ENTREVISTA

Rosa Mª Díaz: “La ciberseguridad no debe entenderse como un coste, sino como una inversión empresarial ineludible”

Entrevista
Rosa Díaz_INCIBE

Entrevistamos a Rosa María Díaz, directora general de INCIBE

1.- Hola Rosa María, para aquellos de nuestros lectores que desconozcan o aún duden de lo qué es y en qué consiste la labor de INCIBE ¿podría presentarnos esta entidad?   

Si tuviera que resumirlo mucho, diría que el Instituto Nacional de Ciberseguridad es ciberseguridad. Somos una entidad pública dependiente del Ministerio de Asuntos Económicos y Transformación Digital, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial, y nuestra misión es mejorar la ciberseguridad de ciudadanos y empresas del sector privado. En este contexto, INCIBE trabaja para impulsar España Digital 2025, que es el cuaderno de bitácora para la transformación digital del país en los próximos años, y donde la ciberseguridad juega un papel destacado.

Para hacerlo nos enfocamos, básicamente, en 3 líneas estratégicas de actuación:

 

  • En primer lugar, el fortalecimiento de las capacidades de ciberseguridad de ciudadanos y empresas, es decir, apoyar a toda la sociedad y el tejido empresarial español para que puedan hacer frente a los riesgos cibernéticos en un contexto cada vez más digitalizado.

 

  • El segundo eje de actuación es el impulso del ecosistema de ciberseguridad, y con esto nos referimos fundamentalmente a 3 aspectos: el crecimiento y desarrollo de la industria de ciberseguridad, apoyando que puedan surgir más empresas del sector, su desarrollo e internacionalización; el impulso al I+D+i de ciberseguridad, para que nuestra industria ofrezca soluciones cada vez más competitivas en un mercado global; y por último algo que es esencial, la generación y desarrollo del talento en ciberseguridad, un recurso escaso y muy demandado por nuestro sector que es fundamental para el avance de los otros dos.

 

  • Y finalmente, el tercer eje estratégico es el posicionamiento e impulso de España como un jugador destacado del sector en el ámbito internacional, donde ya hoy ocupamos un lugar destacado y que es esencial si tenemos en cuenta que la ciberseguridad es un asunto que no entiende de fronteras entre países.

2.- Vemos que INCIBE depende orgánicamente de la Secretaría de Estado de Digitalización e Inteligencia Artificial, es decir, del Ministerio de Asuntos Económicos y Transformación Digital, pero en sus orígenes dependía del Ministerio de Industria. ¿Qué peso tiene la ciberseguridad en el actual proceso de transformación digital, y si ese peso es solo de trasfondo técnico y tecnológico o también económico y competitivo?

Es un aspecto fundamental, crítico. Desde luego, el actual proceso de transformación digital tiene un trasfondo tecnológico, pero también económico y competitivo. Y permítame explicarle por qué. Cada día las empresas están en un entorno más digitalizado, más conectado a Internet, y donde cada vez están entrando en juego nuevas tecnologías como la inteligencia artificial o la hiperconectividad que traerá el 5G. Este proceso arrancó hace unas décadas, pero sin duda la pandemia ha provocado un considerable aumento del comercio electrónico, el teletrabajo, la automatización de procesos de atención al cliente, la normalización de las videoconferencias como herramienta de trabajo diaria, etcétera.

Este contexto cada vez más digital ha incrementado lo que se denomina ‘superficie de riesgo’, es decir, a mayor incremento del uso de tecnologías, mayor espacio para la aparición del ciberdelito y por lo tanto, mayor necesidad de garantizar la seguridad digital. En otras palabras, ante un uso más intensivo de lo digital por parte de las organizaciones, mayor necesidad de ciberseguridad para proteger esas prácticas digitales.

Pero, desde luego, también tiene un trasfondo económico y competitivo, ya que hay que ver la ciberseguridad como una oportunidad, una oportunidad de generar riqueza, empleo e impulsar el talento de nuestros jóvenes y nuestra sociedad, en general, en un sector en pleno auge, ya que el uso de la tecnología solo irá a más y por ende, la ciberseguridad será un pilar fundamental para lograr el éxito de la transformación digital.

