El 3 de julio de 1898, habiendo decidido el almirante Cervera salir del puerto de Santiago de Cuba para enfrentarse a la gran flota norteamericana, cumpliendo las órdenes y sabiendo que iba a ser destrozado por los buques norteamericanos -tras intentar hacer entrar en razón al gobierno y no lograrlo-, dirige a sus hombres la siguiente arenga (sentida, llena de honor y cumplimiento, certera con el riesgo, pero en mi opinión nada motivadora):

«Dotaciones de mi escuadra: Ha llegado el momento solemne de lanzarse a la pelea. Así nos lo exige el sagrado nombre de España y el honor de su bandera gloriosa…

…He querido que asistáis conmigo a esta cita con el enemigo luciendo el uniforme de gala. Sé que os extraña esta orden porque es impropia en combate, pero es la ropa que vestimos los marinos de España en las grandes solemnidades, y no creo que haya momento más solemne en la vida de un soldado que aquel que se muere por la Patria…

…El enemigo codicia nuestros viejos y gloriosos cascos. Para ello ha enviado todo el poderío de su joven escuadra. Pero solo las astillas de nuestras naves podrán tomar, y solo podrán arrebatarnos nuestras armas cuando, cadáveres ya, flotemos sobre estas aguas, que han sido y son de España…

…Hijos míos, el enemigo nos aventaja en fuerzas, pero no nos iguala en valor. Clavad la bandera y ni un solo navío prisionero. Dotación de mi escuadra: ¡Viva siempre España! Zafarrancho de combate y que el Señor acoja nuestras almas».

Los profesionales de la ciberseguridad, sin caer en tan profunda épica, cuando evaluamos el panorama en el que desenvolvemos nuestra actividad o cuando evaluamos comparativamente nuestras capacidades con las del amplio conjunto de enemigos, caemos habitualmente en discursos con un contenido que parece salido del artilugio, de Mortadelo y Filemón, conocido como “el Desmoralizador De tropas”. Esto es así, porque el panorama no es alentador y no lo es por:

Razones para implementar y mantener la ciberseguridad

  • El constante incremento de la ciberdelincuencia
  • Los “potentes” ciberataques auspiciados por estados, que son utilizados como herramienta de desestabilización geopolítica.
  • El alto grado de impunidad (dada la complejidad para identificar el atacante: múltiples saltos, redes de bots , múltiples procedencias desde múltiples países,..).
  • La profunda escasez de profesionales para las labores de protección (pues nos sobran del “otro lado”).
  • El ser humano como el eslabón débil de la seguridad (crédulo y empático por naturaleza).
  • El progresivo aumento de la superficie de ataque (el IoT en casas y empresas o Teletrabajo, por ejemplo).
  • La falta de reporte directo del CISO al CEO (lo que dificulta la llegada certera del mensaje).
  • La deficiente seguridad de la cadena de suministro (proveedores).
  • Los cada vez mayores esfuerzos para las labores de mitigación y recuperación, causados por, la también, mayor complejidad y extensión de los ciberincidentes.
  • El inmanejable número de herramientas que opera la organización de seguridad, en una empresa de tamaño medio o alto.
  • El acrecentamiento imparable del número tanto de personas que componen los equipos humanos, como de herramientas y en consecuencia costes.
  • La inestabilidad del sector de fabricantes de productos de ciberseguridad. La cual se visualiza en que desde hace unos años, cuando se busca un producto, también hay que fijarse en el valor bursátil de la empresa propietaria del producto, para evaluar la posibilidad de que sea adquirido y consecuentemente pasado el tiempo vuelvas a la casilla de salida.

Hace ocho años, diferentes estudios, recomendaban un gasto de ciberseguridad, de entre el 3% y el 6% del presupuesto TI, hace cuatro del 6% al 9% y ahora del 9% al 12%. ¿Este nivel de crecimiento es sostenible en el tiempo? La respuesta claramente es: No.

Por todo ello, es por lo que debemos encontrar los mecanismos para que los esfuerzos en ciberseguridad sean sostenibles en el tiempo. Fijémonos, por ejemplo, en el último punto de la lista anterior; la falta de confianza en la estabilidad de la solución elegida y hagámoslo a través de la compra de Symantec. En el 2019, esta empresa era una referencia a nivel internacional y con una muy importante base de instalaciones en España. Era normal encontrar empresas que habían confiado, para soluciones clave, en tres o cuatro productos suyos; cuando no en todo su catálogo.

A finales del 2019, Qualcomm compró por 10.700 millones a la división de empresas de Symantec. Su modo de rentabilizar la inversión ha venido siendo la de focalizarse en muy pocas cuentas, lo que se ha traducido en un pésimo soporte al resto de clientes empresariales y un abandono masivo de esas cuentas. El esfuerzo, que han tenido que cubrir sus clientes, ha sido ímprobo: han tenido que buscar otras soluciones de reemplazo, adquirirlas, formar al personal, e integrar con otros elementos de la arquitectura de seguridad que ya poseían, como puede ser el caso del SIEM.

Por otro lado, la falta de personal provoca un mercado con una fuerte demanda de profesionales, lo que conlleva rotaciones frecuentes en los servicios Ciber. Las rotaciones tienen un claro efecto sobre la confidencialidad de la información propiedad del cliente que han manejado, así como con la necesidad de formar a quién se incorpora. La incorporación de talento se ve muchas veces ralentizada a que dada la necesidad gran parte de las profesiones son jóvenes con poca experiencia y en muchos casos como consecuencia de la fuerte demanda, el tiempo de permanencia en las empresas es muy bajo, lo que les permite tener un CV lleno de referencias de productos, pero con muy poca experiencia en los mismos.

Las empresas conforme van alcanzando un punto importante de madurez en esta materia, se percatan que los anteriores factores les introduce en la dinámica de espiral creciente: más amenazas, más superficies de ataque, más herramientas, más profesionales, más dinero y mayor eficacia y desde ahí en un círculo nada virtuoso, vuelta a empezar. Esta dinámica debe ser modulada para que no se convierta en un crecimiento exponencial inasumible. La eficiencia para una ciberseguridad sostenible es necesaria, para evitar la situación en la que ya no seamos capaces de seguir el ritmo que impone la necesidad.

Los responsables de la práctica de la ciberseguridad deben encontrar los mecanismos y herramientas necesarias para evitar quedarse atrás en la carrera frente a las capacidades del enemigo. En palabras de la arenga con la que comenzaba: para no morir con el uniforme de gala tras el zafarrancho de combate y albergar esperanzas que sean mayores que esperar que la lucha deje algo más que astillas o que caigamos prisioneros ( de un ransomware por ejemplo).

Noticias sobre la ciberseguridad sostenible

Las buenas noticias es que para alcanzar esa ciberseguridad sostenible se están dando los pasos adecuados en diferentes frentes:

  • La inclusión de la seguridad desde los estadios más tempranos: La regulación y la inclusión de la seguridad en los procesos empresariales, están forzando a las empresas a contemplar en el diseño la seguridad, lo que ahorra esfuerzos y costes en etapas productivas.
  • El incremento de profesionales: tanto a nivel universitario, como mediante la formación profesional, así como en otros centros educativos están incrementando su oferta en ciberseguridad y con ello un mayor número de profesionales.
  • La mecanización / industrialización de las actividades de seguridad: con tecnologías tipo SOAR, permiten albergar esperanzas de que un gran número de actividades manuales serán asumidas por los sistemas y robots, dejando a los profesionales que se centren en aquellas que aportan valor.
  • La incorporación de nuevas tecnologías que triunfan en otros campos y que pueden ser de gran ayuda (y no sólo a la mecanización) como puede ser la Inteligencia Artificial.
  • La mejora del nivel de reporte a la alta dirección: ya sea por decisión propia o como consecuencia de obligaciones legales como la establecida por el RD 43/2021.
  • La progresiva extensión a toda la cadena de provisión de los niveles y las obligaciones de ciberseguridad que prácticamente antes estaban reservadas a empresas de gran tamaño, esenciales o críticas.
  • Los esfuerzos de las autoridades de control nacionales e internacionales, conscientes del problema global al que se enfrentan las naciones.

Con estos y otros miembros, que deberemos inventar, descubrir, crear o construir, debemos construir una ciberseguridad sostenible.

Francisco Lázaro, CISO Renfe, Presidente del Grupo de Seguridad de Autelsi