La ciberseguridad va mucho más allá de la protección de nuestros ordenadores y nuestros teléfonos móviles con un antivirus. El creciente número de ciberataques ha puesto el foco de atención en cómo las organizaciones y las empresas protegen sus sistemas y cómo protegen los datos de sus usuarios o clientes. Para ello, muchas de ellas han reforzado sus equipos creando o ampliando un departamento específico en ciberseguridad. Pero ¿cómo se prepara una entidad ante estos ataques? ¿Es posible prevenirlos? ¿Es importante el tiempo de reacción? ¿Qué información es más sensible a ser “robada”?
Para responder a estas y a muchas otras preguntas Forbes reunió, el pasado 1 de diciembre en el Hotel Santo Mauro, a un grupo de expertos en la materia, entre los que se encontraban Esther Muñoz Fuentes, subdirectora general de Ciberseguridad, Protección de datos y Privacidad de Madrid Digital; Raúl Martín García, subdirector adjunto de Tecnologías de la Información y Comunicaciones de SEPE; Mabel González, CISO del Servicio madrileño de salud; Rafael Hernández, CISO de Cepsa; Sergio Fidalgo, responsable global de Seguridad (CSO/CISO) de BBVA; Rafael Ceres, responsable de la Oficina Global de Ciberseguridad de Iberdrola; Jesús Feliz, gerente de Sistemas y Seguridad, CIO de INCIBE; y David Sanz, Solution Consulting Director Iberia e Israel de ServiceNow.
La encargada de moderar la jornada, bajo el nombre “Gestión y detección de ciberataques en las empresas”, fue Eva Pla, periodista especializada en empresas. Esta era la encargada en poner sobre la mesa la primera cuestión: ¿cuáles son las principales alertas a las que se enfrentan las empresas y organizaciones? Desde ServiceNow, David Sanz explicaba que sus clientes destacan dos preocupaciones sobre este punto: el hecho de no ser capaces de reaccionar todo lo rápido que quisieran a los ciberataques y la falta de visibilidad, que les impide priorizar la vulnerabilidad de seguridad.
Detección de vulnerabilidades
La directiva de Madrid Digital, Esther Muñoz, apuntaba que la mayor presencia digital que ha supuesto la transformación del modelo de trabajo después de la pandemia ha traído consigo un gran reto para las organizaciones: “Eso supone que la red de nuestras oficinas tiene que llegar a nuestros empleados allí donde estén, y tenemos que protegerles. Esto quiere decir que tenemos una mayor presencia, visibilidad en internet, lo que incrementa las amenazas, ataques, a los que tenemos que enfrentarnos que pueden aprovechar las vulnerabilidades presentes en muchas de las tecnologías que utilizamos.
A raíz de esta intervención, Eva Pla preguntaba: ¿cuál es la principal vulnerabilidad de las empresas y organizaciones? ¿Cuál es la mayor preocupación? De nuevo, Esther Muñoz recogía la pregunta: “Es indispensable estar atentos para detectar una amenaza antes de que se produzca cualquier incidente de seguridad. Va de vigilar y detectar”. Algo con lo que se mostraba totalmente de acuerdo Mabel González, CISO del Servicio madrileño de salud: “Es mucho menos costoso invertir en prevención que invertir luego en la solución”.
A esta cuestión Sergio Fidalgo, de BBVA, quiso hacer una puntualización sobre el nuevo perfil del atacante: “Ahora nos enfrentamos a bandas de crimen organizado super estructuradas, con mucho talento y muchos medios, que tienen la ‘ventaja’ de no tener que cumplir con ninguna regulación»matizaba Sergio Fidalgo, de BBVA. Esa es una de las grandes preocupaciones del sector financiero, el ser capaces de instruir a nuestros clientes para que sean ellos la mejor protección de la cadena”.
Jesús Feliz, de INCIBE, se mostraba totalmente de acuerdo con todas las intervenciones del resto de sus compañeros y apuntaba que “uno de los retos fundamentales al que nos enfrentamos todos es la deslocalización derivada del teletrabajo”: “Esto hace que el trabajador salga del perímetro de seguridad de la empresa y que trabaje desde una red totalmente hostil, la cual se convierte en un potencial punto de entrada a la empresa. Y los atacantes están aprovechando mucho esa oportunidad”.
Pero ¿qué quiere realmente el atacante? Esa era la nueva pregunta que surgía en eta mesa de debate, y a la que respondía el directivo de Iberdrola: “Creo que es muy importante saber quién nos está atacando y por qué. Además de los atacantes cuya motivación es puramente económica, ahora los grupos hacktivistas muchas veces tienen detrás países que les dotan de los recursos para llevar a cabo ciberataques que puedan tener un impacto brutal en la sociedad”.
Concienciación y protección
De nuevo, Eva Pla lanzaba una pregunta a los expertos en ciberseguridad: “¿Cómo se preparan las empresas ante un posible ataque?”. En esta ocasión el primero en responder era Rafael Hernández, CISO de Cepsa: “Tenemos que tener claro que el ciberataque ya no es una acción, sino un negocio, mucho más lucrativo que el tráfico de armas o de personas. Por ello, el mayor reto es el de proteger la identidad personal. No podemos entender la ciberseguridad como un apósito que está dentro de una organización, sino de forma global”.
David Sanz, de ServiceNow, añadía la importancia de la existencia de una concienciación a nivel social sobre la ciberseguridad y la gravedad de los problemas relacionados con ella: “Tiene que haber una estrategia digital, tecnológica que nos permita estar más preparados ante estos ataques. Hay que prevenir, pero también hay que saber reaccionar”.
