Ciberseguridad, pilar del negocio: inversión, confianza y control en el centro de la estrategia
En un entorno cada vez más inestable, donde la inteligencia artificial avanza al mismo ritmo que las amenazas digitales, la ciberseguridad encara un desafío de fondo: no basta con hacerlo bien, hay que no fallar nunca. Las reglas cambian, los actores se vuelven más sofisticados y la partida sigue siendo profundamente desigual.
Durante su participación en el foro empresarial Wake Up Spain! organizado por El Español, Invertia y Disruptores, Juan Luis García Rambla, Lead for Business Development in Cybersecurity & Defense de Izertis, analizó el pulso entre atacantes y defensores, cuestionó el peso real del factor humano y señaló nuevos riesgos, de la cadena de suministro al uso no gobernado de la IA, situando la ciberseguridad como un activo crítico para la continuidad y la confianza del negocio.
En plena expansión de la IA, ¿cómo describirías el equilibrio actual entre la capacidad ofensiva de los ciberataques y los sistemas de defensa de las empresas? ¿Existe realmente una brecha a favor de los atacantes?
Consideramos desde Izertis que no es tanto que estemos por detrás, sino la existencia de una lucha asimétrica. Nosotros no podemos perder ni una batalla y a nuestros adversarios les basta con ganar una, esto es lo que causa la desazón.
La inteligencia artificial es un nuevo elemento sobre el terreno. Es un nuevo activo a incorporar a nuestros dominios, donde hay que saber a lo que jugamos y donde las reglas no están en su totalidad en el tablero. La empleamos, pero a veces no con la conciencia necesaria. Ahí está el Shadow AI o el empleo no controlado de agentes. Sin conciencia estamos enfocados a perder una nueva batalla.
Sin embargo, sabemos que si lo jugamos inteligentemente tenemos un activo que va a jugar en nuestro favor. La IA es uno de los pilares estratégicos que tenemos en Izertis, fuimos la primera consultora en certificarse en España en la ISO 42001.
La IA es uno de los pilares estratégicos que tenemos en Izertis
Desde ciberseguridad sabemos la necesidad de emplearla, pero también de protegerla y de ayudar a usarla con responsabilidad. Tenemos un curioso binomio con ella.
Además, es un recorrido que no nos es extraño puesto que ya lo andamos con otras tecnologías disruptivas en su momento.
Cuando hablamos de riesgos en ciberseguridad, ¿dónde está hoy el verdadero punto crítico: en las amenazas externas o en las vulnerabilidades internas? ¿Sigue teniendo el factor humano un papel determinante?
Con el avance y salto que se ha dado en la aplicación de medidas de seguridad, el principal riesgo está en no cumplir con nuestras propias premisas y dar la espalda a las capacidades de los adversarios.
El mayor riesgo está en no cumplir nuestras premisas
Al usuario se le ha despojado de privilegios, le hemos dado mecanismos de orquestación para limitar que con sus actos inconscientes provoque un alto impacto al ser el canalizador de una amenaza, e incluso se le forma.
Pero no todo el personal de una organización quizás tenga los mismos requisitos. Probablemente tengamos que ir buscando otra tipología de culpables, ya que el usuario medio actual tiene un impacto limitado cuando por su causa se materializa una ciberamenaza.
Probablemente el horizonte de los ataques para organizaciones con mayor madurez se haya desviado hacia los ataques de cadena de suministros.
Sin embargo, no se le da a esa cadena su debida importancia.
¿La ciberseguridad ha dejado de percibirse como un gasto para convertirse en un elemento estratégico del negocio? ¿Qué pilares debería sostener una estrategia eficaz en este ámbito?
La ciberseguridad debería ser vista como un factor habilitador de negocio. Cuando hablamos de inversión en ciberseguridad, lo que proyectamos es confianza, transmitimos control de la situación, capacidad para reaccionar adecuadamente… son una serie de elementos que no solo están exigidos por normativas, sino deseados por las diferentes partes interesadas con las que interactuamos.
Una estrategia actual debe ser entendida en tres contextos: El primero el propio de quiénes somos como compañía, lo que hacemos, lo que debemos hacer y lo que se espera de nosotros. El segundo es el de índole externo, nuestros clientes, nuestros proveedores, las autoridades. El tercero y el que se deja a menudo de lado es el del adversario, no debemos darle la espalda.
Cuanto mayor desconocimiento de uno de nuestros activos, mayor foco debemos poner en él
Debemos conocer su postura frente a nosotros y ser conscientes que van a aprovechar los resquicios existentes.
Incluso en elementos tan recientes como en el uso de la IA, que mencionábamos al principio.
Y ahí quizás más todavía por el desconocimiento en su uso.
Con el escenario actual de amenazas, ¿están las compañías destinando los recursos necesarios a protegerse o aún existe margen de mejora en la inversión en ciberseguridad?
Hay compañías que han llegado a su equilibrio, donde el coste de aplicar más seguridad no va a compensar un riesgo que ya es residual. Ahí tienen el objetivo de monitorizar y actualizarse en todos los sentidos.
Pero no es lo general, todavía no hay un total convencimiento de la necesidad. Se sigue en muchos casos invirtiendo por cumplir una norma, pero entonces lo que se está demostrando es que se va a mínimos y este es el terreno abonado para los adversarios. Cumplir mínimos implica que damos al adversario la capacidad para dominar cualquier batalla en la que juguemos contra él.
¿Qué lectura se hace del marco regulatorio europeo en materia de ciberseguridad, con normativas como DORA, NIS2 o el GDPR? ¿Es un impulso necesario o un reflejo de carencias previas?
Importantes y quizás llegan hasta tarde. Pero en general demuestran un posible fracaso como sector al tener que imponer una serie de requisitos y medidas a considerar, sin tener presente que es algo que cualquier organización debería haber hecho por su propio interés.
Nadie ha sacado una ley que determina la idoneidad o exigencia de poner puertas en las casas, alarmas, cerraduras seguras… ¿por qué con la tecnología sí lo necesitamos?
Si tuvierais que trasladar un único consejo a un CEO en este contexto, ¿cuál sería la clave para abordar con éxito el reto de la ciberseguridad en su organización?
La tecnología es una aliada y no hay que desdeñar ningún sistema como el que tenemos encima del tablero con la IA, pero hagámoslo con consciencia.
Prohibir la IA por miedo no es el camino
Prohibir la IA por miedo no es el camino, ya que es fácil saltarse las barreras y emplearla sin control o al margen de la entidad.
Debemos entenderla, implantarla y usarla con el debido respeto que merece cualquier nuevo elemento que llega a nuestras vidas.