Es un hecho que la transformación digital se ha acelerado durante la pandemia. En el año 2020, hemos asistido a una explosión tecnológica que ha venido para quedarse; en sus aspectos más positivos, el nuevo marco digital ha mejorado la gestión en los negocios aumentando la productividad, la competitividad, el poder teletrabajar y continuar educando a los más jóvenes cuando las aulas estaban cerradas; pero también ha favorecido un crecimiento exponencial de ciberataques que demuestran lo expuestos que estamos en la red, si no tomamos las medidas adecuadas.
Acometer una transformación digital sólida y sin fisuras implica necesariamente disponer de una estrategia de ciberseguridad que la acompañe. Para profundizar sobre ello, el Centro Sefarad de Israel en nuestro país ha organizado un encuentro, bajo el epígrafe “¿Por qué nos debe importar la ciberseguridad?”, que se enmarca en un conjunto de eventos conmemorativos celebrados con motivo del 35 aniversario del establecimiento de relaciones diplomáticas entre los estados de Israel y de España. El debate ha contado con la participación de la Cámara de Comercio de España Israel, mujeres de Women4Cyber Spain y el responsable en Accenture Iberia Security de la práctica de Ciberseguridad, y ha sido moderado por Daniela Kominsky, Country Manager de Cymulate Iberia y miembro de la Junta Directiva de Women4Cyber Spain.
La ciberseguridad nos debe importar porque “es la palabra clave en la construcción del futuro digital. Llevamos muchos años hablando de transformación de la economía y también digital y ahora la pandemia ha supuesto un revulsivo que nos obliga a acelerar procesos que teníamos en cartera y no sabíamos cuando se realizarían”, reflexiona Xavier Mitxelena, responsable en Accenture Iberia Security (España, Portugal e Israel) de la práctica de Ciberseguridad. “En este mundo digital donde vivimos, y vamos a seguir viviendo, la ciberseguridad es una herramienta principal y debe estar presente tanto en el ámbito público, como en el privado, así como en lo laboral y en lo personal. En este contexto, Israel juega un papel fundamental porque es la cuna de lo que podríamos llamar el modelo de ‘emprendizaje’, en cuanto a aportación de las redes y de valor de cómo deber ser este mundo en el futuro”, añade Mitxelena.
En el encuentro, todos los participantes han coincidido en que “la pandemia nos ha ayudado a utilizar la tecnología de forma diferente a como se hacía hasta la fecha para dar continuidad a los negocios, permitir el teletrabajo, poder estar informados, fomentar el comercio en línea e, incluso, utilizar plataformas online de entretenimiento durante el confinamiento. Al final, hemos incrementado el uso de las redes de telecomunicaciones, hasta el punto de que el año pasado España aumentó su utilización en más 50%; unas cifras previstas para dentro de cinco años, según datos aportados por la Secretaría de Estado de Telecomunicaciones. Pero estos crecimientos deben venir acompañados de medidas de ciberseguridad, porque todos estos avances nos han hecho aumentar el ámbito de exposición a las ciberamenazas”, apunta Mar López, Jefa de la Unidad de Ciberseguridad y Lucha Contra la Desinformación, en el Departamento de Seguridad Nacional de la Presidencia del Gobierno, además de Vicepresidenta de Women4Cyber Spain.
“Más de la mitad de la población está conectada y cada vez tenemos más dispositivos en la red, por no mencionar que el número de líneas móviles supera al de la población mundial. Actualmente, llevamos en nuestros bolsillos tecnología más potente que la del cohete Apolo 11 que fue a la Luna en 1969. Y todo ello en un espacio donde no existen fronteras, que es dinámico y cambia casi sin control, yo diría que anárquicamente. Este espacio anárquico está siendo aprovechado por los malos a través de disrupciones tecnológicas y ciberataques, para favorecer el ciberterrorismo y la desinformación, incluso atentan contra la confianza digital hacia la que deberíamos ir. A esto se añade que las acciones de los ciberatacantes son difícilmente atribuibles, lo que se convierte en un problema desde el punto de vista de la seguridad nacional”, completa la vicepresidenta de W4C Spain.
