VALÈNCIA. La ciberseguridad no es solo un riesgo tecnológico para las empresas, sino un problema que atañe a todo el tejido empresarial, independientemente de su tamaño, y a la sociedad en general. Cada vez son más las amenazas en un contexto de digitalización acelerado con la irrupción de nuevas tecnologías como la Inteligencia Artificial (IA). Oportunidades de mercado que también abren nuevas brechas para cualquier tipo de ataque tanto a pequeños como grandes. Por ello, contar con una buena estrategia de ciberseguridad, concienciar a toda la empresa, desde los altos mandos hasta las capas más inferiores, e introducir la protección y prevención en el ADN y la cultura empresarial son solo algunas cuestiones vitales para la supervivencia de un negocio.
Así se puso de manifiesto en un desayuno organizado por Valencia Plaza y la Cátedra de Ciberseguridad INCIBE-UPV, que es parte del convenio entre el Instituto Nacional de Ciberseguridad (INCIBE), entidad dependiente del Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, y la Universitat Politècnica de València.
Esta cátedra está incluida en el programa de Cátedras de Ciberseguridad en España, en el marco del Plan de Recuperación, Transformación y Resiliencia, con la financiación de los Fondos Next Generation-EU.
El objetivo de este encuentro ha sido concienciar a la sociedad en general, y empresas en particular, de la importancia de la ciberseguridad y de su prevención, mejorar las estrategias de ciberseguridad en los sistemas de información, identificar vulnerabilidades en el software y desplegar medidas para mitigarlas, así como promover el uso de estándares industriales en las empresas.
En la jornada participaron Santiago Escobar, director de la Cátedra de Ciberseguridad INCIBE-UPV; Arnaud Saint-Pierre, cybersecurity manager de Stadler Valencia; Fernando Seco, director de la división de Gobierno de la Seguridad en S2 Grupo; Andrés Pérez, operations and security manager y CTO de Lãberit; Ana Marzo, abogada socia de Equipo Marzo; y Daniel Rodríguez, director de operaciones de Occentus Network
- Kike Taberner
Entre sus pilares, Santiago Escobar, director de la Cátedra de Ciberseguridad INCIBE-UPV, expresó que están el fomento de la investigación en ciberseguridad; la difusión de actividades; la formación y la transferencia a las empresas. No obstante, como objetivo colateral también se encuentra el aumento de las capacidades de respuesta ante cualquier amenaza tanto desde el punto de vista público como privado. "La idea es fomentar la ciberseguridad en múltiples aspectos desde investigación, divulgación y formación tanto a las empresas como a la sociedad", remarcó Escobar.
Y más teniendo en cuenta que existen grandes retos por delante. Al respecto, Fernando Seco, director de la división de Gobierno de la Seguridad en S2 Grupo, explicó que uno de los grandes problemas es que muchas empresas aún hoy en día minimizan la importancia de la ciberseguridad y la relegan a un mero "riesgo tecnológico o técnico". Cierto es que la legislación va obligando a tener instrumentos y planes en esta materia, pero Seco consideró que todavía falta camino por recorrer: "falta mucha concienciación en los comités de dirección, y más teniendo en cuenta la responsabilidad que tienen”. “Al final, esto de lo que se trata es de proteger el negocio. Las empresas que no contemplen la ciberseguridad en su plan estratégico estarán muertas", remarcó para defender que esta cuestión no es "un trámite administrativo o un papeleo", sino "una responsabilidad proactiva de gestionar riesgos".
En este sentido, Andrés Pérez, operations and security manager y CTO de Lãberit, puntualizó que no todas las compañías tienen las mismas necesidades, recursos o capacidades, pero existe una normativa que hay que cumplir. En cualquier caso, a su juicio, lo relevante es que el cuerpo directivo esté concienciado en temas de seguridad para que esa cultura impregne al resto de la empresa. "Existen diferentes niveles de dedicación de recursos en función del músculo de cada empresa y su capacidad de invertir. Pero todo depende de que se lo crean los altos mandos y que entiendan que ahora ciberseguridad ya no es una cuestión tecnológica", enfatizó.
Necesidad de mayor concienciación
Ana Marzo, abogada socia de Equipo Marzo, afirmó que las empresas todavía no alcanzan a entender que la seguridad es "una materia preventiva y no reactiva", por lo que no solo hay que implantarla cuando haya un problema, sino "como método de prevención para estar preparado para cuando haya un incidente". Y, para ello, remarcó que debe existir "un liderazgo desde la propia dirección a las capas más bajas de la compañía". "Se trata de la gobernanza de la seguridad: todos tenemos un rol dentro de la empresa para proteger los activos. Ahora mismo, las compañías tienen datos que afectan al desarrollo de su actividad y eso les hace deudoras de una serie de obligaciones que tienen que cumplir como proteger la información que afecta a las personas, lo que supone proteger a las personas", subrayó.
