ENTREVISTAS | Vídeos | 27 FEB 2020

"La ciberseguridad debe ser el pilar de la transformación digital"

Rosa Díaz, directora general de Incibe, dibuja los grandes retos de la industria.
Rosa Díaz, IncibePlay

 

En los últimos meses, el Instituto Nacional de Ciberseguridad (Incibe) ha incrementado la velocidad en su actividad con varias iniciativas de calado para la industria española. Desde la creación de un número de teléfono público de ayuda para la ciberseguridad, el 017, hasta la firma de un acuerdo con el Ministerio de Defensa para la formación de militares en estas materias y su incorporación a la vida civil. Pero, sin duda, la colaboración que más impacto puede tener es la que acaba de anunciar con Icex España Exportación e Inversiones para fomentar “la aceleración de empresas emergentes y apoyar la expansión internacional del sector” a través de la realización de una serie de misiones comerciales conjuntas como la apertura o consolidación de la presencia española en nuevos mercados. Todas estas estrategias ya se engloban bajo el paraguas de la dirección general del Instituto que ostenta Rosa Díaz desde hace escasos tres meses. La directiva traza, para CSO España, el mapa de la ciberseguridad para este año recién estrenado.

 

¿Cómo será el panorama de amenazas que nos espera en 2020?

Vamos a mantener la misma tendencia de 2019, con un primer bloque de ransomware que, con diferentes metodologías, está haciendo mucho daño a diferentes organizaciones en España. El encriptado de archivos y el robo de datos que, luego incluso se hacen públicos en el caso de que no haya un pago del rescate, es algo que vamos a seguir viendo. Otra de las amenazas seguirá siendo el fraude. Los ciberdelincuentes trabajan en diferentes formas de ingeniería social, de phishing y de fraude del CEO. Me gustaría hacer un llamamiento: se están haciendo transferencias por mucho importe simplemente por recibir un mail que dice que es confidencial y que te pide, en nombre del director general, que hagas una transferencia. Es un negocio muy lucrativo. Como último bloque destacaría las redes de botnets. Existen organizaciones que toman el control de los ordenadores para cometer cualquier tipo de delito.

 

¿Cuál es la receta para protegerse de estas amenazas? ¿Qué tendencias tecnológicas serán las más utilizadas?

Hay que trabajar en prevención, pero lo cierto es que las nuevas tecnologías como el big data o la inteligencia artificial, igual que están siendo explotadas por los ciberdelincuentes para localizar vulnerabilidades, deben ser implementadas por el sector de la seguridad. Las nuevas tecnologías están para ser utilizadas y que nos ayuden a estar más protegidos.

 

¿Cuál es la importancia de que el tejido empresarial español invierta, cada vez más, en seguridad?

Es vital. Las grandes empresas están más concienciadas pero donde tenemos que trabajar más y aunar esfuerzos es en la pyme. España es un país de pequeñas y medianas empresas y deben darse cuenta de que en un segundo, con un ciberataque, pueden llegar incluso a cerrar. La ciberseguridad debe ser el pilar de los negocios, de la transformación digital. Estas compañías tienen que ver este aspecto como una inversión, y no como un gasto. Nosotros animamos a todas las compañías a que inviertan y protejan sus datos.

 

¿Cómo lo pueden hacer si en muchos casos carecen tanto de recursos humanos como económicos?

Las pymes no tienen especialistas como para poder asumir el rol de todo lo que se necesita. Incibe cuenta con muchos recursos y documentación para que las empresas sepan cómo deben ser los primeros pasos. Lo que deben hacer es confiar en expertos. España cuenta con una fuerza sectorial muy importante y tenemos un catálogo de empresas que prestan estos servicios. Es necesario que confíen en estos proveedores, que pueden hacer análisis de riesgos y les pueden indicar dónde deben empezar a invertir para que consigan el retorno esperado.

 

"Se debe actuar en la prevención, pasar de la seguridad reactiva a proactiva" 

 

En definitiva, el mensaje podría ser que la ciberseguridad es una inversión y que tampoco es tan difícil aplicarla.

