Hay que concienciar de que la ciberseguridad 100% en la empresa “no existe”

Le ministro de Justicia, Rafael Catalá, durante la ponencia inaugural de la IV Jornada sobre Ciberseguridad en la Empresa, este martes en Madrid. | FOTOS: Alberto Orellana

En todas las empresas hay tres elementos fundamentales: Personas, tecnología y procesos. Son “como tres patas de un taburete” que “deben funcionar adecuadamente para que no se caiga”. Por tanto, es evidente que sin tecnología no podremos avanzar en ciberseguridad, “pero sin concienciar a las personas da igual que pongamos toda la tecnología del mundo”. Miguel Ángel Juan, del Grupo S2 de ciberinteligencia, aportaba su visión de una de las claves discutidas durante la IV Jornada de Ciberseguridad en la Empresa: concienciar sobre el uso de la tecnología y la necesidad de la ciberseguridad.

La Confederación Española de Organizaciones Empresariales (CEOE) organizó este martes, en colaboración con la Confederación Española de Asociaciones de Jóvenes Empresarios (CEAJE), la cuarta edición sobre los límites, retos y claves de la ciberseguridad en la empresa. El acto estuvo presidido por el ministro de Justicia, Rafael Catalá, quien destacó “el papel transformador de las tecnologías”, que poseen una gran capacidad para “faciltar, mejorar y expandir procesos, modelos sistemas y organizaciones del sector público y privado”.

Miguel Ángel Juan destacó la necesidad de implantar la temática de la ciberseguridad en una empresa de manera global, siguiendo unas políticas y estrategias, de manera que “no sea algo que solamente dependa del departamento de TI”, sino que sea un tema “que cale en toda la organización”. “Si alguien se deja la llave o pincha en el enlace de un phising y ejecuta un malware…”.

El problema de la ciberseguridad ha evolucionado mucho en los últimos años y desde el punto de vista empresarial y político “seguimos preocupados de la concienciación” sobre el mismo, añadió Víctor Calvo Sotelo. El ex secretario de Estado de Comunicación declaró que seguimos creando “una serie de mecanismos de defensa ante un problema importante”. Esto se debe principalmente al incremento de la “complejidad de los dispositivos” que usamos y del marco regulatorio y legal constantemente actualizado respecto a su utilización.

Debe lograrse esa concienciación del empleado de que “la seguridad 100% no existe”, como aportó Juan Ignacio López Calvo (Banco Santander) durante la mesa redonda celebrada en la jornada. “El paradigma de la seguridad 100% no existe”, por lo que debe trasladarse tanto a empleados como a clientes la estrategia que les permita “prepararse lo mejor posible y aprender a reaccionar a los ataques”, explicó López Calvo.

Además resaltó la importancia de otro concepto muy comentado durante todo el evento: el perímetro de los datos y las fronteras de la empresa. Para el representante del Santander, así como para Luis Ángel del Valle (de Sealpath) las empresas no tienen fronteras, y el perímetro de una entidad es “allá donde estén mis datos”. Ya no vale pensar que mis datos son los que manejo en mi empresa, pues esta vive en un mundo hiperconectado.

De este modo, la concienciación se alza como labor preventiva indispensable en toda empresa. “Es fundamental insistir en el factor humano, en la educación, la formación, y el conocimiento de la cultura de la ciberseguridad”, defendió José Domínguez. El inspector jefe de Ingeniería Técnica Forense del Cuerpo Nacional de Policía coincidió con la tónica de los demás ponentes, alertando sobre el uso inconsciente que hacemos a menudo de la tecnología (especialmente los smartphones).

Hay que afrontar el problema de la ciberseguridad, “porque esto no va a parar aquí, sigue creciendo exponencialmente, con ejemplos como el BigData, el Cloud Computing o el Internet de las Cosas (IOT por sus siglas en inglés)”, detalló el inspector.

Pero concienciar no es fácil. Especialmente al cliente. “Porque no asocian la necesidad” de la ciberseguridad “con un riesgo real”, según dijo otro de los expertos de la mesa redonda. “Hay que hacer especial hincapié en la prevención” y sobre todo en la reacción (o “remediación”) para disponer “de personal cualificado” en la organización. El problema en las empresas a menudo es que “no saben identificar cuál es el riesgo de la utilización de la tecnología”, añadió el experto en seguridad.

Igualmente, en muchas ocasiones resulta complejo delimitar “cuáles son los datos propios de la empresa” y cuáles los personales del empleado. Para este experto hay que “concienciar sobre los riesgos de la fuga de información” en una empresa y no tener pavor ni “ocultar” si ha habido un problema de seguridad -a pesar de los perjuicios económicos-.

Por su parte Kamel Karabelli, gestor de desarrollo de negocio y seguridad de Neovalia, planteó que quizás es preferible “simplificar las cosas” para extender esa cultura de la ciberseguridad. Para Karabelli debería poderse “democratizar el acceso a la ciberseguridad” y “compartir conocimiento” sobre el tema, porque “los hackers lo hacen”. Transmitir cosas como saber que el USB es “uno de los principales vectores de infección más importantes” en una empresa, como planteó también el inspector Domínguez.

La solución “puede no tener que pasar por poseer o no la tecnología”, añadió Karabelli, sino “operarla como servicio”. “Hay que fijarse en lo que hacen los malos”, resumió.