Entrevistamos a Sergio Padilla, Responsable de Seguridad de la Información y Riesgos y miembro de ISMS Forum. Hablamos sobre la cultura de ciberseguridad en las empresas, momento actual, avances y desafíos.
Aiwin – ¿Cómo se están preparando las empresas para afrontar 2022 con las predicciones de nuevas ciberamenazas?, ¿cuáles son los principales retos o prioridades a abordar más inminentes?
Sergio Padilla: Lo fundamental a día de hoy es comprender los riesgos básicamente de la nueva realidad: el trabajo remoto ha venido para quedarse, que en un número muy importante de empresas no existía antes o existía para un grupo limitado de empleados. Entonces, ahora que las empresas tienen masivamente esa nueva realidad, se ha perdido el perímetro, lo que es demandante es siempre comprender el riesgo. Prevenir, proteger adecuadamente y ser capaces de estar preparados ante un eventual ciberataque.
Los mayores retos, por lo tanto, desde mi punto de vista van en esa línea, se trata de ser capaz de tener la fortaleza organizacionalmente de conocer y gestionar los riesgos. Porque cada empresa es un mundo y tienen diferentes tipos de amenazas.
Retos para 2022, sin duda alguna, todo lo relacionado con esa falta de perímetro, ya no está todo bajo un paraguas de protección estático, sino que las amenazas llegan desde cualquier lado. El reto está en que las empresas sepan defenderse ante esas amenazas teniendo en cuenta que ahora el perímetro no existe. La capacidad de hiperconectividad con la que ahora tienen que jugar las empresas es un factor clave: hay que defenderse en ese contexto.
Y sobre todo el mayor reto ante la avalancha de ransomware que ya hay es estar preparados. Contar con la premisa de que te puede suceder o te va a suceder con cierta probabilidad, por tanto tienes que probarte a todos los niveles y estar alerta y preparado.
El reto está en que las empresas sepan defenderse ante las amenazas teniendo en cuenta que ahora el perímetro no existe.
Aiwin – ¿Crees que ha cambiado algo la percepción que tiene la plantilla sobre la ciberseguridad en estos últimos dos años de transformación?, ¿son más conscientes de los riesgos?, ¿están mejor preparados o son incluso más vulnerables que antes?
Sergio Padilla: Sí que los empleados están más preparados, probablemente porque yo creo que las empresas, sobre todo las grandes, y las instituciones han hecho un esfuerzo importante de concienciación.
En los dos últimos años, sobre todo a raíz de la pandemia, cuando todo el mundo ha estado trabajando desde sus casas y ahora se va a empezar a hacer de manera normalizada, yo creo que, a nivel empresarial, el empleado está más concienciado. El empleado siempre decimos que es la primera línea de defensa porque, no obstante, muchas veces es la primera vía de entrada para los ciberatacantes, pero por otro lado los riesgos ahora son, indudablemente, mucho mayores.
Pero es cierto que la plantilla está mucho más preparada, se ha dado un salto de calidad a nivel de concienciación de plantilla, por lo que percibo de otros colegas y de informes. Sí se ha dado un salto de calidad.
El empleado siempre decimos que es la primera línea de defensa porque, no obstante, muchas veces es la primera vía de entrada para los ciberatacantes.
Aiwin – ¿Por qué crees que no se reduce el porcentaje (entre el 80 y 90%) de los ciberataques causados por el comportamiento humano?, ¿las estrategias adoptadas no son buenas?
Sergio Padilla: Yo soy de los que opinan que al 0% nunca se va a llegar, porque cualquier intento de ataque por ingeniería social a un empleado puede llegar a ser muy efectivo y porque los mensajes de concienciación no calan igual en todo el mundo. Pero a cualquiera de nosotros nos pueden engañar.
Hay ya phishings y otros ataques de ingeniería social (smishing, vishing…) muy trabajados en los que podemos caer cualquiera en un momento de despiste.
No hay que olvidar que los ciberdelincuentes están utilizando cada vez técnicas más sofisticadas. Están las técnicas de suplantación de la voz para el fraude del CEO a la orden del día y hemos visto casos de excelente ejecución. Luchar contra eso es muy difícil, tienes que tener mecanismos organizativos adicionales para evitar que eso llegue a ser un problema de verdad.
Además de la concienciación, tienes que implementar las medidas organizativas adecuadas, por ejemplo, si recibes una llamada de tu jefe para realizar un pago, que haya un “cuatro ojos” o que haya un mecanismo adicional de comprobación, es decir, que no solo a raíz de esa llamada se articule un pago.
Evidentemente, el fallo humano está ahí y es que la ingeniería social ha evolucionado una barbaridad, ya no es la estafa o carta nigeriana cutre con faltas de ortografía. Ahora se reciben ataques de ingeniería social realmente muy trabajados y hay que reconocer que, a veces, es difícil reconocer que es una trampa.
Aiwin – ¿Cuál crees que es el nivel de madurez de las empresas (y sus empleados) en ciberseguridad?, ¿estamos preparados para afrontar lo que está por venir?
Sergio Padilla: No me atrevo a hacer una afirmación demasiado categórica. Como comentaba, creo que estamos evolucionando a mejor, las organizaciones están cada día más preparadas, los empleados (y la propia sociedad) están cada día más concienciados y eso es fundamental.
Una de las mejores opciones para concienciar a un empleado es hacerle ver cómo le puede afectar a su vida personal, es entonces cuando seguro que empieza a tomar conciencia.
En términos generales estamos más preparados, pero es que en términos generales cada día hay más inversión en la ciberdelincuencia, cada día se mueve más dinero de la ciberdelincuencia, lo que significa que cada vez tienen un mejor producto y ese producto es atacar.
Entonces, la buena noticia es que sí, estamos mejor preparados, pero la mala es que también hay cada vez más profesionalización del sector de la ciberdelincuencia y, por tanto, los riesgos son mayores.
Cómo de maduros estamos, depende. Algunas organizaciones tienen un buen nivel de madurez pero, por ejemplo, en el sector pyme, no siempre tanto. Y no todo se tiene que ver siempre con el prisma de la gran empresa.
Aiwin – ¿Por qué es importante crear una cultura de ciberseguridad en las empresas?, ¿qué es lo más eficaz para involucrar y comprometer a los empleados?
Sergio Padilla: Por mi experiencia, la concienciación es una medida de mitigación de riesgo absolutamente clave. Sin ella, al final dejas una pata muy coja que es la del empleado, que es uno de los principales vectores de entrada para un ciberatacante. Es una medida que, desde mi punto de vista, tiene un beneficio altísimo con un coste relativamente reducido. Tienes que intentar tener las mejores tecnologías dentro de tus posibilidades, pero si al final un empleado hace clic donde no debe o abre un adjunto que no debe, las tecnologías te reducen el riesgo hasta un punto pero no completamente.
Sin una cultura de ciberseguridad la exposición al riesgo es mucho mayor, si tienes una empresa con tu personal concienciado y has creado un cambio cultural real sobre la ciberseguridad, que la gente deje de hacer eso de “ya sé que esto no se puede hacer, pero bueno, no pasa nada”, evidentemente, tu exposición al riesgo se reduce drásticamente.
Si al final un empleado hace clic donde no debe o abre un adjunto que no debe, las tecnologías te reducen el riesgo hasta un punto, pero no completamente.
Una de las formas más eficaces para concienciar es lo que comentaba antes, hacer ver al empleado que esto no es una cuestión únicamente de la empresa, sino que es un problema que les puede afectar a nivel personal. Ahí algo hace clic. Si intentamos concienciar con ejemplos de casos que pueden ser muy ajenos (un ransomware en una empresa de EEUU, por ejemplo), lo ven como algo peligroso pero el mensaje no es suficientemente efectivo. Sin embargo, si les cuentas que a un empleado de su misma empresa le han estafado una cantidad de dinero importante, lo ven más cercano y hacen una conexión mucho más inmediata.
Hay que hacer ver al empleado que esto no es una cuestión únicamente de la empresa, sino que es un problema que les puede afectar a nivel personal.
También las jornadas familiares son efectivas, donde se les ofrece a los empleados charlas de concienciación para padres e hijos. Al final ven los problemas, riesgos y peligros que realmente les puede afectar a ellos y de ahí ven cómo también les puede afectar como empleados y a la empresa.
Para mí, por tanto, la concienciación es absolutamente fundamental.
Si te interesa la ciberseguridad… ¡Descubre Aiwin Firewall! 👇