El Informe Anual de la Fundación Empresa Seguridad y Sociedad Digital (ESYS) se ha presentado en el I Encuentro Anual ‘Seguridad en tiempos de incertidumbre’. Matías González Martín, secretario general de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual del Ministerio para la Transformación Digital y de la Función Pública, recuerda que “la ciberseguridad no es un lujo ni una opción, sino un ámbito esencial de la defensa y la seguridad nacional”. Tanto las autoridades públicas como las empresas privadas “tienen la obligación de implicarse y tomar decisiones ante los riesgos crecientes en el ciberespacio, un entorno donde se producen conflictos entre Estados y entre empresas, con ataques, espionaje y todo tipo de amenazas”.
Resalta que España cuenta con “una estructura de ciberseguridad sólida, con capacidades públicas y privadas muy desarrolladas, tanto a nivel estatal como autonómico”. “Es el segundo del mundo en número de centros de operaciones de seguridad, solo por detrás de EEUU”, subraya.
Carlos López Blanco, presidente de Fundación ESYS, apunta que el Informe Anual pone de relieve “una vulnerabilidad creciente que obliga a entender la ciberseguridad como un concepto integral, en el que la gobernanza pública y la transformación cultural son factores decisivos”. España obtiene una puntuación de 2,4 sobre 5 en el Índice de Madurez Regulatoria y de Gobernanza Pública, un aprobado raspado que refleja el trabajo pendiente que aún queda por delante para equipararse a la transposición normativa europea, aunque destaca la solidez del Esquema Nacional de Ciberseguridad.
El Índice de Cumplimiento Corporativo y Cultura de la Seguridad sitúa a las grandes empresas en un 3 sobre 5, mientras que las pymes apenas alcanzan el 1 sobre 5, lo que evidencia —según López Blanco— que “las grandes compañías han asumido la cultura de la ciberseguridad, pero las pymes aún se encuentran en las primeras fases de ese proceso”. Si se tiene en cuenta que el 99%del tejido empresarial español lo conforman pymes, estamos ante un desafío muy importante.
España sufre más de 100.000 ciberincidentes gestionados al año según el Incibe. Supone el 23% más que un año antes. El mercado de la seguridad supera los 8.000 millones€. Solo el 8% de las entidades públicas están certificadas en el Esquema Nacional de Seguridad y apenas el 2% de las empresas españolas ha desarrollado una estrategia completa de ciberseguridad, pese a que tres de cada cuatro compañías han sufrido ciberataques.
Además, alerta del incremento de los ataques a sectores críticos —un 43% más en el último año— y advierte de que uno de cada cinco incidentes presenta ya características híbridas, apuntan también a dispositivos físicos.
El excomisario Europeo de Seguridad de Reino Unido, Sir Julian King, destaca que “la seguridad ha vuelto a ocupar un lugar central en la agenda internacional, con el retorno de la guerra a gran escala en Ucrania y las tensiones en Oriente Medio y Asia-Pacífico”. Estos escenarios “han devuelto la seguridad integral al primer plano de las grandes reuniones internacionales que se están celebrando en Asia esta semana, en las cumbres de la ASEAN y la APEC”.
Alerta del "notable aumento de la fragmentación del orden internacional en bloques geográficos e ideológicos”. Europa “debe afrontar el reto de definir su papel y sus prioridades en un escenario dominado por la competencia entre grandes potencias como EEUU y China”.
Laura Iglesias, miembro del ENISA Advisory Group, y Eva del Hoyo-Barbolla, Senior Advisor en el Banco Europeo de Inversiones, señalan la importancia de la colaboración entre las Agencias Europeas y las Nacionales en cuanto a resiliencia digital.
La cooperación público-privada en la era de la ciberinteligencia ha protagonizado el debate entre Graham Cundy, asesor de Riesgos Estratégicos Geopolíticos en Earendel Associates y antiguo director de división en las Fuerzas Armadas del Reino Unido, y Jakub Kalenský, del Centro de Excelencia de OTAN/EU de Amenazas Híbridas. Porque estas amenazas “buscan socavar nuestras democracias desde dentro, erosionar la confianza en las instituciones y dividir a las sociedades mediante la manipulación informativa o el mal uso de nuevas herramientas como la IA”. También han alertado sobre cómo la reacción occidental sigue siendo lenta frente a actores que “no distinguen entre el ámbito público y el privado”, y han advertido que “si no se responde con rapidez y coordinación, se acaba incentivando la agresión”.
La regulación en materia de ciberseguridad ha sido otro de los puntos clave dentro del encuentro. Vicente Moret, secretario del Patronato de la Fundación ESYS, y Jaime Calvo, director de la Asesoría Jurídica de Litigios, Ciberseguridad y Riesgo Legal del Banco Santander, han coincidido en que “la ciberseguridad es una inversión imprescindible, pero también un desafío frente a un entorno cambiante en el que los ataques evolucionan más rápido que las regulaciones”. Ambos han alertado que los marcos regulatorios “a menudo, se quedan cortos ante nuevas amenazas como los deepfakes o las cuentas mula”, y han remarcado la importancia del intercambio de información entre organismos y empresas, aunque “las normativas de privacidad pueden dificultar esa cooperación”.
El tratamiento de la seguridad en los medios de comunicación ha protagonizado un debate entre Juan Zafra, director general de CLABE, Emilia Pérez, directora internacional de la Agencia EFE, y Enrique Andrés Pretel, director de defensa de El Confidencial.
Juan Antonio Rodríguez Álvarez de Sotomayor, coronel jefe de la Unidad de Coordinación de Ciberseguridad-UCCIBER de la Guardia Civil, avisa que “el paradigma ha cambiado en el ámbito de la ciberseguridad. Ya no es un aspecto técnico, no es solo firewall. La responsabilidad de la ciberseguridad no es solo del CISO, transciende hacia la alta dirección y a todos los trabajadores”.