La ciberseguridad se ha convertido en un factor clave tanto para las empresas, sin hacer distinciones por tamaño o facturación, como para las administraciones públicas. Aunque muchas de ellas no son conscientes de esta cuestión y siguen viéndolo como un gasto más que como un beneficio para su competitividad e incluso para su propia continuidad.
Otro de sus grandes retos es la falta de talento en el sector y la necesidad de explicar a las empresas cuál es el ámbito de la ciberseguridad y cómo se pueden ver afectadas, no centrarse solo en mitigar los riesgos y en cumplir la normativa. Además, es preciso abrir el foco para que esta palanca sea transversal a toda la organización.
Estos son solo algunos de los aspectos que se han tratado en la mesa de debate organizada por Economía 3, en su Club Deportivo Empresarial Alcatí y la Cátedra de Ciberseguridad INCIBE-UPV, que es parte del convenio entre el Instituto Nacional de Ciberseguridad (INCIBE), entidad dependiente del Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, y la Universitat Politècnica de València (UPV).
Esta cátedra está incluida en el programa de Cátedras de Ciberseguridad en España, en el marco del Plan de Recuperación, Transformación y Resiliencia, con la financiación de los Fondos Next Generation-EU.
El objetivo de este encuentro ha sido concienciar a la sociedad en general, y empresas en particular, de la importancia de la ciberseguridad y de su prevención, mejorar las estrategias de ciberseguridad en los sistemas de información, identificar vulnerabilidades en el software y desplegar medidas para mitigarlas, así como promover el uso de estándares industriales en las empresas.
Durante la celebración del debate también ha habido hueco para hablar sobre la NIS2, la legislación europea en materia de ciberseguridad, que está en proceso de trasposición en España y que busca mejorar la resiliencia de las redes y sistemas de información en todos los estados miembros de la Unión Europea.
Esta normativa establece obligaciones específicas para las empresas en ciberseguridad, como la gestión de riesgos, la respuesta a incidentes y la notificación de los mismos a las autoridades competentes.
Dirigidos por Borja Ramírez, responsable de Redacción Web de Economía 3, hemos contado con la opinión de expertos como Santiago Escobar, director de la Cátedra de Ciberseguridad INCIBE-UPV; Paulina Vélez, Cyber&Tecnology Practice Leader en Marsh McLennan; Ricardo Lacal, BDM del Área Cloud en Lãberit; Luis Camiro, EMEA Presales&Partners International en Stratic-Proactivanet; Fernando Seco, director de Gobierno de la Seguridad en S2 Grupo; Eduardo Oliver, Cybersecurity Sales en Fortinet; Enrique Ortiz, Chief Techinical Officer&Director of Compliance en AuraQuantic; Ander Galisteo, director de Ciberseguridad Industrial en Cybertix; y Pablo Rodríguez, socio y CTO en MESbook.
Santiago Escobar, director de la cátedra INCIBE-UPV. Imagen: Lidia Pérez
Escasea la formación en ciberseguridad
Santiago Escobar, que consiguió convencer a la Universitat Politècnica de València (UPV) para contar con una cátedra en Ciberseguridad junto con el Instituto Nacional de Ciberseguridad (INCIBE) ha reconocido que la formación sobre esta materia «sigue siendo minoritaria». La Universidad va por detrás ya que esta necesita ser validada por la Agencia Nacional de Evaluación y Acreditación (Aneca).
A pesar de todo, la UPV ha apostado por este conocimiento y ha puesto en marcha un Máster donde también tienen cabida las nuevas legislaciones como es el caso de la NIS2, aunque «intentamos desde el máster proporcionarles formas de aprender más genéricas que ir a lo concreto».
Escobar sí que ha incidido en que «los estudiantes cuando salgan al mercado deben conocer estas nuevas normativas» y ha hecho hincapié en que desde la Universidad «formamos a los alumnos para que puedan ceñirse a los estándares industriales de las empresas».
Ricardo Lacal, BDM del Área Cloud en Lãberit. Imagen: Lidia Pérez
Ricardo Lacal, BDM del Área Cloud de Lãberit, dedicada al desarrollo de software y soluciones tecnológicas, ha explicado que las empresas aprenden sobre ciberseguridad «a fuerza de golpes ya que siguen teniendo como objetivo principal el coste» y para minimizarlo, -ha corroborado- sacrifican la partida destinada a esta palanca.
Lacal ha revelado que trabajan con tecnologías Microsoft, compañía que está implicada con la normativa europea (NIS2) y «si el cliente nos lo permite, estamos capacitados para ofrecer la ciberseguridad desde el diseño en una arquitectura cloud».
Además de priorizar el coste, las empresas cometen otros errores, tal y como ha recordado Lacal como «priorizar otros aspectos de la compañía, sobre todo por parte de empresas familiares donde la dirección no esta profesionalizada y se rigen más por criterios económico-financieros». También ha puesto el acento en no contar con el apoyo adecuado en ciberseguridad.
