Con más de 25 años de experiencia en tecnologías de la información (IT) y ciberseguridad, Victor Eduardo Deutsch ha ocupado cargos gerenciales en diferentes unidades de negocio del Grupo Telefónica en España y a nivel global. Es además investigador en inteligencia artificial, profesor universitario y formador de programas in company y acaba de publicar “Ciberseguridad para directivos”, un libro que, con un lenguaje sencillo y un enfoque práctico, permite a los responsables de empresas y equipos que no provengan del campo de la seguridad o de la tecnología de la información gestionar los tres pilares fundamentales de la ciberseguridad: identificar los riesgos devenidos, establecer controles y poner en práctica los procesos y la organización necesarios para hacerlo de forma eficiente.
Estamos en un contexto geopolítico de grandes tensiones: guerra en Ucrania, terrorismo, guerras comerciales. ¿Eso incrementa los riesgos?
Si, comparando con la situación de unos meses atrás, las empresas se enfrentan a más potenciales atacantes. A las mafias habituales y grupos terroristas o activistas se suman ahora posibles amenazas provenientes de estados-nación.
En el pasado no se consideraba a los ciberataques como un acto de guerra. Sin embargo, en la última cumbre de la OTAN, se acordó un documento de estrategia que dice textualmente:
“Una ciber-actividad maliciosa o un conjunto de ellas; u operaciones hostiles dentro del espacio; pueden alcanzar el nivel de ataque armado y puede llevar al Consejo Noratlántico a invocar el Artículo 5 del Tratado del Atlántico Norte”
El artículo 5 es el que indica que un ataque contra uno de los miembros de la alianza se considerará como un ataque contra todos los aliados. Es decir, la OTAN está tomando muy en serie estas amenazas y sus consecuencias para la seguridad de los países miembros.
Está claro que los riesgos para las fuerzas armadas y la administración gubernamental son más altos, pero ¿Cómo afecta esto a las empresas privadas?
Desde siempre, uno de los objetivos claves de la estrategia militar ha sido interrumpir la logística y las comunicaciones del enemigo. Esto trasladado al ciberespacio pone en el punto de mira a las compañías que operan lo que se llama “infraestructuras críticas” (energía, aguas, telecomunicaciones, transportes) y, en general, a todas las empresas, de cualquier tamaño, que conforman la “cadena logística” o “cadena de abastecimiento” de la población y de las industrias clave para la defensa.
Además, la difusión de propaganda, rumores e informaciones falsas siempre ha sido un objetivo secundario, para reducir la voluntad de lucha del enemigo o exacerbar sus conflictos internos. Lo que antes se hacía con octavillas impresas en papel o rumores lanzados en las tabernas de los puertos, ahora se hace con redes sociales o medios de comunicación electrónicos, pero es lo mismo.
Por tanto, las empresas privadas que pertenecen a estos sectores también ven incrementados sus riesgos.
¿Qué pueden hacer entonces las empresas españolas afectadas para mitigar estos mayores riesgos?
En cuanto a los operadores de infraestructuras críticas, desde el año 2007 existe el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas y de Ciberseguridad) que es responsable del “impulso, coordinación y supervisión de todas las políticas y actividades relacionadas con la protección de las infraestructuras críticas españolas y con la ciberseguridad”.
El CNPIC coordina la implantación de planes de prevención y continuidad tanto para organismos públicos como para unos 250 operadores privados. De esta forma se asegura una política homogénea y unos estándares comunes, así como una coordinación adecuada en caso de crisis que afecten a más de un agente.
Lo mejor que pueden hacer las empresas en este ámbito es reforzar la colaboración público-privada y adoptar una política de compartición de información, así como de transparencia con las autoridades ante cualquier incidente de seguridad, por embarazoso que sea. De esta forma se previene que un problema puntual se transforme en sistémico.
En cuanto a la cadena logística, muchas grandes empresas están empezando a elevar los requisitos a cumplir por parte de sus proveedores. Como se exigen las normas ISO 9000 para externalizar procesos, en el futuro se exigirán normas de ciberseguridad equivalente para poder formar de una cadena de abastecimiento crítica.
Además, las experiencias recientes de la pandemia, la crisis de Suez y la guerra de Ucrania han puesto de manifiesto que las cadenas de abastecimiento pueden sufrir graves imprevistos y las empresas deben estar preparadas para reaccionar ante situaciones antes impensables.
¿Hay formas de controlar las campañas negativas o las “fake news”?
Con respecto a las campañas de propaganda o acción psicológica, yo no creo que se puedan censurar o limitar su circulación. Por supuesto, sirven los códigos deontológicos para los medios tradicionales, pero esto no aplica a las redes sociales y medios de autopublicación.
Por eso, creo que la política adecuada es la contrapropaganda. Es decir, confrontar las mentiras con la realidad y transmitir un mensaje positivo respecto del estilo de vida y los valores occidentales. Hay muchas cosas buenas para contar.
Pero ¿Tiene el estado suficientes recursos para ayudar a las empresas privadas a defenderse?
En los últimos años se habló mucho de la necesidad de crear una especie de “ciber-reserva” de profesionales a los que el estado pudiese recurrir en caso de crisis. Sin embargo, el documento de la OTAN sigue otro enfoque. En el punto 24, dice textualmente:
“(…) Promoveremos la innovación e incrementaremos nuestras inversiones en tecnologías emergentes y disruptivas para mantener nuestra interoperabilidad y capacidad militar. Trabajaremos conjuntamente para adoptar e integrar nuevas tecnologías, cooperaremos con el sector privado, protegeremos nuestros ecosistemas de innovación, desarrollaremos estándares y nos comprometeremos a los principios de uso responsable que reflejen nuestros valores democráticos y derechos humanos”.
De modo que el enfoque parece ser más de colaboración con las empresas privadas innovadoras en el desarrollo de las herramientas tecnológicas para la defensa del ciberespacio, pero sin esquemas de “reclutamiento coercitivo”, difíciles de adoptar en empresas cuyas plantillas actualmente están formadas por personas de muchas nacionalidades y culturas.
Por otro lado, el estado tiene un rol fundamental a la hora de definir esos estándares que se mencionan. Recientemente, el gobierno de España ha lanzado una actualización del Esquema Nacional de Seguridad, que va en la dirección de modernizarlo y elevar el grado de exigencia para alcanzar las certificaciones.