Entrevista realizada por José Ramón Moratalla y Carlos Porras Zarco.

Félix Barrio: "Sólo si conseguimos establecer bases firmes de confiabilidad en la seguridad, se sostendrá la transformación digital"

Entrevista
Félix Barrio

Entrevistamos a Félix Barrio, Subdirector de Ciberseguridad para la Sociedad INCIBE, con ocasión de la celebración de la XXIII Jornada Internacional de Seguridad de la Información organizada por ISMS Forum.

1.- Hola Félix, su participación en esta jornada internacional de ISMS Forum ha versado sobre las iniciativas de valor para la industria de la ciberseguridad. Pensando en aquellos de nuestros lectores que no han podido asistir, ni escucharle ¿podría indicarnos brevemente a qué iniciativas se refiere?

La nueva normalidad que estamos viviendo tras la crisis ocasionada por la pandemia nos sitúa ante una sociedad y una economía mucho más digitalizadas. En este contexto, se ha acelerado la dependencia del consumo de servicios digitales, de la conectividad a las redes, que se extiende rápidamente a todos los colectivos de la ciudadanía y las organizaciones. La base fundamental de esta actividad digital es la confianza de los usuarios y, sólo si conseguimos establecer bases firmes de confiabilidad en la seguridad de este entorno, es posible sostener esta transformación digital. El objetivo general es impulsar mediante políticas de impulso a la oferta y la demanda de ciberseguridad, a una industria que posibilita la experiencia digital segura, y de la que depende nuestra supervivencia y nuestra competitividad.

2.- ¿Cuál cree que está siendo el papel que está jugando el profesional de la seguridad de la información en el proceso de la transformación digital?

En los últimos años, se ha acelerado la incorporación de estos profesionales debido a la mayor conciencia de las organizaciones de que la función de la ciberseguridad es esencial para la normal actividad de las empresas, pero asimismo el marco legal que impulsa la obligación de adoptar medidas de protección de las personas y sus datos ha impulsado esa incorporación. Además de mantener un crecimiento sostenido en el número de profesionales que se incorporan a las organizaciones, vemos como cada vez más el rol del experto en ciberseguridad alcanza los niveles gerenciales y de alta dirección en una mayor proporción.

3.- ¿Cómo está evolucionando la ciberseguridad en el entorno empresarial en estos últimos tiempos marcados por la crisis pandémica?

La mediana y gran empresa ha mostrado una tendencia sostenida en los últimos años a mantener una inversión creciente en ciberseguridad, mientras que en los dos años que llevamos de pandemia, hemos visto como la pequeña empresa y los profesionales autónomos han tenido más dificultades para sostener ese esfuerzo inversor, constituyendo precisamente los sectores más vulnerables de nuestra economía. Es en estos colectivos donde al Plan de Recuperación, Transformación y Resiliencia concentra el esfuerzo inversor para recuperar el ritmo necesario de adopción de servicios de protección activa de sus servicios, del teletrabajo y de la protección de los puestos de trabajo.

4.- Ciberseguridad y privacidad son dos valores cada vez más interconectados e interdependientes en el ámbito de las organizaciones en general, y de las empresas en particular. ¿Qué implica esta ligazón para el CISO?, ¿cómo ha de gestionarla?

Ambas cuestiones son indisociables, ya que el centro de la protección gira en torno a las personas como propietarias de sus datos, y del impacto que las tecnologías y la conectividad pueden tener en su vida personal, social y económica. Ambas se enmarcan dentro del concepto más amplio de gestión del riesgo tecnológico. Una adecuada gestión del riesgo para cualquier organización, para el negocio, debe integrar al mismo nivel los aspectos relacionados con los riesgos para la ciberseguridad y cómo pueden afectar a la protección de la privacidad de los usuarios y las personas que integran esas organizaciones.

Fotografía de Jon Imanol Reino.

5.- ¿A qué retos se enfrenta la ciberseguridad a corto y medio plazo?

