Hace casi 80 años, el Capitán Renault pronunciaba en la mítica película de Casablanca esta frase, dos segundos antes de que el jefe de sala le entregase un fajo de billetes: «sus ganancias, señor». Algo similar vemos que ocurre en las redes sociales cuando una gran empresa o una entidad pública sufre un ciberataque, quedando inoperativa y mostrando sus costuras.

Recientemente lo hemos visto en el caso del SEPE (Servicio Público de Empleo Estatal) donde muchos muestran su estupor en las redes sociales: «¡qué escándalo, qué escándalo! ¡¿Cómo puede ser que lo tuvieran así ?!». En realidad, muchas de esas personas, con cargos de responsabilidad en sus empresas, deberían realizar una mirada introspectiva crítica en relación con el riesgo que, ya sea por acción u omisión, están aumentando. Escandalizarse en público por el comportamiento ajeno no es garantía de que nosotros lo estemos haciendo bien.

Esta falta de empatía con la víctima, esa carencia de contacto con la realidad se da incluso en algún profesional de la Ciberseguridad, que pareciese que, mostrando estupor por lo que les pasa a los demás, exorcizaran las amenazas para que ellos no sean los siguientes o para, en contraposición, poner en valor lo bien que está lo suyo (por el momento).

La realidad es que, salvo muy honrosas excepciones, aún no invertimos lo suficiente en ciberseguridad; en disponer de los equipos humanos adecuadamente dotados en número y en preparación para prevenir y responder a las amenazas. Tampoco lo hacemos en crear una cultura de ciberseguridad basada en la concienciar y formación, en remplazar equipos obsoletos, en mantener actualizados los sistemas, en dotar de seguridad tanto a los nuevos servicios que vamos a implantar como en los que ya tenemos implantados, en acompañar la transformación digital y el teletrabajo. Sobre todo, no se pone énfasis suficiente en mandar un mensaje claro desde lo más alto de la alta dirección a toda la «tomad en serio la ciberseguridad».

El verdadero liderazgo en esta materia es necesario. Hay que cambiar con urgencia la debilidad con la que nos enfrentamos como empresas y como sociedad al «mercado» pujante de la ciberdelincuencia. Sólo en EEUU, el FBI ha estimado que en el 2020 las pérdidas reportadas por delitos en internet han sido de más de 4.200 millones de dólares la 2020. En una encuesta realizada por una de las principales consultoras a miembros de consejos de dirección mostró que el 87% no confían en el nivel de ciberseguridad de su organización (¡qué escándalo, qué escándalo!).

No existen las recetas simples. Esta idea se pone de manifiesto cuando, por ejemplo, algunas voces desde empresas proveedoras de ciberseguridad repiten como un mantra que el SEPE debería cumplir con el Esquema Nacional de Seguridad, sin plantearse siquiera que ellas como proveedoras de la administración también están obligadas a cumplirlo y en su inmensa mayoría no lo hacen. Cumplirlo requiere no sólo dotarse de salvaguardas de seguridad, sino de que se impulse, desde la dirección de la empresa u organismo, el alineamiento del Negocio con el compromiso en la seguridad.

Gastar (invertir en realidad) en Ciberseguridad es mucho más que lamentar o enorgullecerse, según el caso, de que el presupuesto anual sea el doble que el del año anterior. Es, por ejemplo, evaluar si ese crecimiento es el suficiente para ir tapando con personas y técnicas, la falta de inversión en la renovación de equipos (que va a ser que no). Es decir, si con esa mentalidad de cobertura paliativa de otros esfuerzos, tales como la renovación de equipamiento o la asignación de personas dedicadas a la actualización de sistemas y desarrollos, podremos alcanzar un riesgo aceptable.

La Ciberseguridad como una actividad paralela al Negocio no es eficaz, requiere de un acompañamiento en línea con lo expresado anteriormente y sobre todo darse cuenta que invertir en ciberseguridad es caro, pero no invertir sale a la larga, mucho más caro.

Sólo cuando inviertes más en seguridad, con criterio y de una forma eficaz, y cuando el Negocio asume el liderazgo, tienes un menor riesgo. La actitud ha de ser la que predicaba el emperador y filósofo Marco Aurelio: ser tolerante con los demás y estricto con uno mismo.

 

Francisco Lázaro, CISO Renfe, Presidente del Grupo de Seguridad de Autelsi