'Sólo una cultura de ciberseguridad puede ser la mayor vacuna' (Rosa Díaz, INCIBE)

  • Entrevistas

Rosa Diaz, INCIBE

Mediaba el mes de noviembre de 2019 cuando INCIBE, el Instituto Nacional de Ciberseguridad, anunciaba el nombramiento de Rosa Díaz Moles como su nueva directora general. Los más de tres años pasados como directora general de Panda Security despertaron en esta licenciada en Ciencias Exactas pasión por la ciberseguridad y un propósito: ?ayudar a las personas a estar más seguras en un mundo digital?.

Los más de siete meses a cargo del Instituto, donde comenzó hace un año como subdirectora de Apoyo a Empresas e I+D+i de INCIBE, arrojan un balance positivo, dice la directiva en una entrevista online. “Esta situación no ha sido fácil para nadie, pero tenemos que quedarnos con el aprendizaje y de lo que puede cambiar todo un día para otro”, asegura Rosa Díaz destacando la importancia que durante la pandemia ha cobrado la seguridad y lo “gratificante” de establecer un nivel de concienciación de ciberseguridad en ciudadanos y empresas.

Este contenido salió publicado en el número de julio de la revista IT Digital Security disponible desde este enlace.

Esta concienciación no sólo pasa por la multitud de charlas y eventos que organiza INCIBE, sino que ha quedado patente con el 017, un teléfono de ayuda en ciberseguridad gratuito, confidencial y disponible desde el pasado mes de febrero tanto para empresas como ciudadanos, padres, menores y educadores.

El 017 centraliza los servicios de atención telefónica que ofrece INCIBE relativos a dudas o consultas sobre ciberseguridad, privacidad, confianza digital, uso seguro y responsable de Internet y de la tecnología. 

Rosa Díaz e INCIBE

¿Qué quiere aportar Rosa Díaz Moles a INCIBE? “Toda esa parte de sensibilidad en cuanto a lo que es necesario para llegar a impactar en millones de empresas y ciudadanos”, responde, asegurando que desde que conoció el Instituto sintió ganas de participar en el proyecto. Quiere aportar toda la experiencia acumulada en empresas privadas, no sólo en Panda Security sino en los más de once años pasados en Sage, “porque la diversidad, como siempre decimos, influye a la hora de contribuir y aportar a los proyectos, y de hacer también cosas diferentes”.

A día de hoy se continúa con el actual plan estratégico, que arrancó en 2017 y finaliza este 2020, “y ahora en lo que estamos enfocados es en diseñar la estrategia de cara a los próximos cinco años; y en esa estrategia se incluirá todo aquello que tiene que ver con realizar acciones de gran impacto hacia empresas, ciudadanos, apoyo la industria, etc.”.

Reconociendo el trabajo de sus predecesores, el objetivo de Rosa Díaz es dar un paso más hacia la visibilidad “y que España sepa la importancia que tiene la ciberseguridad”. Quiere hacer de la seguridad algo ‘friendly’ porque “para los que no estamos en el sector el tema es más difícil”. Se trata de un ámbito en el que hay que tener mucho cuidado, asegura, “pero también un sector apasionante que podría atraer mucho talento”.

También bajo el mandato de Rosa Díaz, y antes de crearse el número 017, INCIBE asumía la competencia en la designación y divulgación de vulnerabilidades a nivel internacional. Explica la directiva que el Instituto se convierte así en una Autoridad de Numeración de Vulnerabilidades (CVE Numbering Authorities), en el punto de contacto en España para la recepción de vulnerabilidades descubiertas en el ámbito de la Tecnología de la Información, los sistemas industriales y los dispositivos de Internet de las Cosas (IoT).

Además de identificar los CVE, “se trabaja conjuntamente con las organizaciones responsables de los productos afectados para que se mitigue la vulnerabilidad y el problema de seguridad detectado”, explica Rosa Díaz.

