La ciberseguridad se ha convertido en un elemento de gran relevancia en el día a día de una empresa. Esta importancia quedó patente más todavía en la pandemia, cuando se sucedían los ataques de hackers día tras día. Varios expertos dan su opinión sobre este hecho.
La digitalización es un hecho patente en la sociedad actual. Comercio online, redes sociales o demografía son temáticas que dan fe de ello. La industria de las finanzas no iba a ase runa excepción. Sin embargo, la gestión de activos, con el gran volumen de datos que gestiona y el capital que mueve, además requiere de un elemento para proteger tus intereses, algo que incluso debería estar presente en nuestro día a día: la ciberseguridad. Expertos de A&G, atl Capital, Singular Bank, iCapital y Tressis debaten sobre esta cuestión en un desayuno organiza por FundsPeople y patrocinado por el Grupo SIA.
La importancia de la ciberseguridad
Damián Ruiz Soriano, director de Seguridad de la Información en Singular Bank, aborda la ciberseguridad desde el punto de vista empresarial: “Lo primero es plantear una estructura de gobierno básica, un framework con el que podamos relacionarnos con todos los stakeholders de la casa y que nos ayude a que nos entiendan los directivos”. Además, hace hincapié en la relevancia de la figura del CISO (de sus siglas en inglés, Chief Information Security Officer): “Debe haber dentro de la entidad una figura con empoderamiento y conocimientos sobre ciberseguridad para liderar el gobierno de los pilares de la Protección, Detección y Respuesta en materia de seguridad”.
Esta figura destacó durante la pandemia, cuando hubo una creciente actividad de la ciberdelincuencia y los ataques eran cada vez más sofisticados y agresivos, según indica el director de Seguridad de la Información. “Nos vimos obligados a adaptarnos muy rápidamente. Aunque ya estábamos preparados mediante un modelo de planes directores muy cortos, dinámicos, ligeros y entendibles”, comenta Ruiz, quien recalca que “repasamos cómo estábamos a nivel de ciberseguridad, vimos nuestras necesidades, y estructuramos ciertos proyectos muy entendibles que elevamos al Comité de Dirección”. Además, el directivo hace hincapié en que para que esta maquinaria funcione, para que esté “bien engrasada” con todos los stakeholders de la empresa, en especial debe haber una imbricación entre los departamentos de Sistemas y Ciberseguridad: “Debe haber una buena articulación entre ambos y dotación de recursos”.
Cuestión de la dirección
La ciberseguridad no debe entenderse como una cuestión baladí, según Antonio Rodríguez, socio de iCapital: “Nos preocupa tanto este asunto que hemos decidido que se trate en el comité de dirección cada dos semanas”. Además, para el socio toda cuestión digital debe tratarse con sumo cuidado y gran relevancia: “Todo lo que tenga que ver con sistemas de información o ciberseguridad no puede ser un algo aparte, no debe suponer un mero soporte, sino que tiene que estar presente en cada una de las decisiones de la empresa”.
Rodríguez insiste en que “no es un área de consulta o de protección, sino que tiene que estar en cada una de las partes estratégicas del negocio”. El socio apunta que, dada la gran relevancia de la ciberseguridad, debe tenerse en cuenta en cada una de las decisiones que toma la empresa y se debe gestionar de tal manera que ayude al resto de departamentos de la casa a trabajar más eficientemente y con mayor seguridad. Además, esta necesidad, según Rodríguez, se hace más acuciante si hablamos del sector financiero: “Tenemos un deber muy sensible de custodia y protección de la información del cliente. En el caso de los bancos, incluso sumamos la labor de ejecución y el riesgo añadido que conlleva”.
No es solo ciberseguridad, también seguridad personal
“Como tecnólogo, entiendo la ciberseguridad de una manera más amplia, abarca el concepto de seguridad de forma genérica, incluyendo la seguridad física”, afirma Andrés Jackson, director de Sistemas y Tecnologías de la Información en A&G. El directivo recalca que, desde las entidades financieras, no solamente se cuida el patrimonio del cliente: “También protegemos su información, sus datos, es nuestro deber cuidarlos. En este contexto, debemos buscar que este elemento convierta una necesidad operativa en algo que aporte valor por si solo al negocio”.
Además, esto conlleva uno de los principales riesgos del negocio, según apunta Jackson, el riesgo reputacional: “Si algo pasase, mi problema no estaría en la multa que tenga que pagar o en la pérdida financiera que me implique, posiblemente tampoco en el lapso de falta de operatividad, mi problema fundamental estará en que el impacto de marca es brutal”. Respecto a qué puede causar este error que conlleve una alta pérdida de reputación, el directivo lo tiene claro: el factor humano.
