Los empleados, los más abonados al cibercrimen

Los malos son muy malos pero a la vez son muy buenos, se organizan perfectamente, saben buscar eficacias y eficiencias en el ciberdelito. De esta manera resumió Francisco Javier García Carmona, director de relaciones externas y programas europeos de la dirección de seguridad corporativa de Iberdrola, la importancia que tiene aunar fuerzas y esfuerzos para defender la seguridad en las empresas. En este sentido, señaló, durante su participación en el seminario sobre Ciberseguridad, defensa nacional y suministro energético, organizado por Iberdrola y el Centro Superior de Estudios de la Defensa Nacional (Ceseden), en cuya sede en Madrid se celebró ayer este evento, que es necesario responder a una serie de cuestiones sobre quién ataca, cómo, porqué y qué se persigue con ello.

“Quienes nos atacan lo pueden hacer en cualquier momento, suelen ser grupos organizados, que actúan desde cualquier lugar y en cualquier momento, y persiguen un objetivo económico, de lucro”, afirmó García Carmona. Además de la amenaza externa, que cuenta con una gran sofisticación técnica, hay otra muy importante que deben tener en cuenta las organizaciones, y es la que procede de puertas para adentro, “de nuestras propias paredes”. Según explicó este experto, el 40% de los ciberataques proceden de fuera de la empresa, mientras que el 60% se gesta dentro de la propia compañía. “El empleado lo sabe todo, porque se le dota de una serie de recursos, de los que hace uso y abuso, es el que tiene acceso a toda la información”.

Entre las áreas más vulnerables, señaló el directivo de Iberdrola, se encuentra la plataforma de comunicación. Es por ello, afirmó García Carmona, que las organizaciones han de invertir recursos en concienciación, en formación y medición de los riesgos. “La seguridad debe estar en el ADN de las empresas”. Y solicitó, al igual que el resto de los ponentes, una mayor colaboración entre las distintas administraciones públicas y el sector privado para combatir el cibercrimen.

A ello también se refirió el presidente de Iberdrola, Ignacio Sánchez Galán, que clausuró el seminario y advirtió de que el avance de las tecnologías no solo presenta beneficios, sino también riesgos relacionados con la ciberseguridad y, en el caso concreto de la energía, con posibles ataques informáticos contra las centrales eléctricas.

La prevención de estos riesgos, ha señalado Galán, concierne a toda la sociedad, y en ella las Fuerzas Armadas desempeñan, junto a los medios de comunicación, un papel fundamental, especialmente en lo que se refiere a la seguridad de las instalaciones estratégicas como son las energéticas. Sánchez Galán hizo hincapié en la necesidad de implantar una cultura de ciberseguridad sólida, “que proporcione a todos la confianza para aprovechar los muchos beneficios de la sociedad de la información y, al mismo tiempo, reduzca al mínimo su exposición a los riesgos”. Asimismo, recordó que Iberdrola cuenta con una política de riesgos de ciberseguridad, aprobada por el consejo de administración de la compañía el pasado mes de abril, en la que se establece un marco global para controlar y gestionar los riesgos de ciberseguridad, aplicable a todas las sociedades del grupo. Esta política corporativa se refiere, en concreto, a los riesgos derivados de amenazas y vulnerabilidades de la información, los sistemas de información y de comunicaciones, instalaciones y de cualquier otro activo que forme parte de la ciberinfraestructura del grupo Iberdrola.

Para implantar un modelo de ciberseguridad se requiere, explicó el director de seguridad internacional de la citada compañía eléctrica, Enrique Victorero, la implicación de las más altas esferas de las empresas. “Todos, desde el presidente al consejo, deben ir al mismo paso y a la misma marcha”. Y señaló que toda empresa debe invertir recursos en ciberseguridad, pero sobre todo en formar, desde la cúpula hacia la base.

Porque para hacer frente a todos los ciberdelitos se requiere de los mejores profesionales. Así lo explicó José Valiente, director de coordinación y comunicación del Centro de Ciberseguridad Industrial, que para este cometido ficharía “al mejor médico, a personas capacitadas, que sepan mucho de negocio, de riesgos, no de ciberseguridad, y con capacidad de comunicación y de gestión de equipos”.