Charo Pinilla (CyberMadrid): «La industria del seguro es uno de los pilares de la ciberseguridad»

‘Muy Segura’ entrevista a Charo Pinilla Cabo, Gerente/Mánager CyberMadrid (Clúster de Ciberseguridad de Madrid).

¿Cómo inició su andadura profesional? ¿Qué recuerdos conserva de sus primeros pasos?

El inicio de mi singladura profesional en el ámbito asociativo, se circunscribe al sector de instalaciones y energía. Guardo muy buenos y gratos recuerdos pues fue una época en la que aprendí muchísimo, tanto organizativa como institucionalmente.

De ella aún conservo contactos con los que mantengo una buena relación de amistad.

¿Qué hitos traería a colación, hasta la fecha, en el transcurso de su recorrido laboral? ¿Por qué han tenido un significado especial para usted?

Sin duda, llegar al puesto de dirección general fue uno de los hitos alcanzados en mi trayectoria profesional y supuso una gran responsabilidad, de ahí su especial significado. Suponía dirigir y gestionar más de 1.500 empresas asociadas, 80 colaboradores y un equipo de 25 personas que articulaban siete áreas de negocio. Fue una etapa intensa, en la que también aprendí mucho tanto a nivel profesional como personal, y que me sirvió como basamento a mis posteriores roles profesionales.

¿Cómo, cuándo y por qué surge su vínculo con el Clúster de Ciberseguridad de Madrid?

Mi vínculo con CyberMadrid surge a raíz de mi posición como Coordinadora de Proyectos Asociativos en ISMS Fórum, organización que, como gestora, prestaba servicios profesionales en el Clúster.

Desde el inicio la relación con CyberMadrid fue muy fluida y de máxima confianza junto con el desarrollo de un trabajo intenso pues estaba todo por hacer, con un gran potencial. Al poco tiempo de mi incorporación organicé el I Congreso de Cibeseguridad para pymes …..

En el momento en que ISMS abandona su papel como gestora, CyberMadrid decide evolucionar hacia un modelo más eficaz, gestionado por un gerente/manager y decido aplicar en el proceso de selección. El clúster buscaba un perfil especialista en asociaciones, relaciones institucionales y con experiencia en el sector de la Ciberseguridad. Mi perfil encajaba perfectamente y resulté la candidata elegida.

 Desde entonces estamos llevando a cabo importantes cambios en la organización, una refundación en la que se han planteado nuevos objetivos y ejes estratégicos.

¿Qué implica para usted su reciente nombramiento y de qué funciones se hace responsable en el día a día?

Mi nombramiento significa un importante reto que afronto con gran ilusión. Clúster CyberMadrid es una organización susceptible de crecer y de desarrollar numerosas iniciativas. Puede ser muy potente, tan solo hay que dedicarle tiempo y esfuerzo. Cuenta con el apoyo del INCIBE, Ayuntamiento de Madrid y Comunidad de Madrid en su Consejo Asesor y también contamos con importantes empresas en la Junta Directiva, amén de empresas asociadas, verdaderos pesos pesados en el Sector.

Mi función principal es la de impulsar y dirigir la actividad de la asociación (atención al asociado; comunicación, marketing y eventos; proyectos…), generar y mantener relaciones institucionales con otras entidades tanto públicas como privadas y generar desarrollo de negocio.

¿Cuáles son los objetivos estratégicos de Cyber Madrid en el medio plazo?

Nos queremos posicionar como el clúster de ciberseguridad de referencia, tanto en la Comunidad de Madrid como a nivel nacional, logrando la adhesión mayoritaria de las empresas del sector, de manera que sea reconocida por éstas, las Administraciones, el resto de operadores del sector y la sociedad en general como un punto de referencia, de modo que canalice las actuaciones en toda la cadena de valor: Administración, fabricantes, empresas instaladoras y usuarios finales.

Para ello, el Clúster se redefine como un esquema colaborativo multi-entidad en el que tienen cabida organizaciones tanto del lado de la oferta de productos y servicios de ciberseguridad como del lado de la demanda de necesidades en ciberseguridad. Cyber  Madrid además, apuesta definitivamente por una eficaz colaboración público-privada y por un enfoque sectorial en sus actividades, en la línea de proyectos llevados a cabo por la Administración  como RETECH.

Por otro lado, queremos resaltar nuestra capacidad de Workforce, desplegando propuestas de valor mediante la acción conjunta de socios en diferentes proyectos y promoviendo su participación activa.

Según su experiencia: ¿cuáles son los riesgos cibernéticos más destacables en el momento actual en nuestro país?

Los principales riesgos, según mi opinión, proceden del eslabón más débil de la cadena, que es el usuario. La primera línea de defensa comienza con las personas. Es un mantra que parece repetirse pero sin una buena política de concienciación en ciberseguridad, es difícil hacerle frente a los ciberataques, cada vez más sofisticados y difíciles de percibir como tales. Sin inversión en las personas, la gran tecnología o los procesos no importan. Cuanto mejor esté capacitado el personal y más consciente sea, mejor ayudará a protegerse contra estos ataques.

Según el informe global sobre ciberataques de Check Point Research publicado en el primer trimestre de este año, la media de ciberataques semanales en España es de 1.252, un 8% inferior que en el mismo período del año pasado. Son cifras a las que les tenemos que prestar la atención que merecen.

