

> Entrevista a Daniel López Rivas.
Daniel López es Técnico Superior en Informática del Servicio de Informática y Comunicaciones de la Universidade da Coruña y profesor del Máster Interuniversitario en Ciberseguridad. Además, será el primer ponente de nuestra I Jornada ‘Claves de Ciberseguridad para PYMEs’ en Galicia, que tratará sobre el análisis de (ciber) riesgos. Por eso, le hemos invitado a contarnos un poco de lo que podremos ver en el evento.
1. Tu charla se titula Análisis de riesgos y gestión de incidentes de seguridad. Conócete y aprende a actuar. ¿Es necesario ser informático tener amplios conocimientos de informática para protegerse?
Como indica el título de la ponencia, lo que pretendo es que cada uno de los asistentes haga introspectiva de su empresa, y de si mismo, en su relación con las tecnologías de la información; y que, a partir de este punto, pueda empezar a valorar que cosas son más importantes dentro de su empresa y cuáles son menos. Eso le va a permitir priorizar las medidas de seguridad necesarias para la protección de estos activos.
Sobre la necesidad (o no) de tener amplios conocimientos de informática para protegerse, te podría responder como buen gallego que soy con un DEPENDE. En primer lugar, hay que dejar claro que la seguridad de la información es una actividad transversal a toda la organización, no debe estar únicamente ceñida al entorno de las tecnologías de la información, o ¿es más importante la información que tenemos almacenada en los sistemas informáticos que aquella que tenemos, por ejemplo, en soporte papel?
Una vez que dejamos claro eso, podríamos decir que todas las personas de la organización deben ayudar en la protección de su información. Está claro que unas personas tendrán un rol más activo en esta seguridad y otras menos pero normalmente la seguridad de la información se suele definir como una cadena donde su fortaleza depende del eslabón más débil de la misma. Esto nos lleva al «Depende» original.
No es necesario tener amplios conocimientos en seguridad de la información para protegerse pero sí se necesitan dichos conocimientos para diseñar una adecuada política de seguridad de la información. Una analogía que suelo utilizar mucho en el ámbito de tu pregunta es: ¿Se necesita ser cerrajero o especialista en seguridad para proteger tu hogar? Yo creo que no.
2. ¿Cómo puede un usuario normal empezar a protegerse frente a posibles ciberdelitos? ¿Podrías darnos 3 o 4 pautas?
El primer paso para protegerse frente a posibles ciberdelitos es concienciarse que existen los ciberdelitos. Volviendo a la analogía anterior: el primer paso para proteger tu hogar es concienciarte de que existe la posibilidad de un ataque a tu hogar. A partir de este punto, cada uno en la medida de lo posible debe establecer las medidas de seguridad que considere oportunas y apoyarse en los profesionales o empresas del sector que ofrecen soluciones acordes a su negocio.
Respecto a las pautas, lo más importante es ser precavido, realista y conocer tu negocio. En mi caso, no soy muy partidario de un recetario estándar si no más bien de estudiar la situación concreta y establecer unas pautas adecuadas a dicha situación.
3. ¿Crees que los jóvenes profesionales o millennials están más preparados que los perfiles más senior para defenderse frente a ciberataques? ¿Por qué?
Hubo un tiempo en que así lo pensaba. Creía que que los millenials por ser «nativos digitales» debían ser más conscientes de los peligros que pueden encontrarse en las redes de comunicaciones pero, poco a poco, me he dado cuenta de que estaba equivocado. Al final la experiencia es un grado, y la experiencia en la vida hace que los perfiles más senior, que se han enfrentado a muchas más situaciones de vida, estén en muchas ocasiones mejor preparados para abordar la seguridad de la información que los jóvenes profesionales. De todas formas he de decir que desde mi experiencia el factor diferenciador es claramente la formación, entregar una formación adecuada y de calidad a los componentes de tu empresa es probablemente la mejor tarea a realizar de cara a la seguridad de la información.
4. ¿Por qué crees que es importante conocer los ciberriesgos a los que se enfrentan?
Yo creo que esto es una máxima en la vida: necesitas conocer los peligros a los que te enfrentas para saber dónde debes poner el foco en tu protección. Muchas veces me encuentro con la típica frase de: «Yo no soy Amazón o Google… ¿quién va a querer atacarme o robarme información o activos económicos a mi?». Desde mi punto de vista, esto es un grave error.
Siguiendo la analogía de esta entrevista, posiblemente en la mayoría de los hogares no exista la misma cantidad de dinero, por ejemplo, que un banco; pero lo protegemos igualmente. ¿Por qué? Pues porque los ciberdelicuentes tienen 2 formas de obtener ingresos que son con «pocos muchos» o con «muchos pocos» y la mayoría de las veces es más sencillo hacer «muchos pocos» que «pocos muchos» ya que las organizaciones a las que se les puede hacer «mucho daño» suelen ya emplear medidas de ciberseguridad más avanzadas y posiblemente sea complicado tener éxito en su ataque.
5. ¿Qué aprenderán los asistentes en tu ponencia?
La ponencia intentará guiar a los asistentes en la forma en la que deberían realizar un análisis de riesgos dentro de su organización, desde los servicios esenciales hasta los activos que los componen. Este análisis de riesgos nos ayudará a buscar las mejores soluciones de prevención. Por otro lado también se tratará la gestión de incidencias, que en este caso pondrá el foco en la parte de la detección y mitigación de los ataques e intrusiones. Con la conjunción de estos dos elementos, abordaremos tres puntos claves de la seguridad de la información: prevención, detección y mitigación.
¿Quieres asistir a esta ponencia en la I Jornada ‘Claves de Ciberseguridad para PYMEs’ en Galicia?
*Gratis hasta completar aforo; aforo limitado.