Ni es solo prevención ni solo tecnología: claves para que las empresas empiecen a trabajar en su ciberseguridad, según el director del Centro de Operaciones de Seguridad de Mapfre

  • Las empresas siguen multiplicando sus necesidades en ciberseguridad, pero muchos CEO todavía no saben de qué manera atajarlas.
  • En el XIV Smart Business Meeting dedicado a la ciberseguridad, Daniel Largacha, director del Centro Global de Operaciones de Seguridad de Mapfre y director del Centro de Ciberseguridad de ISMS Forum, dio algunas claves.
  • Juan Cobo, el CISO global de Ferrovial, insistió en que la ciberseguridad tiene que estar en la agenda del CEO, en la del comité de dirección e incluso en la del consejo de administración.
  • Descubre más historias en Business Insider España.
Cintillo patrocinio Havas

La vida es más digital, la economía también, y las necesidades en ciberseguridad apremian.

Sin embargo, muchos directivos que ya son conscientes de que deben mejorar la seguridad informática de sus empresas todavía no saben por dónde empezar.

El XIV Smart Business Meeting organizado por Business Insider España se dedicó a la ciberseguridad, y uno de los especialistas que participaron en el debate introdujo varias cuestiones esenciales para que las empresas comiencen a trabajar en su ciberseguridad.

XIV Smart Business Meeting: el gran reto de la ciberseguridad para empresas e internautas

Se trata de Daniel Largacha, el director del Centro Global de Operaciones de Seguridad de Mapfre, así como director del Centro de Ciberseguridad de ISMS Forum. ¿Por dónde tiene que empezar un CEO para mejorar la ciberseguridad de su empresa?

"Si un CEO me hace esa pregunta asumo que empezamos bien", sonríe Largacha. "Denota que existe cierta preocupación por la ciberseguridad, denota que el CEO es realmente consciente de a qué se está aproximando y cuál es la magnitud del problema".

El problema es que la respuesta no puede ser monolítica. Sobre todo porque la ciberseguridad cambia mucho y muy rápido cada poco tiempo, y la pandemia, al igual que ha acelerado la digitalización, también ha acelerado los riesgos y los cambios en la forma de trabajar. Ha cambiado la ciberseguridad.

"Hace unos años mi respuesta hubiese sido muy diferente, y la manera en la que se aplicaba la seguridad también lo era", reconoce Largacha. "El escenario ha cambiado por completo".

Daniel Largacha, director del centro global de operaciones de seguridad de Mapfre
Daniel Largacha, director del centro global de operaciones de seguridad de Mapfre

Business Insider España

El especialista detalla que antes la ciberdelincuencia estaba más enfocada en el sector bancario. "El resto de sectores veían esto del cibercrimen como algo lejano, pasajero y remoto. Pero ha ido evolucionando". Después, los criminales informáticos dieron el salto a otros sectores, como el retail "porque en él también hay cierta facilidad para monetizar los ataques", al comprometer tarjetas de crédito de los clientes.

Pero las criptomonedas han democratizado muchas cosas: también el cibercrimen. Gracias al uso de estas criptodivisas, mafias y colectivos de ciberdelincuentes pueden atacar y disparar a todo, y después pedir una recompensa a su víctima en caso de que esta quiera recuperar la normalidad. El uso de efectuar esos cobros en criptomonedas, siendo casi imposibles de rastrear, hace que muchos ciberdelincuentes hayan intensificado sus esfuerzos al atacar a organizaciones de cualquier tamaño y sector.

Incluso hospitales en plena pandemia.

El escenario cambia "mucho" no solo porque se haya "democratizado el cibercrimen": también la pandemia ha introducido el teletrabajo y ha cambiado, probablemente para siempre, la forma en la que muchas empresas se organizan.

"Desde fraudes al CEO a ransomware", incide Largacha. El especialista de Mapfre asegura que un CISO podría ser un aliado indispensable para un CEO, ya que le podría enumerar una serie de pautas básicas para mejorar la ciberseguridad de una organización.

Cómo comprobar si tus datos se han filtrado en una brecha de seguridad o ciberataque, y cómo protegerte llegado el caso

Además, Juan Cobo, que también intervino en el debate, introduce otro matiz. No hay dos empresas iguales. Cobo es el CISO global de Ferrovial. "Puede haber líneas maestras en dos empresas y que coincidan en alguna. Pero por buenas prácticas que se hayan introducido, cada empresa es un mundo".

