Los grandes retos en ciberseguridad empresarial

El Diari de Tarragona acogió esta semana una nueva edición del ciclo de encuentros ‘Los desayunos de Economía & Empresas’, donde expertos y profesionales comparten reflexiones sobre algunos de los grandes temas que marcan hoy la agenda empresarial. En esta ocasión, la ciberseguridad.

Bajo el título Los grandes retos de 2024 en ciberseguridad empresarial, Òscar Díaz, jefe de la Unitat de Desenvolupament de Negoci de la Agència de Ciberseguretat de Catalunya, Josep Domingo, director del Cybercat (Centre de Recerca en Ciberseguretat de Catalunya) y catedrático de Ingeniería Informática en la Universitat Rovira i Virgili (URV), Oriol Torruella, director de Ciberseguridad e Identidad Digital de Inetum en Catalunya, Eric Baqué, customer Security Manager de T-Systems Iberia, y Lluís Adell, jefe de informática de la Xarxa Sanitària Santa Tecla, debatieron sobre los retos que afronta hoy la ciberseguridad, con la Inteligencia Artificial y los hipertrucajes (deepfakes) en el punto de mira.

Òscar Díaz, de la Agència de Ciberseguretat de Catalunya, pone el contexto: «El cibercrimen mueve hoy más dinero que el tráfico de drogas, personas y armas juntos, con un coste para las empresas que alcanza en el mundo los 10,5 billones de dólares».

Una dimensión que, según relata, «va a más», en especial tras la pandemia y la extensión del teletrabajo, pero también en un escenario en el que entra con más intensidad la Inteligencia Artificial y, en un futuro, la computación cuántica, que hará vulnerables los actuales sistemas de cifrado de datos.

Para Eric Baqué, de T-Systems Iberia, cuatro cuestiones marcan hoy tendencia: «La primera es la coyuntura geopolítica, con puntos como la guerra de Ucrania, Palestina, etcétera, y actores maliciosos que empezarán a estar presentes. En segundo lugar está la Inteligencia Artificial, que nos sirve para detectar amenazas, pero que también ayudará a los criminales a diseñar malware».

En tercer lugar sitúa «el teletrabajo, donde cada vez es más importante securizar todas las estaciones de trabajo y certificar que la persona que está trabajando en un ordenador es quien dice que es», y por último, «los dispositivos como las nuevas Apple Vision Pro [las nuevas gafas de Realidad Aumentada de la empresa de Cupertino], que son un dispositivo IoT [Internet de las Cosas, por sus siglas en inglés] que capta información, y que plantea cuestiones sobre a quién le damos esa información y cómo se la damos».

Lluís Adell, de la Xarxa Sanitària Santa Tecla, coincide en que uno de los retos es combatir una estrategia del cibercrimen basada en «atacar la infraestructura de IoT, en muchos casos en instalaciones que son muy antiguas, y donde todavía hay mucho gap en muchos sistemas que deben ser actualizados».

También la Inteligencia Artificial generativa plantea nuevos retos, cuando «puedes tener un phishing de un agente ruso en un perfecto catalán, cosa que antes no sucedía, lo cual requiere más capacitación por parte de los usuarios». Por último, Lluís Adell confirma que «para el cibercrimen, los datos del mundo sanitario son muy valiosos, y protegerlos es uno de los retos que tenemos».

Oriol Torruella, de Inetum en Catalunya, destaca que «los retos son mayúsculos y muy diversos», y los clasifica en tres grandes grupos: «En primer lugar estaría un elemento más estructural, sobre cómo abordar la inversión y la gobernanza en ciberseguridad, que tiene que ver con el nivel de digitalización de la empresa, no con su tamaño. En segundo lugar situaría el conocimiento sobre cuestiones como el cibercrimen, la IoT, los nuevos dispositivos... necesitamos un conocimiento más extenso de lo que significa la ciberseguridad, que las empresas sean conscientes».

El tercer elemento son «las disrupciones que van apareciendo y que traen nuevas amenazas. El teletrabajo, o más bien la movilidad, es uno de los elementos más destacados: si te roban el móvil y te quitan datos, tenemos un impacto. También entraría aquí el cloud, del cual conocemos muy bien sus ventajas, pero la madurez en la securización de entornos cloud es un reto».

Josep Domingo, de la URV, comparte el análisis de que «la geopolítica es un factor de estímulo de los ataques, y hace mucho tiempo que hay unidades de ciberataque en Rusia o China, aunque no se diga». También la Internet de las Cosas plantea retos constantes, donde «los diseñadores [de estos dispositivos] buscan eficiencia, pero la seguridad acostumbran a dejarla de lado».

«Por eso la IoT -prosigue Josep Domingo- es un punto de entrada que se presta a ataques, igual que sucede con la Inteligencia Artificial, que también introduce debilidades una vez se publica un nuevo modelo entrenado. Cada nueva tecnología tiene una debilidad, a no ser que pienses en ello desde su inicio, cosa que no sucede».

En este contexto, ¿qué acciones pueden tomar las empresas hoy para mejorar su ciberseguridad? Òscar Díaz, de la Agència de Ciberseguretat de Catalunya, defiende trabajar en el concepto del «perímetro de seguridad», estableciendo «unas funciones de seguridad mínimas que las organizaciones deberían cumplir para reducir el grado de exposición a estas amenazas», a la vez que «se tiene un ojo puesto en las regulaciones que aplican»

Entre ellas se encuentra la Directiva euroepa NIS 2 (aprobada en diciembre de 2022 y cuyo plazo de transposición vence en octubre del presente 2024), donde Oriol Torruella, de Inetum, recuerda que se verán afectadas «todas las empresas de más de 250 trabajadores que se encuentren en sectores esenciales, pero también todas sus cadenas de proveedores, que también habrá que securizar».

Al margen de estas obligaciones, Oriol Torruella defiende que «más vale prevenir que curar, porque con las ciberestafas o el cibercrimen, los costes de recuperación siempre son más altos que los de prevención. Y no estamos hablando de cosas extrañas ni de grandes empresas, la ciberseguridad es hoy un elemento más del negocio: algo tan simple como elegir un sistema de correo electrónico ya es ciberseguridad».

Por eso «lo primero es conocer el concepto de ciberseguridad y cuál es su impacto en la actividad real y, a partir de aquí, poner en marcha, tanto con recursos internos como externos, la construcción de un programa de ciberseguridad, que pasa a ser una cuestión clave».

En esta misma línea, Eric Baqué, de T-Systems Iberia, aconseja, «como primera acción, hacer un análisis de madurez, para saber en qué punto se encuentra nuestra organización y qué nivel real de vulnerabilidad tenemos». En segundo lugar, coincide en «la concienciación del personal, porque la mayoría del malware o phishing entra por los trabajadores, o más bien por la organización, que no ha sabido prevenirlo». Y, «en la medida que se pueda, hacer un proyecto que te permita securizar tu sistema».

Lluís Adell, de la Xarxa Sanitària Santa Tecla, recomienda que, «antes de acometer cualquier acción, es indispensable hacer partícipe a la dirección, hay que ir de su mano». Ante la certeza de que el riesgo cero es imposible de conseguir, recuerda la importancia de la contratación de «ciberpólizas, algo que muchas empresas todavía no tienen», y de buscar «sinergias, que ya están empezando a aflorar», para aunar esfuerzos con otros actores en la lucha contra el cibercrimen.

Josep Domingo, de la URV, receta una serie de acciones básicas que ya pueden marcar una diferencia: «Compartimentar la red, ir hacia el mínimo privilegio [de usuario], actualizar el programario e implantar el doble factor de autentificación, para confirmar que tú eres quien dices que eres».

Respecto a las pequeñas y medianas empresas, propone «quizás una mancomunidad de ciberseguridad para las pymes, de la misma manera que los edificios cuentan con una central de alarmas en sus perímetros».

Òscar Díaz, de la Agència de Ciberseguretat de Catalunya, lanza una última idea: «Siempre trasladamos la responsabilidad al usuario final, y eso es injusto. Lo que hay que exigir es que, quien gestiona la seguridad, aplique las configuraciones necesarias».