UNO, la Organización Empresarial de Logística y Transporte, organizó una jornada en la Fundación de la Universidad Rey Juan Carlos en Madrid para concienciar al sector de la logística y el transporte de la importancia tomar medidas en materia de ciberseguridad. El encuentro contó con la presencia del Instituto Nacional de Ciberseguridad de España (INCIBE) del Ministerio de Energía, Turismo y Agenda Digital, el área de Delitos Tecnológicos de la Guardia Civil; el Centro Criptológico Naiconal (dependiente de Vicepresidencia del Gobierno) y el Centro Nacional de Protección de Infraestructuras críticas (del Ministerio del Interior). Durante el encuentro, quedó de manifiesto que la digitalización, el internet de las cosas y la nube están transformando los modelos económicos y productivos. Esta evolución supone una gran oportunidad para las empresas, pero también plantea muchos desafíos, entre los que destaca la ciberseguridad.

La interconexión de la economía digital en el mundo, obliga a elevar las medidas de ciberseguridad. La ciberseguridad es uno de los cinco mayores riesgos a los que se enfrentan actualmente las empresas. El Foro Económico Mundial estima que en 2021, es decir, en tres años, el coste global de la ciberseguridad alcanzará los 5 trillones de euros. Esto es el doble de lo estimado para 2015 y refleja el calado de los riesgos cibernéticos para nuestras empresas. Los últimos estudios en esta materia reflejan el 75% de los directivos reconocen que el grado de madurez de su capacidad para detectar vulnerabilidades es muy bajo y moderado. De hecho, el 35% califica sus políticas de protección como inexistentes y el 12% no ha puesto en marcha programas para detectar violaciones de identidad o de claves.

«En España, por ejemplo, el 67,7% de los directivos considera probable o muy probable que su empresa vaya a ser objeto de un ciberataque. Sin embargo, el 49% de los directivos reconoce que carecen de una estrategia integral de seguridad y el 53% no cuenta con programas de formación para los empleados y el 55% no dispone de procedimientos previamente establecidos para responder a los incidentes de seguridad», explicó el secretario general de UNO, Francisco Arana. «No nos podemos permitir estas cifras, porque hay mucho en juego y es la Administración quien tiene que implementar políticas de impulso para trabajar en la prevención, sensibilización y formación de las empresas. La inversión en ciberseguridad, dentro del proceso de digitalización, es clave y la Administración deberían incentivarla», añadió el secretario general de UNO.

 

   

Alberto Redondo, capitán del grupo de Delitos Tecnológicos de la Guardia Civil, explicó durante el encuentro que cada vez hay más estafas relacionadas con las relaciones cliente-proveedor. La percepción de la seguridad no ha cambiado en los usuarios, pero los usos que hacemos de móviles y dispositivo sí, lo que aumenta exponencialmente los riesgos. En este sentido, usar dispositivos personales para el trabajo (desde donde el usuario puede tener APPs de markets no seguros o el uso de USB personales en el trabajo son causas muy comunes de infección. Como explicó el capitán de la  Guardia Civil, existen ataques y técnicas diseñadas para grupos empresariales muy grandes y también el crimen por servicio. «Por ejemplo, tumbar una web en un Black Friday. El robo de información también está al orden del día. Los datos son uno de los activos más importantes que tenemos», argumentó Alberto Redondo.

Hablar de ciberseguridad no es sólo hablar de ransomware. Existe una auténtica ingeniería social par engañar con webs falsas, tramas en las descargas, en los pagos. «Tenemos que tener mucho cuidado con los backup, con los clicks indiscriminados o las APPs no oficiales», indicó el experto. Ante la pregunta de si las empresas deben pagar un rescate ante una encriptación, el representante de la Guardia Civil fue rotundo: «No, porque no hay seguridad en que te den la clave». En su intervención, aclaró que es imprescindible realizar siempre copias de seguridad como media de prevención y presentó la web www.nomoreransom.org, de la Guardia Civil y la Europool, que contiene un repositorio de ransomware y ofrece claves de desencriptación.

Pero… ¿cómo actúan los responsables de los ciberataques? La Guardia Civil detalló que éstos identifican una empresa y dentro de ella el eslabón más débil, estudian dónde se conecta el objetivo, a qué hora, a qué redes… «Hay mucha información que es de libre acceso, porque tenemos redes sociales y otro tipo de conexiones que facilitan mucha información sobre nosotros», indicó. «¿Cómo prevenir? Con formación personal, prevenir el ‘oversharing’, tener mucho cuidado con los perfiles personales o corporativos y con lo que compartimos en redes, etc. También es clave establecer procedimientos de comprobación e invertir en control técnico (monitorización, filtros de spam, anulación de transferencias…). Es clave asegurar bien la cadena de suministro y tener mucho cuidado de con quién nos relacionamos y lo más importante: denunciar, porque colaborar permite a identificar el modus operandi de estas estafas».

 

Elena García, responsable de Servicios de Ciberseguridad para Empresas y Profesionales de INCIBE, el Instituto Nacional de Ciberseguridad de España, reconoció que estamos ante un nuevo modelo de negocio y eso conlleva muchos riesgos. «Las empresas acaban pagando los rescates aunque no lo digan«, indicó. «En el caso de la ciberseguridad quien está en el punto de mira ya no es el ciudadano si no las empresas y no sólo las grandes, todas. La lección que hay que aprender es que todos tenemos la llave para la ciberseguridad. ¿Qué hacer? Recurrir a servicios profesionales y hacer un cambio en nuestra estrategia de ciberseguridad. Hay que tener  planes de contingencia para estar preparados ante cualquier incidencia. Hemos aplicado muy rápidamente prácticas de certificaciones de calidad, pero no tan rápido en sistemas de seguridad de la información. Tenemos muy claro la subcontatación de servicios de IT, pero ¿y de ciberseguridad?  TAl igual que tenemos en cuenta la seguridad física de nuestra empresa hay que tener controlada la ciberseguridad«, insistió. Además, presentó el decálogo que recomienda INCIBE a las empresas del sector en materia de Ciberseguridad:

1. Política y normativa.

2. Control de acceso.

3. Copias de seguridad.

4. Protección antimalware.

5. Actualizaciones.

6. Seguridad en la red.

7. Información en tránsito (BYOD, Acceso remoto…).

8. Gestión de soportes.

9. Registro de actividad.

10.Continuidad de negocio.

Daniel Latorre, gerente de UNO y Jesús Poveda, director de Desarrollo de Negocio de CITET, presentaron el proyecto Logicom 4.0, contemplado para crear estándares ante los múltiples sistemas existentes entre los distintos eslabones de la cadena de suministro y que impiden en muchos casos la total trazabilidad de la cadena. Esta falta de estándares es la causa del 20% de las incidencias (robos, pérdidas, rechazos…). La solución que propone el proyecto Logicom es integrar la plataforma Wonder para generar códigos de trazabilidad con la plataforma GNE, que cuenta con 9.000 usuarios del sector manufacturero y trabaja en el intercambio de información normalizada y estandarizada. Se trata de información fiable, segura y en tiempo real, lo que permite democratizar el acceso de pymes y autónomos a estándares y a una cadena de suministro transparente y segura. El calendario del proyecto es: en febrero tendrá lugar el lanzamiento de este piloto, financiado por el Ministerio de Industria, en marzo se prevén los primeros resultados y el proyecto finalizará en junio.

Si quieres tener acceso a las presentaciones desarrolladas durante las jornadas, pincha en cada una de ellas:

 

DECÁLOGO DE INCIBE PARA EMPRESASTransporte y Ciberdelincuencia – Guardia Civil LOGICOM 4.0