Asegura Javier Pérez, Head of Cybersecurity en Fujitsu, que la ciberseguridad es una responsabilidad de la alta dirección de cada organización y que es una recomendación básica disponer de un CISO que lidere la estrategia y organización de la ciberseguridad.
¿Cuál es el estado de salud de la ciberseguridad en nuestro país?
España es un país maduro según las diferentes dimensiones de análisis. Teniendo en cuenta la existencia de centros de servicios de ciberseguridad, según el Centro Criptológico Nacional en la Red Nacional de SOC participan 140 entidades públicas y privadas. También lo somos desde un punto de vista de regulaciones y de autoridades que dan soporte al cumplimiento de dichas regulaciones. Igualmente podemos afirmar que somos un país maduro desde un punto de vista de profesionales altamente especializados en ciberseguridad y que son referentes a nivel internacional. Siempre queda camino por recorrer, sobre todo cuando el atacante es también muy maduro y profesionalizado y tiene un fin económico. Es por ello que los incidentes de seguridad no paran de aumentar en un entorno de transformación digital de las organizaciones y de la situación geopolítica actual.
¿Cómo está siendo la apuesta de las grandes compañías por implementar modelos organizativos hiperseguros?
El enfoque más habitual es el enfoque de protección basado en riesgos. Los recursos son limitados y el riesgo cero no existe. Por tanto, las organizaciones deben partir de un análisis exhaustivo de los riesgos a los que hacer frente e implementar modelos, procesos y tecnologías adecuadas a dichos riesgos. A partir de ahí existen muchas tecnologías y cada organización es diferente. Observamos como muchas organizaciones avanzan hacia un modelo Zero Trust poniendo foco en la superficie de exposición y por tanto reduciendo los riesgos.
¿Está superada la importancia de la Ciberseguridad en las empresas?
La situación depende mucho del sector y del tamaño de la empresa. El nivel de madurez es muy diferente cuando analizamos grandes empresas en entornos regulados versus sectores no regulados o entorno PYMEs. Es en el sector de la pequeña y mediana empresa queda mucho camino por recorrer.
Enfocándonos en las grandes empresas, ¿Cuánto es de importante que estas empresas cuenten con departamentos propios destinados a la ciberseguridad? ¿Es mejor o peor externalizar?
La ciberseguridad es una responsabilidad de la alta dirección de cada organización. Es una recomendación básica disponer de un CISO que lidere la estrategia y organización de la ciberseguridad. Siempre es mejor que determinadas actividades sean realizadas por personal interno. Ahora bien, es imposible saber de todo y poder dar respuesta a todas las necesidades que surgen, sobre todo en un entorno tan volátil y donde existe una carencia de profesionales especializados (según datos de ISC2 Research faltan 4,8 millones de profesionales de ciberseguridad a nivel mundial). Es por ello por lo que los proveedores de servicios de ciberseguridad podemos jugar un papel clave gracias a que podemos compartir recursos en diferentes servicios generando eficiencias para nuestros clientes.
¿Y las pequeñas empresas? ¿Son también conscientes de la importancia de la Ciberseguridad? Según vuestra experiencia, ¿están tomando ya medidas?
Por supuesto lo son. Pero tienen menos recursos para poder invertir en ciberseguridad. Si analizamos el ratio de inversión en ciberseguridad vs el presupuesto de IT es significativamente más bajo e incluso inexistente. Están tomando medidas, sobre todo aquellas más expuestas a canales digitales. También es clave el papel de las autoridades para darles soporte, así como de la existencia de una oferta de servicios adaptada a estos sectores.
¿Qué avances estáis viendo en esta materia por parte de la Administración Pública?
La Administración Pública incluye realidades de muy diferente índole. Desde grandes departamentos de la Administración General del Estado, Comunidades Autónomas, grandes Ayuntamientos o pequeñas administraciones con pocos recursos. En cualquier caso, hay iniciativas que ayudan a mejorar el nivel de seguridad, como es la existencia del Centro Criptológico Nacional y las funciones que lleva a cabo, herramientas de ciberseguridad específicas para la administración o el Esquema Nacional de Seguridad. También es destacable el lanzamiento de iniciativas de servicios compartidos para la Administración. Así como iniciativas sectoriales como pueda ser CiberAP en el ámbito de la sanidad. Sigue habiendo camino por recorrer, siendo el Esquema Nacional de Seguridad la hoja de ruta que las administraciones deben seguir.
¿Cómo es la estrategia de Ciberseguridad de Fujitsu? ¿En qué sois más fuertes ahora mismo y en qué os estáis enfocando?
La ciberseguridad es una prioridad para Fujitsu y una de las palancas de crecimiento del grupo a nivel global y en España. Nuestra fortaleza radica en ser una empresa tecnológica especializada en ciberseguridad. Ello nos permite poder dar respuesta a todas las necesidades en materia de detección y respuesta a incidentes, seguridad en infraestructuras y cloud y ciberseguridad en el endpoint donde somos líderes a nivel nacional. También son destacables otras iniciativas donde disponemos de experiencias innovadoras, como es la ciberseguridad en dispositivos médicos, la aplicación práctica de la biometría para la transformación de procesos de negocio, el uso de la IA aplicado en ciberseguridad o la protección de redes 5G.
¿Qué importancia tiene España en la estrategia de Ciberseguridad global del grupo Fujitsu?
El grupo confía en España dotándonos de la capacidades y organización para ser totalmente autónomos aprovechando además las capacidades existentes en otros países gracias a nuestra red de SOCs interconectados. Además, somos uno de los principales negocios de ciberseguridad para la compañía en Europa. Desde nuestro SOC en España ubicado en Sevilla, prestamos servicios a otros países en la región de Europa, dada la confianza que el grupo deposita en nuestros servicios y sobre todo en el equipo humano.
¿Cuál es el mayor reto tecnológico que afronta la Ciberseguridad?
A nivel general, el principal reto es la escasez de talento y la fatiga o estrés de los profesionales actuales que tienen que dar respuesta a las necesidades de las organizaciones. A nivel tecnológico, es destacable la ciberseguridad en entornos cloud dado que los enfoques de protección son totalmente diferentes. Además, el reto de escasez de talento de seguridad se agrava especialmente cuando hablamos de profesionales especializados en cibeserguridad cloud.
¿Hay algún proyecto reciente que nos puedas contar?
Actualmente estamos abordando un proyecto pionero en Sanidad Pública consistente en la ciberprotección de los dispositivos médicos, también conocido como IomT. Internet of Medical Things. Ha sido el primer proyecto en sanidad pública española. Además, estamos seguros de que pronto podremos abordar nuevos proyectos en este ámbito de los dispositivos médicos.
Javier Pérez es el Director de Ciberseguridad de Fujitsu España. Desde dicho rol, Javier lidera un equipo de 100 personas en España dedicadas en exclusiva a ciberseguridad. Fujitsu dispone de un SOC en Andalucía desde el cual se prestan servicios a entidades públicas y privadas en diferentes sectores. Además, desde este SOC se prestan servicios a otros países de Europa en los que Fujitsu opera.
Fujitsu participa activamente en ámbitos disruptivos de la ciberseguridad como la aplicación de la IA, Biometría, ciberseguridad en entornos 5G o en dispositivos médicos (IomT – Internet of medical Things).