«Los 20.000 usuarios de la ULPGC somos posibles puertas de entrada de un ciberataque»

¿Por qué modelo apuesta la Universidad de Las Palmas de Gran Canaria para blindarse frente a los ciberataques?

En la Universidad de Las Palmas de Gran Canaria vemos la implantación e implementación de medidas en ciberseguridad como parte integrante importante de nuestros procesos de transformación digital. Y además de estar prevenidos y preparados para reaccionar en caso de cibercrisis, hacemos hincapié en la formación y concienciación. Hay que tener en cuenta que nuestros sistemas informáticos -de formación, gestión, investigación...-, los usan del orden de 20.000 personas cada día, y potencialmente todos y todas somos posibles «puertas de entrada» de un ataque, por lo que debemos estar superconcienciados. En esta línea, por ejemplo, se organizó en la Escuela de Ingeniería Informática de la ULPGC en el mes de diciembre pasado, con la colaboración esencial del INCIBE -Instituto Nacional de Ciberseguridad- la primera edición del CyberCamp ULPGC, donde se llevaron a cabo charlas, talleres, y otras acciones encaminadas a la concienciación y divulgación ofrecidos a todos los niveles educativos con mucho material didáctico, casos de estudio y refuerzo de las capacidades de ciberseguridad en todos los ámbitos de nuestra vida cotidiana.

¿Cuáles considera que son las principales estrategias y soluciones a implantar para blindarse contra un problema que afecta al conjunto de las instituciones públicas?

Una de las primeras reglas de la ciberseguridad es no hablar de la tuya y así no dar pistas a quien no debe saberlas. Bromas aparte, la prevención de las crisis es la primera barrera importante que debemos poner. A la concienciación que ya mencionamos anteriormente, se debe sumar el contar con un equipo humano preparado y formado, con conocimientos actualizados. En este sentido la ULPGC va de la mano tanto del Instituto Nacional de Ciberseguridad, como de la administración pública que es, como del grupo de seguridad informática creado por la Conferencia de Rectores (CRUE) que es una forma vital de compartir experiencias e información. Así, el cumplimiento del Esquema Nacional de Seguridad, los novísimos software de seguridad del Centro Criptológico Nacional, los protocolos a seguir en caso de incidentes, la implantación de nuevos firewalls o de sistemas de doble autenticación de usuarios, entre otras muchas tecnologías, se ponen en una mesa común de discusión. Todo eso permite una evolución más rápida de los sistemas de defensa frente a incidentes provocados.

"La ULPGC invertirá en 2023 más de 300.000 euros en proyectos de seguridad de nuestros sistemas"

¿Se ha visto afectada o amenazada la Universidad de Las Palmas en alguna ocasión, o conoces casos de ciberataques en otras universidades españolas?

El año pasado tres universidades públicas españolas sufrieron incidentes de ciberseguridad. En el sector -no solo en las universidades, por supuesto, también en otras administraciones y en el sector público sobre todo-, se medio bromea diciendo que el caso no es saber si uno será objeto de un ataque, sino de cuándo se producirá dicho ataque. Y esto sirve también para las cuentas personales de email o de redes sociales de cada cual. En ese sentido, nuestra Universidad no está ni más, ni menos, amenazada que el resto de administraciones públicas o que el sector privado, creo que la clave reside en estar muy preparados.

¿Cuáles son las claves para sortear posibles brechas que pongan en riesgo el sistema informático institucional?

En esta situación actual, que se ve agravada por el conflicto bélico de la invasión rusa a Ucrania, que tiene un campo de batalla también en las redes, lo más importante es minimizar esos riesgos. La ULPGC dispone de soluciones de monitorización que permiten identificar tráficos de datos sospechosos, estamos en pleno proceso de migración de servicios a la Nube -que añade una importante capa extra de seguridad a los sistemas además de permitir la redundancia en la información frente a posibles pérdidas, etc.-, tenemos prevista una importante inversión en actualización de sistemas informáticos y, en breve, incorporaremos el doble factor de autenticación de toda la comunidad universitaria.

¿Cómo ha cambiado la inversión en ciberseguridad en los últimos años en la ULPGC?

La inversión en ciberseguridad ha aumentado en los últimos dos años de manera vertiginosa, tanto directamente en la adquisición de equipamiento específico, como indirectamente en acciones de formación y concienciación que ya comentábamos anteriormente, pero no solo en las universidades, también en las administraciones y en las empresas. Por ejemplo, con cargo a los fondos europeos Next Generation /REACT tenemos previstos proyectos, directamente o indirectamente, relacionados con la seguridad de nuestros sistemas y procesos dentro de las iniciativas de transformación digital por valor de más de 300.000 euros solo en 2023.

"Vamos a incorporar el doble factor de autenticación de toda la comunidad universitaria, en breve"

¿Cuáles son los perfiles profesionales que más se demandan para tener un equipo sólido en seguridad digital?

Los perfiles tecnológicos más demandados por las empresas y las administraciones públicas en 2023 se prevé que sean los expertos en ciencia de datos, los especialistas en iCloud y los especialistas en ciberseguridad, sin duda. No obstante, la ciberseguridad no es un campo monolítico y único, y por ello dentro de estos últimos hay ocho puestos profesionales que están en el «top» de la lista de los más demandados: Chief Security Officer (CSO), Chief Information Security Officer (CISO), arquitecto o arquitecta de seguridad, hackers éticos, analista de seguridad, analista de ataques, especialista en incidencias y Data protection officer (DPO). Para una administración, e incluso para una empresa, es muy difícil poder contar con un equipo profesional que los incluya a todos, salvo que estés directamente en el sector. La previsión del mercado es que para el año 2024 se necesitarán en España del orden de 80.000 de estos especialistas.

El sector de la ciberseguridad avanza a pasos agigantados, mucho más rápido que las normas que regulan el sector. ¿Qué consecuencias puede tener este desfase, y qué soluciones se demandan?

En las administraciones públicas hay que potenciar la formación continua y la concienciación -no me canso de repetirlo-, tanto del personal tecnológico como, en general, de todos los usuarios y usuarias, además de que legalmente se posibilite una mayor flexibilización de contratación de sistemas y equipamientos y, especialmente, de recursos humanos con la formación y experiencias adecuadas. Ya se está dando el caso de que, ante esta escasez de personal hipercualificado, las administraciones nos estamos «robando» entre nosotras a nuestros recursos humanos. Esto, ni es sostenible, ni en cualquier caso redunda en la seguridad del conjunto del sector público.

Suscríbete para seguir leyendo