Lecciones de Dinamarca: Por qué compartir información es el arma más importante contra ciberamenazas

La mayoría de los líderes empresariales y de ciberseguridad creen que es probable que la actual inestabilidad geopolítica provoque un acontecimiento cibernético catastrófico en los próximos dos años.

De hecho, según un informe reciente de Check Point Software Technologies, los ciberataques aumentaron un 38% en todo el mundo en 2022 con respecto al año anterior. Así que no es de extrañar que la ciberseguridad fuera uno de los temas principales en una reciente reunión de líderes gubernamentales, empresariales y tecnológicos en Copenhague (Dinamarca).

Celebrado en el histórico Palacio Christiansborg del Parlamento danés, en el corazón de Copenhague, el acto propició un animado debate entre los ponentes y los participantes de los sectores público y privado. La primera ministra danesa de Digitalización, Marie Bjerre, compartió en exclusiva el papel del recién creado Ministerio danés de Gobierno Digital e Igualdad de Género y cómo trabajará con la ciberseguridad en el futuro.

Como uno de los países más digitalizados del mundo, la seguridad de los datos y la privacidad son de la máxima importancia en el país escandinavo. Por eso, como explicó Bjerre, el Ministerio desempeñará un papel de coordinación con los demás ministerios daneses en materia de digitalización y seguridad informática.

La coordinación fue un tema común que se planteó durante el acto, que puso de relieve la necesidad de que todos los profesionales de la seguridad informática, responsables políticos y legisladores se sienten juntos y conozcan el trabajo y los retos de los demás para hacer frente a los ciberdelincuentes.

La conferencia tuvo tres puntos clave que son beneficiosos para todas las empresas, incluso fuera de Europa.

Aunque en el continente europeo se celebran numerosos actos y reuniones sobre tecnologías de la información, a menudo existe cierta reticencia a compartir con franqueza los retos a los que se enfrentan los profesionales de la seguridad y las lecciones aprendidas de los ciberataques. Pero sin un diálogo abierto, no podemos aprender realmente de los errores y aciertos de los demás.

Casi todos los asistentes coincidieron en que, como comunidad de ciberseguridad, es necesario mejorar la transparencia y el intercambio de conocimientos. Se trata de una paradoja, ya que países, empresas y organizaciones de todo el mundo están sufriendo más ciberataques que nunca.

De hecho, una de cada 31 organizaciones en todo el mundo sufrió un ataque de ransomware en 2022. Y, sin embargo, en general, no hay suficiente intercambio abierto de buenas prácticas y lecciones aprendidas después de un ataque.

Varios de los participantes en la conferencia opinaron que urge mejorar la coordinación y el intercambio de conocimientos entre las empresas, organizaciones e instituciones gubernamentales danesas.

Y varios ponentes también opinaron que las organizaciones gubernamentales que se ocupan de la seguridad informática en la sociedad deben mejorar su comunicación más abierta sobre las ciberamenazas a las que se enfrentan las empresas y organizaciones.

Una idea podría ser fijarse en la estrategia de ciberseguridad de Estados Unidos, donde existe un mejor intercambio de información entre las autoridades públicas y el sector privado. Los ciberdelincuentes comparten conocimientos y herramientas en la web oscura (dark web); para superarles, también debemos unirnos para entablar un diálogo abierto y sin vergüenzas.

Las empresas danesas son muy conscientes de la nueva Directiva de Seguridad de las Redes y Sistemas de Información 2 (NIS 2.0), quizá más que otros países.

A diferencia del Reglamento General de Protección de Datos (RGPD) revisado, que protege los datos personales de los ciudadanos, la Directiva NIS 2.0 tiene como objetivo proteger los datos económicos, es decir, los que son importantes para las empresas y la economía de los Estados miembros de la Unión Europea.

La nueva directiva exige a los Estados miembros que apliquen estrategias nacionales de ciberseguridad y una legislación nacional que incluya requisitos de gestión de riesgos e información para las empresas cubiertas por la directiva, así como un único punto de contacto nacional que se ocupe de los asuntos relacionados con la NIS 2.0.

Entre las empresas danesas existe cierto temor a implantar la Directiva NIS 2.0. Las huellas del RGPD asustan, y las empresas temen que la NSI 2.0 se convierta una tarea gigantesca que no puedan manejar. También les preocupa que la directiva no tenga el efecto deseado.

Sin embargo, al salir de la conferencia, quedó claro que las organizaciones no deben temer a la Directiva NIS 2.0. Ahora mismo, puede parecer inmanejable, pero todos los ponentes de la conferencia creían que se convertirá en la columna vertebral de la seguridad de las empresas y organizaciones que trabajan directa o indirectamente con infraestructuras críticas.

Las empresas cubiertas por la Directiva NSI 2.0 suelen ser grandes e influyentes. Y puesto que muchas empresas también se verán afectadas por la directiva, por ser, por ejemplo, proveedoras de una empresa cubierta, la NIS 2.0 tiene el potencial de crear un efecto de goteo. Esto significa que NIS 2.0 será una palanca para mejorar la seguridad informática en toda la sociedad.

La última conclusión de la conferencia sobre ciberseguridad celebrada en Copenhague es la necesidad de consolidar las soluciones de seguridad informática. A lo largo de las conversaciones mantenidas en el evento, el tema giró rápidamente en torno a cómo las empresas y organizaciones pueden navegar mejor por un panorama de ciberamenazas complejo y en constante crecimiento.

La complejidad está directamente relacionada con el número de soluciones de seguridad informática diferentes que utilizan las empresas hoy en día. Varios estudios, entre ellos uno de Dell Technologies, demuestran que el coste de un ciberataque es significativamente mayor si se utiliza más de un proveedor de seguridad informática.

Según un informe de IBM, un tercio de las organizaciones mundiales encuestadas despliegan más de 50 herramientas y tecnologías de seguridad. Al consolidar las soluciones de seguridad, las organizaciones pueden ser más eficientes y alcanzar un nivel mucho más alto de seguridad informática. Además, la consolidación reducirá la necesidad y el coste del personal de seguridad de TI y liberará tiempo para que los actuales profesionales de TI innoven.

Puede que Dinamarca sea una nación pequeña, pero como pionera en tecnologías digitales, tiene mucho que enseñar a los demás sobre ciberresiliencia. Todo se reduce a: compartir, preparar y simplificar.

Al establecer una cultura de diálogo abierto entre empresas, gobiernos y ciberdelincuentes, podemos aprender de los errores de los demás y proteger mejor nuestros datos y plataformas digitales.

Además, ahora es el momento de prepararse para la Directiva NIS 2.0, que también incluye un elemento de intercambio de conocimientos.

Por último, es posible simplificar el creciente panorama de amenazas, consolidando las soluciones informáticas. Esto aliviará la carga de los equipos informáticos y les permitirá aprovechar mejor su tiempo para ser más eficientes.