La ciberseguridad va mucho más allá de proteger nuestros ordenadores y móviles con antivirus. El creciente número de ciberataques ha llamado la atención sobre cómo las organizaciones y las empresas protegen sus sistemas y cómo protegen los datos de sus usuarios o clientes. Para ello, muchos de ellos han reforzado sus equipos creando o ampliando un departamento específico de ciberseguridad. Pero, ¿cómo se prepara una entidad para estos ataques? ¿Es posible prevenirlos? ¿Es importante el tiempo de reacción? ¿Qué información es más probable que sea “robada”?
Para responder estas preguntas y más, Forbes se reunió con un panel de expertos en la materia el 1 de diciembre en el Hotel Santo Mauro, incluido Esther Muñoz Fuentesdirector general adjunto de ciberseguridad, protección de datos y privacidad de Madrid Digital; Raúl Martín Garcíasubdirector adjunto de tecnologías de la información y las comunicaciones del SEPE; mabel gonzález, RSSI del Servicio Madrileño de Salud; Rafael HernándezCISO de Cepsa; sergio fidalgo Global Head of Security (CSO/CISO) en BBVA; Rafael Ceres, Responsable de la Oficina de Ciberseguridad Global de Iberdrola; feliz jesus, Gerente de Sistemas y Seguridad, INCIBE CIO; Sí David Sanz, Director Solution Consulting Iberia e Israel de ServiceNow.
La persona encargada de conducir la jornada, bajo el nombre “Gestión y detección de ciberataques en empresas”, Era Eva Pla, una periodista económica. Él fue quien se encargó de poner la primera pregunta sobre la mesa: ¿Cuáles son las principales alertas a las que se enfrentan las empresas y organizaciones? Desde ServiceNow, David Sanz ha explicado que sus clientes destacan dos preocupaciones en este punto: el hecho de no poder reaccionar con la rapidez que les gustaría ante los ciberataques y la falta de visibilidad, que les impide priorizar las vulnerabilidades de seguridad.
Detección de vulnerabilidades
Consejo de Administración de Madrid Digital, Esther Muñoz, señaló que la mayor presencia digital que ha supuesto la transformación del modelo de trabajo tras la pandemia ha supuesto un gran reto para las organizaciones“Eso significa que la red de nuestra oficina debe llegar a nuestros empleados dondequiera que estén, y debemos protegerlos. Esto hace que tengamos una mayor presencia y visibilidad en Internet, lo que aumenta las amenazas y ataques a los que nos tenemos que enfrentar y que pueden aprovechar las vulnerabilidades presentes en muchas tecnologías que utilizamos.
Tras esta intervención, Eva Pla preguntó: ¿Cuál es la principal vulnerabilidad de las empresas y organizaciones? ¿Cuál es la mayor preocupación? Nuevamente, Esther Muñoz retomó la pregunta“Es fundamental estar alerta para detectar una amenaza antes de que ocurra un incidente de seguridad. Se trata de observar y detectar.” Algo con lo que Mabel González, CISO del Servicio Madrileño de Salud, coincidió plenamente: “Es mucho más barato invertir en prevención que invertir después en la solución”.
A esta pregunta, Sergio Fidalgo, del BBVA, se preocupó de hacer un balance del nuevo perfil del delantero: “Ahora nos enfrentamos a bandas del crimen organizado superestructuradas, con mucho talento y muchos medios, que tienen la ‘ventaja’ de no tener que cumplir ninguna normativa”, matiza Sergio Fidalgo, del BBVA. Esta es una de las grandes preocupaciones del sector financiero, poder instruir a nuestros clientes para que sean la mejor protección de la cadena”.
Jesús Feliz, de INCIBE, coincidió plenamente con todas las intervenciones del resto de sus compañeros y subrayó que «uno de los retos fundamentales a los que nos enfrentamos todos es la deslocalización derivada del teletrabajo»: «Esto hace que el trabajador abandone el perímetro de seguridad de la empresa y eso trabajar desde una red totalmente hostil, que se convierte en una potencial puerta de entrada a la empresa. Y los atacantes aprovechan mucho esta oportunidad.”.
Pero ¿Qué quiere realmente el atacante? Esta es la nueva pregunta que surgió en la mesa de debate, ya la que respondió el líder de Iberdrola: “Creo que es muy importante saber quién nos ataca y por qué. Además de los atacantes cuya motivación es puramente económica, ahora bien, los grupos hacktivistas suelen tener detrás países que les proporcionan los recursos para llevar a cabo ciberataques que pueden tener un impacto brutal en la sociedad”.
conciencia y proteccion
De nuevo, Eva Pla lanzó una pregunta a los expertos en ciberseguridad: «¿Cómo se preparan las empresas para un posible ataque?». En esta ocasión, el primero en responder ha sido Rafael Hernández, CISO de Cepsa: “Tenemos que tener claro que el ciberataque ya no es una acción, sino un negocio, mucho más lucrativo que el tráfico de armas o de seres humanos. Para él, el mayor desafío es proteger la identidad personal. No podemos entender la ciberseguridad como una curita dentro de una organización, sino a escala global”.
David Sanz de ServiceNow añadido la importancia de tener conciencia social sobre ciberseguridad y la gravedad de los problemas vinculados a ella: “Debe existir una estrategia digital, tecnológica, que nos permita estar mejor preparados ante estos ataques. Hay que prevenir, pero también hay que saber reaccionar”.
