Ciberseguridad y protección de datos: reto para el futuro

La ciberseguridad es una herramienta básica fundamental. Cada día es más importante el uso de las tecnologías, como una herramienta de ayuda, como base de la información, como un canal de comunicación en nuestra vida privada. Es fundamental en la actividad de las empresas y las administraciones públicas.

Y como tal la forma de mantenerla en perfecto estado de salud y protegida es una buena política de ciberseguridad y protección de datos, es primordial. Pues cada día es mayor la utilización que hacemos de las tecnologías. Y tienen que ir de la mano la importancia que le demos a la ciberseguridad y las respuestas que podamos tener ante cualquier incidente.

Siempre pensamos en la ciberseguridad como algo que está para protegernos de ataques maliciosos y de terceros. Y eso es cierto, esa es una de las principales utilidades de la política de ciberseguridad. Pero la propia información por sí misma hay que protegerla de imprevistos, de cosas que pueden ocurrir en el día a día. Sin necesidad de que un tercero y con un objetivo hostil o malicioso entre en nuestro sistema. Lo cual es ya importante por sí mismo.

Son muchos en tipo y frecuencia. Pues la mente humana va desarrollando nuevas iniciativas, nuevas formas de atacar los sistemas y estos se van defendiendo. Las políticas de ciberseguridad y protección de datos van aumentando en el tipo de acciones que realizan para protegerse. Pero las personas que están del otro lado buscan la forma de entrar y, cada día, desarrollan nuevos modelos más rebuscados y más trabajados. Propiciando una evolución continua. El ataque y la defensa van creciendo en continuidad y tenemos que trabajarlos permanentemente.

Pero. ¿Cuáles son los ciberataques más frecuentes y comunes? En general, estamos hablando de malware. Un término que utilizamos para describir una variedad de software hostil o intrusivo. Los que están dentro de esta categoría son: los virus informáticos, software de rescate y software de ataques específicos.

Pero, si tuviéramos que hablar de los que son muy frecuentes, a nivel de ciberataques en empresas, destacamos el Ransomware que en inglés significa rescate. Lo que hace este ataque es secuestrar la información que, por lo general, está encriptada y que el propio usuario no tiene acceso. Un ataque muy orientado a las empresas que pide un rescate para que pueda recuperar la información. Nuestra información, de nuestros propios equipos, esto a nivel de empresa está muy extendido.

Todos tendemos a pensar que, por la dimensión de nuestra empresa o de nuestra actividad privada, no podemos ser objetivos de un ciberataque. Y eso es un grave error, todos tenemos que estar protegidos. Porque los ciberataques van a los sitios más inesperados y muchas veces son también indiscriminados y masivos. Es un ciberataque que está muy orientado a las empresas de cualquier dimensión y actividad.

Si nos centramos en el ámbito personal y ciudadano, un tipo de ataque muy extendido es el phishing. Consiste en una suplantación de identidad. Digamos una entidad en la que confiamos a un banco, una administración pública o una gran empresa. Alguien se hace pasar por esa entidad, suplantado imágenes ya sea en un correo electrónico o mediante una llamada telefónica. Nos solicita algo que nunca debemos incluir en una comunicación electrónica como una clave, un pin de una tarjeta de crédito o nuestras claves de acceso a ciertos sitios, el phishing está muy extendido.

Son ataques masivos, que se lanzan a cientos, miles o cientos de miles de usuarios. Y si alguien responde comprobamos que el hacker ha obtenido resultados, accediendo a una información privilegiada, que le dará acceso a fuentes económicas o información particulares por las que después puede pedir un rescate. Son muchas las cosas que debemos proteger de manera constante.

Empezando en el orden inverso. El riesgo es la posibilidad de sufrir un ataque y es inherente a nuestra existencia. En el momento que nosotros salimos a la calle o digamos que estamos en un sistema informático. Ya estamos expuestos al riesgo de tener un problema, a un ataque o una incidencia en nuestra información. Esto no quiere decir que el nivel de riesgo sea siempre el mismo, lo importante son las precauciones que tomemos. Pues tendremos un riesgo más alto o más bajo, como cuando cuidamos de nuestra salud y nos hacemos un chequeo. Pero el riesgo existe y por el mero hecho de existir, existe como tal.

La vulnerabilidad es un fallo o una deficiencia de nuestro sistema, que alguien puede aprovechar para introducirse dentro de él para usarlo o secuestrar nuestra información.

La amenaza es el paso a la acción. Cuando alguien utiliza nuestro sistema como su destino o como su objetivo al entrar en él. Aprovecha una vulnerabilidad en el sistema de protección para acceder a nuestra información.

La formación continua es una necesidad, es una de las distintas fórmulas para mantenerse al día. Antes comentábamos que según se van produciendo o desarrollando un tipo de ataque, se van produciendo y definiendo tipos de defensas y vienen otros, es algo que nunca llega al final. Estamos hablando del ciberespacio por así decirlo, de los sistemas tecnológicos, pero no son muy diferentes en nuestra vida real. Donde existen sistemas de protección y según se van mejorando, los malos van desarrollando otras fórmulas más rebuscadas, en el ciberespacio no es distinto. Detrás de esas iniciativas hay personas, hay alguien que las mueve y es fundamental mantenerse al día. Ir por delante incluso de las posibles fórmulas o ataques. La formación continua es algo totalmente necesario.

También cabe destacar que todos deberíamos tener como usuarios de las tecnologías unas bases de protección de nuestros sistemas y unas pautas mínimas, pero no vamos a ser todos expertos en ciberseguridad, hay expertos que podemos contratar, empresas terceras que se encargan de este tipo de cosas. O bien, en función de la dimensión de cada empresa, evaluar si se desea incorporar a profesionales expertos en este área. De ahí la importancia de la figura del responsable de la seguridad interna que es fundamental.

En especial, cuando la dimensión de la empresa tiene cierto volumen, debe tener siempre un plan de ciberseguridad con independencia de cuál es su actividad y su volumen. Sin duda, todos tenemos que tener un proceso, un plan y unas pautas para proteger la información.

Yo me atrevería a decir que un cien por cien. El área tecnológica como todos sabemos se desarrolla de tal manera que nuestro sistema educativo no es capaz de suministrar suficientes profesionales cualificados para ocupar las demandas que tiene el sector de la tecnología en general. Si hay algún ámbito en el que estas demandas son muy acusadas, es en la ciberseguridad y protección de datos. Además, lo es y lo será de manera creciente, según vayan creciendo las tecnologías irán creciendo las necesidades en cuanto a la ciberseguridad y la empleabilidad será total.

Aportamos representatividad. Somos la voz de la industria de la ciberseguridad. Lo que hacemos es promulgar su importancia. Que se conozcan las necesidades de ciberseguridad. Impulsamos la existencia de las estrategias necesarias para paliar los ciberataques, realizamos una labor de concienciación y sensibilización acerca de la importancia de la ciberseguridad y, en definitiva, somos un agente relevante para el sector. Nuestro propósito es convertir la ciberseguridad en parte de la cultura social y empresarial.