Ciberseguridad: Vulnerabilidades Presentes y Futuras.

El pasado lunes 6 de junio, nuestro Director Oswaldo Lorenzo participó como invitado a una mesa redonda en el Webinar de la Plataforma Disruptive de Asociación de Parques Científicos y Tecnológicos de España (APTE) y CDTI innovación para hablar sobre Ciberseguridad: Vulnerabilidad Presentes y Futuras.

Es esta actividad participaron:

• Moderación: Soledad Díaz Campos. Directora Gerente de APTE (Secretaría Técnica de PTE Disruptive)
• Oswaldo Lorenzo – Director de Unikemia: Firewall humano
• Francisco Luis Benítez – Coordinador Investigación Disruptiva – FIDESOL – RED ÉGIDA: Soluciones a futuros problemas desde el punto de vista empresarial.
• MAR L. – Senior Manager Accenture: Necesidad de cultura de ciberseguridad – Estrategia Nacional de Ciberseguridad.
• Deepak Daswani – experto en ciberseguridad: Ciberseguridad en la sociedad actual.
• Sonia Yuste – Senior Cloud Infrastructure Security Specialist en Oracle: Vulnerabilidades en el ámbito cloud. Antonio Carvajal – Responsable Departamento de Tecnología e Innovación de OPPLUS. La ciberseguridad en el ámbito de la banca.

A continuación, presentamos un resumen de los temas abordados por Oswaldo Lorenzo:

¿Por qué hablar de firewall humano?

Uno de los principales retos actuales que enfrentan las organizaciones a nivel mundial es el desarrollar y/o mejorar una cultura de ciberseguridad en sus managers, colaboradores, empleados y principales actores de su cadena de valor.

Para lograrlo, es fundamental la concienciación de los empleados y colaboradores en este ámbito y que debe ser realizada a todos los niveles, desde los altos directivos, pasando por los managers y hasta cubrir a toda la organización.

La construcción de una cultura de ciberseguridad empresarial que permita crear un «firewall humano» es fundamental para ganar la batalla a los ciberdelincuentes.

Un firewall, también llamado cortafuegos, es un sistema cuya función es prevenir y proteger nuestras redes, equipos, información de intrusiones o ataques de usuarios no autorizados, bloqueándole el acceso. Normalmente hablamos de firewall por hardware y por software. Recientemente, hemos introducido el término firewall humano.

Cuando hablamos de ciberseguridad, los humanos son generalmente el eslabón más débil. Aunque las máquinas también puedan ser engañadas, los humanos son muy susceptibles de ser víctimas de diferentes tipos de tácticas. A estas prácticas se las conoce como ingeniería social, y los hackers han desarrollado muchos tipos de ingeniería social para tener acceso a información confidencial y robar datos, dinero y otros bienes.

La ingeniería social se aprovecha de los sesgos cognitivos de las personas, que son como fallos en el hardware humano. Hay muchos sesgos cognitivos que las personas malintencionadas pueden aprovechar. Por ejemplo, la tendencia humana de confiar en personas percibidas como amables, atractivas o con alguna autoridad puede usarse en nuestra contra en ataques de ingeniería social.

En términos generales podemos hablar de firewall humano cuando se adquiere un compromiso por un grupo de personas (empleados, trabajadores, colaboradores de una empresa) para llevar a la práctica medidas que tengan como objetivo la implementación de ciberseguridad.

Para ello, los empleadores deben invertir parte de su tiempo en formación y desarrollo de habilidades para garantizar la ciberseguridad. No necesitamos que sean expertos en ciberseguridad, solamente necesitamos que estén sensibilizados con la ciberseguridad, conozcan las posibles vulnerabilidades, sean capaces de anticiparse, entre otras. Por ejemplo, tenemos que reducir la velocidad del dedo a la hora de hacer clic en mensajes, etc. Todas las estadísticas nos dicen que un alto porcentaje de los incidentes informáticos ocurren al hacer clic en mensajes sospechosos.

¿Cuáles son las acciones claves para crear una cultura de ciberseguridad?

Entre las acciones clave que se pueden mencionar para el desarrollo de una cultura de ciberseguridad podemos mencionar las siguientes:

• Liderazgo y estrategia desde la alta dirección
• Equipos de trabajo de concienciación
• Formación a todos los niveles
• Uso de diferentes metodologías de aprendizaje (casos, ejercicios de puesta en práctica, simulaciones de ataques, aprendizaje colaborativo)
• Participación en grupos de interés entre empresas para intercambiar experiencias
• Medición continua de los problemas y los avances

¿Cuáles son los contenidos o temas claves en la formación de ciberseguridad en la empresa?

• Importancia de la seguridad de la información
• Ingeniería social
• Fraude del CEO
• Redes sociales seguras (dentro empresa)
• Uso de dispositivos almacenamiento extraíble
• App móviles
• Buenas costumbres en uso de móvil
• Qué es phishing
• Virus
• Contraseñas
• Teletrabajo – seguridad perimetral
• Cómo afrontar y reportar incidentes
• Acuerdos de confidencialidad
• Uso seguro de apps en móviles
• Redes
• Ramsonware
• Seguridad de datos
• Pagos tarjetas
• Cloud
• RGDP

¿Cuáles metodologías y formatos de aprendizaje son efectivos a nivel corporativo o empresarial?

Entregar contenido de temas claves relacionados con la seguridad de la información en línea: Dispositivos, Información Sensible, Ingeniería Social y Navegación Segura (correo electrónico).

Proveer itinerarios de aprendizaje en el ámbito de sensibilización en Ciberseguridad para los participantes de las empresas, combinando formatos de autoaprendizaje con clases en vivo (con expertos) y ejercicios de puesta en práctica (call-to-action y ataques simulados). En conclusión, es muy importante planificar y ejecutar actividades que permitan aprender conceptos, tipos de vulnerabilidades y amenazas, buenas prácticas, y también que permitan poner en práctica las nuevas habilidades requeridas y la implementación de las buenas prácticas.