Hacia el reto de convertir Euskadi en un polo vasco de ciberseguridad

Por su papel clave en el universo de la ciberseguridad en Euskadi abrió el encuentro el Centro Vasco de Ciberseguridad, haciendo un primer balance de sus principales logros desde su puesta en marcha en octubre. El más destacable, haber establecido un punto de encuentro y de referencia para empresas, centros tecnológicos, universidades y agentes que están participando de los servicios de la ciberseguridad en Euskadi, según su director.

Tanto empresas de ciberseguridad como centros de investigación en la materia afrontan una evolución rápida en la búsqueda de soluciones eficaces. “No queda otro remedio. El sector de la seguridad tiene que ser siempre adaptativo a lo que ocurre en la realidad. Las personas o herramientas encargadas de realizar ataques son muy sofisticadas y se actualizan todos los días. Ante este panorama, quienes intentamos defender debemos hacer lo mismo para poder responder a esos ataques”, asegura Raúl Orduna.

Jon Matías, en un contexto de creciente concienciación, que atribuye en parte al hecho de que están llegando a la opinión pública los problemas con la seguridad a raíz de ataques tipo Wannacry, ve necesario “adaptarse a las necesidades de las empresas y desde el punto de vista de la seguridad hacerla gestionable para ellas. Esto es, que entiendan lo que están haciendo, cómo se están protegiendo y qué tipo de problemáticas pueden tener”.

Desde Nextel también perciben que las empresas son conscientes de la necesidad de invertir en materia de ciberseguridad y de contratar servicios de expertos, “sobre todo cuando ven en peligro su modelo de negocio”. Una percepción que comparte Javier Diéguez, desde el BCSC. “O se ve el impacto en la cuenta de resultados y se entiende cómo esa transferencia tecnológica mejora el negocio, o es muy difícil explicarle al directivo por qué tiene que hacerlo”.

A este respecto, desde Vicomtech, Raúl Orduna va más allá sugiriendo tener en cuenta la seguridad ya desde la gestión, a todos los niveles. “Más como una forma de pensar y de actuar que como una herramienta que puedas poner”. Y sin perder de vista la importancia de que “personas, procesos y tecnología estén aunados”, recuerda Jon Matías.

Protección de datos La reciente entrada en vigor del nuevo Reglamento General sobre Protección de Datos (GDPR), que recoge los derechos de los usuarios, deberes de los responsables del tratamiento de datos y sanciones para quien infringe las normas, trae consigo dos grandes aportaciones, como explica Javier Diéguez. “Por un lado, el impulso de la trazabilidad de los datos que se recogen de las personas, cuáles se cogen y con qué propósito. Y, como consecuencia de ello, se genera mayor transparencia”.

Ello pese a que considera que la aplicación de la normativa es “muy complicada y tendrá distintas repercusiones para las empresas en el corto plazo, según se trate de corporaciones financieras y de seguros, con alto grado de madurez en este tipo de legislaciones, o de las pymes, entre las que hay confusión respecto a qué hacer, cómo hacerlo o cómo integrar en su organización la figura del Data Protection Officer, por ejemplo. Y existe una capa intermedia que está intentando hacer lo que puede, distribuyendo a diestro y siniestro nuevas peticiones de consentimiento, contratando servicios de consultoría?”

Además, desde su conocimiento de la situación alerta de que en este contexto “hay numerosas empresas de seguridad que están intentando hacer negocio vendiendo servicios, proyectos, etc., a veces con buen criterio y en otras ocasiones simplemente aprovechándose de la necesidad unida a la falta de criterio. Se ha generado una gran confusión y recomiendo acudir a proveedores de confianza”, subraya al respecto, al tiempo que anuncia que va a haber un tiempo de adaptación y aprendizaje, tanto del organismo regulador como de los afectados, con lo que hasta aproximadamente dentro de un año no augura un rodaje con cierta madurez de la aplicación del reglamento.

Con esta complejidad de la normativa coincide Raúl Orduna, quien ve positivo que estas medidas de protección de la privacidad han ido evolucionando en el tiempo y se van adaptando a la situación real, aunque “con un poco de decalaje”, como comenta también Javier Diéguez.

En cualquier caso, Juantxu Mateos alaba que el nuevo reglamento “llega a tiempo, porque estábamos en un momento en el que parecía que valía todo. Ahora empezamos a observar que existen leyes y un órgano sancionador, lo que va a ayudar a las compañías a tratar los datos de los clientes con cuidado”.

En definitiva, lo esencial es “la privacidad de los usuarios y sus datos, que van a estar más protegidos”, sentencia Jon Matías.

Frente a la versión anterior de la ley, que era “pan para todos”, Raúl Orduna matiza un detalle enlazado con la gestión de la seguridad, ya que “ahora se hace especial hincapié en analizar los riesgos que tiene cada organización con sus datos. De ahí que conmine a hacer primero un análisis, asegurarse de lo que es importante y poner medidas para protegerlo, ya que cualquier medida de prevención no es gratis”.

