CIBERSEGURIDAD. Producto integrador.

...

¿Para gestionar los riesgos del ciberespacio?

Es necesario considerar el desarrollo de procesos de análisis y gestión de riesgos que permitan identificar las vulnerabilidades, amenazas y riesgos implícitos en el uso, procesamiento, almacenamiento y transmisión de la información, junto a la generación de las capacidades para la prevención y la recuperación ante incidentes de ciberseguridad que se presenten, configurando un ciberespacio estable.

[pic 5]

Sus objetivos

Atendida la naturaleza global del ciberespacio, los riesgos y amenazas provienen del exterior, y se originan tanto en actividades delictuales como en labores de espionaje y vigilancia llevadas a cabo con diversos fines, afectando la confidencialidad, integridad y disponibilidad de los activos de información en el ciberespacio, y con ello, los derechos de las personas.

A nivel global, existen abundantes antecedentes sobre ciberataques y actividades de espionaje en la red, la interceptación masiva de redes de telecomunicaciones, la inutilización del servicio de internet, el espionaje contra gobiernos y empresas, además de ataques contra infraestructuras críticas como servicios básicos, instituciones financieras y entidades gubernamentales, han marcado la pauta informativa a nivel global en esta materia ya que es el objeto de intención inmediata por ejemplo:

Los países que registraron el mayor número de ciberataques en Latinoamérica fueron Brasil, Argentina, Colombia, México y Chile. Los accesos o robo de información desde computadores o dispositivos infectados predominaron en la región.

Asimismo, los ciberdelitos cometidos en el carácter transnacional de éstos, especialmente los relacionados con el uso fraudulento de tarjetas de crédito y débito, estafas informáticas, entre otros.

La política considera esta clase de amenazas, especialmente respecto a aquellas que afecten las infraestructuras críticas de México.

Estrategias y metas.

Una infraestructura de la información pública y privada, preparada para resistir y recuperarse de incidentes de ciberseguridad, bajo una óptica de gestión de riesgos, por ejemplo:

Identificación y gestión de riesgos, la Política creará modelos de prevención y gestión de riesgos del ciberespacio, que servirán de base a las medidas técnicas que deben adoptarse para prevenir, gestionar y superar los riesgos cuando estos se verifican, con énfasis en la resiliencia y continuidad de servicios.

Protección de la infraestructura de la información, la infraestructura de la información la conforman las personas, procesos, procedimientos, herramientas, instalaciones y tecnologías que soportan la creación, uso, transporte, almacenamiento y destrucción de la información.[pic 6]

Dentro de las infraestructuras de la información, existe un conjunto especialmente relevante para la marcha del país, las denominadas infraestructuras críticas de la información (ICI), que comprende las instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya afectación, degradación, denegación, interrupción o destrucción pueden tener una repercusión importante en la seguridad, la salud, el bienestar de los ciudadanos y el efectivo funcionamiento del Estado y del sector privado.

Resguardar y diseñar para que sean seguras frente a eventos que las puedan inhabilitar, adaptándose a cambios en el medioambiente, a intervenciones humanas o interferencias informáticas tales como incidentes involuntarios o ciberataques.

Identificación y jerarquización de las infraestructuras críticas de la información, se repiten en varias clasificaciones a nivel internacional. En el caso de México, la infraestructura de la información de los siguientes sectores será considerada como crítica: energía, telecomunicaciones, agua, salud, servicios financieros, seguridad pública, transporte, administración pública, protección civil y defensa, entre otras.

[pic 7]

Por último la meta seria La política contiene un esquema acabado de áreas, funciones y entidades estatales responsables que servirán para identificar y delimitar el nivel de criticidad de cada sector.

Los órganos técnicos encargados de poner en práctica las medidas de la política, deberán considerar estándares especiales de ciberseguridad para las ICI, especialmente respecto a sus procesos esenciales.

En el mediano plazo se avanzará en la implementación de medidas que garanticen la continuidad de servicio mediante redundancia de instalaciones físicas de algunas ICI, especialmente en los sectores de telecomunicaciones, administración pública, protección civil y defensa.

indicadores y acciones específicas

El nivel de amenaza al que una organización está expuesta tiene que ver con las capacidades e intenciones de los ciberactores de perpetrar un ataque. Es muy importante entender quiénes son los atacantes relevantes para una organización específica, de acuerdo a su presencia geográfica, al sector al que se dedica y a los activos que maneja (transacciones financieras, sistemas de control industrial, infraestructura crítica para una nación, estrategias de seguridad nacional, propiedad intelectual, etc.).

Al ser sobre todo grupos organizados de delincuentes o financiados por los gobiernos, e incluso los propios gobiernos, los que están detrás de la mayor parte de los incidentes recientes, es claro que los recursos con los que cuentan son abundantes, por lo tanto podemos decir que la capacidad de los atacantes es mayor ahora.

En relación a su capacidad técnica, sabemos que hoy están empleando métodos mucho más complejos y nuevos vectores para lograr su objetivo. Dicha capacidad técnica se determina principalmente por:

- Los métodos que utilizan, es decir, las técnicas de evasión, infraestructura, tecnología y codificación de los artefactos o arsenal cibernético.

- Los recursos empleados, tales como gente experta, herramientas tecnológicas y entrenamiento.

Como muchas cosas en la vida, sin motivación no hay resultados, y en este caso entre mayor sea la motivación, mayor es la intención de atacar. Debemos analizar dos preguntas clave:

- ¿Qué motivación puede tener un ciberactor? Puede ser fama, reconocimiento, “clamar justicia”, o buscar algún tipo de ganancia ya sea política, financiera,