Entrevista

Oriol Torruella: “No existe un nivel de ciberseguridad que permita quedar ajeno de sufrir uno o varios incidentes”

Entrevista
oriol1

Entrevistamos a Oriol Torruella, director de la Agència de Ciberseguretat de Catalunya, con ocasión de la celebración del II Foro Regional de ISMS Forum Barcelona

1.- Hola Sr. Torruella, en esta segunda edición del Foro Regional de ISMS Forum Barcelona se tiene previsto tratar los objetivos 2021 de la Agència de Ciberseguretat de Catalunya. En este sentido ¿cuáles son los principales objetivos que se ha marcado la Agència acometer este año?

La Agència de Ciberseguretat de Catalunya continua con el desarrollo y ejecución de la estrategia de ciberseguridad que aprobó el Govern de la Generalitat en 2019, con el objetivo de hacer de Catalunya un territorio ciberseguro. Es evidente que la pandemia que vivimos ha reposicionado algunas necesidades en el tiempo, como el despliegue de la infraestructura tecnológica necesaria para permitir el teletrabajo o la revisión de ciberseguridad de los servicios públicos prestados durante la misma, pero a pesar de ello hemos continuado con nuestro objetivo. Durante este ejercicio 2021 verán la luz proyectos estratégicos como el servicio público de ciberseguridad de las administraciones locales, el índice de ciberseguridad de Catalunya o el servicio público para la ciudadanía.

En un plano más operativo, la Agencia sigue trabajando para mejorar sus capacidades incorporando nuevos procesos y tecnología (RPA, AI, SOAR, etc.) para poder dar cobertura a los servicios públicos de la administración pública en Catalunya, con un foco específico en aquellos más críticos como los servicios de Salut o las ayudas destinadas a la ciudadanía.

2.- Hace pocos días nos sobresaltó la noticia del ataque de ransomware sufrido por el SEPE. ¿Hasta qué punto nuestras administraciones públicas cuentan con un estado idóneo en materia ciberseguridad? ¿Cómo se podría mejorar?

Ocurre siempre que hay un incidente de esta magnitud que el argumento recurrente es indicar el mal estado de la ciberseguridad de las entidades, tanto públicas como privadas. Sin embargo, si algo ha quedado patente en estos últimos tiempos es que no existe un nivel de ciberseguridad que permita quedar ajeno de sufrir uno o varios incidentes. Como ejemplo, cabe apuntar que se han visto incidentes de gran magnitud en entidades públicas como el SEPE, Hospitales y Centros Sanitarios, etc. pero también en empresas digitales como Garmin o incluso especializadas del sector como Fireeye o consultoras tecnológicas de gran tamaño y experiencia.

El elemento diferencial que marca si el estado de la ciberseguridad es idóneo o no, es la respuesta que las entidades han tenido al afrontar estas situaciones, tanto en el plano tecnológico, de negocio e incluso comunicativo. Situaciones como la obsolescencia de los sistemas, la aparición continua de vulnerabilidades, la falta de formación o la incorporación de nuevas tecnologías o procesos siempre nos acompañaran en este entorno digital, por lo que la idoneidad se debe medir atendiendo al nivel de preparación y a su puesta en escena en cada escenario. Dicha preparación requiere primero conocer y reconocer en toda la organización que la digitalización implica necesariamente ciberseguridad, por lo que hay que formar y concienciar, destinar los recursos adecuados y, finalmente, abordarlo de manera planificada y continua.

3.- Y en relación a nuestras empresas ¿cómo está el sector PYME en materia de ciberseguridad y cómo está afectándole la pandemia en este ámbito?

Mucho de lo indicado anteriormente es plenamente aplicable al sector empresarial. A día de hoy pocos pueden defender la idoneidad de su nivel de ciberseguridad (tal y como exponemos anteriormente).

Esta inmadurez es lógica y viene motivada por la curva de implantación de la digitalización. Sin embargo, estamos en un estadio en que la dependencia de la tecnología digital por parte de la sociedad (tanto en el ámbito personal, empresarial, de servicios públicos, etc.) requiere que la ciberseguridad sea tomada muy en cuenta para poder seguir este camino hacia una sociedad digital. Si no somos capaces de generar confianza en esta digitalización, y esta es la principal función de la ciberseguridad, no podremos aprovechar al máximo su potencial y, en algunas ocasiones, podemos sufrir perjuicios importantes.

La pandemia ha supuesto una aceleración de un proceso que ya venía siendo inexorable.

4.- Existe en Cataluña una importante presencia de empresas dedicadas a la industria de la ciberseguridad. ¿Cómo se puede apoyar a este sector empresarial y por qué ahora, en este momento, es más estratégico que nunca?

