El Periódico de Aragón

El Periódico de Aragón

ACTUALIZACIÓN DE LOS PROTOCOLOS DE DEFENSA EN LA RED DEL MINISTERIO DEL INTERIOR

Las pymes se blindan en Internet para poder optar a contratos con la Administración

Un decreto obliga a certificarse en seguridad en la red a las compañías para trabajar con la Administración | La inversión media por empresa para superar el examen varía entre los 3.000 y los 6.000 euros

La ciberseguridad se vuelve una realidad de primer plano para las pequeñas y medianas empresas, que deberán adherirse al protocolo nacional para acceder a las licitaciones públicas. El Periódico

Internet es un territorio hostil. Entre 'Pegasus', 'ransonware' y 'crackers' se maneja uno en el mundo virtual, al quite de los sitios web sospechosos aunque ignorante ante la mayoría de los peligros de la red. La Administración pretende ponerle cerco al riesgo y, a través de un decreto firmado en 2010 pero actualizado este año, el Ministerio del Interior obligará a que cualquier empresa que quiera acceder a la licitación de pliegos públicos deba certificar unos requisitos mínimos en ciberseguridad. Para las pymes, la cuestión supondrá una inversión media de entre 3.000 y 6.000 euros en un contexto inflacionista, además de una constante formación y la creación de un comité de ciberseguridad en su seno.

El decreto en cuestión es el llamado Esquema Nacional de Seguridad (ENS), elaborado por los centros de inteligencia y encriptación españoles (el Centro Nacional de Inteligencia [CNI] y el Incibe). El caso es que la norma obliga a levantar muros de protección a ayuntamientos de cualquier tamaño, parlamentos autonómicos y otras instituciones públicas. Por efecto tractor, las administraciones tendrán que obligar a las empresas a cumplir con los requisitos de protección de datos, creación de cortafuegos y, sobre todo, la concienciación de los trabajadores. Si el virus entra por un resquicio, el riesgo de contagio masivo es alto. En juego está la seguridad de la información que maneja la Administración, que no es otra que los datos de los ciudadanos de a pie.

No hay vuelta de hoja. Los expertos ya hablan de un incipiente aluvión de pequeñas y medianas empresas que se apuntan ya a las formaciones. Sin embargo, el desconocimiento reina sobre esta cuestión. Algunas consultoras como Kyocera o Delette Technology alertan de que el 90% de las organizaciones españolas no cumplen el nuevo esquema, que establece, entre otras cuestiones, la obligatoriedad de un borrado seguro.

Algunas consultoras como Kyocera o Delette Technology alertan de que el 90% de las organizaciones españolas no cumplen el nuevo esquema

decoration

"Dentro de 5 años, el que no se haya puesto al día con el ENS no podrá trabajar con el ente público y se quedará muy atrás", afirma David López, director ejecutivo (CEO) de Cibergob, una asesoría aragonesa que ayuda a otras empresas e instituciones a mantener actualizados y operativos sus protocolos de ciberseguridad. Las pymes ya se han puesto las pilas, si bien es cierto que las grandes multinacionales les llevan ventaja. 

Examen para el certificado

Una empresa puede certificarse por sí sola en el ENS presentándose al examen de entidades como Aenor (Asociación Española de Normalización y Certificación), pero lo habitual es preparar el camino de forma tutelada. Sirva esta analogía para una mejor comprensión. Aenor es el examinador del examen de conducir, una consultora como Cibergob es una autoescuela y la empresa aspirante es el aprendiz de conductor. El novel puede aprobar y conducir el vehículo; circular por la ciudad ya es otra cosa.

"Los ciberdelincuentes tienen una industria. Trabajan sus ocho horas y se van a casa, que nadie se piense que es algo artesanal"

David López - CEO de la asesoría Cibergob

decoration

Una de esas empresas que ahora se prepara para obtener la certificación con Cibergob es la pyme aragonesa Sincronet, que se dedica a revisar e investigar rastros tras los ataque informáticos. Como puede deducirse, la mayoría de las organizaciones que se apresuran por adecuarse a la normativa son del gremio de la Informática todavía. Sin embargo, la seguridad informática concierne a todos. "Es un problema de concienciación. A algún gerente que ha sufrido ataques le dura la concienciación 15 días", critica José Manuel López, CEO de Sincronet.

