La Ciberseguridad es un viaje, no un destino


En un mundo donde la información viaja a través de redes digitales, la ciberseguridad se ha convertido en una necesidad imperante que requiere un enfoque profesional y metódico. No es un destino al que llegamos una vez y luego nos relajamos; más bien, es un viaje constante, una travesía que demanda vigilancia profesional, adaptabilidad y una estrategia sólida basada en las mejores prácticas y estándares de la industria. A continuación, exploraremos cómo abordar este viaje, para garantizar la seguridad de nuestros activos digitales.

1. El Plan Director de Ciberseguridad: Nuestra Brújula

Imagina que estamos navegando en un barco por el océano. Sin un mapa o una brújula, nos perderíamos fácilmente. Lo mismo ocurre con la ciberseguridad. Necesitamos un plan director de ciberseguridad, una hoja de ruta que nos guíe en nuestro viaje. Este plan debe estar vivo, adaptándose a las cambiantes amenazas y tecnologías. Algunos elementos clave de nuestro mapa incluyen:

  • Evaluación de riesgos: Identificar y priorizar los riesgos para nuestra organización.
  • Políticas y procedimientos: Establecer directrices claras para todos los empleados.
  • Infraestructura tecnológica: Implementar soluciones de seguridad, como firewalls, cifrado y sistemas de detección de intrusiones.
  • Educación y concienciación: Capacitar a los usuarios para que sean conscientes de las amenazas y sepan cómo protegerse.

2. Gestión del Riesgo: El Timón de Nuestro Barco

En nuestro viaje, debemos centrarnos en el riesgo, ya que es el núcleo de una estrategia de ciberseguridad efectiva. Son varios los ejes de actuación en la gestión del riesgo:

  • Prevención: Anticiparnos a las amenazas y tomar medidas proactivas para evitar que los incidentes ocurran. Incluye la implementación de medidas como
    • Auditorías de seguridad
    • Hardening de sistemas
    • Control de acceso
  • Detección: Estar alerta para identificar cualquier actividad sospechosa. La capacidad de detectar rápidamente un incidente es crucial. Esto se logra mediante:
    • Sistemas de detección de intrusiones (IDS)
    • Análisis de comportamiento
    • Auditorías continuas
  • Protección: Implementar medidas para evitar que las amenazas tengan éxito. Incluye:
    • Firewalls y antivirus
    • Cifrado de datos
    • Respaldo y recuperación
  • Respuesta: Tener un plan para actuar rápidamente en caso de incidente. Esto incluye:
    • Equipos de Respuesta a Incidentes (CERT/CSIRT)
    • Planes de contingencia
    • Comunicaciones de crisis
  • Gestión y cumplimiento: Cumplir con las regulaciones y estándares aplicables. Esto implica:
    • Políticas de seguridad
    • Formación en cumplimiento
    • Revisiones de cumplimiento

Como bien señaló Bruce Schneier, un experto en seguridad informática: “Los amateurs hackean sistemas, los profesionales hackean personas”. Esta reflexión nos lleva a reconocer que la ciberseguridad trasciende la mera técnica; es una cuestión de comportamiento humano y conciencia organizativa.

4. Una Responsabilidad Compartida

La ciberseguridad no es solo tarea del departamento de TI. Todos, desde el usuario de base hasta el director general, deben estar involucrados. Además, debemos colaborar con otras áreas de la empresa, como Jurídico, Recursos Humanos, Producción, Marketing, etc. La seguridad digital es un esfuerzo colectivo, que exige compromiso desde la dirección, colaboración entre departamentos, roles y responsabilidades claras, comunicación efectiva, formación continua e integración en la cultura corporativa.

5. Mirando Hacia el Futuro: Navegando en Aguas Cambiantes

El paisaje de la ciberseguridad está en constante evolución, y mantenerse al día con las tendencias emergentes y las regulaciones es crucial para la protección a largo plazo. Debemos estar preparados para los desafíos futuros. La Directiva NIS2 está en camino, y trae consigo requisitos más estrictos y un alcance ampliado. Las organizaciones deben estar preparadas para implementar las medidas necesarias para cumplir con esta nueva regulación. Además, debemos seguir los estándares y normas para garantizar buenas prácticas y un buen gobierno de la ciberseguridad.

El incremento en la frecuencia y sofisticación de los ciberataques requiere una vigilancia constante y una estrategia proactiva, y nos recuerda que nuestro viaje nunca termina. La seguridad digital es una inversión continua en la protección de nuestros activos más valiosos. En este contexto, la Inteligencia Artificial emerge como un aliado fundamental, actuando como un miembro más de nuestro equipo de ciberseguridad. Con su capacidad para analizar grandes volúmenes de datos y reconocer patrones complejos, la IA nos ayuda a identificar amenazas potenciales con rapidez y precisión, permitiéndonos responder de manera más efectiva a los incidentes de seguridad.

