El sector de la ciberseguridad afronta un cambio de ciclo en el que la legislación y su aplicación, la capacitación profesional y el uso de la IA van a ser los grandes desafíos y a la vez palancas imprescindibles de avance. Así se desprende de la mesa de debate organizada por Economía 3 y celebrada en la sede de S2 Grupo, en la que han participado ocho expertos en ciberseguridad pertenecientes a empresas y agentes clave del sector.
En el encuentro han compartido sus impresiones y reflexiones José Miguel Rosell, CEO y cofundador de S2 Grupo; Rafael Rosell, director comercial, de marketing y de ESG de S2 Grupo; Carmen Serrano, subdirectora general de ciberseguridad de la Generalitat Valenciana; Pablo López, jefe del área de normativa y servicios de ciberseguridad de Centro Criptológico Nacional Computer Emergency Response Team (CCN-CERT); Óscar Alcobendas, director de innovación y sistemas de información de Itínere; Francisco Lázaro, gerente de ciberseguridad y privacidad de Renfe; José María Martínez, CISO de Ferrovial Construcción; y Luis Fernández, editor y copresidente de securmática de Revista SIC.
Previo al inicio del debate, el CEO de S2 Grupo ha mostrado a los invitados las oficinas y laboratorios de la compañía, donde han podido conocer el alcance de las instalaciones y del personal. La tecnológica valenciana, que cumple este año su vigésimo aniversario, da empleo a más de 700 personas en Europa y Latinoamérica.
Tras el pequeño recorrido, Elisa Valero, socia directora de Economía 3 y moderadora de la mesa, ha introducido el debate no sin antes agradecer a los presentes la asistencia pese a sus agendas apretadas y a S2 Grupo por acoger el encuentro.
Un laberinto normativo por resolver
Elisa Valero ha dado inicio al debate poniendo sobre la mesa dos cuestiones capitales: «¿Cómo pueden las empresas navegar eficazmente por el complejo panorama regulatorio a nivel europeo y nacional?, ¿Cómo se puede asegurar la integración de los sistemas de control y no centrarse únicamente en la IT?».
El primero en tomar la palabra ha sido Pablo López, especialista del CCN-CERT, quien ha instado a «buscar que las regulaciones sirvan para enseñarte el camino a seguir«. Frente al exceso y la complejidad interpretativa de las regulaciones actuales, ha propuesto la creación de un framework de ciberseguridad (un conjunto estandarizado de conceptos, prácticas y criterios para enfocar las problemáticas propias del sector).
«Es necesario dar respuestas al marco normativo según las necesidades. La clave es implementar medidas, buenas prácticas y estándares. Cosas que deberías hacer pero nadie te dice que las tienes que hacer», ha reivindicado. El experto pone énfasis en la necesidad de «identificar dentro de las prácticas aquello que tenga sentido y convertirlo en cumplimiento».
Según ha asegurado, el principal reto con el framework es «identificar, para cada tipo de ecosistema, empresa o sector, qué se debe cumplir sí o sí y no dejar a criterio de buenas prácticas o estándares». Si bien ha atribuido grandes ventajas al concepto de «caso por caso» en la definición de las exigencias mínimas en ciberseguridad, ha reconocido que «cuando empiezas a crecer, ese caso por caso hay que trasladarlo a normativa más transversal».
Profundizando en la regulación de las obligaciones en materia de ciberseguridad, Pablo López ha apuntado que «el obligado cumplimiento es necesario, pero teniendo en cuenta que en la práctica se pueda aplicar». «Las empresas necesitan que alguien les diga lo que tienen que hacer. Hay que buscar el mínimo cómún divisor. Las medidas tienen que estar alineadas, cada uno con su connotación particular, pero estableciendo unos mínimos necesarios», ha agregado el especialista en aplicación normativa.
La subdirectora general de ciberseguridad de la Generalitat Valenciana, Carmen Serrano, ha subrayado la función explicativa que deben tener las normativas: «Nos dicen qué hacer y cómo. Las regulaciones deben ser como una vía o un plano de cómo enfocar la ciberseguridad». Sin embargo, ha admitido que «actualmente hay un laberinto regulatorio, y cuando confluyen muchas normativas, la cosa se complica».
Para resolver esta situación, la experta pide «darle un enfoque integrador y de armonización a las legislaciones». «Si superponemos todas las normativas, veremos el núcleo de las medidas que realmente van a protegernos. Hay que buscar lo aplicable, una base común», ha señalado.
