Mahir Nayfeh, asesor de Estados Unidos y de Emiratos Árabes

«Hay que contar con que seremos atacados»

Nayfeh, durante su intervención en Bilbao. /J. Alemany
Nayfeh, durante su intervención en Bilbao. / J. Alemany

El experto animó a las empresas a hacer lo mismo que los gobiernos: identificar cuáles son sus sistemas críticos y priorizar su vigilancia

IRATXE BERNAL

El Basque Cybersecurity Day, una cita organizada por el Centro Vasco de Cibereguridad (Basque Cybersecurity Centre, BCSC), trajo ayer a Bilbao a uno de los mayores expertos mundiales en ciberespionaje y protección de infraestructuras críticas, Mahir Nayfeh. Asesor de los ejecutivos estadounidense y de los Emiratos Árabes en la seguridad de instalaciones petrolíferas, Nayfeh animó a las empresas a hacer lo mismo que los gobiernos: identificar cuáles son sus sistemas críticos y priorizar su vigilancia.

«La seguridad total no existe. Todos somos potenciales víctimas de un ciberataque, así que es fundamental saber dónde pueden hacernos más daño, qué parte de nuestra organización no debe estar nunca desprotegida. Después, hay que determinar cómo actuar cuándo nos ataquen. Lo fundamental, casi más que evitarlo, es detectarlo a tiempo. Cuanto más tiempo esté alguien metido en tu organización, más daño puede hacerte, así que has de saber de inmediato cuándo hay intromisiones por medio de controles sistemáticos. Hay que ser muy disciplinados. Además, hay que tener establecido de antemano cómo actuar en ese momento. Hay que contar con que seremos atacados y pensar ya en cómo nos recuperaremos», subrayó.

En su intervención, Mahir Nayfeh fue respondiendo a las preguntas planteadas por Samuel Linares, experto de Accenture y fundador del Centro de Ciberseguridad Industrial, a quien la mención de la disciplina en este punto le obligó a plantear cómo las diferentes formas de trabajar pueden afectar al rigor de esos controles. «En los países latinos cuando hablamos de cumplimiento, mucha veces hablamos de que cumplo y miento», bromeó. «Para eso están las estandarizaciones de los procesos. El problema tiene tal trascendencia que hay que mentalizar a toda la empresa, y yo creo que de hecho ya sucede así en todo el mundo», dijo optimista.

Esa estandarización de los controles internos son, señaló, además muy útiles cuando hablamos de entornos complejos. Al igual que al velar por la seguridad de infraestructuras críticas en un país, aquellas que garantizan por ejemplo el suministro de agua y luz, los gobiernos han de vigilar multitud de «sistemas y subsistemas heterogéneos», la interconectividad y el internet de la cosas impone a las empresas «la ardua tarea de chequear todos los elementos que se introducen en su organización». En este sentido, el ahora socio de la consultora internacional McKensey señaló la necesidad de estandarizar las medidas de seguridad exigibles a los fabricantes de cualquier elemento (maquinaria, sotfware…) que participen en la actividad de la empresa. «No dudo que algún día se establecerán normativas, pero este tipo de cosas nunca se hacen enseguida. A veces, se hacen a tiempo de atender demandas que las empresas tenían hace cinco años. Ninguna compañía se puede permitir esperar tanto, y han de ser muy vigilantes por su propia cuenta. Si vas a instalar algo en tu casa deberías saber cómo se ha configurado, venga del país que venga», insistió.

En este punto, Samuel Linares cuestionó cómo serán las empresas (especialmente las que operan en varios países) capaces de responder a normativas elaboradas por diferentes gobiernos. «La legislación te va a decir lo que tienes que hacer, no cómo lo tienes que hacer. Las empresas deben crear su propio marco de gestión para que les sirva en todos los sitios donde trabajen ofreciendo seguridad a todos sus clientes».

Contenido Patrocinado

Fotos

Vídeos