En un momento en el que la digitalización se hace cada vez más evidente e inunda cada ámbito de la empresa y los negocios, no cabe duda de que la ciberseguridad se postula como prioridad estratégica para todas aquellas compañías -grandes y pequeñas, insistenten los expertos- que quieran seguir siendo competitivas.
En palabras de Laura Iglesias, CISO de Vodafone España, «solo durante el primer semestre de 2021 el phishing, principal vector de ataque, creció un 22% más que el año anterior». Toda una realidad ante la que, tal y como incide en la presente entrevista, son de vital importancia factores como que «las estrategias de ciberseguridad se adapten al escenario de cada compañía, a su nivel de madurez en controles de ciberseguridad y a su apetito de riesgo».
La ciberseguridad se está convirtiendo en una de las principales prioridades debido a una combinación de factores. En primer lugar, las compañías están acelerando su digitalización, en parte gracias a la pandemia, lo que implica que sus procesos de negocio tienen una mayor dependencia de IT. Por otro lado, los atacantes ven más oportunidades de abusar de esa dependencia, y como resultado hay más intentos de ataque y más incidentes que nunca. Solo durante el primer semestre de 2021 el phishing, que es el principal vector de ataque, creció un 22% más que el año anterior. El ransomware, un tipo de ataque en el que a través de un malware se cifran los datos de los servidores, dejándolos inaccesibles y pidiendo a cambio un rescate, se ha incrementado en un 151% en el primer semestre de 2021.
Como consecuencia de este incremento de amenazas, más compañías se ven afectadas, los incidentes tienen más repercusión, acaban en titulares de los periódicos, y la preocupación general está creciendo, no solo la de las empresas o el público, también la de los gobiernos y reguladores. Así, estamos viendo crecer tanto la regulación como los esfuerzos de los propios gobiernos para impulsar una mayor preparación de sus administraciones, empresas y ciudadanos frente a estos ataques. En España vimos aprobarse, por ejemplo, el Plan de Choque de Ciberseguridad en mayo de este año, o más recientemente, en el Plan Digital 2025, hemos visto cómo la ciberseguridad se ha convertido en un pilar clave. En general se percibe que se ha alcanzado cierto consenso en que no hay digitalización sin ciberseguridad.
En general sí se está viendo una tendencia creciente en los presupuestos de ciberseguridad, y así lo reflejan las encuestas y estadísticas que se publican al respecto. En algunos casos incluso está creciendo a doble dígito, en contextos donde incluso puede que hayan caído los ingresos. Lo que es difícil de valorar es si el crecimiento es suficiente. Al final, esto depende del contexto de amenaza en el que estamos, que es alarmante, pero también del apetito de riesgo que tenga cada compañía. Si para una compañía su marca, la lealtad y la confianza de sus clientes son valores importantes, con el contexto que tenemos, tiene que invertir.
Como comentábamos al inicio, lo que vemos es que los ciberataques se han incrementado significativamente durante la pandemia. Los hábitos de trabajo y de consumo de los clientes han pasado a ser más digitales, y muchas compañías han tenido que poner en marcha o acelerar proyectos o controles de seguridad para este cambio de escenario. La ciberseguridad ha pasado a un primer plano como habilitador necesario para que esas interacciones, esas ventas digitales, puedan producirse en un entorno de confianza.
La estrategia se tiene que adaptar al escenario de cada compañía, a su nivel de madurez en controles de ciberseguridad y a su apetito de riesgo, pero en términos generales todas las compañías deberían tener un equilibrio entre invertir en medidas de prevención y también en detectar o reaccionar ante las amenazas. Porque incluso cuando tienes buenas medidas de control desplegadas, la batalla es muy asimétrica; los atacantes solo necesitan encontrar un agujero, una máquina no parcheada, una vulnerabilidad no conocida o no corregida correctamente, y se vuelve muy complicado hoy en día tener todo perfectamente cubierto de manera constante. De ahí la importancia de ser capaz de identificar rápidamente una amenaza, contener el posible impacto con agilidad y aprender constantemente de lo que ocurre mejorando poco a poco nuestras medidas. Existen frameworks de seguridad estándar como puede ser NIST que nos permiten dibujar estrategias con este nivel de equilibrio y de mejora continua.
Y por último, hay que adaptar la estrategia a cómo está cambiando nuestro negocio. Si nuestro negocio se está volviendo cada vez más digital, si nuestros empleados y clientes están ubicados en cualquier parte del mundo, conectados en cualquier momento del día, nuestras medidas de seguridad se tienen que adaptar a estos escenarios. Es por ello que paradigmas como el Zero Trust, en el cual se descarta la idea del perímetro y de las redes de confianza implícita, están ganando una relevancia cada vez mayor, para abogar por una autenticación del usuario o del dispositivo más basada en el contexto y riesgo de cada momento.
