La ciberseguridad es uno de los pilares sobre los que se sustenta la digitalización de las empresas. Para hablar sobre cuáles son los principales retos a los que se enfrentan los CIOs y los CISOs, Byte TI, junto a Sophos y Kyocera, organizó un encuentro que contó con la participación de Javier Paniagua. CIO y director de sistemas de Risi; Carolina de Oro, CIO de AXA; Álvaro Fernández, Sales Manager Iberia de Sophos; Daniel Damas, Head of IT Assurance de Nationale Nederlanden; Joan Barceló, CIO y director de sistemas de W2M; José Manuel Casillas, CIO y director de sistemas de LLYC; Javier Torres, CISO de Allfunds Bank; Manuel Serrano, CISO de Atresmedia; José Aznar Laguna, Business Development Manager de Kyocera y Óscar Monrío, director de tecnología y transformación digital de CHC Energía.
El encuentro comenzó analizando las acciones que han realizado en el último año los departamentos de ciberseguridad para mejorar su protección. En este sentido, Joan Barceló, CIO y director de sistemas de W2M, aseguró que en su caso se han centrado “en hacer un ejercicio de evangelización en materia de seguridad de la información porque muchas veces nos quedamos solo en la parte ciber, pero realmente, dentro de las grandes organizaciones hay muchos procesos que no son únicamente ciber, sino que también son de seguridad de información. En esta parte de evangelización nos hemos centrado sobre todo en el personal interno de la compañía y también hemos realizado un trabajo importante con los diferentes partners y proveedores para asegurar que siguen las líneas que nosotros estamos marcando”.
Por su parte, Manuel Serrano, CISO de Atresmedia, se centró en la idiosincrasia de la compañía para explicar cuál es la estrategia de ciberseguridad: “Nosotros no somos una empresa al uso como las presentes. Somos un medio de comunicación y por tanto, hablar de ciberseguridad en Atresmedia, un grupo que opera en televisión, prensa, radio, cine, incluso hasta en una funeraria,supone dar una cobertura total y diferente a todas esas patas. Así que, primero, nos hemos centrado en crear conciencia, porque a nosotros nos afecta todo y estamos muy expuestos: tenemos que proteger a un reportero que cubre una guerra o defendernos de una posible intrusión, por ejemplo. Nos hemos tenido que adaptar no solamente a lo que se adapta cualquier empresa como protección, ciberataque, concienciación o formación, sino nos hemos tenido que adaptar a que toda la producción tiene que estar orientada en torno a la seguridad. Tenemos una estrategia de ciberseguridad, muy extensa, complicada y atípica”.
Javier Paniagua. CIO y director de sistemas de RISI, explicó que además de sus funciones como CIO, presta especial importancia al apartado de la ciberseguridad: “Es un tema que me preocupa mucho. Afortunadamente, la dirección de la compañía está muy concienciada con este tema y esto es algo que ayuda mucho porque, muchas veces cuesta conseguir fondos para ciertas cosas, porque la cúpula directiva no entiendo de qué se les está hablando y no consiguen comprender el beneficio de una determinada inversión. Esto, en mi caso no ocurre. Nosotros estamos haciendo muchas cosas. Tenemos un plan director que revisamos cada dos años y aunque no tenemos el nivel de madurez que a mí me gustaría, creo que hemos alcanzado un punto bastante razonable para el tamaño y dimensión de compañía que somos. Creo que lo importante en cualquier estrategia de ciberseguridad es tener las capacidades de inversión acotadas al tipo de compañía que se tiene y hacer todo lo que se pueda hacer sabiendo que no eres indemne a sufrir un ciberataque”.
Carolina de Oro, CIO de AXA detalló que en su compañía “tenemos equipos de ciberseguridad amplios y además estructurados entre lo que es una segunda línea de defensa que nos ayuda a garantizar el assurance y lo que estamos haciendo desde la operativa del día a día de la ciberseguridad, que se realiza desde los equipos de tecnología. Y luego, además, estamos en un entorno internacional en el que tenemos todo el equipo de estrategia de ciberseguridad, el SOC y muchas otras herramientas globales para asegurar que tenemos unos estándares altos en todo el grupo”.
Por su parte, Daniel Damas, Head of IT Assurance de Nationale-Nederlanden, cree que “en ciberseguridad siempre se habla de términos muy mediáticos como security by design que son teoría, pero ¿cómo se llevan a la práctica? Hace cuatro años, nosotros arrancamos con el proyecto de cambiar nuestra forma de trabajar a agile y somos una compañía que vendemos pólizas. Así que en este caso, ¿qué es más prioritario? ¿Sacar productos rápido o tener una seguridad al 100%? Nosotros hemos cogido a la gente que diseña los pipeline, al personal de QA que tiene mucha relación con la parte de calidad y a las personas de seguridad y hemos hecho un solo departamento para hacer sinergia entre esos tres grupos. Con ello, hemos conseguido que sin entorpecer a nadie, los developers se autosirvan de infraestructura que ya viene security by design. Con ello, hemos logrado una velocidad enorme en el tema de despliegue, donde nosotros nos metemos ya si vemos que algo se desvía”.
Los retos de las empresas
Lo que quedó claro es que cada empresa tiene definida una estrategia propia en la que dependiendo en el sector en el que operen se enfrentan a unos riesgos o a otros. Para Álvaro Fernández, Sales Manager Iberia de Sophos, “ la realidad es que el número de ciberataques está en aumento y la superficie a proteger también es mayor. Ante todo esto, yo creo que hay tres problemas importantes. Uno de ellos es el de la escasez de personas especialistas en ciberseguridad. Hay estudios que aseguran que a nivel mundial faltan 3,4 millones de especialistas. En España, la cifra se situa entre las 50.000 y las 80.000. El segundo reto son los tiempos de respuesta que las organizaciones pueden dar a las amenazas. Según Gartner, la media se sitúa en las 16 horas que es un tiempo muy alto para lo rápidos y certeros que son los atacantes. Y el tercer reto es el nivel de alertas. Cada vez hay más y esto provoca que para los equipos de seguridad sea cada vez más complejo saber dónde tienen que investigar, qué es lo que tienen que investigar o cómo tienen que investigar”.
Inteligencia Artificial
La inteligencia artificial va a impactar directamente en las estrategias de ciberseguridad. ¿Qué ventajas se pueden obtener de ella? Para José Manuel Casillas, CIO y director de sistemas de LLYC, “el tener una capacidad de analizar una cantidad ingente de datos es fundamental. Seguramente las herramientas de IA van a acelerar los incidentes que puedan producirse. Nosotros estamos mucho en el mundo de la IA. Al final creo que el principal objetivo va a ser el de convencer a la cúpula directiva de que usar esta tecnología es bueno para la ciberseguridad. Creo que es una herramienta muy potente para ayudar en este camino y también veo que la formación va por detrás de los avances”.
Por su parte, Óscar Monrío, director de tecnología y transformación digital de CHC Energía, considera que “lo que estamos viendo en estos momentos es algo más relacionado con el marketing. La Inteligencia Artificial lleva bastante tiempo existiendo, el Machine Learning existe desde hace unos ocho años y la inteligencia artificial para la seguridad también se está trabajando desde hace tiempo. Luego está la parte de formación que es muy importante en este caso. La empresa que sea capaz de entender que procesos hace una persona y que en base a eso sea capaz de hacer pruebas que exponga el nivel de riesgo que tiene una persona con respecto a un proceso tendrá mucho ganado. Al final se pone mucho foco en la seguridad y tenemos el problema de las redes cuando lo importante es entender la criticidad de los procesos”.
En ciberseguridad siempre se habla de términos muy mediáticos como security by design que son teoría
Por su parte, Javier Torres, CISO de Allfunds, afirmó que “nosotros hemos desarrollado servicios de ciberinteligencia. Desde el primer minuto pensamos que era un tema que había que hacer. Tenemos 15-16 personas a los que se nos monitoriza todo lo que hacemos en RRSS, todos los movimientos que puedo llegar a hacer, incluso en mi correo personal. La única forma de evitar la desinformación es tener unos buenos servicios de ciberinteligencia. Por ejemplo al CEO nosotros le obligamos a que tenga su firma comercial y su firma personal para que nosotros sepamos cuándo una cosa es personal y otra profesional. En los últimos tres años hemos detectado webs fraudulentas, la web colgada en diferentes dominios… y todo ello gracias a ese servicio de ciberinteligencia”.
La nube en la estrategia de ciberseguridad
Finalmente, se trató el apartado de la seguridad en los entornos cloud. Para Carolina de Oro, “la nube no es más ni menos segura per se. Nosotros tenemos muchas cargas en diferentes nubes y de diferentes maneras y hemos hecho un movimiento muy importante hacia allí. La nube te da muchas herramientas, pero en si misma puede ser un facilitador si tu tienes una estrategia previa de seguridad. Luego están los entornos híbridos con los que también hay que tener cuidado. Y además, está la estrategia de reversibilidad a medio largo plazo, algo que no ocurría con el on-premise. En definitiva, con la nube aparecen otros aspectos que hay que tener en cuenta. Evidentemente, ir a la nube sí que te da una serie de mecanismos que te facilitan la seguridad, pero también trae consigo otra serie de riesgos que tienes que tener en cuenta”.
Por último, José Aznar Laguna, Business Development Manager de Kyocera, afirmó que “la venta de productos/soluciones sin un servicio robusto aparejado va a tender a minimizarse”. Esta multinacional nipona cuenta en la actualidad con una amplia gama de servicios alrededor de tres áreas como son la automatización de procesos, el desarrollo y la continuidad de negocio. En todas estas áreas el enfoque de seguridad es clave. Tal y como expuso Aznar Laguna, “para los servicios actuales la nube es un elemento clave a la hora de diseñar estrategias, y tiene cada vez más sentido desde un punto de vista de escalabilidad y seguridad”.