3.- ¿Cómo andamos los españoles, nuestras empresas y el resto de organizaciones en materia de ciberseguridad: “mejor, igual o muy no mejor” -que diría la escritora Rosa Chacel-  en comparación a los países de nuestro entorno europeo, y por qué?

Tenemos un ecosistema muy fuerte, pero siempre hemos de estar alerta. Actualmente, España ocupa la séptima posición en el Índice de Ciberseguridad Global de la Unión Internacional de Telecomunicaciones. Además, con la publicación de la Estrategia Nacional de Ciberseguridad y España Digital 2025 hemos dado un paso más, muy importante, en la protección de nuestros ciudadanos, empresas y gobiernos en el ciberespacio.

Como no podía ser de otro modo, el Instituto Nacional de Ciberseguridad (INCIBE), la entidad que tengo el orgullo de dirigir, juega un papel destacado en el desarrollo de los objetivos de esta estrategia, por nuestro papel de centro de referencia para ciudadanos y empresas privadas.

En este sentido, somos conscientes de  que los delitos cibernéticos son cada vez más sofisticados y la ciberdelincuencia ha experimentado un proceso de profesionalización que podría compararse al de estructuras empresariales eficientes y eficaces. Precisamente por eso trabajamos unidos, tanto desde el sector público como desde el privado, para mantener una posición destacada en seguridad digital, ya que es esencial la colaboración de todos los agentes involucrados en esta materia.

Juntos hemos logrado muchos avances al respecto, pero aún tenemos un gran reto por delante: potenciar la concienciación y prevención de usuarios y organizaciones. Si conocen de primera mano la importancia de la ciberseguridad y están informados acerca de los últimos fraudes o vulnerabilidades, se reducirán los riesgos de poder ser víctima de uno de ellos. Por ello, desde INCIBE queremos aportar nuestro grano de arena para que España sea uno de los 5 países más ciberseguros del mundo, y ese esfuerzo debe ser un compromiso compartido.

4.- ¿Habría que incentivar fiscalmente o de alguna otra forma la ciberseguridad?

La ciberseguridad es un gran motor para el sector tecnológico español. Afortunadamente, en España contamos con un ecosistema de ciberseguridad muy potente, en alza, con más de 20 años de experiencia en el sector y con más de 1.600 empresas que facturan cada año 1.300 millones de euros.

No obstante, debemos tener en cuenta que la ciberseguridad hay que impulsarla de todos las formas que podamos, ya que como he mencionado anteriormente cada vez será más necesaria en nuestras vidas. Hoy en día, casi todos disponemos de un teléfono móvil o de un ordenador que usamos a diario para diversas tareas, ya sea teletrabajo, actividades escolares u ocio. Hace unos años realizar este tipo de acciones mediante Internet o un dispositivo era casi impensable.

El ciberespacio se ha convertido un espacio cercano a nosotros y ante este nuevo escenario, en el que la inmensa mayoría de la población está inmersa, aparecen amenazas y riesgos asociados.

5.- Esta pandemia ha traído cambios importantes, muchos de ellos perdurarán, pensemos por ejemplo en el teletrabajo y la transformación digital, tanto a nivel corporativo y laboral, como personal y familiar. ¿Cuáles han sido las principales ciberamenazas que han surgido o ha potenciado la pandemia, y cómo hemos de afrontarlas?