En este viaje sin fin, recordemos que cada paso cuenta. La ciberseguridad no es solo una tarea técnica, sino una responsabilidad compartida que compete a todos. El papel de los ingenieros en informática es fundamental, actuando como líderes y pioneros en la vanguardia de la seguridad digital. La IA se suma a este esfuerzo, proporcionando herramientas avanzadas que mejoran nuestra capacidad para proteger la infraestructura digital. Sigamos navegando con concienciación, colaboración y adaptabilidad, protegiendo nuestros activos digitales en este gran océano de información.

¡Que nuestra brújula siempre apunte hacia la seguridad!

Jose Luis Vega Pardo
Responsable de Infraestructura y Seguridad CAPSA FOOD. Colegiado COIIPA.

Este verano protégete de los ciberdelincuentes


Con la llegada de las vacaciones de verano todos buscamos relajarnos y desconectar de la rutina. Sin embargo, el  verano es una época de repunte para los ataques informáticos y los ciberdelincuentes no cogen vacaciones. Desde el COIIPA os traemos una serie de consejos para vivir un verano ciber seguro de la mano de Irene Cid, profesora asociada de la Universidad de Oviedo y colegiada del COIIPA.

  1. Instala una aplicación como FindMyIphone o FindMyDevice  de tiendas oficiales antes de irte de vacaciones para tener todos tus dispositivos localizados en cualquier momento con tu cuenta Apple o Google.
  2. Asegúrate que tienes el doble factor de autenticación en las aplicaciones más importantes, especialmente en la cuenta Apple asociada a tu dispositivo Iphone o en la cuenta de Google para los dispositivos Android.
  3. Realiza pagos online solo en tiendas que tienen las medidas de seguridad acordadas en la unión europea PSD2, en las que se debe verificar la compra en la aplicación del banco.  Si vas a realizar alguna compra online con los datos de tu tarjeta y con el código CVV, asegúrate que has seleccionado en el formulario que no se almacene la tarjeta para futuras compras.
  4. Si tienes tu tarjeta ContactLess  en tu móvil Android asegúrate que tienes el campo Secure NFC activado para que solo se pueda  realizar pagos cuando el teléfono esté desbloqueado. En los Iphone  esta opción siempre está activa. 
  5. No bajes la guardia con los correos electrónicos.  Si te llega algún mail de algún amigo pidiéndote un favor urgente, confirmalo con el amigo por otro medio. El nombre de los remitentes de los mails puede ser fácilmente manipulado para mostrar el nombre que se desee.
  6. No te conectes a redes Wifi públicas sin seguridad, nunca elijas redes wifi sin WPA2  y  si no te has quedado sin datos, utiliza tu conexión con tu proveedor de telefonía.
  7. Comprueba que los dispositivos Bluetooth que tienes conectados a tu dispositivo son conocidos y borra las configuraciones de dispositivos antiguos o que no tienes pensado utilizarlos durante las vacaciones.
  8. No subas las fotos de tus vacaciones inmediatamente en ninguna red social. Evita dar pistas que puedan ser utilizadas por desconocidos que no descansan en verano.
  9. Comprueba que estás al día con todas las actualizaciones de tu móvil y de cualquier dispositivo que te lleves contigo para estar protegido de las últimas vulnerabilidades conocidas. 
  10. Y hemos dejado para la última la más importante. Haz una copia de seguridad de tus dispositivos antes de irte de vacaciones. En la nube, en dispositivo local… mejor en ambas. Ante cualquier pérdida, robo, o accidente podrás volver a casa tranquilo porque no habrás perdido las fotos, conversaciones y contactos.

Y para terminar, disfruta de tus vacaciones con ciberseguridad.

Descuentos para colegiados de COIIPA en cursos de formación de AENOR


Los colegios oficiales COIIPA y CITIPA han firmado un acuerdo con AENOR y Cluster TIC por el cual todos los colegiados se benefician de descuentos muy importantes en cursos de formación que se celebrarán en julio y noviembre en Asturias. Los descuentos se aplican asimismo a profesionales de empresas del Cluster TIC y alumnos y personal de la Universidad de Oviedo.

La temática principal de los cursos es la seguridad informática, habiendo también cursos sobre gestión de servicios y continuidad de negocio.

