Legal Hackers Madrid analizaron en un webinar el impacto de los ciberataques en nuestro entorno más inmediato. Un evento que contó con la colaboración del portal Derecho Práctico y el apoyo institucional de INCIBE.
Bajo el título ‘Ciberseguridad y Teletrabajo’ intervinieron David Marqués (Senior Information Security Specialist en Ackcent Cibersecurity), Paloma Llaneza (Experta en Seguridad y CEO en Razona Legal Tech) y José Manuel Roviralta (Técnico de Ciberseguridad para empresas en INCIBE).
El evento fue presentado por la jurista Isabel Iglesias y moderado por el experto en seguridad de la información Manuel Asenjo, ambos miembros del actual equipo de organización de Legal Hackers Madrid.
David Marqués señaló que “una gran parte de las empresas se han adaptado de forma progresiva al teletrabajo sin sopesar los riesgos de ciberataques que podrían llegar. Sus soluciones dejaban ver riesgos importantes”.
Junto a ello indicó que hubo despliegue en tecnología de nube “si no se implanta bien este tipo de soluciones y haces una buena gobernanza, educando a los usuarios, puede ser mayor el problema que la solución”.
Una parte de empresas han invertido en diferentes soluciones tecnológicas sin un criterio claro al no existir un estudio claro de sus necesidades. “Se han seguido los criterios de la competencia, a nivel de seguridad, lo que ha generado distorsiones en las organizaciones”.
Se han implantado muchas soluciones tipo VPN, firewall “pero sin ningún tipo de gobernanza. Es importante que dichas soluciones de seguridad se monitoricen y estén bien gestionadas. Al dia siguiente es inoperativa”, comentó.
En este escenario este experto destacó que “siempre es importante desarrollar programas formativos entre tus profesionales para que conozcan realmente qué herramientas van a utilizar y en qué momentos. Pese a que la tecnología es más segura los ciberdelincuentes son cada vez más sofisticados”.
Reconoció este experto que el ciberataque del SEPE ha generado una mayor actividad de muchas empresas a nivel consultivo para conocer la forma de parar este tipo de incidentes de seguridad.
Ciberataques, ya tienen historia
Por su parte. Paloma Llaneza indicó que la ciberseguridad como la privacidad se perciben en muchas empresas como un coste más que un valor añadido al no ver a corto plazo su utilidad más inmediata.
A su juicio las inversiones en ciberseguridad de las empresas pueden ser importantes, pero “nunca tendrán suficiente. Los ciberataques han sido recurrentes en los últimos años. Se conocen ahora más porque la directiva nos obliga a la notificación de los mismos en España, cuestión que en EEUU ya se hacía hace años”.
Esta abogada experta en derecho tecnológico señaló que las organizaciones criminales siguen creciendo tanto en el uso de tecnología más efectiva como en la búsqueda de profesionales del cibercrimen del primer nivel. “Tienen toda la información de esa compañía y saben realmente en cuánto tiempo van a poder mitigar dicho ciberataque”.
También recordó que ha habido inversiones importantes en ciberseguridad pero no se implantaron adecuadamente. “La ciberseguridad debe tener una gobernanza y una implementación de arriba a abajo. La alta dirección debe concienciarse que la ciberseguridad afecta a todo el mundo.”
Desde su punto de vista hay que evitar actitudes de riesgo ante el uso de las tecnologías.
“Llevar una higiene tecnológica sin necesidad de invertir mucho dinero. Es la única manera de convencer a todos los profesionales de una empresa que tengan un comportamiento adecuado”.
Llaneza cree que los despachos de abogados deben mejorar a nivel de medidas más estrictas en materia de ciberseguridad.
“Los abogados tenemos una obligación de secreto profesional avalada por nuestro Estatuto General de la Abogacía y nuestro Código Deontológico y el deber de confidencialidad como viene reflejado en el artículo 199 del Código Penal como deber de guardar silencio de lo que sabemos.”
Esta jurista recordó que estar inmerso en un asunto de este tipo “pone en juego tu reputación como abogado. Gestionamos información de nuestros clientes que debe estar salvaguardada convenientemente. Es importante tomar conciencia de la gravedad de lo que está pasando”, advirtió.
En su intervención José Manuel Roviralta, técnico de seguridad de INCIBE, señaló el funcionamiento de este organismo público que promueve la confianza digital de la ciberseguridad en ciudadanos y empresas y en sectores críticos.
Esta entidad puso en marcha el programa “Protege mi empresa”, donde se trabaja en varios frentes, divulgativo, a nivel formativo. También pone a disposición de la comunidad una serie de herramientas para luchar contra estos ciberataques. “Tenemos varios canales para resolver las dudas que existan para ciudadanos y empresas en materia de ciberseguridad”.
