Madrid
Rosa Ortuño Melero es ingeniera informática y lleva 25 años trabajando en ciberseguridad y compliance. En 2009, tras pasar por IBM, tenía 20.000 euros ahorrados y se preguntó si cambiar de coche o fundar una empresa. Hizo lo segundo y ahora factura 4,5 millones de euros con OptimumTIC. Con ella hablanos de los nuevos riesgos cibernéticos y de cómo prepararse para cuando lleguen. "Es imposible tener un riesgo cero", aclara.
-En la carrera continua entre ciberatacantes y empresas de ciberseguridad, ¿quién está ganando en estos momentos?
Creo que verlo de esta manera es un error, ya que implica que alguien siempre tiene que estar un paso adelante del otro. En el siglo XXI, donde la sociedad se digitaliza rápidamente, los ciberdelincuentes pueden atacar sus objetivos de maneras nunca imaginadas, lo que plantea nuevos desafíos colectivos para empresas, individuos y gobiernos.
¿Entonces?
La ciberseguridad es un problema transversal que implica a personas, procesos y tecnología, por lo que su solución depende no solo de las empresas de ciberseguridad, sino de todos en general. Es por ello que también la concienciación y formación continua en este ámbito son fundamentales para crear un perímetro seguro para las empresas pero también para los ciudadanos.
Lo que es cierto es que los ataques se vuelven cada vez más sofisticados…
Es cierto que actualmente los ataques son muy sofisticados. Si quieren ir a por una empresa van a ir. Pero muchas veces se están haciendo públicos ataques que están implicando a empresas u organismos muchos de ellos producidos por vectores, como puede ser un phishing. Aquí, de nuevo reitero la importancia de concienciar y conocer las vulnerabilidades de los sistemas y /o equipos. Y esto pasa por el mantenimiento, por la actualización de infraestructuras, contar con desarrollos seguros, estar certificados, etc.
- ¿Cuáles son ahora las principales vías para que se nos cuelen los cibercriminales?
Están utilizando con frecuencia técnicas como el phishing, el smishing y la ingeniería social para engañar a los usuarios. Con la llegada de la inteligencia artificial, se están desarrollando ataques cada vez más sofisticados que podrían generalizarse en los próximos años.
¿Cómo prepararse para ellos?
Es muy importante tener y seguir un buen plan de ciberseguridad, un buen gobierno normativo que al final es el gobierno de ciberseguridad transversal y que es lo que trabajamos desde OptimumTIC. Este enfoque es organizativo (formar, concienciar, marco normativo), legal (cumplimiento legislativo, activos, contratos con terceros bien regulados..) y por supuesto la implantación de medidas técnicas que surgen después de un buen análisis de riesgos, no antes. Y sobre todo identificar y clasificar la información.
- ¿Sigue faltando sensibilidad en las compañías para prepararse ante ciberataques? ¿Cuáles suelen ser los principales errores?
Desafortunadamente, muchas compañías subestiman la importancia de la seguridad cibernética y no toman las medidas necesarias para prepararse ante posibles ciberataques. Uno de los errores más comunes es la falta de inversión en tecnología, o en mantenimiento de la misma, que son tareas que no se ven y son "tediosas", si no se tiene plataformas.
Pero también es importante contar planes de formación como por ejemplo desarrollan los departamentos de Recursos Humanos en la Prevención de Riesgos Laborales con el resto de áreas de la empresa. Si alguien que visita o trabaja en una instalación debe estar equipado y certificado o conocer unas determinadas normas para prevenir riesgos ¿por qué no podemos hacer lo mismo con los riesgos informáticos?
Debemos primar la protección sensible de la información sensible. La información, junto a las personas que la forman, son los activos más importante de cualquier organización, y los sistemas informáticos deben estar bien mantenidos y optimizados. Además, la formación y concienciación de las personas en cuanto a la seguridad cibernética es una debilidad que requiere atención por parte de las empresas.
-¿Cómo era la percepción que había allí de la Ciberseguridad? ¿Cómo y por qué fue su regreso de Estados Unidos?
