Ciberseguridad: una inversión necesaria para funcionar y ser más competitivo

El 94% de las empresas españolas han sufrido al menos un incidente grave de ciberseguridad a lo largo de 2021, según indica el estudio 'El estado actual de la ciberseguridad en España. Post pandemia: un camino inexplorado', elaborado por Deloitte. Un dato alarmante que evidencia más que nunca la necesidad de invertir en seguridad por parte de todas las organizaciones para funcionar con garantía y ser mucho más competitivo, según se explicó en la mesa de expertos organizada por LAS PROVINCIAS.

Rafael Rosell, director comercial de S2 Grupo; Eduard Laffitte, director de la zona noreste en SIA; Aitor Jerez, director comercial de Sarenet; Daniel Rodríguez, director de Operaciones de Occentus Network; y Gianluca D' Antonio, socio de Risk Advisory y responsable de la práctica de Ciberseguridad de Deloitte en Comunitat Valenciana y Región de Murcia, realizaron una completa radiografía sobre este sector.

Los retos a los que se enfrentan las empresas para proteger sus datos cada vez son mayores, puesto que, según Rosell, las cifras de ciberdelito están creciendo a un ritmo de 35% anual y el riesgo es cada vez más evidente porque «antiguamente teníamos un perímetro claro, teníamos una muralla potente y robusta y nuestra organización estaba a salvo, pero ahora depende de las personas y tenemos que trabajar de otra manera. El común de los mortales no tenemos conciencia del riesgo al que nos enfrentamos».

«No cabe duda de que, entre las amenazas globales, el ciberriesgo supone hoy por hoy uno de los mayores desafíos para la sociedad. La tecnología ha transformado nuestros hábitos de vida y, con ello, ha incrementado nuestra dependencia a la misma. Un ciberataque ya no solo supone una posible fuga de información, sino que pone en riesgo las operaciones de una empresa, la prestación de servicios esenciales en un país», afirmó D'Antonio.

Los cibercrímenes están a la orden del día y es por ello que D'Antonio defendió la labor de la ciberinteligencia como base imprescindible para poder anticiparse a las amenazas y la ciberseguridad como un bien público para cualquier sociedad avanzada. Además, Rosell, apoyado por Laffitte, advirtió y volvió a remarcar que el perímetro de seguridad realmente se ha extendido o ampliado.

«Debemos empezar por definir el camino. Existen estándares internacionales que te dan un marco de referencia para ver qué es un comportamiento seguro y un plan que te permita ir avanzando con tus recursos hasta un cierto punto de seguridad. Define el camino, mira los recursos y empréndelo. La ciberseguridad es un mandatorio, no es elegible», contó Rosell.

Además, el director comercial de S2 Grupo recordó que los malos tienen mucho dinero y herramientas. «Es gente que de verdad está organizada, no podemos pensar que son cuatro personas en un garaje haciendo cosas», reflexionó.

Mientras, Laffitte expresó que, a la hora de invertir en ciberseguridad, la empresa debe plantearse qué nivel de riesgo quiere tener y hasta dónde quiere llegar. «Es una pregunta complicada. ¿Cuánto tengo que invertir para tener un riesgo optimizado? La empresa tiene que establecer su plan de negocio y de seguridad, y, con ello, establece su nivel de riesgo», apuntó.

«La gente tiene que saber que no debe ver los temas de seguridad como un gasto. Debes invertir lo suficiente como para no sufrir en caso de un incidente y ver afectada la conectividad de una empresa. Hay ataques muy sofisticados. Hay que tener conciencia y juntarte con gente profesional que te minimice los riesgos», explicó Jerez.

Los expertos incidieron en que no se trata solo de cuántos recursos invertir, sino de cómo invertirlos, y también es crucial definir una estrategia de seguridad alineada con los objetivos del negocio. Para proteger tu empresa de amenazas como el phishing, ransomware y malware, que son las más temidas y las más frecuentes, Rosell defendió que «hay que trabajar como si los malos estuvieran dentro».

«Es esencial en la estrategia de defensa la detección y la respuesta. A día de hoy no conozco ningún sistema o infraestructura tecnológica totalmente invulnerable. Debemos ver la seguridad desde un punto de vista global. Ahora lo conectamos todo y esto hace que los puntos vulnerables sean cada vez mayores e incluyan muchos elementos para los que la seguridad no ha sido considerada como factor de diseño y que, por tanto, son vulnerables», agregó Rosell, mientras que Rodríguez indicó que «no se trata de gastar más, sino mejor y con criterio. Muchas veces vemos que las empresas tienen equipos carísimos que no saben sacarles el rendimiento. Pueden ser más eficientes, económicos y rentables».

Por su parte, Jerez apuntó que el cliente que quiere ciberproteger su organización primero necesita un buen compañero de viaje, y elegirlo no es fácil. Por ello, según él, se debería tener en cuenta criterios como la antigüedad y el tamaño de la empresa, partners con los que cuenta y tipo de alianza, o el trato comercial y técnico, entre otros. «Se trata de elegir un socio tecnológico que les oriente y asesore sobre las soluciones que deben adoptar y deberían de poder contar con esta empresa para que también les gestione esas soluciones si no cuentan con el personal propio capacitado», apuntó.

«También hay que asumir que la ciberseguridad es cambiante. Tiene que ser revisable constantemente con un análisis de madurez de la empresa. Las medidas tienen que ser claras y concisas para que avancen hasta un cambio seguro lo más rápido posible. Tienes que concienciar al usuario, proteger la frontera y adoptar una serie de medidas para correr menos riesgos. La protección en capas a la que estábamos acostumbrados ya no es un modelo válido y debemos tratar todo desde la desconfianza. Debemos controlar quién accede y el contexto en el que lo hace, analizó Jerez.

En la mesa redonda se hizo hincapié en la importancia de concienciar a los empleados sobre cómo trabajar, ya que, apuntó Rodríguez, en la gran mayoría de los incidentes está involucrado el personal de la empresa. «Una de las percepciones que últimamente más hemos notado es la falta de formación y de concienciación. Nosotros podemos poner herramientas, sistemas de inteligencia artificial que intentan predecir esos cambios, movimientos laterales… Pero la gran mayoría de los ciberincidentes están provocados sin mala fe por el personal», aseguró.

«Hemos fallado en la concienciación, en hacer partícipe a toda la organización. No tiene sentido que la organización invierta en tecnologías punteras si la gente que tiene acceso a los datos no es consciente. Hay cosas más sencillas y mundanas que, aunque parezcan de sentido común, hay que empezar por esa concienciación y trasladar esa cultura de la ciberseguridad como forma de trabajar. Las empresas ni siquiera tienen consciencia de todos los datos que tienen expuestos y los dispositivos que tienen conectados», dijo.

Rodríguez expresó que «pensamos que por tener backup estamos protegidos, pero no. No basta con tener copia de seguridad, por supuesto que tienes que tener respaldos, pero debes tener la capacidad de ser resiliente a esos incidentes y seguir funcionando. Podemos apoyarnos en la tecnología, pero hay que empezar por las personas».

Por último, Laffitte explicó que las empresas no tienen un plan de seguridad completo: el 90% no cuenta con profesionales especializados en seguridad, el 82% no mantienen actualizados los registros de activos digitales y el 73% aún no ha implantado la cultura de la concienciación. «Vamos por debajo, hay mucho que hacer y las empresas están entre los primeros que deben ponerse las pilas», finalizó.

• Temas
• Robótica
• Informática
• Ciberseguridad