Seguridad de las redes y sistemas de información: ¡hablemos de  CIBERSEGURIDAD!

Los avances de la economía digital y la constante evolución de las TIC dotan de una importante relevancia en nuestra sociedad las redes y sistemas de información. Por ello, para mantener el buen orden económico y comunitario es necesario proteger todos los aspectos que guardan relación con su integridad y defensa.

Dado su gran impacto en dicho orden, las redes y sistemas de información se han convertido en un blanco fácil con el objetivo de perturbar su funcionamiento y, por ende, producir alteraciones negativas en la confianza de los usuarios, quebrantar las operaciones financieras y, en definitiva, producir un cuantioso daño monetario en los países de la Unión.

Las diferencias existentes en cuanto a las garantías establecidas en los diferentes Estados miembros para una lucha efectiva contra estos ataques, así como la falta de criterios unánimes atribuibles a los operadores de servicios esenciales y los proveedores de servicios digitales, hace que exista una brecha de  protección igualitaria de los usuarios y de las mercantiles, como de un escaso principio de coherencia y de  integración global en la Unión.

De lo anterior, es necesario establecer unos requisitos  comunes y una uniformidad global entre los actores intervinientes en las redes y sistemas de información, buscando mejorar el desarrollo de competencias y preparación y la intercomunicación y colaboración.

Ciberseguridad, ¿qué es?

No existe una definición de ciberseguridad en nuestro diccionario, por lo que el término ha sido acuñado por diferentes personas del sector, e incluso por la propia normativa. Así, es definida por la Orden  Ministerial 10/2013, de 19 de febrero, como “Conjunto  de actividades dirigidas a proteger el ciberespacio contra el uso indebido del  mismo, defendiendo su infraestructura tecnológica, los servicios que prestan y  la información que manejan”. 

No obstante, una definición más  amplia y, quizás más completa, fue dictada por la Unión Internacional de  Telecomunicaciones (organismo perteneciente a la ONU), a saber: “La ciberseguridad es el conjunto de  herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad,  directrices, métodos de gestión de riesgos, acciones, formación, prácticas  idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos  de la organización y los usuarios en el ciberentorno. Los activos de la  organización y los usuarios son los dispositivos informáticos conectados, los  usuarios, los servicios/aplicaciones, los sistemas de comunicaciones, las  comunicaciones multimedios, y la totalidad de la información transmitida y/o  almacenada en el ciberentorno. La ciberseguridad garantiza que se alcancen y  mantengan las propiedades de seguridad de los activos de la organización y los  usuarios contra los riesgos de seguridad correspondientes en el ciberentorno.  Las propiedades de seguridad incluyen una o más de las siguientes:  disponibilidad; integridad, que puede incluir la autenticidad y el no repudio;  y confidencialidad.”

¿Por qué tenemos que  estar preparados?

El comercio electrónico ha ganado gran protagonismo en el crecimiento económico y, por ende, se ha convertido en uno de los pilares fundamentales de la economía digital.

En este contexto, los ciberdelincuentes aprovechan cualquier vulnerabilidad de los sistemas de información y de las redes para obtener redito de forma ilícita a consta de los demás. Por ello, la ciberseguridad  adquiere un protagonismo vital para el sostenimiento del mercado digital.

Entre los objetivos que motivan las acciones de los ciberdelincuentes podemos destacar: a) el económico (clientes, proveedores, estrategia comercial, etc.), b) menoscabar la reputación (confianza) y c) dañar a terceros a través de nuestros propios recursos (phising). Los métodos utilizados son varios, pero se pueden concretar en ataques perpetrados a través de los propios  empleados de la entidad (engaño) o directamente  al ecommerce.

Medidas propuestas  por la UE: Directiva NIS

La Directiva  2016/1148 o también llamada Directiva NIS entró en vigor en el año 2016, y deberá ser aplicada en los Estados miembros el próximo 10 de mayo. No obstante, en España, pese a iniciarse la tramitación parlamentaria ordinaria (Anteproyecto  de ley) aún falta mucho recorrido y no estará incorporada al ordenamiento jurídico interno en la fecha requerida.

La Directiva NIS tiene por objetivo “lograr un elevado nivel común  de seguridad de las redes y sistemas de información dentro de la Unión a fin de  mejorar el funcionamiento del mercado interior”. Partimos de la base de que “las redes y sistemas de información  desempeñan un papel crucial en la sociedad. Su fiabilidad y seguridad son  esenciales para las actividades económicas y sociales”.

Por ello, a fin de garantizar el correcto funcionamiento del mercado interior, la Directiva NIS:

 a) establece  obligaciones para todos los Estados miembros de adoptar una estrategia nacional de seguridad de las redes y sistemas de información;

b) crea un Grupo de cooperación para apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros y desarrollar la confianza y seguridad entre ellos;

c) crea una red de equipos de respuesta a incidentes de seguridad informática (en lo sucesivo, «red de CSIRT», por sus siglas en inglés de «computer security incident response teams») con el fin de contribuir al desarrollo de la confianza y seguridad entre los Estados miembros y promover una cooperación operativa rápida y eficaz;

d) establece requisitos en materia de seguridad y notificación para los  operadores de servicios esenciales y para los proveedores de servicios  digitales y

e) establece obligaciones para que los Estados miembros designen  autoridades nacionales competentes, puntos de contacto únicos y CSIRT con funciones relacionadas con la seguridad de las redes y sistemas de información.

Por otro lado, la norma comunitaria está dirigida a  operadores de servicios esenciales (banca, transporte, suministro, sector energético, etc.) y a prestadores de servicios  digitales (mercados en línea, motores en línea y servicios de computación en la nube). Estar incluido en cualquier de los anteriores conlleva cumplir con los requisitos en materia de seguridad y de notificación de incidentes, sin perjuicio de la exclusión establecida en la propia norma al indicar que “en el  caso de los proveedores de servicios digitales, esos requisitos no deben  aplicarse ni a las microempresas ni a las pequeñas empresas”.

Por último, al tratarse de una norma de mínimos, es necesario esperar a la ley de transposición en España para abundar en cuáles serán los listados definitivos, y analizar qué medidas de seguridad se impondrán -si serán más estrictas que las establecidas en la Directiva NIS-.

Lo “imprescindible”  para proteger tu tienda online

Según las recomendaciones establecidas en la guía “Ciberseguridad  en comercio electrónico” publicada por el INCIBE, los ecommerce deben adoptar una serie de medidas que detecten y eviten estos ciberataques. Pese a que la seguridad no se puede garantizar de forma absoluta, podemos tratar de prevenir y minorar los efectos negativos con una buena defensa.

Para ello, debemos tener en cuenta lo siguiente:

1. Establecer un buen plan de formación y concienciación dirigido a los empleados.

2. Adoptar unas buenas medidas de seguridad para alcanzar el mayor nivel de seguridad posible, entre las que destacan:

• Instalar un certificado  SSL de manera que la información que se transmite viaje cifrada.
• Realizar backup o copias de seguridad a fin de tener un sistema de respaldo en caso de pérdida, deterioro o robo de información con el propósito de recuperar la actividad comercial lo antes posible.
• Disponer de una pasarela de pago segura reduciendo el número de transacciones fraudulentas.
• Establecer los permisos adecuados para el acceso al contenido confidencial o sensible almacenado y compartido en los equipos informáticos.
• Configurar  correctamente el sistema de gestión de contenidos o CMS, mantenerlo actualizado y establecer un sistema de identificación, entre otros.
• Seleccionar un servicio hosting que te otorgue garantías adecuadas.
• Bastionar  correctamente el servidor y el Apache de manera que quede lo más fortificado posible.

Además de las anteriores, es importante establecer una buena asignación de privilegios de los usuarios, eliminar los metadatos o datos de tráfico, validar y filtrar los formularios, utilizar sistemas captcha, etc.

3. Por otro lado, se recomienda albergar unos criterios de buenas  prácticas, como son: contar con un sistema de respaldo para casos en los que el site no funcione, trabajar sobre entornos de prueba antes de implementar modificaciones o actualizaciones en el entorno de producción, realizar auditorías y establecer planes de contingencia y continuidad antes incidentes de seguridad que afecten a la continuidad en el tiempo del negocio.

4. Implantación de políticas de seguridad de la información.

• Documentar y difundir la política de seguridad para que todos los usuarios conozcan sus obligaciones.
• Establecer controles de acceso a los equipos y a las aplicaciones utilizadas.
• La instalación de antivirus.
• Mantener actualizado todo el sistema informático.
• Proteger la transmisión de la información mediante el cifrado de la misma.

5. Cumplimiento y establecimiento de medidas de carácter legal, así como dotar de confianza a tus usuarios mediante el respaldo que proporcionan los sellos de calidad o distintivos que garantizan que el ecommerce posee un mecanismo o sistema que promueve las buenas prácticas en Internet: como el  Sello de Confianza Online.