Seguridad en el ciberespacio, un desafío para las empresas

Ahora mismo los términos seguridad en el ciberespacioy ciberseguridad están de moda. Aunque llevamos más de 50 años hablando de este tema. Todo nace hace muchos años, cuando el departamento de defensa americano decide crear una red interconectada con universidades americanas para intercambiar información. De ahí hemos llegado a lo que tenemos hoy día, el ciberespacio, este gran elemento intangible. Lleno de información, de ceros y unos, que nos ha brindado muchas oportunidades. Pero también muchas vulnerabilidades, pues al final el ciberespacio es un espacio común global que es vulnerable y de ahí nace toda la filosofía de la ciberseguridad.

Esta área que es importante a distintos niveles, siempre la ligamos al ámbito más técnico y a la protección de los sistemas. Pero, creo que ya desde hace tiempo hemos subido un escalón que exige ver y trabajar la ciberseguridad desde un enfoque mucho más multidisciplinar. Que abarque esos aspectos técnicos que son muy importantes. Además, que tenga en cuenta que la ciberseguridad tiene componentes importantes en la protección de todo el patrimonio tecnológico. Y sobre todo que impacta sobre nuestra economía, política y sociedad. Con ello, nos podemos imaginar la importancia que tiene esta área.

La contribución del sector privado en esta materia, para mantener el ciberespacio más seguro. Es fundamental ya que al final éste controla muchas infraestructuras que dan servicios esenciales en España. De las cuales dependemos totalmente. Y, por supuesto, desde la sociedad son necesarias las asociaciones como la nuestra. Women for Cybersecurity Spain, que vienen a defender no sólo cuán importante es la ciberseguridad. Sino también cuán importante es buscar el equilibrio y la diversidad de los profesionales de la ciberseguridad.

Yo creo que son conceptos muy amplios pero la ciberseguridad, como decía. Va más allá de los aspectos técnicos y puros. Que escuchamos en el día a día como los ciberataques y las vulnerabilidades de la tecnología.

Yo creo que nos quedamos cortos hablando de cuáles son los incidentes o ciberataques más comunes. Hay que tener en cuenta la sofisticación y el crecimiento de estos ciberataques. Que cambian día a día, los de ayer no son los de hoy y por supuesto mucho menos los de mañana. Igual que nosotros invertimos en la protección, prevención y anticipación ante estos ciberataques. Los malos también invierten en ello y sus capacidades de diseño de ciberamenazas son cada vez más complejas.

Por lo tanto, yo creo que haría esa catalogación utilizando la siguiente pregunta. ¿A qué se enfrenta el ciberespacio con sus vulnerabilidades?. Y al final se enfrenta a estas ciberamenazas y por supuesto también a estas cosas que a muchas personas se les olvida: el uso ilícito y malicioso del ciberespacio. Como os digo, para cada uno de estos casos se observa el crecimiento. Pero, además, añadiría que en cada caso lo común no sería quizás lo más importante, por eso es relevante tener en cuenta el impacto y la peligrosidad.

En la catalogación que se debe hacer en cuanto a la importancia de los ciberataques. Podemos decir que se producen miles y millones de incidentes que sufrimos día a día. Pero, en esa catalogación los más preocupantes están relacionados con lo que se enfrentan los estados como son el ciberespionaje, el ciberterrorismo y la ciberguerra. En estos últimos días por desgracia estamos sufriendo una amenaza en este sentido.

Los que están más ligados al ciudadano y a las empresas son las actividades. Relacionadas con el cibercrimen, el crimen organizado en el ciberespacio. Si antes nos robaban la cartera en la calle, ahora nos intentan robar la información. Esos datos que tenemos en el ciberespacio, los cibercriminales intentan monetizar estas acciones y, buscan robar dinero. En ese sentido, encontramos el phishing, donde te mandan un link pidiendo que introduzcas tus datos para luego robarlos.

Otra de las que más está arrasando es el ransomware con el que cifran toda tu información. Tus discos duros y después piden un rescate por recuperarla. Pues eso está ligado a acciones de todo tipo, ya sea desde el punto de vista del ciberespionaje a acciones más dirigidas al ciudadano.

¿Cuántas PYMES hemos visto que han sufrido este tipo de ataques y han perdido toda su información?. Y no les ha quedado otra que cerrar la empresa, o al ciudadano que cuando le cifran su información, se queda sin sus fotos o sin su firma digital. Es complejo decir cuáles son los más comunes porque quizás no sean los más importantes, pero en este mundo nos movemos y repito que:. “Los de ayer no son los de hoy ni serán los de mañana”. Cada vez son más complejos, están dirigidos y son complicados. Por ello, es fundamental que los ciudadanos y las empresas puedan estar protegidas mediante la aplicación de medidas de seguridad en el ciberespacio.

Yo haría alusión a que la amenaza, la vulnerabilidad y el riesgo vienen de una manera relacionada con las características del ciberespacio. Como apuntaba al principio el ciberespacio es vulnerable, es un espacio común global, abierto, casi infinito, incluso anárquico, donde la regulación es muy débil. Está muy tecnificado, interconectado y posibilita la amplificación y el paso de cualquier ataque.

Esa vulnerabilidad hace que tengamos acciones diferentes que aprovechan esa globalidad. Del ciberespacio para lanzar estas ciberamenazas que. Al final, son esas disrupciones o manipulaciones maliciosas, que acechan a elementos tecnológicos. Y, por supuesto, abarcan un gran abanico de acciones que se caracterizan por su diversidad.

Luego están esas acciones que utilizan el ciberespacio como medio para realizar actividades ilícitas. Como el ciberespionaje o la cibercriminalidad. Al final de todo estas son amenazas que si se materializan se convierten en un riesgo para cualquier tipo de organización. La vulnerabilidad al final es una especie de agujero. La tecnología no se ha desarrollado con medidas de seguridad y en este sentido hemos ido avanzando sin tomar en cuenta que es un componente esencial y transversal de toda la tecnología, incluso del ciberespacio. Nos encontramos agujeros donde los malos de alguna manera lanzan esas ciberamenazas y aparece el riesgo de que se pueda manipular nuestra tecnología, de una manera o de otra.

Los atacantes siempre van a buscar esos agujeros, esas vulnerabilidades. Aprovechan para entrar y lanzar esos ciberataques y, en este caso, robar información sensible o clasificada.

Yo creo que es uno de los componentes importantes, es decir la formación continua nos ayuda a tener esos conocimientos acreditados. En el mundo de la seguridad en el ciberespacio. Hay un gran abanico de conocimientos de los que debemos estar actualizados. Por una parte, está el autoaprendizaje, es decir el seguir aprendiendo cada día en el ámbito de la ciberseguridad y en todas las disciplinas que la ciberseguridad cubre. Como apuntábamos antes, posee componentes técnicos importantes pero también tiene componentes de otro tipo. Por ejemplo el impacto económico que puede tener un ciberataque o como puede ser la gestión de esos riesgos, vulnerabilidades y amenazas a través de la planificación y definición de estrategias.

Se puede dar el caso, que ya nos haya sucedido de que un ciberataque se pueda convertir en una crisis de ciberseguridad. ¿Cómo gestionamos esta situación?, ¿Cómo mantenemos la continuidad de nuestro negocio?. La formación continua es importante por supuesto, pero también tiene ese elemento de ser inquietos, de seguir aprendiendo y el autoaprendizaje. Al final, las actividades que se desarrollan para mantener la seguridad en el ciberespacio son muy amplias. Como digo cambian día a día, porque es un área muy activa que muta rápidamente.

Para estar al día en ciberseguridad debes formarte, investigar. Y leer publicaciones de grandes expertos que participan y comparten su conocimiento. Debes seguir aprendiendo en todas las disciplinas que se relacionan con la ciberseguridad. Por lo cual podemos ver que tiene muchos componentes, es un gran puzzle. Para ser experto en ciberseguridad hay que saber de muchas cosas. Al final los expertos están por ámbitos: técnicos, estratégicos, operacionales o profesionales transversales. Pues, el mundo de la ciberseguridad es muy amplio, tiene muchos condicionantes para estar actualizado en sus temas.

