Por norma general, si le preguntamos al CEO de una empresa por cuáles son las prioridades de la compañía en el corto y medio plazo, sus respuestas no se desviarán mucho de "maximizar beneficios", "innovar", "satisfacer las necesidades de nuestros clientes", "digitalizarse" y hasta alguno se atreverá con aquello de "ser más sostenibles". Si bien es cierto que las cosas están cambiando, pocos, por no decir ninguno, pondrán a la ciberseguridad como una de las prioridades de su empresa para los próximos años.
Para hablar de los peligros y los retos asociados al ciberespacio, hemos charlado con cuatro expertos en este sector que se han propuesto, junto a otros compañeros, llevar la ciberseguridad al día a día de las empresas y los particulares. Ellos son Elena Matilla, Miguel García-Menéndez, Araceli Bailón y Margarita Robles, y tienen en común su pertenencia a la organización Arco Atlántico de ciberseguridad y entorno digital (ACED).
La primera de nuestras protagonistas es Elena Matilla, presidenta de Arco Atlántico y CISO de Red Eléctrica. Elena explica que Arco Atlántico nace de la idea de Agustín Castro, CEO de Castroalonso como "necesidad de democratizar la ciberseguridad". Esta asociación con sede en Gijón pero con vocación internacional, quiere ayudar a "impulsar las áreas de la privacidad, la seguridad de la información, así como ayudar a fomentar la creación de un ecosistema asociado a la I+D+i en el ámbito de la ciberseguridad".
El grado de implementación de la ciberseguridad depende de muchos factores como pueden ser el sector, tamaño y posibilidades de la empresa y del equipo directivo de la compañía. "Las grandes corporaciones han visto la necesidad de incorporar en sus procesos la ciberseguridad y cuentan con CISOs muy preparados que son capaces de incorporar la ciberseguridad en sus procesos de negocio", especifica la presidenta de Arco Atlántico.
En el ámbito de las PYMES, la ciberseguridad aún no es una prioridad, Elena cree que es "por falta de desconocimiento y no por falta de ganas". Opina que desde diferentes organismos e instituciones no se ha sido capaz de transmitir la imperiosa necesidad de reforzar la presencia de la ciberseguridad en cualquier tipo de empresa. La presidenta de Arco Atlántico explica que se vivió un 'boom' de creación de páginas webs, ecommerce y presencia online descuidando los aspectos críticos en ciberseguridad.
En este sentido, Miguel García-Menéndez, vicepresidente I de Arco Atlantico y CPO en Alastria Blockchain Ecosystem, habla de "fragilidad digital" para referirse a los problemas asociados a la digitalización y la transformación digital. Este año todo el mundo habla de esta aceleración a raíz de la Covid-19. Esta aceleración no está exenta de riesgos. Miguel muestra su preocupación relacionada con esta aceleración en el ámbito digital "es como si estuviésemos construyendo gigantes con pies de barro".
El sector industrial está mejorando sus capacidades de ciberseguridad, Miguel recuerda su paso por el Centro de Ciberseguridad Industrial, "cuando estaba en el CCI, las fábricas pensaban que la ciberseguridad no iba con ellos, que tan solo afectaba al personal de oficina. Lo cierto es que el mundo de la automatización industrial se sustenta en la utilización de equipos digitales por los que se generaban problemas. Se ha avanzado, pero hay mucho por recorrer, cada vez hay más foros profesionales que hablan de la ciberseguridad".
Se está mejorando, pero no al ritmo esperado, la percepción que tiene el vicepresidente I de Arco Atlántico es que "aumenta el interés de la gente por la ciberseguridad". Sin duda, este es el primer paso. El problema es que también mejoran "los malos". Se forma una carrera, a la desesperada, ya que generalmente, los ciberdelincuentes van por delante. La razón es simple y nos la explica Miguel, "los que llevan a cabo estos ataques están constituidos como verdaderas empresas cuyo objetivo de negocio es atacar a empresas o instituciones. Sin embargo, el objetivo principal de las empresas no es protegerse, es generar dinero gracias a su negocio. Para una empresa, su foco no está en ciberprotegerse de estos ataques".
