“Fortificación, separación y segregación de redes, y criptografía”. Esto es lo que se entendía por seguridad cuando Marta Beltrán comenzó su actividad profesional hace 15 años. Como indica esta autora, profesora e investigadora (es la coordinadora del primer Grado en Ciberseguridad de España) “se buscaba simplemente proteger los datos en tránsito y almacenados. Desde entonces, hemos cambiado nuestra interacción con la tecnología y trabajamos conceptos distintos en relación con la protección, “empezamos a hablar de gestión de identidades de acceso, metodologías de desarrollo seguro, de protección contra el malware y contra amenazas avanzadas”.
-
En 2014 escribiste “Cloud computing, tecnología y negocio”. ¿Cómo crees que ha cambiado la nube en términos de seguridad?
Diría que estamos empezando a proteger nuestros sistemas de cloud. Hasta ahora, se han creado productos y servicios marcados por las necesidades de los clientes, solo preocupándonos por su funcionamiento, pero no por su seguridad. La seguridad se solía añadir al final del proceso de creación. En los dos últimos años hemos dado un salto cuantitativo y cualitativo en lo que se refiere a seguridad en la nube. Empezamos a ser conscientes de su importancia, y de que, por ejemplo, externalizar parte de la infraestructura tecnológica no significa olvidarnos de los riesgos que corremos. El proveedor no es ahora la única fuente que debe preocuparse por la seguridad de la empresa. La mayor parte de los usuarios son ahora conscientes de que existe una responsabilidad compartida, de que existen amenazas cuando se contratan servicios en la nube, y también son distintas las medidas y protecciones a tomar para cada uno de estos servicios específicos. No es lo mismo un agente antimalware para PC que para un servicio de la nube.
-
La innovación constante puede ser un reto en términos de seguridad. ¿Cómo logras mantenerte actualizada?
Hay que tener una estrategia clara. Hay ciertos sectores donde el apetito por la innovación es parte de su estrategia clave, y por lo tanto se permiten avanzar más rápido y tomar más riesgos. Otros, como el sector industrial y de infraestructuras críticas, tienden a ser más conservadores porque ciudadanos y administraciones gubernamentales dependen del funcionamiento de sus servicios (aeropuertos, centrales nucleares, centrales de energía). En el caso de las startups, que están muy volcadas a la nube y suelen tenerlo todo externalizado, no es que les convenga ser innovadores, es que muchas veces su supervivencia depende de ello. Por ello tienden a asumir más riesgos, y su innovación no puede repercutir negativamente en el ámbito de la seguridad. Siempre va a depender del sector, del negocio, del país. En la universidad lo que intentamos es tener la mayor transparencia tecnológica posible. Nos permitimos ser más innovadores, pensar a lo grande, para poder transmitir esa innovación a empresas, al sector productivo y a la administración. Esta transferencia de conocimiento es importante: que llegue a las empresas aquellos temas que se investigan en las universidades.
-
¿Qué importancia tiene la formación de los empleados?
La formación y la concienciación, en la esfera personal y en la profesional, es muy importante. La gente no siempre es consciente del riesgo que corre en la esfera personal y que puede tener consecuencias en el entorno profesional: el uso de redes y dispositivos desprotegidos en los que muchas veces se accede a banca personal o se almacena información sensible, o se accede a cuentas corporativas. En el caso del sector profesional, las amenazas internas, que son tan comunes, la mayoría de las veces no se deben a una mala intención sino a un descuido o una imprudencia, o incluso al desconocimiento de las reglas. Las compañías deben tomarse en serio la seguridad, formar sobre las políticas de la empresa (para portátiles, para redes, para tener contraseñas seguras). Debemos implementar la seguridad desde el inicio, tener claro a qué se puede acceder y a qué no, y designar un contacto de seguridad al que podamos acercarnos en caso de incidentes.
-
¿Qué consejo de ciberseguridad le darías a una compañía que desea mantenerse a salvo en el nuevo ecosistema?
Le diría que es importante aplicar el sentido común y protegerse al nivel adecuado, en función de los riesgos que corres. Desde el punto de vista tecnológico, no hay tantas limitaciones como nos podría parecer. Es decir, existen ya soluciones de ciberseguridad para casi todos los problemas que se nos podrían presentar. También diría que hay que acercarse a la seguridad desde un enfoque incremental. Una vez que sabes los riesgos que corres, no puedes pretender resolverlos en un día, porque siempre irán cambiando. Según intentas mitigar los riesgos, aparecerán otros nuevos. Las empresas deben partir de una situación base e ir mejorando, sin parar, adquiriendo nuevos conocimientos y nuevas prácticas para hacer frente a las amenazas constantes.