Tag: Ciberseguridad

Ciberseguridad. Es el riesgo nº1 para las organizaciones en la era digital, y para la privacidad y el respeto de los derechos fundamentales de las personas en Internet.

Actualidad / DigitalES al día

Nuevo impulso al Pacto Digital para la Protección de las Personas de la AEPD

PACTOS Y ALIANZAS

21 de junio 2022.- La Agencia Española de Protección de Datos ha organizado hoy un acto para presentar su memoria de responsabilidad social de 2021. DigitalES, como entidad adherida al Pacto Digital para la Protección de las Personas que impulsa esta organización, ha acudido al acto para refrendar el compromiso suscrito en esta alianza.

Así, durante la jornada se ha puesto de relieve el compromiso de todos los miembros del Pacto por proteger el derecho fundamental a la protección de datos, siendo éste compatible con la innovación, la ética y la competitividad empresarial.

aepd

El Pacto Digital para la Protección de las Personas promueve la privacidad como un activo para organizaciones públicas y privadas. Entre los principios que se recogen se encuentra impulsar la transparencia para que los ciudadanos conozcan qué datos se están recabando y para qué se emplean, promover la igualdad de género y la protección de la infancia y las personas en situación de vulnerabilidad, o garantizar que las tecnologías eviten perpetuar sesgos o aumentar las desigualdades existentes, evitando la discriminación algorítmica por razón de raza, procedencia, creencia, religión o sexo, entre otras.

Descarga el Pacto Digital

 


Información relacionada:

> Pactos y alianzas de DigitalES

Las tres cosas que quitan el sueño a los CIOs españoles

La figura del CIO está cobrando cada vez más relevancia en la definición de la estrategia corporativa de las compañías. El responsable de informática ha pasado de estar vinculado principalmente a la gestión de las Tecnologías de la Información a tener un papel central en el crecimiento del negocio a partir de la introducción de tecnologías que puedan favorecer la innovación en productos y servicios.

Su papel ha pasado, pues, a ser estratégico dentro de la organización, y su función como impulsor de la innovación, de vital importancia para la cuenta de resultados. Esta revolución se refleja en los datos, ya que actualmente un 38% de CIOs ya emplea al menos el 30% de su tiempo en innovar.

Y es que, en su capacidad para acertar con la innovación reside la clave para mejorar la cuenta de resultados. Entre las funciones del CIO se encuentran algunas tan relevantes como el liderar la transformación digital de la empresa, acompañar y orientar a los directores de departamento, ejercer de consejero al CEO o gestionar el talento y liderar el cambio cultural.

Pero, ¿cuáles son los tres asuntos que despiertan más inquietud entre los CIOs españoles? Según un estudio realizado por Penteo, consultora que congregó recientemente a más de 80 directivos TI en su ‘Anual Meeting 2022’, las tres mayores preocupaciones para este perfil son la búsqueda de talento, los ciberataques y las compañías ‘data driven’.

CIOs españoles

Los tres desafíos

José Luis Pérez de Tejada, director de análisis de Penteo, habló sobre la falta de talento en la inauguración del CIO Annual Meeting 2022 de la compañía. A su juicio, “el más difícil de conseguir es el de Analítica y Data Science”. “La parte más soft es una debilidad de los equipos y faltan recursos. También, existe un bajo nivel de conocimiento técnico”, agregó.

Respecto a los ciberataques, la consultora ya la incluía como una de las principales preocupaciones de los CIOs españoles, antes incluso de que se desatase el conflicto de Ucrania. “La ciberseguridad sigue recuperando poco a poco el foco que no se le había dado años atrás y van calando ciertos mensajes a la hora de establecer una cultura de ciberseguridad en las compañías, aunque deben seguir aumentando los marcos normativos formalizados basados en estándares o mejores prácticas del mercado como pueden ser la ISO27001, 27002, etc.”, destacan en su informe Digital Trends Lansdcape.

En cuanto a las compañías data-driven, esto es, las que toman decisiones estratégicas basadas en análisis de datos e interpretación, la investigación desarrollada por Penteo constata que los datos se han convertido en el principal activo de las compañías y que el 94% de las mismas los consideran un activo estratégico.

“El reto, no obstante, es tratarlo realmente como tal, ofreciendo un valor diferencial a aquellas organizaciones que son capaces de procesarlos y convertirlos en valor a través de técnicas de analítica avanzada e inteligencia artificial”, concluyen.

ENTREVISTA: Iago Soto (Quobis), el ‘guardián’ de las comunicaciones de voz seguras

‘CRACKS de la tecnología’ es una serie semanal de entrevistas, a través de la que queremos dar voz a esos profesionales TI que son absolutos genios de la tecnología en España. Queremos saber de ellos/as, conocer y reconocer el trabajo que realizan en estas empresas; saber qué les apasiona y qué consejos guardan para aquellos/as que vendrán detrás.


 

Hoy nos detenemos en O Porriño, uno de los polos industriales del área metropolitana de Vigo. Aquí se encuentran las oficinas de Quobis, una empresa que presta sus servicios especializados y desarrolla tecnología para las grandes operadoras de telecomunicaciones de nuestro país, así como para otras grandes empresas multinacionales.

En Quobis son expertos en tecnologías de comunicaciones en tiempo real, con las que las telecos construyen parte de su catálogo de soluciones. Fundada en 2006, esta compañía ha conseguido atraer también la atención de grandes nombres del sector retail, industria, banca y aseguradoras, contact centers, servicios de emergencias, telemedicina o instituciones públicas..

Quién mejor que Iago Soto, uno de sus fundadores, para conocer más sobre esta empresa y sobre su visión acerca del futuro de las comunicaciones.

quobis

Iago Soto, co-fundador y chief marketing officer (CMO) de Quobis.

 

P.- Hay quien llama ‘Galifornia’ a las Rías Baixas, principalmente por el clima, pero Quobis confirma que puede ser también un buen lugar desde el que erigir un negocio tecnológico de éxito.

R.- (Bromea) ¡Aquí también hay Internet! Decidimos fundar la empresa en Pontevedra porque confluyen varios factores. De un lado, en Vigo había una buena escuela de telecomunicaciones, una de las más veteranas del país. Además, en Galicia existían clientes potenciales interesantes, como Comunitel, con foco en el mundo empresarial, o el operador regional R Cable (hoy parte del Grupo MásMóvil). Ambos tenían un perfil relativamente innovador, porque necesitaban diferenciarse de Telefónica, que por aquella época copaba todo el negocio B2B.

Esta singularidad geográfica nos ha brindado cierta ventaja como empleador estable de la zona. En estos momentos mantenemos un modelo de presencialidad flexible, que probablemente mantengamos en el futuro. Por supuesto, nuestra estructura comercial se encuentra más dispersa en el mapa, con parte de nuestra fuerza de ventas asentada en Madrid, Miami y México.

 

P.- ¡Vaya si no ha llovido desde 2006! En lo que a comunicaciones se refiere, aún no existía el iPhone, ni por lo tanto había despegado el mercado de smartphones ni la industria de aplicaciones de comunicaciones sobre IP que existe hoy en día…

R.- El mundo de las comunicaciones ha evolucionado muchísimo, y nosotros con él. En origen, trabajábamos sobre todo la voz sobre IP en arquitecturas basadas en protocolos SIP, a lo que hemos ido sumando las nuevas posibilidades del las comunicaciones basadas en WebRTC, entre las que destacan el vídeo o la colaboración en tiempo real.

