La ciberprotección es un factor clave en el proceso de digitalización de las compañías y, por ello, debe ser implementada desde el principio de la actividad empresarial e ir de la mano del negocio para adaptarse por completo a las necesidades y vulnerabilidades. Esta fue una de las conclusiones de los expertos que participaron en el Observatorio sobre Ciberseguridad organizado por elEconomista y patrocinado por Siemens.
A este respecto, la ciberseguridad es un asunto que atañe a todo tipo de organizaciones, desde gobiernos hasta particulares. Desde el inicio de la pandemia, los ciberataques han aumentado exponencialmente, hasta el punto de que casi una de cada cuatro grandes compañías españolas han sufrido un ataque de seguridad en el último año. Por este motivo, cada vez se invierten más recursos en la protección, pero aún queda un largo camino, según explicó Karen Gaines, responsable Global de Ciberdefensa de Siemens AG. "La ciberseguridad habilita el negocio. Si no tenemos nuestros activos protegidos, ¿cómo vamos a poder innovar?", planteó. Y es que las empresas deben "proteger muchos frentes y basta una única vulnerabilidad para que exista riesgo". Sobre este asunto, todos los asistentes coincidieron en la necesidad de implementar soluciones integrales para hacer frente a posibles ataques.
Por su parte, Rafael Hernández, CISO de Cepsa, destacó la importancia del dinamismo y de la necesidad de estar siempre actualizados, puesto que "no existe la seguridad 100%, los ataques cambian constantemente y pueden surgir fallos en los sistemas y, por tanto, nuevas amenazas".
En este sentido, Jesús Mérida, CISO de Iberia, desarrolló el concepto de la "seguridad por diseño", es decir, entender que la seguridad debe ser una parte más del proyecto desde el principio. "Así será más económico y se identificarán mejor los riesgos de seguridad".
Los más atacados
La banca y la salud son dos de las áreas con más intentos de ciberataques, debido al gran manejo de datos sensibles de sus clientes. Por ello, las empresas de ambos sectores cuentan con sistemas de alerta e infraestructuras especializadas para proteger los activos y, de esa forma, establecer controles y políticas adecuadas para reducir el riesgo de ciberataques. De hecho, es una cuestión de cultura organizativa y de desplegar el conjunto de herramientas apropiado. Esto significa que la seguridad debe ser una prioridad en todas las áreas de la empresa. "Nuestro grado de ciberseguridad es muy elevado, ya que queremos dar la certeza de que los datos y los ahorros de los clientes están protegidos", explicó Gorka Díaz de Orbe, CISO de CaixaBank.
En el terreno de la privacidad de los datos, Iván Sánchez, CISO de Sanitas, comentó que, para asegurar la confidencialidad de las 640.000 videoconsultas que realizan al año todos sus empleados, la compañía cuenta con una estrategia de gestión de riesgos según las funciones de cada uno de los trabajadores. "Las decisiones de las empresas deben comprender los riesgos existentes y, por ende, el presupuesto debe adaptarse a ello", añadió.
Estrategias de ciberprotección
Belén García Molano, directora de Tecnología y Desarrollo de Airbus Defence and Space, enumeró los tres pilares fundamentales de la ciberprotección. En primer lugar, los recursos económicos, "hay que invertir en seguridad";en segundo término, la tecnología, ya que es necesario "estar por delante de las amenazas y ser punteros" y, por último, los recursos humanos, para "destacar la importancia de la formación y de la atracción de talento a este área", indicó.
Díaz de Orbe compartió idéntica visión que sus colegas. "Ahora ya tenemos recursos para proteger a la empresa, pero las amenazas han crecido mucho y ya no es una cuestión solo de recursos. No por invertir millones vamos a tener más seguridad. Estamos en una época de transformación pero seguimos arrastrando tecnologías obsoletas, tenemos que actualizarlas". Junto a esto, afirmó que "el pilar más importante es el de las personas y nunca es suficiente, hay que seguir formando a los empleados".
La seguridad informática debe estar integrada en las empresas desde un inicio
Eso sí, la formación no sólo debe ofrecerse a los empleados, sino que también es necesario que transcienda a las capilaridades de la empresa. Es decir, tiene que existir una "cultura de la concienciación" respecto a los propios clientes y a toda la población en su conjunto. "Cada vez es más habitual que las empresas envíen avisos a sus consumidores para que todos ellos estén alerta ante posibles fraudes", dijo Sánchez.
Además, cabe destacar que "la tecnología supone el 80% del trabajo, pero lo importante es cómo se utiliza. El 20% restante corresponde a las personas, pues ellas son las que otorgan el valor añadido dentro de las compañías", expresó Hernández.
Establecer una estrategia sólida en materia de ciberseguridad proporciona conocimientos sobre las amenazas y ayuda a garantizar el cumplimiento normativo. Gaines agregó que es crítico lograr una cooperación entre las empresas, los trabajadores, la población y el sector público. Por ejemplo, Siemens cuenta con una solución propia que revisa continuamente las vulnerabilidades de los sistemas, tanto las suyas como las de terceros. Es un gran avance que demuestra que existe una necesidad real de estar prevenidos mediante sistemas de simulación para poder reducir el ciberriesgo.
