fbpx
InicioEntrevistasMaría Cumbreras: "La presencia femenina en el campo de la ciberseguridad sigue...

María Cumbreras: «La presencia femenina en el campo de la ciberseguridad sigue siendo baja y se enfrenta a varios desafíos»

En esta entrevista con Cuadernos de Seguridad, María Cumbreras Amaro, abogada y economista especializada en ciberseguridad y privacidad, nos ofrece información interesante sobre temas de actualidad y amenazas peligrosas.

«Animo a los jóvenes a invertir en formación en ciberseguridad, pues es un rol muy demandado por las empresas», destaca María Cumbreras Amaro, abogada, economista colegiada y Senior Associate dentro del área de Ciberseguridad y Privacidad de PwC España.

Hemos entrevistado a Cumbreras Amaro para preguntarle sobre su actividad profesional, su enfoque didáctico como docente del Máster de Protección de Datos y Seguridad de la Información de la Universidad Complutense, y con respecto a las amenazas más peligrosas o a la presencia de la mujer en el campo de la ciberseguridad.


Ocupas el puesto de Senior Associate dentro del área de Ciberseguridad y Privacidad en PwC España. ¿Cómo contribuyes con tu trabajo a que las empresas sean más seguras?

Mi día a día se centra principalmente en el asesoramiento a empresas nacionales e internacionales y administraciones públicas en el ámbito de la ciberseguridad y privacidad y en particular a gestionar los riesgos tecnológicos ayudándoles a cumplir con las normativas de ciberseguridad y privacidad nacionales y europeas (ENS, Infraestructuras críticas, NIS, RGPD, etc.), así como implantar buenas prácticas internacionales con el objetivo de definir, revisar y mejorar las medidas de seguridad en estas entidades. En nuestro día a día asistimos al Responsable de Seguridad de la Información (CISO) en su labor, por destacar algunas acciones ayudamos en la definición del plan director de seguridad, la definición de indicadores y métricas para medir la eficacia del plan, la evaluación y revisión periódica de los riesgos tecnológicos, la realización de auditorías de cumplimiento, la creación y mejora del cuerpo normativo de seguridad.

Impartes docencia sobre ciberseguridad en el Máster de Protección de Datos y Seguridad de la Información de la Universidad Complutense de Madrid. ¿Podrías transmitirnos tus sensaciones sobre el interés de los jóvenes en ciberseguridad?

Es cierto que hay una brecha de talento en ciberseguridad en la actualidad. No es tarea fácil encontrar profesionales especializados en la materia, pero cada vez encontramos títulos, máster y posgrados sobre ciberseguridad y privacidad al mismo tiempo que ven en las noticias como los ciberataques son continuos y a cualquier infraestructura, lo que está despertando entre los jóvenes un interés por la materia. 

Animo a los jóvenes a invertir en formación en ciberseguridad, pues es un rol muy demandado por las empresas en la actualidad y lo seguirá siendo en los próximos años. Es una necesidad estructural en una sociedad cada vez más digital.

– Economista colegiada en el Ilustre Colegio de Economistas de Madrid, estás adscrita a la Comisión de Economía Forense para la colaboración con las distintas Administraciones y Tribunales de Justicia. ¿Qué labor desarrollas dentro de la Comisión?

Esta comisión se centra en canalizar las peticiones de informes periciales y encontrar al perfil más idóneo para colaborar en dicha petición. Por otro lado, participo en la Comisión Fintech en la que organizamos seminarios sobre: criptoactivos, la nueva Ley de Startups, o la Ley para la transformación Digital del Sector Financiero en la que está incluido el desarrollo de un Sandbox para quienes no lo conozcan se trata de un espacio de pruebas controlado para que puedan desarrollarse proyectos tecnológicos de innovación con supervisión especial por parte de DG Tesoro, Banco de España, CNMV, DGS. 

También realizamos cursos sobre valoración de empresas tecnológicas, y recientemente, hemos promovido una mesa redonda sobre inteligencia Artificial. Sobre este tema, colaboro también en la Asociación ISMS Forum, en un grupo de trabajo sobre Inteligencia Artificial y Ciberseguridad.

– Publicaste diferentes artículos sobre la gestión empresarial ante cibercrisis y la cuantificación de impactos de ciberincidentes. ¿Podrías ofrecer algún consejo a las empresas para gestionar las consecuencias de un ciberataque?

Es importante ser consciente de que ser ciberatacados no es una opción, sino una cuestión de probabilidades. Seas una gran empresa o un pequeño empresario, puedes ser el objetivo o un medio para llegar a otro. En este sentido es importante haber realizado un trabajo previo que haga que la organización esté preparada cuando ocurra un incidente que pueda derivar en una crisis organizativa, estar preparados para prevenir, protegerse y reaccionar ante un ciberincidente que pueda afectar e impactar en el negocio haciendo peligrar la continuidad del mismo. 

