www.zonamovilidad.es
¡Peligro, terminal suelto! Los móviles en el Esquema Nacional de Seguridad

¡Peligro, terminal suelto! Los móviles en el Esquema Nacional de Seguridad

Por Pilar Bernat
x
pbernattelycom4com /7/7/16
martes 23 de noviembre de 2021, 21:29h

Escucha la noticia

Si hay algo difícil de comprender, de explicar y de hacer ver a los demás es la relevancia de la ciberseguridad en el más amplio, o casi infinito, sentido del término. Pensemos por un momento en los miles de teléfonos de empleados que se conectan a la zona WiFi de las muchas dependencias de los ministerios de Defensa, Interior o Justicia; en cuántos funcionarios entran con el Bluetooth activado en un Ayuntamiento, una oficina de la Seguridad Social o de Hacienda; en cuántas impresoras o maquinaria profesional sofisticada que transmite datos se logan en la red de cualquier hospital y todo ello sin que los jefes de tecnología tengan conocimiento previo, incluso, de su existencia. Pues bien, todos y cada uno de esos terminales suponen un agujero de seguridad que nos afecta a uno, a varios, a parte o a todos. ¡Peligro terminal suelto!

Me contaba un día un periodista que cubre tribunales que cuando alguien bien relacionado quiere hacerse con un expediente, sumario u otros legajos, alguien coloca una carpeta encima de esos montones infinitos de papeles que hay en los mostradores de los juzgados y que otro alguien lo cogía, lo fotocopiaba y en minutos volvía a dejarlo en su sitio. Así de fácil, sin necesidad de buscar gargantas profundas que filtran los sumarios. Y si nos escandalizamos ante estos hechos, ¿por qué no lo hacemos cuando nos explican que cualquier agujero de seguridad puede dar lugar a ataques, a secuestros de datos, a paralización de los equipos, a robo de contactos o a petición de rescates?

Dato relevante es que el malware para móviles es el 65% de todo el malware mundial; hecho que ha obligado a Google y a Apple ha desarrollar 980 parches de seguridad para iOS y Android en 2020

Daniel González, director de Cuentas de Ivanti en España (Senior Key Account Manager) comentaba el pasado 18 de noviembre a un grupo de periodistas cómo la pandemia, el trabajo en remoto y la adopción de la nube, han acelerado la transformación digital en general, y la del puesto de trabajo en particular; situación que genera un incremento de carga de trabajo y complejidad para los equipos de tecnologías de la información (TI), pues hay “más de todo”: más dispositivos, más plataformas, más aplicaciones, más conexiones y más servicios que gestionar. De hecho, un reciente estudio realizado por Ivanti entre más de 1.000 profesionales de TI, reveló que casi tres cuartas partes de las organizaciones (públicas y privadas) fueron víctimas de un ciberataque durante el 2020; el 40% fue atacada solo en el último mes, y cuatro de cada cinco encuestados afirmó haber visto aumentado el número de correos de phishing. Dato relevante es que el malware para móviles es el 65% de todo el malware mundial; hecho que ha obligado a Google y a Apple ha desarrollar 980 parches de seguridad para iOS y Android en 2020.

Los ciberseguros se encarecen un 32% por el aumento de ciberataques complejos

Leer más

Los móviles calientes, una nueva preocupación

A esta situación se suman los problemas inesperados que conllevan determinadas marcas de teléfonos móviles; los cuales, con un buen precio de salida al mercado -imbatible a veces- tranquilizan a empresas, organismos oficiales, grupos hospitalarios, universidades, etc., argumentando que sus móviles llevan sistema operativo Android y, por tanto, son tan seguros como otros smartphones reconocidamente seguros del mercado. Sin embargo, según ha confirmado la mencionada empresa especializada en seguridad, promotora del llamado Zero Trust, sus capas de personalización y la instalación de programas desde repositorios no oficiales, convierten esos dispositivos en móviles calientes, móviles susceptibles de ser atacados con facilidad.

Más del 85% de los móviles que hay en el mundo no tiene ningún tipo de seguridad porque el usuario no asume que un smartphone es un ordenador portátil de menor tamaño

Y es que más del 85% de los móviles que hay en el mundo no tiene ningún tipo de seguridad porque el usuario no asume que un smartphone es un ordenador portátil de menor tamaño. Y eso que las cifras son abrumadoras: una empresa de 5.000 empleados tiene operativas una media de 72.000 aplicaciones y 1.162.000 si el número de trabajadores asciende a 80.000. “Hay un 10% mínimo de los móviles operativos de cualquier empresa que directamente hay que desechar cuando se analizan porque son irrecuperables", explica González.

No han sido pocos los debates en Europa sobre el uso de infraestructuras chinas en las redes de telecomunicaciones; ni pocos los artículos escritos sobre las debilidades que cualquier aparato conectado puede conllevar. Por eso extraña que, en España, sólo hace un par de meses que los teléfonos móviles se han reconocido oficialmente como equipos que gestionan información sensible y que necesitan ser protegidos de todo tipo de ataques.

