Si ayer anunciábamos las 10 candidaturas finalistas de los Premios Byte TI a obtener el galardón a «Mejor CIO», hoy hacemos lo propio con la candidatura de «Mejor CISO». En este caso se han presentado 108 proyectos relacionados con la ciberseguridad de los que los miembros que componen el jurado han seleccionado los diez que se detallan a continuación. El ganador final se dará a conocer en la entrega de Premios Byte TI que tendrá lugar el próximo 28 de septiembre.
Finalistas Mejor CISO. Premios Byte TI 2023
Índice de contenidos
Esther Muñoz, subdirectora general de tecnología de Madrid Digital
Explique en qué ha consistido el proyecto
El Centro de Operaciones de Ciberseguridad de Madrid Digital – SOCMD, es el “corazón” de la gestión de la ciberseguridad de Madrid Digital. Desde él se ha conseguido centralizar y fortalecer las capacidades de ciberseguridad de la organización, prestando servicio 24×7 con las siguientes capacidades: prevención y detección de amenazas y vulnerabilidades de forma temprana, y capacidades de análisis, respuesta y recuperación ante incidentes de seguridad, con el objetivo de minimizar el impacto identificando la causa raíz del incidente.
En la actualidad en el SOCMD se ingesta y se analiza más de un billón de eventos de seguridad al año, con picos de más de 85.000 eventos de seguridad por segundo, siendo uno de los SOCs públicos más grandes de España.
Retos
· El principal reto ha sido el diseño de la arquitectura SIEM y la integración de las fuentes de eventos, considerando que debía ser escalable, disponible, integrable con multitud de fuentes de eventos distintos, y capaz de ofrecer buenos tiempos de respuesta de procesamiento de casos de uso.
· El diseño de los casos de uso de monitorización: es vital construir los casos de uso adecuados a la organización, implementando las tácticas, técnicas de la matriz MITRE ATT&CK modeladas y adaptadas a los servicios e infraestructuras TIC. En la actualidad hay 177 casos de uso en producción que cubren 14 tácticas y 52 técnicas de atacantes.
· Y, por último, el reto de integrar mediante procedimientos y herramientas a toda la organización, Sistemas, Comunicaciones, Desarrollo y Puesto de Trabajo, en el día a día de la gestión de la seguridad del SOCMD, ya que son estas organizaciones las que remedian las vulnerabilidades y las que resuelven los incidentes.
Expectativas
El principal objetivo era y es reforzar las capacidades de ciberseguridad de la organización de forma constante. La expectativa que teníamos cuando pusimos el SOCMD en marcha era saber si conseguiríamos ese objetivo, y sí, lo hemos conseguido, ya que el SOCMD alerta constantemente de amenazas, escanea de forma continua vulnerabilidades internas y externas, y es vital su coordinación y apoyo ante incidentes de seguridad.
Dificultades
La disponibilidad y retención de talento humano necesario para prestar los servicios del SOCMD. Es complejo encontrar y retener personal, tanto externo como interno, que tenga conocimiento experto en ciberseguridad, en organizaciones tan grandes y complejas, con tantos y diversos servicios e infraestructuras TIC.
Desarrollo del proyecto y futuro
En 2024 volveremos a licitar un nuevo contrato público de Centro de Operaciones de Ciberseguridad, y en la actualidad nos estamos planteando que nuevas capacidades debe aportar. Entre ellas, hemos identificado que debe ser capaza de gestionar e integrar los “eventos de nube” con los eventos actuales que se generan en los CPDs corporativos, todo ello para detectar y analizar de forma transversal, conteniendo y respondiendo de forma más eficaz. Esto nos lleva a replantearnos la arquitectura SIEM (híbrida en nube y en CPD), los eventos a ingestar y los casos de uso, todo ello para no acumular billones de eventos que sea imposible de analizar. También estamos estudiando la incorporación de mecanismos orquestación, automatización y respuesta SOAR en caso de incidente de seguridad, para actuar de forma inmediata en las defensas finales.
Gabriel Moliné, CISO de Leroy Merlin
Explique en qué ha consistido el proyecto
En Leroy Merlin queríamos crear una sinergia entre las medidas de seguridad que teníamos implementadas entre nuestra ámbito físico (oficina, almacenes y tiendas) y nuestro ámbito digital (web ecommerce, App, venta a distancia), a través de la estandarización de alertas y las respuestas. En este proyecto hemos implantado medidas de detección y respuesta de manera automatizada a posibles riesgos de seguridad en tiempo real utilizando como referencia las mejores prácticas y medidas reflejadas en las matrices de defensa y ataque de MITRE, con independencia del tipo de dispositivo que origina la alerta y el ámbito en que se produce.
¿Qué retos necesitaban cubrir? ¿Ha cubierto sus expectativas?
Desde el punto de vista de la operación de ciberseguridad de los retos principales era aumentar la superficie de monitorización sin aumentar los falsos positivos. Para ello hemos implementado soluciones de Network Access Control (NAC), que nos permiten tener un control preciso sobre quién, cuándo y desde qué dispositivo accede a nuestra red privada, también implantamos una solución de ZTNA para brindar mayo seguridad y estabilidad en las conexiones remotas y de los usuarios en teletrabajo y por último, hemos integrado el NAC y ZTNA, junto con otras herramientas de ciberseguridad, a un sistema de Detección y Respuesta Extendida (XDR) con una matriz de respuesta basada en el Framework MITRE. Esto nos permite detectar y responder de manera orquestada y automatizada a posibles riesgos de seguridad en tiempo real, con independencia del origen de la alerta y aportar información agregada y de contexto a las alertas para evitar los posibles falsos positivos.
¿Qué dificultades se encontraron?
Contamos con un ecosistema tecnológico y de seguridad muy grande, conseguir conectar todas las fuentes de información necesarias para dar contexto real a la alertas fue sin duda la parte más difícil, ya que aparte de el trabajo técnico requiere mucha experiencia y conocimiento previo tanto de tecnología como de las operaciones del negocio.
Piensan desarrollar el proyecto y llevarlo un paso más allá ¿Por qué?
Sí, ya tenemos en el roadmap implantar o integrar nuevas soluciones para complementar el cybersecurity mesh conectando nuestro ambiente Cloud y nuestros proveedores SaaS. El objetivo de Leroy Merlin es modernizar y fortalecer nuestra toda nuestra infraestructura de servicios desde la cadena de suministro hasta los canales presenciales y digitales. Para lograrlo, debemos apostar por la adopción de tecnologías seguras y de vanguardia, con la seguridad by default y la privacidad por diseño, pero que permitan tanto a nuestro clientes como a nuestros colaboradores y proveedores utilizar nuestros servicios de manera más segura, más ágil y más eficiente.
Manuel Asenjo, director TIC de Broseta Abogados
Explique en qué ha consistido el proyecto
A mi llegada hace un año a Broseta, me encontré con que nuestro despacho no disponía de las medidas de seguridad necesarias para salvaguardar los equipos y la información de los mismos. Durante este año, hemos contratado un SoC, hemos puesto los sistemas perimetrales (Firewall) en alta disponibilidad, hemos instalado Antivirus avanzados en todos los equipos, hemos encriptado los sistemas con encriptación de arranque, hemos instalado un sistema IPS/IDS (filtrado tráfico interno de red), hemos creado el Comité de Seguridad, hemos hecho un equipo multidisciplinar con capacidades de seguridad en todos los miembros y hemos implantado el doble factor de autenticación.
¿Qué retos necesitaban cubrir? ¿Ha cubierto sus expectativas?
Necesitaba generar una imagen de seguridad y confianza en nuestros abogados para que fuera trasmitida a nuestros clientes. Estamos en el ranking del Top 10 de despachos nacionales y nuestra seguridad no estaba a la altura. Una vez terminado el año con foco e inversión importante en Ciberseguridad si se han cubierto las expectativas. Duermo más tranquilo.
¿Qué dificultades se encontraron?
Presupuestarias y técnicas, tenemos algunos sistemas legacy que hicieron y hacen la tarea un poco más complicada no obstante la mayoría de nuestra información están cloud publicas y privadas por lo que hubo que aplicar sistemas mixtos de protección.
Piensan desarrollar el proyecto y llevarlo un paso más allá ¿Por qué?
Por varios motivos. La ciberseguridad no se acaba nunca, los sistemas avanzan y las defensas deben avanzar con ellos. Nuestros siguientes pasos son concienciar más a los usuarios y medir nuestra situación real en ciberseguridad con herramientas para saber nuestros puntos débiles y prepararnos para sacarnos las ISO 27001.
Javier Torres, CISO de Allfunds
Explique en qué ha consistido el proyecto
El área de seguridad de Allfunds está liderando la implementación de un nuevo modelo tecnológico para agilizar el on-boarding de empleados, asegurar la autenticación, el control de acceso remoto y la navegación de usuarios tanto en oficinas como en movilidad con el fin de dar respuesta a la dispersión geográfica y la complejidad que conlleva la integración de nuevas compañías y tecnologías, así como el cumplimiento de los requerimientos regulatorios.
Para ello se han sustituido las tecnologías clásicas por un nuevo modelo basado en Zero Trust. Esta adaptación ha supuesto la digitalización de los servicios de navegación y acceso remoto reforzando la resiliencia operacional a la vez que se ha reducido la superficie de ataque. Unido a la autenticación centralizada y SSO basada en roles, se ha aumentado la eficiencia y la rapidez en el acceso. En definitiva, han mejorado la seguridad y la experiencia de usuario.
Uno de los principales objetivos de nuestro plan director de ciberseguridad es alcanzar un nivel de madurez avanzado en el modelo Zero Trust. Este proyecto ha sido una pieza clave para mejorar dicho nivel de madurez y seguiremos trabajando en la implementación de mejoras que nos ayuden, junto con nuevos proyectos, a alcanzar el objetivo marcado.
Enrique Rubio-Manzanares, CISO de SegurCaixa Adeslas
Explique en qué ha consistido el proyecto. ¿Qué retos querían resolver?
El proyecto ha consistido en mejorar el nivel de madurez de seguridad del grupo SegurCaixa Adeslas, evolucionando las capacidades ya existentes. Para ello se elaboró un plan que contenía más de 60 iniciativas. El objetivo era muy claro, pero también muy ambicioso, ya que ha habido que poner en marcha más de 25 iniciativas de seguridad en paralelo. Muchas de ellas tenían dependencias entre sí, lo que ha hecho que las planificaciones y el presupuesto tuvieran que estar muy bien gestionados para evitar problemas de retrasos y a su vez intentar conseguir aceleradores para las iniciativas y terminarlas antes de lo estimado.
Para verificar que todas las iniciativas del plan se iban cumpliendo se han creado cuadros de mando e indicadores, con el fin de poder ver el impacto de las acciones realizadas, ya que lo que no se mide no se controla.
¿Qué retos se han encontrado? ¿Ha cubierto sus expectativas?
El principal reto ha sido el cambio cultural, todo el impulso que ha conseguido el Área de Seguridad y Continuidad con este plan supone una mayor participación de esta área en la mayoría de los procesos de la compañía.
Por otro lado, el hacer un reporte del estado de Seguridad del Grupo para los comités de la alta dirección y que a través de ellos se pudiera seguir la evolución del plan ha supuesto también un reto.
Respecto a las expectativas, se han visto cubiertas con creces, el equipo de Seguridad ha trabajado de manera excepcional y ha conseguido unos resultados por encima de lo previsto. Lo que ha hecho que el plan haya sido un éxito y que el posicionamiento del Área de Seguridad y Continuidad se haya visto reforzado.
¿Qué dificultades se encontraron?
Sobre todo, hemos encontrado dificultades para alinear todas las iniciativas e intentar encontrar esos aceleradores que permitieran adelantan el fin de las mismas antes de lo previsto.
Además de esa dificultad, hemos encontrado otras muchas relacionadas con temas técnicos, operativos o incluso estratégicos, porque las iniciativas tenían que cubrir las necesidades de seguridad de todas las empresas del grupo, dónde cada una tiene un negocio diferente.
Pero todas estas dificultades se han solventado por parte del equipo de Seguridad y Continuidad de manera sobresaliente.
¿Piensan desarrollar el proyecto y llevarlo un paso más allá ¿Por qué?
No lo pensamos, tenemos que hacerlo, hay que continuar evolucionando la función y el Área de Seguridad y Continuidad, sobre todo para mantener lo conseguido y poder continuar con una participación activa en el día a día de la actividad del Grupo.
