“No hay que ser ingenuos. Todos somos objetivos de un ciberataque”. Son palabras de Carmen Serrano, Jefa de Servicio de Seguridad en Generalitat Valenciana, una de las participantes en el ‘think tank’ de Suma celebrado esta semana en la sede de SumaInnova en San Vicente, donde expertos en seguridad informática debatieron sobre los riesgos de la red y los mecanismos necesarios para prevenir los posibles ataques.
Manuel Bonilla, director ejecutivo del organismo Suma Gestión Tributaria, y Jesús Villar, alcalde de San Vicente, localidad que acoge la sede de SumaInnova, fueron los anfitriones de una jornada en la que los participantes coincidieron en señalar la buena salud de la seguridad en España, si bien asumieron que es “imposible” protegerlo todo. La formación del ciudadano o del empresario, la concienciación de que debe proteger sus datos y la inversión en herramientas y profesionales que puedan garantizar su seguridad en un mundo cada vez más interconectado fueron las principales conclusiones del coloquio.
Además de Carmen Serrano, el sector público estuvo representado por Juan José Almela, Director General de Informática, Patrimonio y Telecomunicaciones de la Región de Murcia; el sector privado por Fernando Ballestero, consultor independiente en temas de Economía Digital con 20 años de experiencia en la empresa privada y las administraciones públicas; Damián Ruiz, Red Team Manager y Director de Evaluación de Ciberseguridad de BANKIA; y Joaquín Garrido Mora, Socio- Director de Clavei, mientras el mundo académico contó con la representación de Federico Botella Beviá, Vicerrector en Tecnologías de la Información y profesor de lenguajes y sistemas informáticos de la UMH, y Francisco José Mora Gimeno, del Departamento de Tecnología informática y computación de la Universidad de Alicante.
Serrano explicó que los piratas informáticos buscan “datos e información para vender”, por lo que la administración pública es un objetivo por la gran cantidad de los que maneja, ya sean económicos, privados o sanitarios. “Hay que asumir que existen riesgos, pero sin caer en el dramatismo”, dijo. Damián Ruiz, cuyo trabajo en anticiparse a los piratas intentando buscar fallos en los sistemas de seguridad de su propia empresa, puso énfasis en la prevención y en los test previos para controlar posibles “agujeros” en el sistema. Francisco José Mora detalló los cuatro pasos del proceso que se deben seguir en un protocolo de seguridad: “prevención, detección, recuperación de datos y el informe forense para averiguar la causa”, dijo. En este sentido, destacó la importancia de contar con un “plan de contingencia por si pasa algo no deseado”, en alusión a un ataque imprevisto.
El 80% de los ataques pertenecen a personas internas de las empresas o a la administración, desvelaron los expertos, quienes también enfocaron a los “proveedores”, ya sea de forma accidental o voluntaria, como posible fuente de contaminación. “Nosotros exigimos un contrato de seguridad”, apuntó la Jefa de Servicio de Seguridad de la Generalitat Valenciana. El responsable de Evaluación de Ciberseguridad de Bankia abogó por dar soporte a las empresas privadas y concienciarlas de la importancia de tener una buena protección. Ruiz pidió apostar por el “talento local, que hay mucho y bueno para controlar la seguridad” y recomendó “externalizarla”. Ballestero dijo que las Pymes no suelen ser conscientes del riesgo que corren y pidió que pongan la seguridad de sus empresas en manos de profesionales. “Invertir en seguridad no es un gasto, sino una inversión. Es prever lo necesario”, apostilló. “Es necesario una inversión en mejorar la seguridad y en personal cualificado y que el fabricante también asuma responsabilidades”, añadió Carmen Serrano.
Almela valoró el “alto nivel de seguridad” de la administración y de las empresas privadas en España, al igual que Garrido, quien, sin embargo, también cree que los empresarios no son realmente conscientes del riesgo que corren ante un posible ataque en el que pueden perder todos sus datos. “Si se minimiza el problema la gente no toma conciencia de él”, defiende. Botella admitió los “riesgos reales” de la red y recordó, de forma irónica, que el único ordenador completamente seguro es aquel “que no está conectado y está enterrado en la arena”. “Solo con algunas pequeñas buenas prácticas podemos reducir mucho el riesgo, como no abrir correos con premios o dar datos de nuestras tarjetas”, explicó.
