Segurtasun Adituen Euskal Elkartea: La digitalización como elemento de transformación de la seguridad tradicional
La Asociación Vasca de Profesionales de Seguridad (SAE-AVPS) considera fundamental la participación de los órganos directivos de las empresas en el ámbito de la ciberseguridad
En los últimos años, cada vez existe una mayor relación entre la seguridad tradicional (alarmas, cámaras de videovigilancia, sistemas de cierre,…) y la ciberseguridad. La digitalización y la conectividad han propiciado que este tipo de sistemas tradicionales de seguridad cada vez guarden una mayor vinculación con los entornos 4.0 y que se deban de enfrentar a amenazas comunes como el ‘malware’ o los ciberataques. Segurtasun Adituen Euskal Elkartea – Asociación Vasca de Profesionales de Seguridad (SAE-AVPS) es la asociación que reúne a los profesionales del mundo de la seguridad en Euskadi. Hablamos con tres de sus responsables de los retos que supone para ellos la transformación digital: Ricardo Muguerza, responsable de Relación con la Industria; Virginia Santamarta, Secretaria y Tesorera; y José María Arana, Presidente de SAE.
¿Cuál es la función de SAE-AVPS?
SAE-AVPS es una asociación de profesionales de la seguridad de todos los ámbitos. La asociación se puso en marcha en 2013 y venimos de la seguridad tradicional, como fabricantes de cajas fuertes, controles de acceso, etcétera; pero también tenemos entre nuestros asociados a gente que trabaja o ha puesto en marcha ‘startups’ muy relacionadas con la ciberseguridad. En los últimos 3-4 años nuestra función más importante es intentar digitalizar el mundo de la seguridad. Al final, los profesionales de la seguridad trabajan hoy día en entornos IT y son conscientes de la importancia de todo lo que tiene que ver la ciberseguridad en sus empresas.
Habéis realizado diferentes campañas y encuestas sobre lo que supone la ciberseguridad en los entornos industriales en Euskadi. ¿Qué conclusiones sacáis?
Hacemos hincapié en tres aspectos: la gobernanza, la inteligencia y la protección, y la resiliencia. Nuestra labor es asesorar a las empresas y difundir la ciberseguridad. En lo que se refiere a la gobernanza, consideramos que la participación de la dirección de las empresas en todo lo que es la ciberseguridad es fundamental. Desde la dirección tienen que tener en cuenta el valor de la ciberseguridad y deben de implicarse en este tema. Según destacan algunas encuestas en las que hemos participado, en Euskadi solo el 20 por ciento de las empresas tienen establecidas políticas de ciberseguridad desde el consejo de dirección.
En lo que se refiere a la inteligencia y la protección, según otras encuestas en las que hemos participado, el 40 por ciento de las compañías no tienen políticas específicas de ciberseguridad en el área de fabricación. Teniendo en cuenta los riesgos que están asumiendo, hay que hacer hincapié en ello. Aproximadamente el 80 por ciento de las empresas tiene conexión a Internet, con lo cual, si no se da importancia a la ciberseguridad, los riesgos a los que están expuestos son grandes.
Y en lo que se refiere a la resiliencia, o cómo puede afrontar la empresa un ataque, solo un 15 por ciento de las firmas entrevistadas tiene planes de continuidad de negocio ante un ciberataque.
¿Qué se puede hacer para mejorar la concienciación de los directivos de las empresas respecto a la ciberseguridad?
Hacemos hincapié en la función del director de seguridad. Consideramos que dentro de las empresas tiene que haber una persona que asuma la seguridad dentro de la organización y que esta no esté separada en diferentes departamentos. Abogamos por una figura que asuma todos los aspectos de la seguridad en la empresa. No solo la ciberseguridad. Los directivos deben de entender que la responsabilidad de todo lo que pasa, de cada activo, es responsabilidad final del director general de la empresa o del consejo de administración. Existe la figura del director de seguridad, que en algunas compañías es obligada por ley, pero hay muchas que no tienen esta obligación.
Vemos en la industria la convergencia de los entornos OT e IT y esto está dando lugar a que se tenga que abordar la seguridad de otra manera. Ya no basta con que los departamentos de informática establezcan unas políticas de seguridad. La seguridad tiene que implicar también al personal de mantenimiento, que puede tener acceso a los PLC, y también a los del área de innovación que utilizan distintos tipos de dispositivos. Tiene que haber una persona que se encargue íntegramente de todo lo que tiene que ver con la seguridad.
¿Y qué ocurre con las pymes, con menos recursos, personal y conocimientos?
El objetivo no es que haya una persona que se dedique de forma exclusiva a todo esto, sino que una de las personas de la organización asuma la seguridad como un todo. No hace falta ser director de seguridad de una empresa de 10 personas, sino que alguien se encargue de eso. La persona que se responsabilice de esa coordinación debe de estar junto al director de la empresa. Sabemos que es algo que no es fácil y por eso creemos que la ayuda de las administraciones es fundamental para conseguirlo.
¿Cuáles son los riesgos o ciberamenazas que más os preocupan?
Según las encuestas, el daño que se produce en una empresa tras sufrir un ciberataque está cuantificado en una media de 35.000 euros. Todos estamos expuestos. El 80-90% de las empresas ya han sido atacadas, y las que no, lo serán en el futuro. Hay diferentes tipos de ataques, pero muchos de ellos no son de una gran sofisticación. El principal problema es el engaño a las personas por falta de metodología, protección y prevención. Si eres mínimamente ordenado y en tu empresa solo se utilizan herramientas corporativas, tienes mucho ganado.
En este ámbito de la ciberseguridad y como asociación, ¿qué valoración realizáis de la puesta en marcha de Centro Vasco de Ciberseguridad – Basque Cybersecurity Centre?
Es una iniciativa que hemos conocido desde el primer día. Aunque en un principio pensábamos que tenía unos objetivos poco ambiciosos, lo cierto es que su funcionamiento está siendo espectacular y está llegando mucho más lejos de lo que creíamos. Tenemos con ellos una colaboración muy fructífera y estamos encantados ya que su objetivo principal es defender a nuestra industria.
