En 2020 se produjo un enorme aumento del trabajo a distancia, además de continuas filtraciones de datos a gran escala y una creciente atención a las consecuencias de la pérdida de privacidad en línea, por lo que nunca ha habido una mayor atención pública a la ciberseguridad. Como resultado, los gobiernos de todo el mundo han intervenido para remodelar y actualizar sus planes e infraestructuras de ciberseguridad, incluyendo las estrategias y regulaciones que las empresas deben seguir al manejar nuestros recursos digitales más preciados.

Las directrices estratégicas de protección para la ciberseguridad no son un concepto nuevo, y organizaciones como el NIST han informado las políticas de los departamentos gubernamentales mundiales durante muchos años. A medida que hemos ido avanzando en el ámbito digital a un ritmo vertiginoso, se ha hecho difícil para muchos mantenerse al día con el número de amenazas, los posibles vectores de ataque y los requisitos de cumplimiento que forman parte de un panorama en constante cambio.

Una reciente filtración de 54.000 permisos de conducir de Nueva Gales del Sur como resultado de un cubo S3 de fácil acceso y mal configurado en un servidor de terceros ha puesto en peligro a miles de personas, y el investigador de seguridad que informó de ello admitió que los datos podrían haberse vendido ya en la web oscura. Lo triste es que se trata de una solución fácil y es poco probable que haya sucedido si la seguridad hubiera sido una prioridad para los que configuran la caché.

El Gobierno australiano acaba de publicar la Estrategia Australiana de Ciberseguridad 2020, en la que se destacan nuevas iniciativas y un aumento de la financiación de 1.670 millones de dólares que se utilizará durante la próxima década, para lograr su "visión de crear un mundo en línea más seguro para los australianos, sus empresas y los servicios esenciales de los que todos dependemos". Se trata, evidentemente, de una revisión y un plan actualizado que se agradece, sobre todo porque uno de los principales objetivos es:

"Actuación de las empresas para asegurar sus productos y servicios y proteger a sus clientes de las vulnerabilidades cibernéticas conocidas".

Mientras que los organismos gubernamentales tienden a centrarse (como deberían) en las medidas de seguridad relativas a las infraestructuras críticas de un país -áreas que son propicias para un ataque organizado catastrófico-, lo que faltaba en el pasado eran directrices para las empresas que recogen y utilizan nuestros datos cada día.

Ahora bien, cuando se trata de una estrategia oficial como ésta, no siempre se trata de cerveza y bolos. Puede ser un poco difícil de interpretar, y vago en los detalles, dejando al equipo de seguridad de una organización para armar un plan basado en directrices no específicas. Este problema no es exclusivo del gobierno de Australia, pero analicemos su nueva versión.

Centrarse en la reacción, no en la prevención.

La actualización de la Estrategia Australiana de Ciberseguridad es una mejora más relevante que la última publicación de 2016, con planes bastante completos para las empresas, especialmente las PYMES. La estrategia describe:

"El Gobiernoy las grandes empresas ayudarán a las pequeñas y medianas empresas (PYMES) a crecer y aumentar su conciencia y capacidad de ciberseguridad. El Gobiernoaustraliano colaborará con las grandes empresas y los proveedores de servicios para proporcionar a las PYME información y herramientas de ciberseguridad como parte de "paquetes" de servicios seguros (como el bloqueo de amenazas, el antivirus y la formación en ciberseguridad)."

Esto proporcionará a las PYME una base decente sobre la que proteger su negocio de las ciberamenazas, pero se trata en gran medida de un enfoque reactivo y se centra en las herramientas de detección, una parte relativamente pequeña del panorama de la ciberseguridad.

También hay sorprendentemente poca información sobre cómo las grandes empresas pueden protegerse y reducir sus vectores de ataque. Aunque muchas pueden formar parte de los planes para proteger infraestructuras críticas (como telecomunicaciones, transporte), los servicios financieros, el comercio minorista y muchos otros sectores verticales tienen mucho que perder cuando se trata de un ciberataque con éxito. Tal vez esto forme parte de la próxima legislación, pero aun así, destacar la importancia de las mejores prácticas meticulosas de ciberseguridad a nivel empresarial es fundamental para ver un cambio significativo, y una disminución de los datos comprometidos y de la ciberdelincuencia.

En general, cuando se considera la estrategia en su conjunto, se construye en torno a un enfoque reactivo. Contrarrestar los ciberataques, desbaratar a los ciberdelincuentes activos y garantizar su persecución, así como el intercambio de inteligencia con los aliados internacionales, son todos factores importantes, pero imagínese si la norma de protección a nivel nacional se centrara en la prevención. Además de las medidas de protección de las infraestructuras críticas, si la seguridad fuera una prioridad en todas las empresas y todas las personas que tocan el código que crea nuestro mundo digital estuvieran debidamente equipadas para bloquear los ataques antes de que se produzcan, el ahorro de tiempo, dinero y dolor para las víctimas sería inconmensurable.

La resiliencia es posible, pero hay que planificarla.

