Ciberseguridad
Nube
Mesa redonda
Especial CSO Seguridad cloud

La ciberseguridad en la nube, a debate

Los riesgos de una acelerada digitalización derivada de la pandemia, la necesidad de trabajar en conjunto con los proveedores de servicios cloud y el apremio por formar talento especializado fueron algunos de los temas que se debatieron en una nueva mesa redonda organizada por CSO sobre la ciberseguridad en la nube.

mesa redonda ciberseguridad nube
Mesa redonda sobre ciberseguridad en la nube organizada por ComputerWorld

Al tiempo que las organizaciones están viendo una acelerada migración de sus operaciones a la nube producto de la pandemia, es cada vez más urgente que los CISO estén atentos a la evolución de las amenazas y que trabajen mano a mano con los proveedores en la supervisión de la seguridad de sus servicios cloud

Estas fueron algunas de las conclusiones del debate organizado por CSO sobre los desafíos de la ciberseguridad en la era de la migración a la nube. El moderador, Mario Moreno, redactor de la publicación, arrancó la conversación comentando que, si bien al inicio de la pandemia las empresas tuvieron que migrar a la nube para poder darle continuidad a sus negocios, actualmente, con la peor parte de la pandemia atrás, se trata de una acción imperativa. 

Según la consultora PwC, la nube será la base sobre la cual se construirá la próxima generación de soluciones en materia de ciberseguridad. Tanto es así que el 76% de las empresas de todo el mundo están reubicando sus operaciones de negocio y de su seguridad en el cloud.

"Hay que desarrollar una defensa por capas, tener una clara visibilidad central, poder detectar los ataques desconocidos, hacer un reforzamiento de la seguridad para móviles, que son los principales puntos de entrada hoy, y que todo esto tenga un coste que una pyme pueda asumir"

 

Sergio Martínez, director general de SonicWall para Iberia

 

Por estas razones, y por la cantidad de información y datos que acumulará la nube, la ciberseguridad toma una especial relevancia y los CISO deben encargarse, no sólo de velar por ella en sus organizaciones, sino también por cambiar la cultura dentro de la empresa sobre las buenas prácticas en seguridad. 

 

¿Cómo afecta a los sectores la migración a la nube?

Alberto López, CISO de Solaria Energía y Medioambiente, comentó que su empresa “tiene muy clara la relevancia de la ciberseguridad” y que ésta “tiene que ir por delante en cualquier entorno”. En ese sentido, explicó que el volumen de los datos que se obtienen de las plantas solares es inmenso y que la nube “nos dota de mayor seguridad de lo que podríamos darle internamente”.Los servicios de la nube en Solaria son contratados externamente, aseguró López, debido a que resulta más eficiente para ellos que formar y especializar a los trabajadores internos.  

Sergio Martínez, director general de SonicWall para Iberia, advirtió que con el teletrabajo y la subida de las organizaciones a la nube “ha habido una explosión de superficie de exposición bestial”. Según Martínez, esto ha provocado que el ransomware aumentara un 105% respecto al año anterior y que las amenazas encriptadas también crecieran. Esto último genera que el “modelo basado en cerrar el perímetro se convierta en una ‘caja con luces’ que no hace nada en el caso de las amenazas encriptadas”. 

En este aspecto, Martínez insistió en que lo ideal es desarrollar una “defensa por capas, tener una clara visibilidad central, poder detectar los ataques desconocidos, hacer un reforzamiento de la seguridad para móviles, que son los principales puntos de entrada hoy, y que todo esto tenga un coste que una pyme pueda asumir”. 

"El principal (problema) ha sido ser capaces de cumplir con los requisitos de los entornos regulatorios que no estaban preparados para la utilización de este tipo de servicios, sobre todo en el mundo financiero"

 

Enrique Cervantes, CISO de Fintonic

 

El caso de Fintonic es distinto. Su CISO, Enrique Cervantes, comentó que al tratarse de una startup, “nuestro grado de madurez en la nube es absoluto” ya que “no hemos migrado a la nube, hemos nacido en ella”.

Por esta razón, aseguró, “no tuvimos los problemas normales de migración, pero hemos tenido que lidiar con otras dificultades. La principal ha sido ser capaces de cumplir con los requisitos de los entornos regulatorios que no estaban preparados para la utilización de este tipo de servicios, sobre todo en el mundo financiero”.

Amelia Torres, CISO de Prezero, explicó que en su proceso de migración a la nube notó que “la seguridad tiene que ir de la mano (con los proveedores), es muy importante el concepto de la seguridad compartida. No es sólo contratar servicios, sino que también ir de la mano y estar presente en todas las configuraciones, y eso requiere una mayor involucración de los equipos de seguridad”.

"Es muy importante el concepto de la seguridad compartida. No es sólo contratar servicios, sino que también ir de la mano y estar presente en todas las configuraciones, y eso requiere una mayor involucración de los equipos de seguridad"

 

Amelia Torres, CISO de Prezero

 

Ana Salazar, cybersecurity manager de Hijos de Rivera, contó que la empresa comenzó a migrar a la nube hace tiempo. Actualmente, dijo, “se está contratando muchos servicios en la nube y no damos abasto para ver si se está gestionando bien la seguridad que proveen terceros”. Aseguró que la compañía sí tiene un fuerte foco en ciberseguridad, el problema radica en que “nos está costando mucho encontrar a gente que pueda comprobar esto”.

Finalmente, Toni García, CISO de Leti Pharma, aseguró que el suyo es un “sector bastante regulado”, pero que aún así el “objetivo es moverlo todo al cloud”. Comentó que “uno de los ejercicios que estamos haciendo es cambiar el mindset hacia la ciberseguridad. La flexibilidad que da el hecho de moverse al cloud, obliga a que Seguridad se replantee el modelo de agilidad a la que tiene que aplicar esas medidas y controles”.

 

Un perímetro difuso

López, en su intervención, señaló que la nube “es tan segura como la quieras proteger”. En ese sentido, destacó que es necesario hacer esfuerzos por cambiar la cultura de los trabajadores, ya que “la ciberseguridad no siempre provoca comodidad”, por lo que hay que hacer esfuerzos. “El más simple es tener que cambiar constantemente las contraseñas, no quiero verlas anotadas en cuadernos o post-it, tener doble factor de autenticación. Todo esto resta comodidad a la gente, pero hay que acostumbrarles”, detalló. 

También advirtió que el perímetro de red “hoy está muy difuminado”, algo en lo que coincidió Cervantes. “El principal problema es querer ver la seguridad cloud como veíamos la seguridad general hace 10 o 15 años. Eso es un error, porque ahora mismo la seguridad de infraestructura cloud se parece más a la de desarrollo que la de seguridad perimetral. Todo se despliega con código y la seguridad tiene que adaptarse a eso”, alertó. Así, lo que hay que tener es “seguridad continua, desde el principio: integración y despliegue continuo de aplicaciones e infraestructura”.

"Uno de los ejercicios que estamos haciendo es cambiar el mindset hacia la ciberseguridad. La flexibilidad que da el hecho de moverse al cloud, obliga a que Seguridad se replantee el modelo de agilidad a la que tiene que aplicar esas medidas y controles"

 

Toni Gracía, CISO de Leti Pharma

 

García concordó, y comentó que “parece que las empresas se han olvidado de hacer verificaciones pequeñas y continuas. La seguridad también se tiene que transformar y no estoy seguro de que se esté haciendo. Hay que hacer un poco de autocrítica”.

En esta línea, Martínez destacó un aspecto a considerar en las estrategias de ciberseguridad de las empresas. Se trata del shadow IT, es decir, “la gran cantidad de aplicaciones que se han empezado a usar y que TI no controla, como plataformas de marketing, ventas, etc”.

 

El problema del talento y la importancia de la responsabilidad compartida

Uno de los temas recurrentes de la mesa redonda fue la falta de talento especializado en seguridad cloud, la poca capacidad de las empresas de tener a especialistas internos y la necesidad de un cambio cultural en las organizaciones en cuanto a ciberseguridad. Torres, de Prezero, afirmó que las formaciones a los trabajadores y el cambio cultural hacia un mejor entender la ciberseguridad es “una de nuestras misiones principales como CISO”. 

Salazar concordó y señaló que en Hijos de Rivera comenzaron con las formaciones a toda la empresa hace dos años. “En gestión, lo que estamos haciendo es que, cuando nos llegan intentos de phishing, avisamos a toda la gente que está en el vector de entrada, y yo creo que ese tipo de comunicación está haciendo que los usuarios participen más”, contó.

En cuanto al talento, López, CISO de Solaria, sostuvo que “tiene que haber una supervisión (interna) de los agentes externos, precisamente porque también hay rotación entre ellos. A las empresas nos gusta conocer (a los agentes externos) por nombre y apellido, y que nos conozcan también por nombre y apellido”.

"Tiene que haber una supervisión (interna) de los agentes externos, precisamente porque también hay rotación entre ellos. A las empresas nos gusta conocer (a los agentes externos) por nombre y apellido, y que nos conozcan por nombre y apellido"

 

Alberto López, CISO de Solaria Energía y Medioambiente

 

Asimismo, comentó que “cada vez más surgen nuevos perfiles dentro de la ciberseguridad. Yo siempre demando que las contrataciones procedan del mundo TI, porque no pueden securizar si no conocen bien las infraestructuras. Teniendo una buena base, la especialización viene después”.

Cervantes, de Fintonic, agregó que “los CISO tenemos la labor de formar, de instruir a las empresas en los temas de ciberseguridad. En cloud tenemos la posibilidad de transmitir a las personas de infraestructura y a los directivos el modelo de responsabilidad compartida. Para poder proteger algo, tienes que saber lo que tienes, saber cómo funciona y saber cuál es tu responsabilidad. Estos tres ámbitos son aspectos fundamentales”.

Martínez, de SonicWall, coincidió en que “la responsabilidad última es del CISO. Pero lo más importante, muchas veces, no es de quién es la responsabilidad, sino que cuando ocurre el incidente, la capacidad que tenemos de responder rápidamente para paliar el posible daño. Qué pasa después del incidente a mí me parece que es una de las piezas clave de todo esto”. 

"Ahora vamos en unos entornos en la nube en que está todo muy mezclado y lo que no veo es que se esté especializando, sino que de repente un área se hace responsable de todo. Yo creo que esa es la parte en que tenemos que evolucionar"

 

Ana Salazar, cybersecurity manager de Hijos de Rivera

 

En tanto, la cybersecurity manager de Hijos de Rivera también resaltó que “internamente, con los TPD, tanto cuando los teníamos en local o externalizados, estaba muy claro dentro del propio TI de quien era responsabilidad cada parte de la seguridad. Pero es que ahora vamos en unos entornos en la nube en que está todo muy mezclado y lo que no veo es que se esté especializando, sino que de repente un área se hace responsable de todo. Entonces yo creo que esa es la parte en que tenemos que evolucionar”.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper