Potencial científico y técnico de la nación: ¿cómo preservarlo del espionaje?

Potencial científico y técnico de la nación: ¿cómo preservarlo del espionaje?

La captura de información relacionada con la actividad científica y tecnológica de una nación compromete su estabilidad y competitividad. Mencionado durante la última cumbre de los Cinco Ojos, la protección del potencial científico y técnico de las naciones requiere medidas de ciberseguridad máximas.

Definición del potencial científico y técnico

El potencial científico y técnico de la nación constituye «el conjunto de bienes materiales e inmateriales propios de la actividad científica fundamental y aplicada al desarrollo tecnológico de la nación francesa«. En otras palabras, se trata de conocimientos y saber hacer altamente estratégicos y tecnologías sensibles, producidos y desarrollados dentro de establecimientos públicos y privados en el territorio nacional. Su acceso y su protección están formalmente regulados.

Una primera protección: el dispositivo PPST

Desde 2011, Francia ha implementado la Protección del Potencial Científico y Técnico (PPST). Este dispositivo regulatorio de seguridad, de nivel interministerial, dirigido por el Secretariado General de la Defensa y de la Seguridad Nacional (SGDSN), está distribuido en 6 ministerios diferentes:

  • Ministerio de Agricultura
  • Ministerio de Defensa
  • Ministerio de Desarrollo Sostenible
  • Ministerio de Economía y Finanzas
  • Ministerio de Salud
  • y Ministerio de Educación Superior, Investigación e Innovación

Su objetivo es prevenir cualquier fuga o intento de captura de esta información sensible, gracias especialmente a la creación de zonas de régimen restrictivo (ZRR). En estas, lugares de investigación o de producción, por ejemplo, de gran interés para la nación, se opera un control estricto de los accesos físicos o virtuales a la información sensible. El PPST complementa otros sistemas de seguridad como el de la protección de los Organismos de Importancia Vital (OIV) o del secreto de la defensa nacional.

¿Cuáles son los riesgos en caso de exposición de esta información sensible?

En caso de captura, esta información relativa al potencial técnico y científico de la nación puede ser desviada para fines de desestabilización o criminales. Los riesgos se clasifican en 4 categorías:

  1. Daño a los intereses económicos de la nación
  2. Desarrollo de arsenales militares
  3. Proliferación de armas de destrucción masiva
  4. Terrorismo

Sectores concernidos

Diferentes sectores científicos y técnicos están, por lo tanto, concernidos por el PPST:

  • la biología,
  • la medicina,
  • la salud,
  • la química,
  • las matemáticas,
  • la física,
  • las ciencias agronómicas y ecológicas,
  • las ciencias de la tierra, del universo y del espacio,
  • las ciencias y tecnologías de la información y la comunicación
  • las ciencias de la ingeniería…

Así, laboratorios de investigación, empresas y universidades deben ser protegidos de los riesgos de interceptación de datos.

Proteger el potencial científico y técnico del ciberespionaje

El acceso a las ZRR puede ser físico pero también virtual. Por lo tanto, la seguridad de los sistemas de información constituye un desafío mayor para proteger el potencial científico y técnico del ciberespionaje.

Asegurar los sistemas de información de régimen restrictivo (SIRR)

Un sistema de información de régimen restrictivo (SIRR) hace transitar información de régimen restrictivo (IRR), es decir, sensible y cuya divulgación presentaría uno o varios de los riesgos mencionados anteriormente. Su acceso constituye, por lo tanto, un acceso virtual a una zona RR. Cabe destacar que los SIRR están sujetos a la instrucción interministerial n.º 901 sobre la protección del secreto y de la defensa nacional.

En la guía de protección digital del potencial científico y técnico de la nación publicada por la ANSSI figura una lista de medidas de seguridad a implementar por las organizaciones que disponen de un SIRR. Entre ellas, el despliegue de una política de seguridad de los sistemas de información (PSSI), enumerando el conjunto de buenas prácticas y procedimientos en materia de seguridad informática a respetar por los colaboradores y otras partes interesadas.

En efecto, el SIRR engloba todo tipo de soportes y equipos electrónicos como ordenadores portátiles, USB o servidores y supone, por lo tanto, paralelamente una sensibilización a la ciberseguridad de los usuarios.

Ejemplos de medidas de seguridad a implementar:

  • cifrado de comunicaciones
  • cifrado de discos duros de los puestos de trabajo
  • control de acceso

Velar por la seguridad de los puestos de trabajo

Los puestos de trabajo contienen cierta cantidad de información sensible que debe ser protegida. La ANSSI, a través de su guía, recuerda la importancia de eliminar la totalidad de los datos presentes en un puesto de trabajo antes de una reasignación de material. De la misma manera, es esencial eliminar los derechos de acceso a los sistemas de información tan pronto como termine el período de empleo de un usuario.

Utilizar una tecnología de cifrado de extremo a extremo de las comunicaciones

Las herramientas de comunicación desplegadas en las empresas, especialmente en establecimientos en zona RR, deben responder a un nivel de seguridad máxima. Primero, la solución utilizada debe ser Secure by design y respetar así un cierto número de criterios de seguridad, desde su concepción hasta su despliegue en la organización. Así, su impacto en la seguridad de la red de la empresa será notablemente disminuido o nulo. Por otro lado, las comunicaciones intercambiadas en mensajerías en línea o en videoconferencia son objetivo de espionaje informático e industrial. Solo una tecnología de cifrado de extremo a extremo de los flujos de comunicaciones audio, video y data puede evitar la recuperación de sus datos.

Mostrar la mayor reactividad en caso de ataque

En caso de crisis ciber, una solución de comunicación segura y de emergencia es igualmente indispensable para asegurar la continuidad de actividad del establecimiento. Debe permitir a los colaboradores continuar sus intercambios gracias a un canal de comunicación «out of band», es decir, diferente al utilizado habitualmente.

El software de videoconferencia seguro Tixeo responde a esta necesidad. Gracias a su tecnología de cifrado de extremo a extremo soberana y su despliegue altamente seguro en versión on-premise, permite acompañar a los establecimientos en su gestión de crisis y su ciberresiliencia.

Primer cumbre de los Cinco Ojos sobre el tema en 2023

El 16 y 17 de octubre de 2023 tuvo lugar por primera vez una cumbre de los Cinco Ojos sobre la temática de la protección del potencial científico y técnico de la nación. Durante esta cumbre, los 5 países de la coalición (Estados Unidos, Reino Unido, Canadá, Australia, Nueva Zelanda) alertaron sobre las amenazas que pesan sobre la innovación y la investigación. Más específicamente, es el gobierno chino el que fue señalado como el principal peligro para la innovación y los intereses de las naciones. «El gobierno chino está comprometido en el robo de propiedad intelectual y la adquisición de experiencia más sostenida y sofisticada, que no tiene precedente en la historia de la humanidad», declaró Mike Burgess, director general de los servicios de inteligencia australianos.

Las operaciones de espionaje industrial, de origen chino, de hecho, conocen un aumento sin precedentes. «Los sectores de la inteligencia artificial, la informática cuántica y la biología sintética están particularmente en el punto de mira en este momento, según los altos funcionarios.» Un recrudecimiento del ciberespionaje de origen estatal que no ahorra tampoco a los países europeos. El documento Cinco principios para asegurar la investigación y la innovación fue publicado al término de la cumbre y presenta varias recomendaciones para maximizar la protección del potencial científico y técnico. Entre ellas: el conocimiento y gestión de los riesgos ciber, la protección del entorno de trabajo, la sensibilización de los colaboradores o la seguridad de las asociaciones, proveedores y prestadores de servicios.

Ciberseguridad: ¿qué es una certificación de seguridad?

Ciberseguridad: ¿qué es una certificación de seguridad?

La certificación de seguridad para productos y soluciones digitales es una garantía de fiabilidad. ¿En qué consiste esta certificación y cómo garantiza un alto nivel de ciberseguridad?

Definición de una certificación de seguridad

La certificación de seguridad para soluciones y software informático implica evaluar un producto según normas específicas de ciberseguridad. Este proceso es hoy en día crucial para garantizar la protección de los datos y los sistemas frente al aumento de las ciberamenazas. La certificación de seguridad también ayuda a las empresas en la búsqueda de soluciones digitales seguras para sus usos estratégicos y sensibles. Finalmente, permite armonizar los niveles de seguridad de las soluciones y participar en la creación de un sistema digital de confianza. Existen diferentes certificaciones de seguridad a nivel internacional y en Europa. Aquí hay un resumen:

Certificaciones de ciberseguridad internacionales

Common Criteria (CC)

Common Criteria es el estándar internacional de certificación de ciberseguridad de tecnologías de la información. También conocida como «Common Criteria for Information Technology Security Evaluation», esta norma internacional (ISO/IEC 15408) permite evaluar la seguridad de productos de TI por laboratorios acreditados e independientes, según criterios técnicos y organizativos exigentes. Los certificados son reconocidos internacionalmente por los firmantes del Acuerdo de Reconocimiento de Common Criteria (CCRA), entre ellos la ANSSI en Francia.

