Principis generals de la ciberseguretat

Podem definir la ciberseguretat com el conjunt de pràctiques, tecnologies i processos dissenyats per protegir els sistemes informàtics, les xarxes, els dispositius i les dades contra amenaces cibernètiques. Aquestes amenaces poden incloure atacs de grups organitzats, programari maliciós (malware), robatori de dades i moltes altres activitats malintencionades que posen en perill la disponibilitat, la integritat i la confidencialitat de la informació.

La història de la ciberseguretat destaca per la constant evolució de les amenaces cibernètiques i les eines que s’han desenvolupat per combatre-les. A mesura que la tecnologia digital ha avançat, les estratègies de seguretat han hagut d’adaptar-se per protegir les organitzacions i les empreses de les creixents amenaces.

• Dècada de 1970: Aquesta època ve marcada per les primeres passes en ciberseguretat. Es van desenvolupar els primers sistemes d’accés controlat i es va començar a reconèixer la importància de les contrasenyes com a mecanisme de seguretat.
• Dècada de 1980: Amb l’arribada dels primers ordinadors personals, van sorgir els primers virus informàtics. Per combatre aquestes amenaces, es van crear els primers programaris antivirus, que van marcar un abans i un després en la defensa cibernètica.
• Dècada de 1990: Amb l’expansió d’Internet, es van obrir noves oportunitats per als atacants cibernètics. Van aparèixer els primers atacs remots i s’iniciaren els primers casos de ciberespionatge. Les empreses van començar a prendre consciència de la importància de la seguretat en línia.
• Dècada de 2000: Els atacs cibernètics es van convertir en una amenaça global. L’any 2000, el virus “ILOVEYOU” va provocar pèrdues superiors als 10.000 milions de Dòlars. També es van veure atacs sofisticats, com l’atac cibernètic a l’estat d’Estònia el 2007, que va afectar la infraestructura digital de l’estat.
• Dècada de 2010: La ciberseguretat va esdevenir una preocupació general per l’opinió pública. El robatori massiu de dades a Target el 2013, i l’atac de ransomware WannaCry el 2017, van mostrar la vulnerabilitat de les empreses i les institucions governamentals davant les amenaces cibernètiques.
• Dècada vigent: En l’actualitat, les amenaces cibernètiques han evolucionat fins a esdevenir un negoci altament lucratiu en el mercat negre. Els atacants de ransomware, els lladres de credencials (coneguts com a Inicial Access Brokers), els gestors de fraus de correu electrònic i altres actors maliciosos col·laboren en xarxes criminals per cometre delictes cibernètics i extreure milions d’euros. Això ha elevat la ciberseguretat al rang d’una de les preocupacions més importants per a empreses i organitzacions de tot el món.

La tríada de la ciberseguretat és un concepte fonamental que descriu els tres pilars essencials per a la protecció de la informació i les dades en l’entorn digital. Aquests tres pilars són la confidencialitat, la integritat i la disponibilitat:

1. Confidencialitat. La confidencialitat és la capacitat de protegir la informació de manera que només les persones o les entitats autoritzades puguin accedir-hi. Això implica garantir que les dades siguin inaccessibles per a aquells qui no tenen drets d’accés. Per exemple, les contrasenyes, l’encriptació i els controls d’accés ajuden a preservar la confidencialitat de la informació, impedint que sigui llegida o utilitzada per tercers no autoritzats.
2. Integritat. La integritat és la garantia que la informació mantingui la seva precisió, exactitud i fiabilitat. En altres paraules, assegura que les dades no hagin estat alterades de manera no autoritzada durant l’emmagatzematge, la transmissió o el processament. Per a això, es poden utilitzar controls com checksums, signatures digitals i registres d’integritat per detectar qualsevol canvi no autoritzat i restaurar la informació a l’estat correcte.
3. Disponibilitat. La disponibilitat és la garantia que la informació i els recursos estiguin disponibles quan sigui necessari per a aquells que en depenen. Això implica protegir els sistemes i les xarxes de possibles interrupcions, ja siguin causades per fallades tècniques, atacs cibernètics o altres incidents. Estratègies com la redundància de servidors, la recuperació de desastres i els plans de contingència ajuden a assegurar la disponibilitat dels sistemes i la informació.

