Mar López ha sido una de las ponentes más destacadas de la última edición deISMS Forum, la Asociación Española para el Fomento de la Seguridad de la Información, donde ha destacado la coordinación entre todas las entidades púbicas de ciberseguridad. Mar es la Jefa de la Oficina de Seguridad y Tecnologías de la Información del DSN y responsable de Ciberseguridad. Además ostenta el cargo de Secretaria del Consejo Nacional de Ciberseguridad.
¿Cuál es la actitud en general de nuestro país hacia la ciberseguridad?
Los trabajos que se vienen desarrollando a nivel estratégico desde 2011 en materia de Seguridad Nacional han ido marcando la singular importancia que el ámbito de la ciberseguridad tiene para España. Esto es, el camino a seguir para seguir avanzando.
¿Podría hablarnos del trabajo que están llevando a cabo en España las autoridades gubernamentales?
Si bien diversos organismos llevaban trabajando varios años en este sentido, a nivel Estado se reconoce la amenaza en el ciberespacio en la Estrategia Española de Seguridad. Más tarde, en 2013 la Estrategia de Seguridad Nacional reconocía de nuevo las amenazas en el ciberespacio y es cuando España desarrolla su primera Estrategia Nacional de Ciberseguridad, acompañada de un modelo de gobernanza con el Consejo de Seguridad Nacional a la cabeza, apoyado por el Consejo Nacional de Ciberseguridad. En 2017 se elabora una nueva Estrategia de Seguridad Nacional en la que de nuevo se actualiza y amplifica la concepción del problema, lo que da paso, en 2019, a la elaboración y aprobación de la vigente Estrategia Nacional de Ciberseguridad. Todo ello constituye un significativo avance en este marco, aunque nos quedan muchos “gaps” en los que debemos incidir, sobre todo en lo referente a la cultura de ciberseguridad.
¿De qué logros está más satisfecha hasta ahora de la Unidad que dirige?
Los logros son de España y de todos los que contribuimos a contar con un ciberespacio más seguro. Apunto cuatro aspectos, para mí esenciales: compromiso; lugares de encuentro, debate y discusión; cooperación, y coordinación.
Contar con el compromiso, a nivel de Estado, de todos los que trabajamos directa o indirectamente en este ámbito y de la ciudadanía en general, es esencial. Hemos avanzado mucho en este compromiso, pero no todo está hecho. Por otro lado, tener lugares de encuentro donde poder compartir amenazas, conocimiento, situaciones, necesidades, retos, desafíos, soluciones, propuestas…. Ya sea en el nivel estratégico como en el operacional y el técnico y sobre todo colaborativo, ya sea en el ámbito público, como en el privado y especialmente en el público-privado. El Consejo Nacional de Ciberseguridad, la Comisión Permanente de Ciberseguridad y el Foro Nacional de Ciberseguridad son ejemplos de contribución en la mejora de la cooperación y coordinación.
hay mujeres excepcionales en el ámbito de la ciberseguridad, igual que hombres, pero han de ser más visibles
¿Somos conscientes de lo que valen nuestros datos?
Tengo por seguro que no.
¿Por qué es tan difícil encontrar expertos en ciberseguridad? ¿Problema de sueldos, problema de talento? ¿Prefieren pasarse al lado obscuro?
Como he apuntado en muchas ocasiones no se trata de falta de talento, sino reconocer el que hay, extraer y explotar capacidades existentes. También de dotar de distintas habilidades según el perfil que se busque. En muchas ocasiones creo que hay una brecha entre la necesidad y la definición de los puestos de trabajo, que además de los sueldos, hacen que el sector sea muy dinámico. Por otro lado, pienso que en ocasiones se trata de orientación, en otros de complementariedad en la formación o de una cualificación no orientada y por supuesto aptitud, actitud. Es necesario cambiar el “chip” y buscar otras formas de reconocer también el “expertise”.
¿Y en cuanto a la oferta formativa?
Por supuesto que es necesaria una oferta formativa a distinto nivel y multidisciplinar, no solo a nivel técnico, sino en otros marcos para contar con profesionales que respondan a las verdaderas necesidades del mercado laboral. El componente tecnológico es importante, pero no es exclusivo
Cada vez son más las mujeres que destacan en el ámbito de la ciberseguridad. ¿Se las toma en serio?
