martes, 14 de junio de 2016

¡Los datos están más ciberseguros en la nube! o ¿quizás no?.

En una interesante presentación sobre la privacidad de los datos tuve la oportunidad de oir los puntos de vista de un miembro de los cuerpos y fuerzas de seguridad del estado, un abogado, un informático y un hacker.
Pasando mis notas a limpio observo todavía con más vigor los diferentes puntos de vista con los que se puede ver esta cuestión.
Para el miembro de los cuerpos y fuerzas de seguridad del estado el cibercrimen esta aumentando y es difícil resolver los casos. Cada vez se producen más fraudes mediante el robo de datos; y recomienda no perder el control de tarjetas bancarias, DNI, ... documentos que a veces se facilitan con excesiva facilidad a cualquiera que los pide por Internet. 
Mediante la ingeniería social se producen un gran número de fraudes. Sorprenden las claves que algunos usuarios, que se pueden considerar expertos, utilizan : dadada o password. También sorprende que otros utilicen la misma clave en todos los servicios que usan, con lo cual conocida una los delincuentes tienen la llave de acceso a todas sus cuentas.
Actualmente se ha incrementado el robo de datos y la usurpación de cargos en las empresas. Una vez que los ciberdelincuentes se han hecho con ellos, solicitan la transferencia de fondos a los departamentos financieros sin que éstos lleguen a dudar de la veracidad de la petición. Recientemente se ha desarticulado una red dedicada a esta actividad y que habría conseguido lucrativos beneficios.
Según comenta, la información necesaria la obtienen con facilidad de las redes sociales donde los ciberdelincuentes aplican el Big Data para identificar a sus víctimas.
Además, no deja de sorprender que en la Deep web se compren y vendan datos como un servicio más, y donde el pago con Bitcoins hace que se pierda la trazabilidad de los pagos.
Para el abogado no existe una consciencia social sobre el problema del fraude y por lo tanto no se utilizan medios de protección.
Según comenta, todo lo digitalizable será digitalizado y susceptible de ser atacado.
Cita alguna conocida red social que guarda tanto los mensajes que se enviaban como los que no se enviaban, y es que dice más de una persona lo que calla que lo dice. La popularidad de las redes sociales llevan a que las empresas discutan o acuerden temas estratégicos a través de ellas con la confianza de que sólo los interlocutores participan en la conversación, pero ¿quién lo garantiza? Esa información nutre de mayor calidad a los análisis de Big Data y de información sensible de gran valor.
En no pocas ocasiones, por accidente alguna empresa ha sospechado que había accesos no autorizados a su red y cuando un experto lo ha analizado ha constatados que llevaban mucho tiempo haciéndolo. Las estadísticas no son excesivamente fiables porque las empresas no denuncian porque no lo saben o por mantener una reputación en la red.
Con el nuevo RGPD todas las empresas que traten datos de europeos se verán afectadas independientemente del país donde estén radicadas, por lo que empiezan a tomar conciencia del problema y de la potencial multa que impone el RGPD.
La falta de consciencia hace que actualmente estemos en un estado de autoprotección y hace falta que regulaciones transnacionales protejan los tratamientos de datos que se puedan realizar.
Para el informático los riesgos cibernéticos pasan por la posible pérdida de los datos que podría implicar la quiebra del negocio. Aquí, por experiencia propia, ¡estoy totálmente de acuerdo!
Entre los posibles fallos están los clásicos como : un fallo de suministro eléctrico, incendios, robos, ... y los ataques informáticos. Los ataques pueden ser tanto externos como internos y los más peligrosos son los internos. Contra los ataques externos es más fácil protegerse, ya que un trabajador descontento, despedido, ... que ha tenido acceso a información sensible, puede utilizarla para vengarse o comerciar con ella. 
Informes de ciberamenazas prevén que aumenten los secuestros de información, ataques a móviles, ... y es que ¡es muy valiosa la información empresarial de la que vives!.
Evidentemente las PYMEs no tecnológicas sufren un mayor riesgo puesto que la ciberseguridad no es una actividad propia de su día a día. Si para las grandes empresas la seguridad absoluta no existe, una pequeña PYME deberá valorar el riesgo, la visibilidad, la facturación y el nivel de seguridad mínimo. 
INCIBE ha desarrollado un kit de autodiagnóstico que se puede descargar en : 
Por último, el hacker se definió como alguien políticamente incorrecto, ya que sino sería experto en seguridad. Empezó comentando que hace 20 años quizás era controlable, pero hoy vivimos en una suerte de Matrix que si colapsa nos devolverá a la edad de piedra.
Emergentes sectores como el IoT con sus miles de wearables serán un nuevo objeto de deseo de los delincuentes y que les permitirán saber todo sobre quien los usa.
Todos atacan a todos y es curioso ver el mundo en ciberguerra como lo muestra Norse : 
Terminó comentando que existen países con riesgo digital donde será difícil que los inversores apoyen cualquier iniciativa empresarial.
Tras esta interesante presentación, la pregunta es ¿la nube mitiga el problema o lo empeora? y en este caso la respuesta es unánime y contraria a la nube, ya que te deja expuesto a un tercero, a sus medidas de seguridad y a su protocolo de recuperación.
Contrasta notablemente con el punto de vista de los comerciales de los servicios en la nube que aseguran que ellos inviertes más recursos, tiempo y dinero en este aspecto de lo que lo haría una pequeña o mediana empresa. ¡Esto debería ser un hecho sin lugar a duda!
La solución se puede tomar con una moneda a cara o cruz.
Si bien los proveedores de servicios en la nube son más seguros desde el punto de vista de la ciberseguridad, un posible acceso interno o externo no autorizado que afecte a los datos o aplicaciones de la empresa, puede obligar a utilizar copias de seguridad que el proveedor del servicio quizás también haya perdido y que el cliente tenga en un formato incompatible con el proveedor o quizás ni las tenga confiando en el nivel de servicio contratado.
En este punto habría que estar muy seguro de cuál sería el protocolo de actuación del proveedor del servicio y cómo se recuperaría del bloque o pérdida de los datos.
También hay que valorar que quizás los centros de proceso de datos del proveedor son más atractivos para los ciberdelincuentes que los servidores de una PYME, por lo cual al estar en la nube has aumentado tu riesgo.
Sin olvidar que si hay un ataque interno o externo a su centro de proceso de datos y tiene éxito, los datos de todos sus clientes se podrían ver comprometidos.
O sea, que la PYME que en su día a día se dedica a otras materias, tendrá que buscar un rato para especializarse en ciberseguridad y evaluar el riesgo que correrán sus datos.
Por último y antes de tomar la decisión, no hay que olvidar leerse el contrato ya que seguramente el proveedor limitará su responsabilidad al importe de las cuotas de servicio abonadas por el cliente y preguntar sobre las coberturas de su ciberseguro.
En el artículo El impacto de la fuga de datos: 4 razones para tratar de evitarla se comenta un reciente caso que es un buen ejemplo de los riesgos comentados:
Cada vez es mayor la cantidad de organizaciones que migran parte de sus operaciones a la nube, así como las nuevas empresas que solo operan por Internet; por eso es importante estar preparados para todos los tipos de amenazas que puedan llegar a afectar el flujo normal de las operaciones. Esto es algo que las pequeñas empresas que contrataron los servicios de Moonfruit descubrieron en 2015, cuando el creador de sus sitios web los dejó offline como medida de seguridad… justo en la temporada navideña.
 El caso de Moonfruit sirve de ejemplo de cómo otros sitios web podrían manejar estas situaciones: