¿La seguridad es una quimera? Cómo establecer la estrategia correcta

La seguridad se ha convertido en una de las piedras angulares del negocio de cualquier empresa, pero, hay veces que parece que la seguridad es una quimera . Para hablar sobre qué debería incluir una correcta estrategia de ciberseguridad Byte TI organizó en Barcelona un almuerzo informativo, junto con HCLSoftware y que contó con la participación de Isidro Sánchez, IT Manager de Jotun; Carlos Luque, CISO en TMB; Massimo Pramparo, Regional Sales Director for AppScan de HCLSoftware; Albert Sierra, director de tecnología y sistemas de información y servicios generales en Cambra de Comerc de Barcelona; Xavier Altafulla, Responsable de Buen Gobierno del ayuntamiento del Prat de Llobregat y Joan Codina, CITO en Fundación Salud y Comunidad.

La ciberseguridad es prioritaria aunque parezca que la seguridad es una quimera y se encuentra al mismo nivel que algunas de las operaciones de negocio más importante de cualquier empresa. En este sentido, empresas de software como HCLSoftware deben jugar un papel importante para que las organizaciones sepan como adaptar su estrategia de forma correcta y no les parezca que la seguridad es una quimera. Massimo Pramparo, Regional Sales Director for AppScan de HCLSoftware abrió el debate explicando cuál es el papel que juega esta multinacional en el mundo de la ciberseguridad. El directivo explicó que “HCLSoftware es una división del grupo HCL. Somos uno de los principales proveedores de servicios en el mundo y tenemos presencia en más de 150 países. Desde hace 7 años se creó la división para comercializar y fabricar software. Buena parte de nuestro porfolio proviene de compañías que hemos ido adquiriendo y de la que hemos incorporado muchos productos y soluciones que ya estaban en el mercado desde hace muchos años. Este es el motivo por el que tenemos muchos clientes, entre los que se encuentran buena parte de las empresas líderes a nivel mundial. Se puede decir que somos una empresa joven, pero que posee un histórico y una herencia en la que nos apoyamos. El objetivo que tenemos es el de convertirnos en uno de los principales fabricantes de software del mercado y en este sentido, las soluciones de ciberseguridad que comercializamos nos permiten abordar el reto de que las empresas tengan una estrategia de ciberseguridad bien definida”

Tras esta presentación, Albert Sierra, director de tecnología y sistemas de información y servicios generales en Cambra de Comerc de Barcelona afirmó que “la ciberseguridad no es negociable incluso cuando parezca que la seguridad es una quimera. El problema es que realizar inversiones en ciberseguridad es importante, pero los presupuestos son limitados, es decir, que el equilibrio es difícil de plantear. Nuestro rol ha cambiado mucho, tienes que saber sobre todo del negocio y mantener el equilibrio. Creo que en tecnología y también en ciberseguridad la clave está en coliderar proyectos y no liderarlos, porque si los lideras, entonces solo se habla del apartado tecnológico y entonces no todo el mundo en la organización lo comprende, así que por eso hay coliderarlos. Hay que mimetizarse mucho con el negocio y después tener mucha mano izquierda con el resto del departamento de tecnología”.

Por su parte, Carlos Luque, CISO en TMB, explicó cuál es la responsabilidad de llevar una empresa como TMB encargada de gestionar toda la ciberseguridad de una empresa encargada de todo el transporte público de una ciudad como Barcelona. Tal y como explicó, “aunque llevo más de 20 años en la empresa es desde hace algo más de un año cuando ejerzo como CISO, La persona que estaba anteriormente implementó muchas soluciones de ciberseguridad y es algo de lo que yo me puedo aprovechar, pero ahora estamos llevando a cabo una estrategia de simplificación, nos estamos centrando en GRC y vamos a invertir una cantidad importante en toda esta estrategia. El objetivo es que todo esté gobernado y que en vez de número de ataques de phishing hablemos de indicadores que nos señalen que todo el mundo sepa lo que tiene que hacer en el caso de, por ejemplo, hacer frente a un ciberataque. Por eso tengo un plan que requiere inversión en GRC, en auditoría, en formación y que está muy relacionado con la parte de cumplimiento”.

Isidro Sánchez es IT Manager de Jotun, uno de los mayores fabricantes mundiales de pinturas decorativas, recubrimientos industriales, marinos y náuticos, con sede en Sandefjord, Noruega. En su caso, la estrategia de ciberseguridad pasa por “instruir al usuario a través de cursos de ciberseguridad porque vemos que es el eslabón más débil de la cadena. Entre las políticas que llevamos a cabo se encuentran varios sistemas muy restrictivos para cualquier persona que no es de la empresa, como partners o distribuidores, etc. Gracias a esto, nos hemos librado de bastantes problemas, porque esos problemas suelen venir desde un externo o de algún empleado que cae en una trampa del ciberatacante. Además estamos muy encajonados en un sistema. Tenemos un ERP para todo el mundo, el mismo portátil, móvil… es un modelo exacto para todo el mundo. Todo es estándar. Si alguien se sale de lo estándar es que algo no está bien”

Para Xavier Altafulla, Responsable de Buen Gobierno del ayuntamiento del Prat de Llobregat, “efectivamente uno de los principales problemas se encuentra en el usuario. No en el firewall o en el SIEM. De todas formas, con respecto a las políticas de los usuarios depende de cada empresa o institución. Cada uno establece unas políticas diferentes. Por ejemplo, la convergencia no existe en las políticas de ciberseguridad de todas las instituciones públicas, cuando ganaríamos mucho si todos usáramos lo mismo”.

¿La seguridad es una quimera? Por qué HCLSoftware

HCLSoftware juega un papel importante como proveedor de herramientas para proteger aplicaciones y endpoints, automatizar el cumplimiento y reducir vulnerabilidades desde el desarrollo hasta el puesto de trabajo. Su foco no es tanto ser un MSSP clásico, sino habilitar a CISOs, equipos de SecOps e IT Ops con plataformas de gestión y remediación. En este sentido, Massimo Pramparo explicó que “sólo hay dos tipos de empresas: las que han sido atacadas y las que no saben que han sido atacadas. Ahora, la diferencia es que ya no se discute la importancia que tiene la ciberseguridad por parte de la dirección, pero éstos suelen creer que todo se soluciona con la compra de herramientas. Y si sólo ten centras en las soluciones pierdes la visión global. Hay que enfocarlo desde el punto de vista de negocio. El problema es transversal y no es solo parte del departamento TIC o de ciberseguridad”.

En este sentido, Xavier Altafulla inisitió en la importancia de la capacitación: “La gran parte de los ataques viene por parte de los usuarios, por lo que la concienciación es muy importante”.

Joan Codina, CITO en Fundación Salud y Comunidad explicó que buena parte de la estrategia de ciberseguridad de esta organización ha venido motivada por los ciberataques que sufrieron en el pasado. “Por ejemplo, hace unos años un usuario le dio un clic a un PDF y se empezó a encriptar todo. Esto provocó que nos certificáramos en el Esquema Nacional de Seguridad. A partir de ahí, hemos ido creciendo. Tengo un servidor en punto, tengo un sistema tema de seguridad ya con un SIEM y tenemos implementadas más cosas. Hemos pasado a hacer auditorías y hemos ido creciendo mejorando en toda nuestra estrategia de ciberseguridad”.

Irrupción de la IA

La IA parece que va a ser la encargada de transformar las estrategias de ciberseguridad de las empresas, pero también tiene sus riesgos. Muchas de las empresas ya tienen denegados los permisos para que los empleados puedan acceder a determinadas soluciones de Inteligencia Artificial por motivos de seguridad. Sólo pueden utilizarse aquellas que se empleen en la empresa. Es el caso de Isidro Sánchez, que explicó que “en nuestra empresa utilizamos Copilot. Pero tenemos la versión corporativa de pago, así que tenemos totalmente prohibido utilizar cualquier tipo de inteligencia artificial que implique subir información de la empresa fuera de Copilot”.

La ciberseguridad no es negociable. incluso cuando parezca que la seguridad es una quimera

Y es que. como se discutió durante el encuentro. uno de los principales problemas es qué se hacen con los datos o la información que se utiliza para que la IA funcione. Pero lo cierto es que, la IA ya se utiliza como otra alternativa en la ciberdefensa. Tal y como expuso Isidro Sánchez, “la mayoría de aplicativos de hoy en día ya tiene integrada la Inteligencia Artificial. Te guste o no te guste, aunque tú no quieras utilizar IA, los dispositivos ya la llevan implementada. Por ejemplo, antes los switches los tenías que configurar a mano, ahora la mayoría de ellos, a menos que tengas una configuración muy rara, es conectarlos y se descarga todo y lo hace casi todo él. Es una commodity. Yo veo que la IA no es opcional”.

Para Albert Sierra, “la IA hace al bueno más bueno y al malo más malo. En mi opinión si lo tienes todo bien montado la Inteligencia Artificial te va a ayudar, pero como lo tengas mal configurado, tienes un problema

Para Xavier Altafulla, “independientemente de la IA, el problema es el usuario. Creo que hay que ser restrictivo y establecer una serie de requisitos. Por ejemplo, al tercer error de acceso hay que bloquearle el acceso y si se encuentra fuera de la oficina, el máximo deberían ser dos intentos. En este sentido, creo que el doble factor de autenticación es fundamental. Es verdad que es algo molesto para el usuario, pero en cuanto le explicas los motivos lo entiende perfectamente y asume que es para evitar riesgos”.

Finalmente, Carlos Luque añadió que “lo que me preocupa, sinceramente, es tomar decisiones en base a algoritmos que no conocemos. Ya lo sufrimos ahora, cuando un algoritmo desarrollado por un tercero se implanta para por ejemplo saber qué bonus hay que dar a un empleado. Nunca hemos conseguido saber qué algoritmo hay detrás. Pues imagínate, con aquellas decisiones de ciberseguridad que puede tomar una IA que vienen de un sitio que desconoces y que no sabes por qué está tomando una decisión”