Fernando Seco, director de Gobierno de la Seguridad en S2 Grupo. Imagen: Lidia Pérez
Fernando Seco, director de Gobierno de la Seguridad de S2 Grupo, compañía valenciana experta en ciberseguridad desde hace más de 2o años, ha destacado que «las empresas se han subido al tren de la ciberseguridad poniendo el foco en el puro negocio». Ante este hecho, ha puesto en valor la necesidad de establecer una estrategia de negocio alineada con la de ciberseguridad.
Estrategia en ciberseguridad
A su juicio, «existen dos tipos de empresas, las que han sufrido un incidente y las que lo padecerán en el futuro. Por ello es preciso establecer una estrategia de ciberseguridad, y no solo como una mera fórmula para cumplir un determinado marco legal».
Eduardo Oliver, Cybersecurity Sales en Fortinet. Imagen: Lidia Pérez
Eduardo Oliver, Cybersecurity Sales en Fortinet, compañía americana desarrolladora de productos de ciberseguridad, ha aclarado que existe sensibilidad sobre la ciberseguridad. Sin embargo, ha admitido que «las empresas no saben qué tienen que proteger, si tienen que centrarse en el dato, en el proceso industrial… y es en este punto donde aparecen los problemas de costes».
Por ello ha transmitido la necesidad de analizar «dónde está el valor en la empresa y normativas como la NIS2 ayudan a tener un orden».
Ander Galisteo, director de Ciberseguridad Industrial en Cybertix. Imagen: Lidia Pérez
Ander Galisteo, director de Ciberseguridad Industrial en Cybertix, compañía con sede en San Sebastián (Guipuzkoa), centrada en la automatización de la ciberseguridad con el foco puesto en las pymes, ha añadido otro problema a lo dicho anteriormente por Eduardo Oliver y es «que las empresas saben que hay aspectos de ciberseguridad pero no entienden en qué entorno se están moviendo».
Ha informado también que «el aumento de los ciberataques se debe al abaratamiento de las herramientas». «Tradicionalmente, -ha continuado-, las soluciones que se han implementado son muy ad hoc a la empresa, el coste es muy alto y no son replicables. En este caso las pymes se ven más desprotegidas», teniendo en cuenta que se trata de «una pesca de arrastre porque los ciberdelincuentes van a por todas».
Por ello y ante un entorno cada vez más hostil, Galisteo ha defendido que «las pymes no pueden quedarse esperando a que pase la tormenta».
Galisteo ha destacado también una cuestión importante y es que «la productividad se puede medir pero la ciberseguridad conlleva cierta complejidad».
Pablo Rodríguez, socio y CTO en MESbook. Imagen: Lidia Pérez
Pablo Rodríguez, socio y CTO en MESbook, que ofrece soluciones de Industria 4.0, ha puesto el foco en la falta de productividad de la industria, una situación que provoca que «muchas empresas familiares no tengan presupuesto para otras cosa que no sea producir, una situación que se da mucho en el agroalimentario, sector que confía en que a los delincuentes no le interesa su negocio».
Nada más lejos de la realidad, -ha confirmado Rodríguez- ya que «para un cibercriminal lo importante es parar la actividad de la empresa y pedir un rescate para que esta pueda retomar su producción».
En este punto, Ricardo Lacal ha puntualizado que «pocas empresas tienen músculo para estar parados por un ciberataque».
Paulina Vélez, Cyber&Tecnology Practice Leader en Marsh McLennan. Imagen: Lidia Pérez
Gestión del riesgo
Paulina Vélez, Cyber&Tecnology Practice Leader en Marsh McLennan, aseguradora internacional en ámbitos como los riesgos, la estrategia o los recursos humanos, ha incidido también en que las empresas siguen viéndolo como un coste.
Ha advertido que «el riesgo tiene que ser gestionado transversalmente por la organización».
Vélez ha llamado la atención sobre la necesidad de cambiar el discurso y pasar de cuánto me va a costar la implementación de determinadas herramientas a «cuánto me costaría si un ataque paraliza la empresa».
Para la experta, «el éxito está en que la dirección priorice la ciberseguridad». Ha advertido que «no se puede gestionar el riesgo simplemente mitigándolo».
En su opinión, las empresas deben empezar a valorar la ciberseguridad desde una visión más amplia y dejar de lado la idea de que «cómo cuento con un equipo de tecnología este va a solucionar el problema».
Vélez ha puesto el foco en que las empresas deberían reflexionar sobre «cuál sería el coste de no contar con medidas para hacer frente a los ciberataques». Teniendo en cuenta que no cumplir con la nueva normativa de la Unión Europea, que debería haber estado traspuesta en octubre de 2024, puede conllevar sanciones donde puede verse afectado hasta un 2% del patrimonio.
Luis Camiro, EMEA Presales&Partners International en Stratic-Proactivanet. Imagen: Lidia Pérez
Luis Camiro, EMEA Presales&Partners International en Stratic-Proactivanet, ha señalado la importancia de «trabajar a dos velocidades». En este sentido ha manifestado que «tiene que haber gente dedicada a lo nuevo y desligada del día a día, para que pueda pensar lo que queremos hacer en el futuro y viendo los costes como una oportunidad».
