La ciberseguridad en nuestras vidas

Invitado: Juan Manuel Sánchez Mata y Pablo Crossa. Expertos en Ciberseguridad.
Vicente Almenara introduce al conferenciante de este lunes y expone el tema en sus aspectos principales. Con nosotros están esta noche, Juan Manuel Sánchez Mata y Pablo Crossa. Hoy la ciberseguridad está presente en muchos ámbitos, desde los ordenadores hasta las casas, los espacios públicos...
Ambos invitados resumieron el estado de la cuestión. Estamos sufriendo brechas de seguridad porque no tenemos conciencia o interés. Pero seguimos estando a expensas del hacker que se mete en nuestros sistemas y roba información. Cada vez son más los incidentes de ciberseguridad a los que nos enfrentamos. Ya no son las personas (hackers individuales) los que atacan los sistemas, sino los robots (bots). Lo hacen de manera indiscriminada y automatizada sin importar a quién. Esos bots se meten en los ordenadores que tengan puertas abiertas. En referencia al espionaje industrial les comento lo que dice el director de seguridad de IBM, que debemos tener una actitud paranoica para poder defendernos. Textualmente ha dicho: “Necesitamos vivir en permanente paranoia, esperar lo peor y tener un plan”. ¿Existe la ciberdelincuencia? ¿Debemos acostumbrarnos a vivir con el cibercrimen? La respuesta es sí.
 
A propósito de las alarmas de casa. Hay conciencia para que nos instalen alarmas en casas u oficinas o comercios. Pero aún no usamos suficientemente a un experto para la seguridad informática. Debemos tener una mentalidad proactiva. Recuerdo un caso de robo de archivos a una empresa,  un hacker le pidió 15.000 euros por el rescate. Por un remoto le entró un virus. Ya no existe un hacker solitario adolescente en su habitación a oscuras. Son robots tal como les he comentado. El hacker coge ‘la fruta que cuelga más bajo’. Para evitar eso hay empresas especializadas.
 
Los ataques informáticos se van multiplicando. Crecen exponencialmente. En 2014 se denunciaron unos 18.000. En 2016 fueron 115.000 ataques en 2017 más de 123.000 y la previsión es que para 2020 se triplicarán.  Habrá habido más, aunque no denunciados porque el daño, no es que fuese menor, sino por desconocimiento y asunción estoica por parte de la víctima.
Ventures ha informado que el coste de los ransomware supera ya los 4.500 millones de euros a nivel mundial, unas 15 veces más que hace dos años. De ese coste unos 20 millones son en Europa. El impacto del cibercrimen se sitúa entre el 0,6 y el 0,8 por ciento del PIB mundial. Esa cifra sobrepasa el nivel del narcotráfico muy probablemente.
 
En los tres últimos casos que hemos tratado en nuestra empresa el denominador común ha sido el no haber tomado una actitud proactiva ante la ciberseguridad.
Las empresas no han sido preventivas. Reaccionan cuando les llega el problema. Ya van pasando de una pose reactiva a proactiva. Vamos aplicando el modelo de mejora continua, que se basa en cuatro premisas. Plan de Acción, ejecutarlo, chequearlo y actuar. Se cimenta en el análisis de riesgo, identificar peligros y actuar. Tomar medidas tecnológicas, ver las amenazas y prevenir, y el impacto que pueda significar, y  si hay tales amenazas el costo para las empresas. Por tanto, el concepto de seguridad de la información ha evolucionado significativamente en los últimos años. Desde solo aplicar las medidas de seguridad mínimas, que se consideren indispensables, hasta llegar a este modelo basado en la mejora continua. Comprende un conjunto de medidas tecnológicas y no tecnológicas, aplicables al sistema de información que queramos proteger. Se atiende, por tanto, a los activos a proteger, su vulnerabilidad, las amenazas posibles y su probabilidad de que se hagan efectivas, finalmente el impacto económico de materializarse dichas amenazas.
De una forma esquemática podemos sintetizar esto así: medidas de seguridad y ciclo de vida de un ciberincidente. Medidas tecnológicas (Prevención – Detección –Respuesta). Medidas no tecnológicas (Políticas – Jurídicas – Organizativas – Formativas).
 
