La alianza estratégica entre Incibe y la Fundación CEOE quiere formar a las pymes en ciberseguridad: faltan 30.000 especialistas

La Fundación CEOE y el Instituto Nacional de Ciberseguridad (Incibe) han presentado esta semana el Proyecto +Ciberseguridad, fruto de la colaboración entre ambas entidades, cuyo objetivo es fortalecer la protección digital de las empresas españolas, especialmente pymes, microempresas y autónomos, mediante la formación, concienciación y sensibilización a través de jornadas. En el proyecto +Ciberseguridad colaboran la Policía Nacional, la Guardia Civil y la Fundación Hermes por los Derechos de Ciudadanía Digital.

El presidente de la CEOE, Antonio Garamendi, ha recordado que “en España faltan más de 30.000 personas que se dediquen a la ciberseguridad” y ha puesto en valor la colaboración público-privada y el papel de las empresas como “punta de lanza de la sociedad” para aumentar la seguridad del tejido empresarial en España en el ámbito de la digitalización, ya que “entre el 70 % y el 80 % de los delitos son ya digitales”.

“Vamos a trabajar en todos los sectores y en todos los territorios, a través de las organizaciones empresariales de CEOE, que son más de 4.500”, ha añadido, “para que España sea una potencia en ciberseguridad”.

Tras la intervención del presidente de CEOE, el secretario de Estado de Telecomunicaciones e Infraestructuras Digitales, Antonio Hernando, ha asegurado que “la digitalización es inexorable y, por tanto, también lo es la ciberseguridad”, al tiempo que ha dado un dato: “El Incibe ha recibido este año más de 83.000 incidentes informáticos, un 24 % más que el año anterior”, lo que pone de manifiesto que este fenómeno va en aumento.

Por su parte, la presidenta de la Fundación CEOE, Fátima Báñez, en su intervención para clausurar el acto, ha puesto el foco en “las alianzas, porque juntos somos capaces de dar mejor la batalla y tener un mayor impacto en la sociedad”. También ha subrayado la importancia de la “preparación y formación permanente de los trabajadores”.

Fátima Báñez recuerda la necesidad de formar a los trabajadores en competencias digitales y en materia de ciberseguridad. (Imagen: CEOE)

El director general del Incibe, Félix Barrio, ha resaltado el “gran esfuerzo de país” que se está haciendo para aumentar “la capacidad de todo el tejido empresarial y de los usuarios de estar preparados ante la vulnerabilidad de la tecnología y el riesgo tecnológico”. “Esto requiere preparación, formación, concienciación e inversión”, según el responsable del Incibe, quien ha concluido afirmando que “una empresa será tan segura como lo sea toda la cadena de valor de sus partners y proveedores”.

Hay que proteger a las pymes

A juicio de Francisco Pérez Bes, socio de derecho digital en Ecix Tech, se trata de una iniciativa positiva, puesto que “por todos es sabido el gran impacto negativo que los incidentes de ciberseguridad en general, y los ciberdelitos en particular, están teniendo en el tejido empresarial más vulnerable, como son las pymes, micropymes y profesionales autónomos”.

Sin embargo, para él «el enfoque que se da a este tipo de iniciativas públicas parece seguir siendo el de tratar a las pequeñas empresas como si fueran un ente ajeno a las personas que las componen, quienes, en el fondo, son los grandes afectados por los ciberataques. Por ello, es recomendable abordar esta cuestión poniendo a las personas en el centro, con independencia del formato societario que se elija para actuar en el tráfico mercantil».

“También es muy destacable la presencia de los grupos especializados en la lucha contra la delincuencia informática de la Policía Nacional y la Guardia Civil, quienes podrán ayudar a mejorar los canales de denuncia para que estas entidades puedan acudir a ellos de manera rápida y eficaz, a los efectos de interponer la correspondiente denuncia y que el proceso de investigación del ciberdelito se active cuanto antes”, indica.

En este sentido, remarca que el rol del Incibe-Cert sigue siendo de gran valor estratégico de cara a ofrecer un soporte técnico especializado para cualquier pequeña y mediana empresa afectada por cualquier tipo de incidente de ciberseguridad, sea o no un acto tipificado como delito.

«No obstante, parece una oportunidad perdida el que no se cuente con otras organizaciones con gran trayectoria e importancia estratégica en el ámbito de la ciberseguridad de las pymes, como puedan ser las cámaras de comercio o la propia Agencia Española de Protección de Datos (AEPD), e incluso Unión Profesional», lamenta el que fue secretario general del Incibe hasta 2020.

Francisco Pérez Bes destaca que los nuevos retos de la ciberseguridad obligan a la colaboración público-privada. (Imagen: Ecix Group)

En cuanto al reporte del número de incidentes gestionados desde el Incibe, llama la atención el mensaje, que parece repetirse año tras año, afirmando que se gestiona un 24 % más de incidentes que el año previo, cuando de las propias memorias publicadas por el Instituto se puede observar cómo el número de incidentes gestionados se reduce.

«Este dato, de confirmarse, puede ser preocupante» —advierte este experto—, «ya que, si se debiera a una disminución de las capacidades de detección de ciberincidentes, deberíamos analizar los motivos que lo provocan».

En efecto, este medio ha podido comprobar cómo las memorias anuales de Incibe reflejan una preocupante reducción del número de incidentes reportados, que en 2022 fue de 118.820, mientras que en 2023 se reportaron 83.517.

En todo caso, concluye Pérez Bes, “la colaboración entre las empresas, la patronal y las fuerzas y cuerpos de seguridad del Estado es imprescindible de cara a enfrentarnos a los nuevos retos que trae consigo la ciberseguridad, a la vez que dotar a estos cuerpos policiales de recursos suficientes para poder ayudar de verdad al tejido empresarial español en su lucha contra la ciberdelincuencia”.

Urge crear la cultura de ciberseguridad

Para Cristina Muñoz-Aycuens, directora de Forensic en Grant Thornton España, “tal y como indica Antonio Garamendi, actualmente hay una gran necesidad de profesionales dedicados a la ciberseguridad, y de ahí la relevancia del acuerdo al que han llegado Incibe y la Fundación CEOE. Es importante, no solo que existan profesionales formados y dedicados a la ciberseguridad, sino también que exista una cultura de ciberseguridad general en las empresas y en todos los empleados”.

Desde su punto de vista, “es importante recordar que el eslabón más débil de la cadena es el que integran los miembros de cualquier organización, y de nada sirve tener unas medidas de seguridad robustas si, mediante técnicas de ingeniería social, los ciberdelincuentes son capaces de engañar a los integrantes de cualquier empresa y, de esta forma, consiguen acceder a los sistemas de la compañía”.

“Recordemos que la gran mayoría de ciberincidentes tienen su origen en alguna imprudencia realizada por parte de algún integrante de la organización; para ello basta con un clic en un archivo recibido con apariencia de normalidad”, comenta.

Esta experta recuerda que “según un estudio de 2023, el 43% de los ciberataques se realizaron a empresas pequeñas, por lo que realmente es muy importante que el objetivo de la alianza sea fortalecer la protección digital, especialmente de las pymes, microempresas y autónomos españoles”.

A su juicio, “es claro que no puede haber una transformación digital como la que se está materializando en los últimos años, la cual es exponencial, sin que se apliquen las medidas adecuadas de ciberseguridad. Es natural que el 70%-80% de los delitos sean digitales, puesto que ya vivimos en un mundo digital e interconectado, en el que la gran mayoría de las cosas las hacemos a través de un dispositivo”.

Cristina Muñoz-Aycuens advierte que, sin una política de ciberseguridad, las empresas no pueden afrontar su transformación digital. (Imagen: Grant Thornton)

Para la directora de Forensic de Grant Thornton, “en línea con lo que indicó Antonio Hernando, los ciberincidentes no van a cesar, sino que se van a incrementar, y no solo se van a ver incrementados en número, sino en sofisticación. Cada vez es más complicado identificar de forma clara un phishing, y más complicado se va a hacer cuando se utilicen de forma asidua y regular los deepfakes”.

En su opinión, es importante que se impulsen este tipo de iniciativas y, por supuesto, la colaboración público-privada, que para ella es esencial: “Con esta colaboración se puede llegar a muchas más empresas y aportarles el conocimiento en materia de ciberseguridad que es necesario para hacer de España un país mucho más ciber-resiliente”.

A su juicio, “no podemos perder de vista que existen muchas pymes y autónomos que no podrían hacer frente a sus negocios si sufren un ciberataque y, por lo tanto, el foco que se va a hacer en este sector mediante esta alianza es esencial”.

Y al final señala que “esto no solo afecta a pymes y autónomos; es evidente que las grandes corporaciones están dotadas de un entorno de control ciber robusto, pero no por ello están exentas de riesgo y, por consiguiente, del impacto tanto operativo como económico que supone un ciberataque”.

La importancia de las alianzas estratégicas

Por su parte, Luis María Latasa, socio y director del departamento de IP/IT en Ejaso, recuerda que “en un mundo cada vez más digitalizado, la ciberseguridad se ha convertido en una prioridad crítica para gobiernos, empresas y ciudadanos. Los ciberataques son cada vez más sofisticados y frecuentes, lo que pone en riesgo no solo la información sensible, sino también las infraestructuras críticas de los países”.

“En este contexto, las alianzas estratégicas entre el sector público y privado, así como entre diversas asociaciones, se presentan como una herramienta esencial para fortalecer la ciberseguridad. Por ello, las normativas europeas como Dora o NIS2 ponen especial foco en la colaboración, ya sea entre Estados miembros o con organismos públicos y partes interesadas”, indica.

Ese jurista recuerda que “en este sentido, se ha creado un Grupo de Cooperación para intercambiar información y cooperar con los puntos de contacto únicos, así como con los CSIRT y las autoridades competentes designadas en virtud de dichas normas”.

Luis María Latasa cree que las alianzas estratégicas, como esta de Incibe con CEOE, son claves para mejorar la ciberseguridad. (Imagen: Ejaso)

“Además, dichos CSIRT deberán establecer relaciones de cooperación con partes interesadas del sector privado; y, por su parte, las entidades esenciales e importantes deben abordar los riesgos derivados de sus interacciones y relaciones con otras partes interesadas dentro de un ecosistema más amplio, por ejemplo, para luchar contra el espionaje industrial y proteger los secretos comerciales”, comenta.

A su juicio, “en nuestra opinión, las alianzas público-privadas en ciberseguridad permiten combinar recursos y conocimientos de ambos sectores para enfrentar amenazas comunes. El sector privado, con su capacidad de innovación y agilidad, puede desarrollar tecnologías avanzadas y soluciones rápidas. Por otro lado, el sector público puede proporcionar el marco regulatorio y los recursos necesarios para implementar estas soluciones a gran escala”.

Como ejemplo de esta colaboración, señala “la creación de centros de respuesta a incidentes de ciberseguridad (CERT) que operan en muchos países. Estos centros, a menudo gestionados conjuntamente por entidades públicas y privadas, permiten una respuesta coordinada y eficiente ante incidentes cibernéticos, compartiendo información y mejores prácticas en tiempo real”.

“Además de las colaboraciones público-privadas, las alianzas entre asociaciones y organizaciones no gubernamentales también juegan un papel crucial. Estas alianzas permiten la creación de redes de confianza y cooperación que trascienden fronteras y sectores. La última de estas alianzas es la que se ha firmado entre el Incibe y la Fundación CEOE, que tiene por objetivo formar a las empresas en materia de ciberseguridad”, comenta.

Desde su punto de vista, “estos programas de formación conjunta, que promueven una cultura de seguridad cibernética desde la base, disponen de beneficios más que evidentes. Sin embargo, no todo son ventajas, y las alianzas estratégicas en ciberseguridad también enfrentan desafíos. Y es que la coordinación entre múltiples actores puede ser compleja, y las diferencias en objetivos y prioridades pueden generar fricciones”.

Otra cuestión que valora es que “no podemos olvidar que la ciberseguridad requiere de profesionales altamente capacitados, y actualmente existe una escasez significativa de talento en este campo. Es muy habitual ver que se llega a un acuerdo potencialmente muy beneficioso, pero que nunca termina de llevarse a cabo con la profundidad necesaria por falta de recursos humanos capacitados para ello”.

Desde su punto de vista, “como dice el refrán, obras son amores, y no buenas razones. Hay muchas alianzas supuestamente estratégicas que, si no se hace un seguimiento correcto de ellas y se ponen medios humanos y económicos para sostenerlas, solo sirven para ser noticia o salir en la foto, pero no acaban de tener los efectos deseados”.