“El papel que la ciberseguridad debe jugar consiste en ser relevante para las diferentes organizaciones”
En un escenario en el que la ciberseguridad encarna un indiscutible papel protagonista, Microsoft se abre paso ofreciendo a sus clientes una mano amiga. Desciframos las claves que envuelven el sector de la mano de Cyril Voisin, Chief Security Advisor en EMEA.
- Especial IV aniversario de GDPR
- La gestión de 'endpoints' como respuesta ante los riesgos cibernéticos y de 'compliance'
- La sombra del ‘ransomware’ sigue acechando: España es el séptimo país más afectado
- "A pesar de la incertidumbre económica, la ciberseguridad es uno de los factores más importantes para las empresas"
- “Actualizar la ciberseguridad del mundo para la era de la computación cuántica será un nuevo reto”
La celebración del XII Cloud Security Alliance Summit impulsado por el ISMS Forum ha servido como telón de fondo a una entrevista con enjundia en materia de ciberseguridad. Así, en un escenario en el que la seguridad digital encarna un indiscutible papel protagonista, conocer los entresijos que envuelven al sector, desde sus desafíos hasta su proyección de futuro, resulta vital para empresas, organizaciones e instituciones de naturaleza diversa. Ahondamos, de la mano de Cyril Voisin, chief security advisors de Microsoft en EMEA, en la filosofía de la compañía, las principales claves que articulan su estrategia actual y los desafíos que plantea la evolución de la que es la gran asignatura pendiente de esta era: la ciberseguridad. A continuación, una mirada global.
Si hay algo de lo que puede presumir Microsoft es de haber puesto el foco significativamente en la ciberseguridad. Una inversión de más de 20.000 millones o una plantilla formada por 8.500 expertos dedicados a la protección de sus plataformas lo respaldan. ¿Cuáles son los principales motivos de esta apuesta estratégica?
Nuestro plan de acción comienza y termina en nuestros clientes. Todos nos hemos dado cuenta de que nuestras vidas son más digitales. Si vas al entorno de la empresa, cada vez hay más ordenadores, más aplicaciones y más datos para hacer funcionar el negocio. Ha sido precisamente a raíz de este aumento del acceso digital cuando los ciberdelincuentes han optado por dirigirse a estos activos. Aunque Internet y toda esa transformación digital han traído muchos beneficios, también ha traído obstáculos, como las amenazas. Y como estas amenazas no se pueden eliminar, hay que gestionarlas, es decir, gestionar el riesgo que se tiene para alcanzar un buen nivel de seguridad. Ese buen nivel no seguridad no es otra cosa que estar seguro de que aceptas el riesgo que tienes. Para ello creemos que se necesitan combinar tres elementos en la receta: personas, procesos y tecnologías. Esta es la razón por la que hemos invertido tanto, hay mucho que hacer y tratamos de concienciar a las personas sobre esto ofreciendo formación, brindando a las personas tecnologías muy avanzadas que simplifiquen su vida y ofreciendo servicios de gestión y recomendaciones sobre los procesos de cómo operar con estas tecnologías.
En un entorno digitalizado en el que las ciberamenazas no dejan de crecer exponencialmente, ¿qué papel juega la ciberseguridad en el ámbito de la empresa? ¿Cuál es la filosofía de su compañía al respecto?
En el transcurso de los últimos tres años la ciberseguridad se ha convertido en un debate a nivel de la clase dirigente. Cada vez más empresas se han dado cuenta de que el ransomware puede llevar a paralizar a una organización. Este es el escalón donde se posiciona ahora [la ciberseguridad], pero el reto que tenemos en frente es que la mayoría de la gente en el entorno de la seguridad no habla el lenguaje de los negocios, sino el de la tecnología. Definitivamente lo que tenemos que hacer, el papel que la ciberseguridad debe jugar pasa, por supuesto, por contar con soluciones técnicas para detectar, responder y recuperar, pero también por convertirse en algo relevante para las diferentes organizaciones.
En la actualidad, ¿cuáles son los principales bullet points que articulan la estrategia de ciberseguridad de Microsoft? ¿En qué áreas están haciendo más hincapié?
En primer lugar queremos asegurarnos de que lo protegemos todo, desde los endpoints hasta las infraestructuras o las nubes. Con esto no me refiero solo a las nubes de Microsoft, ni a los dispositivos finales de Windows, sino que hay que proteger iOS, Android y macOS. Nuestro posicionamiento es tratar de ofrecer soluciones para todo aquello que tiene la organización.
En segundo lugar, queremos simplificar lo complejo. En la actualidad, contratar es una tarea difícil y costosa, por lo que todo el trabajo de nuestra empresa comenzó con esto, con la productividad, con el hecho de simplificar los procesos para que las personas pudieran colaborar. Ahora queremos hacer lo mismo con la seguridad, por lo que hemos hecho una gran inversión en inteligencia artificial y diseñamos y entrenamos modelos de aprendizaje automático para que puedan complementar a los humanos que se encargan de este campo. Este es uno de los aspectos clave que me gusta de Microsoft. No estamos aquí para sustituir a los humanos por máquinas, estamos aquí para complementarlos, para que sean más inteligentes. Te voy a dar un dato: cuando realizamos una encuesta en un centro de operaciones de personas que gestionan la ciberseguridad en una empresa, descubrimos que solo el 30% de su tiempo se utiliza para hacer algo que implique sus habilidades. El 70% del tiempo se utilizaba para hacer cosas que una máquina puede hacer por sí misma. Por eso tratamos de simplificar todo.
