DEBATE: La ciberseguridad de las empresas empieza por la concienciación
Desde hace unos años, el negocio de la ciberseguridad vive un momento dulce. Lo primero, porque los ataques y peligros informáticos se han multiplicado, sobre todo el phishing y el ransomware, que son baratos de ejecutar y muy efectivos para los ciberdelincuentes. Lo segundo, porque las compañías empiezan a invertir en soluciones, sobre todo las grandes y medianas. Y lo tercero, porque la actualidad de la ciberdelincuencia ya no es un asunto que interesa a expertos e iniciados, sino que es foco de los medios de comunicación, incluso los más generales.
Sin embargo, todavía falta que los empleados de las empresas, el llamado eslabón débil de la cadena, y sobre el que suelen incidir los ciberdelincuentes, se conciencien de los peligros a los que se exponen, los conozcan y tome sus precauciones. Y también falta que, a nivel de país y políticas públicas, la ciberseguridad se convierta en una cuestión de Estado y haya un plan potente de divulgación sobre las amenazas y cómo hacer frente a ellas, articulado por el Incibe y las fuerzas de seguridad. De todo esto, así como del efecto que tendrán los fondos europeos en el negocio de la ciberseguridad en España, debatieron 15 expertos convocados por CHANNEL PARTNER en una mesa de debate muy animada.
“Las grandes empresas tienen defensas bien armadas y complejas. Y las pymes no tanto”, reflexionó Alejandro Curto, de HP
Varios de los asistentes empezaron señalando que el panorama para los CISO y el personal de ciberseguridad de las compañías es hoy más complicado que nunca, sobre todo por la dispersión de las plantillas con el teletrabajo y la difuminación de las barreras de protección tradicionales. Javier Montes, area sales manager Spain south de WatchGuard, reconoció que las prisas de las empresas para adaptarse al trabajo híbrido impuesto por la Covid-19 han dificultado muchas veces llevas las medidas de seguridad de las oficinas a los hogares. Eso sí, Montes aseguró que la brecha que había entre el desarrollo de las telecomunicaciones en España, un país muy avanzado en este ámbito, y la adopción de tecnologías de seguridad se está reduciendo “a base de bofetadas”.
Según datos de IDC, las ventas de soluciones de ciberseguridad en el mercado español crecen en los últimos años a un ritmo cercano al 10%, y para 2022 se espera que roce los 1.750 millones de euros, un 7,7% más que en 2021. Además, la consultora avanza que en el periodo 2022-2024 este mercado tendrá un avance medio del 8%.
Mucho trabajo pendiente
Isabel López, sales engineer manager de Samsung, se mostró de acuerdo con que las empresas están concienciadas, “pero no los empleados”, y sobre todo las plantillas de las pymes. En esta línea, Esther Santiago, sales manager de Bravent, señaló que la gran oportunidad está en implantar soluciones de protección de la información en las compañías pequeñas. Luis Manzano, director de marketing de SIA, amplió el ámbito del debate: “La ingeniería social ha avanzado mucho. Hablamos de seguridad del endpoint, pero hay muchos más frentes. También están los sistemas de IoT. Afortunadamente tenemos mucho trabajo para el futuro. El problema es que tenemos escasez de talento para atenderlo a todo”.
“Las empresas están concienciadas, pero no los empleados, sobre todo los de las pymes”, dijo Isabel López, de Samsung
Por su parte, Fernado Lalanda, strategy accounts director de Devo, volvió al problema de la falta de formación en los empleados como principal agujero en las compañías. “Todos pensamos que estamos seguros. Y es la percepción de seguridad de los usuarios el primer punto a tratar. Es importante que tengan ciertos hábitos de seguridad. Es un momento bueno de mercado, pero hay mucho trabajo de concienciación que hacer. Los ataques más grandes llegan por descuidos muy tontos”. Fernando Carrazón, COO de Botech, también concedió que el usuario final no está concienciado, pero señaló que muchas veces la responsabilidad de los datos está en las grandes corporaciones, “que también tienen que hacer su trabajo”.
