La seguridad en las redes es uno de los asuntos que preocupa y ocupa tanto a los Estados y administraciones públicas como las empresas, con especial incidencia en las grandes multinacionales. El concepto de la ciberseguridad surgió en 2005, al calor de la explosión de Internet y ha ido en constante progresión con la interconectividad con los teléfonos móviles, hasta lo que hoy se considera la era de los datos.
Una etapa que ha propiciado que los enfrentamientos internacionales ya no se libren en el campo de batalla como antaño, sino en la nube, en lo que se conoce como ciberguerras. No en vano, recientes estudios apuntan a que el 86% de los europeos creen que la amenaza de ciberataques está en aumento. Los casos trascienden cada vez más a la opinión pública. En este escenario, las estrategias de los países y de las empresas para combatirlos son cada vez más desarrolladas.
En la jornada empresarial Ciberseguridad: la protección de las infraestructuras críticas en España, organizada por elEconomista con la colaboración de Kaspersky Lab y Oracle, los responsables de varias compañías nacionales e internacionales coinciden en que el ámbito de la anticipación resulta clave ante lo que ya es una amenaza real y creciente. En esta línea, abogan por avanzar en la legislación y, para ello, exigen tener voz propia en el diseño de la estrategia que enfrenta el nuevo Gobierno.
"Tenemos que adaptar las normativas y dotarlas de instrumentos para que las infraestructuras críticas puedan evolucionar con las necesidades de la sociedad", subrayó durante la mesa redonda Mauricio Gumiel, Regional Sales director for Security & Manageability de Oracle. Precisamente en este momento España afronta la trasposición de dos directivas europeas sobre materia de ciberseguridad. La más relevante es la conocida como directiva NIS, una normativa de la Unión Europea que busca mejorar la seguridad de las redes y sistemas de información en su territorio, y que se aplica en España para 12 sectores, frente a los 6 en el resto de países. Se unirá a la Ley para la protección de Infraestructuras Críticas.
Sobre esta directiva, Agustín Valencia, representante de Ciberseguridad de la Sociedad Nuclear Española, valora que avanzará "más en la especificidad de qué y cómo hay que reportar" los incidentes. "El cómo reportar y dar esa información que de verdad puede ser valiosa es en lo que nos va a ayudar", agregó.
"Va a ser importante el desarrollo posterior de la ley, y espero que se cuente con el sector privado para que lo que al final se regule tenga sentido", demandó Juan Carlos Gómez, director global de Ciberinteligencia, Control y Respuesta a Ciberamenazas de Telefónica, que pide la participación de las empresas en el Consejo Nacional de Ciberseguridad. "Tenemos que estar muy coordinados", resaltó, porque "nadie va a distinguir qué es privado y qué público". "La legislación tiene que ir en el mismo sentido", apostilló.
Gómez remarcó "la importancia de la colaboración público-privada y entre los diferentes operadores de infraestructuras críticas para hacer frente a las nuevas ciberamenazas que tenemos a día de hoy; tanto en la parte de anticipación donde una actividad de ciberinteligencia y compartición de información es importante, como en la parte de prevención, donde hay que destacar la interdependencia que tenemos con suministradores y entre infraestructuras críticas y, por supuesto, en la parte de detección y respuesta donde cuando al final no podemos anticipar ni parar una respuesta coordinada es fundamental para mitigar el efecto pertubador del ataque tanto en el tiempo como en importancia".
Gumiel insistió en que "gracias a NIS, de algún modo, hay que dotar de instrumentos que ayuden a operar mucho más eficientemente". En este sentido, apuntó cómo Oracle puede ayudar para que "se creen modelos híbridos, de tal manera que si algunos quieren utilizar servicios cloud de terceros, no hay ningún problema".
Soluciones
Pedro García-Villacañas, Head of Presales de Iberia Kaspersky Lab, por su parte, ahondó en el papel de las empresas para "ayudar a las organizaciones a suministrar esa información o esas notificaciones". Se trata de "uno de los pilares en los que se basan las soluciones en las que estamos trabajando actualmente". Con ello, logran "recopilar toda esa información no solamente para que se produzca esa alerta temprana, sino para que quede almacenada y pueda ser manejada de forma rápida y eficiente". Así, "no solo sirve para poder informar al organismo competente, sino para poder realizar respuestas de incidentes y análisis forenses", abundó.