FIPS 140-3

Desarrollada por el National Institute of Standards and Technology (NIST) en los Estados Unidos, la norma FIPS 140-3 se enfoca especialmente en la verificación de la seguridad de los módulos de cifrado. Esencial para productos usados en entornos gubernamentales y sensibles, la norma analiza especialmente:

  • Las funcionalidades y capacidades del módulo de cifrado
  • Las interacciones con otros sistemas
  • La gestión de accesos y operaciones autorizadas
  • La seguridad de los componentes de software
  • El mantenimiento y las actualizaciones seguras
  • Las medidas contra diversas formas de ataques potenciales. Esta norma propone cuatro niveles cualitativos de seguridad (básicos a muy elevados), adaptados a diferentes aplicaciones y entornos de TI.

Certificaciones de ciberseguridad europeas

El proyecto de Certificación de Ciberseguridad Europea

El esquema de certificación EUCC se basa en el esquema internacional Common Criteria para la certificación de productos TIC, sus hardware y software (firewalls, dispositivos de cifrado y firma electrónica, routers, smartphones, tarjetas bancarias, etc.). En octubre de 2023, un primer proyecto de acto de ejecución del EUCC fue publicado por la Comisión Europea y abierto a comentarios. H4 EUCS (Esquema Europeo de Certificación para Servicios en la Nube) en estudio En la misma línea que el EUCC, la certificación EUCS busca específicamente aprobar la seguridad de productos y servicios alojados en la nube. La propuesta de texto está ahora bajo estudio del Grupo Europeo de Certificación de Ciberseguridad (ECCG) y permitirá reforzar la seguridad del cloud computing en Europa. En el marco de la directiva NIS 2 y el Acta de Resiliencia Cibernética, estos proyectos de certificaciones europeas buscan armonizar los niveles de seguridad de las soluciones de TI.

En Francia: el visado de seguridad de la ANSSI

La certificación de seguridad emitida por la ANSSI (Agencia Nacional de la Seguridad de los Sistemas de Información) es una referencia en Francia y también en Europa. Basada en el estándar internacional de certificación Common Criteria, este esquema de certificación nacional evalúa la robustez de una versión específica de un producto en un momento dado, en función del estado del arte de los ciberataques. Para emitirla, los laboratorios y expertos acreditados analizarán varios criterios de seguridad, como:

  • La conformidad con los estándares y regulaciones nacionales e internacionales de seguridad de los sistemas de información en vigor
  • Las medidas de seguridad técnicas y organizativas
  • La resistencia a ataques, incluyendo intentos de intrusión, hackeo y explotación de vulnerabilidades.
  • La gestión de accesos y autenticación para controlar el acceso a datos y recursos.
  • El cifrado y la protección de datos
  • La resiliencia y gestión de incidentes
  • El mantenimiento y actualizaciones de seguridad, para responder a nuevas amenazas y vulnerabilidades Además, la ANSSI también ofrece una calificación de seguridad para productos y servicios digitales destinados a sectores críticos y estratégicos (OIV y OSE). Esta responderá a exigencias reglamentarias específicas, como la Ley de Programación Militar, entre otras. La calificación de seguridad de la ANSSI atestigua así la adecuación entre las soluciones y las necesidades sensibles identificadas de las empresas. El proveedor debe demostrar que podrá cumplir sus compromisos a largo plazo.

¿Cómo evaluar la credibilidad de una certificación de seguridad?

¿A qué productos se dirigen las certificaciones de seguridad?

Muchos productos y soluciones informáticas pueden aspirar a una certificación de seguridad, siempre que expongan datos y/o sean utilizados por organizaciones sensibles. Aquí hay algunos tipos de productos que pueden beneficiarse de las certificaciones de seguridad:

  1. Hardware Informático: servidores, routers, firewalls y otros equipos de red…
  2. Software: sistemas operativos, aplicaciones y bases de datos…
  3. Soluciones en la Nube: Servicios de computación en la nube, almacenamiento y aplicaciones basadas en la nube…
  4. Productos de Cifrado: Módulos de cifrado, herramientas de gestión de claves…
  5. Soluciones de Seguridad Móvil: Aplicaciones e infraestructuras de seguridad para dispositivos móviles…
  6. Sistemas de Control Industrial (ICS) e Internet de las Cosas (IoT): dispositivos conectados en varios sectores industriales…

Tixeo, certificado y calificado por la ANSSI durante más de 6 años

El software de videoconferencia segura Tixeo ha sido certificado y calificado por la ANSSI durante más de 6 años. Gracias a su cifrado de extremo a extremo y su versión on-premise, ofrece a las empresas en sectores críticos una total confidencialidad para sus intercambios y, sobre todo, una alta capacidad de resiliencia operativa. A través de su certificación y calificación, el Estado francés recomienda su uso para aplicaciones sensibles. Otros sellos europeos confirman la seguridad de su solución.

