Sngular y revista Emprendedores han organizado el evento La próxima brecha: Ciberseguridad, pilar de crecimiento sostenible en el que reconocidos expertos en ciberseguridad han hablado sobre los riesgos a los que están expuestas las empresas en esta materia y qué se puede hacer para evitarlos.
El acto, presentado por Alejandro Vesga, director de la Revista Emprendedores, comenzó con la participación de Víctor González, Cybersegurity head of Sngular, que expuso dos ejemplos muy distintos de cómo actúan las empresas en casos de ciberataques.
Con el título Hacking Las Vegas, González expuso cómo dos grandes empresas, MGM Resorts y Caesars Entertainment reaccionaron ante un ataque a sus sistemas y ante la exigencia de un rescate de 30 millones de dólares para volver a la normalidad.
La respuesta de cada una de las empresas, la que decide pagar (Caesars) y la que decide resolverlo por su cuenta (MGM) sirvió para plantear a qué se enfrentan las empresas cuando sucede algo así: riesgo reputacional, pérdidas millonarias, demandas colectivas por la filtración de datos personales de 37 millones de personas en ese caso concreto. Y para plantear a los presentes varias reflexiones: ¿si estuvieras en su lugar habrías pagado el rescate?, ¿sabemos cuánto nos cuesta cada hora de inactividad crítica?, ¿tienes criterios claros y compartidos para tomar esa decisión bajo presión?
La conclusión, para Víctor González, es que cada decisión tiene sus pros y sus contras y que la única forma “buena” de actuar cuando se trata de ciberseguridad es teniendo claro que debemos tener un plan antes de que llegue la crisis.
Cómo acabar con la brecha de la ciberseguridad
Amenazas en evolución
En el encuentro se ha hablado de que el 70% de los ataques de ciberseguridad van dirigidos a pymes y, sin embargo, son las pequeñas y medianas empresas las que menos conciencia tienen sobre la necesidad de protegerse de un ciberataque. También, que vamos a una ciberseguridad más preventiva y que es necesario automatizar la protección para evitar brechas, ya que el 95% de los problemas de seguridad se deben a errores humanos.
Parte de estos temas se abordaron en una mesa redonda, presentada por Alejandro Vesga, para concienciar de las amenazas a las que se enfrentan las empresas y cómo estas evolucionan continuamente. Para hablar de estos temas le acompañaban Santiago Simón, gerente económico financiero en el Instituto Nacional de Ciberseguridad, y María Bertomeu, especializada en Inteligencia Artificial para defensa en Multiverse Computing.
Simón explicó que desde Incibe hacen un estudio con las principales amenazas a las que se enfrentan las empresas. Y expuso algunos datos de cómo están evolucionando estas amenazas. Por ejemplo, el último año aumentaron en un 16% los incidentes en ciberseguridad y en un 43% en el entorno empresarial. Se producen 100.000 incidentes al año, la mayoría de ellos relacionados con fraudes (38.000), malware (42.000) y fishing (21.000). El 46% son incidentes que causan perjuicio económico o reputacional.
Para ayudar a las empresas a afrontar estos desafíos, Incibe dispone de un catálogo con las posibles soluciones y ofrece formación a las personas y trabajadores que lo necesiten.
La necesidad de la formación para evitar ataques estuvo presente en todo el evento. Y tiene toda la lógica, ya que hablamos de ataques que evolucionan constantemente. Hay que estar al día. También de la importancia de concienciar sobre los fallos humanos y la necesidad de introducir buenas prácticas en las empresas, empezando por los CEOS.
Desgraciadamente, las pymes son las que menos conciencia tienen sobre esto, como ya hemos apuntado, y son las que más sufren los efectos de estos ataques, que a menudo resultan definitivos para los negocios: 6 de cada diez empresas atacadas cierran a los 6 meses.
María Bertomeu introdujo una advertencia sobre cómo la evolución de la tecnología puede poner en riesgo la información que creemos segura. La IA es una herramienta muy poderosa, con ella se pueden lanzar ataques más personalizados y más realistas. Las empresas son más vulnerables y es un riesgo que afecta a la resiliencia de todo el país. Bertomeu habló, además, de un riesgo poco conocido, el del avance de la tecnología cuántica. Cuando estos ordenadores estén disponibles, aproximadamente en diez años, se podrá desencriptar la información que hoy creemos segura. Eso nos obliga a repensar la forma de proteger nuestra información y evolucionar hacia una tecnología híbrida en la que esté presente la cuántica.
