“La conciencia del peligro es ya la mitad de la seguridad y de la salvación”. (Ramón J. Sénder)
Nadie se toma en serio la ciberseguridad, pero deberíamos. En la época de la IA los datos van que vuelan, literalmente, y de los datos viven muchas entidades y particulares, pues no en vano son el oro del siglo XXI, y no todos lo hacen de forma legal. ¿Recuerdan la aplicación Pegasus que hizo estragos en España y en unos cuantos países más? No es más que un spyware ordinario (eso sí, muy eficaz) que se instala en teléfonos móviles aprovechando alguna vulnerabilidad del sistema. Una vez infecta el dispositivo, lo convierte en una herramienta de acceso total y espionaje remoto. La principal virtud de este programa de vigilancia es que puede utilizar “tecnología de cero clic”, es decir, no necesita que la víctima realice ninguna acción consciente o inconsciente para dejarse infectar. Pero esto no significa que dicha “víctima” no sea responsable de haber contribuido a crear, directa o indirectamente, la aludida brecha de vulnerabilidad.
La seguridad comienza por la seguridad regulatoria, pero el caso es que normativa tenemos. Casi simultáneamente a la aparición de las noticias en las que se pone tranquilamente de manifiesto que había estado comprometida la seguridad de España, se aprobó el «nuevo» Esquema Nacional de Seguridad (Real Decreto 311/2022, de 3 de mayo), ya completamente integrado con disposiciones de ámbito europeo, como el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, y la Directiva NIS (Security of Network and Information Systems); y también con las de ámbito nacional, como la LOPDGDD y las famosas leyes 39 y 40 de 2015 y su Reglamento de desarrollo. Además, las normativa ENS debe interpretarse conjuntamente con las diversas Estrategias Nacionales de Seguridad, el Plan Nacional de Ciberseguridad, el Plan de Digitalización de las Administraciones Públicas 2021-2025 y la agenda España Digital 2025. Este es el marco normativo de la seguridad y la ciberseguridad en España.
¿Cumpliendo y haciendo cumplir todas estas normas estamos a salvo? No. Lo cierto es que, siendo realistas, ninguna organización puede garantizar al 100% que sus sistemas de información se encuentren protegidos frente a cualquier amenaza, pero sí se pueden medidas dirigidas a prevenir los posibles ataques, reaccionar tempranamente ante los mismos y recuperarse en el menor tiempo posible. Recordemos que los principios básicos por los que se rige el ENS son: seguridad integral; gestión de la seguridad basada en los riesgos; prevención, detección, respuesta y conservación; existencia de líneas de defensa; vigilancia continua y reevaluación periódica; y sistema de responsabilidades. De entre todas las medidas de seguridad, las que más nos agradan son las de carácter preventivo: análisis de riesgos, configuración segura “por defecto”, efectividad de los cortafuegos, formación y concienciación del personal, o habilitación de canales de comunicación de incidencias de seguridad, entre otras. Y si tuviera que quedarme con una, apostaría sin duda por la concienciación. Una manera de trabajar (y de actuar) más responsable es el mejor cortafuegos. En definitiva, como dijo Bruce Schneier, «el hardware es fácil de proteger: encerrarlo en una habitación, encadenarlo a un escritorio o comprar uno de repuesto. La información plantea más un problema. Puede existir en más de un lugar; ser transportado a la mitad del planeta en segundos; y ser robado sin su conocimiento».
Debemos tomar conciencia de la realidad en la que vivimos, una realidad cambiante, que va muy por delante del Derecho y de la capacidad de reacción del sistema, en la que ni siquiera los hackers –más precisamente los crackers– son ya los de antes, cuando se dedicaban básicamente a hacer “cibergamberradas”. Ahora son capaces de la más tremenda destrucción: acceso a información de carácter médico, a nuestras tarjetas de crédito, ataques a los sistemas informáticos de empresas (SegurCaixa Adeslas), Administraciones (ayuntamientos de Carcaixent y Cheste), y por supuesto equipos particulares… Estos accesos son ilegales y, en muchos casos, delictivos (estafas, amenazas, difusión, revelación o cesión ilegal de datos…).
