Ciberseguridade: A tarefa pendente
A Real Academia Galega (RAG) nas modificacións feitas no mes de xuño ao seu Dicionario incorporou unha serie de termos, que mostran a crecente importancia deste asunto, e que están directamente relacionados con el, tales como ciberataque, ciberacoso, ciberseguridade ou ciberdelincuencia. Ademais o Regulamento Xeral de Protección de Datos (UE 2016/679) introduce o concepto de seguridade activa obrigando a realizar un Análise de Riscos e a establecer unhas medidas de seguridade, notificando así mesmo de violacións de seguridade dos datos e avaliando o impacto sobre a protección dos mesmos.
Resulta equivocado pensar que unha organización, por pequena que sexa, estará menos afectada polos ciberataques, xa que o 43% destes concéntranse nas pequenas e medianas empresas. É dicir que un botín menor en potencia, pero con medidas de seguridade menos sofisticadas converten as mesmas nun obxectivo máis atractivo para os ciberdelincuentes. Temos que desterrar tamén a idea de que o obxectivo son unicamente os cartos xa que o botín pode consistir tamén en cousas máis valiosas como poden ser os datos persoais e/ou a modificación dos mesmos.
Descargas, infeccións vía email ou a introdución dun USB pasan por ser os maiores riscos que provocaron recentemente, por exemplo, ataques de ransomware (secuestro do ordenador cifrando o contido e liberación a cambio dun rescate). Estes ataques e estes procedementos de entrada poden estar evolucionando a outros máis sofisticados de autopropagación. De todos os xeitos os maiores riscos a atender están no correo electrónico, a páxina web, os servidores propios, o teletraballo e os dispositivos móbiles con información da organización, ademais dos servizos na nube.
A Unión Europea ven de anunciar a creación da Axencia Europea de Ciberseguridade, tendo no Estado xa en funcionamento o INCIBE (Instituto Nacional de Ciberseguridade) e o Centro Criptolóxico Nacional (CCN), onde se pode acudir en busca de máis información como boletíns, software, análise de riscos, etc.
É preciso fomentar a ciberseguridade no tecido empresarial local, onde cada vez máis se asenta a economía dixital destinada a proporcionar servizos aos clientes. Son obxectivos principais detectar ataques e responder, concienciar empresas, Administracións Públicas e cidadáns en xeral e apostar polo talento do tecido local, capacitado para crear solucións locais de ciberseguridade para o cal, obviamente, a administración tense que ocupar de formar ás mesmas.
Importantísimo pois concienciar a políticos, empresarios e persoas sobre a ciberseguridade. O primordial é acadar un marco de confianza e seguridade que garanta o crecemento das empresas en Internet e posibilite a administración dixital que xa por Lei é imperativa.
Temos que pensar que no modelo actual de Protección de Datos, o Delegado de Protección de Datos (DPO na súa acepción inglesa) axuda na toma de decisións pero non decide, senón que supervisa e informa. Quen decide é o Responsable do Tratamento, é dicir, a propia empresa ou en quen esta delegue. Así pois hai que documentar todo para garantir e demostrar o que facemos coa nosa seguridade, e de esta verse comprometida existe a obriga de comunicar tanto aos/as interesados/as como a Axencia de Protección de Datos.
No mundo cambiante da tecnoloxía dixital o coñecemento é fulcral, xunto coa continúa formación nas novas técnicas, funcionalidades e perigos que día a día van aparecendo. Esta é unha das grandes eivas do mundo dixital: a falla de persoas cun coñecemento axeitado para atender a esta demanda. A universidade non xera tituladas e titulados á velocidade requirida pola sociedade, mesmo incluso detéctase unha diminución de vocacións nas áreas técnicas, nas que lamentablemente tamén diminúen alarmantemente as porcentaxes de mulleres. Para colmo na Galiza e froito dunhas descabelladas políticas do Partido Popular, a fuxida cara ao exterior do coñecemento, debida a falla de oportunidades, a non estimulación da investigación e a non valoración dos profesionais, está resultando tan alarmante que podemos estar a falar dunha xeración perdida, que xa será imposible recuperar.
Para rematar imos enunciar as dez leis inmutables da seguridade dixital: (1) Se alguén pode persuadirte de executar o seu programa no teu ordenador, este ordenador deixa de ser o teu ordenador (2) Se alguén pode alterar o sistema operativo do teu ordenador, este ordenador deixa de ser o teu ordenador (3) Se alguén ten acceso físico ao teu ordenador, deixa de ser o teu ordenador (4) Se deixas que alguén execute contido activo no teu sitio web, xa non é máis o teu sitio web (5) As contrasinais débiles derrotan a seguridade forte (6) Un ordenador solo está seguro na medida na que o seu administrador é confiable (7) Os datos cifrados solo están tan seguros como a chave de cifrado (8) Un antivirus / antimalware desactualizado é solo lixeiramente mellor que ningún antivirus (9) O anonimato absoluto non é factible, online ou offline (10) A tecnoloxía non é unha panacea.