'En muchas empresas se considera la ciberseguridad como un lujo en lugar de una necesidad' (Gianluca D'Antonio)

Presidente del ISMS Forum, dicen Gianluca D'Antonio que entender que la Ciberseguridad y la gestión del riesgo tecnológico son y serán, cada vez más, factores claves para la sostenibilidad de todas las empresas independientemente del tamaño o sector donde operen; que ha llegado el momento de premiar a las empresas “ciberseguras” y de de incentivar las conductas ciber-responsables; que apostar por un sector tecnológico solido es vital para proteger la competitividad industrial o que la formación es un eje fundamental para el desarrollo y la sostenibilidad del ecosistema digital español.

Este contenido salió publicado en el número de Septiembre de la revista IT Digital Security disponible desde este enlace.

Cofundador y Presidente de la Asociación Española para el Fomento de la Seguridad de la información ISMS Forum Spain (www.ismsforum.es), Capítulo Español de la organización internacional ISMS International User Group, Gianluca D'Antonio es, además, miembro de Deloitte, miembro del Comité de Certificación del Cloud Security Alliance y socio de ISACA. Este experto en seguridad cuenta con la experiencia profesional como Security Advisor en Motorola España, Consultor senior de Seguridad Informática en Centrisa y Responsable de Protección y Recuperación de Datos en el Grupo DIA hasta finales de 2005 cuando se incorpora a FCC como CISO, cargo que abandonó a finales del año pasado para pasar a formar parte de Deloitte.

Tras pasar por una primera oleada de pandemia y un año después de haberse presentado la II Estrategia Nacional de Ciberseguridad, hablamos con Gianluca D'Antonio sobre el impacto que ha tenido, el papel del ISMS Forum o cómo está de preparada España frente a la Ciberseguridad.

Se ha cumplido un año de la presentación de la II Estrategia Nacional de Ciberseguridad, ¿qué valoración puede hacer de esta estrategia y del año transcurrido?

Creo que el balance es positivo, a pesar de las circunstancias extraordinarias que hemos vivido, se han puesto los cimientos para desarrollar los ejes principales de la estrategia. Este mes el Consejo Nacional de ciberseguridad ha ratificado el acuerdo de creación del Foro Nacional de Ciberseguridad. Este órgano consultivo reúne los principales organismos públicos y privados y de la sociedad en el ámbito de la ciberseguridad para potenciar la colaboración público-privada y generar sinergias entre los dos sectores.

¿Cuál es el papel y el valor de ISMS Forum?

ISMS Forum es una organización sin ánimo de lucro que promueve el desarrollo, conocimiento y cultura de la Seguridad de la Información en España y actúa en beneficio de toda la comunidad implicada en el sector. Con más de 250 empresas asociadas y 1.250 profesionales asociados, ISMS Forum constituye la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España. Creada con una vocación plural y abierta, se configura como un foro especializado de debate para empresas, organizaciones públicas y privadas, investigadores y profesionales donde colaborar, compartir experiencias y conocer los últimos avances y desarrollos en materia de Seguridad de la Información. Su papel como dinamizador del sector de la ciberseguridad ha sido reconocido también por el Departamento de Seguridad Nacional que ha invitado a ISMS Forum a formar parte del Foro Nacional de Ciberseguridad.

Ciberseguridad, Privacidad, Movilidad, Cloud y Formación son las áreas de trabajo de ISMS Forum, ¿cuál es la asignatura pendiente de la empresa española?

Entender que la Ciberseguridad y la gestión del riesgo tecnológico son y serán, cada vez más, factores claves para la sostenibilidad de todas las empresas independientemente del tamaño o sector donde operen. Los estudios de sectores todavía reportan un importante diferencial entre las pequeñas y medianas empresas españolas y la media europea en la gestión del ciber-riesgo. En muchas de estas empresas se considera la ciberseguridad como un lujo en lugar de una necesidad.

¿Seguimos consumiendo demasiada seguridad procedente de fuera de Europa?

Desde luego que sí. Europa es un gigante económico y un enano tecnológico al mismo tiempo. La transformación digital representa una oportunidad que los europeos no podemos perder para equilibrar un mercado europeo descompensado por el lado de la oferta. Somos muy dependientes de fabricantes y proveedores de tecnología fuera de Europa. La dependencia tecnológica del exterior supone un riesgo estratégico con derivadas políticas y económicas que no debemos asumir. Apostar por un sector tecnológico solido es vital para proteger la competitividad industrial europea.

