Los expertos en ciberseguridad piden integrarla en la estrategia empresarial

Los ciberataques han acompañado a la informática desde sus mismos orígenes y, como no podía ser de otra forma, también en los últimos tiempos. Mientras la IA generativa ha servido para que los ciberdelincuentes desarrollen nuevas e inéditas formas de actuar, los datos se han convertido en una suerte de oro digital que reporta numerosos beneficios a los amigos de lo ajeno.

Para entender dónde están los riesgos, cómo puede ayudar la regulación y, sobre todo, qué pueden hacer los encargados de la seguridad para que su voz llegue a los órganos de gobierno, El Confidencial organizó junto a EY España una mesa redonda que abordó la cuestión. Titulada Reporte de información no financiera: ciberseguridad, el panel de expertos encargado de analizar el tema estuvo constituido por Elena Maestre, socia responsable de Ciberseguridad de EY España; Diego Ruiz, socio de Consulting de EY España; Esther Mateo, directora general de Seguridad, Procesos y Sistemas Corporativos de ADIF; Tomás Gómez, responsable de Seguridad del Gobierno de La Rioja; Esther Muñoz, subdirectora general de Ciberseguridad, Protección de Datos y Privacidad de Madrid Digital; y Francisco Lázaro, CISO y DPO de Renfe.

En su primera intervención, Esther Muñoz expuso que “en los últimos tiempos ha habido una revolución porque ahora hay mucho personal teletrabajando. Esto provoca que el perímetro de riesgos llegue hasta las casas de los empleados”. Además, “utilizar la nube obliga a proteger la información en el puesto de trabajo, cuando viaja y allá donde se almacena”, puntualizó. Ante esta situación, la subdirectora general de Ciberseguridad, Protección de Datos y Privacidad de Madrid Digital advirtió que “hay que entender que la seguridad al 100% no existe, así que debemos centrarnos en identificar y proteger los activos esenciales. Recordemos que muchos de ellos tienen una tecnología obsoleta que no se puede parchear”. Y puso un ejemplo: “Algunos equipos de electromedicina son dispositivos críticos para los hospitales, que cuestan una millonada, pero que cuando se adquirieron no incluían un contrato de mantenimiento que actualizara su software porque nadie era consciente de esa necesidad”, alertó.

En paralelo, y más allá de los sistemas heredados, la otra gran preocupación de los expertos en ciberseguridad es su comunicación con la alta dirección: “Existe una disfunción entre el conocimiento de las áreas tecnológicas y lo que precisan de ellas los órganos de gobierno. No se produce una sintonía adecuada en esta relación porque hay una brecha importante entre ambos mundos”, remarcó en este caso Elena Maestre. Pese a todo, la socia de EY sí admitió que “desgraciadamente, estos temas están adquiriendo mayor relieve en los últimos meses, debido a los grandes ataques que todos hemos conocido. Esto ha provocado cierto interés en los equipos directivos, pero sigue habiendo demasiada distancia”.

¿Cómo salvarla? “Entre otras fórmulas, los departamentos implicados tendrían que presentar la información de forma entendible para los profesionales ajenos a la ciberseguridad, mientras la dirección debería interesarse más por esta cuestión”, aconsejó.

Entre las palancas capaces de hacer que los responsables de las decisiones muevan ficha se encuentra el empujón normativo: “Cada vez hay más presión regulatoria, con nuevos estándares, lo que provoca que la ciberseguridad esté cada vez mejor representada en las compañías”, expuso Diego Ruiz. Asimismo, remarcó que “es fundamental que los profesionales tecnológicos hablen un lenguaje comprensible para todas las personas. No todo el mundo tiene formación técnica o una experiencia que le permita comprender en qué consiste cada uno de estos ataques”. Los conocimientos técnicos resultan casi imprescindibles para la alta dirección”, reivindicó el experto.

Esther Mateo por su parte, aseguró que “las organizaciones han comenzado a cambiar en dos direcciones. La primera ha llevado a ser más conscientes de los posibles riesgos. Antes, la dirección solo se preocupaba ante un incidente de calado, ahora se comienza a tener en cuenta que, además, ese incidente tiene impacto sobre la reputación”. En lo referente a la segunda transformación, la directora general de Seguridad, Procesos y Sistemas Corporativos de ADIF señaló que “también está más presente lo que puede suponer un ataque en la parte operacional y las medidas que son necesarias desplegar para protegerse de un posible ataque. En su opinión, "los ataques son cada vez más sofisticados, mejor dirigidos y con herramientas más específicas, con lo cual es necesario prepararse mejor para ese cambio de escenario en el que las terceras partes juegan un papel estratégico“, precisó.

Como representante de la administración pública regional, Tomás Gómez especificó que “el nuestro es un caso especial porque es habitual que la alta dirección cambie cada cuatro años, lo que provoca ciertas dificultades a la hora de aterrizar las estrategias a largo plazo”. El responsable de Seguridad del Gobierno de La Rioja admitió que “las hojas de ruta en materia de ciberseguridad tienen un alcance que va más allá de una legislatura. Solo hay que pensar que, en realidad, se trata de un periodo útil de tres años, ya que el último ejercicio antes de unas elecciones suele ser estático”.