Quobis sigue manteniendo su expertise diferencial en interconexión, ya que es un desafío que involucra tanto infraestructuras WebRTC como SIP. Interconexión y seguridad de comunicaciones van de la mano, tanto en contextos de comunicaciones corporativas como con la red de los propios operadores.

Actualmente cubrimos todas las estrategias posibles, ya que podemos ofrecer soluciones de seguridad e interconexión sobre plataformas de colaboración de terceros, como las que todos conocemos, o bien ofrecer crear infraestructuras UCaaS para que telcos y grandes empresas proveean directamente estos servicios a sus usuarios.

 

P.- ¿Hay una amenaza de seguridad en las comunicaciones de voz, vídeo o colaboración de las empresas? ¿Es éste un punto de acceso crítico para los ciberdelincuentes?

R.- Sin ninguna duda. La sociedad tiene muy interiorizado que existen amenazas relacionadas con servicios digitales alojados en páginas web. Los ciberataques más reconocidos por la sociedad, son aquellos relacionados con el robo de credenciales, el phishing, el secuestro de ficheros (ransomware), o las caídas de servicios derivadas del ataque a la red.

Quizás somos menos conscientes de las amenazas que existen en comunicaciones de voz, cuando no media una pantalla, pero la realidad es que esta forma de comunicación sigue siendo predominante en la relación entre empresas y particulares, y los daños posibles son muy similares: robo de datos, suplantación de identidad, bloqueo de las infraestructuras…

Los ataques sobre las redes de voz se conocen desde hace ya muchos años, antes incluso de que llegara la voz sobre IP. Afortunadamente existen tecnologías para combatir estas amenazas. Por ejemplo, los sistemas de cifrado para prevenir el robo de información sensible en casos de intercepción ilegal de las comunicaciones.

«Las infraestructuras de comunicaciones son elementos estratégicos y por eso son atacadas constantemente»

 

Las infraestructuras de comunicaciones son elementos estratégicos y por eso son atacadas constantemente. Recientemente hemos sido testigos, por ejemplo, de ataques sobre los propios medios físicos, echando abajo estaciones base (antenas) en Ucrania. Con la popularización de la voz IP en España, hace alrededor de una década, vimos emerger otra clase de ciberataques, más sofisticados. Por nuestra trayectoria en soluciones de interconexión de voz, en Quobis sabemos cómo prevenir esos riesgos.

 

P.- ¿De qué tipo de problemas de seguridad estamos hablando?

R.- En primer lugar, encontraríamos los ataques de denegación de servicio. Consisten en lanzar una avalancha de peticiones contra un servidor, en este caso de comunicaciones de voz, que consigue sobrecargar la infraestructura asociada. Los SBCs pueden actuar como cortafuegos específicos para servicios de voz garantizando el mantenimiento del servicio frente a estos ataques.

En segundo lugar están las amenazas sobre la robustez o la integridad del propio mensaje. Aquí, la mejor protección consiste en incorporar un cifrado que realmente sea extremo a extremo, y no sólo hasta un servidor…

Por último podríamos agrupar todos los tipos de fraude telefónico. Son muy comunes, nadie está a salvo, ¡incluso nosotros los hemos sufrido!

En Quobis tenemos una amplia experiencia en monitorización de redes de voz, lo que nos permite ayudar también a identificar en qué parte del proceso tuvo lugar el agujero de seguridad, y poder corregirlo y atribuir responsabilidades si corresponde hacerlo. En cualquier caso, siempre recomendamos abordar la ciberseguridad desde un enfoque integral y preventivo. Para nosotros, la seguridad no es una opción, sino un requisito indispensable para poder garantizar la mejor experiencia al usuario final.

 

P.- ¿Son más inseguras las plataformas digitales de ‘moda’ que las que pueden ofrecer directamente un operador?

R.-El usuario es soberano en sus elecciones, y muchas veces por comodidad escoge para usos corporativos soluciones que tiene a mano y que le resultan familiares, a pesar de no poder garantizar unos mínimos de seguridad y privacidad que en cada sector puedan ser requeridos. Por ejemplo, no deja de resultar llamativo ver en los informativos referencias constantes a intercambios de mensajes vía Whatsapp entre ministros, un servicio que ni siquiera tiene su infraestructura dentro de nuestras fronteras y que puede ofrecer pocas garantías frente a intentos de espionaje.

Los propios operadores ofrecen servicios de comunicaciones empresariales, a través de soluciones UCaaS muy populares, porque dan respuesta a una demanda real que existe en el mercado y porque estas ya cuentan con una base de usuarios más que significativa, gracias a agresivas estrategias comerciales.

«Para un operador, tener su propia solución de comunicaciones tiene muchas ventajas… también de ciberseguridad»

 

Desde Quobis, procuramos convencer a los operadores de las ventajas de ofrecer sus propias soluciones, o bien, de tratar de complementar la oferta de los UCaaS, tratando de mantener su rol central como proveedores de comunicaciones de voz también en un contexto de comunicaciones unificadas actual. Esto les permite mantener la visibilidad de su marca, en lugar de pasar a un segundo plano, ofreciendo funcionalidades muy parecidas a las plataformas mainstream y por lo tanto con una mínima curva de adopción, y por supuesto hacerlo de la forma más segura y cumpliendo con las diferentes regulaciones que aplican en cada sector. Por defecto estas comunicaciones correrían dentro de su propia red, en territorio nacional, lo cual facilita el cumplimiento de las normativas europeas, en una Europa cada vez más preocupada por su soberanía digital.

 

P.- ¿Quién es vuestro interlocutor natural dentro de las organizaciones a las que vendéis soluciones?

R.- El departamento de TI. Más concretamente, la persona o personas responsables de las comunicaciones empresariales. La mayoría de nuestros clientes demandan una solución de interconexión que, además, sea segura. Pero también hay empresas interesadas específicamente en la parte de seguridad. Entre la motivación de estas últimas, además de la prevención de ataques externos, puede estar el cumplimiento normativo relativo a protección de datos (GDPR) y a las llamadas comerciales de la banca, o la consecución de certificaciones como la ISO 27000.

 

P.- ¿Hace falta incorporar hardware, además de software?

R.- Depende del escenario. Hay que tener en cuenta que, en las comunicaciones en tiempo real, el retardo debe ser inferior a 150 milisegundos. El hardware (DSPs) puede ayudar a gestionar el tráfico sobre IP de manera más eficiente en entornos donde se realizan muchas llamadas simultáneas, como por ejemplo los call centers. En la mayoría de los entornos, en cambio, puede bastar con una solución 100% software.

En los últimos cinco años, la tecnología ha evolucionado mucho. Hoy por hoy, existen herramientas estándares que permiten maximizar la calidad percibida de las comunicaciones, a pesar de que el ancho de banda que llegue a tu puesto de trabajo no sea el óptimo.

 

P.- Como especialistas en comunicaciones digitales, ¿qué opinión os merecen movimientos como el Manifiesto Mayores Digitales, suscrito por DigitalES?

R.- Estamos 100% de acuerdo en que hay que ofrecer alternativas de comunicación para todos los perfiles de la población, no sólo a los más capaces de seguir el ritmo de la digitalización. En este escenario el factor humano es una clara ventaja, y en Quobis nos encontramos especialmente cómodos potenciando el componente humano de las comunicaciones frente a otras estrategias más centradas en la sustitución de personas por IAs, bots, etc..

El movimiento ciudadano en defensa de una atención al cliente más humana responde, quizá, a una euforia desmedida por reducir costes a través de la automatización. Desde nuestro punto de vista, las organizaciones deberían habilitar canales de comunicación complementarios y donde no se pierda por completo el componente humano. La futura ley de servicios de atención al cliente, de hecho, va en esa línea.

«Las organizaciones deberían habilitar canales de comunicación complementarios, donde no se pierda por completo el componente humano»

 

P.- Por último, además de una ‘re-humanización’ de las comunicaciones, ¿qué otras tendencias vislumbráis en el horizonte?

R.-Creemos que el 5G conseguirá superar el umbral de viabilidad de nuevos casos de uso. Por ejemplo, para las comunicaciones de vídeo en un coche conectado en movimiento, de modo que el vehículo pueda detenerse si una cámara de tráfico detecta a un viandante por la carretera.

En definitiva, nos dirigimos hacia un mundo en el que nos comunicaremos más, pero también mejor. Todo el aprendizaje de estos últimos años nos permitirá sacar partido de los avances tecnológicos que lleguen, para dar una respuesta inmediata y eficaz a las personas… A todas las personas.

 

ENTREVISTA: Javier Aznar (KPMG), exponente de la mejor ciberseguridad en España

‘CRACKS de la tecnología’ es una serie semanal de entrevistas, a través de la que queremos dar voz a esos profesionales TI que son absolutos genios de la tecnología en España. Queremos saber de ellos/as, conocer y reconocer el trabajo que realizan en estas empresas; saber qué les apasiona y qué consejos guardan para aquellos/as que vendrán detrás.


 

España cuenta con algunos de los mejores profesionales de ciberseguridad del planeta. Es una de esas profesiones que generan un impacto en el mundo en que vivimos, y una de las más demandadas del momento por las empresas. Su principal función: velar por la protección de la información, poniendo su conocimiento y tiempo al servicio de una Internet segura.

Dentro de las organizaciones que velan por la seguridad online de algunas de las principales marcas y empresas con las que interaccionamos cada día, destaca KPMG. En 2010, esta ‘Big Four’ incorporó a un entonces muy joven experto, Javier Aznar. En la actualidad es socio de la firma, teniendo a su cargo a un equipo específico dedicado a mitigar el riesgo ciber-tecnológico de sus clientes, desde una óptica de 360 grados. Su obsesión, como explica en esta entrevista, es evitar, identificar y contrarrestar los movimientos de los malos. Así es cómo los guardianes de la ciberseguridad están librando la batalla contra la delincuencia digital.

cracks kpmg

Javier Aznar García, socio de ciberseguridad y riesgo tecnológico de KPMG.

 

P.- Un profesional de la ciberseguridad, ¿nace o se hace?

R.- Antes había que nacer para ello, o al menos tener una cierta inclinación o interés por los temas cyber. ¡Ahora hay grados específicos de ciberseguridad! Yo empecé la carrera en el año 2001, el plan era del 1997 y, por supuesto, de ciberseguridad no dábamos nada. Había mucha programación y mucho mantenimiento de sistemas y de redes, porque ésas eran las salidas naturales para los informáticos. Como no me llamaban la atención, al terminar los estudios me puse a trabajar en temas de cyber, tuve la suerte de que mi jefe me costeó un máster…, y hasta hoy.

Es un gusto ir a foros o a la facultad y comprobar que ahora los graduados vienen mucho mejor preparados de base que nosotros. Con todo, sigo pensando que el grueso del conocimiento sobre ciberseguridad se adquiere después de los estudios, con la experiencia. Y los mejores siempre tienen dos cualidades en común: son personas proactivas y les encanta la ciberseguridad.

 

P.- Les encanta y son buenos, en todos los sentidos de la palabra. Ya sabemos que la palabra hacker en ocasiones se asocia a ciberdelincuencia, aunque por suerte eso está cambiando…

R.- Un hacker no es un delincuente, aunque en muchos titulares a veces se usan como sinónimos. De hecho, España no es un país emisor de virus o malware, sino todo lo contrario. La realidad es que tenemos gente muy buena en nuestro equipo, que además dedica su tiempo libre a buscar cualquier tipo de exploit o vulnerabilidad, de manera altruista o en respuesta a algún reto lanzado por una empresa.

Por suerte, como dices, la pedagogía va dando sus frutos y cada vez se valora mejor la figura del hacker en la sociedad española. Es una labor didáctica que tenemos que continuar para que se conozca y reconozca nuestro trabajo. Paradójicamente, cuanto mejor es la ciberseguridad, menos se escucha hablar de ella.

«Paradójicamente, cuanto mejor es la ciberseguridad, menos se escucha hablar de ella»

 

P.- ¿Crees que la ciberseguridad se conoce y reconoce suficientemente en las empresas, fuera del propio sector tecnológico?  

R.- La sensibilización sobre la importancia de la ciberseguridad se ha disparado en los últimos años. Según nuestros estudios está en el ‘top 5’ de preocupaciones de los CEOs desde 2016, habiendo escalado al primer puesto desde 2019.

Hoy por hoy, la ciberseguridad es una cuestión que se aborda en los consejos de dirección de las grandes compañías y que preocupa a los directivos de todas las unidades de negocio, porque ya son conscientes de que un ciberataque o una vulneración de la privacidad puede acarrear un coste muy importante. La evolución de KPMG en cyber es una prueba fehaciente de este cambio: en 2010 sólo había 3 personas en la compañía dedicadas a la consultoría en ciberseguridad. Hoy somos 150.

 

P.- ¿En qué consiste la consultoría en ciberseguridad, como la que ofrecéis en KPMG?

R.- De forma resumida, se trata de ayudar a entender a los clientes cuál es su nivel de madurez actual y, a partir de ahí, de acompañarles y asesorarles para mejorar esa robustez.

En muchas ocasiones, nuestra labor implica poner a disposición de los clientes conocimiento muy específico que quizá no tienen dentro de su organización. Otras veces, ayudamos a los equipos de Sistemas o de Tecnología a estructurar y defender un plan de ciberseguridad ante la alta dirección de la compañía. Y, de forma general, observamos que las grandes empresas españolas demandan ya un enfoque preventivo -y no sólo reactivo- de la ciberseguridad, y les ayudamos a ponerlo en práctica.

Lo cierto es que la capacidad de respuesta de una empresa ante un ataque inesperado de phishing o de ransomware, por ejemplo, va a depender mucho de haber hecho previamente un buen ejercicio de análisis de tus procesos, de tus activos y de tus puntos de riesgo. De poco servirá una inversión millonaria en tecnologías de seguridad, de todos los vendors imaginables, si ésta no responde a una planificación.

«De poco servirá una inversión millonaria en tecnologías de seguridad si no responde a una planificación»

 

P.- Pero una estrategia preventiva requiere de inversiones cuyo ROI puede ser incierto, y el contexto económico no acompaña… ¿Cómo se puede justificar un aumento de la inversión en ciberseguridad?

R.- Todo, o casi todo, se puede medir. Es fácil estipular el coste de parar una planta energética o una plataforma de ticketing durante 24 horas. Más difícil es calcular, por ejemplo, el coste reputacional de vulnerar las leyes de privacidad en el tratamiento de los datos de clientes, pero en cualquier caso podemos estimar el impacto que tendrían cada uno de los posibles escenarios, sobre OPEX y sobre CAPEX. Cuantificar el riesgo puede resultar muy útil para convencer al comité de dirección…

En cualquier caso, también aquí ha mejorado mucho la madurez de las empresas. Yo siempre digo que cada euro destinado a prevención equivale a cinco euros en reacción. En otras palabras, que el coste en una estrategia preventiva será siempre muy inferior al coste de ir colocando parches…, y que hay que asumir que la probabilidad de sufrir un ciberataque o una pérdida de información es ya del 100%.

«Cada euro destinado a prevención equivale a cinco euros en reacción. Hay que asumir que la probabilidad de sufrir un ciberataque o una pérdida de información es ya del 100%»

 

P.- ¿Percibís diferencias entre el grado de madurez ‘cyber’ de las grandes empresas en España y en otros países?

R.- No. Las grandes empresas en España tienen proyectos de ciberseguridad perfectamente comparables a las de sus competidoras internacionales. Además, creo que es justo destacar la calidad técnica de los especialistas en ciberseguridad que tenemos en nuestro país.

En términos generales, el nivel de madurez digital de las organizaciones tiene más que ver con el tamaño que con el país de origen. Cuanto más pequeña es una empresa, por lo general, más reticencias existen para invertir en consultoría y prevención de ciberseguridad.

 

P.- ¿Qué valor aporta, a la hora de diseñar planes preventivos de ciberseguridad, el formar parte de una firma de servicios global?

R.- Desde mi punto de vista, aporta mucho valor. De un lado, la firma te brinda medios para continuar formándote y para ampliar el equipo a medida que el mercado lo va demandando. Y, sobre todo, estar en un grupo como KPMG te concede una foto más completa de las necesidades de ciberseguridad de los clientes, porque trabajamos con especialistas en los distintos negocios y procesos.

En la práctica, por ejemplo en los proyectos que hacemos para reforzar la seguridad la cadena de suministro de un cliente, no nos limitamos a ayudarles a proteger sus sistemas, la privacidad de la información o la continuidad del negocio, sino que también abordamos aspectos de cumplimiento (compliance). Del mismo modo, procuramos que la ciberseguridad y la seguridad física no sean dos mundos separados, sino que estén tratados de una manera convergente, y evitar así que puedan existir grietas entre ambos.

 

P.- Últimamente se escucha mucho hablar del enfoque ‘zero trust’, que está muy relacionado con todo lo que estamos hablando. ¿En qué consiste y de qué modo aplicáis desde KPMG?

R.- Básicamente, el ‘zero trust’ (o ‘confianza cero’) insta a repensar cómo se tiene articulada la ciberseguridad, porque el perímetro tecnológico de las empresas ha crecido mucho. Mejor dicho, ya ni siquiera suele existir un perímetro delimitado. Muchos de nosotros accedemos a aplicaciones empresariales desde dispositivos personales, trabajamos desde diferentes localizaciones, nos conectamos con personas externas a la organización…

El enfoque ‘zero trust’ consiste en valorar si tiene sentido poner el foco de la ciberseguridad en los datos, en las aplicaciones, en los dispositivos o en los usuarios. En algunos casos, optaremos por montar un modelo en el que, en función de los permisos de acceso, la autenticación o la ubicación del dispositivo, se impongan unos controles u otros.

Desde KPMG, animamos a los clientes a analizar en qué punto se encuentran, cuánto les costaría hacer una transición a un modelo ‘zero trust’ y cómo se efectivo es su modelo actual. El mero hecho de analizar, cuestionar y, en su caso, actualizar los modelos implementados cada cierto tiempo, siempre es positivo.

 

P.- Y para complicarlo todo un poco más, ¡ahora llega el Internet de las Cosas!

R.- (Ríe) Me recuerda a cuando estábamos en el colegio y te entregaban un folio con un dibujo del cuerpo humano, y después de iban entregando transparencias con los órganos, los huesos, las venas… A medida que añadías capas, la lección se iba complicando más y más. Aquí sucede algo parecido, porque a medida que pasa el tiempo la infraestructura tecnológica de las empresas se va volviendo más y más compleja. Por eso es tan importante no perder nunca de vista cuál es la planificación que da sentido a todos los proyectos cyber que cuelgan de ella.

En este contexto, desde el último año y medio o dos años, muchos clientes nos están pidiendo auditorías específicas de ciberseguridad para entornos completos, como una planta de fabricación, una refinería o unos determinados sistemas automatizados. Sobre todo, de infraestructuras críticas y del sector de automoción, por imposiciones regulatorias. Otra muestra más de cómo, cada vez más, se va buscando una visión 360º de la seguridad.

«Muchos clientes nos están pidiendo auditorías específicas de ciberseguridad para entornos como una planta de producción. Una nuestra más de cómo nos dirigimos a una visión 360º de la seguridad»

 

P.- Unas exigencias regulatorias que van a ir a más…

R.- Europa se está poniendo las pilas y, en efecto, están llegando novedades legislativas relacionadas con ciberseguridad, por ejemplo, en entornos de inteligencia artificial, fabricación de automóviles, datos no personales, próximamente en redes y equipos 5G, exigencias de certificaciones de productos, etcétera. No en vano, en mi equipo en KPMG tenemos bastantes juristas.

Personalmente, estos cambios me animan porque me obligan a estar siempre moviéndome y estudiando para mantenerme al día. Y, por supuesto, el hecho de estar rodeado en expertos capaces de analizar e interpretar textos legales me aporta una gran confianza.

 

P.- Sin embargo, pese a todas esas auditorías e inversiones en tecnologías, algunos trabajadores siguen cayendo en descuidos o en trampas como el phishing. ¿Qué se puede hacer para proteger mejor ese eslabón?

R.- Concienciación, y ésta se consigue mediante formación. Hay que invertir en formar a los empleados y en distintos tipos de campañas. Suelen funcionar muy bien las que incorporan elementos de gamificación. También, las campañas de phishing controlado, donde es la propia empresa la que lanza los emails ‘trampa’ para ayudar a concienciar a los empleados que caen en ellos.

 

P.- ¿Y caen muchos?

R.- ¡Muchos más de lo que a cualquiera le gustaría reconocer, y de todos los niveles jerárquicos!

 

El viernes pasado sufrimos nuestro primer ciberataque. Esto es lo que aprendimos

Viernes 10 de diciembre por la mañana. La página web de DigitalES parece caída. Alguien -o mejor dicho, alguna IP comprometida- ha tomado el control del site y busca redirigirlo hacia otras páginas. Nuestras actualizaciones eran muy recientes. Sin embargo, un ataque global masivo sobre varios plug-ins de WordPress tumbó súbitamente más de un millón y medio de sitios web. Por suerte, no se produjo ninguna filtración de datos personales o corporativos.

Fue un ataque sencillo, con una solución igualmente sencilla, dado que disponíamos de un servicio de back up y de una metodología que permitía recuperar rápidamente el contenido web que se hubiera perdido al recuperar una versión de la página de varios días atrás. Con esta experiencia, la primera en los 4 años de vida de esta patronal, constatamos que la ciberseguridad no puede ser entendida como un gasto, sino como una inversión.

