Formación y colaboración para mejorar las defensas
Las compañías deben prevenir los ciberataques, pero también han de saber detectarlos y actuar en caso de que se produzcan
Correos electrónicos de contenido sensible que deberían estar borrados pero siguen en la red; grandes organizaciones con parte de sus bases de datos filtradas en internet; miembros de un comité de crisis reputacional pasando información por WhatsApp, o a colaboradores que no deberían tenerla; campañas de desprestigio; falta de un protocolo para gestionar el impacto y comunicar, interna y externamente, cuando se produce una brecha en la muralla digital. En sus 17 año...
Correos electrónicos de contenido sensible que deberían estar borrados pero siguen en la red; grandes organizaciones con parte de sus bases de datos filtradas en internet; miembros de un comité de crisis reputacional pasando información por WhatsApp, o a colaboradores que no deberían tenerla; campañas de desprestigio; falta de un protocolo para gestionar el impacto y comunicar, interna y externamente, cuando se produce una brecha en la muralla digital. En sus 17 años de experiencia, Selva Orejón, perito judicial especializada en identidad digital, reputación y ciber investigación, ha visto muchas prácticas de riesgo y a solo tres empresas —multinacionales para más señas— queriendo trabajar realmente en la prevención. “La mayor parte únicamente responde cuando ha tenido un incidente grave, en su propia casa o en su entorno cercano”, revela.
Javier Calahorra, Chief Information Security Officer de BBVA en España, coincide en destacar la importancia de la prevención. El perímetro a proteger, tradicionalmente físico, ha crecido hasta alcanzar la nube, y ya no es una frontera cerrada, sino volátil, describe María Jesús Almazor, Chief Operating Officer de Telefónica Tech para España y América. En su opinión, ya no basta simplemente con evitar que pase nada, sino que hay que ampliar las capacidades de detección y respuesta. “Cualquier empresa es susceptible de sufrir un ataque; algunas podemos ser más atractivas que otras, pero no se libra nadie”, advierte Calahorra. “¿Estamos preparados?” es la pregunta sobre la que pivota la segunda mesa redonda de la jornada organizada por EL PAÍS y BBVA, centrada en la empresa, con especial foco en la pyme. “La tendencia es buena, pero el cibercrimen sigue subiendo. Y va por delante”, argumenta Maica Aguilar, gerente de Identidades, Compliance y Cultura de Ciberseguridad en Ferrovial. “Nunca se está 100% preparados, pero se ha avanzando mucho”, tercia Almazor, de Telefónica Tech.
El factor humano
Selva Orejón ha constatado que el factor humano se encuentra en el origen de muchos de los fallos de seguridad que se producen en una organización, de forma intencionada (filtrando y vendiendo datos), por descuido (utilizar el ordenador personal, menos protegido, para contestar un email de trabajo), o como víctima de phishing, smishing —cuando el contacto es por WhatsApp— y toda una cascada de timos cada vez más sofisticados. En cualquier caso, resulta “difícilmente controlable”, según reconoce. Aguilar define la ciberseguridad como “una carrera de fondo” en la que participan tecnología, procesos y personas. Mientras que el primer factor ha pisado el acelerador, los otros dos avanzan “a un ritmo que no es todo lo rápido que nos gustaría”, reconoce. Aunque es cierto que su velocidad de adaptación dependerá de claves como los recursos disponibles, si la empresa es inmigrante o nativa digital (como las start-ups), la madurez digital del sector o actividad, o su marco regulatorio.
En este punto surgen las brechas de seguridad, que son ventanas de oportunidad utilizadas por “los malos” para quebrar las defensas digitales. “Jugamos en defensa”, recuerda Calahorra, contra atacantes “early adopted”, según los denomina. “Creo que el principal riesgo para una organización es no conocer bien su estado de seguridad; el plan de seguridad debería formar parte del plan estratégico”, insiste Almazor. Algo que, de nuevo, no ocurre en la mayoría de firmas medianas y pequeñas, a pesar de que son las que sufren el 70% de los ciberataques. “Las empresas saben que no pueden seguir sin seguridad digital”, precisa Aguilar. Solo hay que ver las tasas de crecimiento de este mercado, que oscilan entre un 10% y un 15% anual, según con qué analista se consulte, detalla Ricardo Sanz, director de Cybersecurity business en Evolutio. Hasta alcanzar los 2.130 millones de euros en 2023 solo en España, según las previsiones de International Data Corporation (IDC).
Se invierte en infraestructuras, en nuevas soluciones y en talento, que escasea. “En las pymes resulta más evidente”, tercia Almazor, quien, barriendo para casa, apuesta por que se creen alianzas con partners especializados en ciberseguridad. No tarda en salir la necesidad de atraer al talento femenino: “Solo hay un 12% de mujeres en las llamadas carreras STEM”, recuerda. También la de tirar de colaboración público-privada para promover la formación e incrementar el número de perfiles susceptibles de emplearse en un sector al alza. Y de compartir la información, entre administraciones y entre empresas, “aunque sean de la competencia”, dice Aguilar. “Hemos roto ese tipo de barreras”, incide Sanz. “Conocer lo que les ocurre a otros te ayuda”, refrenda Calahorra. “Me sorprende gratamente la colaboración y comunicación que existe en el sector de la ciberseguridad”, afirma Aguilar. A juicio de Almazor, la formación constante y la colaboración son el tándem para que las soluciones de ciberseguridad puedan seguirle el ritmo al cambio tecnológico.
Garantías en entornos seguros y resilientes
Sergio Salvador, Head of Engineering de BBVA en España, cerró el foro de expertos convocados por EL PAÍS y BBVA con el mensaje de que la ciberseguridad es clave para “garantizar la integridad y confidencialidad de la información”, crear entornos seguros y resilientes, dar confianza a ciudadanos, consumidores y empresas, y salvaguardar la privacidad. “Los ciberataques son el quinto factor de riesgo para la estabilidad económica y la seguridad mundial”, citó al Foro Económico Mundial. “No debemos tener miedo de la tecnología, pero sí conocer los riesgos, y saber cómo protegernos”, concluyó.
Sigue toda la información de Economía y Negocios en Facebook y X, o en nuestra newsletter semanal