El impulso del Gobierno australiano para tomarse en serio la ciberseguridad deja claro que se ha identificado como un área de riesgo clave a nivel nacional. Al igual que cualquier otro ataque malintencionado que pueda perturbar nuestro modo de vida, la capacidad de recuperación es absolutamente crucial, no sólo para resistir un intento de este tipo, sino para actuar como elemento disuasorio. Al fin y al cabo, incluso los actores de las amenazas pueden ser perezosos, y se desplazarán a un objetivo más fácil para lograr su objetivo si se ponen demasiadas barreras a su éxito.

En este momento, nos enfrentamos a una escasez global de habilidades de ciberseguridad, y esto es algo que mantiene a los CISOs de todo el mundo despiertos por la noche. Los miles de millones de líneas de código, las constantes violaciones de datos a gran escala y el mayor riesgo de sanciones (solo Marriott recibió una multa de 123 millones de dólares del GDPR por su violación de datos en 2018... y tuvieron otra violación este año) han creado un abismo de demanda de especialistas en seguridad que, siendo realistas, es poco probable que se cierre. Sencillamente, hay demasiado código y muy pocos recursos para garantizar que esté fortificado desde todos los ángulos.

Entonces, ¿debemos renunciar a la idea de que alguna vez nos mantendremos realmente firmes frente a las ciberamenazas? De ninguna manera. La resistencia requiere utilizar todos los recursos disponibles y pensar un paso por delante. Y para muchas empresas, sus desarrolladores pueden desbloquear un poderoso método de fortificación justo cuando se escribe el código. Cuando se combina con una cultura de seguridad visible y positiva en toda la empresa, esto proporciona una base segura que es difícil de sacudir y romper para muchos atacantes. Sin embargo, este método requiere tomar las sugerencias de la Estrategia Australiana de Ciberseguridad, como ejemplo, y profundizar en cómo se pueden personalizar para apoyar un cambio efectivo que sea relevante para la empresa.

Para ello, es importante desglosar un par de consejos:

• Formación en materia de seguridad: Esta formación se dirige específicamente a las PYMES y, en el contexto de todo el informe, tiene como objetivo principal enseñar a todo el personal la higiene básica de la seguridad (por ejemplo, detectar los correos electrónicos de phishing, no hacer clic en enlaces desconocidos, etc.). Siendo realistas, debe ir mucho más allá y convertirse en algo específico para cada función, especialmente para aquellos que tocan el código, como los desarrolladores. Es imperativo que la formación en materia de seguridad sea un componente de las medidas preventivas y de la creación de resiliencia
• Educación: En un cambio refrescante, hay un plan en profundidad para abordar la escasez de habilidades de ciberseguridad durante la próxima década, mediante el énfasis en la formación en ciberseguridad desde la escuela primaria y secundaria, hasta la educación terciaria. Esto es muy necesario si queremos construir las superestrellas de la seguridad del futuro, pero desde la perspectiva de abordar las necesidades de las empresas ahora mismo, la formación práctica en codificación segura para la cohorte de desarrollo es una necesidad absoluta para empezar a reducir las vulnerabilidades comunes, y debe formar parte de un programa de seguridad funcional.

Como expertos en seguridad, tenemos que hacer más para ayudar a las empresas de todo el mundo a comprender la importancia de crear un programa de seguridad interno que vaya más allá de las simples medidas de concienciación. Dedicar tiempo a capacitar a los desarrolladores libera de la presión a los especialistas en seguridad de las aplicaciones, que están sobrecargados de trabajo, y garantizar que toda la organización sea lo más consciente posible de la seguridad en el contexto de su función es vital para reducir la superficie de ataque de las amenazas en el software.

El perfeccionamiento de los desarrolladores es un tiempo bien empleado, así que ¿por qué tantas empresas lo ignoran?

Una encuesta reciente de DDLS concluyó que hay muy poco sentido de la prioridad cuando se trata de la formación en ciberseguridad en las organizaciones australianas. De hecho, ni siquiera figuraba entre las tres principales prioridades de formación, a pesar de que el 77% de los encuestados consideraba que la concienciación sobre ciberseguridad era "extremadamente" o "muy importante" en su empresa.

No es de extrañar, por tanto, que Australia esté luchando por cerrar la creciente brecha de competencias, y que tenga que trabajar para crear una infraestructura más resistente, desde los servicios esenciales hasta el comercio minorista, y todo lo demás.

Existe aquí una enorme oportunidad para que los gobiernos creen una certificación o normativa de referencia en materia de competencias de seguridad, y la estrategia alude a ello como una forma de trabajar con recursos finitos. Sin embargo, una vez más, parece una propuesta para el futuro, y tenemos las herramientas para empezar mucho antes si nos centramos primero en las áreas de mayor impacto. Para mí, el faro de esperanza reside en los equipos de desarrollo de cada organización, que, si disponen de las herramientas y los conocimientos necesarios, pueden atajar de raíz las vulnerabilidades más comunes y reducir significativamente el riesgo de que se produzca una filtración de datos en su organización.

En 2019, el 24% de todas las violaciones de datos fueron causadas por un error humano, es decir, por errores de configuración de seguridad, que suelen ser correcciones relativamente sencillas a nivel de código. Si la formación se convierte en una prioridad, junto con la concienciación sobre la seguridad en toda la empresa, apuesto a que habrá menos CISO que firmen notificaciones de infracción a miles de clientes comprometidos.