Háblanos de tu trayectoria profesional y la de tu firma.
He ido evolucionando desde mi primer trabajo en el área de tecnología, desde microinformática a sistemas y luego jefe de proyectos en varias empresas.
Tras quejarme mucho, y pensar que si tuviera una empresa lo haría mejor que en las que estuve, creé TECNOideas en el año 2009. Posteriormente, en 2018, nos especializamos en ciberseguridad, porque ya veía que se empezaba a pedir por separado, y porque aunque sin ponerle nombre, ya había hecho mis pinitos en ese campo.
¿Qué servicios ofrecéis en TECNOideas?
A nivel general, estamos especializados en ciberseguridad, por lo que ofrecemos principalmente este servicio a todos los niveles: ciberseguridad informática e industrial, análisis forense y consultoría legal. Defendemos los derechos de autor de nuestros clientes y su reputación online.
Además tenemos una importante área de formación, ya que hay que formar a todos los trabajadores de una empresa en una ciberseguridad básica. A nivel más particular, podemos ser el CISO externo de las empresas, les ayudamos a certificarse en el Esquema Nacional de Seguridad o en la ISO 27001 / 2000.
¿A quiénes os dirigís?
La ciberseguridad es necesaria para cualquier empresa. Nuestros clientes son principalmente pymes y despachos profesionales. No hay que olvidar que los bufetes de abogados, consultorios médicos, y oficinas en general también son objetivo de los ciberdelincuentes, porque saben que los datos, aunque no sean valiosos en el “mercado negro”, si lo son para las empresas, sus clientes, y por las multas que pueden acarrear estas filtraciones.
¿Cuáles son vuestros elementos y características diferenciales?
No somos grandes, así que somos flexibles en cuanto a servicios, facilidades de pago y siendo asequibles, con un trato muy directo. Además somos muy divulgadores, como podéis comprobar en nuestro blog y redes sociales. Con todo esto podemos informar de cualquier noticia, evento, fallo o vulnerabilidad sin necesidad de tener reuniones semanales.
Pero aun teniendo este tamaño, también tenemos profesionales, con mucha experiencia, en diferentes campos, por eso podemos prestar a nuestros clientes muchos servicios, por muy especializados que sean y no derivarlos a terceros.
De esta forma podemos hacer un acompañamiento total del día a día, desde el minuto cero, como si fuéramos uno más de la plantilla, y proponiendo soluciones, y no enumerando servicios.
¿Cuáles son los mínimos que se han de hacer en una organización para estar seguros frente a los ciberataques?
Debemos decir que la seguridad al 100% no existe. Pero sí que nos acercamos a unos índices muy elevados de seguridad cuando se hacen las cosas bien. Las empresas deben ver la ciberseguridad como una inversión y no como un gasto. Hay que estudiar los sistemas y necesidades particulares de cada empresa, usar los equipos y servicios que ofrezcan más garantías, tenerlos siempre actualizados, actuar a nivel de red, segmentándola para que, en caso de problemas, no se afecte todo el sistema.
Y naturalmente, y creemos que imprescindible, hay que formar a los trabajadores y directivos.
foto freepik
¿Cuál es el peor ciberataque que has visto de cerca?
Se dice que hay tres tipos de empresas: las que ya han sido atacadas; las que van a ser atacadas y las que están siendo atacadas y no lo saben. Así que hemos visto de todo y si se sigue mínimamente la actualidad, vemos que en los medios cada vez hay más noticias relacionadas con la ciberseguridad a gran escala.
Sin dar nombres, te podemos dar algún ejemplo práctico, que hemos tratado directamente, de diferentes aspectos a tratar en la ciberseguridad:
- Despacho de arquitectura reputado de una gran ciudad, con 15 años de experiencia. Pese a todos los intentos, tras varias auditorías y recomendaciones de que cambiaran sus protocolos internos y sobre todo que hicieran de copias de seguridad, les llegó un ransomware, a dos días de comenzar sus vacaciones. El resultado: perdieron absolutamente todos sus datos y copias. TODOS. Tuvieron que cerrar, porque no podían cumplir plazos de entregas de los diseños, y no pudieron hacer frente a las demandas.