Ciberespacio: las empresas europeas frente al ciberespionaje internacional

Ciberespacio: las empresas europeas frente al ciberespionaje internacional

Los ataques relacionados con el ciberespionaje llevados a cabo por entidades estatales o paraestatales se multiplican y apuntan a las empresas europeas. Principalmente, se enfocan en organizaciones esenciales para el buen funcionamiento o la economía de un país.

Consecuencia de las inestabilidades geopolíticas

El aumento de los ataques estatales y paraestatales

Desde la guerra en Ucrania, los conflictos en el ciberespacio continúan fortaleciéndose y la tipología de ciberatacantes se diversifica. Así, más actores estatales usan métodos tradicionales de cibercriminalidad, como los ransomware, para apuntar a organizaciones privadas o públicas. En consecuencia, se vuelve cada vez más complejo identificar precisamente a los autores de estas actividades maliciosas. Además, las técnicas utilizadas son más sofisticadas y efectivas, ya que movilizan más recursos y causan más daños. De hecho, la lucha contra el ciberespionaje fue una de las misiones principales de la ANSSI en 2022. Las acciones de ciberespionaje pueden afectar sistemas de información durante meses sin ser percibidas por las organizaciones.

En 2022, se contabilizaron 150 ataques cibernéticos estatales: el 77% fueron operaciones de espionaje. En 2023, el porcentaje ya asciende al 83% sobre el total de ciberataques estatales, y el año aún no ha terminado.

Principalmente de origen chino o ruso, estos ataques de espionaje estatales y paraestatales persiguen, según el caso, diferentes objetivos:

  • la recopilación de datos confidenciales,
  • el sabotaje informático e incluso físico de una infraestructura crítica,
  • o la desestabilización política.

Los sectores sensibles especialmente objetivos

Organizaciones gubernamentales, empresas, administraciones o institutos de investigación son los blancos preferidos del ciberespionaje. Es en estas entidades donde los ciberatacantes pueden recolectar datos sensibles, relacionados con la actividad económica, industrial o científica de una nación. Esto puede comenzar con el hackeo de correos electrónicos de colaboradores para obtener información confidencial.

Recientemente, la ANSSI declaró que varias empresas francesas han sido objetivo de ciberespionaje llevado a cabo por la unidad de hackers APT 28 (o Fancy Bear), cercana a los servicios de inteligencia militares rusos. Estos últimos habrían explotado varias vulnerabilidades de seguridad para infiltrarse en correos electrónicos de Outlook, entre marzo de 2022 y junio de 2023.

¿Cuáles son las consecuencias del ciberespionaje?

Impactos financieros para las empresas

El ciberespionaje tiene impactos económicos significativos en las empresas. Primero, el ataque generalmente se descubre varios meses después de la infiltración y se hace público de inmediato. Esto daña la imagen de la organización y lleva a una pérdida de confianza por parte de sus clientes y socios. El espionaje industrial también puede llevar a una pérdida de mercados y al robo de datos relacionados con la propiedad intelectual de la organización. Todo esto contribuye a desestabilizar financieramente a las empresas.

Daño a los intereses de la nación

Además, el espionaje de empresas que operan en sectores críticos puede perseguir intereses distintos a los financieros. Por ejemplo, cuando se trata de infraestructuras relacionadas con los sectores de energía, TIC o salud, el ciberespionaje contribuye a la desestabilización del país, en términos económicos, sociales e incluso de seguridad. En un contexto de guerra y amenaza terrorista, los organismos estatales apuntan a sectores estratégicos. En 2023 se descubrió la infiltración de Mirage, actor de la ciberamenaza china, en las redes de la Agencia Federal Alemana de Cartografía y Geodesia en diciembre de 2021. Aunque no se conoce hoy el tipo de información comprometida, esto demuestra que estos ataques pueden corromper profundamente un sistema y potencialmente instalarse en él a lo largo del tiempo.

El fortalecimiento de la ciberseguridad europea más esencial que nunca

Con la directiva NIS 2 o DORA, Europa se prepara desde ahora para reforzar la ciberseguridad de las organizaciones más sensibles, especialmente contra el ciberespionaje. Los ciberataques estatales también entran en el espectro de la ciberdefensa de las naciones. Así, los actores militares de la ciberdefensa se movilizan para defender los sistemas de información de organismos críticos, con el fin de evitar la parálisis de organismos estatales o privados. En el mismo sentido, la DGSI participa en la ciberdefensa detectando e identificando lo antes posible las injerencias cibernéticas estatales.

