Durante los cursos de verano que organiza la Universidad Pablo de Olavide en Carmona, tuvo lugar una conferencia – impartida por Don Joaquín Castellón Moreno, director operativo del Departamento de Seguridad Nacional del Ministerio de la Presidencia – bajo el titular » La ciberseguridad en España». Tras la charla, Castellón Moreno respondió a algunas preguntas sobre ciberseguridad y sobre cómo afectan este tipo de amenazas a las pymes españolas.
¿Cuál es el actual panorama de la ciberdelincuencia en nuestro país?
En mayo de 2013, España publicó su estrategia nacional de seguridad en la que se hablaban de los principales riesgos y amenazas a la seguridad nacional. En ella, aparecen riesgos y amenazas tradicionales como los conflictos armados o el terrorismo, muchos, del nuevo cuño como la estabilidad económica o la seguridad energética. Sin embargo, en una evaluación técnica de cuáles fueron los principales riesgos y amenazas para nuestra seguridad, aparecían dos destacados: uno era el terrorismo internacional – que no somos conscientes de ello – y, otro, las ciberamenazas. Todos estamos sujetos a ciberataques, tanto al Estado, como a las empresas o a las casas. Existe un alto grado de ataques en todos los órdenes y, por el impacto, por las consecuencias que pueden tener, pueden ser desde muy pequeñas a muy graves, tanto como nuestra imaginación quiera. Por eso, es una prioridad para la seguridad nacional el aumentar nuestra capacidad en este ámbito.
¿Qué actuación están haciendo desde mayo de 2013 que se aprobó la estrategia de seguridad nacional?
Se elaboró una estrategia específica para la ciberseguridad. En líneas generales, se dan normas de actuación para los organismos del estado encargados de luchar contra las ciberamenazas. A raíz de esa estrategia de ciberseguridad, se crea un consejo nacional de ciberseguridad, donde están sentados todos los actores nacionales y que tienen voz, voto y capacidades para participar en el ciberespacio. Además, se hizo un plan nacional de ciberseguidad, se hizo un plan detallado sobre qué aspectos asume cada organismo o en qué debe incidir cada organización para mejorar nuestras capacidades en el ciberespacio, es decir, para asegurarnos de que el ciberespacio es seguro en todos los niveles, tanto para el Estado, como para la empresa, como para el ciudadano.
¿Cómo lo adaptan las empresas?
Intentamos potenciar la concienciación. Muchas veces no se tiene conciencia del riesgo que corremos y, ser conscientes de ese riesgo, para las empresas es clave. Generalmente, una empresa no invierte dinero, de forma muy alegre, en seguridad, lo que le puede llevar, en un momento dado, a tener un robo de información o de datos, incluso por parte de sus trabajadores (no es necesario que se trate de un hacker). El riesgo al que se están sometiendo las empresas por la mala utilización del ciberespacio es muy alto y, muchas veces, no lo perciben. Recientemente, han aparecido casos en el periódico de grandes empresas que han hecho saltar las alarmas al resto de las empresas, porque han visto el peligro que han corrido esas compañías de desaparecer o de que sus CEOS fuesen despedidos. Estos casos tan llamativos ha ido, poco a poco, concienciando a la empresa de que es un ámbito donde tienen que tomar medidas porque las consecuencias son muy graves.
¿Qué presupuestos invierten las empresas en ciberseguridad?
Podemos decir que, ahora mismo, las grandes empresas invierten en torno a un 3 o 4% del presupuesto destinado a la tecnología de la información. Te estoy hablando de empresas del IBEX35, de las grandes empresas. En cuanto a las pymes, no creo que lleguen ni al 0,5% y, por lo tanto, son muy susceptibles de sufrir un robo de información, un robo de reputación o de un robo de la propiedad intelectual.
¿Esos son los principales riesgos para las pymes?
Una pyme puede tener riesgos hasta en su cuenta de resultados. La empresa de al lado te puede robar todo tipo de información. El número de herramientas que se están consolidando para llevar a cabo ataques contra las pymes es muy elevado y el riesgo es real, por lo que el número de incidentes también va en aumento. Todas las empresas deberían ser conscientes de que deben protegerse porque, de alguna forma, su propia supervivencia y sus resultados, dependen de ello.
¿Deberían prepararse más para este escenario?
Antes te he hablado de un 3 o 4% del presupuesto que invierten las empresas en seguridad, pero te estoy haciendo referencia a las principales empresas españolas donde, por ejemplo, las del sector financiero son muy conscientes de ello, ya sufren ataques y también fraudes. Date cuenta que, antes, todas las prácticas delictivas ya existían. Ahora, a todas esas prácticas, en todas las sociedades, le hemos añadido el «ciber». Si antes había fraude, ahora es ciberfraude, porque es más económico para un delincuente (ciberdelincuente, en este caso) llevar a cabo un fraude por el ciberespacio, que por otro sitio. Cualquier actividad delictiva hoy en día es mucho más rentable hacerla por el ciberespacio que por cualquier otro medio, entonces cualquier organización delictiva, criminal o terrorista, utiliza el ciberespacio para conseguir su objetivo.
Solo se necesita un poco de conocimientos y un ordenador …
Un ordenador y una persona. Las características del ciberespacio es un espacio global donde no hay fronteras, donde la legislación es más liviana que en el entorno físico y en los países, donde es muy difícil atribuir la autoría de las cosas que se hacen a través de Internet. Muchas de las actividades que se realizan en Internet se hacen de forma anónima y, por sus características, logran que el delito sea más fácil de llevar a cabo con una menor inversión y con mejores resultados.
¿Puedes dar algún consejo a las pymes para que estén preparadas?
Creo que deben tener en cuenta que esto no es más que el principio, que acaba de empezar. La ciberseguridad es algo que ha venido para quedarse y, cada vez, las nuevas tecnologías o la conectividad están más extendidas y nuestro grado de exposición va a ser mayor. Es importante empezar a contar con asesoramiento profesional dentro de la empresa, para implementar medidas que permitan defenderse de las ciberamenazas. Además, muchas de las prácticas vendrán impuestas por una directiva de la Unión Europea, que nos obligará a cumplir ciertos requisitos para asegurar determinadas cosas (los datos, por ejemplo). Las compañías de seguros, por su parte, también obligarán a cumplir determinados requisitos. Al igual que si tú quieres asegurar tu casa y te dicen: «tendrá usted una puerta con una cerradura, porque si no yo no la voy a asegurar si le roban», en el caso de la ciberseguridad dirán algo similar. Muchas cosas nos van a venir impuestas porque, ya te digo que esto no es un problema de moda, sino que es un problema que viene a quedarse. Nuestro mundo, nuestra forma de vida, camina hacia el ciberespacio a la tecnología, y es un tema en el que todos tenemos que hacer un esfuerzo por ponernos al día.
