Tan solo un año después del ataque del virus WannaCry, que inutilizó los sistemas de 200.000 empresas en todo el mundo a cambio de un pago, los responsables de la ciberseguridad de las compañías se plantean la necesidad de que el Gobierno traslade al ámbito digital los mecanismos para proteger del crimen físico. El debate es incipiente pero despertó con el cambio de mentalidad que provocó en los directivos de las grandes empresas el ataque tan masivo, y especialmente mediático, apodado WannaCry (quiero llorar, en castellano).
Las ciberincidencias son un riesgo asociado a la tecnología que hay que asumir, ya que mantenerse al margen puede suponer la desaparición del negocio. Ésta fue una de las tesis consensuadas por los expertos en ciberseguridad que intervinieron en el observatorio que organizó elEconomista con el apoyo de PwC bajo el título La respuesta a ciberincidentes.
En el encuentro participaron Javier Urtiaga, socio responsable de Ciberseguridad de PwC; Jesús Romero, socio responsable de la unidad de Business Security Solutions de PwC; Pedro Pablo Pérez, director global de Seguridad de Telefónica; Roberto Baratta, director de Prevención de Pérdida, Continuidad y Seguridad de Abanca; Daniel Largacha, subdirector del centro de operaciones de seguridad de Mapfre; Juan Cobo, director de Seguridad de la Información de Ferrovial; Javier Diéguez, director del Basque Cibersecurity Centre (Centro Vasco de Ciberseguridad), y Carles Solé, director de Seguridad de la Información de CaixaBank. "Cuando hablamos de ciberseguridad hablamos de seguridad y en esta materia nos defendemos las empresas", aseguró Juan Cobo, de Ferrovial, dejando en el aire la cuestión de para cuándo la Administración Pública cogerá las riendas en esta materia. Asimismo, Pedro Pablo Pérez, de Telefónica, incidía en la necesidad de que sean las distintas fuerzas de seguridad del Estado las encargadas en este aspecto.
Sin embargo, cabe distinguir bien entre lo que es un incidente de seguridad cibernética y lo que es un delito cometido en el mundo virtual. Jesús Romero, de PwC, destacó que no es lo mismo una fuga de información por un error o una actividad ilegal en la red que un ciberataque. "No cumple las características de un acto intencionado contra unos activos tecnológicos, no son incidentes de seguridad a pesar de que usen el escenario tecnológico para cometer los delitos", remarcó. "En un ciberataque, por un lado, se usan medios tecnológicos y, por otro, hay intencionalidad de hacer daño", explicó Carles Solé, de CaixaBank. Javier Diéguez, del Centro Vasco de Ciberseguridad, acentuó que un incidente no es solo el que se detecta, un ciberataque exitoso es un incidente aunque no sea percibido. "Al final es una violación que lleva implícita una intención", consensuó Baratta, de Abanca.
El concepto está muy claro entre los responsables de ciberseguridad porque, entre otros aspectos, el virus WannaCry dejó muchas lecciones aprendidas, marcando un antes y un después en la visión de los retos que hay por delante.
Concienciación
Daniel Largacha, de Mapfre, asegura que el primer efecto de WannaCry fue "despertarnos". "Nos dimos cuenta de que el mundo es mucho más digital de lo que parece y que de repente llega un virus que afecta a cosas tan básicas como encender la luz o coger un avión", relata el directivo. Para Largacha, desde el incidente, ha habido un cambio
en la gestión de riesgos de las compañías para tomarse la ciberseguridad más en serio. Y este cambio, a su juicio, no solo compete a la seguridad de la empresa, sino también a la de sus proveedores.
Del mismo modo, Cobo señala que la relevancia del ataque informático de la primavera del año pasado que infectó a grandes compañías españolas supuso un cambio en la alta dirección, porque "algo que podía pasar" se transformó en "algo que pasa". "Hay un antes y un después y te toca porque le ha tocado a tu vecino, democratizó (el virus) la relevancia de la ciberamenaza", explicó el directivo de Ferrovial.
Para Baratta, WannaCry también supuso un aprendizaje a nivel de parches. "Se evidenció que en cuestiones de incidencias de seguridad no se cierran y ya está, sino que es una guerra constante que requiere una inversión continua en tecnología", aseveró. Pedro Pablo Pérez aseguró al hilo que, a partir de ahora, hay que concienciarse de que en los próximos años "nos vamos a mover de forma estándar en entornos de incertidumbre". Según Pérez, los directivos deben tener claro que el mundo actual es ciberfrágil y no se puede pedir el 100% de seguridad. "En cuestión de transparencia, la respuesta de Telefónica (respecto al virus) fue adecuada", aseveró. Las distintas compañías ven en la transparencia de las incidencias una cuestión fundamental para mantenerse preparados y actuar con rapidez. Así lo confirmó Largacha, de Mapfre, quien abogó por la necesidad de estimular la colaboración entre empresas para crear escenarios ágiles en los que todos los colaboradores ganen. Urtiaga, de PwC, fue más allá y aseguró que esta colaboración también debería ser sectorial, es decir, que intercambien información compañías con la misma actividad para poder identificar los grandes vectores de ataque del negocio y orientar las estrategias de defensa.