Los Juegos Olímpicos 2024: un contexto favorable para la desestabilización de las empresas

En vísperas de los Juegos Olímpicos 2024 en París, las autoridades ya advierten de un «nivel sin precedentes de riesgos de ciberataques«, que también podrían apuntar a empresas, siempre con el objetivo de desestabilizar al país organizador. Las organizaciones en todos los sectores esenciales y críticos deben prepararse para una potencial crisis cibernética. Se esperan medidas técnicas de ciberprotección, especialmente para proteger las comunicaciones y los datos confidenciales. Pero también se recomienda enfatizar la formación en buenas prácticas de ciberseguridad internamente. De hecho, los colaboradores y los líderes son generalmente las primeras puertas de entrada en el SI de las empresas en caso de ciberespionaje.

¿Cómo evaluar la credibilidad de una certificación de seguridad?

¿Cómo evaluar la credibilidad de una certificación de seguridad?

Para demostrar su confiabilidad, las soluciones de tecnología de la información pueden obtener una certificación de seguridad. Esto representa una gran ventaja para los productos de TI en el mercado, en un contexto donde la ciberseguridad es ahora un desafío crucial para las organizaciones. Pero, ¿cómo podemos asegurarnos de la credibilidad de una certificación de seguridad de un país a otro?

¿Qué es una certificación de seguridad?

La certificación de seguridad para soluciones y software de TI implica evaluar el producto según normativas específicas de ciberseguridad. Estas pueden estar relacionadas con un sector y las regulaciones vigentes en cada país. Por tanto, dependiendo del país emisor, la certificación puede no cumplir con los mismos requisitos de ciberseguridad. Es por ello que es crucial analizar los criterios que determinan el nivel de credibilidad de una certificación en ciberseguridad.

Criterios para determinar el nivel de credibilidad

El poder ciber de la nación

El poder cibernético o «cyber power» contribuye al prestigio de una nación a nivel internacional. Se trata de su capacidad para utilizar las tecnologías digitales y el ciberespacio para alcanzar sus objetivos nacionales e internacionales, gracias a estrategias gubernamentales, operaciones defensivas o la movilización de recursos. Diferentes índices mundiales permiten determinar este nivel de poder cibernético.

El índice NCPI del Harvard Belfer Center

El National Cyber Power Index (NCPI) del Belfer Center es un índice de poder cibernético de las naciones. Este índice utiliza modelos de datos cualitativos y cuantitativos para evaluar las capacidades y el logro de objetivos de los Estados. Se refiere a 29 indicadores, distribuidos en dos categorías:

  • Los indicadores de intención

Los indicadores de intención reflejan las prioridades y motivaciones de un Estado en materia de ciberseguridad. En otras palabras, demuestra cómo el país planea utilizar sus capacidades cibernéticas, en función de sus objetivos estratégicos y políticos. Estos son diversos: defensa, espionaje, control de la información, influencia en la definición de normas del ciberespacio o operaciones ofensivas.

  • Los indicadores de capacidad

Los indicadores de capacidad evalúan las capacidades técnicas y los recursos de un país en el plano ciber, independientemente de cómo haya elegido utilizarlos. Esto incluye, en particular: la experiencia técnica, la infraestructura, las herramientas y tecnologías disponibles, y los recursos humanos calificados en ciberseguridad.

Los resultados del informe NCPI 2022

En el informe NCPI 2022, los autores evaluaron el poder cibernético de 30 países en el mundo. Así, en el top 10, se encuentran los Estados Unidos, China, Rusia, el Reino Unido y Francia en 9ª posición. Alemania y los Países Bajos se sitúan más abajo en la clasificación. Francia obtiene un puntaje de capacidad de aproximadamente 40 para el objetivo de «influencia en la definición de normas del ciberespacio». Se sitúa así en 4ª posición. En puntaje de intención, Francia se clasifica en el top 4 de las naciones más involucradas en el objetivo de defensa.

Certificación de Seguridad
certification de sécurité

La evaluación del Internal Institute for Strategic Studies (IISS)

El IISS también ha desarrollado una metodología para determinar las capacidades ciber de una nación y cómo estas contribuyen a su poder. El instituto clasifica estas capacidades en 7 categorías distintas:

  1. Estrategia y doctrina
  2. Gobernanza, mando y control
  3. Capacidad esencial de ciberespionaje
  4. Habilitación y dependencia respecto al ciberespacio
  5. Ciberseguridad y resiliencia
  6. Liderazgo mundial en asuntos del ciberespacio
  7. Capacidad de ciberseguridad ofensiva

Además, en su «Cyber Capabilities and National Power» publicado en 2021, el IISS analiza la posición de Francia en estos dominios. Se puede leer que «Francia es en muchos aspectos el primer país de la UE en materia de ciberseguridad y planificación de la resiliencia«.

