Para esta entrevista hemos podido hablar con José María de Fuentes, profesor titular de la Universidad Carlos III de Madrid. Además ocupa la posición de Vicepresidente del Comité Técnico Nacional de normalización en ciberseguridad y protección de datos.
CyberSecurity News (CSN): Como docente especialista en ciberseguridad, ¿cuál dirías que es el nivel de ciberseguridad en el sector universitario ya sea desde el punto de vista del profesorado o de los alumnos?
José María de Fuentes (JMF): La presencia de contenidos relacionados con la ciberseguridad es cada vez más creciente, ya no sólo en titulaciones de informática sino también en otras ramas de conocimiento. No considero que sea suficiente, pues hay una serie de nociones y conceptos que deberían “venir de base”, especialmente en lo tocante a la autoprotección y la preservación de la privacidad. Esto es extensible al profesorado…
Afortunadamente, el músculo de seguridad TIC corporativa es bastante bueno, contando con varios actores entre los que se cuenta el Instituto Nacional de Ciberseguridad o el Centro Criptológico Nacional.
CSN: ¿Crees que sería conveniente añadir una nueva asignatura, en los colegios e institutos, para que los alumnos se conciencien desde bien pequeños?
JMF: Sin ninguna duda. Es algo que ya se ha propuesto reiteradamente, y de hecho el Instituto Nacional de Ciberseguridad ha lanzado varias iniciativas, como IS4K. En todo caso: ¡cuanto antes, mejor! Si desde pequeños empiezan a tomar conciencia de los riesgos que tienen los dispositivos conectados, eso formará parte de su “cultura de ciberseguridad”. Si nadie pone en duda que haya conocimientos esenciales de literatura, matemáticas o idiomas, por ejemplo, la ciberseguridad no puede quedarse al margen.
José María de Fuentes, profesor titular de la Universidad Carlos III de Madrid
CSN: Las PYMES y las grandes empresas sufren a diario ciberataques, ¿qué hace falta para que las empresas aumenten su nivel de cultura de ciberseguridad?
JMF: Hace falta un cambio cultural en algunos contextos empresariales. Todavía muchas empresas mantienen el chip de “primero que funcione y luego que sea seguro”, a la hora de desarrollar productos. Y desde el punto de vista corporativo, no siempre se aprecia el nivel de riesgo al que se está sometido, quizá por desconocimiento. Así pues, no creo que sea un problema ni de falta de recursos ni de talento, sino de ubicar la ciberseguridad en el lugar adecuado en la escala de prioridades corporativas.
CSN: Si las empresas deciden implementar una estrategia de ciberseguridad, ¿qué dirías que es lo más importante a tener en cuenta antes de poner en marcha dicha acción?
JMF: Que se lo crean, y que eso sea antes de recibir su primer ciberataque o sufrir un incidente. De nada sirve añadir mecanismos de seguridad, que siempre redundan en una mayor incomodidad y a veces un menor rendimiento de los sistemas informáticos, si la organización no entiende que es algo imprescindible. Se pueden poner muchos medios, pero sin esa falta de espíritu siempre aparecerá quien siga poniendo la contraseña en post-it…
CSN: Y ya para ir terminando con la entrevista, ¿cómo dirías que será el futuro de la ciberseguridad en un largo plazo?
JMF: Tremendamente cambiante y mucho más imbricado en otras muchas disciplinas, tales como el sector sanitario o los sistemas de control industrial. Los problemas de ciberseguridad serán crecientes, porque cada vez los sistemas son también más complejos, pero el número de profesionales capacitados para hacer frente a ellos también va a incrementarse con lo que “la guerra” está servida pero estoy convencido de que los buenos ganaremos.
