Claves para gestionar correctamente la Ciberseguridad en la Organización: entrevista con Francisco Lázaro

1 – ¿En qué estado crees que se encuentra la adopción de estrategias de ciberseguridad en España? ¿Están las empresas preparadas para los retos que aparecen cada día?

 
Las empresas importantes en España y organismos públicos tienen un nivel incluso superior a otros países que están a su alrededor de idéntica dimensión. De hecho la industria de la ciberseguridad en España es una industria más fuerte que la existente en otros países de la Unión Europea.
 
Diferente es la situación de las pymes, que tienen un nivel similar al de otros países y es donde todavía queda por hacer mucha más labor de concienciación. El factor humano es importantísimo, pero también debemos tener en cuenta la orientación en la toma de decisión y la estrategia, un factor de gran relevancia en el caso de la pyme, a la hora de concienciar en ciberseguridad.
 
Con respecto a la segunda pregunta, estamos preparados en los casos en los que se cuenta con una estrategia de ciberseguridad, y se ha dotado de recursos, tanto económicos como humanos a dicha labor.
 
Es decir, no puede existir preparación para retos de ciberseguridad si no se cuenta con una organización que esté preparada para ello. Esta organización puede ser interna o externa, pero tiene que existir. Aspectos como tener un responsable de seguridad, una persona dentro de la empresa que tenga esa preocupación o esa principal responsabilidad es parte de esa estrategia.
 
Además, tiene que saber encadenar con la alta dirección tanto los mensajes como las preocupaciones y las acciones. Y ese es uno de los puntos fundamentales, el responsable de la seguridad de la información. Pero también necesita una organización que respalde las medidas preventivas, reactivas y de recuperación que es necesario tener en cuenta en las organizaciones.
 

2 – ¿Cuáles son los principales riesgos a los que se expone una empresa en España en su día a día, en materia de ciberseguridad?

 
En los últimos años han ido cambiando las amenazas, y ahora hay organizaciones que precisamente su negocio es atacar a empresas y, o bien robar información o bien robar oportunidad de negocio, poner en mala reputación a las compañías…estas nuevas figuras que están relacionadas con bandas organizadas no son las únicas, porque también está el tema del ciber terrorismo, ciber hacktivismo, y otras muchas más amenazas.
 
Todas estas amenazas requieren una respuesta adecuada, dado que forman parte de los riesgos, y éstos no son más que la probabilidad de que una amenaza se materialice, por el impacto que causa en la organización.
 
Esos riesgos están presentes de formas diferentes, pero la causa principal es que las organizaciones no siempre valoran adecuadamente sus activos de información. Si no se es consciente de cuánto vale la información, no se va a saber proteger.
 
El valor no es siempre económico, también son otros valores: de operación, reputacionales, etc. O simplemente por incumplimiento legal.
 
Entonces, tenemos que por un lado hay que tener una mayor concienciación y definir una dirección clara desde la alta dirección en cuanto a ciberseguridad debe formar parte de las preocupaciones principales.
 
Como comentábamos antes, el riesgo se encuentra también en esa falta de una adecuada valoración, en ocasiones, de los activos. Esto lleva a que en muchas organizaciones, todavía no cuentan con equipos de respuesta ante incidentes de seguridad, a pesar de tener información de gran valor; lo cual es un elemento fundamental.
 
Después está el factor humano: de gran importancia, empezando por el hecho de que la alta dirección tiene que ser capaz de mandar un mensaje claro a la organización. Por otro lado, este factor es de una importancia vital para gestionar los ataques de tipo phising, es decir suplantación de identidad, que buscan credenciales de la organización para provocar después brechas de seguridad.
 
Ésto no se combate sólo con medios técnicos, que también los hay, sino que fundamentalmente trata de que las personas no caigan en el engaño. Para ello, han debido previamente recibir la adecuada concienciación en materia de seguridad.
 
La ciberseguridad siempre se aborda desde una perspectiva de evaluación y análisis de riesgos ¿Qué herramientas se tiene para ello? Medidas de seguridad y controles adecuados a nivel de riesgos y protección ante amenazas, vulnerabilidades, etc.
 

3 – ¿Cuáles serían los principales tipos de infraestructuras críticas en la empresa?

 
Cuando aparece el término infraestructura crítica, a todo el mundo le viene a la cabeza la Ley de Infraestructuras Críticas: Esta ley define doce sectores en los que existen infraestructuras críticas e incluye un criterio para determinar qué es una infraestructura crítica: aquella infraestructura que provee servicios esenciales y de la que no hay un medio alternativo que pueda proveer si esa infraestructura tiene algún tipo de debilidad o fallo en su provisión de servicios.
 
Esa es, más o menos, la definición de infraestructura crítica. En el ámbito de la empresa, podemos referirnos a aquellas infraestructuras que son importantes para la compañía (bien sea porque tienen datos de carácter confidencial o datos importantes para la compañía), y son servicios que tienen que ser especialmente protegidos.
 
Es el caso de las redes y sistemas de información que proveen servicios para la operación continua de la organización. Es decir, uno de los mayores problemas que se pueden encontrar es la no ejecución de operaciones.
 
Porque para eso están los sistemas de información, para dar soporte a las operaciones. Si no lo pueden dar, están fallando en su misión. Estos sistemas pueden ser todo aquello que la organización necesite para sus objetivos: sistemas de control de la cadena de producción, sistemas de venta, etc…cada empresa tendrá sus “infraestructuras críticas” en función de su cadena de producción.
 

4 – ¿Qué dirías tú que es lo más importante a la hora de implementar una estrategia de ciberseguridad en una empresa?

 
Conciencia en la necesidad de ciberseguridad: Que la dirección de la compañía tenga una conciencia en ciberseguridad y sepa que es necesaria para la continuidad del negocio.
 
Responsable de Ciberseguridad: Además, tiene que haber alguien que sepa trasladar y ejecutar esa conciencia en acciones diarias y en prácticas adecuadas.
 
Protocolos de Ciberseguridad: Después, tienen que estar los procesos, la formación y los recursos adecuados para poder responder de una forma eficaz y eficiente en conjunto con los elementos de prevención, detección, reacción y recuperación de los sistemas ante un problema.
 
¿Quieres impulsar la transformación digital en tu empresa de una forma sólida, sostenible y alineada con las tendencias más actuales del panorama digital? Con el programa intensivo de formación directiva Senior Management Program in Digital Technology obtendrás una visión global del entorno tecnológico digital actual y de todos los procesos implicados en él. Encuentra toda la información e inscripciones aquí.