La ciberseguridad se ha dejado para el final
La pandemia nos obligó a actuar sobre la marcha dejando que aspectos decisivos como la ciberseguridad se abordaran en una segunda fase. “Con el confinamiento, tuvimos que cambiar en las organizaciones el modelo de negocio e, incluso, el de trabajo; y si bien es verdad que las grandes organizaciones disponían de una infraestructura preparada para esta eventualidad, para otras empresas el teletrabajo ha supuesto un gran esfuerzo: no tenían a los trabajadores formados, ni los equipos preparados, ni los servicios en la nube adecuadamente diseñados y organizados, con lo cual su exposición a riesgos de ciberseguridad es mucho mayor. Al contexto anterior, se añade la situación de incertidumbre generalizada que había al pensar si los negocios funcionarían en un entorno de confinamiento” y confiando al cien por cien en la tecnología, “todo lo cual ha sido aprovechado por el ciberdelincuente. Basta con ver que el ransomware fue la estrella del 2020 y puso en jaque a muchas empresas con su extorsión y su mala publicidad, por no hablar del incremento de APTs difíciles de gestionar por compañías poco preparadas. El año pasado hemos asistido a un despegue de la transformación digital, donde la ciberseguridad se ha dejado para el final, cuando en realidad es clave y estratégica”, señala María de Miguel, del Cuerpo Superior de Sistemas y Tecnologías de la Información, Subdirección de Tecnología e Información Tributaria en la Agencia Tributaria de Madrid.
El cibercrimen saca partido a la transformación digital
Según Mitxelena, “el cibercrimen lleva mucho tiempo en la red y probablemente es la industria que mejor ha aprovechado la transformación digital; existen estadísticas en el ámbito de mercado que dicen que, antes de la pandemia, el cibercrimen iba a generar para el año 2021 ingresos de 6 trillones de dólares –casi 5 veces el PIB de España– y para 2025 se espera que lleguen a 11 trillones. Si el cibercrimen fuera un país, sería la tercera economía del mundo tras la de Estados Unidos y China”.
“Por otra parte, el cibercrimen innova y está automatizado. Los ataques no solo han crecido en esta hiperconectividad, sino que han tenido un impacto superior al esperado independientemente de lo que se conoce y se publica, probablemente las organizaciones se han visto más afectadas de lo que pensamos.” –Indica Mitxelena– “A esto se suma que no estamos todavía sensibilizados por los conceptos de seguridad en el ámbito del uso de las tecnologías, y los países tenemos la obligación de generar una verdadera cultura del uso correcto de la tecnología, utilizar la ciberseguridad como un elemento diferenciador y de competitividad”.
Aprovechando el símil del coronavirus con los virus informáticos, Mitxelena concluye que quiere dar una visión positiva del concepto pandemia apostando por la prevención. “Nos enfrentamos a una pandemia digital, de manera que cuanto más estamos conectados, más expuestos estamos a infectarnos. No podemos bajar la guardia, hay que abordar de una forma diferente lo que es la tecnología y la securización de la misma. Hay muchos ejemplos en los últimos meses tanto en el ámbito público como privado de organizaciones que han tenido problemas graves a la hora de resolver un ataque de ransomware. Tenemos que construir una infraestructura digital con conceptos preventivos”.
España y su peso en ciberseguridad
“La ITU de Naciones Unidas sitúa a España en el séptimo lugar en el ranking de ciberseguridad a nivel mundial. Como potencia media en este ámbito, contamos con dos estrategias nacionales. En la Administración Pública española tenemos Centros de Respuesta a Incidentes de Ciberseguridad como el CCN-Cert; el INCIBE y el Mando Conjunto de Ciberdefensa. Por otro lado, hemos aumentado los sistemas TICs siendo más resilientes y, paralelamente, se ha incrementado la colaboración público-privada a través del Foro Nacional de Ciberseguridad, creado para oír al sector privado y la sociedad civil en temas de ciberseguridad”, detalla Mar López.
En nuestro país, “hemos avanzado mucho en materia de seguridad. Somos referentes en Europa en gestión de crisis y tenemos la figura del Embajador en Misión Especial para la Amenaza Híbrida y la Ciberseguridad que funciona desde 2014 para posicionar a España en el marco de contribución a un ciberespacio más seguro”, continúa la vicepresidenta de Women4Cyber Spain.
Por su parte, Gil Gidrón, presidente de la Cámara de Comercio de España Israel, ha centrado su intervención en detallar la relación de ambos estados recordando que “la Cámara de Comercio tiene como objetivo el desarrollo de las relaciones comerciales de inversión y tecnológicas entre ambos países. Israel es centro mundial de tecnología aplicada y ésta se ha visto incrementada con la pandemia. Por otro lado, el negocio bilateral entre España e Israel está creciendo a dos dígitos anual, actualmente es más de 2.000 millones de euros al año. Israel es un gran socio de España en Oriente Medio y España es un aliado estratégico de Israel en Europa. En esta tecnología aplicada que en Israel es una base importante de su economía, la ciberseguridad es fundamental. Israel es uno de los centros más importantes en ciberseguridad del mundo. Queremos hablar de ciberseguridad de una forma que se entienda fácilmente”.
Ciberseguridad como elemento competitivo, no defensivo
Mitxelena comenta que “hay que llevar la ciberseguridad a la transformación de la industria y entender la ciberseguridad no como un elemento de defensa sino de competitividad. ¿Cómo vamos a securizar las pymes si el impacto de cualquier incidente en una pyme ronda un coste medio de 60.000 a 80.000 euros, y el 60% de las pymes que denuncian un ataque dejan de tener negocio al poco tiempo? Si vamos hacia un entorno digital y las pymes son parte de la cadena de suministro de la sociedad, tenemos que ver cómo implicarlas en el proceso de transformación digital con suficientes garantías. Aquí es donde hay que trabajar juntos afianzando las infraestructuras de comunicaciones y llevando a las pymes a un nuevo escenario donde sus datos van a estar en infraestructuras cloud. Y si la información está en la nube, tendremos que asegurar las infraestructuras en torno a la nube. Está claro que vamos a trabajar en red, pero también sabemos que no toda empresa va a poder contar internamente con expertos en seguridad, de modo que tenemos que colaborar para construir las carreteras digitales del futuro. Y si lo hacemos bien vamos a ser un país más competitivo”.
Queda mucho por hacer en el entorno público
El sector público no está tan avanzado como el sector privado. A la Administración Pública le queda mucho por hacer en materia de ciberseguridad. María de Miguel explica que “en el ámbito de la legislación, el sector público debe impulsar normativamente cuáles son las medidas que tienen que cumplir los distintos agentes en nuestro país para promover la seguridad. En este sentido, contamos con normativas europeas y otras que emanan de nuestro ordenamiento. Podemos poner por caso la normativa 40/2015 y la 39/2015 que regulan la relación con las Administraciones y al final impulsan esa seguridad; además, tenemos el Esquema Nacional de Seguridad de obligado cumplimiento dentro del sector público que hace que las empresas que se relacionan con la AAPP cumplan determinadas normas de seguridad. En definitiva, disponemos de normas que debe cumplir la propia administración y otras que se imponen para el resto de los agentes y al final se crea una conexión que permite que el nivel de seguridad mejore en España”.
De Miguel destaca “como normativa europea la Protección de Datos Europea, que cada vez es más estricta y nos obliga a comunicar las brechas de datos personales. Por otra parte, cuando ocurre un incidente como el que ha pasado recientemente con el SEPE hay que reportarlo, tanto si se produce en el ámbito de lo público, como en el privado. El CCN tiene que guiar las actuaciones cuando ocurre algún incidente de este tipo, bien a través del CCN-Cert si es en el ámbito público, al Incibe Cert si es privado, o al Mando Conjunto de Ciberdefensa si es un incidente relativo a defensa. Lo importante es que se reporte este tipo de situaciones porque se va a compartir información para ver qué ha pasado, analizarlo y que las entidades se preparen para un ataque similar. Paralelamente, la Administración Pública tiene mucho que hacer: desde la atracción de talento, pasando por fomentar la formación, hasta mejorar la capacidad de detección y análisis de ciberamenazas, impulsar la ciberdefensa activa, la promoción con otras plataformas y fomentar la ciber resiliencia”.
Finalmente, Daniel Kominsky nos recuerda que “toda esta labor no es solo de la Administración española, sino de toda Europa; la tecnología va mucho más rápida que la evolución de las entidades públicas y privadas a nivel de desarrollo tecnológico”. Kominsky aprovecha también para incidir en que “hay un déficit de personal especializado en el ámbito de la ciberseguridad; el pasado mes de abril se comunicaba que había 30.000 puestos abiertos para profesionales de ciberseguridad y no se busca solo expertos de perfil técnico, sino también psicólogos, criminólogos, y no digamos ya la escasez de mujeres que hay en este sector”.
Sobre el papel de las mujeres, Mitxelena opina que “en Accenture tenemos un plan de 50-50 hasta el año 2025. En mi opinión es un problema de las carreras tecnológicas en general, porque salvo en la rama sanitaria, como Medicina, si que atraen a las mujeres; pero no ocurre lo mismo con las carreras STEM donde no está tan implicada la mujer; creo que es un tema de estrategia y de saber generar inquietudes, y hay que buscar una solución de manera global. El ámbito público debe hacer foco especialmente a través de la educación; en las empresas ya estamos actuando sobre ello, el mejor ejemplo es una organización como la vuestra, Women4Cyber Spain, o tantas otras asociaciones. Tenemos que contar experiencias y aportar pasión para que cale en edades tempranas y convencer a la mujer de que en el mundo de la ciberseguridad podemos compartir conocimiento”.
Si quieres ver el encuentro completo por Youtube, pincha aquí