Enrique Ávila tiene una posición y un punto de vista privilegiados: es el director del Centro Nacional de Excelencia en Ciberseguridad (CNEC), un organismo referente en materia de ciberseguridad que integra tres capacidades fundamentales: la universidad como centro generador de conocimiento, las empresas como soporte económico y de innovación y las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) como principales usuarios de tecnologías y conocimiento orientado a la lucha contra el cibercrimen. Nuestro protagonista, por tanto, conoce al dedillo la evolución de la ciberdelincuencia en España, así como los esfuerzos de este país al luchar contra ella y la concienciación (o no) de empresas y ciudadanos al respecto.
Cuando le preguntamos si estamos en un escenario ascendente, es decir, si los ciberataques van a seguir creciendo en 2018 y 2019, no lo duda un solo segundo: “En 2019, en 2020… Salvo catástrofe tecnológica, el cibercrimen cada vez será más rentable, al menos mientras no varíen las actuales circunstancias: la aterritorialidad del ciberespacio, la seudonimización de los actores y la asimetría de recursos para causar un daño u obtener un beneficio ilícito inducen, sin duda, un crecimiento exponencial de este tipo de actividades”.
Ávila no es ajeno a uno de los mayores caballos de Troya de este tipo de delitos: la dejadez o la falta de concienciación. Y es que “la percepción del riesgo es, a la vez, baja y poco entendida, por parte tanto de ciudadanos como de empresas”. En su opinión, de hecho, “las empresas han de trabajar la resiliencia y la mitigación de los riesgos”.
¿Cómo protege una pyme su ciberseguridad?
En cualquier caso, es evidente que muchas pequeñas compañías difícilmente pueden tener acceso a inversiones en su propia ciberseguridad, de modo que “proteger a las pymes, que son generadoras de la mayor parte de los puestos de trabajo de nuestro país, ha de ser una política de Estado”, si bien es cierto que “tanto el Gobierno como el propio INCIBE están realizando un esfuerzo titánico para generar un ecosistema de servicios, de redes de contacto, de acciones de concienciación y cursos de formación, orientados a pymes. Ellas también tienen la responsabilidad de conocer y aplicar estos recursos”.
Pero, bajando de lo abstracto, ¿cómo puede proteger su ciberseguridad empresarial una compañía pequeña y con recursos muy limitados? Para el director del CNEC “lo deseable sería tener a un experto que sea el interfaz entre la pyme y los proveedores de servicios de ciberseguridad. Y si el coste es inasumible, siempre resultará más económica –y en líneas generales más segura– la provisión de servicios desde infraestructuras centralizadas, sin minorar por ello los riesgos de uso de estas mismas infraestructuras compartidas en las que, no siendo tú el objetivo de un ciberataque, puedes transformarte en una víctima colateral del mismo”.
“La ciberseguridad no es opcional”
En cualquier caso, el contexto también ha cambiado. Hasta hace poco, la protección de la ciberseguridad empresarial dependía (más o menos) de la libertad y la voluntad de cada empresa. Sin embargo, la definitiva entrada en vigor del GDPR, que impone multas de numerosa cuantía para las compañías que no sean diligentes al tratar su ciberseguridad, ha provocado que la actitud de las empresas tenga que cambiar a la fuerza.
Enrique Ávila lo tiene claro: “La ciberseguridad no es negociable. El cumplimiento normativo en materia de ciberseguridad y protección de datos personales también afecta a las empresas y, les guste o no, en nuestra sociedad actual la pérdida de los recursos de TI significará, con una alta probabilidad, el fin de la empresa, ya sea por continuidad de negocio, por pérdida de reputación, por sanción administrativa o incluso penal, con el coste económico y social que ello representa para nuestro país”.
En este sentido, por tanto, el director del Centro Nacional de Excelencia en Ciberseguridad apunta en dos direcciones, la obligatoriedad y la concienciación (también de los trabajadores), ya que cualquier empresa “debe y está obligada a invertir en la protección de su infraestructura TI así como en la capacitación de sus empleados en esta materia, de la misma manera que obtiene muchos de sus beneficios gracias a esa misma infraestructura de TI y al uso eficiente que de ella hacen”.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
