La ciberseguridad se ha convertido en una de las principales preocupaciones de los departamentos de TI tanto de empresas como de los organismos públicos. Para tratar cuáles son los retos a los que se enfrentan, Byte TI organizó un encuentro, patrocinado por Ivanti, que contó con la participación de Jesús Cano Carrillo, Jefe de la Oficina Ejecutiva de la Guardia Civil; Damián Ruiz Soriano, CISO de SingularBank; Maica Aguilar, gerente de seguridad de Ferrovial; Javier Torres Alonso, CISO de AllFunds Bank; Carlos Castells, CIO de Serban; David Hernán Gallardo, Jefe de Riesgos e Inteligencia de Seguridad de Mapfre; Daniel González, especialista de ciberseguridad de Ivanti; Alejandro Las Heras, CTO y CISO de Grupo Eulen y Enrique Aristi Rodríguez, CISO de UCI
Qué han hecho en el departamento
El encuentro comenzó analizando qué proyectos se habían realizado en materia de ciberseguridad. En este sentido, David Hernán Gallardo, Jefe de Riesgos e Inteligencia de Seguridad de Mapfre, afirmó que “en Mapfre venimos recorriendo un camino que se vio acelerado en 2020 con el ciberataque que sufrimos y que nos permitió llevar a cabo una serie de proyectos que teníamos en mente. Fuimos una de las primeras empresas en tener un CERT (Equipo de Respuesta ante Emergencias Informáticas) y en 2011, cuando teníamos una madurez importante, ingresamos en el Foro First, que es la principal organización mundial que fomenta la respuesta de forma coordinada y colaborativa a incidentes de seguridad y promueve acciones de prevención. A partir de ese momento empezamos a desarrollar numerosos proyectos para aumentar nuestras ciberresilencia. Uno de ellos es que el CERT pasó de ser algo reactivo a proactivo y con ello, empezamos a transformar la plataforma moviéndonos al cloud lo que nos permite atacar el siguiente proyecto que es establecer un modelo global de ciberseguridad de tal forma que un solo equipo gestione toda la plataforma de ciberseguridad. Para dentro de un año estaremos en un 90%-95% en cloud”.
Y es que, los riegos a los que se enfrenta en la actualidad cualquier organización son cada vez más numerosos y sofisticados. En este sentido, Daniel González, especialista de ciberseguridad de Ivanti, cree que “uno de los mayores retos a los que se enfrentan las organizaciones es la complejidad de estar al día dada la velocidad a la que evolucionan las vulnerabilidades y la dificultad de gestionar todas las soluciones y plataformas. Las empresas necesitan plataformas de hiperautomatización para poder gestionar esa complejidad independientemente de la plataforma sobre la que trabajen. Ivanti ha ido creciendo y ha ido comprando compañías para adoptar esta estrategia que se resumen en nuestra plataforma Ivanti Neurons. Nuestro objetivo es ser el Microsoft o el IBM de la ciberseguridad. Nuestro ADN es integrarse con absolutamente todo”.
Alejandro Las Heras, CTO y CISO de Grupo Eulen, afirmó que en su compañía, “seguimos con la hoja de ruta que teníamos planteada. Sobre todo nos enfocamos en movernos más rápido, por lo que hay que introducir nuevas tecnologías, cambiar modelo de trabajo y contratar más personal. Nuestra decisión principal es mejorar aquello que ya teníamos y por ello seguimos haciendo foco en el ransomware para bloquearlo y evitar que entre. Adicionalmente trabajamos con todos los temas de encriptación para que el SOC sea mucho más rápido porque la velocidad para detectar y corregir es lo más importante. Asimismo, estamos trabajando en que no se pierda la parte de la cultura de la ciberseguridad y también nos estamos enfocando en adaptarnos a la nueva legislación de cumplimiento que pueda venir”.
Para Enrique Aristi Rodríguez, CISO de UCI, “el incremento de los ciberataques y su sofisticación ha provocado que nos replanteemos la estrategia de ciberseguridad. Hemos realizado un reajuste estratégico: tenemos un entorno en el que era difícil gestionar las vulnerabilidades y hemos conseguido hacerlo eficientemente, alcanzando un perfil de vulnerabilidad dentro de los niveles aceptables. Tenemos un nivel de seguridad interno bueno, basado en la gestión de activos y podemos bastionar las líneas de defensa de forma efectiva. Así que nos faltaba saber cuál era el perfil de amenaza y empezamos a incorporar capacidades en Ciberinteligencia, para adoptar un enfoque más proactivo en torno a la CYBER KILL CHAIN y MITRE. Uno de nuestros grandes hitos es que hemos sido capaces de extender la ciberseguridad interna a los clientes, lo que significa que somos capaces de satisfacer las expectativas de nuestros stakeholders de manera más holística y eficiente”.
Protección de datos
Jesús Cano Carrillo, debutaba en el encuentro como Jefe de la Oficina Ejecutiva de la Guardia Civil, por lo que comentó qué es lo que se había realizado bajo su responsabilidad anterior como Director de TI del Tribunal Constitucional: “La idea general ha sido mejorar el contexto estratégico existente para garantizar la seguridad en la transición hacia una Justicia Constitucional Digital. Se ha realizado una auditoría para ajustarnos a la nueva realidad que nos impone el RGPD y la LOPD, de ahí hemos revisado nuestro RAT (Registro de Actividades de Tratamiento) y el Presidente aprobó una Política de Seguridad de la Información (PSI), primer compromiso al más alto nivel con la gestión de la ciberseguridad. Además, hemos diseñado un plan para cumplir el nuevo ENS (Esquema Nacional de Seguridad) y colaboramos con el subcomité de ciberseguridad del CTEAJE (Comité Técnico Estatal de la Administración de Justicia) junto con el Centro Criptológico Nacional, que busca armonizar las medidas de seguridad del sistema de justicia electrónica entre todos los actores que participan en esta materia. En otro orden de cosas también hemos ampliado las medidas físicas, con un nuevo sistema de control de accesos a las zonas restringidas, entre ellas el Centro de Proceso de Datos, la Sala de Comunicaciones, el Centro de Backups y el Centro de Contingencia de Respaldo. Y en lo que respecta a niveles técnicos, se ha ampliado la respuesta y detección ante ataques sofisticados, con soluciones del mercado basadas en IA, que analizan el comportamiento. Lo hemos extendido a todos los equipos remotos y de teletrabajo”.
Damián Ruiz Soriano, CISO de SingularBank explicó que “desde hace tres años el Plan Director de Ciberseguridad SingularBank es anual porque el escenario de amenazas cambia en sus formas de tácticas y técnicas y ello nos empuja a una revisión y mejoras de nuestros esquemas de Protección, Detección y Respuesta constante con proyectos y presupuestos que deben estar en un marco anual. La gran ventaja es que se trata de planes muy simplificados, dinámicos, afinados y tácticos muy dirigidos al Comité de Dirección. Nuestras dos preocupaciones (y ocupaciones) actuales son las amenazas dirigidas (APT, Advanced Persistent Threat) y la Ciberseguridad en Fraude Digital que tiene un ecosistema “diferente” a la tradicional de Defensa Digital que es la comúnmente conocida. Uno de nuestros objetivos es lo que denominamos KYC2 (Know Your Customer Cibersecurity), tratar de conocer la seguridad del cliente para mejorar proactivamente la detección de fraude mediante técnicas cero intrusivas, acordes a normativas y basadas en IA. Porque una preocupación van a ser las oleadas de troyanos bancarios que ya tienen éxito en Latinoamérica y que es previsible que también lleguen a España”.
En el caso de Ferrovial, los planes son a tres años, aunque como asegura Maica Aguilar, gerente de seguridad de la compañía, “realizamos revisiones periódicas para tener en cuenta las nuevas amenazas. Nosotros nos basamos en un modelo zero-trust principalmente en cloud y también en la protección del dato. Nuestra realidad ha cambiado mucho así como las amenazas. Un aspecto muy importante en el que también trabajamos en la parte de concienciación porque el usuario es uno de los puntos más fáciles de atacar y aquí la tecnología no llega”.
afirmó que “contamos con planes a tres años. El último que hicimos era para ganar un nivel de madurez muy alto: implementamos diferentes estrategias: identificación, detección, gestión de activos e implementamos un SOC muy potente. En lo que se refiere a la parte de protección hicimos mucho énfasis en la protección de los endpoints y en la gestión de la identidad. Creio que ahora viene algo nuevo y muy potente que va a ser mezclar la IA con la computación cuántica. De aquí a dos años creemos que la computación cuántica va a cambiar todas las estrategias de seguridad y debemos estar preparados para protegernos de un ataque con computación cuántica”.
Finalmente, Carlos Castells, CIO de Serban, aseguró que “nosotros empezamos la nueva estrategia de ciberseguridad hace tres años pero hemos adquirido compañías en Latinoamérica y un reto ha sido proteger estas nuevas adquisiciones. Por ello, hemos establecido un nuevo modelo de seguridad. Estamos en un punto en que la estrategia zero-trust “perjudica” a la parte de infraestructuras pero es fundamental para predecir los ciberataques y avanzar en la detección de los nuevos riesgos, sobre todo en los ciberataques dirigidos”.
Negocio y ciberseguridad
Uno de los retos que tienen los departamentos de ciberseguridad es hacer ver a la dirección la importancia de tener una estrategia bien definida y contar con las herramientas adecuadas de protección. La realidad es que ahora, el comité de dirección es mucho más receptivo. Para David Hernán Gallardo, “desde que irrumpió wannacry todo ha cambiado. Fue un acelerador para que negocio se diera cuenta de la importancia que tiene la ciberseguridad. Desde entonces la alta dirección se toma el tema de la ciberseguridad como algo muy importante que puede afectar a negocio”.
Finalmente se trató el apartado de la gestión de accesos dado que éstos suelen ser una de las principales vías de entrada de los ciberdelincuentes. La biometría parece que va a ser una de las principales tendencias, no sólo por la seguridad que ofrece, sino por la comodidad que supone para el usuario. En este sentido, el CISO de AllFunds Bank, afirmó que “nosotros tenemos medidas de acceso biométricas en muchos de nuestros dispositivos. Creo que al empleado le facilita la forma de autenticarse y a nosotros nos da la seguridad de que la persona que accede es la que dice ser. La biometría es muy buena porque supone un triple factor de autenticación”.
Maica Aguilar, gerente de seguridad de Ferrovial, cree que es cierto que la biometría proporciona unas ventajas de las que otras tecnologías de acceso carecen. En su opinión “si la biometría no está más implantada es porque las autoridades de control están poniendo impedimentos. La realidad es que algunos miembros de las empresas se muestran contrarios a implementar sistemas biométricos”.
Si en la empresa privada, ya es complicado convencer a algunos directivos de la importancia de implementar las tecnologías biométricas, en la Administración Pública es todavía más complejo, porque como afirmó Jesús Cano, “se trata de un método más intrusivo, pero para convencer es necesario transmitir las ventajas que tiene ese método y ver cuál es la mejor opción. Por ejemplo, en el caso del TC, la gente era reacia a poner la huella y sin embargo, el reconocimiento facial funcionó muy bien”.
