La ciberseguridad plantea nuevos retos al comercio electrónico

El comercio electrónico en España, que ha cambiado los hábitos de compra de gran parte de la población, se encuentra en un periodo de transformación acelerada. Las expectativas para el sector son optimistas, marcadas por un fuerte crecimiento y una revolución tecnológica sin igual. Son ya muchas las empresas que obtienen gran parte de sus beneficios a través del comercio digital, lo que obliga a maximizar la experiencia de usuario, pero también a ofrecer al cliente un entorno de compra seguro. La seguridad es, pues, un factor clave para evitar los ciberataques, que afectan tanto a los consumidores como a la reputación de las marcas.

Hallar el equilibrio entre la experiencia de usuario y la seguridad es un reto. Debe abordarse desde el minuto cero

Ignacio IsasaSocio de Technology Consulting de EY

Con el Black Friday a pleno gas y la Navidad a la vuelta de la esquina, Diálogos La Vanguardia, en colaboración con EY, reunió a un grupo de expertos para analizar cómo las empresas pueden optimizar la experiencia del consumidor en e-commerce y reforzar al mismo tiempo la ciberseguridad. En la mesa redonda participaron Ignacio Isasa, socio de Technology Consulting de EY; José Luis Rojo, socio de Ciberseguridad de EY; Miguel Angúndez, IT Digital Senior Director Sales & Marketing de Radisson Hotel Group; Gemma Deler, Chief Information Security Officer (CISO) de Vueling; Marta Marcos, Chief Information Officer (CIO) de Minor Hotels Europe & Americas; y Edgar Jubillar, CIO de la farmacéutica ISDIN. Solo a modo de apunte, Rojo aseguró que el fraude online puede llegar a suponer hasta el 2% de los ingresos totales que se mueven en estas campañas próximas a la Navidad.

La ciberseguridad no puede ser una opción, es un imperativo. Lo que está en juego es la confianza del consumidor

José Luis RojoSocio de Ciberseguridad de EY

Los ciberdelitos van desde el fraude al comercio aprovechando debilidades en el proceso de venta al fraude al consumidor, pasando por el robo de los datos de los clientes y los temidos bots, que quitan el sueño a los responsables de ciberseguridad de las empresas. “Los ataques de la ciberdelincuencia son cada vez más sofisticados y holísticos”, argumentó Jubillar, quien recordó que, si fuera un país, la ciberdelincuencia, con sus dos trillones de euros a final de este año, “sería la sexta economía mundial”, con lo que su capacidad de ir por delante de las empresas y los consumidores es “real”. “Son capaces de encontrar cualquier brecha de seguridad”, agregó Angúndez.

Los equipos de negocio ya no ven al responsable de seguridad como alguien que pone barreras y complica el proceso

Miguel AngúndezIT Digital Senior Director Sales & Marketing de Radisson Hotel Group

Aunque partiendo de la premisa de que el riesgo cero no existe, la apuesta por la ciberseguridad es ineludible para el e-commerce. “No puede ser una opción, es un imperativo, porque lo que está en juego es la confianza del consumidor”, subrayó Rojo. De ahí que uno de los desafíos para las empresas es que las barreras para evitar los ciberataques no acaben convirtiéndose en muros para los clientes. El consumidor, convinieron, espera que el proceso de compra online sea rápido y sencillo, pero al mismo tiempo quiere que sea seguro. “Encontrar el equilibrio entre la experiencia de usuario y la seguridad es un reto. Debe abordarse desde el minuto cero”, sostuvo Isasa. Una opinión que compartieron el resto de los ponentes, para quienes la seguridad debe estar ya presente desde el inicio del diseño del producto o servicio, lo que obliga a trabajar a los equipos de diseño y de negocio codo con codo con los de ciberseguridad. El objetivo, resaltaron, es conseguir procesos con poca fricción, sencillos y, que lleven directamente a la compra. “Esta combinación de diseño y ciberseguridad es un valor diferencial”, manifestó el CIO de ISDIN. Aunque el camino no ha sido fácil, y se han producido roces, ahora se está en un “punto dulce” y, como manifestó el representante de Radisson, “los equipos de negocio ya no ven al responsable de seguridad como alguien que pone barreras y complica el proceso”. Además, advirtió que no implementar la ciberseguridad en etapas tempranas “sale el doble de caro”.

La ciberseguridad es una tarea de equipo, no solo del área tecnológica. Hay que trabajar con todos los departamentos

Gemma Deler,Chief Information Security Officer (CISO) de Vueling

Si enrolar a los equipos de diseño y de negocio en la tarea es importante, no lo es menos conseguir que otros departamentos de la empresa, ya sea legal o finanzas, también tengan en cuenta la ciberseguridad en sus prácticas. “La ciberseguridad es una tarea de equipo, no solo del área tecnológica. Hay que trabajar con todos los departamentos y estar en todos los procesos de decisión,”, expuso Deler. Vueling, que este año celebra su 20 aniversario, cuenta con un equipo de 600 personas en su centro digital, el más grande del sector en España. “La digitalización está con nosotros desde el primer día, pero la condición sine qua non es que todo tiene que ser seguro”, enfatizo.

