En 3 años habrá agencias de calificación de riesgo cibernético
Con motivo de su 25 aniversario y como uno de los actos más importantes para celebrar esta efeméride, la Asociación de Usuarios de SAP de España (AUSAPE) organizó ayer en Madrid una Sesión Magistral dedicada a la ciberseguridad con la participación de dos prestigiosos ponentes: Antonio Ramos, fundador de Mundo Hacker y uno de los mayores expertos en seguridad de España y Albert Agustinoy, abogado y socio del despacho Cuatrecasas y un destacado especialista en protección de datos y propiedad intelectual. En el foro participaron más 100 altos cargos (102) de 70 empresas de las más importantes del país representados por sus CIOs, CISOs, CFOs, y CEOs.
Una de las conclusiones de esta sesión fue la creciente importancia de la ciberseguridad para la estrategia de negocio de las empresas. «De aquí a tres años van a existir agencias de calificación de riesgos cibernéticos —como Moody´s o Standard and Poor´s— cuyos resultados tendrán impacto en la calificación financiera de países y organizaciones», explicó Antonio Ramos.
El hacker había centrado su intervención en explicar cómo los altos directivos de las empresas son cada vez más el objetivo de ataques dirigidos y muy difíciles de detectar destinados a robar informaciones y documentos de valor tanto por parte de la competencia como por parte incluso de los estados.
Antonio Ramos señaló, por ejemplo, la existencia de cibercomandos que trabajan supuestamente —es difícil probarlo debido a la opacidad de estos grupos— para diferentes países atacando a objetivos que estos países consideran prioritarios. Son, entre otros, grupos como Equation Group al que se cree cercano a USA; APT1 Activity, que se considera vinculado a China o Lazarus Group, que puso en aprietos a Sony y que se considera vinculado a Corea del Norte.
«Estos grupos desarrollan trabajos muy sofisticados de espionaje que pueden suponer desde seis meses hasta varios años de trabajo», explicó Ramos, «el objetivo son empresas y gobiernos cuyos intereses chocan con los del país que los contrata». El Hacer expuso casos como la «operación Aurora» que afectó a Google y otras empresas tecnológicas hace unos años y que se produjo poco antes de la aparición de un buscador en China muy similar al del gigante estadounidense o cómo aviones similares al más avanzado de los Eurofighter europeos desfilaron en China recientemente, cuando este país no tenía hasta ese momento aviones tan avanzados.
«Esto supone un enorme ahorro en I+D para esos países. Pero no afecta solo a los estados. Esto se produce también a nivel empresarial, entre competidores que se espían para conocer las propuestas, productos, innovaciones, etc. de sus rivales. Como directivos, tenéis que tener conciencia de que sois el objetivo de estos ataques», explicó Ramos a la audiencia, para resumir después en un «ABC» las reglas para prevenir estos ataques: «Actulizaciones; Backup y Common Sense (sentido común).
El auge de las pólizas de ciberseguridad
Albert Agustinoy, por su parte, simuló con el público las posibles respuestas a una crisis de seguridad en una empresa y fue desgranando las principales posibilidades que se le ofrecen a los directivos y dueños de las empresas en esos casos.
Destacó la importancia de contar con una póliza de seguros ante ciberataques, un mercado que según este experto no deja de crecer en los Estados Unidos, pero que todavía se encuentra poco desarrollado en Europa, aunque lo estará en los próximos años precisamente debido a esa creciente importancia de la ciberseguridad como baremo para medir la rentabilidad y fiabilidad de una empresa o un país.
«Es fundamental que las empresas cuenten con estas pólizas, pero también que cuenten con un protocolo de ciberseguridad preventivo y reactivo que explique qué hacer y a quién avisar en cada momento», explicó Agustinoy, quien añadió: «el 96% de los fallos de seguridad nace de un error humano, por eso es fundamental la formación y la información a todos los trabajadores».
Según el abogado hay ya artículos de la RGPD como el 33 o el 34 que explicitan a quién deben notificar las empresas afectadas por una brecha de seguridad y cómo hacerlo, apostando la ley porque las empresas ofrezcan a sus usuarios la máxima transparencia, lo que puede llevar a una importante crisis reputacional.
«Por todo ello, el enfoque de Ciberseguridad debe incluirse en la estrategia de negocio de las empresas desde ya», concluyó Ignacio Santillana, Presidente de AUSAPE, quien además aprovechó su intervención en el debate con el que concluyó el foro para repasar algunas de las mejoras incluidas en S4/HANA la nueva plataforma de SAP.