REDSEGURIDAD 083

compañías, organismos y sistemas que puede ser más fácil de abrir que sobrepasar un control técnico. La negligencia de ciberseguridad que comete un empleado suele ser inconsciente. Por eso, es clave la educación y el entendimiento de la ciberseguridad. Es responsabili- dad de las empresas y organismos asegurarse de que sus empleados reciben la formación adecuada y de que se materialice en acciones y hábitos por su parte. Como regla general, la mayo- ría de las personas confían en El Delegado de Protección de Datos es el profesional encarga- do de velar por el tratamiento y seguridad de los datos, pero si, como dice, un gran porcentaje de los ciberataques exitosos se debe a errores o negligencias de los empleados. ¿Cómo se pue- den evitar o reducir los ataques? Apostando por la educación y con- cienciación, además de la adap- tación de la cultura de la ciberse- guridad. El usuario final siempre es el eslabón mas débil de la cade- na. Es una puerta de entrada a Generalmente solo se asigna tiem- po y recursos de formación para fines relacionados con la funciona- lidad del sistema. A medida que las entidades se vuelven más interco- nectadas y las amenazas ciberné- ticas y las vulnerabilidades aumen- tan, es de vital importancia para las organizaciones asegurarse de que requieren y admiten entrenamiento específico de seguridad. En un simulacro organiza- do por la Agencia Europea de Ciberseguridad, España pasó con buena nota. Sin embar- go, últimamente los ataques se han multiplicado, incluso en las infraestructuras críticas, que sabemos poseen un Plan de Seguridad del Operador (PSO) y Planes de Protección Específicos (PPE) que incluyen la ciberseguridad. ¿Qué reco- mendación o sugerencias puede hacer a los responsables de ciberseguridad de estas infraes- tructuras? Que haya un plan de seguridad es independiente del aumen- to del número de ataques. Estos prevalecen por sector o interés específico más allá de cómo se esté implementando la seguridad. Organismos o industrias donde los ataques van a ser más jugo- sos si se realizan con éxito van a seguir siendo objetivos principales. Implementar la seguridad en los sistemas de control que se utili- zan en sectores como el petróleo, el gas o las telecomunicaciones, por ejemplo, suele ser bastante desafiante, aunque no lo parezca a simple vista por su naturaleza de múltiples capas. Lo recomendable siempre es apli- car un plan de seguridad proactivo que incluya: formación y concien- ciación, evaluación de amenazas y riesgos, identificación y admi- nistración de activos, controles de seguridad, administración de vulne- rabilidades, respuesta a incidentes, y políticas y procedimientos de seguridad. "No comparto la psicología del miedo para alertar de los problemas de ciberseguridad" protagonista segurtic entrevista 32 red seguridad cuarto trimestre 2018