Capital analiza las claves para proteger el entorno de ciberseguridad en el seno de las empresas junto a Víctor Eduardo Deutsch, autor de 'Ciberseguridad para directivos'
Ciberseguridad. Esta es una de las palabras más recurridas en los últimos tiempos en el seno de las empresas. Y es que ser víctima de un ataque en los sistemas informáticos de las compañías en la era de la nube se ha convertido en una realidad y en un reto para el tejido empresarial. No solo para el global de las marcas, sino también para los directivos e las mismas, los cuales tienen a su disposición el libro Ciberseguridad para directivos (LID Editorial) publicado por Víctor Eduardo Deutsch. Con él Capital analiza más las claves para proteger nuestro entorno laboral.
¿Hasta qué punto el conocimiento en materia de ciberseguridad es actualmente vital para el bloque directivo del tejido empresarial?
No es que sea vital, pero debería tener al menos la misma importancia que se le da a otras disciplinas dentro del ámbito de la gestión. Así como es importante reconocer y controlar los riesgos financieros u operativos, un directivo debería poder gestionar la ciberseguridad con la misma solvencia.
¿Cuáles son los primeros pasos a dar en el caso de producirse dicho ataque?
Los primeros pasos deben estar previstos desde antes del ataque. Nadie está exento de sufrir un ataque por sorpresa. En el libro se da un ejemplo de cómo gestionaron una sorpresa militar dos almirantes estadounidenses, con resultados muy diferentes. La principal diferencia es que uno estaba preparado para reaccionar y el otro no, aunque el ataque los sorprendió por igual.
Si se planifica adecuadamente (cada plan es diferente según las características de cada empresa) y se hacen ejercicios de entrenamiento, la organización seguirá naturalmente los pasos que correspondan a su plan, lo que sin duda es mucho mejor que improvisar.
Un problema de ciberseguridad no solo se queda en el ataque como tal. También puede generar una crisis. ¿Cómo se debe gestionar?
Las consecuencias de un ataque pueden ser diversas y generar una crisis por el impacto en los clientes, proveedores, compromisos regulatorios o en la reputación. Por eso es importante que la respuesta contemple no sólo las disfunciones en los sistemas o recursos informáticas, sino en todos los aspectos afectados, y la involucración de los directivos a todos los niveles y no sólo de los especialistas en seguridad. Lo ideal es que los “comités de crisis” sean multidisciplinares.
¿Hasta qué punto un ataque informático puede dañar la reputación de una empresa?
Depende mucho del sector donde se desempeñe. En aquellos sectores, por ejemplo el financiero, donde el principal activo intangible es la “seguridad”, puede ser muy afectada por un ataque. Los mismo pasa con aquellas empresas que gestionan datos sensibles: sanidad y estudios de abogados. Y, por supuesto, todos aquellos que operan infraestructuras críticas para los ciudadanos. Su reputación puede quedar muy dañada si el ataque afecta a los usuarios de estos servicios fundamentales.
¿Cuánto puede costar económicamente a una empresa recuperar los mandos de la misma después de un ataque digital?
Es muy difícil estimar una cifra, sobre todo cuando se afectan activos intangibles y dependen de la gravedad del ataque. Hay algunos informes de analistas que establecen cotas de valores o el impacto global en una economía. Son opiniones basadas en diferentes métodos estadísticos.
El coste operativo (gasto en TI) es el menor en términos relativos. Si se ha planificado bien la continuidad de negocio medidas como la “limpieza” de equipos, la restauración de backups y la actualización de software protector pueden ser relativamente económicas. Además, se pueden mitigar a través de pólizas de ciber-riesgo que cubran al menos una parte de los gastos.
Aunque algunas pólizas cubren también gastos por demandas judiciales o compensaciones a terceros, es allí donde puede existir el mayor impacto. Lo mismo ocurre con el lucro cesante si la operación debe interrumpirse total o parcialmente. En algunos sectores críticos, los ataques informáticos pueden afectar los compromisos regulatorios, sujetos a sanciones o pérdidas de licencias para operar un servicio. En otros, las fugas de información, por ejemplo, pueden reducir el valor de la propiedad intelectual.
"En los últimos años se han desarrollado soluciones de seguridad en la nube para reducir sustancialmente los costes en las pymes"
En el caso de las pequeñas empresas, ¿cómo pueden afrontar las pymes la batalla por la ciberseguridad?
El desafío para una PYME es buscar soluciones que se adecuen a su tamaño y presupuesto. En los últimos años se han desarrollado soluciones de seguridad “en la nube” que permiten reducir sustancialmente los costes, gracias al uso de plataformas compartidas. Aquí es todavía más importante la involucración de la dirección en la evaluación y control de los riesgos del negocio (y en la concienciación de los empleados), ante la imposibilidad de tener especialistas dedicados.
En España cuentan además con una serie de ayudas. Algunas son financiadas con Fondos Europeos y en otros casos por el INCIBE, o por los gobiernos autonómicos. Es importante conocerlas y estudiar los programas más adecuados para cada empresa. Por otro lado, hay que destacar la importancia de los seguros como salvaguardia final.
Como trabajador experimentado en el Grupo Telefónica, ¿cómo se vive desde dentro de una empresa un hackeo como los que han saltado a la estela pública en los últimos años?
Con normalidad. Como decía antes, nadie está exento de sufrir un ataque sorpresivo, incluso disponiendo de las mejores medidas de prevención e inteligencia. Lo importante es estar preparado de antemano para mitigar sus efectos y asegurar la continuidad de negocio con el menor impacto posible. En el caso de las infraestructuras críticas es obligatoria la transparencia y colaboración con las autoridades para mitigar los efectos en la sociedad.
Por todo ello, y en base a su experiencia, ¿cuáles son a su parecer los tres pilares fundamentales de la ciberseguridad?
En el libro se plantea un modelo de control de riesgos, que se basa realmente en tres grandes capas de administración: gestión de crisis, inteligencia y concienciación. Es el terreno donde la involucración de la dirección es fundamental. Estos tres elementos combinados en una planificación rigurosa reducen los riesgos a gran escala.
Hay una cuarta capa que es el control del acceso a la red y, a partir de ella a los recursos de hardware y software, que es el terreno de los especialistas sin que deje de estar supervisada por la dirección.
Especialmente cuando una empresa traslada sus activos físicos a los intangibles, ¿qué aspectos son vitales para su protección?
Este es un cambio de paradigma muy radical puesto que el responsable de ciberseguridad pierde el control directo de las infraestructuras de TI que pasan a ser gestionadas por un tercero. Su capacidad se reduce a la personalización que le permita el proveedor de servicios Cloud.
Además de seleccionar y negociar bien el contrato con el proveedor estableciendo los Acuerdos de Nivel de Servicio adecuados para el negocio, el aspecto más importante es la redefinición de las funciones de ciberseguridad (y de TI) dentro de la organización.
Los controles de ciberseguridad deben ser redefinidos y adecuados a la nueva realidad. En el libro se expone un modelo posible de procesos y organización. Entre los aspectos vitales es crítico hacer una buena clasificación de los datos según su sensibilidad y de los niveles de acceso a la información.
Desde el prisma del control un aspecto vital es el mantenimiento. ¿Hay suficiente talento profesional en materia de ciberseguridad para la actual demanda?
Se han realizado diferentes estudios realizados y todos coinciden en que hay un déficit de recursos tanto en España como en el resto. El problema es que el número de amenazas e incidentes sospechosos no deja de subir a medida que más y más negocios o administraciones se van digitalizando. Eso hace que el número de analistas necesario para inspeccionar y tomar decisiones suba también.
Actualmente, una de las principales estrategias para atajar ese problema pasa por utilizar capas de análisis automatizado, utilizando técnicas de machine learning, para filtrar las amenazas e incidentes más comunes y sencillos, de tal forma que no se sature a los analistas humanos.
En concreto, ¿hay algún puesto que no debería faltar en ninguna empresa para poder paliar y controlar este tipo de ataques?
Un buen director general comprometido en la ciberseguridad, que no delegue en nadie su responsabilidad de vigilancia y gestión.
En cuanto a la eficiencia, ¿qué herramientas son vitales para mejorarla?
Lo primero es redefinir las funciones de ciberseguridad recogiendo los cambios necesarios para adaptarse a la nueva arquitectura de cloud computing y la nueva filosofía DEVOPS en los desarrollos de software, así como a los incrementos de carga de trabajo ocasionados por el mayor número de amenazas. Aquí hay que tener en cuanta la automatización de muchas funciones como decíamos anteriormente para emplear los RRHH con mayor eficiencia.
Luego hay que plantearse un nuevo modelo de organización, que la convergencia con la seguridad física y con la seguridad industrial u operacional bajo la misma supervisión, dado que tienden a utilizar herramientas de análisis parecidas y se pueden retroalimentar la una a la otra, como en la gestión de las identidades digitales. Asimismo, agregar responsabilidades en el cuidado de la reputación y de la propiedad intelectual.
Por último, ¿están las empresas preparadas para el reto de la ciberseguridad?
Están mucho mejor preparadas que hace unos años. La inversión en ciberseguridad funciona y obliga a los hackers a invertir mucho tiempo de desarrollo y ejecución en cada ataque, hasta el punto de que muchas veces no es rentable para ellos. Pero esta es una batalla continua y cada empresa debe tener su propio plan para actualizar y mejorar sus controles.
En la medida en que los directivos consigan mejorar la concienciación de los empleados, reduciendo el riesgo de insiders (cómplices voluntarios o involuntarios de los atacantes), implantar un entrenamiento adecuado contra las crisis y la convergencia de todas las fuentes de inteligencia entre sistemas físicos, informáticos e industriales, la probabilidad de un ataque exitoso se reduce mucho. Y no olvidemos los seguros para gestionar los riesgos que no se puedan controlar.