Desde muchos ámbitos se nos habla de ciberseguridad. Desde esta colaboración mensual en Tecnología y Sentido Común también lo hacemos. Sin embargo, poco se habla de qué debemos hacer para mantener un nivel de ciberseguridad aceptable en nuestros dispositivos. Como no queremos ser de aquellos que hacen eso de ‘consejos vendo, que para mí no tengo’, nos ponemos manos a la obra con dos artículos sobre el tema, para cerrar esta Séptima Temporada de TySC.
En las organizaciones de un cierto tamaño, el personal de Sistemas o de Seguridad de la Información realiza (o debería realizar) una labor técnica y pedagógica para que el personal que usa los recursos tecnológicos de esa organización esté razonablemente seguro en dicho uso, por la vía del establecimiento de medidas de protección y controles técnicos y organizativos, pero también por la vía de la formación y concienciación del factor humano de la ecuación de la seguridad.
Pero en organizaciones que no cuentan con esos recursos, o en el caso de los usos personales de las tecnologías de la información y las comunicaciones, se puede pensar en que no hay acciones que permitan que esos usos alcancen un nivel de ciberseguridad aceptable, de acuerdo a unos estándares mínimos. De esa sensación de que una parte importante de la ‘población digital’ se encuentra desprotegida y poco concienciada nacen las iniciativas públicas (y también privadas) para paliar la situación. Entidades como el Instituto Nacional de Ciberseguridad, a través de su Oficina de Seguridad del Internauta[1], o el CSIRTCV, el centro de ciberseguridad de la Comunidad Valenciana[2], tienen programas específicos de ayuda, concienciación y formación para sectores específicos de la población, tales como PYMES, jóvenes y personas mayores.
Sin embargo, en los últimos meses ya me ha sucedido varias veces que, en eventos públicos o en conversaciones privadas, personas recientemente preocupadas por la cuestión de la ciberseguridad (probablemente, a raíz de los ciberataques rusos asociados a la invasión de Ucrania) me han pedido consejos ‘entendibles’ para tratar de mejorar la ciberseguridad en sus dispositivos. Tras reflexionar sobre el tema, me he decidido a volcar esos consejos en artículos para Tecnología y Sentido Común, de manera que estén disponibles por si a otras personas les puedan resultar útiles. Algunos de los consejos pueden servir únicamente para terminales móviles. Otros, sólo para ordenadores portátiles o de sobremesa. Pero también hay consejos a aplicar válidos para cualquier dispositivo.
Consejo 1: La ciberseguridad es un proceso, es evolutiva, y no existe al 100%. No se pare, avance siempre.
Si se parte de una situación en la que no hay ninguna seguridad de la información en un determinado dispositivo, es evidente que cada medida correcta que se implemente irá incrementando el nivel de seguridad disponible, siempre que una medida no sea contraproducente para otra. El nivel de seguridad va evolucionando en dos líneas opuestas: los usuarios, fabricantes y expertos van implantando medidas de seguridad, y las aplicaciones y sistemas van siendo actualizados o implantados, generando nuevas oportunidades para aquellos que buscan cómo aprovechar sus vulnerabilidades para violentarlas. Se ha de ser consciente que lo que supone un nivel de seguridad X hoy, sin hacer cambios de ningún tipo, dentro de un tiempo será un nivel de seguridad menor, simplemente por el hecho de que los ciberdelincuentes pueden haber encontrado nuevas grietas en el sistema. Es una especie de inflación del riesgo. Por ello, no podemos quedarnos parados en la implantación de determinadas medidas de seguridad, sino que debemos considerar la mejora de la seguridad un proceso continuo.
Consejo 2: Genere y almacene sólo la información digital estrictamente necesaria.
Gobiernos, corporaciones y ciberdelincuentes aprovechan nuestros datos para todo tipo de actividades y por diferentes motivaciones. Nuestra privacidad está en jaque desde que comenzamos a utilizar un terminal móvil. Y no sólo si nos lo roban. Las aplicaciones y sistemas operativos transfieren información a diferentes empresas sobre nuestros hábitos y actividades, ayudándolas a segmentarnos poblacionalmente para ser targets publicitarios más ajustados para diferentes campañas. Algunos países utilizan estos dispositivos como mecanismos de vigilancia masiva e, incluso, de control social. Y toda esa información puede llegar a caer en malas manos, si alguna de esas compañías sufre una brecha de seguridad, o simplemente, se es absolutamente inconsciente de lo que se está haciendo. Por tanto, toda información digital que no se genere no puede ser aprovechada por nadie en nuestra contra o en su favor.
A este respecto, más concretamente:
- No envíe copia digitalizada de sus documentos de identidad a nadie, bajo ningún concepto.
- Reduzca al máximo la información personal que proporciona en medios digitales.
- No publique su ubicación en redes sociales, ya que ello puede hacerle/a candidato/a a sufrir ciertos delitos contra la propiedad.
Consejo 3: La copias de seguridad son imprescindibles[3]
No importa si se está usando un PC, un smartphone, una tablet o una tostadora inteligente: hay que hacer copias de seguridad de los datos que contenga y de su configuración, si es posible. Evidentemente, para este consejo presuponemos que los datos que contiene el dispositivo que utilizamos son de algún valor para nosotros. En ese caso, no nos vendrá nada bien perderlos, en caso de avería, rotura, pérdida o sustracción del dispositivo, o en caso de que nos veamos afectados por un ramsomware.
En muchos entornos, la información que se almacena y gestiona en los sistemas de información vale muchísimo más que los propios sistemas tecnológicos que la tratan. Por ello, es conveniente que elija qué aplicación, método y periodicidad se ajusta mejor en cada dispositivo para realizar copias de seguridad. A tener en cuenta:
- No deje las copias en el mismo dispositivo del que se hace copia.
- Trate de seguir el patrón 3-2-1: mantener al menos tres versiones de los datos (los datos en producción y dos copias de seguridad), en dos dispositivos diferentes (el almacenamiento de producción y un disco externo USB, por ejemplo), y una de las copias en una ubicación geográfica diferente (por ejemplo, en la nube).
No por clásica esta medida es menos efectiva. Sólo requiere que seamos conscientes de la información que gestionamos, dónde se almacena, y dónde puede mantenerse a salvo en caso de desastre.
El mes que viene, más consejos.
Referencias
[1] https://www.osi.es/es
[2] https://www.csirtcv.gva.es/
[3] https://www.osi.es/es/actualidad/blog/2021/01/20/protege-tu-movil-ios-y-android-con-5-consejos
Doctor en Informática por la Universitat Politècnica de València y Master en Dirección TIC de la UPM-INAP, dispone de varias certificaciones internacionales en Operación, Gestión y Gobierno de TI, tales como ITIL, FITSM, PRINCE2 y COBIT. Escritor técnico, es profesor asociado en la Universitat de València, y actualmente coordina el servicio de TI de una organización pública
Debe estar conectado para enviar un comentario.