El viernes pasado participé en una mesa redonda propuesta por Visión Global, uno de los programa de Radio Intereconomía.
Fue una charla amena con otros representantes de la industria, como era el caso de los chicos de Secure&IT, INCIBE e Innovery, en la que tratamos bastante en profundidad cómo entendíamos cada uno de nosotros este tema.
Participantes:
- Miriam Puente, técnico de Ciberseguridad para Empresas de INCIBE
- Francisco Valencia Arribas, director general de Secure&It
- José Antonio Izquierdo, Cybersecurity Competencer Manage de Innovery
- Pablo F. Iglesias es consultor especializado en ciberseguridad, privacidad y nuevas tecnologías, Hacker Fundador de la Consultora de Presencia Digital y Reputación Online CyberBrainers
El programa se grabó en las oficinas de la calle Velázquez de Radio Intereconomía. Unos estudios que, por cierto, ya conocía de otras veces :).
Como suelo hacer siempre en estos casos, dejo por aquí las preguntas y las respuestas (sintetizadas, claro) que acabé dando en el directo.
Índice de contenido
- ¿Cómo enfocais el concepto de ciberseguridad desde vuestro sector?
- ¿Como ha sido la evolución de esta herramienta en las empresas? ¿Habéis notado un boom de compañías que necesiten poner freno a las amenazas tecnológicas? ¿A raíz de la tecnología?
- ¿Es la ciberdelicuencia un peligro ignorado por los responsables de las compañías?
- ¿Les resulta más complicado a las pymes tomar medidas para contribuir a la ciberseguridad?
- ¿Consideráis que es necesario invertir en formación/educación tecnológica para que los humanos también estemos preparados para afrontar las amenazas tecnológicas? ¿Ha aumentado el presupuesto de las empresas?
- ¿Qué hábitos qué solemos hacer los humanos ponen en peligro la ciberseguridad?
- En la preparación de este monográfico sobre ciberataques he leído que faltan profesionales. ¿Qué hay de cierto en esto?
- ¿Cuáles diríais qué son las mayores amenazas o riesgos?
- Si planteamos un escenario donde llega una amenaza a un sistema de inteligencia… ¿Esa amenaza se prevé gracias a la ciberseguridad?
- Si miramos al futuro… ¿La ciberseguridad es un campo infinito en el sentido de que le espera un gran futuro?
¿Cómo enfocais el concepto de ciberseguridad desde vuestro sector?
En nuestro caso nos centramos en una parte de la ciberseguridad: la seguridad de la información.
Bajo este prisma, nuestro trabajo pasa por ayudar a las organizaciones y a los particulares a sacar valor de la información que circula a su alrededor, y evitar los peligros que potencialmente puede acarrear.
Así, según el cliente y proyecto, hacemos más las veces de técnicos, identificando potenciales brechas de seguridad, de profesores, formando al personal sobre cómo mitigar riesgos, o de marketinianos, trabajando con el departamento de comunicación (si es que lo hay) para generar una presencia digital robusta tanto a la marca como a sus directivos y monitorizando lo que se dice y/o sube en la Red… para limitar el alcance de potenciales crisis reputacionales.
¿Como ha sido la evolución de esta herramienta en las empresas? ¿Habéis notado un boom de compañías que necesiten poner freno a las amenazas tecnológicas? ¿A raíz de la tecnología?
Hace poco más de una década, cuando comenzamos con esto, teníamos que defender ante el cliente el por qué necesitaban contratar nuestros servicios.
Hoy en día las tornas se han cambiado, y es el cliente quien viene a nosotros pidiendo ayuda.
Creo que esto responde bien a tu pregunta :).
¿Es la ciberdelicuencia un peligro ignorado por los responsables de las compañías?
Es un peligro, por supuesto, pero no tengo claro que ya sea algo ignorado por los directivos.
Otra cosa es que estén lo suficientemente concienciados como para invertir en mitigar riesgos. Pero a poco que lean las noticias o hablen con otros amigos de profesión, ya son conocedores de casos semejantes donde una mala gestión interna ha desembocado en un problema reputacional, y por tanto de negocio, que puede hacer peligrar el futuro de la empresa.