Sufrir un ciberataque a causa de una inversión o protocolos insuficientes sí que puede generar un gasto. Así, según un estudio de IBM, el coste de las brechas de seguridad de datos cada vez es más alto para las organizaciones. De media, estas filtraciones de datos están costando a las empresas una media de 4,24 millones de dólares por incidente, siendo el valor más alto en los 17 años de historia del informe.

cyberseguridad

Nuestro ejemplo evidencia también que las ciberamenazas pueden afectar a negocios de todas las clases y de todos los tamaños. Los ataques pueden ser dirigidos y sofisticados, o masivos y rudimentarios, aunque igualmente dañinos. Por eso, toda precaución es poca.

En este contexto, la inversión en soluciones tecnológicas de ciberseguridad crece cada año. La consultora Penteo estima que la tendencia al alza se mantendrá en 2022. En su informe Universo de Ciberseguridad 2021, publicado recientemente, advierte también de que el compromiso de la Dirección y el creciente peso del CISO en la organización son factores clave de éxito para que el negocio de la ciberseguridad pueda crecer y tener mayor recorrido en las organizaciones.

Dos claves: tecnología y procesos

¿Cómo asegurar la continuidad del negocio y reducir los riesgos, en un mundo crecientemente conectado? A nadie se le escapa que el desarrollo de tecnologías como cloud y el IoT (Internet de las cosas) favorecen la desaparición de las fronteras de red. En este contexto, desde DigitalES os recordamos algunos de los consejos de nuestra Guía para la Transformación Digital de las Pymes:

Es necesario entender que la ciberseguridad no se obtiene únicamente a través de soluciones tecnológicas específicas, sino que es necesario crear un entorno donde se pueda garantizar la protección y la seguridad extremo a extremo con los empleados, clientes y proveedores de la empresa.

Para ello, se ha de contemplar la seguridad como componente incorporado en los nuevos procesos y tecnologías, garantizando que los accesos están asegurados, las aplicaciones contienen perfiles de privilegios y los dispositivos que utilizan incorporan medidas de seguridad integradas en el propio dispositivo (filtros de privacidad, 23 bloqueos por huella, uso de SmartCard / DNIe) o soluciones de bloqueo frente a amenazas incorporados como programas de seguridad avanzados (antivirus de nueva generación), que son capaces de detectar malware (virus, ramsonware, phishing…) tanto conocido como desconocidos (para ello estos sistemas utilizan análisis de comportamiento de patrones de riesgo con Inteligencia Artificial y aislamiento de páginas web o aplicaciones que no sean de completa confianza).

Estos programas de seguridad avanzados, normalmente se pueden configurar por un socio de servicios a través de la nube; garantizando con ello la protección de la empresa, aunque ésta no disponga de expertos en seguridad. Es por ello necesario destacar que aparte de las diferentes soluciones tecnológicas enfocadas a la ciberseguridad -desde el dispositivo de acceso seguro hasta el dato o aplicaciones alojados en la nube-, es imprescindible mantener unos hábitos y buenas prácticas que ayuden a la pyme a desenvolverse de forma segura en el mundo digital.

ciberataque

Los 10 proveedores más relevantes, según Penteo

En la edición 2021 del Universo Penteo de proveedores de Ciberseguridad, se ha analizado el posicionamiento relativo de los proveedores de ciberseguridad más relevantes en España. Este análisis se representa en 4 dimensiones (capacidades, prestaciones, proyección y calidad percibida), caracterizadas de acuerdo con 9 factores formados por 33 indicadores y más de 125 preguntas a las que dar respuesta. Ello se ha combinado con una investigación de mercado respondida por CIOs, responsables de servicios tecnológicos y CISOs de más de 60 empresas españolas o multinacionales con operaciones de tecnología presentes en España. Estas son, por orden alfabético, las compañías analizadas:

Accenture. Proveedor muy consolidado y con altas capacidades y prestaciones en la línea de ciberseguridad. La adquisición de compañías especializadas a lo largo de los últimos años le ha permitido posicionarse y fortalecerse como una de las compañías más relevantes del mercado.

Atos. Cuenta con una dilatada trayectoria en el ámbito de la Ciberseguridad, dispone de uno de los portfolios más completos end-to-end, combinando su rol también como fabricante de productos de ciberseguridad y su apuesta por el I+D.

Ackcent. Compañía altamente especializada en ciberseguridad, gracias al gran conocimiento técnico de sus ingenieros. Su estrategia cloud native le otorga una diferenciación en el mercado. Gran foco en crecimiento y expansión a nivel internacional dentro de su plan estratégico.

Capgemini. La apuesta de la compañía por la línea de Ciberseguridad es ambiciosa y con alta proyección. Capgemini ha desarrollado un portfolio completo de servicios a medida y modelos de seguridad gestionada con foco en el mercado español y con capacidades a nivel global.

Deloitte. Cuenta con un portfolio de servicios muy completo y de alta diversidad en materia de ciberseguridad. Su centro de excelencia ECC (EMEA Cybersphere Center), ubicado en Madrid y con equipos técnicos cualificados, le permite ofrecer con garantías todo el portfolio de sus servicios.

EY. Ha realizado una importante apuesta e inversión por consolidar la línea de ciberseguridad, con un crecimiento en FTEs y clientes en los últimos años. Dispone de 2 Advanced Security Labs a nivel local con servicios de detección y respuesta a incidentes, gestión de identidades, protección de datos y resiliencia.

IBM. Actor muy relevante en el mercado por su condición de fabricante y proveedor de servicios. Dispone de un portfolio completo y diversificado en ciberseguridad, con grandes capacidades a nivel global y destacando su enfoque de co-innovación con clientes denominado IBM Garage.

Minsait-SIA. El rediseño de su offering en Ciberseguridad y la integración Minsait-SIA posiciona a la empresa como un actor relevante en el mercado español de la ciberseguridad. Está apostando por seguir reforzándose con crecimiento inorgánico habiendo adquirido algunas compañías especialistas en el mercado europeo.

S21SEC. Es una de las primeras empresas en dedicarse de manera íntegra a la Ciberseguridad de manera exclusiva. Ha ganado también capacidades tras la adquisición por parte del fondo SONAE y la fusión con Nextel.

Telefónica. Un proveedor a tener en cuenta por sus altas capacidades en la línea de Ciberseguridad y como una de las líneas principales dentro de Telefónica Tech. Dispone de una elevada experiencia en el sector, una sólida imagen de marca en materia de ciberseguridad y un portfolio muy completo.

 


Información relacionada:

Infografía – 8 consejos para proteger tu vida digital

Los 20 trabajos que más crecerán en la próxima década

Numerosos estudios lo demuestran y muchos reinciden en la misma idea: el sector tecnológico y digital va a tirar del carro de la creación de empleo en los próximos años. Se requieren habilidades digitales avanzadas y aquellos que no las posean o no las adquieran a tiempo estarán lejos de los trabajos mejor remunerados y considerados.

Pero, quizás por esa misma razón, lo digital no es ya tanto un sector, sino una habilidad transversal que se requerirá en todos los campos ocupacionales. Se necesitarán científicos de datos, cierto, pero aún más enfermeros, dado el inevitable aumento de la edad que la generación de “babyboomers” sufrirá en la próxima década.

Incluso las profesiones más manuales verán una fuerte evolución de las competencias requeridas por sus trabajadores. En España, el sector con mayor déficit de personal en la actualidad es la construcción. De cara a los próximos años, preocupa especialmente la escasez de los nuevos perfiles que están demandando las nuevas formas de construir. Nuevas técnicas que tienen que ver con la eficiencia energética, con el uso de nuevos materiales y con el diseño de edificios conectados y seguros.

