Madrid 
El contexto actual, con un mundo cada vez más digitalizado y en el que la Inteligencia Artificial se está consolidando, la concienciación sobre ciberseguridad aumenta pero todo ello depende, en buena medida, por el compromiso que los directivos de las empresas tengan en este sentido. Es una de las principales conclusiones que se han extraído del X Foro Ciberseguridad. Hacia un futuro digital seguro para la empresa organizado por elEconomista.es en colaboración con Cipher Prosegur company, Deloitte, Izertis, LaLiga, Oesia, Santander y Sia an Indra company.
El auge de la Inteligencia Artificial y todo lo que ésta conlleva, sitúa en el centro del debate si supone más un riesgo o una oportunidad. Es evidente que la IA facilita el trabajo en las empresas, con especial ímpetu de los que son más monótonos y repetitivos, pero los datos que se necesitan para configurarla ponen de manifiesto su seguridad. En este sentido, Jesús del Valle, CISO de Santander España, pone de manifiesto dos desafíos que provienen de la IA. "Creo que la IA está reduciendo la barrera de entrada para los actores, ya que el típico SMS malicioso se sigue haciendo, lo que pasa es que antes costaba detectarlo y ahora la IA te ayuda, pero este tipo de tecnología también ayuda a crear esos ataques y sin conocimientos que antes se requerían", es el primer riesgo que destaca del Valle. Además, el experto de Santander España también sacó al centro del debate la IA generativa, quien reconoció que "está en boca de todos", pero alertó a las empresas que tratan de implementarla rápidamente: "Hay que hacerlo de manera segura para que no haya ataques a negocios que usan esta Inteligencia Artificial", reconoció del Valle.
Por otro lado, también puso de manifiesto las oportunidades que surgen a través de esta tecnología, como es la agilidad en los procesos "que conlleva que seamos más eficientes", ya que también permite "ser automatizar procesos y hacerlos más adaptativos". Esta misma opinión comparte David Fernández, CEO de Cipher, Prosegur company, quien además alerta de que es necesario tener cuidado en su uso: "Hay una serie de casos de uso claros en los que se puede utilizar para ser más eficiente sin exponer a la compañía. Yo creo que es una oportunidad de ser más eficientes, pero luego hay que adaptarlo a los diferentes tipos de negocio y hay que tener cuidado". Además, Fernández reconoció que en Cipher utilizan la IA para ponerse en la piel de los atacantes "así conocemos qué actores nos van a atacar y cómo podemos responder a ello". Y desde Tendam, David Moreno del Cerro, director de Sistemas y Seguridad de la Información del grupo, confirma que ellos también la utilizan para para ponerse en "el otro lado", a la vez que alerta de que la ciberseguridad debe estar presente en la utilización de la IA.
Con respecto a la amenaza cuántica -que significa que alguien podría estar almacenando los datos y esperando a que aparezca un ordenador cuántico para desencriptarlos-, el experto de Santander España alerta de que "supondrá un cambio de paradigma", ya que con ella "se podrán resolver problemas que conllevan mucho tiempo o para los que no tenemos una respuesta, pero si se desarrolla un ordenador que descifra esto, se pondrá en riesgo la seguridad del ecosistema digital". En este sentido, Jerónimo García, director de Ciberseguridad de Izertis, pone de manifiesto la obligatoriedad de que una IA tenga que estar vigilada por un humano, "el problema vendrá cuando una Inteligencia Artificial sea vigilada por otra IA", alerta García.
Así, los expertos han coincidido en la importancia de concienciar, formar a los empleados y dotarlos de herramientas para que puedan realizar sus tareas teniendo presente la ciberseguridad. En resumen, hay que enseñar a las personas a cómo tienen que conectarse y proteger sus dispositivos de manera segura. En este sentido, el CISO de Santander España aboga por potenciar la educación en ciberseguridad y, "como se hizo con la seguridad vial, poner una serie de normas". Pero Francisco Lázaro, gerente del Área de Ciberseguridad y Privacidad de Renfe, va un paso más allá y responsabiliza de esto a las altas direcciones, "son ellas quienes deben comprometerse, y eso ayudará mucho porque les da un papel importante a los órganos de dirección de la compañía".
