Un sector como el del juego necesita quizá de una ciberseguridad mucho mayor que la de otros sectores. Gestionan datos sensibles y tienen que cumplir con una legislación casi exclusiva. Hablamos con Daniel Puente, CISO de Cirsa, sobre los proyectos de ciberseguridad en los que está inmersa la compañía.
Entrevista con Daniel Puente, CISO de Cirsa
¿A qué están dedicando en la actualidad la parte principal del presupuesto de ciberseguridad de Cirsa?
En la actualidad cuando analizamos un presupuesto podemos ver como éste es muy heterogéneo. Lógicamente gran parte de este se dedica al EDR básicamente por el gran parque que tenemos en la compañía, pero si lo exceptuamos, podríamos establecer que el proyecto en el que más presupuesto se invierte es la securización del SDLC (Software Development Life Cycle) en todas sus etapas.
¿En qué área se está invirtiendo más este año?
Dejando de lado los proyectos que afectan a todas las áreas, como podría ser la eliminación del perímetro y cambio en el paradigma de la seguridad, si elegimos un área que más inversión esté recibiendo en la compañía señalaríamos al área de desarrollo de software.
¿Cuál es el proyecto qué más ha impactado en la compañía? ¿En qué ha consistido?
El proyecto que más impacto ha tenido en la compañía ha sido la integración de los procesos de DAST y SAST (Dinamic and Static Code Analysis). En empresas con un marcado ADN tecnológico, la corrección y eliminación de vulnerabilidades en el desarrollo se convierte en un proceso capital, es por esto que en la compañía se han establecido diversos procedimientos y políticas para llevar a cabo una generación de código segura y limpia.
¿Cuáles han sido los principales retos que se han encontrado durante todo el proceso de desarrollo del proyecto?
En un sector con cada día más presencia online no se puede dejar de lado la corrección y eliminación de vulnerabilidades, y cuando hablamos de ellas, no solo debemos centrarnos en las generadas en el propio proceso de desarrollo, si no también en las que acabamos siendo el sujeto paciente debido a defectos en librerías de terceros. La extendida presencia que tiene la compañía así como los diferentes productos en el mercado también hace que la solución deba ser adaptada por muchos equipos y basados en diferentes lenguajes, lo que suponía un reto para la organización. Esto obligaba a plantear una solución global, basada en metodología, procedimientos y políticas claras, apoyándose en una herramienta líder de mercado, pero sin caer en el error de creer que su implementación era suficiente para considerar que se gestionaba bien el SDLC.
¿Qué ventajas y beneficios han obtenido?
El principal beneficio en este proyecto para Cirsa ha sido el ahorro de costes, y no entendido únicamente como coste económico, si, sobre todo en coste de horas (que acaba derivando también en dinero). Está comprobado y existen numerosos estudios que establecen el ahorro en costes de forma exponencial en función de cuán antes se corrijan estos, por lo que poder hacerlo desde el desarrollo de código supone no ir engordando la factura de remedí acciones e incluso la enorme ventaja de poder detectar antes, corregir antes y en consecuencia, entregar producto antes.
¿Qué pasos les queda por dar en ese proyecto? ¿En cuanto tiempo cree que estará acabado?
La securización del ciclo de vida del desarrollo de software sería de esos proyectos en los que nunca se puede marcar un final. El constante cambio de las herramientas, vulnerabilidades encontradas y defectos en librerías utilizadas hace no que se deba cerrar este episodio en ningún momento. Mención aparte tendría el establecimiento de las políticas, procedimientos y normas para llevar a cabo este proyecto, el cuál ya está recogido dentro del proyecto e incluso incluido en el SGSI de la compañía.
¿Qué tendencias principales observa en el mundo de la ciberseguridad?
Pese a haber tenido durante mucho tiempo la amenaza de la inminente llegada de la Inteligencia Artificial, este año podría ser el de su materialización, desde ataques de suplantación de identidad tremendamente trabajados, imitando la voz del supuesto emisor, así como la imagen también, a herramientas utilizadas por los cibercriminales basadas y trabajadas por inteligencias artificiales, las cuales dotarán todos estos procesos de mayor rapidez, adaptabilidad y persistencia.
¿Cree que uno de los principales retos es el trabajo conjunto con Negocio? ¿Entiende la dirección la importancia de la ciberseguridad?
Lo creo un reto y una necesidad. Negocio y ciberseguridad siempre deben ir de la mano, no tendremos un negocio próspero sin ciberseguridad, ni desde nuestra área podremos trabajar de una forma eficiente sin la visión del propio Negocio. En muchas ocasiones este trabajo conjunto fructifica en nuevas estrategias debiendo al conocimiento mutuo que se obtiene con estas sinergias, y es que muchas veces desde Ciberseguridad no somos capaces de ver donde Negocio quiero poner el acento y por qué, y desde Negocio no son capaces de entender nuestro rol y el por qué de algunas decisiones.
Personalmente considero que el escenario ha cambiado de unos años aquí, y no existe ya consejo de dirección que no tengo una seria preocupación por la ciberseguridad. Y en esto han participado muchos actores, desde los propios departamentos de ciberseguridad demostrando el trabajo que se realiza y por qué, como terceros interesados, llámense compañías de rating, seguros, bancos, auditoras, etcétera, donde gran parte de sus entregables y de exigencias tienen una componente cada año más importante relativa a la ciberseguridad.
Trabajan con datos muy sensibles de clientes. ¿La seguridad y privacidad de los datos de clientes se cómo se deben proteger ?
La protección de los datos de cliente siempre tiene un enfoque variado, y es que no podemos centrarnos en una única aproximación. Por parte de Cirsa, esa seguridad viene dada desde el mismo momento que se recaban esos datos, proporcionando unos canales seguros para la introducción, así como una protección en los propios almacenamientos de esos datos. No debemos olvidar nunca las premisas de la seguridad por diseño y por defecto, y establecer la política acorde a ellas. Además contemplaremos siempre la seguridad de los datos tanto en almacenamiento como en transporte, dotando además a los equipos de desarrollo de juegos de pruebas totalmente anonimizados para poder asegurar que no se utilizan nunca datos reales.
Por otro lado, el control de accesos es un paso clave en el sector, y es por esto que se establecen políticas y procedimientos detallados y exhaustivos, tanto en el mundo online como en el presencial. Además a estos controles se incorporan listados de personas de organismos competentes para poder enriquecer el procedimiento y no dar lugar a error alguno en un proceso que se trata con la mayor delicadeza en la organización.