Otro de los sectores tradicionales cuyos profesionales necesitarán una fuerte re-cualificación tecnológica será el sanitario. Todos los profesionales de la salud deberán poseer un conocimiento básico que les permita interaccionar y entender la Inteligencia Artificial. Entre esos conocimientos básicos, los fundamentos de la IA, pero también una mejor comprensión de los conceptos matemáticos que hay detrás de esta tecnología, de la procedencia de los datos de salud e, incluso, cuestiones éticas y legales asociadas con el uso de la IA para la salud.

En Estados Unidos, según estimaciones del U.S. Bureau of Labor Statistics, nueve de los veinte trabajos que más crecerán en la próxima década están relacionados con el sector de la salud. De la cualificación –determinada en gran parte por sus capacidades digitales- de este grupo de profesionales, dependerá en gran parte su sueldo, que puede variar entre los 104.280 dólares anuales que percibe hoy un manager de servicios médicos a los 27.080 que cobra un cuidador.

trabajos próxima década

Los trabajos que más crecerán

Pero, ¿cuáles son los trabajos que más crecerán en la próxima década? Muchos de ellos están relacionados directamente con la sostenibilidad, una de las premisas sobre los que se están desarrollando los fondos europeos Next Generation y que es también una prioridad para todas las empresas que forman parte de DigitalES.

En concreto, el trabajo que más podría crecer en los próximos años es el de técnico de aerogenerador o turbina de viento. Según datos del U.S. Bureau of Labor Statistics recogidos por Visual Capitalist, esta ocupación crecerá un 68,2% hasta el año 2030. Por su parte, la demanda de instaladores de placas solares fotovoltaicas crecerá un 52,1%, convirtiéndose en la tercera profesión con más crecimiento. Son previsiones específicas de Estados Unidos que, si bien no son completamente extrapolables a España, sí que evidencian unas tendencias comunes en el ámbito del trabajo.

La segunda profesión que más crecerá es la de enfermero, una ocupación que, además, adquiere una importancia capital a medida que la esperanza de vida continúa aumentando. Solo en Estados Unidos, se calcula que se necesitarán cerca de 115.000 enfermeros más en el año 2030.

Nada comparable, eso sí, a la demanda de cuidadores personales. Aunque “solo” es la séptima profesión que más crece (un 35,4%), requerirá del concurso de 1.130.000 nuevos profesionales ante la fuerte demanda que se prevé por el envejecimiento de la población.

Empleo Porcentaje crecimiento 2020-2030 Nuevos empleos 2020-2030 Sueldo medio, año 2020 ($)
Técnico de aerogeneradores 68,2% 4.700 56.230
Enfermeros (Nurse practiotioner) 52,2% 114.900 111.680
Instaladores de placas solares 52,1% 6.100 46.470
Estadísticos 35,4% 14.900 92.270
Asistentes de fisioterapeutas 35,4% 33.200 59.970
Analistas de ciberseguridad 33,3% 47.100 103.590
Cuidadores personales 32,6% 1.129.900 27.080
Managers de servicios médicos 32,5% 139.600 104.280
Científicos de datos 31,4% 19.800 98.230
Asociados médicos 31% 40.100 115.390
Epidemiólogos 29,6% 2.300 74.560
Expertos en Logística 29,5% 56.400 76.720
Logopedas 29,5% 45.400 80.480
Entrenadores de animales 28,5% 17.200 31.520
Programadores 27,4% 7.400 57.740
Consejeros genéticos 26,2% 600 85.700
Operador de crematorio 24,8% 19.900 28.420
Analistas de investigación de operaciones 24,6% 25.600 86.200
Actuarios 24,5% 6.800 111.030
Profesores del área sanitaria 24,3% 58.900 99.090

Las profesiones más tecnológicas

Los trabajos relacionados directamente con la informática y las matemáticas experimentarán también un alto crecimiento. Así, habrá una fuerte demanda de empleos relacionados con la ciberseguridad y el desarrollo de software, en parte debido al aumento de personas que trabajan desde casa.

Entre las profesiones que más crecerán se encuentran los estadísticos (35,4%); los analistas de seguridad de la información (33,3%); los científicos de datos (31,4%); programadores (27,4%); los analistas de investigación de operaciones (24,6%) o los actuarios (24,5%).

actuarios

Las profesiones que se pierden

La proyección también hace referencia a los empleos que se perderán en la próxima década. Ocho de los veinte en mayor declive tienen que ver con las labores administrativas de oficinas. Tareas que, en muchos casos, podrán ser realizadas con eficiencia por algún tipo de inteligencia artificial a menor coste.

En esta década, se precisarán un 36% menos de mecanógrafos; un 22,5% menos de ‘data entry keyers’ (los encargados de verter información en una base de datos); un 21% menos de auxiliares administrativos; un 18,7% menos de secretarios ejecutivos y un 17,5% de trabajadores de encuadernación y acabado de impresión.

Otras profesiones que reducirán su demanda, como consecuencia también de una mayor digitalización y concienciación sostenible, son la de operador de reactores nucleares (un 32,9% menos); vigilantes de parking (un 35% menos) y otros como relojeros, zapateros, vendedores puerta a puerta y operadores de teléfono y de centralita.

trabajos que se pierden

 

¿Son seguros los cajeros automáticos en tiempos de Covid?

En 1967 abría en Londres el primer cajero automático de la historia. Era en una oficina de Barclays y el primero en sacar dinero –en una foto que quedó para la posterioridad- era el actor Reg Burney, una de las estrellas de la época.

El inventó funcionó desde el primer día. Permitía sacar dinero a cualquier hora y combatir la rigidez del horario de oficina. Ganaba el cliente, que podía disponer de efectivo en  cualquier momento, y ganaba el banco, que podía dedicar más recursos a ganar dinero sin necesidad de hacer labores de caja.

cajero automático

El invento fue obra de un escocés que trabajaba en Londres pero vivía en el campo. Solía ir los sábados al banco (que abría de 9 a 12:30h) para sacar el dinero de la semana. En 1965 llegó tarde por un minuto y empezó a preguntarse cómo obtener dinero sin necesidad de ser atendido por una persona.

La respuesta la obtuvo de las máquinas expendedoras de chocolatinas, que ya funcionaban por entonces.  Pero hacía falta un método mecánico para hacerle entender a la máquina que quien tenía delante era un cliente y no alguien que quisiera obtener dinero gratis. Y para ello empleó, antes de la aparición de las tarjetas, cheques impregnados en carbono 14.

John Stephen-Barrow, que así se llamaba el inventor, fue también el artífice de otro de los métodos de seguridad más usados en nuestros días: el código PIN. El código de cuatro números se ha convertido en universal, pero no se debe a ningún motivo técnico. Shepherd-Barron pensó que era capaz de recordar seis cifras de su número de soldado, pero al consultarlo con su mujer ella le respondió que era capaz de recordar cuatro.

Hoy el cajero automático se ha extendido por todo el orbe. A España llegaron en 1974 –el primero se instaló en Toledo- y hoy es el primer país europeo y segundo del número  en número proporcional por habitante, solo por detrás de Japón.

cajeros automáticos

¿Pero… son seguros y relevantes a día de hoy los cajeros automáticos? ¿Ha  llegado ya su fecha de caducidad?

Un reciente informe elaborado por Auriga desvela que los cajeros son el eslabón más débil de la seguridad bancaria. Los ciberdelincuentes se han dado cuenta de que las redes de cajeros automáticos suelen ser uno de los puntos frágiles de la infraestructura de seguridad de un banco. Una de las principales razones es que en ellos hay mucho hardware y software heredados porque es muy caro y difícil de actualizar.