“A medida que logras una madurez significativa en las medidas de contención (consigues una defensa en profundidad que traslada el ataque fuera de tu red, lejos de tu campo de acción; realizas una compartimentación, una segmentación de redes, tienes sistemas de actualización de software que mitigan toda vulnerabilidad conocida), observas que el gran problema es la variable humana, que no la puedes controlar”, indica Jackson, que hace referencia a los ciberataques a través de phising o ingeniería social, técnicas de ciberdelincuencia que utilizan el fraude y el engaño dirigido a ciertas personas para obtener información relevante o permisos específicos.
La pandemia, catalizador de la ciberdelincuencia
Estos ataques que se realizaron durante la pandemia, cada vez más sofisticados y valiéndose de técnicas relativamente baratas de ciberataques, han provocado que la ciberseguridad pase a formar parte de la agenda de los comités de dirección, según indica Alfonso Fernández Jiménez, director de Identidad Digital y Firma en Grupo SIA. El directivo hace hincapié en el cibercriminal: “En el pasado, los cibercriminales eran gente sin afán económico, querían sacar las vergüenzas de grandes compañías de tecnología, como Microsoft o Apple. Eso ha ido cambiando y la pandemia ha supuesto un cambio total de paradigma en ese aspecto. Ahora es una industria que mueve millones”.
Pero, ¿por qué la pandemia ha supuesto el catalizador final de este cambio? Varios factores han influido en ello, según el directivo de SIA: “Pensemos en compañías de 10.000 o 15.000 personas en las que antes se conectaba muy poca gente en remoto y, de un día para otro, toda la plantilla pasa a teletrabajar, en muchos casos sin las medidas de seguridad adecuada (doble autenticación, sin cambios de contraseña, etc.)”. Según indica Fernández, si a esto sumamos que cualquiera, sin necesidad de tener conocimientos técnicos exhaustivos, puede adquirir en la dark web herramientas de ciberataque de todo tipo, el resultado es que puede haber compañías totalmente expuestas.
Concienciación, elemento básico
Jesús Gómez, director de Sistemas de Información de atl Capital, coincide en que la pandemia ha sido un catalizador, no solo en lo que respecta a la ciberdelincuencia, también en la concienciación. En concreto, la cúpula directiva de la empresa debe ser la primera en ser consciente de los riesgos de la ciberdelincuencia: “A raíz de la pandemia, cuando con muy poco margen de tiempo tuvimos que instaurar el teletrabajo en el 100% de la plantilla, fue cuando el comité directivo fue más consciente que nunca de los riesgos a los que nos exponíamos”.
A partir de ese momento, la ciberseguridad no fue solamente preocupación del departamento de Sistemas de Información, sino que pasó a ser considerado como asunto prioritario por la dirección de la entidad, comenta Gómez. “En el periodo inicial de los confinamientos, cuando empezamos a trabajar todos los empleados desde casa, con nuestros propios equipos y sistemas de seguridad, escasos en su mayoría, vimos que había peligro de pérdidas de información; de ataques de ransonware, que restringen el acceso a cierta información, o ingeniería social”, afirma el directivo de atl Capital. “Para entonces, ya habíamos tomado ciertas medidas con anterioridad, sin embargo, decidimos poner en marcha un plan de ciberseguridad”.
¿Qué hay del teletrabajo?
En el caso de Tressis, la pandemia no supuso un cambio tan radical con respecto a la ciberseguridad de la empresa como otros eventos, explica Enrique García Mayordomo, director de Tecnología y Sistemas de Información de la entidad: “En nuestro caso, el punto de inflexión que supuso una plena concienciación de la dirección en este aspecto fue el WannaCry”. El directivo hace referencia al ciberataque masivo que tuvo lugar en 2017, el cual afectó a empresas del calibre de Telefónica, Deutsche Bahn o Latam Airlines Group, y se efectuó con un tipo de ransomware llamado WannaCry. “Que la dirección estuviera dispuesta a invertir en temas de seguridad fue a raíz de este hecho”.
Como en su entidad ya venían preparados desde momentos anteriores a la pandemia, esta no supuso un cambio brusco más allá del teletrabajo: “Ya teníamos ciertos protocolos y procedimientos de seguridad adaptados al trabajo a distancia. La verdadera dificultad fue implementarlos a toda la plantilla, pues pasamos de utilizarlos unos pocos usuarios a todos”. En el momento de la pandemia, comenta García, poseían una “VPN (de sus siglas en inglés Virtual Private Network) en software”, la cual fue sustituida por unos “equipos especiales para conectarse al puesto de trabajo, que no permiten instalaciones de software para evitar incidentes”.
