Entrevistamos a Enrique Ávila, Director del Centro Nacional de Excelencia en Ciberseguridad (CNEC), para conocer su visión sobre el estado de la ciberseguridad en las empresas .
Profesional con una amplia experiencia en la materia, se define como una persona empática, con capacidad de adaptación y flexible, que trata siempre de enfrentar cualquier reto desde un punto de vista holístico.
Aiwin – La inversión de las empresas en ciberseguridad es de las pocas partidas que está creciendo este año, ¿se siguen los mismos criterios de inversión que en años anteriores o la concienciación de los empleados ha ganado peso?
Enrique Ávila: En el término usado en la pregunta, precisamente, está el detalle conceptual importante: INVERSIÓN. La verdadera labor a desarrollar, la verdadera batalla que tenemos que ganar desde los grupos de apoyo a la toma de decisión estratégica de cualquier organización, es la de automatizar la respuesta del decisor, en el sentido de que la ciberseguridad es un elemento estructural a su proceso de negocio que requiere una cuantiosa inversión sin un retorno tangible de la misma.
Hemos de desterrar la percepción tanto de que es un gasto (que, según esta conceptualización puede devenir en innecesario o, al menos, en prescindible parcialmente) o de que la invaluabilidad de ese retorno de inversión es sinónimo de que no existe.
La verdadera batalla que tenemos que ganar desde los grupos de apoyo a la toma de decisión estratégica de cualquier organización es la de automatizar la respuesta
Aiwin – ¿Qué percepción tiene la plantilla sobre la ciberseguridad?, ¿son conscientes de lo que supone hacer un uso no seguro de la tecnología?, ¿podemos identificar los puntos más “débiles” de los empleados?
Enrique Ávila: Después de décadas de uso de elementos tecnológicos para realizar la mayoría de nuestras tareas no manuales, disponemos de una especie de conocimiento, bastante superficial y desestructurado de que ahí fuera, en eso que los “frikis” (sí, aún nos llaman así) denominamos el ciberespacio, se hacen “cosas”, unas buenas y otras no tanto, que afectan a nuestra actividad, tanto desde el punto de vista productivo como desde el de nuestro ejercicio de ciudadanía.
Ese conocimiento superficial y desestructurado, bajo mi punto de vista, no siempre permite realizar acciones coordinadas eficientes para mitigar riesgos y amenazas haciendo uso del elemento más débil de la cadena que conforma la seguridad de cualquier organización: el factor humano. Como especie somos lentos y falibles en el ciberespacio.
Eso implica que solo desplegando un conjunto de medidas automatizadas de respuesta y generando un modelo de respuesta automatizado de prevención de riesgos en el factor humano, tendremos más posibilidades de minimizar los riesgos.
Pongo un ejemplo: después de varios millones de años, aunque jamás hayamos visto de cerca a un gran felino, si nos encontramos con uno en espacio abierto, nuestra respuesta será automática: defendernos haciendo uso de algún arma disponible y en alcance o huir lo más rápido posible hacia algún elemento en altura que impida que el felino nos cace. Sabemos que no podemos correr más pero que podemos subir a un árbol, y lo sabemos de forma instintiva. Tenemos interiorizada y automatizada la respuesta.
Pues hemos de conseguir algo similar con la lectura de un correo electrónico, con el fin de detectar, de forma automática, instintiva, errores, enlaces inválidos, problemas semánticos… Dentro de lo posible, claro está.
Debemos interiorizar el peligro que supone abrir un correo electrónico sospechoso y actuar de forma automática
Aiwin – ¿Cómo de importante es la concienciación de los empleados para prevenir y detectar un ciberataque?, ¿qué consecuencias tiene no contar con un plan de concienciación?, ¿cómo podemos comprometer al empleado con la ciberseguridad de la empresa?
Enrique Ávila: La persona que desarrolla una labor profesional es la última barrera frente a un ciberataque que use como vector de ataque la ingeniería social.
