IAGO FORTES (InprOTech) - Identificar procesos, sistemas y activos críticos

IAGO FORTES (InprOTech) - Identificar procesos, sistemas y activos críticos

Iago Fortes, founder & CEO de InprOTech

La ciberguerra ya existe desde hace muchos años, si bien con la guerra en Ucrania se ha intensificado especialmente para Europa

En los últimos 25 años, el panorama de ciberamenazas ha cambiado mucho más rápido de lo que nadie podía imaginar. En su opinión, ¿cuáles son los principales retos actuales para la industria de la ciberseguridad en España?

En general la concienciación de la sociedad y de la población siempre es menor de la necesaria o de la deseable, pero en ciberseguridad en España hemos estado especialmente atrás respecto a otros países más avanzados en este terreno como podría ser Estados Unidos o también Reino Unido aunque a cierta distancia. Habiendo llegado en España a un nivel de concienciación en ciberseguridad bastante alto, nos ha quedado por el camino el ámbito industrial. En mi propia experiencia y contando más mi caso en el ámbito de Galicia, entre 2010 -cuando fundé mi empresa: Inprosec- y 2013 tuvimos 3 clientes solamente en los que hicimos algún trabajo, normalmente de auditoría y siempre se era muy reactivo. Desde hace unos pocos años (2018) que hemos entrado en el ámbito industrial, nos encontramos un panorama muy similar.

Nada más declararse la guerra entre Rusia y Ucrania, las autoridades nacionales recomendaron, de forma preventiva, apagar todos los ordenadores de la administración pública cuyo funcionamiento no sea imprescindible. ¿Cuáles son las ciberamenazas más preocupantes en este contexto para la industria nacional y sus infraestructuras críticas?

Empiezo por mi opinión personal (pero profesional) sobre el propio enunciado, ya que efectivamente si no necesitamos un sistema o activo de información, lo mejor que podemos hacer es prescindir de él, pero apagar los sistemas no es un solución frente a los riesgos de ciberseguridad, en general. La ciberguerra ya existe desde hace muchos años, si bien con la guerra en Ucrania se ha intensificado especialmente para Europa, incluyendo a España, pero especialmente se ha hecho mucho más visible. El hecho de que haya recursos concretos afectados (como son las reservas energéticas o la propia producción de energía) supone que sean un objetivo mucho más interesante y probable. Por supuesto, cualquier otra infraestructura directamente relacionada con la guerra, como pueden ser las instalaciones y sistemas militares siempre serán activos críticos a proteger.

Entonces, ¿Qué recomendaciones hace a las empresas industriales para protegerse considerando en este escenario bélico, que se suma a los desafíos que ya estaba planteando la COVID?

Aunque el contexto actual sea especialmente particular y sí tiene impacto adicional en ciertos sectores y ciertas industrias, en mi opinión las recomendaciones son esencialmente las mismas que siempre. Ahora hay que aprovechar el momento para tomárnoslas más en serio. Suelo utilizar mucho la analogía con la medicina y en nuestro caso, desde Inprosec, pero por mi parte a nivel particular y personal siempre hacemos una recomendación de abordar los riesgos de información y de ciberseguridad de manera proactiva y gestionada siempre buscando la prevención y el control preventivo, que las estrategias reactivas. En general y especialmente a largo plazo son mucho más eficaces, efectivas y eficientes; con una mejor relación coste/inversión VS beneficio. En concreto, una organización industrial debería empezar por identificar su procesos críticos y derivados de los mismos identificar sus sistemas y activos críticos que soportan esos procesos. Ahí es donde se deben enfocar los primeros esfuerzos para gestionar y proteger esos activos lo mejor posible, de manera eficiente y ponderada.

¿Cómo se encuentra, en su opinión, el mercado laboral en lo que respecta a ciberseguridad? ¿Hay demanda de estos expertos?

Existe una brecha enorme entre la demanda por parte de las empresas (tanto clientes finales como consultoras) y la disponibilidad de perfiles cualificados tanto en formación como en experiencia, pero especialmente en este segundo punto. Actualmente tenemos dificultades muy grandes para contratar todo el personal necesario para auditoría y consultoría de ciberseguridad y especialmente con experiencia en ciberseguridad industrial. Se estima un déficit en España de más de 30.000 profesionales solo este año y mayor aun durante varios años.

¿Qué puede aportar a un profesional industrial un título de Especialista en Ciberseguridad Industrial como el que ofrece la Universidad de Vigo?

Precisamente en relación a la falta de profesionales, y en concreto en el ámbito de la ciberseguridad industrial, el título ECSI es una apuesta muy importante y necesaria para colaborar y apoyar ese desarrollo de profesionales especializados en ese ámbito. Me consta además que la formación combina acertadamente los contenidos más teóricos con una parte más práctica que es necesaria para acercarnos a ámbitos más realistas y cercanos a lo que nos vamos a encontrar en el mundo profesional y real. Sin embargo, será a base de concienciación y de la apuesta por parte de las empresas y organizaciones consumidoras (demandantes) para que cuenten con incorporar a estos profesionales en plantilla y apoyarlos con los recursos económicos necesarios para que las empresas integren la ciberseguridad dentro de la gestión diaria de sus procesos, para poder no solo ser más competitivas, sino para permitir y garantizar su subsistencia.