Por Karla Navarro
Ensenada, Baja California. (Agencia Informativa Conacyt).- La actividad de usuarios en redes sociales o navegando en Internet está permeada de prácticas que vulneran la seguridad de su información y los dejan propensos a ser víctimas de ciberdelitos.
Para atender las denuncias que se generan desde la esfera del ciberespacio, este año se conformó la Unidad Cibernética de la Policía Estatal Preventiva (PEP) en Baja California, que cuenta el acoso y fraude cibernéticos entre los principales delitos denunciados.
Héctor Gutiérrez Salazar, jefe de la Unidad de Policía Cibernética de la PEP, señaló en entrevista para la Agencia Informativa Conacyt que una de las prácticas que provocan que los usuarios en redes sociales se conviertan en víctimas de ciberdelitos es la publicación constante de información personal.
“Publican dónde están, a dónde van, a dónde fueron a comer, en ese momento en dónde estoy; entonces si una persona los está monitoreando, ahí en su red social tienen toda la información, lo puede estar siguiendo”.
Indicó que otra condición de vulnerabilidad es la falta de aplicación de un protocolo de seguridad que ofrecen las propias redes sociales y diversas plataformas para resguardar la información del usuario y con ello disminuir el riesgo de que se convierta en víctima de ciberdelitos.
Seguridad de la información para instituciones
Si los particulares son blanco de delitos que se cometen desde el plano virtual, las empresas, instituciones gubernamentales y, en general, las organizaciones corren un riesgo mayor, situación que demanda la capacitación constante de los usuarios y la implementación de herramientas diseñadas para fortalecer la seguridad de la información.
Por ejemplo, el Centro de Investigación Científica y de Educación Superior de Ensenada (CICESE) ha llegado a registrar hasta 500 intentos de ciberataques procedentes de la misma fuente, en un periodo de tan solo ocho segundos.
Ante esta situación, especialistas de la Dirección de Telemática del CICESE diseñaron Isecbay, un sistema de gestión de seguridad de la información del que se generó propiedad intelectual por medio del registro de derechos de autor.
Además, el sistema implementado desde 2015 en el CICESE fue licenciado para su aplicación en otros tres Centros Conacyt: el Centro de Investigaciones Biológicas del Noroeste (Cibnor), el Centro de Investigación Científica de Yucatán (CICY) y el Centro de Investigación en Ciencias de Información Geoespacial (Centrogeo).
En entrevista, Lidia Elena Gómez Velasco, coordinadora de Seguridad de la Información del CICESE, expuso que Isecbay tiene como función principal el manejo de procedimientos que protegen la información de la institución.
Con un respaldo de 20 años de experiencia en la Dirección de Telemática, Gómez Velasco afirma que la seguridad de la información no es una tecnología en particular sino un proceso que deriva en el manejo de políticas internas, como proveer de infraestructura para proteger la información y capacitar a los usuarios.
La herramienta tiene, entre sus ventajas, la capacidad de mantener un inventario de los activos principales de la organización y los elementos que se les relacionan en cuanto a escenarios de riesgo que podría tener un activo, entendiéndose como tecnología, datos o información.
“(Con el sistema) podemos identificar los escenarios de riesgo a los que están expuestos (los activos), valorar esos escenarios de riesgo y posteriormente hacer un análisis de costo-beneficio en cuanto al riesgo que se tiene y a los controles de seguridad que se necesitan aplicar para solventar, reducir o asumir los riesgos por parte de la organización”, explicó.
Otra de las capacidades del sistema diseñado en el CICESE es generar programas para manejar los riesgos que se detectan dentro de la institución por medio de asignaciones al personal a cargo de implementar controles.
“Nos permite generar una serie de reportes que pueden ayudar a reducir la brecha o los huecos de información que luego existen entre las áreas tecnológicas y los directivos para la toma de decisiones, porque la herramienta también nos arroja datos en cuestión económica, de inversión necesaria para poder ir subiendo los niveles de seguridad dentro de la institución”.
Análisis de vulnerabilidad
Isecbay ofrece a las instituciones la posibilidad de llevar un registro de los análisis de vulnerabilidades y con ello crear una base de conocimiento que arroje tendencias sobre los principales “huecos” de seguridad y tomar decisiones estratégicas para reducirlos.
Gómez Velasco ejemplificó: “Si estamos identificando a través de estos análisis de vulnerabilidades que la tendencia es fallos en configuración de servidores o fallos en el desarrollo de aplicaciones, la herramienta nos da esa estadística como para poder deducir que debemos invertir en capacitación o en mejor preparación de los desarrolladores”.
Actualmente los especialistas trabajan en una segunda versión de la plataforma, una interfaz web que podrá dar seguimiento a los incidentes de seguridad que ocurren dentro de la misma institución.
“Lo que nos va a ayudar en este módulo es tener información dentro de la institución sobre qué tipo de incidentes está ocurriendo, llámese virus, correo, spam, phishing, toda una serie de elementos y que nuestros usuarios o que las personas directamente en contacto con esa situación puedan reportarlo a nosotros y el grupo técnico de respuesta a incidentes pueda atender y dar seguimiento”.
Cambio de paradigma
Para Raúl Rivera Rodríguez, director de Telemática del CICESE, Isecbay propone incrementar la conciencia de los especialistas en seguridad de la información para organizar mejor los servicios de tecnologías de la información y comunicación (TIC) que prestan las instituciones y que se mantengan protegidos.
Consideró que uno de los desafíos del uso de la plataforma ha sido lograr un cambio de paradigma en materia de seguridad de la información para que el trabajo no consista solo en administrar un equipo de comunicaciones.
Maestra Lidia Gómez y Doctor Raúl Rivera, de la Dirección de Telemática del CICESE.“Va mucho más allá de eso, es una herramienta que conjuga no nada más ese tipo de activos sino que se mete a cómo está diseñado un servicio, cómo fue programado con las mejores prácticas desde el punto de vista de seguridad, optimización, desempeño; es la seguridad un elemento vertical en todo el proceso, desde el diseño del servicio hasta la puesta en operación”.
Capacitar a usuarios
El diseño de Isecbay está concebido para implementarse en organizaciones públicas y privadas, de tamaño mediano a grande; sin embargo, la Dirección de Telemática también ha hecho énfasis en la importancia de que los usuarios conozcan la política de seguridad de la información de sus instituciones y la respeten.
Como parte de este objetivo, el pasado mes de septiembre se celebró el cuarto Foro de Seguridad de la Información en el CICESE, evento que se abrió al público en general para que conociera el tema directamente de los especialistas y adopte las recomendaciones para protegerse de cualquier riesgo mientras navega en el ciberespacio.
