Para explicarlo, pone este ejemplo: “En el caso de un banco que está a punto de ser robado, la seguridad pasiva incluirá cerraduras adecuadas de puertas y ventanas, cámaras de seguridad y el personal del banco que identificará y reportará comportamientos sospechosos. La seguridad activa en esta situación serían los guardias de seguridad en las instalaciones y la cámara acorazada que funcionaría para evitar que el ladrón acceda al oro en la cámara. Nadie quiere confiar su dinero a un banco que no invierta en ambas áreas, cualquier persona optará por hacer negocios con un banco que ofrezca una gran seguridad pasiva y activa. Lo mismo ocurre con las empresas. Todas deben pensar en sí mismas como un banco cuya moneda más preciada son los datos comerciales y de los clientes. Si esta información llega a manos de los ciberdelincuentes, puede causar un daño irreparable a una empresa”.
“Ambas son críticas”, apostilla David López. En su opinión, la seguridad activa comprende todos los elementos que permiten prevenir y detectar los ciberataques, protegiendo los sistemas y las redes de una organización de la actividad maliciosa, posibles vulnerabilidades y probabilidades de brechas de datos, además de ofrecer información sobre las ciberamenazas. Mientras, a su juicio, la pasiva, todo lo destinados a bloquear el ataque y recuperar la normalidad en el mínimo tiempo posible, está formada por aquellos componentes que permiten minimizar los efectos de un ciberincidente cuando este ya se ha producido.
“Por tanto, ambas son importantes y complementarias”, concreta.
Claves para poner en marcha una y otra
Guillermo Fernández tiene claro que un plan de ciberseguridad debe tener en cuenta la combinación tanto de estrategias activas como de las pasivas, “pues de este modo se fortalece la postura de ciberseguridad de una organización, y se minimiza la posibilidad de sufrir un ataque como su impacto en caso de que ocurra. Es esencial mantenerse al día con las últimas amenazas y tecnologías para mantener un entorno ciberseguro”.
Los controles de seguridad pasiva comienzan con la formación en materia de seguridad para el personal de la empresa. En este caso, tanto los empleados como los directivos de una empresa son los principales objetivos de los ataques. Richard de la Torre explica en este sentido que los ciberdelincuentes cuentan con la falta de experiencia de las personas para facilitar el acceso inicial a la red de una organización. “La forma más común de hacerlo es a través de ataques de ingeniería social que involucran esquemas de spear-phishing realizados por correo electrónico y mensajes de texto. Con el uso de herramientas de IA, ahora es más difícil que nunca detectar estas comunicaciones fraudulentas. Los errores gramaticales habituales y las estructuras deficientes de las oraciones que delataban que un correo electrónico era de naturaleza dudosa han desaparecido. Por esta razón, los empleados deben someterse a una formación periódica de concienciación en materia de seguridad para ayudarles a identificar estas tácticas de comunicación engañosas para evitar que puedan convertirse en víctimas de este tipo de ataques”.
Puede leer aquí el reportaje completo.
