Gobernanza y ciberseguridad en la universidad pública






            Las ciberamenazas son un riesgo invisible que nunca   na de verdad, buscando evidencias de que el inventario
            descansa.                                           existe y está actualizado, que se revisa y monitoriza y
                                                                que los dispositivos tengan un responsable asignado.
            Para hacer frente a esos riesgos, la universidad debe
            contar con ocho escudos de protección: los Controles   No se puede proteger lo que no se conoce.
            Básicos de Ciberseguridad. Cada uno de estos controles
            tiene su misión particular, y entre todos tienen como mi-  CBCS 2. EL SOFTWARE MALICIOSO.
            sión custodiar nuestra información y nuestros sistemas.
                                                                En la facultad de química, un profesor está evaluando
            CBCS 1. EL DISPOSITIVO DESCONOCIDO.                 los trabajos de sus alumnos. Uno de ellos presenta la
                                                                documentación en un formato “raro” y decide convertirlo
            Imagina una mañana cualquiera en la Universidad. El cam-  a PDF. Para ello se instala un programa que encuentra en
            pus despierta y miles de dispositivos se encienden: portá-  internet: un “conversor gratuito de PDF”. Parece inofen-
            tiles y teléfonos móviles de estudiantes y profesores, or-  sivo y muy útil.
            denadores de administración, servidores de investigación,
            y hasta cámaras de seguridad conectadas a la red.   Lo que este usuario no sabe es que el software trae es-
                                                                condido un regalo envenenado: un malware capaz de
            Entre todos estos elementos aparece un dispositivo sos-  abrir una conexión remota y permitir a un atacante exter-
            pechoso. Es un ordenador desconocido, conectado a la   no moverse por la red universitaria. Ese pequeño gesto,
            red de un laboratorio. Nadie sabe de dónde ha salido ni   un clic inocente, puede convertirse en un agujero por el
            quién lo controla. Podría ser un portátil con malware de   que robar expedientes académicos, datos de investiga-
            un alumno, o quizá un atacante externo lo ha introducido   ción o incluso las credenciales de acceso a la intranet.
            para espiar comunicaciones.
                                                                Este software no autorizado constituye un nuevo riesgo.
            Estos “fantasmas digitales” constituyen un riesgo den-  En una universidad, donde conviven miles de dispositi-
            tro de la red de comunicaciones. Pueden usarse para   vos, la instalación libre de programas es una tentación
            robar credenciales, capturar datos personales de expe-  constante. Y lo que parece un recurso necesario puede
            dientes académicos o incluso detener servicios críticos   convertirse en una amenaza.
            como la plataforma de matrícula online.
                                                                En este caso actúa el segundo control básico: el control
            Aquí entra en juego el primer control básico de ciberse-  del software autorizado.
            guridad: Inventario y control de dispositivos físicos.
                                                                Para  implementar  este control se pueden  usar herra-
            Su objetivo es sencillo: disponer de un “censo digital”   mientas como SCCM e Intune que permiten desplegar
            de todos los  equipos autorizados. Cada  portátil,  cada   el software autorizado en los equipos, o Applocker que
            servidor, cada switch debe estar registrado, con datos   bloquea el software que no está en la lista blanca.
            básicos como identificador del dispositivo (número de
            serie, dirección MAC, IP), persona o unidad responsable,   Gracias a este control, la universidad no depende de la
            estado o ubicación.                                 buena fe de los usuarios, sino de controles automáticos
                                                                que evitan sorpresas.
            Este inventario no es un simple documento Excel olvida-
            do en un cajón: debe ser una herramienta viva, actualiza-  La unidad de auditoría tiene nuevas tareas: comprobar la
            da y automatizada, que refleje la realidad de lo que está   existencia y control del inventario de software autorizado
            conectado en ese momento.                           y los procedimientos de altas, bajas y revisiones de los
                                                                componentes del mismo.
            Para implementar este control, se utilizan herramientas
            que permiten vigilar la red en tiempo real y comprobar si   CBCS 3. LA VULNERABILIDAD NO TRATADA.
            alguien intenta conectarse sin estar autorizado.
                                                                En pleno inicio de curso, el campus digital estaba al
            Este control se apoyará en herramientas NAC (Network   máximo rendimiento. Los estudiantes se conectaban a la
            Access Control) que permiten gestión del acceso a la   plataforma de matrícula, los investigadores consultaban
            red, herramientas de escaneo de red y descubrimiento   convocatorias de proyectos y el personal administrativo
            de activos, o herramientas de ticketing para la gestión de   trabajaba en la gestión de becas.
            altas y bajas del inventario.
                                                                Todo funcionaba correctamente. Pero bajo esa normali-
            El papel del auditor será comprobar que el control funcio-  dad, un problema acechaba.



                                                                                                             183