Se podría decir que estamos en modo de mejora continua.
Carlos Asún, CISO de Food Delivery Brands
Explique en qué ha consistido el proyecto
El proyecto consistió en la implementación de diferentes herramientas de Seguridad, ayudar en la trasformación digital y mejorar las herramientas de Seguridad existentes.
Nuevas herramientas de Seguridad implementadas y ampliaciones:
- SIEM-SOC: Envío de Logs de las fuentes críticas y medias de la compañía con creación de más de 60 sacos de uso para alertar de comportamientos anómalos y maliciosos mediante un SOC.
- NAC: Protección de la red y equipos de la compañía para tener los accesos controlados y posibles ataques laterales, además de tener un inventario de equipos.
- PAM: Protección y Monitorización de los Administradores ya que son las cuentas más críticas de la compañía.
- INTUNE: Protección MDM para portátiles y móviles.
- EDR-MDR: Protección y envío de telemetría de los endpoints al SOC con procesos y protocolos de respuesta.
- VIRTUAL PATCHING: Monitorización y protección de sistemas Legacy.
- WAF Ampliación: Se amplió con los módulos de ATO y ABP.
- O365 Ampliación: Adquisición de licencias de Seguridad E5, E3 y F1.
… y todo en aproximadamente 24 meses.
¿Qué retos necesitaban cubrir? ¿Ha cubierto sus expectativas?
Bajar los niveles de riesgo, aumentar los niveles de resiliencia, salvaguardar las operaciones, la venta online y proteger a la compañía de posibles ataques, cosa que pasó en marzo de este año y por las medidas tomadas de dicho proyecto el impacto del ataque Ransomware fue mínimo, sin perder venta y, los más importante, no se vieron afectados los datos personales ni los datos de pagos (tarjetas) de nuestros clientes. Se cubrieron las expectativas perfectamente y las herramientas hicieron su función.
¿Qué dificultades se encontraron?
Las dificultades encontradas fueron; retrasos por los tiempos de respuesta de los diferentes proveedores envueltos en los diferentes proyectos, complicaciones en las implementaciones por sistemas y/o procesos y/o protocolos no compatibles.
Piensan desarrollar el proyecto y llevarlo un paso más allá ¿Por qué?
Queremos ampliar el alcance de las herramientas ya existentes porque es necesario tener extender la seguridad lo máximo posible de forma global.
Daniel Puente, CISO de CIRSA
¿Cuál es el proyecto qué más ha impactado en la compañía? ¿En qué ha consistido?
El proyecto que más impacto ha tenido en Cirsa ha sido la integración de los procesos de DAST y SAST (Dinamic and Static Code Analysis). En empresas con un marcado ADN tecnológico, la corrección y eliminación de vulnerabilidades en el desarrollo se convierte en un proceso capital, es por esto que en la compañía se han establecido diversos procedimientos y políticas para llevar a cabo una generación de código segura y limpia.
¿Cuáles han sido los principales retos que se han encontrado durante todo el proceso de desarrollo del proyecto?
En un sector con cada día más presencia online no se puede dejar de lado la corrección y eliminación de vulnerabilidades, y cuando hablamos de ellas, no solo debemos centrarnos en las generadas en el propio proceso de desarrollo, si no también en las que acabamos siendo el sujeto paciente debido a defectos en librerías de terceros. La extendida presencia que tiene la compañía así como los diferentes productos en el mercado también hace que la solución deba ser adaptada por muchos equipos y basados en diferentes lenguajes, lo que suponía un reto para la organización. Esto obligaba a plantear una solución global, basada en metodología, procedimientos y políticas claras, apoyándose en una herramienta líder de mercado, pero sin caer en el error de creer que su implementación era suficiente para considerar que se gestionaba bien el SDLC.
¿Qué ventajas y beneficios han obtenido?
El principal beneficio en este proyecto ha sido el ahorro de costes, y no entendido únicamente como coste económico, si, sobre todo en coste de horas (que acaba derivando también en dinero). Está comprobado y existen numerosos estudios que establecen el ahorro en costes de forma exponencial en función de cuán antes se corrijan estos, por lo que poder hacerlo desde el desarrollo de código supone no ir engordando la factura de remedí acciones e incluso la enorme ventaja de poder detectar antes, corregir antes y en consecuencia, entregar producto antes.
