Las empresas españolas aprobaron con nota el examen al que las sometió en materia de ciberseguridad la irrupción del coronavirus. La transformación digital acelerada por la pandemia y el cambio espectacular que supuso la llegada del teletrabajo ha dado todo el protagonismo a un área que ha sabido desarrollar en un tiempo récord todo un conjunto de procesos.
Pasada esta primera ola y asentados ya unos cambios que están aquí para quedarse, toca ahora analizar el presente y mirar hacia al futuro para fortalecer las posiciones que consoliden estos avances.
Uno de los retos más importantes que se abordó en el encuentro sobre ciberseguridad organizado por CincoDías en colaboración con Deloitte, pasa por colocar la ciberseguridad en el núcleo de los negocios, que se convierta en una responsabilidad de toda la compañía. David Andrés, responsable de tecnologías de operaciones de ciberseguridad de Naturgy, cree que hay que dar un paso más y “acercarla a los negocios, que no sea responsabilidad solo de un departamento, sino de toda la empresa”.
Adolfo Hernández, director de seguridad de operaciones de Banco Sabadell apuesta por dar un paso más y aprovechar el cambio cultural producido en estos meses para que este concepto penetre en el ciudadano. “La ciberseguridad no es un lujo, es una necesidad que les incumbe a ellos”. Hernández pone el ejemplo de la seguridad pasiva de los coches. “Ahora nos parece normal tener airbag, pero hace solo unos años nos resistíamos a pagar por él. Con la ciberseguridad pasa lo mismo. Tenemos que exigir a las empresas productos seguros y estar dispuestos a pagar por ellos”, asegura.
Gianluca D´Antonio, socio de Risk Advisory de Deloitte, afirma que hoy día “falta educación a nivel particular y en el trabajo para considerar la seguridad como un bien común” y señala que “esta no es un lujo, sino una necesidad”. Este experto compara lo que pasa en España con otros países: “Aquí, si te roban por no tener un buen antivirus o no haber sido responsable, el banco se hace cargo y te devuelve el dinero. En otros países, como Singapur, paga el usuario”. Por eso, “hay que huir de este paternalismo que hay en España”, sostiene.
En esta cadena formada por ciudadanos y compañías, Iván Sánchez, director de seguridad de la información de Sanitas, demanda una mayor preparación por parte de las pequeñas y medianas empresas que “son el eslabón más débil” de la misma. “Hay muchas de ellas que no saben por dónde empezar y son parte del problema”. Daniel Zapico, director de seguridad de la información de Globalia, abunda en este asunto y añade: “Piensan que no tienen ningún valor ni que las van a atacar”, y como consecuencia “se agudiza el problema, ya que pueden aprovechar su propia infraestructura para atacar a otras más grandes”. Xavier Gracia, socio de Risk Advisory de Deloitte, completa con que “algunas pymes cubren un poco el expediente, dicen que han hecho su auditoría anual y creen que con eso es suficiente. Eso es peligroso”.
A pesar de que las grandes empresas hacen auditorías continuas para detectar dónde están sus activos más valiosos, hay ataques que no pueden detectar, como los zero day. Por eso es fundamental saber, como indica Joaquín Castellón, director de seguridad de Navantia “que no hay que tener una visión aislada, porque mi empresa, mi familia y mi país no están seguros si los que hay al lado no lo son también”. Su propuesta es “extender la seguridad a esas otras empresas a través de la orientación y de la colaboración, que en este tema es esencial. Sin ella estamos asumiendo riesgos”, concluye.
Ciberataques opacos
Lo cierto es que la pandemia ha sido, como dice Adolfo Hernández, “el mayor catalizador de la transformación digital”, pero como añade Iván Sánchez “ha acelerado muchísimo el cibercrimen”. Y advierte: “Ahora somos mejores, pero también lo son los malos. En este momento son verdaderas organizaciones, se están profesionalizando y tomando ventaja en este nuevo entorno”.
Frente a una realidad actual definida por una crisis social y económica en la que el responsable de Banco Sabadell sospecha que “el gran beneficiado va a ser el cibercrimen”, y en la que, como D´Antonio sostiene “todos somos objetivos”. Por esta razón, creen fundamental corregir la asimetría que existe frente a los cibercriminales, que han aprovechado este tiempo para ir por delante y ser más fuertes.
La manera de hacerlo es para el CISO de Sanitas “con más inversión para evitar esto y hacer que las empresas sean más seguras”; “compartiendo información y agilizando la respuesta”, según Hernández, y siendo igualmente conscientes que “se trata de un tsunami y siempre lo vas a parar mal. Hay que soportar la presión sabiendo que siempre vas a ir un poco por detrás, en desventaja”.
