• 21 millones

    de seguidores diarios

  • Líder de Prensa

    digital en España

  • Una amplia gama

    en revistas líderes en su segmento

Noticias

Observatorio de Ciberseguridad Corporativa

EXPANSIÓN, junto con Prosegur, ha organizado una jornada donde se analizó la importancia de afrontar las nuevas amenazas de la transformación digital de una manera responsable.

Si antes los grandes activos se guardaban en una caja fuerte, hoy los valores más preciados se encuentran encriptados en la Red o dentro de circuitos cerrados en la propia empresa. Las formas de seguridad también han tenido que adaptarse a la naturaleza de nuevas amenazas y, en plena transformación digital, son cada vez más necesarios los profesionales que sepan afrontar el desafío. La protección de la información, como una nueva demanda profesional fue abordada en el Observatorio sobre Seguridad Corporativa, el papel de los SOC (Centros de Operaciones de Seguridad) en la ciberseguridad, organizado por EXPANSIÓN y Prosegur. 

"El nuevo escenario se ha transformado con una rapidez tan grande, que ha pillado a las compañías", aseguró Isaac Gutiérrez, director de negocio de ciberseguridad de Prosegur. "Han aparecido dispositivos móviles y otra soluciones de tecnología como Dropbox para las que no sirven las medidas de protección tradicionales", apostilló. 

Más riesgos potenciales 

En 2015 España fue el tercer país con más ciberataques, y el Ministerio de Interior ya ha alertado de que en 2016 se prevén en torno a 100.000 ataques informáticos, de los que 300 podrían ir dirigidos contra infraestructuras críticas como centrales nucleares o nudos de comunicaciones. "El mapa de riesgos ha ampliado su espectro, y ahora se contempla no sólo el posible robo de información sensible, sino el sabotaje, la suplantación de identidad, la destrucción de equipos o incluso el fraude a través de la alteración de contadores por control remoto", destacó Joaquín Reyes, director de sistemas de Cepsa. 

A ello se suma la nueva naturaleza de las amenazas, como el caso de las denominadas APP (Amenaza Persistente Prolongada): "Amenazas que analizan un objetivo específico para el que no valen los sistemas genéricos de protección, y que no tienen prisa, pueden estar latentes durante meses antes de actuar", expuso Reyes, que puntualizó que este tipo de ataques suelen ir contra estructuras fundamentales de las compañías.  

Una inversión 

La concienciación y la sensibilización son elementos claves en la lucha contra la ciberdelincuencia, como coincidieron todos los ponentes. "Hay empresas que ven la seguridad como un coste hasta que les pasa algo; hay que verlo como una inversión", apuntó Isaac Gutiérrez. Así, señaló que las compañías destinan en torno a un 10% del presupuesto para IT en ciberseguridad. Sin embargo, esta labor de pedagogía no sólo habría que aplicarla en el plano ‘macro’ de la empresa sino en el ámbito personal, porque una de las brechas de seguridad está en el equipo humano de las empresas. 

"La primera vulnerabilidad no está en la red de la empresa, sino en las personas, en sus móviles; si el comportamiento personal es inseguro, estoy afectando a la empresa", defendió Reyes, que sostuvo que "no hay seguridad real a no ser que se interiorice tanto en el ámbito personal como en el profesional". La descarga de aplicaciones gratuitas y la cesión de cierta información se ha convertido hoy en un acto casi inconsciente que puede poner en grave peligro la protección de datos. 

En el sector bancario, donde la protección de la información tiene una importancia esencial, hacen hincapié en este punto. "Hay que concienciar a los empleados, pero también a los clientes", puntualizó Fernando Vega, director de seguridad de la información (CISO) de Bankinter. "Los perímetros se están difuminando y tenemos por un lado, a personas y por otro a los activos; hay que proteger tanto a unos como a otros". 

Carles Solé, director de seguridad de la información de CaixaBank, recordó el reciente robo, y publicación de imágenes, a famosos y sacó un mensaje en claro: "En estos casos se conciencian más porque ven algo de ámbito personal. Hay que entrar por esta parte para hacer entender qué riesgos se corren". 

En este mismo sentido, la externalización de la seguridad es una práctica común que también entraña sus riesgos, al ceder la información a un tercero. Por ello Francisco Lázaro, director de seguridad de la información de Renfe, subrayó la importancia de trasladar los niveles de exigencia de la propia compañía a los proveedores: "En los próximos años, éste va a ser un grave problema porque hay empresas muy especialistas en el campo de la seguridad que cuando ofrecen servicios, no tienen las medidas mínimas en el campo de la seguridad informática".

A la sensibilización, Lázaro añadió otro punto: la capacitación. "A veces la enseñanza en seguridad de la información tiene unas carencias terribles, porque se sigue pensando de una forma que en el mundo de la información está más que superada. Hay que tener una visión de seguridad integral, formar con buenos materiales y buenos docentes. Hay quien está dando los cursos con cortafuegos y antivirus, cuando eso lo tenemos superado desde hace años", argumentó, a la vez que lamentó que "todos están más enfocados a la seguridad física, no a la lógica". 

Pese a la demanda de profesionales especializados en ciberseguridad, la formación en este ámbito es actualmente deficitaria, según defendieron los ponentes". En la Universidad no hablan de seguridad. Si a un programador no le enseñan a programar de forma segura, no aprende", apuntó Fernando Vega, que lamentó la ausencia de una enseñanza reglada de este tipo. 

En este sentido, desde Prosegur, Gutiérrez advirtió del lanzamiento en abril de tres programas pioneros sobre ciberseguridad –Programa Ejecutivo en Gestión de la Ciberseguridad, Programa en Monitorización y Correlación a través de Plataformas SIEM y Programa en Seguridad en el Diseño y Desarrollos de Aplicaciones–, organizados junto a la universidad San Pablo CEU en colaboración con el Instituto Nacional de Ciberseguridad Incibe y la Asociación Española para el Fomento de la Seguridad de la Información. 

Desde CaixaBank, Carles Solé propuso una técnica para capacitar a los futuros profesionales: "Hay que seguir la metodología del caso: ponerse en la mente del criminal, reaccionar y adelantarse. Eso debería ser parte del aprendizaje".

Para una acción eficaz, y ante la amenaza de ataques múltiples, todos los ponentes se mostraron a favor de la colaboración entre distintas empresas, con interconexión de SOC (Centros de Operaciones de Seguridad) para avanzar en estrategias conjuntas. Es lo que expuso Fernando Vega, de Bankinter. "Los malos son muchos, bien organizados y con presupuesto. Las empresas nos hemos puesto a luchar solas. Tenemos la necesidad de colaboración, de compartir información sobre la tecnología que implantamos. Falta aún para que tengamos una colaboración a tiempo real, para que seamos todos capaces de reaccionar de forma conjunta", aseguró.   ​