Crees que se están dando los pasos adecuados para suplir la falta de profesionales. ¿Es un reto en el que se echa en falta el apoyo de las administraciones públicas?

La formación es un eje fundamental para el desarrollo y la sostenibilidad del ecosistema digital español. Y para lo que se refiere a la ciberseguridad, en los últimos meses se han puesto los cimientos para que la formación en todos los grados pueda suplir la falta de profesionales. El gobierno ha lanzado un conjunto de nuevas titulaciones de FP para el ámbito tecnológico entre las cuales se encuentra la ciberseguridad. El objetivo, a corto plazo, es llegar a 2025 habiendo formado a 20.000 profesionales en ciberseguridad, Inteligencia Artificial y datos. En esta línea, el recién constituido Foro Nacional de Ciberseguridad creará un grupo de trabajo para analizar las necesidades de las organizaciones y proponer soluciones para desarrollar talento en ciberseguridad.

¿En qué situación está España en ciberseguridad con respecto a otros países del Europa?

España ha recorrido mucho camino en lo que denominamos cybersecurity preparedness, las líneas estratégicas están claramente definidas, las competencias, a nivel administrativo, están repartidas entre los diferentes actores públicos. Queda margen de mejora en el fortalecimiento de una cultura de seguridad compartida que permee toda la sociedad. En los últimos 5 años el sector privado español ha avanzado mucho en la gestión de los ciber riesgos. Según el último informe de Hiscox, las empresas “ciberexpertas” han aumentado en un 5%, pasando de un 9% a un 14%. Aunque la media europea es un 18%, no podemos negar que la tendencia es positiva. La asignatura pendiente está, sin lugar a duda, representada por la PYME que no ha alcanzado un nivel suficiente de seguridad frente a los riesgos provenientes del ciberespacio. Necesitamos desarrollar planes sectoriales para cada industria acompañando las empresas con una regulación ágil y eficiente. Creemos que ha llegado la hora de premiar las empresas “ciberseguras”, de incentivar las conductas ciber-responsables de aquellos empresarios que invierten en proteger sus negocios y sus clientes de los riesgos cibernéticos. Este gap de la empresa española se traduce en un incremento de los costes en el orden de un 30% frente a sus homólogos europeos cuando son víctimas de un ciberataque. Según el citado informe de Hiscox, las empresas españolas gastan aprox. 66.800€ frente a los 50.900€ de la media europea.

¿Cómo está de preparada la empresa española en materia de ciberseguridad?

Para contestar esta pregunta hay que diferenciar entre los diferentes segmentos de empresas. La gran empresa española ha alcanzado un nivel de seguridad razonable, ha implementado modelos de gobierno de la seguridad de la información con roles y responsabilidades claramente definidas en la mayoría de los sectores industriales. ISMS Forum lleva muchos años trabajando con las grandes empresas en la realización de ciberejercicios y hemos sido testigo de los avances hechos en este ámbito. La pequeña y mediana empresa todavía tiene que mejorar su gestión de los riesgos cibernéticos, en muchos casos no tiene ni siquiera una política básica de ciberseguridad.  

¿Cómo cree que va a impactar el COVID-19 en los hábitos de compra de ciberseguridad a medio-corto plazo?

La pandemia ocasionada por el COVID-19 ha puesto de manifiesto la importancia de la transformación digital como factor de resiliencia para todas las empresas, independientemente de su tamaño y sector de actividad. Este proceso de transformación tiene que ir acompañado de una eficiente gestión de los riesgos tecnológicos, entre los cuales los riesgos de ciberseguridad ocupan un lugar relevante. Las estadísticas de ciberataques nos dicen que el cibercrimen ha aprovechado la pandemia para intensificar su actividad delictiva. El teletrabajo y la educación en remoto aumentan la superficie de ataque disponible para los cibercriminales. El consenso de los analistas internacionales vaticina un aumento de la inversión en seguridad, hasta alcanzar los 114 mil millones de euros en 2022, según Gartner. En España el presupuesto medio dedicado a la seguridad de la información ha pasado del 8,8% al 14,9%. La inversión en ciberseguridad será imprescindible para asegurar que la Transformación Digital no exponga al usuario, a la que podemos definir como una Jungla Digital.