Tratar de encontrar soluciones para los cuatro pilares de la ciberseguridad es el foco de NextVision, una compañía que se fundó hace 30 años en Buenos Aires y que ya lleva más de 20 en España. Nos lo cuenta Roberto Heker, director de NextVision en una entrevista en la que, entre otras cosas, abordamos el peso de la concienciación en la estrategia de seguridad de las empresas o la evolución de la ciberinteligencia.
Identificando la predicción, prevención, detección y respuesta como los cuatro pilares de la ciberseguridad, desgrana el directivo algunas de las propuestas de NextVision: las que tienen que ver con la concienciación “para ayudar a las organizaciones a lograr una cultura ciber segura”; la gestión de la ciberseguridad con la cadena de suministro, o “lograr identificar qué niveles de riesgo tienes con un proveedor y, a partir de ahí, poder monitorizarlo en función del servicio que va a prestar”; la ciberinteligencia, cada vez más importante para la seguridad de una organización; y, finalmente, los aspectos relacionados con el cumplimiento.
Preguntado por la tipología de cliente de NextVision, dice Roberto Heker que, “aunque nuestro principal mercado está en las empresas medianas y las grandes, nosotros atendemos a compañía de todos los tamaños”.
Cultura de ciberseguridad
Planteado si la concienciación del empleado está funcionando, o si es justo pedirles a los empleados responsabilidad en un incidente después de las grandes inversiones que las empresas realizan en herramientas de ciberseguridad, comenta Roberto Heker que en las empresas hay distintos perfiles de personas, “cada una con un grado de responsabilidad que comienza en quienes la lideran”. Añade que todos en una empresa tienen una responsabilidad frente a la ciberseguridad, y que cuando hay una directiva clara, “todos van a poder crear lo que nosotros consideramos que es una cultura ciber segura, donde el empleado no se sienta responsable de si cometió algún error, sino al contrario, contribuya a la mejora de la ciberseguridad, comunicándolo a sus jefes, de modo que la organización pueda lograr un proceso de mejora continua”.
Asegura también que “responsabilizar al empleado por problemas de ciberseguridad, obviamente no me parece ni justo ni una buena estrategia para lograr lo que la organización necesita”.
La seguridad de la cadena de suministro
Respecto a la cadena de suministro, preguntamos al directivo de NextVision si las empresas españolas están adoptando tecnologías que validen a los partner con los que trabajan. Asegura Heker que el problema está cada vez más presente en las discusiones de las organizaciones porque “se empiezan a observar a los proveedores como un factor de riesgo significativo en cuanto a la ciberseguridad”.
Las empresas más maduras, “ya tienen una estrategia de evaluación de riesgo de las terceras partes”, asegura el directivo, añadiendo que son procesos complejos “porque requieren una interrelación con el tercero, un período de información, algún tipo de monitorización, y cada organización tiene una estrategia para lograr que esto sea eficiente. Pero, definitivamente, empieza a ser un tema muy importante en las organizaciones”.
En cuanto a los mecanismos que podrían utilizarse para validar la cadena de suministro, plantea Roberto Heker que las organizaciones deberían clasificar los servicios y proveedores que van a contratar, y que una de las herramienta que se están utilizada son los ratings de seguridad, que “permiten ver a la organización, a nuestro proveedor, desde afuera, e identificar cuáles son los factores de riesgo”.
Ciberinteligencia
Sobre la ciberinteligencia, ¿es algo por lo que esté apostando la empresa española? En opinión de Roberto Heker, a la ciberinteligencia le queda recorrido. Asegura que la pérdida de perímetro hace que la seguridad tenga que empezar por fuera de las empresas porque, en ocasiones, “fuera de ese perímetro hay información sobre nuestra organización que a veces desconocemos”.
Explica el directivo que muchas veces las empresas desconocen que han tenido algún tipo de fuga y que “la ciberinteligencia permite identificar esa información fugada, ya sea porque son documentos estratégicos de la organización, porque hay credenciales que un atacante podría utilizar en contra de la organización, o incluso empresas que podrían estar sufriendo hacktivismo. Toda esa información, que no está dentro del perímetro, sino que está fuera y dispersa de alguna manera, hay que detectarla, reunirla, clasificarla y poder hacerla útil para la estrategia de seguridad de la organización”.
2023 ha empezado con cierta incertidumbre económica, ¿cómo está abordando NextVision este año? “Es inevitable introducir la ciberseguridad como parte del proceso de negocio y todavía tiene mucho campo de crecimiento” asegura Roberto Heker, que se muestra optimista ante 2023, cuando esperan un crecimiento del negocio de entre el 30 % y el 50 % del negocio, “porque justamente estamos en áreas de concienciación o riesgo de terceras partes que todavía tienen un amplio recorrido por realizarse y las organizaciones están comenzando a incluir estos temas dentro de su agenda”.
