Entrevistamos a Enrique Cervantes, Responsable de Ciberseguridad de Fintonic, que nos cuenta su visión sobre el estado actual de la ciberseguridad en las empresas.
Cervantes es ingeniero por la Universidad Politécnica de Madrid y lleva años dedicado a la ciberseguridad. En sus inicios, desde una aproximación basada en la seguridad ofensiva (hacking), pasando por la realización de consultorías de seguridad de aplicaciones, DevSecOps, Arquitectura de Seguridad o como especialista en ciberseguridad de entornos cloud complejos, normalmente relacionados con el ámbito bancario. Ha pasado por empresas como Telefónica, IBM, Accenture, Orange o Repsol.
Aiwin – ¿Cómo se están preparando las empresas para afrontar 2022 con las predicciones de nuevas ciberamenazas?, ¿cuáles son los principales retos o prioridades a abordar más inminentes?
Enrique Cervantes: No creo que dos empresas se preparen igual para lo que viene porque las amenazas, aunque provengan de fuentes bastante similares, se ejecutan de manera bastante diferente dependiendo del sector, negocio, tipo de usuarios, etc. Hablando de banca, fintech y entornos financieros en general (el mundo en el que ahora mismo desarrollo mi actividad), nuestra principal amenaza es el fraude digital a nuestros clientes en cualquiera de sus formas y, por supuesto, los ataques de ransomware dirigidos a las infraestructuras TI. Para esto estamos trabajando día a día, mejorando nuestras capacidades de prevención, detección y respuesta, para que, a ser posible, sólo utilicemos la primera pero tengamos todas las herramientas listas para detectar y actuar rápido en caso de que sea necesario.
El principal reto para el futuro será seguir intentando aunar los controles de seguridad que proporcionen seguridad en las interacciones de nuestros usuarios con nuestros sistemas, con la usabilidad que demandan los clientes de una manera cada día más exigente a las aplicaciones y servicios. Algo que nunca es fácil y para lo que necesitamos estar muy alineados dentro de la compañía las áreas técnicas y de negocio.
Las amenazas, aunque provengan de fuentes similares, se ejecutan de manera bastante diferente dependiendo del sector, negocio, tipo de usuarios…
Aiwin – ¿Por qué es importante crear una cultura de ciberseguridad en las empresas?, ¿qué es lo más eficaz para involucrar y comprometer a los empleados?
Enrique Cervantes: Es importante porque los sistemas más complejos conectados a nuestros elementos de TI son las personas. De ahí que el llamado “factor humano” siga siendo el principal vector de entrada en ataques dirigidos o de fraude a los clientes. Contra esto no hay “balas de plata” que solucionen el problema.
En mi experiencia, lo que mejor ha funcionado para crear cultura de ciberseguridad en las empresas (aparte de sufrir un incidente medianamente grave) han sido las formaciones basadas en casos reales o que se ajustan mucho a la realidad, donde la ilusión de que este tipo de problemas siempre les pasan “a otros” o de que es todo teórico se desvanezca.
Lo que mejor ha funcionado para crear cultura de ciberseguridad en las empresas han sido las formaciones basadas en casos reales.
Aiwin – ¿Crees que ha cambiado algo la percepción que tiene la plantilla sobre la ciberseguridad en estos últimos dos años de transformación?, ¿son más conscientes de los riesgos?, ¿están mejor preparados o son incluso más vulnerables que antes?
Enrique Cervantes: En los últimos dos años han cambiado muchas cosas y las empresas hemos tenido que aprender a apoyarnos en ciertos mecanismos para trabajar que no eran los habituales, más controlados. Para ser capaces de trabajar de esta manera, no solo hemos necesitado preparar las infraestructuras, además, hemos trabajado para fomentar la cultura de ciberseguridad haciendo énfasis en los “nuevos riesgos” que supone este nuevo entorno.
Quiero pensar que todo este trabajo ha sido útil y hemos conseguido que las personas sean más conscientes, haciéndonos menos vulnerables que hace dos años a ciertos tipos de amenazas.
Los dos últimos años hemos trabajado para fomentar la cultura de ciberseguridad haciendo énfasis en los “nuevos riesgos”.
Aiwin – ¿Por qué crees que no se reduce el porcentaje (entre el 80 y 90%) de los ciberataques causados por el comportamiento humano?, ¿las estrategias adoptadas no son buenas?
Enrique Cervantes: Como comentaba antes, porque las personas son seres complejos. Lo normal es que un firewall no tenga un mal día, sufra presión por entregar un proyecto del que depende su puesto o esté preocupado por la salud de sus hijos y no preste demasiada atención a un correo malicioso minuciosamente elaborado.
La estrategia para tratar de minimizar este tipo de problemas pasa primero por tratar de filtrar al máximo, desde el punto de vista técnico, los intentos de ataque que finalmente llegan a los usuarios u operadores y después trabajar en concienciación.
Ambos ámbitos son un mundo en sí mismos y, lamentablemente, los atacantes no dejan de trabajar en nuevas técnicas que hacen frecuentemente reevaluar las estrategias.
Las personas son seres complejos. Lo normal es que un firewall no tenga un mal día.
Aiwin – ¿Cuál crees que es el nivel de madurez de las empresas (y sus empleados) en ciberseguridad?, ¿estamos preparados para afrontar lo que está por venir?
Enrique Cervantes: Prefiero ser optimista en este tema. Desde mi punto de vista, el nivel de madurez en ciberseguridad de las empresas en nuestro país está mejorando muchísimo en los últimos años (sin contar el mundo PYME, donde ser optimista sería más difícil).
La ciberseguridad está cada vez más presente en los comités ejecutivos, la figura del CISO está tomando peso en las compañías y los nuevos entornos regulatorios nos están ayudando a accionar las palancas necesarias.
Dicho esto, todavía queda mucho camino por recorrer, sobre todo porque, como comentáis, lo que está por venir es un reto muy complejo. Los atacantes ya están organizados de una manera industrializada y mueven una cantidad de dinero difícil de imaginar, que les permite poder realizar inversiones continuas en refinar sus técnicas y desarrollar aún más sus capacidades.
Si te interesa la ciberseguridad… ¡Descubre Aiwin Firewall! 👇
