En un mundo cada vez más digitalizado, el papel de la ciberseguridad también es cada vez más crítico. Pablo San Emeterio, del Grupo Telefónicaen el Foro Álava Objetivo 2022 se celebrará en el Palacio Europa Impulsando un modelo económico y social sostenible
Estamos en una sociedad cada vez más digital, es una realidad, ¿pero ese avance es paralelo al de la preocupación por la ciberseguridad?
Como todo, esto va por barrios. En algunos casos sí, en la mayoría se podría decir que no tanto. La ciberseguridad, salvo quienes lo han sufrido en sus propias carnes o los que están bastante concienciados, suele ser algo que por desgracia se deja para el final. Y eso muchas veces es un problema, porque cuando está todo hecho es más difícil introducir la ciberseguridad.
¿Qué mecanismos son básicos en una empresa a la hora de abordar su ciberseguridad? Estamos hablando de algo más que de herramientas de 'software'...
Siempre hablamos de tres pilares sobre los que se establece la ciberseguridad de una organización. Está la tecnología, que es lo que todo el mundo ve, la instalación de un firewall, un antivirus, una tecnología que te ayuda a proteger la organización. Pero luego hay dos áreas bastante importantes. Primero, los procedimientos, que son esas guías que te dicen cómo debes actuar ante determinadas circunstancias. Y sobre todo, muy importante, las personas. Las personas son clave en cualquier estrategia o política de ciberseguridad de una organización. Tradicionalmente, siempre se ha visto a las personas como el eslabón más débil de la cadena. Siempre se dice que la seguridad de una organización es tan fuerte como su eslabón más débil. La realidad es que los usuarios son muchas veces quienes te ayudan a protegerte cuando la tecnología ha fallado. Si tus usuarios, tu plantilla, está concienciada y sabe identificar un ataque, son la última barrera de defensa de tu organización.
¿Por qué se ve en las personas el eslabón más débil?
Porque precisamente falla muchas veces esa concienciación y esa cultura de ciberseguridad. Ocurre muchas veces que a esos usuarios las medidas de seguridad les entorpecen, entienden que les ralentizan el trabajo, y son ellos mismos los que las eliminan. O te hacen llegar el típico ataque de ransomware basado en paquetes de mensajería; si el usuario está concienciado sabe detectar que eso es un ataque y no abre el fichero. O los casos de ingeniería social, que consisten en ir contactando y ganándote a las personas y al final consiguen acceder a la organización.
¿En qué medida el uso habitual de dispositivos móviles, en los que además muchas veces conviven la vida profesional y la personal, complica para una organización el diseño de una estrategia de ciberseguridad eficaz?
Tradicionalmente, veíamos como seguro todo lo que estaba dentro de la organización y que había protegerse de todo lo que estaba fuera. Pero con todo el tema de movilidad y de cloud, toda esa parte del perímetro se ha difuminado, ya no hay unas fronteras claras de qué es dentro y qué fuera de la organización y esto añade más complejidad y más necesidad de personal especializado y de tecnología para controlar.
¿Cómo ha impactado en este ámbito la pandemia y la extensión del teletrabajo?
Sobre todo lo que generó fue que se tuvo que hacer todo deprisa y corriendo, aparecimos todos de la noche a la mañana trabajando desde casa y ahí es donde puedes dejar puertas abiertas en tu organización. En la pandemia, usamos también dispositivos de casa, que usa toda la familia y que no están securizados, y eso también es otro riesgo. Pero, en general, pasado un año y pico, se han afinado todos esos accesos y sistemas y el teletrabajo ha venido para quedarse.
¿Qué lugar deben ocupar la ciberseguridad y sus responsables dentro de una organización?
Cuanto más se digitaliza una empresa más importante es la figura del responsable de ciberseguridad. Yo siempre digo que tiene que estar al mismo nivel de, por ejemplo, un responsable de Finanzas y hablar de tú a tú de los problemas de la organización con el CEO.
¿Cuáles son los puntos críticos para la ciberseguridad en una organización?
En cada organización los sistemas e información más valiosa no son iguales. Se suele recomendar hacer un análisis de cuáles son los activos de información más importantes y, a partir de ahí, ir viendo una estrategia para securizarlos. En líneas generales, cualquier organizacion al menos debería tener un sistema de protección que monitorice las comunicaciones, un software que proteja los puestos de trabajo y correo electrónico y poner también un ojo en el despliegue en la cloud.
A pesar de todo, la empresa ha sido víctima de un ciberataque, ¿a qué se va a enfrentar?
Normalmente hay dos cosas a las que se enfrenta una organización cuando ve comprometida su seguridad. Cuando ocurre, se suele aplicar un protocolo de respuesta ante el incidente, se analiza el alcance y se corrige. El primer tipo de ataque suele ser el de ransomware, te cifran los ficheros y bloquean el acceso a la información de la organización y te piden un rescate para devolver el acceso. Poco a poco, lo que se ha ido haciendo ante esto es tener copias de seguridad que te permiten recuperar el estado de la empresa antes del ataque. Es importante que estas copias de seguridad estén desconectadas de la red de la empresa, para que no te cifren también las copias de seguridad. Y el segundo tipo de ataque suele ser la fuga de información, que los datos de sus clientes aparezcan publicados en algún sitio de la dark web o que aparezcan filtrados. Hay datos más críticos que otros, pero también siguen siendo importantes; por ejemplo que se fuguen datos de contraseñas, porque muchos usuarios tienen la mala praxis de repetir la misma contraseña en muchos sitios.
Y en estas situaciones, ¿cuál es la respuesta adecuada?
Se pueden hacer cosas, pero las medidas tienen que ser preventivas. Porque si no, todo se va a complicar. Si has hecho los deberes, tienes tus copias de seguridad, aisladas y probadas, aunque padezcas un ataque, te fastidiará, perderás unos días restaurando los sistemas, pero recuperarás tu empresa en un tiempo razonable y corto. Si no lo has hecho bien, si no te has preparado, si las copias de seguridad estaban en línea, tardarás más en recuperarte y puedes estar incluso meses intentando recomponer los sistemas.
"Aparecimos todos de la noche a la mañana trabajando desde casa y ahí es donde puedes dejar puertas abiertas en tu organización. Pero, en general, se han afinado los sistemas y el teletrabajo ha venido para quedarse"