redseguridad 080

Durante el transcurso del encuentro, los asistentes abordaron tam- bién el futuro de la protección de los sistemas tecnológicos, el cual pasa por salvaguardar cada vez más y mejor la enorme cantidad de dispositivos del Internet de las Cosas (IoT, por sus siglas en inglés) que llegan diariamente al mercado. "Lo cierto es que todavía no vemos la que se nos viene encima con el IoT en materia de seguri- dad. Por un lado, la gente quiere que todo se conecte a todo; pero, por otro, debe haber cierto sentido común a la hora de utilizar estos dispositivos, sobre todo por la gran capacidad que tienen de manejar información", subrayó Cayetano Fuentes, del Servicio de Salud de Castilla La Mancha. Por su parte, Francisco Carbonell, del Servicio Andaluz de Salud, apuntó que hoy en día todavía "falta orden y concierto" en este ámbi- to. "Si no somos capaces de ordenar esto, los que nos ocupamos de gestionar la seguridad tecnológica viviremos mucho peor sin técnicas de control de acceso y dispositivos", consideró. Por eso, para el directivo, es importante explicar bien las carencias de esta tecnología y fomentar también la concienciación. Y es que, a juicio de Carlos Alonso Gómez, de Sanidad de la Junta de Castilla y León, "el usuario tendrá que asumir su parte de cuota de responsabilidad en la seguridad". Por ello es importante, tal y como señaló Guillermo García, de Madrid Digital, no dejarse llevar por este boom. "Tenemos que ser capaces de darle coherencia con la dificultad que esto tiene. Hay que plantear modelos para ir ganando experiencia, coger de la mano al usuario para formarle y que adquiera conocimiento sobre el Internet de las Cosas, y no dejarnos llevar por su iniciativa", recalcó el directivo. Proteger los dispositivos IoT, el siguiente paso en la Administración Pública en el proceso de formación de los usuarios, tal y como apuntó en una de sus intervenciones Alberto Cita, de Symantec. Para este directivo, es sen- cillo concienciar en torno a las medidas básicas, como no prestar las contra- señas a nadie o no introducir una llave USB en un ordenador corporativo. "Sin embargo, hay otro tipo de conceptos que no los van a entender. Por ejemplo, la criptografía de clave pública", matizó. Para estos casos, es imprescindible implementar controles desde el depar- tamento de TI y prestar mucha aten- ción a la ingeniería social. Por eso, Cita recomendó llevar a cabo campañas de ataques controlados a los usuarios a través de phishing o cualquier otra técnica para que tomen conciencia de la necesidad de proteger sus activos tecnológicos y la información que en ellos almacenan. "Es una técnica que funciona muy bien a todos los niveles, incluso con gente que considera que tiene conocimientos técnicos y piensa que los ataques son algo que solo les sucede a otros", apuntó. Normativa Tan importante es hacer ver a los empleados la necesidad de estar alerta en términos de protección de la información, como adaptarse y adecuarse a la nueva normativa que llegará a lo largo de este año. Precisamente, ese fue otro de los temas que se trató seguidamente en este "Sobre la mesa...". En primer lugar, los asistentes pusieron de manifiesto la dificul- tad que existe en el ámbito de la Administración Pública con el cum- plimiento de los plazos. En palabras de Cayetano Fuentes, del Servicio de Salud de Castilla-La Mancha, "es difí- cil que la Administración, con los pla- zos que se manejan de adaptación de sistemas de información y protocolos, llegue a fechas concretas. A pesar de ello, cada vez se está poniendo más interés en que el ciudadano se sienta seguro y en que la información que se almacena esté protegida", comentó. En este sentido, el directivo agrade- ció el trabajo que, al respecto, lleva a cabo el CCN-CERT, "colaborando con las Administraciones, generando guías y trabajando activamente para facilitar la adaptación al Esquema Nacional de Seguridad". Esto último lo compartieron el resto de invitados a la mesa de trabajo, como cuando Francisco Carbonell, del Servicio Andaluz de Salud, apuntó que él observa "un intento positivo de potenciar las buenas prácticas". Sin embargo, este profesional no tiene claro todavía que exista "un vector de dirección hacia donde se pueda converger" en materia de seguridad. A continuación, los asistentes tam- bién abordaron una de las normativas más importantes que entrará en apli- cación en los próximos meses como es el Reglamento General Protección de Datos (RGPD). Desde el punto de vista de Symantec, a la que como empresa privada también afecta esta legislación, el "principal desafío es que la normativa no es muy clara, deja muchos claroscuros y componentes subjetivos. Y también que queda un ámbito asociado a la jurisprudencia Los empleados públicos son cada vez más conscientes de la importancia de proteger sus dispositivos, afirmaron los invitados red seguridad primer trimestre 2018 13 administración sobre la mesa