Y es que, como apunta Esther Muñoz, de Madrid Digital, no debemos olvidar que el cibercrimen se ha profesionalizado y eso significa que también se ha profesionalizado la contratación de ciberdelincuentes: “Por ello, los profesionales de la ciberseguridad debemos concienciar a nuestros directorios de que debemos invertir en seguridad para poder responder a un ataque que implique peligro de información sensible. Estamos hablando de algo que puede tener un gran impacto en la vida de las personas y el orden público».
Asimismo, el CISO de Cepsa, Rafael Hernández, ha señalado que “Hay un nuevo término que hay que tener en cuenta, es ciberresiliencia“Podemos hacer muchas cosas para evitar que ocurra un ataque, pero hay una cosa que depende de nosotros, como personas y organizaciones, saber defendernos y saber recuperarnos. Y para eso hay que capacitarlo, y hay que equiparlo con tecnología”.
Apuesta por la ciberseguridad
“¿En qué sector es más fácil conseguir esta ciberresiliencia: en el sector público o en el privado?”, pregunta la periodista Eva Pla. Sergio Fidalgo, de BBVA, fue el primero en responder: «En privado es más fácil». Algo en lo que Raúl Martín, del SEPE, estuvo totalmente de acuerdo. “Sobre todo, porque es una inversión con retorno económico”, ha subrayado el CISO del Servicio Madrileño de Salud. Y a lo que Raúl Martín, del SEPE, añade: “En nuestro caso, no ganamos dinero. Ofrecemos un servicio al ciudadano. Nuestro retorno se traduce en una no pérdida del valor que le damos al ciudadano. Así es como nuestra organización aporta valor a la ciberseguridad.
¿Y sigue habiendo una motivación económica detrás del ciberataque?, insistió el conductor. “Son amenazas persistentes, que no siempre buscan ganancias económicas, a veces quieren hacer daño político”, respondió Mabel González. Una declaración compartida por Rafael Ceres, de Iberdrola: «Buscan atacar a los Estados, al ciudadano».
“Este tipo de ataque se ha incrementado. La conectividad es un desafío porque nos hace más vulnerables”, señaló el Consejo de Administración de Digital Madrid. A lo que Raúl Martín agregó: “Es más fácil lastimarnos porque pueden atacar a uno de nuestros colaboradores y lastimarnos a nosotros también. Es una forma más barata y fácil, por lo que tenemos que protegernos».
Por su parte, el CIO de INCIBE, Jesús Feliz, ha señalado: “La ciberseguridad se ve muchas veces como un gasto del que no hay certeza de su retorno, pero todo acaba teniendo repercusiones económicas y sociales. Por eso, es importante que todas las empresas y organizaciones tomen conciencia de su compromiso”. “La ciberseguridad no se trata solo de tecnología y procesos, sino también de personas. Todos debemos ser conscientes de que esto es algo fundamental”, habilitó Sergio Fidalgo, del BBVA.
Por esta razón Es fundamental que las empresas y organizaciones cuenten con los recursos adecuados para dar una mayor respuesta y, sobre todo, más rápido ante un ciberataque, como argumentan David Sanz, de ServiceNow y Rafael Hernández, de Cepsa.
Talentos y nuevos modelos a seguir
“La mayoría de los ataques son causados por el robo de contraseñas. Los GAFA (Google, Apple, Facebook, Amazon) se centran en la retirada del sistema de usuario/contraseña y se basan en multifactoriales o MFA? ¿Compartes esta tendencia? preguntó Eva Pla.
Rafael Hernández, CISO de Cepsa, argumentó que hay que reforzar la identidad digital: “Los datos son tan importantes como nuestro documento de identidad o nuestra tarjeta de crédito”. Mabel González y Esther Muñoz señalaron que la administración pública pone especial énfasis en las medidas de fortalecimiento: «Todo debe tener un doble factor». Un punto en el que coincidió Sergio Fidalgo, del BBVA, y al que añadió un nuevo factor: la biometría, al igual que el directivo de Iberdrola.
El moderador del evento introdujo una nueva pregunta: “¿Es también el talento otra de las herramientas clave para mejorar la ciberseguridad de las empresas y organizaciones?”. “En España hay buenos expertos, pero son pocos por falta de formación específica”, subraya el CISO de Cepsa.
“Para la administración pública es un punto complicado, porque aunque hay talento, es difícil mantenerlo, ya que las empresas privadas están mejorando sus condiciones”, añadió Mabel González, del servicio de salud de Madrid. Opinión compartida por Esther Muñoz, y a la que Jesús Feliz, CIO de INCIBE, añade que “Crear y retener talento es el verdadero reto al que nos enfrentamos”.
Para finalizar la jornada, la periodista Eva Pla puso sobre la mesa una nueva pregunta: “¿Cuál es el próximo desafío de ciberseguridad? » David Sanz de ServiceNow señaló que hay dos retos: el tecnológico y el humano. Y Rafael Ceres, de Iberdrola, añadió uno más: aprender a gestionar los posibles riesgos. Jesús Feliz, de INCIBE, coincidió con este último punto, y se mostró optimista, viendo esta situación como una oportunidad de mejora en el ámbito de la ciberseguridad.
Sergio Fidalgo, de BBVA, Mabel González, del Servicio Madrileño de Salud, Raúl Martín, del SEPE, y Rafael Hernández, de Cepsa destacaron la importancia de concienciar a los usuarios. “La ciberseguridad debe ser asunto de todosconcluyó Esther Muñoz.