Centro Europeo de Ciberseguridad

La sede de INCIBE está en León, ciudad que opta a ser la sede del Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Seguridad, o Centro Europeo de Ciberseguridad, que viene a ser el principal instrumento de la Unión Europea para poner en común las investigaciones en materia de ciberseguridad. La candidatura se hizo oficial el pasado 2 de junio y para Rosa Díaz “es una excelente noticia”. Dice que, entre otras cosas, este Centro Europeo de Ciberseguridad reforzaría a León, a la comunidad autónoma de Castilla y León, y a España como un hub de innovación en ciberseguridad a nivel europeo; “León ya es un importante nodo en materia de ciberseguridad y también de tecnologías de información, por lo cual sería un refuerzo y una manera de fijar población en otras zonas, no solamente en las grandes urbes de España. Es una excelente noticia para todos y vamos a ver en los próximos meses cómo se desarrolla esta candidatura”.

Aclara la directora que nada tiene que ver esta candidatura con el hecho de que León, al ser la sede de INCIBE ya es un Centro Espejo de la Agencia Europea de Seguridad de las redes y la información (ENISA). Explica Rosa Díaz que habrá un Centro Espejo en cada uno de los estados miembros de la Unión Europea y que su objetivo es mantener a salvo una copia de seguridad de los datos almacenados en la agencia europea.

INCIBE y COVID-19

“Reorientamos nuestros objetivos y nos adaptamos a la nueva situación”, dice le responsable de INCIBE cuando le preguntamos cómo se ha afrontado desde el Instituto la pandemia sanitaria de COVID-19, “una situación excepcional que ha provocado un crecimiento notable de la dependencia del acceso a internet para trabajar, para estudiar, para cualquier cosa, incluso para hablar con nuestros amigos”.

La pandemia, además “ha supuesto una mayor exposición de ciudadanos, en especial menores y trabajadores, a estos riesgos cibernéticos porque la única forma de comunicación estaba siendo la tecnología”. Durante la crisis de COVID-19 se ha visto cómo los ciberdelincuentes han diseñado ataques y utilizado técnicas de ingeniería social para adaptar sus mensajes en un momento en el que la población estaba ávida de información; en todo caso, asegura Rosa Díaz “el propósito realmente sigue siendo el mismo con el COVID o sin él, que es engañar al mayor número posible de usuarios y empresas”. Desde INCIBE “hemos sido muy conscientes de las dificultades, y junto con otros organismos, en especial el CCN-CERT, lanzamos la campaña con el hashtag #cybercovid19 para ofrecer consejos y soluciones a ciudadanos y empresas”.

Desde las redes sociales se lanzaban mensajes enfocados en tres temáticas: protección de datos, entretenimiento seguro y teletrabajo seguro, “y hemos ido adaptando toda la comunicación que hemos ido realizando”. El resultado es una serie de boletines, infografías e información que pueden encontrarse en la página web de INCIBE, y que van desde un “Teletrabaja de forma cibersegura durante la crisis del coronavirus”, a un “Cómo detectar y prevenirse ante los fraudes y bulos que circulan en relación al COVID-19”, o un “Identificación de páginas fraudulentas de venta de mascarillas y otros materiales sanitarios”.

“La verdad es que estamos muy satisfechos de cuál ha sido el trabajo”, dice la directora general de INCIBE, que destaca también cómo la nueva forma de trabajar “nos ha dado la oportunidad de estar en el mismo día en tres eventos diferentes”, lo que ha hecho que se haya incrementado “el número de impactos que hemos realizado junto con todo tipo de asociaciones, Cámaras de Comercio y terceros que nos han pedido que estuviéramos y que pudiéramos hablar adaptando el mensaje tanto a su sector como a su problemática. La verdad es que estoy muy satisfecha de toda la llegada que hemos tenido, que INCIBE haya podido estar en medio de una situación tan especial y excepcional”.

Cultura de ciberseguridad

¿Lograremos llevar la ciberseguridad a las escuelas, tener cultura de ciberseguridad? “Esos son nuestros planes también”, dice Rosa Díaz. Añade que éste es un sector relativamente novedoso y que todavía hay mucha gente que no lo conoce aunque la situación de pandemia ha puesto de manifiesto su importancia; “tenemos que empezar desde el público más pequeño, desde educación primaria, para que, por un lado conozcan el sector y sepan los riesgos a los que se enfrentan, pero también para que nos demos cuenta de que este es un sector en crecimiento, con una empleabilidad muy alta, y además con salarios y empleos muy cualificados, de forma que también se conozca como opción profesional”.

