El desaf¨ªo de la ciberseguridad es estar en el n¨²cleo de los negocios

Las empresas espa?olas aprobaron con nota el examen al que las someti¨® en materia de ciberseguridad la irrupci¨®n del coronavirus. La transformaci¨®n digital acelerada por la pandemia y el cambio espectacular que supuso la llegada del teletrabajo ha dado todo el protagonismo a un ¨¢rea que ha sabido desarrollar en un tiempo r¨¦cord todo un conjunto de procesos.

Pasada esta primera ola y asentados ya unos cambios que est¨¢n aqu¨ª para quedarse, toca ahora analizar el presente y mirar hacia al futuro para fortalecer las posiciones que consoliden estos avances.

Uno de los retos m¨¢s importantes que se abord¨® en el encuentro sobre ciberseguridad organizado por CincoD¨ªas en colaboraci¨®n con Deloitte, pasa por colocar la ciberseguridad en el n¨²cleo de los negocios, que se convierta en una responsabilidad de toda la compa?¨ªa. David Andr¨¦s, responsable de tecnolog¨ªas de operaciones de ciberseguridad de Naturgy, cree que hay que dar un paso m¨¢s y ¡°acercarla a los negocios, que no sea responsabilidad solo de un departamento, sino de toda la empresa¡±.

Adolfo Hern¨¢ndez, director de seguridad de operaciones de Banco Sabadell apuesta por dar un paso m¨¢s y aprovechar el cambio cultural producido en estos meses para que este concepto penetre en el ciudadano. ¡°La ciberseguridad no es un lujo, es una necesidad que les incumbe a ellos¡±. Hern¨¢ndez pone el ejemplo de la seguridad pasiva de los coches. ¡°Ahora nos parece normal tener airbag, pero hace solo unos a?os nos resist¨ªamos a pagar por ¨¦l. Con la ciberseguridad pasa lo mismo. Tenemos que exigir a las empresas productos seguros y estar dispuestos a pagar por ellos¡±, asegura.

Gianluca D?Antonio, socio de Risk Advisory de Deloitte, afirma que hoy d¨ªa ¡°falta educaci¨®n a nivel particular y en el trabajo para considerar la seguridad como un bien com¨²n¡± y se?ala que ¡°esta no es un lujo, sino una necesidad¡±. Este experto compara lo que pasa en Espa?a con otros pa¨ªses: ¡°Aqu¨ª, si te roban por no tener un buen antivirus o no haber sido responsable, el banco se hace cargo y te devuelve el dinero. En otros pa¨ªses, como Singapur, paga el usuario¡±. Por eso, ¡°hay que huir de este paternalismo que hay en Espa?a¡±, sostiene.

En esta cadena formada por ciudadanos y compa?¨ªas, Iv¨¢n S¨¢nchez, director de seguridad de la informaci¨®n de Sanitas, demanda una mayor preparaci¨®n por parte de las peque?as y medianas empresas que ¡°son el eslab¨®n m¨¢s d¨¦bil¡± de la misma. ¡°Hay muchas de ellas que no saben por d¨®nde empezar y son parte del problema¡±. Daniel Zapico, director de seguridad de la informaci¨®n de Globalia, abunda en este asunto y a?ade: ¡°Piensan que no tienen ning¨²n valor ni que las van a atacar¡±, y como consecuencia ¡°se agudiza el problema, ya que pueden aprovechar su propia infraestructura para atacar a otras m¨¢s grandes¡±. Xavier Gracia, socio de Risk Advisory de Deloitte, completa con que ¡°algunas pymes cubren un poco el expediente, dicen que han hecho su auditor¨ªa anual y creen que con eso es suficiente. Eso es peligroso¡±.

A pesar de que las grandes empresas hacen auditor¨ªas continuas para detectar d¨®nde est¨¢n sus activos m¨¢s valiosos, hay ataques que no pueden detectar, como los zero day. Por eso es fundamental saber, como indica Joaqu¨ªn Castell¨®n, director de seguridad de Navantia ¡°que no hay que tener una visi¨®n aislada, porque mi empresa, mi familia y mi pa¨ªs no est¨¢n seguros si los que hay al lado no lo son tambi¨¦n¡±. Su propuesta es ¡°extender la seguridad a esas otras empresas a trav¨¦s de la orientaci¨®n y de la colaboraci¨®n, que en este tema es esencial. Sin ella estamos asumiendo riesgos¡±, concluye.

Ciberataques opacos

Lo cierto es que la pandemia ha sido, como dice Adolfo Hern¨¢ndez, ¡°el mayor catalizador de la transformaci¨®n digital¡±, pero como a?ade Iv¨¢n S¨¢nchez ¡°ha acelerado much¨ªsimo el cibercrimen¡±. Y advierte: ¡°Ahora somos mejores, pero tambi¨¦n lo son los malos. En este momento son verdaderas organizaciones, se est¨¢n profesionalizando y tomando ventaja en este nuevo entorno¡±.

Frente a una realidad actual definida por una crisis social y econ¨®mica en la que el responsable de Banco Sabadell sospecha que ¡°el gran beneficiado va a ser el cibercrimen¡±, y en la que, como D?Antonio sostiene ¡°todos somos objetivos¡±. Por esta raz¨®n, creen fundamental corregir la asimetr¨ªa que existe frente a los cibercriminales, que han aprovechado este tiempo para ir por delante y ser m¨¢s fuertes.

