El viernes comencé un taller de la mano de Euskalit en torno a ciberseguridad. Como quien está detrás es el colega Venan Llona, sabía de sobra que accedía a un pozo de ciencia al respecto. La metodología de 5S digitales que usamos nos permite, en la tercera S, una reflexión básica sobre los riesgos en que incurrimos cuando trabajamos la gestión de la documentación digital en un determinado ámbito. Creo que en 2021 no hay forma de eludir esta responsabilidad. Disponer de un entorno de trabajo digital mediante las 5S digitales obliga a incorporar sí o sí aspectos de ciberseguridad.
Venan de vez en cuando emplea la expresión «power user» para referirse a quien escribe estas líneas. Me da que se deja llevar por el cariño. El viernes, a medida que iba desgranando las diferentes capas que rodean eso llamado «ciberseguridad», me iba hundiendo poco a poco en mi propia miseria. Por supuesto, aguanté digno toda la sesión, pero al terminar me iba quedando claro que estamos ante un asunto increiblemente complejo.
Desde el punto de vista de un ciudadano de base —me permitís aplicarme la expresión por mucho que Venan insista en elevarme a power user— creo que el asunto a día de hoy nos supera. Conste que tenemos recursos a nuestra disposición. Por ejemplo, me quedé maravillado de lo que alberga la web de INCIBE, el Instituto Nacional de Ciberseguridad, y tomé buena nota para recomerdarlo en próximos proyectos de 5S digitales. Sin embargo, es tal la cantidad de contenidos que llega a abrumar. Sobre todo, si la perspectiva es organizativa. No hablo de lo que nos compete desde el punto de vista personal (que daría para otra serie de posts), sino más bien del ámbito laboral.
Me parece fundamental hacer pedagogía con la ciberseguridad. Al final solemos decir que el eslabón más débil de la ciberseguridad suele ser la persona usuaria de las tecnologías. Pues bien, ahora mismo tenemos un serio problema. Pienso en ciberseguridad y enseguida me viene a la mente la triste situación respecto a la administración electrónica. Sí, sí, habrá progresos, supongo. Sin embargo, a día de hoy, los sistemas son brutalmente poco usables, por decirlo de alguna manera. Una persona «normal» no está preparada, me temo, para buena parte de los servicios que se nos ofrecen. Mucho menos para poner en práctica buenos hábitos de ciberseguridad.
Le escuchaba a Venan al comienzo de la sesión (hay dos más programadas) y tomaba conciencia de los múltiples riesgos con los que convivimos. Porque la ciberseguridad depende de aplicaciones y dispositivos, de nuestra conexión a a Internet, pero también, por supuesto, de nuestra aptitud y actitud. Y Venan empezó a hacer inventario de elementos de riesgo desde la perspectiva no ya de las personas que somos, sino de la tecnología que usamos. La lista (seguramente se puede alargar) incluye:
- el sistema operativo
- las diferentes aplicaciones que usamos, con especial énfasis en el navegador, el correo electrónico y todo aquello que suponga intercambiar información digital
- los dispositivos que utilizamos, con una lista cada vez más larga porque ahí entran PCs, smartphones, tablets, además de lo específico para almacenar información, como memorias USB o discos duros externos
- la forma a través de la cual nos conectamos a Internet, incluyendo lo que haga o deje de hacer nuestro proveedor de acceso
- el diseño de las páginas por las que navegamos en tanto cumplan o no con aspectos de seguridad
- nuestras prácticas respecto a copias de seguridad, antivirus o gestión de contraseñas
Sí, la lista te puede dar una idea de que son muchos factores los que hay que manejar. Quizá sea cuestión de intentar ir a lo fundamental. Porque aquí a por el diez me da que es imposible. Me conformo con un aprobado raspado y con confiar en que no me toque la lotería de que un robot en su labor de búsqueda de debilidades en ciberseguridad, se encuentre con mis cosas y decida jugar con ellas.
Antes de arrancar el viernes este taller ya sabía de sobra que la ciberseguridad es cosa de profesionales y Venan lo es. Yo, como persona que uso tencologías para intentar ser productivo en mis asuntos, necesito estar mínimamente alerta de lo que puede venir de semejantes nubarrones. Pero me queda la sensación de que no puedo ir a por nota. Las defensas que yo podría levantar ante este tsunami se me antojan de juguete. En gran parte, tengo que confiar en la suerte. Haré lo que buenamente pueda, pero el cielo está negro de verdad. No se queda buen cuerpo después de tomar más conciencia aún de los peligros —por mucha cabeza que queramos meter bajo tierra— que nos rodean.