La ingeniería social es un riesgo importante al que se enfrentan las organizaciones grandes y pequeñas hoy en día. Es un método que se utiliza con frecuencia para la piratería porque es altamente eficaz y requiere un esfuerzo mínimo. Los ataques de ingeniería social son increíblemente efectivos porque se aprovechan de nuestros instintos humanos más básicos. Por esta razón, las personas, el personal, debe recibir regularmente capacitación sobre cómo identificar este tipo de ataques de ingeniería social. Sobre la tipología de los ciberataques, el ranking de amenazas más habituales sigue liderado por el ransomware, el malware y el phishing.

¿Qué nivel de prevención, protección y capacidad de reparación percibe que posee el usuario particular y empresa actualmente en España, con respecto al entorno europeo?

A pesar de que la ciberseguridad es una materia transnacional, existen bastantes desigualdades en el avance de la misma en los diferentes estados miembros de la UE. Ello se desprende de  un informe publicado por la Universidad Aalto de Helsinki, sobre las Habilidades de los ciudadanos cibernéticos y su desarrollo en la Unión Europea. Además, en Europa no existe un modelo conjunto para su aprendizaje ni prácticas comunes y las diferencias se acentúan en cuanto a mentalidad, formación y capacitación de sus ciudadanos.

En España hemos logrado alcanzar un alto nivel en cuanto a la cultura de la concienciación en ciberseguridad, por lo que nos situamos a la cabeza de Europa. Esta materia se incorpora a nuestros planes formativos desde temprana edad, en la escuela y se van adaptando a los diferentes niveles educativos. Aun así debemos prestar especial atención al acceso de niños y adolescentes a ciertos contenidos y evitar que sean objetivo a través de ingeniería social, entre otros riesgos.

En cuanto al ámbito empresarial, ya hemos mencionado antes que sufrimos una media de 1.252 ciberataques semanales por lo que queda mucho por hacer en prevención y protección. Un síntoma “positivo”, en relación a la relevancia que se le da a la ciberseguridad en las empresas, es el incremento, tanto del número de personas asignadas a los equipos de ciberseguridad, ya sea interna o externamente como de la inversión en ciberseguridad. En cuanto a los Centros de Operaciones de Seguridad (SOC), aún hay un 21% de compañías en España que no disponen de este recurso para procesar incidentes y por  otro lado, el 40% de las empresas españolas no realiza auditorias periódicas de sus aplicaciones o dispositivos críticos, según el informe de Deloitte, El estado de la ciberseguridad en España. Cyber Strategy, Transformation and Assessments 2023.

¿De qué manera es posible potenciar el nivel de concienciación en materia de ciberriesgos entre los distintos públicos, particular y empresa?

En mi opinión, los medios generalistas de comunicación juegan un papel determinante a la hora de difundir incidentes de ciberseguridad y las consecuencias que puede acarrear la suplantación de identidad, a modo de ejemplo, en sus vidas. También hay organismos como Incibe que tiene un programa de concienciación muy potente, dirigido a todo tipo de público, incluidas empresas.

En la empresa es fundamental la formación periódica, realización de simulacros y hacer partícipe a los empleados de las políticas corporativas, para que todos seamos conscientes de las implicaciones legales y reputacionales que puede conllevar un ciberataque. Es importante que todo el personal se involucre por igual en la seguridad de la organización, que actúe de manera coherente con las políticas de seguridad de la misma y que desarrolle sus habilidades y comprensión en esta materia.

Según su experiencia y percepción: ¿cuál es el nivel de notoriedad y participación de la profesional mujer en el mercado de la ciberseguridad?

Estamos dando pasos positivos para lograr incrementar la visibilidad y el nivel de participación de la mujer en este sector,  prueba de ello es la apuesta de CyberMadrid de apoyar e impulsar el talento femenino con mi reciente incorporación.

En mi opinión, esta cuestión ha de verse más como una oportunidad que como un problema. Cada vez más, las organizaciones españolas apuestan por contrataciones mixtas y el 37,8% de ellas no realizan distinciones a la hora de contratar talento en ciberseguridad según el informe del 2022 de Incibe, Análisis y Diagnóstico del Talento en Ciberseguridad en España.

Si bien es cierto que aún hay mucho por hacer, la presencia femenina en la industria Cyber se situó en el 31% en 2022. Debemos lograr que ese porcentaje crezca y sea visible en paneles, foros, entrevistas… para despertar vocaciones y servir de inspiración a otras muchas mujeres.

¿Desea lanzar un mensaje a la mujer profesional que desarrolla su actividad en diferentes sectores del mercado y áreas de responsabilidad, entre ellos la industria del seguro, y que constituye una parte fundamental de la audiencia de Muy Segura?

La industria del seguro es uno de los pilares de la ciberseguridad.  El interés por los ciberseguros se ha generado en gran medida por el hecho de que el incumplimiento de las obligaciones de control y notificación de brechas de seguridad puede implicar apertura de investigaciones con sus correspondientes procedimientos sancionadores.

Los riesgos a los que se enfrenta una empresa son distintos según la actividad a la que se dedique, por eso la cobertura del ciberseguro también lo será y es preciso contar con expertos que asesoren adecuadamente a las empresas.