Según nuestro estudio sobre ‘L’estat de la digitalització al Tercer Sector’ 2 de cada 3 entidades todavía no tiene un presupuesto asignado para protegerse adecuadamente ante posibles ataques informáticos. Hablamos con la Agència de Ciberseguretat de Catalunya, el organismo que gobierna la Ciberseguridad en Cataluña y vela por una sociedad digital segura para el conjunto de la sociedad catalana y su Administración Pública, para conocer más a fondo el trabajo que hacen y descubrir herramientas para que la ciberseguridad sea una prioridad para las entidades del tercer sector social.
¿Cómo podemos crear conciencia e impulsar una cultura de la ciberseguridad en el tercer sector?
La Agència de Ciberseguretat promueve que toda la ciudadanía utilice los recursos TIC de una forma segura, y lo hace de forma especial a través del programa Internet Segura el cual agrupa la participación de todos los actores de la Generalitat en la concienciación y formación para un uso seguro de la tecnología e internet en todos sus ámbitos.
La intensificación de usos de las TIC en todas las actividades, profesionales y personales, nos ha abierto los ojos a que conviene impulsar una cultura en ciberseguridad y lo podemos lograr poniendo el foco en las actividades de divulgación, formación y concienciación que se ajusten a cada contexto. Existen muchos contenidos y recursos formativos dirigidos a ciudadanía en general o a organizaciones empresariales que pueden ayudar a prevenir situaciones de riesgo que se dan también en el tercer sector. Los apartados de la web Internet Segura hacen una recopilación básica de aspectos a tener en cuenta.
¿Cuáles son los principales peligros y retos a que se enfrentan las entidades sociales en relación con la ciberseguridad y los ciberataques?
Los peligros o amenazas que afrontan las entidades sociales no difieren a los de cualquier otra entidad pública o privada. Si bien el componente económico puede parecer secundario, los ciberdelincuentes no hacen diferenciación del tipo de organización y promueven campañas de ataques en las que las entidades sociales también pueden ser objetivos. En los últimos tiempos se han observado ataques automáticos que aprovechan las vulnerabilidades de las infraestructuras (los servidores, las webs, el software que se usa…) que puede materializarse en pérdidas masivas de datos o, incluso, el secuestro de la información crítica de una organización. Pero el intento de obtención de acceso a la información a través de ataques de phishing al correo, por sms o por llamadas de voz que tome las credenciales de usuarios activos o el control de cuentas de los recursos económicos han crecido mucho en los últimos años. Otra amenaza importante son los derivados de los ataques de reputación digital; la pérdida de confianza de nuestro público objetivo porque se ha mostrado vulnerable algún activo de la organización (por ejemplo por el escape masivo de datos o indisponibilidades de servicio).
¿Qué recomendaciones daríais a una entidad social que se proponga elaborar una estrategia efectiva de ciberseguridad?
Conviene conocer a fondo la organización para prevenir, proteger, detectar o estar preparado para responder a un posible incidente y dar la importancia estratégica que merece a la Ciberseguridad en relación a la organización. Este modelo de estrategia para una entidad totalmente digitalizada lo puede ayudar a construir un experto en ciberseguridad. La protección es para todos los activos, tecnológicos, humanos y los datos de trabajo. Esto implica alguna inversión en herramientas, formación y concienciación de usuarios/se, y el desempeño de las normas y legislación, por decir una, la RGPD de protección de datos personales.
¿En caso de que una entidad sufra un incidente de ciberseguridad, qué pasos tendría que seguir para gestionarlo?
Los protocolos de respuesta a incidentes son una pieza imprescindible. En algunos casos hay incidentes que pueden activar recursos internos (por ejemplo, el mismo servicio informático o un proveedor contratado) que pueden parar los riesgos (por ejemplo, la detección de un correo de phishing que se notifica a todos los usuarios para que no piquen), pero hay otros incidentes más complejos que provocan indisponibilidad o bloqueo de la organización y nos conviene ponernos en contacto con ayudas externas. Desde la Agencia de Ciberseguridad contamos con CERT (900 112 444 o cert@ciberseguretat.cat) que puede ofrecer indicaciones de quien podría ayudar a resolver un incidente grave cuando se produce. Para evitar los incidentes que suceden hoy en día nos conviene hacer pruebas de seguridad y gestionar los riesgos de una forma continuada.
Cuando un incidente sea grave habrá aspectos de actuación (comunicación a autoridades competentes, a los afectados…) que no se pueden improvisar y conviene haber planificado mínimamente como procederemos.
Uno de los principales obstáculos con que se encuentran las entidades sociales para transformarse digitalmente es la falta de formación y competencias en ciberseguridad de las profesionales. ¿Cómo podemos abordar esta situación desde el sector?
Si bien está disponible la acreditación ACTIC básico, que cada vez es más solicitada en la entrada a las organizaciones, todavía no hay bastante oferta en temas de ciberseguridad básica. Aparecen propuestas formativas que se ajustan a modelos de formación continuada para elevar el nivel de competencia en ciberseguridad (protección de aplicaciones, respuesta a incidentes, actividad forense…) y, desde hace tiempo, desde la Agencia de Ciberseguridad queremos impulsar una ciberacademia que dé respuesta a través de una comunidad formativa con diferentes itinerarios formativos disponibles y la formación en herramientas básicas de protección y detección.
