Xabier Mitxelena Rúiz
Una dilatada carrera profesional con espíritu emprendedor. Comenzó como Consultor de Calidad en Sayma Consulting, siendo parte de Bull como Gerente de Canal Indirecto para el Norte de España. Después de ese período, dirigió ATE Informática con el objetivo de liderar el proceso de digitalización de las pequeñas empresas. Como CEO y socio de ATE, fundó ATE Internet y ATE Consulting en 1995.
Fundador y miembro del Consejo de Administración y ex CEO de S21sec, su trabajo se ha centrado en el liderazgo, la gestión y la representación de la empresa dentro de la industria de la Ciberseguridad con una apuesta firme por la innovación y la generación de talento. Ha sido una parte muy activa del desarrollo de la compañía, consolidando S21sec como una compañía global de referencia en Ciberseguridad. El ADN del S21sec se construye con humildad, entusiasmo e innovación, reafirmando dichos valores en los clientes.
Desde Diciembre de 2017, Xabier es socio de Accenture, donde lidera la práctica de Seguridad en Iberia (España, Portugal e Israel) con la misma ilusión que cuando comenzó sus primeros pasos profesionales.
Siempre orgulloso de su ciudad natal, Donostia, y del club de futbol de sus amores, la Real Sociedad, Xabier es Ingeniero Industrial de Organización por la Universidad de Navarra y tiene un MBA en Marketing y Administración de Empresas de la Universidad de Deusto.
Nos encontramos ante un referente de la gobernanza en ciberseguridad
¿ Se puede afrontar una estrategia de ciberseguridad común en 17 comunidades autónomas, 2 ciudades y 19 modelos de gestión diferentes?
Se debe afrontar una Estrategia Común de Ciberseguridad. Han tenido que pasar muchos años y asistir a múltiples incidentes hasta que la sociedad y, por ende, sus mandatarios, haya dado un paso adelante conscientes de que el mundo digital presente y futuro sólo se puede construir desde un entorno común de confianza. Si bien en nuestro país llevamos muchos años desarrollando una estrategia de Ciberseguridad que genere un modelo social y económico resiliente, incluyendo la protección de las infraestructuras críticas, Europa, consciente de la relevancia de dar un futuro competitivo a sus empresas y ciudadanos ha asumido el liderazgo en los últimos años y empieza a implantar de forma conjunta medidas que en cada país y sus niveles inferiores iban dando pasos a modelos a veces poco unificados. El nuevo Reglamento de Protección de Datos (GDPR en sus siglas en inglés), y la Directiva NIS no sólo son la base de la unificación de criterios, con una Estrategia Nacional de Ciberseguridad que debe cubrir los aspectos de protección de ciudadanos y empresas haciendo hincapié en la protección de servicios esenciales e infraestructuras críticas, sino que define el modelo de cooperación y de prevención y respuesta ante incidentes. Esa misma cultura es la que tenemos que seguir desarrollando y consolidando a nivel nacional en cada unidad administrativa y en cada empresa. Soy consciente que lograr un modelo orquestado que sea ágil y dé los mejores resultados no es trabajo de un día ni una labor exclusivamente pública. La Ciberseguridad es una labor de todos, y sólo estableciendo una verdadera cultura de seguridad colaborando entre entidades públicas y privadas y con la implicación directa de los ciudadanos nos dará un futuro digital de confianza.
¿ El conjunto de la ciudadanía puede estar seguro de que sus datos sanitarios están seguros, protegidos frente a modificaciones, manipulaciones o copias ?
