Los resultados de la encuesta realizada por el Blog de Ciberseguridad dieron la certeza de que los temas que se venían analizando en las entregas de Ciberviernes, constituyen las principales problemáticas que presenta la educación de usuarios y también las mayores incidencias en torno a las buenas prácticas en el manejo seguro de las TIC.
El análisis de los resultados se desarrollará agrupando por temáticas las interrogantes en las que se materializaron errores.
Las contraseñas que son intransferibles y la selección que debió ser escogida era que estas deben cumplir con requisitos de conjugar letras, números y signos, para evitar que sean develadas con aplicaciones de tipo diccionario utilizadas a este fin, constituyen un aspecto con mucha incidencia en la UO por los ataques de phishing combinados con la ingenierías social.
Al ser vital, su uso para asegurar la autenticación y por el hecho de que el 15 % de las respuestas resultaron erróneas, constituye un tema a trabajar. El 10 % de los usuarios respondió que las contraseñas debían generarse con palabras fáciles de recordar y el 5 % apuntó que no son necesarias en ocasiones.
En la segunda pregunta fue respondida de manera correcta por el 80 % de los encuestados. Los errores, que constituyeron el 20 % se centraron en que un 15 % respondió que solo se comunica por correo electrónico, si los administradores de red la solicitan para mantenimiento del sistema y el 5 % agregó como opción que deben ser guardadas en en una libreta.
En torno a la temática del Plan de Seguridad de las TIC que expresa el mandato de la institución en torno al manejo de las TIC, al concentrar las maneras en estas tecnologías deben ser utilizadas.
El 95 % de los encuestados respondió correctamente, pero un 5 % seleccionó que solo debe ser conocido por los especialistas en el uso de las TIC.
Los códigos malignos, cuya actividad ha demostrado, que constituye la principal causa de la pérdida de información en los sistemas informáticos, es interpretado así por el 95 % de los encuestados, aunque para el 5 % esto puede ocurrir A veces, por lo que es un punto a atender.
El hecho de que los antivirus no son infalibles, provoca que la actuación desde la prevención es la opción por elección de los usuarios de las TIC fue asumida por el 85 % de los entrevistados, mientras el 15 % de las respuestas mostraron errores porque se consideró que el impacto del malware depende del objetivo de su creador. Estas respuestas no tomaron en consideración que cualquier sistema puede ser infectado por un código maligno, sin importar si cumple con las expectativas del ciberdelincuente.
La amplia difusión y uso de los dispositivos móviles requiere una comprensión amplia de que los mismos, requieren de la protección de un software antivirus para su operación. Sin embargo, el 15 % de las respuestas fueron erróneas al marcar la opción: A veces.
Las copias de seguridad, por múltiples razones sigue siendo un Talón de Aquiles. Estas son esenciales para mantener a salvo los sistemas informáticos porque respaldan la información que garantiza los procesos esenciales de la organización. El 85 % respondió de manera adecuada mientras el 15 % respondió de manera errada. Un 10 % seleccionó la opción: Para proteger solamente la información personal todos los meses, mientras el 5 % optó por: proteger toda la información que pueda ser guardada en un DVD cada seis meses.
Si bien el 100 % demostró conocer la definición de incidente informático, se hace necesario hacer énfasis en como se desarrolla la gestión de incidentes en Cuba a partir de los pormenores del proceso que se establecen en la resolución 105/2021 del MINCOM. Solo el 65 % de los encuestados conoce que ante un incidente la elección correcta es: Detallar en el libro de incidencias lo ocurrido y comunicar al directivo y al encargado de seguridad informática.
El 35 % de las respuestas fueron erradas. El 25 % de seleccionó: Informar al equipo de seguridad informática de la UO y a la Oficina de Seguridad de Redes Informáticas, mientras el 10 % plantea: Notificar al directivo del área.
Es una práctica necesaria la actualización de los sistemas operativos y de aplicación. De esta manera se cierra el paso a vulnerabilidades que pueden ser explotadas por los ciberdelincuentes. En la UO se ha dispuesto un sitio para la actualización del equipamiento, salvo aquellos equipos que por su obsolescencia no pueden utilizar software actualizado y carecen de soporte técnico.
El 10 % de las respuestas seleccionó opciones erróneas: El 5 % apuntó que nunca debe actualizarse porque lo que está funcionando bien no se modifica, mientras el 5 % restante respondió que solo en las ocasiones que se soliciten por el equipamiento.
El tema del ahorro energético, que ha sido un problema en las auditorías internas y externas del sistema informático de la UO mostró que el 70 % conoce que este mecanismo está establecido en la legislación cubana por la resolución 85/2007 del MINCOM, mientras el 30 % realizó elecciones incorrectas. El 25 consideró que debían atenderse los temas de la informática verde, mientras el 5 % restante asumió la hibernación como opción.
Las respuestas a la última interrogante, referida a si se deben hacer eco y replicar mensajes alarmistas, catastróficos o cadenas “de la buena suerte” que solo buscan congestionar las redes causando efectos negativos, mostró que el 80 % de los encuestados conoce los nocivo de esta práctica, mientras un 10 % respondió que si debían replicarse y otro 10 % que solo a veces.
Como se aprecia sigue siendo una necesidad el trabajo de educación en temas del ciberseguridad de estudiantes y trabajadores de la UO. Mientras exista una persona que desarrolle prácticas inadecuadas en el manejo seguro de las TIC, el sistema informático institucional está expuesto a un ataque de los ciberdelincuentes. Cada fallo es una vulnerabilidades que puede ser causa de un incidente.
El conocimiento para la operación segura con las TIC es una tarea de todos y está incorporado como un de los deberes de las personas que operan con las tecnologías por el artículo 8 inciso A de la resolución 128/2019 del MINCOM que es el reglamento de seguridad informática de la República de Cuba.