Desde la dirección general de GMV Secure e-Solutions, Luis Fernando Álvarez-Gascón ha liderado a nivel internacional el negocio de soluciones seguras para grandes empresas de telecomunicaciones, banca y seguros, administraciones públicas, sanidad e industria. Su actividad en organizaciones de representación empresarial es intensa: es presidente del Foro de Empresas Innovadoras y vicepresidente de Ametic y de la comisión de I+D+i de la CEOE, además de uno de los 12 integrantes del Comité Científico y Técnico de la Agencia Estatal de Investigación.
Pregunta: Es interesante el paso que hace en GMV un profesional que viene del mundo de la tecnología y la innovación, vinculado al negocio, hacia el ámbito de la ciberseguridad. Es una transición que quizás debería ser cada vez más habitual en las compañías.
Respuesta: En los 90 el responsable de seguridad era un paria, porque nadie entendía bien la materia. Se daba por hecho que era un asunto del departamento de informática. Ahora la figura del CISO está presente en el comité de dirección. Se ha avanzado mucho en el conocimiento y la preparación de los CEOs afortunadamente en cuanto a las posibilidades de la economía digital y también ha aumentado la sensibilidad hacia los riesgos derivados de esa digitalización. A base de incidentes, las entidades que no tienen un plan de continuidad racionalmente definido han desaparecido, han dejado de existir y aprendiendo del dolor ajeno muchos directivos han ido aumentando esa sensibilización. Por si esto no fuera suficiente, ha venido la regulación.
Pregunta: Precisamente, quedan unos meses para la entrada en vigor de la NIS2, ¿está España preparada?
Respuesta: Es bueno que haya NIS2 y que introduzca un plus de requisitos. Será una vuelta de tuerca adicional para que muchas entidades que operamos en sectores críticos colaboremos con el entorno. Esa directiva está en transposición en este momento y empezará a aplicar en octubre y nos consta que se está trabajando en el tema. No tengo ninguna duda de que España llegará a tiempo con los deberes hechos.
Vamos a ver cómo miles de empresas de repente tienen que moverse en masa en esta dirección. Lo importante es que todos sepan qué es lo que tienen que hacer. Hay un punto de dolor y la verdad que no está muy claro cómo acabaremos resolviéndolo, que es el tema de los proveedores, de la cadena de suministro. Nos preocupa a todos, porque es una obligación en cascada y cuando llegue a la pyme va a ser un dolor de cabeza importante. Y dentro de poco vendrá la CRA (Cyber Resilience Act), que obliga a los fabricantes de productos conectados.
¿Qué soluciones pueden ofrecerse a las pymes para que cumplan con la normativa? Nos podemos encontrar como una situación similar a la de los agricultores.
Esto les va a llegar a las pymes, no todas, dependerá del sector en el que estén operando. Necesitan ayuda del sector público, servicios y formación, probablemente atención a un determinado tipo de incidentes. Hay debate, porque algunos proveedores dicen que si esto puede ser susceptible de un servicio comercial por qué debería darlo gratis el Estado. Estoy en la línea de que pymes y ciudadanos necesitan ayuda pública, no sólo económica, sino en forma de servicios públicos.
Programa de I+D+i Luis Valle
GMV ha obtenido el refrendo del INCIBE para la puesta en marcha del Programa de I+D+i Luis Valle, centrado en dos proyectos de ciberseguridad: el desarrollo de una solución de identidad digital soberana, para que puedan decidir cómo y cuándo comparten su información personal online; y un centro de gestión de la ciberseguridad (SOC) para el sector espacial. Tiene una inversión pública de 224 millones de euros, la mayor cuantía Iniciativa Estratégica de Compra Pública de Innovación (IECPI), es la mayor iniciativa en ciberseguridad a nivel mundial.
¿Cuál es la estrategia de GMV en el ámbito de la ciberseguridad?
Desde los años 90 nuestra posición en el mercado ha sido la de un proveedor global de servicios de seguridad. Procesos que van desde la evaluación de riesgos a la planificación estratégica de ciberseguridad, la monitorización o las auditorías técnicas. En segundo lugar, queremos ofrecer tecnología puntera de la mano de nuestros partners. En su día, por ejemplo, trajimos a España los primeros firewalls y los implantamos para nuestros clientes y para nosotros mismos.
Cuando hay una oportunidad, desarrollamos nosotros mismos la tecnología. En el área digital tenemos una inversión cercana al 8% de nuestra cifra de negocio dedicada al desarrollo de soluciones propias. Por ejemplo, tenemos ahora mismo el producto líder a nivel mundial para la protección de cajeros automáticos. La dirección general de ciberseguridad es cross a toda la compañía, aplica a todos los sectores de actividad de GMV. De hecho, en Galileo, uno de los proyectos emblemáticos del sector espacial, hemos desarrollado parte de los sistemas que implementan funciones de seguridad, como la gestión de claves.
¿Cuáles son los desafíos para 2024?
Hay un desafío que es permanente, no todo es nuevo. La ingeniería social sigue siendo uno de los elementos débiles de la organización, el famoso malware se apoya en ataques tipo fishing, esas estrategias que cuentan con el factor humano como elemento débil. Para muchas pymes siendo un drama. Evidentemente ahora en lo que está más en boga es la inteligencia artificial, como herramienta para la defensa, pero también para el ataque.
De hecho, permite suplantar la voz, la imagen, malware inteligente, es una herramienta para los atacantes, pero también para los defensores, porque la captación masiva de datos ayuda a detectar patrones de ataque. Otro tema hot, más a medio y largo plazo, pero que está generando hoy interés es el posible impacto de las tecnologías cuánticas. El cifrado tradicional va a tener que migrar, de hecho la NIS ya ha publicado un borrador de nuevos estándares de algoritmos de cifrado, y además habrá nuevas tecnologías aplicadas a ello.
"El sistema de software vinculado a producto es absolutamente crítico"
La tercera pata tiene que ver con el internet de las cosas, cuando esas cosas son grandes, como un vehículo. Estamos viendo la proliferación de todo tipo de productos digitalizados, este va a ser claramente un vector para nuevos ataques masivos. Detrás de todos esos productos hay una industria que no tiene la capacidadel know how necesario para hacerlos seguros, que es el auténtico talón de Aquiles. Ahora, el sistema de software vinculado al producto es absolutamente crítico.
En salud, la telemedicina lógicamente implica la integración de dispositivos y ahí regresamos al reto de la ciberseguridad. Vamos a presentar en el Hospital de La Paz un software de inteligencia artificial para la interpretación de imágenes médicas. Lo hemos desarrollado para la Agencia Espacial Europea y pone de manifiesto la transversalidad que tiene la dirección de e-Secure con respecto a otras direcciones generales de la compañía. Se aprovecha el conocimiento en el ámbito de espacio para escalarlo al ámbito de otras áreas como ciberseguridad o como desarrollo de salud digital.
Llama la atención la fuerza que está adquiriendo la preocupación por la computación cuántica en los últimos tiempos, quizás por los factores geopolíticos.
Nuestro posicionamiento es claramente estar en la vanguardia, con liderazgo tecnológico allí donde trabajamos, en particular ciberseguridad. Estamos presentando proyectos en tecnologías cuánticas. De hecho, en 2021 fuimos adjudicatarios del primer gran proyecto de perfil industrial en España, CUCO, donde estamos con otros socios como BBVA o Repsol. Estamos integrando un ordenador cuántico en el BSC [Barcelona Supercomputing Center], el primero que se va a instalar en el sur de Europa, de la mano de Qilimanjaro.
En torno a una década para un uso amplio de la computación cuántica
Aunque son resultados preliminares, estamos viendo que para algunos problemas de optimización muy concretos la tecnología actual ya pone encima de la mesa resultados prometedores. Pero no contemplo un uso bastante amplio de la computación cuántica hasta la próxima década. El riesgo de que pueda pasar algo es relevante en lo que se refiere al cifrado o a la ciberseguridad, por eso se van a desarrollar, y ya están en evaluación, algoritmos resistentes a esa amenaza cuántica. A todos nuestros clientes les vamos a tener que acompañar en ese proceso de migración hacia esa tecnología de cifrado resistente al desafío cuántico, eso va a ser mercado en esta década. Además se van a redes seguras utilizando tecnologías cuánticas, como el QKD (quantum key distribution).
GMV está presente en sectores que son muy críticos desde el punto de vista de la seguridad nacional. ¿En qué punto está hoy el nivel de alerta?
GMV está en esa esfera de la mano de la ciberseguridad, pero también como empresa que trabaja en Defensa. Desarrollamos el sistema de mando y control o el sistema de vigilancia de frontera, trabajamos con el Ministerio de Defensa, pero también para organismos internacionales de cooperación en materia de seguridad, como Frontex o la OTAN. España puntúa muy alto en el ranking internacional de ciberseguridad de acuerdo con la ITU [Unión internacional de comunicaciones], en colaboración entre el sector público y el privado.
¿La descentralización tecnológica en algunos ámbitos, por ejemplo el de la salud, puede ser un factor de vulnerabilidad para nuestro país?
Si descentralización significa que hay mucha gente trabajando para mantener la seguridad está bien. Lo importante es que haya una buena colaboración y coordinación entre todos esos actores descentralizados. Y en eso podemos avanzar. En España tenemos un número desproporcionado, por ejemplo, de centros de respuesta a incidentes, más que Alemania. A nivel industrial, hay una concienciación y una apuesta por la ciberseguridad notable. Aquí el talón de Aquiles, y ahí estamos con un retraso, es nuestra pyme, que por razones obvias va por detrás. Hay que ayudarles.