La tríada de la ciberseguretat és essencial per a garantir una defensa completa i efectiva contra les amenaces cibernètiques. Combinant aquests tres conceptes, les organitzacions poden establir una base sòlida per protegir la seva informació i les seves operacions en un món digital en constant canvi. La falta de qualsevol dels components de la tríada pot posar en risc la seguretat global d’una organització, destacant la seva importància en la gestió de riscos i la planificació de seguretat.

La ciberseguretat és un camp ric i divers que involucra una varietat de rols i especialitzacions. Cadascun d’aquests rols contribueix a mantenir els sistemes, xarxes i dades protegits de manera efectiva. ENISA (L'Agència de Ciberseguretat de la Unió Europea), ha publicat dotze perfils diferents dins el context del Cibersecurity Framework . A continuació, es presenten alguns dels rols i aspectes més rellevants dins de la ciberseguretat:

• Red Team: Aquest equip opera com a hackers ètics i executa atacs simulats per identificar vulnerabilitats en els sistemes i xarxes d’una organització. El seu objectiu és avaluar la seguretat mitjançant assaigs reals i proporcionar recomanacions per millorar-la.
• Blue Team: Aquest grup és responsable de defensar les xarxes i sistemes contra amenaces cibernètiques. Monitora la seguretat en temps real, respon a incidents i implementa polítiques de seguretat per prevenir atacs.
• Professionals de Seguretat de Xarxa: Aquesta especialització es centra en la protecció de les xarxes informàtiques. Aquests experts dissenyen i implementen polítiques de seguretat de xarxa, gestionen els firewalls i les polítiques d’accés, i supervisen l’activitat de la xarxa per detectar possibles amenaces.
• Auditors de Ciberseguretat: Aquests professionals realitzen auditories i revisions periòdiques de la seguretat informàtica d’una organització. Verifiquen que les polítiques i procediments de seguretat siguin eficaces i que es compleixin les normatives i els estàndards de seguretat.
• CISO (Chief Information Security Officer): El CISO és el màxim responsable de la seguretat de la informació a una organització. Defineix l’estratègia de seguretat, supervisa la implementació de polítiques i assegura que s’abordin adequadament les amenaces cibernètiques.

A la figura es presenta un diagrama de les diferents branques de la ciberseguretat, on es mostra la seva extensió i els diversos camps de coneixement.

Un dels objectius d’aquesta lliçó és mostrar la importància dels estàndards de ciberseguretat, les entitats reguladores a Catalunya, Espanya i Europa, i els recursos d’interès disponibles per a la comunitat de ciberseguretat.

Els estàndards de ciberseguretat són conjunts de directrius, pràctiques i controls que serveixen com a marc de referència per a la implementació de mesures de seguretat efectives. La seva necessitat és clara en un entorn digital on les amenaces cibernètiques evolucionen constantment. Aquests són els principals motius per als quals els estàndards de ciberseguretat són crucials:

1. Protecció de la Informació Sensible. L’ús d’estàndards ajuda a protegir la informació sensible, com dades personals, secrets empresarials i informació financera, mitigant el risc d’exposició i pèrdua.
2. Compliment Normatiu. Moltes organitzacions estan obligades per llei o normatives a complir amb certes pràctiques de seguretat. Els estàndards proporcionen una estructura per a aquest compliment.
3. Resposta a Amenaces Actives. Les amenaces cibernètiques són una realitat constant. Els estàndards ajuden les organitzacions a estar preparades per respondre a atacs i a mitigar-ne els efectes.
4. Millora Continua. Mitjançant l’adopció d’estàndards, les organitzacions poden millorar constantment les seves pràctiques de seguretat i adaptar-se als canvis tecnològics.

