“Se puede llegar a un nivel bueno de ciberseguridad sin hacer grandes inversiones”

Los ciberataques globales han hecho que abramos los ojos ante el problema de la ciberseguridad. Abad espera que Ziur ayude a la industria guipuzcoana en este camino

 

DONOSTIA- Ziur se llama el centro de ciberseguridad industrial de Gipuzkoa, que abrirá sus puertas en el primer trimestre de 2019. ¿En qué estado se encuentra el proyecto?

 

-Queda el acondicionamiento de la obra y equipar la parte informática del laboratorio. Para el primer trimestre de 2019 ya estará la sede en marcha, lo que no quiere decir que desde la fundación no estemos haciendo cosas.

 

¿Qué función tiene el centro?

 

-Tiene cuatro objetivos fundamentales: generación de conocimiento y su transmisión a la industria, sensibilización y capacitación, difusión de buenas prácticas y una herramienta de prevención.

 

¿Con qué equipamiento cuenta?

 

-Una parte está orientada a la red administrativa y otra más específica dirigida a tareas técnicas relacionadas con la ciberseguridad. Tenemos habilitado un plan de actuación que contempla una plantilla de cinco personas. Este año esperamos incorporar a tres de ellas. En pocas semanas anunciaremos la dirección técnica y, si todo va bien, para el segundo trimestre de 2019 estaremos las cinco trabajando.

 

En estos primeros meses, ¿cuáles están siendo los cometidos del centro?

 

-Queremos terminar la puesta en marcha de las instalaciones de la sede para empezar a dar los primeros servicios a finales de 2019. Por el momento, hemos iniciado la toma de contacto con la industria. Hemos tenido reuniones con las empresas que prestan servicios de ciberseguridad, con las universidades, con los centros tecnológicos... En esta primera fase estamos llevando a cabo toda la parte de la difusión. También estamos trabajando con perfiles más jóvenes. Hace pocas semanas participamos, por ejemplo, en la inauguración de la segunda edición del máster propio de Mondragon Unibertsitatea de ciberseguridad. Y tenemos el programa de ayudas de 400.000 euros, dividido en tres bloques, orientados a la empresa, a la investigación y la formación, que finalizó el 29 de septiembre y en pocos días o semanas se va a resolver.

 

¿Cuál es la salud de Gipuzkoa en materia de ciberseguridad?

 

-Hay interés en saber qué hay en el ámbito de la ciberseguridad, hay desconocimiento en cuanto a cómo implantar esas medidas y una de las cosas más relevantes es que no existen planes definidos que permitan establecer objetivos a la organización. Uno de los retos que tenemos es pasar de la resolución del problema al diseño de la solución, y eso lleva a asumir una estrategia en ciberseguridad, independientemente del tamaño que tenga la empresa. Hay cierta sensibilidad, pero queda muchísimo por trabajar. La amenaza está sobre la mesa, el riesgo es real y ahora queda empezar a andar.

 

¿Cuáles son las principales amenazas a las que nos enfrentamos y de dónde nos vienen?

 

-El de dónde vienen es una pregunta difícil de responder. Amenazas existen fuera de la empresa y dentro. Ahora estamos viendo ataques o amenazas relacionadas con ramsomware, pequeñas piezas de malwareque cifran la información, la comprometen para luego pedirte un rescate. Son cosas que se están dando de forma muy extendida porque es muy sencillo para quienes lanzan estas campañas. También están las estafas. Pero tenemos también situaciones más particulares que afectan a las cadenas de producción: anomalías en el funcionamiento de algún equipo que puede cambiar la forma de trabajar... No sé puede decir de dónde vienen, pero sí que hay un conjunto de amenazas que pueden afectar a la continuidad del negocio o a la obtención de beneficios.

 

Con esta realidad sobre la mesa, ¿qué acogida ha tenido Ziur en el entramado industrial?

 

-Hay expectativa. Existe inquietud y se buscan respuestas prácticas. Se ve un alineamiento claro entre los pilares que queremos trabajar y lo que se está demandando en las empresas. El reto que tenemos es conseguir dar respuesta, en el tiempo adecuado y, sobre todo, estando cerca y colaborando con la empresa.

 

¿Cómo se va a articular esa relación entre el centro y las empresas?

