En una era cada vez más digital y marcada por la desinformación y las noticias falsas, el gran desafío es generar confianza en la tecnología misma.
Pocos de nosotros hoy desconocemos la importancia de la ciberseguridad y la amenaza de los ciberataques en nuestras computadoras, teléfonos inteligentes y otros dispositivos. Se nos recuerda constantemente que nunca divulguemos contraseñas y que estemos atentos a los correos electrónicos no deseados y de phishing que intentan manipularlo para que divulgue información personal, como contraseñas, datos bancarios, seguridad social o información médica.
Esta forma de robo de identidad, aunque preocupante, se vuelve aún más siniestra cuando se dirige a los gobiernos y otras instituciones importantes. "Ver es engañar" es el eslogan de una popular serie de televisión de la BBC, The Capture , que explora el impacto de la tecnología deepfake, descrita como la respuesta del siglo XXI al Photoshopping, que amenaza la seguridad nacional, sacude los cimientos del estado, destruye la confianza y crea dudamos de la realidad.
Inverosímil en muchos aspectos, tal vez, pero a medida que nos adentramos más en la era de la Cuarta Revolución Industrial, el programa destaca los riesgos y amenazas potenciales de tecnologías cada vez más sofisticadas y que cambian rápidamente.
El costo global del cibercrimen alcanzará los 10,5 billones de dólares anuales para 2025.
Priorizando el riesgo
Según el informe Global Cybersecurity Outlook 2022 del Foro Económico Mundial , la falla de la infraestructura como resultado de un ataque cibernético es la preocupación número uno para los líderes cibernéticos, por delante del robo de identidad. El informe también indica que, si bien el 85 % de los ciberlíderes está de acuerdo en que la resiliencia cibernética es una prioridad para su organización, sigue siendo un gran desafío obtener el apoyo de los responsables de la toma de decisiones al priorizar tales riesgos frente a muchos otros. Este desafío no debe tomarse a la ligera. La revista CyberCrime dice que los ataques cibernéticos podrían deshabilitar la economía de una ciudad, estado o país entero y afirma que el costo global del delito cibernético alcanzará los USD 10,5 billones anuales para 2025.
La ciberseguridad no es nueva, pero en nuestro mundo cada vez más interconectado y fragmentado, los riesgos para las personas, las organizaciones, los servicios y los sistemas de los ataques cibernéticos nunca han sido mayores. A medida que la tecnología ha crecido en sofisticación, también lo han hecho los ciberdelincuentes. La incertidumbre abunda y la confianza es un bien escaso. La confianza y la garantía de que nuestros sistemas son seguros es ahora un requisito básico y dos estándares internacionales, ISO/IEC 15408 e ISO/IEC 18045 para tecnología de la información, pueden ayudar a restaurar esa confianza.
Los estándares funcionan juntos “como los pedales de una bicicleta”, dice Miguel Bañón, experto en evaluación y certificación de seguridad cibernética y coordinador del grupo de trabajo sobre evaluación, prueba y especificación de seguridad, que opera bajo la dirección conjunta de ISO y International Electrotechnical. Comisión ( CEI ). ISO/IEC 15408 establece los criterios de evaluación para la seguridad de TI, mientras que ISO/IEC 18045, el documento complementario, define la metodología para la evaluación de la seguridad de TI. Sin embargo, a efectos prácticos, son lo mismo.
Para tener éxito en el mercado, tienes que lograr la confianza de tus clientes.
Revisión oportuna
La reciente revisión de las normas no podría haber sido más oportuna, evolucionando para satisfacer las nuevas y complejas necesidades de la época. “El grupo de trabajo se está enfocando en el aseguramiento de la tecnología, la certificación de pruebas y el suministro de estándares para garantizar que la tecnología en sí sea segura”, dice Bañón. “Esta es una parte importante de la solución”. Los estándares también ayudan a administrar la información y adoptar un enfoque holístico, pero la base básica es que la tecnología es segura.
Para tener éxito en el mercado, tienes que lograr la confianza de tus clientes. Esto es tan cierto para la tecnología como para cualquier otro producto. Con una vertiginosa variedad de nuevos productos que llegan al mercado muy rápidamente, como los vehículos conectados, por ejemplo, ¿cómo puede confiar en un vehículo conectado que se conduce solo si no tiene la seguridad de que funcionará correctamente?
Como dice Bañón, con las normas ISO/IEC 15408 e ISO/IEC 18045, “estamos proporcionando la mejor y única forma, acordada internacionalmente, de cómo probar y evaluar la seguridad de productos y sistemas”. Señala que lo que alguna vez fue un área de nicho ahora se está convirtiendo en la corriente principal y el propio mercado está poniendo la ciberseguridad por delante como un requisito. Los tomadores de decisiones y los líderes ahora tienen que intensificar y priorizar los riesgos cibernéticos.
El propio mercado está poniendo la ciberseguridad por adelantado como un requisito.
Construyendo resiliencia
A nivel de gobierno, esto es algo que se está reconociendo cada vez más. Bañón dice que un resultado positivo de esta explosión de preocupaciones sobre seguridad cibernética ha llevado, por ejemplo, a la legislación nueva y futura en la Unión Europea para fortalecer los sistemas de seguridad cibernética. “La Ley de Ciberseguridad de la UE proporciona un marco para los esquemas de certificación a nivel europeo. En el pasado, si tenías que certificar la seguridad de tu producto, podías hacerlo en base a esquemas nacionales”, dice. “Ahora, por primera vez, habrá un esquema de certificación paneuropeo para productos y este nuevo esquema se basa en ISO/IEC 15408”.
Como él señala, la seguridad de TI no es nueva y la aplicación pasada de los estándares ha tenido un impacto positivo en los productos del mercado. Él dice: “Los productos que normalmente han logrado el cumplimiento de los estándares, como los sistemas operativos o los dispositivos de red, han evolucionado y mejorado hasta el punto de que los piratas informáticos han tenido que apuntar a productos/superficies de ataque “más fáciles”.
El cumplimiento de ISO/IEC 15408 requiere un alto nivel de madurez, un alto nivel de resistencia contra ataques. Cuando escuchamos noticias sobre brechas importantes de seguridad cibernética hoy, Bañón dice que existe una alta probabilidad de que estos piratas informáticos estén explotando productos que no han sido certificados o analizados por este estándar. “Si eres un hacker, tiendes a buscar el eslabón más débil de la cadena y, hoy en día, la ruta más fácil es a través de productos que no han sido certificados según el estándar”.
Independiente e imparcial
Todo es cuestión de confianza. Dice Bañón: “En nuestros estándares, la confianza se da luego de una revisión muy rigurosa, independiente e imparcial de un producto y luego de un proceso de evaluación y certificación”. Así como no puede, y no querría, comprar una lavadora que no cumpla con los requisitos de seguridad, el cumplimiento de estos estándares, “que están impulsados por las necesidades del mercado y son la base de los esquemas de ciberseguridad más exitosos de todos”. en todo el mundo”, ofrece protección contra choques desagradables y brindará tranquilidad.
Fuente: iso.org
