SEVILLA (2020.06.23) La ciberseguridad es una cuestión que preocupa a empresas e instituciones, tanto públicas como privadas, especialmente en estos momentos en los que se han dado grandes pasos hacia la implantación del teletrabajo y cada vez son más las personas que se comunican a través de herramientas digitales.
Juan Ignacio Román Sánchez, profesor de la asignatura Seguridad y Alta Disponibilidad del Ciclo Superior en Administración de Sistemas Informáticos en Red –del Centro de Estudios Profesionales CEU Andalucía-, explica que “las medidas de seguridad actuales no difieren de las que ya se debían tener en cuenta antes: no instalar software de fuentes no fiables, no abrir correos de dudoso origen, no pulsar en enlaces en páginas no fiables, mantener el equipo actualizado…”
No obstante, el docente distingue entre «seguridad propiamente dicha y privacidad, ya que muchas veces somos nosotros mismos los que exponemos de forma pública datos privados en las diferentes redes sociales. En algunos países y empresas se está empezando a prohibir a sus empleados la utilización de determinadas aplicaciones (como Facebook y Whatsapp) para evitar precisamente esto”, apunta.
En este sentido, insiste en que “el problema viene cuando se utiliza un equipo personal para teletrabajar, ya que no siempre es fácil separar ambas facetas. Por otro lado, hay que tener también en cuenta que no todo el territorio nacional dispone aún de conexiones de fibra óptica y, según qué tipo de trabajo, las conexiones existentes pueden ser insuficientes para que ese trabajo sea fluido”.
Estado de falsa seguridad
En referencia a las amenazas a las que tienen que hacer frente las empresas hoy en día, el profesor advierte que “existen dos tipos de empresas: las que han sido hackeadas y las que no lo saben. Desde hace unos años las empresas se toman bastante en serio el tema de la ciberseguridad, ya que peligra directamente su negocio, aunque muchas no invierten lo suficiente en proteger sus activos y viven en un estado de falsa seguridad, a pesar de haber tenido varios toques de atención, como el ataque del WannaCry en mayo de 2017”.
Si bien es cierto que progresivamente se ha conseguido una mayor concienciación a lo largo de los últimos años, Juan Ignacio Román afirma que “aquellas empresas que ya tenían personal teletrabajando son las que mejor se han adaptado, pero incluso éstas han tenido problemas para incorporar el teletrabajo al 100% del personal. Ninguna debe caer en el error de pensar que está todo hecho; la ciberseguridad debe ser un proceso activo y continuo, o no se estará en condiciones de hacer frente a las nuevas amenazas”.
Respecto al futuro y a los principales problemas a los que nos enfrentamos en este ámbito a medio plazo, el profesor lo tiene claro: “Con cada vez más infraestructuras críticas conectadas a Internet, no cabe duda de que van a ser objetivos de ciberataques, bien por grupos terroristas o por interés de algún Estado en conflicto. Pensemos en centrales eléctricas y nucleares, centros hospitalarios y de investigación… También estamos ya inmersos en la explosión de lo que se conoce como «IoT» (Internet of Things, Internet de las cosas), donde innumerables dispositivos se conectan a la red sin cumplir los estándares de seguridad adecuados”. Explica, además, que se observa cierta tendencia a “dirigir los ataques a la cúpula directiva de las empresas, para acceder a las claves de mayor nivel”.
Señala que, para hacer frente a estas amenazas, “en España contamos con un organismo público perteneciente al Centro Nacional de Inteligencia (CNI) llamado CCN-Cert, que es el encargado de regular y coordinar el despliegue del Esquema Nacional de Seguridad (ENS) en todos los organismos públicos. Las empresas y organismos privados también pueden beneficiarse de las herramientas y manuales que el CCN-Cert publica periódicamente. Este organismo está en comunicación con instituciones similares de otros países para coordinar los esfuerzos y compartir los avances en detección de alertas y respuestas ante incidentes”.
Para finalizar, alude a su experiencia profesional y lanza una advertencia a empresas y organizaciones para evitar este tipo de ataques, “se tiende a pensar en las empresas que la ciberseguridad es un asunto del departamento TIC. Sin embargo, es algo que debe estar presente en todas las áreas y departamentos, de forma análoga al Régimen de Protección de Datos. Es recomendable facilitar formación a todo el personal para que sea consciente de las amenazas básicas a las que se está expuesto y sepa reaccionar de manera adecuada a esos peligros. De nada sirve invertir mucho dinero en el mejor sistema de protección si los empleados ponen sus claves en bonitos post-it frente al monitor”, concluye.