"Las principales amenazas actuales que puede sufrir una empresa son la falta de conciencia del usuario y la falta de implementar soluciones que lleven seguridad desde el diseño"
Entrevista a María Gutiérrez, directora de Ciberseguridad de Fujitsu
Madrid fue el lugar escogido por Fujitsu para celebrar una nueva edición de su evento internacional ‘Fujitsu World Tour 2017’, un gran roadshow mundial con el que la compañía quiso mostrar las principales innovaciones que van a marcar el futuro tecnológico inmediato. Aprovechamos nuestra presencia en el evento para entrevistar a la directora de Ciberseguridad de Fujitsu, María Gutiérrez, quien nos explicó cómo hacer frente a los nuevos retos a los que nos enfrentamos en materia de ciberseguridad con la Revolución 4.0, así como las principales ventajas que nos aportará toda esta tecnología, como el desarrollo de ciudades más saludables que nos permitirán mejorar nuestra calidad de vida.
Actualmente el sector industrial está atravesando una revolución histórica, la ya conocida como Revolución 4.0, de la que surgen conceptos como hiperconectividad, Big Data o Internet de las Cosas. ¿Cree que las empresas están lo suficientemente preparadas para afrontar estos nuevos retos?
Como en todo, existen distintos tipos y grados de madurez. En España tenemos muchas pequeñas y medianas empresas que quizá no han tenido la oportunidad ni los medios de implementar todas las medidas necesarias para afrontar los nuevos retos. Es cierto que las empresas más grandes y con más capacidad como las multinacionales -que además en otros países han avanzado un poco más-, han podido incorporar esas medidas, pero lo cierto es que, en general, distamos bastante de estar bien preparados para hacer frente a los nuevos retos.
En todo este entorno hiperconcetado, el sector de la seguridad cobra un papel fundamental ante las nuevas amenazas y necesidades que van surgiendo. ¿Considera que las empresas son conscientes de este hecho e invierten lo suficiente en materia de seguridad?
Creo que en los últimos meses el cambio ha sido radical. Mi experiencia visitando a clientes durante muchos años me dice que la percepción en los últimos meses es radicalmente distinta a lo que podía ser hace años. Antes, el mundo de la producción, el mundo del IoT, era escaso e incipiente y creo que la gente todavía no era consciente. Pero ahora es tan brutal -todos los días vemos noticias en los telediarios, leemos información…- que yo creo que han sido conscientes de repente. Ahora el asunto está en quién paga: si paga la parte de producción, la parte de informática, las medidas de seguridad… Pero, en definitiva, creo que ya son conscientes de que necesitan medidas.
Y centrándonos ahora en el sector de la seguridad en general, ¿considera que está preparado para afrontar este cambio revolucionario o todavía queda mucho por hacer?
Hemos vuelto a cometer el mismo error de siempre y es que vamos a poner seguridad una vez las cosas ya han sido desplegadas. Una de las cosas que nos dicen las buenas prácticas es que cuando tú diseñas desde el punto de vista de la seguridad, todo es siempre mucho más eficaz y mucho más óptimo. Pero esta vez no hemos hecho esto, hemos vuelto a caer en el viejo error de lanzar soluciones al mercado de manera muy rápida sin tener en cuenta los mecanismos de seguridad, con lo cual estamos otra vez reaccionando a posteriori. Hay muchos aspectos y soluciones pero no son tan buenas como si hubiéramos diseñado todo esto desde el principio teniendo en cuenta los requerimientos de seguridad. Entonces, ¿estamos preparados? Bueno, a posteriori y a “matacaballo” porque, como digo, hemos vuelto a cometer el mismo error.
Usted, como experta en ciberseguridad, ¿cuáles considera las principales amenazas actuales que puede sufrir una empresa y de dónde pueden proceder las mismas?
La principal amenaza siempre es el usuario ya que una parte fundamental de los problemas deriva de la inconsciencia de éste a la hora de manejar todas estas tecnologías. Eso por un lado. Por otro lado, otra de las principales amenazas es que todo esto se convierte en un negocio muy rentable: hay mucho talento intentando sacarle beneficio y como no hemos diseñado la mayoría de estas soluciones con seguridad, es fácil obtener beneficios ilícitos. En definitiva, yo creo que las principales amenazas son la falta de conciencia del usuario y la falta de implementar soluciones que lleven seguridad desde el diseño.
¿De qué manera pueden las empresas evitar estos ataques? Y en concreto, Fujitsu, ¿qué soluciones ofrece en materia de ciberseguridad?
Yo creo que lo primero parte siempre de un análisis, es decir, uno tiene que ser consciente de cuál es su negocio, cuál es su infraestructura y cuál es su situación. La primera recomendación más básica es hacer un análisis de situación y después es cierto que hay muchísima tecnología y muchos servicios que pueden ayudar a las compañías, no a evitar los ataques porque eso es absolutamente imposible, pero sí a minimizar el impacto que tienen en sus organizaciones.
Desde Fujitsu lo que hacemos es precisamente eso: ayudar con una evaluación del estado de seguridad y de las necesidades concretas porque sí hay un cambio, desde nuestro punto de vista, en la forma de implementar la seguridad ahora. Lo que se venía haciendo en el pasado era poner las mismas soluciones para todo. Ahora evolucionamos a lo que llamamos seguridad contextualizada, esto es, la seguridad del ciudadano, del paciente, del conductor, etc. Es decir, lo que hacemos es un análisis de las herramientas disponibles y las implementamos en función de la necesidad concreta porque es lo que creemos que es eficaz.
Otro aspecto a destacar, a parte de la seguridad contextualizada, es una seguridad global porque si se implanta una solución en un puesto de trabajo, o en un perímetro, o en la nube, se están dejando brechas. Lo que habría que hacer es un enfoque global, es decir, securizamos la organización para no dejar brechas que permitan que “se cuelen” todos los ataques. Con lo cual esa es nuestra propuesta: una seguridad global y contextualizada.
Asimismo, esta Revolución 4.0 también ha hecho que afloren conceptos como el de las ciudades inteligentes. ¿De qué manera contribuye Fujitsu al desarrollo de estas ciudades inteligentes?
Por razones históricas, hay que mencionar a Japón porque creo que es donde empezó todo. Se trata de un país que, debido a los problemas que ha tenido de falta de energía y que le han hecho recurrir a la energía nuclear, además de su situación sísmica, siempre ha estado muy preocupado de garantizar la seguridad de sus ciudadanos. Toda esa información y toda esa experiencia la hemos trasladado nosotros y estamos colaborando con toda la parte de Smart Cities, no sólo con Barcelona en España, sino también con Granada, Canarias y con pequeñas ciudades, para traer todo ese conocimiento y Know-how del mundo sensorizado (desplegar sensores por toda la ciudad para que nos envíen información de un montón de elementos, aplicar la inteligencia y de ahí correlar medidas de seguridad que nos puedan ayudar a prevenir desastres naturales o mejorar, por ejemplo, el rendimiento energético de las ciudades). En definitiva, disponemos, como digo por razones históricas, de un montón de tecnología, de metodología y de propuestas para las Smart Cities.
Para que se desarrolle de una manera correcta este nuevo entorno se hace imprescindible la voluntad de todos los agentes de la ciudad. ¿Cree que la sociedad está preparada para afrontar este gran cambio o todavía existe una gran falta de concienciación?
La gente más o menos tiene claro que tiene que implementar alguna medida con sus ordenadores personales, con el móvil, etc., pero creo que todavía no somos conscientes de que sería necesario también securizar otros elementos como la nevera, el coche o el lector del agua. Y es precisamente ese elemento, que es el más vulnerable, por donde están viniendo todos los grandes ataques.
Creo que la gente todavía no está preparada, ya que falta bastante participación ciudadana para lograr los objetivos de las Smart Cities, las cuales deben de ser seguras. Falta todavía esa labor de concienciar en materia de seguridad sobre todos aquellos aspectos que no son los clásicos, pues todavía no somos conscientes del impacto que tienen en las tareas del día a día.
Además de la voluntad ciudadana, para desarrollar una ciudad inteligente hace falta otro factor imprescindible, la inversión. ¿Considera que esta apuesta se ve como tal, una inversión, más que como un gasto?
Realmente es una inversión: tanto una ciudad como una empresa, si es segura y tiene medidas de seguridad, vale más, eso ya por definición. Y, además, el retorno de inversión que tenemos una vez desplegado todo esto (es decir, en el ahorro de agua, de energía, de optimización del tiempo de nuestros ciudadanos…), es inmediato.
Es cierto que es necesario desplegar unas infraestructuras mínimas, pero no es comparable al retorno de inversión que se adquiere y a la sensación de calidad que tienen de los ciudadanos. Actualmente, los ciudadanos están en la fase de analizar la inversión que tienen que hacer para conseguir todo eso y no han analizado, en su debida medida, el retorno de inversión del que estamos hablando, ya no sólo en el ahorro de costes, sino por esa sensación de calidad que tiene el ciudadano, la cual compensa absolutamente.
Además no es una inversión adicional a lo que se está haciendo, ya que si lo diseñamos desde el principio forma parte de las propias infraestructuras básicas que hay que desplegar. Por ejemplo, si se está diseñando una carretera y se sensoriza, eso te va a ayudar, por ejemplo, a establecer los flujos de tráfico y no supone un coste adicional. Por eso, lo fundamental es incluir las necesidades de seguridad desde el diseño, ya que no sería tan costoso.
En la actualidad, parece que la principal preocupación de la sociedad es que le puedan robar la identidad cuando realiza una operación online, pero en este mundo hiperconectado del que venimos hablando, ¿deberíamos empezar a preocuparnos de que nos hackeen todos los elementos de nuestra casa (persianas, luz, nevera…) e incluso los semáforos, farolas y cualquier elemento de nuestro entorno?
Que te roben el dinero, es malo, pero lo importante es que te pueden robar la vida: pueden manipular tus datos sanitarios, pueden manipular tu coche… y eso atenta contra tu vida, puede atentar contra tu honor, contra tu privacidad, contra lo más básico y eso, desde mi punto de vista, es muchísimo más preocupante.
Es cierto que todas las transacciones online están sometidas a la posibilidad de todo este tipo de ataques, pero lo peor es, como digo, que está en juego nuestra propia vida, nuestros propios datos de carácter personal, sanitario… Todo eso es lo que ahora mismo está en entredicho y es vulnerable. Por ello todo tiene que partir de la concienciación. Todo esto es una transición y todavía no estamos acostumbrados. Supongo que en un corto espacio de tiempo todos seremos más conscientes y vigilaremos más porque es simple evolución y supervivencia.
¿Cuáles cree que son las principales ventajas que nos va a traer este nuevo entorno? ¿Y carencias?
La posibilidad de acceder al conocimiento que nos permite toda esta tecnología, la posibilidad de intercambiar información y de conectarnos con gente que está fuera. Prácticamente desde tu casa puedes acceder a las mejores bibliotecas del mundo, hacer cursos en las mejores universidades del mundo, etc. Todas esas posibilidades a mí me parecen brutales. En definitiva se trata de mejorar la calidad de vida.
En cuanto a los inconvenientes, creo que el principal es la exposición de tu propia vida. La información que una persona vuelca en la red queda ahí para siempre y eso, a veces, no es muy bueno. Asimismo, existe la posibilidad de que te ataquen de forma anónima y uno se vuelve vulnerable ante esa exposición. Yo creo que ese es el peor riesgo, tu exposición al mundo sin ningún control.
Ya para terminar y tirando un poco de la imaginación, ¿cómo cree que será nuestra vida de aquí a 10 años?
Las civilizaciones muy evolucionadas dejan poco residuo tecnológico. Por ello, considero que cuanto más evolucionemos la tecnología se hará más invisible. Supongo que en unos años viviremos en un entorno más natural donde habrá menos contaminación, se podrá controlar más el gasto de energía, etc. Utilizaremos el conocimiento y la tecnología para vivir en un entorno mucho más saludable, creo que ese es el objetivo.
No creo en una sociedad muy masificada y robotizada sino precisamente todo lo contrario. Creo que lo que estamos viendo es que existe una vuelta a lo natural y se utilizará la tecnología para que sea lo más transparente posible y que nos ofrezca una vida más humana: no tendremos que estar viajando continuamente para ir al trabajo, podremos trabajar desde casa, etc. Crearemos entornos mucho más amigables.