No hay mayor ciego que el que no quiere ver. Tanto en la vida de cualquier ciudadano, como en el ámbito empresarial, negar la realidad solo es una tozuda carga que no vale para nada. De este modo, hay un hecho factible: “La ciberseguridad al 100% no existe, todas las empresas pueden ser atacadas”.
Con las cartas marcadas y encima del tapete hablar de ciberseguridad es mucho más sencillo. Así conversamos con el director de Seguridad de Entelgy, Félix Muñoz, que a su vez es el responsable de Innotec, empresa especializada en la prevención y gestión de riesgos del Grupo Entelgy. El primer asunto de relieve tiene que ver con burbujas. Y es que no hay segmento empresarial, sobre todo relacionado con la tecnología, que escape a ser sobreinflado desde algunos ámbitos para generar más negocio.
En este sentido, Félix Muñoz cree que realmente lo que se da es un “cambio de mentalidad”. Asegura que son las grandes compañías las que están llevando a cabo grandes inversiones y, por lo tanto, parece haber un gran interés en los temas de ciberdelincuencia y seguridad informática. No obstante, el responsable de Innotec no es muy partidario de que pueda existir algún tipo de burbuja. Sostiene que estas inversiones “vienen dadas por los riesgos reales de sufrir ataque cibernético”.
Y no solo eso. También destaca que desde hace algún tiempo surgen a nivel europeo y mundial ciertas directrices que se deben cumplir en estos ámbitos en cuanto a protección de datos y seguridad, y por tanto se debe hacer una inversión obligatoria. Así pues, no se sabe hasta qué punto las empresas gastan el dinero por la conciencia del problema que puede suponer, o porque les obligan “desde arriba”.
Cómo saber si un servicio es de calidad
Uno de los grandes retos a los que se enfrenta una empresa a la hora de contratar servicios de seguridad tecnológica tiene que ver con la fiabilidad de los mismos. Trasladamos esa pregunta a Félix en un claro conflicto de intereses, pero responde con sinceridad. Cree que uno de los principales baremos puede verse en la especialización. Lógicamente pone el ejemplo de Entelgy, que a través de Innotec tiene su división especializada en ciberseguridad dentro de ese nicho.
No obstante, confiesa que “es muy difícil determinar qué es un buen servicio de uno malo. Yo te digo que te estoy protegiendo de ataques pero no hay una evidencia de que realmente te esté protegiendo. Y esto es por dos causas: la primera es que nadie se entere de que los malos están atacando, o porque yo no estoy detectando los ataques que estoy recibiendo”.
Así, desde su punto de vista cree que “las empresas tienen el doble trabajo de preocuparse por los ataques y vigilar a quien les presta el servicio de ciberseguridad. Por eso las compañías también están haciendo servicios de verificación”. Ante esta afirmación, y sujeto al palo de la sinceridad, el responsable de Innotec confiesa que “el que sabe de este negocio sabe perfectamente lo que está haciendo».
“Otro aspecto que hay que tener en cuenta es que durante la crisis el precio ha sido uno de los factores determinantes para la contratación en materia de seguridad”. Como no, la crisis. El factor económico, por desgracia, puede supeditar las propias necesidades de la compañía, y aunque duela asumirlo, es una realidad.
De todas formas, Félix manda un recado muy claro: “Hay elementos que las empresas todavía no llegan a entender, y es que la seguridad al 100% no existe, todas las empresas son atacadas, lo importante es saber detectarlo, pero si un equipo de hackers quiere entrar en una organización solo es cuestión de tiempo”. En este sentido, quizá el más importante dentro del negocio de la ciberseguridad es que haya una amenaza, estén dentro del sistema y no se haya detectado. “Por lo tanto los equipos de seguridad deben trabajar en gran parte, con modelos basados en que el atacante está dentro”.
Las empresas (pequeñas y grandes) ante los nuevos retos
Para una multinacional es sencillo invertir en ciberseguridad. Primero porque tiene dinero, y segundo porque está obligada si quiere que ese dinero le dure. Ahora bien, el segmento de las pequeñas y medianas empresas es distinto. Concretamente Félix comenta que “en el mercado español las pymes de menos de 100 empleados no invierten en ciberseguridad, salvo que estén muy dedicadas al ecommerce”.
“Las multinacionales sí invierten, y cada vez más”. Aquí están las dos velocidades, aunque realmente, pese a la inversión, no lo hacen del todo bien. Félix cree que se equivocan en el modelo inversor, ya que muchas veces compran productos y servicios cuando en realidad deberían invertir en inteligencia.
En cuanto a la parte cualitativa a la hora de gastar dinero, desde Innotec nos aseguran que depende mucho el sector. Por ejemplo, la banca tiene que invertir importantes cantidades dado que los riesgos que conlleva el tratamiento de sus servicios tienen un potencial riesgo de ser atacado. Sobre todo los usuarios y clientes. No obstante, en este punto vuelve a insistir en que juega un papel muy importante la regulación que se está llevando a cabo en ciberseguridad y que obliga a muchas empresas a invertir “a la fuerza”.
Cosas conectadas, cosas con riesgo
Otro aspecto muy relevante en estos momentos es que cada 5 minutos hay una nueva tecnología que puede ser ataca. Quizá sea una exceso, pero ante las nuevas reglas del juego que trae el internet de las cosas el escenario es distinto.
“Un aspecto muy importante que se debe valorar es que es imposible conectar una gran cantidad de dispositivo sin tener en cuenta la seguridad. Cada vez que haya más dispositivos hay mayores riesgos, y encima lo que hacen es aparecer nuevas vulnerabilidades sobre esos dispositivos”. En este punto, Félix pone como ejemplo el segmento de coches conectados, donde ya se han producido los primeros hackeos y eso es un verdadero problema.