Las empresas españolas recurren a la IA para combatir el cibercrimen

Año tras año, el número de ciberataques dirigidos a empresas privadas y entidades públicas no deja de crecer. A raíz del proceso de digitalización acelerada que desencadenó la pandemia, numerosas tareas que antaño se efectuaban de manera presencial han pasado a llevarse a cabo por medio de canales digitales. Esta tendencia ha generado una superficie de exposición más grande que nunca en las organizaciones, que la industria del cibercrimen no ha dudado en aprovechar para profesionalizarse hasta límites insospechados: este negocio ya mueve más dinero que el narcotráfico en todo el mundo.

Como consecuencia de ello, el grado de concienciación acerca de estos riesgos es cada vez mayor entre los líderes de las organizaciones. Este desafío protagonizó el encuentro organizado por El Confidencial y PwC bajo el título La alta dirección ante el reto de la ciberseguridad. La mesa redonda contó con la participación de Jesús Romero, socio responsable de Business Security Solutions de PwC España; Javier Fernández González, director corporativo de Comunicación de Mapfre; Felipe Amores Molero, director de Sistemas de Información y Económico-Financiero de la Fábrica Nacional de Moneda y Timbre (FNMT), y Francisco Javier Hidalgo Bravo, experto en datos e inteligencia artificial, profesor del IE Business School y ex responsable de datos en empresas como Cepsa o Leroy Merlin.

La ciberseguridad se ha convertido en una verdadera prioridad para la alta dirección, como confirma la última edición del estudio Global Digital Trust Insights de PwC. A medida que el coste de las brechas de seguridad aumenta cada año, las compañías tienen el desafío de trabajar de manera coordinada y ser ágiles para adaptarse a un escenario en constante transformación al ritmo de la tecnología. Como apuntó Jesús Romero, “las amenazas ya no proceden de hackers movidos por la búsqueda de notoriedad o razones políticas, sino que son amenazas cada vez más sofisticadas, industrializadas e impulsadas por grupos de crimen organizado e incluso países”.

Según la visión tradicional de esta materia en las empresas, la posibilidad de un ciberataque se concebía como un asunto ligado de forma casi exclusiva a las áreas de seguridad. Sin embargo, hoy los expertos coinciden en que resulta fundamental instaurar una cultura de seguridad en toda la organización que visibilice una amenaza que afecta al negocio en su conjunto. “Los directivos deben ser conscientes de que, aunque los perfiles técnicos pueden ayudarles a gestionarlo, son propietarios del ciberriesgo”, recalcó el socio de PwC. De este modo, la responsabilidad última corresponde a la alta dirección. Por ejemplo, el consejo de administración tiene la labor de supervisión de este riesgo, así como de los mecanismos y medios para mitigarlo.

A lo largo de los últimos años, esta visión se ha asentado entre las grandes compañías. Javier Fernández González indicó que “hay tres funciones que años atrás se circunscribían a un departamento de la empresa y ahora no solo es que sean transversales a toda la organización, sino que además han visto cómo la toma de decisiones escalaba muy arriba: comunicación, sostenibilidad y ciberseguridad”. Su importancia clave en la reputación de las compañías explica que hayan pasado a ser pilotadas por la alta dirección. El responsable de Mapfre advirtió que “nos enfrentamos a una industria del cibercrimen muy profesional y que requiere una respuesta global, una alianza público-privada que ponga freno a esta actividad de una forma integral”.

Las entidades públicas no han quedado al margen de esta evolución, como refleja el caso de la FNMT. “En el pasado, la ciberseguridad solía avanzar siempre por detrás de la estrategia de digitalización de la organización”, matizó Felipe Amores Molero. El covid-19 supuso un gran cambio de paradigma, que multiplicó la sensibilidad acerca de los riesgos de sufrir un ataque capaz de paralizar la prestación de servicios. Así, la preocupación por la ciberseguridad ha ganado en visibilidad y ha llegado a las altas esferas. “Ahora nuestra estrategia de digitalización va a la par de la parte ciber y algunos de nuestros consejeros son expertos en sistemas o en ciberseguridad”, agregó.

"Los directivos deben ser conscientes de que son propietarios del ciberriesgo", recalca Jesús Romero (PwC España)

“A estos avances se une el hecho de que la madurez de las compañías en el plano de los datos ha aumentado de forma exponencial y cuentan con soluciones cada vez más rápidas y complejas”, comentó Francisco Javier Hidalgo Bravo. Precisamente, siete de cada diez altos directivos encuestados en el estudio de PwC aseguran que su compañía tiene previsto integrar la inteligencia artificial generativa en sus estrategias de ciberseguridad durante los próximos 12 meses. Las organizaciones deben anticiparse a las aplicaciones de esta tecnología, que plantea oportunidades, pero probablemente incrementará las amenazas y facilitará que se produzcan ataques a gran escala. “Esto pone a las áreas de ciberseguridad bajo una presión sin precedentes”, señaló el experto en datos e inteligencia artificial.

El rol del CEO

En este contexto, ¿cuál es el rol del CEO y sus prioridades en materia de ciberseguridad? Ante una eventual amenaza de este tipo, “al CEO le deben preocupar principalmente dos aspectos: los efectos sobre la reputación de cara a sus clientes y el mercado, y la protección de los activos digitales y de la continuidad de las operaciones”, resaltó Jesús Romero. Como sucede en cualquier otro ámbito, las compañías deben entender que no existe el riesgo cero en ciberseguridad, sino que deben convivir con un nivel de riesgo residual y estar preparadas para distintos escenarios. Romero matizó que “el CEO tiene que contar con un conocimiento mínimo de los básicos del ciberriesgo, de forma que pueda gestionarlo con la misma madurez y rigurosidad que los demás riesgos”.

Javier Fernández González se mostró de acuerdo en que “el CEO tiene la responsabilidad de dirigir la estrategia de negocio y la compañía con todos sus matices, así como tener sensibilidad sobre los riesgos en su conjunto, pero no es imprescindible que sea un especialista en este tema”. A la hora de hacer frente a un ciberataque, la comunicación desempeña un rol fundamental. Así lo puso en valor el director corporativo de Comunicación de Mapfre, que explicó que “antes se percibía como un estigma el hecho de ser atacado, pero eso está cambiando porque incluso los gobiernos los sufren a menudo: el público no se fija tanto en que hayas recibido un ataque, sino en tu capacidad de respuesta”. En este sentido, abogó por la transparencia y por ofrecer información de servicio al cliente.

“En caso de ataque exitoso, la gestión de la comunicación es crucial”, coincidió Felipe Amores Molero. En particular, el director de Sistemas de Información y Económico-Financiero de la FNMT subrayó que “lo importante es tener todo procedimentado con planes de contingencia para cualquier evento que pueda amenazar la continuidad de negocio, desde ciberataques hasta fallos de maquinaria”. Si bien el CEO tiene la responsabilidad de abanderar las cuestiones de ciberseguridad de cara a todo el equipo, Molero aclaró que “es un aspecto que abarca a todo el equipo de dirección”.

"En caso de ataque exitoso, la gestión de la comunicación es crucial", coincide Felipe Amores Molero (FNMT)

El principal protagonista en este rol específico es el CISO (chief information security officer), cuyo valor en el seno de las organizaciones cotiza al alza. “Este tipo de perfiles ha ido ascendiendo de manera paulatina más cerca del consejo de administración”, confirmó Francisco Javier Hidalgo Bravo. Aunque no hay un modelo o estándar único de estructura, el profesor del IE Business School expuso que “tiene sentido que el CISO reporte a un CIO porque la ciberseguridad está relacionada con el resto de sistemas, pero a medida que siga creciendo en importancia, estos perfiles estarán a niveles más estratégicos”. Cuando alcanzan un determinado nivel de madurez, las compañías suelen optar por segregar las funciones de segunda línea de aquellas funciones más técnicas y operativas.