R.Vea, de la ACC: «La función principal de la ACC es la de certificar y acreditar los conocimientos en ciberseguridad»

Ricardo Vea, director de la Agencia de Certificaciones de Ciberseguridad (ACC).

MuyComputerPRO: ¿Por qué y cómo surge la Agencia de Certificaciones de Ciberseguridad?

Ricardo Vea: La Agencia de Certificaciones de Ciberseguridad nace con la vocación de velar por la fiabilidad, así como de dar fe documental de la superación de los criterios de evaluación y aceptación de la normativa de certificación en materia de seguridad digital.

A principios de junio de 2009, el Senado aprobó una moción que instaba al Gobierno a impulsar una serie de medidas para mejorar la seguridad del denominado ciberespacio y formar a especialistas en materia de ciberseguridad. Después de tres años de trabajo con el Ministerio del Interior y organizaciones públicas y privadas, el 12 de enero de 2012 firmamos el convenio específico junto a la Fundación de la Universidad Autónoma de Madrid, el Instituto de Ciencias Forenses y de la Seguridad –ICFS- para la creación y gestión conjunta de las Certificaciones de Ciberseguridad.

MCPRO: ¿Cuáles son sus funciones?

RV: Su función principal es la de certificar y acreditar los conocimientos en ciberseguridad, tanto de aquellas personas cuya labor tenga que ver con tareas de seguridad del ciberespacio, como de cualquier organización que tenga que proteger datos confidenciales de clientes, personal, alumnos o productos. Para ello, se encargará de la concesión de la Certificación de Ciberseguridad (CSS), un sello de calidad que acredita la competencia de una persona u organización (organismo oficial, empresa o centro educativo) para desempeñar este tipo de labores.

También tiene por objetivo garantizar que las evaluaciones de conocimientos y destrezas se realizan mediante procedimientos rigurosos, fiables y contrastables. Asimismo, se encargará de dar fe documental de que las personas u organizaciones certificadas cumplen los requisitos contemplados en los criterios de certificación en cuanto a la capacitación idónea, actualización de conocimientos, y compromiso de buenas prácticas para el desempeño de tareas de ciberseguridad. La Agencia velará por el cumplimiento de la normativa de certificación y del código de conducta ético-profesional, así como de la aplicación del régimen disciplinario que contemplan.

MCPRO: ¿Es consciente la empresa española del peligro al que se exponen a través de internet?

RV: Aunque el proceso de concienciación de las empresas en materia de seguridad avanza cada vez más, todavía queda mucho camino por recorrer. Las empresas españolas deben tener en cuenta que hay múltiples amenazas externas procedentes de internet como virus, troyanos y demás malware, uso fraudulento de la marca, ataques contra la reputación de la organización, sus servicios o las personas que la componen.

También es muy importante que sean conscientes de que existen amenazas internas, ya que en muchos casos los principales incidentes de seguridad provienen del personal interno de las organizaciones quienes, por desconocimiento o de forma malintencionada, pueden comprometer la seguridad de la empresa.

MCPRO: ¿Qué medidas suelen adoptar ante estos peligros?

RV: En S21sec defendemos la opinión de que es necesario incorporar la cultura de la seguridad a los procesos empresariales para poder garantizar el mayor nivel de éxito. En términos prácticos las contramedidas más básicas que suelen desplegar las empresa para proteger sus activos de información son el antivirus, firewalls, herramientas anti-spam, navegación segura o soluciones de filtrado de contenidos.

Son múltiples las tecnologías que existen para asegurar los sistemas de una empresa y la información que estos alojan, de forma que pueden adaptarse a las necesidades, presupuesto y realidad de cada organización. Lo realmente importante es, en cada caso, analizar los principales riesgos a los que debe enfrentarse la empresa y priorizar las contramedidas que puedan reducir ese riesgo en mayor medida con un menor coste. Una de las tareas esenciales del especialista en materia de seguridad será efectivamente, el análisis de riesgos y la monitorización del sistema para poder prevenir posibles ataques.

MCPRO: ¿Qué tipo de formación necesitan los expertos en seguridad?

RV: En S21sec, siempre se ha considerado la formación y la concienciación en seguridad como uno de los elementos fundamentales y determinantes para poder alcanzar los objetivos de seguridad de las empresas. Estos objetivos están fijados por el cumplimiento de las políticas de seguridad, dado que «la seguridad es una cadena tan fuerte como el más débil de sus eslabones» y es precisamente la actitud y conocimiento de seguridad de los profesionales lo que podemos considerar el «eslabón más débil» de la cadena. Por ello, los expertos en seguridad deben trabajar para conseguir la concienciación y sensibilización en seguridad de los trabajadores de su empresa para que adquieran buenas prácticas en seguridad en su trabajo diario.

Los profesionales acreditados estarán formados en las áreas específicas en las que interviene la seguridad: sistemas, desarrollo, prevención, detección y gestión, de este modo tendrá una visión integral y especializada de la seguridad de la información.

Tendrán los conocimientos necesarios para una correcta gestión de la seguridad, aplicación de tecnologías de la seguridad, así como análisis y auditoría de la seguridad que le permiten detectar y resolver los incidentes de seguridad, siempre respetando las diferentes normativas, estándares y la propia legislación.

MCPRO: ¿Qué aporta a una empresa tener un experto en seguridad?

RV: La seguridad es un aspecto esencial de la empresa. Invertir en seguridad no es un gasto más, es algo necesario para evitar problemas de seguridad que pueden desembocar en pérdidas económicas importantes, comprometer la buena imagen de marca o incluso poner en peligro la continuidad del negocio.

Un experto en seguridad puede aportar el conocimiento necesario para una adecuada gestión de los aspectos de seguridad que conciernen a toda la empresa. La labor del experto será asegurar el mantenimiento del estado seguro y realizar tareas de prevención ante potenciales peligros, además de gestionar adecuadamente los incidentes en el caso de que surgieran.

Sólo un experto en la materia será capaz de analizar eficientemente las necesidades de la empresa para poder ofrecer una solución adecuada y realizar las acciones de seguridad que le convienen para proteger sus sistemas de información. Además la presencia del experto libera al personal interno de importantes responsabilidades y les sirve como consultor y auxiliar práctico.