Ver la seguridad como un gasto, y no como una inversión, sigue siendo un problema endémico del mercado de la ciberseguridad. Es lo que lleva a Mikel Rufián, director global de Ciberseguridad & Inteligencia de Bidaidea a asegurar que la Inversión es uno de los grandes retos a los que se enfrentan las empresas desde el punto de vista de la seguridad. Explica el directivo que en las empresas más grandes sí hay conciencia por destinar un presupuesto para poder afrontar este tipo de problemática, y que el reto está sobre todo en las empresas más pequeñas que, teniendo menos recursos y cultura de seguridad, sufren mucho más ante un ciberataque.
Añade un segundo reto al que se enfrentan las empresas más pequeñas: contar con alguien que sepa ejecutar el proyecto, porque la falta de profesionales también es endémica en el mercado de ciberseguridad. Reconoce que hay un boom por la formación en seguridad, que normalmente se dirige a perfiles técnicos, “pero hay cabida para otro tipo de perfiles menos técnicos”, como pueden ser perfiles jurídicos.
Ofrecer una ciberseguridad 360 grados es prioritario para Bidaidea. Esto significa, en opinión de Mikel Rufián, que “podemos actuar en cualquier estado y nivel de madurez del cliente”. El área de consultoría estratégica de la compañía es la que se dedica al establecer ese nivel de madurez del cliente, la adecuación a normativas y establecer los planes directores de seguridad, de forma que “se consigue una foto de cómo está el cliente, hacia dónde tiene que ir y qué pasos tiene que realizar para llegar al estado de madurez ideal”. La consultoría estratégica es una de las áreas de crecimiento de la compañía que , según el directivo, viene impulsando por las propias necesidades de los clientes que van madurando y requieren de una revisión de su plan director, o quieren iniciar el camino hacia la seguridad del OT.
También crece el negocio de ciberinteligencia de Bidaidea, impulsado por la necesidad que tienen los clientes de poner orden e inteligencia en la cantidad de datos que están recogiendo. Explica Mikel Rufián que “cuando estás en una organización y tienes muchas tecnologías desplegadas lo más inteligente es poderlas gestionar de manera centralizada. Además, hay fuentes externas que tú no controlas que también se monitorizan para poder alertar”, lo que está haciendo que la inversión en ciberinteligencia esté creciendo.
En relación con las tecnologías que, si no lo son ya imprescindibles, lo serán en un futuro, recuerda Mikel Rufián que el hecho de que todos hayamos ido hacia la nube supone que todas las tecnologías que securicen la nube, incluido el CASB o IRM, serán tendencia, sino lo son ya.
La nube es uno de los elementos que, junto con la movilidad, ha provocado la pérdida del perímetro de seguridad. Hay quien coloca el nuevo perímetro en las identidades, otros lo colocan en los datos. Para Mikel Rufián situar el perímetro en los datos denota mentalidad IT y asegura que ese perímetro debería situarse en función de la compañía. “En un entorno industrial mi bien a asegurar es que mi máquina no pare, y esa máquina no está pasando datos, ni información confidencial; lo que no quiero es que esos PLC o procesos SCADA se bloqueen por un ataque de DDoS y me paralice una planta porque vivo de ello. Por eso hay que ver el bien a asegurar en cada sector en el que estemos”.
Comenta también Rufián que el sector debe hacer una reflexión: arrastramos una herencia IT y “hay que cambiar el chip, hay que cambiar la cultura de ciberseguridad y no pensar solo en tecnologías, sino más allá, incluyendo procesos y personas”
Sobre si conceptos como Zero Trust están ayudando a mejorar la seguridad, responde el director de Bidaidea que, más que buscar conceptos nuevos, “lo que hay que buscar es cómo ejecutarlos”. Añade que si a la falta de conocimiento y de cultura “le metes nuevos conceptos no adaptados al ecosistema español, pueden generar confusión”, y que más que un concepto “lo que hay que aplicar son políticas y soluciones”.
Para Mikel Rufián la manera de proteger a las empresas empieza con políticas de seguridad, con un plan director, con una formación al usuario, porque el 90% de los incidentes de seguridad llegan por el propio usuario. “Si empezamos por ahí en lugar de invertir grandes sumas en tecnología ya estamos paralizando un alto porcentaje de amenazas”, asegura el directivo.
La ciberseguridad, continúa diciendo Rufián, aplica a todos los departamentos de la empresa, y por tanto “creo que tenemos que ser conscientes de que la ciberseguridad no solo tiene que emanar de un departamento concreto, sino que tiene que estar esponsorizado por la más alta dirección y priorizado en todos los departamentos y en todos los usuarios”.
