Ciberseguridad, una oportunidad industrial
Presidente de Indra desde su creación en 1993, con anterioridad Javier Monzón desarrolló su actividad profesional en los ámbitos financiero y empresarial. Fue director financiero, presidente de Telefónica Internacional y director general de Desarrollo Corporativo en Telefónica.
Fuertemente comprometido con el fomento de la actividad emprendedora, el desarrollo tecnológico y la excelencia educativa, ha sido y es consejero de otras sociedades cotizadas españolas e internacionales y de diversas asociaciones empresariales y fundaciones.
Recientemente, fue el ponente invitado del Desayuno de trabajo de la CEDE –Confederación Española de Directivos y Ejecutivos–. Estas fueron algunas de las reflexiones que compartió con los directivos presentes:
Las empresas de base tecnológica en España
Indra es una empresa global, tanto geográficamente como por los mercados verticales a los que se dirige. Siempre ha sido una compañía de base tecnológica con obsesión por una oferta diferenciada, por ser capaz de ofrecer algo que no tienen los demás –o que tienen muy pocos– y, en consecuencia, generar una ventaja competitiva más sólida, sostenible y que permite mejores niveles de rentabilidad y crecimiento y, por lo tanto, capacidad de hacer talento, pues somos una compañía que representa una alta concentración de talento.
Uno de los principales retos de las economías desarrolladas o emergidas es mantener una presencia suficiente y un liderazgo en actividades industriales. Nuestro país tiene en la industrialización una vieja asignatura pendiente.
La intensidad innovadora de nuestra economía es muy baja, comparativamente con los países de nuestro entorno, con los de la OCDE o con los nuevos emergentes. Tenemos una economía con poca base industrial y tecnológica –donde más se produce la innovación– y un número reducido de empresas globales, cuando lo que caracteriza a una economía dinámica es crear muchas empresas de este perfil y que algunas de ellas se hagan grandes y se conviertan en líderes en su sector.
Es fundamental fomentar un tejido empresarial de medianas y grandes organizaciones, pues son las que ejercen un efecto tractor sobre la innovación en la economía. Además, las no puramente tecnológicas han sido lentas en el ritmo de adopción de las innovaciones, en el alcance con que lo han hecho y, en general, en la intensidad y el uso de las nuevas tecnologías.
Creo que los instrumentos y herramientas de la política de innovación se aplican de forma dispersa, en lugar de concentrar los esfuerzos y apostar por ser selectivos, aunque esto sea complicado y tenga un coste político.
¿Cómo hacer una sociedad digital mejor? La ciberseguridad
Vivimos en una sociedad que ya es digital, y cada vez lo será más. Las tecnologías digitales sirven para captar, procesar, gestionar, almacenar, transmitir y comunicar información, la cual va a ser el elemento central que defina la superioridad de unas organizaciones frente a otras.
Este proceso dominado por la información y las tecnologías digitales es global, afecta a todos los sectores de la actividad económica, a todas las geografías, y a la sociedad entera en su conjunto, pues está induciendo una nueva forma de vivir. Por lo tanto, su impacto no es solo económico sino también social. La digitalización es un proceso imparable e irreversible.
Los estudios más conservadores dicen que dentro de menos de una década todos tendremos en nuestro entorno directo entre 50 y 70 dispositivos conectados. Todo lo que hacemos estará en soporte digital y seremos todavía más vulnerables. Por eso, este mundo interconectado está transformando el concepto de seguridad.
Los riesgos son mayores, los ataques cada vez más variados, sofisticados y numerosos y las amenazas más complejas por el alcance, la frecuencia con la que se producen y, sobre todo, porque tienen un origen muy diverso, casi infinito. Cualquiera puede ser sujeto de ataques cibernéticos.
La seguridad clásica se refería a entornos específicos, hoy a todos los ámbitos y a los procesos concretos de cada uno de ellos. Antes la seguridad se centraba en proteger los accesos, ahora en proteger el dato, vaya donde vaya y se genere donde se genere.
Esta situación está provocando una redefinición del concepto de seguridad, y también una oportunidad. Tenemos que conocer y dominar las tecnologías y los procesos de gestión en torno a la seguridad dentro de las empresas, así como dotar de seguridad a sistemas muy complejos que nacieron y se han desarrollado sin que ese fuese un requisito vital. Además, habremos de ser selectivos, pues no vamos a poder proteger todo.
La ciberseguridad va a requerir una gestión política y social, y hacer conscientes a los ciudadanos de que esta sociedad digital que tantas posibilidades puede proporcionar también tiene un riesgo amplio y creciente, que no va a poder ser prevenido ni neutralizado en toda medida.
Creo que sin una gobernanza global será difícil afrontar muchos de los retos que nos esperan. Hoy es muy sencillo construir una amenaza global y ejecutarla, porque no tenemos unos sistemas de defensa o protección universales. Vivimos un momento de gran vulnerabilidad. El ciberterrorista tiene mucho tiempo para planificar y estructurar un ataque. De hecho, el tiempo medio que se tarda en detectarlo llega casi al año. Es decir, desde el momento en el que jaquea el sistema hasta que se percibe, pasan más de 200 días. Durante ese periodo, ha estado recabando información y estudiando el sistema, de modo que el día del ataque su preparación es mayor.
Además de una componente institucional de primer orden, pues se requieren sistemas complejos para que los Estados se puedan ocupar de la seguridad esencial de sus ciudadanos, hay también un ámbito de seguridad corporativa.
Las empresas tenemos que repensar la seguridad de todas las actividades relacionadas con el consumo y las relaciones sociales. Esto está dando lugar a una explosión económica y de actividad industrial y tecnológica en este campo, que atrae a un gran número y variedad de actores. Algunos proceden de sectores conexos, pero otros muchos tienen capacidades tecnológicas nuevas, de los nativos digitales, que además se convierten en servicios o en productos, y se vuelcan sobre las redes sociales.
Obsesión por el crecimiento
Todas las compañías de esta industria, de cualquier tamaño, están caracterizadas por una gran actividad no solo de crecimiento y desarrollo orgánico, sino de adquisiciones, fusiones… También se están generando nuevas relaciones entre los agentes. Además es una industria multisectorial, pues incorpora tecnologías de diversos ámbitos; la relación clásica entre cliente y proveedor se altera, lo mismo que entre grandes y pequeñas empresas; varía la relación entre lo público y lo privado, ya que las fronteras entre uno y otro sector cambian radicalmente; las alianzas entre países serán distintas y se tendrán que construir sobre otras bases…
No hay ninguna organización en el mundo que sea capaz de atraer y desarrollar todas las habilidades necesarias ni establecer con eficacia los incentivos que requiere atraer el talento a esta actividad. Ninguna organización ha sido capaz de adaptar con éxito las formas de gestión requeridas por este nuevo entorno y captar, sobre todo, el capital necesario.
Cuando estamos ante una actividad de estas características, caben principalmente dos opciones estratégicas: o convertirnos en un usuario avanzado de la nueva oferta (incorporándola e integrándola en nuestras organizaciones con rapidez e inteligencia) o no solo ser usuario inteligente sino generador de un tejido industrial innovador en nuestro entorno, aprovechando esa nueva demanda. Este tejido cercano es beneficioso, pues termina por generar una nueva oferta que permite anticiparse a los competidores. Así ha sido históricamente en muchos sectores críticos y en aquellos países que han apostado por una economía industrial y altamente competitiva, y así está siendo en el campo de la ciberseguridad.
La evidencia empírica nos dice que se deben dar tres requisitos para crear un tejido innovador. Primero, que exista demanda temprana que pueda tener lugar de manera sostenida en el tiempo; segundo, que haya conocimiento para generar esa nueva tecnología o conocimiento traducido a una actividad que sea industrializable, por tanto, que haya talento; y tercero, tener una estructura empresarial, bien en el número de empresas necesario o en la capacidad de crearlas, y que esas empresas induzcan o generen una actividad industrial sostenida. Cuando estos tres elementos se han dado, se han creado estructuras industriales o productivas innovadoras.
Además, hace falta cubrir en el tiempo toda la cadena de desarrollo que una industria requiere. Estar en el origen, cuando empiezan a nacer startups, y también después, cuando se desarrollan, crecen y se integran. Al final, todas deben haber nacido para ser pensadas globales y con los elementos necesarios para que este proceso fluya en todos los sentidos (financiación, talento, voluntad del talento directivo para moverse a sectores emergentes, etc.).
En España tenemos elementos suficientes para aprovechar esta ola de la ciberseguridad. Tenemos usuarios líderes que podrían inducir esa demanda temprana de manera sostenida en el tiempo, y disponemos de unas capacidades tecnológicas notables en el ámbito de la vigilancia, la supervisión, los sistemas de control, el desarrollo de software y los servicios asociados. No contamos con excesivas empresas relevantes en este campo, pero estamos creando más nuevas de las que creemos o conocemos.
En nuestro país hay un dinamismo bastante relevante en el mundo de las tecnologías digitales, aunque no las sabemos hacer crecer.
Tenemos talento razonable, o al menos suficiente, pero lo tenemos disperso y mal organizado. Aunque los objetivos de nuestro sistema educativo no están alineados con los de esta actividad, sí tenemos la capacidad de generar talento de manera recurrente para que se pueda desarrollar.
Creo que España tiene una oportunidad relevante de subirse al carro de la transformación digital, y en particular de la ciberseguridad; y de hacernos no solo usuarios activos inteligentes de estas nuevas tecnologías, sino también de generar una actividad con un tejido industrial que nos sirva para que el país esté más presente en esta nueva economía industrial de futuro, basada en el conocimiento y en lo digital.
Algunos países no europeos ya están reflexionando sobre cuáles son los ámbitos críticos que hay que asegurar y preguntándose quién genera esa tecnología y quién la emite, pero ese debate no está en los principales países de Europa, donde nos entretenemos demasiado en el análisis. Hay una iniciativa todavía muy pequeña, a la que España se está sumando, que busca definir cuáles serían las capacidades estratégicas e industriales en materia de seguridad que Europa debe tener en el entorno europeo, y si no existen, cómo se pueden incentivar.
El mundo de la seguridad esta muy conectado con las redes sociales, y Europa no es líder en este ámbito, ni tampoco en las tecnologías asociadas a él. Esta es una de las razones del retraso. Haría falta un mayor impulso por parte de los gobiernos y seguir el ejemplo de la OTAN que, en su última asamblea, por primera vez ha situado a la ciberseguridad en el primer nivel de prioridad política y estratégica, legitimando una intervención de la OTAN en una situación en la que una ciberamenaza pudiese generar un conflicto.
Indra en España
Nuestro futuro aquí pasa por mantener la posición de liderazgo que hemos conseguido, y que depende fundamentalmente de lo que hagamos fuera. Indra en España es una fuente interesante de conocimiento y tecnología, pero será mejor para el país cuanto más buena y mejor sea en el exterior.
Hay algunos ámbitos relevantes que van a decidir el porvenir de las empresas tecnológicas, y los drivers principales no se dan en España.
Este sector exige estar pegado a los clientes más innovadores. En Indra tenemos un catálogo para las tecnologías críticas para el futuro y aproximadamente 2/3 de la demanda innovadora de dichas tecnologías están fuera del país, una gran parte en emergentes y otra en países centrales innovadores, como Estados Unidos o Australia.
El sector de la defensa en España está muy integrado. Nosotros tenemos casi el 85% de la cuota de mercado en el sector de actividad que tiene que ver con la defensa, pero lo que ahora se debate es si cabe o no un paso adicional y conjuntar entre capacidades de distintos ámbitos para poder dar un salto cualitativo a los programas multidisciplinares internacionales. Creo que, en este sentido, algo más se puede hacer y estamos trabajando en ello.
Por historia y por lo que somos, España debería tener vocación de ser un país de relevancia internacional, lo que requiere una capacidad de defensa suficiente para generar credibilidad. Es necesario que tus socios crean y confíen en que les vas a mantener y defender.
Educación en España
Debemos fomentar la vocación por la ciencia desde la educación primaria, pues tenemos un número decreciente de jóvenes que quieren estudiar carreras relacionadas con ciencia y tecnología.
Nuestro sistema educativo lastra un gran handicap, porque hemos renunciado a tener excelencia en la generación de élites, y ningún país o sistema económico ni tejido productivo podrá ser altamente competitivo si no genera una buena parte de las élites del mundo. Nuestra Universidad tiene esa asignatura pendiente. Cambiarla requiere de decisión política, de valentía para hacerla más penetrable a las tendencias que la rodean y para volcar toda su capacidad a la sociedad y al sector productivo. Si permitimos que las universidades se diferencien y puedan buscar la excelencia, sería positivo para el sistema, porque tenemos una buena base.
En Indra contratamos a profesionales en más de 40 países, pero en lo que respecta a profesionales de formación técnica, ingenieros, la educación en conocimientos de España es superior a la media, aunque tenemos una gran carencia en habilidades. Saber trabajar en entornos multidisciplinares y complejos, entenderse con gente de otras culturas, interactuar con los clientes, etc. son habilidades necesarias para el éxito profesional.
Responsabilidad y emprendimiento
Una sociedad sin empresarios no es una sociedad moderna ni de alto nivel de bienestar. El empleo lo crean las empresas, no los Estados ni las instituciones, de modo que el bienestar de los ciudadanos depende de que tengamos muchas empresas y que estas sean buenas, competitivas y se comporten éticamente.
Los empresarios tenemos una responsabilidad social mayor y debemos aceptar que nos examinen y enjuicien, pero también que nos conozcan. En este momento de cambio, hemos de asumir una responsabilidad añadida, no solo sobre la actividad sino también sobre las generaciones futuras, que no están afectadas directamente por nuestro quehacer cotidiano pero que lo estarán en el mañana.
Además, los ejecutivos hemos de conseguir que el espíritu empresarial fluya a través de las organizaciones y que gran parte de nuestros equipos de gestión ejerzan la función empresarial.
Creo que el fin último de las empresas es llegar a un proyecto que en sí mismo sea sostenible, y por lo tanto de largo plazo, que atraiga a los stakeholders y tenga un impacto positivo sobre todos ellos y sobre el conjunto de la sociedad en la que proyectan su actividad.
Javier Monzón, presidente de Indra, en el Desayuno CEDE.
Publicado en Executive Excellence nº116 oct2014