Compartir:
|
|
| |
Seguridad y Transformación Digital |
|
Por Francisco Sampalo
Lainz. Grupo de Trabajo
de Seguridad y Auditoría TI de
Crue-TIC. Universidad Politécnica
de Cartagena. |
|
![Francisco Sampalo Lainz](../imagen/boletin23/sampalo.png) |
|
Robos y filtraciones de cuentas y
contraseñas, redes de dispositivos
(bots) controlados a distancia por
un atacante, publicación de
información personal, creación de
perfiles personales a partir del
tratamiento no autorizado de
información, ataques de denegación
de servicio, “secuestros” de
nuestros ordenadores con la
correspondiente extorsión para
poder recuperar la información,
dispositivos vulnerables a ataques
masivos, difusión de noticias
falsas…
Si no teníamos pocas
preocupaciones en nuestra vida
cotidiana en una época como la
actual, ahora vengo yo a añadir
más leña al fuego.
Pero no, no es esa mi intención,
así que volvamos al principio y
sigamos el rumbo que me había
propuesto. En este artículo vamos
a hablar sobre ciberseguridad y la
relevancia que está tomando en la
Transformación digital, y
finalizaremos aplicándolo al
entorno universitario e incluso en
el ámbito particular de cada uno
de nosotros. Veremos que con unos
consejos y precauciones sencillas
podemos ser mucho más resistentes
a todas estas amenazas.
En primer lugar, os daré mi visión
particular (nada académica,
por cierto) sobre lo que yo
entiendo como “Transformación
digital.” Adelanto que no me
gustan nada las palabras y
expresiones que se ponen de moda y
que, de tanto usarlas, quedan
totalmente vacías de contenido;
“empoderamiento” y “resiliencia”
son las primeras que me vienen a
la mente… ¡Vaya, lo siento!
Esperaba no usarlas nunca, pero
al final yo también he caído en
la trampa.
Pues bien, “Transformación
digital” es otro de esos términos
que, si no moderamos o acotamos su
uso, corre el riesgo de caer en
esa poco deseable categoría del
“neolenguaje”. Para mi la
Transformación Digital es ir un
paso más allá en lo que se ha
venido llamando “digitalización” o
“informatización”. Cuando
aplicamos las tecnologías de la
información para facilitar nuestra
vida cotidiana o el funcionamiento
ordinario de nuestra empresa u
organización (por ejemplo, la
Universidad), nos estamos
“informatizando”; podemos
considerar que este proceso se
empieza a generalizar allá por los
años 70, aunque en el ámbito
particular empieza una década más
tarde con la aparición de los
primeros PCs y videojuegos. Pero
cuando la influencia de las TI es
tan grande que puede cambiar
nuestro modo de vida y la forma de
interrelacionarnos (en el ámbito
particular) o la estrategia y la
forma de prestación de los
servicios (en el ámbito
empresarial y organizativo) es
cuando ya estamos hablando de
“Transformación digital”; y este
proceso se ha acentuado en los
últimos años.
Y, naturalmente, si le damos un
papel tan relevante a las
Tecnologías de la Información,
empezamos a preocuparnos por los
riesgos que conllevan. De hecho,
asuntos directamente relacionados
con la ciberseguridad tienen el
dudoso honor de aparecer entre los
riesgos más relevantes de la
humanidad, según el informe anual
del World Economic Forum (podéis
consultar este informe en
https://www.weforum.org/reports/the-global-risks-report-2021).
Así, entre los riesgos globales de
la humanidad (reitero: RIESGOS
GLOBALES) a “corto plazo” tenemos
en el cuarto lugar los fallos de
ciberseguridad y, en el quinto,
los riesgos derivados de la
“brecha digital”. Y entre los
riesgos globales a “medio plazo”
los posibles fallos globales de la
infraestructura TI ocupan un
“privilegiado” segundo lugar,
mientras que los fallos de
ciberseguridad se mantienen dentro
del top-ten en octavo lugar.
Esto no deja de ser una muestra
más, eso sí muy significativa, de
que Transformación
Digital y preocupación por la
ciberseguridad van de la mano
, lo cual es completamente
natural: cuanto mayor es la
relevancia de las TI en nuestra
forma de vivir o en nuestra
estrategia organizativa, mayor
será la preocupación que tengamos
por los riesgos y amenazas
asociados a estas tecnologías.
