seguritecnia 422

60 SEGURITECNIA Julio-Agosto 2015 blico y privado como en el ámbito na- cional y de la propia UE. Tal preocupación se manifiesta tam- bién en el sector privado, el cual, ade- más, es a la vez propietario y operador de una parte significativa del ciberespa- cio, por lo que a la necesidad de prote- ger sus propios activos se ha de sumar la de participar en la parte que le com- pete en la protección de las infraestruc- turas críticas y estratégicas que prestan servicios esenciales. Al respecto, muchas organizaciones están fortaleciendo sus capacidades de ciberseguridad estableciendo estrate- gias de defensa y procedimientos y pro- cesos de identificación de amenazas y priorización de riesgos, así como medi- das de protección y de mitigación de los efectos de los potenciales impactos. Amenazas más complejas Sin embargo, como se ha evidenciado en los últimos tiempos, las amenazas son cada día más complejas, graves y sofisticadas, y han variado en parte sus objetivos, orientados ahora, prin- cipalmente, a la obtención y explota- ción de información vital para las or- ganizaciones. Esta nueva caracterización de las amenazas, cuyo más conocido repre- sentante son las denominadas persis- tentes avanzadas (APT), unido al incre- mento de las vulnerabilidades como consecuencia de la hiperconectividad y la utilización masiva de dispositivos móviles, o la aparición de nuevas for- mas de empleo como BYOD o Internet de las Cosas, se traduce en un incre- mento de los riesgos derivados del ci- berespacio. A estos hechos se unen la gravedad y variedad de los impactos causados, que no solamente se miden en térmi- nos económicos, más fáciles de cuanti- ficar, sino también en la pérdida o uti- lización por ajenos de información crí- tica o en problemas jurídicos y legales, sin olvidar el impacto sobre la imagen y reputación de la organización, cuyas consecuencias pueden ser desastrosas por la enorme capacidad de influencia de la Red. Un problema global Basándonos en tales argumentacio- nes, es preciso variar el enfoque de la ciberseguridad como ya lo están ha- ciendo algunas instituciones y empre- sas, pasando a una actitud proactiva que tenga en cuenta el impacto que cualquier incidencia pueda tener so- bre el negocio global, olvidando posi- ciones reactivas soportadas por medi- das de protección de la infraestructura de los sistemas de información con la esperanza vana de que sean suficientes para no recibir ciberataques o defen- derse de ellos. Pero la tecnología ya no es suficiente y así lo perciben los atacantes, que tra- tan de ampliar su campo de acción para explotar vulnerabilidades de per- sonas, procesos y procedimientos, por lo que limitar la ciberseguridad al ám- bito de la infraestructura de las TIC es un grave error. La responsabilidad de la ciberseguridad sobrepasa ya el domi- nio de los profesionales de estas tec- nologías para convertirse en un pro- blema global que abarca a toda la or- ganización. La ciberseguridad debe planearse y ejecutarse mediante un enfoque corpo- rativo holístico y alienarla con la estrate- gia de la organización, orientada al cum- plimiento de los objetivos estratégicos, L os múltiples incidentes que se están produciendo en el cibe- respacio, con importantes con- secuencias dada la gravedad de los mismos y la naturaleza de los actores implicados, han convertido a la ciber- seguridad en una prioridad en los más variados sectores, tanto públicos como privados. En este sentido, diversos estados y organizaciones han establecido sus propias estrategias ante el desafío de las ciberamenazas, que, en palabras de Barak Obama, presidente de EEUU, re- presentan uno de los más graves pro- blemas de seguridad nacional y eco- nómica, por lo que es necesario dispo- ner y conducir capacidades globales para hacerlas frente. Esta es la vía seguida por España con la Estrategia de Ciberseguridad Nacio- nal, cuyo fin es lograr un uso seguro de los sistemas de información y tele- comunicaciones, fortaleciendo las ca- pacidades de prevención, defensa, de- tección y respuesta a los ciberataques. Para lograrlo, se establecen unos ob- jetivos específicos entre los que se in- cluyen impulsar la seguridad y la resi- liencia en el sector empresarial y en los operadores de infraestructuras críticas, potenciar las capacidades de preven- ción, detección, reacción, análisis, recu- peración, respuesta e investigación y sensibilizar a los ciudadanos y los sec- tores privado y público sobre los ries- gos derivados del ciberespacio. En el mismo contexto, la Unión Euro- pea presentó, también en 2013, la co- municación sobre su estrategia de ci- berseguridad, donde se proyecta la aplicación de un conjunto de medidas dirigidas, entre otros fines, a lograr la ci- berresiliencia tanto en los sectores pú- Fernando Davara Rodríguez Director del Máster en Dirección y Gestión de la Ciberseguridad de Fundación Aucal La formación en ciberseguridad, esencial para los nuevos directivos Formación en Seguridad