«Tenemos que trabajar para crear “marca España” en ciberseguridad»

¿Qué razones le han llevado a dar el salto del sector privado al público?

Ha sido un salto meditado. La ciberseguridad es el pilar de la transformación digital. Una organización como Incibe que tiene la misión de elevar el nivel de ciberseguridad en la ciudadanía y las empresas era algo que me llamaba la atención desde hace varios años. Decidí dar el paso. Al final cuando llevas unos años de trayectoria te gusta estar en proyectos en los que realmente puedas contribuir y se aúnen los objetivos profesionales y personales. Entré inicialmente para trabajar en objetivos que eran muy enfocados a la parte de empresa. España es un país de pymes, que son son las más desprotegidas y las que menos conocen la ciberseguridad. Llevaba cinco meses en el puesto. También durante el verano cogí la responsabilidad de apoyo a la industria y al I+D+i. Conozco cuál es la problemática del sector y podíamos, igualmente también, ayudar a la industria a que sea cada vez más competitiva, a internacionalizarse y, por supuesto, a crear nuevas compañías en este sector que en tan en crecimiento está.

¿Cuáles van ser sus puntos estratégicos de su gestión?

Los objetivos de Incibe están marcados. Tenemos un plan estratégico hasta 2020. En este plan los objetivos está elevar el nivel de seguridad tanto en la ciudadanía como en las empresas y la red académica. Otro punto, por supuesto, es apoyar a la industria y trabajar en consonancia para conseguir nuevas compañías en el sector, atraer talento. Y el plan es continuar es con lo que ya estamos trabajando.

En España hay talento, dicen las empresas de ciberseguridad, pero hay mucha demanda de estos perfiles. ¿Lo ve usted igual?

Si hablamos de ciberseguridad, España tiene mucho talento que está aquí trabajando pero necesitamos muchos más profesionales. El sector, y lo dicen diferentes estudios, necesita de talento para afrontar las amenazas y poder proteger al país y a sus instituciones, a las empresas y a los ciudadanos. No creo que en nuestro caso se vaya tanto el talento fuera. La cuestión es que estamos en un punto de atraer, de dar a conocer el sector porque es una disciplina realmente novedosa con pocos años en el mercado. Uno de nuestros objetivos es dar a conocer y apoyar iniciativas que lo que hagan sea atraer a perfiles que puedan trabajar dentro.

Además de dinero, ¿qué cree que falta?

Hace falta mucho. Nuestra primera misión es elevar el nivel de ciberseguridad, pero trabajar también para que haya más demanda de productos de seguridad informática y, por supuesto, más oferta. Daremos a conocer la necesidad de estar protegidos y, para eso, el sector tiene mucho qué decir.

¿Cree que se puede fraguar en León un gran centro de ciberseguridad a nivel europeo?

Por supuesto, y en ello estamos. Dentro de la Comisión Europea y del nuevo programa de Europa Digital se pretende trabajar en pos de la autonomía y productos y servicios a nivel europeo de cara a otros países. Estamos preparando una iniciativa muy intensa para que el centro espejo de competencia esté en España, en León. En principio, en nuestro país es una realidad, ya está decidido. Pero eso puede suponer atraer mucho talento a la zona y sentar las bases para que la industria tecnológica en León vaya atrayendo a más empresas. Ese es uno de nuestros ejes, que cojo el testigo del anterior director general [Alberto Hernández, que desempeñaba el cargo desde octubre de 2016].

Precisamente, decía su antecesor en el cargo que «la ciberseguridad no solo es un problema, es una oportunidad para generar riqueza». ¿Está de acuerdo?

Por supuesto. El sector tenemos datos de Gartner en los que nos indican que el gasto en ciberseguridad a nivel mundial en el año 2018 se alcanzó los 128 billones de dólares, y es un sector que está en continuo crecimiento. Es un reto, pero también una oportunidad para que España pueda trabajar y crear nuevas empresas, así como apoyar a las existentes para que sigan generando más riqueza y empleo para nuestro país.

Hemos pasado en 2014 de gestionar 17.888 ciberataques a 111.519 en 2018. Seis veces más en solo cinco años. ¿Cree que estamos protegidos?

En España trabajamos muchos organismos para protegernos, lo que sí es cierto es que los ataques se van a ver incrementados porque, al final, es una industria que genera mucho dinero. Y cada vez va a haber más ataques. La cuestión es trabajar para poner las medidas adecuadas. Nunca podremos hablar de que la ciberseguridad al 100% existe. Quien nos diga eso nos está engañando. Hay que trabajar de cara a ser un país y contar con empresas y ciudadanos más resilientes, que salgamos más protegidos de esos ataques. Ataques seguirán habiendo. La ciberdelincuencia es un sector también en crecimiento, pero España cuenta con diversos organismos que trabajamos en pro de la seguridad. Y creo que podemos estar tranquilos.

