La gestión de TI, a partir de un modelo de ciberseguridad de responsabilidad compartida
Los agentes maliciosos acechan para aprovechar cualquier brecha de ciberseguridad para impactar y monetizar cualquier vulnerabilidad.
Por Sergio Navarro Barrientos* Chief Presales Officer en IQSEC
La creciente dependencia de los sistemas globales y de nube ha puesto de manifiesto la necesidad urgente de que las organizaciones, tanto fabricantes como proveedores de servicios y software, revisen y fortalezcan continuamente sus esquemas de visibilidad, verificación, protección y actualización de sistemas y aplicativos. Esto porque agentes maliciosos están a la expectativa de aprovechar cualquier brecha de ciberseguridad para impactar y monetizar cualquier error o vulnerabilidad descubierta.
Pero no solo es una responsabilidad de los proveedores de servicios o infraestructura, ya que, en ese mismo sentido, los clientes, los consumidores y/usuarios, los dependientes de decenas de servicios en línea, deben comprender, asumir y gestionar el modelo de responsabilidad compartida. Se trata de un marco de seguridad y cumplimiento que describe las responsabilidades de cada uno para proteger cada aspecto del entorno de la nube, incluido el hardware, la infraestructura, los puntos finales, los datos, las configuraciones, los ajustes, el sistema operativo, los controles de red y los derechos de acceso.
Es decir, este modelo implica que los proveedores de servicios en la nube tienen la responsabilidad de monitorear y responder a las amenazas de seguridad relacionadas con la infraestructura de la nube y sus componentes subyacentes. Asimismo, los clientes, que pueden ser individuos o empresas, son responsables de proteger los datos y otros activos que almacenan en estos entornos de nube y controlar de manera segura el acceso a dicha información bajo un principio de mínimos privilegios.
Esto, además de asignar a cada actor su respectivo espacio de acción y cuidado, contribuye a fortalecer la seguridad de la información de los usuarios finales, considerando que cada parte involucrada protegerá su propia superficie, con lo que se podrían mitigar los daños y las pérdidas de activos digitales, en caso de algún error interno, externo o, incluso, de un ciberataque.
Al respecto, la historia nos recuerda varios casos en los que se podría haber reducido el impacto de haber ejecutado exitosamente los procesos de verificación y actualización de software. Uno de los primeros ocurrió en 1962, cuando la sonda espacial Mariner 1, lanzada por la NASA, se destruyó 290 segundos después del lanzamiento por un error de software, específicamente por la omisión de un guion en una línea de código, lo que significó enviar señales incorrectas a la nave espacial. Este hecho costó 169 millones de dólares.
En 2008, en Londres, la inauguración de la Terminal 5 de Heathrow fue un caos, a causa de un software defectuoso en el sistema de manejo de equipaje. Durante los primeros 10 días, se perdieron 42 mil maletas y se cancelaron más de 500 vuelos, lo que costó más de 20 millones de dólares.
En 2012, la empresa estadounidense Knight Capital Group perdió 460 millones de dólares en 30 minutos debido a un error de software en su nuevo sistema de operaciones bursátiles, lo que llevó a una serie de transacciones erróneas.
En 2018-2019, fallos en el software del Boeing 737 MAX contribuyeron a dos accidentes fatales, matando a 346 personas. La tragedia resultó en la inmovilización mundial de la flota 737 MAX, lo que le costó a Boeing miles de millones de dólares en compensaciones, litigios y esfuerzos de reparación.
No obstante, y pese a estas lecciones y muchas más, aún hay muchos sectores que enfrentan obstáculos presupuestales que limitan su capacidad para implementar procesos eficientes de verificación de parches y despliegue controlado, así como soluciones robustas de ciberseguridad. Esta falta de inversión puede ser el resultado de diversos factores, incluyendo una falsa percepción de que los riesgos son menores de lo que realmente son, o la poca comprensión de las posibles consecuencias de un incidente de seguridad a su infraestructura que, por su operación, debía haber sido etiquetada como crítica en un análisis de riesgos. En consecuencia, es crucial observar y cuantificar el impacto que podrían tener por fallas, ocasionadas tanto por errores humanos o de software.
LEE: Estos son los estándares de ciberseguridad que debe tener una Mipyme
La investigación The Hidden Costs of Downtime calculó que el costo total del tiempo de inactividad por fallas inesperadas en los entornos digitales de las organizaciones que integran el Forbes Global 2000, es de 540 mil dólares por hora, equivalente a 9 mil dólares por minuto. Estos montos pueden acumularse rápidamente en función de la duración del tiempo de inactividad y el tamaño de la organización y, evidentemente, pueden situarla en una situación financiera y operativa muy complicada.
Además de los costos directos asociados con el tiempo de inactividad y los incidentes de ciberseguridad, las organizaciones deben considerar los intangibles. Estos pueden incluir el daño a la reputación, la pérdida de confianza del cliente y las implicaciones legales y regulatorias.
El reporte mencionado revela también que el 44% de los problemas de tiempo de inactividad se originan en aplicaciones o infraestructura, mientras que el 56% de los problemas se deben a incidentes de ciberseguridad. Esta distribución resalta la importancia de abordar tanto los problemas técnicos, como los riesgos de ciberseguridad en las estrategias de gestión de TI, incorporando, en su modelo de responsabilidad compartida, a un aliado especialista en ciberseguridad para garantizar la fiabilidad de sus procesos.
*Sergio Navarro es Chief Presales Officer en IQSEC
Nota del editor: Este texto pertenece a nuestra sección de Opinión y refleja únicamente la visión del autor, no necesariamente el punto de vista de Alto Nivel.
MÁS NOTICIAS:
- ¿Qué teléfono comprar? 3 marcas de celulares 100% mexicanas
- EU gana a México panel sobre maíz transgénico en el T-MEC
- Navidad en línea: El 90% de los mexicanos comprará sus regalos en línea, según estudio
- Dow Jones cierra su tercera semana de pérdidas y cae 2.3%
- Beca Pilares 2025: ¿En qué consiste este programa y cómo registrarse?
IQSEC Más de 15 años de experiencia brindando soluciones integrales e innovadoras de ciberseguridad e identidad digital.