Durante el año 2020, INCIBE-CERT gestionó 133.155 incidentes de ciberseguridad, lo que supone un incremento del 24% respecto de 2019. Los fraudes, los sistemas vulnerables y el malware han sido las tres ciberamenazas más recurrentes en los tres últimos años, abarcando un 84,6% de los incidentes totales, según se refleja en los datos publicados en nuestro Balance de Ciberseguridad

Definimos el fraude como el uso no autorizado de recursos empleando tecnologías y/o servicios por usuarios no autorizados, como la suplantación de identidad, la violación de los derechos de propiedad intelectual u otros engaños económicos. El malware, sin embargo, engloba cualquier pieza de software que lleve a cabo acciones, como la extracción de datos u otro tipo de alteración de un sistema. Por último, cuando nos referimos a un sistema vulnerable hablamos sobre los fallos o deficiencias de un sistema que pueden permitir que un usuario no legítimo acceda a la información o lleve a cabo operaciones no permitidas de manera remota.

En 2020 también destaca el repunte de ‘Emotet’, un malware de tipo polimórfico donde su principal función es la de actuar como un ‘downloader’, es decir, permitiendo la descarga y ejecución de otros malware, como Trickbot, cifradores de archivos, etc.

Además, el 17,4% de las consultas que han realizado las empresas durante el año 2020 al 017, la Línea en Ciberseguridad de INCIBE hacen referencia a la extorsión a través del correo electrónico. Le siguen la concienciación de los empleados sobre ciberseguridad, con un 15,5%, y los incidentes de seguridad de tipo ransomware, con casi un 11%. Completan la lista de los temas más recurrentes los correos fraudulentos, tanto recibidos como enviados; el phishing o suplantación de identidad de la web o redes sociales corporativas; las llamadas fraudulentas o de extorsión; el malware, y las herramientas de ciberseguridad.

A todo lo anterior, se suma la situación provocada por el COVID-19 que ha incrementado el uso de servicios online, tanto personales como empresariales, incrementándose igualmente la actividad de los ciberdelincuentes. No obstante, el volumen de incidentes relacionados con el COVID no es muy elevado, ya que del total de los incidentes gestionados, únicamente 379 están relacionados con la pandemia, es decir, un 28% del total. En este sentido, hemos detectado que los ciberdelincuentes aprovechan el contexto social y reorientan sus ataques hacia temáticas de actualidad relacionadas con el COVID-19, utilizando como gancho las vacunas, las medidas restrictivas o cualquier otra cuestión de interés que incite a los usuarios a pinchar en el enlace, facilitar sus datos, etc. Esta técnica no es nueva, ya que anteriormente se utilizaba con celebraciones, como el Black Friday, la Eurocopa, las olimpiadas, etc.

En la sección de avisos de seguridad de nuestro canal especializado en ciudadanos, la Oficina de Seguridad del Internauta (OSI) y de nuestro canal dedicado a las empresas, Protege tu Empresa, diariamente, publicamos fraudes, vulnerabilidades y estafas concretas, al igual que recomendaciones y soluciones específicas ante un determinado problema de ciberseguridad.

6.- La firma de este acuerdo entre Lefebvre e INCIBE permitirá divulgar la cultura y buenas prácticas en materia de ciberseguridad entre la amplia como diversa comunidad de profesionales del Derecho y de usuarios de contenidos e información legal. En este sentido ¿debe ser la ciberseguridad una materia objeto de atención jurídica?

Por supuesto. El riesgo cibernético es una realidad, pero no más que el riesgo bancario o cualquier otro que asuman los profesionales del Derecho. Por lo tanto, lo que hay que hacer es gestionar ese riesgo y dotarse de las herramientas necesarias y las capacidades de ciberseguridad para minimizar ese riesgo. Los beneficios y oportunidades que ofrecen la digitalización son enormes en comparación con el riesgo, que es perfectamente asumible y gestionable.

Hay que tener en cuenta que más del 90 o 95% de los incidentes de ciberseguridad se producen por el factor humano, por eso fortalecer las capacidades de ciberseguridad a través de concienciación, formación y entrenamiento es esencial, como le comentaba anteriormente. A lo que añadiría las excelentes soluciones de ciberseguridad que ofrece nuestra industria.

Por lo tanto, la ciberseguridad no debe entenderse como un coste, sino como una inversión empresarial ineludible para garantizar que las comunidades pueden beneficiarse de las enormes oportunidades que les ofrece la digitalización.