Falta de talento
Eduardo Oliver ha puesto ha añadido otra variable al debate como es la falta de capital humano tanto en las empresas como en la Administración. «El 50% de las plazas no se cubren. Una situación que ha llevado al mercado a crear herramientas automatizadas».
Paulina Vélez ha tomado la palabra y ha manifestado que la formación en ciberseguridad es minoritaria frente. «El mayor valor de muchas personas es la formación pero no la universitaria», haciendo referencia a la que se adquiere en la empresa.
En este momento del debate, Santiago Escobar ha reconocido que desde la UPV se llevó a cabo un gran esfuerzo para poner en marcha el máster en ciberseguridad que en estos momentos se está evaluando.
NIS 2 en todos los sectores
La nueva normativa europea establece que debe aplicarse en todos los sectores y diferencia entre esenciales e importantes. En concreto, afecta a empresas medianas de entre 50 y 250 empleados, que facturan entre 10 y 50 millones de euros; y grandes, de más de 250 empleados y más de 50 millones de euros de ventas.
Por otra parte, otro de los errores en el que pueden caer las empresas, es preocuparse solo «por cubrir el expediente» para no ser penalizado, ha advertido Fernando Seco. Por ello, las organizaciones «deben monitorizar sus incidentes».
Paulina Vélez ha incidido también en la necesidad de cuantificar el riesgo, aunque ha admitido que hay que acumular información porque todavía no hay suficiente.
Enrique Ortiz, Chief Techinical Officer&Director of Compliance en AuraQuantic. Imagen: Lidia Pérez
Ante esta cuestión, Enrique Ortiz ha informado que en la plataforma de AuraQuantic «el usuario es capaz de crear procesos que funcionan muy bien y establecer alertas para que los técnicos se puedan dedicar a temas más productivos».
Descubrimiento de setas
Luis Camiro ha explicado que, como fabricantes de soluciones para la gestión de activos y de servicios, «debemos detectar los activos más esenciales para gestionar los negocios lo que nos ha facilitado trabajar con instituciones como el Ministerio de Defensa o la OTAN».
En concreto, Camiro ha explicado que deben preocuparse por lo que ha calificado como «el descubrimiento de setas», en referencia a aquellos elementos que no sabíamos que estaban y que pueden «suponer una puerta abierta a nuestra red».
Para corregir estas fugas en la red, Camiro ha informado que establecen acciones correctivas y alertas para prevenir un posible ataque. «Intentamos identificar vulnerabilidades para conocer nuestros riesgos o posibles entradas a nuestra red. Además de establecer un análisis predictivo».
«No podemos tener una cúpula donde no puede entrar nada», ha admitido.
Eduardo Oliver ha puesto el foco en las brechas de seguridad que pueden producir los empleados a través del correo electrónico al que llegan software diseñados para dañar la red.
Sobre la industria, Oliver ha explicado que es donde menos se ha puesto el foco ya que «el empresario suele alegar que no está conectado con nada y no tiene nada que proteger».
Ha recordado que la ciberseguridad es un entorno que cambia muy rápido y ha advertido que la Administración pública también debe aplicarla. ya que «la regulación también les afecta ellos».
Pablo Rodríguez ha especificado que «la IT es una rama olvidadísima en los consejos de dirección de las empresas y sobre todo en el sector agroalimentario que no saben que tienen que cumplir la normativa».
Sobre la NIS2, Rodríguez ha valorado que la catalogación de empresas que lleva a cabo por facturación y empleados «es muy genérico» porque «no es lo mismo una empresa farmacéutica que una hortofrutícola porque sus problemas de ciberseguridad son distintos».
¿Estamos más desprotegidos?
Ander Galisteo ha reconocido que estamos en un entorno más hostil «porque cada vez hay más superficie de ataque y los sistema son más complejos». «Sabemos cuál es la realidad pero no sabemos qué exponencialidad tiene».
Eduardo Oliver también es consciente de que el riesgo está creciendo exponencialmente «porque las herramientas son más rápidas y las universidades y la Administración tiene que enseñar a adaptarse».
Para Fernando Seco y centrándose en las personas, ha admitido que «somos más conscientes pero más vulnerables porque somos manipulables y existe una desinformación».
En esta misma línea, Enrique Ortiz ha asegurado también que «los ataques van a subir pero la protección está subiendo al mismo nivel». De hecho, «se protege, se descubre y se vuelve a proteger».
Ander Galisteo ha clarificado que «como la normativa no está traspuesta, las empresas están indefensas y no saben los que tienen que hacer».
El representante de Cybertix ha explicado tres ámbitos diferenciales en la NIS2: «la responsabilidad de los directivos; la necesidad de reportar ante una entidad sobre el ataque que ha sufrido la empresa de manera anónima para ayudar al sector; y la importancia de que todos los eslabones de la cadena de suministro cumplan la normativa».