En los últimos tres años, el 20% de las empresas españolas han sufrido ciberataques críticos, con un impacto económico superior al millón de dólares, según los últimos datos de PwC. Una situación que afecta a todos los sectores, donde la salud, las telecomunicaciones, el entretenimiento, las finanzas y la energía son de los más perjudicados, y de donde tampoco se escapan las administraciones públicas. ¿Son conscientes las empresas y organismos de la gravedad de esta problemática? ¿Cómo se están enfrentando a las amenazas cibernéticas?
Con este telón de fondo, Carlos Manero, Security, Digital and Managed Services Manager de HP; Jesús Feliz, gerente de Ciberseguridad para Sectores Estratégicos en el Instituto Nacional de Ciberseguridad (INCIBE); Javier Galindo, CISO de Cepsa; Javier Sánchez Salas, CISO de Engie España; Esther Muñoz, subdirectora general de Ciberseguridad, Protección de datos y Privacidad de Madrid Digital; y Mariano Rebollo, CISO Corporate Functions Engineering en BBVA participaron en un debate organizado por Forbes el pasado 30 de enero para analizar los desafíos de este escenario. Un encuentro que tuvo lugar en la sede de Utópica en Madrid y que fue moderado por la periodista especializada en ciberseguridad Mónica Valle.
A su pregunta sobre los principales desafíos de las empresas en materia de seguridad, Carlos Manero, de HP, explicaba que estamos ante un cambio de paradigma laboral con el paso de un modelo presencial al teletrabajo o un modelo híbrido; algo que es todo un reto empresarial. A él se suma otro desafío pues hay que tener en cuenta que “otros están utilizando las vulnerabilidades de este nuevo paradigma para atacar”. Como líderes tecnológicos, desde HP reconocían el crecimiento exponencial de los ciberataques en los últimos años.
De hecho, INCIBE gestionó en España en 2022 un total de 118.820 incidentes de ciberseguridad, un 9% más que el año anterior. “Los desafíos no han cambiado de forma significativa, pero se han amplificado, sobre todo a partir de la pandemia y el empuje derivado del teletrabajo”, decía su gerente de Sectores Estratégicos, Jesús Feliz, para quien este modelo de trabajo expone más al usuario, y, por lo tanto, a la empresa. “Es fundamental cambiar la perspectiva y enfocar el diseño de la arquitectura de seguridad bajo un modelo de trabajo remoto permanente, se esté o no en la oficina”.
Desde Cepsa, más allá del nuevo paradigma laboral y la llegada de nuevas tecnologías como la Inteligencia Artificial (IA), ponían el foco en su proceso de transformación del negocio hacia la transición energética con su estrategia ‘Positive Motion’. Una estrategia, que como explicaba su CISO, está planteando nuevos retos, en particular, en materia de ciberseguridad. “Hay que garantizar que esa transformación sucede con el menor de los riesgos y con todas las garantías”, aseguraba Galindo.
Por parte del sector bancario, uno de los más afectados por la ciberdelincuencia, desde BBVA reconocían que estos ataques son cada vez más sofisticados, por lo que estar a la vanguardia tecnológica y reinventarse constantemente es todo un reto. A ello se suma la búsqueda y la retención del talento, que se ha convertido en algo prioritario para la entidad. La demanda de profesionales en esta materia ha aumentado porque «los ciberataques nos preocupan a todos, y las empresas estamos detrás de los perfiles que nos ayudan a protegernos» afirmaba Rebollo.
La ciberseguridad como valor añadido de las empresas es otro de los desafíos. “Tenemos que comprender el negocio para ayudarlo y acompañarlo en esta transformación digital y de ciberseguridad”, argumentaba Javier Sánchez Salas, CISO de Engie España, quien destacaba también la importancia de trasladar “estas iniciativas de ciberseguridad al mundo industrial, a la fábrica o la planta, acompañando la trasformación digital”.