El director de innovación y sistemas de información de Itínere, Óscar Alcobendas, por su parte, ha señalado que el hecho de que haya «tantas partes interesadas, sectores involucrados y tipologías de empresas» dificulta la adopción de metodologías y prácticas estandarizadas.
Además, Alcobendas ha recalcado que muy pocas empresas pueden permitirse un «entorno tan complejo para poder aterrizar normativa». «Si solo podemos trabajar con empresas certificadas que cumplan a rajatabla la normativa, nos cargamos al 80% del tejido empresarial», ha alertado.
Luis Fernández, portavoz de Revista SIC, también ha insistido en la existencia de esta brecha: «En el mundo de la ciberseguridad empresarial hay dos perfiles, quienes tienen recursos, que son muy poquitas empresas, y luego el perfil mayoritario de pymes y empresas pequeñas que no tienen recursos».
Luis Fernández también ha mencionado que existe una «quiebra en ciudadanía digital» que lleva a la confusión de los ciudadanos en términos de ciberseguridad. «La sociedad digital no es robusta. Todo lo que hay que construir hay que construirlo mejor», ha afirmado, asegurando que este «buen hacer» en cuanto a tecnología y seguridad «ayudará a la aprobación de normativa más coherente y a una mayor facilidad en la certificación de los productos».
El experto también ha sacado a relucir la necesidad de «baremos o parámetros para identificar si las empresas están tratando bien los datos». «Hoy en día todo es digital y hay que hacer los deberes. De la misma manera que las empresas generan negocio con los datos, deben tener que certificarse para ello. Habrá un momento en el que se valore esta cuestión, igual que hay neveras de cuatro estrellas o de dos estrellas, y habrá por ejemplo un indicador visual o de chequeo que acredite a las empresas en estos temas y generen confianza», ha pronosticado.
Para Rafael Rosell, director de comercial de S2 Grupo, el nivel de madurez influye mucho en el éxito o el fracaso de las medidas. «Nosotros estamos acostumbrados a un contexto con un nivel de madurez alto o muy alto. Pero si te vas al mundo pyme o fuera de los contextos corporativos, es totalmente distinto lo que ocurre».
«La ciberdelincuencia sube como consecuencia de que no estamos concienciados como sociedad. La tecnología nos puede ayudar a cubrir gaps, pero tenemos que partir de un conocimiento esencial», ha indicado el experto, que además observa «diferentes velocidades en cuanto a la implantación de la ciberseguridad incluso entre las grandes empresas». «Hay empresas que facturan barbaridades y son absolutas desconocedoras de estos temas», ha asegurado.
Francisco Lázaro, responsable de ciberseguridad de Renfe, ha subrayado que algo esencial en el cumplimiento normativo es «identificar las obligaciones». «No todas las empresas saben qué obligaciones tienen», ha asegurado. Y aunque destaca la importancia de que todas las empresas, grandes o pequeñas, cumplan la ley para el producto o servicio que ofrecen, reconoce que es un proceso complicado para las empresas más modestas.
«No sólo hay que conocer las leyes, sino que hay que entenderlas. Tienes que saber lo que pone y lo que no. Y luego hay que asimilarlas. Buscar puntos comunes y ver qué diferencias hay entre unas y otras. Pero se necesita tener un nivel de madurez que sólo lo da el tiempo y recursos».
Ciberseguridad en IT y OT: dos caminos que deben confluir, pero con sus particularidades
La viabilidad de la convergencia de IT y OT en lo relativo a la ciberseguridad también ha ocupado gran parte de la sesión. Esta convergencia se refiere a la integración de los sistemas de tecnología de la información (IT) y los sistemas de tecnología operativa (OT) en una organización.
La tecnología de la información engloba los sistemas y procesos utilizados para recopilar, procesar y almacenar información, mientras que la tecnología operativa está conformada por aquellos sistemas y procesos que se utilizan en el control y supervisión de los procesos físicos en una organización, como la producción, la distribución y la gestión de la cadena de suministro.
Sobre esta cuestión, Pablo López ha hablado de aprovechar el bagaje del mundo IT en ciberseguridad para ayudar al ámbito OT a transformarse: «En IT tenemos experiencia. Vamos a buscar algo que les sirva. Una vez tengamos una aproximación y que tenga sentido, empezamos con el mundo OT, pero teniendo en cuenta a los que tienen que llevar la regulación a la práctica».
