Ricardo Cañizares (AES): “La computación cuántica y la inteligencia artificial traerán nuevos retos de ciberseguridad”
Ricardo Cañizares, miembro de la junta directiva de la Asociación Española de Empresas de Seguridad (AES) y experto en ciberseguridad, advierte en la siguiente entrevista que los retos en esta materia a los que nos enfrentaremos en 2024 serán una evolución de los actuales, pero incrementados por las nuevas amenazas que aún no conocemos, pero que llegarán de la mano de la computación cuántica, la inteligencia artificial y otras tecnologías en desarrollo.
¿Cuáles serán los principales retos de la ciberseguridad en 2024?
Los retos a los que nos debemos enfrentar son una evolución de los mismos a los que nos estamos enfrentando en este año 2023, pero incrementados por las nuevas amenazas que aún no han llegado, que aún no conocemos, pero que, seguro que llegarán de la mano de la computación cuántica, la inteligencia artificial y de otras tecnologías en desarrollo. Por ejemplo, hacer frente al ransomware va a seguir siendo uno de los retos más importantes. Su vía de entrada no es otra que el engaño al usuario final, y el uso de la inteligencia artificial por parte de los ciberdelincuentes va a hacer que, por parte de los usuarios finales, detectar el engaño sea cada vez más difícil.
¿Qué consecuencias podrían tener los ciberataques para las empresas españolas?
Sufrir un ciberataque siempre tiene un impacto, aunque seamos capaces de detectarlo y detenerlo, siempre tiene un impacto, no digamos si no somos capaces de detectarlo o de detenerlo; en este caso su impacto puede llegar a ser destructivo, acabar con la empresa, sobre todo para una pyme, pero no solo para ella.
Es muy difícil cuantificar a priori qué puede suponer para una empresa ser objeto de un ciberataque. Va a depender de su virulencia, del éxito que éste tenga, de lo preparada que esté la empresa, y de cómo gestione la respuesta al ciberataque, durante y después del mismo. La comunicación, tanto interna como externa, es muy importante a la hora de gestionar la respuesta a un ciberataque.
El impacto de un ciberataque va a ser de varios tipos, el primero siempre económico. Aunque seamos capaces de frenar el ataque éste siempre nos va a hacer incurrir en gastos. Frenar un ataque cuesta dinero, incluso puede que nos obligue a interrumpir las actividades productivas de la empresa.
Si no somos capaces de frenar el ciberataque, está claro que los costes económicos del mismo se van a incrementar, tanto en los costes de contención, mitigación y recuperación de los daños, como en los derivados de la interrupción o pérdida de capacidad productiva de la empresa.
¿Cuáles serían los otros impactos?
Como decía, el impacto no es solo económico. Un ciberataque puede suponer impacto reputacional grave para la empresa, una pérdida de confianza, que afecta a la relación de la empresa, con los clientes, con los proveedores, con los empleados, con los inversores, con el regulador, etc. En resumen, si no se gestiona adecuadamente la respuesta a un ciberincidente la relación con “las partes interesadas” se va a resentir gravemente, con lo que ello supone para el futuro de cualquier empresa.
Por último, tenemos el riesgo legal. Si una empresa sufre un ciberataque y éste tiene éxito, la pregunta es ¿la empresa ha tomado las medidas necesarias que establece la legislación que le es de aplicación?
No voy a enumerar toda la legislación de ciberseguridad que puede llegar a ser de aplicación a una empresa, me voy a limitar a mencionar el Codigo de Ciberseguridad que podemos encontrar en la página web del BOE
¿En qué aspectos debe incidir una buena estrategia de ciberseguridad?
Hay dos elementos clave a la hora de definir una estrategia de ciberseguridad. El primero, el compromiso de la alta dirección, que no solo debe aprobar una estrategia y una política de ciberseguridad, sino que también debe de dotar los recursos necesarios para aplicar dicha estrategia. Sin recursos cualquier estrategia o política se convierte en papel mojado.
El segundo, y no menos importante, es el compromiso de todo el personal de la organización con la ciberseguridad. Sin la formación y concienciación de todo el personal de la organización, del primero al último del escalafón, no hay nada que hacer.
El primer elemento de la línea de defensa contra los ciberataques son las personas, los usuarios de los sistemas. Por muchos elementos de seguridad, tanto hardware como software, que instalemos, por muchos procedimientos operativos que elaboremos, si las personas no son conscientes de su responsabilidad y no tienen ni la formación ni la concienciación necesaria, no conseguiremos nada. Por lo tanto, la alta dirección tiene que dotar los recursos para que la formación y concienciación en materia de ciberseguridad llegue a todo el personal de la organización.
¿Qué otros elementos hay que tener en cuenta cuando hablamos de ciberseguridad?
No solo debemos hablar de la ciberseguridad de los sistemas de información y comunicaciones que utilizamos para gestionar nuestras empresas y para prestar servicios, lo que conocemos por IT. No debemos olvidar el resto de tecnologías, OT, IoT, etc. Y, por supuesto, no debemos olvidar la importancia de garantizar la ciberseguridad de los sistemas de seguridad electrónica que protegen de las amenazas de carácter físico a organizaciones y empresas de todo tipo, así como a muchos particulares.
AES es consciente de esta necesidad y lleva trabajando en este tema desde hace varios años. Muestra de ello son los trabajos que ha realizado su Área de Trabajo de Ciberseguridad, del que me gustaría citar el siguiente: “La Ciberseguridad como parte del nuevo paradigma de la Seguridad”
(https://www.aesseguridad.es/documentacion/GRUPO_TRABAJO_Ciberseguridad_web_v2.pdf).