"Es fundamental acercar los riesgos tecnológicos a lo que suponen en la gestión financiera"

Audio de la entrevista

Mario Moreno/ Imagen: Juan Márquez

 

La empresa de origen estadounidense, y cotizada en el Nasdaq, Qualys, tiene su idiosincrasia en la eliminación de riesgos cibernéticos, sobre todo en la nube. Hablamos con su country manager para Iberia, Sergio Pedroche, de su estrategia y del contexto actual de los riesgos y del mercado de la ciberseguridad.

 

¿Cuál es la estrategia de Qualys para la gestión y eliminación del riesgo cibernético?

Nuestra misión es no solo poder medir el riesgo, sino también comunicarlo y reducirlo o eliminarlo, que son partes que a veces pasan desapercibidas. Estos son los pilares de la plataforma TrueRisk, que consigue, en primer término, tener visibilidad. Es imprescindible tener claro cuál es nuestro entorno, ya sea onprem, multinube… Hay que saber la superficie de ataque para tomar decisiones lo más adecuadas a la realidad posibles. Comunicar el riesgo es también fundamental porque los consejos de dirección de las empresas no suelen tener los conceptos de ciberseguridad muy claros, pero sí que comprenden el riesgo. Es fundamental acercar los riesgos tecnológicos a lo que suponen para una mala gestión financiera. El último pilar es la eliminación del riesgo. Algo básico porque consideramos que está bien detectar, pero si no hacemos nada con eso tenemos un problema.

 

¿Las empresas son conscientes de la importancia de la visibilidad en entornos con múltiples aplicaciones y una extensa cadena de suministro?

Para nuestra desgracia, este es un problema que ocurre con mucha frecuencia porque, de un tiempo a esta parte, con la transformación digital y los movimientos hacia la nube y la forma de desarrollo, la visión de los activos se ha complicado. Y ya no se trata de detectar lo que tienes, sino de contextualizarlo. Es clave poder recabar toda esa información del entorno que hace que cada activo sea distinto. No es lo mismo que algo conlleve una base de datos o que no; o que algo tenga exposición a Internet o no. En Qualys utilizamos muchos mecanismos diferentes para adaptarnos a cada entorno y recoger la información con distintas técnicas; desde utilización de agentes, sondas, conectores vía API o cualquier otro mecanismo que nos permita tener esos indicadores para contextualizar el riesgo y poder medirlo adecuadamente. Si no tienes los indicadores de amenaza en tiempo real, y la información de negocio, no puedes gestionar el riesgo adecuadamente.

 

De lo que sí que son conscientes es de que el cibercrimen es un riesgo. De hecho, el Foro Económico Mundial (WEF, de sus siglas inglesas) lo sitúa entre los tres más importantes a nivel global.

Totalmente. Ya antes de que empezara la guerra en Ucrania se vienen realizando muchísimos ataques a infraestructuras críticas y al sector financiero en toda Europa. Se habla mucho de la guerra física, de las bombas y los militares, pero la ciberguerra es un hecho que una vez empezado no va a parar nunca. Afecta a todas las empresas de cualquier tipo y sector. Sí, los clientes son conscientes y se preguntan cuándo les van a atacar. Todo el mundo lo tiene claro. También se nos olvida que detrás de esas amenazas muchas veces no hay personas físicas, sino estados, gobiernos, unidades específicas de ataque o incluso algoritmos, mecanismos que distribuyen malware en objetivos concretos. Si hay un algoritmo da igual lo que seas o como te llames, te tocará en algún momento. Cada vez somos más conscientes de los riesgos que corremos y de que hay que hacerles frente.

 

Supongo que para mitigar esos riesgos contaréis detrás con un grupo de inteligencia de amenazas muy nutrido.

Sí. Pertenecemos a la Cloud Security Alliance a nivel global y, además tenemos una unidad de investigación propia que ha sido galardonada con premios bastante importantes. Y toda esa información la compartimos con la comunidad para mejorar la postura de seguridad de todos. Obviamente siempre van a surgir nuevos atacantes y actores maliciosos que hagan cosas que no estaban contempladas, pero, para eso estamos, para ayudar.

 

¿Cómo han evolucionado los riesgos en la nube?

