‘CRACKS de la tecnología’ es una serie semanal de entrevistas, a través de la que queremos dar voz a esos profesionales TI que son absolutos genios de la tecnología en España. Queremos saber de ellos/as, conocer y reconocer el trabajo que realizan en estas empresas; saber qué les apasiona y qué consejos guardan para aquellos/as que vendrán detrás.

---

 

España cuenta con algunos de los mejores profesionales de ciberseguridad del planeta. Es una de esas profesiones que generan un impacto en el mundo en que vivimos, y una de las más demandadas del momento por las empresas. Su principal función: velar por la protección de la información, poniendo su conocimiento y tiempo al servicio de una Internet segura.

Dentro de las organizaciones que velan por la seguridad online de algunas de las principales marcas y empresas con las que interaccionamos cada día, destaca KPMG. En 2010, esta ‘Big Four’ incorporó a un entonces muy joven experto, Javier Aznar. En la actualidad es socio de la firma, teniendo a su cargo a un equipo específico dedicado a mitigar el riesgo ciber-tecnológico de sus clientes, desde una óptica de 360 grados. Su obsesión, como explica en esta entrevista, es evitar, identificar y contrarrestar los movimientos de los malos. Así es cómo los guardianes de la ciberseguridad están librando la batalla contra la delincuencia digital.

Javier Aznar García, socio de ciberseguridad y riesgo tecnológico de KPMG.

 

P.- Un profesional de la ciberseguridad, ¿nace o se hace?

R.- Antes había que nacer para ello, o al menos tener una cierta inclinación o interés por los temas cyber. ¡Ahora hay grados específicos de ciberseguridad! Yo empecé la carrera en el año 2001, el plan era del 1997 y, por supuesto, de ciberseguridad no dábamos nada. Había mucha programación y mucho mantenimiento de sistemas y de redes, porque ésas eran las salidas naturales para los informáticos. Como no me llamaban la atención, al terminar los estudios me puse a trabajar en temas de cyber, tuve la suerte de que mi jefe me costeó un máster…, y hasta hoy.

Es un gusto ir a foros o a la facultad y comprobar que ahora los graduados vienen mucho mejor preparados de base que nosotros. Con todo, sigo pensando que el grueso del conocimiento sobre ciberseguridad se adquiere después de los estudios, con la experiencia. Y los mejores siempre tienen dos cualidades en común: son personas proactivas y les encanta la ciberseguridad.

 

P.- Les encanta y son buenos, en todos los sentidos de la palabra. Ya sabemos que la palabra hacker en ocasiones se asocia a ciberdelincuencia, aunque por suerte eso está cambiando…

R.- Un hacker no es un delincuente, aunque en muchos titulares a veces se usan como sinónimos. De hecho, España no es un país emisor de virus o malware, sino todo lo contrario. La realidad es que tenemos gente muy buena en nuestro equipo, que además dedica su tiempo libre a buscar cualquier tipo de exploit o vulnerabilidad, de manera altruista o en respuesta a algún reto lanzado por una empresa.

Por suerte, como dices, la pedagogía va dando sus frutos y cada vez se valora mejor la figura del hacker en la sociedad española. Es una labor didáctica que tenemos que continuar para que se conozca y reconozca nuestro trabajo. Paradójicamente, cuanto mejor es la ciberseguridad, menos se escucha hablar de ella.

«Paradójicamente, cuanto mejor es la ciberseguridad, menos se escucha hablar de ella»

 

P.- ¿Crees que la ciberseguridad se conoce y reconoce suficientemente en las empresas, fuera del propio sector tecnológico?  

R.- La sensibilización sobre la importancia de la ciberseguridad se ha disparado en los últimos años. Según nuestros estudios está en el ‘top 5’ de preocupaciones de los CEOs desde 2016, habiendo escalado al primer puesto desde 2019.

Hoy por hoy, la ciberseguridad es una cuestión que se aborda en los consejos de dirección de las grandes compañías y que preocupa a los directivos de todas las unidades de negocio, porque ya son conscientes de que un ciberataque o una vulneración de la privacidad puede acarrear un coste muy importante. La evolución de KPMG en cyber es una prueba fehaciente de este cambio: en 2010 sólo había 3 personas en la compañía dedicadas a la consultoría en ciberseguridad. Hoy somos 150.