Como ejemplo de administración pública, la Comunidad de Madrid estuvo representada por Esther Muñoz, subdirectora general de Ciberseguridad, Protección de datos y Privacidad de Madrid Digital. Muñoz recordaba cómo establecer el trabajo en remoto durante la pandemia para seguir dando servicios a los ciudadanos fue todo un desafío pues el “perímetro de seguridad no es el mismo en los hogares de los empleados con sus propias conexiones a Internet”. Por ello, “es importante adaptarse para poder proteger el puesto del usuario hasta que accede”.
Y es que las formas de amenazas son muchas: desde la filtración de datos hasta el phishing (estafa a través de la obtención de datos bancarios), el malware (software malicioso), o el ransomware (malware que inutiliza dispositivos). “Los malos aprovechan cualquier resquicio que vean y claramente el factor humano es, ha sido y va a seguir siendo un aspecto determinante en estos ataques”, aseguraba Rebollo, de BBVA.
HP remarcaba cómo cada vez se ataca más al dispositivo de trabajo, es decir, ordenadores, portátiles o tablets, incluso impresoras, “las grandes olvidadas dentro de las empresas”, decía Manero. Y es que como apuntaban desde INCIBE, “hemos trasladado los dispositivos de trabajo a sitios hostiles o potencialmente no confiables, como nuestra casa o cualquier otra red compartida, que no tienen los mismos niveles de seguridad que la red corporativa”.
¿Cómo hacer frente a las amenazas?
A pesar del aumento del número de ciberataques a particulares, empresas y organismos institucionales, desde INCIBE recalcaban que este hecho no significa que “estemos peor a nivel de seguridad en el país”, ya que también “hay nuevos mecanismos para detectar las amenazas”. Para combatir estas amenazas, desde Madrid Digital se indicaba que lo mejor es compartir información entre los sectores tanto públicos como privados (empresas, AAPP, fabricantes y proveedores de servicios y soluciones de ciberseguridad) para poder conocer de forma preventiva las amenazas y ciberataques que están ocurriendo y afectando a cualquier organización, y de esta forma reaccionar de forma anticipada para evitar que ocurra el incidente de seguridad. También, Muñoz indicaba que es muy importante concienciar, formar a los usuarios en el uso seguro de la tecnología, para que actúen de una forma más crítica y menos confiada. Y, por último, destacaba la necesidad de estar constantemente mejorando las protecciones de los sistemas y redes “tal como se hace con el correo electrónico que constantemente se mejoran sus capas de protección anti spam y anti malware”
Dentro del amplio abanico de soluciones y proveedores, desde Engie, señalaban que la mejor solución es aquella que se adapte a las necesidades de cada entidad. “La seguridad por diseño te da pistas de dónde estás más flojo o dónde necesitas más inversión”, explicaba su CISO.
BBVA añadía la importancia de formar y concienciar tanto a los clientes, para que puedan identificar si una comunicación es fraudulenta, y a los empleados para que puedan desempeñar su actividad de una forma segura. Desde la entidad aseguraban que ponen a disposición de la sociedad todo tipo de información sobre ciberseguridad porque “creemos que aporta valor a empresas, instituciones y sociedad en general, y redunda en beneficio de todos”, afirmaba Rebollo, quien añadía que este proceso no consiste en campañas puntuales, sino que forma parte del ADN de la entidad»
Unas palabras que también defendían desde Cepsa y Engie. Los responsables de velar por la ciberseguridad en esas compañías apostaban por el uso de la tecnología para prevenir, detectar y frenar las amenazas. “Intentamos dar también un paradigma personal porque es algo que no sólo pasa en la oficina, sino que te puede pasar en tu vida”, decía Sánchez Salas.
Desde HP, aportando el punto de vista de fabricante, explicaban que, en la parte del dispositivo, las mayores amenazas se producen por el usuario, al ser el “eslabón más débil”. Eso sí, en la actualidad sus dispositivos ya integran soluciones propias de software, por ejemplo, para mejorar la seguridad. Además, Manero señalaba que la colaboración con otros fabricantes es clave para poder proteger al usuario.
