- "Hace cuatro años no estábamos en la lista de áreas geográficas con sensibilidad y con actividad en ciberseguridad y hoy nuestro posicionamiento es importante", afirma el director del Basque Cyber Security Centre (BCSC), que ocupa desde hace poco la silla destinada a las regiones en el European Cyber Security Organisation (ECSO).

El BCSC ha sido elegido para diseñar un fondo público-privado europeo de inversión en empresas de ciberseguridad. ¿Por qué el BCSC?

-En 2019, el BCSC impulsa un Plan Estratégico con la idea de posicionar a Euskadi como un hub de alta concentración de capacidad de ciberseguridad industrial, de ciberseguridad aplicada a la protección de la cadena de valor de la industria. La idea que hay detrás de todo esto es que en el Gobierno Vasco se ve la ciberseguridad como una herramienta clave de competitividad futura para la industria estratégica de Euskadi. Estamos hablando de fabricación avanzada, energía, alimentación y biociencias. En ese Plan Estratégico, se constata la necesidad de crear una red de contactos entre agentes inversores que puedan facilitar el crecimiento y escalado de las compañías que generan ciberseguridad. En Euskadi hay un tejido bastante denso, hay mucho emprendimiento en ciberseguridad. Además, en un porcentaje importante es empresa de producto, que es lo raro. Y hay cierta especialización en soluciones para la industria. Ahí es donde identificamos qué es lo que queremos hacer: queremos crear una especialización en el sector para ocupar nichos con alto potencial de crecimiento, con baja madurez de la competencia a nivel internacional y con alto impacto en la competitividad de nuestra industria. Para eso era clave crear una red de contactos de inversores.

Y canalizan esa necesidad a través de Europa.

-Tenemos una presencia ya de tres años en la European Cyber Security Organisation (ECSO). El año pasado, se genera un movimiento desde el sector europeo de la ciberseguridad porque se detecta también esta necesidad, porque en las empresas americanas, israelíes o chinas se invierte mucho dinero y en las europeas, no. 42 agentes inversores firmamos una carta a la Comisión Europea expresando esta necesidad, nos escucharon y dotaron un presupuesto a través del BEI. Y para que ese proyecto se lance, necesitan que una entidad 100% pública haga una petición formal y ECSO se lo pide al BCSC.

¿En qué fase está ahora?

-El proyecto está ahora en la fase de licitación y la idea es que pueda ser adjudicado en este trimestre, en septiembre, y podamos arrancar en septiembre u octubre. Se está detectando interés de inversores que no habían firmado, ya hay más de 50 agentes involucrados. Durante cinco años, la previsión es recaudar al menos 1.000 millones de euros para las empresas de Europa, entre ellas, las vascas. Y esto permite al BCSC también tejer una red brutal de agentes inversores, porque somos el eje sobre el que pivota el proyecto.

¿Qué supone para Euskadi que el BCSC esté al frente de este fondo?

-Es un posicionamiento europeo muy relevante. Para hacerse a la idea, en la junta directiva de la ECSO solo hay un asiento para las regiones. Hasta ahora siempre había estado Bretaña y desde hace unos días estaré yo. Esto también puede animar a personas que pueden estar pensando en crear una empresa a elegir Euskadi como el lugar indicado.

¿Este fondo se orienta a apoyar proyectos de empresas ya existentes o a nuevas empresas?

-A ambas. La idea es que el fondo se convierta en un vehículo de inversión en Europa para empresas europeas, empresas de reciente creación o que tengan cierta trayectoria que deseen crecer. Las empresas europeas no tienen peor tecnología que las americanas o que las israelíes, simplemente tienen menos recursos financieros, lo que les dificulta llegar al mercado con la misma velocidad que llegan las americanas y las israelíes y, para cuando llegan, el espacio está ocupado.

Entiendo que este no es solo un problema de competitividad del sector vasco o europeo, sino también de dependencia de las empresas respecto a compañías estadounidenses, israelíes...

-Y de las instituciones públicas europeas. Hay una dependencia muy grande. Es, por ejemplo, especialmente relevante y visible el asunto de la nube. Los tres grandes proveedores de nube que hay en Europa son Google, Microsoft y Amazon. Los tres son americanos.

Comentaba que el ecosistema de las empresas de ciberseguridad en Euskadi sorprendía por su implantación y su orientación hacia el sector industrial...

-Procedemos de treinta años de evolución y hay empresas de todo tipo. Pero hay unas cuantas que están produciendo tecnología que es directamente aplicable a la protección de la cadena de valor de la industria. Esto, a parte de una oportunidad en clave de futuro, es realidad en presente. Viendo otros ecosistemas en España o en Europa, no vemos esa vocación de especialización ni tampoco en este nicho industrial. Lo que estamos intentando es animarles a que identifiquen el mayor número de casos de uso en ese nicho, porque en el exterior no observamos una competencia madura, podrían llegar las primeras.

¿Por qué especializar?

-Porque somos un país pequeño. Tenemos que centrar muy bien nuestros esfuerzos. Creemos que podemos competir en la industria por todo lo anterior, y porque tenemos un mercado tractor local, lugares donde pilotar estas soluciones que en muchos casos son empresas que, aunque están arraigadas en Euskadi, tienen una internacionalización grande. Por lo tanto, el despliegue de estas soluciones puede canalizarse a través de estas empresas y pilotarse, no ya como una solución para una empresa, sino como una solución para un sector. Y eso ya te lleva al mercado.

Además de esa orientación hacia la industria, ¿se están impulsando otro tipo de áreas?

-Tenemos algunas empresas exitosas que no están especializadas en ciberseguridad industrial. Las vamos a apoyar. Pero para las nuevas, tratamos de orientar esa especialización y, sobre todo, establecer mecanismos y espacios de trabajo conjunto con los clústeres industriales de los miembros de la RIS3. Buscamos la manera de crear alguna herramienta que ayude a las empresas industriales en la transición hacia el cumplimiento de todos los reglamentos que le van a venir de la UE, con requisitos específicos de ciberseguridad para componentes industriales. Si no los cumples, no puedes vender.

El BCSC cumple cuatro años de andadura, ¿ha evolucionado en este tiempo la percepción del tejido empresarial en materia de ciberseguridad?

-Ha cambiado, no solo a nivel empresarial sino también institucional. A nivel empresarial, a golpe de ciberincidentes y de reglamentos, la cosa va avanzando. Tampoco hemos vivido una etapa normal, con casi año y medio condicionado por la pandemia y la crisis económica que ha conllevado, y nos hemos encontrado con unas necesidades de supervivencia y unos problemas de inmediatez que en muchos casos no han permitido a las empresas evolucionar de una manera reflexionada. La pandemia ha contribuido positivamente a poner la ciberseguridad en la mente de los cuadros directivos y tal vez, negativamente, ha creado una aceleración que no todo el mundo ha sido capaz de seguir y además ha propiciado un incremento grande de los ciberataques y los ciberincidentes.

Una empresa sufre un cibertaque. ¿A qué problemas se va a enfrentar?

-La búsqueda es siempre de dinero o de información para competir. El ataque más típico es el de fraude, suplantando a un cliente o proveedor diciendo que ha cambiado de cuenta bancaria; suplantando a un alto cargo de la compañía y pidiendo una transferencia rápida, o con el ransomware, un software que suele cifrar todos los archivos y te pide un rescate o extraen información sensible de tu organización. ¿Qué hay que hacer? Lo que recomiendo ante una sospecha de delito es denunciar ante la Ertzaintza. Luego, la empresa se tiene que recuperar y, si previamente no ha tomado algunas medidas prudentes, en algunos casos es imposible; por ejemplo, si tenían en la misma red que ha sido cifrada la copia de seguridad. Por otra parte, aunque pagues el rescate no tienes la garantía de que vayas a recuperar tus datos y, además, puedes estar incurriendo en un delito por pagar. La política más eficaz es trabajar con la mentalidad de para cuando me suceda el incidente, porque te va a suceder.

