Me decía un viejo amigo ruso, medio en broma -y a los postres– que en Siberia cuando se estropea la calefacción doméstica invernal llaman a Emergencias. Llegan con la sirena puesta apartando coches a las aceras por las heladas calles como en el mediterráneo cuando se quema el bosque. En ambos casos, llegar a tiempo salva vidas.
Con la ciberseguridad pasa lo mismo. Ya se ha convertido en un tema de emergencias y como tal hay que afrontarlo. Veo en la página web del INCIBE que hay un teléfono 017 para ello y quiero divulgarlo aprovechando que hoy se celebra el Día Internacional de la Seguridad de la Información. Nos sumamos a la celebración presentando una interesante mesa redonda y un reciente informe de auditoría sobre el tema.
En efecto, hoy se celebra el Día Internacional de la Seguridad de la Información, una iniciativa impulsada desde 1988 por la Association for Computing Machinery (ACM), organización que congrega a educadores, investigadores y profesionales de la informática. En aquel año, surgió el primer caso de malware de propagación en red que se registró en el mundo, conocido bajo el nombre de «Gusanos de Morris», el cual afecto al 10% de las maquinas conectadas a Internet en aquel entonces, que era Aparnet.
La semana pasada pude escuchar la interesante mesa redonda patrocinada por la Fundación Ramón Areces y que tenéis grabada aquí. Sorprende la puesta en escena con los uniformes militares en un tema que cuesta millones de euros a la economía nacional. En palabras del General Domínguez, especialista en derecho internacional público, que intervenía entre los asistentes, el ciberespacio se ha convertido en el quinto escenario de las operaciones militares: tierra, mar, aire, espacio y …. “ciberespacio”. Francia, por ejemplo, se ha reservado expresamente el uso de la fuerza armada frente a estos ataques, equiparados a actos de guerra.
No deja de sorprenderme la naturalidad con que se reconoce en los documetos oficiales que, directa o indirectamente, los servicios secretos rusos están detrás de los ataques más destructivos en materia informática. Así el Informe de Ciberamenazas y tendencias 2023, pag 13 y siguientes. Que no me pase ná.
La Auditoría como arma defensiva
En sintonía con sus objetivos estratégicos, la Sindicatura de Comptes de la Comunidad Valenciana acaba de publicar un interesante trabajo de auditoría de ciberseguridad, complementando los resultados del Informe de seguimiento de las recomendaciones realizadas en el informe de auditoría de los controles básicos de ciberseguridad del Ayuntamiento de València del año 2019. El sistema de información para la gestión de la información municipal de carácter económico-financiero y contable del Ayuntamiento de València ha sido sustituido en 2022 por la aplicación SEDA, buscando la simplificación de los procesos mediante la unificación en un sistema de diversas aplicaciones municipales, el aumento de la eficacia y eficiencia en el cumplimiento de las obligaciones legales y garantizar la fiabilidad de la información económica municipal.
Como resultado de la revisión efectuada de 44 controles detallados, pudo concluir que el grado de control existente en la gestión de los controles generales de tecnologías de la información relacionados con la ciberseguridad del sistema SEDA alcanza un índice de madurez del 67,2%. Todos los controles analizados deben mejorar para alcanzar el objetivo del 80% establecido por el Esquema Nacional de Seguridad y existen claras posibilidades de mejora para la protección de los sistemas de información.
Los resultados detallados obtenidos para cada uno de los controles revisados se muestran en el gráfico 1. Como curiosidad que acabará siendo habitual en estos informes, destacamos el párrafo de Confidencialidad:
“Dado que la información utilizada en la auditoría tiene un carácter sensible y puede afectar a la seguridad de los sistemas de información, los resultados al máximo detalle de cada uno de los controles revisados solo se comunican con carácter confidencial a los responsables del Ayuntamiento para que puedan adoptar las medidas correctoras que consideren precisas. En el presente informe los resultados se muestran de forma sintética”.
Gracias por comentar con el fin de mejorar