Sobre el cada vez mayor papel de la IA, el cloud o el big data en las estrategias de ciberseguridad, pero también sobre la preocupante realidad en torno al mercado de talento en este segmento, nos habla en la presente entrevista Laura Iglesias, Head of Cyber Security Spain & EU Cluster en Vodafone.
Pienso que un pilar básico de un negocio como el nuestro es la confianza. Nuestros clientes compran nuestros servicios y productos confiando en que son “seguros”, que protegeremos su disponibilidad o sus datos de la manera adecuada. No hace falta que sea parte de una propuesta de valor comercial de la compañía, dan por hecho que haremos esto con la debida diligencia y presuponen que viene incluido, como los cinturones o el airbag en un coche de hoy en día.
Por eso la ciberseguridad es una piedra angular de esta confianza. Si no inviertes en mantener una postura adecuada de ciberseguridad, tarde o temprano tendrás un problema grave que minará la confianza de tus clientes, revelará que no has sido diligente, y te hará perder clientes y perder negocio. Por no mencionar los casos donde el ciberataque llega a ser tan grave que la empresa es incapaz de recuperarse por completo, y acaba teniendo que cerrar su negocio en los meses posteriores.
La seguridad hoy en día no es un valor añadido, es un elemento básico, central, que si no se incluye puede perjudicar gravemente tu negocio. Está en el corazón de nuestro negocio, y tanto los equipos de negocio como los equipos técnicos o los de ciberseguridad de la empresa trabajamos por un objetivo común, que es que la empresa continúe dando servicio, que siga viva, que su corazón siga latiendo.
El perfil de las amenazas y los ataques que se producen pueden variar dependiendo del tipo de empresa, pero estadísticamente sí parece que el ransomware y las brechas de datos son los ataques más frecuentes. En general son los más oportunistas, los que buscan retorno económico rápido y los más visibles de cara al público: en cuanto los servicios de una empresa quedan interrumpidos por ransomware o los datos sensibles son publicados los medios se hacen eco rápidamente del problema. Pero no quiere decir que sean los únicos. Con el contexto geopolítico actual, se han incrementado también los ataques de tipo activista, por ejemplo, las denegaciones de servicio realizadas contra los intereses de países que están en el bando opuesto del activista.
El phishing o la ingeniería social son normalmente piezas que se utilizan como parte de alguno de estos ataques, y sí es cierto que con tecnologías como la IA se están sofisticando, haciendo más difícil su detección. Por ejemplo, hemos visto casos públicos de ataques en los que a través de IA se ha podido emular la voz de un CEO utilizándolo para engañar a sus empleados y conseguir una transferencia de dinero. Es un paso más allá del clásico fraude del CEO, que se venía realizando por e-mail, por escrito, y ahora pasa a un dominio, el de la voz, en el que es más complicado para el ser humano distinguir la realidad del engaño. Ante situaciones como esta, la concienciación de nuestros empleados y colaboradores se vuelve clave, que sean conscientes de los riesgos y las amenazas que existen y que se acostumbren, como hábito de trabajo, a chequear aquellas peticiones que no parezcan “normales”.
Sí, la tecnología como casi todo tiene un doble filo, puede usarse para lo bueno y para lo malo. El primer paso que realmente nos ha supuesto una mejora desde el punto de vista de la protección es la aparición de herramientas de seguridad basadas en cloud, esto ha sido clave a raíz de la pandemia y la deslocalización de los empleados, ha permitido que dejemos de necesitar pasar todo el tráfico de nuestros empleados a través del datacenter para aplicar medidas de seguridad y nos ha dado flexibilidad, manteniendo niveles similares o incluso mejores de protección. Al mover las herramientas y las consolas al Cloud y emplear big data también se ha conseguido acceso rápido de estas herramientas a mayores volúmenes y diversidad de datos, lo que mejora en algunos casos los patrones de detección. Por ejemplo, muchos fabricantes de ciberseguridad utilizan facilidades de nube y big data para proporcionar a sus clientes una mayor protección en tiempo real contra nuevos tipos de malware o de ataques. Múltiples fabricantes asimismo empiezan a incluir en su propuesta de valor el uso de IA para mejorar también sus patrones de detección o la automatización de respuestas. Aquí todavía hay campo por recorrer, pero la tendencia es muy interesante de cara a ganar eficiencia, sobre todo con el desafío que sabemos que existe de falta de profesionales de ciberseguridad.
Creo que cada vez son más conscientes, a medida que se van haciendo públicos más y más casos de incidentes. Hoy en día todas las empresas cuentan con múltiples proveedores, que no sólo proveen software o hardware, sino que a menudo acceden o procesan datos de clientes o poseen accesos muy sensibles a la propia infraestructura de la empresa, por ejemplo, para dar soporte técnico. La regulación también empieza a reflejar esta preocupación y así hemos visto en la publicación de la directiva NIS2 europea la inclusión de la cadena de suministro como un pilar fundamental a proteger.
