De su background profesional destaca el interesante mix que ofrece entre tecnología, negocio y auditoría interna. Esto le ha permitido ver la ciberseguridad desde una perspectiva muy amplia, que abarca a toda la organización. “Las empresas gestionan muchos riesgos y uno de ellos es el de la ciberseguridad; debe gestionarse de forma similar a como se hace con los demás, tiene que ser analizada y puesta en valor frente al resto de los elementos de la organización. Todo lo demás es discurso de consultor”.
¿Con qué objetivos llegaste a Capgemini?
Tanto a nivel local como global, Capgemini está inmersa en una serie de iniciativas para aprovechar la actual necesidad del mercado respecto a ciberseguridad. Una de ellas es la de dotar de una mayor estructura y de una dirección mucho más clara a las actividades en todos los países, también en España.
Dentro de esas iniciativas está mi incorporación, junto con la de otras personas, y nuestro objetivo es poner en marcha la estrategia para facilitar el crecimiento del departamento, junto al del propio mercado, que es impresionante. Sin entrar a dar datos concretos, en el último año el área de ciberseguridad ha crecido más de un 30%. Incluso me atrevería a decir que vamos a terminar el año por encima del 45%.
No hay que olvidar que las organizaciones criminales son empresas y buscan rentabilizar la inversión
Hace un año, cuando llegué a Capgemini, la empresa se encontraba en un proceso de transición muy importante, en el que influyó mucho la incorporación de Altran. En ese momento, el área de seguridad estaba preparada para dar el salto y jugar en ligas mayores, pero faltaba la estructura que debería ayudar a que se posicionase de una manera relevante en un mercado muy competitivo. De hecho, los objetivos que tenemos pasan por triplicar el número de empleados a medio plazo, algo que, a día de hoy, no es descabellado.
Además, nos encontramos en un momento dulce de inversión. La idea de Capgemini global es que demos servicio al resto de Europa y también a Latinoamérica. En realidad, acabamos de inaugurar la ampliación de la sala que teníamos en Asturias y a principios de año haremos lo propio con una nueva sala, también en España.
¿Cuál es el estado real de la ciberseguridad?
Bueno, esto depende mucho del sector. Históricamente, algunos de ellos han sido un claro objetivo de ataques y han tenido que madurar a la fuerza. Por ejemplo, el sector financiero, en el que el nivel general de seguridad es mucho más elevado que en el resto.
En el otro lado, encontramos a las empresas industriales, que históricamente no han sido objetivo de los cibercriminales, aunque en estos últimos años sí han empezado a estar en su punto de mira. Estas empresas están intentando recorrer, en dos o tres años, ese camino que el sector financiero ha hecho en los últimos veinte. Pero es que no tienen mucho más tiempo, sobre todo porque «los malos» no se lo van a dar.
En cuanto al tipo de ataque, el más común es el de ransomware. Hay empresas que se quedan totalmente paralizadas, con todos sus equipos bloqueados, su información cifrada… En algunos casos, la única forma de salir es pagando al cibercriminal.
En otro ámbito encontraríamos los ataques que se lanzan contra las infraestructuras críticas y los servicios esenciales de un país. En estos el perfil del atacante es distinto. Muchas veces provienen de naciones Estado, que buscan tomar posición dentro de esas empresas de tal manera que, en caso de conflicto, pueden generar disrupción o incluso paralizar su funcionamiento. Estos ataques son más difíciles de evitar, teniendo en cuenta los recursos con los que cuenta un Estado frente al enfoque que tiene una organización criminal, que se mueve por un análisis coste/beneficio.
No hay que olvidar que las organizaciones criminales son empresas y buscan rentabilizar la inversión. Por tanto, hay que intentar protegerse lo suficiente como para que no les resulte rentable atacarte.
¿Los presupuestos en seguridad deberían haber sido otros?
Sin duda, esa es la primera reflexión que harán aquellas empresas que han sido afectadas, pero no tiene por qué ser así. Se puede gastar todo el dinero del mundo, pero, aun así, no se puede asegurar la protección al 100%.
Con la digitalización, todos los procesos críticos han pasado a tener una dependencia total y absoluta de los sistemas
En cualquier caso, el innegable aumento del número de incidentes de seguridad es algo que se veía venir. Con la digitalización de las organizaciones, todos los procesos críticos de las compañías han pasado a tener una dependencia total y absoluta de los sistemas. Esto ha permitido que las empresas avancen y puedan hacer cosas que antes eran impensables, pero han concentrado la continuidad de la organización en una serie de plataformas tecnológicas o de sistemas. Esto ha dado alas a las organizaciones criminales.
