Inga Barandiarán, consultora de Ciberseguridad en esta empresa, enfatiza la importancia de que las empresas vascas inviertan en formación y desarrollen planes estratégicos específicos para hacer frente a la creciente amenaza de los ciberataques
¿Continúa siendo la Ciberseguridad una materia aún no asumida en el entorno profesional? ¿Son conscientes empresas y empresarios/as de lo mucho que hay en juego y las consecuencias económicas y reputacionales que esta falta de compromiso puede acarrear para los intereses de sus propias compañías? Para poner en contexto la gravedad de la situación y tratar de ofrecer respuesta a cuestiones similares, Inga Barandiaran, consultora de Ciberseguridad en Osane Consulting, ofreció recientemente en el programa ‘Made in Basque Country’ algunas de las claves que explicarían el imparable crecimiento de los ciberdelitos en el ámbito profesional en Euskadi.
Más allá de la administración pública y la empresa, también el ámbito educativo ha resultado ser un filón para los ciberataques…
Microsoft ya advirtió hace unos meses que haciendo un análisis de 30 días, más del 82% del malware que había detectado iba dirigido al sector de la educación. Además, durante cuatro meses varias instituciones educativas habían recibido más de 1000 ataques de phishing y tienen el doble de probabilidades de intentos de fraude en correos empresariales que otros sectores.
¿Qué cree que hace vulnerable a este sector?
Es importante ser conscientes de que los colegios, institutos, academias, etc…. no suelen tener los mismos recursos que las empresas privadas, es decir, su inversión en ciberseguridad es menor y por tanto, también sus medidas de ciberseguridad. Además, tienen problemas inherentes a su negocio, como el uso de ordenadores y tablets compartidos entre el alumnado, lo que, sin unas medidas adecuadas, amplía las posibilidades de que sus usuarios cometan un error y faciliten la entrada de un malware.
¿Las empresas vascas son tan vulnerables?
Ni más ni menos que las de otras regiones. A día de hoy podemos confirmar que el 100% de las pymes reciben ciberataques casi a diario y nuestro ecosistema empresarial es, en más de un 90%, pyme. Si a ello le sumamos el hecho de que tenemos un potente sector industrial, estamos muy en el foco. Nadie escapa, por ejemplo, de los bots que lanzan ataques automatizados indiscriminadamente a todo Internet (páginas web vulnerables, ftps o servidores de archivos expuestos, escritorios remotos accesibles, etc.). Sin embargo, en el primer semestre de 2023 solo el 70% de ellas sufrió algún tipo de hackeo, aunque fuese leve, a raíz de estos ataques.
¿Cuál es nivel de preocupación que en estos momentos existe entre el tejido empresarial vasco respecto a un posible incidente de Ciberseguridad?
La vara de medir de cada uno es algo subjetiva. Hay más miedo que concienciación. Gracias a los medios de comunicación como el vuestro, las empresas son conscientes de la realidad de lo que ocurre, pero a la hora de la verdad, en el momento en el que tienen que enfrentarse en la definición de sus presupuestos para sacar una partida para ciberseguridad, siempre dicen lo mismo: “Total, probablemente no nos toque…». Y por desgracia, a diferencia de la lotería, siempre toca… Lo único que no podremos predecir es cómo de pronto tocará.
¿Y qué se traduce de todo ello?
Todo ello hace que la preocupación, más pronto que tarde, se transforme en un requerimiento o en un cumplimiento normativo, que además de hacernos más seguros, va a ser una necesidad para poder seguir trabajando con nuestros clientes dentro de la cadena de suministro.
¿Nos pone algún ejemplo de última hora que se pueda contar?
El ejemplo «sonado» más cercano es el del Ayuntamiento de Sevilla, que ha ocupado las portadas de los últimos días, siendo un reflejo de que tanto una administración pública como las empresas privadas también sufren ciberataques. En este caso, sus servicios se quedaron completamente bloqueados por un secuestro de datos. Debemos tener claro que los ciberataques, al igual que las empresas, se adaptan al entorno, por lo que los ciberdelincuentes también cambian su forma de actuar para conseguir sus objetivos, beneficiarse y conseguir dañar no sólo la reputación de la persona, sino también su imagen corporativa, y en los peores casos pueden llegar incluso a amenazar a países enteros.
No será por no avisar…
¡Desde luego! En este sentido, desde OSANE tratamos de contribuir a ello como podemos. Tenemos programas de responsabilidad social en los que lanzamos cápsulas de concienciación en nuestras redes sociales, impartimos charlas y hacemos lo que podemos dentro de nuestro ámbito y visibilidad. Adicionalmente, las administraciones de Euskadi están apoyando para que las empresas puedan conocer los riesgos que tienen y, por supuesto, tomar medidas para poder mitigarlos.
¿Un alegato para enmendar esta falta de cultura en favor de la Ciberseguridad?
Hace 15 años, invertir en ciberseguridad podría ser cuestión de diferencia competitiva o una medida preventiva de las entidades más expuestas, pero desde hace cinco años invertir en ciberseguridad es la diferencia en que nuestro negocio subsista o muera a corto/ medio plazo. Y simplemente tenemos que hacernos esta sencilla pregunta: ¿Mi negocio podría subsistir si desapareciesen todos mis datos? Si la respuesta es no, ya saben que necesitan contratar ciberseguridad más pronto que tarde.
¿Y en qué nivel diría que se encuentra la cultura de la Ciberseguridad?
Afortunadamente, las empresas y las personas, a medida que nos formamos, vamos incrementando nuestro nivel de concienciación pero, lamentablemente, ese ritmo no es suficiente a día de hoy, como para equilibrar el rápido crecimiento del cibercrimen. Si queremos ser competitivos y tener continuidad en el mercado, debemos invertir en ciberseguridad por una razón muy sencilla: es sinónimo competitividad y, además, también es un factor que genera confianza.