Para disminuir esa asimetría, Hernández pide avanzar en más transparencia por parte de las empresas que los reciben. Frente a los partidarios de no hacerlo por el miedo al impacto reputacional, y que puede desembocar en una seria afección en su índice bursátil, mantiene que “ya no hay opción de no publicar. Estas organizaciones lo confirman en sus páginas web en tiempo real y luego venden esos datos en el mercado negro para extorsionarlas”. Zapico es también partidario de comunicarlos. “La transparencia transmite confianza, es positiva. Es un cambio que poco a poco se va produciendo en España”.
Sánchez se une a ellos, pero lanza una crítica a la administración. “Cuando hay un ciberataque, lo primero que hace el regulador es ponerte una multa. Criminalizan a la víctima. Hay un trato distinto por ejemplo cuando se produce un accidente laboral y un ciberataque. Eso demuestra que no solo vale la regulación. Tiene que haber una transformación cultural.” concluye.
Una oferta laboral formada por millones de empleos sin cubrir y con sueldos altos
Este es un sector que tiene una alta demanda de empleo. El Centro para la Ciberseguridad y la Educación calcula que para 2022 harán falta 1,8 millones de profesionales especializados, de los que 350.000 se necesitarán en Europa. “Yo creo que serán más. Aquí hacen falta muchas manos” afirma D´Antonio.
El socio de Risk Advisory de Deloitte define el perfil que deben tener estos trabajadores como “muy complicado, endemoniado” y adelanta algunas de sus características: la propia naturaleza de su actividad, con cambios permanentes y alejado de la estabilidad; los horarios, con turnos de 24 horas y 7 días a la semana que llevan mal gente que tiene una alta cualificación; formación continua; tolerancia al estrés; la actitud; capacidad de resolución de problemas, sabiendo que algunos de ellos no la tienen; discrección o pensamiento lateral.
“El año pasado se aprobó un grado de FP en Ciberseguridad”, cuenta D´Antonio, “pero harán falta de ahí, de la universidad, de los postgrados…”
La ausencia de personas formadas no es el único problema con el que se encuentran las empresas a la hora de contratar. Es difícil retener el talento y formar grupos estables. Los que trabajan cambian con frecuencia de empresa. Los departamentos de recursos humanos se los roban unos a otros. Los tientan con sueldos altos y mejores condiciones laborales.
“El mercado está alterado. Se pagan sueldos muy altos a personas con poca formación. Saben que tienen trabajo cuando quieran y cobrando más. Para fidelizar cuesta muchísimo”, explica Xavier Gracia. “Nuestra estrategia se basa en algo diferente”. Y continúa: “Es identificar a los buenos, formarlos y ofrecerles pivotar, hacer otras funciones para que no se cansen y se queden”.
Gracia propone además una suerte de reciclaje de los miles de desarrolladores que hay en España para incorporarlos a la ciberseguridad. “Esta es una disciplina que pide mucha automatización y esta requiere a su vez mucha programación. Deberíamos traccionar para que den el salto a otra profesión”. En su opinión los programadores “están cansados de lo que hacen” y entrar en el mundo cíber “sería positivo para ellos”.
Para poder retener el talento, David Andrés cree que es muy importante plantearles un proyecto atractivo. “Si tienes un proyecto retador, lo vas a conseguir. Vas a estar en una unidad sólida, en un departamento con peso, vas a hacer cosas y vas a transformar la compañía”, describe. El CISO de Globalia suma otro aspecto, “la motivación de participar en el proyecto, que haya empatía y cuidar mucho las relaciones personales. Mantener esto a lo largo del tiempo es lo más complicado”.
En Sanitas la idea es “escalar internamente, convencer al trabajador de que es parte de la solución, es una responsabilidad de todos los empleados, que lo sientan como propio. No tenemos todo el dinero ni el tiempo”.
Desde Banco Sabadell, Adolfo Hernández vuelve a llamar la atención sobre la asimetría que hay asimismo en este asunto. “El talento se puede ir a la parte mala, donde ganarán más. Tampoco estamos preparados para esto”, finaliza.
Un aumento imparable de estos delitos
Fiscalía. La memoria del Ministerio Fiscal recoge un aumento en 2019 de un 44,92% de los procedimientos judiciales por delitos informáticos respecto al año anterior.
Realidad oculta. La propia Fiscalía reconoce que estos datos no reflejan la realidad de esta actividad delictiva. Las verdaderas cifras de la criminalidad en el ciberespacio están ocultas. Muchos delitos no son denunciados o detectados.
Coste. Algunos estudios calculan en 170.000 millones de dólares el coste que estos delitos suponen para las organizaciones, unos 260.000 euros para las españolas. El 53% de ellas sufrieron un ataque en 2019 de ransomware. El 42% espera recibirlo en el futuro.
Coronavirus. Según la Interpol, entre enero y abril de 2020, y relacionados todos con la crisis del Covid-19, se detectaron 907.000 mensajes de spam, 48.000 URL maliciosas y 737 incidentes con software malicioso.
Source link