Antonio Ramos es presidente de ISACA Madrid y CEO de Leet Security

Antonio Ramos es licenciado en Ciencias Económicas y Empresariales por la Universidad Complutense de Madrid y Máster en Auditoría de Cuentas por la Universidad Pontificia de Salamanca, y posee numerosas certificaciones en seguridad de la información, entre las que se encuentran CISA, CISM o CRISC por ISACA (Asociación de Auditoría y Control de los Sistemas de Información).

En la actualidad es socio director de n+1 Intelligence and Research y CEO de leet security, además de presidente de ISACA Madrid e integrante de la lista de expertos de ENISA (Agencia Europea para la Seguridad de la Información y de las Redes). Comenzó su carrera profesional como auditor informático en 1998 en Ernst & Young. En 2004, se incorporó a S21Sec como director de la unidad de Consultoría y Auditoría Informática.

Especialista en gestión de la seguridad de la información conforme a estándares internacionales, participa como profesor en múltiples cursos, másters de seguridad y autor de diversos artículos sobre la gestión de la seguridad que han sido publicados en los principales medios económicos y tecnológicos de España. Es autor del blog www.antonio-ramos.es y colaborador habitual de las bitácoras del Observatorio de INTECO.

Esto es lo que ha respondido a la entrevista de la OSI.

Para los internautas en general, muchas veces la seguridad de la información es muy complicada e incomprensible, ¿es cuestión de formación, de buenos hábitos o de herramientas? o ¿realmente debería ser totalmente transparente para el usuario y no preocuparse?

La navegación segura por Internet siempre mantendrá un componente de buenos hábitos por parte de los internautas, igual que una circulación segura por las ciudades exige de un comportamiento cívico por parte de los conductores.

No obstante, a este hecho hay que sumar que el estado actual de la tecnología no permite que la seguridad sea totalmente transparente y obliga a los internautas a tomar medidas de precaución adicionales y no siempre fáciles de entender. Esperemos que en algún tiempo las medidas a adoptar sean tan sencillas como las que conocemos a la hora de conducir: ponerse el cinturón, señalar maniobras, mantener la distancia de seguridad,... son conceptos que todos entendemos, aunque no entendamos la tecnología.

¿Cuáles deben ser los principales aspectos por los que debe preocuparse un usuario en cuestiones de seguridad de la información?

Antes de nada, hemos de ser conscientes de que, por muchas precauciones que tomemos, la seguridad absoluta no existe y que siempre podremos tener un incidente de seguridad.

Una vez dicho esto, los internautas deben tratar de entender lo que están haciendo, igual que nadie se pone a conducir un coche sin haber dado unas clases antes. Es decir, la tecnología siempre es así, te permite muchas cosas nuevas pero siempre tiene algún riesgo y es importante conocerlos antes de hacer uso de ella. Por ejemplo, la fotografía digital permite hacer fotografías de una forma más sencilla y más abundante pero, sin embargo, si no hacemos copias de seguridad podemos perderlas casi sin darnos cuenta, puesto que un fallo de un disco duro, por desgracia, no es algo inusual.

Por lo tanto, si entendemos los fundamentos de la navegación sabremos que no podemos fiarnos de cualquier enlace que nos envíen, que las direcciones URL deben ser de determinada forma, que podemos infectarnos por muy cuidadosos que seamos, pero que tenemos que tomar medidas para evitarlo (antivirus, actualizar nuestro sistema, etc.) y sobre todo, que nadie da "duros a cuatro pesetas"... normalmente esas supuestas "gangas" vienen con sorpresa.

Los móviles vienen con nosotros a todas partes y los usamos tanto a nivel personal como profesional. Además, un móvil de hace tan solo cinco años poco o nada tiene que ver con los actuales y nos permiten hacer muchas cosas, ¿qué hace que los móviles sean considerados tan peligrosos por la gente que trabajais en seguridad? ¿Qué recomendaciones darías a los usuarios?

Bueno, yo no diría que los que trabajamos en seguridad pensemos que sean peligrosos. Remitiéndome a la pregunta anterior yo diría que lo que nos preocupa es que se estén utilizando sin entender realmente los riesgos que existen.

Mis recomendaciones irían en la misma línea que en el caso anterior: hay que ser consciente de que los denominados smartphones son pequeños ordenadores y que, como tales, pueden sufrir los mismos problemas de seguridad que nuestros equipos domésticos... pueden tener virus, pueden perder la información que contienen, etc. Por ello debemos adoptar unas medidas básicas que reduzcan el daño que nos puedan causar si alguien consigue acceder a ellos: cifrar la información, protegerlos con PINes /contraseñas, hacer copias de seguridad, etc.

En relación con las redes sociales, ¿con qué debemos tener más cuidado: con la gente a la que agregamos, con la información que publicamos o con las fotos que subimos?

Yo diría que, en general, casi siempre hay que tener cuidado con lo que publicamos ya sean comentarios o fotografías,... Hay que ser consciente de que lo que se comenta en una red social es amplificado por el efecto de Internet, como dice el refrán "somos dueños de nuestros silencios y esclavos de nuestras palabras" con el efecto añadido de que, además las redes sociales no olvidan, lo que dijimos hace años sigue estando accesible y consultable por nuestros contactos.

Por tanto, aprovechemos las posibilidades de mantener el contacto y de conversar que nos dan las redes sociales pero seamos cuidadosos con lo que decimos.

Hay una leyenda urbana que dice que los virus los crean las propias empresas de seguridad, ¿qué hay de cierto o de falso?

Es totalmente falso,... tienen tanto trabajo intentando mantenernos seguros que no tienen tiempo para inventarse nuevos virus.

Nos empezaron a avisar casi cuando se creó Hotmail con que iba a ser de pago, ahora también Whatsapp, ¿por qué los usuarios nos creemos todas estas cosas?

Bueno, en el fondo a los usuarios nos extraña que herramientas tan útiles puedan ser gratuitas, por eso damos cierta credibilidad a este tipo de rumores.

Imagina que estamos en 2017, ¿qué amenaza habrá por Internet?

Es difícil adivinar el futuro pero si hay que apostar por algo, yo apostaría por un aumento de la complejidad de los fraudes, afectando a canales combinados (tabletas-portátiles, teléfonos-portátiles,...) y, por otra parte, las orientadas a los entornos en la nube (suplantaciones de identidad, accesos no autorizados, etc.) y a las comunicaciones entre dispositivos (que se suele denominar M2M o máquina-a-máquina).