El sector de la ciberseguridad se enfrenta a desafíos constantes tanto para la sociedad como para las empresas. Hoy nos sentamos a hablar con ORICIO, una asociación sin ánimo de lucro que tiene como principal objetivo la concienciación en materia de ciberseguridad.
¿Por qué surge el ORICIO.org?
La Organización para la Investigación en Ciberseguridad Ofensiva (ORICIO) es una asociación sin ánimo de lucro, iniciada por el profesor de hacking ético y un grupo de estudiantes de la primera edición del Curso de Especialización en Ciberseguridad en Entornos TIC impartido en el CIFP de Avilés en 2022.
Al tratarse de la primera promoción que cursaba la especialización, tanto para los alumnos como para los docentes, supuso un reto, que se superó por medio de colaboración, y creó la necesidad de seguir manteniendo el contacto, entre los alumnos que empezaban a trabajar en empresas de la región, y los que continuaban buscando trabajo gracias a la nueva titulación; la creación de la asociación nos permitía mantener el contacto, además de servirnos de utilidad para no perder de vista las continuas actualizaciones y evoluciones de las distintas ramas de la ciberseguridad.
¿Cuáles son sus principales objetivos?
Uno de los principales objetivos de la asociación y sus socios es la concienciación en materia de ciberseguridad. En los primeros seis meses de 2023 se ha registrado un nuevo aumento de ciberataques a nivel mundial, volviendo a liderar el ransomware o «secuestro de datos» como el problema principal de la ciberseguridad, alcanzando el 24% de todas las incidencias de seguridad según el informe DBIR 2023.
Además, el objetivo principal de estos ataques está enfocado en los sectores de manufactura, ventas al por menor y servicios de software, empresas que en algunos casos, y debido a su pequeño tamaño, no pueden disponer de recursos o formación en ciberseguridad para evitar sus ataques, pero con una concienciación adecuada si podría llegar a mitigarlos.
¿En qué líneas de trabajo está centrada esta asociación?
Desde ORICIO queremos ayudar a reforzar el sector de la ciberseguridad en la región, contribuir a la modernización de los sectores tradicionales a través de la ciberseguridad. Establecer, mantener y fomentar los contactos entre profesionales, empresas, docentes, alumnado e instituciones del sector mediante la promoción de actividades relacionadas con la ciberseguridad, así como la investigación, concienciación y orientación, fomentando el intercambio de experiencias entre los socios.
Para ello, nos hemos marcado puntos a corto plazo como la realización de actividades tales como la organización de convenciones, congresos y otras actividades relacionadas directa o indirectamente con la ciberseguridad, la creación de publicaciones relacionadas con la ciberseguridad, la realización o participación en proyectos de investigación, desarrollo e innovación, la realización de servicios. Y, como puntos a más largo plazo, la realización de servicios de asesoramiento en ciberseguridad, atendiendo a las necesidades tecnológicas que lo requieran, prestando servicios de asistencia técnica tales como la formación especializada o la difusión de información y otros servicios análogos vinculados a la ciberseguridad.
Y ya como puntos futuribles, queremos explorar la realización de investigaciones y estudios de diversa índole relacionados con la ciberseguridad, la elaboración, edición y publicación de materiales vinculados con los fines de la asociación o la realización de acciones de impulso, promoción, formación y desarrollo de la cultura de la ciberseguridad en los ámbitos institucionales, empresariales, sociales y educativos. Además de cualesquiera otras actividades que sean adecuadas para el cumplimiento de las líneas de trabajo de la asociación.
Para poner a los lectores en contexto, de forma general, ¿cuál es el estado actual de la Ciberseguridad en Asturias?
En la región ya está empezando a despuntar un ecosistema empresarial con servicios enfocados en la ciberseguridad, estos actores ya disponen de una experiencia y saber hacer que se empieza a hacer evidente con las carteras de clientes que gestionan. Que la ciberseguridad se haya impuesto como necesidad básica de cualquier empresa está ayudando al crecimiento de otras que ofrecen servicios basados en la ciberseguridad, si bien es verdad que este crecimiento está un poco limitado por la falta de profesionales en el sector.
Pero a su vez, estos pocos profesionales de la ciberseguridad junto con sus clientes concienciados están creando un entorno que alcanza parte de la ciudadanía, donde conocimientos básicos sobre ciberseguridad son cada vez más necesarios, para poder evitar fraudes bancarios, suplantaciones de identidad o secuestro de datos, llegando al resto de ciudadanía en general se puede mejorar aún más si cabe, el estado general de la ciberseguridad en Asturias.
¿Cuáles son los principales retos? ¿Están las personas y empresas concienciadas?
El mayor reto es el aumento de la ciberdelincuencia, que es un verdadero problema para policía, instituciones, empresas y ciudadanos. Además, este aumento viene acompañado de nuevas tácticas, que revelan la constante actualización y profesionalidad de los actores maliciosos.
También se aprovechan de la falta de profesionales en el sector de la ciberseguridad y de la falta de diversidad en las plantillas de recursos de empresas que no se dedican a las tecnologías de la información. Si además esto se combina con teletrabajo, donde un correo de suplantación de identidad puede pasar desapercibido, y el crecimiento de la web oscura donde se puede mercantilizar fácilmente la información secuestrada, todo ello se combina para convertir a la ciberdelincuencia en un negocio muy rentable.
Para enfrentar estos retos, entre empresas y personas, la manera más directa y rápida es por medio de la concienciación. Todavía hay mucho trabajo pendiente. Ya sea con formación interna en empresas, donde las de mayores recursos disponen de un amplio catálogo de cursos y herramientas subcontratadas para concienciar a sus empleados. Mientras que en las empresas más pequeñas pasa un poco como con el resto de las personas, depende de la inquietud de la empresa o persona, interesada en mejorar su nivel de seguridad, pero sí que se puede activar esta inquietud por medio de la concienciación.
Uno de los objetivos que os planteáis es el impulso de la divulgación tanto a profesionales, empresas y población, ¿qué acciones lleváis a cabo?
Una de las acciones principales que llevamos a cabo desde la asociación, es la celebración del congreso de ciberseguridad AsturCON.tech, este año vamos por la segunda edición que se desarrollará los días 10 y 11 de noviembre, con dos sedes, en el Palacio de Exposiciones y Congresos de Oviedo además de la Escuela de Ingeniería Informática de Oviedo, gracias a la colaboración con la Universidad.
Pretendemos juntar en esos dos días a profesionales y empresas del sector, instituciones, alumnado de ciclos técnicos y cualquier persona en general con inquietud en el área de la ciberseguridad. Para generar opciones de networking entre profesionales, empresa e instituciones además de ayudar a concienciar al público en general.
¿Qué nos podéis avanzar de esta nueva edición de AsturCON.tech? ¿Qué temáticas se tratarán y qué ponentes destacados tendréis?
Este año contamos con más espacio en la sede del congreso, por lo que podemos dar más visibilidad a nuestros patrocinadores diamante como Wise Security Global, Instituto CIES, y Seresco. Los patrocinadores oro como gitPA y Nextron-Systems también se verían más representados, como los que han optado por el nivel plata, NTT Data y Espiral MS. Sin olvidarnos de mencionar a los patrocinadores bronce como Ewala, Izertis, Obelisk, Iturcemi y Ascor.
Como el área de la ciberseguridad a su vez se divide en más áreas, como el hacking ético, auditoria forense, seguridad industrial... hemos querido atraer a ponentes de renombre que hablen de las distintas temáticas, como Ana Junquera, que nos hablará sobre las amenazas que se aprovechan de herramientas legítimas para llevara a cabo sus ataques; o Irene Cotillas que nos enseñará como implementar técnicas de Machine Learning al trabajo de analista forense.
Para finalizar, ¿cuáles son los principales retos que afrontáis para los próximos años?
Queremos abrir la asociación a nuevos socios, a entidades colaboradoras con personalidad jurídica y seguidores, para poder continuar y ampliar la labor de concienciación que ya llevamos realizando e incluir nuevas actividades a realizar en línea con nuestros fines como asociación; además de revalidar a Asturias como región de referencia en el mapa de la ciberseguridad con la celebración del congreso AsturCON.tech