Mario García, CheckPoint: «El despliegue de tecnologías de seguridad avanzada todavía es muy pequeño»

¿Qué inversión en seguridad IT van a hacer las empresas en 2020? ¿De qué forma ha cambiado su superficie de ataque? ¿Están preparadas para dar respuesta a los retos que se le presentan este año? Estas son algunas de las preguntas que le hemos planteado a Mario García, country manager de CheckPoint en España y quien entre otras muchas cosas nos ha contado cómo aunque la mayoría de las empresas es cierto que tienen una protección básica en el área de la seguridad informática, desde luego no están preparadas para dar respuesta a las amenazas más avanzadas. Esto es lo que nos ha contado.

MuySeguridad: ¿Qué balance haces de 2019?

Mario García: De 2019 hacemos un balance bastante bueno, teniendo en cuenta que en 2018 la oficina local tuvo un crecimiento espectacular, en el que batimos todos los registros posibles e hicimos crecer el negocio de una forma increíble. El reto por lo tanto para 2019 era increíble y pese a ello volvimos a crecer a doble dígito.

Esto demuestra que hay interés por la seguridad. Pero aunque llevamos una dinámica bastante buena, los retos para 2020 son enormes. Especialmente cuando hablamos de las cosas nuevas que hacemos, como protección frente a los ataques más avanzados, móvil, protección cloud y del puesto de trabajo… aunque la demanda crece muy rápido está casi todo por hacer.

El despliegue de las tecnologías de ciberseguridad avanzadas es todavía pequeño. Es verdad que se están haciendo bien ciertas cosas, pero dado el tamaño que tiene el país, las empresas que tenemos… el reto que nos queda es fenomenal.

MuySeguridad: Lo hemos visto este mismo año, con empresas muy grandes sufrir ataques relativamente fáciles de evitar

Mario García: Y en varias administraciones públicas, con el impacto que esto tiene en la vida de la gente, con cosas en las que nadie piensa, como por ejemplo puede ser la imposibilidad de matricular coches si esos sistemas del ayuntamiento han sido atacados.

Hay muchas cosas similares, conectadas entre sí, que tienen un impacto grande en la vida real de la gente. Es cierto que la mayoría de las empresas tienen algún tipo de despliegue de seguridad, todos tienen una seguridad relativamente básica…por lo que el reto es dar ese paso hacia esa seguridad un poco más avanzada.

Estamos hablando que ahora mismo los ataques son de otro nivel. Nosotros categorizamos los ataques en cinco o seis niveles, desde el más básico que sería el que puede parar el antivirus a otros mucho más complejos como los polimórficos o distribuidos que serían de nivel cinco o seis. Pues bien, el nivel medio de protección de las compañías españolas se encontraría en un 2,5 sobre 6. Con lo cual un ataque de hace cinco años, la probabilidad de éxito que tiene en la empresa española es enorme.

«España no tiene unidades para atacar a nadie, ni lo está haciendo»

MuySeguridad: 2019 ha sido un año en el que ransomware y phishing han sido dos de los grandes protagonistas. Además de estos dos ataques ya casi «clásicos»… ¿Qué podemos esperar para 2020?

Mario García: A nivel global creo que estamos en una auténtica guerra fría entre países. En España tenemos el mando conjunto de ciberdefensa, el INCIBE y grandes profesionales en primera línea pero que yo sepa, España no dispone de unidades para atacar a nadie ni lo está haciendo. Esto no quiere decir que esta guerra no está pasando en el mundo y lo están haciendo con lo que pueden considerarse que son armas de grado militar. Están atacando con lo que sería el equivalente a un tanque en una guerra convencional.

Y el problema es que una vez que un Gobierno crea un arma cibernética y la utiliza, el arma queda ‘suelta’ para por el precio adecuado, cualquier grupo pueda utilizarla. Tenemos el caso de smartphone de Jeff Bezos como uno de los últimos ejemplos, cuando no gobiernos que disponen de ‘dinero infinito’ y ‘medios infinitos’ para poder atacar.

Ataques dirigidos en los que pueden contar con todos los ingenieros que quieran, todas las herramientas disponibles. Al final la diferencia entre países y grupos o empresas privadas va a ser la cantidad de recursos de los que puede disponer para poder atacar. Es algo que está pasando de forma constante, regular y en todas partes.