A principios de los 90, el ataque a una compañía —cifrando sus ordenadores— seguramente no habría afectado tanto, porque sus procesos no estaban tan digitalizados; se podían seguir ejecutando sin depender de los sistemas. Pero en pleno 2021 a las empresas se les ha olvidado cómo funcionar si no es a través de sus sistemas; y si no tienes todas tus aplicaciones funcionando no sabes cómo acercarte a tus clientes o lanzar tus pedidos, y, aunque supieras, no serías capaz de hacerlo con la velocidad y eficiencia que necesitas. El ataque a Maersk o a Norsk Hydro, por ejemplo, paralizó ambas compañías. Intentaron volver a funcionar a través de formularios en papel, pero no sabía cómo y tuvieron que recurrir a los más veteranos. Solo ellos sabían cómo actuar en esos casos, el resto del personal estaba bloqueado.
En pleno 2021 a las empresas se les ha olvidado cómo funcionar si no es a través de sus sistemas
Otro ejemplo sería la reciente caída de WhatsApp. Algunas de las empresas que lo utilizan para comunicarse con sus clientes no sabían cómo proceder. Es algo que no se habían planteado y la empresa se detuvo.
¿Digitalización y ciberseguridad evolucionan a la misma velocidad?
No. Desgraciadamente, nunca ocurre así. Primero se abre el camino y luego se aprende a securizarlo. Es inevitable. Muchas empresas, cuando dan el paso hacia la digitalización —sobre todo las que lo dieron hace diez años— seguramente iniciaron el camino sin tener en cuenta la seguridad como una de las claves en ese proceso. De hecho, en muchos casos ahora están teniendo que cambiar o actualizar toda esa manera de funcionar para confirmar que realmente se ha hecho de forma segura.
Es el problema de ser el primero de la clase: conlleva un riesgo inevitable. Se obtiene un beneficio: puedes dar un valor añadido a tus clientes y diferenciarte en el mercado; pero esto implica un riesgo: estás pisando terreno desconocido.
¿La seguridad debe frenar estos procesos de transformación?
No debería y, si eso ocurre, es un problema. En muchas organizaciones, a la gente de ciberseguridad se la ve como stoppers. Es el típico perfil de alguien que solo sabe decir que no. Eso hay que cambiarlo.
Muchos profesionales de ciberseguridad no han aprendido que lo realmente importante de una empresa es hacer dinero
Muchos de los profesionales que trabajan en ciberseguridad no han aprendido que lo realmente importante de una empresa es hacer dinero. Ese es el objetivo. Para ello, primero tienes que generar un negocio para después poder protegerlo. No existe nada más seguro que un ordenador apagado dentro de un bloque de hormigón y hundido en el puerto de Barcelona, pero eso no sirve para nada.
La ciberseguridad no es más que un ejercicio de gestión de riesgos. Hay que saber hasta qué punto la empresa está dispuesta a exponerse, y eso hay que valorarlo teniendo en cuenta el apetito por el riesgo de su comité ejecutivo y de sus accionistas.
¿Está cambiando en la empresa la percepción de la ciberseguridad?
Sin ninguna duda. A nivel de dirección, la exposición mediática que están teniendo los ataques hace que sea mucho más sencillo convencer de la necesidad de implementar ciertas medidas. Hace años, cuando les hablabas de ciberseguridad, muchas veces te miraban casi como si estuvieses «hablando en chino». Hoy ya no hace falta que des ejemplos, no tienes que llenar un PowerPoint con imágenes de lo que le ha ocurrido a otra empresa. De hecho, muchas veces nos llaman porque su mayor competidor está absolutamente bloqueado y alguien del consejo ha dicho: “Señores, ¿estamos seguros de que a nosotros no nos puede pasar exactamente lo mismo?”.
Aunque ha crecido la concienciación, el eslabón más débil sigue siendo el empleado. Aquí hay que tener cuidado porque se corre el riesgo de querer echarle la culpa de lo que ocurre, y ese no es el enfoque correcto. Decimos que es el eslabón más débil porque no es experto. “El malo” lo sabe y se especializa en engañarle o ganarse su confianza para conseguir pasar esa primera barrera y tener acceso a los sistemas.
Aunque ha crecido la concienciación, el eslabón más débil sigue siendo el empleado
Junto con la concienciación, lo que hay que hacer es desarrollar medidas de seguridad para que el empleado tenga formas de protegerse, de detectar que lo que está pasando realmente es una amenaza. Y, en caso de que ocurra un incidente, que el impacto no sea elevado o ilimitado para la organización, sino que sea contenido.
No se puede simplemente trasladar la responsabilidad señalando al trabajador, porque éste comete errores y seguramente los va a seguir cometiendo. Quedarse en esa reflexión no beneficiará a nadie.
¿La tecnología es el principal habilitador de la seguridad?
