Tan solo tres meses después del ciberataque que paralizó los sistemas del Servicio Público de Empleo Estatal (SEPE) durante varios días, el Ministerio de Trabajo y Economía Social ha vuelto a sufrir un ataque informático la pasada semana. Un hecho –la fragilidad digital de la Administración Pública– que refleja la realidad del país entero: 7 de cada 10 empresas españolas carece de perfiles especializados en materia de ciberseguridad, y el 54% de los directivos no es capaz de garantizar políticas de seguridad.
El pasado mes de abril, la secretaria de Estado de Digitalización e Inteligencia Artificial, Carme Artigas, avanzó que el Instituto Nacional de Ciberseguridad (Incibe) sería el ejecutor de un plan industrial dotado con 450 millones para apuntalar el sector de la ciberseguridad en España. A esto, se suma la apuesta del Gobierno de que España se convertiría en el primer país de la Unión Europea que iba a adecuar más recursos a la transformación digital; en concreto un 33%. Sin embargo, el sistema ha vuelto a fallar, y lo ha hecho en la propia Administración Pública.
Tan solo tres meses después del ciberataque que paralizó los sistemas del SEPE durante una semana, provocando la pérdida de miles de presolicitudes del paro y los ERTE. El Ministerio de Trabajo y Economía Social ha sido víctima, la pasada semana, de un nuevo ataque informático, que ha sido comunicado por la cuenta de Twitter del propio organismo.
En el transcurso de la investigación está siendo clave la discreción, para poder evitar filtraciones de información que revelen posibles grietas que puedan provocar nuevos ataques. Al mismo organismo o a otros eslabones de la Administración Pública, interconectados a través de bases de datos.
La Administración Pública, ‘en jaque’
Es una realidad. La industria de la seguridad se ha vuelto indispensable en los últimos años y aún más durante 2020 y 2021, debido al impulso de la digitalización de todos los sectores, pero también se ha convertido en la gran asignatura pendiente en España.
La falta de talento, de perfiles especializados y la ausencia de cultura en ciberseguridad son un problema. De ellas carecen el 86% de empleados de cualquier tipo de organización. Lo que provoca que casi 7 de cada 10 empresas españolas no cuenten con este tipo de perfiles en sus plantillas, conforme a los datos de PwC. Y que, según la última encuesta realizada por Fujitsu, el 54% de los directivos afirman que son incapaces de garantizar políticas de seguridad que se adapten a cambios.
Delincuencia informática, ciberdelitos y brechas de seguridad son conceptos que han tomado presencia la sociedad actual. Ironhack, una escuela de formación intensiva en talento digital, ha elaborado una lista con tres puntos clave que ayudarían a cualquier compañía o institución a aumentar su ciberseguridad.
Aumentar la ciberseguridad
- Destinar fondos para la ciberseguridad. Según el último informe de ciberriesgos de Hiscox, en España se redujo la inversión en IT un 20% en 2020 en comparación con el 2% a nivel mundial. Pese a ello, el 55% de los directivos españoles incrementará los presupuestos en ciberseguridad, según el informe Digital Trust Survey 2021.
Los datos revelan que mercado de la ciberseguridad se encuentra en pleno auge y desde IDC Research España se cree que 1 de cada 3 empresas invertirá en gestión de identidades, privacidad y seguridad haciendo que este mercado supere los 1.324 millones de euros este año. - Invertir en formación de sus propios empleados. Las empresas necesitan perfiles especializados. Y, en ocasiones, este tipo de profesionales son difíciles de encontrar. O no cuentan con los recursos necesarios para poder incorporarlos a la plantilla. Por ello, es importante formarlos para evitar esas brechas. Por ejemplo, si los/las empleados/as disponen de un sistema de correo electrónico corporativo, hay que evitar que hagan un uso personal del mismo.
Y es que el 93% de las brechas de seguridad comienza a partir de un correo electrónico, según la Oficina de Seguridad del Internauta (OSI). Además, también es muy importante mantener las actualizaciones de seguridad de los sistemas operativos y del software con las últimas versiones para asegurar que sigan recibiendo soporte. - Contratación de nuevos perfiles especializados en la materia. Tanto las empresas como la Administración Pública deberán contar con nuevos talentos que puedan liderar o poner en marcha sus departamentos de ciberseguridad.
El hecho es que, desde el pasado mes de octubre, la demanda de este tipo de perfiles ha crecido. Un 278%, de acuerdo con datos aportados por Studentfinance. Además, los desarrolladores y supervisores de sistemas de protección para la prevención de brechas de seguridad han aumentado un 191%. Y la de expertos en conectividad de red un 126%.
Medidas urgentes
Dos meses después del ataque al SEPE, el Gobierno ha aprobado medidas urgentes en ciberseguridad para reforzar la defensa de la Administración Pública. El Consejo de Ministros ha aprobado la puesta en marcha de un paquete de actuaciones urgentes en materia de ciberseguridad. Tiene el objetivo de reforzar las capacidades de defensa virtual del sector público y las entidades que suministran tecnologías y servicios al mismo.
El acuerdo aprobado pretende evitar, entre otras amenazas, ataques informáticos como el que sufrió el SEPE hace dos meses. E incluye tres actuaciones principales: la adopción de un Plan de Choque de Ciberseguridad; la actualización del Esquema Nacional de Seguridad; y la promoción de medidas para mejorar la ciberseguridad de los proveedores tecnológicos del sector público estatal.
Tal y como indica el Ministerio, este plan de choque de ciberseguridad incluye medidas para la protección frente al código malicioso; la extensión de los servicios para detectar ciberamenazas en equipos de usuario; la implantación de la vigilancia de accesos remotos; el refuerzo de las capacidades de búsqueda de amenaza; y la ampliación de las capacidades de ciberinteligencia.
Asimismo, indica que también busca la extensión de la aplicación del segundo factor en los procesos de identificación y autenticación; el despliegue de capacidades para la notificación y el seguimiento de los ciberincidentes; mejorar la recuperación ante desastres; la concienciación y la formación; y la revisión de la normativa de ciberseguridad.