¿Cuáles son los grandes retos de la industria de la ciberseguridad en España para los próximos años?
Desde la posición de Leet Security como agencia de calificación de ciberseguridad vemos un gran reto para asegurar la cadena de suministro, tanto de servicios como de productos. Hoy en día, nadie puede considerarse aislado del exterior y todos dependemos, en mayor o menor medida, de terceros para la realización de nuestra actividad. Cómo asegurar que dichos terceros no suponen un riesgo para nuestra compañía no es trivial y va a requerir de un cambio de mentalidad en todas las compañías.
En particular, en este escenario –que, por otra parte, está cada vez más regulado– supone un reto adicional la seguridad de pequeñas y medianas empresas que, al fin y al cabo, son la mayoría del tejido empresarial y que necesitan no solo que se las exija un mayor grado de seguridad, sino que se las acompañe en ese proceso, porque no cuentan (ni tienen fácil acceso) al conocimiento necesario para ello. Aquí, organismos como INCIBE tienen mucho que decir en esa labor, porque pueden ser la clave para mejorar la ciberseguridad del ecosistema empresarial.
Desde su punto de vista, ¿qué ciberamenazas predominarán durante este año?
Aunque es difícil predecir por dónde van a sorprendernos los distintos agentes que suponen una amenaza, pienso que vamos a ver una cierta continuidad en la corriente actual en la que los ataques de ransomware (complementados con amenazas de exfiltración) van a seguir siendo la estrella. Creo también que van a ser cada vez más corrientes los ataques a la cadena de suministro, tanto proveedores de servicios relevantes (estilo a lo que hemos visto de Exchange) como proveedores de piezas de software clave en la operación (tipo SolarWinds).
¿Cómo ayuda su empresa a los usuarios a protegerse de las amenazas o a cubrir sus necesidades de ciberseguridad?
La labor de Leet Security es, fundamentalmente, aportar transparencia sobre el estado del nivel de ciberseguridad del ecosistema de servicios tecnológicos o que hacen uso de tecnología. En este sentido, nuestra metodología de calificación permite a los usuarios, por una parte, conocer el nivel de ciberseguridad de todos aquellos que pueden suponer un riesgo para ellos; es decir, les permite conocer hasta qué punto esos terceros pueden ser el eslabón más débil de su ámbito de protección.
Y por otra, permite a los proveedores de servicios mostrar a sus clientes, de manera eficiente y objetiva, el nivel de ciberseguridad de los servicios que les ofrecen, a la vez que pueden usar la metodología de evaluación para entender cuáles son sus puntos débiles y establecer planes de mejora basados en criterios objetivos.
En resumen, permite mejorar el nivel de ciberseguridad de todo el ecosistema gracias a la transparencia y la objetividad de la metodología de calificación. Esto ha quedado de manifiesto en el apoyo que el sector financiero nacional ha dado a esta forma de abordar el reto de la seguridad en la cadena de suministro, con el lanzamiento del servicio de calificación de proveedores del sector financiero Pinakes.