La tecnología es solo una herramienta más, pero es muy importante contar también con procesos muy bien establecidos. Además, aun con la tecnología más cara, siempre hace falta que haya alguien que la esté gestionando. Es importante que esté bien configurada y enfocada en proteger los activos de la organización de la mejor manera.
Aun con la tecnología más cara, siempre hace falta que haya alguien que la esté gestionando
Este es el triángulo clave: tecnología, procesos y personas. Si falla alguna de estas patas, el enfoque estará cojo y fallará. Si solo te focalizas en tecnología, en personas o en procesos, el proyecto fracasará. Tienes que conseguir un mix que, de nuevo, dependerá de cada compañía, del tipo de sector y de los activos que se estén protegiendo.
Pero es un aliado inevitable
Sí, es evidente. Hay que utilizarla, pero detrás siempre tiene que haber personas. Cuando alguien llega con un discurso que promete que una herramienta te va a solucionar la vida, generalmente hay que cogerlo con pinzas. Rara es la organización que va a permitir a una herramienta tomar, de manera autónoma, la decisión de detener alguno de sus procesos de negocio —porque cree que está ocurriendo algo anómalo— sin que haya una persona por encima que lo valide. Hay que asegurarse que el remedio no sea peor que la enfermedad.
Las personas son y van a seguir siendo necesarias. En cualquier caso, herramientas como la automatización, el deep learning o la inteligencia artificial van a facilitar mucho la ejecución de tareas que consumen mucho tiempo, lo que va a facilitar la respuesta frente a ciertos incidentes.
Aun así, todavía estamos muy lejos de encontrar una solución que, basándose en estas tecnologías, pueda llegar a responder de forma adecuada a todos estos retos.
¿La ciberseguridad se debe gestionar de forma interna?
Las empresas se tienen que dedicar a lo que es core para ellas. Una empresa tiene que ser consciente de dónde aporta valor, qué sabe hacer, y para el resto de áreas intentar aprovecharse del conocimiento de otras empresas especializadas. En el tema de la ciberseguridad ocurre exactamente igual.
Las empresas tienen que dedicarse a aquello que mejor saben hacer, a su core, y dejar el resto a los especialistas
Hay una serie de roles o de funciones que sí deberían mantenerse de manera interna, pero el mundo de la ciberseguridad es muy amplio y evoluciona muy rápidamente. Para una empresa que no se dedica de manera específica a la ciberseguridad, mantener el paso es muy complicado. Además, dependiendo del tamaño de la organización, no va a escalar de ninguna manera. Las empresas tienen que dedicarse a aquello que mejor saben hacer, a su core, y dejar el resto a los especialistas.
En cuanto al porcentaje de esta externalización, depende mucho del nivel de madurez de las empresas. En el sector financiero, el nivel es muy alto porque tienen muchísima gente a su cargo.
En organizaciones más pequeñas ese porcentaje se reduce mucho, pero únicamente porque todavía no han desarrollado todos los procesos de ciberseguridad y, llegado ese momento, tendrán que tomar las mismas decisiones que el resto.
Vamos hacia modelos en los que los managers y ciertas posiciones clave estarán internalizados, y el resto de puestos, que requieren un conocimiento más específico y cambiante, serán externalizados. Es similar a lo que ocurre en cuanto a la externalización del área de TI.
El sector industrial también tiene un reto muy relevante
Es un entorno muy particular, teniendo en cuenta el tipo de sistemas que tienen en sus instalaciones y el diferente impacto en caso de incidente, ya que sus consecuencias traspasan el ámbito digital al ámbito físico. En los entornos de TI, los sistemas y las plataformas se amortizan muy rápidamente, en tres, cinco o siete años. Sin embargo, en entornos OT (Operational technology), la amortización de las máquinas y de los sistemas asociados se realiza en quince, veinte o treinta años. De hecho, en muchos casos envejecen y se quedan obsoletos dentro del propio ciclo de amortización.
Eso obliga a plantear una protección distinta y también ha propiciado que el sector industrial se encuentre en el momento de debilidad actual. No es solo que no hayan invertido en ciberseguridad en los últimos años, sino que, además, ahora que tienen que hacerlo se encuentran con plataformas obsoletas y que no les permiten tomar ciertas decisiones.
Para trabajar en estos entornos hace falta un conocimiento muy particular, algo que no es común en el mercado. En la universidad, la mayor parte de la formación está muy enfocada a TI. Históricamente los entornos industriales se veían desde la ingeniería industrial, no desde la ingeniería informática o la de telecomunicaciones, que suelen ser las formaciones de base de los profesionales de ciberseguridad. Afortunadamente, ahora ya empieza a haber títulos específicos en esta área.