"Cada vez somos más independientes y esto da más oportunidades a los ciberdelincuentes"
En un mundo cada vez más protagonizado por las relaciones digitales, en el que la información más comprometida sobre las personas se encuentra en el entorno digital, la ciberseguridad cobra gran importancia. Es por este motivo por el que Jesús del Valle, CISO de Santander España, alerta de que los ciberdelincuentes tienen cada vez más oportunidades de acceder a nuestra información: "Es fundamental saber dónde estamos, en un mundo digital con economía digital y relaciones digitales. Cada vez somos más dependientes y esto da más oportunidades a los criminales de obtener beneficios", mientras destaca la importancia de crear una cultura de ciberseguridad "igual que se implantó una educación vial con el auge de la movilidad, es fundamental que se otorguen a los ciudadanos unas pautas que les permitan estar más seguros en el ecosistema digital". Por ello, el CISO de Santander España destaca que, a parte de la concienciación, también es fundamental explicar a los trabajadores y los ciudadanos los riesgos de navegar en un entorno digital inseguro "hay que explicarles cómo tienen que conectarse y proteger sus dispositivos de manera segura" y para ello "hay que crear unas normas con sus respectivas sanciones".
Esto se debe a que las nuevas tecnologías ayudan tanto a las empresas a ser más competitivos como a los ciberdelincuentes a realizar ataques que son cada vez más profesionales: " Los ciberataques cada vez son más sofisticados porque los cibercriminales utilizan todos los medios que tienen a su alcance al no tener barreras y, para frenarlos tenemos que hacer uso de todas nuestras capacidades", destaca del Valle.
"Nos hemos ido a competir a Estados Unidos para mirar de 'tú a tú' las operaciones"
Para poder hacer frente a los ciberataques y que España sea tan competitiva como otros grandes países, David Fernández, Ceo de Cipher, Prosegur company; reconoce que en su organización han optado por competir desde Estados Unidos (EEUU) "para mirar de tú a tú las operaciones y que el talento disponible pueda llegar a más". Además, el profesional de Cipher Prosegur company destaca la escasez de talento en el sector.
Además, ha puesto de manifiesto el problema al que se enfrentan las pequeñas y medianas empresas en esta materia. "Si las grandes empresas del IBEX 35 no pueden frenar estos ataques, imaginaos en las pymes", poniendo así de manifiesto la falta de recursos que las compañías más pequeñas tienen y que, en la mayoría de los casos, ni siquiera cuentan con un profesional de ciberseguridad para solventar esta problemática. Entonces, Fernández ha puesto sobre la mesa la eficiencia de una legislación real que castigue a los ciberdelincuentes: "Mientras sea fácil obtener las cosas y obtener un beneficio, los ciberataques van a seguir".
Entonces, Fernández ha puesto sobre la mesa la eficiencia de una legislación real que castigue a los ciberdelincuentes: "Mientras sea fácil obtener las cosas y obtener un beneficio, los ciberataques van a seguir".
Sobre si Estados Unidos es mejor aliado que China, o viceversa, Fernández, ha destacado que lo importante es cómo se entrena a la Inteligencia Artificial para cuando llegue ese momento: "Cuando tienes experiencia de uso real, no es tanto de quién te provee, sino del contexto de la respuesta, que depende de mi y de cómo yo lo haya entrenado, ahí es fundamental que yo contextualice la respuesta para que esté actualizada", ha remarcado el CEO de Cipher, Prosegur company.