 

-Me encantaría decir que van a ser las empresas las que se van a acercar a nosotros, pero como todo proyecto que arranca, tenemos que estar cerca de aquellos que lo necesitan. Primero para ayudar a identificar la necesidad, porque a veces no la ven o no saben objetivarla. Y tenemos que unir los recursos que ya tenemos, es decir, las empresas que dan un servicio de ciberseguridad, y las necesidades que existen. Ese ecosistema de colaboración tiene que existir. La única forma de hacerlo es estando cerca y tomando la iniciativa nosotros y esperamos que una vez ya haya una confianza, sea una situación normal de toma y daca.

 

¿Cuáles son a día de hoy los sectores más vunerables?

 

-Hay cuatro que tenemos que proteger: metal, energía, transportes y máquina herramienta, que suponen el 25% del PIB. Estos sectores también están sometidos a un mantenimiento de la reputación. Tú produces un bien que va a un tercero y, si tu producto no cumple con una serie de requisitos, te sometes a un cuestionamiento por parte del mercado.

 

¿Cómo debe proceder una empresa que detecta que está siendo víctima de un ciberataque?

 

-Lo primero que hay que hacer es notificarlo a aquellos que son profesionales en la gestión de incidentes porque ellos ayudan a las empresas. Un ejemplo sencillo: tengo una empresa, caigo en un ramsomware y me piden un rescate. Automáticamente tengo que hablar con un experto en incidentes para que me ayude a saber si tengo que pagar o no, cuál es la identidad y la fiabilidad de ese cibercriminal... Todo eso se reporta y se comparte entre los diferentes centros de gestión de incidentes y se empieza a trabajar en el denominado Día N+1. Puede que pagues, que te resuelvan el problema, pero ¿qué has hecho en ese impasse para que al día siguiente no te suceda lo mismo? Yo lo que recomendaría es tener identificados a aquellos agentes relevantes que son profesionales en la gestión de incidentes, hablar con ellos y establecer un plan de contingencia. Ahora bien, lo que me gustaría es que hablásemos de qué tienen que hacer las empresas para no llegar a esta situación.

 

Y, ¿qué deben hacer?

 

-Ese es uno de los pilares fundamentales sobre los que pivota Ziur: identificar y ayudar a proteger. Empezaría por cosas muy sencillas como es tomar una decisión de si la ciberseguridad es importante para tu actividad. Y si es que sí, dotar de medios e identificar las medidas, porque esto no tiene que ver solo con la tecnología sino que hay procesos y sobre todo hay personas... Y luego decidir qué quiero proteger: mi planta de producción, el proceso, el producto... Hay que hacer una labor previa de liderazgo para lanzar la propia estrategia de ciberseguridad y ahí hay un montón de profesionales y nosotros desde el centro estamos comprometidos en dinamizar las medidas. Pero primero hay que tomar el liderazgo.

 

¿Están las empresas lo suficientemente concienciadas?

 

-Diría que hay inquietud, pero hay que trabajar más en la sensibilización. Las preocupaciones de las empresas están en resolver su actividad y es muy difícil poder derivar recursos a la ciberseguridad. Hay inquietud, hay que trabajar en la sensibilización y algo que queremos hacer es compartir experiencias de otros para que sean capaces a aterrizar. Hay que intentar aprender antes de recibir la bofetada, porque a veces es muy fuerte.

 

¿En qué sentido va Ziur a dar un valor añadido al tejido industrial?

 

-En dos puntos de vista: dar recursos, bien sea internos o a través de los programas de formación y poner profesionales en el mercado, bien sea incorporando prácticas o conocimiento internacional. Y luego, cómo construir una dinámica en la que sepamos que los productos que estamos llevando hacia afuera tienen ciertas garantías o pueden exigir garantías a terceros. Es decir, cómo estar bien dentro y proteger lo que saco fuera.

 

¿A día de hoy las empresas están mínimamente protegidas?

 

-No se puede generalizar. No estás ni peor ni mejor, sino en una situación en la que tienes que tomar una decisión. Hay empresas que por su negocio o por las personas que trabajan en los ámbitos de decisión o porque se lo exigen fuera están en un nivel de madurez alto. Hay otras que tienen un camino por recorrer. Yo me centraría en qué impacto están teniendo las amenazas materializadas: en la última semana, dos millones de euros, 900.000 en Gipuzkoa. Algo hay que hacer.

