Román Ramírez es conocido de sobra en el mundo de la ciberseguridad en España. Fundador de la RootedCon, el evento de seguridad más importante de España, y con más de veinte años de experiencia en el sector, ocupa desde hace una década el puesto de Gerente de Operaciones y Arquitectura de Seguridad de Ferrovial, donde se encarga de la gestión de las operaciones de seguridad a nivel corporativo y de la seguridad desde el diseño en proyectos y nuevos desarrollos dentro de la organización. Hemos quedado con él para hablar de ciberseguridad empresarial en grandes y pequeñas compañías, ciberresiliencia y tendencias en ciberataques, entre otras cosas.
–¿Protegen las empresas españolas su ciberseguridad lo suficiente?
–Es una pregunta complicada. Una del IBEX 35 cuyo objetivo de negocio prioritario es el sector financiero protegerá más que adecuadamente sus activos y tendrá un nivel de ciberseguridad muy alto, pero una pyme unipersonal que se dedique a obras posiblemente estará en el otro extremo de madurez. En general, las empresas cuentan con el nivel de ciberseguridad que han planificado (es decir, que han decidido), aunque hay estratos donde, por razones de coste y cultura, el nivel es mejorable en muchos puntos.
–¿Hay, al menos, más concienciación al respecto?
–Ahora mismo la ciberseguridad es mainstream. Todos los días hay noticias relevantes sobre el tema. Si eso no tiene a todo el mundo concienciado, nada lo va a hacer. En mi opinión, la concienciación solamente es efectiva con los que están ya concienciados: los humanos somos como somos y si para conseguir un objetivo A tenemos que pasar por encima de un obstáculo B, pasaremos. Y eso no lo va a cambiar ninguna concienciación.
–¿Crees que el GDPR provocará que cuiden más su ciberseguridad? ¿O veremos un sinfín de multas a empresas por incumplir el reglamento?
–Creo que cumplir con el GDPR es más sencillo que cumplir con la anterior LOPD. Pasamos a un modelo un poco más anglosajón, donde se te pedirán las garantías a posteriori (con evidencias). Creo que esto va a ayudar a que se extienda. Y sí creo que, con la preocupación creciente por la privacidad, algo ganaremos en distintos ámbitos. Sobre las multas, dada la cuantía, sospecho que van a tener mucho cuidado a la hora de sancionar.
–¿Cuáles son los posibles puntos flacos de las empresas?
–Siempre son los mismos: los humanos y la inversión. La ciberseguridad en cualquier ámbito es un problema de nivel de inversión. Si dedicas la inversión (económica y humana) adecuada, tendrás un nivel adecuado de ciberseguridad.
–¿Puede haber una falta de ciberresiliencia?
–Obviamente puede darse y se da. Puede ser que no te relajes, que sigas permanentemente pendiente de las amenazas… y que te enfrentes a una situación difícil de gestionar y donde sea complejo ser resiliente. El problema de la ciberseguridad es que es un entorno sin reglas predecibles en lo positivo (en lo negativo sí: si no inviertes te garantizo que vas a tener problemas muy serios). Invertir y gestionar bien en seguridad no es garantía de que no te vaya a pasar nada. Y si te ocurre, es complejo anticipar resultados y consecuencias.
–Durante años, la actitud de las empresas ante los ataques siempre fue reactiva; ¿son cada vez más proactivas? ¿O siguen esperando a que ocurra la desgracia para actuar?
–Las empresas que se toman en serio la seguridad prueban sistemáticamente sus activos, infraestructuras y personas. Con procesos de RedTeam, revisiones constantes, modelado de amenazas… es raro encontrar organizaciones que sigan pensando en modo reactivo.
–¿Qué tendencias de ciberataques ves más preocupantes a día de hoy?
–Sobre todo vemos un incremento en todo aquello que es menos técnico y más industrializado: muchas campañas de phishing, mucho minero de criptomonedas… El cryptolocker, a pesar de las consecuencias que tiene, no es de lo más dañino hoy en día. El auge de las técnicas de inteligencia artificial lo veo como un potenciador de herramientas en el lado antagonista, lo que hará más complejo defenderse: habrá mucho más automatismo, con más capacidades y habilidades.
Una cosa que a mí me preocupa especialmente es que las agencias de inteligencia, donde tradicionalmente estaban en su mundo del gran juego, llevan ya muchos años en nuestro nivel más mundano. Esto tiene cada vez más consecuencias en el nivel empresarial (y ciudadano).
–Imagínate que tienes delante al jefe de una pyme de 50 empleados, que te dice que a él no le afecta la preocupación por la ciberseguridad, que su empresa no es ‘nadie’ y nunca la van a atacar. ¿Qué le dirías?
–Que está viviendo en un mundo paralelo donde cabalga sobre unicornios felices, y que sería bueno que analice si, por evitar sentir la presión de la inversión que necesita su empresa, no se está engañando y tomando decisiones con sesgo. Porque un incidente cualquiera puede conducir al cierre del negocio si se demuestra negligencia, si hay consecuencias a terceros, sanciones por parte de reguladores o robo de propiedad intelectual (y que te saquen de tu propio negocio porque alguien que te ha copiado lo hace más barato que tú).