¿Les resulta más complicado a las pymes tomar medidas para contribuir a la ciberseguridad?
Lamentablemente sí.
Al final, para tomar medidas necesitas recursos. Pueden ser económicos o humanos, pero los necesitas. Y las PYMEs es precisamente de lo que menos tienen.
Como ventaja, no obstante, el perímetro de exposición debería ser menor que el de una gran compañía…
¿Consideráis que es necesario invertir en formación/educación tecnológica para que los humanos también estemos preparados para afrontar las amenazas tecnológicas? ¿Ha aumentado el presupuesto de las empresas?
Totalmente.
Es más, la amplia mayoría de riesgos digitales de hoy en día se deben al factor humano, no al técnico.
Que de invertir, habría que hacerlo primero en concienciación que en hardware y software, para que nos entendamos.
La digitalización va justo de eso. No de meter un servidor en la nube y un cortafuegos. De que el trabajador sepa diferenciar entre un mail legítimo y un fraude, o de los riesgos que tiene abrir un documento PDF enviado por no se quién…
¿Qué hábitos qué solemos hacer los humanos ponen en peligro la ciberseguridad?
No aplicamos el sentido común en entornos digitales.
Si alguien por la calle se te acerca y te dice que te va a dar millones de euros por tu cara bonita, desconfiaríamos.
Pero en cambio, si quien nos lo dice es un presunto príncipe de un país africano por mail o por un privado en Instagram, pues oye, tragamos.
Y esto mismo aplícalo a ese albarán que nos envía una empresa con la que nunca hemos trabajado, o ese mail extraño que nos ha enviado nuestro jefe pidiéndonos urgentemente no se qué de hacer un pago a tal cuenta.
No tiene ningún sentido, pero es lo que está ocurriendo.
Debemos ser como mínimo igual de precavidos que lo seríamos en el entorno analógico.
En la preparación de este monográfico sobre ciberataques he leído que faltan profesionales. ¿Qué hay de cierto en esto?
Más bien poco.
Profesionales los hay. Y muy buenos.
Solo basta con pasarse por alguna convención de hacking y seguridad para darse cuenta de ello.
Otra cosa es que como gestores de empresas, no queramos (o no podamos) pagar lo que cuesta un profesional de verdad.
- Que los números, cuando eres una consultora pequeña, no salen.
- Y los números, cuando eres una gran compañía, parece que no salen porque no interesa que salgan.
¿Cuáles diríais qué son las mayores amenazas o riesgos?
Como decía, el factor humano y la falta de conocimiento.
Un porcentaje aplastante de ciberataques empiezan precisamente porque un trabajador pincha donde no debe, abre lo que no debe, o da la información que no debe a un tercero.
Contra eso, poca defensa técnica tenemos.
Ya puedes tener el mejor antivirus del mercado, que no te va a servir de absolutamente nada.
Si planteamos un escenario donde llega una amenaza a un sistema de inteligencia… ¿Esa amenaza se prevé gracias a la ciberseguridad?
Los planes de seguridad están para algo.
La idea es intentar dibujar cualquier futuro escenario de ciberataque, y tener contramedidas para:
- Minimizar la posibilidad de que ocurra.
- Minimizar el daño si es que llega a producirse.
La ciberseguridad es por tanto una partida presupuestaria poco atractiva, ya que si funciona… ¡no pasa nada! El negocio sigue funcionando.
Solo la echas de menos cuando no está, y de pronto, todo se va a la mierda.
Si miramos al futuro… ¿La ciberseguridad es un campo infinito en el sentido de que le espera un gran futuro?
Seguridad 100% no vamos a tener nunca, así que te diría que sí.
A los que estamos aquí nos va a tocar seguir trabajando hasta que nos cansemos o no podamos.
Y eso es bueno y malo :D.
Te dejo para terminar el programa completo por aquí:
Imagínate recibir en tu correo semanalmente historias como esta
Suscríbete ahora a «Las 7 de la Semana», la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.