¿Qué pasos les queda por dar en ese proyecto? ¿En cuanto tiempo cree que estará acabado?
La securización del ciclo de vida del desarrollo de software sería de esos proyectos en los que nunca se puede marcar un final. El constante cambio de las herramientas, vulnerabilidades encontradas y defectos en librerías utilizadas hace no que se deba cerrar este episodio en ningún momento.
Mención aparte tendría el establecimiento de las políticas, procedimientos y normas para llevar a cabo este proyecto, el cuál ya está recogido dentro del proyecto e incluso incluido en el SGSI de la compañía.
Iván Sánchez, CISO de BUPA
Explique en qué ha consistido el proyecto
El reto que desde el Grupo Bupa (al que pertenece Sanitas) se nos planteó al equipo del CISO de España era el definir una estrategia y un equipo de Ciberseguridad que diera cobertura a todas las entidades del Grupo en Europa y Latinoamérica, en total 7 países y más de 30.000 empleados. Siguiendo una estrategia basada en los pilares del NIST, se consiguió crear un equipo transversal a todos los países que alcanzó un nivel de madurez muy avanzado. Desde el Grupo Bupa, multinacional británica con presencia en más de 27 países y más de 80.000 empleados, se ha reconocido el trabajo y promocionado al equipo de ciberseguridad, y nombrando a Ivan como CISO Global del Grupo Bupa, siendo el primer español en ocupar dicho puesto.
¿Qué retos necesitaban cubrir? ¿Ha cubierto sus expectativas?
Los retos han estado principalmente en la gestión de un grupo muy heterogéneo de países con estados de madurez inicial muy diferentes, y a los que había que llevar a un estado de madurez homogéneo y avanzado. Sin duda se han cumplido las expectativas tanto a nivel de los países, al alcanzar el nivel de madurez objetivo bajo el framework del NIST, como las expectativas a nivel del Grupo, reconociendo el trabajo y promocionando el equipo de España dentro del Grupo.
¿Qué dificultades se encontraron?
Principalmente el hecho de que no se ha tratado de iniciativas que requerían de habilidades técnicas,sino que eran necesarias habilidades de gestión y comunicación de la estrategia,así como de influencia con los Comités de Dirección para posicionar la Ciberseguridad como parte fundamental de la estrategia del Grupo.
Piensan desarrollar el proyecto y llevarlo un paso más allá ¿Por qué?
Tanto desde Sanitas como desde su matriz, el Grupo Bupa, se ha posicionado la Ciberseguridad como un pilar fundamental dentro de su estrategia Global, por lo que hay planes en marcha para continuar el desarrollo de una función de Ciberseguridad transversal y homogénea en el resto de regiones donde opera el grupo (UK, Australia, Nueva Zelanda, Hong Kong, Emiratos Árabes, India, Egipto, etc)
Ángel Luis Gálvez, Global CISO de Dufry
Explique en qué ha consistido el proyecto
Con la adquisición de Autogrill a nivel mundial por parte de Dufry, se planteó el proyecto global de estandarización de procesos y tecnologías de seguridad para alinear los servicios de seguridad con el nuevo modelo de negocio, la adecuación a legislaciones en 80 países, la estandarización con NIST e ISO27000, asi como la optimización de servicios de seguridad ante el modelo de riesgos de la nueva compañía. La integración de la nueva compania suponía la racionalización de recursos de IT ( Datacenters, entornos Cloud, Multiples SOC, diferentes tecnologías para los mismos servicios, culturas de seguridad diferentes, etc)
¿Qué retos necesitaban cubrir? ¿Ha cubierto sus expectativas?
Cultura de seguridad común en diferentes compañías y países; Racionalización de servicios de seguridad; Muy complejo entorno de gestión y tratamiento de los riesgos; Avance en la seguridad proactiva
¿Qué dificultades se encontraron?
Resistencia al cambio; Entorno tecnológico muy complejo con múltiples centros de datos, entornos Cloud y tecnologías de usuario muy diversas
Piensan desarrollar el proyecto y llevarlo un paso más allá ¿Por qué?