Tenemos entonces, en su opinión, una buena estrategia de ciberdefensa…

Efectivamente. La Estrategia Nacional de Ciberseguridad que este año ha vuelto a ver la luz reforzada trabajando en aras de que seamos un país más ciberseguro.

Pero luego vemos casos sonados como Wannacry hace dos años que tuvo su epicentro en España.

Nunca estamos exentos de que este tipo de ataques se vuelvan a repetir. Para eso trabajamos, para dar a conocer los riesgos y que las empresas pongan medidas de cara a que estas cosas no vuelvan a pasar. Es cierto que ataques como el de Wannacry hacen de efecto catalizador para que realmente se vea que la ciberseguridad es importante, y nadie está exento de sufrir un ataque; tanto los grandes como los pequeños. Las grandes empresas tienen muchas medidas e inversión en ciberseguridad. Lo que nos tiene que dar es una visión de la problemática que hay; es necesario preocuparse de las medidas que son necesarias para frenar este tipo de ataques.

Incibe es una empresa que depende directamente del Gobierno. ¿Cuáles cree que son las asignaturas pendientes en la administración pública?

Colaboramos activamente con organismos como el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) para que este tipo de ataques no tengan repercusión. Está claro que las ciberguerras se libran en el ciberespacio. Y los ataques que estamos viendo en otros países van a tumbar infraestructuras críticas de cara a sectores que son críticos para el país. Seguiremos trabajando incansablemente para que España sea un país cibersegura y que la ciudadanía no se vea afectada por este tipo de acciones.

¿Cree que existe un marco jurídico adecuado del mundo virtual que permita combatir la ciberdelincuencia?

Se está trabajando. España tiene un gran desarrollo normativo, y tenemos diferentes legislaciones que nos están ayudando y apoyando para que seamos un país ciberseguro. Sí que es cierto que vamos un poco detrás de los ciberdelincuentes, pero estamos dando pasos; tenemos una legislación avanzada y estamos trabajando para atajar estos delincuentes que lo que están haciendo es intentar tumbar diferentes sistemas e intentando hacer robo de información.

Es la primera mujer en asumir este cargo de responsabilidad. ¿Cómo lo vive teniendo en cuenta que es un sector generalmente gobernado por hombres?

Lo asumo con mucha ilusión y mucha responsabilidad. Se necesitan referentes femeninos. Es necesario que nuestras niñas vean a personas que están liderando compañías como Incibe para que entiendan que se puede llegar. Se llega pero se llega con mucho esfuerzo y sacrificio. Pero esto es igual tanto para hombres como para mujeres.

¿Tiene constancia de la trama rusa en Cataluña por la cual se investiga en la Audiencia Nacional sobre una posible injerencia extranjera?

Ahí nosotros no podemos entrar, pero podemos decir que trabajamos con el departamento de Seguridad Nacional y con el resto de agentes públicos que trabajan en pro de asegurar la confianza digital y que las redes de telecomunicaciones estén seguras. Tenemos abiertos dispositivos para buscar y detectar, y toda esa información que se registre pasa directamente al departamento de Seguridad Nacional, que son los que deben responder a este tipo de preguntas.

Entonces, ¿sí o no?

En principio, no, no puedo darte más información.

Hablemos de Tsunami Democratic. ¿Cómo se enfrenta la seguridad nacional a un grupo descentralizado que aprovecha las nuevas tecnologías para movilizarse al margen de la ley?

Este tipo de movimientos se enfrenta igual tanto en la parte física como en la parte lógica. Es muy importante estar informados. Si vemos un titular del que no estamos muy seguros y que quizás nos está llevando hacia una opinión de la que no estamos muy de acuerdo, yo a la gente le pediría que se informe y que realmente se busquen diferentes fuentes hasta que se contraste lo que aparece. El mundo, las ciberguerras o este tipo de movimientos son físicos pero pasan a la parte lógica. Y aquí hay que estar mucho más seguro de si lo que se está diciendo realmente es verdad. Igual que hay un exceso de información, invirtamos tiempo también en verificar las fuentes.

¿Por parte de los ciudadanos?

Por parte de los ciudadanos, por supuesto, al igual que nosotros también lo estamos haciendo.

Nos adentramos en un mundo hiperconectado proporcionado por nuevas conexiones de Quinta Generación, las redes 5G. ¿Cómo nos defendemos de un enemigo invisible?

El 5G nos da la oportunidad o no de que haya cada vez más dispositivos conectados. Pero no creo que haya que dar un mensaje de miedo. Sinceramente, debemos estar cómodos y seguros que con la legislación actual estamos protegidos. Llevamos trabajando tiempo con diferentes agentes. Hemos participado en diferentes grupos de trabajo y me quedo con la parte de oportunidad. Es decir, está claro que estamos en un mundo conectado en cada vez más puntos, pero podemos estar tranquilos que aquellos que trabajan para que las redes de telecomunicaciones estén seguras lo seguirán haciendo. Y nosotros ahí seguiremos apoyando. Lanzaría un mensaje de tranquilidad para la tecnología. No podemos mirar hacia otro lado, pero ni cerrar en este nuevo campo, y trabajaremos en aras de asegurar que estamos seguros como lo estamos en la actualidad.

