Carlos Abad: «Queremos reducir un 80% la vulnerabilidad de la pyme gipuzcoana a los ciberataques»

Carlos Abad (nacido en Madrid en 1982, desde donde se trasladó a Donostia con apenas dos años) se estrena como director general del Centro de Ciberseguridad Industrial (Ziur), promovido por la Diputación Foral de Gipuzkoa, con una entrevista con DV realizada pocos días después de firmar su contrato. A pesar de la celeridad del encuentro, Abad responde con aplomo y, sobre todo, con una seguridad aplastante que revela su elevado conocimiento y experiencia en el sector. La idea que guiará a Ziur, adelanta, será la de mejorar la competitividad de las empresas del territorio mediante la puesta a su disposición de herramientas suficientes con las que combatir una amenaza real y que cifra en casi 300 millones anuales.

-¿Cuál es la razón de ser de Ziur?

-El centro nace volcado en la ciberseguridad industrial, de manera que el proyecto ayude a mejorar la competitividad de nuestras empresas.

-¿Cómo?

-Protegiendo a las empresas 'per se', ayudándoles a generar conocimiento, mejorando su producto en el ámbito internacional... ¿Por qué este centro? Aunque la ciberseguridad no es nueva, vivimos en un contexto marcado por la alta competitividad, la internacionalización o la digitalización de los procesos. Usar la tecnología implica asumir unos riesgos. La industria de Gipuzkoa es altamente tecnológica, luego afronta esos riesgos. Reforzar sus capacidades frente a este reto es nuestra misión.

-¿Ser ciberseguro es ser más eficiente o más competitivo?

-A veces la empresa está centrada en ser muy eficiente en su cadena de producción, en su producto, pero no tanto en los procesos de soporte que ayudan a construir ese valor pero que no están tan relacionados con los ingresos. Es algo que no se tiene tanto en cuenta.

-La concienciación de las empresas parece tan importante como dotarles de capacidades, ¿no?

-Esto es muy interesante. Hay meses de trabajo detrás de Ziur. Y, entre otras cosas, una encuesta a cien empresas del territorio que revela que la seguridad es una percepción. Te puedes sentir seguro, aunque no lo estés. Ese trabajo dice que hay concienciación, pero realmente la implementación de medidas y el desarrollo de las mismas no está suficientemente trabajado o maduro. Al menos como para garantizar la continuidad de la actividad.

-¿Estamos 'in albis' en esto?

-Algo sabemos, pero no todo lo que deberíamos. Y, sobre todo, no somos capaces de implementar los mecanismos que necesitamos. Ziur tiene un secreto y es su verticalidad, centrada en el sector industrial.

-¿Cómo es de cibersegura la industria vasca o guipuzcoana?

-Hemos analizado el tejido y, la verdad, hemos detectado vulnerabilidades. Nuestra industria ha introducido sistemas de automatización y nuevas tecnologías, y eso nos hace vulnerables. Hemos conocido recientemente, por datos del Centro Vasco de Ciberseguridad, que en Euskadi el impacto económico de los ciberataques es de 840 millones, lo que si lo extrapolamos a Gipuzkoa tomando en cuenta el peso de nuestra industria podemos hablar de 290 millones. ¿Son inseguras? Ese es el coste.

-¿Arranca usted con algo parecido a un plan estratégico?

-Sí. El centro tiene un plan de acción con dos líneas maestras que pasan, principalmente, por reforzar la ciberseguridad de la empresa guipuzcoana. Y, por otro lado, por dotar de infraestructura tecnológica al territorio para poder desarrollar capacidades de certificación de productos y servicios. Desde el inicio hemos construido el proyecto en base a un contacto profundo y permanente con nuestra industria y con nuestras empresas de ciberseguridad. Hemos monitorizado una veintena de industrias para ver en detalle sus necesidades y, por supuesto, hemos hablado con todos los actores para definir la estrategia.

-¿Qué nota obtiene la empresa guipuzcoana en ciberseguridad?

-Hay un nivel muy bajo, inferior al 20%, de implantación de estándares y buenas prácticas de ciberseguridad y, además, la mitad de la industria tiene sensibilidad para certificar como ciberseguros sus productos. Por ejemplo, nuestra máquina-herramienta es muy competitiva y esas máquinas forman parte de procesos estratégicos de otros. Por eso hay que pensar que un producto, una máquina, ciberseguros construye valor no solo en tu empresa sino en la del cliente.

-¿Somos conscientes de esto?

-Creo que cada vez más nos damos cuenta de que los clientes finales empiezan a pedir productos ciberseguros. A veces, por este asunto pierdes competitividad y hasta contratos. El grado de concienciación va en aumento en la medida en que el producto tiene más valor añadido y la empresa en cuestión trabaja en la cadena internacional.

-La pyme o micropyme es el corazón de la industria guipuzcoana. ¿Lo tiene peor en este asunto?

-Evidentemente, tienen menos capacidades para incorporar recursos. Por eso uno de los objetivos que tiene Ziur es dar respuesta a grandes y pequeñas. Para la pyme queremos promover unos criterios mínimos de buenas prácticas con los que reducir un 80% la vulnerabilidad a los ciberataques. Piense que ese 80% hace referencia a cuestiones muy comunes entre las empresas y que si se reduce, el beneficio general es muy alto; estoy pensando en campañas de 'phising' o 'ramsonware', que con un esfuerzo pequeño se pueden combatir. Hablamos de generar una cultura de ciberseguridad aplicada a la realidad de cada negocio.

-¿Cómo?

-A través de sesiones de concienciación, de formación y, como le decía, incorporando estándares internacionales que, sin ser demasiado pesados, podamos aplicarlos rápido. Hablo de herramientas de diagnóstico o de puesta en marcha de acciones sencillas e incrementales que reduzcan la vulnerabilidad. En las empresas pequeñas, la superficie de exposición también es pequeña, lo que nos ayudará...

-¿Cuesta mucho dinero estar protegido frente a esos ataques?

-Le devolvería la pregunta para plantearle si cuesta mucho dinero parar la producción.

-¿Y son muchas las empresas guipuzcoanas que han parado la actividad por un ciberataque?

-(Sonríe). Una de las cosas que más relacionada está con la ciberseguridad es la comunicación de los incidentes, que a veces no se hace por desconocimiento de a dónde hacerlo o por miedo a ser tachado de vulnerable. Hay algo muy relevante, que es que en Euskadi los ataques crecen un 20% frente al 6% del Estado. Esto puede ser por dos cosas, por un mayor número de ataques o por que se comunican más. Cuando sea normal la comunicación, podremos valorar todo mejor. Hay una directiva europea del pasado mayo que ya obliga a comunicar.

-¿Qué forma jurídica tiene Ziur?

-Es una fundación, 95% en manos de la Diputación y 5% en las del Ayuntamiento de San Sebastián.

-¿No hay actores privados?

-No.

-¿Y los habrá?

-No hay socios fundadores privados, lo que no significa que no los pueda haber en el futuro.

-¿En este sentido, cómo va a ser la relación con la empresa privada?

-Miramos constantemente a la empresa, y lo razonable es que se incorporen a nuestra actividad. Lo que no está definido es bajo qué formato.

-¿Presupuesto, contrataciones, fecha de arranque...?

-El presupuesto para este año es del entorno al millón de euros, con un plan de acción con hitos concretos. Abriremos la sede en octubre o noviembre en el parque de Zuatzu. Tenemos en agenda trabajar y reunirnos con la industria, con las empresas de ciberseguridad, con los centros tecnológicos y con las universidades. Al presupuesto anterior hay que sumar otros 400.000 euros anuales en ayudas para desarrollar estas capacidades que se acaban de poner en marcha por parte de la Diputación. En cuanto a la contratación, incorporaremos este año una dirección técnica y un perfil técnico (habrá otro más en el primer semestre de 2019), así como otro de carácter administrativo.

-Hay cantera en Gipuzkoa. Se supone que no le costará mucho encontrar a sus compañeros...

-Hay cantera, pero también hay demanda. Ya hay candidatos para la dirección técnica, que se resolverá en septiembre. Conformaremos un equipo modesto, pero esperamos hacer mucho gracias a esa colaboración con los agentes del territorio. Y sobre la cantera, cabe recordar que el Gobierno Foral ha colaborado con el máster de ciberseguridad de Mondragón Unibertsitatea y con el grado de FP del instituto Zubiri Manteo. Eso son treinta personas más con formación en ciberseguridad cada año.

-¿Cuáles son los fallos en cibersemás comunes?

-Uno tiene que ver con la segmentación de redes, que no siempre se tiene en cuenta cuando se digitaliza una fábrica. Y otro hace referencia a la presencia de terceros en tu propia red.

-¿...?

-Las empresas contratan instaladores o mantenedores, y tenemos que tener unos criterios mínimos de seguridad para saber qué sucede.

-¿A lo mejor nos generan un problema sin saberlo...?

-¡Claro! ¡Por supuesto! Un incidente puede generarse de forma voluntaria pero también involuntaria. Hay otro problema que viene de la distinta vida media de los equipos, que en la industria es larga, mientras la tecnología se ha de actualizar cada poco tiempo. La coexistencia genera problemas. Hay otra cosa importante y es que el uso de tecnologías muy extendidas supone una exposición a ataques dirigidos a marcas muy concretas.

-¿Eso sucede en Gipuzkoa?

-Sin duda. El factor de escala que tiene dedicar recursos a atacar a un equipo distribuido por todo el mundo es enorme.

-Hablamos de ataques que a veces son puros chantajes, ¿no?

-A veces te encriptan una parte de tu información y te piden dinero para recuperarla. Si no tienes un plan de contingencia... Otras veces usan a las personas como eslabón más débil. Hay un punto muy relevante y es que en Gipuzkoa tenemos un alto valor añadido en propiedad industrial. Hay diseño, por ejemplo, que tenemos que proteger. A lo mejor no te paran la planta, pero te roban o te alteran esa propiedad industrial.

-¿Qué relación tendrá Ziur con el centro del Gobierno Vasco?

-Será de colaboración, como con el Incibe (el centro estatal). Una de las máximas en este sector es que hay que colaborar. No hay suficientes manos para dar respuesta a todo. Ya tenemos fecha para vernos con el responsable del centro vasco. No vamos a convertirnos en un centro de atención de incidencias (CERT). Seremos un faro para la industria guipuzcoana a la hora de capturar información, que luego compartiremos. Esa verticalidad en la industria nos permitirá crear un polo de conocimiento.

-¿Y en el ámbito internacional?

-Somos parte de la Organización Europea de Ciberseguridad (ECSO) y estamos trabajando con una asesoría internacional. Es fundamental tener información internacional. Y pensamos tener también relación con certificadores y otros agentes de ámbito mundial. Esto de la certificación en ciberseguridad, que será otro eje de Ziur, es muy importante, pues es realmente difícil corregir algo cuando un producto o servicio ya está en el mercado.

-Hablaba de las empresas de ciberseguridad guipuzcoanas...

-Queremos apoyarnos en ellas, pues aunque algunas son competidoras, la inmensa mayoría son complementarias. Queremos generar riqueza también en ese sector mediante convocatorias competitivas y transparentes. Nuestro cliente es la industria guipuzcoana y nuestro aliado, la firma ciberseguridad del territorio.