Javier Ramos, Chief Information Security Officer (CISO) en Pikolín: “Los peligros están en la red, están en el grado de exposición que tengamos cada uno”

Javier Ramos es Chief Information Security Officer (CISO) de la empresa Pikolín, máster en dirección de Ciberseguridad industrial, y ha sido uno de los ponentes de la UVT en el curso sobre Ciberseguridad celebrado recientemente, además de impartir conferencias en numerosos encuentros empresariales.

-¿Qué es un CISO en ciberseguridad?

-En una empresa, el CISO, es una figura que no está muy introducida, no es muy conocida, pero de alguna forma es saber lo que hace y lo que implica, así como las funciones principales y cuales son las labores que realiza dentro de la empresa. Ademas, dar a conocer temas, para que la gente entienda que la ciberseguridad, tanto en el plano personal como empresarial, es una cuestión que no es pasajera y que ha llegado para quedarse entre nosotros. No vamos a dejar de correr riesgos.

-¿Qué es la ciberseguridad?

-A grandes rasgos, la definiría como la parte con la que vamos a tener que acostumbrarnos a trabajar con ella, en cuanto a que cada vez el mundo es más digital y, este, es un mundo que tiene una gran exposición, tanto del cliente como de la empresa y de los servicios que prestamos. Es una protección que tenemos que convivir con ella, porque el mundo digital nos la va a exigir. No es una opción, es una obligación.

-¿Qué problemas genera esto?

-El mundo de Internet tiene su parte buena y su parte mala. A partir de ahí, se generan ciberdelitos, cibercrimen y toda una serie de negocios, que se aprovechan o lo intentan, e incluso crear daño, tanto en empresas como en particulares para obtener un beneficio; habitualmente es económico, pero en algunos casos puede ser para desestabilizar una empresa, un gobierno o a un país. Incluso cosas que nos llegarían a sorprender.

-¿Cuál es el papel de la formación?

-Nosotros, desde nuestra empresa, lo hemos tenido como una parte esencial. Hemos aprendido qué decir a partir de la experiencia. La formación es obligatoria. Apostamos por la formación presencial obligatoria y apostamos por algunas infografías para salvar el phishing. Tenemos claro que, tanto la formación como la implicación de los empleados son clave y debemos estar implicados en temas de ciberseguridad. Si nuestra empresa tiene un problema, sus empleados deberían tener presente que también tienen un problema.

-¿Cuáles son los peligros? ¿Dónde están?

-Los peligros están en la red. Están en el grado de exposición que tengas. Todos los negocios se tienen que desarrollar en la parte digital y están avanzando en sus portales de venta-web, publicaciones de marca, marketing y todo va hacia el mundo digital. En el momento que estamos expuestos en internet y el mundo digital, la exposición es directamente proporcional a los riesgos. Los malos tienen las capacidades para poder analizar nuestro negocio; tienen datos, a partir de los cuales orquestan ataques y riesgos. Esa información, les da una foto de nuestra empresa para saber por dónde nos pueden atacar y a qué niveles.

¿Por ejemplo?

La petición de rescate de un ransomware (programa dañino de ataque) no es una cifra aleatoria, normalmente. Hay un análisis previo, donde ellos conocen tu negocio, lo que generas, dónde y cómo lo mueves y hasta qué punto pueden llegar a exigirte. Saber a qué tienen que apuntar para hacer daño a tu negocio.

-¿Cómo corregimos estos ataques o daños?

-Sí o sí, tenemos que poner medidas de protección. Evidentemente, esto es un problema, porque para la empresa privada supone un coste, que sale de los presupuestos de la empresa. Es un gasto, pero intentamos cambiar la visión para que no se contemple como gasto sino como inversión. No es comparable el gasto que hacemos con las consecuencias financieras del negocio, si sufrimos un ciberataque.

-¿Qué consecuencias tiene no defenderse?

-Las consecuencias las vemos todos los días en las noticias. En lo personal, puede ser una suplantación de identidad, temas de bulling, temas de chantajes tanto familiares como personales. En lo profesional, tenemos un problema con la ciberseguridad. Una parada, en una empresa de distribución como la nuestra, puede tener unos costes financieros muy importantes y luego unos costes de reputación y de marca.

-¿Qué elementos deberíamos tener en cuenta para defendernos de un ataque?

-La normativa NIS2 (sobre ciberseguridad) ya obliga a tener niveles de defensa sobre protección, disaster recovery, tener un plan de respuesta, un plan crítico de continuidad de negocio, tenemos que tener políticas normativas e incluso planes orquestados de respuesta sobre cómo y qué hacer cuando suframos un incidente. Incluso estamos obligados a publicar, para nuestros empleados, normativas y procedimientos internos.

-¿Somos conscientes del peligro que corremos?

-En lo empresarial cada vez somos más conscientes. Cuando hablamos en las charlas o encuentros, cada vez es más importante la concienciación y hacer llegar el mensaje a los órganos de dirección. En Pikolín existe una concienciación, un seguimiento y una preocupación por la ciberseguridad.