José María Ochoa: «Con las tecnologías no nos preocupa la seguridad, sólo que nos funcionen»

El último ciberataque a nivel mundial con el virus ‘wannacry’ ha levantado la voz de alarma entre compañías empresariales y administraciones, pero también entre los propios usuarios. José María Ochoa cuenta con una gran experiencia en asesoramiento a través de Alhambra-Eidos y advierte que nos hemos incorporado las nuevas tecnologías sin preocuparnos por las medidas de seguridad.

-¿Qué importancia adquiere la ciberseguridad en su empresa?

-Desde hace muchos años, la importancia de la ciberseguridad es muy elevada. Realmente hemos integrado y operado plataformas de seguridad TI desde los inicios de la compañía, pero desde hace 3 ó 4 años lo que hemos hecho es repensar y plantear escenarios de gestión de dicha seguridad, escenarios que plantearan las capacidades tan crecientes de control y visibilidad que actualmente se necesitan para el buen gobierno de los servicios TI de cualquier compañía.

Además, esto último ha sido una premisa de trabajo, ya que intentamos llevar las capacidades que puede tener una gran compañía a empresas más pequeñas. Al fin y al cabo España está llena de pymes que también deben de preocuparse por la seguridad de sus sistemas, sus datos...

-La infiltración en los sistemas informáticos del virus ‘wannacry’ ha provocado el pánico en empresas y gobiernos ¿por qué?

-Yo creo que principalmente ha provocado el pánico porque nos ha hecho ser conscientes de que el peligro es real, ha puesto en contexto -y además muy de cerca- lo que hemos oído estos últimos años pero que nos parecía lejano (los ataques a multinacionales americanas...). Al sufrirlo aquí en España y al actuar los medios de comunicación de altavoz, parece que se amplifica la sensación de vulnerabilidad. Pero el hecho es que multitud de compañías, tanto pequeñas como grandes, durante este último año 2016 han sufrido cantidad de ataques de ransomware con enormes pérdidas tanto económicas como operativas.

-¿Qué balance hace de lo que ha ocurrido?

- El balance en nuestra opinión es medio malo, ya que aunque ha sido un ataque con un impacto muy alto, la reacción de las compañías para remediarlo no ha sido tan nefasta como podríamos pensar. Como todo en la vida, con lo malo sacamos cosas buenas; nos ha permitido conocer la capacidad de reacción de las compañías ante una amenaza real y nos ha puesto encima de la mesa algo importantísimo en el ámbito de la seguridad TI como es la concienciación.

-¿Cuáles son los pasos que hay que dar ante un ataque informático de este calibre?

-Lo primero que debemos tener es tranquilidad, correr a lo loco es algo que puede ir en contra nuestra. Pero sí tenemos que realizar ciertos procedimientos y buenas prácticas de gestión de TI de manera eficaz. Como siempre, lo importante es informar desde el inicio y yo diría que tanto interna como externamente. En OneseQ, el área de ciberseguridad de Alhambra-Eidos, siempre nos gusta recordar la diferencia entre los hackers ‘malos’ y nosotros, y es que ‘los malos’ comparten información casi al segundo de haber sucedido el ataque y nosotros ocultamos lo que nos ocurre.

Esto es algo lógico pero que nos resta capacidad de reacción y también de previsión, cosa importantísima. Cada día somos más las empresas que damos servicios gestionados de seguridad así que fluya la información entre los proveedores de servicios de ciberseguridad, los clientes y las entidades gubernamentales es importantísimo para adelantarnos a los posibles impactos de un ciberataque.

Además de esa primera fase, los siguientes pasos son más procedimentales y técnicos y cada uno deberá de aplicar sus medidas dependiendo de la profundidad del impacto en sus sistemas; el aislamiento de las zonas afectadas para cortar la posible infección del resto de los recursos, y la activación de los sistemas de recuperación serán los puntales que hagan que tengamos el control en el menor de los tiempos y, por lo tanto, la menor pérdida de actividad que pueda asumir nuestra compañía.

-A nivel de usuario ¿piensa que falta información en el manejo de redes sociales y uso de internet en general?

-En realidad, a nivel usuario falta de todo… Como diría un buen crítico. Nos hemos subido a las tecnologías con poco conocimiento, aprendemos a usarla a fuerza de golpes, y sin embargo la usamos como si fuera nativa para nosotros. No nos preocupamos por la seguridad, nos preocupamos porque nos funcione y con ello estamos satisfechos. Un ejemplo: ¿quién se lee los textos de información de lo que hace una app? Todos damos a ‘aceptar’ sin conocimiento.

Sin concienciación es imposible avanzar en la securización de nuestros entornos, tanto personales como profesionales. Formemos, instruyamos e informemos, porque creo que son aspectos importantísimos que nos permitirá un mayor control y con ello pondremos las cosas más complicadas a los atacantes. El uso de la tecnología no es que sea imparable, es que es necesario porque es la manera de transformar muchas de las cosas que nos permitirán un mayor grado de bienestar, pero usémosla con cabeza y entendamos que el eslabón más débil en la cadena de la seguridad somos las personas, los usuarios. La ingeniería social para realizar un ciberataque suele estar en el primer paso de cualquier protocolo de inicio del mismo, por lo que no lo pongamos tan fácil.

-En un congreso celebrado en marzo usted explicó que España es uno de los países europeos que más ciberataques recibe ¿cuál es el motivo?

-Como explicamos en este evento, lo que se visualiza en España es que somos un país atractivo por dos cosas: lo primero es que tenemos unas infraestructuras de comunicaciones bastante potentes, en donde el despliegue de la conectividad a internet de estos últimos años ha sido muy elevado, lo que supone una gran plataforma de conexión y esto es algo que los ciberdelincuentes aprecian para sus ataques masivos, aspecto que se mezcla con el segundo punto, y es que nuestro nivel de madurez en seguridad es bajito. Estas dos cosas juntas nos pone en la diana para ser ‘puente de ataques’ y de paso para ser ‘objetivo de ataques’. Pero nada mejor como saberlo para poder actuar sobre los déficits que tenemos y ponernos manos a la obra para mejorarlo. La concienciación será una de las llaves que puede cerrar un poco más la puerta, como hemos comentado antes.