La pandemia ha puesto sobre la mesa la necesidad de hacer uso de herramientas tecnológicas para seguir manteniendo la actividad. No solo en las empresas y en la administración, también en el ámbito privado. Acuciadas por la urgencia que les impuso el confinamiento, las compañías que aún no habían abordado su transformación digital, o estaban en sus inicios, pusieron en marcha planes para su implantación.
Las ventajas y beneficios de esta evolución se han hecho patentes en los últimos meses. Agilidad, flexibilidad y más competitividad son algunos de los términos unidos a ella. También, y aquí viene la parte negativa, el aumento de las vulnerabilidades.
Prepararse para responder adecuadamente ante posibles ataques es una de las asignaturas pendientes de muchas compañías. Una protección en la que, además del uso de la tecnología, también intervienen otros factores.
Sobre ellos trataron los asistentes a la mesa redonda 'Ciberseguridad: cuando las amenazas no tienen límites ni distinguen de víctimas’, organizado por D+I / Invertia y El Español.
Un encuentro que contó con la participación de Miguel Carrero, vicepresidente de Cuentas Estratégicas y Proveedores de Servicios de Seguridad de WatchGuard; José de la Cruz, director técnico de Trend Micro; Karina Miguel, National Channel Manager de España de Bitdefender; y Rosalía Machín, capitana de la Guardia Civil y jefe de proyectos europeos de I+D+i en la Secretaría de Estado de Seguridad del Ministerio del Interior.
Concienciación de usuarios y empresas
Carrero señaló que “si no hay una cultura de concienciación y se usan de forma correcta de las tecnologías, no sirve de nada tener el mejor equipo de seguridad”. Reconoce que esa concienciación va llegando a todos los ámbitos, no sólo al trabajador, también al ciudadano de a pie, así como al sector privado y al público.
“Esto no es una broma. La riqueza se ha movido al entorno digital y los delincuentes lo saben y trabajan con un sistemas profit and loss: cuanto más éxito tienen en sus acciones, más dinero tienen para reinventir en su negocio”.
“No hay que olvidar que el cibercrimen es un negocio –remarcó– con su correspondiente cadena de suministros, y quienes se ocupan de la seguridad se encuentran con que las tecnologías con la que trabajaban antes ahora no les funcionan, lo que produce unos desbalanceos estructurales complejos”. Recuperar el equilibrio pasa por la inversión, pero no sólo en productos y soluciones, “es una intersección de personas, de procesos y de tecnologías”.
Sobre esa concienciación de usuarios y empresas también habló De la Cruz: “Los primeros han de entender cuáles son los riesgos cuando acceden a una determinada URL o al correo electrónico”. Sobre las compañías admitió que los proveedores de soluciones de seguridad tienen un problema: “nos ven como un coste y no como una inversión, hasta que sufren un ataque”.
Acerca de este asunto, el director técnico de Trend Micro quiso compartir una fórmula que usa a diario para tratar de concienciar a las empresas, la regla de las 3C: “El coste es igual al cómo, es decir, qué medios utilizamos para protegernos; multiplicado por el cuando, es decir, cuanto más tarde respondas a un incidente de seguridad, más se va a disparar ese coste”.
En este punto, Miguel, mencionó el factor humano, “sobre todo ahora que se ha extendido el teletrabajo”, como uno de los elementos que aumentan el riesgo: “Los empleados utilizan sus propios dispositivos, su propio firewall, y se escapan al control de la red de la empresa. Hay que hacer una trabajo de concienciación con ellos porque, aunque cada vez se usan más capas de seguridad, los ataques son más sofisticados y se dirigen a todo tipo de compañías, incluidas las pymes”.
Este cambio de paradigma que ha tenido lugar en los últimos meses “es sistémico y común para todas las empresas, tanto del ámbito público como del privado, y tiene que ver con el impulso del teletrabajo, pero también con la búsqueda de la autonomía digital”, admitió Machín.
La capitana de la Guardia Civil y jefe de proyectos europeos de I+D+i resaltó la necesidad de que “implementemos nuestros propios sistemas, los mantengamos a escala nacional y, además, potenciemos la propiedad intelectual e industrial”. Algo que, a día de hoy, “cuesta mucho porque en el campo de la ciberseguridad se trabaja con empresas y comercializadoras que provienen de otros países”.