Colaboración y regulación
Para Romero esta colaboración es esencial para coordinar el tiempo de respuesta, aunque matizó que compartir es también recibir algo a cambio. La transposición de la Directiva Europea NIS y el vigente reglamento europeo de protección de datos obligan a las empresas a reportar incidentes de seguridad en determinados escenarios. La principal preocupación de este intercambio de información es quién empieza, quién comunica más y quién menos. "Compartir en materia de incidentes no es natural porque parece que es mostrar las vergüenzas", reconoce Cobo. Además, aparece el problema de la publicidad. "Un punto positivo va a ser la normalización, los primeros repuntes de incidencias serán más mediáticos, pero debemos ir a que se normalice y se conseguirá", dice Romero. Para Diéguez debe haber un proceso de aprendizaje entre el re- gulador y el afectado.
Baratta asegura que para el sector financiero solo se trata de una directiva más frente a la avalancha de regulaciones que afronta. "Ya se verá si la regulación genera valor, de momento, no lo hace", señala el directivo de Abanca. Por su parte, Pedro Pablo Pérez considera que la directiva va a ayudar a dinamizar el sector, la privacidad y la seguridad. Como único punto negativo apunta a la paradoja de que en un mundo digitalizado, la aplicación de la regulación sigue siendo lenta.
Diéguez no quiso olvidar a las pymes, su relevancia en la economía española y, por lo tanto, también la necesidad real que tienen de protegerse ante un incidente cibernético. "Estas empresas casi nunca tienen capacidad para responder a los ataques y en muchos casos ninguna ley les obliga, la administración debería incentivar su seguridad poniendo en marcha líneas de ayuda", valoró el responsable del Centro Vasco de Ciberseguridad.
Para Cobo, y más allá de la transparencia, la importancia de la NIS radica en el impacto que va a tener en las empresas que no están maduras a nivel de seguridad, requiriéndoles una mayor inversión. Esta apuesta por la seguridad ya se ha intensificado en muchas compañías en las que proteger sus activos digitales es una estrategia clave. "La unidad de seguridad de Telefónica es la que más ha crecido en los últimos años en inversión y personal", según Pedro Pablo Pérez.
Respuesta
Para Romero, la superficie de exposición de las compañías ha crecido y lo seguirá haciendo. "En las amenazas ya no estamos ante un hacker que quiere notoriedad, en este escenario cualquier atacante puede tener éxito y hay que avanzar en la respuesta", reconoce el socio responsable de la unidad de Business Security Solutions de PwC. Sin embargo, en el enfoque del ataque, Urtiaga advierte de que no existe un libro de tácticas claro sobre cómo responder a cada incidente.
Solé reseña que la respuesta cada vez debe ser más inmediata. "Debemos tener conocimiento de lo que pasa dentro y fuera y reaccionar rápidamente, lo que nos lleva a tener equipos en exclusiva a respuestas de incidentes", aseguró el director de Seguridad de la Información de CaixaBank. Baratta indica que ante un incidente cibernético lo primero es detectarlo, lo segundo pararlo y lo tercero, saber quién lo conoce por una cuestión reputacional. En una situación de ataque, para Largacha el principal objetivo "es asegurar la confianza del cliente y darle la garantía de que vamos a estar y responder como se debe".
La tecnología ha provocado un cambio de era y todas las compañías están acometiendo una transformación digital que, pese a las inversiones, también le genera eficiencia. "Vamos a un mundo diferente y eso significa que hay algo que pagar, parte de la riqueza que aporta la tecnología hay que destinarla a proteger estos riesgos", defiende el director global de seguridad de Telefónica. Largacha conciencia de que no se puede culpabilizar a la tecnología de los riesgos y solo es un cambio de escenario al que hay que adaptarse.
La ciberseguridad es la quinta preocupación de las compañías a nivel global y la primera del sector financiero
Diéguez defiende que es importan no olvidar que cada vez hay más negocios que controlan los procesos físicos con herramientas informáticas, especialmente en el ámbito industrial. Estas compañías también pueden ser afectadas por ciberataques que provoquen accidentes, puesto que están alejadas de un nivel maduro de seguridad cibernética. Para el director del Centro Vasco de Ciberseguridad es fundamental que Europa deje de ser dependiente de otras economías en materia de tecnología y comience a desarrollar su propio tejido.
En la actualidad, la ciberseguridad es la quinta preocupación de las compañías a nivel global y la primera del sector financiero. La severidad de un ataque informático ha alejado el término ciber de los tecnólogos y lo ha integrado de forma obligatoria en toda la columna vertebral de las empresas.