A lo mejor me ha quedado un artículo un poco cenizo, ¿no?
Imagen de Pete Linforth en Pixabay.
5 comentarios
Gracias por tus amables palabras, Julen Iturbe-Ormaetxe Zamarripa, el respeto y reconocimiento es mutuo y sí, realmente, eres una de las personas a quien conozco en su trabajo del día a día que hace un mejor #UsoConSentido (como diría mi querida Mentxu Ramilo Araujo) de la tecnología a su favor, eso es para mí ser un #poweruser.
En la #ciberseguridad o #seguridad en general, cuanto más sabes, más te das cuenta de que todo el ecosistema de tecnología ha sido desarrollado y mantenido por personas humanas, y como tal, somos imperfectas y de ahí que aparezcan fallos o circunstancias que no hemos localizado que pueden y de hecho son aprovechadas por terceras personas a nuestro pesar.
Me gusta mucho el resumen que has realizado de la experiencia de nuestra primera sesión, realmente, ese era el objetivo, hacer ver a cualquier persona asistente de desde la perspectiva de cualquier usuaria, de los mínimos que debemos contemplar y respetar para en lo posible no dejar tantas posibilidades a quien quiera amenazar nuestra seguridad.
Lo has sintetizado perfectamente, es lo mínimo que debemos cumplir, en sesiones posteriores veremos cómo esto se puede incorporar a una estrategia organizativa.
Creo, Venan, que estaría bien fijar «niveles» en función no solo de mirar a niñas/os, ciudadanía en general y empresa. Dentro de la categoría «empresa» hay un abanico amplio y a lo mejor hay que trasladar la idea de trabajar por partes o en módulos… o algo así. Es decir, no abordar todo de golpe, porque asusta lo suyo, me temo. Claro que así como en 5SD podemos hacer un piloto, en ciberseguridad no puedes tener, en principio, ni una sola manzana podrida porque entonces el cesto entero lo va a estar en algún momento.
Anda que no vas a tener trabajo en todo esto… 😉
Si, Julen, te ha quedado super cenizo, un tanto negativo jejeje, pero realista a más no poder. El tema es abrumador incluso para los que trabajamos en equipos de IT en las empresas, y así lo demuestran los resultados que se obtienen de la realización de los autodiagnósticos que se proponen en el taller. Lo mejor de ellos, que te ponen en tu sitio.
En Euskalit, a raíz de un ataque que sufrimos hace ya tiempo, iniciamos un exigente plan de acción para blindarnos un poco mejor. Aún así, nos hemos auto-evaluado con el cuestionario corto que propone INCIBE y con el marco que hemos creado junto con el Centro Vasco de Ciberseguridad y Spri, y he de decir que no pasamos del 6 y que nos quedan infinidad de cosas por hacer.
Conocemos otras empresas, entre ellas, grandes empresas de telecomunicaciones y con equipos muy pero que muy potentes de IT, que se han sometido a diagnósticos con el ‘Marco de referencia sobre la ciberseguridad en organizaciones y empresas’ que comentaba antes y que, igualmente, han detectado muchísimas oportunidades de mejora.
Como dices, son muchos los factores que inciden en la seguridad de la información, y así lo pudimos constatar el otro día gracias a las enseñanzas de Venan. Nos llevará tiempo tenerlos todos bajo control. Pero, seguro que a base de pedagogía, sensibilización, capacitación técnica y poniendo en práctica un auto-diagnóstico periódico, lo conseguimos en gran medida.
Bueno, Jon, será cuestión, primero, de tomar conciencia. Me da que hay recursos públicos, sean a nivel estatal o de comunidad autónoma, que nos pueden venir de perlas. Pero, claro, en todo esto hay que ser consciente del «bicho» que tenemos enfrente 😉
Suave suave…
[…] una visión integral del fenómeno y despliegue líneas de trabajo en planos diferentes. Como ya he comentado antes en este mismo blog, podéis guiaros por la propuesta de INCIBE o también, si trabajáis en línea con el modelo de […]