Oportunidad de negocio La ciberseguridad se perfila como una importante oportunidad de negocio para muchas empresas, lo que suele ser terreno abonado para el intrusismo. Si bien desde el BCSC aducen que “en este sector, los fallos son caros y los errores se conocen rápidamente. Cualquier problema que tenga el cliente por falta de rigor o por negligencia del proveedor deja marcado a este”. En cualquier caso, “el intrusismo existe, pero hay medidas que intentan evitarlo”, apostilla Orduna.

De hecho, Jon Matías observa que la carencia de profesionales formados puede dar pie a este problema ante la gran demanda de servicios. “Aquí entra en juego la cultura de la empresa y valores como la importancia de la transparencia y la confianza total en la relación con el cliente, al que hay que ofrecerle lo que realmente necesita”.

Por su parte, el director de Desarrollo de Negocio de Nextel media en la cuestión calificando de positivo el hecho de que van surgiendo nuevas empresas y se congratula del volumen de emprendizaje en Euskadi en este sector. “Hay cabida para todos. Luego el mercado te va poniendo en tu sitio”, puntualiza.

Ayuda experta En cuanto a la subcontratación de servicios en cuestión de ciberseguridad frente a realizarlos internamente, los expertos recuerdan que se requieren en muchas ocasiones distintos perfiles, en redes, en programas, procesos? y “las organizaciones pequeñas y medianas normalmente no pueden permitirse tener a tantos expertos en plantilla”, explica Raúl Orduna. De modo que si los servicios profesionales son más baratos y más eficaces se externalizan.

Juantxu Mateos, de Nextel, expone que “ciberseguridad no es solo poner un cortafuegos y olvidarse, y además requiere un servicio 24 horas al día. Al final hay que tirar de expertos donde los haya, dentro o fuera”.

No obstante, Javier Diéguez plantea que una organización que contrata toda su ciberseguridad como plantilla propia o como departamento interno, de alguna manera pierde perspectiva global. Está resolviendo el problema en el corto plazo, mientras que en el largo está pagando un precio de falta de visión transversal. En suma, Raúl Orduna argumenta que hay una parte que se puede tener de forma interna, pero es enriquecedor subcontratar y externalizar parte del expertise, porque las empresas que se dedican a prestar estos servicios están mucho más en contacto con la evolución del sector y son más capaces de adaptarse a los cambios de contexto”.

Jon Matías refuerza esta opinión subrayando que “como empresa buscas un servicio que te solucione un problema, porque ese no es el core de tu negocio. Una parte interna de la empresa debe estar concienciada de la importancia de la seguridad y participar de los planes de seguridad en cuanto a su definición. Pero respecto a la ejecución, se puede externalizar”.

Tendencias En ciberseguridad se observan diversas tendencias. En este sentido, el director del Basque Cybersecutity Centre explica que “sobre todo en lo relacionado con el concepto de estar preparados para las vulnerabilidades del futuro se está desarrollando tecnología alrededor de inteligencia artificial que permite que los dispositivos que protegen la seguridad de las redes sean capaces de identificar situaciones anómalas”.

En cualquier caso, desde Vicomtech perciben que los ataques cada vez son más sofisticados y por ello, cada vez se necesitan herramientas más sofisticadas para combatirlos. “Pese a tener cuidado, si el ataque existe se puede detectar, con más o menos esfuerzo, ya se trate de un hacker, un malware o incluso en un ataque interno que accede a determinados ficheros de la organización. Y en ello seguimos trabajando”, asegura Raúl Orduna.

Avanzando en la cuestión, Jon Matías señala que la complejidad viene derivada de cómo proteger de la misma forma una gran corporación, que va a tener más superficie y más interés para los atacantes, o una pequeña empresa. Según él, se tiende a que cada vez haya mayor visibilidad de lo que está sucediendo y que el control se centre en lo importante. A partir de ahí, Raúl Orduna insta a “tomar contramedidas, para evitar que los sistemas sufran demasiado daño”.

El propio director del Basque Cybersecurity Centre, en sintonía con Raúl Orduna y Juantxu Mateos, confirma que “la clave está en reducir los tiempos de detección y preparar la organización para que cuando pase, salga lo menos dañada posible del impacto. Es lo que denominamos ciberresiliencia, como nuevo enfoque hacia la seguridad empresarial”.

A este respecto, Nextel preconiza los mantenimientos “preventivo, predictivo y luego correctivo si hiciera falta”. Y Jon Matías, de Keynetic Technologies, concluye que “lo importante es detectar lo que está sucediendo y luego tener las medidas preparadas. No se puede improvisar. Hay que estar preparado”.

Entre las tendencias más asentadas del sector, Raúl Orduna trae a colación los cyber ranges. “Son escuelas de cómo reaccionar a ataques y tomar decisiones en tiempo real”.