Sobre cómo se reciben las noticias de ciberseguridad en las sedes autonómicas, confesó que “me gustaría que hubiera más tensión en la dirección porque, cuando llega una información con un riesgo o una amenaza, la preocupación por esa amenaza dura solo un cuarto de hora. Después llega una nueva crisis mayor que se convierte en la nueva prioridad o preocupación para la dirección que tiene que gestionarla". En otras palabras: “la intranquilidad que genera la ciberseguridad es muy pasajera”, reiteró.

"La información debería presentarse de forma entendible para los profesionales ajenos a la ciberseguridad", Elena Maestre (EY)

Para Francisco Lázaro, CISO y DPO de Renfe, está claro que “la ciberseguridad no se tiene que alinear con el negocio, sino que forma parte intrínseca de él”. Bajo su perspectiva, para conseguir enlazar con la alta dirección, “hay que seguir el siguiente itinerario: primero se debe generar interés, luego aportar conocimiento. Tras este, llegará el criterio que permitirá evaluar adecuadamente las situaciones para, finalmente, tomar decisiones oportunas”.

El experto —que es también miembro de la Junta Directiva de ISMS Forum— quiso evidenciar la importancia que están adquiriendo los profesionales de la ciberseguridad: “Cada vez se valora más su experiencia y capacidad de resiliencia en circunstancias que, a veces, requiere un sacrificio personal y mucha dedicación. Recordemos que no solo hablamos de los CISO (Chief Information Security Officer), sino que hay otros doce perfiles encargados de tareas como el análisis forense, el hacking o especialistas en respuesta a incidentes”, aclaró.

¿Por dónde entran los ataques?

Gómez explicó que, en este momento, existen, bajo su perspectiva, tres vectores de ataque principales en su organización y que son las puertas de entrada para los ciberdelincuentes: “La primera es el usuario que, como ya se ha indicado, hace que el perímetro se amplíe hasta las viviendas particulares. El segundo son los nuevos dispositivos conectados porque ahora aparecen todo tipo de nuevos aparatos conectados a la red, en cualquier lugar. El tercero es una cadena de suministro a menudo descontrolada, ya que está constituida por una larga cadena de subcontratación, a menudo desconocida, que incluye pymes. Muchas de las empresas, grandes o pequeñas, no cuentan con políticas ni con sistemas de protección adecuados, y eso supone un enorme agujero de seguridad", aseguró.

Esther Mateo coincidió con este análisis, y reconoció que “detrás de algunos proveedores hay otros todavía más vulnerables y debemos recordar que la cadena es tan débil como lo es su eslabón más débil”. “Se trata de un cambio de mentalidad —precisó— porque sin seguridad no se puede prestar el servicio”.

Por su parte, Elena Maestre consideró que "los proveedores están avanzando en materia de ciberseguridad y creo que se lo debemos a la regulación”. Al mismo tiempo, “las empresas contratantes tienen que asumir su parte de responsabilidad y encargar servicios especificando a la cadena de suministro cómo debe trabajar. No hay instrucciones concretas o son insuficientes”.

En sus intervenciones finales, Esther Muñoz alertó de que “el cibercrimen mueve hoy más dinero que las drogas o la prostitución. La venta de datos es el gran caladero de los delincuentes”. Teniendo esto en cuenta, la experta propuso tomar en consideración la ciberseguridad como si se tratara de un coche: “Todo el mundo, cuando compra un vehículo, sabe que debe hacerle un mantenimiento. Del mismo modo, en la dirección de las empresas y las administraciones públicas deberían entender que no se pueden tener equipos obsoletos y sin actualizar porque son una puerta de entrada de ciberataques, del mismo modo que un coche sin mantenimiento puede provocar un accidente”, concretó.

"La ciberseguridad no se tiene que alinear con el negocio, sino que forma parte intrínseca de él", Francisco Lázaro (RENFE)

No obstante, los expertos coincidieron en que el problema es que en muchos organigramas nadie quiere asumir el riesgo de dar noticias preocupantes. Por esta razón, para Diego Ruiz la solución es cambiar de punto de vista: “Dado que normalmente existe una falta de entendimiento entre la alta dirección y las áreas técnicas, creo que lo más sencillo sería aplicar un modelo de gestión de riesgos de ciberseguridad en el negocio”. “Este es un enfoque con el que las compañías están acostumbradas a trabajar desde hace años, y no un enfoque desde una perspectiva puramente técnica”, recomendó.

Finalmente, como era de esperar, el aspecto regulatorio también tuvo cabida en el debate. Francisco Lázaro especificó que existen “dos leyes que, en la actualidad, abordan la ciberseguridad —el Real Decreto 311/2022 que regula el Esquema Nacional de Seguridad (por sus siglas ENS) y la trasposición nacional de la directiva NIS en el Real Decreto Ley 12/2018 y su reglamento RD 43/2021 sobre seguridad de las redes y sistemas de información—, aunque si tenemos en cuenta la nueva NIS 2 —nombre con el que se conoce a la Directiva 2022/2555 de la UE— pronto deberíamos hablar de su trasposición, con los cambios que representarán frente a la anterior trasposición de la NIS”. Según el CISO de Renfe, “ya en algunos artículos, tanto del ENS como en la trasposición de la NIS, se reclama que los encargados de la ciberseguridad tengan una posición suficiente como para que se les escuche. Aunque la redacción es algo ambigua, sigue siendo todo un logro que costó mucho alcanzar”.