Los avances tecnológicos siempre traen una de cal y otra de arena: la posibilidad de mejorar en productividad y en la calidad de vida de las personas, pero también implica el riesgo de que los criminales tengan más herramientas a su disposición para llevar a cabo ciberataques, uno de los principales riesgos de la sociedad actual.
Galería fotográfica Foro de ciberseguridad
Ante este panorama, las empresas tratan de balancear constantemente la situación, ya que se enfrentan a diario con posibles problemas de seguridad. Para esto, los expertos que ayer partiparon en el IX Foro de Ciberseguridad: Ciberresiliencia: estrategias empresariales para fortalecer la seguridad en la Era Digital, organizado por elEconomista.es en colaboración con Grupo Oesía, EVO Banco, Mindden, SIA y Banco Santander, incidieron principalmente en la necesidad de la cooperación interna para hacer frente a los desafíos de esta naturaleza.
En opinión de José María Sánchez, director de Cyber Resilience Services en SIA, "la ciberseguridad es uno de las principales prioridades de las empresas actualmente". Algo que Jesús García del Valle, CISO de Santander España, suscribió: "la ciberseguridad debe ser un pilar del negocio, y si lo es, no puedes depender únicamente del departamento de seguridad informática, sino de toda la empresa".
El hecho de que una compañía sufra un ciberataque es algo en lo que todos los expertos presentes coincidieron como algo "probable", por lo que concordaron que toda la responsabilidad no puede recaer únicamente en la figura del CIO ni del CISO: "Toda la empresa, tanto el departamento de abogados, comunicación, dirección, gestión de riesgos, etc., todos, deben de abordar un problema de tal calibre", explicó García del Valle. De lo contrario, la respuesta ante el ciberataque conllevaría una brecha temporal "demasiado grande" que provocaría "grandes pérdidas para la empresa" argumentó Leonardo Salom, chief data officer (CDO) de Mindden.
Así, Salom describió que entiende la ciberseguridad en tres fases: detección temprana, prevención y recuperación, siendo claves que las dos primeras lleguen "lo antes posible" para que el ciberataque "permanezca lo menos posible en la empresa", dijo.
Esta planificación libera a la compañía y la hace más ciberresiliente, por lo que no tener un plan b no parece una opción. En esto incidieron Rosa Kariger, Global Security Analysis & Prospective de Iberdrola y Rubén Andrés Priego, chief information officer (CIO) de EVO Banco, que argumentaron a favor de actuar en base a un protocolo.
Cibeataques "híbridos"
La ciberseguridad es un área en auge por la digitalización. Actualmente, servicios imprescindibles en las sociedades como la electricidad o el agua también funcionan a través de la red, por lo que un ciberataque a gran escala puede incluso provocar cortes en el suministro. "Es lo que hoy en día conocemos como ataques híbridos: ciberataques que van más allá de lo puramente digital y de los datos, sino que tienen consecuencias físicas" aclaró Alfredo Díez, COO de Cipherbit-Grupo Oesía. Es por ello que, para Díez, lo realmente importante es "poder continuar con la producción", por lo que un plan de contingencia "es indispensable".
Para este plan de contingencia no hay una única solución. En la mesa propusieron diferentes alternativas, como los métodos tradicionales y rudimentarios como "última instancia", que expuso Kariger, hasta el uso de la nube como método para ganar en resiliencia que dijo García del Valle. Todo ello con la intención de trabajar de forma ininterrumpida, porque en algunos sectores esto sería crítico, como en el de la banca, donde la confianza juega un factor primordial: "Nadie confiaría en un banco con problemas de ciberseguridad", declaró Priego. "Es por ello que llevamos tanto tiempo trabajando en esta área", añadió.
La IA crea discrepancias
La aparición de la Inteligencia Artificial (IA) ha desestabilizado de nuevo el tablero de la ciberseguridad por su versatilidad y también por su democratización. A día de hoy, las posibilidades son muy amplias, y la facilidad de "hacer el mal" se comprueba con un hecho que ha invadido ya las sociedades: las fake news. Vídeos y audios creados desde cero con una mera descripción con un chatbot pueden cambiar el mundo de la información tal y como lo conocemos, puesto que cada vez necesitaremos más herramientas para saber qué es verdadero y qué no. Su poder es tan grande que algunos como Díez apuntan que "las democracias pueden correr peligro", por lo que la división en la mesa acerca de si "se vivía mejor antes o después de la IA" (en el contexto de ciberseguridad) era un hecho.
Salom opinó que la IA "ha complicado la seguridad", porque es una herramienta que los ciberdelincuentes pueden utilizar para encontrar debilidades en la red. Kariger se sumó, advirtiendo de que los ciberataques actuales "son más sofisticados que nunca" y eso los hace más indetectables.
Sin embargo, la posición opuesta también argumentó que la IA, al igual que sirve para "atacar", también vale para "defenderse y recuperarse del ciberataque", explicó Sánchez. A su favor estaba Priego, que confirmó que, en su caso particular, la aparición de la IA les ha beneficiado "a pesar de sus contras". Por último, Sánchez quiso finalizar este punto dando más importancia a la adaptación que deben hacer las empresas a la tecnología, porque "resignarse no vale de nada".
Concienciar a las plantillas
En el acto también se trató uno de los puntos débiles de la ciberseguridad de las empresas: sus propios empleados. Fue entonces cuando Sánchez explicó que los responsables de IT y ciberseguridad deben tener un papel formador con toda la plantilla, porque "clicar en un enlace un email desconocido es fácilmente evitable si concienciamos a los demás". Díez, por su parte, fue más allá y alegó que es necesario una educación en ciberseguridad en las escuelas: "Hoy en día nadie discute la educación vial, por lo que deberíamos pensar en hacer algo similar con nuestro campo", dijo.
En cambio, Kariger, que también se mostró a favor de una mayor formación del personal, quiso recalcar que no era correcto pasarles la responsabilidad a ellos.
Una etapa de oportunidades
En este contexto incierto, Díez manifestó que "no es momento para competir, sino de cooperar", en referencia a la necesidad de potenciar la colaboración público-privada entre el Estado y las empresas mediante las nubes soberanas. Esto constituye también una oportunidad de inversión "para ir por delante de los cibercriminales" recalcó Díez, para poder crear tecnología nacional y europea y "ponernos a la vanguardia en el sector".
Todo esto debe de ir de la mano de la ley, pero tiene la desventaja de que esta suele ir siempre a rebufo de la trampa. Priego consideraba que la regulación es "fundamental", pero explicó que todos los países deben ir de la mano para armonizar leyes. Se sumó a este argumento Salom, que opinó que la Administración Pública y la empresa privada tienen que "ser uno" en la lucha contra el cibercrimen.
Puede ver la jornada completa aquí:
