La ciberseguridad es prioridad en tu empresa cuando tienes una "cultura" transversal y con los partners
El panorama es conocido por todos, las normas también, los sistemas y estándares ya menos... Pero todos deberíamos saber que ciberseguridad y empresa prácticamente son la misma cosa. Los ciberataques de los últimos años han ido escalando, invadiendo todo tipo de sectores durante la pandemia. Y, sin embargo, cabe preguntarse todavía ¿es este tema la última prioridad de las empresas? Estructuras heterogéneas, escasa preocupación real y sólo voluntad por cumplir legalmente aventuran la respuesta.
Por Alberto Orellana
Para dar respuestas con algo de luz, el CEF.- Centro de Estudios Financieros acogió este viernes un acto sobre Los riesgos de no gestionar la seguridad y casos de éxito. Una sesión coorganizada con Trescore Proyectos donde se reflexionó sobre la importancia relativa de las certificaciones y, sobre todo, de crear una cultura transversal de ciberseguridad interna y con los diferentes "grupos de interés" de la cadena de valor.
Porque las cosas están así: "Cada vez es más raro encontrar a alguien que no te cuente que ha sufrido en los últimos tiempos algún problema de suplantaciones", comentaba el presidente del Grupo CEF.- UDIMA, Arturo de las Heras, durante la presentación del acto. "¿Última prioridad...? Lamentablemente es una prioridad que va escalando; estemos atentos, porque la ciberdelincuencia está ahí y hay que defenderse de ella".
Ahora bien, parece que las empresas están "más pendientes del negocio". Todos los días hay intentos de ataques, pero muchas siguen pensando que esto es "un tema lateral a la empresa", percibe Alejandro San Nicolás. El socio director de TuConsultor aseguró que ve una situación de "constante inseguridad", y apremió a situar la ciberseguridad en el centro.
Para ello tiene que haber concienciación, término muy repetido durante la jornada, desde el primero al último en la organización. La ciberseguridad implica ejecución, continuó, y eso es "proteger de manera clara todo el perímetro físico y virtual", y no dejar las llaves extraviadas o expuestas. "Y lo hacemos permanentemente".
Conciencia de alerta
En general todo esto se traduce en que la empresa que quiera ser segura debe empezar a tener ya un sistema de alertas eficaz. Para ver "las veces que fallamos" y poder "reaccionar a tiempo" para que el negocio no se pare, resumía San Nicolás. Esa "conciencia de alerta" es para él casi más importante que la ciberseguridad en sí: aprender de lo que pasará, "porque pasará". Ahora bien, ¿en base a qué estándares fijamos el sistema de seguridad?
Aquí es donde la concienciación expone sus costuras. Está aumentado, sí, pero "no es única ni homogénea", señaló Miquel Romero (director comercial y de marketing en el Club Excelencia en Gestión). Las pymes son un termómetro perfecto para analizar cómo va en el tejido empresarial español. Fátima Ballesteros, directora de proyectos de ciberseguridad en Trescore Proyectos, cree que no existe como tal. Al menos sobre las consecuencias de un fallo en los sistemas de comunicación (sanciones, operaciones...).
Según explicó, las pymes para empezar sólo se mueven con soluciones "parcheadas". ¿Por qué? Primero porque "no ven el riesgo real, porque nunca ha pasado". Y segundo porque el lenguaje de ciberseguridad tiende a ser "muy técnico" y no adaptado a nivel empresarial. Algo necesario para que sepan de verdad "para qué hace falta hacer análisis de riesgos, y no por cumplir con requisitos de la norma", argumentaba.
Visión holística
Y hablando ya de normas y estándares, entre los ponentes Alfonso Pastor recordó que aunque aumente esa supuesta concienciación, por ejemplo "se piensa que con una ISO27001 se está seguro, y no". El socio de Leet Security valoró que si la empresa considera que tiene pocos riesgos y se le adjudica la ISO igual, ¿de qué sirve?
Sobre esa utilidad de las certificaciones también hubo cierto debate, comparándolo con los estándares de la EFQM (Fundación Europea para la Gestión de la Calidad), y prácticas como el sello Pinakes. Este último se trata de una etiqueta que materializa y muestra el nivel de ciberseguridad que tiene un proveedor en el servicio calificado. Ballesteros hizo una exposición de un caso real aplicado con el holding Grupo BC con su CISO, Javier Vicente.
Sobre las certificaciones, el director general del CEF.-, Emilio Rivas, ya dejaba clara una cosa: "Certificarse no quiere decir que seas seguro", en línea de lo que ya apuntaba Pastor. En este sentido parece que Pinakes es un modelo más enfocado a "resultados". Permite ver "cómo de robusto y maduro es tu sistema y la senda para mejorarlo", afirmó.
Pero lo más importante quizás es que entronca con una visión global de la ciberseguridad. Aquella en la que el dato "es clave" y, como tal, debemos proteger. Así lo entiende Romero desde el Club Excelencia en Gestión, donde se apuesta por ver qué valor le dan a la ciberseguridad cada uno de los llamados "grupos de interés" (clientes, accionistas, proveedores...) a lo largo de todo el proceso del negocio.
San Nicolás va incluso más allá, y ya directamente recomienda no hablar de proveedores, sino de partners, con los que se debe compartir esta visión holística de la ciberseguridad. Para ello hay que conocer las "necesidades" en materia de seguridad de estos grupos de interés, abundaba Romero. Protegiendo el dato y el conocimiento.