Expertos en ciberseguridad apuestan por la corresponsabilidad
forevervirtual.net
MADRID. (Portaltic/EP) – La concienciación y la formación en ciberriesgos se presenta como de vital importancia para las entidades tanto públicas como privadas y de cualquier tamaño, pero más allá de ser conscientes de que puede ocurrir un ataque, la creación de un plan de recuperación y la confianza en los proveedores externos marca la diferencia entre las empresas. En este sentido, los expertos del sector apuestan por la corresponsabilidad, incidiendo en que “externalizar servicios no exime de obligaciones” a las compañías.
Estas son algunas de las conclusiones que se han compartido este miércoles en el Tercer Foro Tecnológico organizado por Europa Press, ‘Ciberseguridad y Ciberamenaza: Estándares de Seguridad y Protección de Ciberataques’, que ha presentado el jefe del Área de Normativa y Servicios de Ciberseguridad del Centro Criptológico Nacional (CCN), Pablo López, y que ha contado con la presencia del Head of Cybersecurity de Fujitsu, Javier Pérez; el director de Preventa y Desarrollo de negocio de Econocom Servicios, Isaac Rosado; el director en el área de Risk Advisory de BDO, Roger Pérez; y el Cloud Director Southern Europe en OVHCloud, Adrián González.
Pablo López, en representación del CCN, ha afirmado que en un contexto creciente de ciberamenazas, “toca implementar la mejor práctica, que nos la dan los estándares de seguridad”. Estos estándares “dan criterio y orden, […] son una pauta a seguir”. Pero ha matizado que hay que ir más allá, y contar también con un modelo.
Este modelo debe permitir adaptar el servicio que se necesita en función de los recursos y de la madurez que tiene la entidad, y ha de poderse llevar a la práctica para que el cibercriminal lo entienda como una disuasión.
López también ha destacado la importancia de mantener actualizados los estándares a las últimas innovaciones, y de generar, a partir de las buenas prácticas, una interiorización en los todos los actores que intervienen en este proceso, para que vean “la ciberseguridad como algo necesario”.
“En el CCN nos hemos convertidos en facilitadores. No hace falta que nosotros contemos este mensaje, porque el mensaje ya está calando. Estamos creando algo que se llama cultura. Somos lo que defendemos; si al final te crees esto, eres parte de esto”, concluye el directivo.
ELEGIR ENTRE DIGITALIZACIÓN O CIBERSEGURIDAD
Una de las principales amenazas de hoy en día lo representa el ‘ransomware’, como ha destacado el Head of Cybersecurity de Fujitsu, Javier Pérez, quien ha citado un reciente estudio del Foro Económico Mundial en el que se recoge que los ataques de este tipo han crecido un 435 por ciento en 2021.
Aunque “el objetivo final es ganar dinero”, como ha apuntado el directivo de Fujitsu, los ‘ransomware’, y otras ciberamenzas, pueden tener un fuerte impacto en la reputación y la productividad de las entidades afectadas, como ha indicado el director de Preventa y Desarrollo de negocio de Econocom Servicios, Isaac Rosa.
Sin embargo, todavía hoy hay directivos que anteponen la inversión en transformación digital a la inversión en ciberseguridad. “No creo que sean excluyentes”, apunta Rosado, quien explica que “no se trata de elegir entre transformación digital y ciberseguridad”, sino de que esos mismos servicios tienen que ser parte de la cultura corporativa.
Y precisamente para evitar elegir entre uno y otro están los estándares, que “son unas guías de buenas prácticas, unos requerimientos mínimos, pero que permiten saber lo que tienes que hacer y lo que no puedes hacer en relación con un sistema de información y la gestión del riesgo”, ha afirmado el director en el área de Risk Advisory de BDO, Roger Pérez.
Parte de la transformación digital supone el paso a la nube, pero “las velocidades son muy diferentes”, ya que “no todo el mundo tiene la misma capacidad, no todas las tecnologías, no todas las nubes están hechas para todo tipo de proyectos”, como recuerda el Cloud Director Southern Europe en OVHCloud, Adrián González.
“Dentro de esta trasformación y dentro de lo que tiene que ver la protección del dato, no podemos olvidar los marcos legales y la parte relacionada con la infraestructura. […] Gracias a las certificación y los marcos, ha habido una aceleración, una aproximación a qué es lo que tenemos que hacer como proveedores de cloud para garantizar que esa transformación y se proceso se hace con total garantía”, añade.
UNA TENDENCIA HACIA LA ESPECIALIZACIÓN
La guerra en Ucrania ha dejado claro que hay sectores más vulnerables a las ciberamenazas. Uno de ellos, aunque más tradicional, es el financiero “porque manejan dinero, y ese dinero se maneja electrónicamente y se puede robar”, señala el directivo de Fujitsu. En la misma línea, el sector, más reciente, de las criptomoneda. Pero también las infraestructuras sanitarias, en las que además del robo de datos se puede poner en peligro de forma directa la vida de las personas.
“Por muchas puertas que pongamos está claro que al final el problema puede acabar aconteciendo”, afirma Rosado. Por ello, las copias de seguridad (‘backups’) son esenciales, así como los planes de recuperación ante desastres, que permiten recuperar todo el servicio TI como tal.
Las personas siguen siendo el eslabón débil en la ciberseguridad de una empresa. Por ello, el directivo de BDO ha subrayado la importancia de la formación, y en el caso de un proveedor, de “tener empleados formados, cualificados, para poder hacer las auditorías de seguridad”, ya que se trata de la persona que debe valorar los sistemas de información.
Esa formación es también una de las bazas con las que las empresas buscan retener el talento, en un contexto donde se detecta que faltan perfiles en ciberseguridad y análisis de datos. Pero como ha apuntado el directivo de OVH Cloud, “la tendencia de mercado es ir a la especialización”, y entiende que es “importante rodearse de empresas que tomen el control” a la hora de auditar o de implementar soluciones de seguridad.
Pero externalizar los expertos o los servicios “no significa exteriorizar la responsabilidad”, que como ha asegurado el director en el área de Risk Advisory de BDO, “sigue siendo de la empresa”. Esta idea la comparten el resto de ponentes, que durante sus distintas intervenciones han puesto en valor la necesidad de que las empresas se preparen ante un potencial ataque y en la importancia que tienen para garantizar la seguridad los estándares.