Entrevistamos a Roberto Ortiz, Global Head of People Information Security en BBVA, para conocer su visión sobre el estado de la ciberseguridad en las empresas, y la importancia de la concienciación y formación de los empleados para hacer frente a las amenazas actuales y futuras.
Profesional de las TIC y la ciberseguridad, Roberto cuenta con una amplia trayectoria enfocada a ayudar a las grandes empresas a protegerse de la ciberdelincuencia.
Aiwin – ¿Puede únicamente la tecnología protegernos actualmente de las amenazas de la ciberdelincuencia?
Roberto Ortiz: La tecnología es fundamental para la protección de las empresas, y también lo es, y cada vez más, en la protección en el ámbito personal. Pero hoy en día solo con tecnología no se puede hacer frente a los ciberataques. El factor humano es, sin duda, un aspecto a tener en cuenta tanto en las organizaciones como en el ámbito personal. Con la llegada de la pandemia también se ha abierto una oportunidad para la ciberdelincuencia y los ataques de ingeniería social son cada vez más habituales.
Por estos motivos es importante volcar esfuerzos en crear una mayor cultura de ciberseguridad en las empresas y en la sociedad en general.
Aiwin – ¿Qué percepción tiene la plantilla sobre la ciberseguridad?, ¿son conscientes de lo que supone hacer un uso no seguro de la tecnología?, ¿podemos identificar los puntos más “débiles” de los empleados?
Roberto Ortiz: En este sentido se ha avanzado mucho en los últimos años. El Grupo BBVA ha creado un área específica denominada “People Information Security” para garantizar que los empleados tienen los conocimientos necesarios de seguridad, están concienciados de los riesgos a los que se exponen y conocen cómo actuar en cada caso. La estrategia de formación en ciberseguridad se refuerza continuamente teniendo en cuenta a todos los empleados desde los perfiles más técnicos hasta los niveles más altos de la organización.
Hemos definido un programa de formación que consta de un curso básico obligatorio para todos los empleados del Grupo y otros más específicos para determinados perfiles técnicos o con una exposición al riesgo diferencial, así como para el propio equipo de ciberseguridad.
Con esta estrategia de formación en ciberseguridad queremos garantizar que las personas aprendan a detectar las amenazas del mundo digital, adquieran el conocimiento, y tengan los recursos necesarios para poder prevenirlas y convertirse así en una fuerte barrera de protección para las empresas pero también en su ámbito personal.
Aiwin – ¿Cómo de importante es la concienciación de los empleados para prevenir y detectar un ciberataque?, ¿qué consecuencias tiene no contar con un plan de concienciación?, ¿cómo podemos comprometer al empleado con la ciberseguridad de la empresa?
Roberto Ortiz: Los empleados deben ser conscientes de los riesgos existentes y deben conocer los principales ataques de los que puede ser víctima, como son los ataques de ingeniería social tales como el phishing, smishing, o fraude del CEO, entre otros. Deben tener los conocimientos y estar entrenados para adquirir las habilidades necesarias para hacer frente a los riesgos para la organización derivados del factor humano.
Para conseguir el compromiso de los empleados con la ciberseguridad es importante transmitir los mensajes de una forma dinámica y con un estilo acorde a los contenidos que está acostumbrado a consumir en su vida cotidiana, pudiendo ser reutilizados en el entorno personal. Además de hacerlos llegar de forma sencilla, que se comprendan bien, utilizando un lenguaje poco técnico y brindando alternativas para poder seguir llevando a cabo sus tareas diarias sin impedimentos, a la vez que se evitan riesgos. Un buen aliado sin duda es el utilizar ejemplos reales de cómo se materializan los ataques y consejos útiles y sencillos para evitarlos.
En nuestro caso en particular, ha sido fundamental el trabajo en colaboración con otras áreas de la empresa como marketing, diseño o comunicación que han aportado una visión más amplia y mucho más enfocada en lo que las personas valoran para conseguir mayor impacto.
Para conseguir el compromiso de los empleados con la ciberseguridad es importante transmitir los mensajes de una forma dinámica y con un estilo acorde a los contenidos que está acostumbrado a consumir en su vida cotidiana.
Aiwin – ¿Se puede predecir el siguiente ciberataque?, ¿podríamos predecirlo por el comportamiento de los empleados?
Roberto Ortiz: La clave no está exclusivamente en predecir un ataque, obviamente esto daría mucha ventaja a la hora de defendernos, lo más importante en ese momento de la verdad es estar lo suficientemente preparado como para que los efectos adversos de dicho ciberataque sean mínimos. Por ese motivo es fundamental tener los sistemas preventivos y de protección preparados y los procedimientos de contención muy entrenados para responder adecuadamente.
No obstante, para tener un enfoque completo de protección ante ciberataques, la componente humana es crucial. Tenemos que garantizar que no solo las personas tengan los conocimientos adecuados para detectar una amenaza y neutralizarla, sino que es fundamental que, además, estén entrenados para ese tipo de situaciones, ya que la práctica garantiza la excelencia.
Los ciberdelincuentes están siempre en constante evolución, por lo tanto la sensibilización y la formación en ciberseguridad tiene que ser parte de nuestro día a día, y eso se consigue a través de un cambio cultural de las personas, haciendo que la variable de riesgo de ciberseguridad siempre se evalúe en cada una de las decisiones que se toman en el mundo digital.
Aiwin – Según recientes estudios, España se sitúa en el puesto 14 a nivel mundial de países más atacados y en el puesto 3 a nivel europeo. ¿Qué principales tendencias observas en la industria de la ciberseguridad a nivel nacional y global para los próximos años?, ¿cuáles son los principales retos?
Roberto Ortiz: La Transformación Digital ha supuesto un incremento de la superficie de exposición al riesgo de las organizaciones y la aparición de nuevas amenazas, cada vez más sofisticadas.
Entre los principales retos a los que deben hacer frente las organizaciones se pueden destacar:
- La seguridad en el teletrabajo: la pandemia ha supuesto la generalización del propio teletrabajo y del empleo de mecanismos de conexión remota.
- La seguridad en entornos cloud: como consecuencia de la pandemia, muchas empresas han comenzado a utilizar servicios Cloud. Los cambios en la arquitectura tecnológica y en la red de la organización deben realizarse con las debidas garantías de seguridad.
- Garantizar la formación y concienciación de empleados y de la sociedad en general en materia de ciberseguridad, adaptadas a las nuevas amenazas que surgen de forma continua.
- La escasez de talento: en la actualidad nos estamos enfrentando a un crecimiento exponencial de la necesidad de profesionales que atienden a la seguridad debido a la transformación digital. En esta nueva etapa de la ciberseguridad las personas son la clave para el éxito de las empresas, porque son los que conforman los equipos que dan respuesta a los desafíos del entorno digital. Contratar, desarrollar y retener profesionales de ciberseguridad es un reto continuo.
En cuanto a las tendencias en la industria de la ciberseguridad podemos enumerar tres principalmente: las técnicas de Inteligencia Artificial y Machine Learning que permitirán incrementar la eficiencia y la automatización de parte de las estrategias de protección. Las iniciativas dirigidas a armonizar la legislación, tanto a nivel europeo como internacional, en materia de ciberseguridad. Y los acuerdos entre distintos organismos y empresas para compartir información estratégica de inteligencia para luchar contra el cibercrimen.
Si te interesa la ciberseguridad… ¡Descubre Aiwin Firewall! 👇