Siempre me han gustado los juegos de mesa, desde pequeño he pasado horas y horas entretenido con ellos. Hace ya muchos años los Reyes Magos me trajeron el Cluedo. Para los que no conozcan la dinámica del juego, la explico brevemente. El objetivo del mismo es deducir quién asesinó al doctor Samuel Black, con qué arma y en qué habitación. Hay una serie de cartas con los seis sospechosos, seis armas y nueve habitaciones. El tablero del juego representa la mansión del maltrecho doctor Black, está dividido en cuadrículas por las que nos movemos de una habitación a otra en función del resultado de los dados.
Al comenzar cada partida se escoge una carta de cada tipo y se introducen en un sobre (son el nombre del asesino, el arma y la habitación en la que se produjo el crimen), el resto se reparte entre todos los aspirantes a detective. A partir de ahí empieza el turno de cada jugador, que va moviéndose por el tablero. Si en su turno logra entrar en una habitación, puede plantear al jugador de su izquierda una pregunta sobre el sospechoso, el arma y la habitación en la que cree que se ha cometido el crimen, e ir deduciendo y descartando pistas. Gana el primero que averigua las tres cartas que están en el sobre, es decir, quién, cómo y dónde.
Ahora os propongo un juego: Nos plantearemos un ciberataque que podamos sufrir en nuestra empresa en función de las tres preguntas clave del juego: quién, dónde y cómo, y una adicional: cuándo. Gracias a ellas podríamos detectar, mitigar, solucionar e informar dicho ataque.
¿Quién cometerá el ciberataque?
Vamos a intentar deducir quién ha cometido el crimen, así que tiramos los dados y nos desplazamos en el tablero hasta el garaje, cuna de ilustres hackers. Cuando digo hacker me refiero a un amante de la tecnología con conocimientos avanzados y siempre a la búsqueda de actividades desafiantes. Ahora nos centraremos en los malos, los ciberdelincuentes.
La imagen del adolescente un tanto «friki» con ansias de notoriedad que ataca nuestra empresa ha desaparecido. De la búsqueda de notoriedad hemos pasado a motivaciones económicas, bandas organizadas de ciberdelincuentes que realizan espionaje industrial, robo de tarjetas, solicitan rescates tras cifrar información, etc.
El ransomware se ha llevado el Óscar al malware en 2017, y las previsiones de los especialistas de seguridad apuntan que seguirá creciendo en 2018. No hay que olvidar que el cibercrimen supone el 1% del PIB mundial, mueve ya más dinero que el narcotráfico.
Dónde se producirá el ciberataque
En el juego del Cluedo tenemos bien definido el dónde, hay nueve habitaciones y en una de ellas se comete el crimen. En la vida real esto se complica mucho, históricamente las empresas han intentado, con mayor o menor éxito, defender sus activos como si de un castillo medieval se tratara, esto es, protegiendo el perímetro con un fuerte muro o un foso con agua. Hoy en día el paradigma ha cambiado, la movilidad de la que disfrutamos y el acceso a soluciones en la nube, entre otros, hacen que las medidas de protección que debemos adoptar también cambien.
Ya no tenemos solo que defender el castillo, ¿dónde está ahora nuestro perímetro de defensa? ¿En los ordenadores de la empresa, los dispositivos móviles, las aplicaciones del negocio, los servidores (ya estén en nuestras instalaciones o en la nube)?
¿Cómo han vulnerado nuestros sistemas?
¿Cómo han logrado entrar? Quizás no hemos actualizado las aplicaciones y sistemas operativos y se ha producido un ataque de día cero (vulnerabilidad aún desconocida para usuarios y fabricantes del producto). O tal vez haya sido por una equivocación, no debemos olvidar que la primera causa de pérdida de información es el error humano.
En una entrevista reciente, Pedro Pablo Pérez, CEO de ElevenPaths, comentaba que «la seguridad es un proceso, no un simple compendio de tecnologías; en seguridad es preciso agregar tecnologías, personas y procesos para su gestión eficaz».
¿Cuándo detectaremos el ataque?
Podríamos introducir el tiempo como nueva variable en el juego. El 66% de las brechas de seguridad pueden pasar desapercibidas durante mucho tiempo, el promedio es de 205 días para detectar un ataque y 46 días para resolverlo.
¿Por qué es importante el cuándo? Si prestamos atención al Reglamento Europeo de Protección de Datos (RGPD), una de las novedades es la obligatoriedad de notificar las brechas de seguridad a las autoridades de control y a los usuarios afectados, como máximo 72 horas después de que hayan tenido constancia de ella.
Ya hemos terminado la partida, así que solo queda recordaros que, según el Instituto Nacional de Ciberseguridad (INCIBE), el pasado año el coste medio por ciberataque rondó los 75.000 euros, es decir, unos 14.000 millones de euros para las empresas del país. Así que, tal y como leí no recuerdo dónde «en ciberseguridad, mejor pagar lo necesario para tener que rezar lo justo».
En el juego hemos tomado el rol de unos detectives, no te la juegues en tu empresa con detectives aficionados. ¿Quieres ganar la partida de la seguridad? Cuenta con Telefónica para el asesoramiento de servicios de seguridad y cumplimiento normativo. Digitalízate.