Opinión Info Opinión

“La mejor arma que tiene cualquier empresa contra los ciberdelincuentes es, por una parte, la formación técnica para los puestos que así lo requieran y, por otro lado, formación en concienciación”

Entrevista a Rafael Garcia Lázaro, COO-CTO de Hack by Security

Dirección Legal de la Federación Empresarial Española de Seguridad (FES)

11/06/2021

La Federación Empresarial Española de Seguridad, FES, entrevista en esta ocasión a Rafael García Lázaro, COO-CTO de Hack by Security - empresa asociada a la Federación-, para conocer su punto de vista sobre la situación que atraviesa en la actualidad el sector de la Seguridad Privada, poner sobre la mesa la importancia de la formación de los empleados así como la disposición de equipos de seguridad por parte de las empresas para evitar cualquier ciberataque.

1.Ante los nuevos retos planteados para la Seguridad Privada en España con las nuevas tecnologías y la transformación digital, ¿cuál cree que debe ser la postura de FES como patronal representante de las pequeñas y medianas empresas de seguridad frente a dichos retos tecnológicos?

Ayudar a que se realice dicho cambio, apoyar a las pequeñas empresas bien sea con información, indicándoles las posibles ayudas o subvenciones, o incluso creando algún tipo de guía que les pueda servir. Al final, al pertenecer las empresas al mismo sector, los pasos no difieren mucho de unas a otras, por lo tanto, una guía para llevar a cabo dicha transformación digital, donde se incluyan herramientas o ejemplos les puede valer de mucho.

Imagen

2.Hack by Security lidera como asociado de FES la actividad de consultoría y auditoría de sistemas de información como expresión clara del fenómeno de la transformación digital. ¿Cuáles son los nuevos riesgos y amenazas a las que se enfrenta la Seguridad Privada en el desarrollo de sus actividades al utilizar la red Internet en la gestión de sus servicios?

La conectividad tiene tanto sus cosas buenas como malas. Por un lado, al estar todo conectado, es más sencillo controlar, monitorizar, compartir, etc., pero por otro lado, todo ello se puede convertir en nuevos vectores de ataque que un ciberdelincuente puede aprovechar. Estos ataques pueden tener muchos riesgos asociados: robo de información de nuestros trabajadores o clientes, denegaciones de servicio de nuestras plataformas o dispositivos… Por eso hay que tener todo bien instalado, configurado y auditado para minimizar los riesgos, y seguir siempre la máxima de la mínima exposición. Si no necesitamos exponer ciertos servicios, no lo hagamos.

3.Ante la gran importancia adquirida por los servicios de seguridad informática y de las comunicaciones que son reclamados por los clientes, ¿cree posible y cómo estima que las empresas de seguridad puedan integrar este tipo de servicios en la oferta de los servicios de seguridad privada prestados por las empresas de seguridad frente a sus clientes?

Claro que es posible. Las empresas de seguridad ya se han ganado la confianza de sus clientes de manera física. ¿Por qué no dar un paso más y que los clientes confíen en ellos de manera digital? Para eso estamos nosotros, Hack by Security, para ayudar a las empresas de seguridad tradicional a que sus clientes confíen también en ellos digitalmente. Tenemos varios servicios que pueden complementar a los de la seguridad tradicional y velar por la seguridad de todo el mundo.

Imagen

4. ¿Cuál es el objetivo principal de Hack by Security en el desarrollo de su negocio y su integración con la seguridad tradicional? ¿Cuál es el mayor ataque de seguridad al que os habéis enfrentado y qué hicisteis para resolverlo? ¿Qué hacer para que los empleados se adhieran a las mejores prácticas de seguridad?

El principal objetivo de Hack by Security dentro de la FES para con sus asociados, es alinearse con ellos y sumar, a los servicios que ya disponen, nuestros servicios, tanto de hacking ético como de forensia, por ejemplo, así como apoyarlos con toda nuestra experiencia en la medida de lo posible.

Nos hemos encontrado en multitud de situaciones complejas, desde la empresa que confía plenamente en sus servicios, firewalls y antivirus a empresas que no tienen nada de ello y son conscientes de sus debilidades. En ambos casos cabe indicar que siempre es posible entrar en un sistema. No existe la seguridad 100%: nos podemos aproximar, pero nunca llegaremos a ese límite.

El mejor arma que tiene cualquier empresa contra los ciberdelincuentes es, por una parte, la formación técnica para los puestos que así lo requieran y, por otro lado, formación en concienciación. La mayoría de los ataques de ransomware que leemos en prensa suelen venir dados de personas que, por desconocimiento, urgencia o despiste, hacen click donde no deben y descargan algún tipo de archivo. Si nuestros trabajadores siguen una serie de reglas o pautas, la seguridad de nuestra empresa sube muchos enteros.

Imagen

5.Como bien conoce, la protección de datos viene adquiriendo una gran importancia en la sociedad actual y esto no se halla al margen la Seguridad Privada. ¿Cómo puede compatibilizarse dicha normativa con las nuevas tecnologías?

Los datos de nuestros clientes o trabajadores son muy importantes. No debemos olvidarnos que una fuga de los mismos puede suponer una sanción para nuestra empresa, por lo que revisar dónde y cómo tenemos almacenados esos datos es muy importante, así como conocer quién accede a ellos, las copias de seguridad de los mismos, incluso el sistema de restauración que siempre suele olvidarse.

Por este motivo dichos datos deben de tratarse con sumo cuidado, almacenarlos en sitios seguros, cifrarlos, protegerlos convenientemente y auditar todo este sistema para ver que no existe ninguna fuga y que podamos tener ya no solo una sanción, sino que nuestra marca se vea afectada por ello.

6.La formación de los profesionales de la Seguridad Privada se califica como esencial para que la calidad de los servicios prestados por las empresas de seguridad sea valorada por sus clientes. ¿Qué contenidos formativos entiende deberían ser impartidos al personal de seguridad para mejorar sus funciones en dichos servicios frente a sus clientes ante el ciberdelito y ciberdelincuencia?

Todo va a depender del puesto de trabajo al que esté destinado el trabajador. Está claro que la formación en concienciación es muy importante, dado que posiblemente el trabajador acceda a sistemas tanto de su empresa como de los clientes, y no debe ser el causante de ningún tipo de ataque por negligencia o despiste, además conocer ciertos términos ayuda mucho.

Si el trabajador ya tiene un rol más técnico, es conveniente que conozca los tipos de ataque, vulnerabilidades y métodos de ataque existentes, ya que si conoces cómo te pueden atacar, normalmente vas a saber cómo defenderte y es muy útil que los trabajadores conozcan bien los planes de contingencia o gestión de incidentes, es decir, saber qué hay que hacer cuando algo suceda. Pensemos en la siguiente situación, si mi equipo se ha visto comprometido, ¿qué hago? ¿A quién llamo? Saber la respuesta a esas dos sencillas preguntas es muy importante.

Imagen

7.En su ámbito material de actuación, ¿cuál es la principal problemática que observa afecta a las empresas de seguridad además de la crisis que va a surgir con motivo del COVID-19? ¿Qué cambios o medidas podrían ayudar a resolver la misma para que mejoren su modelo de negocio? ¿Cómo puedo saber que tengo una web segura? ¿Qué herramienta debe utilizar una empresa para gestionar información entre sus empleados? ¿Qué puede hacerse para reducir el número de ataques?

Todas las empresas, independientemente del sector al que se dediquen, deben ser conscientes de lo que les rodea. El modelo de negocio se está digitalizando y dirigiendo hacia Internet, por lo que tanto los datos como muchos de los clientes van a provenir de ahí.

Por este motivo es aconsejable realizar, por una parte, auditorías de seguridad para ver el estado de la seguridad y vulnerabilidades que existen y, por otro lado, formar a sus trabajadores. De nada sirve tener los mejores sistemas de seguridad si nuestros trabajadores no están concienciados y no hacen click donde no deben.

Si seguimos estos dos pasos cíclicamente, iremos elevando nuestra barrera de seguridad de forma continua. Además, en el caso de que seamos atacados y tengamos un ciberseguro, éste se podrá hacer cargo de parte de nuestras pérdidas al haber sido proactivo. Si no somos proactivos, muchos de los seguros no nos cubren las pérdidas.

8.Por ultimo y como resumen, ¿cómo debemos mantenernos actualizado en temas de ciberseguridad?

Depende un poco de nuestro trabajo o a qué nos dediquemos. Como usuario de a pie, hay que estar atento a las noticias de ciberseguridad, sobre todo a las de redes sociales y teléfonos móviles, que al final es lo que casi todo el mundo usa. Y como técnicos de ciberseguridad, de manera similar, pero en más profundidad, no solo con este tipo de noticias, sino además con las nuevas vulnerabilidades y herramientas que puedan ir saliendo, asistiendo a eventos y congresos y haciendo formaciones todos los años para reciclarnos y no perder la visión de futuro nunca.

Comentarios al artículo/noticia

Deja un comentario

Para poder hacer comentarios y participar en el debate debes identificarte o registrarte en nuestra web.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos