Con 1.600 profesionales, la rama de ciberseguridad de la firma en España es la más grande junto a India de la organización a nivel global Leer Con 1.600 profesionales, la rama de ciberseguridad de la firma en España es la más grande junto a India de la organización a nivel global Leer
Asociadas a Deloitte hay múltiples imágenes. La consultoría, grandes torres de oficinas, presentaciones para clientes al límite, miles de personas trajeadas yendo de un lado a otro… Sin embargo, cada vez más en España hay otra asociación: la ciberseguridad, campo en el que ya emplea a más de 1.600 personas y en el que nuestro país ejerce de gran escudo global para la firma de unos servicios profesionales que ya son inentendibles sin los negocios que ha creado la digitalización. ¿Cuál fue el secreto del éxito?
«Aquí se decidió apostar por un modelo de extremo a extremo que no era fácil porque implica tener atención 24/7, es un modelo con turnos y de una gestión muy compleja con perfiles que no estaban en el mercado y que nosotros fuimos capaces de fabricar con el modelo de talento de Deloitte», explica en una entrevista con Actualidad EconómicaXavier Gracia, socio responsable de Ciberseguridad de Deloitte, durante una visita a su centro de operaciones en Madrid, desde el que la compañía presta servicios a Estados Unidos, Canadá, Australia, Oriente Próximo o Sudáfrica.
Se trata del segundo centro de operaciones más grande de la multinacional, solo por detrás de India, explica Nicola Esposito, socio de Deloitte responsable del Centro EMEA de Operaciones de Ciberseguridad (ECC). Él es responsable de los más de 600 trabajadores dedicados a operar la ciberseguridad de los clientes, un aspecto clave para el que cuentan con empleados de 26 nacionalidades y proyectos tan estratégicos como la seguridad del Comité Olímpico Internacional.
«No tiene sentido inventar la rueda en cada país de Europa. Aquí están todas las operaciones contra ciberamenazas. En algunos países lo complementamos con lo que llamamos última milla porque al final el cliente quiere tener gente cercana o algún contacto local», explica Esposito.
El modelo puesto en liza por Deloitte ha arraigado por esta capacidad de prestar servicios en cada extremo de la ecuación. «No le dejas un papel y te vas. Ahora tienes que acompañar al cliente y te pide que lo transformes y lo operes», señala Gracia, que reconoce que los equipos de ciberseguridad de muchas empresas están desbordados.
El responsable de la práctica en el país subraya que la celeridad a la hora de adoptar este enfoque ha permitido adelantarse a la competencia que sigue buscando cómo acercarse, pero cuentan con la mitad de empleados que Deloitte en el ramo. «La competencia nos está copiando, pero van tarde. Lo difícil no es tener la visión de hacerlo, es ponerte. La visión estoy seguro que la tenían, pero hace 11 años era complicado incluso encontrar talento porque a las big 4 nos veían de otra manera», subraya el directivo.
Entre otras acciones, Deloitte creó el primer master de ciberseguridad a nivel nacional y apostó por la formación interna, hasta el punto de convertir el hub en una gran cantera para el sector de la ciberseguridad y con una rotación de un 17%, por debajo del 20% del sector. «Somos un catalizador importante de este ecosistema. Generamos oportunidades para los fabricantes y de directivos especializados en ciberseguridad. Nuestro talento se acaba yendo al cliente final», explica el directivo que reconoce, eso sí ,que la cuestión del talento está lejos de estar resulta. «La oferta formativa que hay sigue siendo insuficiente, donde la gente acaba aprendiendo realmente es en la propia organización», se lamenta.
Una de las claves que sobrevuela la conversación con la cúpula de ciberseguridad del grupo es que uno de los secretos de la aproximación de Deloitte es que la compañía está habituada a hablar el lenguaje de la empresa en su conjunto, no únicamente el de los responsables de tecnología.
Uno de los aspectos relevantes, señala Óscar Martín Moraleda, socio de Ciberseguridad de Deloitte, es la diferenciación sectorial que se hace en la compañía con los clientes. «Es muy relevante, tienes que hablar el lenguaje del sector en que opera una multinacional muy compleja», explica el responsable de confianza de digital y privacidad.
La unidad de ciberseguridad de España cuenta con importantes proyectos con eléctricas y energéticas, entre ellos varios para instalaciones estratégicas en Oriente Próximo. Cada proyecto, viene con una preocupación específica, según Martín. Desde las industrias preocupadas por cómo proteger elementos informáticos muy antiguos que tienen que convivir con tecnologías muy nuevas, hasta otros que buscan maximizar la disponibilidad de su producción.
El otro elemento que ha ayudado a cuadrar el círculo por completo son Dora y Nis2, las nuevas regulaciones del sector a nivel europeo que aumentan las responsabilidades del Consejo de Administración ante ciberataques, ya que será el órgano responsable a la hora de valorar la diligencia con la que una empresa ha actuado ante un ciberataque . «Eso mueve mucho la aguja. Si el Consejo tiene esa responsabilidad, cambia radicalmente. Es muy relevante que la compañía esté cumpliendo y es muy importante hablar el idioma del consejo para que sepan cómo actuar», señala Martín.
Rubén Frieiro, socio de Ciberseguridad de Deloitte responsable de Cyberstrategy and Transformation, subraya que más allá de este ámbito regulatorio las propias prioridades del CEO están cambiando y con ello su forma de abordar los ciberataques. «Ha pasado de un perfil que se preocupaba mucho por lo puramente operativo y el lucro cesante que se generaba con este tipo de interrupciones, a una visión más a largo plazo como los daños que se generan a terceros, el riesgo de no custodia de los datos o el daño reputacional», apunta.
En este contexto, la entidad está por ejemplo haciendo simulaciones de ataque con los Consejos de los clientes. «Llevamos más de diez años con un programa que apuesta por introducir la ciberseguridad en la agenda del CEO. Siempre hemos pensado que eso tenía que ser así y yo que efectivamente el tiempo nos ha dado la razón», subraya Gracia, que apunta que esta mezcla entre capacidad técnica, regulación y relación con el Consejo son «puro ADN Deloitte», por lo que el contexto encaja como un guante en la oferta que llevan más de una década perfeccionando.
De cara al día a día y la parte técnica, la inteligencia artificial se ha vuelto protagonista en el sector. «Desde la parte de ataque estamos viendo cómo se sofistican y se hacen más rápidos. Antes se publicaba una vulnerabilidad y los técnicos la analizaban un tiempo y eran meses. Esto se ha acortado muchísimo con la IA y provoca que nosotros tengamos que poner estos medios en nuestro lado para agilizar la respuesta en lo posible», explica Adolfo Pedriza, socio de Ciberseguridad de Deloitte responsable Enterprise Security y Cyber Defense.
El responsable de esta parte ligada a la ciberdefensa de la firma explica que desde el desarrollo e innovación la compañía lleva años trabajando en integrar la IA a sus procesos y servicios, que se verán profundamente transformados en los próximos años. De hecho, ya un 40% de los tickets de respuesta que se generan, se crean con inteligencia artificial, pero el impacto irá a mayores.
«A nivel global ya está cambiando el delivery (la entrega de servicios). Se considera que muchos servicios prestados por personas lo van a hacer IAs, van a transformar la seguridad», apunta Esposito. Por su parte, Frieiro señala sobre todo a la automatización. «Parece algo ya viejo hablar de robots, pero la verdad es que es una tendencia que te hace mucho más independiente de la tecnología». Precisamente, una de las claves es que gran parte del software de fabricantes de seguridad empieza a incorporar funciones de análisis con IA que antes requerían de un analista humano, todo un cambio de paradigma.
«Es crucial que las organizaciones mantengan un enfoque equilibrado, combinando IA con inteligencia humana y adaptando continuamente sus estrategias de defensa», completa Pedriza.
Otro elemento para el que ya están preparando en la firma es la llegada de las tecnologías cuánticas y su impacto en todo lo relacionado con la criptografía. «Se lo dices al cliente y te dice que son décadas, pero hoy mismo hay determinada información confidencial que puedes tener cifrada. Si esa información te la roban, tampoco te puedes permitir el lujo de que sean capaz de descifrarla con esta tecnología dentro de seis o siete años», apunta Martín Moraleda, que destaca que ya están recomendando a los clientes optar por el uso de algoritmos quantum-safe.
Otro de los elementos centrales de las preocupaciones de los socios es el concepto de identidad digital y su creciente importancia en un futuro en que parece que tanto la imagen como la voz de cualquier persona podrá ser suplantable mediante el uso de inteligencia artificial.
Actualidad Económica // elmundo