A corto plazo, es preciso desplegar masivamente entre los ciudadanos y las organizaciones el acceso a los servicios de protección activa básicos, como son las soluciones antimalware, la protección del puesto de trabajo y del teletrabajo, y los servicios digitales, tales como el comercio electrónico, la administración pública electrónica y otros servicios web. Este despliegue masivo debe concentrar los esfuerzos de una inversión pública y privada que permita reducir el nivel de exposición a la imparable amenaza que ejercen las organizaciones criminales a nivel global. A medio plazo, es preciso avanzar en la autorregulación de la industria de ciberseguridad, de modo que la ‘seguridad-mediante-el-diseño’ se incorpore progresivamente a fabricantes y proveedores de dispositivos y a los desarrolladores de servicios.

En este sentido, las medidas adoptadas a nivel de política y marco legal de la Unión Europea están permitiendo un decidido avance en la configuración de un mercado único de ciberseguridad. Además, los sectores estratégicos de los servicios públicos y la industria deben asimismo recibir una atención especial para llegar a disponer de un nivel óptimo de protección y capacidad de respuesta a los ciberincidentes, ya que sabemos que ninguna organización se librará de padecer un ciberataque periódicamente, y para ello debemos esforzarnos en desarrollar sistemas ciberresilientes, es decir, que la continuidad de negocio, de la actividad de las organizaciones, esté debidamente planificada e integrada en la normal actividad de las mismas.

6.- ¿Podemos afirmar que realmente Internet no es ni será nunca un medio totalmente seguro?

Nunca lo ha sido, ni lo será, es un aprendizaje continuo para muchas personas y organizaciones. La incorporación masiva de los cibercriminales a Internet y las nuevas tecnologías como objetivo de sus acciones, ha mostrado esa vulnerabilidad ‘por defecto’ que presenta una conectividad creciente a la red global, y una tecnología cada vez más accesible a colectivos, como los menores de edad y la población en general. Los rápidos avances tecnológicos como la conectividad del 5G y la 6G, y la accesibilidad masiva a dispositivos conectados a Internet en las ciudades, empresas y todo tipo de espacios domésticos, la denominada Internet de las Cosas, suponen más espacios abiertos cuya protección requiere de más ciberseguridad en los fabricantes, distribuidores, proveedores de telecomunicaciones, los administradores y los usuarios de toda esa tecnología ‘insegura’ por defecto, pero sin la que no podemos vivir.

7.- Y ahora además que se avecinan grandes cambios y avances con la computación cuántica, el metaverso, la IA de segunda generación... ¿cree que el ciberespacio debería regularse?

La regulación de los derechos digitales, la necesidad de dotar de entornos seguros a las personas, especialmente las más vulnerables, resulta esencial para que el ciberespacio alcance todo su potencial, ya que sin confianza de los usuarios, la tecnología no se explotará al nivel deseable que les permita una mayor calidad de vida y todas las mejoras en las condiciones sociales y económicas que conlleva la digitalización. Pero la regulación debe preservar un marco de derechos y libertades que son la esencia de nuestras democracias, y ese es el espíritu de la regulación que se trata de impulsar en el marco de la Unión Europea. En el caso de la industria y los fabricantes, desarrolladores, distribuidores y proveedores de servicios, necesitamos combinar la regulación con la autorregulación, ya que necesitamos incentivar la iniciativa privada, la innovación, y la competitividad, por lo que el diálogo público-privado es esencial para alcanzar equilibrios.

8.- Y para terminar, pensando en nuestro público lector compuesto principalmente por profesionales del mundo del Derecho e integrantes de despachos, asesorías, departamentos jurídicos de empresas, etc. ¿Por qué los profesionales del Derecho deberían conocer e interesarse por INCIBE?

Este colectivo ha sido uno de los primeros que entendió la importancia de atender a la ciberseguridad de modo profesional en todos los ámbitos, y de sus filas han salido buena parte de los líderes del cambio tecnológico que ha llevado al sector de la ciberseguridad a ser crecientemente importante en ámbitos, como las políticas públicas, la regulación legal o la dirección de las empresas. Hoy en día, todos los ámbitos profesionales requieren de un nivel de conocimientos y competencias en materia de ciberseguridad, pero la labor jurídica es uno de los más conscientes de esa necesidad. Desde INCIBE ofrecemos la posibilidad de ayudar a alcanzar conocimientos y habilidades a cualquier profesional interesado, así como tratamos de resolver dudas e inquietudes a través de nuestros servicios de información, concienciación, Tu Ayuda en Ciberseguridad y un largo etcétera.

Compartir