Y aunque, como hemos afirmado, ninguna organización puede garantizar completamente que sus sistemas de información se encuentren protegidos frente a cualquier amenaza, sí tiene al menos la obligación de adoptar una conducta activa en la toma de medidas, fundamentalmente preventivas. Por ejemplo, el ayuntamiento de Alzira ha implementado, desde hace tiempo, las medidas de seguridad relacionadas el Real Decreto 3/2010, del 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Hablamos de una norma «antigua» (aunque ha experimentado ya algunas modificaciones, la más importante la citada de 2022) y cuyo cumplimiento debía hacerse efectivo, a más tardar, en enero de 2014. A estas alturas resulta tremendo intentar justificar demoras de un década en la implementación de una norma importante. Y es que se trata de medidas dirigidas a prevenir los posibles ataques, reaccionar tempranamente ante los mismos y recuperarse en el menor tiempo posible. En consecuencia, quizá no podamos evitar todos los ataques, pero hay mucha diferencia entre cumplir el ENS y no cumplirlo.
Entre estos controles, podemos destacar los siguientes (los cuales hacemos públicos para ilustrar a las organizaciones que desean mejorar en seguridad):
- Medidas de carácter preventivo:
- Se realiza periódicamente un análisis de riesgos, identificando los activos críticos del sistema, las relaciones existentes entre los mismos, valorando en términos de seguridad su criticidad y analizando los posibles eventos de seguridad a los que se encuentran sometidos tanto en probabilidad como en impacto, proponiendo para los riesgos resultantes proyectos que ayudan a ser cada día menos tolerantes al riesgo.
- Se proporciona al usuario una configuración “segura por defecto”, de manera que se protege la actividad del usuario, salvo que éste conscientemente se exponga al riesgo.
- Se dispone de un cortafuegos que separa la red interna de la exterior, de manera que sólo se deja transitar los flujos previamente autorizados.
- Se han segregado las redes, acotando el acceso a la información, y por lo tanto, la propagación de incidentes de seguridad, limitándose al segmento afectado.
- Trabajando con personas, un hecho fundamental y en lo que ha insistido el ayuntamiento es en la formación y concienciación del personal, informándoles de las incidencias más habituales, virus actuales y sobre todo, abriendo un canal de comunicación de incidencias de seguridad para que puedan escalar rápidamente cualquier sospecha de incidencia.
- Medidas reactivas:
- Se dispone de herramientas que protegen los servicios web más expuestos (correo electrónico, servicios, aplicaciones web y ataques de denegación de servicio), los cuales disponen de alertas que permiten tomar decisiones tempranas.
- Se dispone de herramientas que protegen al ayuntamiento frente a virus, gusanos, troyanos, programas espías (spyware), y en general, contra cualquier malware.
- Medidas de recuperación:
- Se realizan copias de seguridad que garantizan la continuidad de las operaciones en caso de pérdida de los sistemas habituales de trabajo.
- Se ha realizado un análisis de impacto y consecuentemente planes de continuidad, de manera que se establecen una serie de acciones a realizar en el caso de interrupción de los servicios prestados con los medios habituales.
Todo ello dentro de la Estrategia de Ciberseguridad Nacional, que se completa con las Recomendaciones básicas de ciberseguridad del Centro Criptológico Nacional, y sometido además a un proceso de mejora continua de seguridad, de manera que el proceso integral de la seguridad es actualizado y mejorado de forma ininterrumpida. Y aún así, queridos lectores, no estamos completamente a salvo. Eso sí, es nuestra obligación, como responsables de los datos de nuestros ciudadanos y, en general, de la información especialmente sensible, ponérselo difícil a los crackers. Esta cuestión es muy importante; démosle pues la importancia que tiene y aprobemos de una vez esta asignatura pendiente.
© TODOS LOS DERECHOS RESERVADOS. NOSOLOAYTOS. WEB OFICIAL DE VÍCTOR ALMONACID LAMELAS 2024. AVISO LEGAL.
Nosoloaytos 