Artículos

“La
_
ciberseguridad
_
es
_
un
_
arte
_
que
_
requiere
_
creatividad”

480Academy  ·  Actualidad  ·  Ciberseguridad  ·  Podcast
WhatsApp Linked In

Pablo López (CCN) y Mar López (Accenture) reflexionan sobre estrategia, colaboración público-privada y capacitación para fortalecer la ciberseguridad en las administraciones públicas ante la imparable sofisticación de los ataques. Lo hacen en el episodio del podcast de Cuatroochenta grabado en directo desde la RootedCON en Madrid. 

El Servicio de Empleo Público Estatal (SEPE), el Consejo Superior de Investigaciones Científicas (CSIC), el Consejo General del Poder Judicial, los ayuntamientos de Castelló de la Plana o Sevilla, el Hospital Clínic de Barcelona... Son algunos de los ciberataques al sector público español con mayor impacto de los últimos años. El Centro Criptológico Nacional (CCN), encargado de asesorar y apoyar al sector público en materia de ciberseguridad, gestionó durante 2023 más de 107.000 incidentes, un 34% de ellos de riesgo alto, muy alto o crítico. Pero esta situación no es exclusiva de España. Lo muestran, por ejemplo, el ataque ransomware que sufrieron casi una treintena de instituciones públicas del Gobierno de Costa Rica en abril de 2022. También el que afectó a la Rama Judicial de Colombia o a la compañía municipal de aguas de Texas, ambos a finales de 2023.

¿Por qué las entidades públicas son objetivo de los ciberdelincuentes? ¿Qué estrategia deben seguir sus responsables? ¿Qué puede aprender la administración de la empresa privada y viceversa? ¿Cómo se materializa la colaboración público-privada? La responsable de ciberseguridad para el sector público y salud de Accenture, Mar López, y el jefe de Área de Normativa y Servicios de Seguridad del CCN, Pablo López, responden a estas preguntas y reflexionan en el episodio del podcast de Cuatroochenta Cuidado con las macros ocultas: ‘La Cybersecurity League de la administración pública’, grabado en directo desde la 14ª edición de la RootedCON en Madrid.

«Incidentes como el del SEPE son un punto de inflexión, que te llevan a darte cuenta de lo que estás haciendo y del margen de mejora que tienes (...). Lo importante es saber cómo mañana puedo mejorar mi postura de seguridad siendo disuasorio, en línea a los principios de mejora continua y resiliencia»

Pablo López, jefe de Área de Normativa y Servicio de Seguridad CCN

Cooperación público-privada para fortalecer la ciberseguridad

Precisamente, ambos coinciden en destacar que el impulso de la normativa y, en concreto el Esquema Nacional de Seguridad (ENS), ha servido para potenciar la madurez de la ciberseguridad, tanto en el sector público como en las empresas proveedoras y las infraestructuras que dan soporte. “El ENS es como el certificado escolar” según Pablo López que “fija unas medidas y unos requisitos que todo el mundo debe cumplir”. Es la manera de confirmar y evidenciar que administraciones y empresas “hacen sus deberes” aportando “confianza”.

Actualmente, 319 organismos públicos y 874 empresas están certificadas con este marco normativo español. Mar López defiende que, aunque sea un reto para la empresa privada, el ENS impulsa productos y servicios TIC confiables y verifica que “procesan, almacenan o transmiten información de forma segura”. El ENS es un ejemplo de la cooperación necesaria entre sector público y privado para disponer de una infraestructura tecnológica robusta y resiliente.

Otros ejemplos, según los dos expertos, son el Foro Nacional de Seguridad, los Clusters de Ciberseguridad como el de Madrid (CyberMadrid) o el recientemente creado en Andalucía, de los que es miembro Sofistic, la unidad de ciberseguridad de Cuatroochenta. Son iniciativas que dan músculo a las organizaciones, tanto públicas como privadas, para hacer frente a la escalada de amenazas y riesgos.

Informe de tendencias en ciberseguridad 2024

Descargar

Capacitación: desde la dirección hasta el usuario final

La escalada de amenazas va acompañada de mayor sofisticación, impulsada en gran parte por las nuevas herramientas de inteligencia artificial generativa (AI Gen). En una de las charlas de la propia RootedCON, por ejemplo, se demostró cómo puede clonarse sintéticamente la voz de un CEO para intentar cometer estafas. Ante estas amenazas de ingeniería social, los expertos apuestan por la formación y capacitación, poniendo el foco tanto en los equipos directivos como en los y las usuarias finales.

A pesar de la complejidad de los ataques, según Pablo López, hay que formar a los usuarios y usuarias para que sean capaces de identificar amenazas o acciones sospechosas. Junto al sentido común, la ciberseguridad debe estar presente en todos los procedimientos. Además, “as direcciones son las que deben estar concienciadas de verdad y de invertir en ciberseguridad” matiza Mar López quien defiende que es la vía para tener “esa higiene digital que minimiza riesgos” y permite recuperarse ante un incidente.

«La seguridad no es por capricho, la seguridad no viene a tocar las narices (...) Las medidas de seguridad se proponen y se ponen en marcha para proteger algo que es valioso»

Mar López, Responsable de Ciberseguridad para el Sector Público y Salud de Accenture

Las organizaciones deben enfrentarse a los nuevos desafíos de ciberseguridad con “creatividad, inteligencia y habilidades” y apoyándose en la tecnología más eficaz.

Episodio completo

Relacionado