Sobre la asignatura pendiente de la empresa española, dice la directora general de INCIBE que hay que tener en cuenta que se habla de pequeñas y medianas empresas. “Estamos dando pasos en cuanto a inversión, pero todavía nos queda mucho por hacer”, reconoce, añadiendo que aún hoy se oye a muchas micropymes y autónomos preguntar ‘¿quién me va a atacar a mí?’ cuando se habla de los peligros y de los riesgos que hay en Internet.

“Muchas veces no se dan cuenta de que, aunque seamos una empresa pequeña, siempre va a haber alguien que esté interesado en conseguir la información, o en convertirles en punto de acceso a empresas de mayor envergadura. Y en ese punto asegura Rosa Díaz que la labor de conciencia y formación deberían de ser una prioridad, no sólo porque es la que menos inversión económica requiere dada la cantidad de material que hay, sino porque “ya sabemos que el eslabón más débil de la cadena sigue siendo el humano, y también el más vulnerable”.

Añade la directiva que las personas son, o bien la mayor debilidad, o la mayor fortaleza de una estrategia de ciberseguridad. “Por muy robustos que sean los sistemas, por mucho esfuerzo en identificación y respuesta a los incidentes, por muchos recursos de los que se disponga, si realmente luego se sigue utilizando una contraseña débil, el sistema se quiebra y sólo una cultura de ciberseguridad puede ser la mayor vacuna”. Como contraseña débil, una de las más populares: 123456, la misma que ha permitido hackear más de 23 millones de cuentas en todo el mundo, según un estudio sobre vulnerabilidades publicado en Reino Unido. 

En todo esto de la concienciación no sólo se menciona una adecuada elección de las contraseñas sino estar atentos a una ingeniería social “que está mucho más profesionalizada”. Dice Rosa Díaz que se habla siempre del sentido común, “pero también de informar, informar, e informar para que de esta manera todos nuestros empleados, colaboradores y ciudadanos sepan hacer frente a las ciberamenazas”.

Actividades

Sobre si habrá un ENISE 2020 en León… “se están reorientando todas las actividades”, dice la responsable de INCIBE. Antes que ENISE le toca el turno al Cybersecurity Summer BootCamp [https://www.incibe.es/summer-bootcamp], que este año es online. El año pasado el evento, que tiene como objetivo formar y adiestrar en las últimas técnicas para la lucha contra los ciberdelitos, la gestión de incidentes de ciberseguridad y la legislación a tener en cuenta en todos ellos, atrajo a más de 350 personas que vinieron de 53 países.

El formato online servirá este año no sólo para ofrecer seminarios y keynotes de alto nivel, sino sesiones abiertas para que todos los profesionales de la ciberseguridad puedan participar de esta iniciativa conjunta de OEA e INCIBE.

Las sesiones abiertas, dice Rosa Díaz, “nos permiten trasladar esa importancia de la seguridad y conseguir atraer a cada vez más público”. El evento, añade la directiva, no trata sólo de dar a conocer los riesgos de la ciberseguridad, “sino de poder atraer talento; poder atraer público que quieran reorientar su carrera, desempleados que puedan ver en el sector de la ciberseguridad una opción para conseguir empleabilidad y desarrollar sus siguientes años profesionales”.

Otros eventos que organiza INCIBE para formar y atraer talento son las jornadas “Espacios de ciberseguridad” dirigidas a estudiantes. Se trata de unas jornadas técnicas y gratuitas en las que se enseña, de forma práctica y con ejercicios reales, cómo funcionan determinados aspectos de ciberseguridad. Dirigidas principalmente a alumnos de Bachillerato Tecnológico, Formación Profesional relacionada con las Nuevas Tecnologías y Carrera Universitaria relacionada con las Nuevas Tecnologías (Informática, Telecomunicaciones o similar). Asegura Rosa Díaz que son unas jornadas “muy bien valoradas que fomentan las vocaciones en torno a la ciberseguridad”.

El plan estratégico en el que se trabaja no sólo busca llegar a millones de ciudadanos y empresas, “para nosotros es muy importante el apoyo a la industria de la ciberseguridad porque estamos convencidos de que es una oportunidad real para generar puestos de trabajo y para conseguir la independencia en ciberseguridad que necesita tanto España como Europa”.

Rosalía Arroyo