Miguel Ángel Lubián es ingeniero en Informática y socio responsable del Grupo CIES, empresa asturiana especializada en ciberseguridad y cumplimiento normativo. Modera esta mañana la mesa «Ciberseguridad y protección de datos en mi empresa», incluida en la jornada técnica sobre este ámbito que acoge la Escuela Politécnica de Ingeniería.

–¿Están preparadas las empresas asturianas en cuanto a ciberseguridad?

–Tendrán que introducir en la ecuación una nueva variable: la gestión de ciberamenazas. La tecnología es muy positiva, ha venido para quedarse. La ciberseguridad debe ser entendida como un sinónimo de confianza y, para ello, debemos de utilizar la tecnología de forma segura y responsable.

–¿Por qué si incrementan lo des ataques?

–Hay varios motivos. El principal es el fuerte aumento de nuestra superficie de exposición, principalmente ocasionado por un proceso de digitalización demasiado acelerado. Estamos más expuestos que hace unos años y la probabilidad de sufrir un incidente aumenta. Si a esta situación la conectamos con la existencia de vulnerabilidades en tecnología y a nuestro eslabón más débil, las personas, se produce un efecto de atracción muy interesante para los ciberatacantes.

–¿Se están tomando algunas medidas a nivel político?

–Por supuesto. El pasado 25 de mayo el Consejo de Ministros aprobó la puesta en marcha de un paquete de actuaciones urgentes en materia de ciberseguridad, incentivando la adopción de sistemas, estándares y políticas de gestión de seguridad en el sector privado. Entre esas medidas se encuentra la actualización de un marco normativo, el esquema nacional de seguridad, que es de aplicación tanto para las entidades del sector público como para aquellas empresas privadas que colaboren en la prestación de servicios públicos utilizando tecnología.

–¿Qué riesgos afrontan las empresas?

–Si bien es cierto que todas las personas, empresas e instituciones estamos en el punto de mira de los ciberatacantes, algunos sectores lo están más que otros. Esto nos dará pistas de cómo deben intensificarse algunas medidas en unos sectores frente a otros. Es decir, debo conocer qué amenazas me afectan para dimensionarme de forma correcta. Dicho de otra manera, saber en qué liga juego. Por tanto, nuestra primera tarea consiste en definir el contexto para tomar decisiones.

–¿Qué necesitan las empresas para tener una buena protección?

–Es sencillo, inversión en ciberseguridad, tal y como hacemos con otras cuestiones en la empresa, hasta que consigues equilibrar el riesgo sobre tu superficie de exposición, asumiendo que el riesgo cero no existe. El reto está en anticiparse a que lleguen los problemas y sobre la base de un modelo de mejora continua. No podemos aplicar todas las medidas de golpe. Necesitamos una hoja de ruta dimensionada a las necesidades y medir nuestra evolución para saber en cada momento en qué punto estamos y cuáles son los siguientes pasos, que dependerán de la singularidad y de la situación. En esta hoja de ruta aparecen necesidades como disponer de antivirus con capacidades EDR, mantener actualizados nuestros sistemas con ventanas de riesgo adecuadas, la realización y adecuada protección de las copias de seguridad, olvidarse de que las contraseñas son suficientes y mejorar nuestros sistemas de identificación y autenticación incorporando el imprescindible segundo factor, proteger del dato a través de técnicas de cifrado... Y sin olvidarnos de tener un plan de contingencia.

–¿Qué espera de la jornada de hoy?

–Que haya una alta afluencia y que todo el mundo se lleve esta conclusión: necesitamos conocer cuál es nuestra superficie de exposición para dimensionarnos de forma adecuada y anticiparnos a la amenaza. Ir a rebufo no es la solución.