01 de mayo de 2020
01.05.2020
La Opinión de Murcia
Especial
#CyberseguridadLO

"El factor humano es el eslabón más débil de la ciberseguridad"

El diario LA OPINIÓN organizó esta semana un webinar para abordar la seguridad digital en tiempos del coronavirusque ha contado con la colaboración y el patrocinio del Instituto de Fomento de la Región de Murcia, BBVA y AGE2

01.05.2020 | 10:01
"El factor humano es el eslabón más débil de la ciberseguridad"

El avance de la pandemia y sus consecuencias ha provocado cambios sustanciales en las rutinas de los ciudadanos, en el ámbito personal y laboral. Miles de trabajadores han continuado su actividad profesional desde su hogar, los profesores imparten sus clases de forma online, muchas empresas han emprendido o acelerado su carrera hacia lo que algunos ya llaman la 'superdigitalización forzosa', y consumimos, hoy más que nunca, productos y servicios de todo tipo a través del comercio o las plataformas electrónicas.

Este esfuerzo colectivo exige una adaptación sin precedentes y ha dirigido uno de sus focos de interés hacia el nivel de digitalización empresarial en la Región de Murcia y hacia las estructuras de ciberseguridad. Es por ello que el diario LA OPINIÓN ha organizado el webinar 'Los desafíos de la ciberseguridad ante el Covid-19', un foro con una clara vocación didáctica que ha tratado de iluminar un poco más el camino hacia una transformación digital con todas las garantías posibles.

La moderación de este evento correspondió a Juan José Almela, decano del Colegio Profesional de Ingenieros Técnicos en Informática y Graduados en Ingeniería Informática de la Región (Coitimur) y responsable de Sector Público de la multinacional Nutanix.

Almela aseguró en su presentación que nos enfrentamos «a un escenario desolador, uno de los episodios más difíciles de nuestro tiempo, y nos corresponde a todos liderar la recuperación económica en un momento en el que ha aumentado nuestra exposición a la tecnología de la información y por tanto al riesgo en términos de ciberseguridad».

El decano de Coitimur avanzó algunas de las claves de este foro de expertos: analizar las principales amenazas en este ámbito, la legislación vigente vinculada, las nuevas tendencias, las fake news, y los procedimientos y técnicas existentes.

Los ponentes en el evento fueronAntonio Romero, jefe del Departamento de Innovación Empresarial del INFO; Ana Gómez, responsable de Cultura de Seguridad en el BBVA; Mario Trigueros, responsable del área de Seguridad de la empresa AGE2; y Víctor Manuel Sánchez, abogado y privacy advisor en Govertis Advisory Services.

Romero enfocó su primera intervención en la ciberseguridad en el ámbito empresarial, «conforme se incrementa la digitalización empresarial, aumentan los riesgos de ciberataques». El responsable del INFO citó el estudio del McKinsey Global Institute de 2017, que estimaba que el 70% de los trabajos habrían automatizado el 30% de sus tareas clave y que esta circunstancia afectaría a entre 400 y 800 millones de empleos en el año 2030, «venimos de unos años en los que ya hemos trabajado con conceptos como el Big Data, la Industria 4.0 ó la empresa conectada, que al final son sinónimos de esta transformación digital; la llegada de esta crisis ha cambiado nuestra forma de trabajar y de relacionarnos, y ha servido como acelerador de esta transformación».

Para Romero es ahora cuando nos estamos dando cuenta de la importancia de las tecnologías de la información, «esta crisis nos ha abierto los ojos». El jefe de Innovación Empresarial aseguró que estamos entrando en una «economía sin contacto que va a cambiar los modelos de negocio, entre otras cosas porque va a cambiar el comportamiento del consumidor, y en este tipo de economía prima la eficiencia, la rebaja de costes y la capacidad de resiliencia; además de, obviamente, reducirse el contacto directo». «Todo desemboca en un incremento del comercio electrónico, el teletrabajo, la administración de datos en la nube, y eso coloca a la ciberseguridad en un primer plano, invertir en ella es tan importante como hacerlo en tecnología, ya que todo puede verse comprometido: los sistemas informáticos, las comunicaciones, y los trabajadores, que son el eslabón más débil», sostiene Antonio Romero que aconseja que todas aquellas empresas que quieran protegerse con garantías inicien una auditoria de seguridad para identificar las vulnerabilidades y confeccionar planes de inversión que permitan una rápida respuesta ante cualquier tipo de ataque.

Romero cerró su turno recordando que desde el Instituto de Fomento se está trabajando en eventos de concienciación empresarial relacionados con este contexto, como los programas de impulso a la transformación digital, o los de comercio electrónico, así como en la promoción de los habilitadores 4.0.

Cultura en Seguridad

Por su parte, la responsable de Cultura en Seguridad de BBVA, Ana Gómez, centró su presentación en la dimensión humana en este contexto de «dependencia digital» tanto a nivel personal como profesional, «y eso puede provocar incertidumbre, mucha inquietud», en cuanto a la prolongación de esta situación de confinamiento como en la propia evolución de la pandemia.

Este escenario genera una gran exposición y un enorme incremento en el tiempo de conexión, «y bajo estas circunstancias, quizá hemos bajado el nivel de alerta, de esta manera tenemos la tormenta perfecta para que la ciberdelincuencia, que muchas veces es delincuencia organizada, ataque mucho más que de costumbre». «La mayoría de los ataques están entrando por el vector humano, -asegura Ana Gómez- y es necesario trabajar para convertir a ese eslabón más débil, que es el ser humano, en la primera línea de protección, que forme parte de ese «primer escudo de defensa».

Auditorías de seguridad

Por su parte, el responsable de Seguridad de Age2, Mario Trigueros, explicó que una de las cuestiones que analizan en su sector es que si una empresa ha sacado parte de sus servicios en el cloud computing y se conectan como si fuera una extensión de la propia empresa, «cabe preguntarse qué medidas has adoptado en el cloud». En las auditorías de seguridad que se suelen realizar en AG2 no es raro encontrarse con empresas que no creen que puedan ser objeto de un ataque, según Trigueros, «pero los ciberdelincuentes no suelen buscar a una empresa concreta, sino que seleccionan aquellas que son más vulnerables, que tienen servicios en internet en sistemas no actualizados, obsoletos, por ejemplo, y las ataca o bloquea para luego pedir un rescate; si es un particular pedirá un rescate menor, si es una gran empresa aumentará el precio».

Mario Trigueros afirma que, por desgracia, observan que las empresas siguen siendo demasiado reactivas, «sólo reaccionan y toman decisiones cuando son atacadas, cuando deberían ser más proactivas, subestimar menos el riesgo», además, encuentran a empresas que han protegidos sus PC, pero no los móviles, otras que confían todo al vigilante de seguridad para la entrada y salida de datos cuando nada puede hacer ante el phishing o cuando han descubierto la contraseña (muchas veces simple); en ese sentido también hizo referencia a que el factor humano es el eslabón más débil.

El responsable de esta empresa especializada en ofrecer soluciones en infraestructuras TIC, ciberseguridad y nubes híbridas, también destacó la necesidad de incluir a los empleados en las políticas y normas de uso de los dispositivos, y en la importancia de colocar a alguien con experiencia al frente de la monitorización de los eventos. Al igual que el responsable del INFO, recomendó la realización de una auditoría de seguridad para que una empresa conozca los riesgos y establezca las medidas oportunas.

Normativa y marco legal

En su turno de palabra, el abogado Víctor Sánchez, especialista en derecho digital, puntualizó que las amenazas pueden ser internas, «en el seno de la propia organización debido al factor humano o a las vulnerabilidades de los sistemas de información», o externas referidas a ciberdelincuencia y código malicioso.

«En Govertis asesoramos a empresas sobre cómo pueden desarrollar sus negocios con una serie de medidas de seguridad, que comprenden las de tipo normativo, (con un marco legal que seguramente es mejorable pero entiendo que adecuado), como es el Reglamento General de Protección de Datos que ha venido a fortalecer la privacidad y que viene acompañado de herramientas muy útiles, los estándares de seguridad de la información, las normas ISO vinculadas, o las de seguridad en Cloud Computing, entre otras. Por otro lado, hizo referencia a las medidas tecnológicas, «algunas fundamentales y tremendamente sencillas», como tener una contraseña robusta y los sistemas actualizados, «pero sorprendentemente, esto no es así en muchas entidades, tanto del ámbito privado como del público».

A nivel organizativo, el asesor de Govertis destacó la necesidad de promover la formación entre el personal de las instituciones y empresas. Por último, aseguró que la seguridad debe ser algo continuo para que sea eficaz, y reclamó el apoyo de todos para aplicar todas estas medidas, «es un momento difícil, pero también una gran oportunidad».

Compartir en Twitter
Compartir en Facebook