Cultura de seguridad integral, llave para evitar daños en ámbitos digitales: Fundación ESYS

Barcelona.- La Fundación ESYS (Empresa Seguridad y Sociedad Digital) es resultado del compromiso social de distintas empresas que buscan fomentar la cultura de la seguridad en la sociedad española. Su trabajo es revisar y analizar los temas relevantes de la seguridad integral en la era digital e impulsar la conversación pública y el diálogo entre distintos actores clave del ecosistema. En el marco del MWC 2024, DPL News conversó con su directora general, Maite Arcos.

DPL News: ¿Cómo observa la Fundación Esys la ciberresiliencia en España?

Fundación ESYS: La Fundación ESYS nació con origen en la seguridad física y ha ido evolucionando de acuerdo con el desarrollo de la propia sociedad hacia un mundo digital.

Entendemos que las consideraciones sobre seguridad hoy necesitan un enfoque integral que abarque tanto la seguridad física como la seguridad digital. Hay que seguir trabajando para fomentar una cultura de la seguridad integral en la que el objetivo de las empresas sea minimizar todos los riesgos existentes para mitigarlos y conseguir una continuidad de servicio.

DPL News: ¿Qué aportes recientes destacaría de la Fundación en esta temática? 

Fundación ESYS: La Fundación dio su parecer ante la consulta pública del Ministerio del Interior sobre la transposición de la directiva europea NIS2, en la que hace especial hincapié en el enfoque de gestión de riesgo y la resiliencia de las entidades privadas que prestan servicios esenciales o importantes para la seguridad nacional.

Por otro lado, está involucrada en la búsqueda de soluciones de identidad digital seguras, fiables y respetuosas con la normativa de protección de datos pero que sean fácilmente usables y efectivas para impedir que los menores de edad accedan a contenidos que puedan ser perjudiciales para ellos, como pueden ser los contenidos pornográficos. En este ámbito estamos colaborando con la entidad pública Red.es, que ha puesto en marcha una iniciativa relacionada con la implementación de la Carta de Derechos Digitales española.

tTH0ZO rgIahjiF2Wereojscr8RQSdttSoKieQbQ6sXGCzW 9fWM8sGtP MsRdB9Uo WRGTetGS1ow1Ct2jedaaN1lGnrcZs61c3DvRrsEXgTYVRWsmZxprnQKoCyMHRXEu5 dytr6fY PDNXXqNS10

DPL News: ¿Qué aspectos pueden mejorarse en materia regulatoria?

Fundación ESYS: Además del proceso de transposición de la NIS2, que supondrá un avance en el marco regulatorio nacional, otro de los aspectos más demandados por todos los agentes involucrados es la necesidad de mejorar la coordinación entre las autoridades competentes. Es vital para las empresas que las administraciones actúen de una manera coordinada y esto supone revisar el modelo de gobernanza pública de la ciberseguridad en España.

DPL News: ¿Cómo es la realidad local respecto a lo que ocurre en la Unión Europea?

Fundación ESYS: La UE tiene en las directivas NIS, NIS1 (2016) y NIS2 (2022), los dos pilares fundamentales en el tratamiento de la ciberseguridad. En España, cuando se traspuso la directiva NIS1, ya se adelantó una visión más extendida de la necesidad de implantar la ciberseguridad en todos los sectores y con una visión de análisis y mitigación de riesgos.

Por lo tanto, España ya parte de una situación mejor que otros países europeos a la hora de renovar el marco regulatorio de la ciberseguridad. No obstante, la transposición de la directiva NIS2 que mencioné, fechada en octubre de 2024, será un nuevo avance y requerirá labores de difusión y divulgación entre las empresas, especialmente pymes, para el cumplimiento efectivo de esta normativa en nuestro país.

DPL News: ¿Cuáles son las tres mayores alarmas que deben atender las empresas respecto a seguridad en España?

Hoy uno de los mayores riesgos a los que se enfrenta cualquier empresa deriva de la situación geopolítica. Las empresas pueden ser objeto de ataques no tanto por su actividad o por su posición económica, sino como instrumento para dañar la reputación de un país o de un ecosistema. Un ejemplo de ello son las empresas del sector energético ante el contexto de guerra de Ucrania o del transporte internacional en la crisis del Mar Rojo.

Otro punto de atención necesario para cualquier empresa es, también por el contexto actual, la cadena de suministros. Una empresa puede tener sistemas muy robustos para la mitigación de riesgos cibernéticos pero estar sujeta a riesgos adicionales derivados de la falta de protección de ciberseguridad de sus proveedores.

Como tercer ítem, no debemos olvidar nunca el factor humano. Gran parte de los riesgos que afectan a cualquier organización provienen del mal uso que puedan hacer los empleados de la compañía, por desconocimiento o por sabotaje.

DPL News: ¿Qué diferencia hay entre la realidad de las empresas pequeñas y grandes?

Fundación ESYS: Desde el punto de vista de los ataques por motivación económica, podría parecer que las grandes empresas son más atractivas y, por tanto, están sujetas a mayores peligros. Sin embargo, la evolución de los ciberataques ha puesto de manifiesto que existe un mercado de actividades de piratería en los que es fácil y barato subcontratar estos servicios a terceros. Tanto es así, que los ataques de ciberseguridad se han convertido en una actividad de grandes volúmenes y, por tanto, se puede ampliar el objetivo a pequeñas empresas que reportan menores márgenes de beneficios, pero que sean mucho más abundantes. Así, el riesgo al que se ven enfrentadas las pequeñas empresas ha crecido de manera sustancial.

DPL News: ¿Qué pasa con el talento humano en materia de ciberseguridad en España?

Fundación ESYS: En España, como en otros países de nuestro entorno, existe una enorme escasez de talento necesario para atender todas las demandas de ciberseguridad, en un contexto en el que los ataques crecen de manera exponencial y cada vez son más sofisticados. Para afrontar esta problemática, es necesario poner mucha atención en las actividades de formación a todos los niveles, en los ámbitos en los que se necesita, teniendo especial cuidado en contribuir a corregir la brecha de género que actualmente existe en estas profesiones.