Red Seguridad 106

56 red seguridad tercer trimestre 2024 entrevista salud 5.0 perdió todos los datos de su tesis en la que llevaba trabajando más de dos años. El factor humano es crucial a la hora de hacer frente a toda esta situación. ¿Qué estrategias emplea su institución para formar y concienciar a todo el per- sonal en materia de ciberseguridad? Llevamos a cabo jornadas periódicas de concienciación que no solo abordan las buenas prácticas y los riesgos en el entorno profesional, sino que también se enfocan en cómo aplicarlo en el ámbito doméstico. Creemos firmemente que, si las personas adoptan hábitos seguros en su día a día, será más fácil que los trasladen también a su entorno laboral. Además, ofrecemos formación espe- cífica a través de la plataforma Ángeles del CCN, donde el personal puede rea- lizar cursos actualizados sobre ciberse- guridad. También hemos invitado a for- madores externos especializados, como Yolanda Corral, que nos ha ayudado a profundizar en aspectos prácticos de la seguridad informática. Una de las últimas propuestas que hemos empezado a implementar son los ejercicios de phishing controlado. Estos simulacros nos permiten evaluar la respuesta de los usuarios y ver en qué puntos debemos seguir trabajando. Gra- cias a las jornadas de concienciación, muchas veces son capaces de detectar patrones o pequeños detalles en los co- rreos que les generan dudas, lo que ha incrementado notablemente el número sonal del IIS La Fe utilice herramientas y dispositivos corporativos. Sin embar- go, esto no es una tarea sencilla. En el caso de los empleados que dependen directamente de la Fundación, tenemos la capacidad de ser más estrictos en el cumplimiento de nuestra normativa de seguridad. Sin embargo, cuando se trata del personal vinculado a las universida- des o al propio hospital, la situación se complica. Estos organismos operan bajo sus propias estructuras, lo que limita nuestra capacidad, tanto a nivel material como legal, para controlar o monitorizar sus equipos personales o correos elec- trónicos y aplicar las sanciones corres- pondientes. Además, muchos grupos de inves- tigación no disponen de financiación suficiente para adquirir equipos corpora- tivos, presentando problemas, desde el punto de vista de la ciberseguridad, y ha- ciendo uso de equipos no corporativos lo cual nos impide garantizar un acceso controlado y una trazabilidad adecuada, elementos cruciales para salvaguardar los datos. Otro aspecto preocupante es que, fuera de nuestro entorno controlado, no podemos garantizar la correcta conser- vación y almacenamiento seguro de la información. Por poner un ejemplo, hace relativamente un mes, una estudiante de doctorado, en vez de utilizar un reposito- rio de ficheros centralizado y un equipo corporativo, estuvo utilizando su propio equipo portátil y su unidad externa, y En este sector, tanto el mundo acadé- mico como el de la investigación, no es- tán acostumbrados a usar herramientas y equipos corporativos. Esto se debe, en parte, a la precariedad laboral del perso- nal investigador y a las limitadas ayudas para la adquisición de recursos tecnoló- gicos adecuados, lo que complica aún más la implementación de medidas de seguridad robustas. Además, cada organismo está organi- zado de manera distinta, incluso dentro de la misma comunidad autónoma, lo que dificulta alinear estrategias con las propias consejerías o administraciones. En nuestro caso, hemos tenido la ventaja de estar integrados en las instalaciones del Hospital La Fe, lo que nos ha permi- tido avanzar significativamente en ciber- seguridad, gracias al apoyo continuo de la Subdirección de Sistemas de Informa- ción del Hospital. Sin su colaboración diaria, posiblemente no habríamos lo- grado la certificación con el ENS. Uno de los principales atractivos para los ciberdelincuentes son los datos personales. ¿Qué retos supone para su área proteger la información sensible de las investigaciones tanto en curso como pasadas? Uno de los principales retos es que estos datos suelen estar pseudoanonimizados o, en muy pocos casos, completamente anonimizados. Esto implica que, aun- que se protege la identidad directa de los sujetos de investigación, siempre existe un riesgo si la información cae en manos indebidas, ya que podrían rei- dentificarse. Por otro lado, está proteger los resultados de investigación, sobre todo en curso, ya que, si existiese una filtración, el trabajo realizado podría ser atribuido a otras personas perdiendo nuestra autoría. Un desafío importante para garantizar esta protección es lograr que todo el per- “Fuera de nuestro entorno, no podemos garantizar la correcta conservación y almacenamiento seguro de la información”