Salvador Alemany, presidente del Institut Cerdà.
Pere Torres, consejero técnico del Institut Cerdà.
Nuestra sociedad está inmersa en una revolución digital que transforma profundamente nuestra economía y que genera unos riesgos nuevos, una parte significativa de los cuales pueden englobarse bajo el epígrafe genérico de la ciberseguridad. El mundo empresarial es consciente: de los 34 riesgos globales considerados en el prestigioso informe anual del World Economic Forum, la ciberinseguridad ocupa la cuarta posición en su edición del 2024. También es uno de los riesgos detectados al Observatorio de riesgos para las empresas en España, del Institut Cerdà. La economía es cada vez más dependiente de la ciberseguridad.
Cuando hablamos de estos riesgos, no nos referimos estrictamente a las acciones específicas de un ciberataque sino a una visión más amplia, que incluye todos aquellos factores que aumentan la vulnerabilidad de los sistemas de información y las actividades que dependen, es decir, aquellas situaciones que pueden romper la seguridad de la información digital –sea en su funcionalidad, disponibilidad o privacidad– o poner en peligro las operaciones (a las instalaciones productivas) que se sustentan en la integridad de esta información.
Ante la importancia creciente de este fenómeno, el Institut Cerdà, por encargo del Centro Criptológico Nacional (CCN), analizó los riesgos específicos asociados a la ciberseguridad. Del trabajo, que puede consultarse en el Observatorio de riesgos de ciberseguridad, emergen algunas ideas que cualquier responsable de una empresa, de una administración pública o de una entidad social debería tener muy presentes. destacamos cinco:
- La digitalización progresiva de la gestión de la información, pero también de procesos y operaciones e, igualmente, de las transacciones y las interacciones en toda la cadena de valor, tiene un doble efecto en el contexto de la ciberseguridad. En primer lugar, multiplica el interés de los piratas a penetrar estos sistemas porque cada vez contienen más datos y con más valor lucrativo (sea para cobrar un rescate, para venderla a terceros, para perjudicar reputaciones en operaciones más complejas…). En segundo lugar, porque aumenta el número de puntos potencialmente vulnerables a través de los cuales se puede producir el acceso delictivo.
- En el mundo digital, el cambio es rápido y sin aturador, sin punto de llegada. Esta constante evolución de la tecnología se produce a ambos bandos, es decir, la cibercriminalidad también experimenta procesos de mejora continua de sus capacidades para perpetrar sus ataques. Podríamos decir que estamos inmersos en un tipo de carrera de armamentos: a cada mejora de las herramientas de ciberprotección le sucede una mejora en las herramientas de ciberataque en una espiral que no parece tener fin. En consecuencia, un gran riesgo para la ciberseguridad es que no se otorgue una atención permanente a las necesidades que comporta, que se tiene que traducir en recursos humanos, técnicos y económicos.
- La ciberdelincuencia se sofistica no solo en sus capacidades tecnológicas sino también en su organización: ha surgido el concepto del cibercrimen como servicio. Hay grupos criminales que, en vez de actuar por exclusivo interés propio, ponen sus capacidades para penetrar en los sistemas de información de una organización a disposición de clientes que puedan tener un mayor interés por los datos de aquella organización o para causarle un daño notorio. Obviamente, el grupo criminal cobra por sus servicios.
- Junto a la criminalidad convencional -que busca el enriquecimiento ilícito-, la ciberseguridad también sufre dos otros frentes de ataque: la geopolítica y el activismo. Los conflictos bélicos o las luchas entre las potencias por la hegemonía global o por el liderazgo regional aboca los países implicados a recurrir a ciberataques contra intereses rivales (organismos públicos, infraestructuras críticas, sectores bancarios o industriales…). Igualmente, el activismo social más militante puede utilizar ciberataques para desacreditar o causar disfunciones a organismos o empresas que considerar enemigas de los objetivos (social, político…) que el grupo activista defensa. En este sentido, las empresas no pueden aislarse de las vicisitudes del mundo o de la región en que operan.
- Un punto clave es el factor humano. Muy a menudo son errores, negligencias, engaños… de personas de una organización el que se aprovecha para penetrar en el sistema y perpetrar el ciberataque. Cuando se estudian los casos, se constatan unas debilidades repetitivas: la cultura corporativa no identifica la mayor parte de la información digital como unos activos con valor que hay que proteger y, consiguientemente, el personal no interioriza su responsabilidad en esta cuestión. Además, no suele tener una formación específica al respeto. Por eso, acontece un imperativo empresarial instaurar una nueva gobernanza de los datos, que reconozca la importancia crucial y establezca las pautas de gestión que contribuyan en su debida ciberprotección.
Estas cinco consideraciones nos indican claramente que la ciberseguridad no puede abordarse como una cuestión meramente ligada en las tecnologías de protección y, por lo tanto, no se pueden derivar únicamente a la sección técnica correspondiente. Si bien lo contrario, la ciberseguridad se basa aspectos claramente vinculados a las políticas de gobernanza de la empresa, tanto en los aspectos organizativos y corporativos internos como en sus relaciones externas, pasando por la lectura que se ha de hacer del entorno local y global en que se opera. En consecuencia, la ciberseguridad acontecerá, si no lo es ya, un asunto que involucra todos los órganos de decisión.
RESUMEN
La digitalización genera riesgos de ciberseguridad para la economía. El aumento de la información digital, la continua evolución de las capacidades tecnológicas, la sofisticación de la ciberdelincuencia y la inadecuada gobernanza de los datos introducen vulnerabilidades que la empresa tiene que abordar desde el máximo nivel de decisión.
