La seguridad informática ha saltado a las primeras páginas de los medios de comunicación, ya sea en empresas privadas como en organismos públicos, por los ataques a sistemas de información, las amenazas directas a empresas con chantajes económicos mediante correos electrónicos o virus informáticos que se propagan como una pandemia. El presidente de la Asociación de Peritos Judiciales Tecnológicos de Andalucía (APTAN), Antonio Gil Moyano, explica en esta entrevista la evolución de la seguridad cibernética en las organizaciones y su creciente importancia, así como la necesidad de formarse en esta materia. También desde su experiencia como auditor de seguridad en la compañía Softcom. La Guardia Civil aconseja a las empresas invertir en seguridad contra los ciberdelitos, en palabras del jefe del Grupo de Delitos Telemáticos, el teniente coronel Juan Sotomayor, que aboga a las firmas por instruir a los trabajadores.
La ciberseguridad corporativa se ha vuelto asunto de primer orden en las empresas. Un ejemplo real lo vimos a principios de este año cuando estafaron a empresas sevillanas por valor de cinco millones de euros. ¿Qué ocurrió para que pasara esto?
Diariamente se producen más de 2.000 incidentes relacionados con la ciberseguridad, sólo en la provincia de Sevilla. Esto quiere decir que los incidentes, a los que se refiere, los conocemos porque algún medio se ha hecho eco de la noticia, pero lamentablemente hay muchos más incidentes de los que conocemos. El 70% de los ciberataques no se publican.
Este caso es un claro ejemplo de estafa del CEO o directivo de la empresa, sin duda, se trata de un ataque dirigido hacia una compañía en concreto con el fin de estafarla. Para ello, estudian detenidamente la misma, su actividad, sus clientes o proveedores y, sobre todo, el personal que trabaja en la misma, ya que suele ser la pieza clave y más vulnerable que podemos encontrar dentro de la empresa.
El 70% de los ciberataques no se publican. Lamentablemente hay muchos más incidentes de los que conocemos.
Invertimos en sistemas de seguridad a veces muy complejos y costosos, para impedir ataques desde el exterior, pero descuidamos la seguridad de nuestra información que suele estar en manos de nuestros empleados, ya que la necesitan para desempeñar su trabajo.
Como auditor de seguridad en Softcom y perito judicial tecnológico en APTAN, nos encontramos a ambos lados del incidente. Conocemos muy bien la norma 27001 de seguridad de la información y trasladamos a nuestros clientes esa guía de buenas prácticas, que toda empresa debería tener y aplicar. Hemos tenido casos relacionados y similares a este, en los que hubiésemos reducido el riesgo, sólo si todo el personal de la empresa hubiese estado formado y concienciado de la importancia que tiene la seguridad de la información para la empresa. El personal con mayor responsabilidad debería tener formación más específica y, sobre todo, políticas de seguridad y control aplicadas en sus sistemas que impidieran lo ocurrido. Pero sin duda, la dirección debe ser la primera en concienciarse, para poder trasladarlo después al resto de la empresa, siempre de una forma ordenada y con la inversión que sea necesaria.
Sobre el caso, me llama la atención que una secretaria pueda realizar “sola” una transferencia de 3 millones de euros, sin que su director pueda confirmarla con una seguridad de doble factor, por ejemplo, una segunda clave enviada al movil. Por otro lado, el banco debería tener activada también una alarma para ciertas cantidades, que requiera de una confirmación al menos por algún directivo de la empresa.
El personal con mayor responsabilidad debería tener formación más específica y, sobre todo, políticas de seguridad y control aplicadas en sus sistemas. Un exceso de confianza en la gestión de la información sobre el coredel negocio puede costar caro.
¿Qué ventajas tiene para una empresa tener personal experto en esta materia?
Sin duda, ayudaría a mitigar los riesgos relacionados con la seguridad informática y de la información. Hago esta diferenciación porque es habitual encontrar personal con un perfil técnico con conocimientos en herramientas y soluciones de seguridad, pero sin formación específica en la gestión de la seguridad de la información, como un bien intangible que para muchas empresas es el core de sus negocios. Un exceso de confianza en la gestión de esa información puede costar caro a la empresa.
¿Qué departamento llevaría este tema en una empresa? ¿Podemos hablar del área de Informática, Sistemas u otro espacio corporativo?
Depende del tamaño de la empresa, podría llevarlo el departamento de informática o uno especifico, creado a tal efecto. Si la empresa está interesada en implantar la norma 27001, deberá existir la figura del responsable o director de seguridad, que será el encargado del mantenimiento de las políticas, ofreciendo consejos y orientaciones para su implementación.
Si la empresa está interesada en implantar la norma 27001, deberá existir la figura del responsable o director de seguridad, que será el encargado del mantenimiento de las políticas, ofreciendo consejos y orientaciones para su implementación.
La norma ISO 27001
Dado que hemos hecho referencia a la ISO 27001, esta norma define la seguridad de la información como la preservación de los siguientes aspectos fundamentales y que estos deben cumplir con la legislación vigente LOPD, LSSI, etc…
- Confidencialidad
- Proteger la información de divulgación intencionada o accidental
- Integridad
- Asegurar que la información es completa, exacta y está protegida de modificaciones no autorizadas
- Disponibilidad
- Garantizar que la información está disponible donde y cuando se necesite
El primer punto de la norma habla de la concienciación, por tanto, es importante que todo el personal de la empresa comprenda bien el significado de estos conceptos, se le forme adecuadamente y formalice con la empresa algunos documentos, como el acuerdo de confidencialidad y el uso adecuando de los activos.
¿Podemos hablar de riesgo en seguridad pública cuando mencionamos el tema de la ciberseguridad? ¿Es importante destinar personal cualificado en las empresas sobre estas tareas? ¿La formación es determinante?
Tener personal cualificado y formado en estas tareas reduce, sin duda, los riesgos asociados a la seguridad. Es determinante la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) como algo estratégico para la empresa y siempre con el apoyo de la dirección. Debemos empezar concienciándola de la importancia que tiene la información y que, después de los recursos humanos, es el principal activo de las empresas. Si la dirección está convencida, invertirá en personal cualificado, formación para sus empleados y en un sistema que permita llevar de forma ordenada y controlada, algo tan importante.
Es determinante implantar un SGSI y concienciar a la empresa de la importancia de la seguridad en la información. Después de los recursos humanos, es el principal activo. Si la dirección está convencida, invertirá en personal cualificado y en la formación para sus empleados.
¿Es más importante hoy en día el tema de la seguridad informática y corporativa que hace unas décadas? ¿La gente es consciente de ello?
Es más visible, diariamente nos llegan a través de los medios noticias relacionadas con ataques cibernéticos, esto hace que estemos más informados que antes y debería ayudar a la concienciación de las personas y de las empresas. El escenario ha cambiado notablemente en estos últimos años, estamos ante un gran negocio que mueve más que la droga y, por tanto, no tienen problemas para invertir y desarrollar nuevas formas de ataques, cuyo objetivo sea seguir estafando a millones de usuarios y empresas.