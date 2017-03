Un aforismo del sector de la ciberseguridad afirma que hay dos clases de empresas, las que han sido atacadas y las que no lo saben. Es decir, todas en algún momento y de un modo u otro son víctimas de los ‘hackers’. Y según las estadísticas, las españolas más aún. España es el tercer país del mundo que sufre más ciberataques tras EE UU y Reino Unido, con más de 100.000 el año pasado, lo que supone una media de más de 300 al día. O, si se prefiere, de más de 12 cada hora. Y eso contando solo aquellos que han sido reconocidos, porque quienes saben de esto aseguran que la cifra real puede superar con mucho incluso el doble.

Ante la amenaza que para las personas, empresas, organismos y Estados en general suponen estos ciberataques, a veces dirigidos a un objetivo y con un fin concreto y otras lanzados de forma masiva e indiscriminada a ver qué y a quién ‘pillan’, en mayo del próximo año entrará en vigor en toda la Unión Europea el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), así como la Directiva NIS para la seguridad de redes y sistemas de información.

«Los ataques no se pueden evitar al 100%»

La primera será de obligado cumplimiento para todas las empresas de los países de la UE que manejen información personal de absolutamente cualquier tipo e incluso para aquellas que siendo de fuera del territorio comunitario realicen negocios dentro de él. Y la segunda, que busca proteger los sectores estratégicos de los Estados miembros, insta a los países de la UE a estar equipados y preparados mediante equipos de respuesta a incidentes de seguridad informática y de una autoridad nacional competente en la materia para prevenir, detectar y afrontar ataques de gran escala.

Para hablar de estas legislaciones y de ciberseguridad en general, la Asociación para el Progreso de la Dirección (APD) llevó a cabo este miércoles una jornada en Bilbao que contó con la intervención de tres expertos en este campo: Alberto Prado, regional manager de la norteamericana Palo Alto Networks; Koldo Valle, responsable de seguridad y operaciones de la multinacional de infraestructuras de origen vasco Elecnor; y Álvaro Fraile, CEO de la guipuzcoana ITS Security.

«La seguridad es necesaria no por si pasa algo, sino para cuando pase, porque los ataques no se pueden evitar al cien por cien y tarde o temprano los sufriremos», afirmaron. Los tres coincidieron en la necesidad imperiosa de que las empresas inviertan en ciberseguridad, y no solo porque las sanciones por incumplimiento del nuevo reglamento europeo de protección de datos puedan llegar hasta los 20 millones de euros o entre el 2% y el 4% de facturación anual de la compañía infractora, sino también por el quebranto en la producción, en la imagen, en la confidencialidad y las pérdidas económicas que en definitiva puede ocasionar un ataque.

Antes de entrar en aspectos más técnicos, Alberto Prado señaló que las oportunidades para el cibercrimen se habían multiplicado por la cantidad de dispositivos, programas, aplicaciones y sistemas que hay en la actualidad. Así, recordó que el pasado año se habían incrementado un 250% los robos informáticos de datos y que los ataques de ‘ramsonware’ (programa que restringe o secuestra el acceso a determinados archivos del sistema y pide un rescate para liberarlos) habían aumentado en 167 veces respecto a 2015.

Posteriormente, comentó los principios básicos de la prevención de ataques para una empresa, que resumió en tener «visibilidad completa» de todas las aplicaciones, todos los usuarios, todo el contenido y todo el tráfico; «reducir la superficie de ataque», es decir, limitar o bloquear aplicaciones, ficheros o webs; «prevenir las amenazas conocidas», los ‘malware’, ‘exploits’, las webs maliciosas, etc.; y «prevenir las amenazas desconocidas» mediante análisis constantes de los sitemas.

«La seguridad es un proceso continuo»

Por su parte, Koldo Valle hizo un repaso a la historia de la ciberdelincuencia, desde sus inicios experimentales hasta las grandes organizaciones mafiosas actuales altamente profesionalizadas –y también algunos gobiernos–, que disponen de grandes recursos financieros, técnicos y humanos. Asimismo, expuso su experiencia en la evolución de los sistemas de seguridad adoptados por Elecnor a lo largo de la última década, e hizo especial hincapié en la absoluta importancia de «proteger al eslabón más débil, sin duda, el ser humano», dijo. Para ello consideró vital invertir «esfuerzos y dinero en formación y concienciación» del personal en ciberseguridad, del mismo modo que las empresas lo hacen ya «en la parte de riesgos laborales, seguridad e higiene en el trabajo», concluyó.

Finalmente, Álvaro Fraile centro su exposición en la problemática de la ciberseguridad en el terreno industrial que, a su juicio, lleva años de retraso y no se está tomando tan en serio como la seguridad física, la laboral o la medioambiental. El responsable de ITS Security expuso también el conflicto que en muchas ocasiones se da en el seno de una compañía industrial entre la parte de las tecnologías para el procesamiento de la información (IT), y la operacional encargada de la producción a través de la maquinaria física (OT). En el aspecto de la seguridad ambas chocan cuando esta interfiere en la disponibilidad de los medios de producción, ya que se considera que la prioridad es la continuidad del negocio. No obstante, Fraile afirmó que la seguridad «no es un estado, sino un proceso continuo que requiere de vigilancia y actualización constante».