En la tarea de alinear mundo IT y OT, Pablo López detecta una fricción entre «una zona de confort que no quiere moverse porque sobrevive y otros que dicen que o nos movemos o no sobreviviremos».
El proceso de transformación, según el experto, debe ser: «Escuchar, identificar necesidades y no obligar a nada que no pueda llevarse a la práctica. A partir de ahí: modelo, metodología, procedimiento, casos de uso, aprender y poner encima de la mesa algo que tenga sentido».
Carmen Serrano, por su parte, ha alertado que los sistemas de tecnología operativa todavía no se tienen lo suficientemente en cuenta a la hora de diagnosticar el estado de ciberseguridad en las organizaciones. «Hay que darle un enfoque integral a la ciberseguridad, pero la seguridad en OT hay que llevarla a su contexto, ya que las dimensiones de la ciberseguridad que preocupan son distintas, principalmente la disponibilidad y la integridad, mientras que en IT se prioriza la confidencialidad y la disponibilidad en algunos sistemas». «El enfoque es distinto y los sistemas de OT los generan los ingenieros industriales, por lo que hay que abordarlos desde su propia problemática, que es distinta», ha explicado.
Rafael Rosell ha indicado que se viene trabajando en la automatización de procesos desde hace muchos años y ha lamentado que «los sistemas de OT se hayan diseñado para durar muchos años», lo cual dificulta la adaptación de los sistemas a los nuevos requerimientos de ciberseguridad. «Mentalmente los ingenieros inevitablemente asociamos más la disponibilidad a la ciberseguridad de los sistemas», ha comentado.
Francisco Lázaro, en la misma línea que Rafael Rosell, ha señalado que «en un OT el diseño se hace pensando en prolongar la vida útil», por lo que no está preparado para ser modificado. En cambio, ha explicado que «en IT, lo que hoy es seguro al rato es inseguro y lo tienes que modificar», por lo que los sistemas se diseñan teniendo eso en cuenta.
Sin embargo, ha incidido en la emergencia de hacer convivir ambos paradigmas para que en OT se puedan revisar y certificar los sistemas periódicamente en materia de ciberseguridad, sobre todo en «industrias tan sensibles como la producción de material ferroviario, la aviación o las centrales nucleares».
El experto de Renfe va más allá y equipara los OT a los IT: «Da igual que los sistemas estén en una oficina, en una fábrica, un coche o un tren. Son sistemas de información diseñados por humanos y por tanto tienen defectos. Otros van a intentar sacarles un beneficio. Las bases son las mismas«.
Óscar Alcobendas apunta también a una uniformidad cada vez mayor de los criterios en IT y OT: «El paraguas cíber debería de tender a unificar el IT y el OT. Históricamente la ciberseguridad ha estado muy enfocada a entornos IT, y OT va un poco por detrás, pero está cambiando y tiene que cambiar. La línea separatoria debería ser cada vez más difusa».
El dilema de exigir ciberseguridad en todos los eslabones de la cadena de suministro
Otro de los grandes temas que han salido a la palestra durante la mesa redonda ha sido la seguridad en la cadena de suministro. ¿Qué prácticas de gestión de riesgos son cruciales para asegurar la integridad de la cadena de suministro en el contexto digital actual? ¿Cómo pueden las grandes corporaciones y administraciones públicas apoyar el desarrollo de capacidades de ciberseguridad en los eslabones más débiles de la cadena?
Francisco Lázaro ha hecho hincapié en cambiar el discurso para hacerles ver a las empresas el beneficio de implantar la ciberseguridad: «En la cadena de suministro hay pequeñas, medianas empresas y hasta microempresas. Y es necesario concienciar: tienen que saber en qué les va apoyar en el negocio, porque si no no invierten. Lo tienen que rentabilizar». Esto, asegura, es fundamental porque «no se puede exigir ciberseguridad en el nivel más alto de una organización si la cadena de suministro no la tiene».
En cualquier caso, el especialista subraya la importancia de que en todas las empresas haya responsables de seguridad, marcos de procedimiento, análisis de riesgos, planes de gestión de ciberseguridad internos y externos y planes de comunicación. «Con estos elementos se puede llevar adelante la ciberseguridad en la cadena», asegura, aunque para ello, puntualiza, es necesario que las empresas grandes «incluyan requisitos de seguridad y asuman un rol de exigencia de la ley y de las políticas internas».
En cambio, y en palabras de José María Martínez, «es muy difícil exigir a proveedores de la cadena de suministro que cumplan todo lo que hay que cumplir». Aunque ha destacado la importancia de trabajar en ello, debido al gap que implica el proceso, propone una estrategia reactiva: «Me centraría en los sistemas de respuesta y recuperación».