 

P.- ¿En qué consiste la consultoría en ciberseguridad, como la que ofrecéis en KPMG?

R.- De forma resumida, se trata de ayudar a entender a los clientes cuál es su nivel de madurez actual y, a partir de ahí, de acompañarles y asesorarles para mejorar esa robustez.

En muchas ocasiones, nuestra labor implica poner a disposición de los clientes conocimiento muy específico que quizá no tienen dentro de su organización. Otras veces, ayudamos a los equipos de Sistemas o de Tecnología a estructurar y defender un plan de ciberseguridad ante la alta dirección de la compañía. Y, de forma general, observamos que las grandes empresas españolas demandan ya un enfoque preventivo -y no sólo reactivo- de la ciberseguridad, y les ayudamos a ponerlo en práctica.

Lo cierto es que la capacidad de respuesta de una empresa ante un ataque inesperado de phishing o de ransomware, por ejemplo, va a depender mucho de haber hecho previamente un buen ejercicio de análisis de tus procesos, de tus activos y de tus puntos de riesgo. De poco servirá una inversión millonaria en tecnologías de seguridad, de todos los vendors imaginables, si ésta no responde a una planificación.

«De poco servirá una inversión millonaria en tecnologías de seguridad si no responde a una planificación»

 

P.- Pero una estrategia preventiva requiere de inversiones cuyo ROI puede ser incierto, y el contexto económico no acompaña… ¿Cómo se puede justificar un aumento de la inversión en ciberseguridad?

R.- Todo, o casi todo, se puede medir. Es fácil estipular el coste de parar una planta energética o una plataforma de ticketing durante 24 horas. Más difícil es calcular, por ejemplo, el coste reputacional de vulnerar las leyes de privacidad en el tratamiento de los datos de clientes, pero en cualquier caso podemos estimar el impacto que tendrían cada uno de los posibles escenarios, sobre OPEX y sobre CAPEX. Cuantificar el riesgo puede resultar muy útil para convencer al comité de dirección…

En cualquier caso, también aquí ha mejorado mucho la madurez de las empresas. Yo siempre digo que cada euro destinado a prevención equivale a cinco euros en reacción. En otras palabras, que el coste en una estrategia preventiva será siempre muy inferior al coste de ir colocando parches…, y que hay que asumir que la probabilidad de sufrir un ciberataque o una pérdida de información es ya del 100%.

«Cada euro destinado a prevención equivale a cinco euros en reacción. Hay que asumir que la probabilidad de sufrir un ciberataque o una pérdida de información es ya del 100%»

 

P.- ¿Percibís diferencias entre el grado de madurez ‘cyber’ de las grandes empresas en España y en otros países?

R.- No. Las grandes empresas en España tienen proyectos de ciberseguridad perfectamente comparables a las de sus competidoras internacionales. Además, creo que es justo destacar la calidad técnica de los especialistas en ciberseguridad que tenemos en nuestro país.

En términos generales, el nivel de madurez digital de las organizaciones tiene más que ver con el tamaño que con el país de origen. Cuanto más pequeña es una empresa, por lo general, más reticencias existen para invertir en consultoría y prevención de ciberseguridad.

 

P.- ¿Qué valor aporta, a la hora de diseñar planes preventivos de ciberseguridad, el formar parte de una firma de servicios global?

R.- Desde mi punto de vista, aporta mucho valor. De un lado, la firma te brinda medios para continuar formándote y para ampliar el equipo a medida que el mercado lo va demandando. Y, sobre todo, estar en un grupo como KPMG te concede una foto más completa de las necesidades de ciberseguridad de los clientes, porque trabajamos con especialistas en los distintos negocios y procesos.

En la práctica, por ejemplo en los proyectos que hacemos para reforzar la seguridad la cadena de suministro de un cliente, no nos limitamos a ayudarles a proteger sus sistemas, la privacidad de la información o la continuidad del negocio, sino que también abordamos aspectos de cumplimiento (compliance). Del mismo modo, procuramos que la ciberseguridad y la seguridad física no sean dos mundos separados, sino que estén tratados de una manera convergente, y evitar así que puedan existir grietas entre ambos.

