El responsable de ciberseguridad OT en España y Portugal para Fortinet, empresa puntera del sector, visita estos días su tierra con motivo del congreso Navaja Negra, en el que ayer ofreció una ponencia sobre casos reales de ataques informáticos en entornos críticos.
¿Qué proceso de formación y experiencia profesional le llevó de Albacete a su puesto actual?
Me crié y viví en Albacete, fui a Escolapios y al instituto número seis, hasta que me fui a estudiar a Madrid, donde hice Ingeniería Industrial, que no es el camino habitual para entrar en este mundo, más vinculado a la informática. Empecé por el mundo de la energía y, por casualidades de la vida, acabé trabajando en 2010 en la central nuclear de Cofrentes.
A raíz del accidente en Fukushima, se abrió una reflexión sobre muchos problemas en los que no se había pensado y quedé a cargo de áreas como digitalización, comunicaciones a pruebas de terremotos y ciberseguridad. Desde 2012 me dediqué a ese último campo, pero desde el lado OT (Tecnología de las Operaciones) y en 2021 Fortinet me ofreció ser responsable del área OT para España y Portugal, oportunidad por la que me siento muy honrado.
El usuario medio puede conocer algunas aplicaciones de Fortinet, principalmente el cortafuegos, pero sus productos van mucho más allá, ¿qué soluciones ofrece?
Fortinet es líder indiscutible en firewall, algo reconocido además por los clientes de VPN (red privada virtual, método habitual para el teletrabajo) desde la pandemia, pero eso es solo una parte de la seguridad. Hablamos también de aplicar de toda una cultura de seguridad, a las identidades, a los privilegios que se otorgan a esas identidades, al control de acceso de dispositivos a la red y otros muchos aspectos.
Aplicamos la filosofía del cero trust, confianza cero en todo lo que se conecte a las redes; es decir, que no solo por conocer tu dirección yo pueda entrar. Para ello, se aplican soluciones como la doble autentificación o el chequeo continúo de cambios en el equipo. Ese concepto ha de estar imbuido en todas las tecnologías que use la empresa y, a partir de ahí, aplicarlo a cada plataforma, ya no solo las internas sino también al ámbito externo, por lo que también ofrecemos herramientas de rastreo externo, como la información comprometida en la red para avisar si, por ejemplo, se han conseguido credenciales y se están ofreciendo a posibles atacantes.
Ese enfoque clásico de ciberseguridad también lo estamos aplicando al entorno industrial, adaptándolo a condicionantes como que una fábrica no puede parar nunca o que la empresa trabaje con instrumental que ha de tener una larga vida útil, de 25 o 50 años, mientras que las tecnologías de la comunicación no paran de evolucionar.
Es todo un reto hacer convivir tecnologías modernas con otras heredadas y comprender los riesgos de unas y otras. En ese ámbito la filosofía de Fortinet no es cambiar lo viejo, sino entender cómo podemos proteger lo que ya funciona.
La mencionaba antes, ¿fue la pandemia un punto de inflexión para que las empresas entendiesen la importancia de la seguridad?
Sin duda. La pandemia es lo que hizo explotar un modelo que ya estaba en la teoría, pero que muchos no aplicaban, esa confianza cero.
Ahí se entendió que no puedo entrar a la red laboral desde mi casa de cualquier manera o con equipos que pueden estar infectados y propagar la infección. Además, los malos vieron cómo su campo de ataque se multiplicaba y hubo que aplicar unas tecnologías que muchas expresas ya tenían, pero que aún no habían puesto en marcha.
Anticipaba recientemente que los ciberdelitos iban a ir al alza este año y así lo confirman las estadísticas, ¿cuál es la magnitud del problema?
Es grande y es complicado atajarlo. En uno de nuestros últimos informes, el 75% de nuestros clientes reconocía haber tenido alguna brecha en este año y eso es muchísimo.
Todas las empresas son conscientes de que tienen que abordar la transformación digital, pero a veces hay mucho presión en el tiempo de ejecución. En ocasiones, en cuanto tienes el mínimo producto viable, que ya hace lo que se pretende, hay mucha presión por escalarlo rápidamente, sin que la parte de seguridad entre en esa fase. Securizarlo después es mucho más complejo.
Además, en lo digital se detecta una carencia de habilidades, con una brecha entre las digitales y las relativas a seguridad. Una mayor digitalización, que ha llevado a que todos sepamos manejar los móviles y estemos a acostumbrados a aceptar dar todos nuestros datos, no ha llevado a que seamos más conscientes del riesgo de exponer esos datos.
Por buscar un lado positivo al problema, ¿es la ciberseguridad un campo que ofrece nuevas oportunidades laborales?
Yo estoy convencido de que hay mucho futuro en la seguridad, aunque aún hay mucha dificultad en las empresas, dentro de esa transformación, para identificar el tipo de perfil o servicio que necesitan.
En Albacete ya se está notando y un instituto ya ofrece un módulo de FP de ciberseguridad. Ya ni siquiera hace falta tener una ingeniería superior para desarrollar muchas tareas y tener una profesión en la que uno se sienta realizado plenamente y que ofrece un desarrollo satisfactorio.
La ciberseguridad se desarrolla muy rápido y en muchas dimensiones. La clave es que la institución educativa, sea el instituto o la universidad, transmita la curiosidad por querer seguir formándose. Lo que diría siempre a quien quiera dedicarse a esto es que lo va a pasar mal si cree que sale sabiendo ya todo lo que necesita.
Los usuarios conocen mayoritariamente los ciberdelitos con fines de robo o extorsión, pero un ciberataque puede comprometer hasta la seguridad nacional, ¿se es consciente de ello en el ámbito público o empresarial?
Precisamente lo hablaba recientemente en una charla en un hospital, acerca de los ataques recientes en los que, de momento, solo se busca un beneficio económico a cambio de no tener parada la actividad. Sin embargo, en el futuro el atacante puede tener otros intereses, como los ataques de estado que estamos viendo en la guerra de Ucrania.
Es ahora, en la fase de diseño, cuando tenemos que aplicar las tecnologías que nos protejan de ellos.
¿Estamos suficientemente preparados o formados para ese entorno cambiante de riesgos?
Es complicado decirlo. No lo ve igual una persona de 40 años, que ya ha visto evolucionar esto de la tecnología casi desde las cintas de vídeo, que gente de 20 que ya tiene formación específica o que mi hijo de 10, que ya usa la tablet en el colegio y me maravilla ver cómo lo hace para saltarse los controles. Hay que intentar educar a los más jóvenes para que entiendan que, desde ese juego virtual, pueden entrar en entornos muy peligrosos.
Lo estamos viendo , por ejemplo, cuando un gobierno prohibe una tecnología de otros países y muchos usuarios protestan porque les gusta y creen que no pasa nada por usarla. Lo cierto es que no sabemos qué va a hacer ese otro país cuando tenga toda tu huella trazada, si su uso va a quedar para temas de marketing o va a ir más allá.
En definitiva, es difícil encontrar el equilibrio entre la paranoia continua y tener unos cuidados mínimos, que los americanos suelen llamar ciberhigiene, acerca de los datos que expones en tu uso de las redes.
En Fortinet estamos desarrollando una academia de seguridad, iniciativa de dejar tecnología para formar a institutos y universidades. Todo el que tenga un programa de ciberseguridad largo puede incorporar nuestras formaciones, porque es lo que nos dice el mercado.
Ese tipo de iniciativas son muy positivas, somos varias las empresas de tecnología que estamos trabajando en esa concienciación y es una línea en la que creo que hay que seguir avanzando.