La Cámara de Comercio de Teruel organiza junto a Ibercaja una jornada centrada en la ‘Ciberseguridad en la empresa’ el próximo lunes en la sede de la capital turolense, aunque podrá seguirse también desde Alcañiz. En ella participará Enrique Ávila, director del Centro de Análisis y Prospectiva de la Guardia Civil y del Centro Nacional de Excelencia en Ciberseguridad. Nos da las claves de por qué toda persona física y jurídica debe adoptar medidas de seguridad para evitar ser objetivo de delitos informáticos.
La ultima actualización de esta noticia fue 18 Jul 2021 21:59
¿Por qué es necesario tener en cuenta la ciberseguridad?
En el tejido industrial la dependencia a la tecnología va siendo cada vez mayor. Quien no haga procesos de innovación en sus empresas no va a tener posibilidad de competir en un mercado cada vez más global. Cuando introduces la tecnología obviamente uno de los aspectos fundamentales es proteger la información, que es uno de los principales valores de cualquier empresa en el siglo XXI, y proteger los principales sistemas de información que ayudan a tomar decisiones. Esa protección se hace a través de sistemas de ciberseguridad y eso es lo que queremos trasladar al núcleo de toma de decisión de las empresas en Teruel y en toda España.
¿Tendemos a pensar que la ciberseguridad es algo que no va con nosotros?
Es una sensación absolutamente real. Todos tendemos a pensar -es un sesgo del ser humano- que nosotros no somos objetivo. Y estamos radicalmente equivocados por dos cuestiones que creo que son fundamentales. Primero: el ataque a volumen. Haciendo uso de servicios tecnológicos que también están puestos a disposición de los ‘malos’ se puede atacar sin un objetivo prefijado. Simplemente se escoge un sector o un grupo de forma generalista y puedes ciberatacar para obtener beneficios a cualquier empresa o a cualquier autónomo que esté prestando sus servicios. Y por otro lado, también es muy importante el introducir en el modelo de pensamiento de nuestros empresarios que están desarrollando su negocio en un entorno tecnológico, las ventas, la cadena logística… y esto requiere una inversión, que no un gasto, porque es algo que se suele confundir y nos lleva a tomar decisiones erróneas en nuestros modelos productivos. Hay que hacer inversiones en ciberseguridad porque una gran parte del negocio y el crecimiento se realiza haciendo uso de los medios tecnológicos y tenemos que asumir que parte de la inversión también ha de ser en ciberseguridad, claro.
Hay que tomar conciencia de que cualquier empresa o usuario puede ser objetivo...
Exactamente. Tenemos que ser conscientes de que todos podemos ser objetivo. Y tenemos que ser conscientes del valor que en un momento dado puede generar a quienes ciberatacan una desprotección por nuestra parte. Nuestro régimen industrial está conformado mayoritariamente por pequeñas y medianas empresas que ponen en el mercado productos y servicios que básicamente nos proveen a todos, y que están siempre sujetos al buen funcionamiento de una cadena logística que es cada vez más compleja y que está apoyada en la tecnología. Esa cadena logística, esa producción de bienes y servicios por parte de las empresas, tiene que estar ciberprotegida y los responsables deben de tomar como un valor adicional esa ciberprotección.
Además, supone también la vigilancia del entorno, de la competencia, y disponer de información permanentemente actualizada para podernos anticipar en cierta manera a lo que podrían ser los riesgos y amenazas que se van generando en el ciberespacio de forma continua y de manera muy rápida. Cuántas empresas en nuestro país quedarán fuera del mercado sin saber exactamente por qué, y habrá sido por un ciberataque que no han podido prever, ni siquiera intuir. Un ataque contra su reputación, un ataque contra su cadena logística, contra su red de clientes o de proveedores… De todo eso tenemos que ser conscientes, formarnos e informarnos para incorporar esos sistemas de protección a nuestra empresa.
De hecho, los delitos relacionados con el uso de Internet han crecido de forma exponencial en los últimos años...