Garrido lamentó la “diferente velocidad” en la que se mueven la administración y el mundo digital, lo que hace muy complicado que las normativas que se adaptan en materia de seguridad se adapten a las necesidades de los ciudadanos y las empresas. Prueba del nuevo escenario digital es que, según relató Mora, el mundo militar ya contempla el ciberespacio como un cuarto escenario a proteger “tras tierra, mar y aire”. Durante la última parte del encuentro, se abordaron las conclusiones de la jornada y los miembros del equipo de Suma que participaron en el Think Tank plantearon ideas sobre aplicaciones concretas en materia de ciberseguridad en la actividad del organismo tributario. El propio equipo enfatizó la importancia de este tipo de Think Tanks que les aportan formación, motivación y un valioso feedback para mejorar Suma Gestión Tributaria.
Por su parte, los expertos que participaron en este encuentro, valoraron muy positivamente esta iniciativa impulsada por la División de Innovación de Suma Gestión Tributaria, SumaInnova, (más información en sumainnova.com) que de forma regular organiza Thins Tanks para debatir sobre temas relacionados con la innovación, la transformación digital y tecnologías disruptivas, como la inteligencia artificial o el blockchain.
-
-
“Hay que inculcar cultura de ciberseguridad”
Serrano explicó que desde la Generalitat Valenciana se han desarrollado en los últimos tiempos proyectos para mejorar la red corporativa y para proteger a las empresas y los ciudadanos de los posibles ataques y robo de sus datos. “No solo se trata de mejorar la protección, sino también de desarrollar acciones hacia afuera, de informar”, afirma. “Hay que inculcar la cultura de la ciberseguridad”, añade la responsable de Servicio de Seguridad en la Generalitat Valenciana. Serrano detalló, además, programas para formar a los adolescentes y colegiales, proteger a las víctimas de violencia de género y planes en administraciones locales para llegar a los ayuntamientos. “La seguridad es incómoda, porque te obliga a contraseñas, pero hay que asumirla”, sentenció.
-
“Prevención e información”
Juan José Almela aseguró que para su administración lo más importante es la seguridad del ciudadano y, sobre todo, de aquellos colectivos que pueden estar más indefensos, como los niños. “Antes éramos más reactivos, actuábamos después del problema. Pero ahora se impone ser proactivos y prestar atención a la prevención y la información de los riesgos del mundo digital”, comentó el Director General de Informática, Patrimonio y Telecomunicaciones de la Región de Murcia. “El riesgo cero no existe, pero tampoco debemos crear alarma o intranquilidad. La seguridad ha mejorado a todos los niveles y podemos estar contentos de los niveles que tenemos en España, pero siempre hay que tomar medidas de prevención”, sentenció.
-
“Tecnología más formación”
Fernando Ballestero cuenta con una dilatada experiencia en la empresa privada y las administraciones públicas y ha ocupado varios cargos en entidades internacionales de prestigio, como el Consejo del CERN (European Organization for Nuclear Research), el Consejo de ESO (European Southern Observatory) y el Consejo del INL (International Iberian Laboratory of nanotechnology). “Tenemos cada vez más mecanismos de seguridad para prevenir los ataques y frenarlos”, dijo Ballestero, quien valoró la importancia de los avances en “inteligencia artificial” para detectar pautas en los comportamientos que puedan ser sospechosos. “No basta con tener la tecnología. Los riesgos están ahí y hay que asumirlos. Es importante concienciar a las personas y formarlas”, explicó el experto.
-
-
“Hay que asumir que hay fallos”
El Director de Evaluación de Ciberseguridad de BANKIA dirige un equipo cuya misión es atacar los sistemas de su empresa para comprobar sus grietas y prepararlos para combatir las entradas no deseadas a su sistema informático. Damián Ruiz entiende que en política de seguridad las empresas y las administraciones tienen que hacer el esfuerzo de contar con un dispositivo de prevención de nivel “máximo y elevado”. “Cuando sometes a un test a tu propio sistema de seguridad debes asumir que siempre hay fallos y que algo va a aparecer”, confesó Ruiz, quien recordó que los piratas informáticos suelen ir varios pasos por delante. “Hoy en día el peligro puede estar en cualquier conexión, aunque sea privada”, alertó.
-
“Información y difusión”
Joaquín Garrido Mora considera que falta concienciación, sobre todo a pequeño nivel en el mundo empresarial, de que la ciberseguridad es clave en el mundo actual. “He visto empresarios perderlo todo y quedarse sin un solo dato de todo su negocio por un ataque. Quedarse de la noche a la mañana sin nada”, afirma el Socio-Director de Clavei. Garrido asegura que es clave la “difusión y la información” para personas y pymes, ya que insiste en que en muchas ocasiones los pequeños empresarios dejan las cuestiones de seguridad en manos de personas poco cualificadas. También señala que las asesorías deben asumir el rol de prevenir e informar a sus clientes de los riesgos.
