El Jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional, Javier Candau, fue el encargado de iniciar la segunda sesión online del III Congreso de Auditoría & GRC, (Gobierno, Riesgo y Cumplimiento), de la asociación de profesionales de la auditoría, ciberseguridad y privacidad ISACA Madrid Chapter, con más de 1700 asistentes de 19 nacionalidades distintas, a través de las pantallas.
Candau resumió la experiencia que el organismo oficial acumula mostrando vulnerabilidades y lecciones aprendidas con los ataques y crisis en materia de ciberseguridad ocurridos en los últimos años en nuestro país, en especial el año 2017, “clave porque ocurrieron muchos incidentes que dieron la importancia a la ciberseguridad que tiene ahora”, según explicó. Habló de varias crisis como la vulnerabilidad Apache Struts, el #OpCatalunya, Emotet contra determinadas páginas web, el NotPetya, un incidente de ramsonware posterior al WannaCry, que fue el que más impacto ocasionó, con 230.000 equipos infectados en todo el mundo.
Reconoció que con este virus había que agradecerle a Telefónica que “lo comunicó a tiempo y se salvaron muchas otras empresas gracias a ese ejercicio de responsabilidad”. Candau contó cómo trataron de desarrollar la vacuna lo antes posible, pero se encontraron con problemas como el silencio de muchas empresas, que no hubo buena comunicación, ya que cada organismo lo hacía de una manera, y que la lección de las actualizaciones de software no estaba aprendida. “Hubo quien nos pidió vacuna para Windows XP e incluso Windows 2000”.
Como responsable del CCN recomendó la página de consulta del organismo CiberCovid19 y las claves para hacer frente a cualquier crisis de esta índole: no ocultarlo ni mentir, ser proactivos, previsores, coordinarse con el organismo, lo que es imprescindible para salvar la situación, trasmitir confianza “alertar pero no alarmar, implicar al gabinete de comunicación, que no llegue tarde y mal, y al grupo de interés, es decir, a los directivos o superiores, a las otras empresas del sector, a los trabajadores y a los ciudadanos”.
Para finalizar, Candau habló de que ya hay cierta respuesta en los casos de ciberespionaje, porque “los estados empiezan a responder ante estas conductas y ante un claro peligro de que se produzcan cibersabotajes a un servicio esencial”.