"Ponemos el foco en la identificación y defensa, pero la recuperación es fundamental"
Mientras los profesionales se han centrado en cómo las empresas pueden evitar ser atacados a través de internet, David Moreno del Cerro, director de Sistema y Seguridad de la Información de Tendam, ha puesto de manifiesto la importancia de dar una respuesta rápida y económica: " Me gustaría incidir en cómo afrontan las empresas un escenario de recuperación, porque hay que recuperar a las compañías con el menor impacto económico posible".
A su vez, ha puesto de manifiesto que los ciberataques no son el mayor problema de las empresas "y a la hora de presupuestar se nota", destaca Moreno del Cerro. Es por este motivo por el que ha lanzado un mensaje a los altos directivos de las empresas sobre que "hay que concienciar al más alto nivel", destacando que esta cultura de la ciberseguridad "se debe impulsar desde arriba para que cale en los empleados y conozcan sus cotes y el riesgo que hay de que su puesto de trabajo desaparezca".
"Es fundamental alinear ciberseguridad e IA y que ambas estén en conformidad con las normativas"
Durante su intervención, Jerónimo García, director de Ciberseguridad de Izertis, señaló que "cada vez más nos encontramos con grandes volúmenes de datos ubicados en repositorios compartidos que contienen información sensible, lo que hace que sea convierta en un atractivo para un atacante. Es por ello que, en la época actual, es fundamental alinear la ciberseguridad con la inteligencia artificial (IA), asegurando que ambas estén en conformidad con las normativas vigentes, tanto internacionales como nacionales y cuenten con las restricciones de seguridad requeridas para garantizar la privacidad del acceso a dicha información aportando así la confiabilidad necesaria para la protección del dato".
Además, hizo hincapié en la necesidad de que las empresas lleven a cabo "ciclos de evaluación continua con el fin de disponer de un diagnóstico de partida en el que se evidencie su postura de ciberseguridad, superficie de exposición tanto de los activos de la organización y de su cadena de suministro así como de los datos que se exponen en contenedores para uso de sistemas IA, identificando así, aquellas vulnerabilidades y defectos en la configuración de medidas de seguridad que puedan poner en riesgo la integridad de la información"
Según García, es aquí donde "la IA es un aliado crucial, ya que generando Data Lakes con la información procedente de las distintas fuentes de información examinadas podemos tener la capacidad de evaluar patrones de riesgo dentro de los análisis de logs para la detección de anomalías y comportamientos sospechosos y que en caso de ser requerido podamos aplicar medidas de remediación y mitigación de vulnerabilidades prácticamente en tiempo real". Una cuestión que resuelve la herramienta de ciberseguridad Sidertia que la consultora tecnológica acaba de lanzar y que representa una solución holística y proactiva, que proporciona las herramientas necesarias para gestionar y evaluar los activos digitales de manera continua a la vez que idéntica de forma temprana incumplimientos de medidas exigidas en las diferentes normativas de seguridad como son ISO27001, NIS2, ENS y DORA, entre otras.
"Decimos que la seguridad es una cadena porque un eslabón puede hacer que se debilite"
La importancia de dotar a las pequeñas y medianas empresas en materia de seguridad es fundamental y esto también repercutirá en las grandes compañías: "Cuando decimos que la seguridad es una cadena es la realidad porque cualquier eslabón puede hacer que se debilite", ha reconocido Francisco Lázaro, gerente del Área de Ciberseguridad y Privacidad de Renfe.
En este sentido, el experto ha destacado que "la ciberseguridad no tiene que estar alineada con la empresa, sino que tiene que formar parte de ella". Así, Lázaro ha destacado que en Renfe cuentan con una organización de ciberseguridad "segregada que nos permite tener por un lado supervisión y asesoría y, por otro, operación". Gracias a esta división, en Renfe pueden tener la vista puesta en qué se puede mejorar a nivel de ciberseguridad y, a su vez, estar pendientes en las alertas que surgen en el día a día: ". A nosotros nos salen unos 230 riesgos que no todos son de ciberseguridad y protección de datos y eso es lo que tienen que detectar las organizaciones".