La manera de hacerlo es para el CISO de Sanitas ¡°con m¨¢s inversi¨®n para evitar esto y hacer que las empresas sean m¨¢s seguras¡±; ¡°compartiendo informaci¨®n y agilizando la respuesta¡±, seg¨²n Hern¨¢ndez, y siendo igualmente conscientes que ¡°se trata de un tsunami y siempre lo vas a parar mal. Hay que soportar la presi¨®n sabiendo que siempre vas a ir un poco por detr¨¢s, en desventaja¡±.

Para disminuir esa asimetr¨ªa, Hern¨¢ndez pide avanzar en m¨¢s transparencia por parte de las empresas que los reciben. Frente a los partidarios de no hacerlo por el miedo al impacto reputacional, y que puede desembocar en una seria afecci¨®n en su ¨ªndice burs¨¢til, mantiene que ¡°ya no hay opci¨®n de no publicar. Estas organizaciones lo confirman en sus p¨¢ginas web en tiempo real y luego venden esos datos en el mercado negro para extorsionarlas¡±. Zapico es tambi¨¦n partidario de comunicarlos. ¡°La transparencia transmite confianza, es positiva. Es un cambio que poco a poco se va produciendo en Espa?a¡±.

S¨¢nchez se une a ellos, pero lanza una cr¨ªtica a la administraci¨®n. ¡°Cuando hay un ciberataque, lo primero que hace el regulador es ponerte una multa. Criminalizan a la v¨ªctima. Hay un trato distinto por ejemplo cuando se produce un accidente laboral y un ciberataque. Eso demuestra que no solo vale la regulaci¨®n. Tiene que haber una transformaci¨®n cultural.¡± concluye.

Una oferta laboral formada por millones de empleos sin cubrir y con sueldos altos

Este es un sector que tiene una alta demanda de empleo. El Centro para la Ciberseguridad y la Educaci¨®n calcula que para 2022 har¨¢n falta 1,8 millones de profesionales especializados, de los que 350.000 se necesitar¨¢n en Europa. ¡°Yo creo que ser¨¢n m¨¢s. Aqu¨ª hacen falta muchas manos¡± afirma D?Antonio.

El socio de Risk Advisory de Deloitte define el perfil que deben tener estos trabajadores como ¡°muy complicado, endemoniado¡± y adelanta algunas de sus caracter¨ªsticas: la propia naturaleza de su actividad, con cambios permanentes y alejado de la estabilidad; los horarios, con turnos de 24 horas y 7 d¨ªas a la semana que llevan mal gente que tiene una alta cualificaci¨®n; formaci¨®n continua; tolerancia al estr¨¦s; la actitud; capacidad de resoluci¨®n de problemas, sabiendo que algunos de ellos no la tienen; discrecci¨®n o pensamiento lateral.

La ausencia de personas formadas no es el ¨²nico problema con el que se encuentran las empresas a la hora de contratar. Es dif¨ªcil retener el talento y formar grupos estables. Los que trabajan cambian con frecuencia de empresa. Los departamentos de recursos humanos se los roban unos a otros. Los tientan con sueldos altos y mejores condiciones laborales.

¡°El mercado est¨¢ alterado. Se pagan sueldos muy altos a personas con poca formaci¨®n. Saben que tienen trabajo cuando quieran y cobrando m¨¢s. Para fidelizar cuesta much¨ªsimo¡±, explica Xavier Gracia. ¡°Nuestra estrategia se basa en algo diferente¡±. Y contin¨²a: ¡°Es identificar a los buenos, formarlos y ofrecerles pivotar, hacer otras funciones para que no se cansen y se queden¡±.

Gracia propone adem¨¢s una suerte de reciclaje de los miles de desarrolladores que hay en Espa?a para incorporarlos a la ciberseguridad. ¡°Esta es una disciplina que pide mucha automatizaci¨®n y esta requiere a su vez mucha programaci¨®n. Deber¨ªamos traccionar para que den el salto a otra profesi¨®n¡±. En su opini¨®n los programadores ¡°est¨¢n cansados de lo que hacen¡± y entrar en el mundo c¨ªber ¡°ser¨ªa positivo para ellos¡±.

Para poder retener el talento, David Andr¨¦s cree que es muy importante plantearles un proyecto atractivo. ¡°Si tienes un proyecto retador, lo vas a conseguir. Vas a estar en una unidad s¨®lida, en un departamento con peso, vas a hacer cosas y vas a transformar la compa?¨ªa¡±, describe. El CISO de Globalia suma otro aspecto, ¡°la motivaci¨®n de participar en el proyecto, que haya empat¨ªa y cuidar mucho las relaciones personales. Mantener esto a lo largo del tiempo es lo m¨¢s complicado¡±.

En Sanitas la idea es ¡°escalar internamente, convencer al trabajador de que es parte de la soluci¨®n, es una responsabilidad de todos los empleados, que lo sientan como propio. No tenemos todo el dinero ni el tiempo¡±.

Desde Banco Sabadell, Adolfo Hern¨¢ndez vuelve a llamar la atenci¨®n sobre la asimetr¨ªa que hay asimismo en este asunto. ¡°El talento se puede ir a la parte mala, donde ganar¨¢n m¨¢s. Tampoco estamos preparados para esto¡±, finaliza.