7.- Lefebvre ha lanzado recientemente un Memento Experto Ciberseguridad donde se ofrece una aproximación a la principal normativa y regulación que trata esta materia y que por lo que ya hemos comprobado se está posicionando como una obra de referencia en la materia para despachos y asesores pero también para los peritos forenses de  ciberseguridad, que aunque como colectivo aún pequeño está poco a poco creciendo. ¿Cree que faltan en España profesionales expertos en ciberseguridad?

La demanda de profesionales en este sector aumentará año tras año a causa de la importancia que están cobrando las nuevas tecnologías e Internet, y seguramente, no podrá cubrirse toda ella en los próximos años. Sin embargo, además de necesitar perfiles de ciberseguridad vinculados a competencias técnicas, como la informática, también debemos centrarnos en la especialización de otras áreas profesionales, como los periodistas, juristas, profesores, etc.

Dado que la demanda de talento en ciberseguridad va a seguir creciendo es importante fomentar la presencia de las mujeres, sin olvidar que el mayor reto consiste en incentivar, no solo a las mujeres, sino a la población en general, para que accedan a un sector en pleno auge como es el de la ciberseguridad.

Es preciso, por tanto, impulsar, por un lado, políticas de promoción y atracción del talento, comenzando en edades tempranas en los propios centros escolares, suscitando el interés por los estudios de Ciencia, Tecnología, Ingeniería o Matemáticas, así como apoyar y reforzar aquellos referentes que identifiquen y ayuden a los más jóvenes a eliminar la idea de que las carreras técnicas y los sectores profesionales TIC y de ciberseguridad son sectores, únicamente, masculinos.

En este sentido,  INCIBE impulsa el talento y la alta capacitación, el ecosistema nacional de I+D+i en ciberseguridad y la competitividad de la industria nacional. Todo ello, a través de iniciativas y proyectos importantes en los que está inmerso, como la aceleradora internacional, el Polo Tecnológico, las Jornadas Nacionales de Investigación o los Espacios de Ciberseguridad, entre otras. También pone a disposición de los usuarios un programa de concienciación, formación y detección de talento en todos los niveles educativos, promueve ayudas para la excelencia de equipos de investigación avanzada y organiza o participa en eventos de referencia a nivel internacional, como ENISE.

8.- Ahondando en este tema y dadas las importantes repercusiones y responsabilidades que puede comportar y derivar un inadecuado nivel de ciberseguridad corporativo ¿cree que la estructura de ciberseguridad y de control del ciberriesgo deben formar parte del marco de Compliance de las empresas para evitar o, al menos, minimizar la asunción de posibles responsabilidades jurídicas?

Por supuesto, creo que una organización protegida es una organización responsable. No solo por sus propios intereses, sino también por los de sus clientes, proveedores, socios etc. La ciberseguridad es una responsabilidad más, ya que cualquier empresa, desde las más pequeñas hasta las más grandes, puede ser víctimas de un ataque. Lo importante es trabajar para que no ocurra y si sucede aprender de la experiencia y salir fortalecidos.

9.- Y por último, pensando en nuestro público lector ¿invitaría y animaría a abogados, asesores y resto de profesionales jurídicos a que utilicen el servicio telefónico de apoyo en ciberseguridad que supone la línea gratuita 017 de INCIBE como ya vienen utilizando las pyme y los ciudadanos?

Claro, animo a todos los profesionales del sector jurídico a que si les surge cualquier duda en ciberseguridad, necesitan asesoramiento para alguna temática específica o tienen cualquier problema en su día a día, nos llamen al 017, la Línea de Ayuda en Ciberseguridad que ponemos a disposición, como bien has mencionado, de todos las empresas, ciudadanos, menores y las personas asociadas a su entorno.

Un equipo multidisciplinar de expertos en la materia les ayudarán en todo lo que puedan para resolver su problema, de forma gratuita y confidencial, todos los días de 09:00 a 21:00.