Las empresas y sus retos de ciberseguridad, en una nueva edición del CIO Council

Transformar el negocio es indispensable para crecer, evolucionar y, en última instancia, garantizar la viabilidad de la empresa. Todo ello sin perder de vista la preservación de los elementos básicos de la compañía, que incluyen, naturalmente, la seguridad. Hablando de transformación digital y soluciones tecnológicas, se trataría más bien de ciberseguridad, una de las grandes preocupaciones de los directores tecnológicos y que protagonizó una nueva Mesa redonda del CIO Council, coorganizado por AUSAPE y AUSIA.

Este tercer CIO Council, que se celebró en formato online el 25 de octubre, contó con tres participantes: Diego Branca, director de Informática de Roche en Argentina; Soledad Bastias Pérez, CISO en la compañía minera chilena Codelco, y Gianluca D'Antonio, actual partner en el área de Ciberseguridad de Deloitte.

La mesa redonda comenzó planteando las principales preocupaciones que afectan a los responsables de IT hoy en día. Es el caso del ransomware y el Ransomware as a Service (RaaS), una de las amenazas que provoca más incidentes a nivel global. Soledad Bastias alertó de que existe “toda una industria” asociada al RaaS, de modo que no es preciso ser un experto para lanzar ataques de ransomware, basta contratarlos a proveedores externos. Gianluca D'Antonio cifró en 20.000 millones de dólares el coste del ransomware en lo que llevamos de año y explicó que este software malicioso afecta especialmente a las pequeñas y medianas empresas. “Hay ransomware para rato y hay que estar preparado para ello”, aseveró. Una tesis con la que se mostró de acuerdo Diego Branca.

Otro problema grave es la filtración de información confidencial, debido tanto a la pérdida de datos como al daño a la reputación de la organización que lo sufre y a los conflictos con los reguladores. D'Antonio señaló que el ransomware más moderno también incluye funciones de exfiltración de datos. Ante este problema, Bastias recomendó que la organización “debe tener la información respaldada y contar con protocolos de crisis”, en los que participe la entidad en su conjunto. Esto incluye a los departamentos de IT, Comunicación, Legal...

También es necesario prevenir la pérdida, corrupción y sustracción de datos. Aquí hay que tener en cuenta que la migración a la nube no supone una garantía total de seguridad. De hecho, D'Antonio avanzó que “para 2025 el incidente en la nube será el incidente común en los entornos de IT”. Por ello hay que compaginar la estrategia de seguridad de la compañía con la de su proveedor cloud, determinar la responsabilidad del proveedor, y, por supuesto, asegurarse de que el equipo de IT comprenda bien el funcionamiento de la nube.

Respecto a la identidad digital y el control de acceso, podría decirse, según D'Antonio, que la identidad digital es ya un elemento transversal que trasciende el ámbito de la ciberseguridad y que “hay que proteger a cualquier precio”. Para Bastias, “tenemos que reconocer que las personas son el eslabón más débil de la cadena”, por lo que hay que medir el nivel de concienciación del personal ante los riesgos de seguridad. En este sentido, Branca explicó que en Roche también están poniendo mucho énfasis en esa concienciación, debido en parte al dinamismo de la incorporación de nuevos actores -empleados, proveedores, consultores...- que multiplica los riesgos potenciales.

Pero esta concienciación no debe limitarse a los empleados y mandos intermedios. Uno de los principales retos que tienen las compañías es sensibilizar al Comité de Dirección. A la hora de definir la estrategia de ciberseguridad de la organización, más que dejar esa responsabilidad exclusivamente en manos del Comité, “tenemos que tener un Comité que empodere a un equipo de especialistas que defina esa estrategia en la compañía”, afirmó Branca. “El Comité no tiene que ser un experto técnico, pero sí tiene que tener una visión de alineamiento estratégico y validar programas de concienciación, de gestión de consecuencias... Hay que tener una visión holística y el Comité te permite tener esa visión del ecosistema de la empresa”, coincidió Bastias. En cambio, D'Antonio sostuvo que “el Comité, tarde o temprano, va a tener que acostumbrarse a decidir” en temas de seguridad. “Las decisiones de seguridad ya son decisiones de negocio”, señaló. De hecho, hay empresas que en su memoria de responsabilidad corporativa incluyen la ciberseguridad dentro del apartado de buen gobierno.

Aunque es más común hablar de ataques informáticos contra grandes compañías, lo cierto, según Gianluca D'Antonio, es que para las pequeñas y medianas empresas “la ciberseguridad es una necesidad tanto o más importante que para la gran empresa, porque no puede permitirse el coste” de un incidente de seguridad.

El último desafío de seguridad para las compañías no es menor: la detección, formación y retención del talento. Soledad Bastias recordó el déficit de profesionales existente en este campo, al tiempo que la necesidad de dichos profesionales aumenta, lo que hace más difícil para las empresas pequeñas encontrar talento. ¿Qué se puede hacer? Bastias recomendó reconvertir profesionales capacitándolos en temas de ciberseguridad, o implementar nuevos procesos estandarizados de gestión de seguridad. D'Antonio también mencionó como retos a resolver la falta de talento femenino, la atracción del talento ciber hacia compañías no tecnológicas y la conexión de la formación con la empresa. “En España faltan 24.000 profesionales de ciberseguridad para este año, cifra que equivale a los titulados en 12 años”, alertó.

D'Antonio aseveró que “las empresas que no tengan la ciberseguridad como un elemento central del negocio se van a quedar sin equipo de seguridad”. Ello, aunque no lo parezca, tiene una consecuencia positiva, ya que la escasez de profesionales ayudará a que las empresas se transformen en este campo para atraer y retener el talento, vaticinaron Branca y D'Antonio.

“En el ámbito de IT, la empresa tradicional tiene que asumir que el desafío es ofrecer retos atractivos para que la gente quiera trabajar allí”, aseguró D'Antonio. Esto abarca varios aspectos: propuesta económica, proyectos atractivos, condiciones de trabajo adecuadas, plan de carrera y formación ambicioso. Algo en lo que coincidió Branca, que explicó cómo replantearon con éxito su modelo en Roche. Para concluir, Bastias recalcó lo importante que es “el involucramiento top-to-down en la compañía”.