-
“Facilitar la usabilidad”
El Vicerrector en Tecnologías de la Información de la UMH considera fundamental desarrollar un plan de concienciación para que ciudadanos y empresas tomen conciencia de las amenazas que esconde el mundo digital. Sin embargo, Federico Botella defiende que el ciudadano no quiere saber de seguridad, por lo que son los tecnócratas los que deben darle esas garantías. “El ciudadano se siente dubitativo en el mundo cibernético. Hay que facilitar la usabilidad de la seguridad”, explicó Botella, quien puso como ejemplo las populares consolas de videojuegos como un instrumento desde el que se puede acceder a los datos privados o contraseñas de un usuario privado.
-
“Atención y concienciación”
Francisco José Mora Gimeno valoró el nivel de seguridad de las grandes empresas españolas y dijo que los pilares para evitar ataques son la “atención y la concienciación” de los usuarios. El responsable del Departamento de Tecnología informática y computación de la Universidad de Alicante imparte un máster de seguridad en el que se basa en una docencia de calidad y que no está destinado a profesores o alumnos, ya que los técnicos de las empresas pueden actualizar sus conocimientos. Mora parafraseó a un profesor estadounidense para recordar que “el gran enemigo de la seguridad es la complejidad”. “En caso de ataque, hay que recuperar los datos lo antes posible”, concluyó.
El director ejecutivo de Suma Gestión Tributaria, Manuel Bonilla, puso en valor la importancia de poner al alcance de los empleados del organismo el conocimiento y la experiencia de expertos y referentes nacionales e internacionales en materias como, en este caso, la ciberseguridad, y en casos anteriores, la inteligencia artificial y el Blockchain.
A este respecto, Bonilla aludió a los foros, workshops, think tanks y desayunos de innovación que se están impulsando durante los 3 últimos años desde SumaInnova como herramienta que permite mejorar y motivar el talento del organismo, gracias a la hibridación y a la formación que se aporta.
SUMAINNOVA, la transformación digital en un organismo público
Suma Gestión Tributaria, organismo de la Diputación Provincial de Alicante que se encarga de la gestión de los tributos municipales de los ayuntamientos, se encuentra inmerso desde hace cerca de tres años en un ambicioso proceso de investigación y desarrollo de proyectos punteros basados en la innovación y la aplicación en el campo tributario de tecnologías disruptivas tales como el Big Data, la Inteligencia Artificial o el Blockchain, entre otras.
En este sentido, SumaInnova es la División de Innovación de Suma Gestión Tributaria. Se trata de un proyecto pionero dentro de la Administración Pública y el campo de la tributación local cuyo objetivo es detectar, explorar, testar, desarrollar e implementar en el organismo tecnologías disruptivas y de vanguardia con el fin de mejorar la calidad en el servicio, aportar más valor, generar más eficiencia y ser más sostenible con el entorno.
Metodología
SumaInnova tiene una metodología y un Know How innovador propio que se compone de diversos espacios físicos y virtuales donde se desarrollan y ejecutan todas las iniciativas y proyectos, que son liderados e impulsados por equipos de trabajo multidisciplinares y de alto rendimiento bajo la filosofía startup.
En este sentido, la metodología con la que opera SumaInnova consta de tres fases: SandBox, LabTec y Core Business Implementation.
En primer lugar, el SandBox es la fase de investigación y análisis de tecnologías al objeto de valorar sus posibles aplicaciones en la actividad de Suma. Los proyectos que pasan esta primera fase se derivan al LabTec, donde se testan y se realizan pruebas piloto, se corrigen posibles errores, se incorporan mejoras, etc. Los proyectos que alcanzan la oportuna madurez y confirman su viabilidad pasan finalmente a la fase de Core Business Implementation o producción, para su escalabilidad en la actividad de Suma, ya que han demostrado ser casos de éxito.
Para el desarrollo de estos proyectos, SumaInnova utiliza sus recursos propios y en determinados casos hibrida y colabora con otras administraciones públicas, universidades, empresas y startups.
Más de 20 proyectos en marcha
En estos momentos, SumaInnova (sumainnova.com) está trabajando en más de una veintena de proyectos que se encuentran en distintas fases de maduración, entre los que destacan el chatbot, la inteligencia artificial aplicada a escrituras públicas, el Big Data, MOOCs, scoring fintech, la app de proveedores o el blockchain aplicado al padrón de sanciones