La representante de Airbus incidió, de la misma manera, en que "hemos trabajado en probar nuestros sistemas de protección y ahora tenemos un producto para entrenar a los clientes y que éstos puedan configurar su propio sistema de seguridad".
Asimismo, Belén García consideró necesario tener "sistemas que permitan monitorizar y reaccionar rápidamente ante cualquier amenaza". Y es que las empresas están de acuerdo en que "hay que tener seguridad ofensiva", en palabras del CISO de Sanitas.
Históricamente, se ha prestado mucha atención a "cerrar al máximo las puertas", es decir, a tratar de proteger los sistemas ante la entrada de amenazas. Sin embargo, también es necesario estar preparados para cuando estos mecanismos fallan y el problema ya se ha producido, ya que "conseguir una seguridad total es imposible", destacó Iván Sánchez.
En este sentido, Mérida sacó a colación la importancia e imprescindibilidad de "desarrollar tecnologías pensando ya en la detección y la solución de ataques". Por su parte, el representante de Sanitas, sostuvo que "hay que saber cómo automatizar la tecnología y sacarle provecho". De hecho, desde Airbus destacaron que la tecnología es un "elemento diferenciador" y que muchas herramientas se están desarrollando en estos momentos para ofrecer respuestas autónomas. Esto, proporciona un beneficio a la compañía ya que, según el representante de CaixaBank "la detección es el único punto donde tenemos ventaja frente a un atacante puesto que conocemos mejor nuestros sistemas".
En este caso, responder ágilmente y contar con sistemas para recuperarse con la misma celeridad es fundamental. Para ello se pueden utilizar soluciones como la nube para recuperar datos, lo que el CISO de Cepsa calificó como "ciberresiliencia". Así, añadió que son esenciales "los estándares internacionales, si no, de nada sirve que cumplamos la normativa".
El papel de la Administración
El Gobierno aprobó, recientemente, un Plan Nacional de Ciberseguridad y la ley de Ciberseguridad 5G. Sin embargo, a pesar de que consideran que la regulación "ayuda" y es positiva, las empresas participantes en este Observatorio coinciden en que no puede ser "solo fiscalizador" sino que también debe ser habilitador y ayudar a las empresas a combatir los ataques informáticos, especialmente en el sector privado. "Realmente no busca cuales son los problemas subyacentes. Debe dar un paso más" dijo Sánchez respecto a la norma.
Con esta opinión concordaba el CISO de Caixabank, que añadió: "las medidas tienen la responsabilidad de alinear al tejido industrial y compartir información".
Karen Gaines: "La ciberseguridad habilita el negocio. Sin los activos protegidos, ¿cómo vamos a innovar?"
La colaboración publico-privada es especialmente importante en el caso de las empresas que no tienen la capacidad de hacer frente a una estrategia de protección, como es el caso de las pymes y las compañías que pertenecen al tejido industrial medio-bajo. En este sentido, los expertos demandan que se actúe "a nivel nacional, del ciudadano. Deben promover la mentalidad de que es un problema global y que puede sucederle a cualquiera", afirmó Mérida.
La responsable de Ciberdefensa de Siemens recalcó el papel del "hub" de ciberseguridad que la compañía gestiona en España, desde donde acompañan a sus clientes "para asegurar que tecnologías como 5G o IoT estén protegidas durante cualquier proceso de digitalización".
"Las pymes tienen que controlar mucho sus gastos y suelen encontrar reticencias a la hora de invertir en ciberseguridad. Sin embargo, ya están gastando en tecnologías obsoletas como, por ejemplo, los antivirus. Si reinviertieran, estarían mejor protegidas, pero deben entender además sus propios riesgos", expuso Díaz de Orbe. Además, el representante de Iberia, que se mostró de acuerdo con esta cuestión, añadió que a las pymes "les falta conocimiento para poder aplicar su inversión en seguridad".
La administración debe jugar un papel habilitador o facilitador y no tanto de fiscalización
Por su parte, el CISO de Sanitas también agregó que "normalmente, las pymes operan en un mercado nacional pero las amenazas son globales". Por tanto, "hay que ayudarlas a entender ese modelo de amenaza".
García Molano siguió en esta línea y puso como ejemplo la posibilidad de que utilicen sistemas que están a su alcance, como es el caso del Cloud, para que así cuenten con su propio sistema de seguridad. Sin embargo, siempre considerando que también pueden tener "agujeros de seguridad" y, en ese sentido, hay que utilizar esta tecnología como "un entorno habilitador de procesos" para construir a partir de ella, como matizó el representante de Cepsa.
Como conclusión, los responsables de ciberseguridad coincidieron en que la ciberdefensa ha mejorado respecto a años anteriores, pero aún queda trabajo por hacer para lograr este tipo de "sostenibilidad"; "nos gustaría que los pasos fueran más rápidos pero vamos en la buena dirección", apuntaron. Lo ideal sería contar en las compañías con un sistema de gestión de amenazas que se encargue tanto de la prevención como de la detección y corrección, puesto que son "dos caras de la misma moneda".
La tecnología se ha vuelto una pieza fundamental de todos los negocios a nivel global para simplificar y automatizar procesos, pero esta digitalización también ha provocado que sean más vulnerables a los ataques cibernéticos y, por tanto, que se destaque como prioritario el que todos los agentes económicos se involucren en esta cuestión.