Aquí María introdujo otra reflexión clave que estuvo presente en el evento: hay que abordar la ciberseguridad de forma preventiva. Las soluciones híbridas para estar mejor protegidos nos ayudarán a estar preparados para cuando se desarrolle la tecnología cuántica (Multiverse Computing justamente está especializada en este tipo de servicios).
¿Está mi empresa bien protegida?
Tras la toma de conciencia de los riesgos, en la segunda mesa se abordó el tema un poco más en profundidad para las empresas que ya tienen medidas de seguridad, pero quizás no están bien protegidas.
Bajo la pregunta: ¿Es suficiente el nivel de seguridad de mi empresa?, Arturo Belda, principal de ciberseguridad de Sngular, conversó con Jorge Blanco, director, office of the CISO, Iberia & LatAM en Google; Xabier Mitxelena, fundador y CEO en CYBERTIX, presidente de Cybasque y presidente de AEI Ciberseguridad y Gustavo Hernán, Manager Strategy and Business Development de ISACA.
Para Jorge Blanco, no existe una métrica única que nos ayude a saber si estamos bien protegidos, pero sí nos puede ayudar hacernos algunas preguntas, como ¿a qué me dedico y ante qué me quiero proteger? ¿Cuál es la joya de la corona de la empresa?
También, analizar las amenazas a las que te enfrentas y en función de eso diseñar un plan.
Xabier Mitxelena insistió en que el primer error en temas de ciberseguridad es que los responsables de las empresas no se hacen la pregunta inicial de la mesa: ¿Es suficiente el nivel de seguridad de mi empresa? “Los directivos tienen otras preocupaciones lejos de este ámbito de la ciberseguridad”, dijo, y advirtió de que “ésta no debe dejarse en manos de terceros. Tiene que estar dentro de la empresa”.
También apuntó un pequeño cambio que justo se está produciendo ahora: “Es el primer momento en 25 años que las pymes preguntan por ciberseguridad. Solo cuando tenemos un problema levantamos la mano”, aseguró, cuando “invertir en ciberseguridad es un elemento de necesidad”.
Gustavo Hernán habló de la necesidad de formarnos en ciberseguridad. “O empezamos a formarnos o estamos perdidos”, dijo. E insistió en que la ciberseguridad es transversal, afecta a todos los roles de la empresa. Todos tienen que saber que la ciberseguridad es importante. Además, destacó la necesidad de invertir en formar a nuestros propios profesionales animando a los empresarios a tirar de los fondos europeos destinados a este fin: hay 64.000 millones de euros para ayudar a las empresas en materia de ciberseguridad. “Están a disposición de las empresas para formar a sus profesionales y hay centros de formación importantes. También Incibe pone a disposición de las empresas sus recursos”.
Xabier Mitxelena insistió también en la formación y compartió un dato muy preocupante: en el mundo faltan 4 millones de profesionales de ciberseguridad; en España 100.000.
IA y nubes seguras
El avance de la tecnología, el hecho de que vivamos cada vez más en un mundo conectado, incrementan la necesidad de una mayor protección. Estamos ante un cambio de paradigma. “Toda la cadena de suministro debe garantizar la seguridad”, explicó Mitxelena que también advirtió sobre la necesidad de explicar a los empleados el uso de la IA y evaluar el impacto que tiene su uso en el negocio.
Una clave para hacer frente a esta mayor necesidad de protección está en la automatización de la ciberseguridad. Aquí, Jorge Blanco apuntó los servicios que ofrece Google en temas de automatización y uso de la IA y la capacidad para proteger superficies muy grandes. Algunas con más de 5 millones de personas. “No podemos apalancarlo en las personas exclusivamente. Más allá de lo que Google puede ofrecer con sus productos, hay que proporcionar plataformas y productos seguros por defecto. A las empresas hay que darles sencillez, sistemas operativos seguros, dispositivos seguros y plataformas cloud seguras y soberanas”.
Blanco destacó que la geopolítica actual está haciendo que cada vez más empresas se pregunten si la nube europea es segura o si se puede acceder a ella desde fuera de Europa. Y su respuesta fue un “rotundo sí, es segura. Google tiene controles que garantizan el cumplimiento de las distintas regulaciones. La nube es soberana, no solo a nivel europeo, sino también a nivel nacional y a nivel local. Se hacen muchos controles adicionales para asegurar que solo accedan a los datos quienes los clientes decidan. La soberanía de datos y la seguridad de los datos están garantizadas”.