Y es que, tal y como señalaba Esther Muñoz, de Madrid Digital, no hay que olvidar que el cibercrimen se ha profesionalizado y eso significa que también se ha profesionalizado el alquiler de ciberdelincuentes: “Por ello, los profesionales de ciberseguridad tenemos que concienciar a nuestros consejos de administración de que hay que invertir en seguridad para poder responder ante un ataque que ponga en riesgo la información sensible. Estamos hablando de algo que puede tener un gran impacto en la vida de las personas, y del orden público”.
Asimismo, el CISO de Cepsa, Rafael Hernández, apuntaba que “hay un nuevo término que tenemos que tener en cuenta que es la ciberresilencia”: “Podemos hacer muchas cosas para evitar de que un ataque no suceda, pero hay una cosa que sí depende de nosotros, como personas como organizaciones, saber defendernos y de saber recuperarnos. Y para eso hay que entrenarlo, y hay que dotarlo de tecnología”.
Apuesta por la ciberseguridad
“¿En qué sector es más fácil conseguir esta ciberresilencia: en el público o en el privado?”, preguntaba la periodista Eva Pla. Sergio Fidalgo, de BBVA, era el primero en responder: “En el privado es más sencillo”. Algo en lo que estaba totalmente de acuerdo, Raúl Martín, de SEPE. “Sobre todo, porque hay una inversión con un retorno económico”, apuntaba la CISO del Servicio madrileño de salud. Y a lo que añadía Raúl Martín, de SEPE: “En nuestro caso no ganamos dinero. Proporcionamos servicio al ciudadano. Nuestro retorno se traduce en una no pérdida del valor que damos al ciudadano. Esa es la forma en la que nuestra organización da valor a la ciberseguridad”.
¿Y siempre hay una motivación económica detrás del ciberataque?, incidía la moderadora. “Son amenazas persistentes, que no siempre buscan un rédito económico, a veces quieren hacer daño políticamente”, respondía Mabel González. Una afirmación que compartía Rafael Ceres, de Iberdrola: “Buscan atacar a los estados, al ciudadano”.
“Este tipo de ataque ha aumentado. La conectividad es un reto porque nos hace más vulnerables”, apuntaba la directiva de Madrid Digital. A lo que añadía Raúl Martín: “Es más fácil hacernos daño porque pueden atacar a uno de nuestros colaboradores y hacernos daño a nosotros también. Es una forma más barata y más fácil, por ello tenemos que protegernos”.
Por su parte, el CIO de INCIBE, Jesús Feliz, puntualizaba: “Muchas veces la ciberseguridad se percibe como un gasto del que no se tiene certeza sobre su retorno, pero todo acaba repercutiendo económica y socialmente. Por eso, es importante que todas las empresas y organizaciones tomen conciencia de su apuesta”. “La ciberseguridad no solo tiene que ver con la tecnología y los procesos, sino también con las personas. Todos tenemos que ser conscientes de que es algo básico”, matizaba Sergio Fidalgo, de BBVA.
Por este motivo es primordial que las empresas y las organizaciones estén dotadas de los recursos adecuados para dar una mayor respuesta y, sobre todo, más rápida a un ciberataque, tal y como sostenían David Sanz, de ServiceNow y Rafael Hernández, de Cepsa.
Talento y nuevos modelos
“La mayoría de los ataques se producen por el robo de contraseñas. Los GAFA (Google, Apple, Facebook, Amazon) están enfocados en retirar el sistema usuario/contraseña y apostar por el multifactor o MFA? ¿Compartís esta tendencia?”, preguntaba Eva Pla.
Rafael Hernández, CISO de Cepsa, sostenía que es necesario fortalecer la identidad digital: “Los datos son tan importantes como nuestro DNI o la tarjeta de crédito”. Mabel González y Esther Muñoz señalaban que la administración pública hace especial hincapié en las medidas de refuerzo: “Todo debe tener doble factor”. Un punto en el que se mostraba de acuerdo Sergio Fidalgo, de BBVA, y al que añadía un nuevo factor: el biométrico, al igual que el directivo de Iberdrola.
La moderadora del evento introducía una nueva pregunta: “¿El talento también es otra de las herramientas clave para mejorar la ciberseguridad de las empresas y organizaciones?”. “En España hay buenos expertos, pero hay pocos debido a que falta una formación específica”, apuntaba el CISO de Cepsa.
“Para la administración pública este es un punto complicado, porque aunque hay talento es difícil mantenerlo, ya que la empresa privada mejora sus condiciones “, añadía Mabel González, del Servicio madrileño de salud. Opinión que compartía Esther Muñoz, y a la que Jesús Feliz, CIO de INCIBE, sumaba que “la creación y retención de talento es el verdadero reto al que nos enfrentamos”.
Como conclusión de la jornada, la periodista Eva Pla ponía sobre la mesa una nueva cuestión: “¿cuál es el siguiente reto al que se enfrenta la ciberseguridad?”. David Sanz, de ServiceNow, apuntaba que existen dos retos: el tecnológico y el humano. Y Rafael Ceres, de Iberdrola, añadía uno más: el de aprender a gestionar los posibles riesgos. Jesús Feliz, de INCIBE, estaba de acuerdo con este último punto, y mostraba una postura optimista al percibir esta situación como una oportunidad para mejorar en el campo de la ciberseguridad.
Sergio Fidalgo, de BBVA, Mabel González, del Servicio madrileño de Salud, Raúl Martín, del SEPE, y Rafael Hernández, de Cepsa señalaban la importancia de concienciar a los usuarios. “La ciberseguridad debe ser una preocupación de todos”, concluía Esther Muñoz.