La otra gran batalla que tenemos y en la que de momento poco se puede hacer es en todo lo que tiene que ver con las fake news, capaces de manipular a la gente para por ejemplo cambiar resultados electorales. Pero aquí las compañías de seguridad, aunque pongamos herramientas de análisis, poco podemos hacer.

A partir de aquí también hay que tener en cuenta que la ‘superficie de ataque‘ se ha ampliado de una forma enorme. Antes bastaba si con proteger el perímetro, pero ahora nos hemos expandido a otros territorios, a la nube pública, nube híbrida, aplicaciones SaaS, dispositivos móviles, modalidades de trabajo BYOD (Bring Your Own Device)…

MuySeguridad: Teniendo en cuenta esa puntuación que contabas antes de 2,5 sobre 5 en cuestión de seguridad en la empresa española, ¿qué percepción tienes de la importancia y el papel que están jugando los CISOs en las mismas?

Mario García: CISOs hay y los hay muy buenos. Es verdad que no todos tienen las herramientas adecuadas y después cuando tu haces un análisis con los principales CISOs de España, hay que tener en cuenta que ellos no son el problema.

Te sientas con los grandes bancos o las grandes empresas españolas y ves que con gente muy profesional, multidisciplinares, con una política seria de seguridad, buenos despliegues…es verdad que todo es susceptible de ser mejorado pero no está ahí el problema, el trabajo es relativamente bueno.

¿Pero cuánto cubres con esto? ¿El IBEX 35? Puede que las que forman parte del IBEX 35 y las siguiente 70 relativamente potentes que se han tomado la molestia en hacerlo. ¿Cuántas empresas hemos cubierto, a unas cien? ¿Cuántas empresas hay en España? ¿Cuántas empresas que no son pymes hay en España?

Es que en muchas de estas empresas medias incluso el papel del CIO no es el mismo que el del CIO en una gran empresa, porque salvo en empresas realmente grandes, en industrias estratégicas, etc. muchas veces la informática se percibe más como un coste. El poder del CIO en muchos casos es pequeño. A diferencia de otros países, aquí no se sienta en el consejo de administración, es más alguien que se queja ante la falta de recursos que alguien que sea capaz de dirigir la organización informática de forma ideal en todos y cada uno de los segmentos que existen.

Eso cuando hay CIO. ¿Dónde está el CISO? Muchas veces es poco menos que un responsable de seguridad que está debajo del CIO. Y eso no debería de ser así porque estructuralmente la seguridad debería estar separada de la informática. ¿Hay empresas de tamaño mediano que lo están haciendo bien? Por supuesto, pero no es lo habitual.

Aunque está empezando a cambiar, en España la seguridad informática se percibe como un gasto

MuySeguridad: Uno de los problemas más habituales que sufren las empresas en los últimos años son las brechas y fugas de información. ¿Cómo debe comportarse una compañía una vez que detecta el problema?

Mario García: Lo primero que hay que hacer es denunciar. Denunciar que te han robado. Si no sabes por dónde empezar yo iría a la Guardia Civil, o a la Policía Nacional. Los dos cuerpos tienen grupos específicos de delitos telemáticos. Es un robo y como tal hay que declararlo, en este caso de datos.

Después hay otros organismos, como puede ser el INCIBE y otro tipo de empresas que se dedican a hacer análisis forenses para determinar de qué forma has sido atacado, evaluar lo que has perdido y recomiendan la instalación de distintos medios tecnológicos para asegurar que un incidente similar no se vaya a repetir. Es algo que existe a todos los niveles y para todo tipo de empresas.

Nosotros mismos desde CheckPoint damos este servicio de apoyo a nuestros partners, ofreciéndoles la asistencia de técnicos especialistas, capaces de detectar la naturaleza del problema, las partes afectadas y los pasos que hay que dar a continuación.

MuySeguridad: Eso desde el punto de vista de la tecnología, ¿cómo actuamos desde el punto de vista de la comunicación y las relaciones públicas? ¿de qué forma debemos dar a conocer el incidente?

Mario García: Depende de muchos factores, como por ejemplo de lo relevante que sea el ataque. Realmente en España no hay obligación de comunicar de forma pública los ataques, aunque sí que hay obligación de comunicárselos al INCIBE, con una plataforma habilitada para esto.

En España existen muchísimos incidentes, de muchísimo nivel, todos los días y solo hay obligación de comunicárselo a las administraciones públicas. Otra cosa es que los datos de tus clientes se hayan visto expuestos. En este caso sí que hay obligación de comunicárselo…e igualmente es algo que ocurre todos los días, en todo tipo de aplicaciones.

Esta comunicación es obligatoria, muchas veces para sugerirte que cambies tus datos. Más adelante tú por supuesto, tomarás la decisión en función de las medidas que han adoptado o no, para solucionar su brecha de seguridad y cómo la han comunicado, si quieres seguir trabajando con ellos o no.

Ahora, no se hacen comunicados en prensa. Nadie quiere pasar por esa famosa «pena de telediario». ¿Quién sale? Muy grandes empresas. Si a mí una empresa me dice que ha tenido un problema, pero que ha tomado todas las medidas necesarias para resolverlo, para mantener a salvo mis datos, me piden que esté atento, etc. me parece una política correcta. Probablemente a partir de ese momento esa empresa sea más segura.

No me da miedo que una empresa con la que trabajo haya sido hackeada y mis datos hayan estado expuestos…porque por lo menos lo saben y han tomado medidas. Lo que me preocupa son todas esas empresas que no lo saben.

No me preocupa que una empresa haya sido hackeada, sino aquella que no lo sabe

CheckPoint: Cada vez son más las empresas que están apostando por el cloud híbrido, aumentando como apuntabas antes su superficie de ataque. ¿Cómo trabajáis vosotros en estos escenarios híbridos?

Mario García: Tenemos una solución para entornos cloud que funcionalmente trabaja de la misma forma en un data center tradicional, en una nube privada o en una nube pública.

Desde la plataforma de gestión se pueden establecer distintas políticas en función del tipo de medidas que se quieren implantar en el data center físico, en la nube pública o en la privada. Esto facilita enormemente pasarte a la nube, ya que da igual en la plataforma en la que te encuentre pues la solución va a funcionar de la misma forma.

Tienes que tener en cuenta que cuando te vas a la nube pública también te tienes que llevar la seguridad. Los proveedores de nube pública, sólo se aseguran de que ellos son seguros.

Pero asegurar los datos es responsabilidad de la empresa que contrata el servicio. Si expongo mis datos de forma pública para que cualquiera los pueda ver el problema es mío. Soy yo el que pongo esa información ahí y determino cómo se accede a la misma o no se accede. Soy yo el responsable de montarme mi propio sistema de seguridad para que mis datos estén seguros.

Por otro lado al ir al cloud deberías analizar cuál es tu «postura de seguridad»: ¿qué tengo el cloud? ¿cómo lo tengo conectado? ¿quién accedé a qué?¿cómo lo hace? Puede ser muy sencillo responder a estas preguntas, pero también puede ser muy complicado cuando empezamos a contar con varios servidores e incluso, si nos limitamos a trabajar en un entorno serverless.

Tienes que tener una solución de seguridad que sea capaz de ver todos y cada uno de los elementos de una cloud, teniendo en cuenta además que cada cloud es diferente y no es lo mismo AWS que Azure o Google, por poner un ejemplo.

Hay una brecha importante entre el volumen de inversión que se hace y el que se debería hacer

MuySeguridad: Teniendo en cuenta todo lo que hemos hablado hasta ahora, ¿Cómo veis los presupuestos que las compañías van a dedicar a seguridad este año? ¿Vamos hacia un escenario en el que se va a aumentar la inversión?

Mario García: Creemos que este año la seguridad tiene cierta prioridad en la inversión TI de las empresas. El gasto en seguridad crece y lo hace de forma más rápida que en el resto de las áreas TIC.

Eso es un buen síntoma. Pero aún así el reto es mayúsculo. El nivel del que partimos es muy bajo y aunque el desarrollo y la implementación de políticas de seguridad más avanzadas es fenomenal, si el 98% de las empresas no están protegidas frente a ataques en el móvil, por mucho que crezca un 500% en vez del 98% seguirán siendo el 92% sin proteger.

Partimos de tan abajo que hasta que consigamos que el 80% o el 90% de las empresas estén seguras, tenemos que hablar de otro tipo de crecimientos mucho más exponenciales o no vamos a llegar. La brecha que yo veo entre el volumen de inversión que se hace y el que sería razonable o necesario hacer. Existe falta de profesionalización en algunos sitios, porque aunque en España hay profesionales buenísimos, falta gente.

Falta que la ciberseguridad forme parte de cada uno de los elementos integrales en el diseño de las aplicacioeos, servicios y sea una parte más del modelo de negocio de la empresa.