Desde Global Omnium, Juan Luis Pozo, director de Área de Sostenibilidad Corporativa, hizo hincapié en que mientras que para las empresas, "sí es una prioridad", pierde esta condición cuando se eleva a la escala política, toda vez que, según refirió, "la ciberseguridad no da votos". Y esto va en detrimento de las inversiones que han de realizarse, especialmente en las redes OT (operaciones). A este respecto, indicó que "hay diferencias entre los operadores grandes y pequeños", a la hora de destinar recursos a este cometido. Abogó, en todo caso, por "un desarrollo de I+D+i en materia de ciberseguridad", que facilite adelantarse a lo que pueda fallar.
La ciberseguridad ya se torna en una de áreas en las que el sector privado más esfuerzos dedica. Al fin y al cabo, sus riesgos asociados pueden impactar en el negocio de una forma contundente. De hecho, en este sentido, los directivos convinieron la consideración de un rating específico relacionado a la ciberseguridad, en línea con lo que la semana pasada avanzó, para el sector bancario, el presidente de la Asociación Española de Banca (AEB), José María Roldán, en otra jornada de elEconomista.
"Comienza a haber compañías de seguros que proveen una póliza de ciberriesgo en función de un rating que se basa en identificar tus sistemas críticos, en conocer cuáles son tus planes de contigencia, de seguridad, hacer análisis forenses, qué es lo que ha pasado, cómo has actuado y prevenido, etcétera, y a partir de ahí asignan un scoring y el seguro puede ser más caro o más barato", explicó Gumiel. "Me parece correcto y muy positivo que pueda haber un rating", añadió el responsable de Oracle, que defendió su aplicación a distintos sectores.
Pozo, por su parte, puso como ejemplo al sector nuclear, que "va por delante del resto, a años luz". "El rating lo que tiene que valorar también es cuál es el compromiso social medioambiental desde el punto de vista de las personas con la continuidad del servicio público que se presta". De hecho, reiteró, "las aseguradoras de Estados Unidos ya lo tienen en cuenta a la hora de evaluar los riesgos de las empresas con riesgos de ciberseguridad". "El sector nuclear es un ejemplo de cómo se tienen que hacer las cosas" a la hora de enfrentar los riesgos crecientes. "Hay que tener una política de que por cinco horas de diseño son 25 de seguridad y ese es el rating que nos hace falta", defendió el representante de Global Omnium.
Régimen sancionador
En cuanto al régimen sancionador para los atacantes y las vulnerabilidades frente a ataques desde otras regiones, Gumiel indicó que "es muy difícil" porque "estamos hablando de geopolítica, de muchos países en los que hay distintas regulaciones y muchas veces ni los propios jueces pueden dictar sentencia porque los ordenamientos jurídicos no están adaptados". En todo caso, "se está intentando trabajar para que haya acuerdos supranacionales, pero queda bastante camino por andar. En esta línea, Pozo consideró que "es prácticamente imposible" porque "esto es un negocio, hay muchos estados, muchos intereses", pero lo que "sí tenemos que hacer un esfuerzo en la legislación europea para que las conductas internas se persigan y el coto cerrado sea que les echemos fuera de la trinchera porque hoy les tenemos bien dentro".
También se abordó en la sesión de elEconomista la necesidad de la concienciación ciudadana a la hora de proteger las infraestructuras críticas. "Tenemos que concienciarnos e implementar cada vez mayores medidas de seguridad", sostuvo Gumiel. "Somos conscientes que desde distintos gobiernos y entidades públicas se apuesta por dotar de mayores medidas y crear mejores planes", afirmó.
Una problemática para la que igualmente Kaspersky ofrece soluciones. "La ciberseguridad en industria en general para Kaspersky ha sido una prioridad en los últimos años y debido a esto hemos desarrollado una solución específica para proteger la red de control industrial, compatible y homologada por los distintos fabricantes, de tal manera que nos dé esas capas de protección necesarias contra esos ataques que no es que sean una posibilidad sino que son una realidad", resumió García-Villacañas.
Quisieron, eso sí, romper una lanza a favor del trabajo realizado. "La tecnología avanza y trabajamos totalmente cada día los responsables de ciberseguridad para que esos riesgos de los que se hablan en las noticias no afecten a nuestra vida diaria: no falta luz, no falta teléfono, no falta Internet y trabajaremos para que siga siendo así", exaltó Valencia.