Lo que ayer no era una vulnerabilidad o una debilidad, hoy puede serlo. Hay que vigilar y reevaluar continuamente

Marta MarcosChief Information Officer (CIO) de Minor Hotels Europe & Americas

También es crucial que la ciberseguridad esté en la agenda de la máxima dirección de la compañía y del consejo de administración. “Hay que formar periódicamente a los consejeros y al comité de dirección para que sean conscientes de los nuevos riesgos que aparecen”, afirmó Marcos, en consonancia con el resto de las intervenciones, que abogaron por formar también a todos los empleados. Igual de importante es que la ciberseguridad impregne toda la cadena de valor. “Hay que tener todos los eslabones de la cadena cubiertos; solo que un eslabón no sea seguro eres más vulnerable”, expuso Isasa. “No vale que solo seas seguro tú, tienes que asegurarte que tus proveedores también lo sean en todo el ciclo”, apostilló Marcos. Aunque no resulta fácil securizar toda la cadena, la ley así lo exige.

Los ataques de la ciberdelincuencia, la sexta economía mundial, son cada vez más sofisticados y holísticos

Edgar Jubillar.Chief Information Officer (CIO) de ISDIN

Puesto que la ciberdelincuencia se profesionaliza y sofistica a la velocidad del rayo, las empresas deben estar en permanente alerta. “Lo que ayer no era una vulnerabilidad o una debilidad, hoy puede serlo. Hay que vigilar y reevaluar continuamente y, por ello, intentamos monitorizar todos los flujos y tener alertas para actuar de forma rápida y ágil”, aseveró la representante de Minor Hoteles. En términos similares se expresó Deler, quien aseguró que además de desplegar las herramientas de forma adecuada, hay que revisarlas y tunearlas constantemente porque el adversario, en este caso los ciberdelincuentes, observan y también tunean. Hay que darles la mínima ventaja posible, señalaron, no sin antes resaltar que nuevas tecnologías como la Inteligencia Artificial (IA) son un aliado de la ciberseguridad, pero también una nueva fuente de preocupación, porque de la misma manera que estas herramientas están a disposición de las empresas, también lo están para los ciberdelincuentes que, a mayor abundamiento, tienen presupuestos ilimitados, y hasta departamentos de planificación de operaciones, con lo que el daño que pueden causar es mayor. “Desde que usan IA en los últimos tres años, vemos que los ataques han ganado un 70% de efectividad”, advirtió Rojo.

El fraude online llega al 2% de los ingresos en las campañas de Black Friday y Navidad

Las empresas, argumentó Deler, están haciendo todo lo que está en sus manos, “y de una forma muy exigente y excelente”, para combatir a los ciberdelincuentes de una forma más proactiva que reactiva, pero advirtió que hay otros dos pilares que son igualmente importantes. Por una parte, las fuerzas y cuerpos de seguridad y por otro, los usuarios finales, “a los que hay que formar”, para que sepan de verdad “quién tienen delante, con quién están tratando”, si con una firma reputada o un ciberdelincuente, especialmente ahora con la eclosión de los bots. En este sentido, Angúndez opinó que los clientes están aceptando los pasos de seguridad que ponen las empresas en sus comercios electrónicos. “Es un paso importante”, apostilló.

Las compañías deben pasar de ser reactivas a proactives en materia de ciberseguridad

En cuanto a la regulación en materia de ciberseguridad, los expertos opinaron que la directiva europea Nis2, que proporciona una legislación armonizada en toda la UE, es una buena herramienta, aunque reclamaron que se legisle con mayor rapidez. “Entendemos la regulación como un marco de trabajo que nos ayuda, pero hay que ir un poco más allá del cumplimiento técnico y efectivo; necesitamos velocidad”, aseguró Jubillar, resumiendo el sentir unánime. “La ley se tiene que cumplir y se tiene que cumplir en todos los lugares donde operas, con lo cual no es una ventaja competitiva, es un requisito para hacer negocios”, apuntó Deler, para añadir que las empresas tienen delante unos adversarios que ignoran la ley y unos países en los que “el esfuerzo regulador no es el mismo de la UE”, por lo que se dan “situaciones alegales” que para los delincuentes sí puede suponer una ventaja competitiva. El representante de Radisson también reclamó más claridad a la legislación para evitar “ambigüedades”.

Aunque hay herramientas para protegerse de los ciberataques, el riesgo cero no existe

Los ponentes también abordaron la falta de profesionales en ciberseguridad. “Tenemos un déficit importante de capacidad, que no de talento”, declaró Jubillar, quien pidió que se ensanche la oferta formativa. “Se están dando los pasos adecuados”, sostuvo Deler, quien abogó también por el reskilling del talento existente en las empresas y puso como ejemplo la Vueling University, por la que ya han pasado más de 250 personas entre recién graduados y profesionales que quieren reorientar su carrera laboral. Rojo señaló que España, uno de los países más atacados del mundo, es un referente a nivel internacional. “El talento que tenemos es un talento de referencia y lo exportamos a otros países”, concluyó.