Otra pata importante es la relación con proveedores y partners, con quienes el intercambio de información también se vuelve relevante. “Si cualquiera de los eslabones de la cadena es inseguro, termina afectando a tu información”, decía Muñoz. Por este motivo, sobre la mesa de debate se planteaba la necesidad de apoyar a las entidades con menos recursos. “Las administraciones tenemos que ayudar tanto a la pyme como a la administración pequeña en España, que hay mucha”, explicaban desde la Comunidad de Madrid. Muñoz relataba cómo pequeños consistorios y diputaciones se enfrentan también en su día a día a ataques cibernéticos, de ahí la importancia de “apoyar y proteger”. En la misma línea HP mostraba cómo su porfolio trata de cubrir todo tipo de empresas, desde las grandes a las pymes, ya que hay que tener en cuenta que no todas las organizaciones “tienen a su disposición los mismos recursos”.
¿Cómo la IA puede ayudar?
A pesar de que la IA puede favorecer el aumento de los ciberataques, los participantes en este encuentro se mostraban de acuerdo a la hora de afirmar que este tipo de tecnologías pueden también ser un aliado para defenderse de las amenazas.
“Como cualquier tecnología disruptiva, va a implicar nuevos desafíos en términos de ciberseguridad, también nuevas oportunidades. Además, transformará algunos puestos de trabajo y generará otros nuevos. Habrá que ver su evolución, porque estamos en los inicios de esta tecnología”, aseguraba Jesús Feliz, de INCIBE.
Desde HP señalaban que la IA puede ayudar a complementar la falta de talento en la materia. Por su parte, Muñoz, de Madrid Digital, apuntaba que aún queda camino por recorrer ya que la Inteligencia Artificial “necesita un contexto y eso es difícil hacerlo tan rápido como la integración de los datos”. Donde esta experta en ciberseguridad ve potencial en la IA es su papel para realizar un primer análisis de detección de anomalías, por ejemplo. En la misma línea se pronunciaba Cepsa. “Falta aún ese contexto, ese conocimiento del negocio”, explicaba Galindo. A su juicio, este tipo de tecnología no tiene aún el punto de madurez como para sustituir a las personas, pero sí puede ayudar a eficientar y reducir los tiempos de respuesta y de análisis.
¿Inversión o gasto?
Otro de los temas planteados en la mesa de debate por la periodista Mónica Valle fue si la ciberseguridad es un tema de inversión económica dentro de las compañías e instituciones. En el caso de HP afirmaban que se valora como otra partida más dentro de la corporación y que desde el punto de vista del fabricante, año tras año el crecimiento de inversión en seguridad es mayor. “Se busca mantener la continuidad del negocio ante cualquier ataque”, decía Manero.
En esta línea, desde INCIBE recordaban cómo cualquier empresa debe contar con un plan de gestión de crisis y de contingencia, que permitan continuar con su negocio ante un ciberataque. “Hablamos de inversiones, no de gastos”, remarcaba Feliz, quien detallaba cómo hay diferencias entre compañías maduras en este ámbito, sobre todo de algunos sectores muy dependientes de la tecnología, como el financiero o el energético, y aquellas empresas que no se han anticipado y han tenido que aprender a la fuerza. Asimismo, Feliz explicaba que como la tendencia es ir hacia una seguridad por diseño, “gran parte de la inversión en ciberseguridad va integrada dentro de esa transformación digital”. Tampoco para Cepsa se trata de un gasto sino de una inversión. Prueba de ello es que su Plan Director permite “garantizar esa resiliencia y ciberseguridad por diseño que antes no tenías”, decía Galindo.
Retos a futuro
Con vistas al futuro, los participantes en este encuentro se mostraron de acuerdo en mencionar un escenario marcado por la IA, el teletrabajo y la protección de la identidad. A ello se sumaba la apuesta por aplicar el modelo de seguridad Zero Trust (Confianza Cero). Una estrategia donde la confianza no se da por sentada, y cada solicitud de acceso se evalúa y verifica, independientemente de si proviene de dentro o fuera de la red. Este enfoque proactivo ayuda a reducir los riesgos de seguridad al mínimo y a proteger los activos digitales de manera más efectiva en un entorno cada vez más complejo y amenazante. Y es que como decían desde INCIBE a modo de conclusión final, “la ciberseguridad poco a poco se está democratizando”.