La ciberseguridad ocupa un papel central en las empresas actualmente y, como consecuencia, la ciberresiliencia ha pasado a un primer plano por su relación directa con la marcha de las empresas y su cuenta de resultados. Con este motivo, MuyCanal celebró hace unos días un encuentro para debatir sobre los retos que presenta la ciberresiliencia con grandes expertos de las principales empresas de ciberseguridad. Contamos en esta ocasión con la participación de:
- Enrique Martin, Director de ventas y desarrollo de negocio en Grandes Empresas y Administraciones de Samsung Electronics Iberia.
- Daniel Galiano, Account Executive Iberia de Barracuda
- Javier Jurado, Business Development Director de Exclusive Networks Iberia
- José Antonio Morcillo, Head of Channel Iberia / B2B Sales de Kaspersky España
¿Qué es la ciberresiliencia?
El primer punto que se trató en la mesa fue la misma definición y evolución del término ciberresiliencia. Un concepto que hace bien poco era prácticamente desconocido salvo para contados especialistas y que el crecimiento de las ciberamenazas y la proliferación de problemas de seguridad y de privacidad que sufren muchas organizaciones, muchos de ellos por la necesidad de mantener múltiples puntos de entrada a sus sistemas, ha hecho que la ciberresiliencia pase a estar en el centro de la conversación.
Comenzó José Antonio Morcillo, Head of Channel Iberia / B2B Sales de Kaspersky España, aportando su punto de vista, «la resiliencia aplicada a la parte de ciberseguridad es la definición más fácil. Realmente es la capacidad que tienen las empresas de resistir a los ataques indiscriminados, a los incidentes de seguridad y de ir evolucionando conforme se van produciendo, mejorando cada vez la capacidad y haciéndose fuertes, generando conocimiento de lo que sucede realmente y cómo pueden responder«.
Daniel Galiano, Account Executive Iberia de Barracuda, avanzó en esa línea, «el objetivo que tenemos es ver cómo podemos ayudar a las personas a adaptarse. Nosotros como empresas orientadas a ciberseguridad estamos ahí en el ojo de huracán, sabemos cuáles son los problemas actuales y venideros. El mensaje es ver cómo podemos, desde los fabricantes, los expertos que tenemos más conocimiento en el ámbito, cómo poder ayudar a los clientes, a las personas a adaptarse«.
Por su parte, Enrique Martin, Director de ventas y desarrollo de negocio en Grandes Empresas y Administraciones de Samsung Electronics Iberia, añadió que «tienes que estar preparado. La frase clásica dice que hay dos tipos de empresas, las que saben que son atacadas y las que no saben que son atacadas. Si al final vas a tener el problema, yo creo que la pregunta es cómo vas a responder, cuánto tiempo vas a tardar y cuánto vas a volver a estar otra vez operacional y qué has aprendido de esto. Está muy relacionado con el orden. Hay que tener un orden manteniendo los activos de empresa, los endpoints, las soluciones y las redes para que estén preparadas».
«Y luego estadística, jugar con la estadística. Puedes tener suerte o no puedes tener suerte, en algún momento se va a acabar la suerte. Si tú tiras la moneda 100 veces, alguna vez va a salir cruz. Entonces yo creo que al fin y al cabo es un poco orden, preparación y entrenamiento para estar preparado para cuando venga«.
En la línea de la estadística, Javier Jurado, Business Development Director de Exclusive Networks Iberia, recalcó que «ese componente estadístico es en parte responsable de traer al primer plano el concepto de ciberresiliencia. Por grandes que sean las inversiones, cubrir toda la superficie de ataque es imposible. Cuando uno pone encima de la mesa las inversiones necesarias para tratar de mitigar el riesgo de una superficie de ataque en un momento dado o de riesgo en general, siempre lo multiplica por la probabilidad de que se produzca ese suceso«.
Y añadió que «en los últimos años hemos visto es que los sucesos más inverosímiles pueden suceder y podemos tener una pandemia global, un volcán o un apagón eléctrico. De manera que esa p de probabilidad empieza a significar algo relativiza la inversión con las pérdidas que se puede tener en un momento dado. No se trata solo de defender el perímetro, ser preventivos, incluso ser proactivos detectando, sino que tenemos que tener soluciones que sean capaces de recuperar de manera automática, ante desastres con copias inmutables. Tenemos que dar una respuesta ágil a riesgos que antes nos parecían poco verosímiles«.
La importancia de la concienciación en ciberresiliencia
Daniel Galiano, de Barracuda, comentó que, en su experiencia, las propuestas iniciales suelen ser «de máximos» y luego se van recortando partidas para disminuir el coste final. «Hasta que no hay un problema, muchas veces es complicado hacerle ver a un cliente que tienes que llegar a esa propuesta de máximos para estar bien preparado. Nunca vamos a estar cubiertos al 100%, pero por lo menos intentarlo. Imagina que por haber tachado esa línea en el presupuesto, justamente nos entren por esa brecha que hemos podido dejar abierta«.