Y sí, las Tecnologías de la
información son muy útiles, pero
también tienen sus
vulnerabilidades y, por lo tanto,
sus riesgos. Como podría pensarse
de una forma un tanto simplista,
estas vulnerabilidades no se deben
exclusiva o fundamentalmente a
defectos o negligencias en el
desarrollo del software o del
hardware, que también los hay y
que habría que ir corrigiendo
(pero entrar en profundidad en
esto no es objeto de este
artículo, que va cobrando vida
propia y se me está haciendo más
largo de lo que pretendía). La
propia naturaleza de las
tecnologías y los sistemas de
información dan pie a
vulnerabilidades que aumentan el
mapa de riesgos a los que están
expuestas: la automatización, la
acción a distancia, el anonimato,
la hiper-conectividad, la
complejidad inherente al software,
por sólo nombrar unas cuantas.
1. Cuidado con el
correo electrónico o chats
privados: ignorar mensajes
sospechosos y no abrir ningún
enlace o fichero adjunto en los
correos que consideremos
sospechosos.
2. Mantener
siempre actualizado nuestro
sistema operativo (sea el que sea:
Windows, IOS, Android, Linux,
etc.) y el resto de programas,
fundamentalmente el navegador. Con
esto nos evitaremos la ejecución
de malware en nuestro equipo.
3. Utilizar
contraseñas fuertes (que sean
difíciles de adivinar) y
cambiarlas regularmente o, al
menos, cuando se tengan sospechas
de que pueden haber sido
comprometidas. Así evitaremos que
suplanten nuestra identidad, el
acceso de terceros a información
privada o confidencial, robos en
cuentas bancarias, etc. Las
contraseñas deben de ser secretas
y únicas, no debemos anotarlas,
compartirlas o reutilizarlas.
4. No instalar
aplicaciones de origen
desconocido; pueden (suelen)
contener malware “incrustado”.
5. Tener
instalado y activado un antivirus
que esté debidamente actualizado.
Estos son sólo unos pocos
consejos, pero podéis encontrar
mucha y mejor información en
multitud de sitios web; entre
ellos, os voy a recomendar que
visitéis las webs de dos de las
principales instituciones cuyo
cometido es la coordinación de las
iniciativas de ciberseguridad a
nivel estatal:
- El Instituto Nacional de
Ciberseguridad (INCIBE),
orientado a la difusión y
concienciación a empresas y
ciudadanos:
https://www.incibe.es/
- El CCN-CERT, adscrito al
CNI y que es el CERT (o centro
de respuesta a incidentes de
seguridad) gubernamental
español:
https://www.ccn-cert.cni.es/comunicacion-eventos.html
¿Y qué hay de la
ciberseguridad en la
transformación digital de la
universidad? Pues más
de lo mismo: la clave, a mi
entender, está en la concienciación
de toda la comunidad
universitaria y, de
forma muy especial, de los Órganos
de gobierno. Y aquí no hago más
que hacerme eco de lo que la
legislación europea (Directiva UE
2016/1148 sobre seguridad en redes
y sistemas de información,
conocida como “Directiva NIS”) y
nacional (RD 3/2010 por el que se
regula el Esquema Nacional de
Seguridad o ENS) exponen entre sus
principios básicos: la seguridad
como un proceso integral a toda la
Organización.
Citando textualmente lo expuesto
en el Esquema Nacional de
Seguridad: “la seguridad se
entenderá como un proceso
integral constituido por todos
los elementos técnicos, humanos,
materiales y organizativos”.
La ciberseguridad debe ser una
responsabilidad de toda la
organización; por lo tanto, deben
ser los máximos Órganos de
Gobierno de la Universidad quienes
marquen las directrices y lideren
el tratamiento de la seguridad de
la información. Y entonces, surge
la pregunta: ¿Cómo deberían
hacerlo? Aquí van mis
recomendaciones:
- Deberían crear estructuras y
asignar responsabilidades
adecuadas para el gobierno y
la gestión integral de la
seguridad de la información;
- Deben tomar decisiones sobre
el nivel aceptable de riesgo
al que puede exponerse su
institución;
- Y, por último, recomiendo
promover planes de
concienciación y capacitación
en ciberseguridad para toda la
comunidad universitaria.
En resumen, nuestra concienciación
como usuarios en el uso seguro de
las TI y el liderazgo del Equipo
de Gobierno en las decisiones
estratégicas sobre ciberseguridad
son dos claves esenciales para
afrontar los riesgos en
ciberseguridad asociados a la
Transformación Digital. |
|
|