Las empresas, de forma general, no piensan que van a ser objeto de un ataque ni del nivel de sofisticación al que pueden llegar estos ataques. Sin embargo, estos ataques pueden realizarse de forma aparentemente sencilla. Nuestra siguiente protagonista, Margarita Robles, vocal jurídica de Arco Atlántico y Profesora Titular de Derecho Internacional Público y Relaciones Internacionales y del Máster Propio en Ciberseguridad de la Universidad de Granada, insiste en que "con técnicas de ingeniería social se puede engañar a un empleado para que conecte una simple memoria usb infectada a los dispositivos de la empresa". Algo similar ocurrió en Irán en 2010 cuando un "gusano", ahora conocido como Stuxnet, tomó el control de 1.000 máquinas que participaban en la producción de materiales nucleares y les dio instrucciones de autodestruirse. Se podría decir que esta fue la primera vez que un ataque cibernético logró dañar la infraestructura del "mundo real".
El ciberespacio, un lugar sin fronteras.
El ciberespacio no solo no tiene fronteras, sino que cualquier acción que se realiza en el ciberespacio es una acción que está fuera de los parámetros normales de tiempo y de espacio. "Cualquier empresa o persona son atacados en tiempo real por ciberdelincuentes de cualquier parte del mundo" explica Margarita Robles, "lo normal en el ciberespacio es la transnacionalidad", añade.
Los autores de los ciberataques son muy variados, y es que estos pueden ser personas, empresas o los propios Estados. A diferencia de lo que pasa en el mundo físico, en el que más o menos podemos identificar a nuestros agresores, "en el ciberespacio la tecnología permite que cualquiera con un dispositivo y ciertos conocimientos en tecnología puede ser una amenaza incluso para un Estado" explica Margarita.
La formación ya no es una opción, es una obligación.
"Estamos en un punto en el que tendría que haber una formación obligatoria en ciberseguridad, en todos los niveles y adaptada a las diferentes circunstancias", así de contundente se muestra Robles. Lo que está claro es que todos estamos inmersos en el mundo cibernético, la reciente pandemia ha demostrado que si no existiesen los medios tecnológicos que conocemos, sería imposible que nos hubiésemos adaptado de la manera en la que lo hemos hecho.
La divulgación es una de las prioridades de Arco Atlántico. Arceli Bailón, vocal formativa de la asociación y Gerente en el ICFS, y coordinadora del CNEC del ICFS/UAM, nos explica que Arco Atlántico nace con la vocación de dar a conocer la cultura de la ciberseguridad. La acción formativa va encaminada sobre todo a la concienciación y divulgación de la ciberseguridad, "esto es empezar desde lo más básico como no dejar la contraseña escrita en un post-it hasta temas complejos y técnicos".
Arco Atlántico pretende concienciar, para ello están estableciendo unas líneas formativas adecuadas y especiales que intentarán iniciar en colaboración con algunas empresas, universidades y administración. "Estamos comenzando y tenemos muchas esperanzas puestas en este proyecto. La única forma de concienciar a la gente es a través de la formación" explica Bailón. Lo que si podemos adelantar es que estas formaciones irán dirigidas a todo tipo de público como pueden ser empresas, particulares, profesionales de la ciberseguridad o profesionales que tengan cierto interés por este sector.
"La formación se está quedando obsoleta, las universidades, sobre todo las públicas, no están reaccionando a tiempo", explica Araceli. Parece que no ocurre lo mismo en las empresas privadas, Bailón reconoce que "desde las empresas se tiene mayor visión de esta necesidad y se están llevando a cabo acciones formativas".
Ir de la mano.
