76% de empresas sufren ciber ataques en España
La Ciberseguridad, un reto para las empresas más allá de su tamaño y actividad

(Madrid).- En los últimos años se ha vivido, a nivel mundial y particularmente en España, un importante proceso de transformación digital. Actualmente las empresas y organizaciones son conscientes de que la información es su principal activo, y la seguridad de la misma, desarrollada eminentemente en entornos digitales, ha pasado a ser una cuestión prioritaria.

Cabe mencionar que, en lo que llevamos de año, el 76% de las empresas españolas han sufrido ciber ataques de cierta relevancia, según datos del Centro Criptológico Nacional (CCN). Ante esto las entidades, más allá de su tamaño y actividad, están posicionando la ciberseguridad como uno de los ejes centrales de su estrategia.

Con el objetivo de poner en común la experiencia de los participantes, explorar posibles soluciones, y analizar los retos del sector, Diario SUR y Telefónica Empresas han organizado el desayuno Ciberseguridad: cómo se anticipan las empresas.

El encuentro, que tuvo lugar el miércoles 2 en las instalaciones del periódico y estuvo moderado por la periodista Carmen Alcaraz, contó con la participación de Myriam Jiménez, responsable de Ciberseguridad y Smart Cities en Sandetel de la Junta de Andalucía; Francisco Turanzas, técnico IT en Indorama; Pedro de Acuña, responsable de Sistemas en Cash Converters; Francisco Guillén, responsable de Tecnologías de la Información y Telecomunicaciones en Medgaz; Luis Daniel Hilario, director del Departamento de Teleformación y director del Máster en Inteligencia de Negocio y Big Data para Pymes en EADE; Luis Pablo del Árbol Pérez, responsable del Desarrollo de Negocio Seguridad en Telefónica Empresas; y Sergio de los Santos, director del Área de Innovación y Laboratorio de la Unidad de Ciberseguridad de Telefónica Empresas.

Contextualizando la evolución que ha vivido la ciberseguridad en nuestro país, Luis del Árbol recordó que, desde el primer gran incidente al respecto sufrido a finales de la década de los 70, diferentes incidentes e hitos sociales han puesto el foco la relación entre los efectos de la seguridad en el plano físico y el virtual y la importancia que esto tiene para las organizaciones. En Telefónica hemos ido tomando conciencia y migrando esa apuesta por la seguridad desde lo eminentemente físico, que sigue siendo muy importante, a la lógica. Somos conscientes que el valor que tenemos todas las empresas está en lo que vendemos, pero también en los datos que respaldan nuestro negocio. Todo ello nos ha hecho experimentar un proceso de transformación muy potente en términos de protección de los datos de nuestro negocio, y ahora nuestro objetivo es trasladar esta experiencia y conocimiento a la seguridad de la información de nuestros clientes». Esto, explica el responsable, ha llevado a la empresa a la creación de una unidad específica, Eleven Paths, encargado de llevar a cabo productos específicos en esta materia tanto para uso propio como para sus socios, partners y clientes. «Gracias a nuestra amplia trayectoria tenemos dos vertientes, como 'sufridores' de posibles ataques, y como colaboradores de nuestros clientes a través de nuestra propia experiencia. Y esto es muy enriquecedor porque conocemos sus necesidades de primera mano y porque evidencia que, si somos capaces de arreglarlo para nosotros, también lo seremos para ellos.

En el caso de Indorama, la evolución ha sido similar. Como explicó Francisco Turanzas: Empezamos con la seguridad física de las personas, la planta y los procesos, y entendimos que ese modelo maduro, en el que todo el mundo entendía la importancia de la prevención de posibles peligros, debía extenderse a la ciberseguridad. Y esto es algo que se ha llevado a cabo de manera integral, también desde la dirección de producción, no solo la de IT. Nuestro objetivo es conseguir la misma madurez y que todos los usuarios conozcan los procesos y su responsabilidad.

En Medgaz hemos experimentado también este proceso. Nuestra empresa se fundamenta en tres pilares: la seguridad física, la prevención de riesgos laborales, y la seguridad de la información, uno de los activos principales de la organización. Tenemos que ser conscientes que el hecho de pasar la tarjeta para acceder al puesto de trabajo nos ayuda a prevenir cualquier ataque a las instalaciones, usando casco o botas de seguridad evitamos posibles accidentes, y el hecho de usar contraseñas seguras, por ejemplo, contribuye a impedir ataques a la seguridad de la información. Pero es un trabajo arduo que ha de hacerse día a día, incluyó Francisco Guillén.

Esto es un punto muy importante. En Cash Converters durante mucho tiempo centramos nuestros esfuerzos en la seguridad perimetral. Sin embargo, tras un análisis, advertimos cuál era el principal punto de fractura en la seguridad de la información corporativa, y nos dimos cuenta que faltaba concienciar a los usuarios de la importancia de lo que manejan. Por ello ahora realizamos planes de concienciación y formaciones sobre seguridad, y hemos delegado la seguridad perimetral en los expertos de Telefónica, expuso Pedro de Acuña.

Lo cierto es que la seguridad de la información está adquiriendo gran relevancia en las empresas de cierto tamaño, pero no hay que olvidar a las pequeñas y medianas empresas, que es al sector al que nosotros dirigimos nuestros programas formativos, y donde hay una falta de conciencia bastante importante. Muchas pymes no pueden permitirse incorporar medidas de seguridad sofisticadas, pero creando una cultura corporativa y tomando determinadas directrices, se pueden prevenir ciertos ataques o, en caso de producirse, hacerlos frente, quiso incidir Luis Hilario.

En el caso de las administraciones el escenario varía. Como matizó Myriam Jiménez, en la Junta de Andalucía llevan más de 12 años trabajando con planes estructurados aprobados por el Consejo de Gobierno. Los primeros se centraban mucho en la securización de la red corporativa de comunicaciones de la Junta y de los sistemas corporativos. Y ahora nos encontramos con un plan nuevo, llamado Seguridad y Confianza, que ha ampliado un poco el foco de lo que quiere hacer la administración en materia de ciberseguridad para no centrarse solo en sus sistemas y datos sino crear cultura en la región sobre esta materia. Además, en el caso de la Junta como administración pública, están obligados a cumplir con el Esquema Nacional de Seguridad.

En relación a las principales acciones que se toman desde el organismo, Jiménez aclaró: En la Junta de Andalucía, debido a su tamaño, la política de seguridad está distribuida entre la dirección general, que coordina, supervisa y establece políticas comunes, y los diferentes organismos que componen la administración, que debe establecer y cumplir su propio plan de seguridad. Y otra de las grandes piezas es el centro AndalucíaCERT, que da respuesta a incidentes de ciberseguridad y al que pertenecen todos los organismos de la Junta de Andalucía. Desde allí tenemos desplegadas una serie de sondas que monitorizan el tráfico de la red corporativa y detectan con una inteligencia comportamientos anómalos que nos permiten adelantarnos a los incidentes y, en caso de producirse, se dan recomendaciones a los responsables de seguridad. Este centro ha gestionado más de 29.000 incidentes desde su puesta en marcha en 2010, y en lo que va de año ha atendido 6.000 casos.

Asimismo, en diversos puntos del debate los expertos coincidieron sobre la importancia de la concienciación como eje principal de la ciberseguridad de empresas y organizaciones. Una materia en la que queda mucho por hacer, aunque se va en el buen camino, en palabras de Sergio de los Santos. Antes los responsables de ciberseguridad éramos los enemigos que llegábamos para recordar a las empresas que lo hacían todo mal. Pero ahora el escenario ha cambiado y se toma mucho más en serio la ciberseguridad. Este es un primer paso fundamental, porque donde hay concienciación, hay acción.

Amenazas y retos

Durante el encuentro se puso de manifiesto la importancia de mantener una seguridad de la información de manera global en todas las organizaciones que componen el tejido empresarial español.

Muchas veces se tiende a pensar que solo las grandes empresas son el foco de ciber ataques, y nada más lejos de la realidad. Cualquier empresa, pequeña y anónima, puede sufrir ataques de este tipo. De hecho, malwares como el ransomware, por ejemplo, han afectado a muchas pymes. Y en estos casos me atrevería a decir que incluso el daño ocasionado puede ser mayor incluso en las entidades más modestas, porque no hay políticas de copias de seguridad ni medidas preventivas, y esto puede paralizar totalmente la actividad de la empresa aportó Hilario.

El foco del cibercrimen está en el eslabón más débil. Y no hay que olvidar que esto afecta también a las grandes empresas porque muchas trabajan de forma satelital con otras organizaciones más pequeñas, con las que comparten información y las necesitan para llevar a cabo su negocio. No se trata solo de la securización propia, sino de todo el entorno, prosiguió en la misma línea del Árbol.

A este punto, fundamental, se suma otra de las características de las empresas actuales, la movilidad. El movimiento es una de las características que marcan la actividad de nuestra empresa. Muchos trabajadores se tienen que desplazar para desarrollar su labor, saliéndose del 'perímetro defensivo' que tenemos en la planta. En estos casos los teléfonos móviles se convierten en oficinas portátiles que se mueven por todo el mundo. Por eso el reto que tenemos ahora es todo se mantenga seguro cuando salen, visitan otros sitios y regresan a las instalaciones, apunta Turanzas.

Como conclusiones, los asistentes incidieron en la necesidad de concienciación generalizada, e hicieron un balance de los retos que afronta el sector en el futuro.

Resumiendo, el reto a corto plazo es seguir focalizándose en soluciones tecnológicas y realizar una aproximación procedimental en términos se seguridad, un cambio necesario dentro de la transformación digital. Las empresas tenemos que ser capaces de anticiparnos al ataque, detectarlo en tiempo y forma, y aun así si se produce, responder con resiliencia y cambiar lo necesario para que no vuelva a producirse. Y a largo plazo es necesario alcanzar tres conceptos básicos: que la seguridad sea algo accesible para las entidades en relación coste-beneficio; lograr la simplicidad de uso y transparencia; y ser conscientes de que sin la ciberseguridad, los negocios se pueden parar en 20 segundos, y que esto es exportable a absolutamente todas las empresas, concluyó del Árbol.

Fuente: