La ciberseguridad, parte indisoluble del negocio
Talento, seguridad industrial y negocio fueron los grandes temas de la segunda jornada del evento Cybersecurity Forum.
La segunda jornada del evento Cybersecurity Forum, organizado por Foundry, grupo editor de cabeceras como ComputerWorld y CSO, e IDC, g puso en órbita los principales desafíos entre la convergencia de los sistemas TI y OT, la importancia de retener talento y cómo la ciberseguridad ha de ser ya sinónimo de negocio.
El experto, hacker y responsable de ciberseguridad, Antonio Fernandes, dio el pistoletazo de salida a la segunda jornada del evento haciendo un análisis de los principales riesgos a los que se expone la industria y mostrando cómo operan las bandas de ransomware. Pero, en primer lugar, dijo aludiendo a los medios de comunicación, hay que eliminar el amarillismo y sacar de la palabra hacker el carácter peyorativo, ya que su acepción solo habla del experto en ciberseguridad y de la persona con grandes habilidades de investigación en el manejo de sistemas de TI. “Este ya no es un sector de cuatro frikis”, expresó.
Fernandes puso de relieve cómo, según el Foro Económico Mundial (WEF, de sus siglas inglesas), el cibercrimen se ha convertido en una de las principales amenazas en todo el mundo. Y lo seguirá siendo en los próximos ejercicios. Y las principales razones que motivan a estos grupos pasan por el hacktivismo, las amenazas avanzadas persistentes y, cómo no, monetizar sus acciones. Y, aunque el tablero geopolítico se haya erosionado tras la guerra de Ucrania, “llevamos más de una década viendo ataques por parte de estados”. Ejemplos de ello son NotPetya, la guerra híbrida que sufrió Georgia en 2008 o el grave incidente que padeció Estonia un año antes.
Asimismo, indicó que estos grupos criminales ya funcionan con estructuras empresariales, con un CEO y un equipo de técnicos y de desarrolladores. “Incluso subcontratan a otras empresas, y pagan muy bien comparado con las organizaciones privadas, son auténticos Unicornios”. Además, cuentan con departamentos de analistas que indican los sectores y empresas objetivo tras estudiar sus vulnerabilidades. “E, independientemente de si las firmas pagan los rescates, los datos pueden ser exfiltrados igualmente”, concluyó.
Antonio Fernandes, hacker y responsable de ciberseguridad.
Desafíos de seguridad de la convergencia entre IT y OT
La antigua separación existente entre las áreas de IT (la informática tradicional) y OT (la parte de tecnología de operaciones) se está difuminando en este nuevo escenario de todo conectado y digital. Esta tendencia de conectar el área OT conlleva múltiples beneficios pero también supone exponer esta área a las amenazas que ya sufre el mundo IT. Sobre ello departió en el evento José Antonio Cano, director de consultoría e investigación de IDC, quien hizo hincapié en que la obsolescencia de equipos que existe en el mundo OT trae consigo también otros desafíos de seguridad. “Para evitar problemas de seguridad en el mundo OT es preciso gestionar el inventario de dispositivos, obtener visibilidad de qué hay conectado en cada puerto y controlar el acceso en función del tipo de dispositivo”, recomendó.
El analista recordó que “el 36% de las organizaciones que han hecho converger sus redes IT y OT han recibido ciberataques que han supuesto la entrada efectiva en sus sistemas. Y el problema que supone entrar en el mundo OT es que lo que se ataca son servicios monetizables; es más, los servicios financieros e industriales son las áreas que más ciberataques IoT reciben”. Por ello, aseveró, “es necesario adoptar la ciberseguridad por diseño en los dispositivos, controladores, procesos y que todo esté auditado”.
Cano también desveló que la seguridad vinculada al mundo IoT supone el 20% de todo el mercado de seguridad en España, un mercado que, en general, crece a un ritmo del 9%. “La tendencia de las organizaciones es adoptar soluciones integrales para garantizar la seguridad del eslabón más débil: IoT. Para 2025 el 50% de las organizaciones aumentarán el uso de soluciones de seguridad IoT y OT en el borde, lo que disminuirá las brechas de seguridad OT a la mitad”, afirmó.
En IDC, indicó el analista, consideran que “los proveedores de servicios IoT deben evolucionar, modernizar su oferta, tener más conocimiento de la evolución de la industria y sus retos y hacer posible la privacidad y seguridad por diseño”.
José Antonio Cano, director de consultoría e innovación de IDC.
Microsegmentación como clave preventiva
“En el ámbito de la ciberseguridad también se hace buena la máxima de más vale prevenir que curar”, con estas palabras comenzó su intervención Enric Mañez, enterprise security sales de Akamai Technologies. “Por ejemplo, si hablamos de seguridad en los automóviles, lo hacemos de salvar vidas; nosotros, de salvar activos. Y, el cinturón, que es una herramienta preventiva, sigue siendo, a día de hoy, la más fiable”. En este sentido, reiteró, “mi bandera es la prevención”. Como nota, un estudio interno de la compañía pone de relieve que, para 2025, el 60% de las compañías habrán aplicado Zero Trust, pero menos de la mitad se beneficiarán de esta estrategia porque no la aplican “como un todo”.
“Sabemos los vectores de acceso de los atacantes, pero también hay que poner el foco en hacia qué sistemas se dirigen. No solo vale aplicar Zero Trust alrededor de la identidad, sino en todos los activos críticos”, señaló. Asimismo, afirmó, dónde menos se ha invertido hasta ahora es en el preincidente. Y, en este terreno juega un papel vital la microsegmentación de las redes, que trata de mitigar el impacto y de ganar efectividad en la contención del ataque. “La idea de la microsegmentación es romper la cadena, por ejemplo, del ransomware; ganar a los ‘malos’ y a sus movimientos laterales”.
Enric Mañez, enterprise security sales de Akamai Technologies.
La dificultad de proteger la empresa extendida
El desafío de garantizar la seguridad y proteger las operaciones en la empresa extendida centró un debate moderado por Cano (IDC) y en el que participaron Pedro Jorge Viana, responsable preventa de Kaspersky Iberia; Javier Trujillo, ingeniero senior de soluciones de OKTA; Juan Manuel García Dujo, director de Transformación Digital (CIO & CISO) de Cerealto Siro Foods; Ángel Uruñuela, CISO de Fluidra; y Jorge Hurtado, vicepresidente senior para EMEA de Cipher (empresa de Prosegur).
El CIO y CISO de la multinacional del sector de la industria agroalimentaria Cerealto Siro Foods recalcó que no cuenta con la misma preparación ante los riesgos de seguridad una compañía grande que una pequeña. “El nivel varía en función del tamaño de la empresa, la concienciación en materia de seguridad de la dirección y la regulación a la que deba ceñirse según el sector en el que opere. Por tanto, mientras que las grandes empresas con mucha regulación están muy preparadas, no ocurre así en las pymes, donde hay mucho por hacer. En las medianas dependerá del nivel de concienciación de su cúpula directiva”. Obviamente, añadió, el presupuesto que se destina a ciberseguridad, el equipo de TI con el que se cuente y el propio rol del CISO también son aspectos determinantes para hacer frente a las amenazas.
Para Ángel Uruñuela, de la compañía de equipamiento y soluciones conectadas para piscinas Fluidra, “las compañías están ahora más preparadas que nunca, pero paradójicamente el entorno económico y geopolítico es también más complejo que nunca. Y aunque existen tecnologías potentes y muchas soluciones de identidad la realidad es que en las empresas grandes seguimos teniendo incidentes; afortunadamente la regulación de la tecnología IoT está ayudando en materia de seguridad”.
El directivo de Fluidra desveló que en una empresa como esta Ibex, con 35 centros centros productivos, “la ciberseguridad es un problema. Pero seguimos todos los estándares. Para los que venimos del mundo IT, el mundo OT es muy diferente, tenemos mucho que aprender y nos enfrentamos a muchos retos. No es fácil instalar un dispositivo ni microsegmentar. No obstante, trabajamos mucho para dotarnos de una buena ciberseguridad”. En este sentido, añadió, “es clave escoger bien las iniciativas de seguridad y evaluar continuamente el porfolio que se tiene”.
“Las organizaciones deben ser conscientes de las dificultades que existen debido a la dispersión tecnológica, que es cada vez mayor. Aquí puede ayudar la automatización, pero esto no es sencillo y al final implica tener todo un equipo por detrás. En las compañías de servicios gestionados necesitamos especialistas”, señaló Jorge Hurtado (de Cipher, empresa de Prosegur). El portavoz explicó cómo la migración a cloud también está complicando la gestión de la seguridad de TI en las organizaciones. Por otro lado, añadió, es positivo el hecho de que “se haya evolucionado en lo que respecta a la seguridad por diseño en dispositivos IoT”. Eso sí, en el mundo OT puro, “sigue primando la disponibilidad y la operación frente a la confidencialidad de la información”.
Javier Trujillo (OKTA) se refirió a los retos que supone una cadena de suministro extendida. “Hay aspectos que no puedes controlar como, por ejemplo, cómo opera internamente nuestro proveedor. Nosotros pedimos certificados para garantizar este aspecto”. Según el portavoz, hay que ser capaces de lograr un modelo Zero Trust mediante una plataforma de identidad unificada y controlar el aprovisionamiento de sistemas con políticas de gobernanza porque “la seguridad no solo es un tema técnico sino de gestión de la empresa, por eso es tan importante definir las políticas de acceso a los datos”. Para Trujillo, en definitiva, se trata de “disponer de mecanismos de control que aseguren la continuidad de negocio y mejoren la seguridad de la cadena de suministro”. Pero una buena gobernanza, añadió, “precisa de una buena visibilidad y seleccionar la tecnología adecuada”
“El futuro de IoT será la ciberinmunidad”, sentenció Pedro Jorge Viana (Kaspersky), “lo que supone diseñar los sistemas operativos teniendo en mente la seguridad”. Para el portavoz, existe un gran riesgo de seguridad en el ámbito industrial debido a la existencia de dispositivos IoT sin las garantías necesarias de protección, por eso hay que trabajar en este aspecto. También en la concienciación en seguridad del empleado de las plantas de fabricación. “No hay que olvidar que el eslabón más débil es el usuario final. En este sentido, la concienciación debe ser especializada para la parte industrial. Esto requiere la colaboración entre las áreas de IT y OT; OT no debe vernos como el enemigo”.
No obstante, en este tema de la concienciación y de la visión del usuario como el eslabón más débil, el CIO y CISO de Cerealto Siro Foods se mostró disconforme con esta aproximación. “Hay que cambiar el paradigma: el usuario es nuestra principal herramienta de seguridad. No hay que culparle sino convertirle en un aliado para que nos ayude a detectar incidentes”. “Lo que ocurre en algunos casos es que también hay usuarios maliciosos”, recordó el portavoz de Cipher. “También las empresas tienen que estar alerta ante las amenazas internas”.
De izda. a dcha. Jorge Hurtado (Cipher); Ángel García (Cerealto Siro Foods); Ángel Uruñuela (Fluidra); Javier Trujillo (Okta); Pedro Jorge Viana (Kaspersky); y José Antonio Cano (IDC).
La estrategia de ciberseguridad del Atlético de Madrid
En el escenario donde juega sus partidos como local el Atlético de Madrid, el Estadio Civitas Metropolitano, apareció también Gonzalo Rodrigo, responsable de ciberseguridad y redes del club. El directivo contó cómo el cambio de estadio, desde el ya extinto Vicente Calderón, supuso un punto de inflexión en el crecimiento de la infraestructura y trabajadores, que ahora son unas 1.000 personas. “Además, cuando inauguramos el Metropolitano fue el estadio más digital de toda Europa”, comentó. Esto conllevó un empuje para el equipo de ciberseguridad, que ha crecido sobremanera. “Teníamos que empezar a contar con gente especializada, con roles definidos”.
Entre las principales amenazas a cubrir, cree que las comunicaciones en los partidos, con tantos aficionados, es algo que “tenemos que asegurar para que no entre ningún ataque”. También en temas de conectividad. Y defender estos entornos no pasa solo por la tecnología, sino también por la formación y la capacitación de los empleados, algo que, nota, ha mejorado sobremanera en la cúpula directiva. “Estamos un buen grado de madurez, aunque siempre tenemos en cuenta que la ciberseguridad 100% no existe”.
Por último, contó que están en constante colaboración con otros clubes, tanto de España como internacionales. “Nos aportan mucha experiencia. Eso sí, nunca hablamos de fútbol”, bromeó.
Gonzalo Rodrigo (Atlético de Madrid) y Fernando Muñoz (Foundry).
Hacia un entorno industrial seguro
Sobre cómo proteger la operación, los costes y la reputación en los entornos industriales versó la charla de Jaime Martínez, responsable de la estrategia de seguridad OT del grupo SIA (compañía de Indra). El directivo recordó que las prácticas de ciberseguridad son menos maduras en los entornos OT que en los entornos TI, pero los primeros deben evolucionar porque la transformación digital les está llegando, lo que también implica más riesgos. “De hecho, el 90% de las empresas industriales han sufrido ciberataques”.
Los retos, expuso, son “garantizar la continuidad de las operaciones sabiendo que los sistemas OT son esenciales; garantizar la seguridad en la medida de lo posible; y asegurar el compliance, que en la última década se ha volcado también con la seguridad en entornos OT. Y todo esto en un contexto de amenazas crecientes y sofisticadas, que no solo impactan en la seguridad sino también en la integridad de las personas”. La solución pasa por elaborar una estrategia de protección basada en una visión holística que cubra todas las fases de los procesos industriales y que se adapte al nivel de madurez de cada compañía. “Es esencial proteger la disponibilidad de las operaciones y de la información crítica del negocio además de reforzar la seguridad en todas las fases de la cadena de suministro”, afirmó Martínez, para quien, además, “la falta de concienciación es una de las principales causas de los ciberataques”.
Jaime Martínez, responsable de la estrategia de seguridad OT del grupo SIA.
Encontrar y retener talento
Ana Salazar, cybersecurity manager de Hijos de Rivera; Javier Sánchez, CISO de Engie España; Gonzalo Asensio, CISO global de Bankinter Group; Jesús Alonso, CISO de Sigma Europa; y Vicente Carreras, CISO global de Prosegur Cash charlaron sobre la importancia del talento humano en un debate dirigido por Fernando Muñoz, director de CIO Executive Council España. Asensio expuso que el sector bancario, en el que se mueve Bankinter, ya no atrae tanto talento. Y que, sobre todo, es difícil encontrar senior, con unas tasas más amplias de rotación. “Buscamos gente joven a la que formamos y tratamos de retener, y nos va muy bien con esa estrategia”, argumentó. También habló de cómo llegar a CISO, una profesión prácticamente nueva: “No hay métodos para llegar, hemos ido sofisticando nuestra posición. Los únicos requisitos son ganas y pasión”.
Salazar, de Hijos de Rivera, dijo que es difícil encontrar inversión para contratar, por lo que se externalizan muchos servicios y se apoyan en empresas locales gallegas, pero que también tiran de la formación a perfiles junior. “Creo que en ejercicios como Capture The Flag se puede encontrar mucho talento”, confesó. Carreras, de Prosegur Cash, aludió a que su carácter internacional les permite encontrar un caladero en el extranjero. “Buscamos por actitud, pero a su vez, nosotros como empresa también sabemos que tenemos que aportar y acompañar la formación de ese talento”.
Por su parte, Sánchez, de Engie España, presumió de que el hecho de ser una renovable puede ser atractivo para las nuevas generaciones. “La movilidad es un hecho que ha venido para quedarse, pero nuestra apuesta pasa por un plan de carrera, formar parte de un equipo global”. Por último, Alonso añadió que “tenemos que dar a conocer a Sigma, lo que hacemos, y en el caso de la ciberseguridad, actividades como el hunting, que son bonitas. También somos internacionales y podemos aprovechar para explorar más países y quedarnos con ese talento”.
De izda. a dcha. Gonzalo Asensio (Bankinter); Vicente Carreras (Prosegur Cash); Fernando Muñoz (Foundry); Jesús Alonso (Sigma); y Javier Sánchez (Engie). En la pantalla, Ana Salazar (Hijos de Rivera).
“La ciberseguridad es el negocio”
El experto y divulgador en ciberseguridad, Román Ramírez, fue el encargado de cerrar el evento. En una entrevista con Esther Macías, directora editorial de Foundry, comenzó explicando cómo ha afectado la crisis geopolítica a la industria. “Lo ha hecho a muchos niveles. Al margen de la propia guerra de Ucrania, también hay un bombardeo de propaganda en las noticias. Esto lleva a desinformación y a guerras híbridas. Estamos viendo ataques financieros combinados con propagandísticos. Esto complica mucho la labor de seguridad y aumenta el nivel de amenaza para las organizaciones internacionales”.
También tuvo palabras para referirse a la herramienta de moda, ChatGPT, con la que ha estado trabajando y de la que ha comprobado que puede ser una mina para los ciberdelincuentes. “Tiene muchísimo impacto en nuestro trabajo. Hay gente que se dedican a ‘enredar’ a la inteligencia artificial para que haga cosas malas”. Tras este advenimiento el experto anticipa mucha automatización. “Esto ha irrumpido de una manera dramática, y es efectivo. Ha cambiado el paradigma mundial, y no nos lo podemos tomar a risa a pesar de ser antropocéntricos”.
Preguntado por el rol del CISO, espetó claramente que “la ciberseguridad es negocio”, y apostilló que “si hay alguien que no lo crea así que mejor no se dedique a este sector. Tenéis que tener pensamiento estratégico, pero el problema es que se tiene o no”. Por último, se refirió a la escasez de talento: “Hay que pagar bien, no vale de nada el salario emocional, porque, si no, no podemos competir con otros países que ofrecen el doble y el puesto en remoto”. En conclusión, dejó su impronta: “Si de verdad la ciberseguridad fuera importante no se pagarían sueldos bajos. El problema es que no queremos afrontar los problemas”.
El experto en ciberseguridad Román Ramírez y Esther Macías (Foundry).
Acceda a la cobertura completa del evento en este enlace
