Cada vez somos más conscientes a todos los niveles, desde los usuarios hasta la administración, pasando por pymes y grandes empresas, de la necesidad de redoblar esfuerzos en materia de ciberseguridad. Sin embargo, aún hay camino que recorrer y mucha labor de formación, coordinación y, en definitiva, de concienciación al respecto. Así se ha puesto de manifiesto en la mesa redonda ‘El mapa de España en ciberseguridad’, desarrollada en el marco del Digital Enterprise Show (DES).
Gianluca D’Antonio, presidente ISMS Forum y CIO del grupo FCC, ha resaltado que una de las mayores dificultades de orquestar una estrategia de ciberseguridad nacional reside en que, entre otras cosas, se trata de “un proceso cambiante” y en constante evolución. También ha alertado del “déficit de atención” y formación que a veces presentan los directivos de las empresas en esta materia cuando, en su opinión, deberían empezar a tomarse la ciberseguridad como parte importante del plan de prevención de riesgos de la compañía.
Por su parte Mar López, jefa de Ciberseguridad del Departamento de Seguridad Nacional (DSN) ha puesto en valor el modelo que se va construyendo en España, donde este tema ya es un asunto de interés estratégico y político. No obstante, ha puntualizado que “el modelo tiene que seguir avanzando, coger fuerza y ser más robusto. Pero no tiene nada que envidiar al de otros países”.
Otro de los aspectos que se ha puesto encima de la mesa es la necesidad de reforzar la colaboración público-privada ya que, si bien la ciberseguridad debe ser un asunto de máxima prioridad para la administración, “el 80% de las infraestructuras críticas del país están en manos privadas” ha expuesto Rafael Pedrera, jefe de operaciones de la Oficina de Coordinación Cibernética (OCC) del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC). Un dato que, a su juicio, obliga a un contacto constante con la industria de tal forma que la administración pueda “tener una visión horizontal de todos los sectores estratégicos” como son el agua, la electricidad, etc.
A este respecto Marcos Gómez, subdirector de Servicios de Ciberseguridad en el Instituto Nacional para la Ciberseguridad de España (INCIBE), ha declarado que “se está invirtiendo mucho en formación y capacitación en las grandes empresas”, sobre todo a partir del Wannacry, un incidente que alertó de la necesidad de tomárselo más en serio y destinar más recursos. “Pero es una cuestión generacional y a medida que pasen los años estaremos hablando de un tema distinto”, ha advertido, y por eso se pasará de trabajar en la concienciación, a hacerlo en la detección y actuación a tiempo real ante ciberataques.
TAREA DE TODOS
Precisamente, “aumentar la capacidad de detección y de compartir la información” es el doble reto pendiente para la ciberseguridad, tal y como ha señalado Luis Jiménez, subdirector del Centro Criptológico Nacional. Pero es necesario afrontar estos desafíos desde una perspectiva internacional e implicando a todos los actores bajo la idea de que “antes se decía que el usuario era el eslabón más débil de la cadena y ahora decimos que es el más importante”. Sin embargo, eso no quita su gran parte de responsabilidad a unas empresas que actúan de forma diferente en función de su tamaño.
A juicio de Jiménez, en las pymes “no existen estrategias definidas en este sentido, y hay menos conciencia” y sólo se aplican si hay una normativa que les obliga. “Si no, no tienen capacidad porque no es un tema que todavía les haya hecho suficiente daño”. Caso distinto es el de la gran empresa, que “hace tiempo que se ha tomado en serio la ciberserguiriodad y tiene equipos muy potentes y tiene puestos muy importantes en su gobernanza”. El único pero, ha dicho, es que “les pediría que fueran más transparentes”.