** Por supuesto, era un sistema mixto, Windows y MacOs, y estos últimos pese a lo que se diga, TAMBIÉN TIENEN VIRUS.
- Estación transformadora de media-alta tensión del norte de España. Cada vez que se enciende, y sin motivo aparente, se apagaba y dejaba sin servicio a decenas de miles de personas.
Realizando una auditoría a los controladores, descubrimos un malware, que afectaba a la maquinaria. En paralelo, vimos varios correos electrónicos donde se pedía rescate por dejar operativa la maquinaria, pero había llegado a la carpeta spam y nadie la había revisado.
Después de un mes de fallos, en varios días limpiamos el sistema.
¿Hay poca cultura y conciencia en ciberseguridad?
Lamentablemente debo decir que sí, pese a la publicidad que ha dado la pandemia a nuestro sector y a pesar de que cada vez hay una concienciación mayor. Cuando se crea una empresa suele haber una fuerte inversión para locales, mobiliario, personal, estudios, planes de marketing, etc. Pero rara vez se destina una partida a la ciberseguridad. Se compran equipos informáticos, ordenadores, teléfonos móviles, tabletas, se contrata un servidor, etc. pero no se piensa en contratar una empresa de ciberseguridad que aporte su experiencia y profesionalidad para securizar todo esto.
Incluso entramos como consultores en empresas de 500 personas, con un presupuesto tecnológico alto, pero que no han contemplado NUNCA un presupuesto para seguridad de la información.
¿En qué consisten las certificaciones que ayudáis a conseguir?
Algunas son absolutamente necesarias para ciertos sectores, como la ley 43/2021, que obliga a tener un CISO externo a empresas de sectores críticos.
Otras que están haciendo que lo sean, como es el caso del Esquema Nacional de Seguridad, cuya norma es de obligado cumplimiento en toda España desde 2017 para administraciones públicas (que no la cumplen en un 97% de los casos), y empresas que trabajen con estas administraciones, y manejen datos de ciudadanos. En las licitaciones de este año 2021, en más de un 60% incluían la obligatoriedad de tener la certificación en el ENS.
Luego tenemos las ISO, que, aunque no son obligatorias, ayudan a que una empresa pueda tener un mínimo de seguridad. En muchos países las empresas que no están certificadas quedan fuera de las contrataciones de los servicios que ofrecen. Pero lo que es seguro es que da un cierto status o caché a quien lo posee, posicionándolo frente a la competencia.
¿Cuáles son los peores obstáculos con los que os encontráis para su implementación?
Las certificaciones son engorrosas por el papeleo que suponen, y porque necesitamos que las empresas trabajen con nosotros en ellas. Mucho más cuando deben modificar sus planes de trabajo habituales para que podamos actuar y verificar sus sistemas, cambiarlos si es necesario, implementar nuevos protocolos, etc. Y claro, nunca es un buen momento para parar. Eso lo llevan muy mal, aun a sabiendas que es necesario hacerlo. Todo esto deriva en que el objetivo final, la certificación, se retrase bastante.
¿En qué situación están los despachos profesionales respecto a la ciberseguridad?
Es difícil generalizar, porque cada casa es un mundo. Pero en general no están bien protegidos. Se conforman con lo que les indican sus técnicos, o empresas subcontratadas, que no tienen el alcance que tenemos nosotros. Y como mucho contratan un seguro de ciberriesgo, que ahora están de moda. Pero eso no es la solución, porque si no se ha trabajado la ciberseguridad, las empresas de seguros no van a pagar por dejadez de la empresa. Si lo comparamos a lo que ocurre con los seguros de automóviles se entenderá mejor: si uno ha bebido, no llevaba el cinturón de seguridad o conducía con exceso de velocidad, la compañía se desentiende en caso de accidente.
Así que, en resumen, hay mucho trabajo por hacer, pero tiene que haber voluntad y conciencia en seguridad, que todo lo malo que le pase a otra empresa, tarde o temprano nos pasará a nosotros. Sobre todo, si no ponemos ninguna medida para que no ocurra.
¿La pandemia ha despertado conciencias?
La pandemia ha dado mucha visibilidad a los problemas que había, y a los que se han generado por la rápida “digitalización” de las empresas (no previstas y que se llevan persiguiendo desde hace muchos años) y el teletrabajo.
Los delincuentes se han aprovechado de esta deslocalización porque teletrabajar desde casa es inseguro por definición, a no ser que uno sea un experto en seguridad. Los webinars pueden ser peligrosos dependiendo del sistema que se use. O que muy alegremente enviamos documentos por correo electrónico o los subimos a la nube sin tener ningún tipo de seguridad ni emplear programas que garanticen la privacidad. Por poner solo unos ejemplos de los problemas añadidos de la pandemia.
Como siempre hay prioridades y la mayoría de las empresas no estaban preparadas para el teletrabajo, se dio prioridad y mucha rapidez a que los empleados trabajaran, dejando la seguridad de lado.
Así que se ven muchos casos de estafas, timos, secuestros de información, “ataques” a administraciones, etc. Pero como son casos de empresas grandes, diferentes del target mayoritario, las pymes y despachos profesionales siguen pensando que no va con ellos, hasta que le pasa al vecino y entonces suenan todas las alarmas.
¿Qué errores no podemos cometer nunca en ciberseguridad?
Hay cosas muy básicas que olvidamos rápidamente. El tema de las contraseñas es el principal. Es primordial no guardarlas en el navegador, ni en un excel. Hay que usar un gestor para almacenarlas y consultarlas.
Si lo importante son los datos, una buena política de copias de seguridad es imprescindible. Dentro de la empresa, en la nube, en dispositivo físico fuera de ella, etc. Cuantas más opciones, más automatizadas y más tiempo guardemos esas copias, más seguros estaremos de no perderlo todo.
Y ya que estamos con el teletrabajo, el acceso seguro remoto a los servidores de la empresa, es primordial. No vale un software cualquiera, sino unas medidas de conexión a través de un sistema encriptado, lo que se denomina VPN.
Podríamos enumerar muchos más, pero en nuestras auditorías sacamos las vergüenzas de las configuraciones e infraestructuras, porque miramos donde no mira nadie y aparecen muchos problemas, que para cualquier persona puede no suponer nada, pero para alguien que sepa lo que hace, como un ciberdelincuente, puede darle mucha ventaja a la hora de “atacarnos”.
¿Es distinta la ciberseguridad en casa que en una empresa?
Bueno, en parte ya he ido contestando cuando hemos hablado del teletrabajo. Todo empieza por configurar bien el rúter que usamos, y el equipo doméstico, con un buen antivirus y parches del software actualizados, y al día.
Pero hay otro tema básico: ser conscientes de lo que hacemos. Damos nuestros datos con gran facilidad a cualquier web, al registrarnos en plataformas (sobre todo con la cuenta corporativa), al acceder a app’s, al conectar aparatos y electrodomésticos “inteligentes” en el hogar: consolas, robots de limpieza, alarmas… todo ello nos hace la vida más sencilla, pero sin las precauciones debidas, ponen en riesgo nuestros datos, la accesibilidad a nuestros sistemas, etc. Abrimos la puerta a cualquier ciberdelincuente.
¿Cuáles son vuestros planes de futuro?
Ahora mismo predicamos en el desierto, ya que aunque nos queríamos centrar en pymes, más bien las que tienen un número bajo de empleados, nos encontramos con que las empresas creen que no somos necesarios para ellas.
Queremos intentar llegar a este tipo de empresas, sobre todo despachos profesionales, que son los que más desprotegidos vemos. Que nos conozcan y vean que no somos caros y que podemos acompañarlos en su día a día, para hacerles su vida más segura.
También tenemos clientes en Latinoamérica y estamos potenciando los países en los que ya estamos, como Chile o Costa Rica, pero también escuchando propuestas de otros, como México, que tiene un gran potencial.
Y como no la formación. Ayudamos a diferentes institutos de Formación Profesional en todo el país. Y queremos realizar algo novedoso en el sector: estamos ofertando a pymes la opción de hacer formaciones intensivas en el campo, en el Moianès, en un entorno natural, con actividades complementarias, si lo desean. Así volvemos a crear equipo, saliendo de los hoteles cerrados y urbanitas, donde se realizaban estas actividades. Podéis ver más información en: www.tecno-camp.com