Efectivamente. Muchas veces tampoco se trata de dinero. Lo vemos en organizaciones muy grandes. Hacen grandes inversiones, pero eso no significa que estén más protegidas. Depende de la tipología de empresa y de la adherencia que tengan a la tecnología. No es lo mismo una firma que casi no tiene contacto con lo digital que otra que opera online y que tiene  varios sistemas. En definitiva, en España hay mucha oferta como para que todas las empresas puedan recibir esa ayuda.

 

¿En 2020 se irá cerrando esa brecha en lo que a medidas de seguridad implantadas en todas las empresas se refiere o, por el contrario, puede llegar a ser un año caótico de ciberataques?

La respuesta la tenemos en los medios de comunicación, donde vemos los ataques que se están produciendo. Vivimos en un mundo digital y cada día somos más vulnerables. Tenemos que poner las medidas necesarias para conseguir resiliencia ante esas vulnerabilidades y salgamos fortalecidos. Vamos a seguir viendo este escenario. Todos sabemos lo lucrativo que es el negocio del cibercrimen.

 

¿Qué es más importante ahora mismo, la prevención, la detección o la respuesta ante los incidentes?

Todo es importante. Pero el mensaje que nosotros damos es que se debe actuar en la prevención. Es decir, debemos pasar de una visión totalmente reactiva a una proactiva y poner las medidas necesarias y hacer un análisis de riesgos para que cuando llegue el ataque suframos las menos consecuencias posibles. Hay varios mantras dentro del sector de la seguridad. Uno de ellos dice que hay empresas que saben que son atacadas y otras que no lo saben, pero también lo son. También es importante hablar de otro tipo de medidas como las copias de seguridad (backup, en inglés). Muchas pymes, que en muchos casos no saben de esto, están viviendo verdaderos dramas. Necesitan copias de seguridad que no estén conectadas a la red para poder restaurar los sistemas en el menor tiempo posible.

 

Una de las complejidades más importantes a la hora de gestionar  la seguridad de una empresa es el cumplimiento. ¿Cuáles son los pasos básicos que recomiendan?

Hay tres que diferencian nuestra antigua LOPD (Ley Orgánica de Protección de Datos) de las nuevas legislaciones (destaca el Reglamento General de Protección de Datos –GDPR, de sus siglas inglesas­–). Con GDPR hemos dado un paso para homogeneizar la protección de datos personales a nivel europeo desde varios prismas. Por una parte, están las auditorías frente a los análisis de riesgos. Antes venía un auditor y luego tú ya veías si cumplías o no. La nueva legislación tiene otro concepto. Dice a las empresas que son ellas las que tienen que hacer los análisis, tomar medidas, documentarlas y demostrar que están cumpliendo. Pasamos, de nuevo, de la reactividad a la proactividad. Por otra parte, introduce la figura del Delegado de Protección de Datos (DPO, en sus siglas inglesas). Las compañías tienen que contar con este perfil. Por último, hablamos de notificación de brechas, aunque se contemplan multas importantes.

 

¿Es madura España a nivel de cumplimiento? A pesar de que llevamos casi dos años desde que GDPR entrase en vigor, parece que estamos todavía en período de adaptación a la norma. Por lo menos, en tiempo de no agresión por parte de las entidades con capacidad sancionadora.

No solo tenemos que pensar en la parte negativa de la multa. Es importante que, para medir la madurez, ver cómo esa organización está tomando medidas. Si al final soy atacado y previamente he hecho mi análisis de riesgos y he puesto medidas, al final no se puede entrar desde el punto de vista sancionador. En España parece que somos empresas last minute, nos cuesta y esperamos al último segundo. Pero, de alguna manera, esta regulación obliga a prestar atención.

 

El primer ejemplo de empresa española que ha tenido una brecha de datos y que no ha sido sancionada por cumplir con todos los requisitos previos ha sido Promofarma.

La seguridad no existe en su totalidad, pero si podemos poner medidas y establecer un plan de crisis. Es importante también que se reconozcan las buenas prácticas.

TE PUEDE INTERESAR...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios