“La regulación ayuda mucho en ciberseguridad, especialmente allí donde la cultura no está embebida”

Hay perfiles que no necesitan presentación. Sergio Padilla, miembro del ISMS Fórum, es uno de esos nombres propios conocidos más que de sobra en el sector de la ciberseguridad. Su papel como CISO al frente del Banco de España o como Cybersecurity Chairman en la Escuela Internacional de Posgrados (EIP) avala un discurso con conocimiento de causa. Así, con el estadio colchonero como telón de fondo, ahondamos en los desafíos y retos que encarna la ciberseguridad en un contexto volátil, incierto y retador. Desde la evolución del rol del CISO hasta los puntos que deberán articular las estrategias de ciberseguridad en el futuro, sin perder de vista la labor desempeñada por las compañías y organizaciones este 2022. A continuación, una radiografía de la seguridad en clave nacional.

Una mirada al presente y al futuro

Padilla rompe el hielo asegurando vivir un contexto de “incertidumbre”. Hoy en día nos enfrentamos a una situación geopolítica “complicada”, algo que impacta de manera directa en las empresas, independientemente de su tamaño, y en los países. “El panorama actual es desafiante a nivel de ciberseguridad porque las amenazas continúan evolucionando, al igual que el uso y la proliferación de grupos cibercriminales que cada vez están más financiados por los estados, lo que contribuye a la inestabilidad”. Esto, confiesa, supone “un problema tanto las empresas como para la sociedad en general”. “Cada vez hay más personas que ven como sus datos están comprometidos a nivel ‘ciber’, sobre todo datos de carácter personal”, lo que implica una “preocupación”.

La actual coyuntura marcará el ritmo de las próximas tendencias que Padilla vaticina de cara al inminente 2023. “Las amenazas continuarán, no solo aumentando, sino evolucionando, a nivel de volumen y sofisticación”. La primera cuestión, dice, “puede ser más o menos controlable”; sin embargo, el problema real reside en el refinamiento de las mismas. “Siempre se suele decir que los ciberdelincuentes van un paso por delante de las organizaciones y uno y medio por delante de la sociedad, algo que, creo, se va a seguir manteniendo”. Otra tendencia que “claramente va a afectar a las empresas” tiene que ver, según Padilla, con la “dependencia de terceras partes y su ciberseguridad”. Es decir, apunta, “vivir en un entorno cada vez más interconectado no solo con nuestro ecosistema, sino también con el resto de actores dentro de cada sector, dificultará la capacidad de autodefensa”. Esto, inevitablemente, incidirá de lleno en las empresas y organizaciones.

"Si la ciberseguridad cala en el ámbito social, terminará por hacerlo en el empresarial; al revés es mucho más difícil"

 

Sergio Padilla, miembro del ISMS Fórum

CIO, papel protagonista

En ese batallar por salvaguardar la protección de las mismas, el CIO juega una baza estratégica crucial. Entre los retos en el horizonte a los que debe hacer frente, señala Padilla, el primero es el de “conseguir presupuesto”. “Las empresas deben ser capaces de dotar al CISO de las capacidades y recursos tanto económicos como de esfuerzo y personal que le permitan afrontar los desafíos de la ciberseguridad”. Eso, explica, en el caso de las empresas grandes. No obstante, dirigiendo el foco a las pymes, “un rango importante de las compañías de este país”, Padilla asegura que “hacen y tienen lo que pueden”. De hecho, para la mayoría de ellas, incorporar a un CISO en sus filas es una mera ensoñación. Sin embargo, continúa el miembro del ISMS Fórum, hay otras iniciativas a tener en cuenta: “Aquí encontramos la llamada Cybersecurity in a box, un proyecto que permite que las pymes sepan, al menos, cómo afrontar la ciberseguridad desde lo más básico”.

Otro de los grandes obstáculos que deben sortear los CISO, especialmente los que conforman las plantillas de conocidas multinacionales y empresas de gran tamaño, está íntimamente ligado con la “famosa” falta de talento. “Hay un gap enorme entre las necesidades de ciberseguridad y los especialistas que hay disponibles, esto genera una situación incómoda porque los CISO no encuentran lo que quieren a la hora de buscar recursos o no pueden pagarlo”, apostilla Padilla. “La alta tensión del mercado trae consigo una movilidad muy elevada, importantes tasas de rotación y una dificultad añadida para retener el talento” si es que se consigue.

La importancia de la ciberseguridad: cultura y estrategia

Para Padilla, “hacer entender a la empresa la importancia de la ciberseguridad” es vital. Una tarea que puede ser especialmente ardua dependiendo de “la cultura de la empresa” y del “sector de actividad”. “En el sector financiero hay una alta cultura de la ciberseguridad porque sin ella no puede funcionar. Ahí es más fácil convencer porque la ciberseguridad ya está en la conversación de la alta administración, pero hay otros sectores en los que el nivel de madurez es más bajo y no es tan sencillo”. En este sentido, la directiva NIS 2 supone un importante paso al frente al “intentar involucrar a todos a bordo”. En España, confiesa Padilla, las empresas han adoptado “cada vez más la cultura de la ciberseguridad”, “es evidente”. Así, “teniendo en cuenta que un alto porcentaje (>90%) de los ataques tiene como vector de entrada un empleado mediante un fallo de configuración, phishing o técnicas de ingeniería social, el mensaje ha calado en las empresas”. Como consecuencia es “más sencillo para la alta administración entender que, o desarrollo una cultura de la ciberseguridad y conciencio a mi personal, o el grado de exposición al riesgo que tengo se dispara”. En términos generales, asevera el CISO, “diría que la tendencia es positiva”.

Asimismo, cabe mencionar que definir y aterrizar una estrategia de seguridad es esencial hoy en día para sobrevivir, no en vano es una de las labores fundamentales del CISO que, sin embargo, no siempre se acomete. “No todas las empresas que tienen CISO tienen una estrategia de ciberseguridad por una razón muy evidente, no todas tienen capacidad”. Sin embargo, cuando sí la hay, esta debería ser definida acorde a varios preceptos. “Ha de ser flexible y adaptativa a las circunstancias de la empresa, al final la estrategia de ciberseguridad como máxima tiene que securizar el negocio, responder al mismo”. A partir de ahí, se trata “de construir, de saber dónde estás, dónde tienes que estar y qué brechas importantes tienes que cubrir de forma eficiente”. Algo que, indiscutiblemente, necesita de “presupuesto” y “recursos”.

Dónde poner el acento

Aprovechando la recta final del año Padilla hace balance del mismo: “Seguimos creciendo a nivel de ciberseguridad”. “Creo que hay una colaboración público-privada que es fundamental y que está funcionando, hay autoridades competentes de alto nivel y eso ayuda mucho a las entidades privadas y a las públicas. No obstante debemos mencionar que España es uno de los países más ciberatacados del mundo, y aunque vamos por el buen camino, no debemos contentarnos”. El CISO hace referencia también a una evolución: “En 2021 se dio luz verde al Real Decreto 43/2021 por el que se desarrollaba el Real Decreto Ley 12/2018 que hacía referencia a la trasposición de la directiva NIS, lo que supuso un impacto positivo incrementando de alguna forma la capacidad de ciberseguridad de las empresas en general. Este año, la directiva NIS 2 que se está aprobando ahora mismo va a marcar un referente”.

Sobre los puntos de anclaje de la ciberseguridad para 2023, Padilla incide en la regulación. “La regulación ayuda mucho en ciberseguridad, especialmente allí donde esa cultura no está embebida. En esos casos la regulación obliga o recomienda de forma positiva; al final, donde no llega el CISO a crear una cultura de la ciberseguridad, la regulación ayuda, es una palanca de cambio evidente”. De igual forma hace hincapié en la cultura de la sociedad: “Los empleados de una compañía son parte de la sociedad, si la sociedad está cada vez más implicada en ciberseguridad y es más consciente de los riesgos a los que estamos expuestos con el uso de la tecnología, los beneficios recaen sobre las empresas”. A nivel social, concluye Padilla, “hay mucho que se puede hacer. Si la ciberseguridad cala en el ámbito social, terminará por hacerlo en el empresarial; al revés es mucho más difícil”.