Al encuentro
han asistido expertos de los países de la Unión Europea, con una amplia variedad
de conocimientos y disciplinas profesionales (representantes de la industria,
de la policía, de operadores, de investigadores, etc.). La Asociación de Internautas
ha sido la única voz desde la perspectiva de los usuarios de Internet.
La Asociación preparó su contribución que ha sido muy bien acogida por la Comisión
Europea así como por los redactores del primer informe sobre Necesidades de Formación
y Perfiles profesionales para atender las demandas de expertos en temas de seguridad
en la Sociedad de la Información. Esta contribución se adjunta a este documento.
En esta posición, la Asociación ha enfatizado la importancia y buenos resultados
que se obtienen con las campañas específicas de concienciación a los usuarios
sobre la seguridad de sus sistemas informáticos, a la vez que incrementan la
confianza de los mismos sobre las herramientas que utilizan. La Asociación se
ha brindado igualmente como posible foro y herramienta futura para que la Comisión
Europea y el Instituto de Prospectiva Tecnológica puedan valerse de la experiencia
de la Asociación y del alcance de sus acciones allende fronteras españolas, para
lanzar próximas acciones de formación y concienciación.
El Documento Base
La Comisión Europea ha elaborado un primer documento base sobre las necesidades
de formación y perfiles profesionales necesarios para el trabajo en un entorno
seguro de e-Sociedad. Este documento base analiza las amenazas que sufre o sufrirá
la Sociedad de la Información y trata de identificar las acciones que serán necesarias
para que la sociedad en general y sus actores profesionales en particular estén
preparados para desempeñarse adecuadamente en este entorno. Las ideas expuestas
en este documento han servido de base para completar el análisis de las amenazas,
contramedidas y perfiles profesionales necesarios para combatir el cibercrimen.
El estudio se ha enfocado hacia tres áreas de la Sociedad de la Información con
respecto a: e-Negocio, e-Salud, e-Gobierno. Desde nuestro punto de vista hemos
preferido la perspectiva de: e-consumidor, e-paciente y e-ciudadano. Las conclusiones
de este encuentro para cada una de estas áreas se indican a continuación.
e-Negocio, e-Consumidor
Las amenazas más críticas identificadas son:
– Falta de una estrategia de gestión del riesgo
– Falta de sensibilidad, conocimiento, conciencia y entendimiento del problema
por todos los actores.
– Complejidad del problema en constante crecimiento: gestión de bases de datos,
complejidad tecnológica, subcontratación, número de actores involucrados, multiplicidad
de dispositivos, entorno móvil, costes, etc.
– Factores humanos: sociales, sicológicos, culturales, de comportamiento, resistencia
al cambio.
– Aspectos de identificación y autenticación: interoperabilidad, falta de herramientas
adecuadas, uso erróneo de herramientas, falta de disponibilidad amplia, etc.
– Falta de controles actualizados y dinámicos
– Falta de cooperación en materia de seguridad
– Falta de estándares.
En cuanto a los perfiles requeridos, se han identificado los siguientes:
– Conocimiento y conciencia sobre el contexto de la Sociedad de la Información
– Capacidad de realizar análisis de riesgo y evaluaciones
– Mejora de la conducta y comportamiento humano
– Implementación de procedimientos y herramientas tecnológicas
– Gestión de datos
– Capacidad de comunicación con otros grupos y con personas
– Conocimientos legales, reglamentos y normativa en general
– Certificado de experto en seguridad en Tecnologías de la Información
– Capacidad de implantar y mantener la norma ISO 17799
– Capacidad de gestionar un contexto de subcontratación de trabajos.
En el entorno, e-Negocio y e-Consumidor, se tomó nota de la dimensión internacional
del problema así como del alto número de actores, empresas medianas y pequeñas
que entran en juego. La seguridad global de la cadena siempre será igual o inferior
a la seguridad que aporte el tramo más inseguro de la misma. Es por ello que
es imprescindible una gran labor de sensibilización a los actores. Este aspecto
es muy característico del e-Negocio y e-Consumidor con respecto a las otras dos
áreas estudiadas (e-Salud y e-Administración) ya que en estas dos últimas la
relación entre los actores es muy asimétrica y gran parte de la responsabilidad
para dotar al sistema de la razonable seguridad recae en una de las partes de
la cadena. Por el contrario en el e-Negocio la relación entre los distintos actores
es mucho más simétrica y la sensibilización y capacitación de todos los actores
reviste capital importancia.
e-Gobierno, e-Ciudadano
Las amenazas más críticas en este sector son las siguientes:
– Gestión inadecuada de bases de datos (monopolios de información)
– Rechazo de transacciones y abuso de confianza por el «fuerte».
– Invasión de la privacidad.
– Accesos autorizados a muchos niveles (agentes internos y externos a la organización).
– Impacto de pérdida de datos. Incapacidades de recuperación adecuada de datos.
Los perfiles necesarios para un buen desempeño del e-Ciudadano y del e-Gobernante
son:
– Capacitación en responsabilidades y derechos.
– Formular y promover sistemas fuertes de reglamentación y control.
– Difundir el contexto y el conocimiento por los actores (evitar exclusión social)
– Reconocer que existe fraude y hay que combatirlo (de bajo y alto nivel tecnológico)
– Promover conocimientos específicos como:
Criptografía y métodos criptográficos,
despliegue de defensas en bases de datos, despliegue de mecanismos de detección
de intrusos cibernéticos, despliegue de ayudas y herramientas informáticas para
la tarea de forense e investigador, sicología, etc.
– Esfuerzo en comunicación para mejorar la capacitación del e-Ciudadano.
e-Salud, e-Paciente
Las amenazas más críticas identificadas son:
– Gestión de datos débil.
– Intercambio de datos y privacidad sin mecanismos de seguridad.
– Prácticas insuficientes o innecesarias en el almacenamiento de datos.
– Falta de rigor en la gestión de accesos a los datos y aseguramiento de la privacidad
de los mismos.
– Carencias en los mecanismos de autenticación/identificación o sobredimensionamiento
de los mismos con riesgos de revelación de datos.
– Ineficientes mecanismos de aseguramiento del anonimato.
Los perfiles requeridos en la sociedad de la información son:
– Capacidad de análisis de riesgos.
– Promoción de Mejores Prácticas y observación de la evolución tecnológica.
– Consejeros en seguridad
– Capacitación y concienciamiento básicos del problema de la seguridad.
– Acreditación
– Aspectos regulatorios.
– Promover códigos y conductas éticas.
Documentos en ingles en:
http://www.internautas.org/documentos/Workshop_prsentation.pdf
http://www.internautas.org/documentos/Workshop_prsentation.pdf
Víctor Domingo
Asociación de Internautas