Grandes avances Con la vista puesta en el futuro y preguntados sobre los grandes avances que se esperan en este mundo en continua evolución, los expertos echan la vista a la industria 4.0, por ejemplo, donde hay máquinas con alto grado de autonomía, y reivindican, como en el caso del director de Desarrollo de Nextel, mayor atención a la protección de sistemas electrónicos o microelectrónicos, ya que “por ahí van a venir una serie de ataques permitidos por deficiencias en los propios microprocesadores”. Además, están distribuidos por todo el mundo, como especifican desde Vicomtech, “y dentro de poco en dispositivos médicos”, según alerta el BCSC. Así las cosas, y lejos de ver la digitalización como causante de riesgos indeseados, Javier Diéguez alude a los ataques ciberfísicos -hasta ahora centrados sobre todo en el ámbito más industrial-. Son ataques que se producen por medios electrónicos y que pueden tener efecto en el mundo físico, en forma de vertidos residuales, accidentes laborales, incendios, etc. Así, desde su óptica de experto, avanza que “en el futuro, si se sigue creciendo sin tener especial cuidado en la aplicación de sistemas electrónicos con procesadores embebidos en el ámbito sanitario se podrían provocar ataques con consecuencias catastróficas para la vida humana”. Con relación a este impacto en la realidad, Jon Matías prevé que a día de hoy, el sector eléctrico está muy en el punto de mira para este tipo de atacantes.

Sin intención de que cunda el pánico en materia de ciberdefensa, y con un mensaje tranquilizador, desde Vicomtech no quieren olvidar que en el mundo hay tendencias sobre sectores muy críticos que son vulnerables, como el energético, alimentario?“Este tipo de guerra es mucho más barata. Ahora no hacen falta grandes recursos financieros para crear un ciberejército potente, que se puede incluso subcontratar”, especifica el director del Centro Vasco de Ciberseguridad. “Lo que se denomina Crime as a Service o ciberdelincuencia al alcance de cualquiera. La protección de perímetro básica se ha vuelto, por tanto, insuficiente, aunque necesaria (firewalls) y se requieren medidas complementarias”, advierte.

En definitiva, Juantxu Mateos afirma que “está en juego la sociedad del bienestar, y hay que tenerlo en cuenta”, como reivindican igualmente desde el BCSC. Trasladando esta idea al mundo industrial, Jon Matías previene del impacto en la cuenta de resultados que puede tener la no seguridad. “Hay que asumir que las empresas van a tener más riesgos de ciberseguridad y van a necesitar protegerse mejor”, incide. Por ello, “el directivo debe ver la ciberseguridad como una inversión, no como un gasto”, recalca Juantxu Mateos.

En este escenario se plantea la carencia de profesionales en el sector de la ciberseguridad, que está dificultando el crecimiento de las empresas y limitando sus capacidades.

Vías de mejora Actualmente, como vías de mejora, el BCSC está intentando promover la herramienta de la FP que “va a tener un rol mucho más importante que la universidad en el corto plazo, principalmente por el tipo de profesionales que se demandan para operaciones de ciberseguridad”.

Al mismo tiempo, el organismo de referencia en Euskadi en ciberseguridad aboga por innovar en tecnologías de capacitación (cyber ranges) y por captar personal en edades tempranas hacia los empleos digitales, a través de vocación y promoviendo talleres lúdicos que puedan generar desde edades tempranas cierta inclinación a acercarse a la tecnología y desarrollar su capacitación profesional en este ámbito.

Por otra parte, en el panorama de la ciberseguridad planea el fantasma de la cautividad, referida a la dependencia de Europa respecto a economías como EE.UU. o Israel. En este sentido Javier Diéguez opina que “Europa tiene que dar un paso adelante y encontrar el nicho en el que desarrollar tecnología propia”. Y ahí enraíza el concepto de emprendimiento, de investigación y desarrollo, y nacimiento de start ups. “Es un reto importante y no es fácil. Además, estamos en desventaja también por el modelo que existe en las economías occidentales frente a actores como China”.

En ello coincide el director de Ciberseguridad de Vicomtech, quien subraya la importancia de incentivar el mismo avance que tienen los países punteros en la materia, siempre con visión del riesgo, y a partir de ahí “concienciarse en torno a la seguridad en el ámbito empresarial e incluso a nivel doméstico”.

Desde su trayetoria empresarial, Juantxu Mateos concibe que Euskadi tiene el caldo de cultivo idóneo para desarrollar un polo de ciberseguridad y demanda al Gobierno vasco “ponerse al frente para remar todos en la misma dirección, desarrollar ese ecosistema de negocios y salir al mundo”.

Hay que aprovechar que “somos pioneros en materia de ciberseguridad e impulsarlo para ser referentes”, según Raúl Orduna. Una afirmación que el director del Centro Vasco de Ciberseguridad apuntala con el dato de que “la densidad de start ups tecnológicas y de empresas dedicadas a la aplicación de ciberseguridad en Euskadi es muy alta”. A su entender, uno de los grandes retos a abordar a corto/medio plazo es la creación de un sector de la ciberseguridad como grupo de interés definido que traccione, con una estrategia clara. Y en esta línea “atraer a Euskadi inversores, grandes referencias del mundo digital y también personas de referencia internacional”.