Anàlisi dels riscos en matèria de ciberseguretat per a entitats del Tercer Sector Social

El fòrum “Digitalització i noves tecnologies: avenços i problemes associats a la ciberseguretat en ONG” s’ha desenvolupat fent un diagnòstic que detecti les oportunitats i problemàtiques de la Ciberseguretat per a les entitats socials, així com les bones pràctiques en aquesta matèria, comptant amb la col·laboració de PwC, Policia Nacional i INCIBE, entre d’altres

La Plataforma de ONG de Acción Social ha celebrat el passat mes de novembre el fòrum”Digitalització i noves tecnologies: avenços i problemes associats a la ciberseguretat en ONG” per sensibilitzar i formar les entitats d’acció social en matèria de ciberseguretat i aprofundir en la importància d’identificar i prevenir el risc dels ciberatacs en les entitats de Tercer Sector Social.

Però què és la ciberseguretat i què implica per a les ONG?
S’entén per Ciberseguretat, totes les actuacions de les organitzacions o particulars per reduir el risc de convertir-se en víctimes d’un ciberatac. L’objectiu de la ciberseguretat és protegir tots els dispositius que fem servir (telèfons mòbils, portàtils, tauletes i ordinadors) i els serveis d’accés – en línia i al treball- de ser danyats. També es tracta de prevenir accessos no autoritzats a gran quantitat d’informació o informació personal que emmagatzemem en els nostres dispositius o online.

La ciberseguretat és important per a les organitzacions perquè s’ha estès l’ús d’internet no només en les seves oficines sinó també en els centres d’atenció a persones, havent de protegir no només la informació i recursos sinó també els serveis i la mateixa identitat de les persones que poden ser també objecte d’atac.

Aprofundint en ciberseguretat: objectius per a les entitats socials del Tercer Sector
Assumpció Montero, la presidenta de la Plataforma d’ONG va inaugurar el fòrum destacant, com a objectius, promoure avenços de les entitats socials en la digitalització i noves tecnologies del Tercer Sector Social; donar pautes per treballar en les problemàtiques associades a la digitalització de les entitats socials a partir d’un diagnòstic de riscos (seguretat, consum, exercici vs utilitat, etc.) i identificar riscos i solucions associats la incorporació de les noves tecnologies en l’atenció a els col·lectius d’atenció.

Per aconseguir aquests objectius s’ha comptat amb dues taules de debat que han generat el clima oportú perquè les entitats puguin conèixer com realitzar un diagnòstic de risc en matèria de Ciberseguretat, així com a conèixer les oportunitats i problemàtiques que aquesta entaula. Així mateix, també s’ha analitzat, en una segona taula, què ha de tenir una organització de l’Tercer Sector Social per estar ben preparada davant d’un ciberatac.

Taula Rodona sobre les oportunitats i problemàtiques per a les entitats de la Ciberseguretat. Diagnòstic de riscos

Maria Riesco García, omissaria General d’Informació de el Cos Nacional de Policia, ha explicat en la seva intervenció alguns conceptes relatius a la Ciberseguretat ia com la Policia s’encarrega d’atendre els delictes en aquesta matèria sent necessari per a això la vulneració de la seguretat existent en el sistema atacat, o que s’hagi vist compromesa informació de caràcter personal. Això vol dir que, si no hi ha seguretat establerta prèviament, davant d’un robatori de doneu-vos la policia no pot actuar perquè no es tracta d’un delicte. Durant la seva intervenció ha destacat també que per prevenir aquests ciberincidentes s’ha de tenir sempre el sistema de protecció actualitzat, renovant cada cert temps els pegats de seguretat, i en el cas de patir un es deu, abans de res, contenir l’atac i avisar la Policia en cas es dubte de si, realment, dit ciberatac constitueix un delicte o no, perquè assessori a l’entitat que l’hagi patit.

Igualment, i malgrat les amenaces que suposa per a les entitats el camp de les noves tecnologies Maria Riesco ha destacat que cal “fomentar sempre l’ús de les eines que ofereix Internet d’una manera responsable,” i que Espanya se situa al capdavant en matèria de Ciberseguretat i encara que el nombre de denúncies creix, també la col·laboració de la policia en l’àmbit europeu i amb els Estats Units.