Por último, queremos ser un socio para nuestros clientes, lo que significa que no solo proporcionaremos soluciones para estas amenazas, sino que tenemos el compromiso de evolucionar y estar a su lado.
¿Cuáles diría que son los principales desafíos globales de ciberseguridad a los que nos enfrentamos en la actualidad?
La escasez de talento, sin duda, no podemos encontrar suficiente gente. Además, por supuesto, del tipo de atacantes que se encuentran, especialmente los ciberdelincuentes del ransomware. Este es uno de los grandes desafíos ahora mismo de los estados nación y de las diferentes organizaciones, ocupando así la parte superior en la pirámide de preocupaciones. Hoy en día los hackers no rompen o fuerzan una puerta, sino que suplantan la identidad de alguien. Por eso ahora mismo una de las claves a tener en cuenta es que la seguridad ha pasado de proteger a la máquina físicamente como ocurría en la época del mainframe, a proteger las redes. Como consecuencia, hoy en día nos centramos mucho en esa protección de las identidades.
¿Qué tendencias imperan en materia de ciberseguridad para las empresas y organizaciones a las que aconseja?
Trabajo principalmente con las mayores empresas cuya sede se encuentra en EMEA, así que para la mayoría de ellas el reto consiste en adoptar una postura de seguridad moderna a través de una nueva filosofía de confianza cero. Esta es nuestra forma de decir que no tendremos ninguna confianza implícita y que añadiremos la confianza explícita. Lo segundo que veo es que la gente quiere modernizar su centro de operaciones de seguridad (SOC). Sabemos que el 85% de las empresas hicieron cosas que no eran seguras solo para poder sobrevivir. Así que uno de los retos actuales es enfrentarnos a esto. Para ello se necesita reinventar la forma de hacer un SOC, repensar las herramientas que vas a usar, intentar que el SIEM (solución de gestión de incidentes y eventos de seguridad) y el XDR (herramienta para extender la detección y la respuesta) estén alineados.
¿Qué importancia tiene la filosofía Zero Trust para Microsoft?
Es extremadamente importante para nosotros ya que es una forma de manejar las amenazas modernas. Hay que pensar de manera diferente, lo que significa que tienes que mirar todo el contexto que puedas tener, todas las señales y tomar decisiones basadas en eso. Y esta [la filosofía Zero Trust] es la forma de hacer seguridad moderna y de escalar. Si tengo una identidad muy fragmentada, por ejemplo, y tengo una cuenta de usuario para el ERP, otra para el CRM y otra diferente para la colaboración, es muy difícil conciliar y determinar cómo se comporta una persona con normalidad, pero si la individualizas con un único proveedor de identidad, de repente puedes estudiar que esta persona no suele conectarse desde Rusia por la noche, así que eso no es normal. Este es el tipo de inteligencia que nosotros podemos poner sobre la mesa.
La seguridad en el entorno de la nube es cada vez más compleja debido a su naturaleza híbrida o multicloud, ¿qué puede contarnos sobre esto?
Microsoft cree que el modelo híbrido va a permanecer durante mucho tiempo. Hay quien piensa que lo híbrido (la mezcla de nube privada y nube pública) es una transición. Sin embargo nosotros creemos que para algunas organizaciones este es el estado final, este es su objetivo, por lo que impulsamos herramientas que funcionen para la cloud pública y privada. Además, en relación a la nube, el reto consiste en cambiar la forma de enfocar la seguridad, es diferente. En este contexto se debe proteger el acceso al lugar de control, al lugar de la identidad, activar la autenticación multifactor, la resistencia a la suplantación de identidad…
Para el 52% de las organizaciones, su principal prioridad es hacer frente a los errores de configuración en la nube, por lo que la idea aquí es que se utilicen herramientas que permitan tener una comprensión global de la postura de la empresa en las diferentes nubes en las que está presente. Esto va a ayudar a encontrar aquellos aspectos que estén mal configurados permitiendo cambiar para aumentar la seguridad. En este sentido ahora también tenemos una oferta de productos de Gestión de Ataques Externos en términos de la categoría que ofrece, a través de la inteligencia, una visión panorámica de Internet, trayéndonos un montón de noticias que son muy valiosas en la identificación de problemas y en su solución.
La gobernanza de la ciberseguridad es uno de los términos más repetidos en el sector, ¿por qué cree que es una de las principales prioridades de las organizaciones?
