Cada año los analistas y grandes empresas tecnológicas claman por la importancia de la seguridad, la ciberseguridad. Si avanzan las tecnologías crecen los peligros y no se debe descuidar ni el entorno exterior ni el interior. Por suerte, los grandes organismos de control intentan regular lo máximo posible con normas que aseguran la estabilidad de los datos, así como los bienes de los consumidores.

En esta ocasión hemos querido hablar con David Barroso, profesor en el Programa de Innovación y Tecnología Financiera del IEB, que recientemente publicó una serie de recomendaciones sobre ciberseguridad en el sector bancario español.

SmartCIO: ¿Cuál es su opinión sobre el último informe de ENISA que denomina al 2014 como «el año de las violaciones de datos?

Efectivamente, durante 2014 se han producido muchos incidentes de seguridad en el que datos personales o confidenciales han sido comprometidos. Hay una clara tendencia incremental cada año, puesto que cada vez hay más grupos dedicados al robo de información. Aunque también es necesario destacar que la mayoría de los incidentes de robos de datos no suelen salir a la luz pública, con lo que muchas veces sólo vemos la punta del iceberg.

SmartCIO: El informe también hace hincapié en que las nuevas tecnologías son fuentes de nuevos ataques ¿Considera que el sector financiero español está preparado para las amenazas que provengan de la nube o de Internet de las Cosas?

El sector financiero español es uno de los mejores preparados a nivel mundial, principalmente porque lleva muchos años luchando contra las amenazas de Internet. Estas amenazas han ido evolucionando y los criminales han sabido aprovechar las nuevas tecnologías en su favor; pero, a su vez, el sector financiero ha sabido estar a la altura. Muchas entidades financieras utilizan nuevas tecnologías (desde servicios en la nube, pagos por móvil, uso de bitcoin, etc.) sin problemas de seguridad.

El principal problema es que los criminales hace muchos años dejaron de atacar directamente a las entidades financieras porque era casi imposible, y enfocaron todos sus esfuerzos a atacar a los clientes de las entidades, puesto que somos muy vulnerables y constituimos el eslabón más débil.

SmartCIO: Uno de los últimos informes de Cisco llamaba la atención sobre los peligros que se corrían dentro de las empresas en materia de ciberseguridad ¿Son conscientes las empresas financieras españolas de la necesidad de controlar a sus propios trabajadores?

De forma general sí, puesto que muchos de los incidentes de seguridad se producen desde dentro. Estos controles internos no tienen la madurez que pueden tener las buenas prácticas frente a amenazas externas pero, paulatinamente, las empresas están mejorando en este aspecto.

SmartCIO: En sus recomendaciones explicaban que España es uno de los países más avanzados en ciberseguridad y de los que más invierten en este sector ¿Tenemos alguna asignatura pendiente?

Es cierto en el caso del sector financiero, pero no en la mayoría del resto de sectores, donde hay mucho trabajo por hacer. En el sector financiero, la asignatura pendiente es mejorar la colaboración entre entidades en materia de seguridad.

SmartCIO: ¿Qué opinan de la reforma de la Ley de protección de datos de la Unión Europea?

Son muy loables los esfuerzos de la Unión Europea para proteger la privacidad de los individuos y de forma general es adecuada y necesaria, puesto que muchas veces los ciudadanos estamos indefensos en relación a nuestra privacidad. Existen algunos puntos conflictivos donde hace falta una definición más clara (por ejemplo el derecho al olvido) y ser más prácticos en cuestiones que, a priori, parecen teóricas.

SmartCIO: Durante el 2014 vimos como grandes empresas «caían» ante poderosos ataques (Sony o Apple). Si ponemos todos los medios de nuestra parte y aun así nuestra empresa es atacada, ¿hay un modo correcto de proceder tras el ataque?

Nadie está a salvo de ser atacado, puesto que es imposible garantizar una seguridad al 100%. Siempre, con el tiempo y los recursos adecuados, cualquier objetivo puede ser comprometido. En el caso de encontrarnos ante un ataque, los principales consejos son actuar con calma y sentido común, contar con profesionales para investigar el incidente, ser sinceros con empleados, clientes o accionistas y, sobre todo, aprender de los errores para que no vuelva a pasar.