La portada de mañana
Acceder
El líder del PP europeo defiende los acuerdos con la extrema derecha
Qué se sabe de la posible ofensiva rusa de la que hablan Kiev y sus aliados
OPINIÓN | No pienses en un banco, por Isaac Rosa

Virus y seguridad

Pekín descubre una nueva 'mutación' del virus responsable del ciberataque mundial

El virus WANNACRY (WANNACRYPT) nos ha puesto a prueba, apareció un día en nuestras vidas convirtiéndose en portada de informativos de televisiones, y portada de periódicos, y nos hizo sentir vulnerables, porque en mayor o menor medida lo somos.

Eso ha hecho que nos replanteemos si estamos protegiendo adecuadamente nuestra información, si adoptamos las medidas necesarias, pero también ha puesto en evidencia a aquellos que no consideran relevante adoptar estrategias de protección adecuadas con argumentos como “a mi no me va a pasar” o como abogados con los que he hablado que quitan relevancia a la información que tienen en su pequeño despacho, cuando tienen numerosos expedientes de personas con muchísima información de cada una de ellas y con un alto nivel de exposición a ataques como el que ha sucedido.

Vivimos una época difícil y compleja, en la que un virus elaborado por un ciberdelincuente (que no un hacker) en Ucrania o Corea pone en riesgo a un abogado, dentista o médico de Bilbao o Donosti, a la Diputación de Gipuzkoa o a Iberdrola o Telefónica. Y ello se debe al enorme grado de interrelación que hemos alcanzado gracias a la influencia de la tecnología en nuestras vidas. Esto supone que estamos mucho más relacionados, pero al mismo tiempo mucho más expuestos en nuestro día a día, y nos exige también esfuerzos más relevantes para gestionar adecuadamente todo ello.

Confiamos en empresas tecnológicas que nos proveen de las herramientas adecuadas, pero establecer un plan de actualización, o un plan de seguridad para los dispositivos móviles de nuestra empresa, o adoptar un plan de continuidad de negocio que permita a la empresa o a la administración actuar incluso en situaciones de crisis y no verse obligada a cerrar durante varios días perdiendo cantidades económicas importantes o información relevante, todo ello, es responsabilidad de la empresa o de la administración pública.

Así, vemos como se ha puesto a prueba no solo la tecnología, sino la organización de la empresa y las organizaciones; algunas de éstas, al enfrentarse a este problema, no tenían otra reacción que desconectar sus sistemas de internet. Por ejemplo, una adecuada política de copias de seguridad guardadas en un sitio seguro ha permitido a muchos actuar casi inmediatamente con total naturalidad.

Y la reacción de los órganos administrativos de control ha sido muy importante. Tanto el CERT del Centro Criptológico Nacional como el Instituto Nacional de Ciberseguridad han pasado un fin de semana y unos días de locura, y han desarrollado y puesto a libre disposición una herramienta para contrarrestar los efectos del virus WANNACRY que ha tenido y sigue teniendo miles de descargas en este tiempo, y cientos de profesionales de muchos ámbitos, como me consta en nuestras administraciones públicas vascas, han pasado estos días rehabilitando y comprobando los sistemas informáticos para que volvieran lo antes posible a funcionar. El periodo de tiempo que pasa entre el ataque sufrido y la vuelta a la normalidad lo marca haber adoptado una estrategia de seguridad adecuada en la empresa.

Por lo tanto, adoptar estas estrategias no es solo una cuestión de cumplimiento de una ley, sino de proteger nuestros activos, lo que evitará una crisis de alto nivel en las organizaciones.

Y que sirva para aprender sobre lo sucedido, autoevaluar cómo hemos reaccionado a esta situación, y mejoremos la protección; y que no se quede en una cuestión puntual, porque no es así. Todos los expertos estamos de acuerdo en que habrá más casos similares, cada vez mejor planteados y planificados y con mayores efectos.

Hay muchos análisis que hacer de la situación, y uno es el de la responsabilidad: los delincuentes que han iniciado este ataque incurren en varios delitos del Código Penal (daños informáticos entre otros), pero también existirán responsabilidades derivadas de la normativa de protección de datos, al no haber implementado medidas de protección en la empresa, tal y como obliga esta normativa

Buenas herramientas, buenos profesionales y planificación previa, anticipación en la medida de lo posible son elementos indispensables.

Y por supuesto, formar al personal, y no dejar en manos de una persona con escasa formación técnica decisiones comprometidas para la organización. El eslabón más débil de la cadena de la seguridad es la persona, y debemos invertir en formar a las personas y que conozcan estos riesgos: en el caso del virus que mencionamos, simplemente no abrir correos desconocidos o no relacionados con la empresa será suficiente, pero habrá otros más complejos. Y dejar de echar la culpa al usuario que abre el famoso correo o utiliza su dispositivo cuando nadie le ha enseñado o instruido sobre el uso correcto.

Así pues, la primera, pero no la última ocasión en que veremos algo con efectos tan desproporcionados y a escala mundial, y que nos sirva para estar mejor preparados la siguiente.

Etiquetas

Descubre nuestras apps

stats