“La transformación digital del Sector Público ha de ir acompañada de medidas organizativas y técnicas de seguridad que protejan la información manejada y los servicios prestados de acciones malintencionadas o ilícitas, particularmente de las ciber amenazas, errores o fallos y accidentes o desastres” (PAe)

El Centro Criptológico Nacional (CCN) y el Esquema Nacional de Seguridad

Así, según reza el portal de la Administración Electrónica del Gobierno de España (PAe), “la transformación digital del Sector Público ha de ir acompañada de medidas organizativas y técnicas de seguridad que protejan la información manejada y los servicios prestados de acciones malintencionadas o ilícitas, particularmente de las ciber amenazas, errores o fallos y accidentes o desastres”. De esta forma, el Esquema Nacional de Seguridad (ENS) “tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada”.

En España, sólo hace un par de meses que los teléfonos móviles se han reconocido oficialmente como equipos que gestionan información sensible y que necesitan ser protegidos de todo tipo de ataques

Realizando una ardua labor, el Centro Criptológico Nacional (brazo desarmado del CNI) trabaja en la divulgación de la necesidad de segurizar los sistemas TIC en todo tipo de entidades públicas, desde ayuntamientos hasta ministerios, pasando por diputaciones y gobiernos regionales y elabora unas guías denominadas CCN-STIC, las cuales, realmente, son catálogos de productos del ámbito de la seguridad que se utilizan para recertificar sistemas que, aunque vengan avalados de otros países, aquí tienen que pasar unas pruebas determinadas que garantizan que los test realizados fuera de nuestras fronteras son correctos. Se trata de un catálogo que se actualiza mensualmente y que desde septiembre de 2021 ya supera las 100 empresas.

Por tanto, hablamos de la plataforma y los cuerpos que garantizan que un software o un hardware está auditado localmente y es seguro y los elementos más destacados que se exigen a la hora de realizar la clasificación de los productos son: cumplimiento de los principios básicos, de los requisitos mínimos, categorización de los sistemas (alto, medio y bajo) y comprobación de las medidas de seguridad, organizadas en: marco organizativo, marco operacional y medidas de protección (40 medidas). Finalmente, hay una auditoría que verifica el correcto cumplimiento del Esquema Nacional de Seguridad.

Los operadores en el ENS, sí pero no

Sin embargo, en el entorno digital y en términos de seguridad, nada es fácil y no hay método perfecto. Para entenderlo, valga como ejemplo de lo complejo del sistema del ENS que de los 25 operadores relevantes de telefonía que operan en nuestro país, sólo Telefónica, Orange y Vodafone están certificados, actualmente, en el ENS y lo están como empresas en los apartados de organización y operación; pero no lo están sus servicios. La situación es tan compleja que, entidades, organismos e instituciones están buscando compañías de ciberseguridad que dispongan de plataformas y métodos que les garanticen el cumplimiento de esas tres patas o medidas descritas en el ENS para poder trabajar diariamente con tranquilidad.

La situación es tan compleja que, entidades, organismos e instituciones están buscando compañías de ciberseguridad que dispongan de plataformas y métodos que les garanticen el cumplimiento de esas tres patas o medidas descritas en el ENS para poder trabajar diariamente con tranquilidad

Estas compañías de gestión de equipos empresariales, a su vez, deben estar oficialmente refrendadas. En principio, cualquier aspirante a proveedor, para acceder a las pruebas requeridas, debe tener, como mínimo, Common Criteria (un acuerdo firmado por 31 países que responde a un estándar ISO y a una metodología para otorgar certificados de seguridad) y luego solicitar su cualificación. Entre éstas se encuentra Applus+, TÜV SÜD, SGS u OCA.

En el caso de Ivanti, la empresa consultada para realizar este reportaje está acreditada por Applus+ y su producto estrella es la plataforma de hiperautomatización Ivanti Neurons, que ayuda a las empresas a conocer e ir poco a poco avanzando en el marco de la “confianza cero”, escalar sus servicios en la nube y mejorar la agilidad del negocio, a la vez que les ofrece experiencias de usuario de seguridad sin fisuras. De hecho, dispone de la única plataforma UEM cualificada y el pasado 7 de octubre anunció la obtención del sello del CCN para su módulo de ciberseguridad para móviles MTD.

Hay que subrayar que el propio CNN facilita la adopción de herramientas que permiten garantizar la seguridad de las Tecnologías de la Información y la Comunicación en las diferentes entidades del Sector Público, así como la seguridad de los sistemas que procesan, almacenan o transmiten información clasificada y el CNN-STIC, el mencionado catálogo de productos de la seguridad TIC, facilita la adopción de sistemas seguros y de confianza, a través de manuales de implementación en español.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

+
0 comentarios