La ciberseguridad y, en basic, la importancia de tener una buena cultura empresarial en torno a esta fueron algunos de los temas que se trataron en el evento Individuals, Processes & Cybersecurity Summit, impulsado por CIO ESPAÑA y que se celebró el pasado 23 de octubre en Madrid.

Sobre ello profundizaron, en un panel de debate conducido por Esther Macías, directora editorial de las cabeceras COMPUTERWORLD y CIO en España, Juan Cobo, CISO world de Ferrovial, Javier Tobal, CISO de Astara, Javier Sánchez, CISO de Engie España y Sebastien Rocher, ingeniero de sistemas y asesor de Plataformas de seguridad y resiliencia en Dell Applied sciences.

Los expertos arrancaron sus intervenciones reconociendo que el de la ciberseguridad es un viaje infinito. “Un CISO nunca diría que tiene un buen nivel de seguridad, tampoco malo, pero es que la ciberseguridad siempre está en mejora continua, nosotros, desde luego es un aspecto que afrontamos con mucha humildad”, arrancó el CISO de Ferrovial, que desveló que, en el caso de esta multinacional, los de ciberseguridad están catalogados como uno de los cinco riesgos potenciales más importantes para el grupo, además de destacar lo relevante que es atender a este ámbito desde el punto de vista del negocio.

“SI me preguntan, siempre digo, y así lo creo, que nuestro nivel de seguridad es adecuado, pero es cierto que esto es una carrera de fondo”, añadió el CISO de Astara. “Nadie puede estar 100% seguro en un contexto en el que la tecnología avanza y también los tipos de ataques y en el que cambian los paradigmas, sin olvidar, en nuestro caso, los riesgos que vienen de la digitalización del mundo de la tecnología de operaciones (OT)”, agregó por su parte el de Engie. Incluso desde el prisma de la industria, el directivo de Dell ahondó en la thought de que las compañías nunca pueden estar seguras del todo. “No hay ninguna garantía de que una organización no vaya a sufrir un ataque, por eso es tan importante apostar por tecnología que pueda minimizar su impacto y sensibilizar a los empleados; porque garantizar la ciberseguridad no solo consiste en dotarse de herramientas, sino que va mucho más allá, es un tema cultural”.

Un escenario de ‘tormenta perfecta’ en ciberseguridad

Preguntados por el precise contexto, marcado por una geopolítica tensionada, el aumento y sofisticación de los ataques cibernéticos y la disrupción de la IA generativa, los expertos estuvieron de acuerdo en la complejidad del momento precise a la hora de establecer los mecanismos de defensa adecuados. “Nos hallamos en un escenario de riesgo creciente porque cuanto más dependemos de la tecnología a mayor nivel de riesgo estamos expuestos”. Además, añadió que, aparte de los conflictos geopolíticos, que acrecientan el riesgo, “no hay que olvidar que el de los ciberataques es un negocio muy lucrativo”. Por ello, reconoció, el CISO afronta hoy muchas preocupaciones, debido a cómo se sofistica el mundo de la ciberamenaza  y cómo ésta pasa a la cadena de suministro, “lo que se pone de manifiesto en los últimos ataques que ha habido en todo el mundo”, y a la gran presión regulatoria que hay que cumplir, conformando un “escenario eminentemente complejo para esta función”.

“En los últimos cinco años, los CISO hemos aprendido que es muy importante saber lo que pasa fuera porque nos afecta”, añadió Tobal. El CISO de Astara nombró, además, el auge de la IA como otro motivo de disrupción del ámbito de la ciberseguridad. Recordó que muchos empleados, con el auge de la IA generativa, están introduciendo datos de sus compañías en plataformas que están fuera del management de los equipos de TI y de compliance, con el riesgo que esto conlleva. “Nosotros estamos trabajando y concienciando a los empleados en este sentido”.

Garpress.

Sánchez admitió que en Engie también han sufrido de ‘shadow AI’, lo que conlleva riesgos importantes para una compañía que trabaja con infraestructuras críticas como es esta empresa, que tiene negocio de renovables en España, pero también gaseoductos o energía nuclear en otros países. “Si un empleado sube a una IA información sobre dónde están nuestros activos, directamente está pintando una diana para que nos ataquen”, dijo, asegurando que la compañía tiene una política muy definida de qué tipo de plataformas de IA generativa están permitidas y cuáles no. Y todo esto, añadió, hay que aplicarlo sin ser un ‘stopper’ para el negocio. “Lo perfect es acompañar, más que prohibir”.

¿Es posible, por tanto, hacer un ‘firewall’ humano? Según el portavoz de Dell, hay que poner el foco en la sensibilización de los usuarios, alertar sobre los riesgos que vienen con la nueva IA e informarles sobre la existencia de las nuevas formas de ataque y robo de información, por ejemplo, a través de los deepfakes. Pero, sobre todo, “ver la ciberseguridad como un todo que involucra procesos, personas y tecnología”.

La IA también es un arma de defensa

Los portavoces reconocieron, no obstante, que los avances en IA no sólo los emplean los ciberdelincuentes, sino también los equipos de defensa. “Con ella tenemos nuevas capacidades a nuestra disposición, eso está claro, aunque hay que recordar que aún no es una tecnología madura”, indicó el CISO de Ferrovial, que dio dos consejos a aplicar en las estrategias de seguridad corporativas: “Automatizar e industrializar”.

“Lo que falla muchas veces —dijo el CISO de Astara— es la relación entre los humanos y la IA. Aún quedan pasos por dar para que dejemos que esta tecnología actúe sola en ciberseguridad sin supervisión humana”. “También opino que nos queda camino por delante en lo que respecta a la industrialización de la ciberseguridad”, añadió el CISO de Engie. A lo que el portavoz de Dell añadió una recomendación: “La importancia de validar los procesos para generar confianza. Porque no hay transformación digital sin confianza digital”.

“Ser CISO, sin duda —concluyó Cobo, de Ferrovial— conlleva una gran responsabilidad”, recordando que disponer de una buena ciberseguridad es “crítico para la generación de valor empresarial”.