Prevención, detección, respuesta y recuperación, son los pilares sobre los que se asienta la estrategia de ciberseguridad de la Fundación Estatal para la Formación en el Empleo. Fundae. Así lo asegura Carlos Juarros Huerga, responsable de Seguridad de la Información de la organización. Durante la entrevista, Juarros analiza detalladamente las características de la política de ciberseguridad de la institución, así como los grandes retos a los que tendrán que hacer frente los responsables de Seguridad de la Información, además de la importancia de desarrollar una cultura de ciberseguridad.
—¿Cuáles son los pilares básicos sobre los que debe asentarse la estrategia de ciberseguridad de una organización como Fundae?
—Para nosotros, los pilares básicos de la estrategia de ciberseguridad deben ser la prevención, detección, respuesta y recuperación. Estos pilares deben estar respaldados por una fuerte política de seguridad, formación continua para los empleados y una cultura de seguridad en toda la organización.
—¿Cuáles son las principales características de la política de ciberseguridad y continuidad de negocio de Fundae?
—La política de ciberseguridad y continuidad de negocio de Fundae se caracteriza por su enfoque proactivo y se centra en la identificación y gestión de riesgos, la protección de datos sensibles y confidenciales, así como en la preparación continua para la óptima gestión de los incidentes de seguridad. Además, se hace hincapié en la resiliencia para garantizar la continuidad del negocio en caso de un incidente de este tipo.
Por otro lado, es muy importante disponer de un Comité de Seguridad donde estén representadas todas las áreas clave del negocio con el objetivo de poder abordar la ciberseguridad desde múltiples ángulos.
Programas de Ciberseguridad para empleados
—¿Qué acciones y programas lleva a cabo Fundae para concienciar a sus empleados de la importancia de la ciberseguridad y la protección de los datos?
—Fundae lleva a cabo programas de formación regulares para concienciar a sus empleados y empleadas sobre la importancia de la ciberseguridad, pero no solo a nivel global realizándose simulacros de phishing y proporcionando recursos educativos para ayudarles a reconocer y responder a las amenazas de seguridad, sino también sobre población específica.
Por ejemplo, disponemos de una unidad de desarrollo de aplicaciones que recibe formación específica en técnicas de desarrollo seguro; una unidad de sistemas, comunicaciones y soporte a la que se le forma sobre bastionado de toda la infraestructura, directores a los que se les conciencia sobre la importancia de la ciberseguridad, la gestión de riesgos, el cumplimiento normativo, las políticas de la empresa, la continuidad del negocio y la implantación de una cultura de ciberseguridad. El objetivo es capacitar a toda la plantilla de manera que se le adapte el contenido según su rol.
—¿Qué aspectos del ámbito de la ciberseguridad –formación, tecnologías, profesionalidad…- se deberían potenciar y mejorar?
—Para proteger la integridad, la confidencialidad y la disponibilidad de la información se debería potenciar la capacitación continua, ya que las personas somos el eslabón más débil con acceso a la información y debemos estar preparados ante toda amenaza.
Por otro lado, deberían adoptarse nuevas tecnologías avanzadas como la inteligencia artificial y el aprendizaje automático para aumentar las capacidades de prevención, detección, respuesta y recuperación en el caso de sufrir un incidente de seguridad sin olvidar que, si no se dispone de un equipo técnico preparado, la ciberseguridad nunca podrá llegar a buen puerto.
—Hoy en día, ¿cuáles son los grandes retos y desafíos a los que se enfrenta la figura profesional del CISO/Responsable de Seguridad de la Información?
—Los grandes retos a los que nos enfrentamos incluyen la identificación y gestión de riesgos en un panorama de amenazas en constante evolución, la protección de datos en un entorno de cumplimiento cada vez más complejo, además de la formación y retención de personal de seguridad cualificado.
—¿Cuáles considera que son las tendencias más importantes en ciberseguridad para el futuro?
—Las tendencias más importantes podrían incluir el uso de inteligencia artificial y aprendizaje automático para detectar y responder a amenazas, la seguridad en la nube, la seguridad de los dispositivos del Internet de las Cosas (IoT), la tecnología blockchain, además de la computación cuántica que tendrá bastante impacto en la ciberseguridad, sin olvidar que aparecerán nuevas tecnologías de red como la 6G, redes neuronales artificiales para la conducción autónoma o el reconocimiento de voz, el internet de los sentidos, la realidad aumentada, mixta o virtual, etc.
Por este motivo es importante estar siempre al día en cuanto a las tendencias para conocer las nuevas amenazas, los riesgos o cómo nos pueden ayudar las nuevas tecnologías para protegernos.
—¿Qué herramientas serían necesarias para impulsar y potenciar la colaboración público-privada en materia de ciberseguridad?
—En este aspecto ya se están tomando medidas como la implantación de plataformas de intercambio de información sobre amenazas, programas de formación conjunta y marcos regulatorios para fomentar la colaboración. Por ejemplo, la directiva NIS2 proporcionará medidas legales para impulsar el nivel general de ciberseguridad en la Unión Europea y exigirá que las organizaciones afectadas controlen su cadena de suministro, tanto de clientes como proveedores.
Por otro lado, dar a conocer a todas las partes los riesgos a los que se está expuesto ayuda a la aparición de sinergias entre empresas y organismos gubernamentales ayudando a mejorar la ciberseguridad global.
—¿Cree que los departamentos de Ciberseguridad y TIC forman parte de la estrategia de las grandes compañías y organizaciones?
—¡Por supuesto! Los departamentos de Ciberseguridad y TIC son una parte esencial de la estrategia de las grandes compañías y organizaciones. Estos departamentos no solo protegen los activos de información de la organización, sino que también permiten el funcionamiento seguro y eficiente de las operaciones del negocio.
Tiene toda la razón, actualmente las empresas no transmiten confianza a sus clientes.
La sensacion es de que tu informacion no esta almacenada con la necesaria seguridad.