Amparo Romero: “Debemos manternos actualizados sobre as mellores prácticas de seguridade e estar alerta ante novas ameazas”

venres, 9 de xuño do 2023 S. P.

Amparo Romero é unha das profesionais encargadas de impartir o curso de formación do CPETIG, dentro do marco de colaboración coa AMTEGA, sobre o Esquema Nacional de Seguridade da información (ENS) a través da Asociación Española para la Calidad (AEC). É ademais consultora GRC en Govertis – Telefónica Tech e unha recoñecida experta na materia.
-Que é o ENS e por que é fundamental aplicalo no día a día?
-O ENS (Esquema Nacional de Seguridade) é un marco normativo establecido en España que ten por obxectivo fixar unha protección adecuada da información tratada e os servizos prestados polas entidades para asegurar o acceso, a confidenciabilidade, a integridade, a trazabilidade, a autenticidade, a dispoñibilidade e a conservación dos datos, a información e os servizos empregados por medios electrónicos que se xestionen no exercicio das súas competencias.
Cando me refiro a entidades, non particularizo só no sector público, porque ademais o ENS aplica aos sistemas que tratan información clasificada e tamén aos sistemas de información das entidades do sector privado, cando en virtude dunha relación contractual, presten servizos ou provean solucións ás entidades do sector público para o exercicio das súas competencias e potestades administrativas.
Fundamentalmente, o ENS proporciónanos unha serie de directrices e medidas de seguridade que axudan a protexer a información e os sistemas fronte a ameazas e riscos, logrando beneficios como:
-Xestión de riscos: proporciona un enfoque estruturado para identificar e xestionar os riscos de seguridade da información. Axuda ás organizacións a avaliar e mitigar os posibles riscos, minimizando así as posibilidades de materialización de ameazas e de incidentes de seguridade.
-Cumprimento normativo: O cumprimento do ENS asegura que as organizacións cumpran coas leis e regulacións relacionadas coa seguridade da información.
-Mellora continua e aumento da confianza e reputación: as organizacións demostran o seu compromiso de forma continua coa seguridade da información e xeran confianza nos usuarios e terceiros. Isto pode ter un impacto positivo na reputación da organización e nas relacións coas outras partes interesadas.
-Cales son os principais e máis recorrentes riscos aos que nos expoñemos se non aplicamos o Esquema Nacional de Seguridade?
Existen varios riscos se non aplicamos o ENS ou medidas de seguridade. Algúns dos máis destacados son os seguintes:
-Perda de datos: sen medidas de seguridade adecuadas, existe o risco de perder datos importantes, xa sexa debido a erros, fallos de hardware ou ataques cibernéticos. Isto pode resultar na perda de información confidencial, documentos importantes, arquivos persoais e profesionais, entre outros.
-Interrupción do servizo: ataques de denegación de servizo distribuído (DDoS), poden provocar a interrupción de servizos en liña e sitios web. Isto pode ter un impacto significativo nas empresas e causar a perda de ingresos, a insatisfacción dos clientes e a diminución da reputación da empresa.
-Violación da privacidade: os ciberdelincuentes poden acceder a datos persoais, como información financeira, contrasinais, correos electrónicos, historiais de navegación e perfís en redes sociais. Isto pode conducir ao roubo de identidade, extorsión, acoso en liña e outros problemas graves.
-Ataques de malware e virus: os dispositivos e sistemas non protexidos son vulnerables á infiltración de malware e virus. Estes programas maliciosos poden danar arquivos, ralentizar o rendemento do dispositivo, espiar actividades en liña e roubar información.
-Phishing e suplantación de identidade: os correos electrónicos e sitios web falsos empréganse para enganar aos usuarios e obter información persoal, como nomes de usuario, contrasinais, datos bancarios e números de tarxetas de crédito. Isto pode levar ao roubo de identidade e á realización de transaccións fraudulentas en nome da vítima.
-Vulnerabilidades en software e sistemas operativos: se non se aplican regularmente actualizacións de seguridade, os sistemas operativos e o software poden conter vulnerabilidades coñecidas que os ciberdelincuentes poden aproveitar. Estas vulnerabilidades poden permitir o acceso non autorizado ao sistema, a execución de código malicioso e o control remoto do dispositivo.
É fundamental adoptar boas prácticas de seguridade e/ou implantar o ENS.
-Son hoxe Internet e o sistema de seguridade da información menos seguros que hai uns anos? Están nacendo novos riscos?
-Internet e os sistemas de seguridade da información evolucionaron nos últimos anos, e se ben implementáronse novas medidas de seguridade, tamén xurdiron novos riscos e desafíos. En canto á seguridade en Internet, pódese dicir que existe unha constante carreira entre os avances nas tecnoloxías de seguridade e as tácticas empregadas polos ciberdelincuentes. Se ben se teñen logrado avances significativos na protección de datos e a seguridade, tamén se volveron máis sofisticados os métodos de ataque utilizados polos ciberdelincuentes.
Algúns factores que poderían contribuír á percepción de que Internet e o sistema de seguridade da información son menos seguros hoxe en día son os seguintes:
-Maior sofisticación dos ataques
-Maior interconexión e dependencia (maior superficie de ataque)
-Aumento da cantidade de datos dixitais
-Avances tecnolóxicos rápidos (o Internet das Cousas (IoT), a Intelixencia Artificial (IA) e a aprendizaxe automática (Machine Learning) que introduciu novas vulnerabilidades e desafíos de seguridade.
É esencial manterse actualizado sobre as mellores prácticas de seguridade, utilizar ferramentas de protección adecuadas e estar alerta ante as novas ameazas que poidan xurdir.
-A seguridade da información ten que ser unha das áreas clave para unha peme ou un emprendedor? Dámoslle a importancia que ten?
-A seguridade da información é clave tanto para unha peme, un emprendedor ou unha empresa de gran tamaño. Cada unha debería de adaptala ao seu tamaño, pero debería ser un piar fundamental e un dos obxectivos que terían que barallarse.
A realidade é que, analizando informes e noticias, os datos amosan que a ciberseguridade nas pemes está nun segundo plano. Invístese pouco presuposto nela e é un paradoxo porque as enquisas sitúan a España na terceira posición de hackeos e ocupamos a posición 13 dos países máis atacados a nivel mundial.
-Existe algún cálculo de cantas empresas non pasarían hoxe en día un test de ENS en España?
-Se queremos ter un dato obxectivo, podíamos reverter a pregunta e analizar a día de hoxe cantas empresas están certificadas en ENS. Se imos á web de Gobernanza da Ciberseguridade Nacional, podemos ver que o sector público conta con 250 certificacións fronte a 692 certificacións de empresas privadas. Analizando estes datos, vemos que apenas un milleiro de empresas cumpren coas esixencias do ENS.
Tamén, cabe recordar que o ámbito de aplicación do ENS vai enfocado ao sector público, aos sistemas que tratan información clasificada e aos sistemas de información das entidades do sector privado que presten servizos ou provean solucións ás entidades do sector público para o exercicio das súas competencias e potestades administrativas, polo que moitas das empresas privadas non entran dentro da aplicación do ENS e poden estar aplicando outros estándares de seguridade para protexer os sistemas de información.
-Nun caso real por onde hai que empezar: por corrixir ou por previr?
-A resposta vai depender da casuística real que teñamos, se se materializou a ameaza temos que primeiro detectar a presenza dun ciberincidente e dar resposta en tempo, polo tanto, corrixir.
Se, pola contra, aínda non se materializou a ameaza e queremos cumprir coas esixencias do ENS, teríamos que aplicar un enfoque equilibrado que combine ambas e en concreto o artigo 8, di “Prevención, detección, resposta e conservación” co obxectivo de minimizar as vulnerabilidades e acadar que as ameazas sobre o mesmo non se materialicen ou que, en caso de facelo, non afecten gravemente á información que manexa ou aos servizos que presta.
En resumo, a prevención é clave, pero non se pode confiar unicamente nela. É preciso contar cunha estratexia integral que aborde tanto a prevención como a detección, resposta, análise e corrección de incidentes de seguridade. Este enfoque holístico e equilibrado axudará a fortalecer a postura de seguridade dunha organización a longo prazo.
-Ten similitudes o ámbito profesional e o privado no noso día a día como usuarios de información?
-Todas as recomendacións que se dan a un usuario no ámbito profesional desde o punto de vista de seguridade da información son aplicables ao uso persoal. A cultura de ciberseguridade non distingue practicamente entre profesional e persoal.
Podemos ilustrar esta afirmación con exemplos, unha de las medidas de seguridade do ENS é a protección da navegación web, onde un dos requisitos é establecer unha normativa de utilización onde se concrete o uso permitido das conexións cifradas. Este caso particular, débese extrapolar ao uso persoal onde sempre se debería facer uso de protocolos https ao navegar por internet.
Outra das medidas de seguridade do ENS, é realizar accións de concienciación regulares ao persoal para informarlles das técnicas de enxeñería social más habituais. Este é outro caso que se pode aplicar ao uso persoal e evitar ser vítima dun ciberatacante.
Aínda que soe a tópico, o usuario é o chanzo máis débil na seguridade, por iso é moi importante a concienciación e formación en ciberseguridade.
-Como se está desenvolvendo o curso para o CPETIG? Que feedback aportan os alumnos?
-Como é un curso moi intenso e compactado cunha temática moi particular, quixemos enfocalo desde un punto de vista moi práctico e colaborativo, para que os alumnos apliquen os conceptos teóricos que se van explicando.
Está pensado para aplicalo a situacións reais desde un punto de vista docente e tendo en conta a limitación de tempo do que dispoñemos. A maioría dos alumnos son moi participativos e moitos van comentando as situacións particulares que teñen no seu ámbito profesional concreto.
-Cales son as preguntas máis frecuentes dos alumnos?
-As preguntas máis frecuentes son o ámbito de aplicación do ENS, que ferramenta pon a disposición o CCN para abordar a implantación do ENS e algunhas medidas de seguridade concretas relacionadas sobre todo co marco operacional e medidas de protección.
-No caso de Galicia o grao de implantación do ENS, as preocupacións e consultas son iguais que noutras rexións de España ou se poden identificar áreas específicas ou diferenciadas?
-Na miña opinión persoal, moitas das consultas e preocupacións que xorden son comúns independentemente da rexión que ocupen. No caso particular do grao de implantación do ENS en Galicia, podería afirmar que o sector público institucional galego está moi comprometido co ENS, tendo varios servizos xa certificados e segundo me consta dispón dun equipo multidisciplinar para impulsar o novo ENS e abordar os temas relativos á protección de datos e á privacidade.

Subscríbete ao noso boletín

En móbiles e tabletas

Redes sociais

Amparo Romero: “Debemos manternos actualizados sobre as mellores prácticas de seguridade e estar alerta ante novas ameazas”

Na mesma sección

O MUVI acolleu a presentación dun libro que trata a relación entre videoxogos e educación

A Deputación da Coruña e os concellos coincidiron na necesidade de xuntar forzas para protexerse dos ciberataques

A Cámara de Santiago móstranos como crear imaxes comerciais con IA

A ESEI acolleu a 1ª xuntanza dun proxecto para mellorar a detección de cancro colorrectal con IA

O iPhone estrea tenda de aplicacións de terceiros en Europa: AltStore PAL

O ecosistema emprendedor galego recollido nunha páxina web

A Xunta convida a Ineo a participar activamente na elaboración do plan director do sector TIC

A mocidade de Bacharelato do Colexio Peleteiro mergúllase na IA da man do CITIC

PUBLICIDADE