Transparencia de Francia en materia de ciberseguridad

Por otra parte, Francia demuestra una mayor transparencia en la cuestión de la ciberseguridad. En efecto, el informe estipula que el país «mantiene una separación clara entre las operaciones cibernéticas defensivas y ofensivas«. Así, la ANSSI se dedica exclusivamente a operaciones defensivas y no forma parte de la comunidad de inteligencia. A diferencia de la National Security Agency (NSA) en los Estados Unidos o del Government Communications Headquarters (GCHQ) en el Reino Unido. «Esta distinción es importante para algunos en Francia, sobre la base de la hipótesis de que los objetivos y el ámbito de competencia de una agencia de inteligencia, especialmente su disposición hacia el secreto, pueden interferir con algunos de los objetivos y prácticas necesarios para la ciberseguridad del sector civil, incluida la necesidad de una mayor transparencia con respecto a las violaciones de ciberseguridad«.

El poder ciber de una nación es, por lo tanto, uno de los criterios esenciales a tener en cuenta para evaluar la credibilidad de una certificación de seguridad. De hecho, cuando un país está altamente clasificado, demuestra su alto nivel de exigencia y capacidad en materia de ciberseguridad. Otro criterio decisivo es el esquema nacional de certificación.

El esquema de certificación nacional

El único estándar internacional para la evaluación de la seguridad de productos y sistemas informáticos es el Common Criteria (CC). Este analiza criterios técnicos, pero también organizacionales y relativos a los procesos de la empresa para otorgar un nivel de seguridad más o menos elevado (7 niveles). Estos criterios son muy exigentes y suponen la implementación de medios importantes por las organizaciones. Así, solo grandes empresas o grupos tienen los medios para aspirar a una certificación del CC. Sin embargo, esta dificultad de atribución está en oposición con el deseo de desarrollar un sistema digital de confianza, que agrupe organizaciones de todos los tamaños, multinacionales como PYMEs.

Para facilitar este proceso de certificación, Francia y Alemania, con su experiencia como países certificadores, han creado esquemas de certificación nacionales, orientados a la evaluación técnica de los productos:

Estos esquemas han permitido ampliar la certificación a un mayor número de soluciones informáticas, y reforzar su visibilidad, garantizando al mismo tiempo su alto nivel de seguridad. De hecho, la credibilidad de estos esquemas de certificación nacionales se basa ante todo en la del país emisor.

La experiencia de la nación en la emisión de certificaciones

Certificación de Seguridad
Número de certificaciones CC emitidas en 2022 por país
(Informes estadísticos sobre Criterios Comunes 2022)

La experiencia de la nación en la emisión de certificaciones cuenta mucho en la credibilidad de su esquema de certificación. Y es que, el número de productos certificados demuestra una experiencia y un compromiso particular por la ciberseguridad.

En 2022, según el Common Criteria Statistics Report, Francia, a través de la ANSSI, es líder mundial en número de certificaciones Common Criteria otorgadas, por delante de los Estados Unidos y los Países Bajos, con 74 productos certificados. Durante los últimos 5 años, Francia es el segundo país que ha otorgado más certificaciones, justo detrás de los Estados Unidos.

En resumen, la credibilidad de una certificación de seguridad se basa en tres criterios principales:

  • El poder ciber de la nación emisora de la certificación
  • El compromiso del país para desarrollar un sistema digital de confianza, a través de su esquema de certificación nacional
  • La experiencia de la nación en la certificación

Francia, una de las potencias ciber más creíbles

Francia aparece como una de las potencias cibernéticas más creíbles y experimentadas, según los diferentes índices de «cyber power» y gracias a su experiencia en la evaluación de productos informáticos.

Por eso, las soluciones certificadas por la ANSSI cuentan con garantías de seguridad importantes y una confianza aumentada.

Tixeo, única solución de videoconferencia segura certificada y calificada por la ANSSI

Gracias a su tecnología de cifrado de extremo a extremo soberana y su oferta de videoconferencia segura on-premise, Tixeo está certificada y calificada por la ANSSI desde 2017.

Con tres certificados de seguridad de la ANSSI recibidos en 6 años, la empresa muestra una continuidad en su compromiso con la seguridad y un alto nivel de exigencia que va más allá del aspecto puramente «marketing» de la certificación.

¿Cómo concienciar a los empleados sobre la ciberseguridad?

¿Cómo concienciar a los empleados sobre la ciberseguridad?

Spear phishing o suplantación de la identidad, ransomware o secuestro de datos, descarga de software malicioso, etc. Estas amenazas a la ciberseguridad afectan a los empleados de todas las empresas, especialmente a los que teletrabajan. La concienciación sobre la ciberseguridad es ahora esencial.

Riesgos económicos y políticos

Los ciberataques contra las empresas y las administraciones públicas obedecen a intereses económicos y a veces políticos, según los sectores.

Los objetivos de los piratas informáticos pueden ser:

  • Robar dinero a particulares o empresas;
  • Captar la clientela de una empresa;
  • Perjudicar la reputación de una empresa o de una personalidad o partido político;
  • Poner en marcha un espionaje industrial, político o militar;
  • etc.

Los empleados de una organización están en primera línea frente a estos riesgos de ciberseguridad cada vez mayores. Por tanto, las acciones de sensibilización son esenciales para que tomen conciencia de ellos y reaccionen en consecuencia.

 

Medidas de concienciación sobre la seguridad informática:

Programar sesiones de formación periódicas

Los cursos de formación sobre ciberseguridad conciernen a todos los empleados de la empresa y deben ofrecerse con regularidad. Es preferible organizarlos en pequeños grupos para fomentar el debate y, si es posible, adaptarlos a los perfiles profesionales.

Formar a contables o a profesionales de recursos humanos en ciberseguridad es diferente de formar a desarrolladores o comerciales. Segmentar los cursos por profesiones permite asimismo abordar temas precisos y concretos para cada problemática profesional (redes wifi en los desplazamientos, correos electrónicos fraudulentos, etc.). Lo ideal es que los módulos de formación sean breves, de no más de una hora. Más allá de esta duración, se corre el riesgo de generar cansancio y perjudicar la comprensión del mensaje.

Puede ser una buena idea concluir cada sesión de formación con la transmisión de un documento práctico y conciso que sirva de recordatorio al empleado. En cuanto al aspecto lúdico, también se pueden proponer cuestionarios después de las sesiones de formación, con recompensas al final, para animar a los empleados a interesarse lo más posible por el tema.

 

Utilización de la ludificación

El uso de la ludificación en los cursos de formación sobre ciberseguridad también está resultando muy eficaz. Varias organizaciones proponen juegos de escape o ciberjuegos sobre el tema de la seguridad informática, durante los cuales los empleados se ponen en la piel de un hacker, por ejemplo. Estos juegos de rol y sesiones de formación interactivas ayudan a tomar conciencia de los riesgos, al tiempo que reducen la ansiedad.

 

Recurrir a personas destacadas

En los cursos de formación de mayor envergadura, recurrir a una persona reconocida en el ámbito de la ciberseguridad es una buena manera de captar la atención del público, así como de beneficiarse de sus conocimientos avanzados. Puede tratarse de organizaciones especializadas en seguridad informática, investigadores universitarios o incluso expertos en ciberdefensa, en función del sector de actividad de la empresa y de las cuestiones en juego.

 

Reforzar la comunicación interna

Debe informarse periódicamente a los empleados de las noticias relacionadas con la ciberseguridad, tanto si afectan directamente a su empresa como si no. Dar ejemplos concretos de incidentes y sus consecuencias es una buena forma de sensibilizar.

Por ejemplo, los ataques de spear phishing están aumentando actualmente y afectan cada vez a más organizaciones. Este tipo de ciberataque se dirige específicamente a un empleado de la empresa con acceso a información sensible. Generalmente, este proceso se basa en la suplantación de identidad y una fuerte ingeniería social. El objetivo del hacker es enviar un correo electrónico coherente con la actividad de la persona o empresa a la que se dirige, animándola a hacer clic en un enlace malicioso o a abrir un archivo adjunto infectado. De este modo, pueden conocerse los datos del empleado. La tasa de éxito del spear phishing es elevada y preocupante. Es esencial comunicar este tipo de información a los empleados por correo electrónico, a través de una red social corporativa o en un registro interno. Estas comunicaciones pueden ir acompañadas de una serie de medidas prácticas que pueden adoptarse para evitar ser sorprendido.

Además, en caso de incidente, los empleados deben ser capaces de reaccionar rápidamente, sobre todo si su puesto de trabajo está infectado y, por tanto, inutilizable. Para ayudarles, se pueden imprimir y distribuir con antelación «fichas SOS» que cubran diferentes problemáticas encontradas (por ejemplo: «He hecho clic en un enlace perjudicial, ¿qué debo hacer?»). Los empleados encontrarán en ellas los datos de contacto del servicio de asistencia y algunas acciones sencillas que pueden llevar a cabo mientras esperan ayuda. Estas fichas son especialmente útiles para los empleados que teletrabajan, que están más solos en cuestiones de seguridad.

 

5 consejos de Julien, Administrador de Sistemas y Seguridad @Tixeo, para proteger la seguridad del teletrabajo

Realizar campañas de prueba

Por último, no hay nada como un (falso) ciberataque para concienciar. Las campañas de prueba de ciberseguridad conciernen a toda la empresa y tienen un doble objetivo: mostrar a los empleados que podrían verse afectados por ataques y medir su nivel de vigilancia. Por lo general, se organizan campañas de phishing, ya que este tipo de ataque por correo electrónico sigue siendo el más común. Al final de estas campañas de prueba, y en función de los resultados, habrá que proponer a los empleados módulos de formación complementarios.

 

Tres precauciones esenciales para concienciar sobre la ciberseguridad

Aprovechar al máximo la diversidad de acciones

Sacar tiempo para formarse no siempre resulta fácil, y la mayoría de los empleados se resisten a formarse en ciberseguridad. La clave, por lo tanto, es diversificar las formaciones, para abordar el tema desde diferentes ángulos, difundiendo información concreta y práctica. Sin olvidar los aspectos pedagógicos y lúdicos.

Adaptar la sensibilización a las profesiones específicas

Es importante que los empleados aprendan técnicas para protegerse, pero también y sobre todo que sean conscientes de que hoy en día todo el mundo es un objetivo más para los hackers. Es necesario sensibilizar al conjunto de los trabajadores al mismo tiempo que a los distintos perfiles profesionales.

Reforzar la formación de los teletrabajadores

Aunque todos los empleados necesitan formación en seguridad informática, la necesidad es aún mayor en el caso de los teletrabajadores. Desde la llegada del teletrabajo, los ciberataques se han disparado, y también su coste para la empresa. A las empresas les conviene maximizar la formación de los teletrabajadores, así como su asistencia a distancia en caso de incidente.

 

Conozca otras buenas prácticas de seguridad en el teletrabajo:

Libro blanco sobre teletrabajo y seguridad

Proteger los datos personales también protege a las empresas

Proteger los datos personales también protege a las empresas

El cumplimiento del RGPD no solo garantiza una mayor protección de los datos personales de empleados y clientes, sino que también asegura el futuro a largo plazo de las empresas.

Evitando los costes de la violación de la seguridad de los datos

Los datos personales de las empresas son un bien cada vez más codiciado y las amenazas a la seguridad de los mismos pueden suponer un peligro para su actividad.

Según un estudio del Ponemon Institute e IBM Security, en 2022, el coste medio de una violación de la seguridad de los datos para una empresa en todo el mundo se estimó en 4,35 millones de dólares. Esta cifra es un 12,7 % superior a la de 2020. En Francia, el coste medio para una empresa es casi el mismo, ya que asciende a 4,34 millones de dólares.

Los costes están relacionados tanto con la pérdida de datos en sí como con las sanciones que pueden imponerse (como multas) si no se respetan las disposiciones legales de protección de datos. Por último, una violación de la seguridad de los datos puede menoscabar la fiabilidad de una empresa y esto también repercutirá en su actividad financiera.

[VÍDEO] Apolline Schmitt, letrada miembro del Colegio de Abogados de Estrasburgo y Delegada de Protección de Datos de Tixeo, nos explica las implicaciones de la seguridad de los datos personales para las empresas

 

Empresas francesas afectadas por el robo de datos

Recientemente, se han producido muchos ejemplos de la importante repercusión financiera de las violaciones de la seguridad de los datos. A principios de 2022, la filial de una compañía aérea francesa fue víctima de un ciberataque que provocó una filtración masiva de los datos personales de sus empleados. La supuesta causa fue la falta de seguridad del servidor donde se almacenaban los datos. Si esto se demuestra, la empresa se expone a una multa de hasta el 4% de su volumen de negocios, tal y como establece el RGPD.

Las grandes organizaciones pueden permitirse estos costes, pero las pymes no. Una empresa francesa especializada en tabiques móviles ha pagado por ello: tras un ciberataque que puso en peligro sus datos personales, tuvo que solicitar la suspensión de pagos. En efecto, el ataque le costó varios millones de euros y le ocasionó un perjuicio comercial excesivo.

 

Mejorando la imagen y la reputación de la empresa

Una empresa que toma todas las medidas posibles para proteger los datos personales tranquiliza a su ecosistema y, sobre todo, a sus clientes y empleados. Es un aspecto que puede publicitarse para destacar la imagen de una empresa transparente y segura.

Además, la aplicación de una política sólida de seguridad de los datos limita los riesgos de ataques y evita la paralización de la actividad de la empresa.

Videoconferencia: ¿sabe realmente cómo se tratan sus datos personales?