e-Boletín de RedIRIS

“Los servicios de ciberseguridad que nos ofrece RedIRIS son muy importantes y lo van a ser más en los años venideros”

Entrevistamos a Francisco Sampalo, Responsable de Seguridad de la Información en la Universidad Politécnica de Cartagena (UPCT)

Francisco Sampalo

 

Francisco Sampalo es Licenciado en Informática por la Universidad Politécnica de Madrid, coordinador del Grupo de Trabajo de Seguridad de la Sectorial CRUE-TIC  y, entre otros cargos, miembro del Comité de Expertos del Foro Nacional de Ciberseguridad, dentro del grupo de “Formación, Capacitación y Talento”. En la actualidad es Responsable de Seguridad de la Información en la Universidad Politécnica de Cartagena (UPCT).

¿Cuáles son los problemas más comunes en materia de ciberseguridad a los que tienen que hacer frente los responsables de Seguridad de la Información de las universidades españolas?

En general los de cualquier institución, pero claro, en las universidades hay que tener en cuenta un dato muy importante, que es su propio carácter, muy abierto, muy orientado a la interconexión, al  intercambio de información. Esto hace que nuestra exposición al riesgo sea mayor y que las medidas que podamos aplicar estén algo más limitadas. También tenemos mayores trabas en la gestión de identidades,  con una amplia variedad de colectivos y distintos niveles de acceso. Esto va muy vinculado con la concienciación de los usuarios hacia la protección de esas identidades.

Otra problemática es la gestión del propio equipamiento microinformático ya que las universidades no somos tan disciplinadas como otras instituciones a la hora de dar de alta y aplicar restricciones a equipos en nuestra red. Otro aspecto a tener en cuenta son nuestras redes, bastante abiertas por ese carácter de interconexión que he comentado al principio. Tenemos muchos servicios abiertos al exterior que son necesarios a la hora de compartir información entre determinados proyectos.

En un ámbito no tan técnico, creo además que uno de los de los problemas más comunes es la organización y el gobierno de la ciberseguridad; como establece el primer principio básico del ENS, la seguridad debe entenderse como un proceso integral que involucra a toda la institución.

En relación con el Esquema Nacional de Seguridad (ENS) ¿cómo está resultando el proceso de adecuación normativa para las universidades que integran la Sectorial CRUE-TIC?

La primera respuesta que te doy es directa y clara: “lento y desigual” pero vamos a ir matizando. Lento porque desde que se aprobó el ENS en 2010 solo hay cinco universidades públicas que estén certificadas de un total de cincuenta, el 10% a día de hoy. Según los datos del último informe INES, en los sistemas de categoría media, que son la mayoría de las universidades, el índice de cumplimiento es de un 67,7%.

Decía también que es desigual desde mi punto de vista por dos aspectos: el interuniversitario ya que existen universidades muy maduras en el ámbito de la gestión de la seguridad, pero hay otras que están prácticamente empezando o cuyos responsables de seguridad a lo mejor no han asumido todavía ese rol.

Yo creo que siempre hemos estado muy concienciados a la hora de aplicar medidas técnicas, y ahí siempre obtenemos buena nota, pero dónde hemos bajado es en las medidas organizativas. El ENS no debe afrontarse como un Real Decreto de medidas en el que tú cumples o no cumples, sino que debe tomarse como una  norma de mejora continua.

Desde el Grupo de Trabajo de seguridad y auditorías de la Sectorial CRUE-TIC estuvimos trabajando con el CCN-CERT para desarrollar un perfil de cumplimiento para las universidades que se publicó a lo largo de este año, concretamente en marzo y luego se modificó en mayo. El perfil adapta el ENS a las universidades y nos indica  qué medidas son de aplicación y cuáles no. Por otro lado, va acompañado de una guía (la CCN-STIC 881) que aporta ayuda con referencias completas a las medidas que se deben adoptar y cómo afrontar el plan de adecuación.

¿Qué papel juegan los servicios de ciberseguridad que presta RedIRIS a sus instituciones afiliadas, entre ellas la Universidad Politécnica de Cartagena en la que trabajas?

Los servicios de ciberseguridad que nos ofrece RedIRIS son muy importantes y lo van a ser más en los años venideros. Lo digo porque sois el punto donde se concentran nuestros flujos de red hacia el exterior y por tanto un punto óptimo para aplicar las medidas que nos afecten a todas las universidades. Por ejemplo, ya se dispone del sistema anti-ataques por negación de servicio, protección del correo electrónico a través del servicio “Lavadora” o el DNS Firewall, que se acaba de poner en marcha.

Pero, además, no solo por el tema meramente técnico, también por la compartición de información ya que RedIRIS es un foro donde compartimos experiencias; sois por tanto un concentrador de conocimiento desde mi experiencia.

Es importante destacar el papel fundamental que juega RedIRIS en el CERT y que ahora se va a reforzar todavía más si cabe, lo que nos permitirá, desde la posición de las universidades, afrontar la ciberseguridad unificando nuestras posturas en este ámbito.

¿Qué valoración haces de la colaboración entre CRUE-TIC y RedIRIS en materia de ciberseguridad en el marco del programa UNI-DIGITAL Servicios TIC compartidos?

Esa colaboración será la hoja de ruta para mejorar nuestros servicios en materia de ciberseguridad, algo que es totalmente necesario, no solo por el ahorro de costes que puede suponer para bastantes universidades al disponer de algunos servicios que pueden estar disponibles de forma centralizada. Siempre lo recalco, esto no quiere decir que deleguemos en RedIRIS responsabilidades y actuaciones en materia de ciberseguridad. Estas inversiones si se hacen de forma centralizada en un punto único, pueden facilitarnos mucho la vida a las universidades. Pero las universidades tenemos que seguir gestionando nuestros incidentes y resolviéndolos con nuestras propias capacidades de vigilancia y respuesta; pero la coordinación con RedIRIS nos será de gran ayuda en esta tarea. El servicio SinMalos, sobre compartición de “Indicadores de compromiso” (IoCs) es también un punto de compartición de conocimiento sobre amenazas.

¿Qué destacarías del último Foro de Ciberseguridad organizado en Barcelona el pasado mes de noviembre por RedIRIS con CSUC y UPF?

Bueno, lo primero que destacaría no es algo que tenga que ver con la ciberseguridad sino con el hecho de retomar la actividad presencial y compartida que se paró a causa de la pandemia. También me gustó la participación en el reciente Foro de entidades a priori ajenas al mundo universitario como son las Fuerzas y Cuerpos de Seguridad del Estado. El evento me pareció muy útil de cara a que la comunidad universitaria conozca cuáles son las líneas  estratégicas de actuación que va a seguir RedIRIS en materia de ciberseguridad en los próximos años.

¿Y qué esperas de tu participación en el Comité de Programa de las XXXI Jornadas Técnicas de RedIRIS del 13 al 15 de junio en Zaragoza?

Pues aquí casi tendría que devolver la pregunta ya que es la primera vez que participo en este comité. Lo que planteo aportar es mi visión y criterio para dar encaje a la Ciberseguridad en el programa general de las Jornadas Técnicas, pero sin restar protagonismo a otros servicios como pueden ser la conectividad o la identidad.