Por su parte, Marisol Bauzá, CEO de Azuba, echó por tierra la idea que las grandes cuentas están muy protegidas y son sólo las pymes las que están más expuestas. “Los grandes tienen muchos activos y siempre aparece alguno, como una base de datos, que está desprotegido”. En este sentido, algunos expertos destacaron que muchas grandes compañías están en el punto de mira de la ciberdelincuencia porque tienen recursos para pagar generosamente una extorsión, y también porque atesoran información valiosa de muchos clientes. Alejandro Curto, cibersecurity sales manager de HP, señaló que las compañías de mayor tamaño suelen “suelen estar bien armadas” a nivel de soluciones tecnológicas, pero volvió a incidir en que el principal problema de grandes y pequeñas entidades es que “nadie ha invertido en la concienciación de los empleados”.
¿Cuánto tiene que invertir una empresa?
Luis Manzano, de SIA, dijo que esa labor de concienciación había que llevarla al consejero delegado de la empresa, porque, en su opinión, la inversión que se hace en ciberseguridad sigue siendo pequeña. “Una empresa que gasta 100 millones en TI como mucho te gasta 10 millones en ciberseguridad. Es probable que estemos creciendo por encima de los que venden cloud, pero tendríamos que crecer mucho más, al mismo nivel del cibercrimen”.
“Cuanto más consciente sea el canal, más fácil le será encontrar una solución adecuada”, señaló David Gasca, de V-Valley
Jesús Luis García, CEO de Avansis, afirmó que muchos de sus clientes no creen que vayan a ser objetivo de un ataque, pero que su firma lleva un par de años de “chico de los marrones, recuperando bases de datos que han volado”. Aunque insistió en que securizar una pyme no es barato. “No solo es proteger con un firewall”. Además, el primer ejecutivo de Avansis reclamó que el sector público y los dirigentes del país se involucren en la labor de concienciación sobre los peligros que suponen los ciberataques. “La concienciación debe partir de los organismos públicos, desde el Incibe a la policía”.
Raúl Pérez, regional VP de enterprise sales en Countercraft, se preguntó cuánto se tiene que gastar una empresa en ciberseguridad. “Depende de si eres un objetivo apetecible o no. Muchas empresas asumen la brecha. Saben que los atacantes están dentro y no saben cuándo van a atacar”, se respondió. Y reconoció también que en las compañías el eslabón débil es el empleado.
Javier Montes, de WatchGuard, advirtió de que “los malos siempre van por delante”. “En España hay mucha gente que piensa que como todo es virtual no le va a pasar nada. Además, si se quiere hacer un ataque dirigido a una empresa, más tarde o temprano lo harán. Los hackers son gente muy profesional, con muchos medios”. En el caso de la pyme, que suele recibir ataques masivos, la respuesta tiene varios frentes: inversión, toma de conciencia, sistemas, software actualizado o doble autenticación. “Así reducen las pequeñas compañías la ventana de riesgo”, abundó Montes. “El phishing y la ingeniería social son los grandes problemas y se corrigen con concienciación”, insistió.
“El phishing y la ingeniería social son los grandes problemas y se corrigen con concienciación”, aseguró Javier Montes, de WatchGuard
Néstor Correas, general manager de Besh, reconoció que es inevitable la entrada de los ciberdelincuentes en los sistemas de una organización y que “lo que hay que procurar es que los daños sean los menores posibles”. También destacó el problema de tener entornos muy heterogéneos en las empresas y, sobre todo, sistemas heredados (legacy), que suelen ser puntos débiles. Y llamó la atención sobre la falta de profesionales experimentados. “No hay talento, ni siquiera para nosotros, como prestadores de servicios”, asumió.