El proyecto comenzó hace poco y está en marcha
María Viader, CISO y DPO de Volkswagen Group
Explique en qué ha consistido el proyecto
Campaña de concienciación de ciberseguridad donde se han realizado distintas actividades durante lo que hemos denominado la Cibersemana. Se ha conseguido batir récord en el nivel de awareness, trabajando en estas actividades:
-Iniciativa lúdica formada por un camión en formato room scape de ciberseguridad donde se ha fomentado el team work y el learing by doing.
– Avatar ciberseguriad que ha estado presente en formato digital en todas las comunicaciones y analógico. Ha sido protagonista del juego “mesas limpias”. Cada vez que un compañero se va de su sitio de trabajo sin bloquear el PC se le ponía el avatar encima y se subía a redes sociales para generar engagement.
– Formaciones con soporte de una presentación y ejercicios de hacking en directo.
– Ataques de vishing pre y post formación a los empleados.
¿Qué retos necesitaban cubrir? ¿Ha cubierto sus expectativas?
El reto principal del proyecto ha sido la necesidad de mejorar el nivel de concienciación sobre ciberseguridad de los empleados de la compañía debido al aumento de ciberataques actuales, teniendo en cuenta que el principal vector de entrada de un ciber atacante a una organización es a través del usuario. Para garantizar el éxito de la Cibersemana, fue clave conocer el nivel de concienciación sobre los distintos pilares tratados en la semana de la ciberseguridad teniendo como punto de partida el estado previo de la formación y su comparativa una vez terminadas todas las actividades. Para ello, se diseñó un escenario controlado donde se lanzaron ataques de vishing a una parte representativa de la compañía. Dichos ataques simulaban la necesidad de que un representante de ServiceDesk actualizara la aplicación de Outlook y, para hacerlo, requería de las credenciales pertinentes (usuario y contraseña). En esta simulación de ataque, se puso realmente a prueba a los distintos empleados mediante técnicas conocidas de necesidad y alerta, y utilizando información de confianza. Asimismo, y en paralelo, se lanzó un cuestionario con preguntas específicas para ver el conocimiento real de los distintos campos. Estas actividades se repitieron una vez finalizada la semana de la ciberseguridad y se pudo comprobar el incremento de conocimiento en los distintos puntos tratados. Por parte de la Oficina de Seguridad de VGED, el proyecto ha sobrepasado nuestras expectativas, tanto en engagement como en niveles de awareness, demostrando, por parte de los empleados de la compañía, un interés relevante y un nivel de satisfacción elevado (4.7/5 en la encuesta de satisfacción específica).
Se han extraído los siguientes KPIs de las actividades realizadas:
Vishing: Nivel de Awarenes inicial: 81% / Nivel de awareness final: 97%
Formaciones: Nivel de Awarenes inicial: 80%/ Nivel de awareness final: 93%
¿Qué dificultades se encontraron?
La dificultad principal encontrada a la hora de desarrollar el proyecto fue asegurar la homogenización entre las complejidades del mundo de la ciberseguridad y el propósito de hacer llegar el mensaje al máximo número de trabajadores posibles. Los hackings en directo y las iniciativas lúdicas han sido clave para ayudarnos a traducir el mensaje y que este sea comprensible para todos los empleados. Desde la oficina de seguridad, se considera la resolución de esta dificultad como principal ya que, al no ser solventada, todas las actividades y desarrollos trabajados no servirían para aumentar el nivel de seguridad de la compañía.
Piensan desarrollar el proyecto y llevarlo un paso más allá ¿Por qué?
Se prevé continuar mejorando el nivel de concienciación de los empleados de la compañía año tras año, focalizando los futuros proyectos de awarness en las nuevas tecnologías, el trabajo en equipo y el aprendizaje continuo. Los empleados somos el eslabón más débil de la cadena de ciberseguridad y por este motivo, desde la Oficina de Seguridad de VGED, vamos a seguir trabajando de forma innovadora para que todos los empleados de la compañía aumenten sus conocimientos sobre ciberseguridad en materia de concienciación y prevención, aumentando día a día estos conocimientos. Nuestro objetivo es extender nuestra Cibersemana al resto de compañías Europeas del Grupo VW.