Se celebraba hace unos días la jornada anual de Secure&IT que, en esta ocasión, llevó por título “Ciberresiliencia, un paso más en la ciberseguridad”, en la que Vicente González Pedrós, experto en ciberseguridad en la Agencia de la Unión Europea para la Ciberseguridad (ENISA), habló de la Cyber Resilience Act (CRA), “un sello que garantiza que los productos de ciberseguridad que se venden en Europa cumplen unos requisitos mínimos” porque, como aseguraba, no se trata de tapar todos los agujeros, porque es imposible, “pero sí de mejorar los estándares europeos”.
El discurso de Francisco Valencia, CEO de la compañía, se iniciaba con un mensaje de Pedro Sánchez, conseguido gracias a una herramienta de 40€ y varias tardes de trabajo, que dejó claro que es a este tipo de realidades a las que nos vamos a enfrentar. La apuesta, después de muchos años hablando de ciberseguridad, es la ciberresiliencia, aseguraba el directivo, porque los ataques no dejan de sucederse, los ciberdelincuentes se han organizado y el negocio del cibercrimen mueve ya el 1,5 por ciento del PIB mundial, el doble que tráfico ilegal de armas, drogas y trata de blancas, juntos en el mundo. La ciberdelincuencia no solo afecta al dinero de las empresas, sino que afecta a las personas, a la sociedad y al futuro, “y las empresas tenemos la responsabilidad ética de proteger a las personas, a la sociedad, y al futuro”, aseguraba.
“La ciberresiliencia no habla de medidas técnicas, habla de medidas organizativas”
Los conflictos se gestionan detrás de un ordenador. No solo se lanzan campañas de desinformación, sino a través ce ciberataques, y se está dando el caso de que empieza a haber código malicioso muy potente, muy destructivo, repartido por la darkweb. Recordaba también el CEO de Secure&IT que en algunas regiones del mundo es más fácil acceder a Internet que a la comida o al agua, y eso hace que muchas personas, para poder vivir, se adentran en el mundo de la ciberdelincuencia.
Mencionó durante su discurso Francisco Valencia los principales actores del cibercrimen mencionando no solo a los atacantes solitarios, los estados o el crimen organizado, sino a los insiders; “los insideres sois vosotros”, aseguraba el directivo mirando a la audiencia, explicando que estos actores “son personas que trabajan en la organización y que son partícipes necesarios del ataque que la empresa sufre”.
Hablando de España, resulta que nuestro país no tiene una buena situación porque estamos en los cuatro grandes mercados globales: el europeo, el mercado norteamericano, el mercado asiático, y en el latinoamericano, “lo que nos da un conocimiento o una fuente de información bastante potente”. Además, añadía Francisco Valencia, “estamos en el grupo de los países más ricos del mundo, en la posición 15”, y somos “capaces de desestabilizar el modelo económico occidental”, lo que significa que estamos entre los principales países más atacados del mundo.
Cuando, después de contar todo lo dicho a una empresa, se les convence de que tienen que proteger la información, resulta que no sabe dónde está ni cuánto vale, “y si no sabes cuánto vale tu información, no sabes si 100.000 euros en ciberseguridad es mucho o poco”. Otro problema con el que se enfrentan las empresas es que no tienen políticas ni procesos claras, apuntaba el CEO de Secure&IT.
“Tenemos una parte importante de descoordinación”, comentaba, asegurando que hay que apostar por políticas, procesos y procedimientos internos “que garantizan que la compañía funciona de forma razonable desde el punto de vista de información” y por medidas de control que no te obligan a ser seguro, sino a “ser consciente de tu inseguridad y poner medidas”. Así se llega a la ciberresiliencia, “que no habla de medidas técnicas, habla de medidas organizativas, de la responsabilidad de la propia compañía. No es algo a corto plazo, es algo a largo plazo, porque tiene que ver con adaptarse al nuevo mundo en el que vivimos”, mencionando algunas de las grandes propuestas de la compañía para hacer frente a la ciberresiliencia, como el servicio de CISO Virtual; Secure GRC o Secure Academy.
Un marco legislativo que protege y ampara
Si hablamos de ciberresiliencia, también hay que tener en cuenta el marco legislativo que se ha creado en torno a este y otros mecanismos relacionados con la seguridad de la información. En estas jornadas, Sonia Martín, directora de Servicios de Gobierno y Derecho de las TIC en Secure&IT, fue la encargada de destacar la aprobación simultánea de una gran cantidad de normas en materia de ciberseguridad.
Estas nuevas normas hablan, sobre todo, de gobernanza, de marco de gobierno, de gestión de riesgos, de mejora continua y de resiliencia: “Existe una gran preocupación en la Unión Europea por la ciberseguridad. Por este motivo, se está tratando de conseguir una armonización en todo este territorio con un gran despliegue normativo. Eso supone, entre otras cosas, que debe existir coherencia y homogeneidad en la respuesta a un incidente. Para ello, es muy importante que se implanten medidas jurídicas, organizativas y técnicas adecuadas”, explicaba Sonia Martín.