¿Qué consejo puedo dar? En mi experiencia la improvisación a menudo a la hora de afrontar un momento de incertidumbre puede costar muy caro a la compañía, y es importante diseñar un plan para saber qué hacer si ocurre, así evitamos el nerviosismo o improvisación. Quedémonos con el mensaje de “las crisis se preparan en tiempos de normalidad”. 

También en el plano de la comunicación, es importante evitar la toma de decisiones intuitiva, defensiva y cortoplacista, normalmente esto puede derivar en cierta “miopía”. Recomiendo ser transparentes y asumir responsabilidades que, aunque nos exija un mayor coste y esfuerzo a corto plazo, nos brindan una mayor capacidad de recuperación a medio y largo plazo y aceptación y confianza ante las partes interesadas. Muchas veces, pedir disculpas puede acortar la crisis.

Por último, la crisis no termina con la crisis. Esto es, es importante cerrar con las lecciones aprendidas y mejorar los procesos para evitar que vuelva a ocurrir. 

– ¿Qué tipo de cuestiones cree que es más urgente abordar para la seguridad de la mayoría de las empresas?

Podría destacar mejorar la resiliencia, un aspecto crucial en el contexto actual, donde las empresas se enfrentan a numerosos riesgos derivados de la economía global. Estos riesgos incluyen ciberataques a gran escala, fraudes globales, robo de datos y los efectos adversos de los avances tecnológicos como inteligencia artificial, geoingeniería y biología sintética, los cuales pueden causar daños medioambientales, afectar a los seres humanos y perjudicar la economía.

Por lo tanto, ser ciberesiliente se convierte en un imperativo. Es esa capacidad de recuperarse rápidamente de las dificultades y salir fortalecido de ellas. No se trata solo de recuperarse, sino de resurgir y fortalecerse después de situaciones desfavorables como el ave fénix. Es un atributo esencial para organismos, entidades, empresas y Estados, ya que les permite hacer frente a las crisis sin que su actividad se vea gravemente afectada.

También es importante destacar la necesidad de gestionar los riesgos de terceros. Cuando una organización trabaja con terceros, existe la posibilidad de que estos terceros presenten riesgos que podrían afectar negativamente a la organización. Estos riesgos pueden incluir aspectos como la seguridad de la información, cumplimiento normativo, continuidad del negocio, reputación, calidad del producto o servicio, entre otros. Una vez identificados los riesgos, se deben establecer medidas para mitigarlos. Esto puede incluir la implementación de medidas de seguridad adicionales como acuerdos contractuales sólidos, auditorías periódicas, capacitación de los terceros en políticas y procedimientos de la organización, entre otras. Es importante tener un proceso de revisión continua para asegurarse de que los terceros cumplen con los requisitos y medidas establecidas.

– ¿Cuáles son los riesgos más frecuentes que las empresas podrían evitar empleando las oportunas medidas de ciberseguridad?

Desde mi experiencia, los riesgos de ciberseguridad que más preocupan a nuestros clientes son, principalmente, los que trae como consecuencia una posible fuga de información, por ejemplos, los intentos de acceso no autorizado y robo de información, la destrucción de la información confidencial, la imposibilidad de acceso a sistemas o a la información derivadas de ataques de ingeniería social acompañados con ficheros que contienen malware o ransomware, ataques DDoS, etc. 

¿Y cómo podemos abordar estos riesgos? Lo ideal es concienciar al personal de la organización de los riesgos e implementar soluciones de seguridad robustas como la actualización periódica de sistemas, backups, antivirus, antispam, IDS/IPS, control de accesos, bloquear la ejecución de ficheros de directorios comúnmente utilizados por el ransomware, entre otros. Así ayudamos a reducir la probabilidad de ataques y minimizar el impacto.

En definitiva, las empresas deben identificar y gestionar los riesgos, implementar medidas de seguridad sólidas que deben mantenerse actualizadas y ser revisadas de forma periódica para ser eficaces frente a las ciberamenazas en constante evolución.

– El informe «Women in IT and Cybersecurity» de Standard Chartered (2022) muestra que las mujeres que trabajan en ciberseguridad en todo el mundo siguen siendo pocas y se enfrentan a una serie de retos complejos. Basándote en tu experiencia, ¿qué puede destacar de la presencia femenina en ciberseguridad?

Es un hecho que la presencia femenina en el campo de la ciberseguridad sigue siendo baja y se enfrenta a varios desafíos y barreras complejas. 

La diversidad de género y la inclusión son fundamentales para crear equipos más efectivos y aumentar la ciberesiliencia en cualquier ámbito. Desde mi punto de vista, entiendo necesario fomentar la participación de mujeres en ciencias, tecnología, ingeniería y matemáticas y que encuentren en esos ámbitos referentes que las hagan elegir esas disciplinas. Es importante eliminar los sesgos de género en la contratación y promoción y crear entornos de trabajo más inclusivos y equitativos, y en definitiva contar con una variedad de perspectivas y experiencias que repercutan en una mejora de la eficacia y eficiencia de la ciberseguridad.

Lo que destaco de la presencia femenina es precisamente la incorporación de modelos a seguir femeninos en la industria tecnológica, que poco a poco empiezan a abrirse paso. En este sentido, me gustaría destacar el papel de Women4Cyber Spain, una iniciativa que nace con el objetivo de convertirse en un referente en el impulso y visibilización del papel de la mujer en ciberseguridad en España, así como la diversidad de género en el sector. 

– De cara al futuro, ¿cuáles cree que serán las amenazas cibernéticas más peligrosas? Y sobre el uso de la Inteligencia Artificial, ¿qué peligros has podido detectar para la seguridad?

Trasladándote las preocupaciones de nuestros clientes que son variadas dependiendo de si es empresa privada o administración pública, sí que coinciden en las siguientes amenazas:

  • Las amenazas híbridas avanzadas, ¿qué significa esto? Que los ciberataques son y serán más sofisticados y combinarán ataques físicos o fuera de línea. Sabemos que los métodos de ataque se perfeccionan y evolucionan constantemente y a menudo se combinan para alcanzar sus objetivos, ya sea el robo de información, fraude, el secuestro de esta para pedir un rescate, etc. La preocupación es que estas operaciones híbridas son más difíciles de detectar y defenderse de ellas debido a su complejidad y a la tendencia a tratar cada ataque de forma individual, no hay un método que permita protegerse de forma generalizada, esto se traduce en que las herramientas de detección necesitan mayores capacidades de correlación, incluida la conexión de eventos aparentemente inconexos. Por tanto, suponen un reto cada vez mayor para los Estados, empresas y ciudadanos.
  • Otro tema unido al anterior es la escasez de competencias, la falta de recursos humanos en el mercado, actualmente existe una escasez de competencias que está contribuyendo a la mayoría de las fugas de información y está afectando gravemente a las entidades. Hay voluntad (y los recursos económicos) de las organizaciones para ampliar la plantilla y retener el talento pero escasea el perfil cualificado. Por eso, en la mayoría de casos se está apostando por el apoyo externo para nutrir la plantilla con perfiles externos especializados. 
  • Si nos detenemos en tecnologías disruptivas, podemos destacar los ataques dirigidos a los datos recopilados en los dispositivos inteligentes ante la creciente y exponencial recopilación de datos y uso de dispositivos en nuestra vida cotidiana. Dado que los dispositivos inteligentes suelen ser inseguros debido a la cantidad ingente de dispositivos y a la falta de concienciación del usuario final, estos datos son un objetivo valioso para los atacantes. El objetivo de los grupos delictivos es acceder a los datos para adaptar ataques de ingeniería social basados en el perfil de comportamiento del usuario, es decir, crear ataques más dirigidos y precisos. 
  • Unido a lo anterior, hay que hablar de los ecosistemas ciberfísicos. La IoT está cada vez más presente en los procesos de negocio y en la infraestructura industrial para aumentar la eficiencia y mejorar la toma de decisiones inteligentes. Este aumento significativo del número de dispositivos inteligentes por usuario medio unido a la dificultad de mantener y gestionar todos los dispositivos, especialmente desde el punto de vista de la seguridad esta dando lugar a problemas de mantenimiento de la seguridad de TI y OT derivados de la mala configuración, la falta de mantenimiento periódico y la asistencia inadecuada al final de la vida útil del software de IoT descatalogado.

Y respondiendo a la pregunta sobre la Inteligencia Artificial, a día de hoy se espera que evolucione a gran velocidad. El sesgo inconsciente en la IA es una preocupación conocida en la actualidad, sin embargo, en los próximos años existe una amenaza real de manipulación intencionada de los algoritmos y los datos de entrenamiento de la IA. Es decir, el riesgo de la IA es que puede ser manipulada desde su creación y a lo largo de su ciclo de vida mediante la manipulación del entrenamiento y afectar en la toma de decisiones. A lo que me refiero es que los atacantes intentarán aprovechar el poder de las aplicaciones de IA para moldear los resultados de la toma de decisiones y recabar información sobre las víctimas potenciales. Por ejemplo, pensemos en infraestructuras que ya empiezan a utilizar IA como el transporte, sanidad, justicia, energía, etc. la manipulación para fines ofensivos o delictivos podría poner en jaque a un Estado. O por ejemplo, utilizarían la información obtenida para analizar el comportamiento de los usuarios para crear campañas híbridas o de spear phishing altamente desarrolladas para cometer fraudes y obtener ganancias económicas.

Ninguna tecnología conectada a Internet es inhackeable, siempre hay un riesgo, pero en el caso de la IA, es el propio desarrollo el que tiene que ser cuidadosamente guiado para asegurarnos del beneficio real para la humanidad. E éxito en la creación de IA “responsable” va a ser el mayor evento en la historia de la humanidad, pero desafortunadamente, también podría ser el último, a menos que identifiquemos y gestionemos los riesgos de la IA de forma periódica y siempre con el foco puesto en el beneficio humano.

artículos relacionados

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí