La seguridad en la era digital no se puede plantear en términos maximalistas, sino que se trata de una forma de estar en el mercado y en la sociedad, porque las amenazas son tan cambiantes como permanentes. El cambio de paradigma y los desafíos en materia de talento centran la conversación entre Rosa Díaz, de #Somosmujerestech, y el CEO de Eleven Paths, la firma de Telefónica en ciberseguridad, Pedro Pablo Pérez.

Rosa Díaz.-Dado el enorme alcance del concepto ciberseguridad, el acercamiento de las empresas especializadas debe ser distinto según el ámbito al que se dirijan.
Pedro Pablo Pérez.- Es totalmente diferente. Cuando hablamos de personas o consumidores, el interlocutor por regla general no entiende de ciberseguridad. Menos del 1% de la población distingue entre sandboxing o FireWall, son ajenos a la nomenclatura que utilizamos. Para ellos la seguridad está ligada al concepto de peaje of mind, sienten que están seguros porque hay alguien se la está gestionando. Si nos vamos al extremo contrario, que sería la gran corporación o la gran Administración, lo que hay es alguien que les acompaña, les ayuda y les provee de tecnología, pero tienen el nivel de seguridad que desean o quieren acometer. En el medio tenemos a las pymes, con distintos sabores. Es cierto que se aproximan más al mundo del consumo en el sentido de que no hay un equipo de ciberseguridad como puede tener una gran corporación. Se dejan aconsejar y necesitan a alguien que les ayude a conseguir un mayor nivel de madurez. Pero sin volvernos locos, sin tomar determinadas medidas que pueden implantarse sólo en grandes corporaciones.
RD.-Y a nivel de concienciación, ¿en qué punto nos encontramos?
PPP.-Es un tema interesante. Las pymes y los particulares cuando ven las amenazas que están ocurriendo dicen: "Esto no es para mí, cuando quieran robar irán a por tal banco o tal teleco". Pero realmente hay muchos ciberatacantes, desde el crimen organizado al ataque patrocinado por Estados, encantados de atacar a particulares y pymes porque las medidas de protección son menores. Y si piden 300 euros de rescate, la víctima va a decidir en segundos o en minutos, mientras que en una gran corporación, además de haber políticas de no pago de rescate, sacar un euro tiene unos procesos de gestión tremendos y adicionalmente pueden judicializar porque tienen abogados y grupos para defenderse del crimen organizado. De modo que el cibercrimen está encantado de atacar a particulares y pymes. Al fin y al cabo las bandas lo que buscan es el dinero, venga de donde venga. Falta concienciación para entender que son un objetivo, un target primordial.
RD.-Ante este panorama, ¿hacia dónde cree que va a evolucionar el sector de la ciberseguridad?
PPP.-Hay una serie de entidades públicas que están ayudando mucho a conseguir que este mensaje cale. Una es el Incibe, que a través de la OEA está consiguiendo que el mensaje llegue también a Latinoamérica. Por otro lado, tenemos a los medios de comunicación. Hace diez años era impensable que un telediario o un periódico trataran en portada temas como la ciberseguridad. En los últimos 12 meses han abierto cuatro o cinco veces con Wannacry o el ataque a Facebook. A esto le sumamos la tercera pata, que es la regulación, con el GDPR o la directiva NIS.
RD.-El 18 de mayo parecía que se acababa el mundo con la entrada en vigor del reglamento de protección de datos.
PPP.-En los países europeos y especialmente en España la protección de datos viene de lejos. La nueva ley tiene sus particularidades, pero el fin es el mismo: los datos son de su propietario y lo que hay que garantizar son sus derechos. Desde el punto de vista histórico creo que es positivo porque hay una maduración. Desde el punto de vista de transmitirle a la empresa que es algo de obligado cumplimiento, los departamentos que estaban trabajando en ello siguen haciéndolo. Es un proceso continuo, sigue habiendo ataques, las empresas están vivas y necesitamos procedimientos que garantizan que eres compliance con una determinada normativa y vas a seguir siéndolo.
RD.-Si hablamos de la directiva NIS se critica la falta presupuesto. ¿Cuál es su opinión?
PPP.-El mundo de la ciberseguridad, desde el punto de vista de datos objetivos, crece aproximadamente entre el 9% y el 12%. Están aumentando los presupuestos de las empresas y las ventas del sector, y hay áreas como la ciberseguridad gestionada que crecen a ratios más altos, del 15-16%. Tenemos un crecimiento bastante potente, en relación con las economías. Cuando vamos al nivel más micro y vemos determinadas empresas, los early adopters son los grandes bancos y las grandes telco, donde los niveles de inversión crecen sin lugar a dudas. Hay otros ámbitos con más dificultades para transponer estas tecnologías, como la Administración pública, o las pymes que pueden estar sufriendo otros problemas de mayor índole, por el proceso de digitalización o la crisis, y su primera prioridad es la supervivencia. Pero en el entorno macro, la seguridad está creciendo a día de hoy, es un sector que acumula más de 60.000 millones en inversiones en startup y crece hasta los 120.000 millones de negocio frente a los 30.000 millones de principios de los 2000, hay pocas cosas que hayan crecido a ese nivel.
RD.-¿Cómo de importante es la innovación?
PPP.-Estamos en la Edad del Bronce de la ciberseguridad. Cuando hay una brecha de seguridad, la gente tiende a penalizar a la víctima. Hace 2.000 años ya había seguridad física, y hoy siguen produciéndose delitos, pero nadie se plantea por qué no hay cero robos. Le pedimos a la seguridad de la información que es un bebé, con apenas dos décadas de historia, efectividad del 100% y en cambio a la seguridad de las personas, con miles de años, no se la pedimos. Es un cambio de paradigma que la gente vaya entendiendo que buscar la seguridad 100% es una entelequia. Más aún cuando la seguridad en el mundo digital es bastante más difícil de conseguir, porque tenemos gente que actúa en remoto, ataques que se pueden reactuar y automatizar… Dicho eso, la ciberseguridad está madurando, es un ecosistema en el que la innovación es clave. Hace dos años, la gente no hablaba de la amenaza híbrida, tan de moda ahora, ni de la compartición de los IoC (indicators of compromise), ni de las técnicas de sandboxing o endpoint avanzado. Al fin y al cabo, la ciberseguridad es uno de los ámbitos que lleva más innovación. Cerca del 15% de las patentes que saca Telefónica cada año son de ciberseguridad.
RD.-¿Cómo de grave es la falta de profesionales en el sector?
PPP.-Hay gente que dice que falta un millón y medio de profesionales, y quien proyecta que en 2021 faltarán 3,5 millones. Nuestra experiencia es que cuando sacamos una vacante el tiempo en cubrirla es alto. Estamos hablando de un sector con 0% de paro en el que faltan profesionales de distinta índole, desde superexpertos en seguridad, en España, EEUU, Brasil y cualquier sitio, a perfiles de alto nivel con mucho componente tecnológico. Y no sólo ingenieros y técnicos, sino que necesitamos también gente con base de Derecho, porque el peso regulatorio es importante, ingenieros industriales, físicos, matemáticos, químicos... y como hablamos de un área con un nivel de emprendimiento enorme también de gente formada en Económicas. Si esto lo iteramos más y hablamos de libre circulación de personas, y de que el ecosistema es Europa, o el gran apetito que tiene EEUU vemos una migración de gente que quiere trabajar en empresas de Silicon, Nueva York, Tel Aviv o Londres. Es un problema mundial y forma parte incluso de la geoestrategia de los países, porque hay que ser ciberseguros y acumular profesionales de ciberseguridad. En seguridad, big data e inteligencia artificial todo el mundo tiene abiertas posiciones para contratar.
RD.-¿Cómo abordáis la igualdad para integrar a la mujer?
PPP.-En Eleven Paths, lanzamos la iniciativa mujereshacker para potenciar la visibilidad de la mujer y también porque las carreras de las que se nutren estas profesiones licencian muchas veces a 100 chicos y 10 mujeres. Hay una gran parte de mujeres que, teniendo capacidades perfectas y gustándoles la ingeniería, se decantan por otro tipo de formación. Es importante la motivación ahí. Ese es un problema general de la sociedad.
RD.-Respecto a lo que está por venir, creo que las infraestructuras críticas van a querer ser atacadas, hay muchas probabilidades de que ocurran cosas que puedan parar una ciudad, como la energía.
PPP.-Cuando ocurre un WannaCry pensamos que atacan una vez al año. Pero intercambiamos más de 1.100.000 muestras únicas cada semana en la Cyber Threat Alliance. Los ataques de ransomware (secuestro de datos) son muy conocidos cuando alcanzan a una determinada empresa y este año parece que está más de moda la suplantación de identidad de CEOs, aunque la impersonation ocurre desde hace tiempo. Esos ataques continuarán. ¿Cuáles son los que vienen? Todo el tema de la protección de infraestructuras críticas y el gran uso de dispositivos del Internet de las Cosas estará en boca de todos los próximos meses. En cuanto a sectores, todo lo ligado a telco y banca generará mucho ruido. Y dado que nuestra identidad digital está dispersa por diversas plataformas, cada vez que estamos más digitalizados nos veremos más afectados por brechas que ocurren fuera de nuestras fronteras.

DIÁLOGOS BY

Disruptores 3