El impacto que puede tener para una empresa un ciberataque está muy relacionado con la continuidad del negocio. Y esto trae a colación un aspecto muy importante: para poder proteger bien a una empresa y para tener una estrategia de ciberresiliencia sólida, el proveedor debe conocer bien a su cliente, cómo opera y qué activos gestiona. Al respecto, Javier Jurado, de Exclusive Networks Iberia, aportó que «indudablemente es importante, en nuestro caso como distribuidores, apoyar a los partners que hacen ese contacto directo con los clientes finales a la hora de entender una determinada solución».
«Pero también lo es hacerle ver al cliente ciertos riesgos que no ha concebido. Basta ver algunos estudios, estadísticas, que señalan que prácticamente el 40% de las soluciones de backup o de alta disponibilidad en realidad no funcionan, pero como no se ponen a prueba nunca, vivimos con la falsa sensación de seguridad, de que estamos protegidos. Tenemos que ayudar al cliente a comprender su realidad al mismo tiempo que nosotros la comprendemos. Pero muchas veces, en mi experiencia al menos, nos encontramos con clientes que no son conscientes del todo del riesgo al que están expuestos«.
José Antonio Morcillo, de Kaspersky España, lo expresaba con claridad, «el riesgo es igual a la probabilidad por las consecuencias. Es así. La percepción del cliente suele ser que su probabilidad es baja y las consecuencias no las conoce. Entonces no percibe el riesgo. El problema es cuando tú le haces ver, decir, vale, el riesgo puede ser bajo, pero cuando realmente le haces ver las consecuencias que tiene, el riesgo se eleva muchísimo. El problema es que la probabilidad en una Pyme igual es menor, pero realmente las consecuencias son brutales, puede ser hasta el cierre. Entonces el riesgo es máximo«.
Enrique Martin, de Samsung Electronics Iberia, puso un ejemplo muy reciente que le había sucedido. «Tuvimos una reunión el día anterior con un cliente. Le hackearon el correo, leyeron las últimas conversaciones y nos mandaron a la lista de distribución. Os envío el documento que hemos hablado en la reunión que hemos tenido antes con la información que tenemos. En cuanto cliqué en el documento que mandaron, que estaba en una nube, me empezó a pedir mis credenciales de acceso a la empresa. Y me dije, qué raro. Bueno, pues igual es un bloqueo muy riguroso de nuestros sistemas y me lo mandé al correo de casa para leerlo allí. Cliqué en él y, cuando vi que me volvía a pedir las credenciales vi que había un problema. Y claro, le llamamos y vimos que le habían hackeado. Nos avisó un rato después, pero claro, es que es muy fácil picar«.
Los cambios que está provocando la Inteligencia Artificial
Daniel Galiano, de Barracuda, puso sobre la mesa el asunto más candente en el sector tecnológico en los últimos meses: la Inteligencia Artificial. Comentó que «los cibercriminales ya no son chavales con capucha. Son organizaciones muy potentes que ahora además están apoyadas por la inteligencia artificial. El mal que puedan hacer es enorme. Ahora pueden hacer cosas mucho más rápido. Nuestro desafío es ver de qué manera podemos utilizar esa inteligencia artificial para pararles, optimizar nuestros recursos para ser mucho más potentes. En un servicio de SOC, por ejemplo, es muy importante esa parte de machine learning en inteligencia artificial. Podemos analizar millones de datos para evitar que haya tantos falsos positivos y para poder alertar a un cliente cuando realmente tiene que mirar algo de verdad«.
Enrique Martin, de Samsung Electronics Iberia, comentó que «la inteligencia artificial ayuda a los ciberdelincuentes a desarrollar software mucho más rápido. Si alguien quiere atacar a una empresa o un consultor quiere hacer una prueba para mostrar la dimensión del riesgo a la Alta dirección, basta con entrar en chatGPT, analizar los datos de la empresa y pedirle que le prepare un phishing para enviar a la empresa y mandarlo a ver qué pasa. Aunque sea un email burdo, no hace falta que sea muy sofisticado, mucha gente caerá en la trampa. Y la inteligencia artificial ya se está utilizando para hacer ataques más peligrosos. Con un prompt más elaborado, se puede hacer algo más sofisticado, y en vez de que caiga un 20% a lo mejor cae un 60%. Imagina el problema«.
