El evento 'Cybersecurity Forum' analiza los retos de la industria de la ciberseguridad
Organizado por Foundry e IDC, en su primera jornada contó con personalidades como Rafael García Hernández, comandante del Mando Conjunto del Ciberespacio (MCCE) o Félix Barrio, director general de Incibe, entre otros.
El evento Cybersecurity Forum, organizado por Foundry, grupo editor de ComputerWorld y CSO, e IDC, ha respondido, durante dos jornadas en el Estadio Civitas Metropolitano de Madrid, a cuestiones trascendentales como los desafíos a los que se enfrentan las empresas y organismos públicos, cómo evoluciona la tecnología ligada a la seguridad y la privacidad o cuáles son las prioridades y retos de los CISO para este año. Y lo ha hecho con la colaboración de jugadores de la industria como Forcepoint, Palo Alto Networks, Sophos, ManageEngine, Tanium, WatchGuard Technologies, Commvault Systems, Cisco, B-FY, Tehtris Spain, Dell Technologies, Trend Micro, HashiCorp, Digicert, Elastic, Akamai Technologies, Kaspersky Iberia, OKTA y SIA Group.
Félix Barrio, director general de Incibe, inauguró el primer día subrayando, por delante de las amenazas que vemos actualmente, que estamos “asistiendo al gran milagro de la ciberseguridad en España”. Un momento, afirmó, de resiliencia y confianza hacia todos los sectores de la economía y la sociedad civil. “Es necesario hablar de todo lo que construimos a diario”. En esa construcción, resaltaba proyectos importantes como el Kit Digital, que como iniciativa procedente de los Fondos Next Generation EU ya ha dotado a más de 160.000 pymes de protección en el puesto de trabajo y de soluciones de seguridad. Además, si cuando nació el bono en noviembre del año pasado solo el 9% de estas compañías solicitaba la ayuda, ahora lo hace el 25%, lo que ya supone una inversión directa de 900 millones de euros.
Barrio destacó que el país es el segundo del mundo con más CERT, tanto públicos como privados. Esto es tan relevante que, según sus palabras, ha permitido que, de la última vulnerabilidad de la que alertaba Italia en sistemas VMware, y de los 10.500 sistemas analizados, solo el 3% estaban localizados en España. “Esto no es casualidad, tenemos capacidades de anticipación y de respuesta”.
Por otra parte, el directivo ha querido hablar en clave de innovación. Como lo supone el programa de compra pública que el instituto canaliza y que ayudará con un millón y medio de euros a más de 250 organizaciones, muchas de ellas pymes. Además, hizo gala del teléfono de ayuda a la ciberseguridad del organismo, el 017, que, con la próxima presidencia de España del Consejo Europeo, pretende implantar como servicio público en todo el Viejo Continente. Y, por último, no ha rehuido los retos del sector, como el de formar a 80.000 profesionales en los próximos tres años. “Tenemos la inversión necesaria para cubrir la brecha en la medida de lo posible”.
Félix Barrio, director general de Incibe.
Ciberresiliencia, la clave en 2023
En un entorno complejo como el actual, con una situación geopolítica complicada y una recesión económica que afecta inevitablemente a las organizaciones, la ciberseguridad es una de las principales preocupaciones de los CIO y CISO, además de uno de los grandes riesgos a escala global, como señala el Foro Económico Mundial (FEM) en su último informe, recordó José Antonio Cano, director de consultoría y análisis de IDC, quien dibujó en el encuentro cuáles son las grandes tendencias de seguridad cibernética este año.
Cano recordó que el dato es uno de los activos más preciados de las organizaciones, pero también un claro foco de los ciberdelincuentes. “El 68% de las organizaciones europeas sufrieron en 2022 un ataque de ransomware que supuso robo de datos, según datos de Proofpoint”. Un tipo de amenaza por la que, recordó el analista, sigue pagando el 10% de las organizaciones.
Además del robo de información, la interrupción de la continuidad de negocio fue otro objetivo de los ciberataques del pasado año, según el experto. De cara a este año, Cano cree que el uso de la tecnología deepfake y de las herramientas de inteligencia artificial, además del incremento de los ataques para eludir la autenticación multifactor, conformarán las grandes tendencias de ciberseguridad para este ejercicio. “No facilita la gestión de la seguridad —añadió— que más de la mitad del presupuesto para modernizar las aplicaciones y la infraestructura corporativa provenga de fuera del área de TI. Aun así, apuntó, lo que está claro es que “cuanto más madura sea la organización, más resiliente será ante ataques de ransomware o de zero days”.
Precisamente la inversión en ciberresiliencia será otra gran tendencia en 2023, según Cano. Pero, ¿cómo es posible convertirse en una empresa u organización resiliente? “Hay que ser capaz de adaptar el proceso evolutivo de la organización a la situación actual de explosión de amenazas y de falta de talento”, recomendó, afirmando que urge invertir en SOC autónomos y dotados de inteligencia artificial y en otras tecnologías que permitan a las compañías anticiparse y detectar las amenazas antes de que se produzcan. “Adoptar el concepto de Zero Trust y la tecnología SASE (Secure Access Service Edge) como marco de trabajo es clave, dado que posibilita disminuir los costes y la complejidad de la gestión de la seguridad e impulsar la ciberresiliencia”, apostilló, añadiendo que, en la actualidad, “la ciberseguridad es un imperativo para cualquier organización”.
Otra tendencia que destacó Cano es la evolución que están experimentando los servicios gestionados para adaptarse al auge de los modelos híbridos y multinube. “El 38% de las organizaciones están adoptando seguridad cloud frente a otros esquemas y lo que observamos es que los servicios gestionados de seguridad están evolucionando para administrar la seguridad cloud, de forma que permitan abordar todos los desafíos que plantea un contexto de auge de entornos muy diversos y multinube”. Es más, el analista resaltó que el 49% de las empresas en España están modificando los contratos que tienen con proveedores de servicios gestionados para incorporar esta realidad.
José Antonio Cano, director de consultoría y análisis de IDC.
Rediseñar la arquitectura SASE
Sobre las arquitecturas SASE habló Simone Ricci, EMEA Senior Manager de Forcepoint. Y lo hizo en clave de simplificar y llevar experiencia de usuario a un mundo que ha cambiado totalmente en los últimos años. “Las aplicaciones y los datos de las empresas se van a la nube, pero también los empleados, a raíz de la pandemia de la COVID-19, se han alejado del perímetro corporativo”. Por lo tanto, dijo, hay que tener un balance entre estas dos formas de transformación. “Y el mundo SASE facilita esta convergencia, es la convergencia de las convergencias”, asentía. En este sentido, las compañías tienden a reducir proveedores. Para 2025, según datos de la firma, el 65% de las organizaciones solo tendrá uno o dos proveedores de SASE; y un tercio de de los despliegues será solo de un vendor. Asimismo, el 80% unificarán acceso web, de nube y de aplicaciones privadas vía SASE. “Nuestra aproximación pasa por ser útiles, fáciles de usar y eliminando complejidad para los usuarios hasta el extremo”, aseguró.
Junto a la compañía, habló también Javier Santos, CISO de Santalucía. El directivo quiso resaltar la importancia de la concienciación. “Siempre he pensado que la tecnología por sí misma no va a superar todos los retos de seguridad, quien así lo piense no entiende de tecnología ni de seguridad”, aseveró. “Estamos muy enfocados en acompañar a los procesos y a los equipos humanos. La tecnología es un facilitador de la formación”. Como principales retos para este año destacaba la regulación, sobre todo en una industria como la aseguradora. “Este ejercicio y el que viene van a ser muy estresantes en este aspecto”
Miguel Hormaechea, senior account manager de Forcepoint, y Javier Santos CISO de Santalucía.
Hacia un Zero Trust dinámico
Tomás de Lara Aguilar, district sales manager de Palo Alto Networks, rescató el informe del FEM citado por José Cano, de IDC, para recalcar que la ciberseguridad y el cibercrimen son los grandes riesgos de la humanidad no solo para los dos próximos años sino para la próxima década. “En el ámbito de la seguridad la moneda tiene doble cara: una se corresponde con el ciberrriesgo y la otra con la confianza. Hasta hace poco, la ciberseguridad consistía en otorgar niveles de confianza implícita, pero ha llegado un momento en el que este enfoque se ha quedado corto y es cuando ha aparecido el concepto de ‘confianza cero”, describió De Lara.
El experto de Palo Alto aseveró que el panorama de seguridad actual es “muy complejo” debido a que las compañías han desarrollado soluciones puntuales para situaciones determinadas, lo que ha generado “un escenario fragmentado que ni funciona ni protege”. “El mundo digital no deja de crecer y la superficie de ataque tampoco y la realidad es que en la actualidad no se puede garantizar la seguridad con el mapa actual de soluciones existentes”.
La solución a esta problemática, según el portavoz, es que las organizaciones abracen una nueva aproximación de seguridad. Esta implica adoptar un nuevo tipo de plataforma que esté automatizada con inteligencia artificial y machine learning que permita a los analistas de los SOC poder gestionar las 11.000 alertas que recibe al día. “Y una plataforma cuyos componentes de basen en ‘zero trust’, pero no uno estático sino dinámico”. La buena noticia, según De Lara, es que Palo Alto cuenta con esta aproximación y la ofrece a sus clientes. “Somos el único proveedor del mercado que brinda una plataforma de este tipo basada en una política Zero Trust dinámica, una plataforma pensada en mejorar la experiencia de usuario y que permita el intercambio seguro entre aplicaciones, una propuesta que no solo disminuye el riesgo sino que disminuye también los costes y mejora el trabajo de los equipos de seguridad”.
Tomás de Lara Aguilar, district sales manager de Palo Alto Networks.
Cómo ganar agilidad y resiliencia
En un mundo realmente incierto en cuanto a amenazas, las empresas necesitan ganar protección como sinónimo de competitividad. Sobre ello hablaron, en la primera mesa redonda de la jornada, conducida por José Antonio Cano, analista senior de IDC, Rubén Fernández Nieto, CISO de Exide Group; Iván Mateos, sales engineer de Sophos; Luis Pedroche, IT security expert de ManageEngine; y Xabier Moro, director de canal para España de Tanium. Fernández comenzaba explicando su cambio personal, que viene del sector del retail a una organización puramente industrial, que pasa al mundo OT “con otro tipo de paradigmas”. En este sentido, decía, la tendencia de todo el mundo pasa por ir a modelos Zero Trust, ya que el perímetro es más difuso. Por su parte, también aludía a la importancia de la visibilidad de los activos. “El CISO es quien traza la estrategia de protección, pero hay que seguir una serie de premisas comunes, como si la compañía quiere migrar a la nube, los requisitos del negocio o la forma de trabajar, ya sea en remoto, presencial o híbrida”. Y, es que cada compañía compone un universo por sí misma. “Por ello, es importante que los equipos de seguridad puedan aprovechar el tiempo para dar valor. Por ejemplo, el parcheo no aporta gran cosa. Es necesario consolidar las herramientas en una plataforma central”.
En referencia a la visibilidad, Moro estima que, si bien hace 10 años no suponía un gran reto, ahora el escenario ha cambiado. “Estamos viendo una fuerte inversión en gestión de activos, lo cual trata de volver a los cimientos corporativos para trazar la estrategia correcta”, argumentó. “En definitiva, se trata de un ejercicio de ciberhigiene, porque no se puede defender lo que no se ve”. El directivo también hizo referencia a la necesidad de consolidar las herramientas en una plataforma y con una única gestión. Al respecto, Mateos quiso poner el acento en la importancia de escuchar a lo que necesita cada empresa para, a partir de ahí, proponer un plan. “Muchas están migrando a la nube, otras en plena estrategia SASE, y otras están más atrás y carecen de tantos recursos. Hay que conocer los entornos, ver en qué momento está la compañía y luego ayudar”, indicó. “Muchas empresas están estableciendo ya la seguridad como servicio”. Por último, Fernández hizo hincapié en las pymes. “Les falta concienciación. El 80% de ellas piensa que nunca va a ser atacada”. Asimismo, ve que se buscan cuatro sectores de actuación: encontrar los vectores de ataque, protección, detección y remediación. “Además, tenemos que acometer esa defensa en un escenario híbrido en el que el dato es el epicentro”.
De izda. a dcha. Xabier Moro (Tanium); Luis Pedroche (ManageEngine); Iván Mateos (Sophos); Rubén Fernández (Exide); y José Antonio Cano (IDC).
Pulso al marco de seguridad unificada
Miguel Carrero, vicepresidente de proveedores de servicios de seguridad y cuentas estratégicas de WatchGuard Technologies; Roberto Testa, director de canal para el sur de Europa Occidental e Israel de Commvault Systems; Ángel Ortiz, líder de ciberseguridad de Cisco España, y Luis Ballesteros, CISO de WiZink, compartieron un panel moderado por José Cano, de IDC, en el que tomaron el pulso a la tendencia a unificar el mapa corporativo de la seguridad.
“La seguridad es estratégica”, sentenció Luis Ballesteros, CISO de WiZink. “Y en un banco digital como el nuestro, que trabaja en un sector muy regulado, esta viene de serie en todo lo que hacemos. Existen multitud de plataformas para garantizarla, pero más allá de la tecnología en sí, lo que es fundamental es contar con un marco de ciberseguridad que parta de la cúpula directiva, que esté aprobado por el consejo de administración, y cale en toda la organización”. Lograr un amplio dominio en materia de protección, detección, vigilancia y resiliencia son otros aspectos claves en una estrategia de ciberseguridad, según el CISO, que también considera necesario tener capacidad de adaptación al cambio y buscar apoyos en expertos externos. “En las empresas no podemos tener profesionales que sepan y hagan de todo; nos tenemos que apoyar en empresas de servicios tecnológicos, en socios, aunque, lógicamente, la responsabilidad sobre los datos y la seguridad siga siendo nuestra, algo que hay que garantizar manteniendo el control y ejerciendo un buen gobierno”. Ir mejorando continuamente la estrategia de seguridad en base al riesgo es otro consejo que aportó el directivo.
Roberto Testa, tras especificar que su compañía (Commvault) es una empresa de protección de datos y no de seguridad, pero que “ambos mundos están y deben estar estrechamente enlazados”, describió cómo el mundo ha ido evolucionando en los últimos cuatro años, fundamentalmente gracias al viaje a cloud experimentado por muchas organizaciones. El portavoz subrayó el reto que deben afrontar los clientes al gestionar un mapa de seguridad cada vez más complejo. “Es muy complejo para los clientes proteger cada vez un volumen mayor de datos que no deja de crecer y que se ubican en entornos muy diferentes, en distintas nubes e infraestructura, lo que amplía la superficie de ataque. Nosotros creemos en una plataforma única de protección del dato y tenemos la visibilidad de los ataques que reciben los datos del cliente”, apuntó. Para Testa, además, la gestión de identidad cada vez toma más relevancia en la política de seguridad de las organizaciones.
Por su parte, Ortiz no dudó en espetar que “no existe transformación digital sin seguridad y que una empresa como Cisco, “que lidera la transformación digital de clientes, la colaboración, el centro de datos, las comunicaciones, el viaje a cloud…” no podría hacer su labor sin la seguridad. “Como dice nuestro CEO, la seguridad es nuestro gran motor de inversión”, añadió.
“Es necesario que las organizaciones tengan una aproximación de plataforma, de framework único, que permita priorizar alertas y automatizar”, continuó Ortiz. En este sentido, apuntó que todas las soluciones de Cisco se pueden gestionar desde una plataforma unificada y abierta. “Estamos también trabajando en una capa de seguridad de red unificada para que nuestros clientes puedan gestionar más fácilmente el nuevo paradigma de entornos cloud”. Otro pilar, según el portavoz, es disponer de la mejor plataforma de ciberinteligencia del mundo. El 80% del tráfico de Internet pasa por nosotros y esto nos permite saber muy bien qué pasa”. Ortiz también se refirió a la escasez de talento como uno de los hándicaps del sector. “En este sentido, es fundamental recurrir a la automatización para suplir esta falta de profesionales”. El portavoz aseguró que el mantra de que la identidad es el nuevo perímetro va muy unido a los modelos de ‘zero trust’ por los que abogan en la organización. “Aunque lo que es fundamental es no dejar de lado al usuario, mejorando su experiencia en la gestión”.
Tras relatar la evolución hacia la simplificación realizada por la firma de ciberseguridad WatchGuard, que aboga por una plataforma de seguridad unificada, Carrero recordó que su empresa ha dado un paso más: “Las empresas gastan un 70% del tiempo en mantener la infraestructura y, aunque dispongan de un proveedor de servicios gestionados también necesitan realizar un control; por eso nosotros hemos puesto el foco en los proveedores de servicios de seguridad”. El portavoz aseveró que toda la industria de la ciberseguridad, y WatchGuard también, está muy centrada en mejorar la optimización y automatización de las soluciones de seguridad gracias a la apuesta por la inteligencia artificial, “aunque la labor humana seguirá siendo necesaria”. Asimismo, relató la complejidad de garantizar la seguridad de unos entornos de red que han evolucionado. “Ahora la red es más porosa y multidimensional. Por eso hay que hacer foco en la simplicidad de la gestión de la seguridad de esta red”.
De izda. a dcha. Miguel Carrero (Watchguard); Luis Ballesteros (Wizink); Ángel Ortiz (Cisco); Roberto Testa (Commvault); y José Antonio Cano (IDC).
Experiencia del empleado
Tras la pandemia se ha extendido la cultura del talento y la flexibilidad; desde el trabajo híbrido hasta el intento de automatizar tareas que no tienen valor para sacar el máximo rendimiento y bienestar del empleado. Pero esto conlleva, cómo no, numerosos retos para la ciberseguridad. Sobre ello debatieron Miguel Abreu, CEO de B-FY; Carles Solé, CISO de Banco Santander España; Pedro Morcillo, jefe de ventas de TEHTRIS para España; y Gustavo Lozano, CISO de ING España y Portugal. Este último contó que en el banco hay una “prioridad absoluta” en los procesos y las personas -tanto trabajadores como clientes-. “Fuimos pioneros en el teletrabajo y los accesos remotos, y partimos de la ventaja de que absolutamente todos los dispositivos son propiedad de la empresa, lo que nos lleva a poder hacer configuraciones desde el diseño y por defecto”. Asimismo, contó que uno de los grandes retos del sector actualmente pasa por la parte de procesos; desde el onboarding del empleado hasta la gestión de roles, pasando por las identidades. En este sentido, cree que el escritorio remoto y como servicio también tiene posibilidades de configuraciones por defecto, capacidades de remediación, de aislamiento y una alta escalabilidad.
También desde la industria financiera, Solé explicó que hace unos siete años Santander comenzó un proceso de estandarización que ayudó sobremanera a la retención del talento y a la mejora del conocimiento del negocio y de sus aplicaciones. De este modo es más fácil aplicar Zero Trust. “Vemos, en todo tipo de sectores, que la amenaza interna es muy relevante”. Asimismo, explicó que ya se ha dado la convergencia entre la seguridad y la experiencia de usuario. “Nos dirigimos a un modelo cada vez más centrado en identidades. Antes, el CISO parecía que fastidiaba al usuario, y ahora sucede todo lo contrario”.
Morcillo apuntó que el peor escenario posible, que es no tener fronteras dentro de las compañías, ya ha llegado. “Tras la crisis de la COVID-19, ha ocurrido todo lo que el CISO no quería, pero, no obstante se ha acelerado el mercado y la adopción de herramientas”. La receta para este contexto pasa por dotar a la seguridad de capacidades de inteligencia artificial, de análisis de comportamiento de usuarios y dispositivos y por frenar, también los altos ratios de falsos positivos. Asimismo, Abreu incidió en la identificación como “primera línea de defensa. Si no partimos de esta base, llegamos tarde a otros enfoques como Zero Trust”. Por último comentó que la contraseña tradicional ya está dejando de tener lugar para dar paso a la biometría. “No hay nada mejor para el delincuente que encontrar un cofre del tesoro lleno de contraseñas”.
De izda. a dcha. Gustavo Lozano (ING); Pedro Morcillo (TEHTRIS); Carles Solé (Banco Santander); Miguel Abreu (B-FY); y José Antonio Cano (IDC).
Datos y operaciones seguros
Francisco Lázaro, CISO de Renfe; Amelia Torres Medrano, CISO de PreZero España; David Peña, director de cuentas de soluciones de ciberresiliencia y protección de datos en Dell Technologies; Raúl Guillén, director de estrategia de ciberseguridad de Trend Micro; y Pedro Coca, director de ingeniería de soluciones en HashiCorp participaron en un debate, moderado por José Cano, de IDC, sobre seguridad de datos y operaciones.
En él, el CISO de Renfe expuso cómo esta organización dispone de una estrategia de seguridad que abarca el ámbito IT pero también el de OT (tecnología de operaciones). “Trabajamos en una infraestructura crítica y, por tanto, muy regulada, así que a la hora de definir una estrategia de ciberseguridad primero hay que atender al aspecto legal. Por otro lado, en todos los nuevos productos y servicios que sacamos incorporamos la seguridad y la protección de datos desde el origen. La seguridad forma parte del negocio y tiene que estar presente desde el principio, hay que incorporarla desde el diseño y garantizarla en la cadena de suministro”. Para ello, añadió, es fundamental que el CISO esté en el comité de dirección de las organizaciones. Lázaro se lamentó, por otro lado, de que en España a veces no hay interlocutores expertos en seguridad en los proyectos de TI que se realizan en el sector público. “Los adjudicatarios tienen que tener un punto de contacto de ciberseguridad y los proveedores también”, aseveró.
La CISO de PreZero España (antigua división de medioambiente de Ferrovial y que ahora pertenece a grupo Schwarz) destacó el “ambicioso proyecto para transformar el área de seguridad” que tiene la compañía y que está enfocado en Zero Trust. “Nuestra premisa ha sido poner al usuario en el centro, de modo que nos basamos en tres pilares: mejorar la visibilidad, porque no se puede proteger lo que no ves; las políticas, que son fundamentales para cumplir los controles; y la automatización, que permite descubrir si existe alguna desviación de estas políticas y actuar eficientemente”. Amelia Torres considera que el modelo de ‘zero trust’ también tiene retos a superar. “SASE existe desde hace tiempo pero sus componentes no estaban bien organizados; es fundamental orquestar. Lo que buscamos como CISO es contextualizar, integrar, sintetizar, orquestar y tomar decisiones en un tiempo mínimo”.
David Peña, director de cuentas de soluciones de ciberresiliencia y protección de datos en Dell Technologies, explicó que la rama de ciberseguridad de su compañía no es tan conocida pero es clave. “Es la última línea de defensa para recuperar la información”. Explicó que “a muchos clientes lo primero que les atacan es su backup; lo que hacemos nosotros es evitar el ataque de las copias de seguridad”. “En la actualidad”, indicó, “una solución de copias inmutable no es suficiente; hay que invertir en esta materia, si no, puede salir caro”. Dell, añadió, ve el modelo Zero Trust desde un punto de vista físico.
“Proteger la convergencia entre IT, OT e IoT y mitigar el riesgo que supone la brecha de talento” son los grandes desafíos mencionados por Raúl Guillén (Trend Micro) en el debate. El experto explicó que “es fundamental que los clientes revisen los riesgos y el ecosistema de soluciones de los que disponen e intenten simplificarlo. Deben repensar su ecosistema de proveedores”, espetó. Guillén resaltó también la importancia del concepto de seguridad por diseño y recordó que “tanto SASE como el concepto ‘zero trust’ permiten aplicar técnicas para disminuir el tipo de ataques que las empresas van a recibir”. Por último, señaló que la privacidad tiene que estar incorporada en la estrategia de ciberseguridad de las compañías y que es esencial que las herramientas que se usen aporten “visibilidad real de los diferentes entornos porque el tiempo que tardamos en responder a un incidente marca la diferencia”.
Pedro Coca (HashiCorp) hizo especial foco en “la necesidad de automatizar la ciberseguridad” en un momento en el que existen múltiples dispositivos, entornos y realidades en las organizaciones que hacen más completa toda esta gestión. Nuestra recomendación es simplificar y que la seguridad esté a lo largo de toda la cadena de operaciones de los sistemas”.
De izda. a dcha. Pedro Coca (HashiCorps); Amelia Torres (PreZero); Raúl Guillén (Trend Micro); Francisco Lázaro (Renfe); David Peña (Dell); y José Antonio Cano (IDC).
La importancia de crear una cultura
El mantra de que el empleado es el eslabón más débil de la cadena de la ciberseguridad se ha ido cambiando, en los últimos años, por la idea de que, con una buena formación, puede ser el mayor aliado, la primera línea de defensa. Y todo pasa por las capacidades de las empresas para crear cultura dentro de sus departamentos. Sobre este imperativo debatieron, en una sesión dirigida por Fernando Muñoz, director de CIO Executive Council España, Juan Cobo, CISO global de Ferrovial; Javier Ramos, CISO de Grupo Pikolin; Enrique Cervantes, CISO de Fintonic; Elena Ruiz, CISO de Cepsa Exploration and Production; y Juan José Nombela, CISO Global de Grupo Proeduca. El jefe de seguridad de Ferrovial expuso que la clave pasa no ya por animar a los empleados a interesarse por la protección, sino por hacerles responsables y partícipes. “Hemos llevado nuestro concepto de plataforma también a la cultura, para medir qué significa y que se trabaje de una forma conjunta”. En este sentido, prosiguió, se trata de una cuestión de actitud, “de la primera declaración de intenciones”. Aunque, matizó, “no podemos dejarlo todo en su mano, hay personas que siempre van a fallar”.
Ramos mostró la particularidad de proceder de la parte OT, de la más industrial, como la del grupo Pikolin, un mundo que ya ha convergido con TI y que necesita un análisis más exhaustivo. “Lo primero es conocer tu empresa, y después concienciar y formar de forma transversal; darnos cuenta de que el negocio es de todos”. Ruiz se mostró en esa línea: “Para Cepsa los datos son vitales y el empleado es la primera línea de defensa”. En esa labor, dijo, hay que identificar a los grupos de mayor riesgo. “Su experiencia personal nos ayuda mucho”.
Por su parte, Cervantes incidió en las ventajas que tiene Fintonic, una nativa digital, al contar, en su mayoría, con personas que vienen del mundo tecnológico y que cuentan con cierta madurez. “Sus conocimientos son nuestro beneficio. No obstante, el entrenamiento tiene que ser constante, nuestra estructura es compleja”, expresó. Asimismo, comunicó que hay que “huir” del enfoque paternalista. “Todas las personas podemos tener errores, pero no pueden ser recurrentes”. Por último, Nombela admitió que los contenidos divulgativos muchas veces no son suficientes. “Es mejor contar con una plataforma de alertas continuas que se adapte en función de los usuarios”.
De izda. a dcha. Javier Ramos (Pikolin); Juan José Nombela (Proeduca); Juan Cobo (Ferrovial); Fernando Muñoz (foundry); Enrique Cervantes (Fintonic); y Elena Ruiz (Cepsa Exploration and Production).
La experiencia del Mando Conjunto del Ciberespacio
El órgano responsable de la dirección, coordinación, control y ejecución de las acciones necesarias para asegurar la libertad de acción de las Fuerzas Armadas en el ámbito ciberespacial es el Mando Conjunto del Ciberespacio (MCCE). El general de división Rafael García Hernández, comandante del Mando, expuso en Cybersecurity Forum cómo trabaja su equipo para garantizar la supervivencia de los elementos físicos, lógicos y virtuales críticos para la Defensa y las Fuerzas Armadas y por qué están poniendo el foco en la formación de cara al futuro.
El ciberespacio en la actualidad, explicó García Hernández, se ha ganado el apelativo de ‘quinto dominio’ con una importancia igual de estratégica que los otros cuatro: la tierra, el mar, el aire y el espacio. “La complejidad del escenario actual y la necesidad de integrar todo tipo de operaciones es la que hizo que surgiera el Mando Conjunto del Ciberespacio. No podemos limitarnos solo a la ciberdefensa, sino que hay que abrir el espectro porque el ciberespacio es algo más que sistemas de información basados en unos y ceros”, indicó, aseverando que “las futuras operaciones, sean del tipo que sean, tendrán un componente ciberespacial”.
El general expuso que las capacidades ciberespaciales “no solo son más baratas y diferentes que otras capacidades convencionales, sino que muchas veces serán las únicas que puedan emplearse como respuesta militar a una crisis”. García Hernández especificó, eso sí, que “esa respuesta siempre tiene que ser consecuencia de un ataque previo y será oportuna, proporcional y legítima. El MCCE está autorizado por real decreto a realizar estas acciones”.
Añadió que la fuerza de operaciones en el ciberespacio es de JEMAD, que a través del comandante del MCCE es responsable de su preparación y adiestramiento para ser transferidas a las operaciones bajo el mando del comandante del Mando de Operaciones, “entre las que destaca la misión permanente de defensa del ciberespacio, la responsabilidad de nuestras redes y sistemas…”. Además de la ciberdefensa, el segundo pilar del MCCE, más relacionado con las comunicaciones, lo conforman, según el comandante, “los sistemas de navegación, los satélites, la guerra electrónica y los enlaces tácticos mediante data link”. Aquí, añadió, el MCCE define los requisitos operativos y realiza el seguimiento de la obtención y sostenimiento de los sistemas conjuntos de telecomunicaciones, satélites, navegación, posicionamiento, identificación, etc.
García Hernández resaltó la importancia de la colaboración no solo con otras instituciones gubernamentales y de seguridad de España, sino con el ámbito universitario y el sector privado. Algunos proyectos en los que ya están trabajando son Cobra, para abordar cibermaniobras adaptativas y personalizables de simulación hiperrealista de APT (Advanced Persistent Threats) y entrenamiento en ciberdefensa usando gamificación (desarrollado por Indra, la Universidad de Murcia y la Universidad Politécnica de Madrid); y Plica, una plataforma integrada avanzada de conciencia cibersituacional que permite la monitorización de múltiples fuentes de información heterogéneas, procesamiento de los datos recolectados mediante técnicas de aprendizaje automático y sistemas expertos (desarrollado por la Universidad Politécnica de Madrid).
Rafael García Hernández, comandante del Mando Conjunto del Ciberespacio (MCCE).
Asegurar los accesos
Miguel Ángel Fañanás, director de Digicert para el sur de EMEA, comenzó su alocución expresando que lo que antes era Internet ahora son billones de dispositivos conectados. “Por ello, nuestra función es promover ambientes de confianza y asegurar la disponibilidad de los servicios”. Y, es que, estos son los valores para el directivo en un cambio de paradigma en el que la complejidad de las TI ha aumentado sobremanera, a lo que hay que añadir los problemas que ha generado el advenimiento del mundo IoT, lo que multiplica por tres el número medio de ataques. “Hablamos de cómo gestionar la confianza digital; hay que contar con una herramienta de visibilidad”.
Miguel Ángel Fañanás, director general de Digicert para el sur de EMEA.
El desafío de la seguridad y los datos a escala
María Campos, vicepresidenta regional para Iberia e Italia de Elastic, arrancó su intervención con la máxima de que “el nuevo contexto requiere ciberresiliencia”, un elemento más necesario que nunca teniendo en cuenta que, según datos del FEM, “solo el 27% de empresas se consideran ciberresilientes”. Lograr esto no es fácil en un momento en el que “el otro lado, el adversario, tiene más recursos, más tiempo y más motivación”. Para ello, indicó la experta, hay que ser conscientes de que la seguridad es un problema de datos a escala y que la visibilidad es la base sobre la que actuar. “Afortunadamente Elastic es una empresa que tiene en su ADN la búsqueda de información en tiempo real; es importante, si tenemos datos de aplicaciones, de seguridad, de negocio… aplicar una correlación y extraer valor de esta información”.
Para Campos, la arquitectura de datos es clave en una estrategia de seguridad. “La nuestra es una arquitectura abierta e integrada, ingestamos todo tipo de fuentes de datos y aportamos sencillez. Además, trabajamos bien con todas las nubes”. De hecho, respecto a cloud en concreto, la directiva aseguró que la gestión de entornos híbridos y multicloud debe ser homogénea y escalable. “La apertura de código (open security), un concepto que nuestra compañía quiere poner encima de la mesa, y la comunicación son otros aspectos importantes en nuestra aproximación”, añadió.
María Campos, vicepresidenta regional para Iberia e Italia de Elastic.
Aproximación a los riesgos
La última mesa redonda de la primera jornada reunió a Jaime Castro, CISO de EVO Banco; Ignacio García Peredo, secretario general de Hacienda y Administración Digital de la Junta de Extremadura; Eva Puerta, CISO de Caceis Bank para España y Latinoamérica; Belén Pérez, CISO de Grupo Nueva Pescanova; y a Ramón Ortiz, responsable de seguridad TI de Mediaset. Este último incidió en que la continuidad de sus emisiones es crítica, así como los marcos de normativa que les afecta. “Por ello, aplicamos la seguridad por diseño en cada proyecto; desde el propio espíritu de lo que vayamos a hacer. También auditamos a nuestros proveedores, que tienen que cumplir una serie de requisitos de seguridad”.
Puerta habló de que Caceis cuenta con muchas realidades, diferentes negocios en los que hay que ensamblar las TI. “Digitalizarse implica riesgos y todo lo que hacemos tiene que estar securizado”. Aun así admitió que no es fácil cambiar la inercia de la operativa y sus procesos. “En base a nuestra idiosincrasia hacemos la identificación de riesgos”. Asimismo, García Peredo incidió también en la variedad de servicios que ofrece la Junta de Extremadura, muy distintos entre sí, con productos en educación, sanidad… “Nuestro foco es la protección de los datos personales. Y, en nuestro caso, la seguridad también tiene que convivir con la garantía de derechos de ciudadanos y empleados”.
Castro indicó que en Evo Banco no solo valen la disponibilidad y la seguridad, sino que estas tienen que estar emparentadas con la calidad y con el hecho de saber “que no te van a robar el dinero”. Y, teniendo en cuenta de que el concepto de seguridad ha cambiado, el directivo se siente “orgulloso” de la evolución de todas las personas que forman parte de la compañía. Por último, Pérez dijo que “hay que digitalizarse, pero eso implica riesgos”. “Lo importante es la visibilidad de las acciones e intentar ir cambiando los elementos legacy poco a poco”.
