Antonio Romero: «El INFO promoverá auditorías de seguridad»
A la pregunta del moderador sobre si las empresas de la Región disponen de una seguridad adecuada, el jefe de Innovación Empresarial del Instituto de Fomento aseguró que hay «muchas empresas que han invertido en tecnología, pero también son muchas las que tienen la ciberseguridad como asignatura pendiente. Tan importante es disponer de sistemas, equipos y servicios, como que estén disponibles; porque ante un ciberataque todo eso va a resultar dañado. Creo que todavía queda mucho por hacer y por invertir por parte de las empresas en esta materia».
Uno de los asistentes al webinar se interesó por conocer si Murcia dispone de un ecosistema empresarial potente para ofrecer servicios de ciberseguridad. Romero informó que «existen algunas empresas de ciberseguridad, no un gran número, pero las que están ofrecen un nivel de servicio bastante alto. Desde el INFO, vamos a publicar una convocatoria para ayudar a las empresas que entiendan que esto es una prioridad a hacer una auditoría de seguridad, en la que se aportará una subvención del 75% del coste, e incluso si hay alguna actuación derivada, podría subvencionarse también con este porcentaje».
Mario Trigueros: «Hay sistemas en Internet que lo escanean todo»
El moderador, Juan José Almela, aseguró que las empresas, se han visto obligadas a tomar decisiones apresuradas para poner a sus empleados a trabajar desde casa. En este sentido, para el responsable de Age2, Mario Trigueros, «es cierto, han aplicado soluciones muy rápidas sin tener en cuenta la seguridad». Trigueros pidió que se tuviera en cuenta que, en internet «hay sistemas que lo escanean absolutamente todo, cuál es tu IP, qué sistemas tienes publicados, con qué versión, qué y con quién eres vulnerable. El problema es que hay sistemas internos con conexión en remoto que no están pensados para eso. Algunos se conforman con implementar una VP, una conexión segura, pero no lo han conectado bien con su sistema de autentificación. Has aplicado soluciones, sí, pero no son las correctas».
Por otra parte, detalló que en las auditorías «se hacen test de intrusión, simulaciones de phishing , píldoras informativas. se evalúa la configuración de los sistemas e incluso, buscamos si existe alguna incidencia, es decir, una intrusión no detectada. Con esto no cubres todo pero tienes una foto amplia y con ello puedes establecer las prioridades».
Ana Gómez: «Hay que actualizar los dispositivos y reducir la exposición»
Consultada sobre las técnicas más habituales que utilizan los estafadores en el área digital, Ana Gómez afirmó que «están aumentando los ataques de ingeniería social, que no son más que técnicas de manipulación y engaño, tanto en entorno físico como digital. Se aprovechan de características del ser humano, que por defecto quiere ayudar y es confiado».
La responsable de Cultura en Seguridad en BBVA explicó que esas técnicas se realizan a través del phishing, correos fraudulentos, «donde se hacen pasar por organizaciones públicas, grandes empresas, o nuestra compañía de teléfonos. Ahora estamos con la campaña de la renta, pues los 'malos' también tienen su campaña de la renta a través del phishing o el smishing (a través de SMS); buscan que pinches en un enlace y des información personal o económica».
Muchas cuestiones hicieron referencia a qué comportamientos son adecuados en la red. Aquí, Gómez sostuvo que «hay algunas reglas generales, tenemos que actualizar los dispositivos, incluido el antivirus, tanto en móviles, ordenadores y tabletas. En cuanto a la privacidad, hay que rebajar el nivel de exposición de nuestra información personal en nuestras redes sociales, y no sobreexponer a los más jóvenes».
Víctor Sánchez: «Tengamos presente la normativa de protección de datos»
En cuanto a lo que podemos hacer si somos víctimas de un ataque de ransomware, Víctor Sánchez aseguró que "están ocurriendo en la Región y en alguna que otra institución pública. Es un malware que se infiltra en los sistemas de información, lo que hace es cifrarlos hasta hacerlos inaccesibles, y nos pide una cantidad económica a cambio de recuperarlos. Ante esto, lo primero es tener una copia de seguridad que la podamos recuperar de forma efectiva.
Y segundo, tener en cuenta las normativas, si trabajamos con datos de carácter personal tenemos que cumplir con una serie de obligaciones derivadas del Reglamento General de Protección de Datos o la Ley Orgánica de Protección de Datos con relación a la notificación de las fechas de seguridad y a la figura del delegado de protección de datos que tendrá un papel muy significativo. En cuanto a las formas que tenemos para la persecución de estos delitos, tengo que decir que es algo complejo; si consultas la base de datos en relación a la jurisprudencia, sólo aparecen cuatro resoluciones judiciales vinculadas con el ransomw.are. En relación a las fake news, el asesor de de Govertis indicó que «algunas encajan en tipos penales como delitos de odio o de integridad moral».