- Kike Taberner
Por su parte, Daniel Rodríguez, director de operaciones de Occentus Network, incidió en que el grado de madurez en certificaciones de ciberseguridad por parte de entidades y empresas en España es heterogéneo. Así, explicó que el hecho de ser una gran empresa no implica una mayor experiencia o conocimiento, dado que muchas empresas pequeñas "están muy concienciadas y para ellos no supone presión adicional el hacer los deberes en materia de seguridad".
Por parte del 'gigante' ferroviario Stadler, Arnaud Saint-Pierre, cybersecurity manager de Stadler Valencia, comentó que en las instalaciones de la multinacional, en la localidad valenciana de Albuixech se están preparando ante las nuevas normativas que van a llegar para adecuar sus productos y sistemas al mercado. Entre ellas, destacó la nueva directiva NIS2 (Network and Information Security), cuyo plazo para la trasposición en España venció el pasado 17 de octubre, sin que se aplicara. En este sentido, explicó que introduce algunos requisitos de cooperación internacional para los estados europeos en materia de ciberseguridad , así como recoge nuevas obligaciones en los sistemas de información de las empresas esenciales o importantes.
Stadler ya se está adaptando pero, además, Arnaud Saint-Pierre puso en valor la necesidad de invertir en materia de ciberseguridad y de que exista un compromiso por parte de la dirección de las organizaciones. "Las empresas tienen la responsabilidad de hacer inversiones y formación. Hay que diseñar procesos y sistemas de información de forma que cuando exista un error humano estén preparados para la defensa a través de diferentes capas porque hay que aceptar que los ataques van a ocurrir", expresó.
Por otro lado, a lo largo del debate todos los asistentes coincidieron en señalar la necesidad de mayor concienciación social. Así Ana Marzo apuntó que los ciudadanos perciben que están ante un contexto de inseguridad porque reciben spam, llamadas sospechosas que les solicitan información o reciben alertas fraudulentas. Saben, por tanto, que existen problemas, pero aseguró que "no conocen las herramientas para protegerse, especialmente los colectivos más vulnerables por temas de edad o de desconocimiento tecnológico".
También, Daniel Rodríguez comentó que existe "mucho ruido en cuanto a brechas e incidencias", pero consideró que falta más información sobre el alcance y sus consecuencias. Y más teniendo en cuenta que los expertos están detectando una proliferación de los ataques gracias a la simplificación y mecanización proporcionada por la IA. "Cerca del 60% de las brechas de seguridad vienen por parte de las personas y esto va a seguir avanzando", avisó. Por ello, Seco incidió en la importancia de la divulgación y de una mayor cultura, mientras que Escobar apostilló que la ciberseguridad debe "formar parte del ADN de las empresas" como pasa en muchas compañías en EEUU que, de hecho, gracias a saber reaccionar en este sentido han logrado un mayor número de contratos y más visibilidad.
Asignatura pendiente en planes de estudio
En cuanto a los puntos negros para que puedan atacar los hackers, el director de la Cátedra de Ciberseguridad INCIBE-UPV remarcó que el cibercrimen "es una industria" en la que "se hacen estudios de inversión y de costes de oportunidad". La irrupción de la Inteligencia Artificial también ha propiciado un crecimiento de los ataques y los retornos de la inversión son millonarios por su capacidad de asaltar de forma simultánea varias compañías y pedir rescates. "Son ya la tercera potencia del mundo", remarcó Pérez a lo que Rodríguez apostilló que esta tecnología implica "la industrialización del crimen".
- -Kike Taberner
De ahí que los asistentes incidieran en varios momentos del debate en la importancia de la educación y en que se diera formación desde la infancia en materia de seguridad, tanto offline como online. También, en los planes de estudios de las facultades para que haya una conciencia real y que las empresas inviertan en sistemas de seguridad. De hecho, los expertos aseguraron que existe mucha demanda de perfiles cualificados en ciberseguridad en el mercado, pero poca oferta para cubrirla y problemas de retención del talento.
Con todo y a modo de conclusión, los expertos incidieron en que las empresas "deben creerse la ciberseguridad" porque "nunca es suficiente", especialmente por parte de los mandos directivos, destinar un porcentaje a operativa y mantenimiento de los sistemas; implementarla en la formación y planes de estudios, mientras que los ciudadanos "acabar con la contraseña única y desconfiar por defectos de correos sospechosos". "La ciberseguridad está aquí para quedarse y quien no la tenga interiorizada no será competitivo en el futuro", concluyó Escobar.