Creo que es una de las principales prioridades porque, si no se pone en marcha el modelo de gestión, se corre el riesgo de diseñar, desplegar u operar de forma incorrecta. La idea es ver cuál es el riesgo para la empresa y cómo traducir ese riesgo en políticas y tecnologías que harán que las cosas sean relevantes para mi negocio. A fin de cuentas esto es lo que todos quieren hacer. La gobernanza de la ciberseguridad implica dar un paso atrás para poder observar el panorama completo. No se trata solo de los recursos que se tienen para abordarlo, sino de cómo gestionarlos, por eso es tan importante.
¿Cómo ha evolucionado el papel de los departamentos de operaciones de TI?
Ha evolucionado mucho. En primer lugar, DevOps se está adoptando cada vez más, ya que ayuda a crear nuevas soluciones. En comparación con las operaciones de TI tradicionales, ahora estos departamentos deben gestionar recursos que no están tan bien identificados, que no son estáticos como en el pasado. Además, el papel de las TI ha cambiado porque ahora se necesita una infraestructura con código, si es posible, para poder reimplantar las cosas. De igual forma es necesario tener una relación con la gestión detrás de la identificación básica, como la gestión de parches. Hoy en día, la gestión de parches sigue siendo un gran punto de conflicto para la mayoría de los clientes. Esto se debe a que es necesario lidiar con los recursos que han aumentado en número y las tecnologías que son más diversas, además de aprender la importancia del cumplimiento.
Hablando de evolución, las ciberamenazas también se han transformado… ¿Ha influido esto en su función de ayudar a los directores TI y a los responsables políticos a adaptar sus estrategias y políticas de seguridad?
Sí. Previamente he mencionado el ransomware, que es lo más importante para ambos, es decir, tanto para los directores como para las organizaciones. El ransomware es hoy un ecosistema. Es una industria. Tienes el ransomware como servicio, la gente venderá las herramientas para atacar, y tienes afiliados que pagarán una cuota por ello, por lo que esto es algo que cambia completamente la forma en que pensamos en atacar. Hay actores de amenazas que se están especializando en conseguir el primer paso dentro de una organización, y luego revenden eso a otra compañía especializada en eliminar los privilegios, después venderán esto a otra compañía especializada en desplegar el ransomware… Esto es algo que ha cambiado completamente. Significa que la relación de las empresas e instituciones con TI ha de ser proactiva. Se debe explicar más lo que hay que hacer, ya que hay situaciones en las que debes responder y recuperarte y necesitas haber cumplido una serie de requisitos antes. El día que tienes el incidente no es cuando debes pensar en si existen copias de seguridad, a quién llamar o cómo actuar, toda esa gestión de la crisis debe hacerse antes de la insinuación.
Microsoft es una compañía que ha demostrado un gran compromiso con el cumplimiento y la protección de datos, de hecho llegaron a demandar al propio gobierno americano. ¿Cómo se alinea esto con su estrategia de ciberseguridad?
Cuando Microsoft habla de ciberseguridad, lo hace pensando en la seguridad, en el cumplimiento y en la identidad, en el conjunto de esos tres aspectos. Es cumplimiento es realmente muy importante, no solo para nosotros, sino para nuestros clientes, es algo que no se puede negociar. El GDPR es la ley, no se trata de hacer ningún cumplimiento. Este es el punto desde el que partimos. Normalmente trabajamos con las empresas para alcanzar ese nivel de cumplimiento mínimo pero, luego, por razones de seguridad, seguimos impulsándolo para gestionar el riesgo yendo un paso más allá. Lo que también hemos hecho es invertir, basándonos en los comentarios de nuestros clientes, en una nueva línea de productos: Microsoft Priva. Esta ha sido diseñada para gestionar algunas de las acciones típicas de privacidad.
El cumplimiento de la normativa en materia de protección de datos puede resultar abrumador, ¿le ha supuesto algún reto?
No. De hecho la normativa europea es muy buena porque ha aumentado la concienciación sobre la necesidad de proteger los datos correctamente. En este sentido proteger los datos correctamente significa que hay que entender dónde están, cómo se procesas, quién tiene acceso a que, ayudando así a reducir riesgos. Por eso nosotros hemos decidido ofrecer las garantías o beneficios del GDPR a cualquier persona en el mundo, independientemente de que viva o no en la Unión Europea. Eso está en consonancia con nuestros valores, creemos que la privacidad es un derecho para todos, asique hemos decidido generalizarlo.
¿Cuál es el futuro de la ciberseguridad?
Esa es una buena pregunta. Las personas están en el camino de la confianza cero, por lo que debemos observar definitivamente cómo se adopta y se generaliza la confianza cero en todas partes. En segundo lugar, creo, queremos hacer las cosas más y más inteligentes, por lo que habrá un aumento masivo de la adopción del aprendizaje automático, aunque por el momento solo estamos arañando la superficie.
El futuro pasa por continuar en la senda en la que nos encontramos hoy, que es la de invertir no solo en las personas, no solo en la tecnología como el software, sino también en la tecnología como el hardware. Se necesita la combinación de ambas para ofrecer garantías, aunque probablemente deberíamos añadir algo que haga a las personas más eficientes y automáticas manteniendo siempre el control.
