Existen muchas empresas que se dedican a la ciberseguridad en un sentido amplio del término. Sin embargo, se cuentan con los dedos de una mano las grandes compañías capaces de ofrecer seguridad a tecnologías emergentes como la Inteligencia Artificial, la movilidad, el blockchain, el Internet de las Cosas o el cloud. Y entre estos últimos defensores sobresale Marc Martínez, socio y responsable de ciberseguridad de KPMG en España, referencia en un mercado de capital importancia estratégica.
Cada vez estamos mejor 'ciberprotegidos' gracias a empresas como la suya, pero sospecho que la sensación de vulnerabilidad es permanente. ¿Qué opina?
Las mafias se han dado cuenta de que esto es un gran negocio. Parece mucho más rentable realizar ciberataques que intentar conseguir dinero de forma ilícita por otros medios. Cada vez invierten más dinero en detectar vulnerabilidades en las empresas para poderlas explotar en su propio beneficio. Sí, ahora mismo, hay más sensación de inseguridad porque también hay más gente que está intentando vulnerar los sistemas de las empresas.
¿Podemos dormir tranquilos?
Una de nuestras principales labores consiste en ayudar a las empresas a transformarse digitalmente, pero también asegurándoles de que no perdemos el control. Cada vez estamos más conectados y trabajamos con proveedores y clientes prácticamente en la misma plataforma. Pese a ello, debemos garantizar que todos los accesos están controlados y bien gestionados.
Y la hiperconectividad propia de nuestros días lo complica todo...
La empresa que esté deseando innovar y transformarse digitalmente también asume nuevas tecnologías que pueden impactar en el negocio. Así empieza a tomar fuerza el concepto de resiliencia, auspiciado en el sector financiero por el Banco Central Europeo. Es decir, ya no solo tengo que ser seguro, sino que en caso de sufrir un ataque tengo que ser capaz de poder recuperarme ante cualquier incidencia. Por lo tanto, las empresas deben concentrarse ahora en ser resilientes.
"Lo más importante de un plan de ciberseguridad es que se encuentre alineado con las amenazas propias de cada sector. Solo así será efectivo"
¿Qué aspectos debe vigilar un buen plan estratégico en ciberseguridad?
Lo más importante es que esté alineado con las amenazas de su sector. Solo así puede ser efectivo. No es lo mismo un plan para un banco, para una aseguradora, una petrolera o para otra de consumo. Lo que tenemos que conseguir es que las amenazas se identifiquen y prioricen en función del sector. Lo que se trata es de tener muy claro cuál es el posicionamiento de la entidad y cuáles son las amenazas en función de la actividad que desempeñan.
¿Qué consejos daría a una empresa afectada por el virus 'Wannacry'?
Cuando una empresa ya ha sido víctima de un ataque de ese tipo, pocos consejos se pueden dar. Conviene asesorar para que no vuelva a pasar. Creo que hay varios temas. El primero es formar bien a los empleados, ya que el Wannacry tuvo impacto porque la gente no era consciente de que estaba recibiendo un phishing (suplantación de identidad), con ficheros maliciosos. Hay que educar y conseguir que los departamentos de tecnología de la información actualicen el software. Y finalmente, realizar algo tan obvio como hacer copias de seguridad. Si te atacan con un ramsonware y no tienes copias de seguridad, lógicamente tendrás que pagar para no perder la información.
Como experto en ciberseguridad, ¿tiene algo que pedir al futuro gobierno del país?
Creo que pediría un mayor apoyo educativo, para con las nuevas políticas educativas, para formar a los ciudadanos con unas capacidades básicas en seguridad. También veo necesaria una carrera técnica en ciberseguridad. El tema lo merece. Igual que hay una ingeniería informática, debería haber una ingeniería en ciberseguridad. Así se captaría el talento de forma más precisa y no como ahora, que lo tienes que reenfocar y formar.
¿Qué diferencia el planteamiento en ciberseguridad de KPMG frente a otras grandes consultoras y compañías de tecnologías de la información?
Ahora mismo, somos muchas empresas las que nos dedicamos a ciberseguridad. Pero en KPMG siempre hemos querido diferenciarnos. Así, nos posicionamos en servicios de alto valor que ayuden a las empresas a mejorar su aproximación a las amenazas reales. Por ese motivo dedicamos muchos esfuerzos para ofrecer seguridad y control a las tecnologías emergentes. Por ejemplo, si una empresa se plantea utilizar el blockchain, nosotros ayudamos para que no sea vulnerable y sí completamente seguro, barato y eficiente.
¿El responsable de seguridad informática debería estar presente en el comité ejecutivo?
Cada vez más. Hasta ahora la ciberseguridad era un tema que llevaba un técnico del departamento de informática, que ni siquiera era el director. Ahora mismo, dada la preocupación que supone para los consejos de administración, se empieza a elevar más la función de ciberseguridad. Ya no tanto como miembro del comité de dirección, pero sí con un reporte directo a la secretaría general o al propio consejero delegado, para que el primer ejecutivo tenga esa información de primera mano sobre un tema que ya no es menor. Como se ha visto, puede afectar a la reputación, al valor en bolsa. También se trata de que la función de ciberseguridad sea independiente del director de tecnología para pedir dinero a la comisión de auditoría o a la secretaría general sin que esos fondos resten recursos a otras áreas del presupuesto de informática.