Mientras tanto, Antonio Camacho, account manager y cybersecurity specialist del mayorista Also, recordó que los hackers no suelen atacar un firewall, sino que intentan “cosas muy sencillas”. Y habló de los agujeros que suponen el ransomware y la explosión de apps que exponen millones y millones de datos valiosos. En esta línea, Sergio Fernández, technical account manager en España y Portugal de Qualys, explicó que con el bum de los dispositivos con Android e iOS “cada vez hay más dispersión de activos y de información”. Y las pymes, que no se suelen ver como un objetivo atractivo, sufren también este problema.
“Los hackers no intentan atacar un firewall, sino que van a cosas muy sencillas”, advirtió Antonio Camacho, de Also
Iosu Arrizabalaga, strategy accounts director de Factum IT, una fima de ciberseguridad cuyo primer accionista es el Santander, dijo que la misma entrada del banco en el accionariado es una muestra de que el negocio tiene futuro. Y señaló que la idea de la institución financiera es llevar las soluciones de gran cuenta a la pyme para responder así a “un cibercrimen que se ha industrializado”.
Las opciones del canal y la falta de talento
En la mesa organizada por CHANNEL PARTNER, también participaron algunos mayoristas. Además de Also, estuvo V-Valley, representado por David Gasca, business unit coordinator enterprise security, que señaló la necesidad de que el canal también sea consciente del problema que tienen las empresas a nivel de ciberseguridad. “Cuanto más consciente sea el canal, más fácil le será encontrar una solución adecuada”. Sobre cuál es la mejor forma para que el canal lleve la ciberseguridad a las pymes también se habló en el debate.
Antonio Camacho, de Also, dijo que sería ideal tener un servicio gestionado y paquetizado de seguridad, al estilo del de Telefónica, aunque estaría por ver su aceptación porque, en su opinión, muchos partners pequeños prefieren el contacto directo con los clientes. “Otra cuestión es saber si ese servicio sería lo suficientemente bueno”, se planteó David Gasca.
Además, el portavoz de V-Valley también se refirió a la dificultad para encontrar profesionales formados y con experiencia para llevar adelante los proyectos. Y abrió definitivamente el debate sobre la falta de talento. En SIA, por ejemplo, los clientes comparten recursos para paliar este problema, y aplican inteligencia a las soluciones para depender lo menos posible de este personal cualificado.
Sergio Fernández manifestó: «Con el bum de Android e iOS, cada vez hay más dispersión de activos y de información”
Por su parte, Fernando Lalanda, de Devo, señaló que el talento cada vez está más deslocalizado. “Conozco el caso de algún exempleado nuestro que vive en Murcia y trabaja para empresas en Dubai”. Algunos de los participantes en la mesa reconocieron que desde el departamento de recursos humanos hay que cambiar el chip para atraer unos jóvenes que valoran la calidad de vida y de los proyectos en los que entran, más allá del sueldo. Antonio Camacho, de Also, confirmó que muchas veces el salario es secundario, y que los profesionales sobre todo buscan proyectos interesantes, que les permitan desarrollar todo su potencial, y que no les tengan limitados a tareas repetitivas.
Por último, los participantes en la mesa hablaron de la incidencia que tendrán el negocio de la ciberseguridad la llegada de los fondos europeos, y sobre todo del Kit Digital, que en un par de puntos hace referencia explícita a la seguridad informática y de las comunicaciones. Javier Montes, de WatchGuard, se quejó de las complejidades burocráticas del programa Kit Digital y de la ambigüedad de los conceptos que cubre el bono. En esta línea se manifestó Néstor Correa, de Besh, que calificó el programa y sus áreas de actuación como “ambiguas”. Esther Santiago mostró sus dudas sobre que la demanda de ciberseguridad vaya a brillar a la hora de asignar fondos porque las empresas de este país tienen necesidades más básicas. Y también reclamó una ley o una normativa que fuera exigente con las compañías a la hora de proteger sus sistemas.
Redacción por: CHANNEL PARTNER