Per la seva banda Elisa Vivancos, representant de l’INCIBE, ha iniciat la seva intervenció destacant els diferents serveis i portals que té aquesta entitat, un dels majors exponents en matèria de ciberseguretat al nostre país, per implementar la protecció, destacant l’àrea enfocada a protegir empreses i organitzacions o el portal per a menors, amb continguts específics per a nens, nenes i adolescents a Internet. Vivancos ha ressaltat també, en relació als problemes de les entitats de Tercer Sector Social en ciberseguretat que, sobretot, les ONG són més propenses a aquest tipus d’atacs perquè manegen dades sensibles: dades personals, informacions importants, donacions … “dades molt cotitzades al mercat negre “i que s’ha d’anar amb compte perquè, a més, el dany reputacional en cas de patir un ciberatac pot ser molt alt. A més de les amenaces a les que està exposat el Tercer Sector (frau, robatori de dades, atacs contra la web) Vivancos també ha parlat de la tècnica de seguretat per a empreses i professionals d’INCIBE destacant que el que s’ha de fer és analitzar els riscos i prevenir-los mitjançant formació; per això ha destacat que en el seu portal web han desenvolupat manuals i jocs de roll, amb tot un seguit de materials que pot ser emprada per les organitzacions per formar els seus equips.

Taula de Bones Pràctiques de Ciberseguretat a entitats socials: Què han de fer una organització de l’Tercer Sector Social per estar ben preparada?

Marta Colomina, directora de la Fundació PWC, ha destacat que, segons les seves dades, el Tercer Sector inverteix “un 42% menys que una empresa en ciberseguretat” quan el risc de les ONG, especialment a nivell de reputació i amb la sensibilitat que tenen les dades amb què treballen, és el mateix o fins i tot més alt que el de les empreses. En aquest sentit va destacar que la ciberseguretat ha de ser una àrea de treball per al sector i que es poden aconseguir mitjans i compartir estratègies per afrontar aquest risc, per a això va recomanar:

1. “Treure aquest tema d’informàtica i moure’l als patronats de les fundacions i juntes directives de les entitats” per abordar-lo amb la importància que es mereix i crear consciència sobre el risc estratègic per a l’activitat de l’organització.

2. Buscar recursos prioritaris per posar en marxa el que s’ha catalogat com a “Model de tres línies de defensa” d’abastar a les persones que treballen en l’organització, tenint en compte que qualsevol pot obrir el fitxer maliciós i la línia de defensa és la formació i conscienciació; el propi sistema a través dels recursos, processos i tecnologies, cal analitzar quines són les dades sensibles i determinar una estratègia de ciberseguretat; i en tercera línia veure si funciona mitjançant atacs preventius tant cap a les persones que treballen en l’organització com cap al propi sistema.

Després d’aquesta primera intervenció va prendre la paraula Tomàs Mateu, qui va destacar que sí que s’ha d’estar alerta i una mica espantats, ja que els ciberatacs són, ha dit, “una cosa que està en el dia a dia constantment i que, encara que no es veu no vol dir que no existeixi. “En aquesta línia va donar algunes dades com que el 76% de les empreses espanyoles han estat atacades en els últims 6 mesos, de manera que, segons la seva opinió, és” una cosa rellevant i al que se li ha de destinar una gran partida pressupostària. “Va destacar també que el 95% dels ciberatacs es deuen a errors o actes humans, d’aquí la importància de, formar i sensibilitzar en aquest àmbit per generar consciència, així com generar una capa de seguretat perimetral, externa i interna en tots els projectes de les organitzacions. Com a recomanacions bàsiques per a la prevenció dels ciberatacs va ressaltar també el mantenir els sistemes actualitzats; fer un canvi freqüent de contrasenyes, tenint diferents per a cada compte i amb suficient nivell de seguretat; realitzar tasques de conscienciació als empleats; i contractar, si és possible, una pòlissa de ciberseguretat.

Finalment, va intervenir María Jesús Més Tomàs que també va animar a mantenir la guàrdia i no relaxar-se ja que, ha dit, “els atacs són cada vegada més sofisticats i s’ha d’estar a la diana de totes les noves tecnologies, especialment en les que es s’implementen en les nostres organitzacions”. Ha destacat que ara mateix els ciberatacs són una indústria i que no només suposen pèrdues econòmiques, sinó també perduda reputació.

Per concloure aquest fòrum, Enrique Galván, coordinador de la Comissió d’Innovació i nous reptes de la Plataforma d’ONG d’Acció Social, va agrair a totes les persones i institucions que han volgut compartir el seu coneixement, concloent que cal “mirar junts a aquesta realitat que ens repta i de la qual no podem escapar. Estem”, va dir, en una” societat digital amb moltes oportunitats, però també amb riscos i amenaces” i va destacar la importància d’espais com l’esdevingut on es comparteixen històries i vivències que mostra que “les ONG han d’incorporar a la seva missió i visió d’aquesta perspectiva i protegir-se.” Va concloure dient també que tenim el “repte de defensar-nos com a entitats i com a promotors de la lluita contra la bretxa digital per arribar millor als nostres col·lectius i persones més vulnerables” que , són a al final, l’objectiu de les entitats de l’tercer sector d’acció social.

Més informació i font: Plataforma de ONG de Acción Social