Stormshield es una filial de Airbus CyberSecurity desde hace una década, aunque los orígenes de su compañía se remontan hasta los años noventa. ¿En qué momento se encuentra la empresa actualmente y cuál es su valor diferencial en materia de ciberseguridad?
Stormshield se encuentra, tanto a escala global como local, en una fase de fuerte desarrollo. Así, y mientras a nivel mundial crecimos cerca de un 20 por ciento el año pasado, en España este aumento se situó por encima del 30. Asimismo, en 2022 esperamos un incremento de al menos un 20 por ciento.
Desde hace cuatro años, la estrategia de Stormshield se ha enfocado en las redes críticas, tanto IT como OT, entendiendo como red crítica aquella (de cualquier tipo de organización) que maneja datos de especial sensibilidad.
También estamos haciendo particular hincapié en la obtención de certificaciones de organismos públicos internacionales, empezando por los Common Criteria y continuando por los EU restricted, NATO restricted o certificaciones nacionales como las del Centro Criptológico Nacional (CCN) en España o la Agence Nationale de la Sécurité des Systèmes d’information en Francia.
Por ejemplo, los firewalls de Stormshield son los únicos actualmente con el sello de Producto Aprobado por el CCN. Además, y en un momento como el actual, en el que la geopolítica tiene tanta relevancia, es importante poder contar con un fabricante de ciberseguridad europeo, y, desgraciadamente, quedamos pocos.
¿Cuáles son los objetivos a corto, medio y largo plazo de Stormshield y las líneas estratégicas que seguirá para conseguirlos?
En consonancia con la estrategia corporativa centrada en las redes críticas, la soberanía y la certificación de sus soluciones, tiene sentido que desde Stormshield Iberia nos enfoquemos en sectores donde ya tenemos mucha presencia a nivel corporativo, como son Defensa o Administración Pública, y sobre los que no nos hemos orientado en el pasado. Esta situación, sin embargo, ya la empezamos a corregir hace dos años, colaborando con el CCN y apoyándonos en un canal que conoce bien ambos verticales.
También estamos dirigiéndonos hacia Industria, un área donde contamos con importantes ventajas competitivas por nuestro codesarrollo con Schneider o nuestro DPI de protocolos industriales, capaz de analizar un número de protocolos OT que no alcanza ningún competidor, y para el que se requiere un canal muy especializado en OT. Eso no quiere decir, no obstante, que descuidemos otros sectores. De hecho, tenemos clientes muy importantes en prácticamente todos los verticales, desde ingenierías a telcos.
«Los profesionales de la ciberseguridad debemos trabajar en la concienciación de los clientes»
Stormshield es una compañía especializada en seguridad IT y OT para infraestructuras críticas. ¿Cuál es la posición de la empresa en este mercado tanto en España como a nivel general? ¿Con qué soluciones especializadas cuenta?
Las redes críticas son nuestro foco principal. De hecho, cuando hay elegir qué funcionalidades priorizar en nuestras soluciones, desde I+D lo tenemos en cuenta. Somos de los pocos fabricantes que cuenta con una oferta tecnológica para ambos entornos y para favorecer su interconexión, con soluciones de seguridad para redes críticas y para proteger los puestos de trabajo, que en el entorno OT tienen particularidades como el uso de sistemas operativos obsoletos.
Toda la gama de firewalls de Stormshield entiende y filtra protocolos OT, teniendo algunos modelos «ruggerizados» y en formato DIN1 para entornos más agresivos. También es importante destacar que tenemos varios proyectos grandes de OT a la vista, alguno de los cuales nos está ayudando en nuestra apertura del mercado de Latinoamérica.
¿Cuáles son las principales necesidades y carencias de las infraestructuras críticas y de los servicios esenciales en materia de ciberseguridad y cuáles diría que son los sectores más ciberatacados?
La principal necesidad es la de contar con unos presupuestos adecuados. La inversión en ciberseguridad sigue percibiéndose como un gasto que puede demorarse, cuando desde hace muchos años esto ya no es así. En este sentido, los profesionales de ciberseguridad debemos ser autocríticos y trabajar en la concienciación de los clientes, para que los responsables de ciberseguridad puedan hacer entender a sus direcciones que se trata de una inversión necesaria, que trae ventajas competitivas y que tiene un impacto directo en el negocio.
En cuanto a los sectores más atacados, siguen produciéndose ofensivas de tipo masivo, pesca de arrastre, en los que se intenta substraer cualquier cosa. También se encuentran otros ataques cada vez más dirigidos, y en los que la víctima u objetivo es una infraestructura crítica o un organismo público, como ha pasado con el SEPE o con algunos ayuntamientos.
Uno de los temas de máxima actualidad es la guerra entre Ucrania y Rusia. ¿Cómo se están viendo afectadas las infraestructuras críticas, uno de los principales objetivos de la ciberguerra, desde el punto de vista tecnológico? ¿España debe temer por la ciberseguridad de sus servicios esenciales?
Hace pocos años decíamos que todo evento en el mundo físico tenía consecuencias en el digital o virtual. Ya no distinguimos entre uno y otro. Y si hay una guerra, hay acciones en el ciberespacio. Además, en un mundo tan complejo como el actual, los actores y sus intereses son múltiples. Las infraestructuras críticas son un claro objetivo. Ucrania ya había sido víctima de ataques a su red eléctrica hace años.
Más que temer por nuestra ciberseguridad, debemos ser conscientes de que estamos siendo atacados y lo vamos a seguir estando. Por tanto, debemos tomar todas las medidas necesarias para hacer frente a este tipo de ataques.
Te interesa: Seis consejos de ciberseguridad para proteger los puestos de trabajo ante las amenazas
Un ámbito en el que también está posicionado Stormshield es el de la ciberseguridad industrial, como ha comentado con anterioridad. ¿En qué situación de madurez se encuentran las organizaciones industriales en materia de ciberseguridad? ¿Cuáles son los retos que deberán abordar al respecto en los próximos años?
En su mayoría se encuentran en una situación muy poco madura. Pero es cierto que se trata de un sector muy heterogéneo, con empresas que están preparadas, aunque son las que menos. Hay que tener en cuenta que son redes que tradicionalmente han estado aisladas del exterior y gestionadas por
equipos que conocen muy bien los procesos industriales, pero que no tienen conocimiento de IT y menos de ciberseguridad.
No en vano, ya no existen redes OT aisladas. Cuanto menos, estas están conectadas a los ERP corporativos o permiten a sus proveedores conectarse para hacer mantenimiento de sus PLC, por ejemplo. Por ello, el reto para estas organizaciones es el de proteger sus redes OT sin impactar en el funcionamiento de sus plantas.
Para ello, y como primera medida, deben conocer qué hay en sus redes (algo que muchas veces no es fácil) para, una vez esclarecido, poner medidas para protegerlo a través de la segmentación de redes, el filtrado del tráfico o la securización de los puestos de trabajo, entre otras.
La Directiva NIS2 o la Directiva de Resiliencia están a punto de ver la luz. Desde su punto de vista, ¿en qué aspectos han de avanzar estas normativas y cuáles son los principales cambios que deben reflejar?
En NIS2, la ampliación del concepto de entidades esenciales para dar entrada a sectores como energía, agua, banca o transportes es un claro avance. También el hecho de que extienda los requisitos de seguridad a las cadenas de suministro, que hemos visto que cada vez son más utilizadas en ataques a infraestructuras. Sabemos que los riesgos están en constante evolución, y las directivas que apliquemos deben ser capaces de adaptarse a estos cambios.