El mundo ha cambiado. Se ha tomado conciencia de la necesidad de adaptar la legislación a los modelos actuales del tratamiento de la información. Tenemos un nuevo reglamento de protección de datos. Se basa en cuatro principios: Transparencia – Responsabilidad proactiva – Protección de datos (diseño) – Protección de datos por defecto.
El legislador dice que quien tiene un problema debe resolverlo bajo su responsabilidad. Las empresas deben tomar el artículo 32 de ese reglamento, medidas adecuadas al riesgo, el cifrado de los datos, su revisión periódica y poder hacer copias de seguridad.  Se deben tomar medidas técnicas adecuadas al riesgo. Lleva a la necesidad a discernir cuáles son las medidas necesarias. Si hay una brecha de seguridad y la empresa no la previó, pueden caerle sanciones importantes de hasta 20 millones de euros.
Un tertuliano inicia las observaciones. Si se sufre una brecha informática y no se toman medidas hay sanciones, pero ¿existen las mismas sanciones si esos datos están en papel? Los expertos contestan que sí, han de ser medidas técnicas y organizativas adaptadas al posible riesgo…, en papel o informáticas, para que los datos no caigan en manos de los hackers.
Uno apunta. En papel es más difícil que accedan los hackers. Los especialistas sostienen que debes probar que has tomado medidas para que no se produzca esa intrusión. No te sancionan por el robo en sí, sino por no tomar medidas preventivas. El reglamento dice que debe haber la figura del responsable del tratamiento. No dice nada de si es analógico o digital. Que se tomen las medidas suficientes para prevenir. Hay que cumplir con las medidas adecuadas que señala el nuevo reglamento. No te sancionan porque te roben los expedientes o datos médicos, sino porque no haya medidas suficientes para evitar el robo.
Otro asistente sostiene que los autónomos tenemos que tener y cumplir esas medidas y eso conlleva un gasto.  Hay empresas que tendrán más gastos que otras. Depende de los datos que haya que guardar. Los invitados responden que el objetivo es reducir el coste de ser atacado. Con unos 150 euros al año se pueden resguardar los datos. No tiene por qué ser demasiado caro.
Vicente Almenara pregunta si hay algún tipo de seguro por parte de los profesionales que prestan su asesoramiento tecnológico. Los invitados contestan quer hay un sistema de chequeo, aunque los hacker se adelantan siempre. En ocasiones, son los mismos clientes quienes se autoinflingen el daño. Un sistema que aplicamos, dicen, va analizando la actividad por si hay un intruso o hacker visitando nuestros sistemas. Si el cliente se descarga un programa se autoinmola.
Otro tertuliano apunta que detrás del robo siempre había personas, ahora robots pero detrás de éstos también habrá personas.  Se le responde que actúan en redes. En torno a 170 días tardan en descubrir que tienen un espía en su empresa. Hay 300.000 víctimas de rasomware.  Hay que hacer una observación proactiva, para ganar tiempo.
Un asistente interviene. Hay dos noticias de actualidad. El ucraniano que desde Alicante sacaba dinero de los cajeros automáticos. Y el escándalo de Cambridge Analítica de uso de datos ilegales. Los expertos explican que muchos cajeros usaban Windows y es complicado cambiar todos los cajeros de España. Yo creo que falta legislación, dice uno de estos especialistas, para que los usuarios tengan unos puntos concretos, sencillos y no un legajo de páginas que nadie lee. Hay infraestructuras obsoletas, el caso de los hospitales del Reino Unido. Usan Windows XP en sus máquinas, que ya no se actualizan. El hacker va por donde puede entrar, por el escáner, por ejemplo, que no se actualiza y facilita su trabajo, por eso entraron en los cajeros…
Otro tertuliano pide la palabra. ¿El nuevo reglamento se aplica también en la administración pública? ¿Cómo se autosanciona? La respuesta es que la Administración también está sujeta a los mismos reglamentos o directrices de seguridad. Esa nueva normativa también obliga a la Administración Pública.
Vicente Almenara dice que la seguridad 10 no existe por su elevado costo. Tiene noticias de que José Luis Garci, director de cine, se ha desconectado de Internet, esa puede ser la mejor medida de seguridad, aunque la mayoría no puede permitírselo. Los especialistas opinan que son posiciones extremas. Desconectarse de las RRSS está bien, si no lo necesitas. Pero de Internet… Es descolgarse del tiempo presente. Hay hackeos también por teléfono. Te piden tu email y te envían un virus.
Otro tertuliano interviene. Los big data están relacionados con la ciberseguridad. En VoxPopuli, se publicó que una pizzería hace detección facial de sus clientes para saber sus gustos. Estamos vendidos por la tecnología. Respuesta: los datos biométricos están especialmente protegidos. Sin el consentimiento de la persona se podría cometer un delito.
En el uso de la palabra, otro pregunta qué garantías tiene un ciudadano. Ninguna. No las hay, se le responde.
Otro tertuliano dice que si sospecha no abre un programa, pero   que puede hacerlo por error. Pero hay protocolos para prevenir esos posibles errores.
Vicente Almenara explica que muchos empresarios jamás han tenido un cliente gracias a internet y las redes sociales pero nadie se atreve a confesarlo. Además, continúa, nuestro tiempo como personas es limitado, cuanto más ocupado estemos con  la tecnología menos tiempo dedicaremos a la cultura, a leer, a aquellas actividades que hacen cultas a las personas.
Hasta aquí el debate sobre el tema principal de este lunes sobre la ciberseguridad.

Añadir nuevo comentario

Plain text

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.
CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
Image CAPTCHA
Enter the characters shown in the image.

Origen de la Tertulia

La Tertulia del Congreso de Málaga vio la luz el 10 de junio de 1991 en El Árbol de Reding por iniciativa de quien esto escribe, quien convocó a algunos amigos para hablar de asuntos de actualidad y de fondo que despiertan la curiosidad intelectual...

Comentarios recientes

No hay comentarios disponibles.

Inicio de sesión

CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.
Image CAPTCHA
Enter the characters shown in the image.