Bajo mi punto de vista sería más correcto mencionar, por separado, la cultura de la ciberseguridad, la formación en ciberseguridad y la automatización de la respuesta humana en ciberseguridad. Has de ser consciente del riesgo, conocer, con más o menos profundidad, la amenaza, las herramientas de que dispones para la defensa (el palo afilado o el fuego que ahuyenta a las fieras) y disponer de recursos interiorizados, casi instintivos que automaticen lo máximo posible la respuesta ante la amenaza detectada.
Un elemento que hemos detectado que permite intentar acercar ese tipo de respuesta son los procesos de gamificación. Muy útiles por sus componentes lúdicos y de competición para acometer este tipo de acciones.
Para automatizar la respuesta ante amenazas detectadas, los procesos de gamificación son muy útiles por sus componentes lúdicos y de competición
Aiwin – ¿Se puede predecir el siguiente ciberataque?, ¿podríamos predecirlo por el comportamiento de los empleados?
Enrique Ávila: Predecir es un término peligroso. Si algo nos caracteriza como especie es nuestra capacidad para hacer el mal. Además, la asimetría de recursos necesaria para la realización de un ciberataque y para defender un perímetro se me antoja un elemento disruptivo en la historia de la seguridad a secas.
Si para completar el cóctel, mezclamos el hecho de que un ciberespacio, por definición, global, se alinea mal con la aplicación de las leyes promulgadas por las formas políticas clásicas (los Estados), tenemos, bajo mi punto de vista, todos los elementos para contestar negativamente a la pregunta, al menos con los recursos actuales.
¿Predicción a través del comportamiento de los empleados? Supongo que la pregunta va orientada a si un comportamiento poco entrenado o poco ejemplar puede aumentar el riesgo de recibir un ciberataque… La respuesta, claramente, es positiva. A menor conocimiento, entrenamiento, barreras de protección e indolencia, mayor riesgo a la hora de enfrentar un ciberataque.
¿Otra predicción? No usaría ese término en el sentido literal. Se puede medir qué elementos del comportamiento de los empleados son susceptibles de ser usados como vector de ataque. Desde ahí, es posible planificar acciones, en mi caso defiendo, de automatización de las respuestas de los mismos frente a los intentos de vulnerar la seguridad haciendo uso del propio empleado.
Se puede medir qué elementos del comportamiento de los empleados son susceptibles de ser usados como vector de ataque y, a partir de ahí, planificar acciones
Aiwin – Según recientes estudios, España se sitúa en el puesto 14 a nivel mundial de países más atacados y en el puesto 3 a nivel europeo. ¿Qué principales tendencias observas en la industria de la ciberseguridad a nivel nacional y global para los próximos años?, ¿cuáles son los principales retos?
Enrique Ávila: En realidad, bajo mi punto de vista, todos, personas físicas y jurídicas, así como a nivel geopolítico, naciones enteras, estamos siendo sometidos a agresiones en el ciberespacio de forma continuada. De forma dolosa pero también culposa. Al fin y al cabo, este escenario forma parte de la historia de la propia especie, salvo que ahora tanto los tiempos, por cortos, como los objetivos, por individualizables pero, a su vez, interdependientes, son diferentes.
Como tendencia, eso sí, nuestra creciente dependencia tecnológica, el desarrollo continuado de nuevas tecnologías, el despliegue intensivo de las mismas desde el individuo hasta cualquier entorno industrial o agropecuario, o la propia sociedad en su conjunto, hacen que podamos decir, sin género de duda, que nuestra dependencia tecnológica va a ir a más. Creo que, cada vez de forma más automatizada en cuanto a los procesos de toma de decisión.
Será la IA la que vaya tomando el control de la mayoría de los procesos asociados al modelo productivo y de interacción humana y esa será, precisamente, la nueva frontera de protección: la de la algoritmia y los conjuntos de datos asociados a la IA. Ahí se producirán, desde mi punto de vista, los ataques más demoledores y económicamente jugosos en los próximos años.
Los ataques más demoledores y económicamente jugosos en los próximos años irán destinados a explotar el proceso de toma de decisión de una IA
Lograr explotar en tu beneficio, ya sea económico o geopolítico, el proceso de toma de decisión de una IA será el fin de todo grupo organizado de ciberdelincuentes, a cualquier nivel que lo analicemos.
Si te interesa la ciberseguridad… ¡Descubre Aiwin Firewall! 👇