Como hemos comentado, el ransomware es uno de los ataques que más ha crecido en los últimos meses. En ocasiones la extorsión es doble, ya que los criminales extraen los datos de la organización antes de cifrarlos, y piden un rescate también por no hacerlos públicos. En general, las brechas de datos también se han incrementado notablemente en 2021. Según datos del Identity Theft Research Center, en octubre de 2021 ya habíamos superado en número de brechas el total completo del 2020, con tres meses todavía por delante para finalizar el año. Claramente hay una motivación económica detrás de estos ataques, bien a través de la extorsión o del uso fraudulento o la reventa de estos datos, y la tendencia es creciente.
Por otro lado, las empresas que están relacionadas con alguna infraestructura crítica o estratégica del país, también pueden ser objetivo de los atacantes del tipo “nation state”. Es importante notar que ante los mejores niveles de protección de las empresas que son típicamente operadores críticos, los atacantes están yendo a por su cadena de suministro, que en algunos casos puede no contar con protección adecuada. Como hemos visto en casos recientes y sonados, una empresa de gestión de software IT, o de programas de contabilidad, puede ser perfectamente un objetivo por los clientes a los que da servicio.
Los fabricantes y proveedores de ciberseguridad también están innovando, igual que en el resto de frentes digitales. Estamos viendo un incremento de servicios y herramientas cloud, comparado con los productos o appliance físicos tradicionales, y esto trae beneficios en cuanto a disponer de información en “tiempo real” de amenazas. También reduce la necesidad de enrutar todo el tráfico de una compañía a través del data center para que puedan aplicarse filtros y controles de seguridad… lo que en un escenario de pandemia tiene claras ventajas, permitiendo a los empleados disfrutar de una protección equivalente a la que tenían en la oficina mientras trabajaban desde casa.
Otro aspecto en el que estamos viendo innovación creciente en productos de ciberseguridad es en big data y automatización. Los fabricantes están aprovechando estos paradigmas para tratar de lidiar con el incremento exponencial que está habiendo de datos, amenazas, y también la ausencia de suficientes profesionales de seguridad. Las herramientas de automatización en este entorno son cruciales, permiten enfocar la energía de nuestros profesionales en las tareas que importan.
Sí, el impacto puede ser financiero, por supuesto, bien en términos del capital necesario para recuperar la actividad normal, pero también considerando otros ángulos como las ventas o los ingresos perdidos durante el tiempo que el negocio ha estado funcionando de una manera no óptima. Además, estamos viendo incrementarse el impacto en cuanto a daño reputacional, porque como comentábamos, hay más amenazas, más incidentes, más noticias en los periódicos, y mayor conocimiento por parte de los clientes de lo que está sucediendo. Y como consecuencia, la pérdida de confianza de los clientes, además de posibles multas o consecuencias legales, hasta el punto de poder tener que cerrar tu negocio. De hecho, más del 60% de las pymes que han sufrido un ciberataque acaban cerrando su negocio en los 6 meses siguientes.
El entorno de cloud permite brindar agilidad, lo que es bueno para el área de TI, que se ve cada vez más presionada en acortar su time to market, y en ese ámbito también para ciberseguridad. No obstante, es cierto que el utilizar un entorno de nube requiere entender el modelo de responsabilidad compartida, en el cual el proveedor de cloud pone algunos de los controles de seguridad necesarios, pero el cliente, también tiene que reforzar otra parte de ellos. Cuestiones como la gestión de accesos o de identidad en la nube, el hardening de las cuentas o la monitorización de amenazas en entornos con nuevos paradigmas como los contenedores o el serverless, se vuelven temas muy relevantes. Y la realidad es que hay escasez de profesionales con los conocimientos adecuados para estos entornos, así que si no puedes contar con ellos en tu empresa es importante rodearte de partners de confianza que te puedan aportar estas habilidades.
La ciberseguridad es un pilar fundamental para la confianza. La experiencia de cliente hoy en día es clave para poder ganar su lealtad, y la peor experiencia que podemos dar a un cliente es que tenga un fraude o que sus datos sean expuestos por no haber tenido el debido cuidado. Eso puede destruir por completo la confianza y es muy complicado ganarla de nuevo. Así que tener un plan de ciberseguridad razonable, que tenga el interés de nuestros clientes en el centro, es un elemento clave. Es cierto que hasta ahora el gasto de ciberseguridad o los planes no se hacen normalmente públicos, no se conocen, pero los incidentes al final acaban ocurriendo y cuando una compañía está mejor preparada, es transparente y trabaja anteponiendo el interés de sus clientes, eso se nota.
