16/2/2016

UNIMOOC-Ud6-Mod1

UNIMOOC-Ud6-Mod1

Pgina

Trabajar con seguridad en la economa

digital

Mdulo 5.01.:
La seguridad en la empresa

Leccin 1. Contenido
https://docs.google.com/document/d/13ZG0MXHJ34VTbWk-qzTAFETStPYJPgZ1kAPUlYwMZkY/pub

1/6

16/2/2016

UNIMOOC-Ud6-Mod1

Lec c in 1.La seguridad y las implic ac iones del entorno digital

Lec c in 2.La importanc ia del f raude en Internet
Lec c in 3.E l papel de la Administrac in pblic a

Leccin 2. La

4
7

segu ridad y las implicaciones del entorno digital

Todas las personas tenemos la necesidad de sentirnos seguros, seguros en nuestra vida personal o familiar,
en nuestro ocio, en nuestro entorno de trabajo. Es decir, la inseguridad, la incertidumbre sobre si nos
puede ocurrir ahora mismo algn tipo de incidente imprevisto puede llegar a bloquear y a trastornar.
Por tanto, es muy importante el garantizar entornos seguros en el trabajo y que las empresas se preocupen
para que las personas que trabajan en ellas, los empleados, trabajen cmodamente y se sientan seguros. Al
mismo tiempo, los proveedores y los clientes tengan una relacin de confianza y una seguridad de que la
informacin personal sobre ellos est bien custodiada y bien tratada respetando la privacidad. Y al mismo
tiempo que si hay un incidente que se produjera en la empresa, la empresa no se va a ir al garete, sino que
superar los problemas y seguir avanzando para adelante.
Por tanto, es muy importante garantizar la seguridad. La pirmide de Maslow famosa establece a la
seguridad como una necesidad humana de segundo nivel despus de las fisiolgicas. Ahora bien, la
seguridad cien por cien no existe, es decir, la seguridad es algo de percepcin, en algunos lugares uno se
siente ms seguro y otra persona, la misma persona, y otra persona en el mismo sitio se encuentra ms
inseguro. Hay algo de componente subjetivo y, a la hora de fijar unos niveles de seguridad, esos
componentes de percepcin son muy importantes.
Qu sucede hoy? Bueno, pues as como antiguamente, y digo antiguamente hasta hace muy poco, la
seguridad en una empresa consista en proteger que nadie entrara dentro de unas vallas, dentro de unas
puertas, unas ventanas, nadie las atravesar si no tena la adecuada autorizacin y que la informacin
confidencial se guardar en un cajn o se guardar en una caja fuerte, lo mismo que el dinero. Hoy da, eso
ha cambiado completamente, es decir, el mundo digital nos hace que nos relacionemos a travs de
Internet con personas que nos dicen como se llaman, pero que tenemos que saber si efectivamente son
quienes dicen ser. De la misma manera, el tener la informacin ya no se archiva en cajones con llave sino
que est en sistemas informticos y no slo dentro de la empresa, sino pues a lo mejor en porttiles va
circulando por ah, en tablets, en mviles.
Por lo tanto, ha cambiado la naturaleza del problema de la seguridad en las empresas hoy y, de hecho, la
seguridad de la informacin se ha convertido en un problema de primera magnitud. Cualquier persona que
siga estos temas, pues puede recordar que no hace muchos aos, en 2007, Estonia, un pas estuvo
prcticamente paralizado 24 horas por un ataque informtico. De la misma manera que ha habido ataques a
bancos importantes, a empresas petroleras, a distintos tipos de compaas, o que haces unos meses en
Espaa en el marco de una operacin policial y judicial conocida como Operacin Pitiusa detuvieron a una
red de personas, de delincuentes, que lo que estaban haciendo era que robaban datos para luego
venderlos y estaban montados como red. Por lo tanto, este tema cada vez est siendo ms importante.
Qu est pasando hoy? Bueno, pues que es necesario proteger la seguridad de la informacin de las
empresas porque cada vez hay ms virus, hay distintas formas de malware. Es curioso ver la evolucin de
los virus, es decir, todo este problema surge con los virus. Los virus, los virus informticos, nacieron como
un reto tecnolgico, es decir, el primer virus, all por el ao 71 o 72, se hizo en un ordenador, se hizo un
programita, se meti en un ordenador y ese programita apareca con un mensaje diciendo Cgeme si
puedes, soy una enredadera, se llamaba Creeper, Atrpame si puedes. Entonces, hicieron un
antivirus, una segadora (Reaper) y entonces conseguan controlarlo. Fue un tema puramente de inters
tecnolgico.
https://docs.google.com/document/d/13ZG0MXHJ34VTbWk-qzTAFETStPYJPgZ1kAPUlYwMZkY/pub