Existeixen diverses entitats reguladores que supervisen i promouen la ciberseguretat. Les principals entitats són:

• Agència de ciberseguretat de Catalunya: ciberseguretat.gencat.cat. Organisme responsable de promoure la ciberseguretat a Catalunya i té un equip de resposta CSIRT que treballa per l’administració.
• Instituto Nacional de Ciberseguridad (INCIBE): www.incibe.es. Organisme que depèn del Ministeri d’Assumptes Econòmics i Transformació Digital de l’Estat espanyol i que té per objectiu el desenvolupament de la ciberseguretat i la confiança digital dels ciutadans i les empreses. És un dels organismes on podem trobar molta documentació relacionada amb la millora de la ciberseguretat. Disposa d’un equip CERT (24×7) que recull el conjunt d’incidents que es produeixen tant a l’Estat espanyol. L’equip CERT ofereix suport operatiu i és obligatori informar de qualsevol incident produït dins els operadors de serveis essencials i proveïdors de serveis digitals.
• Centro Criptológico Nacional (CCN): www.ccn.cni.es. Organisme depenent del Ministeri de Defensa de l’Estat espanyol i responsable de garantir la seguretat de les tecnologies de la informació i comunicació en tot el sector públic, així com la seguretat dels sistemes que treballen amb informació classificada. També disposa d’un equip CERT per coordinar la resposta d’incidents de ciberseguretat dins les estructures de l’Estat, i un altre organisme de certificació que certifica la seguretat de les TI segons l’esquema nacional de seguretat (ENS).
• Agència Europea de Ciberguretat (ENISA): www.enisa.europa.eu. En l’àmbit europeu, l’ENISA té la missió de promoure i millorar la ciberseguretat a tota la Unió Europea, oferint orientació i recursos per als països membres.
• International Organization for Standardization (ISO): www.iso.org. Juntament amb l’IEC (www.iec.ch), són els organismes internacionals responsables d’establir el conjunt d’estàndards. Actualment, l’ISO disposa de més de vint mil estàndards. El principal estàndard de ciberseguretat és ISO/IEC 27001.

La ciberseguretat es basa en l’aplicació de normatives, estàndards i guies de bones pràctiques per establir una base sòlida per a la protecció de la informació i les dades. A continuació, es descriuran alguns dels estàndards i guies més rellevants en aquest àmbit:

• Guia de Bones Pràctiques de l’INCIBE. L’INCIBE ofereix una Guia de Bones Pràctiques en l’Àrea de la Informàtica (tinyurl.com/2aehwnwt). Aquesta guia proporciona consells i directrius per a la implementació de mesures de seguretat en empreses i organitzacions. Aborda qüestions com la seguretat de la informació, la gestió d’incidents de seguretat i altres aspectes importants de la ciberseguretat. Aquesta guia és una eina valuosa per a aquells que desitgen millorar la seva política de seguretat.

• Esquema Nacional de Seguridad (ENS): ens.ccn.cni.es. És un marc regulador a Espanya que estableix els requisits bàsics de seguretat per a les administracions públiques i les empreses que col·laboren amb elles. És administrat pel Centre Criptològic Nacional (CCN), el qual ens ofereix varis documents per la seva implantació i verificació:
  • Guia d’implementació de l’ENS: és un document que proporciona orientació i instruccions detallades per ajudar les organitzacions a implementar els requisits i les mesures de seguretat establerts per l’ENS a Espanya. Aquest document és fonamental per a aquelles organitzacions que estan obligades a complir amb l’ENS i volen assegurar-se que les seves pràctiques de seguretat estiguin en línia amb els requisits estatals. La Guia d’Implementació de l’ENS aborda qüestions com la gestió d’accessos, la seguretat de la informació, les polítiques de contrasenyes i moltes altres àrees de la ciberseguretat. És una eina essencial per a les organitzacions que volen assegurar la protecció de les dades i la informació sensible. El document es pot trobar en el seguent enllaç: tinyurl.com/3zee84ut.
  • Verificació de Compliment de l’ENS: Per avaluar si les organitzacions compleixen amb els requisits de l’Esquema Nacional de Seguretat, es fa servir la Guia de Verificació de Compliment de l’ENS. Aquesta guia proporciona una estructura i una metodologia per realitzar auditories i verificacions de seguretat. És utilitzada per auditors i professionals de seguretat per assegurar-se que les organitzacions compleixin amb els estàndards de seguretat establerts per l’ENS. La Guia de Verificació és una eina important per garantir la conformitat amb les normatives de seguretat estatals i protegir la informació de manera efectiva. El document es pot trobar en el següent enllaç: tinyurl.com/mczztwuc.

  Esquema Nacional de Seguridad (ENS)

  En el següent enllaç, trobareu una infografia que resumeix el contingut de l’ENS: shorturl.at/fNOY8.

