Todos los expertos que participaron en el evento «Summit I Ciberserguridad d3c0dificada» para la protección de datos resaltaron la importancia de la formación en la prevención de ciberataques y protección de información. ¿Considera que las empresas privadas y públicas en España están haciendo lo suficiente para protegerse?
Creo que aún queda mucho que hacer en cuestiones de seguridad en general. Y no solo por el hecho de que todavía hay pocos profesionales especializados en seguridad, sino también porque no se da la formación adecuada al usuario final, que muchas veces es el más vulnerable.
Dicho esto, la principal amenaza de cualquier organización es la interacción que tienen sus usuarios finales con las aplicaciones que se conectan a cualquier sistema de datos. La negligencia, la mala conducta y la supervisión causan a las organizaciones miles de millones en pérdidas en todo el mundo; y, en ocasiones, estos errores comunes terminan por derribar a las empresas por completo. De hecho, los hackeos más conocidos en los últimos años se han producido debido a la falta de seguridad del usuario final. Por eso, educarlo es crucial para eliminar el mayor riesgo de seguridad.
¿Qué se puede hacer para que esa labor de formación y concienciación de la que habla sea efectiva?
Los controles de seguridad para el aspecto humano deben incluir una capacitación y concienciación sobre ciberseguridad que se someta a revisiones periódicas y pruebas frecuentes. Este proceso reduce significativamente la superficie de ataque de un negocio, organismo o entidad.
Muchas empresas pasan por alto las actividades de capacitación y concienciación sobre la seguridad. Generalmente solo se asigna tiempo y recursos de formación para fines relacionados con la funcionalidad del sistema. A medida que las entidades se vuelven más interconectadas y las amenazas cibernéticas y las vulnerabilidades aumentan, es de vital importancia para las organizaciones asegurarse de que requieren y admiten entrenamiento específico de seguridad.
En un simulacro organizado por la Agencia Europea de Ciberseguridad, España pasó con buena nota. Sin embargo, últimamente los ataques se han multiplicado, incluso en las infraestructuras críticas, que sabemos poseen un Plan de Seguridad del Operador (PSO) y Planes de Protección Específicos (PPE) que incluyen la ciberseguridad. ¿Qué recomendación o sugerencias puede hacer a los responsables de ciberseguridad de estas infraestructuras?
Que haya un plan de seguridad es independiente del aumento del número de ataques. Estos prevalecen por sector o interés específico más allá de cómo se esté implementando la seguridad. Organismos o industrias donde los ataques van a ser más jugosos si se realizan con éxito van a seguir siendo objetivos principales. Implementar la seguridad en los sistemas de control que se utilizan en sectores como el petróleo, el gas o las telecomunicaciones, por ejemplo, suele ser bastante desafiante, aunque no lo parezca a simple vista por su naturaleza de múltiples capas.
Lo recomendable siempre es aplicar un plan de seguridad proactivo que incluya: formación y concienciación, evaluación de amenazas y riesgos, identificación y administración de activos, controles de seguridad, administración de vulnerabilidades, respuesta a incidentes, y políticas y procedimientos de seguridad.
El Delegado de Protección de Datos es el profesional encargado de velar por el tratamiento y seguridad de los datos, pero si, como dice, un gran porcentaje de los ciberataques exitosos se debe a errores o negligencias de los empleados. ¿Cómo se pueden evitar o reducir los ataques?
Apostando por la educación y concienciación, además de la adaptación de la cultura de la ciberseguridad. El usuario final siempre es el eslabón mas débil de la cadena. Es una puerta de entrada a compañías, organismos y sistemas que puede ser más fácil de abrir que sobrepasar un control técnico. La negligencia de ciberseguridad que comete un empleado suele ser inconsciente. Por eso, es clave la educación y el entendimiento de la ciberseguridad. Es responsabilidad de las empresas y organismos asegurarse de que sus empleados reciben la formación adecuada y de que se materialice en acciones y hábitos por su parte.
«No comparto la psicología del miedo para alertar de los problemas de ciberseguridad»
Como regla general, la mayoría de las personas confían en otras personas, y la comunidad de piratas informáticos lo sabe. Han aprendido a aprovecharse de la respuesta positiva y humana al contacto personal, ya sea por enviar un correo electrónico que parece ser legítimo, pero que contiene una carga maliciosa, o alguien que se presenta como un vendedor confiable o compañero de trabajo para obtener acceso a un sistema. Esto supone un riesgo mayor que puede dar lugar a acciones devastadoras para una compañía.
En una reunión entre responsables europeos de ciberseguridad un alto cargo del Ministerio del Interior británico dijo que el Reino Unido estaba a 72 horas de una catástrofe. ¿Cree que la situación global es tan apremiante?
Sí, considero que es bastante apremiante, pero no comparto la psicología del miedo como recurso para alertar sobre los problemas de ciberseguridad. La ciberseguridad hay que entenderla, no hay que temerla. Se necesita poner más énfasis en crear concienciación y extender la cultura de la ciberseguridad hasta convertirla en un hábito. Para esto hace falta entrenar a los empleados y personal técnico en protección contra el phishing (qué es y cómo detectarlo), importancia de los datos y prevención de brechas, protección del software y equipos, así como de las comunicaciones y de los dispositivos móviles. Y por último, y no menos importante, la seguridad de la privacidad en las redes sociales.
¡Sigue Leyendo!
Aquí te hemos mostrado tan solo una parte de este contenido.
¿Quieres leer el contenido completo?
