la identidad, gestionando los riesgos y el ciclo de vida de la identidad, desde que se crea la información hasta que se elimina, controlando los accesos y modificaciones.
  • Gestionar la seguridad desde el primer momento en el que se definen las nuevas funcionalidades del negocio, pasando por un análisis dinámico en los entornos de desarrollo, estático durante la integración continua y la operación de la seguridad de aplicaciones una vez estén en producción.
  • Controlar y securizar el acceso a la información bidireccional Cloud-Legacy/Legacy-Cloud o sea desde aplicaciones móviles a la información core-transaccional, o de los transaccionales a la información ubicada en la nube.
  • Garantizar el cumplimiento de las diferentes normativas y, si es posible, generar con ello, nuevos modelos de negocio, aplicando MIFID II, IDD, GDPR o PSD2.
  • Crear equipos de “seguridad ofensiva” que permita adelantarse a los ataques o aumentar la resiliencia. Pero también, establecer sistemas de trazabilidad de los incidentes para establecer origen, causas, etc.

En todo caso, hacerlo solo es complicado, por lo que dejarse acompañar por un socio tecnológico experimentado siempre es una buena opción no solo para proteger la información, sino también, para transformar las oportunidades en negocio.

José Manuel de la Puente

Gerente de Seguridad de VASS

Compartir