La protección de datos y la seguridad informática se han convertido en pilares fundamentales para empresas de todos los sectores. Con una sólida presencia en diversas ciudades de España y Ciudad de México, ADAMS se ha posicionado como un referente en formación, abarcando áreas tan relevantes como el Empleo Público, la Formación Profesional para el Empleo y la Formación para Empresas. Detrás de los esfuerzos de protección y seguridad en este ámbito se encuentra Miguel Campos, Responsable de Ciberseguridad de ADAMS.
En esta entrevista exclusiva, exploraremos la visión de Miguel Campos sobre los desafíos actuales en ciberseguridad que enfrenta una institución emblemática como ADAMS, así como su enfoque estratégico para garantizar la protección de datos sensibles y la continuidad de los servicios en un entorno digital en constante evolución.
Como experto de la ciberseguridad en el campo de la formación y académico de una academia como es ADAMS, ¿cómo ve el panorama actual en lo que se refiere a ciberamenazas en este sector?
Si bien es cierto que, debido a la irrupción de la inteligencia artificial, los ciberdelincuentes tienen mejores herramientas para llevar a cabo sus ataques, su metodología no ha cambiado, por lo que en gran parte las amenazas a las que se enfrentan las empresas de este sector son las mismas que hace unos años. Por supuesto, el uso de deepfakes y otros contenidos generados de manera artificial seguirá aumentando durante los próximos años y es necesario establecer los controles internos adecuados para que sea posible detectarlos.
Teniendo en cuenta que ADAMS recibe cada año a cientos de personas y, por tanto, debe almacenar sus datos, ¿Cuáles son las mejores prácticas para el almacenamiento y la gestión segura de datos sensibles en el entorno académico?
Existe una gran cantidad de recursos al respecto y aunque en cierta medida depende del nivel de seguridad que se quiera implantar, hay determinados puntos que siempre deben cumplirse. En mi opinión, uno de los puntos más importantes es implementar un control de acceso robusto para evitar que cualquier persona no autorizada pueda acceder a la información. Desde un punto de vista técnico, este control se puede enfocar de varias maneras: evitar que un empleado no autorizado acceda a los datos, evitar que un actor externo acceda a los datos, bastionar el acceso a los datos por parte de las aplicaciones internas, etc. Puede parecer sencillo, pero las cosas bien hechas llevan su tiempo.
Ya hablando más sobre formación, ¿Qué habilidades y conocimientos son esenciales para aquellos que deseen entrar en el campo de la ciberseguridad?
Sinceramente, creo que lo más importante son las ganas y el tiempo. Existe una gran cantidad de recursos gratuitos: cursos online, plataformas de aprendizaje, herramientas, libros, tutoriales e incluso varios miembros de la comunidad que se ofrecen como mentores para ayudar a las personas que se están iniciando en el sector.
Asimismo, no es necesario tener un máster, una carrera o incluso una formación profesional para entrar en el mundo de la ciberseguridad, sin embargo, es muy recomendable tener una formación oficial que acredite esos conocimientos para pasar determinados filtros en el mundo laboral. Conozco personalmente casos de músicos o politólogos que se encuentran trabajando actualmente en el sector y que no tienen un background técnico.
La formación y la concienciación también pasan por proteger a las pequeñas y medianas empresas, a este respecto: ¿Cuáles son los principales riesgos de seguridad cibernética que enfrentan las pequeñas y medianas empresas (pymes) en la actualidad?
En mi opinión, el mayor riesgo al que se puede llegar a enfrentar una pyme es la falta de conocimiento en cuestiones de seguridad. Como es lógico, todo depende del grado de madurez de la empresa, pero desde la propia organización siempre se debe impulsar el correcto mantenimiento de la seguridad. En ocasiones las pymes no cuentan con personal especializado en seguridad, por lo que pueden llegar a tomar decisiones que acentúen o generen nuevos riesgos sobre la propia empresa sin que se den cuenta. El hecho de tener a alguien con conocimientos en seguridad que acompañe la toma de decisiones es la mejor manera de protegerse contra futuros ataques.
