La imagen es una foto de la mesa redonda donde salen Eduvigis Ortiz, Susana Quintás y Rosa Kariger

Susana Quintás participa en la mesa redonda «Ciberseguridad para la alta dirección » en el evento Cybersecurity Summit organizado por IDC y Foundry

Ayer asistí al Cybersecurity Summit organizado por IDC y Foundry en el Hotel Mandarín Oriental Ritz

Gracias a Edu Presidente de Women4 Cyber por invitarme. Fue un placer participar en la mesa redonda: Ciberseguridad para la Alta Dirección. Debo confesar que la ciberseguridad es un tema que me apasiona, aunque es cierto que observo los retos desde la distancia, o desde la sala de juntas, pero quienes se dedican a este campo realmente tienen mi admiración.
Como miembro independiente de un consejo de administración, veo que las organizaciones de hoy en día se enfrentan a una compleja serie de retos que abarcan desde amenazas virtuales, como los ciberataques patrocinados por el Estado, hasta impactos físicos, como las condiciones meteorológicas extremas.
Es responsabilidad del Director de Seguridad de la Información (CISO) y de su equipo sortear estas adversidades adoptando estrategias innovadoras para la evaluación continua de riesgos, salvaguardando los activos digitales y manteniéndose al día de los rápidos avances en tecnologías de seguridad.
Pero es responsabilidad de la Junta Directiva ser proactiva para proporcionar los recursos y el apoyo que el asunto requiere en un mundo cada vez más interconectado y digitalizado.

Comentario sobre el evento pulsa aquí

Más vale prevenir que curar

Publicado por primera vez en IDC Foundry el 22 de Febrero de 2024.

La segunda jornada del Cybersecurity Summit, organizado por IDC y Foundry en Madrid, ha contado con las perspectivas de todas las áreas de interés de la industria de la ciberseguridad; legal, fuerzas y cuerpos de seguridad, CISO, proveedores… De hecho, Juan Salom, Coronel jefe de la Unidad de Coordinación de Ciberseguridad de la Guardia Civil, inauguraba el día de clausura de un evento que ha contado con la colaboración de importantes actores del sector como IMB, Softeng, Cloudflare, Pentera, Fortinet, HPE Aruba Networking, Sosafe, SailPoint, AT&T Cybersecurity, Sophos, Delinea, Commvault, Tehtris, Dell Technologies/Intel, Barracuda, Base4, Eset, Irius Risk y Cyberark.

Salom, que se dedica a la investigación del cibercrimen desde 1999, aseguraba que su persecución es todavía un problema “porque siempre anteponemos temas como la detección, la respuesta y la recuperación”. Pero los números son clarividentes: en 2023 se denunciaron hasta 131.000 vulneraciones digitales, lo que supone una de cada cinco. En el conjunto global, la estadística es uno a cuatro. “Este crecimiento no contempla los nuevos avances tecnológicos que siempre aprovecha el delincuente”, exponía. “Y no se denuncia todo lo que ocurre, ya sea por temor reputacional, acciones que pueda tomar la Agencia Española de Protección de Datos (AEPD) o por otras tantas circunstancias. Solo vemos la punta del iceberg”.

No obstante, los cuerpos policiales están haciendo mucho con pocas herramientas, proseguía, y muestra de ello es la reciente desarticulación de la banda cibercriminal LockBit. Pero, “lo que no existe no se puede perseguir y la impunidad significa más delito”, decía en referencia al ransomware, un ataque que prácticamente no se denuncia y que llega a ganar millones de euros en rescates. “España está muy bien situada en ciberseguridad. Se detecta más y se regula más, pero la realidad es que el cibercrimen aumenta. Animo a denunciar todo lo que pasa en Internet, el riesgo reputacional es más ficticio que real. Necesitamos saber la verdad y que se demande una mejor respuesta a la ciberdelincuencia, si no, llegará un momento en que no podamos protegernos más”.

La identidad en el centro de la estrategia

La realidad es que el fraude es cada vez más rápido e inteligente. Si no que se lo digan a grandes firmas como JP Morgan, que tiene un presupuesto de 15.000 millones de dólares en TI y todavía les resulta difícil lidiar con la seguridad, apuntaba Mark Child, director asociado de investigación en seguridad de IDC Europa. Y, es que, más de la mitad de las grandes organizaciones del Viejo Continente sufrieron el año pasado un ataque de ransomware que bloqueó su acceso a los sistemas o a los datos.

Todo esto en un contexto en el que la inteligencia artificial (IA) sigue despuntando y en el que los llamados deepfakes supondrán una gran preocupación para las empresas: más del 35% tendrán soluciones en este ámbito para 2026. Ante la amenaza, Child ponía en valor los esfuerzos que está haciendo la Unión Europea (UE) en materia de legislación para “adoptar una visión más amplia de la problemática”.

Por último, el analista aseguraba que “la identidad está en el centro de todo”, como herramienta de seguridad y también de experiencia de usuario para el mantenimiento de la productividad. “La filosofía Zero Trust es clave”, concluía.

Un punto de vista legal

Rafael García del Poyo, partner y director del departamento de TI/IP de Osborne Clarke, asentía que “el derecho en ciberseguridad ya es necesario porque el activo más importante que tenemos en la sociedad actual es la información”. Por ello, continuaba, tenemos que utilizar las herramientas digitales conforme a nuestras maneras, “a nuestro derecho”. Además, las empresas trabajan con herramientas deslocalizadas, que no han sido ideadas en Europa y hay que legislar.

“No somos capaces de vivir sin información por lo que es lógico que crezcan los ciberataques”, asimilaba. “La protección de datos ha popularizado la necesidad de seguridad, todo a petición de una sociedad democrática; el derecho es fruto del consenso de la sociedad”. Porque, detrás de todas las amenazas hay una intención política, como lo es “fastidiar” a las empresas, más si tenemos en cuenta que los ataques suelen ocurrir en fines de semana o en periodos de vacaciones, algo que no es aleatorio.

“Lo que nos queda en la UE es la utilización de todas las tecnologías de una determinada manera, y hay un cierto grado de geopolítica en todo esto, lo que denominamos Efecto Bruselas”. Esto es, decía, que aunque una compañía no sea del continente debe hacerse cargo a sus reglas si tiene clientes de esa zona. “Estamos en el momento perfecto para adaptarnos al cambio y de mostrar debidas diligencias ante las autoridades”.

Así valida un CISO la seguridad

Ramón Lucini, director para Iberia de Pentera, presentaba el caso de éxito de Ferrovial de manos de David Teruel, su director de EDR. El primero aseveraba que la ciberseguridad ha de ser un activo que funcione, que las empresas tengan la certeza de que va a responder. “Muchas veces entendemos que las herramientas que implementamos van a funcionar per sé, por eso ayudamos a validar que nuestros sistemas no caen. Lo más importante es probar las soluciones en entornos reales”.

De este modo, Teruel, que gestiona un equipo de 25 personas, tiene entre sus principales preocupaciones los ataques ransomware“Utilizamos la tecnología para comprobar de qué manera nos puede afectar y si podríamos responder. Es clave detectar todos los activos que podemos tener expuestos. De forma automatizada, gestionamos diferentes evaluaciones en todas las geografías con diferentes escenarios que vamos lanzando en distintos contextos, lo que nos aporta una realidad muy amplia de nuestra superficie de ataque”.

La ingeniería social en la actualidad

Vicente Gea, cybersecurity awareness expert de Sosafe, explicaba cómo los atacantes entran en el cerebro de los empleados. Desde la plataforma de concienciación oriunda de Alemania, cuyo producto gira en torno al comportamiento humano, buscan la maximización de conceptos para ganar una fuerte cultura de la ciberseguridad corporativa. Porque el 82% de las fugas de datos proceden del factor persona. Una de cada tres hacen click en contenido malicioso, y de estos, el 50% introduce información sensible. “Los atacantes apuntan a las personas porque es el vector más desprotegido”, contaba.

Y el panorama es más complejo que nunca, con el auge de la IA y la escasez de personal técnico en Europa –se estima que faltan unos 3,5 millones de trabajadores–. “Nos encontramos con situaciones de estrés y falta de tiempo que aprovechan los ciberdelincuentes”.

