El pasado 12 de noviembre celebramos en el auditorio de Celonis el evento “Ciberseguridad, todos somos responsables”. Un acto organizado desde el Foro Tech de Eje&Con para concienciar y que todos nos sintamos responsables de la ciberseguridad.
En la primera parte, Ana Casao, Ing. De Telecomunicación con amplia experiencia en sistemas de Defensa y Seguridad; y Christian Delorne, líder en estrategia comercial IT; explicaron el contexto actual, destacando que el cibercrimen es ya la tercera economía mundial con 9.5 trillones de dólares, y que se espera ascienda a 10.5 trillones de dólares en 2025, un dato escalofriante. A nivel nacional el cibercrimen es ya el segundo delito más denunciado, por detrás del hurto, y eso que no se denuncian todos los casos. Los ciberdelincuentes lo que buscan ante todo es dinero, datos y desestabilización.
Nos ofrecieron ejemplos de ciberataques en los que se espera una acción concreta, urgente y que implica un trastorno importante si no se atiende: un SMS enviado “supuestamente” por la DGT y un correo electrónico de Netflix. Explicando que era importante pararse un momento, prestar atención a las direcciones de correo y URL, porque a pesar de parecer enviados por empresas en las que confiamos, son falsos y no provienen de estas compañías. Actualmente, además con el uso de la IA generativa, se va a incrementar el uso de deepfakes para simular voz o vídeo, que va a hacer aún más complicado identificar que se trata de una suplantación, incrementando aún más nuestra vulnerabilidad ante los ciberataques.
Para protegernos es necesario utilizar contraseñas robustas con números, mayúsculas, minúsculas y símbolos, para que sean más difícil de descifrar. Otra protección necesaria es usar doble o múltiple factor de autenticación (2AF o MAF), que se basa en las 3 reglas que existen para protegernos: lo que tengo (móvil o tarjeta de débito), lo que sé (contraseña) y lo que soy (huella táctil o reconocimiento del iris).
En la segunda parte, Eduvigis Ortiz, líder con más de 30 años de experiencia en consultoría de negocios y TI y fundadora y presidenta de Women4Cyber Spain, habló de la necesidad de concienciar y formar especialmente a los pequeños y mayores al ser colectivos vulnerables. De las limitaciones de los departamentos de ciberseguridad, que tienen un presupuesto ajustado para cumplir la normativa con unos recursos limitados frente a los ciberatacantes que no tienen estas limitaciones porque con el dinero van nutriendo los próximos ataques.
Destacó el Servicio de Ciberseguridad 017 iniciativa del INCIBE que está a disposición de la ciudadanía y de las empresas los 365 días del año de 8 a 23h de la noche para exponer fraudes, y casos, dudas, conocer protocolos y recursos.
Como invitados especiales a la mesa redonda tuvimos a Lucero Ramos, CISO de Idealista; David Moreno del Cerro, director de Sistemas y Seguridad del Grupo Tendam y Marina Nogales, Directora de Cyber Threat Intelligence de Unilever.
Los panelistas destacaron la complejidad de prevenir la ciberseguridad al trabajar en compañías que tienen muchas empresas pequeñas así como en sectores donde la ciberseguridad no está regulada o tiene una normativa.
Marina remarcó que “la primera línea de defensa de la ciberseguridad empieza por cada uno de nosotros y es una responsabilidad compartida entre las personas de recursos humanos, operaciones, fábricas. Es decir, cada uno de nosotros tiene que tomar conciencia de esa responsabilidad en su puesto de trabajo”.
Eduvigis lanzó la siguiente pregunta: ¿Dónde está la mayor amenaza en las empresas? Todos los panelistas estaban de acuerdo en que era la cadena de valor, en actuar ante los ataques que sufrían los proveedores.
Otro aspecto importante que hablaron fue que era imprescindible que los mensajes conectaran con las personas, llegar con mensajes claros y entendibles y que la cultura de la ciberseguridad llegara a la cultura local, es decir, a esas personas que estaban en una tienda, en Madrid.
“Hay que tomar acciones preventivas y dedicar tiempo a formar para que si recibes los ataques se puedan restablecer los sistemas en el menor tiempo posible y con el menor impacto”- señaló David Moreno.
Eduvigis les preguntó: ¿Cómo hacéis que la ciberseguridad llegue a vuestros empleados? Marina apuntó que el departamento de Marketing utilizaba la gamificación para hacer atractivos los contenidos para los empleados y los hijos de estos. Lucero indicó que ellos les ofrecían a empleados y clientes ejercicios ad hoc. Además, remarcó la necesidad de que cada empleado preguntara qué normativa le regía y cómo le afectaba en sus tareas así como informar ante cualquier ataque o duda que tuviera.
Después, los asistentes preguntaron sobre cómo se preparaban esas compañías ante el Black Friday, una de las mayores campañas que genera el mayor volumen de ventas del año. David señaló que los sistemas se preparan para esa campaña y que es el día que más ventas reciben y que este día se dispara el fraude.
También, preguntaron cómo se tolera en las organizaciones el error, al hacer clic sobre un correo malicioso, por ejemplo. Todos los panelistas estuvieron de acuerdo en que a la víctima no se la culpa. Si sucede eso, los cursos de concienciación habrían fallado. Se asume que puede pasar. Marina indicó que si eso pasa a un empleado del área de ciberseguridad que tiene una responsabilidad mayor es diferente.
Para finalizar, Eduvigis solicitó a los panelistas un titular o tweet en X para cerrar el encuentro. David apuntó: “hay que estar preparados para lo peor, así las cosas van a mejor”. Lucero indicó: “la seguridad está en tus manos” y Marina señaló: “piensa antes de actuar y la concienciación es responsabilidad de todos”.
Queremos agradecer a Celonis habernos cedido sus instalaciones para la realización del evento, y ofrecernos un espacio único, en el que al finalizar pudimos charlar con los ponentes e intercambiar impresiones entre todos los asistentes.