«Yo asumo que podemos ser vulnerables, pero ¿qué puedo hacer el día que sea vulnerado? Que es algo que va a pasar antes o después. ¿Qué podemos hacer internamente o con terceros no expuestos a lo mismo para poder continuar las operaciones y recuperarnos?». «El reto es la protección, pero el problema es hasta donde llegamos cuando metemos a terceros», ha agregado.
Ante esta intervención, Pablo López ha mostrado su desacuerdo. «Basar la estrategia en la respuesta-reacción no lo veo. Estás siendo reactivo y creo que aquí hay que ser proactivo. Si no aprendo y pongo las medidas para que eso no pase, al final colapso», ha declarado. Y ha añadido que hay «dos aproximaciones, gestionar el ruido o evitar la guerra» y que él se queda con la segunda opción.
José Rosell, en contraposición, ha subrayado que «los mecanismos de respuesta y recuperación sí son importantes porque trascienden de la mera prevención de ataques». «Constituye la diferencia fundamental entre tener la capacidad de reaccionar y reparar los daños con prontitud o encontrarse desprovisto de dicha capacidad. Esta distinción no es trivial, sino esencial para la preparación y resiliencia ante incidentes adversos», ha destacado.
Carmen Serrano también se ha sumado al enfoque de José María Martínez y ha instado a «trabajar la preparación y tener vías y planes de continuidad de negocio». «Muchas veces los planes de contingencia no tienen que ver tanto con las TIC, sino en cómo seguir trabajando con elementos críticos para la continuidad de la organización». En este sentido, defiende que «no solo hay que prevenir los ataques y poner medidas para que no sucedan», sino que «hay que estar preparados para una cibercrisis».
Por otro lado, el CEO de S2 Grupo ha enfatizado que la exigencia de adaptación a la ley de los distintos eslabones de la cadena de suministro no admite discusión: «No puede haber opción. Vas a perder proveedores por el camino, pero tiene que ser así». Sin embargo, reconoce la dificultad de esta perspectiva, ya que introducir la ciberseguridad en toda la cadena genera una complicación: «Hay que elegir de forma apropiada y a la vez vigilar que lo que has elegido bien hoy siga estando bien mañana».
Ante la realidad de que los proveedores son el eslabón débil de la cadena en temas de ciberseguridad, Óscar Alcobendas pide «más acciones de concienciación y formación» a través de «ejercicios que pueden ser más sencillos y efectivos con los empleados» y «otros más complejos enfocados a los especialistas de IT y OT».
Más allá del cumplimiento: la ciberseguridad como ventaja competitiva
«Las empresas necesitan ver a la ciberseguridad como una solución que aporta competitividad y no como una obligación normativa». Así lo ha recalcado Óscar Alcobendas, insistiendo en que la ciberseguridad es algo que mejora las cualidades de cualquier producto y servicio.
Ante las dudas planteadas sobre el papel que las grandes corporaciones deben asumir en la introducción de la ciberseguridad en las pymes, José Rosell se ha mostrado tajante: «No puede haber opción porque el impacto en toda la cadena es enorme. Si no, las pequeñas no ven la necesidad ni el beneficio».
Respecto al tema de adaptar los protocolos y mecanismos de ciberseguridad a las legislaciones particulares de cada país cuando se exportan o importan productos y servicios, Jose María Martínez ha asegurado que «lo importante es poner de antemano la base técnica en cuanto a medidas de ciberseguridad». «Si lo haces, luego a la hora de cumplir con la regulación americana, europea u otras te facilita mucho las cosas. Casi todas las regulaciones acaban pidiendo cosas muy similares en cuanto a infraestructura».
Además, el experto aduce que «eso que ya has montado en ámbitos muy complejos en cuanto a normativa y exigencias, como por ejemplo Austrialia, puedes llevártelo a otros mercados y, aunque no haya una regulación, los clientes lo van a valorar».
En la misma línea, Francisco Lázaro ha apuntado que «si exportas, puedes afrontar la ciberseguridad de dos formas: porque es obligatorio, en cuyo caso lo vas a llevar mal; o porque es algo competitivo que mejora tu empresa, que es algo que se ve poco». «Si tu producto tiene ciberseguridad y eres capaz de venderlo, vas a ser más competitivo. Si lo tomas como una carga, va a ser siempre un gasto», ha añadido.