Un ejercicio de introspección en el sector de la ciberseguridad
No caigamos en la ingenua trampa de creer que cuanto más se repiten los mensajes de riesgo y concienciación, más calan
Hasta qué punto el sector de la ciberseguridad está dificultando la consecución de sus propios objetivos al mantener y no revisar ciertas ideas y dinámicas que ya están implantadas?
Entre los argumentos de justificación encontramos la falta de talento como un factor exógeno, aunque si se hace introspección podrá constatarse que las organizaciones suelen preferir profesionales con nombres y apellidos en vez de servicios para cubrir sus necesidades, o que los proveedores de servicios entran a menudo en una guerra de salarios desesperada para captar el talento. También que es muy poco probable que las soluciones tecnológicas desarrolladas en España se implanten en nuestro país, o que los grados de ciberseguridad ofertados por la universidad pública continúan siendo meritorias excepciones.
Y con todo ello, hacemos análisis parciales, que aunque pueda ser acertados, ejerce un efecto placebo en el sector y, a la postre, no terminan de ofrecer soluciones efectivas: no se pagan los salarios merecidos, los clientes licitan la hora/persona de un gran especialista a un precio más que sorprendente, los nacidos en ciertas décadas del siglo pasado no entienden a los trabajadores de la generación Z y deben transicionar de jefes a líderes para intentar frenar la rotación de personas, las carreras STEM (ciencias, tecnología, ingeniería, matemáticas, en sus siglas en inglés) no atraen a los adolescentes…
Si sumamos a la ecuación los nuevos retos tecnológicos, como la identidad digital en el metaverso, el código fuente vulnerable e inmutable en smart contracts de blockchains que implementan la inminente tokenomics, la web3 o la descentralización como nuevo paradigma casi divino, etc. O la creencia de que la IA (inteligencia artificial) podrá gestionar muchos de los riesgos de seguridad a futuro, olvidándose de que, inexorablemente, será imprescindible una IN (inteligencia natural), hallar el resultado exitoso se complica.
Cada cierto tiempo se publican informes que apuntan siempre en la misma dirección: el número de ataques informáticos es escalofriante, las repercusiones económicas de esos incidentes de seguridad llegan a ser millonarias, las inversiones son exiguas y la legislación insuficiente. Estos mensajes se llevan lanzando durante muchos años y la acogida que generan no resulta homogénea, ya que suelen desencadenar miedo, o apatía, o catastrofismo… o la necesidad de reaccionar y ponerse las pilas.
En el ámbito profesional tenemos interiorizada la idea de que la totalidad de las organizaciones públicas y privadas están siendo atacadas con diferentes grados de intensidad, que van desde los ataques exitosos de alto impacto hasta la identificación de puertas abiertas y desprotegidas de internet susceptibles de ser aprovechadas en ataques futuros. No caigamos en la trampa de creer que cuanto más se repiten esos mensajes, más calan. Quizá los expertos debiéramos incrementar nuestras capacidades de comunicación y hacernos entender adecuadamente en función de cada interlocutor.
La ciberseguridad se interpreta y gestiona desde un punto de vista tecnológico, lo que la aleja de las capas estratégicas y de negocio de las organizaciones. Es incuestionable que contribuye al negocio en cuanto a reducción de pérdidas se refiere, aunque se considera un coste. Lo ideal sería un cambio de consideración desde coste a inversión, pero como parece poco probable, mientras tanto podemos poner en valor la abultada cifra de pérdidas evitadas gracias a una correcta gestión de los ciber riesgos. Por ejemplo: ¿cuál es la pérdida de negocio de una instalación industrial por cada hora de parada debido a un ciberataque?
Aun así, cabe celebrar el avance positivo de España en materia de ciberseguridad a todos los niveles, que la hace destacar incluso en rankings internacionales (véase el último Global Cybersecurity Index publicado por ITU, en el que España llega al cuarto puesto mundial, empatada con Singapur y Corea del Norte). Existen políticas y prácticas de ciberseguridad que funcionan muy bien y que han alcanzado un nivel de madurez muy alto, acompañadas de un incremento apreciable de sensibilización. No obstante, con la espada de Damocles en forma de falta de talento pendiendo sobre nuestro sector, se propone para su sostenibilidad que asumamos la responsabilidad, tanto a nivel colectivo como individual, de responder a preguntas tales como: ¿qué me impide contribuir a mejorar la situación? ¿Qué voy a hacer al respecto?
Como cualquier ejercicio de introspección, no resultará sencillo, pero merecerá la pena.
Javier Zubieta es presidente de la Comisión de Ciberseguridad de Ametic y director de Marketing y Comunicación de Secure e-Solutions de GMV
Sigue toda la información de Cinco Días en Facebook, Twitter y Linkedin, o en nuestra newsletter Agenda de Cinco Días
