La ciberseguridad es y seguirá siendo uno de los principales retos a los que se enfrentan las empresas. Para tratar cuáles son las principales ciberamenazas y la manera de afrontarlas, Byte TI organizó, junto con HP, un encuentro que contó con la participación de Andrés Prado, director TIC de la UCLM; Eusebio Yribarren, CIO de QDQ Media; Gerardo González, Cluster Head of IDT de BAT; Luis Martínez, CISO de Fraternidad; Carlos Manero, responsable de servicios digitales y seguridad de HP; Manuel Barrios, IT Manager Iberia de Keuhne + Nagel; Ana Lucía Lorenzo, Sales Manager- Corporate Accounts & Services Iberia de HP; Juan López, Director IT – CIO de Casino Gran Madrid; Manuel Pedrosa, Responsable de Sistemas y Seguridad de ST Idea; Javier Torres, CISO de Allfunds; Juan Pablo Navarro, CISO de Sopra Steria; Alberto López, VP Financial Crime & Crypto Solutions de Mastercard; Alejandro Curto, Iberia Cibersecurity Sales Manager de HP; Rubén Ortega, IT Security Manager de Clínica UNAV; Josep Bardalló, CISO y DPO de Recoletas Salud; José Miguel Parejo, IT Security and Network Manager de Gestamp
El encuentro comenzó analizando cuáles son las principales amenazas a las que se enfrentan las compañías. Para José Miguel Parejo, IT Security and Network Manager de Gestamp, “depende del sector. En mi caso, en el sector de la automoción, el ransomware y la IA son unas de las principales amenazas. El apartado de la inteligencia artificial me recuerda a los inicios de la nube. Con la IA podemos repartir la misma escena que en aquel entonces que se produjeron muchos ataques por malas configuraciones. Otro tema es el tema de los insiders, muchas veces se intenta llegar a los ataques a través de los empleados por lo que las estrategias zero-trust son fundamentales para intentar evitarlos. La parte cuántica todavía no es un punto en el que hay que invertir mucho, pero sí es conveniente empezar a tenerla en el radar. Por otra parte, nuestros clientes están poniendo mucho foco en los ataques de la cadena de suministro”.
Para Gerardo González, Cluster Head of IDT de BAT, “el tema es cada vez más complejo y no sólo es el mero tópico del departamento IT. Uno de los problemas es cuando tienes personas descontentas en la organización a los que hay que formarles para que tengan un sentimiento de pertenencia y tengan los mismos intereses de la organización. El eslabón más débil es la persona por lo que alguien descontento es un elemento negativo para la seguridad. El tema de ciberseguridad no es sólo algo que afecte a IT sino que va más allá”.
En el caso de Rubén Ortega, IT Security Manager de Clínica UNAV, “manejamos datos comprometedores y sensibles. Hay que darle la importancia al usuario para que deje de ser el eslabón más débil y sea el más fuerte, porque si usan unas buenas prácticas van a estar más seguros. Esto lo intentamos llevar también a la vida privada, porque con el riesgo personal es cuando realmente ven cuál es el problema. La batalla principal va a estar siempre centrada en el usuario.”
Pero dado que el usuario sigue siendo el principal vector de ataque, la inteligencia artificial puede provocar que los riesgos sean mayores. Tal y como explicó Eusebio Yribarren, CIO de QDQ Media, “ahora los ataques que entran por los usuarios son muy burdos, pero con el uso de la IA, que puede clonar el comportamiento de alguien, las ciberamenazas se van a volver más peligrosas porque un empleado no va a poder distinguir si es un bot o una persona”.
Javier Torres, CISO de Allfunds, se mostró de acuerdo en esta evolución. En su opinión, “la ingeniería social está subiendo, con lo que las nuevas amenazas ya se están materializando. El trabajo híbrido, también influye porque vía deep-fake se pueden introducir en grandes corporaciones y ejecutar sus amenazas desde la propia organización haciéndose pasar por alguien de la propia compañía”.
HP lleva varios años centrándose en la ciberseguridad para proteger todo el equipamiento que fabrica
Para Luis Martínez, CISO de Fraternidad, “la clave es que hay que pasar de un enfoque de concienciar al empleado a un enfoque de culturizarlo. ¿Quién asegura que un usuario no está utilizando las mismas credenciales corporativas para un determinado marketplace y realizar sus compras personales? Cuando haces una simulación de un phishing te llevas unas sorpresas muy importantes”.
Las mismas amenazas
Juan Pablo Navarro, CISO de Sopra Steria, consideró que “las amenazas son las mismas de siempre, con la diferencia de que ahora son más sofisticadas. Ahora el phishing ya es de verdad y si se hace bien, un phishing es más complicado detectarlo. Con la IA, el propio ransomware aprende a moverse dentro de la red. Los deep-fake son cada vez mas realidad. Ha habido casos en los que se reúne un comité de dirección y sólo una de las personas era real. Esto ha ocurrido en Japón. Ahora todos estamos en modos cloud y tenemos poca gente formada en seguridad cloud. Y luego está el IoT. Cada vez tenemos más dispositivos en las redes y no estamos poniendo foco en ellos, y aquí hay que implementar el Zero-Trust”.
Alberto López, VP Financial Crime & Crypto Solutions de Mastercard, cree que “no sólo hace falta formar sino que ha de haber consecuencias. En mi empresa nos obligan a tener una política de seguridad concreta y tenemos sanciones muy alta. Uno de cada 10 europeos ha sufrido un robo de identidad en cada una de sus variedades y esto es algo que va a crecer todavía más y es uno de los grandes retos que tenemos porque pueden entrar en las aplicaciones personales del usuario y también en la parte corporativa. Creo que es importante igualar las políticas que aplicamos en el mundo físico al mundo digital”.
