CBSEC17:
Las personas y su concienciación, el reto más importante de la ciberseguridad
CIO, CISO, expertos de seguridad y directivos de negocio se reunieron el pasado 23 de marzo para compartir y debatir su experiencia en el campo de la ciberseguridad. El encuentro organizado por The Excellence Net (eNET) y Cionet, giró alrededor de la ciberseguridad en organizaciones y el mundo digital y se trataron temas como la continuidad de negocio, los riesgos y las soluciones y opciones para prevenir o minimizar el impacto de los ataques cibernéticos.
La ciberseguridad se está convirtiendo en un eje primordial en las organizaciones y que cada vez más está apareciendo como una función horizontal en las empresas, alineándose con otras unidades como auditoría, sistemas de información o unidades de negocio. Como resultado surgen unos objetivos comunes que persiguen la seguridad dentro y fuera del ámbito de la empresa.
La concienciación, la cultura y la formación, las tres en el eje de las personas, aparecen como clave fundamental en las estrategias de Ciberseguridad, junto a la tecnología y los procesos.
Pero la concienciación no solo es importante para los empleados y proveedores, “también tiene que llegar a los clientes” afirmó Rubén Muñoz, director de Tecnología y Operaciones de Evo Banco durante la primera mesa redonda de la jornada.
Mientras transcurría el debate, descubrimos que, los ciberdelincuentes también tienen el ojo puesto en los proveedores de grandes empresas. Jorge Chinea López, coordinador del Área de Servicios Ciberseguridad de Incibe, explicó que muchas veces los ataques no se producen hacia la gran empresa, precisamente porque se supone que tiene un buen bloqueo y ciberseguro, sin embargo, deciden atacar a través de los proveedores.
Unos instantes más tarde, llegó el turno de Nicolás Rodríguez Tolmo, Global IT Security & Procurement Director de Ferrovial para compartir la experiencia en ciberseguridad que tuvo la compañía. Así explicó que en 2016 se realizó un ataque simulado de phishing entre los usuarios de Ferrovial y el grado de concienciación resultó ser más bajo de lo que se esperaban. “No solo cayó gente en España, también en Polonia y otros países europeos”, afirma Rodríguez.
Tras la mesa redonda sobre la ciberprotección de las empresas españolas y la experiencia de Ferrovial, los asistentes pudieron ver en directo una sesión de hackeo y remediación de la mano de Eduardo Arriols y Ángel García, senior solution Engineer de BMC Software.
La debilidad de reconocer un ataque
David Gracia, CIO de BT España, explicó que además del pilar de las personas, los ciberdelincuentes siguen fijándose en las tecnologías más débiles. “Los principales problemas no es lo que se conoce sino lo que no se conoce, esto incluye el shadow IT, pero también aquello que creaste hace 10 años y que ahora no tienes bajo control, ambos son elementos susceptibles a amenazas”.
También la relación entre CISO ha cambiado. Antes se podía apreciar un aura de competencia, pero ahora el interés por ayudarse mutuamente ha crecido. Aun así, el reparo en difundir los ataques es un tema delicado. Desde el punto de vista de proveedores “esta debilidad puede ser motivo de que los clientes cambien de un proveedor a otro”, afirmó Eduardo Herrero, SecOps Specialist de BMC Software.
A lo que Gracia, añadió que “por norma general, se intenta que los ataques no salgan en los periódicos y no se hagan famosos a pesar de que esto no siempre sea posible”.
La explicación del cambio de paradigma en el campo de la ciberseguridad llegó de la mano Rubén Muñoz Calles, director de Servicios de Seguridad España & Portugal en HPE, en su ponencia sobre la ciberseguridad como potenciador de negocio. Anteriormente la ciberseguridad era un coste puro, explica Muñoz. “Ahora somos una inversión y en algunos casos con retorno inmediato. La ciberseguridad se tiene que dejar ver y no estar en el background”.
Con el veloz ritmo de avance de la tecnología hacking, la concienciación se ha convertido en uno de los principales objetivos y retos que los responsables de ciberseguridad y las empresas del sector tecnológico tienen diariamente en su agenda. Las técnicas de ‘ransomware’, ‘CIO Fraud’ y el ‘phishing’ son ya términos conocidos en el mundo empresarial, pero, aun así, las personas no siempre son conscientes del momento en que son atacados a través de este tipo de técnicas.
Las diferentes ponencias dieron paso al cierre del encuentro con una sesión de debate, en la que CIO y CISO, moderados por Luis Miguel Rosa, director de The Excellence Net, cruzaron sus experiencias y visión como conclusión de CBSEC17.
En esta sesión, David Moreno del Cerro, Director de Seguridad y Sistemas TI del Grupo Cortefiel, apuntó que la mayoría de los incidentes del 2017 se han producido por un mal uso de la tecnología por parte de las personas.
Según Rosa Kariger, corporate security – Global Cybersecurity en Iberdrola, las campañas de concienciación son importantes, pero también hay que tener en cuenta la facilitación. “Por ejemplo en las copias de seguridad, podría haber equipos que trasladen la responsabilidad, pero no la tarea”.
Al final de la jornada, Carlos Alves, head of IT Services Europe en Daimler AG, nos mostró un punto de vista constructivo de los fallos de ciberseguridad. “Todos estos ejemplos de gente que cae, al menos tienen una parte positiva porque una vez que se han cortado el dedo no volverán a hacerlo”.
Por último, Laura Nuñez Letamendía, profesora de Finanzas del Instituto de Empresa, completó el debate con la perspectiva de los ciberseguros, revisando la evolución de estos servicios como medida adicional de mitigación de los riesgos que afectan a las compañías en el ámbito de la ciberseguridad, visión que también presentó al exponer las investigaciones que el Instituto de Empresa acoge en el marco del 'Center for Insurance Research' de esta institución.
El camino ya ha comenzado para que la ciberseguridad esté en dirección de convertirse en una cuestión cotidiana y socialmente aceptada y conocida. Pero según los ponentes del encuentro, para que eso ocurra, la concienciación en empresas, trabajadores y clientes es el factor clave. Nos encontramos en una época en la que los ciberataques pueden dañar significativamente la imagen de una empresa, además de la sostenibilidad de esta. Por ello, para defendernos de los 'malos' la inversión en ciberseguridad está aumentando, pero queda mucho trabajo por delante y hay que tener en cuenta que los resultados no serán inmediatos.