"Microsoft invierte más en seguridad que muchas compañías de nicho"
Carlos Manchado, cybersecurity lead de Microsoft, explica, tras su periplo como CISO, los cambios y sinergias que existen entre el fabricante y el cliente final.
Mario Moreno/ Imagen: Juan Márquez
Tras su paso como CISO de Naturgy, Carlos Manchado se ha incorporado hace poco más de un año a Microsoft como cybersecurity lead. Este gran jugador tecnológico ha invertido 20.000 millones de dólares en ciberseguridad en los últimos años y cuenta con 8.500 expertos protegiendo sus plataformas. Además, dice en esta entrevista, cuenta con un porfolio holístico para las necesidades actuales de los clientes. Su objetivo, explica tras haber estado del lado del cliente final, es ayudar a resolver los problemas de sus interlocutores.
¿Cómo es el cambio de CISO a líder de seguridad de un proveedor de soluciones como Microsoft? ¿Qué experiencia puede aportar de su paso por Naturgy?
Uno de los aspectos más importantes es la empatía. Haber trabajado en cliente final, y ahora estar en uno de los principales fabricantes de tecnología, te da la capacidad de entender la problemática del CISO y de aterrizarla, sabiendo perfectamente que no todo se despliega fácilmente y que no todo funciona siempre; que se generan falsos positivos y que muchas veces hay incompatibilidades. Tener ese conocimiento, y saber que no es baladí, ayuda a intentar ser un asesor de confianza. Hay que conocer la idiosincrasia y la complejidad de cada compañía, no solo a nivel tecnológico sino de procesos de negocio y de las dificultades que tiene a todos los niveles. Esto afecta a la hora de incorporar una tecnología, que ojalá fuese tan sencilla de desplegar y configurar, pero es mucho más complicado que todo esto. Y los CISO, no nos olvidemos, no buscan tecnología o plataformas de seguridad, sino resolver sus problemas. Evidentemente, la solución pasa por usar herramientas. Cuando llego a Microsoft mi sensación es la de intentar ayudar a resolver problemas a los departamentos de seguridad. Esa visión está muy bien valorada.
¿Ese es el principal objetivo de su nueva etapa en Microsoft?
Es uno de los focos principales; intentar empatizar con el CISO y conseguir conversaciones de valor, no solo en relación con el licenciamiento o las bondades que tiene una tecnología. Hay que entender sus preocupaciones y buscar un plan de ayuda y apoyo. Efectivamente, es una de las grandes motivaciones de mi llegada a Microsoft.
En los últimos meses, en España ha habido varios movimientos parecidos en el sector; de CISO a otros puestos en fabricantes de seguridad. ¿Se está convirtiendo en una tendencia este trasvase de talento?
Yo no diría que es una tendencia, pero sí que es cierto que ha habido varios casos al respecto, y seguro que habrá muchos más. Hay una justificación detrás; igual que hace años todo el mundo quería ir a cliente final, ahora determinados perfiles, según decisiones que toman en base a su vida personal y profesional, deciden dar el paso a la inversa. Es un panorama complejo, el escenario al que nos enfrentamos (ciberataques) es una barbarie desde el punto de vista de agresividad, recurrencia, frecuencia… Es difícil mantener esa carga, y para poder soportarla es necesario tener recursos, y muchas veces el CISO no los tiene. O sí, pero necesita, aparte, tener el empoderamiento de la junta directiva. Si todos esos ingredientes no se conjugan, la situación depende mucho de tu persona, de tus espaldas y de la presión del día a día. No sé si será la justificación de todos, pero estoy convencido de que muchos han dado el paso porque han visto que en cliente final no hay tranquilidad ningún día. El del CISO no es un rol sencillo y si las condiciones no se dan, a mí me parece un cambio enriquecedor.
Microsoft ha invertido más de 20.000 millones de dólares en ciberseguridad en los últimos años y, entre otras cosas, cuenta con unos 8.500 expertos dedicados a la protección de sus plataformas. Pero, ¿estos esfuerzos valen para que los usuarios reconozcan a la marca como especializada en seguridad?
Si tú preguntas a la comunidad de ciberseguridad, todo el mundo sabe de la evolución de Microsoft en los últimos años, que ha ido creciendo a nivel de capacidades y de soluciones. La suite de la compañía lo abarca todo y está muy cohesionada. Esto ha sido gracias a la inversión. A pesar de ser un proveedor de servicios de nube pública y de distintos tipos de tecnologías, ha habido una apuesta clarísima por la ciberseguridad porque la compañía se ha dado cuenta de que es una necesidad. Es muy difícil la digitalización de cualquier empresa si detrás no hay un buen soporte de protección. Desgraciadamente, muchas organizaciones se embarcan en el viaje digital sin el suficiente foco en la ciberseguridad, lo que redunda en graves problemas. Microsoft invierte más en seguridad que muchas compañías de nicho. Y, la amplitud de miras es total, con un enfoque holístico. Como profesional y ‘fan’ de la cibeseguridad, me ha llamado mucho la atención las unidades especializadas que tiene la compañía para ayudar en la lucha contra el cibercrimen. Por ejemplo hay una de crimen digital que tiene un punto de vista jurídico, otra exclusiva de inteligencia y de colaboración con fuerzas y cuerpos de seguridad internacionales… Y, por supuesto, el equipo de respuesta a incidentes, que da cobertura a necesidades puntuales e importantes de nuestros clientes. El equipo observa y recoge muestras de amenazas en todo el mundo y tiene un input increíble. Contamos con una base de inteligencia muy grande.
Una de las últimas divisiones que ha creado la compañía es Microsoft for Experts, para combinar las operaciones de inteligencia artificial con el talento humano. ¿En qué consiste y qué importancia tiene el talento técnico dentro de la compañía?
La tecnología, si no hay una operación buena, es como la potencia sin control. Con esta necesidad, y a pesar de que hay partners muy buenos que se dedican a ello, Microsoft pone, en esta unidad, el talento y la inteligencia a servicio de los clientes. Pero no solo profesionales de Microsoft en toda su amalgama de servicios, sino que se ha tenido también en cuenta a socios muy específicos a nivel mundial.
Por otra parte, el capital humano es otra de las grandes apuestas de la empresa. Es muy difícil crecer y hacer evolucionar a una compañía si no tienes a personas muy buenas. Desde que entré, aunque ya se hacía antes, me he dado cuenta de la importancia que se pone en fichar talento. Y no solo en traerlo, también cuidarlo y mantenerlo. Hay programas internos para ello.
Recientemente, la compañía ha comprado Muribo, una empresa basada en el análisis y la detección. ¿La tendencia del sector pasa por primar este proceso por delante de la prevención?
Es una tendencia pero no hay que dejar de lado la prevención y tratar de buscar el equilibrio. Tampoco hay que escatimar esfuerzos en la recuperación, que muchas veces es la gran olvidada, pero a la que ya se ha prestado mucha atención tras los incidentes más populares que ha habido durante la pandemia. Es cierto que ahora mismo todo el mundo tiene los ojos puestos en la detección porque, aunque haya mucha prevención con buenas capacidades desplegadas, siempre va a haber alguien que va a poder atravesar la barrera de protección. Si lo hace, cuanto antes detectes la amenaza el impacto va a ser mucho menor y la respuesta más potente. La detección complementa perfectamente a la prevención, que en algún momento va a fallar. Siempre se va a encontrar una vulnerabilidad o se va a robar una identidad privilegiada.
"A la hora de trabajar con CISO, uno de los aspectos clave es la empatía"
¿Cómo están evolucionando los ciberataques en la actualidad? ¿Qué tiene que ver la guerra de Ucrania con este escenario que antes ha tildado de “barbarie”?
Respecto a la guerra de Ucrania, hemos visto todo tipo de ataques y distintos grupos que se han situado del lado de alguno de los dos bloques geopolíticos. A partir de ahí han empezado a apoyar a su causa. Los sectores más afectados pasan por el sector público y las infraestructuras críticas, a los que en una guerra híbrida se les puede llegar a hacer daño. Ahora, las amenazas son totalmente destructivas, ya no buscan cifrar y tener las claves para poder monetizar y recuperar el estado de la compañía de antes del ataque, sino que se borran los datos. Buscan causar disrupciones constantes e indefinidas de los activos. Por otra parte, estamos viendo ataques de ransomware de mayor magnitud, ya que es muy fácil monetizarlos. Se han democratizado y hay grupos especializados en vectores de entrada que ponen a la venta sus consecuciones. Por otro lado, otros crean los kits de malware para escalar privilegios y cifrar el activo. De este modo, se pueden comprar ambos paquetes y elegir víctima. Es un negocio redondo.
Otra de las grandes tendencias, en los entornos deslocalizados de trabajo actuales, pasa por la identidad. A este respecto, Microsoft acaba de lanzar la plataforma Entra. ¿En qué se basa?
Por una parte, hemos incluido todas las capacidades en cuestión de identidades, accesos y autenticación en su sentido más amplio. Por otro lado, la gestión de los distintos permisos que tiene cualquier identidad, ya sea a nivel de usuario, aplicación o servicio. Este es uno de los principales problemas de las compañías porque hay trabajadores que cambian de rol, se marchan o entran nuevos, al igual que pasa con la contratación de servicios. Pero pocas organizaciones tienen procesos y tecnologías para hacer un seguimiento automatizado de control; hay un caos bastante grande en las identidades, accesos y permisos. Con esta solución, ya sea onprem o en la nube, buscamos identificar las necesidades de cada uno de estos activos de identidad y gestionar su ciclo de vida.
¿Qué papel juega en este ámbito la filosofía Zero Trust?
Hay unos principios en los que todos estamos de acuerdo. Los pilares en que se basa tienen mucho sentido y el mínimo privilegio es uno de ellos. Pero conseguir esto no es sencillo, y no solamente esto, sino que debería ser dinámico. No es lo mismo cuando alguien se conecta a la red corporativa con su ordenador de negocio o con su dispositivo móvil en otra localización. Además, hay que monitorizar la identidad y ver si es normal que ese empleado se conecte según en qué contexto. Independientemente de que los privilegios sean mínimos, hay que atender a quién se está conectando, cómo y desde dónde de una forma ágil. Esto debe ser un imperativo para todas las empresas, algo básico.
"La detección complementa perfectamente a la prevención, pero está última va a fallar en algún momento"
Esto redunda en la experiencia de usuario, ¿cómo se equilibra con la seguridad?
Los departamentos de seguridad no pueden decir siempre que ‘no’ porque ni harían su trabajo ni dejarían hacerlo a los demás, y en lugar de ser un facilitador, se convierten en una barrera para el negocio. Hay que tener sentido común, analizar muy bien los riesgos y poner controles. En una empresa como Microsoft se tienen en cuenta las dos vertientes porque no solo nos dedicamos a seguridad, y en muchos proyectos en los que nos embarcamos necesitamos que sean funcionales, que tengan un buen rendimiento y, por supuesto, que sean seguros.
La compañía hace mucho hincapié también en el cumplimiento. ¿De qué manera ayudáis a los clientes?
Nos hemos centrado mucho en la postura real y empírica de seguridad sabiendo que hay controles desplegados que si se enfrentan contra una legislación como el Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas) se puede contrastar el nivel de buenas prácticas de la empresa. Por otro lado, se ha puesto mucho énfasis en la protección del dato y en la privacidad, otro de los elementos que preocupan a las empresas. España es número uno en sanciones por incumplimiento de GDPR y estamos intentando identificar riesgos y ayudar e identificar las solicitudes de derechos de los usuarios. Los negocios van creciendo y adquiriendo datos personales, lo que hace que se disperse la información por toda la compañía y se dificulte la identificación de los datos.
Por último, Microsoft comercializa Office 365, una de las principales suites globales de productividad que, por tanto, es un fuerte vector de ataque. ¿Qué trabajo hay detrás para su protección, búsqueda de vulnerabilidades y actualización continuas?
En cada desarrollo hay una revisión estática y dinámica del código, con multitud de pruebas. Pero, la superficie de exposición, en cuanto a código se refiere, es muy grande, y la cuota de mercado es altísima. Todos sabemos que no hay nada seguro aunque pongas todos los controles del mundo. Lo importante es ser diligentes con las distintas fases del ciclo de vida de desarrollo y habilitar procesos para dar soporte a vulnerabilidades con parches, etc. Es un tema farragoso para las compañías, pero hay que pasar por ello. Nosotros poneoms un proceso y lo habilitamos y los clientes tienen que ser conscientes de ello y deben actualizar las versiones.