• ISO 27001. És un estàndard internacional que estableix requisits i directrius per a la gestió de la seguretat de la informació en una organització. Aquest estàndard és àmpliament reconegut i utilitzat a escala mundial per a establir sistemes de gestió de seguretat de la informació efectius. ISO 27001 proporciona un marc per identificar, avaluar i gestionar els riscos de seguretat de la informació i garantir que les mesures adequades estiguin en joc per protegir-la. La certificació ISO 27001 és una evidència de la implantació de bones pràctiques de seguretat de la informació i té un reconeixement mundial de primer nivell. La certificació de l’ISO es realitza mitjançant la contractació d’empreses certificadores.

La comprensió dels estàndards de ciberseguretat i la seva aplicació correcta són fonamentals per a la protecció de les organitzacions i la informació en l’entorn digital actual. El coneixement d’entitats reguladores i recursos disponibles pot ser un pas important en aquesta direcció.

Els plans de ciberseguretat són documents crucials per a les organitzacions i les empreses que desitgen protegir-se contra amenaces cibernètiques. Aquesta lliçó aborda la definició dels plans de ciberseguretat, l’estructura d’un pla de ciberseguretat i els recursos disponibles per ajudar a crear-ne un.

Un pla de ciberseguretat segueix una estructura determinada i ha d’incloure els següents elements:

1. Introducció: una visió general del propòsit i l’abast del pla, així com una declaració de la importància de la ciberseguretat per a l’organització.
2. Objectius: establiment d’objectius concrets de seguretat que l’organització vol aconseguir amb la implementació del pla.
3. Àmbit i Context: definició de l’àmbit del pla i la identificació de les amenaces cibernètiques rellevants i els actius a protegir.
4. Polítiques de Seguretat: establiment de polítiques que guiaran les pràctiques de seguretat, incloent-hi l’ús de contrasenyes segures, les pràctiques de gestió d’accessos i altres directrius importants.
5. Procediments i Mesures de Seguretat: descripció detallada de les accions específiques que s’han d’implementar per protegir els sistemes i les dades, com ara la implementació de firewalls, l’ús de programaris antivirus i els processos de gestió d’incidents.
6. Gestió de Riscos: identificació i avaluació dels riscos de seguretat, així com estratègies per mitigar-los i una planificació de resposta a incidents.
7. Formació i Consciència en Ciberseguretat: programa de formació i consciència per a tot el personal per assegurar que siguin conscients de les amenaces i les millors pràctiques de seguretat.
8. Monitoratge i Avaluació: establiment de mecanismes de control i auditoria per garantir el compliment de les polítiques i les mesures de seguretat.
9. Planificació de Continuïtat de Negoci: estratègia per garantir la continuïtat de les operacions de l’empresa en cas d’atacs o incidents de seguretat importants.
10. Comunicació i Notificació d’Incidents: procediments per comunicar i gestionar incidents de seguretat, incloent-hi la notificació a les parts interessades.

La creació d’un pla de ciberseguretat pot ser un procés complex, i és important disposar dels recursos adequats. Algunes fonts de recursos valuosos inclouen:

• Instituto Nacional de Ciberseguridad (INCIBE). Aquest organisme ofereix guies i recursos gratuïts per a la creació de plans de ciberseguretat. Aquestes guies es poden trobar a: tinyurl.com/336tev2c.
• National Institute of Standards and Technology at the U.S. Department of Commerce (NIST). Les directrius i els marcs de ciberseguretat del NIST poden ser útils per a l’elaboració de plans de seguretat. Aquests es poden trobar a: tinyurl.com/uprphszj.
• Consultors i Experts en Ciberseguretat. Contractar professionals en ciberseguretat pot ser una opció si es necessita ajuda especialitzada.
• Formació en Ciberseguretat. La formació en ciberseguretat per al personal és fonamental per a la implementació efectiva del pla.

Un pla de ciberseguretat ben dissenyat és un element essencial per protegir les organitzacions i les empreses contra les amenaces cibernètiques en un món digital en constant evolució. La inversió en temps i recursos per crear i implementar aquests plans pot prevenir incidents costosos i protegir la reputació de l’organització.