La empleabilidad que va a generar mantener la seguridad en el ciberespacio está ya ahora mismo muy demandada. Actualmente, se están cubriendo todos los puestos que se están solicitando sobre todo en el sector privado. Porque en el sector público es mucho más complejo, y luego por los sueldos que son menos competitivos. Entonces, lo que es la generación de empleo en esta área. Está ligada a todos los perfiles o dimensiones que esta área implica que como hemos visto son muchas. Pero, a pesar de todo, no se está cubriendo toda la demanda, con lo cual en los próximos años se irán generando. Cada vez más puestos de trabajo para profesionales que entiendan la ciberseguridad desde todas las perspectivas.

Y eso no sucede no solo en España, es un problema a nivel global, hemos estado muy centrados en la explosión tecnológica, es decir, en crear tecnología apartándose de la ciberseguridad. Eso debe corregirse y, además, debe hacerse un trabajo de concienciación que es muy necesario. En el futuro la empleabilidad de la ciberseguridad será muy amplia y en muchos perfiles diferentes.

Como les comentaba anteriormente, esta iniciativa nace de la fundación europea, que a su vez es apoyada por la comisión europea y la organización ECSO. Esta última es una organización que aglutina al sector privado para avanzar en materia de ciberseguridad y dar de alguna manera recomendaciones al ámbito político sobre cómo avanzar en materia de ciberseguridad.

Y una de las cosas que se nos pide y está dentro de nuestros objetivos, es dar visibilidad a las mujeres que se dedican a la ciberseguridad. Sobre todo, de alguna manera, hay que mostrar roles para que vean que el mundo de la ciberseguridad no se queda solo en un ámbito técnico que parece que muchas veces está alejado. Por lo tanto, una de nuestras metas es atraer y hacer divertida esta área, para que los estudiantes de carreras técnicas no vean esto como algo difícil que quizás no les apetece. Tenemos el objetivo de darle visibilidad para intentar “enganchar” con el fin de que más personas puedan profesionalizarse en este campo.

La Asociación al final intenta canalizar todo esto con muchas otras organizaciones, y universidades, para de alguna manera darle visibilidad a la mujer. Y a la importancia que tiene la seguridad en el ciberespacio y a qué te puedes dedicar si te haces profesional en esta área. Buscar además ese equilibrio de género, es uno de los fines fundamentales por los cuales se crea esta Asociación. Porque los datos nos indican que las mujeres no eligen carreras de ciberseguridad. Ya sea por los roles, por desconocimiento o porque les parece menos divertido, eso es lo que muchas opinan.

Este equilibrio lo buscamos con redes de trabajo, en conjunto con otras asociaciones, con universidades con la óptica de la diversidad. Porque al final el conseguir de alguna manera este equilibrio de género no es solo responsabilidad de las mujeres. Debe tener también un compromiso de los hombres, de la sociedad, en este camino estamos, en el de favorecer, de atraer al mundo de la ciberseguridad. Hacer que en esta área se investigue, se emprenda y se enseñen los roles, para que cada vez más mujeres puedan estar posicionadas en puestos de grandes responsabilidades en materia de ciberseguridad.

Que el aspecto técnico también sea atractivo para las mujeres. Que no son estos roles que nos enseñan en la televisión, donde vemos estos chicos con capuchas que están metidos en un sótano todo. El día frente a un ordenador, que la seguridad en el ciberespacio es mucho más que eso. Y es nuestra responsabilidad, por eso apoyamos crear el capítulo español de Women for Cybersecurity para enseñar todo esto a niños y estudiantes. Para apoyar e ir de la mano de profesionales, es otra de las actividades que venimos desarrollando desde hace tiempo, y que todo esto tenga su impacto en la sociedad. Pues como te decía, en un mundo quizás todavía no está lo suficientemente equilibrado el ámbito de la ciberseguridad.