Xabier Mitxelena (Cybasque): “Ninguna empresa está 100% blindada ante un ciberataque”

Ante el creciente interés y la proliferación de compañías ocupadas en ciberseguridad, hace cinco años nacía, en colaboración con el clúster GAIA, Cybasque, asociación que recoge diferentes empresas del sector. 

Con 69 socios y “el reto de llegar a los 100”, el organismo trabaja con el objetivo de responder a los grandes desafíos que han provocado la transformación digital en la sociedad y fomentar la ciberseguridad en todos los ámbitos privados del territorio, en especial en las propias empresas. 

Su presidente, Xabier Mitxelena, recibe a Crónica Vasca y aborda las próximas líneas de trabajo de un sector tan cambiante como desafiante.

Actualmente, el sector genera en el territorio más de 2.000 empleos directos y una facturación cercana a los 230 millones de euros… ¿Cómo está posicionado Euskadi a nivel nacional?

Estamos entre un 18-20% del negocio de ciberseguridad a nivel nacional. Este dato está bien, nos marca una pauta respecto a otras regiones, pero nuestras ambiciones son superiores. Nuestro reto es que esto no sea un elemento estancado, nuestras compañías pueden ser internacionales y tener la capacidad de trasladar su conocimiento, sus productos y sus servicios de una forma mucho más escalable a otros mercados que la que en este momento se está dando.

Sin embargo, sí que hay compañías que han dado ese salto…

Sí, Euskadi ha sido pionera y las tres o cuatro compañías más relevantes que han surgido en el mercado, aunque ahora están en manos internacionales, han nacido en esta casa. Panda, S21SEC, Nextel, Innotec… Hay compañías que realmente han dado ese salto.

Aquellas empresas que implementan la ciberseguridad como un elemento cultural, como una parte de su ADN, son mucho más competitivas, resilientes y van a poder crecer de forma más sana y rentable

¿De qué manera ha cambiado el modelo empresarial del sector en los últimos años?

Estas compañías ya tenían una cierta madurez. En ese modelo de inversión que ha existido durante los últimos 20 años han encontrado un camino fuera de nuestro ámbito. Lo preocupante es que otras compañías que van surgiendo ahora están siendo adquiridas por fondos internacionales en estados más previos. 

Entiendo que para evitar esta ‘fuga de talento vasco’ juega un papel muy importante la colaboración público-privada… ¿De qué manera se alinean desde Cybasque?

Siempre hemos sido proactivos, hemos hecho muchas propuestas al entorno del Gobierno vasco o a centros de innovación que después esta parte ha puesto encima la mesa, y viceversa. Cuando ellos han encontrado vías de financiación u oportunidades que realmente puedan aportar un valor, hemos caminado juntos, de forma síncrona, hasta que hemos obtenido de una forma conjunta la visión de que sin ciberseguridad no hay futuro.

No hay futuro en ningún ámbito, en especial en el empresarial… ¿Qué papel juega la ciberseguridad en el funcionamiento de una compañía?

Un papel clave. Aquellas empresas que implementan la ciberseguridad como un elemento cultural, como una parte de su ADN, son mucho más competitivas, resilientes y van a poder crecer de forma más sana y rentable.

El coste de la ciberseguridad cuando se produce un incidente es entre cinco y diez veces superior a la inversión que tienes que hacer si lo haces desde el concepto del diseño de tu negocio. Esto es un concepto cultural, igual que la calidad. Cuando tú haces un producto nuevo, lo estás definiendo con los parámetros de calidad que exige directamente un cliente. Es exactamente lo mismo, debes cumplir directamente con esos requisitos de ciberseguridad. Esto te permite no solo competir, sino ser de confianza. Quien invierte en ciberseguridad, invierte en competitividad. E invertir en ciberseguridad no es hacerlo cuando tengo un incidente, sino cuando estás generando tus procesos, productos y servicios seguros.

Esto puede suponer un gran esfuerzo, en especial para pymes, ¿no?

Siempre se ha interpretado como un gasto: “No estaba en mis presupuestos, ni en mi hoja de ruta”. Sin embargo, entre el 50-60% de las pymes que tienen incidentes de seguridad desaparecen. Si la dirección no tiene entre sus prioridades la ciberseguridad como un elemento de competitividad, probablemente dentro de dos o tres años esté fuera del mercado. Y ahí es donde también nosotros, desde el punto de vista de la oferta tenemos que reaccionar, dar servicios sencillos, no intrusivos y a un precio razonable. Que no impacte en negativo en su cuenta de explotación. 

 La IA va a ser el gran transformador del mundo industrial… Va a cambiar la sociedad, los entornos de producción, de competitividad…

Pese a estos esfuerzos, ¿puede una compañía estar al 100% blindada?

No. Nunca, porque hay problemas externos, pero también internos con empleados descontentos, gente que se va a la competencia… Estos suponen entre un 50 y un 60% del problema. O porque se lleva la información o porque abre la puerta para que alguien se lleve la información. No hay un 100% de seguridad, lo que sí hay es un 100% de garantías.

¿Y notáis cada vez más preocupación por parte de las empresas o todavía existe ese escepticismo? 

Esta es la primera vez que las empresas preguntan, llaman… Antes nosotros íbamos a concienciar, quién tenía un incidente te llamaba, quién no tenía un incidente no. Tenemos que cambiar un poco ese concepto, la tecnología ya no es segura por defecto, aunque lo va a ser, porque se va a exigir. Pero es que además ya no se trata solo de tus procesos, sino que Europa con el Cyber Resilient Act va a exigir que todos los productos que sean conectables, que estén sensorizados, estén certificados en ciberseguridad. Esto va a hacer que al menos se cumpla con los mínimos que exige una ley o que exige directamente lo que tiene que ser el poder competir dentro de un sector en particular. 

También hay mucho escepticismo hacia la Inteligencia Artificial y su uso adecuado… ¿Cómo abordan su crecimiento en los últimos años?

Nadie está preparado para el cambio de paradigma que la IA supone. La velocidad de los cambios tecnológicos nos tiene que hacer reflexionar sobre la capacidad de aprendizaje que tenemos. Tenemos una gran oportunidad, sobre todo desde el punto de vista social, de transformar los modelos formativos, de entender que vamos a un concepto de formación continua, de reciclaje permanente e, insisto, de certificar productos a las compañías y a los profesionales con el objetivo fundamental de que las empresas confíen en quien realmente sabe. La IA va a ser el gran transformador del mundo industrial… Va a cambiar la sociedad, los entornos de producción, de competitividad…

¿Y estamos realmente en Euskadi preparados para esa transformación?

Hoy en día se habla de que se están entrenando más de medio millón de IAs al día. Medio millón que sale, que no está certificado todavía, que no sabemos qué hace el algoritmo con ellas. El mundo del hackeo, utiliza la IA para ser más eficiente, se habla de 1.000 ataques por segundo… Aunque Europa se está moviendo rápido, simplemente porque vamos por detrás de los líderes mundiales, actualmente nadie está preparado porque actualmente se está utilizando la IA de una forma indiscriminada, y el día de mañana vamos a tener un problema.

Es muy difícil predecir el futuro, tenemos que trabajar en el presente, eliminando riesgos y sobre todo utilizando la tecnología en aquellos elementos que nos permitan ser más competitivos

¿Cómo puede una empresa anticiparse a ello?

En este proceso cíclico en el que la velocidad siempre está por delante de la capacidad que tenemos de entendimiento, lo que tenemos que hacer es trabajar de forma única y solidaria y entender muy bien cuáles son los productos, las compañías y los profesionales que realmente me pueden ayudar a mejorar mi negocio. Esto es una batalla sin fin, todos los días. Es muy difícil predecir el futuro, tenemos que trabajar en el presente, eliminando riesgos y sobre todo utilizando la tecnología en aquellos elementos que nos permitan ser más competitivos.

Se habla también de cómo la IA va a afectar en la destrucción de puestos de empleo…

Al margen de cómo afecte la IA, este es un sector muy cojo, en el que realmente tenemos un problema a la hora de encontrar profesionales. Cuando empezamos en ciberseguridad el 80-90% del conocimiento estaba en la oferta y el 10% estaba en la demanda. La evolución propia de los riesgos, necesidades, la regulación… Ha hecho que el 80% del conocimiento esté en la demanda y el 20% esté en la oferta. Esto ha generado un gap, a nivel nacional se habla de que existe un gap de más de 100.000 profesionales en el sector, a nivel internacional más de 4 millones. Esto es insalvable.

Creo que se ha relacionado mucho el mundo de la ciberseguridad con esa parte oscura del hacker de la capucha negra, cuando realmente el ámbito de la ciber tiene diferentes entornos profesionales. En Estados Unidos hay más de 64 perfiles profesionales de ciberseguridad definidos, Europa ha definido 12 perfiles profesionales diferentes.

Y ante esto, ¿qué se puede hacer?

Tenemos que hacer que cualquier persona que esté trabajando entienda cuál es el rol que tiene en su puesto de trabajo la ciberseguridad. O por conocimiento tecnológico o por conocimiento de lo que son los riesgos o por conocimiento legal. Es decir, si nosotros sabemos diseñar las cosas bien desde el punto de vista de la seguridad, probablemente tendremos menos problemas y menos necesidad de profesionales, ¿no? 

¿Te refieres a un estudio no tan directo como un propio grado, sino algo un poco más general? 

Sí, es decir, esto es un concepto igual que el ámbito digital. Y aquí yo diría que las nuevas tecnologías también nos van a ayudar, por ejemplo, la automatización vía lo que es la inteligencia artificial va a simplificar mucho los procesos. Tenemos un gap, pero tenemos un conjunto de tecnologías que nos tienen que ayudar a reducirlo.