El Gobierno Vasco lleva tiempo impulsando un programa de ayudas para la ciberseguridad industrial, ¿qué respuesta tiene?

-Estamos en la cuarta edición y la demanda ha sido creciente. Cada vez hay una demanda más rápida y el número de proyectos finales es mayor. Este año, con el 75% del presupuesto consumido, ya hemos superado el récord de proyectos y vamos a llegar a cerca de 300. Lo que nos dice la experiencia, además, es que lo que gasta la parte privada más o menos en proyectos de ciberseguridad viene a ser el doble del presupuesto de las ayudas, este año podría rondar los cinco millones.

Desde la perspectiva del empleo, ¿es el de la ciberseguridad un ámbito interesante? ¿Detectan falta de perfiles profesionales?

-En un contexto de recesión económica fuerte, las empresas de ciberseguridad han crecido. Hay empleabilidad, hay futuro y yo diría que es un sector con paro negativo porque si hubiera más gente, se contrataría más gente. Este tema lo estamos trasladando al ámbito educativo, pero también al ámbito del empleo, a través de Cybasque, la asociación vasca de empresas de ciberseguridad, socio estratégico del BCSC. Estamos viendo otras maneras de generar ese talento demandado. Además de la parte más académica, estamos viendo temas de reskilling. Porque en este negocio no todo es técnico, hay unas soft skills en las que hay perfiles que pueden encajar. Por ejemplo, en el ámbito de la ciberinteligencia trabajan perfiles de licenciaturas en Sociología, Psicología, Criminología...

Mencionaba Cybasque. ¿Qué ha supuesto su creación?

-Para nosotros es importante. Para el ecosistema era algo que detectamos que faltaba. Con Cybasque trabajamos enmarcados en el Plan Estratégico. En ese Plan se identifican fortalezas y debilidades del ecosistema. Se pone el foco en esas debilidades y se forman cinco grupos de trabajo para trabajar en ellas. Los grupos de trabajo son: talento, estimulación de la demanda, estructuración del sector, seguridad embebida e internacionalización.

Tras estos primeros cuatro años del BCSC, ¿cuáles son los retos a medio plazo?

-El reto es seguir contribuyendo a que madure la cultura de la ciberseguridad a todos los niveles. Creo que tenemos que seguir trabajando muy intensamente en el posicionamiento internacional de Euskadi, en todo lo que tiene que ver con la innovación y con los negocios de vanguardia, que nos permitan preservar nuestra posición de prosperidad. Y por último, pero no menos importante, tenemos que intentar que el tejido tecnológico y productivo siga siendo competitivo.

Este programa de ayudas de ciberseguridad industrial del Gobierno Vasco, a través de SPRI y del BCSC, se puso en marcha en 2018.

2018

Se aprobaron 102 proyectos (56 de empresas guipuzcoanas, 25 de vizcaínas y 21 de alavesas) con una ayuda final de 985.161 euros y una inversión privada de 2,34 millones euros.

2019

Se aprobaron 219 proyectos (112 de Gipuzkoa, 72 de Bizkaia y 35 de Araba) con una ayuda final de 1,95 millones de euros por parte del Gobierno Vasco y 4,45 millones de euros de inversión privada.

2020

Se aprobaron 178 proyectos, de los que 93 están localizados en Gipuzkoa, 51 en Bizkaia y 29 en Araba, con una ayuda final de 1,3 millones y una inversión privada de 3,77 millones de euros.

50,52%

El 50,52% de los proyectos que recibieron ayudas en 2020 estaban orientados a la convergencia e integración de los sistemas de protección ante ciberataques para entornos IT/OT (Information Technology/Operational Technology).

"Las empresas europeas no tienen peor tecnología que las americanas o las israelíes, simplemente tienen menos recursos financieros"