Y más que van a crecer porque cada vez es más barato realizar este tipo de acciones contra las personas, ya sean físicas o jurídicas. Una de las cosas que caracteriza a Internet y al ciberespacio es la asimetría de recursos necesarios para causar un daño. Mientras que si tú atracas un banco tienes que arriesgar tu propia vida, conseguir armas, etc., etc.; aquí hay ya grupos de delincuentes que han transformado el ciberatacar en un negocio y cobran por ello.
Hemos sido testigos en los últimos tiempos de ciberataques contra grandes infraestructuras incluso del Estado o de otros Estados, y han dejado sin proveer de gasolina a una costa de los EE.UU. Debemos de ser conscientes de que todo eso impacta sobre nosotros y de que cuando generas un ciberataque contra un sector, aunque esté conformado por empresas muy pequeñas, puedes generar un problema muy grave en la provisión de esos bienes y servicios. Imaginemos la situación que hemos vivido cuando estábamos confinados en pandemia. Si nuestra cadena logística no hubiera funcionado y no hubiesen llegado todos los alimentos a las cadenas de distribución hubiésemos tenido un problema grave. Pues bien, eso parte de pequeñas y medianas empresas, son ellas las que tienen que seguir funcionando en situaciones de crisis, y eso requiere que invitamos en ciberseguridad.
¿Por dónde pasa esa prevención?
Hay una serie de medidas básicas, que están en todos los libros, y que hay que incorporar sí o sí. Después hay una serie de medidas que son sectoriales. Tendríamos una primera barrera para pequeñas y medianas empresas que puede ser incorporada a sus sistemas mutualizando el gasto a través de la adquisición de bienes y servicios en la nube donde compartir esa serie de gastos entre varias empresas. Y tendríamos esa segunda barrera se ciberseguridad que debe estudiarse en cada caso según los activos a proteger y su nivel de criticidad.
Y hay algo muy importante: hay que proteger toda la cadena logística cuando estamos hablando de empresas. El propio cumplimiento normativo al que nos obliga la ley induce esa necesidad, obliga a hacerlo. Nosotros tenemos proveedores a los que tenemos que exigir que también cumplan con esas medidas, porque a través de nuestros proveedores pueden entrar en nuestras empresas, y nosotros mismos somos a veces proveedores de otras empresas. En España está muy desarrollado el cumplimento normativo en el Real Decreto 12/2018, que establece unas medidas que debemos cumplir todas las personas físicas, jurídicas y administraciones para intentar mitigar los riesgos y amenazas que se producen en el ciberespacio. Invito a leer esas medidas porque son muy necesarias y tenemos que trabajar en ello de manera muy evidente y profunda para poder cumplir con nuestra parte de ciberprotección.
Ver comentarios (2)
Hay que invertir tiempo en enseñar a la gente sobre como protegerse de ataques. Con hábitos muy sencillos se pueden evitar la mayor parte de ciber-ataques que en muchos casos hacen uso de ingeniería social o de robo de contraseñas en webs pequeñas y no de grandes técnicas rebuscadas.
1- Para empezar hay que dejar de dar "aceptar" a todo lo que sale en pantalla y sin haberlo leido primero. Ante cualquier cosa sospechosa, cancelar o cerrar.
2- Poner contraseñas distintas para los servicios más importantes(banco, google, facebook, amazon, webs de compras donde hemos puesto nuestra tarjeta bancaria...)
Para las webs menos importantes en las que no tengan nuestros datos bancarios podemos usar una contraseña común diferenciada de las anteriores.
3-Activar la identificación en dos pasos de cada servicio(google, facebook,...) para que además de la contraseña también debas facilitar un código que recibirás en tu teléfono vía mensaje de texto cada vez que quieras acceder desde un nuevo dispositivo.
Solo con esto ya lo tienen muy complicado para robar tus cuentas de usuario y tus datos.
Otra cosa que no mencionas es no acceder a WIFIS abiertas.