2/6

16/2/2016

UNIMOOC-Ud6-Mod1

Posteriormente, cuando se generaliza el uso de Internet y de la informtica, entonces empiezan a surgir

virus. Hay el famoso virus Brain, unos paquistanes que fabricaban software hicieron un antivirus y
pusieron su firma, su nmero, su direccin telefnica para que cualquiera lo utilizara. Entonces es curioso
que eso que sigue funcionando, sigue estando todava en Internet, era el origen. Hasta que lleg un
momento en que la delincuencia se dio cuenta que era un filn de negocio, de negocio ilegal y desde el
anonimato, el introducir virus especiales, introducir determinados programas informticos para robar
informacin, suplantar identidades, etc.
Y eso ha ido generando una delincuencia organizada en el mundo de la informacin que hace que las
empresas tengan que tener medidas. Segn el estudio de INTECO, el 26% de las empresas espaolas en el
ao 2011 tuvo algn ataque, que ellas sepan. Probablemente fuera mayor el porcentaje. Bueno, ante eso
es evidente que hay que ser consciente del problema, hay que tomar medidas adecuadas y el objetivo de
este curso es tocar todos esos temas y analizar con qu medidas debemos de protegernos.
Y vamos a contar con la colaboracin de cinco expertos que nos irn contando tambin ideas. Cuatro de
ellos son directivos de empresas que han sido start-ups hace unos aos y que hoy ocupan posiciones de
liderazgo en seguridad en sus nichos de mercado en todo el mundo. Y otro, la quinta persona es Director
General del rgano de la Administracin Espaola dedicado a garantizar la seguridad en Internet y dar
informacin. Vamos a contar con ellos y a lo largo de este curso iremos viendo todos estos temas con el
objeto de mejorar la seguridad y la confianza.

Leccin 3. La

importancia del frau de en Internet

S, yo creo que aqu tambin hemos evolucionado, es decir, desde nuestra experiencia, nos especializamos
en el fraude realmente en el ao 2003/2004 con las entidades financieras, los primeros aos que eran sobre
todo donde digamos que el phising pues era el actor fundamental en lo que es el modelo de engao pues
el impacto de abajo, el a Debe.
Hay que tener en cuenta que para las entidades financieras desde el punto de vista legal ellos tenan que
cubrir directamente lo que era el modelo del fraude, es decir, el usuario pues en este caso estaba exento.
Pero esto ha cambiado, es decir, a cambiado el phising, han cambiado los modelos, hoy ya hablamos de
troyanos.
En 2007/2008 se haca un anl i si s de troy anos cada 2/3 horas, hoy anal i zam os unos 50.000 al
da, de m odo autom ati zado para v e r e l m ode l o de ataque y pode r pre v e ni r.
Y yo tengo pues la experiencia personal que en el ao 2007/2008 hacamos un anlisis de troyanos cada dos
horas, tres horas; hoy estamos haciendo pues un anlisis de troyanos de ms de 50.000 al da con
elementos automticos. Yo creo que aqu la clave est en entender muy bien lo que es el modelo de
ataque, en intentar automatizar todos los procesos de anlisis, en detectar directamente el fraude y en que
no tenga impacto.
Esto est creciendo, si bien cada ao ha ido ms o menos duplicndose lo que es el modelo del fraude, yo
dira que en los dos ltimos aos, sobre todo este ltimo ao se ha multiplicado por cuatro. Esto est
automatizado, es decir, ya no es un mercado directo de alguien que ataca, sino que existen herramientas
que se pueden comprar que pueden ser pues un elemento de ataque que llega directamente al usuario
final.
Hemos pasado de evaluar el fraude en cifras bajas con todas las dificultades que tiene que las empresas
directamente cuenten lo que realmente est pasando y lo que es el impacto econmico, pues hemos
pasado de cifras bajas a las que tenemos hoy. En el ao 2012, diferentes estudios por parte de Symantec,
por parte de otras compaas hablan de que hasta 2 trillones de dlares han sido las prdidas reales que ha
tenido el sector durante estos aos.
Se e sti m a que e n 2012 e l f raude asce ndi a 2 tri l l one s de dl are s
https://docs.google.com/document/d/13ZG0MXHJ34VTbWk-qzTAFETStPYJPgZ1kAPUlYwMZkY/pub

