Cartel Dia Internacional de la mujer y la niña en la ciencia
Lo que suma.
11 febrero, 2021

Seguridad y transformación digital

09/02/2021. Por Francisco Sampalo Lainz. Grupo de Trabajo de Seguridad y Auditoría TI de Crue-TIC. Universidad Politécnica de Cartagena.

Robos y filtraciones de cuentas y contraseñas, redes de dispositivos (bots) controlados a distancia por un atacante, publicación de información personal, creación de perfiles personales a partir del tratamiento no autorizado de información, ataques de denegación de servicio, “secuestros” de nuestros ordenadores con la correspondiente extorsión para poder recuperar la información, dispositivos vulnerables a ataques masivos, difusión de noticias falsas…

Si no teníamos pocas preocupaciones en nuestra vida cotidiana en una época como la actual, ahora vengo yo a añadir más leña al fuego.

Pero no, no es esa mi intención, así que volvamos al principio y sigamos el rumbo que me había propuesto. En este artículo vamos a hablar sobre ciberseguridad y la relevancia que está tomando en la Transformación digital, y finalizaremos aplicándolo al entorno universitario e incluso en el ámbito particular de cada uno de nosotros. Veremos que con unos consejos y precauciones sencillas podemos ser mucho más resistentes a todas estas amenazas.

En primer lugar, os daré mi visión particular (nada académica, por cierto) sobre lo que yo entiendo como “Transformación digital.” Adelanto que no me gustan nada las palabras y expresiones que se ponen de moda y que, de tanto usarlas, quedan totalmente vacías de contenido; “empoderamiento” y “resiliencia” son las primeras que me vienen a la mente… ¡Vaya, lo siento! Esperaba no usarlas nunca, pero al final yo también he caído en la trampa.

20945804

Pues bien, “Transformación digital” es otro de esos términos que, si no moderamos o acotamos su uso, corre el riesgo de caer en esa poco deseable categoría del “neolenguaje”. Para mi la Transformación Digital es ir un paso más allá en lo que se ha venido llamando “digitalización” o “informatización”. Cuando aplicamos las tecnologías de la información para facilitar nuestra vida cotidiana o el funcionamiento ordinario de nuestra empresa u organización (por ejemplo, la Universidad), nos estamos “informatizando”; podemos considerar que este proceso se empieza a generalizar allá por los años 70, aunque en el ámbito particular empieza una década más tarde con la aparición de los primeros PCs y videojuegos. Pero cuando la influencia de las TI es tan grande que puede cambiar nuestro modo de vida y la forma de interrelacionarnos (en el ámbito particular) o la estrategia y la forma de prestación de los servicios (en el ámbito empresarial y organizativo) es cuando ya estamos hablando de “Transformación digital”; y este proceso se ha acentuado en los últimos años.

Y, naturalmente, si le damos un papel tan relevante a las Tecnologías de la Información, empezamos a preocuparnos por los riesgos que conllevan. De hecho, asuntos directamente relacionados con la ciberseguridad tienen el dudoso honor de aparecer entre los riesgos más relevantes de la humanidad, según el informe anual del World Economic Forum (podéis consultar este informe en https://www.weforum.org/reports/the-global-risks-report-2021). Así, entre los riesgos globales de la humanidad (reitero: RIESGOS GLOBALES) a “corto plazo” tenemos en el cuarto lugar los fallos de ciberseguridad y, en el quinto, los riesgos derivados de la “brecha digital”. Y entre los riesgos globales a “medio plazo” los posibles fallos globales de la infraestructura TI ocupan un “privilegiado” segundo lugar, mientras que los fallos de ciberseguridad se mantienen dentro del top-ten en octavo lugar.

Esto no deja de ser una muestra más, eso sí muy significativa, de que Transformación Digital y preocupación por la ciberseguridad van de la mano, lo cual es completamente natural: cuanto mayor es la relevancia de las TI en nuestra forma de vivir o en nuestra estrategia organizativa, mayor será la preocupación que tengamos por los riesgos y amenazas asociados a estas tecnologías.

