La compañía observa con preocupación la falta de información de las pymes a la hora de proteger sus datos e infraestructuras

La aparición del ‘ransomware’ WannaCry ha vuelto a despertar el interés de las empresas por la ciberseguridad y muchas de ellas están volviendo a analizar sus herramientas y planteándose nuevos protocolos para evitar sufrir ataques de este tipo. El robo o secuestro de datos, el ciberespionaje industrial, la infección de equipos críticos o la posibilidad de que ciertos dispositivos puedan ser ‘hackeados’ y controlados de forma remota son algunas de las grandes preocupaciones de cualquier compañía y uno de los retos de la Industria 4.0.

La empresa S21sec lleva 17 años enfrentándose a los diferentes retos que los ciberdelincuentes han planteado durante este tiempo; desde los primeros gusanos hasta el complejo y silencioso ‘malware’ que nos acecha hoy en día. WannaCry no ha sido el peor ataque al que han tenido que hacer frente en estos años, pero sí uno de los más mediáticos. Y es que el interés por preservar la seguridad de las empresas y las pymes es clave. En una época en la que la Guerra Fría se ha trasladado a Internet, los expertos son cada vez más conscientes del daño que se puede causar a un país atacando informáticamente a sus principales empresas y a sus administraciones.

S21sec nació en enero del año 2000. Sus impulsores apostaron por poner en valor la figura del ‘hacker’, el experto en vulnerabilidades tecnológicas que lideraba la seguridad en los entornos de las empresas norteamericanas y asiáticas. Con ese propósito, organizaron uno de los primeros congresos de ‘hacking ético’ que se celebró en España y de este evento contrataron a sus 15 primeros empleados. Uno de sus principales hitos llegó en 2005 cuando vendieron uno de sus primeros productos de seguridad, WAF (Web Application Firewall), a la compañía estadounidense ISS. Tres meses después, esa firma fue adquirida por IBM. Esta operación colocó a la compañía como una de las más deseadas del mundo en el ámbito de la seguridad. Este interés se tradujo en un cambio accionarial con la entrada de firmas de renombre como Verisign y Telvent, una filial del Grupo Abengoa. Desde Donostia abrieron oficinas y centros de operaciones en otras provincias como Navarra, Madrid, Barcelona o León y se internacionalizaron a Oporto, Lisboa, y países como México o el Reino Unido. En la actualidad, más de 250 personas trabajan en sus diferentes sedes.

Desconocimiento

S21sec participa activamente en el desarrollo de las futuras directrices de seguridad de la información en Europa como miembro del grupo de empresas que van a trabajar con la Comisión Europea para mejorar la política continental en materia de ciberseguridad. Y es que, en la actualidad, la posición de viejo continente en materia de soluciones tecnológicas de seguridad no es la más adecuada como detalla Xabier Mitxelena, uno de los fundadores de la empresa y vicepresidente del Consejo de Administración: “El 80 por ciento de los productos de seguridad que se están implantando en Europa vienen de Estados Unidos o de Israel. Tenemos que conseguir invertir esas cifras. Para ello van a ser muy importantes diferentes normativas que se van a aplicar en Europa en los próximos meses. Un ejemplo será la nueva Ley de Protección de Datos, que se pondrá en marcha en mayo de 2018, que obligará a las empresas a trabajar más la protección de los datos de diferente tipo que guardan. También está la Directiva NIS, la cual aborda la gestión coordinada de las diferentes crisis que se pueden dar en el futuro relacionadas con la ciberseguridad. Ahora, esta normativa debe ser adaptada por los estados miembros a sus respectivos ordenamientos jurídicos antes del 9 de mayo de 2018. Lo que está claro es que es necesario un modelo de coordinación público-privada porque las compañías, como la nuestra, no tenemos capacidad para dar respuesta a toda la superficie de potenciales ataques que incluye empresas, usuarios, infraestructuras críticas, etc”.

Otro de los retos de esta compañía está claramente enfocado a la denominada Industria 4.0 o Fabricación Avanzada. La cada vez mayor captación y almacenamiento de datos en los procesos industriales o el dotar de conectividad a máquinas y sensores está propiciando que se abran las puertas de entrada a nuevas formas de intrusión. Las empresas más grandes están concienciadas en la importancia de ‘segurizar’ estos procesos, pero no ocurre lo mismo con las pymes. “Las grandes compañías son las que están empezando a dar pasos y, en este sentido, parten de infraestructuras de seguridad avanzadas en sus organizaciones. Es más preocupante el entorno de la pyme, en el que todavía no ha arraigado ese concepto  de asegurar sus datos, la información de sus clientes o su ‘Know how’. Cuando llegas a un cliente, el desconocimiento es uno de los elementos clave. En ocasiones, alguno de sus proveedores les han instalado un antivirus y un ‘firewall’ y con eso creen que están protegidos. Claro que hay que tener un antivirus y un ‘firewall’, pero el 80 por ciento de los ataques que van a  sufrir no los van a detener ese antivirus y ese ‘firewall’”, enfatiza el responsable de S21sec. “Los clientes tienen que entender que pueden perder su negocio si no adoptan las medidas de ciberseguridad adecuadas. El 80 o 90 por ciento de los ataques están motivados por el mal uso de la tecnología por parte de los usuarios. Si  un trabajador abre un archivo adjunto infectado en un correo electrónico puede afectar a toda la red interna. La concienciación del manejo de los entornos conectados es una de las principales claves”.

El éxito de la competitividad dependerá de fabricar mejor y con mayor calidad que la competencia, ya que en costes va a ser complicado pugnar frente a otros países. Estas mejoras en los procesos de producción tienen como clave la digitalización, y cuanto antes mejor. “Otros elementos fundamentales para las pymes van a ser la velocidad del cambio y el coste del cambio. Quien no empiece ya, será sustituida y desaparecerá en el plazo de diez años. Las grandes empresas deben de ser los elementos tractores. Ellas necesitan a las pymes y hay que crear un modo de gestión que se pueda trasmitir y ayudar a que la pyme se suba al carro de industria 4.0 de una forma que no sea traumática. La ciberseguridad es la clave de su negocio, pero hay que poner soluciones, simples, sencillas que no sean intrusivas para su modelo de gestión”, reitera Mitxelena.

Faltan expertos

También preocupa a los profesionales del sector las capacidades de los expertos en ciberseguridad. De forma paralela a la irrupción del concepto de Industria 4.0, han aparecido muchas firmas y profesionales que prometen servicios de seguridad integral, en algunos casos, sin productos validados, según denuncia el fundador de S21sec: “Hay algunos supuestos expertos en seguridad que quieren hacer dinero rápido y aportan soluciones malas.   Vamos a tener que transformar a las empresas proveedoras de servicios y la clave va a estar en la certificación de las personas y las compañías que dan esos servicios.  Cualquier infraestructura y proveedor debe de estar certificado y tenemos que exigir lo mismo a quienes presten servicios de ciberseguridad. No habrá industria 4.0 sin ciberseguridad”.

Pero lo cierto es que en estos momentos, según Mitxelena, no hay expertos suficientes para ofrecer soluciones a todas las empresas: “No existe mano de obra suficiente para ser capaces de dar respuesta a lo que vamos a necesitar. Los centros de formación pueden tardar entre cinco o seis años en poner en el mercado laboral a los nuevos profesionales del sector. Yo creo que deberían de ser más ágiles y apostar por la formación dual para que puedan compaginar sus estudios con formación real de cara a dotar a los alumnos de capacidades reales. Y no solo hablamos de seguridad sino también de expertos en ‘big data’, ‘smart data’, ‘analytics’ o ‘machine learning’. Se trata de tecnologías en las que no hay tantos expertos y que requieren de conocimientos importantes de seguridad”.

Euskadi tiene mucho que decir en cuanto a soluciones de ciberseguridad. En nuestro entorno existen compañías líderes a nivel mundial en este ámbito y ese es un valor que hay que aprovechar según Xabier Mitxelena: “Debemos de aprovechar el ecosistema que tenemos en Euskadi respecto a empresas de ciberseguridad para ser un referente en Europa. Cuando los recursos de las administraciones locales son limitados, a consecuencia de la crisis, hay que aprovechar las herramientas y subvenciones europeas para sacar adelante los proyectos. Es necesario construir y diseñar estos proyectos desde el principio y la colaboración público-privada es la llave del futuro. Hay que construir soluciones y empresas que den servicios en el ámbito internacional”.