"De poco sirve ir en solitario, la colaboración ha de estar en el ADN de cualquier iniciativa como Arco Atlántico" explica Miguel García-Menéndez. Colaborar y compartir información es vital de cara al futuro. A raíz de esta pandemia ocasionada por la Covid-19, la colaboración entre empresas e instituciones parece haberse reforzado en algunos ámbitos. Sin embargo, Margarita Robles cree que aún hay mucho margen de mejora y que "se necesita aumentar la colaboración público-privada".
La unión del Derecho y la Ciberseguridad.
Más allá de las definiciones oficiales, Margarita Robles entiende el derecho "como un instrumento para la ordenación de la vida social". La tecnología, por su parte, es algo con lo que funciona la sociedad. Por tanto, podríamos decir que la sociedad funciona gracias a la tecnología, pero se organiza gracias al derecho. ¿Cuál es la situación que tenemos ahora? Para Robles "es una situación en la que hay un desarrollo tecnológico que crece exponencialmente ya que cada año hay nuevas tecnologías y nuevos dispositivos, mientras que el derecho y las normas necesitan tiempo, reflexión y consenso". Por tanto, el derecho no puede ir a la misma velocidad que la tecnología. Como consecuencia de esto, se produce un desajuste en la velocidad del crecimiento tecnológico y una cierta lentitud en el desarrollo de normas regulatorias. ¿Qué significa esto? Robles explica que "los políticos y juristas encargados de elaborar las normas tendrían que tener en cuenta que hay que reflexionar estas normas, pero es necesario regular la tecnología". "Si no regulamos la tecnología nos vamos a encontrar en un mundo en el que la tecnología nos regule a nosotros", añade.
En este sentido, Araceli Bailón, cree que debemos ver la unión entre derecho y tecnología "como un ámbito pluridisciplinar", es decir, no es que la tecnología, el derecho o el marketing estén cada uno por su lado, sino que lo debemos de ver como uno. "Lo ideal sería que un abogado tuviese nociones de marketing, ciberseguridad, empresa, tecnología...", explica Bailón.
Generar vocación femenina.
Otro pilar sobre el que se asienta Arco Atlántico es el de llevar la ciberseguridad a las niñas y a las mujeres, aquellos sectores y grupos que desde la asociación ven más excluidos en este ámbito. Elena Matilla nos explica que quieren trabajar en temas de diversidad y de inclusión, "creemos que aún hay mucho por hacer".
Si analizamos los datos, podemos ver como se firman acuerdos y se comentan públicamente los deseos de las organizaciones para fomentar la presencia femenina en el ámbito STEM, sin embargo, la realidad es que cuando se hacen eventos o grupos de trabajo, el papel de la mujer sigue siendo minoritario. "No es que no haya profesionales femeninas, de hecho, las hay muy buenas, creo que es porque somo menos mediáticas, trabajamos más en la sombra y puede que también porque nuestra red de contactos es más reducida", opina Elena.
Araceli Bailón, cree que no es un problema de ausencia de referentes, de hecho, insiste en que "hay muchísimas mujeres que se dedican a carreras tecnológicas, lo que hay que hacer es darles visibilidad, este es el principal problema". "En definitiva, se debe actuar para dar visibilidad a la mujer en su conjunto y darle el valor que debe tener para que, en igualdad de condiciones, un hombre y una mujer puedan ser referentes", añade Bailón.
¿Cómo podemos llevar y potenciar el ámbito de la ciberseguridad en las mujeres? Elena Matilla propone enseñar y divulgar la ciberseguridad a las niñas desde las etapas muy tempranas para despertar esa vocación. En este sentido, reconoce que se están haciendo avances con la impartición de asignaturas STEM en los colegios, pero identifica un gran problema y es que a su juicio "las asignaturas se están impartiendo como se impartían hace 15 años con tecnología obsoleta o con profesores que no tienen sensibilidad para hacer atractivo el ámbito STEM entre las más pequeñas".
Manténgase al día con todas las noticias y el contenido sobre el sector industrial y tecnológico siguiéndonos en nuestras redes sociales: LinkedIn, Facebook, Twitter, Youtube e Instagram.