Muy rápido, y cada vez más. Las vulnerabilidades detectadas año a año no paran de crecer, y es algo que no va a cambiar. Cuanto más software se desarrolla más vulnerabilidades pueden aparecer. Es una tendencia al alza. Además, hay factores adicionales en la nube como la volatilidad o la rapidez. Es un entorno nuevo desde hace unos años que permite hacer cosas muy rápido y de forma automática, lo que hace que los riesgos sean más altos porque perdemos visibilidad y tiene otros factores como la gestión de identidades, de las comunicaciones, movimientos laterales… Hay muchas más posibilidades para poder ser atacado.

 

 

"Con la transformación digital y los movimientos hacia la nube y, la visión de los activos se ha complicado"

 

 

¿Sigue siendo una tecnología muy compleja de gestionar para las empresas y ya no solo en cuestiones de seguridad sino en costes o en datos que no se quieren subir a nubes públicas?

Parecía que la nube iba a ser la panacea pero todo el mundo se ha ido dando cuenta de que no es oro todo lo que reluce. Hay un problema con los costes porque hay algunos que se pueden estimar previamente y otros no, que van en función del consumo de tráfico o de los accesos que tenga una aplicación. Por lo tanto el coste puede desviarse bastante de lo estimado al principio. Y, obviamente la complejidad es mayor. Pero, yo creo que las empresas que se están moviendo a cloud, independientemente de las que son nativas, tienen retos, por ejemplo, de gestión de identidades y certificados, que se diversifican mucho y la responsabilidad se puede llegar a diluir. Y, la nube tiene un componente de seguridad que, en cuanto a su infraestructura, la que dar un proveedor. Pero el desarrollo es responsabilidad de la compañía. Esto a veces cuesta entender porque mucha gente piensa que la seguridad ya la da el proveedor, y no es así, da solo una parte.

 

¿La gestión de identidades es otro gran paradigma de la seguridad actual?

Por supuesto. Antiguamente, la seguridad se trataba como una fortificación perimetral; protejo lo que está expuesto y entiendo que lo que está dentro de mi organización es más seguro. Pero, con el paso de los años se ha demostrado que todas las brechas vienen también desde dentro y por fallos humanos. De cosas que no estaban bien previstas. Muchas normativas actuales como NIS 2 o la nueva versión de PCIDSS exigen que se monitoricen todos los sistemas internos, porque son casi igual de peligrosos.

 

¿Cómo ayudáis a las empresas en el cumplimiento en un contexto europeo hiperregulado?

Nacimos en 1999 como plataforma cloud cuando Google estaba todavía en pañales, por así decirlo, y uno de nuestros focos fue dar respuesta a la normativa PCI. Así que surgimos con la regulación debajo del brazo. Para nosotros el cumplimiento es uno de los cimientos para cualquier programa de ciberseguridad. Es otorgar una guía básica a cualquier empresa de cómo tendría que tener configurada su política de seguridad. Consideramos que la normativa, además de por temas de auditoría, significa la parte básica por donde todo el mundo debería empezar.

 

¿Qué opinión tiene de las diferencias de normativas entre Europa y Estados Unidos, de donde procede Qualys?

Aquí es mucho más estricta. Los europeos somos los que ponemos trabas, los que regulamos. Se nos percibe como una localización en la que hay muchos impedimentos. No obstante, creo que la regulación es positiva. Por ejemplo, hace nada la Agencia Española de Protección de Datos (AEPD) ha prohibido cautelarmente la venta de datos biométricos a través del iris porque no se sabe ahora mismo dónde va a parar esa información. Y esto no es algo trivial. La regulación es buena siempre y cuando no impida la innovación y el desarrollo de la tecnología. Y creo que esto no ha pasado ni va a pasar en ninguna geografía.

 

"La normativa es la guía básica por la que todo el mundo debería empezar a formar su estrategia"

 

 

¿Cómo está afectando la inteligencia artificial (IA) generativa al sector?

Es un tema muy manido últimamente. Nosotros compramos hace tres años Blue Hexagon, una pequeña startup india basada en IA generativa y machine learning. Y ya la hemos conseguido integrar en nuestros sistemas, sobre todo en la parte de la nube. Nos ayuda a la detección de malware de forma dinámica, por análisis de comportamiento. Somos capaces, tanto en imágenes de registros como en contenedores y cargas de trabajo de los distintos proveedores, de identificar esas amenazas. Esto nos permite ir un paso más allá. Ya no solo detectar malas configuraciones, fallos o software obsoleto, sino el comportamiento del ataque; que está haciendo y en qué fase se encuentra.

