Hoy entrevistamos a Natalia Maroto CEO de ITCM Solutions, experta en ciberseguridad.
Según el informe «Global CyberSecurity Outlook 2022» del World Economic Forum (https://www3.weforum.org/docs/WEF_Global_Cybersecurity_Outlook_2022.pdf ) en el entorno del negocio, un 41% considera que la ciberresiliencia es ya una prioridad y este porcentaje desciende a un 13% entre los/las encargados/as de la seguridad. Los ataques de ransomware (secuestro de datos) aumentaron un 150% en 2021 y el 80% de las personas encuestadas consideran que es una amenaza peligrosa.
Por otra parte, el informe Ciberamenazas y Tendencias 2021, del Centro Criptológico Nacional de España, señala que el 61% de los ciberataques del último año son de «alto riesgo».
Es evidente que el teletrabajo, la digitalización de la sociedad y la naturaleza cada vez más online de nuestras vidas son oportunidades para los ciberdelincuentes, así que no se puede bajar la guardia. Según https://www.plainconcepts.com/es/tendencias-ciberseguridad/ debemos estar atentos a las siguientes tendencias: Zero Trust, Security-as-a-Service , concienciación y formación delusuario, Machine Learning, seguridad Cloud, cumplimiento del RGPD, Distributing Decisions, Malla de ciberseguridad.
Empezaron en 2008 con un equipo de sólo 3 trabajadores, ahora ya son 9, tienen un centro de datos, un laboratorio de electrónica para reparar equipos informáticos y recuperar datos, ¿nos puede explicar con más detalle cómo ha sido la evolución y en qué se especializan ahora?
Primero de todo, gracias por esta oportunidad de estar con vosotros hoy. Así como las personas vamos aprendiendo y evolucionando, las empresas van de la mano con el crecimiento de la sociedad. ITCM Solutions comenzó realizando programación de webs y servicios de mantenimiento de TI. Con el crecimiento de los clientes, entendimos que el verdadero activo de las empresas está en el talento de sus personas que conforman los equipos y en los datos que gestionan. Estos son los dos focos en los que se centra hoy en día ITCM Solutions. Potenciar a las empresas desde la aplicación de la tecnología, para que las personas aportemos lo que la robótica o la automatización no puede y nos hace únicos; y proteger los datos que nos confían todos los que trabajan con nosotros. Desde los colaboradores, los clientes, los partners, el know how de nuestros negocios o las ideas que se desarrollan en nuestras empresas u ONGS.
¿Cuáles piensa que son las tendencias del futuro en ciberseguridad?
La ciberseguridad es un área específica dentro de las empresas. Hace unos años se consideraba un porcentaje del presupuesto que se destinaba a informática o tecnología y actualmente, las empresas tienen su propio departamento de Ciberseguridad con un presupuesto asociado.
Las principales tendencias actualmente son:
-
Invertir en la concienciación de la ciudadanía en cómo protegernos de un ciberataque. Las personas somos el eslabón más débil, y por ello, precisamos formar a cada ciudadano. Actualmente el INCIBE cuenta con programas de formación para niños, adolescentes, sectores de negocios y personas de más de 65 años. Este es un claro ejemplo de la tendencia de cambio social. Cada uno de nosotros precisamos conocer los riesgos que tenemos cuando contratamos una APP, solo así nos protegeremos todos.
-
Trabajar de forma conjunta las iniciativas comerciales y estrategias de las empresas con las estrategias de ciberseguridad. Hay un cambio en el desarrollo de las acciones empresariales basado en conocer los riesgos y actuar de forma preventiva.
-
Crecimiento de los especialistas en ciberseguridad. La ciberseguridad requiere de perfiles técnicos, administrativos, legales y también perfiles con competencias sociales capaces de transmitir y crear el compromiso de las personas para evitar ser victima de un ciberataque. Así que, la tendencia es a trabajar con equipos de profesionales de diversas áreas estos temas.
-
Construcción de planes de seguridad en las empresas que se entiendan como un sistema vivo que garantice la continuidad de los negocios y por tanto, la generación del empleo en nuestras compañías. Aquí es donde nosotros estamos colaborando de forma más intensa con los clientes.
¿Cuáles son los ataques más habituales? ¿Cuáles son los ataques informáticos más frecuentes? ¿Phising? ¿Ransomware? ¿Puede explicarnos en qué consisten?
Los ataques más habituales pueden tratarse de dos tipos. Los generados por un ciberdelincuente, que serían externos a la organización, y los generados por un colaborador de la empresa, que serían internos.
El primero de los casos ocurre con tipos de ataque de ingeniería social como el phishing, que consiste en un envío por correo electrónico o una web falsa y que se hace pasar por una persona o empresa de confianza. Aquí la mejor protección es la formación de los empleados para aclarar como detectar un correo que no es legítimo. En ITCM Solutions realizamos estas formaciones teniendo en cuenta las particularidades de la empresa.
Otro caso de ataques externos sería con un ransomware. Un software malicioso que busca tres objetivos: cifrar la información para que sea ilegible por su propietario, cobrar un rescate, y en muchos casos vender esta información en un mercado negro.
En el caso de los ataques internos que se dan dentro de las organizaciones, como borrado intencionado de la información, ataque a un servidor, o cifrado de los datos, las consecuencias suelen ser más graves si no se tiene un sistema de recuperación correctamente diseñado.
¿Nos puede compartir alguna experiencia y cómo lo solventaron?
Los casos más comunes que hemos tenido han sido por ransomware. En estos casos es importante que la victima de este ciberataque no pague el rescate. Esto lo indicamos por dos aspectos. El primero es que con estos fondos el ciberdelincuente encuentra una financiación para mejorar su producto, y el segundo es que el ciberdelincuente en un 95 % no devuelve la información una vez que se paga.
El primer paso es conocer el alcance y el origen que tiene este ciberataque. Así que, cuando identificamos la información a la que había accedido y la vía, se entregó la información al CEO de la empresa para la realización de la denuncia en la Policía Nacional.
Paralelamente, cerramos las brechas de seguridad detectadas, apagando los sistemas y desconectando de la red, para posteriormente restablecer los sistemas y emplear las copias de seguridad para la continuidad de los servicios. En esta fase es cuando más valor tiene contar con un plan de seguridad para responder de forma ágil y disminuir el impacto.
Finalmente se dio una formación al personal para evitar que pudiese ocurrir nuevamente. Teniendo en cuenta que la información no era sensible, la empresa no sufrió un impacto en su reputación. Sí se notificó a la AEPD el acceso.
¿Qué recomendaría a las PYMES para evitar ser ciberatacados?
La inversión más rentable es la formación a los equipos de trabajo, donde se pueda concienciar a cada uno del impacto que tiene el cuidado de la información que emplea en su trabajo diario y el uso correcto de los equipos informáticos que emplea.
Después de ello, la inversión para autónomos y pymes es contar con un antivirus robusto, es decir un endpoint que ofrezca soluciones de antiransomware, aprendizaje continuo, trazabilidad en caso de un ciberataque.
Posteriormente, tener unas políticas de seguridad claras como el cambio de contraseñas periódico y creada con mayúsculas, minúsculas, símbolos y números de un mínimo de 14 caracteres junto a la implantación de un sistema de doble autentificación.
Finalmente, realizar un plan de seguridad. Esto podría ser para un autónomo, una guía de los proveedores de IT, con que persona de cada empresa contactar y cómo trabajar para restablecer el sistema. En el caso de una pyme, sería analizar más factores para restablecer el sistema.
¿Son agente digitalizador del Kit Digital, han recibido muchas peticiones? Ciberseguridad es una de las grandes apuestas del Kit Digital, ¿esto demuestra que es una de las grandes asignaturas pendientes para mejorar en las Pymes?
Somos Agentes digitalizadores y son muchas las empresas que nos contactan por estos temas. El Kit Digital introduce dos temas novedosos: la formación como requisito para implantar una solución digital de ciberseguridad, y la mejora de los sistemas de ciberseguridad. De ahí que las empresas nos consultan por la protección de sus páginas webs, los puestos de trabajo, servidores o configuración de los servicios cloud.