Cursos de formación a celebrar en Noviembre en la Escuela de Ingeniería Informática de Oviedo

CURSO HORAS Fecha de celebración
S-14 Fundamentos de gestión de servicios de tecnologías de la información según ISO 20000 7 4 de noviembre
S-11 Riesgos de ciberseguridad. Datos en la nube (cloud) y seguridad del control industrial (ICS) 7 5 de noviembre
S-29 Esquema Nacional de Seguridad. Conceptos, implantación, evaluación y auditoría 7 6 de noviembre
S-28 Sistemas de gestión de continuidad del negocio. ISO 22301 14 7 y 8 de noviembre

Más información e inscripciones

Los colegiados interesados pueden acceder a la información de los cursos a través de la web privada de COIIPA. Si aún no eres colegiado, puedes solicitarlo rellenando nuestro formulario de colegiación.

Banner cursos AENOR

Los colegios profesionales de Ingeniería Informática de Asturias, el Clúster TIC y AENOR suscriben un convenio sobre formación en ciberseguridad


El Colegio Oficial de Ingenieros en Informática del Principado de Asturias, el Colegio Oficial de Graduados en Ingeniería Informática e Ingenieros Técnicos en Informática del Principado de Asturias, el Clúster TIC y el Centro de Formación de AENOR han firmado esta mañana en Gijón un acuerdo de colaboración para la organización en Asturias de los cursos que AENOR imparte en materia de gestión de la ciberseguridad y herramientas normativas relacionadas.

El convenio, que se firma por primera vez, permitirá formar en Asturias a un centenar de profesionales en materia de seguridad en informática.

La ciberseguridad es una profesión con presente y con futuro: en Europa faltarán 350.000 especialistas en 2022 y, a nivel mundial, la carencia alcanzará la cifra de 1,5 millones de vacantes para el año 2020. Son datos del Informe 2017 Global Information Security Workforce Study, elaborado por (ISC) y citado por el INCIBE.

Algunos de los cursos seleccionados para el programa objeto del acuerdo permitirán obtener las titulaciones propias de AENOR para Especialistas y Auditores de seguridad de la información según la norma ISO 27001, principal referencia internacional para la gestión de la ciberseguridad corporativa.

El programa de formación también contempla cursos de especialización en ciberseguridad industrial, continuidad de negocio o sobre el Esquema Nacional de Seguridad, normativa que afecta a todas las administraciones públicas y a muchas empresas tecnológicas de la región.

Para, José García Fanjul, decano del Colegio Oficial de Ingenieros en Informática del Principado de Asturias (COIIPA), el programa recoge algunas de las materias más actuales y demandadas en la profesión “y permitirá a un buen número de profesionales del Principado disponer de una formación de primer nivel, cada vez más importante, y en las mejores condiciones de acceso posible.”

Paulino Álvarez, decano del Colegio Oficial de Graduados en Ingeniería informática e Ingenieros Técnicos en Informática del Principado de Asturias (CITIPA), destacó la creciente presencia de colegiados en informática en puestos relacionados con la gestión “y como las competencias profesionales reconocidas o certificadas tiene cada vez más importancia en el desarrollo profesional y en la competitividad empresarial. La formación en seguridad en informática, por ejemplo, es básico para que la industria asturiana pueda desplegar sus proyectos de digitalización teniendo en cuenta los riesgos de seguridad asociados”.

Por su parte, Alejandro Durán, presidente del Clúster TIC, incidió en la relevancia que esta formación y algunos de los asuntos y normas tratadas en el programa tienen para muchas empresas asociadas. “Asturias siempre ha contado con buenos especialistas en la materia, pero existe una creciente necesidad y demanda en este campo y pensamos que los cursos programados ayudarán a muchas empresas a cubrir sus necesidades y facilitarán el desarrollo y crecimiento de la actividad y una transición segura hacia la Industria 4.0 ”.

Por último, Juan Lucas García, director de AENOR en Asturias, señaló la importancia de que esta formación pueda impartirse presencialmente y en Asturias. “Las personas que reciban esta formación ayudarán sin duda a que sus empresas sean más competitivas y a que todos nuestros entornos sean cada vez más seguros. Las normas ISO constituyen el lenguaje internacional y común de la ciberseguridad y son un elemento crucial y cada vez más importante para muchas empresas asturianas.”

El acuerdo de colaboración también incluye condiciones especiales de acceso a los cursos para los alumnos y personal de la Universidad de Oviedo.

El Colegio ha puesto a disposición de los colegiados interesados información detallada sobre los cursos de formación que se celebrarán.

Firma acuerdo AENOR Cluster TIC Colegios