Por una parte, estos hacen gala de manipulación utilizar para que los empleados bajen la guardia. También, en sus amenazas de phising cuentan con asuntos exitosos como errores en la nómina, por ejemplo. Y, por último, el correo electrónico sigue siendo la herramienta preferida ya que con la IA son más rápidos en crear sus campañas y con un volumen mayor y más creíble. “Para protegernos hay que tener una visión más holística, todas las empresas son objetivo y debemos trabajar con las personas para cerrar la brecha que hay entre el empleado y el atacante”.

Ciberseguridad para la alta dirección

Eduvigis Ortiz, fundadora y presidenta de Woman4Cyber España, dirigía una mesa redonda sobre cómo llegar a los comités administrativos en la que participaron Susana Quintás, consejera independiente de firmas como Sofinco y Reale Seguros; y Rosa Kariger, directora global de análisis y prospectiva de seguridad de Iberdrola.

Quintás comenzaba diciendo que el consejo de administración es esa “nebulosa rara que pide documentación de vez en cuando, marca la estrategia, supervisa al CEO y la relación con los accionistas y gestiona los riesgos”. Y, la ciberseguridad es un riesgo más. “Necesitamos un proceso de doble convergencia, el del consejo y el de los CISO. Estos últimos deben tratar de hablar el lenguaje de los humanos y no usar su propia jerga llena de complejidades. Tienen que acercarse al negocio”. En este sentido, hasta el 55% de las empresas cotizadas en España no tiene en su consejo a nadie con experiencia en tecnología. “Cuesta entender los nuevos desafíos. Hay que escalar lo tecnológico y mejorar la diversidad, no solo de género, sin la de las experiencias. El CISO tiene que llegar al lugar que se merece, que es un puesto de muchísima importancia”.

Por su parte, Kariger asumía que para llegar a la alta dirección el CISO tiene primero que entender la actividad de la empresa y sentarse con el responsable de todos los departamentos. “El riesgo de la seguridad es de todos, y no se puede delegar en un tercero porque puede llegar a parar las operaciones. Pero hay una falsa sensación de seguridad, el CISO tiene que trabajar para que haya una comprensión de cómo la dependencia de las TI está entrando en los modelos de riesgo de las firmas”.

«La IA generativa nos ayuda a elevar la concienciación de nuestros empleados»

El flamante ganador en la categoría a CISO del año de los CIO 100 Awards Spain 2023Firas Atassi, CISO de Seur, estuvo presente en el evento con una entrevista a cargo de Esther Macías, directora editorial de Foundry España. El ejecutivo contaba cómo la pandemia nos cambió a todos, también a la empresa de paquetería, que pasó a ser un servicio más esencial todavía con la aceleración del comercio electrónico. “Pasamos a mover millones y millones de entregas”, indicaba. “Pero claro, la ciberdelincuencia también aumenta proporcionalmente”.

De este modo, Seur se adaptó a los nuevos volúmenes con un programa estratégico basado en trasladar a la dirección el riesgo de ataque para así comprender mejor el negocio y saber “que el objetivo tiene que ser la resiliencia”. La primera fase fue la de la identidad digital, asegurar a empleados y cadena de suministro, e incluso a estos primeros a nivel personalidad. Por último, se hizo un programa específico de monitorización y respuesta basado en IA. “Así, redujimos la superficie de ataque; tenemos que ser muy conscientes de cómo nos ven los ciberdelincuentes, qué grado de exposición tenemos y pensar como ellos”.

En relación con la IA, que lleva muchos con nosotros, “tenemos que empezar a entender ‘lo generativo’, generar procesos predictivos y poner ética y moral. Esta tecnología nos ayuda a la madurez y a elevar la concienciación de nuestros empleados”. No obstante, añadía, se habla ya de “estupidez artificial, que es creer que la IA va a gobernar el mundo. Tenemos que analizar para qué queremos utilizarla. Por ejemplo, los datos biométricos van a ser necesarios para la IA generativa […] Me preocupa que cada vez se necesitan menos conocimientos y dinero para generar un ataque”.

Por último, concluía la entrevista, “hay que invertir en identidad digital, formación y concienciación, y entender que la ciberseguridad es un tema corporativo. Todos tenemos que colaborar para acabar con esta lacra que mueve millones y millones de euros”.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *