“O camiño cara a unha sociedade cibersegura pasa por facer que o tecido empresarial sexa ciberseguro”
Naceu na Coruña, onde se titulou na Facultade de Informática e onde traballa actualmente como responsable da oficina de Riscos Dixitais en Hijos de Rivera S.A.U. Con máis de 25 anos de experiencia no eido da transformación dixital aplicada ao sector público e empresarial, Carlos Eloy López Blanco vén de recibir o Premio Traxectoria Profesional do Colexio Profesional de Enxeñaría en Informática de Galicia.

Acaba de recibir un premio á traxectoria, malia que aínda lle queda moito camiño por diante…
Efectivamente quédame moito camiño por diante, non se trata de falar de retirar da circulación as “vellas glorias”… E recibino, como non poder ser doutra forma, cunha gran satisfacción e humildade, pensando en que seguramente haxa moitos profesionais en Galicia que merezan este recoñecemento.
Pertence ás primeiras promocións de licenciados na Coruña. Supoñemos que cambiaron moito as cousas desde que estudou e comezou a súa carreira profesional… cal diría que é o cambio máis relevante?
Ufff, si que cambiaron moitas cousas, sobre todo na forma en que a informática chega ás persoas. Eu diría que pasamos da informática empresarial, aquela que axudaba as empresas a mellorar os seus procesos e produtos, a unha informática social, ao servizo da sociedade en xeral, das empresas pero tamén das persoas. Xa sei que non todo son vantaxes pero, en termos xerais, estou convencido de que temos unha informática ao servizo a sociedade. Dise que vivimos nunha etapa da historia en que os datos son a nova materia prima; utilizalos ben, de forma segura, ética, responsable e coherente ten que ser a esencia da informática […]
Mirando a súa traxectoria, atopamos que foi pioneiro en Galicia na implantación dos novos modelos de datacenter e do uso de tecnoloxías como a virtualización, o housing e o hosting… que significa todo isto para un profano?
[…] Para tratar de explicalo de forma moi sinxela –con permiso de colegas e expertos–, entre os anos 90 e o 2000 xurdiu unha nova tendencia e tecnoloxías apropiadas para que as empresas albergaran os seus servizos informáticos de forma diferente. Precisábanse salas enormes para ter os equipos, refrixeración, alimentación eléctrica… empezou a falarse da sustentabilidade e os avances tecnolóxicos permitiron empezar a compartir compoñentes. Nacía o concepto de ‘virtualización’. Reduciuse o espazo con recursos compartidos pero que seguían sendo propios das compañías. Entón pensouse en que varios negocios puidesen compartir eses recursos informáticos e… a resposta está clara, non? O negocio mundial dos centros de proceso de datos compartidos creceu de forma exponencial. Despois chegaría a nube, baseada tamén neste concepto. Xa fai moito tempo que as empresas queren adicar os seus recursos directamente ao negocio; a informática é un facilitador e, por tanto, creo que foi unha boa idea ofrecer expertos externos que dean eses servizos que demanda o negocio. […]
Pode sobrevivir un negocio fóra do ámbito tecnolóxico?
Na contorna actual de globalización do mercado non é posible: a tecnoloxía facilita a escalabilidade dos negocios, a axilidade, o consumo de bens e servizos en calquera lugar e en calquera momento… Segundo datos do INE do ano 2020, o 99,16 % das empresas en España dispoñen de medios informáticos na axuda dos seus negocios; en Galicia o 98,35 %. Hai outro indicador relativo as empresas que dispoñen de conexión e presencia en internet, que en España son o 78,1 % e en Galicia o 80,9 %. Como se pode apreciar, a informática ou a tecnoloxía están moi presentes. Considero complicado que unha empresa poida sobrevivir sen tecnoloxía.
Agora mesmo é responsable da oficina de Riscos Dixitais. Que é un risco dixital
De forma rápida, o risco dixital é o compañeiro de viaxe natural da dixitalización, e non ten que ser algo negativo, debe de ser xestionado correctamente para que contribúa á sostibilidade das compañías. Nesta sociedade dixitalizada, na que cada vez máis os negocios dependen da tecnoloxía –e nalgúns casos non sobrevivirían sen ela– é importante avaliar o que pasaría nun evento de disrupción. Como podería perderse algunha das tecnoloxías que facilitan o negocio, cal sería o grao de afectación e que podemos facer para mitigar ese impacto. Esa é a misión fundamental das áreas de riscos dixitais. O enfoque da ciberseguridade cara a unha visión de risco sempre se fixo, aínda que non sempre explicitamente.
E cales son os principais riscos na nosa contorna?
Eu diría que hai tres cuestións básicas que ten en conta un ciberdelincuente: as vulnerabilidades ou fallos de seguridade dos propios programas ou sistemas; o factor humano como punto de fallo activable a través da coñecida como enxeñaría social e os erros de configuración e posta en marcha dos sistemas.
Por concretar máis, agora púxose “de moda” a dobre extorsión, unha combinación de dúas fraudes nunha mesma acción: os ciberdelincuentes introducen un malware de tipo ramsomware nos ordenadores que codifica e volve inaccesible a información almacenada neles, polo que esixen un rescate en criptomoedas para recuperala; en caso de negativa ao pago amenzan con facer pública a información roubada. Pero as ameazas máis preocupantes son as que recaen sobre as persoas, encabezadas polo phishing ou roubo de credenciais e as descargas de malware.
Traballa nunha das empresas máis relevantes de Galicia pero a maioría do entramado empresarial galego está formado por pemes. Están máis expostas as pequenas e medianas empresas?
As pemes superan o 99 % no mapa de empresas, é dicir, case todas as que nos rodean. E o cibercrime, de ser unha industria regulada, estímase que sería o principal negocio a nivel mundial. Un negocio baseado en gañar o máximo facendo o mínimo investimento. Un ataque contra unha organización concreta require moito esforzo e non sempre están dispostos a investir niso, mentres que unha campaña de ataques indiscriminada, dirixida a millóns de empresas, é máis doado e vailles render máis. Digo isto porque a pregunta que debemos facer é: que podo ter eu que lles poida servir aos cibercriminais. Xeralmente diñeiro ou acceso a diñeiro ou a datos, información (o petróleo do s. XXI). Esta é a principal reflexión que deben facer as empresas, coñecer os riscos para facer (ou non) algo ao respecto. Estou seguro de que a maioría das pemes non se fixeron esta pregunta e por iso están igual de expostas que as grandes empresas e moito menos protexidas. Tamén porque carecen de recursos específicos (persoal, presuposto…) para afrontar estes riscos.
E no ámbito persoal… cales son as principais ameazas dixitais e principais consellos para evitalas?
Pois no ámbito persoal as ameazas son as mesmas: estafas, malware e ramsonware… eu non faría diferenza entre a vida dixital profesional e a persoal. Para todas as ameazas é fundamental investir en formación, concienciación e capacitación das persoas na súa contorna; é a pedra angular. Aos profesionais de seguridade da información gústanos dicir que as persoas somos a primeira liña de defensa ante as ameazas de ciberseguridade, na casa ou na empresa. Un mail con ofertas non realistas adoita ter sorpresas desagradables, ao igual que navegar en internet por sitios que non gocen de certificados de seguridade (o famoso cadeado na dirección de internet), proporcionar usuarios e contrasinais en determinados sitios, descargar documentos ou programas 'gratuítos’ en tendas de apps non oficiais […]
Asegura que a protección absoluta é case imposible polo propio dinamismo das novas tecnoloxías. Cal debe ser o obxectivo para unha empresa no tema da ciberseguridade?
Dicilo é fácil: analizar os riscos e actuar en consecuencia. O panorama de ameazas dixitais é imparable, novas tecnoloxías implican novos riscos inherentes, e protexerse contra todo é impagable, así que a mellor estratexia é establecer plans, procedementos e recursos que mitiguen as consecuencias e permitan restablecer a normal operación das empresas no menor prazo posible. E non só facer plans, tamén ensaialos! Igual que se fai cos plans de evacuación. Termos un plan e probalo periodicamente.
En que situación está Galicia en canto a dixitalización e ciberseguridade?
Afortunadamente é un escenario esperanzador dende todos os puntos de vista. As empresas están avanzando con paso firme na súa dixitalización, as grandes por suposto pero tamén as pemes están vendo que a dixitalización é un facilitador e, nalgúns casos, xerador de vantaxes competitivas. En Galicia podemos presumir de ter varios centros e iniciativas empresariais adicados ás operacións e á investigación de ciberseguridade, como o nodo galego de ciberseguridade formado pola administración e iniciativas privadas para facer fronte de maneira colaborativa a este panorama emerxente de ciberameazas; e nas universidades xa hai plans curriculares relacionados coa ciberseguridade. A ciberseguridade é unha oportunidade inmensa nesta sociedade dixital que estamos vivindo. Hai que aproveitalo. Penso que se están poñendo os fíos para que Galicia poida converterse nunha referencia neste aspecto.
(Extracto da entrevista publicada no número 366 – novembro 2021)
Comentarios (0)