Algo no estamos haciendo bien cuando el número de ciberataques que tienen éxito sigue creciendo día a día de manera exponencial. Lógicamente, sabemos que el mayor grado de digitalización de nuestras empresas ha aumentado la probabilidad de sufrir un incidente de seguridad, pero de ahí a que ese ataque sea exitoso hay un mundo.
¿Qué está ocurriendo para que seamos incapaces de parar esta oleada de ciberataques que amenaza con poner en jaque el proceso de digitalización por el que hemos apostado con los ojos cerrados?
Llegados a este punto quizás convenga hacer un ejercicio de autocrítica, dejar de mirar para otro lado y comenzar a asumir una responsabilidad que, vaya por delante, debe ser compartida.
Partiendo de la base de que todas las partes implicadas entienden que la ciberseguridad ha terminado por convertirse en un problema para una sociedad que aspira a ganar el futuro apoyándose en la tecnología, toca abordar el asunto en profundidad y empezar a tomar decisiones porque de lo contrario la partida está perdida.
Lo que está claro es que si continuamos pensando y actuando de la misma manera nada va a cambiar y los ciberdelincuentes seguirán encontrando en las empresas el escenario ideal para desarrollar su labor sin demasiada dificultad.
En este sentido puede que una de las causas por las que los cibercriminales estén campando a sus anchas entre los sistemas informáticos del tejido empresarial sea que todavía no hemos entendido que esto de la ciberseguridad es un trabajo en equipo donde cada una de las partes debe interpretar su papel a la perfección respetando y dejando espacio al resto del elenco de una obra coral en donde los egos son los que realmente terminan por estropearlo todo.
Lo cierto es que, en la práctica, nos encontramos que las empresas y el sector de la ciberseguridad, en general, está muy lejos de esta estrategia colectiva que pasa por poner las capacidades de cada uno de nosotros al servicio de un bien común reconociendo que es del todo imposible mejorar la ciberseguridad del ecosistema empresarial español si seguimos actuando en solitario.
Tristemente aún existen muchas empresas que en materia de ciberseguridad siguen pensando y actuando como Juan Palomo y así no es de extrañar que, de manera recurrente, escuchemos la típica frase que termina por ser lapidaria: “Mi informático también se encarga de la ciberseguridad, lleva conmigo toda la vida”.
Esta es la realidad de un buen número de pymes del país que, habiendo, o no, externalizado el servicio IT, confían en su informático de cabecera para proteger la compañía. Estos perfiles, en el mejor de los casos, entienden que la ciberseguridad de la empresa se resuelve con un antivirus, un firewall y una copia de seguridad en una unidad externa que se llevan cada cierto tiempo a su casa. Terrible, pero esta es la situación de gran parte de nuestro tejido empresarial.
Luego nos encontramos con las empresas especializadas en ciberseguridad que, haciendo gala de las miserias del ser humano, no dudan en mirar por encima del hombro al Departamento de IT de las compañías acuñando otras de las frases lapidarias: “Déjame esto a mí que tú no sabes, nosotros nos encargamos. La ciberseguridad para ti es muy difícil y te viene grande”.
Por otro lado, no podemos olvidarnos de los fabricantes de soluciones de seguridad. Todos aspiran a liderar el mercado, lógicamente, quitándole a la competencia parte de la tarta. En esta guerra sin cuartel poco importa si la solución de seguridad que estaba implantada en la empresa funcionaba o no porque el precio, dumping incluido, es realmente el motivo final que termina por hacer que la empresa vaya cambiando de fabricante cada cierto tiempo menospreciando el conocimiento y la experiencia adquirida sobre la solución que tenía implantada.
A todas estas hay que añadir los movimientos, por supuesto unilaterales, que está dando las Administración Pública para solucionar por su cuenta el problema de la ciberseguridad en el país. En su afán por cobrar protagonismo a base campañas publicitarias y de seguir creando más y más organismos obvian toda la cadena de valor existente queriendo impactar directamente en el usuario final para justificar su despliegue.
Te invito a que hagamos una pausa y nos preguntémonos. ¿Qué pasaría si por un momento cambiáramos las reglas del juego? Si de verdad reconociéramos el valor que aporta cada una de las partes implicadas en la protección de la empresa: Departamentos de IT, empresas especializadas, fabricantes, Administración… y trabajáramos en equipo, la mejora de la ciberseguridad del tejido empresarial sería enorme.
No conozco ninguna compañía que se precie que no tenga un asesor fiscal en el que se apoye para complementar las capacidades de su Departamento Financiero. ¿Por qué no hacemos lo mismo con la ciberseguridad y entendemos que es imposible aglutinar todo el conocimiento necesario dentro de la empresa para protegerla eficazmente? Las compañías que crecen son las que se dejan ayudar y en materia de ciberseguridad no tiene por qué ser diferente.
¿Y qué tal si los especialistas de la ciberseguridad empiezan a respetar un poco más a los Departamentos de IT de las empresas? Estar en primera línea de fuego no es fácil. Si nos ponemos en sus zapatos y hacemos el esfuerzo por comprender el día a día de un Departamento de IT identificaremos el enorme conocimiento del negocio que solo ellos poseen.
¿Y los fabricantes? La verdad es que una buena dosis de humildad, coherencia y honestidad no les vendría mal. Si nos movemos a alto nivel todas las soluciones líderes del mercado son técnicamente muy similares y cualquier ventaja competitiva dura lo que tarda en llegar la siguiente actualización de la competencia. Toca pensar más en cubrir las necesidades reales del cliente y menos en colocar el producto a toda costa para hacer cifra.
Sobra decir que también sería maravilloso que los Organismos y Administraciones Públicas que trabajan por la ciberseguridad entendieran y reconocieran el valor de todos los profesionales del sector. Es imprescindible que su conocimiento y apoyo sea más explícito y accesible para los profesionales del sector de la ciberseguridad porque, en la práctica, son los que resuelven el día a día.
Puede que haya quien piense que este escenario basado en un concepto de ciberseguridad colaborativa que se plantea en este artículo sea idílico, lejano y del todo imposible, pero nada más lejos de la realidad. Poco a poco empezamos a ver cada vez más empresas que cuentan con su propia Oficina Técnica de Seguridad que es, en la práctica, la que permite orquestar este modelo de trabajo en equipo que multiplica la eficacia de cualquier Sistema de Gestión de la Seguridad de la Información.
Definir la estrategia de ciberseguridad de la empresa, compartir y documentar el conocimiento, organizar las tareas según roles de especialistas, probar las defensas… es del todo imposible de realizar si no entendemos que la ciberseguridad es un trabajo en equipo y que los Juan Palomo hace tiempo que quedaron obsoletos.
¿Quiere decir que con esto tenemos el partido ganado y nunca más seremos víctimas de un ciberataque? Pues no, porque la ciberseguridad absoluta no existe, pero sí habremos disminuido sustancialmente la probabilidad de sufrir un ciberataque exitoso en la compañía, que no es poco.
A base de disgustos hemos aprendido que la estrategia de la ciberseguridad en la empresa es una obra coral que requiere de un riguroso trabajo en equipo. La experiencia nos dice que las compañías que trabajan la ciberseguridad colaborativa son más fuertes, más resilientes y lo que es más importante, cuando caen – porque alguna vez todas caen – se levantan mucho más rápido.
