El concepto de guerra ha cambiado hace mucho tiempo. Hoy estamos ante un tsunami que va más allá de la guerra híbrida, donde no solo los ciberataques, sino también las campañas de desinformación juegan un papel importante y en el que los expertos en ciberseguridad deben anticipar el territorio de conflicto.
Así se expresaba ayer Juan Antonio Gómez, Co-founder and Head of Intelligence de Opinion Makers Consulting, que, en ausencia del secretario de Estado de Telecomunicaciones e Infraestructuras Digitales, Antonio Hernando, era uno de los encargados de abrir los debates del XIV Foro de Ciberseguridad organizado por ISMS, que congregó a 1.100 asistentes, y en el que Escudo Digital ha sido media parter oficial.
En su intervención, centrada en ciberseguridad y ciberdefensa, Gómez subrayó que España debe tener vocación de ocupar un espacio en este nuevo escenario de rearme. “Ya hemos perdido la oportunidad respecto al armamento pesado, pero tenemos capacidad de ser relevantes en software”, dijo. “Y es fundamental porque el que tiene producto persiste, el que no es dependiente. Y o lideras o te lideran”, añadió.
“Hoy hay nuevos fondos que hay que saber aprovechar, no despilfarrar. La capacidad de influencia nos permitirá ser alguien. Si no, nos escribirán la historia”, afirmó en referencia al aumento de gasto en defensa y ciberseguridad anunciado recientemente por el Gobierno.
También abogó por impulsar los simulacros de crisis ya que, dijo, “la formación sin entrenamiento no sirve, se olvida”. “Tenemos que interpretar la geopolítica y para ello se necesita impulsar la cultura de la inteligencia, la seguridad y la defensa. Es fundamental porque en España no gusta decir que se invierte en Defensa”, apostilló.
Estudio sobre el Buen Gobierno de la Ciberseguridad en España
Durante las jornadas se habló también del “Primer Estudio sobre el Buen Gobierno de la Ciberseguridad en España”, impulsado por ISMS Forum, que revela avances en la percepción de riesgo de la ciberseguridad, pero también margen de mejora en algunos aspectos. Así, las empresas del Ibex 35 muestran un progreso significativo en el reporte regular de temas de ciberseguridad a la alta dirección y los órganos de administración. Un 80% de las empresas tienen definida una periodicidad para este reporte.
La realización de simulacros y pruebas de las medidas de protección, respuesta y recuperación es hoy una práctica extendida. Sin embargo, la frecuencia y alcance de los simulacros varía. Hay una limitación notable en la inclusión de toda la organización (un 55% no lo hace) y de forma más acuciante en la cadena de suministro: un 90% no la incluye completamente.
De hecho, un desafío crítico identificado por los propios cisos es la gestión de incidentes significativos en la cadena de suministro o actividades dependientes de terceros. Solo la mitad de los entrevistados informa sobre estos incidentes de manera regular y el 45% reconoce dificultades para manejarlos y reportarlos eficaces.
Sobre este punto, Jesús Sánchez, CISO de Naturgy, recordó que la normativa NIS 2 responsabiliza a las empresas de la gestión de la cadena de suministro. “Es un desafío muy importante, porque hay que orquestar muchos puntos: temas contractuales, revisiones que hoy son auditorías, elección de tecnologías y un punto calve: concienciación y formación entre los proveedores y partners”, dijo.
Juan Cobo, CISO de Ferrovial, coincidió en que se trata de un riesgo muy relevante. “Controlarlos es muy ambicioso, ahora estamos en una fase muy voluntarista. Hay que pasar a un modelo más industrializado. Vamos a tener que depender de empresas en las que delegar la gestión del riesgo de terceros, y también apostar por nuevos sistemas de certificación”, aseveró.
La economía de la velocidad
Las jornadas abordaron también otros temas relevantes como el impacto de la regulación o la adopción de la tecnología cloud. Sobre este primer punto, Vicente de la Morena, Country Manager en Spain & Portugal de Transmit Security, apuntó que la normativa obliga hoy a las compañías a realizar acciones de seguridad, lo que se transforma “en una oportunidad de dar servicios adicionales”.
“Es complicado convencer a las organizaciones de la importancia de la ciberseguridad. La nueva regulación es un argumento para impulsarla. Y cierra el debate, ya que es obligatorio”, advirtió José Luis Pozo, Chief Operations Manager de SpyCloud. “La regulación debe ser percibida como una palanca”, añadió Rafael Ceres, CISO global de Iberdrola.
Para Juan Manuel Zarzuelo, Socio de Technology Risk y Ciberseguridad de KPMG, la parte de cumplimiento normativo debe estar involucrada desde el principio en los programas de ciberseguridad, que deber ser concebidos a largo plazo. “En Europa tenemos una regulación muy fuerte que nos apoya a desarrollar estos proyectos”, aseveró.
Respecto a la adopción del cloud, Carlos Scott, Digital Risk Consultant de Ping Identity, aseguró que se trata de una tecnología que ya ha vencido cualquier reticencia que haya podido suscitar en los últimos tiempos. “Y su beneficio principal no es la reducción de costes, es la agilidad que proporciona a las compañías. Estamos en la economía de la velocidad, el primero que sale al mercado es el ganador”, sentenció.
Hackeos a terceros
Otro tema clave en las jornadas fue la posibilidad de sufrir un fallo de ciberseguridad por una mala gestión de terceros (partners y proveedores). Diego Peiruz, Senior Manager - Cyber Risk & Compliance de SIA, aseguró que “la peor praxis” consiste en “gestionarlos de manera general y no de forma específica”. “Debemos exigir controles a cada proyecto que contratemos”, afirmó.
“Pedir una certificación a un tercero es un indicador es válido, pero hay que identificar claramente los riesgos que ese tercero supone para nuestra organización. Las certificaciones valen para proveedores que no supongan mucho riesgo para nuestra organización”, apostilló.
Para Marcos Jimena, director técnico de Zcaler, proteger al negocio a través de terceros es fundamental. “La seguridad debe ayudar al negocio, estar alineada con sus objetivos, y los terceros son necesarios para el negocio”, dijo.
En opinión de Javier Rollán, Principal SOC Analyst L3 de Integrity360, esta seguridad se va a ver reforzada con la entrada en vigor de normativas como NIS 2. “Al elevar los controles se va a impulsar la madurez de la seguridad de terceros. Nadie va a poder decir la ciberseguridad es muy cara para mí, porque nos afecta a todos. El cumplimiento va a ser obligatorio”, apuntó.