Carlos López Blanco, presidente del Patronato de la Fundación ESYS (Empresa, Seguridad y Sociedad Digital), es abogado del Estado en excedencia. Preside también la Comisión de Economía Digital de la Cámara de Comercio Internacional (ICC) y la Comisión de Digitalización de la Cámara de Comercio de España. Con más de 30 años de experiencia en el sector digital y las telecomunicaciones, en IBM España, Vodafone y el IE Business School, ha sido secretario de Estado de Telecomunicaciones y para la Sociedad de la Información en el Gobierno y director general de Asuntos Públicos y miembro del Comité Ejecutivo del Grupo Telefónica.
PREGUNTA. ¿Qué puede hacer la Fundación ESYS para mejorar el ecosistema de la ciberseguridad española?
RESPUESTA. Somos una fundación formada por un grupo de empresas. Por tanto, tenemos una óptica muy específica, que es la visión de las empresas del mundo, originalmente de la seguridad, desde hace unos años la ciberseguridad, y ahora lo que nosotros creemos que es el enfoque adecuado, la seguridad en la sociedad digital. No nos gusta hablar de ciberseguridad porque creemos que es una visión muy parcial. La seguridad hoy es un concepto integral, lo que está cambiando no es tanto la seguridad como la sociedad. Por eso nos hemos cambiado de nombre como fundación y ahora nos llamamos Empresa, Seguridad y Sociedad Digital, porque pensamos que tenemos que acompañar ese proceso. Y esa distinción tradicional entre la seguridad física y la seguridad lógica no tiene mucho sentido. Nuestra visión es transmitir la preocupación de las empresas en materia de seguridad y saber cuáles son los desafíos.
P. ¿Qué aportaciones estáis haciendo al proyecto de Ley de Coordinación y Gobernanza?
R. Hemos presentado una propuesta, tal vez la aportación más completa que se ha hecho al proyecto de ley, que incluye, entre otros asuntos, el ámbito de aplicación, el listado de entidades sometidas a las obligaciones de la ley, los órganos de la dirección, la cooperación entre autoridades o las sanciones… Son lo que interpretamos como elementos de mejora de un proyecto de ley que, con independencia de que sea una adaptación de derecho comunitario, era indispensable para mejorar la fragmentación de competencias que hay en materia de ciberseguridad en España. Estimamos que buena parte de las propuestas se van a considerar por parte del Gobierno.
P. ¿Cómo debemos defendernos de las nuevas amenazas? ¿O de las de siempre pero reforzadas?
R. Solo hay una manera. Hay un gran cambio de mentalidad, tanto en la legislación como en las empresas, que es entender que ya no hay defensa inexpugnable en materia de ciberseguridad, que lo único que se puede hacer es tener un sistema que permita reaccionar cuando recibes un ataque y recuperarte lo antes posible. Es lo que se llama ciberresiliencia y es la clave de toda la nueva política de seguridad: no intentar o no confiar en que las murallas funcionen y conseguir tener los sistemas tecnológicos de una manera 100% inexpugnable. Se debe trabajar la capacidad de resiliencia, de reponerse cuando se recibe un ataque, de reaccionar rápidamente, de volver lo antes posible a la normalidad. Esa es la nueva filosofía de la ciberseguridad en las empresas y la que nosotros defendemos y tratamos de compartir con el sector empresarial.
P. Hay una novela, Ampliación del campo de batalla, del francés Michel Houellebecq… ¿Se está produciendo una ampliación de las amenazas?
R. Sin duda. Porque se mezclan varios elementos. Primero, el cambio radical en los ciberdelincuentes. Ya no son unos chicos que quieren entrar en la CIA para presumir ante sus amigos. Ahora les mueven razones económicas. Uno de los grandes desafíos para las empresas consiste en afrontar a unos ciberdelincuentes excepcionalmente innovadores. Pronto van a empezar a utilizar la inteligencia artificial generativa. Todo eso plantea desafíos radicalmente nuevos a los que, insisto, la única manera de responder es con un buen sistema de resiliencia. Esa es la nueva filosofía de la ciberseguridad
P. ¿Qué puede ofrecer España en materia de ciberseguridad a Europa y al resto del mundo?
R. En primer lugar, hacer los deberes con sus empresas. El nivel de ciberseguridad de las empresas líderes españolas es muy bueno. Y luego tenemos un sector de ciberseguridad altamente competitivo que ofrece soluciones muy razonables tanto en las empresas grandes (estoy pensando en Telefónica o Indra), que son compañías muy líderes en materia de ciberseguridad, como un gran número de empresas de tamaño mediano que están innovando.
P. ¿La exhaustiva legislación en Europa nos puede dejar en desventaja frente a otros espacios con menos restricciones?
R. En ciberseguridad el problema es la complejidad de la regulación. Los desafíos son globales, no pueden afrontarse país por país. Y en consecuencia, solo si los países actúan en un entorno común, como la Unión Europea, se puede dar una respuesta razonable.
P. ¿Nos estamos olvidando de las pequeñas empresas?
R. Sí, ese es un grandísimo desafío porque en España el 90% del tejido industrial es pequeña y mediana empresa. Y no tienen conciencia de lo importante que es tener medidas de ciberseguridad que las protejan. Es un déficit. Hay una responsabilidad muy importante de las empresas grandes y de las administraciones públicas, que impone la legislación europea para que se vigilen las cadenas de suministros. Las grandes deben ser responsables del nivel de ciberseguridad de las pequeñas.
P. ¿Cuál es la importancia de la formación?
R. Es un problema de crear cultura. No resulta fácil. Las grandes empresas entienden muy bien que esto es un desafío en el que se juega mucho. En cambio, los particulares y las empresas pequeñas tienden a pensar que no tienen riesgo. Las empresas pequeñas piensan: “¿Quién va a querer mi información? ¿Quién va a querer tener acceso a mi información?”. Eso es un freno a la cultura de la ciberseguridad.
P. ¿En este diálogo que impulsa la fundación entre empresas y Gobierno se incluyen las Fuerzas de Seguridad y el Ejército?
R. La ciberseguridad tiene dos mundos, el civil y el militar. Nosotros, por supuesto, tenemos contactos con los dos, pero sobre todo con el ámbito civil.