Quizás lapregunta es si nos sentimos reconocidas, no si se nos toma en serio.
Se trata de que se reconozca el talento, que lo hay y mucho, sin sesgos de ningún tipo...
Por supuesto nada es fácil ni gratis, hace falta mucho sacrificio y que el entorno nos acompañe. Es cierto que el ámbito de la Seguridad y el de la ciberseguridad la representación ha sido predominantemente masculina, pero esto sucede en otras muchas profesiones, lo importante es que está cambiando. Estamos avanzando en la buena dirección, hay mujeres excepcionales en el ámbito de la ciberseguridad, igual que hombres, pero han de ser más visibles.
Reconocer los logros de las mujeres en la industria y desafiar lo que hasta ahora ha sido habitual marca la diferencia. Es vital generar referencias e inspiración para todas aquellas que quieren desarrollar su carrera en ciberseguridad más allá de estereotipos.
el sector financiero es uno de los sectoresmás preparado y que más ha invertido en la prevención, contención y continuidad de sus actividades, así como en hacer frente a una crisis que pueda venir acontecida por un ataque
Una de las características del Incibe es la claridad de sus recomendaciones y el lenguaje didáctico… ¿Cómo lo consiguen?
Te puedo dar mi opinión, pero creo que es mejor que se lo preguntes a ellos. Jajaja. Están muy cerca del ciudadano y tienen espacios dedicados a ello, como por ejemplo la línea 017 de ayuda en ciberseguridad. Además, su ámbito de competencia son las empresas, grandes o pequeñas, lo que hace que conozcan muy cerca de sus preocupaciones y necesidades en la materia. Esto hace que sus recomendaciones sean muy prácticas y para ello utilizan lo que llamo "traducción" técnica. No todo el mundo tiene que saber de todo, pero si hay que ayudar a comprenderlo y esto INCIBE lo hace muy bien.
Uno de los mayores terrores de la ciudadanía es perder el dinero por un ciberataque a un banco, ¿están suficientemente protegidas las Instituciones bancarias?
Aunque sea una afirmación "manida" siempre hay un hueco por el que pueden colarse. Aun así, en mi opinión el sector financiero es uno de los sectores que más preparado y que más ha invertido en la prevención, contención y continuidad de sus actividades, así como en hacer frente a una crisis que pueda venir acontecida por un ataque. Su modelo de negocio lo requiere y así lo vienen demostrando hace años.
Hay que centrarse en explotar ciertas habilidades sociales y comunicativas, especialmente relevantes y valoradas, hoy día, en el ámbito de la ciberseguridad.
¿Qué recomendaría a las personas que quieren formarse en ciberseguridad?
Lo primero, como siempre, pasión. Aunque no parezca adecuado decir esto, es algo que las nuevas generaciones y las ya no tan nuevas, perseguimos. Que te guste el trabajo que haces o vas a hacer es muy importante.Y por supueto, formación y aprendizaje continuo. Con interés y dedicación todo se aprende. La dedicación que hay que brindar a esta materia es constante, nunca se termina de aprender e investigar, pero una formación de base es esencial. La parte de especialización, ya sea a nivel más técnico como de gestión, también es relevante y por tanto un camino que hay que elegir. El autoaprendizaje es otro de los puntos a considerar. En ciberseguridad, es muncho el campo en el que profundizar
¿Por ejemplo?
Hay que centrarse en explotar ciertas habilidades sociales y comunicativas, especialmente relevantes y valoradas hoy día. Es común pensar que es una industria muy técnica y con habilidades demasiado concretas, pero hay otras muchas habilidades igualmente importantes. Nadie ha dicho que sea fácil. Se necesita mucho esfuerzo y siempre con ánimo de seguir avanzando y aprendiendo.
¿En qué tipo de ciberdelitos pican más los españoles?
Durante la crisis de la COVID19 han aflorado los ataques de phishing. No puedo decir que sean los únicos pero quizás en un periodo de tiempo, sí los principales.
¿Ha estado nuestro país a la altura en cuanto a ciberseguridad durante la pandemia?
Sobre este aspecto me gustaría destacar la amplia e implicada colaboración que ha tenido lugar durante los últimos meses para combatir las amenazas en el ciberespacio, tanto en el ámbito público como el privado, a nivel nacional y local. A partir del 14 de marzo, se activaron los mecanismos para reforzar la gestión de la crisis en el ámbito de la ciberseguridad, que se encuentran alineados y conectados con los de la Unión Europea.
¿Cuáles fueron las líneas de actuación?
Se activó, en el nivel operacional, la Comisión Permanente de Ciberseguridad para facilitar la coordinación interministerial en este ámbito, con el objetivo de obtener una cooperación reforzada y coordinada frente a las ciberamenazas y los ciberataques. A nivel técnico, los equipos de respuesta a ciberincidentes (CSIRT) de ámbito nacional, autonómico y privado, se centraron en reforzar la ciberseguridad con acciones preventivas, de detección y respuesta, y apoyo al sector sanitario.
¿Cuál ha sido el papel de las Fuerza y Cuerpos de Seguridad y del Ejército?
Las Fuerzas y Cuerpos de Seguridad, además de perseguir los delitos, han difundido recomendaciones y avisos preventivos a través de sus canales de redes sociales. Las Fuerzas Armadas, a través del Mando Conjunto del Ciberespacio, ha actuado para reforzar la ciberseguridad en el marco de sus competencias. Así también actuaron el Instituto Nacional de Ciberseguridad y el Centro Criptológico Nacional. Además, quiero destacar el gran valor la colaboración público-privada. Son numerosas las empresas del sector privado que pusieron sus servicios de ciberseguridad de manera gratuita para el sector público y de la sociedad.
El spam de phishing está convirtiendo en un campo de minas peligrosísimo nuestra bandeja de entrada. ¿Soluciones?
Para poder luchar contra el phishing y en general las ciberamenazas a las que se ven expuestos los ciudadanos, el fomento de la concienciación y la formación en ciberseguridad es vital en el camino de mejora hacia la confianza digital. En este marco, el impulso de la economía de la ciberseguridad y la colaboración público-privada son especialmente relevantes
Uno de los puntos de la última propuesta china, en cuanto a un acuerdo de ciberseguridad global, es que no se puede obligar a los usuarios a actualizar dispositivos o sistemas, ¿le parece una locura?
Las personas somos el eslabón más débil de la cadena. La actualización de los dispositivos es completamente "obligatoria" y necesaria para minimizar los riesgos. Ahora bien, el usuario en su entorno privado es libre de actualizar o no sus dispositivos, pero debe ser consciente de los riesgos a los que se enfrenta caso de no hacerlo.
actores estatales y no estatales han encontrado en el ciberespacio un espacio donde la ausencia de soberanía, su débil jurisdicción, la facilidad de acceso y la dificultad de atribución de las acciones que en él se desarrollan, representan un gran desafío en el marco de la seguridad.
Hay que apostar por la sensibilización y concienciación para que lleven a cabo estas prácticas, así como otras medidas de seguridad que son esenciales tanto para la seguridad como para la privacidad. ¿Por qué existe tanto ciberacoso y qué recomendaría a los padres a la hora de abordar estos temas con sus hijos?
La concienciación y sensibilización en ciberseguridad debe llegar a toda la sociedad y especialmente a aquellos segmentos de la población más vulnerables. Al igual que se educa a los niños, a los adolescentes… en múltiples aspectos de la vida, debemos hacerlo también en este ámbito y acompañarlos en el proceso de acceso a las tecnologías, aprendiendo con ellos y haciéndoles conscientes de los riesgos que comportan. Por supuesto, la supervisión debe ser constante, lo que supone un auténtico reto a determinadas edades.El ciberacoso hace que estas conductas se extiendan más allá del horario escolar. Es importante concienciar a los niños sobre este tema y aconsejarles que deben comunicarlo en caso de que se produzca. Como decía, para los padres es muy importante la observación de sus hijos tanto en el mundo físico como en el mundo virtual.
Cada vez se habla más de la ciberguerra como campo de batalla ¿Cuál es el mayor riesgo al que se exponen los contendientes?
La OTAN reconoció al ciberespacio como quinto dominio de operaciones junto a la tierra, el mar, el aire y el espacio. Muchos países, incluido España, han reforzado sus capacidades en el marco de la ciberdefensa. Sin embargo, actores estatales y no estatales han encontrado en el ciberespacio un espacio donde la ausencia de soberanía, su débil jurisdicción, la facilidad de acceso y la dificultad de atribución de las acciones que en él se desarrollan, representan un gran desafío en el marco de la seguridad.
¿Somos conscientes de nuestros ciberderechos o renunciamos por ignorancia a ellos?
No lo creo, ni de nuestros derechos, ni de nuestras obligaciones. Creo que es necesario comunicar y explicar a la sociedad sobre los mismos. Tanto en lo que se refiere a su responsabilidad del buen uso de la tecnología y su contribución a crear un ciberespacio más seguro, como el de sus derechos. En este sentido, quiero destacar una iniciativa que me parece muy interesante; la llevada a cabo por el Ministerio de Asuntos Económicos y Transformación para elaborar una Carta de Derechos Digitales, en la que se constituirá un grupo de expertos para tal fin y que contará a su vez con un procedimiento participativo a fin de reflejar la opinión de la ciudadanía.
Con la pandemia gran parte de la ciudadanía tiene la sensación de que se les está imponiendo la tecnología a la fuerza, ya sea con la recomendación del pago en efectivo, etc…
De nuevo, es necesario incidir en la formación y concienciación. La tecnología genera múltiples oportunidades, pero nos queda por trabajar más en los aspectos relativos a confianza digital haciendo ver que todo ello facilita nuestro día a día. Entiendo que en ocasiones los cambios asusten, pero dichos cambios no esperan, están para quedarse y avanzar y nosotros con ellos. En todo este marco, tan importante es conocer las oportunidades como los desafíos y las amenazas. Solo de esta manera y conociendo como hacerles frente y cuáles son los mecanismos con los que contamos, perderemos el miedo.
¿Cuenta su departamento con los medios suficientes ante los retos a los que se enfrenta?
Nunca es suficiente, siempre es necesario contar con recursos adicionales… Sin embargo, un paso previo es fomentar la colaboración, puesto que, si nos coordinamos no solo a nivel público, sino también impulsamos la colaboración público-privada, los recursos se multiplican.
El despliegue del 5G revertirá de manera positiva a la sociedad y la industria, siembre que la ciberseguridad de estas redes esté en la agenda de todos los stakeholders.
¿Cuáles son los retos ante el 5G?
Uno de los principales retos a los que nos enfrentamos es el de garantizar la ciberseguridad de las redes. En esta línea, con el fin de apoyar el desarrollo de un enfoque común dirigido a garantizar la ciberseguridad de las redes 5G de la Unión, la Comisión Europea adoptó la Recomendación 2019/534 de 26 de marzo de 2019 Ciberseguridad de las redes 5G y el 29 de enero 2020 se adoptaron una serie de medidas y directrices para garantizar la seguridad del 5G en toda Europa (Toolbox). He de destacar que se ha elaborado un informe sobre la implantación de dicha Toolbox en los distintos EEMM, publicado el pasado 24 de julio.
Por otro lado, El Consejo de la UE, adoptó el día 9 de junio de 2020 unas Conclusiones sobre la configuración del futuro digital de Europa en las que, entre otras, pide a los estados miembros y a la Comisión que implementen las restricciones pertinentes a los proveedores de alto riesgo -evaluados de acuerdo a unos criterios objetivos comunes para la UE- para activos clave identificados como críticos y sensibles. En esta línea, España trabaja en el borrador del proyecto de ley sobre la ciberseguridad en las redes 5G.
¿Ventajas e inconvenientes de esta tecnología?
El despliegue de estas redes que permitirá entre otros mejorar el ancho de banda, mayor velocidad, mayor número de dispositivos conectados… revertirá de manera positiva a la sociedad y la industria, siembre que la ciberseguridad de estas redes esté en la agenda de todos los stakeholders.