 

P.- Últimamente se escucha mucho hablar del enfoque ‘zero trust’, que está muy relacionado con todo lo que estamos hablando. ¿En qué consiste y de qué modo aplicáis desde KPMG?

R.- Básicamente, el ‘zero trust’ (o ‘confianza cero’) insta a repensar cómo se tiene articulada la ciberseguridad, porque el perímetro tecnológico de las empresas ha crecido mucho. Mejor dicho, ya ni siquiera suele existir un perímetro delimitado. Muchos de nosotros accedemos a aplicaciones empresariales desde dispositivos personales, trabajamos desde diferentes localizaciones, nos conectamos con personas externas a la organización…

El enfoque ‘zero trust’ consiste en valorar si tiene sentido poner el foco de la ciberseguridad en los datos, en las aplicaciones, en los dispositivos o en los usuarios. En algunos casos, optaremos por montar un modelo en el que, en función de los permisos de acceso, la autenticación o la ubicación del dispositivo, se impongan unos controles u otros.

Desde KPMG, animamos a los clientes a analizar en qué punto se encuentran, cuánto les costaría hacer una transición a un modelo ‘zero trust’ y cómo se efectivo es su modelo actual. El mero hecho de analizar, cuestionar y, en su caso, actualizar los modelos implementados cada cierto tiempo, siempre es positivo.

 

P.- Y para complicarlo todo un poco más, ¡ahora llega el Internet de las Cosas!

R.- (Ríe) Me recuerda a cuando estábamos en el colegio y te entregaban un folio con un dibujo del cuerpo humano, y después de iban entregando transparencias con los órganos, los huesos, las venas… A medida que añadías capas, la lección se iba complicando más y más. Aquí sucede algo parecido, porque a medida que pasa el tiempo la infraestructura tecnológica de las empresas se va volviendo más y más compleja. Por eso es tan importante no perder nunca de vista cuál es la planificación que da sentido a todos los proyectos cyber que cuelgan de ella.

En este contexto, desde el último año y medio o dos años, muchos clientes nos están pidiendo auditorías específicas de ciberseguridad para entornos completos, como una planta de fabricación, una refinería o unos determinados sistemas automatizados. Sobre todo, de infraestructuras críticas y del sector de automoción, por imposiciones regulatorias. Otra muestra más de cómo, cada vez más, se va buscando una visión 360º de la seguridad.

«Muchos clientes nos están pidiendo auditorías específicas de ciberseguridad para entornos como una planta de producción. Una nuestra más de cómo nos dirigimos a una visión 360º de la seguridad»

 

P.- Unas exigencias regulatorias que van a ir a más…

R.- Europa se está poniendo las pilas y, en efecto, están llegando novedades legislativas relacionadas con ciberseguridad, por ejemplo, en entornos de inteligencia artificial, fabricación de automóviles, datos no personales, próximamente en redes y equipos 5G, exigencias de certificaciones de productos, etcétera. No en vano, en mi equipo en KPMG tenemos bastantes juristas.

Personalmente, estos cambios me animan porque me obligan a estar siempre moviéndome y estudiando para mantenerme al día. Y, por supuesto, el hecho de estar rodeado en expertos capaces de analizar e interpretar textos legales me aporta una gran confianza.

 

P.- Sin embargo, pese a todas esas auditorías e inversiones en tecnologías, algunos trabajadores siguen cayendo en descuidos o en trampas como el phishing. ¿Qué se puede hacer para proteger mejor ese eslabón?

R.- Concienciación, y ésta se consigue mediante formación. Hay que invertir en formar a los empleados y en distintos tipos de campañas. Suelen funcionar muy bien las que incorporan elementos de gamificación. También, las campañas de phishing controlado, donde es la propia empresa la que lanza los emails ‘trampa’ para ayudar a concienciar a los empleados que caen en ellos.

 

P.- ¿Y caen muchos?

R.- ¡Muchos más de lo que a cualquiera le gustaría reconocer, y de todos los niveles jerárquicos!