Lo que falta, desde mi punto de vista, es un enfoque pragmático del problema, que realmente contribuya a mejorar la seguridad de todo el ecosistema. Hoy en día muchas empresas exigen a sus proveedores pasar cuestionarios de autoevaluación de ciberseguridad, o proporcionar certificaciones, o pasar auditorías, para poder ser proveedores relevantes u homologados. Esto está provocando un sobreesfuerzo tremendo en rellenar papeles, reuniones, proporcionar evidencias, etc., que no contribuye por sí mismo a elevar el nivel de seguridad del proveedor, sólo a tratar de demostrar que tiene unos mínimos, que muchas veces se circunscriben a un servicio concreto y dejan fuera del análisis debilidades relevantes por las que luego se cuela la amenaza.
Todos los que formamos parte de este ecosistema, empresas públicas, privadas, reguladores, etc., tenemos la responsabilidad de encontrar una manera eficiente de elevar el nivel medio de ciberseguridad de toda la cadena, ya que seremos tan fuertes como el eslabón más débil de la misma. La regulación puede ayudar, exigiendo no sólo a las empresas críticas o grandes unos mínimos, sino también al resto del ecosistema. Asimismo, el esquema para validar el cumplimiento de estos mínimos podría mejorarse si se centraliza, al menos en parte, en lugar de que cada empresa cliente haga su propia validación ligeramente diferente. Esto es complicado de coordinar pero debemos avanzar en esta dirección si queremos tener un modelo sostenible a futuro.
A nivel de tecnología está cobrando fuerza en el discurso de los fabricantes el uso de IA dentro de sus productos. No obstante, me gustaría recordar que una buena parte de los ataques que hoy en día suceden son evitables si se tienen unos buenos fundamentos mínimos de control. Por ejemplo, hemos mencionado que un gran volumen de ataques se produce utilizando phishing o ingeniería social, robo de credenciales de usuarios. Una medida como el Multi Factor Authetication (MFA), según informes de Microsoft, puede reducir el riesgo de compromiso en más del 99.2%.
Desde Vodafone Business conectamos empresas y empleados a las nuevas formas de trabajar y aportando una nueva capa de valor que proporcione elementos de seguridad eficientes sobre esa conectividad. Proporcionamos a nuestros clientes soluciones avanzadas SD-WAN para optimizar, automatizar y centralizar la gestión de las comunicaciones y soluciones de Seguridad centralizadas en la Nube para facilitar acceso seguro (Zero Trust Network Access) a la infraestructura de red, navegación segura, y propuestas de protección ante malware, ransomware, accesos no deseados, phishing, etc. No nos olvidamos tanto de la protección perimetral de la infraestructura de los clientes con soluciones de Firewalls de Nueva Generación (NG-FW), como la de la propia Red Local (LAN) y con soluciones avanzadas recogidas en propuestas SD-Branch (Switches, WiFi APs, NAC). Por último, cabe también destacar, el foco que hemos puesto en la gestión y protección del Puesto de Trabajo del empleado, como parte clave de una propuesta integral de conexión segura de empresas y empleados, así como las Soluciones para la gestión del parque de dispositivos, la protección del entorno móvil contra todo tipo de amenazas y, del portátil del empleado con propuestas avanzadas y gestionadas de Detección y Respuesta.
Efectivamente, en España hay buen talento en ciberseguridad, pero por desgracia el número no es suficiente para cubrir la necesidad. La previsión por ejemplo del INCIBE para este 2024 es que la demanda de profesionales doblará la oferta, habrá unos 40.000 empleos en este país que no podrán cubrirse por falta de profesionales. El problema no es sólo español, se produce también a nivel mundial.
Esto genera varias consecuencias complicadas: alta rotación de profesionales, imposibilidad por parte de las empresas para cubrir las vacantes existentes, inflación salarial, falta de capacidad en los equipos en sector público y privado, e incluso estrés laboral o burn out de los profesionales existentes, que tratan de lidiar con una carga de trabajo que a veces supera la capacidad de los equipos.
Ante esto se están adoptando en sector público y privado diversas estrategias para tratar de incrementar el número de profesionales que se incorporan a este sector, incluyendo la disponibilidad de nuevos recursos de formación, o la posibilidad de hacer re-skilling de profesionales de otros ámbitos. No obstante, la estrategia pasa también por ver de qué manera podemos incorporar la tecnología para automatizar tareas o facilitar parte del trabajo, de manera que nuestros profesionales puedan centrarse en lo que de verdad importa.