Talento nacional y servicios gestionados
Poner en valor el talento que hay en España en este ámbito es otro de los retos que tienen por delante organizaciones y administraciones. “El 80% de las pequeñas y medianas empresas tienen unos desarrollos muy potentes en ciberseguridad, están muy reconocidas a nivel nacional. El problema es que estas pymes normalmente dan soporte a grandes empresas y esto es lo que evita que despunten”, aseguró Machín.
Recordó que desde el Ministerio del Interior tienen en marcha varios programas (I+D, Next Generation…) para crear esos puentes entre las compañías y la propia Administración para darles soporte. “Cuesta mucho que las empresas despunten, pero si entran en uno de estos programas y trabajan en desarrollos para el Ministerio del Interior, por ejemplo, pueden llegar a otras agencias europeas con productos finales y tecnologías más avanzadas. Se trata de que esas pymes adquiera nombre propio”.
Carrero ha reconocido, tras su paso por San Francisco, el talento existente en España y pone como ejemplo el caso de su propia firma, WatchGuard, que ha sabido verlo con la compra de la española Panda Security. “En estos meses he comprobado el gran potencial que hay en esta empresa y cómo supieron experimentar en su tiempo. Y nosotros queremos mantener esa dualidad: ser una multinacional norteamericana, pero con el centro de ingeniería en España”.
El ejecutivo también hizo referencia a la autonomía digital mencionada por Machín: “Es importante que los data centers estén donde se encuentra la información sensible y buscar el equilibrio correcto entre todos”.
Y hace una autocrítica: “Como proveedores de soluciones de seguridad, llevamos años lanzado un portfolio muy amplio de productos que a veces pueden llegar a confundir al cliente. Una empresa pequeña o mediana no siempre tiene las capacidades tecnológicas, de personas, de servicios, de procesos para gestionar su entorno de seguridad”. Por eso apuesta por una “seguridad gestionada” como solución. Una propuesta con la que no duda en estar de acuerdo la National Channel Manager en España de Bitdefender: “no todas las empresas tienen una estructura o personal cualificado para poder estar 24/7 monitorizando una red”.
Amenazas invisibles
La pandemia ha puesto en evidencia las brechas en seguridad de muchas compañías, pero también ha sido un toque de atención ante la necesidad de prevenirlas para evitar las consecuencias de un ciberataque, como las fuga de datos o la paralización del sistema. “Hasta ahora las empresas han priorizado el negocio y han dejado la seguridad en un segunda plano, y creo que esto tiene que ver con el concepto de ‘visibilidad’. No puedes proteger aquello que no ves”, apostilla el director técnico de Trend Micro.
Admite que no se pueden detectar la totalidad de las amenazas, pero las que se identifican hay que hacerlas visibles. “Explicar que hay unos indicadores que me dicen que algo está pasando en tu red y reaccionar a tiempo. Pero para esto hay que estar preparado, primero, dando visibilidad; segundo, dándole al empleado los permisos imprescindibles para que haga su trabajo; y tercero; recurriendo a servicios gestionados”.
Un discurso con el que también coincidió Carrero: “Hay que ser consciente de que la seguridad al 100% no existe, es financieramente inviable y hay que ser muy consciente de cuáles son los activos que se han de proteger por el impacto que tienen en el cliente, en el proveedor, en el ciudadano… Y cuáles puedes dejar un poco menos atendidos y, en esto, hay que ser muy preciso”.
De la Cruz ha introducido aquí un nuevo término: la “calidad de las alertas” para que se tomen las medidas adecuadas. Sobre ello recogió el testigo la capitana de la Guardia Civil: “Uno de los retos que tenemos en el Ministerio del Interior dentro de la estrategia de ciberseguridad es la detección temprana de amenazas a través del estudio de técnicas y procedimientos de inteligencia artificial, blockchain, etc., para proteger los datos que manejamos, que son muy sensibles para la ciudadanía”. Y de nuevo lanza el guante al resto de presentes en la mesa: “Y para eso necesitamos la ayuda de la industria nacional”.