Teniendo en cuenta que con 17 años realicé aquí mis prácticas en IBM y luego trabajé con un agente de IBM más de 5 años, mi formación es muy anglosajona y orientada a objetivos, retos y proyectos. Ya en EEUU, desde 1994 elaboré planes de seguridad, o de ciberseguridad como las conoceríamos ahora. Eran planes para compañías americanas que tenían establecidos marcos de gobenanza completos y transversales a partir del activo, el "asset" de la compañía, que era lo más importante y su protección era vital.
Conocer cómo se estaba tratando la información; saber quién podía quien podía consultarla o quién accedía realmente, eran elementos que partían desde la base de "confidencialidad". Siempre con un precepto claro: solo quién debía disponer de determinada información podía tener acceso para conocerla.
A partir de plataformas de conocimiento del tráfico de las comunicaciones transcritas elaborábamos patrones y comportamientos, que es lo que actualmente se utiliza para adelantarse al máximo de un ciberataque. Todo ello acompañado claro está, y reitero, de formación continua, medidas técnicas y todo perfectamente regulado.
- ¿Qué le llevó a crear OptimumTIC?
Estuve trabajando en multinacionales americanas hasta 2006, algunas ya desde España o desde el Reino Unido, que también está muy avanzado en temas de ciberseguridad. Decidí crear mi empresa para poder aportar este conocimiento. Es obvio que si aún estamos lejos del concepto de ciberseguridad transversal e integral por el que apostamos, imagínese en 2009 cuando decidí emprender este difícil camino.
- Como emprendedora, ¿qué nos falta en España para emular aquel sistema de innovación?
Cultura del riesgo, objetivos claros y capacidades hacia los retos. Aparte de que no sea mal visto ser empresario o emprendedor.
Una pregunta sobre compliance, de la que Ud. es experta. ¿Cree excesiva la regulación actual en España frente a la existente en Estados Unidos? ¿Qué podríamos mejorar?
Desde un punto de vista empresarial, la regulación puede parecer excesiva y dificultar la competitividad. Pero, es importante considerar que la regulación busca proteger los derechos y la seguridad de consumidores, trabajadores y ciudadanos, así como garantizar la transparencia y la ética en los negocios. En cuanto a lo que se podría mejorar, siempre hay margen para la mejora en cualquier ámbito. En el caso de compliance, podría ser interesante revisar la regulación existente y hacerla más eficiente y efectiva, eliminando posibles duplicidades y mejorando la coordinación entre las diferentes instituciones y organismos encargados de su supervisión.
- ¿Qué ofrece y qué le diferencia del resto de sistemas de ciberseguridad el Security Operations Center (SOC) de OptimumTIC?
En nuestra opinión, nuestro servicio aporta un valor añadido significativo al comprender el SOC como un componente central de la estrategia de seguridad transversal que proactivamente mejora la postura de seguridad ante las amenazas. Nos basamos tanto en tecnologías líderes en el mercado que han demostrado su eficacia, como en los procesos end-to-end sobre la gestión de casos que permiten disponer de toda la información para generar iniciativas de mejora tanto en la parte operativa como en los sistemas de seguridad de la organización. Esto mejora significativamente la comunicación constante entre los equipos y rompe los silos que existían hasta ahora.
- Aun así, el riesgo cero de sufrir ataques sigue sin existir, ¿verdad?
Es importante tener en cuenta que es imposible tener un riesgo cero. Por esta razón, nuestra labor se enfoca en reducir los riesgos, evaluando el riesgo residual que queda y preparando a las organizaciones para operar en el entorno digital en caso de que se vean afectados por algunos de estos riesgos.
-¿Cree necesario tomar alguna medida adicional para incentivar el interés hacia la tecnología en las estudiantes?
La brecha de género en las disciplinas STEM sigue siendo un problema en muchos países del mundo. Aunque se han avanzado mucho en la igualdad de género, aún existe desigualdad en la participación de mujeres en carreras tecnológicas y científicas. Para reducir esta brecha, es necesario tomar medidas adicionales como programas de mentoría, talleres y actividades extracurriculares enfocadas en STEM para niñas y mujeres jóvenes. Sin embargo, es importante destacar que la elección de carrera debe ser libre y sin restricciones. Las mujeres deben tener libertad de elegir cualquier carrera que deseen, sea en STEM o no. La meta no es obligar a las mujeres a estudiar carreras tecnológicas, sino ofrecerles oportunidades y recursos para que elijan lo que les apasiona, sin importar su género.