Formación activa

"El ENS no es flor de un día. Te exige demostrar que existe un sistema de gestión, que analizas la información de la tecnología y que después tomas decisiones en base a esa información», apunta David López, de Cibergob. El responsable de la asesoría divide el protocolo en dos vertientes. Primero, la tecnológica: cortafuegos, sistemas operativos, enrutadores... Y segundo, pero infinitamente más importante, la formación de los usuarios, de los trabajadores. "Deben ser responsables de la información que gestionan y conscientes de que hay gente dispuesta a estafarnos", cuenta López.

La oficina de Cibergob en Zaragoza, una asesoría en seguridad cibernética que trabaja en la actualización de protocolos con la Administración y pymes. ANGEL DE CASTRO

De ahí que se vuelva primordial la gestión de los procesos internos. Explican desde Cibergob que someten a pruebas a sus clientes para comprobar que los protocolos están vigentes. Por ejemplo, envían un 'mail phising', un correo electrónico que simula ser una organización legítima pero cuyo único objetivo es robar información privada. "Enviamos 35 mensajes, uno por trabajador, y cae el 10%. Si cae uno, todo el mundo está en riesgo. Esa es la formación activa", explica López.

Secuestros informáticos

Los ataques cibernéticos más habituales en la escala de las pequeñas empresas son los secuestros y la suplantación de identidad. "Lo que más nos encontramos es el 'ransomware', que consiste en un secuestro de una máquina por el que se exige un pago para desbloquear el virus", relata el CEO de Cibergob.

También se observan muchos casos de suplantación de la identidad. Consiste esto en que el hacker se introduce en la empresa a través de correos electrónicos, cupones falsos y otras triquiñuelas. El ciberdelincuente escucha lo que pasa en la empresa, conoce quién firma los contratos o quiénes son los responsables de cada área. Y justo en el momento preciso, cuando debe hacerse una transferencia, desvía la cuenta bancaria para ejecutar el robo. "Los ciberdelincuentes tienen una industria. Trabajan sus ocho horas y se van a casa, que nadie se piense que es algo artesanal. Los ataques son masivos", advierte López. La ciberseguridad llama a la puerta. Hora de ponerse al día. 

LAS RECOMENDACIONES DEL EXPERTO

Más allá de cortafuegos y defensas técnicas, los expertos en ciberseguridad recomiendan combatir la ignorancia e ingenuidad que muchos usuarios manifiestan en la cuestión de la seguridad electrónica. Ahí van algunas cuestiones básicas.

"Por supuesto, está terminantemente prohibido el uso de dispositivos USB que se hayan conectado al ordenador del hogar", revela David López, de la asesora Cibergob. De igual modo, debe instaurarse protocolos por los que información como datos bancarios no deben enviarse por correo electrónico. Mejor una llamada tradicional al destinatario y así no se corren riesgos. Y del mismo modo, mucho ojo con los cupones descuento y las promociones: los ciberdelincuentes suelen hacerse pasar por organizaciones legítimas para infiltrarse en los ordenadores de las empresas.

De hecho, existen alternativas que nacen de jóvenes mentes de la Universidad de Zaragoza para combatir la ciberdelincuencia. La startup de emprendimiento informático Lemon Technology desarrolló un dispositivo capaz de sustituir a un ordenador para el teletrabajo. «Posee un módem integrado con una tecnología innovadora que optimiza las conexiones permitiendo así trabajar desde cualquier sitio aumentando la zona geográfica del teletrabajo a las áreas rurales, y funciona con solo conectarlo a una pantalla, un teclado y un ratón», explican fuentes de la compañía.

El funcionamiento es sencillo. El 'lemon', como se llama el dispositivo, hace uso de la inteligencia artificial para identificar al usuario y lo valida de forma continua. Además, realiza informes de horarios y uso de programas para aumentar la productividad de las empresas. Por último y no menos importante, debido a sus bajos consumos eléctricos y su larga vida útil contribuimos al cuidado del medio ambiente. 

Compartir el artículo

stats