Vamos a partir de la base de que no podemos garantizar la seguridad total. Desafortunadamente la velocidad de los cambios tecnológicos no tiene hoy su altura un modelo e infraestructura global que asegure esos niveles. Sin embrago hemos avanzado mucho en la defensa de los derechos de los ciudadanos y su derecho a la privacidad. Sin entrar en la velocidad de respuesta a la defensa de nuestros derechos una vez que han podido ser vulnerados (realmente estamos construyendo un nuevo mundo donde hay muchos aspectos por desarrollar, validar y aplicar, tanto a nivel jurídico como legislativo), la historia más reciente con sanciones importantes a las entidades que han tenido una brecha de datos que afecta a nuestra privacidad, es el mejor ejemplo de que algo está cambiando. Las comparecencias de los grandes lideres de las mayores empresas tecnológicas en Internet empiezan a dar luz a muchas de las malas praxis que se han dado durante la construcción del Ciberespacio donde, amparados en una especie de “alegalidad y tal vez con nuestra propia complicidad inconsciente o sugestionada a la hora de utilizar las nuevas aplicaciones en la red, el uso de nuestros datos ha dado alas a sus valores bursátiles y a la puesta en marcha de un nuevo modelo de llegada a nuestras experiencias y formas de vivir y consumir. Nada diferente a lo que durante años se ha hecho vendiendo bases de datos como modelo (nuevo?) adicional de ingresos. Por eso es MUY IMPORTANTE que dejemos de vivir en un modelo digital donde la inmediatez sea la base de nuestro comportamiento. Hoy la ley exige a las empresas que nos pidan nuestro consentimiento a la hora de manejar nuestros datos y somos nosotros, la ciudadanía, los que debemos reflexionar sobre qué queremos y qué no queremos. Si los datos generan pingües beneficios a las empresas a las que se los cedemos, acabaremos algún día en un beneficio compartido ¿?. Si no quiero compartir mis datos, sólo espero que cumplan con mis derechos. Para mí lo fundamental es que se establezca un código ético digital y que cada uno decida qué quiere hacer con su información.
Los datos que las diferentes instituciones sanitarias están obteniendo de esta pandemia, ¿ están siendo gestionados de forma segura ¿?
La seguridad de nuestra información en el ámbito sanitario ha mejorado de forma notable en la última década, sin duda con el impulso que las Leyes han dado en el entorno de cumplimiento de las mismas. La transformación digital de nuestras sociedad, lleva implícita la digitalización de procesos de negocio y servicios críticos dónde las nuevas tecnologías han venido para ser su soporte disruptivo. Internet de las Cosas, 5G, Inteligencia Artificial……, conectividad, conectividad y conectividad. Somos una fuente permanente de datos que si se usan de forma adecuada y con los criterios éticos y de cumplimiento razonables, la mejora de nuestra calidad de vida será continua. Una pandemia como la que estamos viviendo es un nuevo escenario, poco predecible por la mayoría, donde los datos cobran mayor relevancia para establecer estrategias que nos permitan hacer frente a la misma y erradicarla con los mejores resultados posibles. Cuando la salud personal y colectiva está en juego, es importante que la sociedad funcione como un reloj suizo y afronte las decisiones de forma coordinada. Mi opinión personal es que todas las indicaciones y acciones que se están ejecutando tienen en la seguridad y la protección de nuestros datos su base de partida. Las entidades sanitarias y las empresas que estamos colaborando con ellas en la respuesta a esta crisis sanitaria tenemos la sensibilidad, el compromiso y la cultura para que toda la gestión de los datos se haga de forma segura. Sin embargo seguro que hay matices a mejorar y, sobre todo, modelos de futuro que debemos consensuar y poner en marcha. Pensemos que la Ciberdelincuencia siempre actúa con mayor virulencia en situaciones de caos y estamos sufriendo de forma permanente, y el sector sanitario está en primera línea, ataques cibernéticos masivos (phishing, ransomware, fuga de datos).
Desde su empresa, ¿ cómo se entiende la Ciberseguridad Sanitaria ?
Desde Accenture venimos desarrollando a nivel nacional y global una labor estratégica de incluir la Ciberseguridad como un activo de las organizaciones y como un elemento diferencial a la hora de competir en los diferentes mercados. El sector sanitario es una de las infraestructuras críticas que da soporte a nuestra sociedad, a los ciudadanos, y su constante evolución requiere de tener una estrategia integral donde la Ciberseguridad garantice la resiliencia de los servicios sanitarios y asegure la información de los pacientes. Y predicamos con el ejemplo. Somos más de 500.000 empleados a nivel mundial y hemos conseguido homogeneizar nuestras infraestructuras y aplicaciones, con más del 97% de nuestras soluciones en el Cloud, tenemos unas políticas de seguridad de última generación con los niveles máximos de protección de datos (propios y de nuestros clientes) y con un Centro de respuesta ante incidentes interno que es un ejemplo de eficiencia y capacidad de prevención y respuesta (más del 88% de los ataques que recibimos reciben respuesta automática sin injerir en nuestra actividad). Siendo la empresa líder mundial en la Consultoría y servicios “end to end” de transformación digital, nuestra labor con las mayores empresas nacionales e internacionales, públicas y privadas, tiene en la Ciberseguridad uno de sus pilares fundamentales. Promovemos la cultura de seguridad en nuestros clientes, embebemos los aspectos legales y regulatorios que afectan tanto al cumplimiento como a la competitividad de nuestros clientes, e incluimos los modelos y arquitecturas de seguridad desde el diseño. Hoy no es suficiente con evaluar la seguridad de nuestros negocios, tenemos que desarrollar soluciones y servicios seguros como elementos diferenciales. Es 30 veces más barato desarrollar una aplicación segura que proteger y revisar la seguridad de forma reactiva. Y todo esto incluye la innovación permanente alrededor de nuestros más de 50 centros mundiales donde trabajamos con nuestros clientes en construir las mejores soluciones de nueva generación. Si a esto sumamos nuestras más de 15 adquisiciones en los últimos años en el ámbito de la Ciberseguridad (Defense, Symantec CSS, FusionX, Revolutionary Security,……..) para dar cobertura 360º a una nueva visión estratégica que se centra en la sectorización de la Resiliencia de los negocios, junto al constante crecimiento de expertos dentro de la firma (más de 8.000 en estos momentos), puedo afirmar que nuestra posición en el ámbito de la Ciberseguridad Sanitaria está en vanguardia. Colaboramos con los lideres tecnológicos a nivel global, aprovechamos las experiencias internacionales para acelerar los procesos de transformación en el sector sanitario y en esta nueva era del teletrabajo y tele-diagnóstico aportamos un valor integral con nuestras redes internacionales de Start-Ups donde invertimos y colaboramos con nuevos actores que serán esenciales para una Sanidad Digital confiable.
¿ Qué debemos exigir los ciudadanos a las instituciones sanitarias sobre la Ciberseguridad que debe existir respecto de nuestra historia clínica electrónica ?
Que cumplan con nuestros derechos y con nuestra opciones. En un mundo globalizado, es importante entender quién, cuándo, cómo y por qué puede/debe acceder a nuestra historias clínicas electrónicas para poder recibir el mejor servicio posible. Aquí volvemos a valorar aspectos que se han ido viendo en las preguntas anteriores como nuestros derechos de privacidad y sus consecuencias legales en caso de vulneración, nuestras opciones de consentimiento y la obligación de exigir a las instituciones unas políticas y prácticas de seguridad idóneas. Aquí es relevante, viendo nuestro mapa autonómico sanitario, desarrollar de forma completa un modelo de interoperabilidad que asegure el acceso a la información pertinente, de forma segura, en los casos que así lo requieran. Las nuevas infraestructuras digitales (Cloud, IoT, 5G………) deben ser garantes de estos requisitos. Hay que exigir a las instituciones que trabajen con expertos certificados, con plataformas seguras y que todas las tecnologías que forman parte de los servicios en el ámbito de la Sanidad tengan una certificación oficial sobre los requisitos de Ciberseguridad exigibles. En esta línea en Europa se están definiendo los estándares que deberán cumplir las tecnologías médicas (entre otras), infraestructuras que dan soporte a las mismas y compañías de productos y servicios que formen parte de la cadena de suministro. Hoy la responsabilidad empieza a estar distribuida, los dirigentes tiene responsabilidad penal en el mal uso de los datos y seguro que con paciencia el futuro de nuestros historiales estará en las mejores condiciones. No podemos cambiar de un día para otro y habiendo sido reactivos hasta hace pocos años, hoy estamos construyendo un nuevo entorno sanitario “hiperconectado” que debe gobernarse desde el respeto a nuestros derechos. En un símil que está por llegar, la sanidad universal exige una Ciberseguridad universal. Mas allá de la colaboración público privada, esencial en el sector sanitario, la Ciberseguridad debería ser un servicio público en el corto-medio plazo.
Cibex I+D+i
Esencias 5.0