Ante todas estas amenazas, Carlos Manero, responsable de servicios digitales y seguridad de HP, mostró qué amenazas siguen teniendo un gran protagonismo. En su opinión, “lo que nos dicen todos los datos es que la tecnología nos permite minimizar los riesgos, pero el usuario por mucho que lo entrenemos siempre va a ser un usuario y puede fallar. Hay mucho phishing y al final lo que busca el atacante es minimizar los gastos y por eso el phishing es el ataque más habitual porque saben que las personas siguen cayendo en él”.
Robo de identidad
El robo de identidad es uno de los ciberataques más importantes. De hecho, y tal y como explicó Javier Torres, “estamos hablando todos de lo mismo que es el dato y la identidad. Al final, esto trata de proteger a las personas y nosotros creemos que hay que centrarse en que la identidad digital de las personas esté muy controlada”.
Para Alberto López, “cuando alguien roba una identidad el problema se produce cuando convencen al usuario para que haga lo que quiere el ciberatacante. Nosotros estamos trabajando con la biometría del comportamiento, de tal forma que, por ejemplo, cada persona tiene una manera única de introducir la password. Y esto no se puede clonar. Pero el problema aparece si el ciberdelincuente llama y convence al usuario para que teclee él mismo las claves”
Alejandro Curto, Iberia Cibersecurity Sales Manager de HP, cree que “es verdad que hay que concienciar a la gente en su vida normal. Si a alguien le preocupa que le roben su identidad de Instagram al final acabará teniendo una conciencia de seguridad en su vida corporativa, porque ya la está aplicando en su vida privada. El problema es que cuando se hace una campaña de concienciación, el usuario lo ve como un beneficio más para la empresa que para ellos”.
Para Andrés Prado, director TIC de la UCLM, “es un problema social más que del sistema educativo. La gente es nativa digital que no quiere decir que controlen las tecnologías. En las universidades, la identidad empieza a adquirir una relevancia importante entre los alumnos”
Normativas
El apartado de las distintas normativas también es un apartado muy importante. El caso de la NIS2 es paradigmático, puesto que a pesar de la importancia creciente, todavía no se ha transpuesto la directiva europea a la legislación española. En este sentido, Manuel Barrios, IT Manager Iberia de Keuhne + Nagel “cumplir una directiva es esencial no solo para evitar sanciones. El problema es que al no estar hecha la transposición no sabes en qué te va a afectar. En nuestro caso hemos optado por adaptarnos a la ISO-27001 antes de que aparezca la NIS2. Se rumorea que va a ser una mezcla entre la 27001 y el Esquema Nacional de Seguridad”
Para Javier Torres, “en general, todo el mundo está más preocupado por DORA que por NIS2. DORA entra en vigor el 17 de enero y hay muchas cosas que no se han ejecutado. Una vez que todos nos adaptemos a DORA, creo que NIS2 va a ser fácil de aplicar. Lo que falta es saber cuál es el ámbito de aplicación y esto es algo que es preocupante”.
Manuel Pedrosa, Responsable de Sistemas y Seguridad de ST Idea afirmó que “en nuestro caso no sabemos si nos aplica o no. Si trabajas con el sector financiero, ves que tienes que pasar una auditoría para cumplir con los requisitos de seguridad por lo que te aplique o no aplique tienes que entrar en NIS2. Además tienes que transmitir el pliego también y auditar a todas las empresas y proveedores con los que trabajas”.
Para Juan López, Director IT – CIO de Casino Gran Madrid, “el problema es que los proveedores son casi un monopolio, por lo que te tienes que adaptar a los que te exigen ellos. Son sistemas que ellos montan e implementan. Es difícil pero es una gestión que tienes que llevar a cabo. En general el trabajo es perseguirles y que cumplan un mínimo de cosas en el caso de los proveedores pequeños. Es verdad que aquí el regulador nos ayuda y aunque no nos afecta NIS2, si sería bueno que la adoptáramos para mejorar la seguridad”
Adoptar zero-trust
Desde hace unos años, en las empresas se está imponiendo la adopción de una estrategia zero-trust. No confiar en nadie parece la mejor medicina preventiva. En este sentido, las empresas se encuentran con dificultades para incorporar zero-trust. Tal y como opinó Eusebio Yribarren, CIO de QDQ Media, “las barreras fundamentales para implementar esta estrategia son económicas. Es una estrategia muy cara de implementar. Cuando ve los números el departamento financiero te frena muchos detalles, porque cree que el coste es muy elevado.
Por qué HP
A pesar de ser conocido como uno de los principales fabricantes de hardware del mundo, la multinacional norteamericana lleva varios años centrándose en la ciberseguridad para proteger todo el equipamiento que fabrica. Tal y como explicó Carlos Manero, “desde hace cinco años estamos muy enfocados en la seguridad del puesto de trabajo. Creemos que esto debe ser estratégico. Cuando hablamos de puesto de trabajo seguro queremos ser la marca referente. Todos nuestros dispositivos queremos que sean los más seguros y esto lo llevamos tanto al ámbito de consumo como al profesional. Nuestros equipos incorporan multitud de soluciones de seguridad. Por ejemplo, nadie tiene en cuenta la seguridad de la BIOs, tampoco ponen foco la seguridad de las impresoras. Nosotros protegemos todo ello”.