INCIBE ha sacado recientemente una “Guía de ciberseguridad en el teletrabajo” para ayudar a las empresas, pymes y autónomos a gestionar la implantación del trabajo en remoto con la seguridad suficiente para minimizar este tipo de ciberataques. Con la pandemia se han hecho las cosas algo apresuradas y hay que evitar riesgos innecesarios”.
El ciberataque del SEPE
Tras una valoración inicial de cómo habían afrontado empresas y organizaciones los riesgos de ciberseguridad como consecuencia de la situación de teletrabajo obligada por la pandemia, todos los ponentes coincidieron en la importancia de reforzar la concienciación y la cultura de los empleados como medida más efectiva para combatir ciberataques.
Seguidamente, estos expertos explicaron los incidentes de ciberseguridad que se han dado recientemente en diversos organismos y empresas, algunos tan mediáticos como los de SEPE y OVH, aportando posibles causas, consecuencias y maneras de abordarlos.
En el tema del SEPE, Marqués indicó que hay bastante oscurantismo sobre este ciberataque. Considera que la gobernanza y análisis del riesgo de esta entidad dejaba mucho que desear, sin seguir el Esquema Nacional de Ciberseguridad. Al parecer no había ninguna medida para frenar este ataque por ransomware y no se detectó dicha entrada.
Sobre el tiempo que tardará en levantarse no es fácil saberlo.
“A Acer le pidieron cerca de 50 millones de euros, no sabemos la cantidad que se ha pedido a este organismo público”, destacó.
Recordó que Hospital de Torrejón tras un año del ciberataque aún no estaba recuperado en su integridad.
Para Llaneza, en este ciberataque subrayó que hay un problema de ciberseguridad nacional gravísimo. Más allá del pago de las prestaciones y de que se gestionen las nuevas altas, hay también datos de 30 millones de españoles que pueden generar usurpaciones de personalidad.
“No se puede volver a utilizar el sistema actual, hay que utilizar otro nuevo. Adeslas tardó tres meses en restaurar sus sistemas”.
Sobre los ciberataques seguirán afectando en el 2021 Marqués habló de los de ransomware. “Para reducirlos deben confluir una serie de factores, desde la gobernanza y la concienciación de la alta dirección de las empresas, a seguir los consejos y recomendaciones de entidades como INCIBE en este tipo de asuntos a implementar diferentes medidas de seguridad en las diferentes capas del perímetro”.
Desde su punto de vista hay que darse cuenta que ha cambiado nuestro perímetro y nuestro entorno. Hay que proteger todo nuestro entorno, para ello hay que hacer un análisis de riesgo de cada compañía”
Otra cuestión que remarcó es que “ junto con los ciberdelincuentes hay que tener cuidado con las amenazas internas y los propios empleados a los que hay que formar en esta materia. Hay que implementar medidas correctas”.
Desde su punto de vista se trata de implementar medidas de compliance con el ánimo de proteger la información. “Hay que contar con la normativa de protección de datos, directiva NIS, o el 31 bis, la responsabilidad jurídica de las empresas en materia penal”.
Roviralta comentó que “la tendencia de ciberataques se va a mantener a lo largo de este año. El malware y el fraude son dos de los riesgos más importantes para las empresas o ciudadanos. Falta concienciación y formación. Las empresas deben contar con su plan de ciberseguridad, desde una auditoria interna que se haga de manera previa”.
A su juicio, hay que contar con una mente activa para evitar este tipo de vulnerabilidades, algunas de ellas predecibles, donde el ser humano está en medio del mismo”
Este experto remarcó que “deberíamos ser capaces de identificar este tipo de cuestiones o al menos preguntar a nuestro entorno si tuviéramos duda sobre algún correo extraño que recibimos”.
Para Llaneza sería fundamental concienciarse de la importancia de los ciberataques “hay que incorporarlo a nuestros hábitos diarios. Se evitan muchos problemas en el futuro. El problema es que se trabaja de forma arriesgada en diferentes entornos y eso se puede evitar”.
Esta experta llegó a señalar que aún no se ha despedido a ningún trabajador por un problema de ciberseguridad.
“En el momento que se hiciera y luego se obtuviera una sentencia favorable en un juzgado de lo Social es posible que este tipo de situaciones generase mayor seguridad en las empresas”.
A los trabajadores se les informa de esas políticas de ciberseguridad, y se les da información en muchas ocasiones, con lo cual “habría que indicarles que este tipo de comportamientos podría generar su despido de la compañía”.
Por @LuisjaSanchez, Periodista Jurídico