Desde hace unos tres años venimos trabajando, en coordinación con la Agencia per la Competitivitat de l’Empresa, para analizar el mercado de la ciberseguridad en Catalunya y publicar los correspondientes estudios en nuestra web. En la última edición del 2020, hemos identificado unas 360 empresas que disponen de capacidades para un sector que dan ocupación a unas 7.000 personas. Identificar el sector y diseñar políticas públicas para garantizar su expansión y crecimiento es uno de los objetivos de la entidad.

Puesto que Catalunya quiere ser una sociedad potente a nivel digital es estratégico desarrollar un mercado de la ciberseguridad que pueda apoyar este proceso y prestar servicios de referencia a nivel global. Apostar por sectores de alto valor añadido, como el de la ciberseguridad, puede permitir mejorar el nivel de ocupación de la población (ya que es un sector deficitario en talento) y garantizar una mejor calidad de vida, ya que los niveles salariales ofrecidos son elevados. Apostar por este tipo de sectores debe permitir salir mucho más fuertes de la situación económica que ha generado la pandemia que vivimos.

5.- ¿Habría que incentivar fiscalmente la ciberseguridad?

No me corresponde a mi por mi posición determinar la política fiscal aplicada a los diferentes sectores. En cualquier caso, sí creemos que hay que incentivar el conocimiento en ciberseguridad con proyectos como el Índice de Ciberseguridad o programas como Internet Segura, dinamizar demanda y oferta a través de diferentes iniciativas como Centros de competencia o Hubs de innovación, ofrecer un servicio público que permita acompañar a la ciudadanía, a las empresas o a las administraciones públicas, entre otras muchas acciones recogidas en la estrategia de ciberseguridad.

6.- La Agència de Ciberseguretat de Catalunya ha puesto en marcha la campaña “NegoCibersegur”, como una iniciativa dirigida al tejido empresarial para favorecer la aplicación de la ciberseguridad en los negocios. ¿Podría explicarnos y presentarnos en qué consiste esta iniciativa?

A mediados de 2020 lanzamos la campaña “NegoCibersegur” dirigida a las empresas con dos objetivos:

-Por un lado, queríamos generar un discurso sensibilizador y de concienciación de lo que implica la ciberseguridad para el tejido empresarial, para lo que se ha generado material organizado en cinco ejes temáticos: el software malicioso (malware), el valor de la información, dispositivos seguros, pérdida de datos y continuidad de negocio, confianza digital. Estos cinco ejes ejemplifican las principales amenazas que a día de hoy se plantean en este entorno.

-Por otro lado, buscamos el desarrollo e implantación de una cultura de ciberseguridad en dicho tejido empresarial, aportando herramientas para que sean las propias empresas las que se evalúen y dispongan de recursos para plantear sus propias acciones de concienciación y políticas de ciberseguridad.
Toda la campaña se ha desarrollado en colaboración con los principales actores del sector empresa (asociaciones empresariales, patronales, cámaras de comercio, etc.) y todo el contenido para las empresas está disponible en la web de InternetSegura.cat.

7.- El cumplimiento normativo y de protocolos en materia de ciberseguridad cada día es más importante. En este sentido ¿habría que incorporar la ciberseguridad en el Compliance de nuestras empresas y resto de organizaciones?

Sin duda. De hecho, hoy en día la tecnología y la ciberseguridad ya componen parte importante de muchos programas de compliance, en especial en aquellas empresas altamente digitalizadas o con negocio digital. Las que no lo incluyan ya y tengan relación con el ámbito digital deben incorporarlo cuanto antes.

8.- Y ya para terminar, pensando en el público objetivo de nuestro portal, formado principalmente por profesionales jurídicos y usuarios de información legal que también están interesados en los desarrollos TIC, quisiéramos preguntarle si la Agència de Ciberseguretat de Catalunya contempla lanzar alguna medida o programa específico a destinar al sector de Justicia en general, y de la Abogacía Catalana en particular.

Las iniciativas destinadas al sector por parte de la Generalitat de Catalunya las gestiona el Departament de Justicia, que lleva tiempo dedicando una parte importante de sus esfuerzos en este proceso digital. Sin dudarlo irán surgiendo cada vez más iniciativas en este sentido.

Por lo que respecta a la abogacía, me constan diferentes iniciativas por parte de los colegios de abogados que van en este sentido.

La Agencia está a disposición de todos los actores para hacer de Catalunya un país más ciberseguro, por lo que colaboraremos en las iniciativas del sector que ayuden a este objetivo.