¿Cuáles son las mejores prácticas de seguridad que las pymes pueden implementar para protegerse contra ataques cibernéticos?
Yo recomendaría dos acciones principales. Por un lado, se debe proteger muy bien el perímetro externo de la empresa, es decir, delimitar muy bien lo que se consideraría la red interna y la red pública, aplicar controles de seguridad a todo aquello que se encuentre accesible por cualquier persona en Internet y evitar que alguien pueda pasar de la red pública a la red interna de manera no autorizada.
Por otro lado, para poder proteger una empresa se necesita saber qué hay exactamente en esa empresa. Es muy importante tener un inventario actualizado y monitorizar todo lo que está ocurriendo en los servidores, ordenadores y redes para saber qué ocurre dentro de la empresa en todo momento.
¿Qué herramientas o soluciones de ciberseguridad recomendaría para las pymes con recursos limitados?
Es difícil elegir, ya que hay un gran número de herramientas muy útiles. En mi opinión, tanto CLARA como Lynis son herramientas muy importantes para evaluar el nivel de seguridad de los sistemas Windows y Linux respectivamente. Con ellas es posible detectar y mitigar configuraciones inseguras y vulnerabilidades en los sistemas. En caso de tener un directorio activo, también se puede utilizar Ping Castle para evaluar el nivel de seguridad.
Por supuesto, las soluciones antivirus no solo a nivel de sistema, sino también a nivel de correo electrónico son muy importantes para detener un gran número de ataques. Cloudfare ofrece también de manera gratuita protección contra bots para las páginas webs, por lo que es una opción muy recomendada.
Para terminar, es muy importante almacenar correctamente los logs o las alertas de los sistemas para ser capaces de investigar qué ha ocurrido en caso de ataque. Existen varias herramientas capaces de hacer esto que van desde simplemente recopilar logs utilizando rsyslog a implantar sistemas SIEM como OSSEC, Wazuh o AlienVault.
¿Cómo puede una pyme detectar y responder eficazmente a una violación de seguridad cibernética?
La manera más sencilla es mediante la instalación de herramientas que permitan detectar de manera temprana cualquier incidente de seguridad y generen alertas al respecto. Los sistemas SIEM facilitan mucho esta detección y alerta, por lo que el primer paso sería contar con uno en la organización.
Adicionalmente, es necesario tener un protocolo o plan de respuesta ante incidentes documentado con una lista de tareas que permita actuar rápidamente. Hay que tener en cuenta que durante un ataque la gente está más nerviosa y acudir a un documento con la lista de pasos que se debe ejecutar ayuda mucho en esos momentos. Es muy recomendable también realizar pruebas internas de ataques para probar la eficacia tanto de los sistemas SIEM como del plan de respuestas que se ha documentado y mejorarlo a lo largo del tiempo para que cuando ocurra finalmente el ataque la empresa se encuentre preparada.
¿Cuál es el papel de la concienciación y la capacitación del personal en la ciberseguridad de las pymes?
La seguridad de una empresa no tiene que ver únicamente con ordenadores, sino que está ligada también a todos los activos de esa empresa, es decir, personas, documentos, la propia oficina, etc. La formación y concienciación en todos estos aspectos es muy importante para mantener una correcta seguridad, por lo que es necesario tenerlo en cuenta a la hora, planificar y adaptar la formación a todos los empleados. Es clave que todos los empleados sepan que si les llega un email sospechoso, mal redactado o con enlaces raros, no deben hacer clic. Pero también es importante que estén preparados y sepan actuar ante otras posibles amenazas: a quién dirigirse si ven a alguien extraño andando por la oficina, no dejar en las mesas documentos confidenciales, chequear con superiores o departamentos competentes si alguien te llama por teléfono diciendo que el jefe ha autorizado un pago urgente… Y en este sentido, no solo la capacitación del personal es clave, también lo es la concienciación.