La formación al personal es la clave: En esta entrevista usted afirma: «El 90 por ciento de los ataques se producen a través del correo electrónico y un personal entrenado puede evitar más del 95%». ¿Cómo incentivar a las empresas para que tomen conciencia? ¿Y para que vean la ciberseguridad como una inversión y no un gasto?
En este sentido, el principal beneficio es que cada euro que se invierte en formación tiene un ahorro de costos de recuperación de datos de una media de 200 €. Así que la inversión en formación redunda en una mejora de rentabilidad para las empresas al trabajar de forma continua sin las interrupciones generadas por una parada de un sistema.
Por otra parte, colaboramos con tres academias en las Islas Baleares para dar la formación a través de la Fundae. Entendemos que la formación requiere de una inversión que varias empresas no pueden asumir hoy en día con los problemas ocasionados por el COVID. De ahí, que podemos ofrecer la formación subvencionada.
Hemos visto muy rápidamente el impacto de beneficio para las empresas que participan de la formación y nos lo hacen saber cuando detectan un phishing o un vishing. Es muy gratificante colaborar en esta línea.
Ligado a la formación, el principio básico en ciberseguridad no es el de demostrar la ausencia de amenazas, sino la anticipación, el poder prever los posibles ataques. ¿Cómo se hace esto?
En ITCM Solutions entendemos que es importante visualizar el impacto de un ciberataque para el CEO de la empresa, de esta forma podrá entender la criticidad que tiene una tecnología para proteger los servicios que se ofrecen a los clientes.
También conocemos que este tema es fundamental y al ser importante y no urgente, y de ahí el valor de planificar un espacio para estudiar y construir con la anticipación necesaria los procesos de recuperación. De ahí que, desarrollamos un servicio que se denomina Cyber Risk. Contamos con un equipo especializado en analizar los riesgos de cada negocio y con ello, determinar el impacto y probabilidad de ocurrencia. Este análisis es la base para que los autónomos y empresarios puedan anticiparse. Conociendo el riesgo que tiene una parada de servicio de un sistema, podemos estudiar cómo proteger ese recurso de información.
La clave de anticiparnos es construir una solución a medida, en muchos casos hay herramientas o servicios que están al alcance de los autónomos y empresarios con menos de 10 empleados. Y con ello, logramos que el daño que se produciría frente a un ciberataque se disminuyera significativamente.
No sólo las empresas, también los particulares podemos vernos afectados: ingeniería social: cada vez compartimos más datos en redes, ¿cómo podemos minimizar los riesgos de sufrir estos ataques?
Algunos de los tips que pueden ayudar van desde que seamos cautelosos con lo que publiquemos, es decir, evitar información que ponga en riesgo nuestra seguridad como los datos de nombres de nuestros hijos, fechas, entre otros. Por ejemplo, hoy nos vamos de vacaciones, eso significa que nuestro hogar queda vacío.
Los datos personales es importante no introducirlos en cualquier sitio web que nos lo soliciten. Comprobar que navegamos en paginas seguras que cuentan con un certificado digital (https://dominio), emplear contraseñas diferentes para cada sitio y no compartirlas.
¿Qué hacer en caso de recibir un ataque?
Lo primero es darse prisa para responder. En una pyme pequeña lo primero sería apagar todos los equipos y contactar con una empresa especializada para revisar la situación. Ya que en ocasiones poder recuperar una copia de seguridad ante un suceso puede comprometer aún más la situación.
Aquí es fundamental estar bien asesorados por personal técnico y legal. Incluso en algunos casos que nos indican que se trataría de acceso a datos sensibles, es recomendable contar con un perito informático.
En caso de no disponer de una empresa de confianza, tanto ciudadanos como empresas, contamos con un servicio gratuito que es el número de teléfono 017, del Incibe, donde nos podrán guiar en cualquier caso si no se supiese a quien acudir.
¿Con el teletrabajo aumentan los riesgos si no se está debidamente protegido?
Si, por ello es muy importante que las empresas entreguen a sus empleados los equipos informáticos debidamente configurados y que cuenten con sistemas de comunicaciones seguras que haga que los empleados se conecten y trabajen en la red de forma clara.
Otro de los aspectos para tener en cuenta es los permisos que tienen los usuarios para instalar o modificar configuraciones de los equipos de trabajo y las políticas de seguridad. Es necesaria una comunicación fluida con los empleados y la verificación de la implantación de las políticas empresariales.
Con el Kit Digital también ofrecemos estas soluciones.
Blockchain: ¿servirá para dar más seguridad a las transacciones?
Si, siempre y cuando pueda ser aplicada esta tecnología. Actualmente es una tecnología de difícil implementación.
También existen otras soluciones que pueden emplearse como mecanismos de cifrado, mecanismos de verificación de identidad, entre otros.
Y respecto al metaverso, ¿qué amenazas hay? ¿Qué es el darkverse?
El metaverso como plataforma de negocios conlleva sus propios riesgos. El más conocido es el darkverse que es el equivalente a la darkweb o también llamada deepweb, que actualmente existen siendo un sitio donde se comparte contenido ilegal y donde abundan los negocios ilegitimos.
Así que, es un espacio para que los ciberdelincuentes cometan todo tipo de actividades ilícitas o ilegales, pues al ubicarse en el metaverso será difícil de rastrear estas actividades.
¿Qué opina de los seguros sobre ciberseguridad?
Los seguros de ciberseguridad son una protección con la que cuenta la empresa en casos de daños de la reputación empresarial on line o la recuperación de los sistemas. Estos seguros ayudan a las empresas a recuperarse de una forma más ágil. Para solicitar un seguro de estos, las compañías aseguradoras requieren unas medidas de seguridad mínimas que en ocasiones se convierten en motores de mejoras de las pymes.
Encuentro que son una buena solución para protegerse en varios casos.
¿Piensa que la IA puede ayudar a predecir ataques, posibles quiebras de seguridad en la empresa?
Actualmente se utiliza para los nuevos desarrollos de antivirus. Estos análisis de datos permiten detectar patrones anómalos que puedan suponer una brecha de seguridad o ciberataque.
¿Cómo debería ser un buen responsable de ciberseguridad en una empresa?
Actualmente entre los perfiles de ciberseguridad encontramos los CISO (Chief Information Security Officer) y los CSO (Chief Security Officer) Las medianas empresas cuentan solamente con un CISO, mientras que las grandes tienen ambos perfiles.
En el caso de un responsable de Seguridad de la Información (CISO) sus objetivos serán generar e implantar las políticas de seguridad de la información, garantizar la seguridad y privacidad de datos, supervisar el acceso a la información y la normativa y responder ante incidentes de la seguridad. Es un perfil más técnico que analiza los impactos de la empresa, y por tanto debe conocer la legislación y cómo implantarla.
En el caso del responsable de Seguridad de la Organización (CSO) responde más a una visión de negocio, alinea la estrategia de desarrollo de la empresa y sus perspectivas de crecimiento con las necesidades normativas, reputación de la empresa y expectativa de los usuarios. Tiene un enfoque más estratega y, por tanto, requiere conocimientos de planificación, legales y económicos.
Las personas que son responsables de la ciberseguridad precisan conocer el valor de la información que emplea su empresa, las normas que protegen a esos datos y adecuar los sistemas para garantizar el cuidado de la confianza que depositamos en esas empresas.
¿En qué consiste su trabajo en la empresa y en concreto la parte relacionada con la ciberseguridad?
Mi trabajo en ITCM Solutions es de consultora de ciberseguridad. Analizo junto a los CEO´s sus negocios, los proyectos de los clientes y datos que guardan, las expectativas de crecimiento de sus negocios y los impactos que pueden tener en caso de un ciberataque. De esta forma, realizo funciones de CSO para nuestros clientes.