Y sí, las Tecnologías de la información son muy útiles, pero también tienen sus vulnerabilidades y, por lo tanto, sus riesgos. Como podría pensarse de una forma un tanto simplista, estas vulnerabilidades no se deben exclusiva o fundamentalmente a defectos o negligencias en el desarrollo del software o del hardware, que también los hay y que habría que ir corrigiendo (pero entrar en profundidad en esto no es objeto de este artículo, que va cobrando vida propia y se me está haciendo más largo de lo que pretendía). La propia naturaleza de las tecnologías y los sistemas de información dan pie a vulnerabilidades que aumentan el mapa de riesgos a los que están expuestas: la automatización, la acción a distancia, el anonimato, la hiper-conectividad, la complejidad inherente al software, por sólo nombrar unas cuantas.

Personal data protection vector concept metaphor

  1. Cuidado con el correo electrónico o chats privados: ignorar mensajes sospechosos y no abrir ningún enlace o fichero adjunto en los correos que consideremos sospechosos.
  2. Mantener siempre actualizado nuestro sistema operativo (sea el que sea: Windows, IOS, Android, Linux, etc.) y el resto de programas, fundamentalmente el navegador. Con esto nos evitaremos la ejecución de malware en nuestro equipo.
  3. Utilizar contraseñas fuertes (que sean difíciles de adivinar) y cambiarlas regularmente o, al menos, cuando se tengan sospechas de que pueden haber sido comprometidas. Así evitaremos que suplanten nuestra identidad, el acceso de terceros a información privada o confidencial, robos en cuentas bancarias, etc. Las contraseñas deben de ser secretas y únicas, no debemos anotarlas, compartirlas o reutilizarlas.
  4. No instalar aplicaciones de origen desconocido; pueden (suelen) contener malware “incrustado”.
  5. Tener instalado y activado un antivirus que esté debidamente actualizado.

Estos son sólo unos pocos consejos, pero podéis encontrar mucha y mejor información en multitud de sitios web; entre ellos, os voy a recomendar que visitéis las webs de dos de las principales instituciones cuyo cometido es la coordinación de las iniciativas de ciberseguridad a nivel estatal:

¿Y qué hay de la ciberseguridad en la transformación digital de la universidad? Pues más de lo mismo: la clave, a mi entender, está en la concienciación de toda la comunidad universitaria y, de forma muy especial, de los Órganos de gobierno. Y aquí no hago más que hacerme eco de lo que la legislación europea (Directiva UE 2016/1148 sobre seguridad en redes y sistemas de información, conocida como “Directiva NIS”) y nacional (RD 3/2010 por el que se regula el Esquema Nacional de Seguridad o ENS) exponen entre sus principios básicos: la seguridad como un proceso integral a toda la Organización.

Citando textualmente lo expuesto en el Esquema Nacional de Seguridad: “la seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos”. La ciberseguridad debe ser una responsabilidad de toda la organización; por lo tanto, deben ser los máximos Órganos de Gobierno de la Universidad quienes marquen las directrices y lideren el tratamiento de la seguridad de la información.

Y entonces, surge la pregunta: ¿Cómo deberían hacerlo? Aquí van mis recomendaciones:

  1. Deberían crear estructuras y asignar responsabilidades adecuadas para el gobierno y la gestión integral de la seguridad de la información;
  2. Deben tomar decisiones sobre el nivel aceptable de riesgo al que puede exponerse su institución;
  3. Y, por último, recomiendo promover planes de concienciación y capacitación en ciberseguridad para toda la comunidad universitaria.

En resumen, nuestra concienciación como usuarios en el uso seguro de las TI y el liderazgo del Equipo de Gobierno en las decisiones estratégicas sobre ciberseguridad son dos claves esenciales para afrontar los riesgos en ciberseguridad asociados a la Transformación Digital.