Amparo Romero: “Debemos manternos actualizados sobre as mellores prácticas de seguridade e estar alerta ante novas ameazas”
venres, 9 de xuño do 2023
Amparo Romero é unha das profesionais
encargadas de impartir o curso de formación do
CPETIG, dentro do marco de colaboración coa AMTEGA, sobre o Esquema Nacional de
Seguridade da información (ENS) a través da
Asociación Española para la Calidad (AEC). É ademais consultora GRC en Govertis –
Telefónica Tech e unha recoñecida experta na materia.
-Que
é o ENS e por que é fundamental aplicalo no día a día?
-O
ENS (Esquema Nacional de Seguridade) é un marco normativo
establecido en España que ten por obxectivo fixar unha protección
adecuada da información tratada e os servizos prestados polas
entidades para asegurar o acceso, a confidenciabilidade, a
integridade, a trazabilidade, a autenticidade, a dispoñibilidade e a
conservación dos datos, a información e os servizos empregados por
medios electrónicos que se xestionen no exercicio das súas
competencias.
Cando
me refiro a entidades, non particularizo só no sector público,
porque ademais o ENS aplica aos sistemas que tratan información
clasificada e tamén aos sistemas de información das entidades do
sector privado, cando en virtude dunha relación contractual, presten
servizos ou provean solucións ás entidades do sector público para
o exercicio das súas competencias e potestades administrativas.
Fundamentalmente,
o ENS proporciónanos unha serie de directrices e medidas de
seguridade que axudan a protexer a información e os sistemas fronte
a ameazas e riscos, logrando beneficios como:
-Xestión
de riscos:
proporciona un enfoque estruturado para identificar e xestionar os
riscos de seguridade da información. Axuda ás organizacións a
avaliar e mitigar os posibles riscos, minimizando así as
posibilidades de materialización de ameazas e de incidentes de
seguridade.
-Cumprimento
normativo:
O cumprimento do ENS asegura que as organizacións cumpran coas leis
e regulacións relacionadas coa seguridade da información.
-Mellora
continua e aumento da confianza e reputación:
as organizacións demostran o seu compromiso de forma continua coa
seguridade da información e xeran confianza nos usuarios e
terceiros. Isto pode ter un impacto positivo na reputación da
organización e nas relacións coas outras partes interesadas.
-Cales
son os principais e máis recorrentes riscos aos que nos expoñemos
se non aplicamos o Esquema Nacional de Seguridade?
Existen
varios riscos se non aplicamos o ENS ou medidas de seguridade. Algúns
dos máis destacados son os seguintes:
-Perda
de datos:
sen medidas de seguridade adecuadas, existe o risco de perder datos
importantes, xa sexa debido a erros, fallos de hardware ou ataques
cibernéticos. Isto pode resultar na perda de información
confidencial, documentos importantes, arquivos persoais e
profesionais, entre outros.
-Interrupción
do servizo:
ataques de denegación de servizo distribuído (DDoS), poden provocar
a interrupción de servizos en liña e sitios web. Isto pode ter un
impacto significativo nas empresas e causar a perda de ingresos, a
insatisfacción dos clientes e a diminución da reputación da
empresa.
-Violación
da privacidade:
os ciberdelincuentes poden acceder a datos persoais, como información
financeira, contrasinais, correos electrónicos, historiais de
navegación e perfís en redes sociais. Isto pode conducir ao roubo
de identidade, extorsión, acoso en liña e outros problemas graves.
-Ataques
de malware
e
virus: os dispositivos e sistemas non protexidos son vulnerables á
infiltración de malware
e
virus. Estes programas maliciosos poden danar arquivos, ralentizar o
rendemento do dispositivo, espiar actividades en liña e roubar
información.
-Phishing
e suplantación de identidade: os correos electrónicos e sitios web
falsos empréganse para enganar aos usuarios e obter información
persoal, como nomes de usuario, contrasinais, datos bancarios e
números de tarxetas de crédito. Isto pode levar ao roubo de
identidade e á realización de transaccións fraudulentas en nome da
vítima.
-Vulnerabilidades
en software e sistemas operativos: se non se aplican regularmente
actualizacións de seguridade, os sistemas operativos e o software
poden conter vulnerabilidades coñecidas que os ciberdelincuentes
poden aproveitar. Estas vulnerabilidades poden permitir o acceso non
autorizado ao sistema, a execución de código malicioso e o control
remoto do dispositivo.
É
fundamental adoptar boas prácticas de seguridade e/ou implantar o
ENS.
-Son
hoxe Internet e o sistema de seguridade da información menos seguros
que hai uns anos? Están nacendo novos riscos?
-Internet
e os sistemas de seguridade da información evolucionaron nos últimos
anos, e se ben implementáronse
novas medidas de seguridade, tamén xurdiron novos riscos e
desafíos. En canto á seguridade en Internet, pódese dicir que
existe unha constante carreira entre os avances nas tecnoloxías de
seguridade e as tácticas empregadas polos ciberdelincuentes. Se ben
se teñen logrado avances significativos na protección de datos e a
seguridade, tamén se volveron máis sofisticados os métodos de
ataque utilizados polos ciberdelincuentes.
Algúns
factores que poderían contribuír á percepción de que Internet e o
sistema de seguridade da información son menos seguros hoxe en día
son os seguintes:
-Maior
sofisticación dos ataques
-Maior
interconexión e dependencia (maior superficie de ataque)
-Aumento
da cantidade de datos dixitais
-Avances
tecnolóxicos rápidos (o Internet das Cousas
(IoT), a Intelixencia
Artificial
(IA) e a aprendizaxe automática (Machine
Learning)
que introduciu novas vulnerabilidades e desafíos de seguridade.
É
esencial manterse actualizado sobre as mellores prácticas de
seguridade, utilizar ferramentas de protección adecuadas e estar
alerta ante as novas ameazas que poidan xurdir.
-A
seguridade da información ten que ser unha das áreas clave para
unha peme ou un emprendedor? Dámoslle a importancia que ten?
-A
seguridade da información é clave tanto para unha peme, un
emprendedor ou unha empresa de gran tamaño. Cada unha debería de
adaptala ao seu tamaño, pero debería ser un piar fundamental e un
dos obxectivos que terían que barallarse.
A
realidade é que, analizando informes e noticias, os datos amosan que
a ciberseguridade nas pemes está nun segundo plano. Invístese pouco
presuposto nela e é un paradoxo
porque as enquisas sitúan a España na terceira posición de hackeos
e ocupamos a posición 13 dos países máis atacados a nivel mundial.
-Existe
algún cálculo de cantas empresas non pasarían hoxe en día un test
de ENS en España?
-Se
queremos ter un dato obxectivo, podíamos reverter a pregunta e
analizar a día de hoxe cantas empresas están certificadas en ENS.
Se imos á web de Gobernanza da Ciberseguridade Nacional, podemos ver
que o sector público conta con 250 certificacións fronte a 692
certificacións de empresas privadas. Analizando estes datos, vemos
que apenas un milleiro de empresas cumpren coas esixencias do ENS.
Tamén,
cabe recordar que o ámbito de aplicación do ENS vai enfocado ao
sector público, aos sistemas que tratan información clasificada e
aos sistemas de información das entidades do sector privado que
presten servizos ou provean solucións ás entidades do sector
público para o exercicio das súas competencias e potestades
administrativas, polo que moitas das empresas privadas non entran
dentro da aplicación do ENS e poden estar aplicando outros
estándares de seguridade para protexer os sistemas de información.
-Nun
caso real por onde hai que empezar: por corrixir ou por previr?
-A
resposta vai depender da casuística real que teñamos, se se
materializou a ameaza temos que primeiro detectar a presenza dun
ciberincidente e dar resposta en tempo, polo tanto, corrixir.
Se,
pola contra, aínda non se materializou a ameaza e queremos cumprir
coas esixencias do ENS, teríamos que aplicar un enfoque equilibrado
que combine ambas e en concreto o artigo 8, di “Prevención,
detección, resposta e conservación” co obxectivo de minimizar as
vulnerabilidades e acadar que as ameazas sobre o mesmo non se
materialicen ou que, en caso de facelo, non afecten gravemente á
información que manexa ou aos servizos que presta.
En
resumo, a prevención é clave, pero non se pode confiar unicamente
nela. É preciso contar cunha estratexia integral que aborde tanto a
prevención como a detección, resposta, análise e corrección de
incidentes de seguridade. Este enfoque holístico e equilibrado
axudará a fortalecer a postura de seguridade dunha organización a
longo prazo.
-Ten
similitudes o ámbito profesional e o privado no noso día a día
como usuarios de información?
-Todas
as recomendacións que se dan a un usuario no ámbito profesional
desde o punto de vista de seguridade da información son aplicables
ao uso persoal. A cultura de ciberseguridade non distingue
practicamente entre profesional e persoal.
Podemos
ilustrar esta afirmación con exemplos, unha de las medidas de
seguridade do ENS é a protección da navegación web, onde un dos
requisitos é establecer unha normativa de utilización onde se
concrete o uso permitido das conexións cifradas. Este caso
particular, débese extrapolar ao uso persoal onde sempre se debería
facer uso de protocolos https ao navegar por internet.
Outra
das medidas de seguridade do ENS, é realizar accións de
concienciación regulares ao persoal para informarlles das técnicas
de enxeñería social más habituais. Este é outro caso que se pode
aplicar ao uso persoal e evitar ser vítima dun ciberatacante.
Aínda
que soe a tópico, o usuario é o chanzo máis débil na seguridade,
por iso é moi importante a concienciación e formación en
ciberseguridade.
-Como
se está desenvolvendo o curso para o CPETIG? Que feedback
aportan os alumnos?
-Como
é un curso moi intenso e compactado cunha temática moi particular,
quixemos enfocalo desde un punto de vista moi práctico e
colaborativo, para que os alumnos apliquen os conceptos teóricos que
se van explicando.
Está
pensado para aplicalo a situacións reais desde un punto de vista
docente e tendo en conta a limitación de tempo do que dispoñemos. A
maioría dos alumnos son moi participativos e moitos van comentando
as situacións particulares que teñen no seu ámbito profesional
concreto.
-Cales
son as preguntas máis frecuentes dos alumnos?
-As
preguntas máis frecuentes son o ámbito de aplicación do ENS, que
ferramenta pon a disposición o CCN para abordar a implantación do
ENS e algunhas medidas de seguridade concretas relacionadas
sobre todo co marco operacional e medidas de protección.
-No
caso de Galicia o grao de implantación do ENS, as preocupacións e
consultas son iguais que noutras rexións de España ou se poden
identificar áreas específicas ou diferenciadas?
-Na
miña opinión persoal, moitas das consultas e preocupacións que
xorden son comúns independentemente da rexión que ocupen. No
caso particular do grao de implantación do ENS en Galicia, podería
afirmar que o sector público institucional galego está moi
comprometido co ENS, tendo varios servizos xa certificados e segundo
me consta dispón dun equipo multidisciplinar para impulsar o novo
ENS e abordar os temas relativos á protección de datos e á
privacidade.