Primero, una confesión: estoy haciendo el curso de certificación en ciberseguridad de Google. No. No te confundas. No lo digo para alardear. Lo digo para justificar este artículo. Esto no es otra cosa que mis apuntes.
Y no porque quiera dedicarme a desactivar bombas virtuales o hackear sistemas ultraseguros (¡no me veo con esa capa!). Lo hago para fortalecer mis conocimientos en un área que me interesa mucho más: la ciencia de datos. Pero claro, cuando te metes en este mundillo, empiezas a darte cuenta de lo poquito que sabes.
¿Sabes configurar un proxy? ¡Genial! ¿Entiendes qué es el tráfico de red? Perfecto. ¿Sabes usar el doble factor de autenticación? Impresionante… hasta que te cruzas con alguien que “de verdad” está en ciberseguridad, de esos que desmenuzan protocolos con la misma facilidad con la que tú desmenuzas un pollo asado.
Y ahí estás, con tu humilde conocimiento, sintiéndote como el becario del equipo. Respeto absoluto por estos genios, sean del lado oscuro o del luminoso. Esto es algo que repetiré en cada artículo con apuntes que publique. Sin duda alguna.
Ahora, una cosa sí que tengo clara. Ciberseguridad no va de crear complicados comandos de línea desde un sótano con poca luz y ventilación. Ciberseguridad es un área de la informática amplio, protocolizado, armado y estructurado, con sentido y propósitos únicos. Y si bien ya contaba con conocimientos como configurar un Windows Server, un IIS, un proxy, un Active Directory, manejar Linux, SQL, Python y otras delicatessen, éstos son solo las herramientas para algo más grande y estructurado.
La formación no me está aportando tanto lo que podrían ser secretos de código sino una manera de ver y ordenar la ciberseguridad como ese todo que no había sabido ver.
Pero bueno, dejando las filosofadas a un lado, hablemos de lo que importa: frameworks y controles.
Sí, dos palabritas que suenan muy elegantes, pero que básicamente se traducen en: «guías para que no se te vaya todo al garete».
Frameworks: El manual de instrucciones (que nadie lee pero todos necesitan)
Un framework no es más que un conjunto de reglas y buenas prácticas para proteger tus datos y tu privacidad. Es como ese manual que te dan con un mueble de IKEA: si lo sigues, todo debería quedar bien (en teoría).
Por ejemplo, en el sector salud de Estados Unidos, los médicos tienen que seguir el marco legal HIPAA para garantizar que nadie pueda espiar tus radiografías o echarle un ojo a tus análisis de sangre.
Un buen framework te ayuda a cumplir las leyes, mantener a los abogados contentos y a dormir tranquilo por la noche.
Los frameworks pueden ser voluntarios, como los dictados por la NIST. O pueden ser obligatorios como los marcos normativos establecidos por los órganos competentes de cada Estado.
Controles: El perro guardián
Ahora bien, los controles son las herramientas que usas para aplicar esas guías. Si el framework te dice que la puerta debe estar cerrada, el control es el candado que pones.
Un ejemplo sencillo: para cumplir con HIPAA, un hospital podría obligar a los pacientes a usar autenticación multifactor (MFA, como las dichosas claves que llegan a tu móvil). ¿Que es un rollo? Sí, pero más rollo sería que alguien se meta en tus datos médicos porque usaste “1234” como contraseña.
Ejemplos de frameworks y controles
Veamos algunos frameworks que están dando la talla en este circo cibernético:
- Cyber Threat Framework (CTF)
Este framework es el «idioma común» del mundo cibernético. Básicamente, la Oficina del Director de Inteligencia Nacional de EE. UU. dijo: “Vamos a hablar todos el mismo lenguaje para que entendamos qué está pasando con las amenazas.” ¿Resultado? Profesionales de ciberseguridad más eficientes y menos caos en el intercambio de información. - ISO/IEC 27001
El estándar internacional para gestionar la seguridad de activos como dinero, datos de empleados o secretos industriales. Es como un buffet: no te obliga a comer todo, pero te da un menú muy completo de controles que puedes usar para protegerte. ¿Te preocupa que alguien robe tus ideas millonarias? ¡ISO 27001 al rescate!
Los controles que utilizas para poner en práctica los frameworks pueden ser físicos, técnicos o administrativos y cada uno tiene su gracia:
- Físicos: Como puertas con llave, cámaras o guardias de seguridad. La vieja escuela nunca pasa de moda.
- Técnicos: Firewalls, antivirus, o MFA. Básicamente, tus defensas digitales.
- Administrativos: Separación de tareas, autorizaciones y políticas para evitar que el becario de recursos humanos tenga acceso a tu servidor central.
Lo que importa al final es tener claro que frameworks y controles son el combo perfecto para proteger los activos de una organización, evitar multas absurdas y, con suerte, mantener alejados a los hackers. Con mucha suerte, porque siempre van por delante. Y aunque su uso suele ser voluntario, spoiler alert: no usar algo tan básico como un firewall puede costarte caro.
Así que ya sabes, por muy pequeña que sea tu empresa o tu interés por estos temas, nunca subestimes el poder de un buen control o un framework bien aplicado. Tu tranquilidad (y tus datos) te lo agradecerán.
Y aquí estoy yo, en medio de este curso, intentando no ahogarme entre términos técnicos y acrónimos imposibles. Yo que pensaba que esto iba de otorgar permisos y aprender a usar el shell de Kali Linux.
Pero bueno, si este viaje al lado oscuro de la ciberseguridad me ayuda a entender un poco más este mundillo, habrá valido la pena. ¿No?
¡Hasta la próxima!