Un aspecto en el que coincidieron todos los expertos es en que una de las grandes ventajas de la IA es que permite analizar constantemente muchos datos y detectar posibles patrones anómalos. Según Enrique Martin, de Samsung Electronics Iberia, «si detectamos un dispositivo tiene el consumo de CPU o de memoria inusualmente altos a las 3:00 AM, esa información nosotros se la proporcionamos a los sistemas de defensa para que puedas tomar decisiones. Aquí algo está pasando y si a las 3:00 a.m. tienes la CPU alta posiblemente tienes un problema«.
Javier Jurado, de Exclusive Networks Iberia, destacó que no por decir que una solución «tiene Inteligencia Artificial» ya está todo hecho, «la IA está democratizando los ataques. Cada vez más gente puede realizar ataques a cada vez más empresas o instituciones que hasta ahora no recibían demasiado. Está poniendo la posibilidad en manos de más gente y acortando tiempos para codificar un ransomware, para hacer una filtración, lo que antes tardabas días, semanas, pues ahora tardas horas, minutos. Hay que discriminar cuáles son los fabricantes que están introduciéndolas de una manera consistente, que llevan años introduciendo machine learning, porque esto no es una cosa de hoy, se lleva trabajando desde los años 50 del siglo pasado«.
José Antonio Morcillo, de Kaspersky España, quiso aportar una dosis de escepticismo cuando comentó que «La IA ni es inteligencia ni es artificial. Es así. Te permite manejar grandes volúmenes de información, te facilita la vida, te facilita muchas tareas, pero realmente no aporta nada en el ámbito de creación de malware porque es mucho más rápido y barato comprarlo en la Deep Web, lo compras y te dedicas a atacar. Puedes aplicar inteligencia artificial, automatizarlo y hacerlo de igual forma. Aunque estoy completamente de acuerdo con que nos está ayudando mucho a analizar enormes volúmenes de información mucho más rápidamente, sin duda«.
El reto de la falta de talento especializado
«Otro reto que tenemos en el sector es la escasez de recursos«, añadió Javier Jurado. «El error humano está volviendo a la resiliencia hiperpresente. Hay un informe de Enisa, la agencia europea, que habla de que el 80% de los incidentes de ciberseguridad tienen algún tipo de error humano o fallo humano«. eso por la parte de los errores en toda la empresa, pero luego la situación va ás allá en los departamentos de TI, «tenemos una falta de conocimiento en general o de personal listo para trabajar. Y la tecnología, la inteligencia artificial está facilitando ese concepto del analista aumenta el que un técnico que no ha adquirido todavía esa experiencia, se vea asistido por herramientas que hablan el lenguaje natural y pueda interactuar con los sistemas sin tener que haber aprendido un sofisticado lenguaje«.
El impacto de los cambios legislativos
Los últimos cambios normativos (NIS2, DORA) han hecho que los Consejos de dirección tengan ahora responsabilidades directas en las consecuencias de los ciberataques, ¿cómo están percibiendo esto los clientes de estas empresas? José Antonio Morcillo, de Kaspersky España, comentó que se había encontrado en más de una ocasión con clientes que «hasta que no llegan las multas no se toma ninguna decisión o no empiezan a hacer algo. Recuerdo hablar con un directivo de una empresa al que le dije que tenía responsabilidad penal. Me miraba y me decía ¿cómo que tengo responsabilidad penal? No sabía que realmente el incumplimiento de estas normas le podía llevar a la cárcel«.
Conclusiones del encuentro
A modo de resumen, estas han sido las principales conclusiones de los expertos que hemos tenido el placer de congregar para este encuentro de Muy Canal:
- La ciberresiliencia es fundamental para las empresas: Dada la creciente proliferación de ciberataques, la capacidad de las empresas para resistir, recuperarse y adaptarse a estos incidentes es crucial para su continuidad operativa y resultados financieros.
- La concienciación sobre los riesgos es clave, pero a menudo insuficiente: Los clientes a menudo subestiman el riesgo real de los ciberataques y recortan el presupuesto de seguridad hasta que experimentan un incidente, lo que subraya la necesidad de una mayor educación y comprensión del impacto potencial.
- La Inteligencia Artificial (IA) es un arma de doble filo: Si bien la IA puede ayudar a analizar grandes cantidades de datos y detectar anomalías, también está siendo utilizada por los ciberdelincuentes para desarrollar ataques más sofisticados y rápidos.
- La falta de talento especializado es un desafío importante: La escasez de profesionales de ciberseguridad dificulta la capacidad de las empresas para protegerse adecuadamente y responder a los incidentes. La IA puede ayudar a mitigar este problema.
- Los cambios legislativos están aumentando la responsabilidad de los directivos: Las nuevas regulaciones como NIS2 y DORA están haciendo que los consejos de administración sean directamente responsables de las consecuencias de los ciberataques, lo que está impulsando una mayor atención a la ciberseguridad en las empresas.
