Ciberseguridad en Infraestructuras Críticas

Esta mañana he acudido, como representante de Coteco, a la Jornada de "El Economista" sobre la Protección de las Infraestructuras Críticas en España.

La apertura de la jornada ha corrido a cargo de D. Javier Candau, Jefe del departamento de Ciberseguridad del CCN (Centro Criptológico Nacional). Buen orador, se le entiende con mucha claridad. Por lo menos yo he entendido algunas cosas...

"Si no estás pagando por el producto... tú eres el producto" Es sencillo, lo deberíamos tener todos en mente siempre.

No quiero aburrir con datos, unas pinceladas tan solo. Durante 2017 España ha sufrido más de 26.000 ataques ciber, de los que aproximadamente 1.200 son calificados como muy graves -de estos, el 4,5% críticos-.

Para reflexionar un poco. ¿Qué consideramos "crítico"? ¿Acaso un estadio de fútbol con 80.000 espectadores no es una infraestructura -en ese preciso momento- crítica?  ¿Por qué nos preocupamos tanto de la seguridad en las Redes IT y tan poco en las OT, cuando todo esta interrelacionado y cada vez más? Y por último... como siempre (o me parece a mi) ¿Por qué no se ha desarrollado la
transposición de la Directiva Europea NIS de Ciberseguridad, sí ya tendría que haber entrado en vigor el pasado mes (Directiva 1148/2016 de 06 de Julio ¡Ya ha llovido (y nunca mejor dicho)!?

Se ha creado un sistema centralizado de recogida de "incidentes" llamado LUCÍA que funciona como una especie de "ventanilla única" y facilita el proceso.

Por último, dejo la imagen del "decálogo" de la ciberseguridad en España

Posteriormente se ha celebrado una mesa redonda entre personalidades de la protección ciber, precisamente de algunas de estas infraestructuras críticas o de empresas que luchan contra ella: Sociedad Nuclear Española, Telefónica, Kaspersky, Oracle, Global Omnium.

Muy interesante también, aunque me limitaré a dar algunas pinceladas:

  • La Ciberseguridad no da votos, es por tanto difícil conseguir la financiación necesaria del político de turno
  • Tenemos herramientas, pero no sabemos usarlas, o directamente no las empleamos como cuando autorizamos todos los requerimientos de un a APP  para instalarla en nuestro móvil.
  • Perseguir a los ciberdelincuentes es complejo, difícil y largo, pero si se consigue, llevarles ante la Justicia, sobre todo si hay que poner de acuerdo a jueces de distintos países, es casi un imposible.
  • Aunque Ley y Reglamento marquen sanciones tras los ataques, la responsabilidad normalmente es compartida entre proveedores de sistemas, cloud, distribuidores, etc. Acabemos con el "barato" y demos peso al "bueno y el bonito", usemos plataformas certificadas, productos comprobados, etc
  • En breve, igual que se clasifica la solvencia de entidades financieras, se hará igualmente un scoring de ciberseguridad en todo tipo de empresas.
  • Si la tecnología evoluciona con enorme rapidez, los ataques lo hacen aun más rápido. Lo más importante es la capacidad de respuesta  inmediata ante el ataque.
La seguridad -ciberseguridad en este caso- está formada por personas, procesos y tecnología, por lo que su "pata" más débil es precisamente la humana. Las barreras, las tecnologías, los filtros, etc, nunca podrán dar seguridad al 100%; ¿De qué me sirven todas las barreras si, a la hora de la verdad, acepto cualquier cosa? Empecemos a aplicarnos el cuento o mañana ya será tarde.



Comentarios

Publicar un comentario

Gracias por compartir tu opinión

Entradas populares de este blog

Una medida laboral para mantener el empleo a aplaudir, pero.....

Imagen
Tras siniestros de envergadura y con gran repercusión mediática como fue en 2.014 el de Campofrio y hace nada el de la empresa Ybarra,  el Gobierno, a través de el Ministerio de Empleo y Seguridad Social lanza una ayuda a estas empresas para mantener las plantillas exonerandolas de los pagos de las cuotas de la Seguridad Social.            Ver noticia de ABC sobre Ybarra de 11 de Septiembre Nada que objetar, por supuesto. Personalmente me parece perfecto que se ayude a una empresa en dificultades -sobre todo sobrevenidas por catástrofe- con dinero público, para mantener el empleo y por tanto, el nivel de vida de sus trabajadores afectados y familias (lo hacemos con quienes no contribuyen en nada al arca común y con entidades financieras que cuando ganan medran y cuando pierden rescatamos, como no hacerlo con trabajadores que llevan contribuyendo al fondo común toda su vida laboral). Lo que no termino de entender es cómo este tipo de empresa de cierto tamaño, que se supone tiene a
Leer más

¿Responsabilidad Penal de las Empresas?

De perogrullo, sí, a las personas jurídicas no las meten en la cárcel!!!  Pero es también cierto que "penal" no es idéntico a cárcel, desde la entrada en vigor de la reforma del Código Penal introducida por la Ley Orgánica 5/2010, de 22 de junio, y la modificación producida por la LO 1/2015 de 30 de marzo, las empresas  pueden ser responsables penalmente , cuando sus administradores, apoderados o  trabajadores  (sí, sus trabajadores) cometan un delito en el ámbito de la misma y en su beneficio. En la persona física que comete el echo penalmente punible recaen las penas que conocemos o imaginamos, pero ¿qué ocurre en la persona jurídica?¿Cómo la afecta? Su responsabilidad penal es completamente independiente de la del causante material y se traduce en estas posibles penas:  Multas, por supuesto. Cierre de locales o sedes y clausura de actividades hasta cinco años. Disolución de la Empresa. Prohibición definitiva o temporal de realizar en el futuro las
Leer más

El CIBER RIESGO. Tenemos claro a lo que todos nos enfrentamos???

Imagen
El pasado jueves seis de Octubre asistí a un interesante encuentro patrocinado por AIG sobre los Ciber-Riesgos y su producto estrella para combatirlos, minimizarlos y reparar los posibles daños, "Ciber Edge". He de reconocer que lo primero que me marcó fue una afirmación: "No se trata de probabilidad de que el siniestro se produzca, en este caso hablamos de cuando se producirá" porque todos, personas físicas o jurídicas lo hemos sufrido ya o lo vamos a sufrir, en muchas ocasiones sin percatarnos de lo ocurrido. Para reflexionar. Hace años, las reuniones de este tipo estaban enfocadas a dar a conocer que el riesgo existía a los escépticos, ahora nos reunimos para conocer variantes, casos distintos, etc. Esta evolución está presente también en las soluciones ya que el seguro más tradicional es meramente "reparador", pero ahora hablamos de verdaderos contratos de servicio con prevención, reparación, respuesta, es decir algo más que la gerencia de riesg
Leer más