¿Cuáles son los riesgos a los que se enfrentan las empresas en materia de ciberseguridad?
Desde hace unos años, existe una industria que acecha sobre las vulnerabilidades de los demás: nos enfrentamos a organizaciones criminales con motivación y financiación y, sin duda, son unos enemigos temibles más allá de lo que pudiéramos tener en mente de esa visión de los hackers comunes. Ahora mismo lo que les mueve son intereses económicos, se trata de crimen organizado. Por otro lado, estas organizaciones criminales tienden a atacar al punto más débil de nuestra cadena de seguridad: las personas, que son el punto más fácil para poder entrar y atacar una organización y llegar a ese objetivo económico, bien secuestrando información o bien vendiendo la información secuestrada. Por ello, debemos invertir prioritariamente en concienciación y formación, ya que es la única manera de hacer frente a estos grupos, que están muy preparados, muy motivados y muy bien financiados.
En los últimos años las empresas han aumentado su inversión en ciberseguridad, ¿a qué se debe esto?
Básicamente, creo que aquello que antes sonaba lejano ahora ya se ve cercano y preocupa, de ahí la mayor inversión. Hay dos tipos de inversiones en ciberseguridad: la anterior y la posterior a un evento de seguridad, es decir, vamos a poder invertir en seguridad previniendo, que es mucho mejor, o a raíz de un evento de seguridad que haya podido poner en riesgo nuestra información. Las empresas lo están entendiendo y están empezando a asumir estas premisas, porque quien más y quien menos tiene conocidos de negocio que han recibido algún tipo de ataque, por lo que lo empiezan a interiorizar. A ello hay que sumar el papel de los medios de comunicación, que también dan eco a los ciberataques y aquello que se veía antes muy lejano se vuelve más cercanos y podemos sufrilor. Ese miedo en parte es bueno para sobrevivir y ya ha empezado a desatascar o desapalancar esas inversiones en seguridad que antes se consideraban gasto.
¿Qué perfiles de empresas están aumentando su implicación en ciberseguridad?
Todas. De cualquier tamaño y de cualquier sector. Pero ahora bien, nos hemos dado cuenta que todas aquellas empresas que tenían una derivada en procesos de fabricación industrial, es decir, que tenían tecnologías industriales y fábricas de todo tipo más allá de los que son las empresas de servicios, se están dando cuenta de que es estrictamente necesario invertir en ciberseguridad. Tradicionalmente, la ciberseguridad había sido liderada por la parte de Information Technologies, y la parte de Operational Technologies (de industria, de la fábrica) se había quedado un poco relegada. Sin embargo, ahora mismo estamos en una sociedad hiperconectada y las empresas industriales se han dado cuenta que la información tiene que fluir desde el lado de la fábrica, del proceso de fabricación, hacia los procesos de gestión y de negocio, y tienen que estar interconectadas, y es ahí donde se han dado cuenta de la existencia de brechas. Por eso, sobre todo la industria se ha dado cuenta de que sus redes OT eran vulnerables e incluso hemos tenido que lidiar para modificar diseños o implementar modelos de seguridad en redes nuevas.
¿Cuál sería el valor de la ciberseguridad en este nuevo ecosistema digital hacia el que se están moviendo las empresas?
El todo conectado, es decir, un modelo de negocio donde la información tiene que fluir, es un modelo de negocio donde las redes tienen que estar conectadas. Con la implantación de estos nuevos modelos basados en la inmediatez y deslocalización, la ciberseguridad es ya una disciplina transversal a todos los procesos ligados al negocio y soportados por tecnología. En este punto hay que señalar que tenemos una falta de perfiles especializados en ciberseguridad; la demanda de las empresas está empezando a ser muy importante y esto puede generar un problema en los próximos 4 ó 5 años.
¿Están preparadas las pequeñas, medianas y grandes empresas para implantar procesos que protejan la información? ¿Cuáles serían los pasos necesarios para conseguirlo?
Aquí tenemos que diferenciar porque el tamaño sí que importa: por un lado tenemos a las pymes y por otro tenemos a las grandes empresas. Las grandes empresas llevan años de ventaja sobre las pymes sobre todo a nivel de ciberseguridad. La gran empresa sí que tiene una buena predisposición a evolucionar e incrementar el grado de madurez en ciberseguridad, en cambio la pequeña y mediana empresa sigue pensando que los problemas de seguridad se resuelven con tecnología, y si crees que los problemas de ciberseguridad se resuelven con tecnología, ni sabes de seguridad ni sabes de tecnología. Es decir, no podemos circunscribir todos los problemas de seguridad de nuestra empresa a remedios tecnológicos, porque intervienen muchas más cosas (procedimientos, políticas, una buena gestión del riesgo, etc.). Y todo esto es lo que estamos haciendo desde el área de ciberseguridad de Izertis, un proceso de evangelización importante y que realmente afecta básicamente al Senior Management: no olvidemos que la ciberseguridad es un proceso total, tiene que venir de arriba a abajo, por lo que nuestro principal objetivo es evangelizar a estar personas que tienen poder de decisión en las empresas para dejarles claro que tiene que hacerse una evaluación de riesgo, gestionarse ese riesgo y, en función de que activos de información tienen que proteger, vamos a poder optar a un conjunto de soluciones arbitradas, pero que distan mucho de una solución meramente tecnológica. Este es uno de nuestros objetivos, ya que necesitamos hacer una inversión planificada, ordenada y arbitrada.
¿Cuál es el principal valor añadido que apunta Izertis en este campo?
La ciberseguridad forma parte del ADN de Izertis. Somos capaces de minimizar el riesgo sobre aquellos activos de información, procesos y plataformas sobre los cuales nosotros mismos somos especialistas en la implantación, es decir, dentro de la consultora Izertis somos equipos multidisciplinarios y tenemos grandes profesionales en diferentes áreas de tecnología y procesos. Tener esa capacidad no sólo de crear y poder implantar tecnología, sino además contar con la experiencia de los implantadores, diseñadores y arquitectos de esas tecnologías para poder arbitrarlos a nivel de ciberseguridad es un lujo. Y eso nos lo podemos permitir en Izertis, porque tenemos esa capacidad de conocimiento en muchos palos tecnológicos y la ciberseguridad ahí actúa como un eje vertebrador a nivel transversal. Asimismo, la compañía ha apostado y ha dado un impulso sostenido al área de ciberseguridad para poder desarrollar un modelo de negocio de extremo a extremo, ya que podemos ir desde la consultoría hasta el extremo más operacional, que es la oficina de operaciones de seguridad.