El conseller d'Hisenda i Model Econòmic, Vicent Soler, ha anunciat la posada en marxa d'un Pla de Ciberseguretat específic per a empreses, entre les quals es troben les del sector públic instrumental, per a ajudar-les a millorar el seu nivell de maduresa en ciberseguretat i la seua confiança en l'ús de la tecnologia.
Soler ha realitzat aquest anunci durant la clausura de la jornada sobre prevenció del delicte en el Sector Públic Instrumental, organitzada per la Direcció General de Sector Públic i Patrimoni, en la qual s'han abordat tant les diferents tipologies de delictes tecnològics, com la responsabilitat penal de l'empresa, i els serveis de CSIRT-CV per a combatre aquests delictes.
"Amb aquest pla de ciberseguretat volem fer arribar a la resta del teixit empresarial valencià el capital de coneixements que acumulem en aquesta empresa de més de 140.000 treballadors que és la Generalitat", ha explicat el conseller d'Hisenda.
El pla per a les empreses oferirà formació i capacitació tant a directius com a la resta d'empleats, "atés que és necessari implicar les persones perquè el factor humà es convertisca en un dels pilars de la seua ciberseguretat", ha assenyalat.
A més, Soler ha assegurat que "és fonamental implantar mesures tècniques, necessàries per a detectar i detenir possibles ciberatacs davant les creixents amenaces que suposa l'ús diari de les tecnologies", i per a això, el conseller d'Hisenda ha anunciat que la Direcció General de Tecnologies de la Informació i les Comunicacions (DGTIC) "treballarà en el desenvolupament d'una eina que permeta millorar la ciberseguretat de les pimes valencianes".
"La seguretat -ha afegit Soler- ha de ser abans de res preventiva i si la prevenció falla, almenys els sistemes de missió crítica, aquells en els quals la seguretat mai ha de fallar, han de corregir-se en temps real. Per això tindre el coneixement tecnològic i la capacitat empresarial per a operar en l'àmbit de la ciberseguretat d'aquests sistemes és un actiu molt important".
L'estratègia del Pla de Ciberseguretat per a empreses està enfocada a conscienciar i dotar a les empreses d'eines i serveis útils per a millorar i incrementar el nivell de ciberseguretat en les seues organitzacions.
D'aquesta manera, es desenvoluparà l'eina Evalua-T per a ajudar a les pimes a autoavaluar-se i obtenir una primera aproximació sobre els nivells de risc als quals s'enfronta la seua organització, atenent la seua tecnologia, els seus processos i els seus empleats.
A més, aquesta eina oferirà una relació d'aquells aspectes a millorar, per la qual cosa servirà tant per a l'evolució com per a la millora contínua en ciberseguretat.
De la mateixa manera, el conseller ha explicat que el Pla contemplarà un ampli programa de cursos, tant per a directius com per a empleats. En concret, s'oferirà formació sobre seguretat per als CEO i protecció d'actius TIC i pàgines web, així com mòduls interactius que inclouen reptes de l'estil "crea la teua pròpia aventura" i amb els quals es pretén facilitar la comprensió d'aquests temes entre els empleats, així com la identificació dels riscos i de les millors pràctiques.
Incidents de seguretat
Durant la seua intervenció Soler ha volgut destacar la labor de conscienciació que duu a terme el CSIRT-CV, "ja que és de gran importància en aquests temps en els quals els atacs informàtics i els ciberdelinqüents aguaiten per igual a ciutadans, empreses privades i públiques i Administracions, amb l'objectiu de sostraure els seus diners i les seues dades amb finalitats lucratius".En aquest sentit ha explicat que el Centre de Seguretat TIC de la Comunitat Valenciana processa una mitjana diària de 500.000 alertes provinents de la Xarxa Corporativa de la Generalitat, algunes tan importants com les que van afectar mitjans de comunicació i empreses de tecnologia com EVERIS el passat novembre i que, no obstant això, tampoc van aconseguir afectar el sistema de l'Administració de la Generalitat.
El major nombre d'incidents són del tipus Wannacry, frau al CEO, infecció massiva, atacs de denegació de serveis a les infraestructures, etc. CSIRT-CV les estudia i les avalua segons la seua tipologia, el seu impacte i la seua gravetat i decideix quines mesures prendre en cada cas.
Cal destacar que hi ha dos tipus d'atac, d'una banda els ciberincidents, que consisteixen en atacs dependents de la tecnologia, com a troians, virus, ransomware, atacs de denegació de serveis, etc., i d'altra banda, els incidents facilitats, que són els que utilitzen la tecnologia per a perpetrar un delicte, aprofitant l'anonimat de la xarxa i l'accés a un major nombre d'usuaris, és a dir són fraus o estafes de tota la vida usant mitjans tecnològics.
Així mateix ha destacat que en el cas de la Generalitat, aquest tipus de frau és difícil que tinga èxit a causa de les mesures de fiscalització, limitació i control de la despesa implementades en els procediments de l'organització.
Encara en l'hipotètic cas que un empleat públic de l'Administració autonòmica valenciana poguera prendre com a vàlid un d'aquests correus fraudulents, els mateixos processos de tramitació i els controls previs per a la realització de pagaments fan quasi impossible que es puga materialitzar un frau d'aquest tipus en la Generalitat.
Jornada sobre prevenció del delicte
En la jornada clausurada pel conseller han participat la secretària autonòmica de Model Econòmic i Finançament, María José Mira, el director general de Tecnologies de la Informació i de les Comunicacions, José Manuel García Duarte; la directora general de Sector Públic i Patrimoni, Isabel Castelló, la directora del Centre de Seguretat TIC de la Comunitat Valenciana, Lourdes Herrero, així com responsables de la unitat de Policia Nacional adscrita a la Comunitat Valenciana, i el cap del grup de Delictes Tecnològics de la Prefectura Superior de Policia, Juan Carlos Casas, entre altres.La jornada ha sigut convocada amb l'objectiu principal de conéixer els diferents riscos als quals s'enfronten les nostres entitats, analitzar les últimes tendències en matèria de responsabilitat penal de la persona jurídica i posar en comú les mesures preventives i de control implantades en el sector públic instrumental.