Antonio Fernandes: “Hay que integrar de manera natural en el ciclo de trabajo comportamientos ciberseguros”

Entrevistamos a Antonio Fernandes, hacker, divulgador, articulista, formador y responsable de ciberseguridad, con casi 20 años de trayectoria.

Nos cuenta su visión sobre el estado de la ciberseguridad en las empresas y cómo estar preparados ante los nuevos riesgos que se dibujan en el escenario actual.

Aiwin – ¿Cómo se están preparando las empresas para afrontar 2022 con las predicciones de nuevas ciberamenazas?, ¿cuáles son los principales retos o prioridades a abordar más inminentes?

Antonio Fernandes: Ser Nostradamus nunca ha sido lo mío, la verdad. En parte, debido al constante goteo de incidentes en distintos sectores, sí que se ha despertado el interés de inversión en el ámbito de la ciberseguridad por parte de empresas, en su gran mayoría, con pulmón económico.

Cada entidad es un mundo, pero hay algunos pilares fundamentales como el doble factor de autenticación, la auditoría del Active Directory y de los Sistemas de forma constante a través de, por ejemplo, SIEM/SOC, poseer un EDR que permita tener mayor visibilidad de lo que pasa en nuestro entorno… Aún hay bastante trabajo por delante, ya que no todos poseemos la misma madurez.

Cuando compartamos madurez, iremos poco a poco buscando la manera de compartir conocimiento que nos permita afrontar ciberataques de manera coordinada. Cuando uno detecte un intento de intrusión claro y lo comparta al ecosistema, reduciremos en parte los incidentes de nuestro alrededor.

Se ha despertado el interés de inversión en el ámbito de la ciberseguridad por parte de las empresas

Aiwin – ¿Por qué es importante crear una cultura de ciberseguridad en las empresas?, ¿qué es lo más eficaz para involucrar y comprometer a los empleados?

Antonio Fernandes: Es importante porque la ciberseguridad no es únicamente un tema de tecnología. Comprar los más caros y novedosos sistemas de ciberseguridad no te garantiza no ser víctima de un Ransomware, una denegación de servicio o un robo de información.

Es labor de los tecnólogos y gestores de la parte “Ciber” y “TI”, en el caso de no existir claramente una figura de las primeras, la concienciación y formación en temas de “ciber higiene”.

Estar enterado de los posibles engaños, fraudes o ataques a los que son susceptibles nuestros compañeros, es algo que debería tenerse por su parte como una herramienta de defensa personal en un mundo cada vez más dependiente de lo digital.

Los más caros y novedosos sistemas de ciberseguridad no te garantiza no ser víctima de un Ransomware

Aiwin – ¿Crees que ha cambiado algo la percepción que tiene la plantilla sobre la ciberseguridad en estos últimos dos años de transformación?, ¿son más conscientes de los riesgos?, ¿están mejor preparados o son incluso más vulnerables que antes?

Antonio Fernandes: Sí, y ya no creo que sea únicamente por la transformación por la que estamos pasando muchas compañías. Es que también su vida diaria, quien más quien menos ha tenido algún ciberincidente o le ha ocurrido a alguien allegado, un familiar, un amigo…

Y si el trabajo de concienciación está bien realizado, en muchas ocasiones recurren al responsable de “ciber” de la compañía para buscar un poco de guía, consejo y ánimo.

No perdamos de vista que hay mucho de factor humano en el trabajo de ciberseguridad

Aiwin – ¿Por qué crees que no se reduce el porcentaje (entre el 80 y 90%) de los ciberataques causados por el comportamiento humano?, ¿las estrategias adoptadas no son buenas?

Antonio Fernandes: El día a día nos pasa factura, quiero decir, cualquier labor que hagas de concienciación tiene cierta validez en el tiempo. Pero el trabajo genera estrés, plazos de entrega, automatismos que tiene tu mente… Y eso, produce algún que otro fallo a la hora de utilizar el ordenador o el móvil, que simplemente son una herramienta de trabajo para el empleado.

Hay que afinar más en la parte humana para integrar de manera natural en el ciclo de trabajo determinados comportamientos que sean ciberseguros.

El trabajo genera estrés, plazos de entrega, automatismos que tiene tu mente… Y eso, produce algún que otro fallo

Aiwin – ¿Cuál crees que es el nivel de madurez de las empresas (y sus empleados) en ciberseguridad?, ¿estamos preparados para afrontar lo que está por venir?

Antonio Fernandes: Soy gallego, así que te usaré el depende. No es lo mismo una gran empresa que sea considerada infraestructura crítica por parte del país, que una micropyme de dos empleados que vende un producto de nicho.

Las partidas de inversión, porque me niego a llamarlas de gasto, no son las mismas. Y aunque la ciberseguridad debería ser considerada el pilar esencial de la innovación y del negocio, aún estamos lejos de que mucha gente que están en esas áreas las vean como algo tan esencial.