La semana pasada fue una semana interesante para la Seguridad. A finales de semana se anunció en Estados Unidos la publicación del NIST Cybersecurity Framework, una iniciativa público-privada de las que nos tienen acostumbrados los norteamericanos para fortalecer la seguridad de sus instalaciones industriales, y a la que recomiendo echar un vistazo. Salvadas todas las diferencias de tamaño, cultura, riqueza, etc., hay muchas recomendaciones utilizables por las empresas europeas en general, y las españolas en particular.
El marco se basa en una serie de procesos y recomendaciones, repetibles, flexibles, priorizables y razonables en coste que permitirá a las organizaciones que los adopten proteger sus infraestructuras críticas. Este documento cubre desde aspectos de inventariado y clasificación de bienes (incluidos los tecnológicos) a procesos como la comunicación al detectar un incidente y almacenar la información relacionada tanto con su resolución como con las lecciones aprendidas de las mismas.
Ahora bien, partiendo de la base de que en las organizaciones actuales la mayor parte de la comunicación se realiza por correo electrónico, ¿tiene sentido implantar medidas que protejan los activos pero dejando abiertas las puertas para extraer información crítica para las organizaciones?
Todos sabemos que el tráfico de Internet se genera en un sitio concreto, físico y es ese sitio el que hay que bloquear, primero de manera preventiva, evitando tráfico con zonas donde no exista una razón legítima para hacerlo, y luego de manera reactiva, cuando se ha detectado un incidente y hay el riesgo que se distribuya por la red.
Se ha comprobado que incluso en empresas sin actividades externas, como puede ser una pequeña empresa o un despacho profesional, entra tráfico de Internet procedente entre 120 y 200 países distintos. La mayoría de este tráfico tiene como solo objetivo detectar las vulnerabilidades de la red y de esta manera crear ataques más eficaces.
Esto es lo que se previene con todas las herramientas de última generación que se están desarrollando, pero sobre todo frenando el ataque donde ocurre, en su origen físico. Por lo tanto, siguiendo el lenguaje utilizado en el entorno de Seguridad, desgraciadamente, los ataques procedentes de un país no son ya un "cisne negro", es decir, un evento poco probable, si no una eventualidad que se debe tener en cuenta e incluir en las medidas de prevención de riesgo de las organizaciones.
Si te interesa consultar el NIST Cybersecurity Framework lo puedes encontrar en : http://www.nist.gov/cyberframework/
