La falta de formación y de recursos son las grandes amenazas para la seguridad en las empresas españolas. Es la conclusión a la que llegaron los ponentes de la mesa redonda del IV ESET Security Forum que se celebró el pasado mes de noviembre en Madrid. El evento organizado por ESET, sin carácter comercial, tiene como objetivo discutir temas relevantes y candentes de la seguridad tanto corporativa como doméstica. En esta ocasión, ESET contó con una amplia representación tanto de profesionales del ámbito de la seguridad digital como de investigadores, conformando una mesa redonda que ofreció diferentes puntos de vista de la actualidad de seguridad:
- Marc Rivero, eCrime Manager en Barcelona Digital Technology Centre, profesor en La Salle, bloguero de seguridad digital, organizador Hack&Beers.
- Marcos Gómez Hidalgo, Subdirector de Operaciones en INCIBE (antes Inteco).
- Pablo Fernández Burgueño, abogado de ciberseguridad y privacidad en la Red. Socio cofundador de Abanlex, bufete de Derecho Tecnológico.
- Pedro Candel, investigador de seguridad y organizador de la Conferencia de Seguridad Navaja Negra.
- Daniel García, investigador de seguridad y organizador de la Conferencia de Seguridad Navaja Negra.
- Juan Antonio Calles, director de Zink Security y fundador de FluProject.
- Josep Albors, director de laboratorio de ESET España.
El primer bloque de discusión giró en torno a los principales retos a los que se enfrenta la seguridad corporativa y cómo abordarlos. Según Marc Rivero, “el futuro de la seguridad en las empresas lo veo negro, porque el cibercrimen se profesionaliza cada vez más. Hay malware que lleva muchos años distribuyéndose y que ahora está dando problemas. Para hacer frente a esta situación, las empresas tienen que tener un equipo de respuesta a incidentes bien formado y preparado para actuar“.
Según Juan Antonio Calles, “el problema de la seguridad corporativa es el dinero. Hay que invertir en tecnología y en profesionales bien preparados para poder tener el cibercrimen controlado“. Por su parte, para Marcos Gómez Hidalgo, “las empresas grandes tienen problemas muy grandes. Primero, para reconocer que tienen ataques, por su reputación principalmente. La confianza del cliente podría retirarse en el caso de que hubiese un incidente, por ejemplo. Una empresa tiene que invertir, en estos momentos, en aumentar su capacidad de detección proactiva para frenar los ataques. Y también en dotarse de buenos equipos profesionales. El problema es que este tipo de perfiles tiene una alta rotación y retener a ese talento dentro de empresas es complicado.“
“Otro problema en ciernes –añade Marcos Gómez- es que el Ministerio del Interior ha designado recientemente las primeras empresas como infraestructuras críticas que tienen que enfrentarse a una regulación que les va a afectar. Y afortunadamente, de momento no hemos tenido grandes problemas de ataques serios a infraestructuras críticas, pero los vamos a tener sin duda.“
Para Pablo Fernández Burgueño, “la empresa debe hacer tres cosas para tener a sus clientes satisfechos. La primera es cuidar la tecnología que se elige, de forma que nos permita cumplir la ley. La segunda, formar a los profesionales. Y lo tercero, cuidar las acciones del personal“.
Según Josep Albors, “muchas veces hablamos de amenazas avanzadas que han estado moviéndose desde hace muchos años, pero las que son realmente avanzadas son una excepción. Muchas son simples: envían un pdf, un Word… y simplemente muestran un asunto atractivo. Si el usuario que maneja la información no está formado, tendremos la batalla perdida.“
Daniel García añadió: “aterrizar esto en el mundo real es más complicado. La teoría está bien, pero el contar con gente muy formada es muy importante. No hay recursos suficientes para parar a toda la gente que está intentando hacer el mal. Es muy necesario invertir en la formación de los usuarios, pero tenemos pocos recursos y pocos especialistas“.
Según Marcos Gómez Hidalgo, la formación es muy importante, pero siempre hay que adaptarla: “para pequeñas empresas, hay que realizad formaciones en pequeñas píldoras y contar cosas que sean fáciles de entender. En grandes empresas hay que trabajar la cultura de seguridad, de forma que todos los trabajadores, al igual que tienen un manual de identidad corporativa, tengan uno de seguridad en el que se les marque la pauta de lo que se puede o debe hacer o no. Y para ejecutivos, hay que hablarles en términos económicos y financieros, para conseguir su atención. No es la panacea ni la solución universal, pero ayudará“.
Con respecto al BYOD, los componentes de la mesa coincidieron en que es un reto difícil de asumir y de gestionar. Pablo Fernández Burgueño ilustró el asunto con un suceso muy cercano a su ámbito profesional: a un directivo de una compañía multinacional de comunicación le robaron el teléfono al salir del Metro de Madrid tras haber observado cómo accedía a él con su contraseña y el terminal que contenía todo tipo de información privada de su empresa. Comentó a este respecto que “el cifrado y la securización de las empresas no es un mero trámite, hay que destinar el tiempo y los recursos que sean necesarios. Desde el punto de vista ejecutivo, no debería ser una cuestión de cuánto cuesta, sino buscar al partner adecuado y preguntarle para cuándo lo vamos a tener”.
“En INCIBE tenemos prohibido utilizar nuestros dispositivos móviles. Es una decisión que tomamos hace un año y medio aproximadamente. Y hasta que no estén creados y habilitados los procedimientos, no vamos a permitir su uso. Ha sido una decisión estratégica para pasar a un nivel superior de seguridad», dice Marcos Gómez. “Hay personas que dan soporte 24×7 que utilizan un teléfono, pero es corporativo. Cuando tengamos todo reglado y haya una pérdida de dispositivo con acceso a información sensible, esa persona tendrá la cultura acerca de qué hacer inmediatamente para mitigar los riesgos. Entendemos que es una ventaja y un ahorro. Así que INCIBE va a hacer un trabajo de promocionar el sentido común a la hora de utilizar esta práctica, hablando a diferentes niveles para cada tipo de empresa. Ahora mismo es un problema de madurez: en altas empresas hay una alta penetración de la seguridad, pero cuando vas a la pequeña o a la mediana empresa, están muy mal.”