En cuanto a cómo utilizan la IA los ‘malos’, al final pasa un poco lo mismo que con el usuario final. Todas las herramientas que están saliendo hacen que se democratice esta tecnología. Lo que está haciendo ya es acelerar los procesos del malware. Esto es peligrosos porque la accesibilidad al ataque va a ser mucho mayor, para cualquier persona que se le ocurra lanzar una incidencia.

 

Trabajáis conjuntamente con otros fabricantes como Mnemo o Telefónica Tech

Para nosotros los partners son fundamentales. No tanto los distribuidores o los revendedores sino los proveedores de servicios. Nos apoyamos en socios que nos ayudan a esa fase inicial de despliegue, configuración… Hace dos años firmamos con Telefónica un acuerdo como MSSP, el cual ha sido muy importante y nos hacen ser mucho más fuerte. Al final, un cliente puede escuchar a muchos fabricantes, pero lo que hay detrás de cada tecnología son personas, y esas personas las suelen poner el proveedor de servicios. Ahí es donde está el músculo y la diferenciación.

 

¿Cómo os repercute la apertura de cada vez más regiones cloud en España y el desembarco de los hiperescalares en diferentes regiones?

Nos beneficia. De hecho, hemos tenido y tenemos acuerdos con varios de ellos. Por ejemplo, somos socios prioritarios con AWS. Yo veo a estos gigantes como partners, aunque tengan soluciones que puedan ser competencia directa.

 

El mercado de la ciberseguridad tiende a la consolidación y a la reducción de plataformas pro parte de los clientes. ¿Cómo ve posicionada a Qualys en este contexto?

Es una pregunta que trato mucho cuando me reúno con clientes. Poner todos los huevos en la misma cesta tiene sus riesgos, a pesar de las ventajas de simplificación y costes. Desde hace un par de años, Gartner habla de consolidar tecnologías, de que no se puede tener una herramienta para cada función. Pero creo que hay un término medio, no todo es blanco o negro. Ir con un solo proveedor tiene unos riesgos tecnológicos muy grandes, pero tampoco hay que diversificar demasiado, porque la gestión sería imposible.

 

No obstante, la compañía ha adquirido varias empresas en los últimos años, como la citada Blue Hexagon o, más recientemente, TotalCloud.

Nuestra filosofía siempre ha sido la de desarrollo propio. Obviamente, no tenemos un ejército que nos permita ir tan rápido como nos gustaría, pero esta siempre ha sido una prioridad. Y no nos gusta ser una empresa que compra, cambia el nombre e intenta sacar al mercado lo antes posible, lo que tiene problemas a largo plazo. Apostamos por la innovación y por la gestión de riesgos.

 

¿Cuáles son las expectativas de Qualys en el mercado? ¿Los presupuestos generales para ciberseguridad se van a contraer?

Asumimos que el dinero ya no es ‘gratis’ como hace años, estamos en inflación y hay mucha incertidumbre en cuanto a geopolítica a nivel mundial, lo que afecta a todos los sectores. Pero, sinceramente, yo creo que nuestra solución permite ahorrar costes de una manera justificable. La ciberseguridad es como la sanidad, una inversión que, pese a la concienciación, se sigue viendo como un coste. Tenemos buenas expectativas para Iberia. El año pasado crecimos por encima de la compañía a nivel global. Y la tendencia de este es bastante positiva. Tenemos un ratio de retención de clientes de más del 95%. Esto significa que no somos una empresa que nos gusta vender e irnos, sino que acompañamos a los clientes durante todo el proyecto.

 

¿No ha cambiado esta percepción?

Sí que ha habido un cambio, aunque todavía estamos en ese proceso de evolución. Se sigue viendo al CISO como el que pone trabas a los proyectos. Sí que es cierto que, con las aplicaciones móviles y la nube, muchos negocios han entendido ya que la ciberseguridad es un facilitador.

 

Por último, ¿puede concluir que Qualys cubre todos los ámbitos de seguridad de la nube?

Me gustaría decirlo y estamos  en ello. La visión y el roadmap de la compañía están destinadas a cubrir esos gaps que nos dice el cliente. Hasta hace unos años nos decían que necesitaban prevenir, detectar y estar protegidos, en una primera fase. Pero conforme ha ido pasando el tiempo todo el mundo se está dando cuenta de que también hay que poner foco en la respuesta rápida y en la remediación. Hay que reducir estos tiempos todo lo posible para que el impacto sea el menor posible.

 

.