Alrededor del 40% de los cajeros automáticos de todo el mundo utilizan sistemas operativos antiguos, lo que hace que sean aún más vulnerables a las violaciones. Además, uno de los principales vectores de ataque a los cajeros automáticos es la capa XFS, el middleware estándar diseñado para permitir que el software de varios proveedores se ejecute en los cajeros automáticos de los fabricantes y en otros equipos.

Cuando se trata de cajeros automáticos, las soluciones antimalware no son suficientes, ya que están diseñadas para proteger los PC y los portátiles. Los cajeros automáticos son dispositivos de infraestructura crítica que deben estar disponibles 24 horas al día, 7 días a la semana, por lo que requieren una mayor protección y un enfoque diferente.

La mejor opción –aseguran los expertos- es una solución de seguridad centralizada, que proteja, supervise y controle las redes de cajeros automáticos y, de este modo, gestione toda la red de activos bancarios desde un mismo lugar y tome las medidas adecuadas, como impedir que el malware se propague por la red desde los cajeros automáticos infectados.

Lo cierto es que, aunque son las empresas y los propios bancos quienes deben garantizar la ciberseguridad de sus cuentas, los usuarios se están alejando cada vez más de los cajeros automáticos. Aunque impulsado principalmente por la pandemia, las cifras son contundentes: el número de retiradas de efectivo en cajeros automáticos ha caído un 52% respecto al año pasado.

pago con tarjeta

Los números hacen referencia al periodo más duro del confinamiento y es más que probable que mejoren, pero reflejan ya una tendencia en el consumidor español: un menor apego por el dinero físico y una mayor confianza en los medios electrónicos.  Según datos de Nielsen, el 54,1% de los pagos realizados entre marzo y mayo fueron con tarjeta, cuando antes de la pandemia este porcentaje era del 38,5%.

Las tiendas han vuelto a abrir, pero los clientes no abandonan el plástico. Los gobiernos de 31 países han contribuido a ello aumentando los límites de los pagos sin contacto (y las empresas de tarjetas presionan para lograr nuevos aumentos). Los de Visa y Mastercard, dos redes de tarjetas que representan el 94% de las transacciones tramitadas fuera de China, aumentaron en más del 40% en el primer trimestre de 2020 en comparación con el mismo período de 2019.

Y hay vida más allá de las tarjetas. Aumentan los pagos con Bizum, con PayPal, con los smartwatches y por supuesto con los móviles. Amazon está probando ya un sistema de reconocimiento de la palma de la mano. Los pagos por QR están a la orden del día, y los pagos biométricos, que identifican el rostro del cliente y te permiten pagar sin necesidad de utilizar las manos, son ya una realidad.

¿Es el fin de la era de los cajeros? Es pronto para saberlo, pero desde luego es tiempo de reforzar su seguridad. Pese a la pandemia, que llevará aparejada una reducción de los presupuestos en TI, en 2021 crecerá la inversión en ciberseguridad. Ya este año creció del 23% al 26% en el caso de las pymes, y del 26% al 29% en las grandes empresas y el 71% de las organizaciones también espera que su presupuesto de ciberseguridad crezca aún más en los próximos tres años, según datos de Kaspersky.  Importante para todos, para los cajeros se ha convertido en una prioridad absoluta. Cuestión de supervivencia.

Por qué es tan importante para España acoger el Centro de Ciberseguridad Europeo

Fue en los primeros días de 2019 cuando Alicia Richart, directora general de DigitalES, conoció en un despacho de la Dirección General de la Comisión Europea responsable de la gestión de la Agenda Digital (DG Connect) los planes sobre el Centro de Ciberseguridad Europeo. A partir de ahí, consciente de que se trataba para España de una gran oportunidad para adquirir además peso político y geopolítico, inició una ronda de conversaciones para lograr que el nuestro fuera el país elegido como sede del Centro Europeo de Ciberseguridad .

A partir de ese momento, se sucedieron los contactos con las instituciones nacionales y europeas para poder contar con este centro, lo que nos permitirá ser un Estado referencia en un área en continuo crecimiento. Los datos son concluyentes: la ciberseguridad ha experimentado un crecimiento en volumen de ingresos del 7% durante 2019 y se espera que aumente un 15% a lo largo de 2020.

La ciudad de León, donde se podría ubicar el centro, es ya un importante núcleo en materia de tecnologías de la información y ciberseguridad y acoge la sede del INCIBE, el Instituto Nacional de Ciberseguridad, que el año pasado gestionó más de 100.000 incidentes relacionados con los ciberataques.

Incibe León

El Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad (European Cybersecurity Industrial, Technology and Research Competence Center), gestionará una inversión de 2.000 millones de euros entre los años 2021 y 2027. Todo ello convertiría a la ciudad europea en un “hub tecnológico” de primer orden, ya que desde allí se coordinarían todas las políticas de ciberseguridad de la Unión Europea.

Y no solo eso. Crear un centro de ciberseguridad líder a nivel europeo generará un ecosistema de empresas entorno a esta materia que solo va a crecer. Es una oportunidad única para apostar por un área que va a experimentar un fuerte crecimiento.

Aunque también está pendiente la reubicación del Centro Europeo de Predicción Meteorológica, que podría pasar de Londres a Barcelona, cabe resaltar que la ciberseguridad es un área a la que se augura un crecimiento exponencial en los próximos años.

Más aún tras la rápida implantación del teletrabajo provocada por el coronavirus. Durante el estado de alarma, el teletrabajo aumentó del 5 al 34%, pero los ciberataques se han multiplicado por tres.  Y ya era una tendencia al alza: en el primer trimestre de 2020 el número de ciberataques había aumentado un 40 % a nivel mundial, según datos de IBM.

Todo ello hace que, en la actualidad, no se cubran las plazas de trabajo relacionadas con la ciberseguridad. Se calcula que el próximo año 1,8 millones de puestos de trabajo relacionados con éste área quedarán vacantes en todo el mundo, 350.000 de ellos en Europa.

ciberseguridad

Las principales empresas tecnológicas ya se han puesto manos a la obra para afrontar este escenario. Siemens y Telefónica han firmado un acuerdo para ofrecer soluciones integrales de ciberseguridad a otras empresas a lo largo de toda su cadena de valor.

En la esfera internacional Siemens ha creado el ‘Cibersecurity Charter of Trust’, una alianza que impulsa y fomenta las buenas prácticas en el ámbito de la ciberseguridad, mientras que Telefónica ha potenciado estos aspectos a través de ElevenPaths, la compañía de ciberseguridad parte de la nueva Telefónica Tech.

Vodafone ofrece a las pymes su solución avanzada de conectividad segura a través de una red privada virtual (VPN) para mejorar el trabajo colaborativo y la seguridad en las telecomunicaciones entre sedes y con empleados que teletrabajan.

Por su parte, Huawei considera la ciberseguridad como “la máxima prioridad de la compañía”. En este sentido, la empresa cuenta con  la certificación de más de 48 equipos con el estándar Common Criteria a nivel mundial, 25 de ellos en España.

La urgencia de adecuar la legislación

El incremento de los ciberataques pone también otro debate sobre la mesa: la urgencia de adecuar la legislación. En Europa, la estrategia vigente data de 2013, una fecha lejanísima cuando hablamos de un entorno tan cambiante y dinámico como el de la ciberseguridad.

Muchos expertos urgen ya por una revisión de la normativa NIS (aprobada en 2016) que introduzca también nuevos fenómenos como Internet of Things, poco desarrollados hace 7 años y vitales hoy para asegurar la seguridad de todas las conexiones.

La UE ha comenzado a trabajar en esa revisión de la directiva NIS que, previsiblemente, vendrá acompañada de más medidas en el corto plazo para impulsar una ciberseguridad común europea que se hace hoy más necesaria que nunca. Que pueda ser coordinada y dirigida desde España es también una posibilidad cada vez más cercana y, desde luego, vistos los datos y la proyección de este área, tremendamente valiosa.

ley ciberseguridad
Legislación europea y española sobre Ciberseguridad. Elaboración propia DigitalES.

La Ciberseguridad en jaque

Solo en los dos primeros meses de 2018 hubo más incidentes de Ciberseguridad que en todo 2014. 2017 fue el año en el que España registró más ciberataques desde que existen datos, cerca de 135.000. Según datos del Instituto Nacional de Ciberseguridad (INCIBE), el número de ataques fue de 115.000 en 2016, 50.000 en 2015 y 18.000 en 2014.

Los datos no dejan opción a la duda: los ciberataques no dejan de crecer. La mayoría han sido intentos de escaneo de red o ataques con programas maliciosos para dañar equipos informáticos, pero no solo se dirigen contra las grandes empresas. Todos estamos expuestos a sufrir ataques cada vez más sofisticados y frecuentes que ponen en peligro nuestro negocio, reputación, privacidad y confianza.  

En contra de lo que se pueda pensar, las empresas no siempre son atacadas para obtener información confidencial o “espiar” su negocio. La fuente de brechas de seguridad más importante es el llamado insider threat o amenaza interna, en la que una persona con acceso legítimo a información, sea por descuido, negligencia o malicia, abusa de ese acceso legítimo y genera la brecha de seguridad.  

Ejemplos sencillos de esto pueden ser el envío de documentos confidenciales a la cuenta de correo personal para trabajar desde casa, o el empleado que decide copiar información de la empresa antes de abandonarla o incluso el que publica alguna información por despecho, amparándose en algún método de anonimato.

Cuando ocurre un ataque, no sólo hablamos de daño económico, sino también de la reputación -cuando afecta a la confianza que el entorno tiene en la empresa-, o de otros valores intangibles, como la ventaja competitiva o la propiedad intelectual. 

La seguridad cien por cien no existe. Si aceptamos que, tarde o temprano, tendremos una brecha en nuestra seguridad, el planteamiento más acertado es desarrollar la ciber-resiliencia, definida como la capacidad de retornar ante cualquier ataque o incidente a un estado de operaciones normal.   

¿Qué hacer por tanto en un momento en que las ciberamenazas no dejan de crecer y se multiplica el número de dispositivos a los que podemos ser atacados? No olvidemos que las apps son muchas veces el punto de entrada de los atacantes y que presentan muchas vulnerabilidades. No es desde luego una respuesta sencilla, pero si podemos aportar al menos algunas pautas muy simples para tratar de reforzar la Ciberseguridad. 

Algunos consejos sencillos para protegerse:

• No reutilices contraseñas, y usa segundos factores de autenticación.

• Lee bien lo que aceptas. Si das ok por defecto a las opciones de privacidad, por ejemplo, de las redes sociales, puedes estar exponiendo más información de la que eres consciente. 

• Actualiza tus dispositivos y aplicaciones; si no, puedes estar expuesto a vulnerabilidades.

• No olvides cerrar tu sesión, usa siempre contraseñas seguras y cámbialas periódicamente. 

• Ojo con la publicidad intrusiva. Un “aceptar” puede acabar en la instalación no voluntaria de un software malicioso. 

• En esa misma línea, cuidado con los adjuntos de los mails.

• La forma más segura de no ser víctima de phising es no responder nunca a solicitudes de información personal como número de tarjetas de crédito o sus contraseñas a través de correo electrónico o sms. Las entidades u organismos no solicitan este tipo de datos por esta vía. 

• Para llegar a un sitio web, teclea la dirección en la barra de direcciones, no entres por enlaces procedentes de otro sitio.  

10 enseñanzas que nos dejan los ciberataques para mejorar la seguridad informática

Los antivirus tradicionales no son suficientes para garantizar la seguridad de nuestros equipos. Así de convencido se mostró Nikolaos Tsouroulas, Head of Cybersecurity Product Management de11Pahts – Telefónica, en la última edición de #ForoIn organizada por DigitalES, donde se abordó la problemática derivada de los fallos y brechas detectados en la Ciberseguridad.

El ponente analizó diferentes incidentes (Petya, Wannacry, Mirai) para extraer aprendizajes que permitan afrontar con éxito uno de los riesgos más probables y con mayor impacto a los que nos enfrentamos en la actualidad. En esta línea, aseveró que los antivirus no han dejado de ser necesarios, pero que se deben complementar con otras medidas de seguridad. “Es como una casa a la que le pones puertas y ventanas, pero también refuerzas con cámaras y otros elementos de seguridad”, ejemplificó.

Tsoroulas analizó las motivaciones de los ataques y desterró el mito del ciberactivismo como causa principal de los incidentes. “El hacker de garaje desaparece, hoy son organizaciones criminales avanzadas las que atentan contra la seguridad de los dispositivos”, aseguró.

Esta seguridad, añadió, es especialmente crítica en las apps, donde se han encontrado hasta 80 millones de vulnerabilidades, un millón de las cuales pueden ser críticas. Por ello, la seguridad debe introducirse lo más pronto posible en el ciclo de desarrollo de cualquier producto o servicio. 

El Foro se completó con la intervención de Vicente Segura, Head of IoT Security Products, 11Paths – Telefónica, quien destacó que la seguridad es a día de hoy es la principal barrera para acometer proyectos en el Internet de las Cosas. “La seguridad de un sistema es igual a la de su eslabón más débil, por eso es necesario concienciar a los empleados y vigilar la cadena de suministros”, aseveró.

Para los apasionados del tema, más de 120 minutos de debate sobre Ciberseguridad que pueden seguirse íntegramente en este video.  

Los diferentes incidentes producidos durante los últimos años han dejado una serie de enseñanzas que Tsoroulas resumió en 10 puntos, y que señaló como básicas para defender una empresa de cualquier ataque.

1. Cualquiera puede crear un Wannacry. El incidente más mediático del pasado año fue obra de un “fontanero” a partir de una vulnerabilidad conocida. 

2. La importancia de arreglar los basics. La seguridad se construye a partir de un inventariado de bienes, el parcheo y el entrenamiento.  

3. Actualizar tu antivirus con un EDR. Endpoint Detection and Response permite detectar atacantes asumiendo que las brechas existen. 

4. La Ciberseguridad deber estar representada en el consejo de Administración de una empresa. Es un elemento clave para el desarrollo de negocio. 

5. Protegerse de ataques dirigidos con una estrategia post-ejecución. 

6. Utilizar y compartir inteligencia de amenazas. 

7. Adoptar metodología secure devops. 

8. Controlar nuestra huella digital con el servicio de Digital Risk Monitoring. 

9. Gestionar el riesgo de terceros con herramientas de scoring y rating de Ciberseguridad. 

10. Completar nuestro marco de gestión de riesgo con un ciberseguro.