Una vez que mantuve las reuniones y conozco al cliente, me reúno con mi equipo y construimos las soluciones más convenientes de seguridad. Estas soluciones siempre las presentamos a los CEO´s y a sus personas de confianza para validar de acuerdo con la cultura de la organización. El éxito en implantar una solución digital está siempre en la participación de todos.
Finalmente construyo el proyecto y el diseño de la formación para la implantación de las soluciones.
¿Cómo lo hace en su empresa para estar al día en temas de tecnología y ciberseguridad?
Cuando nos apasiona algo, es sencillo de llevar a cabo. Nos cuestionamos con cada caso las soluciones que conocemos y si hubiera algo nuevo. De ahí que la formación continuada en esta materia es la clave, participación en congresos y reuniones con los principales fabricantes de soluciones tecnológicas, conocer desarrollos nuevos y participar en encuentros con empresas del sector.
¿Cómo decidió estudiar una carrera STEM y dedicarse a esto? ¿Qué recomendaría para incentivarlas? ¿Cómo es ser una Mujer TIC directiva?
Desde pequeña me gustaba comprender cómo funcionaban las cosas y por qué. La curiosidad es siempre un elemento que, en mí, abrió puertas para atreverme a nuevos retos. La primera carrera universitaria que realicé fue Administración de Organizaciones en Argentina, y allí empecé a trabajar con empresas familiares y organizaciones sin fines de lucro, donde la clave estaba centrada en el know how y cómo se realizaban los procesos. En este camino encontré la ISO 9001, que fue una herramienta para mejorar y entender cómo medir impactos y la calidad del servicio que hacia único.
Cuando en 2017 comenzaron a darse varios casos de ciberataques en las empresas de Baleares y vi como afectaba a la continuidad de los puestos de trabajo, me pregunté qué opciones había en realidad para proteger estas instituciones que se crean desde el esfuerzo de las personas. Ahí comencé a estudiar ciberseguridad y los aspectos claves y entender las posibilidades de cambiar estas realidades. Actualmente, dedicarme a esto me apasiona, ya que ayudo a proteger a muchas familias e ideas y empoderamos personas.
Todas las personas podemos dedicarnos a lo que nos apasiona, la elección del ámbito de trabajo no entiende de géneros, entiende de talento, compromiso y saber levantarse cada vez que nos caemos. Así que, si realizar una profesión te hace vibrar y disfrutar el camino, permítete hacerlo sin ser tu misma la primera piedra.
Tener un rol directivo es siempre una responsabilidad grande con las personas que trabajan contigo y con los proyectos que llevas adelante. Actualmente somos más mujeres que desempeñamos estos roles y se nos reconoce la organización que tenemos en nuestros proyectos y el análisis que realizamos. Así es como ser una directora TIC es divertido y una oportunidad para introducir nuevas perspectivas.
¿Faltan profesionales en ciberseguridad en las Islas Baleares?
En las Islas Baleares faltan profesionales en materia de ciberseguridad y en tecnología en general.
Las empresas de la provincia están creciendo constantemente y ofreciendo su servicio en mercados internacionales, y esto precisa de un crecimiento de los profesionales del sector. Por otra parte, actualmente no se dispone en la provincia de suficientes docentes para formar a las personas, y por esto, empezamos a contratar personas de distintas zonas geográficas para que podamos dar los servicios.
Aquí hay un reto claro por delante.
Por último, ¿puede citarnos algún libro y película/serie que le haya inspirado en su trabajo?
Me gusta mucho la lectura, así que os comentaré dos que me han inspirado: El arte de la invisibilidad (Kevin Mitnick) donde podréis encontrar como actualmente impacta la falta de privacidad en la vida de las personas, y como segundo libro, os recomiendo La Catedral de Turing (George Dyson) donde poder conocer los comienzos del universo digital y de las películas recomiendo El Circulo.
En muchas ocasiones los libros y el cine nos permiten crear conversaciones con las que cuestionar nuestra forma de actuar. Ahí es donde podemos construir un futuro diferente.