¿No se ha dejado de lado la seguridad informática de estas nuevas conexiones de redes móviles?

Por supuesto que no. El Incibe, como agente que trabaja para elevar esa confianza en seguridad, llevamos tiempo trabajando en ello. No hay que preocuparse ni mandar un mensaje de miedo. De hecho, hemos sido uno de los primeros en que estamos adoptando esta tecnología y somos un país muy avanzado.

¿Cree que el veto de Estados Unidos a Huawei, una de las empresas implicadas en el desarrollo de esta tecnología, puede pasar factura a España?

Uno de los objetivos de Incibe, y que ahí también está trabajando Europa, es apoyar a nuestra industria. Tenemos que trabajar para crear «marca España» fuera de aquí y en ayudar a los nuevos negocios a ampliar la oferta en ciberseguridad y a que la industria actual, que es muy interesante y con un catálogo de productos y servicios muy grande, pueda conseguir autonomía respecto a otros países.

¿Cree que España ha dejado el futuro de sus telecomunicaciones en manos de empresas chinas acusadas de espionaje industrial y político? Incluso EE.UU. se ha quejado al Gobierno español.

Con el Reglamento General de Protección de Datos en Europa y diferentes directivas que se están transponiendo, lo que estamos haciendo es asegurarnos que España, al igual que otros países de Europa, estén protegidas contra esas amenazas. Seguiremos trabajando para que España y nuestra soberanía esté por encima de todas esas cosas.

¿No supone ningún riesgo la seguridad de España?

Yo ahí preferiría no entrar. Ahí es la secretaría la que debería contestar a esa pregunta.

Las empresas grandes son las que arrastran titulares y las que se miran con más cautela, pero también las que disponen de más medios para combatir la ciberdelincuencia. Pero ¿y la pyme? ¿Está preparada?

La pyme tiene un gran reto por delante. De hecho, en muchas ocasiones lo que la pyme indica es «pero a mí quién va a querer atacarme si no soy importante». Pues ese es uno de los trabajos más incansables que tenemos. Cualquier empresa tiene que saber que son un cebo muy importante para los ciberdelincuentes. Por un lado, porque pueden ser proveedores de grandes empresas, con lo cual son un buen punto de entrada. Y, luego, estamos viendo que cada vez más está creciendo más el fraude. Y cómo, parece mentira, puedes pagar un rescate si te secuestran los datos. Pues esa es la problemática de la pyme. Y uno de nuestros objetivos es trasladarles la necesidad de adoptar medidas de ciberseguridad. Ellos no van a ser capaces de incorporar especialistas como hacen las grandes empresas. Lo que deben es confiar en el extenso catálogo de empresas que tenemos productos y servicios, y que están orientados en ciberseguridad. Que confíen en expertos que les puedan ayudar. Hay que invertir.

Más inversión que gasto, ¿no?

Efectivamente. Y luego que no piensen «¿y cuánto dinero me tengo que gastar?», que nos dicen cuando vamos. Primero, empieza a rodearte de expertos que te digan qué nivel de adherencia tienes o madurez en el uso de la tecnología para que vayas poniendo poco a poco esas medidas.

¿Debe haber alguna legislación que obligue a hacerlo?

No somos intrusivos. Ese perfil debe saber que debe haber una nueva legislación (RGPD) en materia de protección de datos, que te dice que hagas un análisis de tus riesgos. Y tienes que detectar aquellos puntos de acceso a tu organización. Y te dice también la legislación que tienes que poner medidas proactivas para salvaguardar los datos. Ese es el primer paso.

¿Qué cree, entonces, la ciberseguridad es una cuestión de Estado?

La ciberseguridad es un asunto de Estado. Y diría que en las empresas es el pilar. Eso tenemos que darnos cuenta todos.

¿Qué opina del polémico decreto-ley del Gobierno que aboga por cerrar páginas web en caso de amenazar el orden público?

Esa legislación ya lo indicaba. Lo único que quizás es que en estos últimos días se ha hablado mucho más, pero ya existía legislación de forma que en caso de desorden público o de algún conflicto esas páginas webs se pudieran cerrar. No le daría más importancia de la que pudiera tener.

¿Son los ciudadanos más conscientes de la seguridad informática?

Tenemos que ser más ambiciosos, tenemos que llegar a muchos más puntos. Las ciberamenazas que tenemos en el mundo digital van mucho más rápidos. Muchas veces nuestros hijos utilizan aplicaciones que los padres ni siquiera son conscientes. Nuestra labor ahí es informar y educar par que sean conscientes de los riesgos. La tecnología es buena, pero debe conocerse el riesgo que existe y el mercado que hay alrededor de la ciberdelincuencia.