 

¿Es caro proteger a una empresa de estos ciberataques?

 

-No. En términos de seguridad siempre hay que plantear qué es más caro: ¿perder la reputación? ¿parar la actividad? Hay que buscar un equilibrio entre las medidas que adoptas y el bien que proteges. No vas a comprar una caja fuerte de un valor incalculable para proteger algo que no tiene valor. ¿Es caro? Creo que merece la pena. Las empresas en Gipuzkoa deben proteger cuatro cosas principalmente: el proceso productivo, para que no se detenga la actividad;la reputación;la parte económica, es decir, caer en alguna estafa;y la protección de la propiedad intelectual o industrial. Si hablamos de ciberseguridad es porque ya hemos tomado la decisión de que incorporar tecnología aporta beneficio. Con lo cual va de la mano. No tiene que ser caro porque estás protegiendo algo que tiene más valor. Se puede llegar a un nivel bueno de ciberseguridad sin hacer grandes inversiones.

 

La estrategia industrial 4.0 se convierte también en una puerta de entrada a los ciberataques. ¿Están la industria y la tecnología preparadas para este reto?

 

-Una de las cosas buenas que tiene Gipuzkoa es su nivel de conocimiento tecnológico. La industria guipuzcoana está haciendo un esfuerzo fuerte y bueno. Sí abre puertas, pero es el riesgo que hay que asumir. Estamos trabajando bien, hay una apuesta a nivel de Administración muy fuerte y se están haciendo cosas muy importantes a nivel de centros tecnológicos, polos de innovación...

 

Dique que no es suficiente con contratar servicios, también hace falta formar a las personas. ¿Cómo?

 

-Depende el perfil. No es lo mismo un nivel de dirección que uno de operación. Cada uno tiene su función e interactúa de forma distinta con la tecnología, es decir, cada uno está expuesto a unas amenazas distintas. Primero hay que entender cómo afecta la ciberseguridad a mi trabajo en el día a día y luego cómo me relaciono yo con la tecnología. Si me resulta más sencillo dejar la clave apuntada debajo del teclado, tengo que saber que igual con ese password, alguien puede acceder a tu correo y a la lista de contactos de terceros y poder entrar y generar una situación complicada. Hay que generar conciencia y luego impartir cursos específicos en función de tu relación con la tecnología. Es importante diferenciar el componente puramente tecnológico o especialista del sector de la ciberseguridad y la cultura de ciberseguridad. Hay que trabajar los dos ámbitos.


La ciberseguridad abre una oportunidad laboral de futuro.

 

-Hay un máster en Mondragon Unibertsitatea. También los centros de Formación Profesional están ofreciendo cursos y luego hay distinta formación no reglada. Además el sector tiene un punto muy atractivo y es que se aprende en base a la experimentación. Hay muchas empresas cuyos servicios están enfocados a vender servicios de ciberseguridad, pero también imparten formaciones específicas. Hay cosas pero falta trabajar más, mucha promoción, identificar necesidades, construir una masa crítica, generar una cultura... y poner un poco de orden en lo que ya hay.

 

En pocos meses, Euskadi va a contar con dos centros de ciberseguridad a pleno rendimiento. ¿Va a existir algún tipo de coordinación entre ambos?

 

-Aunque hay competencia, estamos en una situación en la que hacen falta manos, porque hay mucha demanda y hay que trabajar de la mano de las empresas y del resto de agentes. La coordinación ya existe. Tuvimos una reunión en septiembre, la siguiente será a primeros de año, evaluamos iniciativas que involucran a los dos centros... La colaboración no se puede no dar porque es necesaria.

 

Las Claves

 

“Tiene que existir colaboración entre las empresas que dan servicios de ciberseguridad

y las necesidades”

“Hay desconocimiento sobre cómo implantar medidas y no hay planes definidos que fijen objetivos”

“Hay que hacer una labor previa de liderazgo antes de lanzar la propia estrategia de ciberseguridad”

 

https://www.noticiasdegipuzkoa.eus/2018/11/18/sociedad/se-puede-llegar-a-un-nivel-bueno-de-ciberseguridad-sin-hacer-grandes-inversiones

 

Please reload

Featured Posts

Los 8 errores en ciberseguridad más habituales en el trabajo

July 19, 2019

1/5
Please reload

Recent Posts