Ahora León / Ciberseguridad / Fuente: Ignacio Santa María | Soziable.es
Un ‘annus horribilis’ para la ciberseguridad en todo el mundo. Así es como se puede calificar al año 2017, después que hayamos asistido a un incremento exponencial de los riesgos y los incidentes en el mundo digital. Algunos ciberataques masivos como WannaCry, Petya o Equifax han tenido repercusión mundial y han marcado un antes y un después en materia de ciberseguridad.
Una de las compañías españolas que se dedican a asesorar a las empresas sobre ciberseguridad es S2n Grupo. Su presidente, José Miguel Rosell, no se anda con rodeos al describir la amenaza a la que nos enfrentamos. “El año 2017 ha sido la prueba palpable de que es imprescindible para una empresa tener una estrategia de ciberseguridad porque, si no, vamos a perderlo todo: desde dinero hasta vidas. Hay muchos incidentes, muchos más que los que aparecen en la prensa, y cada vez son más graves y más sofisticados. Detrás de estos ataques hay un negocio que mueve más dinero que la pornografía y el narcotráfico”.
En efecto, las cifras son cada vez más alarmantes. Se calcula que el año pasado el impacto del cibercrimen en todo el mundo alcanzó los 360.000 millones de euros, lo que supone 70.000 millones más que el año anterior, según lo datos que maneja el Instituto Nacional de Ciberseguridad (Incibe). En lo que respecta a España, el presidente de S2 indica que se producen 26.500 incidentes al año.
Las empresas españolas están inmersas en la transformación digital, “un tsunami arrollador que alcanza a todos los sectores y ha llegado para quedarse”, según Rosell. Esta digitalización tiene que estar acompañada de seguridad y esto no es algo que hoy por hoy sea obligatorio. Como advierte el director de Seguridad de Gas Natural Fenosa, José Luis Bolaños, “el mundo digital acarrea grandes riesgos, no tiene leyes y no tiene fronteras”.
Por esta razón, la preocupación por crear entornos digitales debe enmarcarse en la responsabilidad social de las empresas. Es esta convicción la que ha llevado al secretario general del Club de Excelencia en Sostenibilidad, Juan Alfaro, a incluir una lección magistral sobre ciberseguridad en el Programa Ejecutivo de Responsabilidad Corporativa del IE Business School, a la que ha tenido acceso Soziable.es.
“Construir entornos seguros tiene que ver con la responsabilidad de la empresa. Es una herramienta de ‘management’ voluntaria y nosotros la vamos a acoger de buen grado en el ámbito de la RS de la empresa”, expresa Alfaro, quien subraya la importancia que la ciberseguridad ha ido adquiriendo en el ámbito de las empresas españolas: “Hace 10 años eran pocas las compañías que incoporaban medidas de ciberseguridad, pero hemos visto cómo esta materia se ha ido imbricando en todos los procesos”.
Las grandes compañías están concienciadas de la gravedad de los problemas de ciberseguridad, según el presidente de S2 “porque sufren ataques casi a diario”, pero queda mucho trabajo por hacer en las pymes. Esta es una realidad que pone de manifiesto un reciente informe de la consultora PwC a partir de una macroencuesta global a 9.500 directivos (más de 300 en España). Según este estudio, el 67,7 por ciento de los directivos españoles encuestados considera “probable” o “muy probable” que sus empresas sufran un ciberataque a corto plazo, sin embargo, el 49 por ciento de ellos reconoce que su compañía no tiene un estrategia integral de ciberseguridad.
Somos parte de un sistema
Los riesgos de ciberseguridad están creciendo a una velocidad cada vez mayor porque cada día crece la interconectividad entre personas y dispositivos. “La probabilidad de sufrir un incidente aumenta con la conectividad: cuanto más nos interconectamos, cuanto más somos parte de un sistema, más probabilidad tenemos de sufrir un incidente de seguridad. Además el impacto será cada vez mayor dado que crece también nuestra dependencia de la tecnología”, señala Rosell.
Y las personas son un elemento clave porque constituyen el eslabón más vulnerable de la cadena de la ciberseguridad. Lo explica Andrés Núñez, director de S2 Grupo: “La gran mayoría de los ciberataques que nos estamos encontrando aprovechan la vulnerabilidad de la persona. Podemos tener personas malintencionadas pero también acciones inocentes que son producto de la falta de conocimiento o de conciencia en materia de ciberseguridad y que son aprovechadas por un atacante para causar un daño a la organización”.
Por ello, la formación y sensibilización de directivos y empleados es de una importancia vital. El director de Seguridad de Gas Natural Fenosa lo argumenta de este modo: “Cuando hablamos de tecnología, nos centramos siempre en máquinas y herramientas pero somos conscientes de que verdaderamente el problema no está tanto en las máquinas como en las personas que manejan las máquinas”.
Bolaños también coincide con los responsables de S2 en que las personas son el eslabón más débil: “Somos nosotros los que regalamos nuestros datos a cambio de una aplicación. Esto es como cuando llegaron los descubridores a América, que conseguían que los nativos les dieran oro a cambio de un espejo. Hoy los datos son el oro del mundo digital. Con esos datos y unos algoritmos determinados se puede obtener mucho dinero”.
El sentido común, el mejor antivirus.
Gas Natural Fenosa es un ejemplo de empresa que está haciendo los deberes. Desde 2015 desarrolla un ambicioso plan de ciberseguridad que combina jornadas para empleados y familiares, campañas de comunicación globales e itinerarios formativos on line y presenciales. Es un plan complejo pues tiene que dar soluciones a una multinacional presente en 31 países, con 16.000 empleados directos y millones de clientes.
Su director de Seguridad indica: “Hemos de pensar como una empresa cuyos fallos pueden tener un impacto en la sociedad; tenemos empleados que están actuando en infraestructuras críticas, que hacen operar a redes eléctricas o de gas, donde un fallo puede provocar un colapso en el conjunto de la sociedad”.
En este sentido, Bolaños está convencido de que “hay que integrar la ciberseguridad en nuestra cultura a través de la formación e información de nuestros empleados para que sean más activos y estén más involucrados”. El directivo de Gas Natural Fenosa menciona que por ello han creado dentro de la compañía la figura de ‘embajadores de ciberseguridad’, que son “personas que voluntariamente están contribuyendo a mejorar las prácticas de ciberseguridad en su entorno”.
Tanto Bolaños como los responsables de S2 creen que los antivirus y otras herramientas de ciberseguridad son imprescindibles, pero que no sirven de nada si las personas que forman la compañía no están sensibilizadas y formadas. “El antivirus es necesario pero no suficiente. El sentido común es mejor que los antivirus”, sentencia Rosell.
“Las organizaciones gastan millones de euros en ‘firewalls’ y dispositivos de seguridad pero tiran el dinero porque ninguna de estas medidas cubren el eslabón más débil de la cadena de seguridad que son las personas que usan y administran la tecnología”, opina el director de Seguridad de la eléctrica.
“Parece que lo bueno y lo importante tiene que costar millones, pero hacer estas campañas de concienciación tiene un coste ridículo en comparación con la adquisición de cualquier herramienta tecnolológica y te permite atacar uno de los principales vectores de ciberataque que es la falta de conocimiento de las personas de los riesgos del mundo digital”, concluye Bolaños.