El panorama cambia cada minuto y cada empresa puede tener necesidades diferentes.

El usuario es la clave

Largacha es contundente. "Hay que hacer hincapié en medias de protección frente a la identidad". El especialista abunda en que la idea de "una red dentro, una red fuera" ya ha cambiado por completo. Durante el confinamiento, muchas empresas apostaron por utilizar redes virtuales privadas (VPN) para que sus empleados, desde su casa, pudieran conectarse a la red corporativa para teletrabajar.

Aumentaron los puntos débiles, aumentó la superficie de ataque.

Pero el director del Centro Global de Operaciones de Seguridad de Mapfre enfatiza en que lo que determina si se está dentro o fuera de una red es el propio usuario. Por lo tanto, "todas las medidas que se puedan establecer alrededor del mismo serán bienvenidas y serán las más rentables desde el punto de vista de la inversión".

Una rentabilidad, eso sí, difícil de cuantificar: "El ataque fallido nunca se contabiliza".

Pero por ello mismo Daniel Largacha plantea establecer accesos con factores de doble autenticación (2FA) como llaves físicas o biometría a la hora de acceder a una red corporativa o a una cuenta en la plataforma empresarial. La compañía también podría abordar desde la ciberseguridad un análisis del comportamiento de los trabajadores.

"Si tengo a todos los trabajadores en España, no tendría mucho sentido que registrase un acceso desde un país extranjero", destaca Largacha. 

Algo más que prevención

No es cuestión solo del trabajador. A la hora de estructurar un sistema se pueden establecer roles con privilegios para evitar que los trabajadores más rasos tengan acceso a información sensible y que si un ciberdelincuente les suplanta, puedan robarla.

Daniel Largacha también plantea lo que en el sector se conoce como soluciones zero-trust (confianza cero en inglés). "No hay espacios fiables y confiables, en especial cuando los manejan los usuarios". En muchas ocasiones, las empresas no deben confiar ni siquiera en sus propios proveedores, ya que estos también podrían verse impactados por un ciberataque que se propague a otras firmas.

El plan del nuevo jefe de Seguridad de GitHub para evitar que los desarrolladores sigan filtrando secretos y contraseñas de empresas accidentalmente

Pero también esboza la idea de que no todo es prevención. A la hora de invertir en ciberseguridad, a la hora de aproximarse al sector, también es necesario abordar medidas que puedan ayudar a detectar y a reaccionar ante incidentes informáticos. "Hay que partir de la base de que en cualquier momento, cualquier compañía va a ser atacada. Hay que contar con los medios para responder".

La ciberseguridad es algo más que tecnología

Juan Cobo, CISO global de Ferrovial.
Juan Cobo, CISO global de Ferrovial.

Business Insider España

Juan Cobo, el CISO global de Ferrovial, comparte opinión con su colega Daniel Largacha con respecto a lo mucho que ha cambiado el panorama de la ciberseguridad. "Cuando empezamos con esto yo creo que había días en los que teníamos algún susto. Ahora hay días en los que no tenemos ninguno".

"Son, además, sustos que van contra el negocio, contra la generación de valor, contra el futuro de la empresa, contra su capacidad de competir en el mercado", insiste. Por eso, para aproximarse a la ciberseguridad desde el sector privado hay que tener en cuenta una cosa imprescindible, a su juicio: "La ciberseguridad no va solo de tecnología".

"La figura de CISO es relevante, pero es un rol no técnico. Esto no va de meter productos, cacharros o un servicio. Este es un proceso muy complejo, una transformación de toda la cultura empresarial que se tiene que embeber de manera natural desde el momento en el que se empieza a generar negocio. Tiene que cambiar la mentalidad de toda la gente que está en la empresa".

Por eso, Cobo destaca que este tiene que ser un factor que tiene que estar en la agenda no solo del CEO: también de todo el comité de dirección e incluso del consejo de administración. "Y no es por moda".

Si quieres ver el evento completo, pincha aquí.

Otros artículos interesantes:

"¡Exige que respeten tu privacidad!": el insólito mensaje de ciberdelincuentes a los clientes de una tienda atacada con 'ransomware' que no quiere pagar un rescate

El Gobierno abre plazo para recibir proyectos con los que impulsar la ciberseguridad de las empresas españolas y que se financiarán con 260 millones de los fondos europeos

He investigado TikTok durante un año: mis fuentes dicen que la compañía sin duda envía datos de sus usuarios a China