3/6

16/2/2016

UNIMOOC-Ud6-Mod1

Y ya se empieza a hablar de que esto es un problema econmico global, ya no es un problema de fraude

solo sino que se est dejando de crear empleo, estas prdidas hace que haya empresas que estn cerrando
directamente por este tipo de filosofas. El ao pasado, por ejemplo, en India, slo India, tuvo unas
prdidas reconocidas de 8 billones de dlares, 8 billones, que son una cifra espectacular, Estados Unidos
ms de 250, Reino Unido 30 millones de libras, 30 billones de libras tambin.

Y al final tenemos que tener en cuenta que esto es algo que est creciendo, es decir, o sea, el gran
problema que tenemos en este momento es cmo podemos parar esto. Si t vas a un modelo de
prevencin ests, vamos a decir, generando un conjunto de, un conjunto de barreras dira yo, pues a
quien quiero tener, un objetivo final que elimina muchas veces por lo que sea el riesgo que tienes dentro
de tu organizacin.
En 2012 l a UE e stabl e ci l a Estrate gi a de Ci be rse guri dad
Pero cuando empezamos a hablar de estas cifras creo que estamos ya en un entorno en el que los
gobiernos empiezan a tomar el timn, a asumir el timn. El ao pasado, pues, Europa cre la Estrategia
Europea de Ciberseguridad.
Espaa ha l anzado tam bi n su Estrate gi a N aci onal de Ci be rse guri dad
Hace poco Espaa ya ha lanzado la Estrategia, digamos, Nacional pues en el mbito de Seguridad y
Ciberseguridad. Se empieza a ver esto como un elemento disruptivo, es decir, ya no es un elemento de
fraude slo, sino que es un elemento, vamos a decir, de guerra fra pues entre los diferentes pases.
Se ataca al l donde e x i ste al go que ti e ne un v al or
Los objetivos no son exclusivamente los econmicos, ya no se ataca slo al sector financiero sino que se
ataca directamente all donde existe algo que tiene un valor: ciberespionaje, entrar directamente pues en
la propiedad intelectual de los clientes, saber que va a hacer la competencia antes de que vayas
directamente a esos proyectos.
Es un ne goci o de sde e l anoni m ato
Entonces cuando ests evaluando directamente lo que es el impacto, unos hablan de trillones, otros hablan
de muchos billones. Lo que est claro es que esto es un negocio, est claro que es un elemento que desde
lo que es el anonimato genera muchsimo beneficio. Las organizaciones ya son empresas, las
organizaciones que son empresas en el lado malo innovan tambin, y los que estamos digamos pues en el
lado del trabajo conjunto con los clientes debemos de seguir innovando de forma permanente.
Yo creo que es el sector donde ms innovacin se da, porque lo que es seguro en un momento
determinado, un minuto despus ya ha dejado de serlo. O sea que es importante informacin, inteligencia,
la correlacin, la colaboracin. Este es un problema transnacional, no es un problema de un pas, no es
problema de una empresa, es un problema que se da en la red con todo lo que tiene pues de los aspectos
alegales en este momento a la hora de poder resolver directamente los conflictos.

Es decir, los nmeros son altos. A nivel de Espaa no hay cifras, es decir, otra de las cosas que ocurren, en
general, los pases sajones, dira yo, son ms abiertos en esto y dan en un concepto pblico lo que es el
concepto de las prdidas para concienciar directamente a los ciudadanos y las empresas. Y aqu todava nos
da un poco de miedo dar pues ese pasito y decir pues vamos a contar tambin nuestras vergenzas, vamos
a contar que tenemos problemas que los tenemos, vamos a colaborar directamente y sobre todo vamos a
concienciar porque la clave de intentar prevenir el fraude es la concienciacin y el
Yo lo que dira es el buen uso de todos los entornos de informacin: los PCs, los mviles, los laptops, las
tablets, es decir, las tecnologas evolucionan, las tecnologas cambian, los modelos de negocio estn todos
en Internet. Lo que debemos de hacer es usar de una forma correcta toda esa tecnologa con el objetivo
fundamental de que el fraude no se produzca.
https://docs.google.com/document/d/13ZG0MXHJ34VTbWk-qzTAFETStPYJPgZ1kAPUlYwMZkY/pub

4/6

16/2/2016

UNIMOOC-Ud6-Mod1

Leccin 4. El

papel de la Administracin p blica

QU P A P EL JUEGA EL IN TECO ?
A estas alturas, no creo que sea necesario hablar de la importancia que tienen las tecnologas de la
informacin y las comunicaciones como generador de competitividad y de productividad en el sector
privado. Es imprescindible que seamos capaces de generar un clima de confianza que permita a las
empresas utilizar hasta sus ltimas consecuencias los beneficios que suponen las tecnologas de la
informacin y las comunicaciones para su actividad diaria, para su actividad tradicional, pero tambin en lo
que pueden suponer el desarrollo de lo que se llama la economa digital o el negocio en Internet.
Las e m pre sas pri v adas de se guri dad of re ce n sus productos y se rv i ci os
Para todo ello es necesario que existan unas condiciones, unas garantas de confianza y de seguridad para
que puedan desarrollar adecuadamente su actividad. En este mbito es muy importante que exista un
sector privado que preste servicios de seguridad garantistas para todas estas empresas.
La A dm i ni straci n P bl i ca a trav s de IN TECO : f orm a e i nf orm a sobre l a i m portanci a de l a
prote cci n
Pero adems de esto la Administracin tiene que hacer su papel, su papel concienciando a las empresas de
la importancia que tiene su informacin, de la importancia que tiene protegerla, la suya, la informacin de
sus clientes, proteger su propiedad intelectual.
La A dm i ni straci n P bl i ca a trav s de IN TECO : of re ce se rv i ci os a e m pre sas pe que as que no
acude n a l a e m pre sa pri v ada.
Y por otro lado, ofrecer servicios a todas esas empresas que por su tamao, su dimensin, no acceden a
esos servicios del sector privado.
La A dm i ni straci n P bl i ca a trav s de IN TECO : m anti e ne re l aci one s con otros Gobi e rnos y
Fue rzas de Se guri dad
Adicionalmente a eso, la Administracin tiene un papel que desempear que no pueden desempear las
empresas privadas, que es lo que tiene que ver con las relaciones internacionales con organismos
homlogos, con la Agencia Europea de Seguridad de la que INTECO es miembro representando a Espaa
dentro de esa Agencia Europea de Seguridad. E INTECO tiene que, y de hecho lo hace permanentemente,
pues ofrece esos servicios de conexin con organismos internacionales y con las fuerzas y cuerpos de
seguridad.

El obj e ti v o e s re f orzar l a conf i anza e n e l m bi to di gi tal

En esta lnea, el Gobierno tiene una apuesta importante en el marco de la Agenda Digital para Espaa que
se aprob en Febrero de 2013, hace tan slo unos meses, en el que recoge entre sus nueve objetivos
principales, un objetivo que es el objetivo cuatro que es el de reforzar la confianza en el mbito digital. Y
en ese objetivo de refuerzo de la confianza en el mbito digital se sita toda esta estrategia y todos estos
servicios que presta INTECO al sector privado, principalmente.

Publicado por Google Drive Informar de uso inadecuado Actualizado automticamente

https://docs.google.com/document/d/13ZG0MXHJ34VTbWk-qzTAFETStPYJPgZ1kAPUlYwMZkY/pub

5/6

16/2/2016

UNIMOOC-Ud6-Mod1

cada 5 minutos

https://docs.google.com/document/d/13ZG0MXHJ34VTbWk-qzTAFETStPYJPgZ1kAPUlYwMZkY/pub

6/6