Las universidades buscan blindarse de las ciberamenazas
Las universidades españolas han sido, en los últimos años, blanco de ataques informáticos y hackers. El aumento de las ciberamenazas, cada vez más sofisticadas, sumada a las crecientes y exigentes normativas y a la gran cantidad de datos sensibles que administran han obligado a los centros universitarios a estar en alerta.
Uno de los últimos ciberataques que ha trascendido en España es el de la intrusión a la red informática del Ministerio de Defensa, pero por los datos que maneja el Departamento de Seguridad Nacional no es un caso aislado y ningún sector se escapa de esta ciberdelincuencia. Las universidades tampoco. De las 111.519 incidencias gestionadas, durante el 2018, por el Centro de Respuesta a Incidentes de Seguridad del Instituto Nacional de Ciberseguridad (INCIBE-CERT), 8.383 fueron en la red académica, una cifra que supone un incremento del 51,3% respecto al año anterior, según recoge el Informe Anual de Seguridad Nacional 2018.
Estos datos ilustran la preocupación que existe actualmente en las universidades, como en muchas otras organizaciones, por los posibles efectos que podría tener un ciberataque. De hecho, el 80% de las universidades españolas consideran que están expuestas a un alto riesgo de ciberamenazas, según un estudio realizado por la firma Deloitte. Así, resulta imprescindible que las universidades promuevan e implanten medidas para intentar blindarse de los piratas y hackers. El grupo de trabajo de Administración electrónica, Seguridad y Auditorías de la Sectorial Crue-TIC ha publicado recientemente un Marco de recomendaciones de Seguridad y Auditoría en Universidades, que apunta a dos herramientas clave: una gestión integrada de la seguridad y la realización de auditorías, tanto internas como externas.
Seguridad gestionada e integrada
Para que sea mínimamente efectiva y a un coste razonable, según plantea el informe, la seguridad informática debe ser responsabilidad de toda la Universidad y debe estar presente en la gestión de toda la organización. Es un cambio de paradigma ya que hasta ahora se consideraba un asunto técnico que debían abordar los administradores de sistemas y el personal técnico en general. Pero un fallo de seguridad puede hacer tambalear toda la Universidad con consecuencias que pueden ir desde las pérdidas económicas a la interrupción de un servicio, el deterioro de su reputación o la posible filtración de información confidencial.
“Una seguridad efectiva no puede ser meramente reactiva. Ya no sirve una seguridad basada únicamente en responder de la mejor manera posible a las amenazas y ataques recibidos, o parchear y corregir vulnerabilidades sufridas o detectadas”, señala el documento de la Sectorial Crue-TIC.
Auditorías
La estrategia para combatir las ciberamenazas debe incluir auditorías tanto internas como externas que, de forma independiente, controlen y verifiquen si se están cumpliendo los requisitos de seguridad y si se mantienen de una manera eficaz. Según el informe, “la legislación vigente, tanto el Esquema Nacional de Seguridad (ENS) como el Reglamento europeo de Protección de Datos Personales (RGPD) apuntan a la necesidad de realizar auditorías de la Seguridad y los Sistemas de Información”. Y es que, actualmente “la certificación es completamente residual” ya que solo tres universidades disponen ya de la certificación ENS , una de ellas la Universitat Jaume I de Castelló (UJI) junto a la Universitat de València y la Universidad de Granada .
Sea como sea, las recomendaciones de la Sectorial CRUE-TIC buscan generar una mayor confianza y proteger los datos que gestiona y administra cualquier centro universitario. Y más cuando las previsiones no son demasiado optimistas ya que se prevé que el desarrollo de la Inteligencia Artificial haga aumentar el número de ciberataques, así como su sofisticación.
