La seguridad TI ya no es un coto de expertos, es un tema que involucra a todos los profesionales y que requiere estar alerta y tomar las medidas necesarias para no sufrir los efectos del malware. En el encuentro organizado por Computing, con Kaspersky Lab y Panda Security como colaboradores de excepción, un nutrido grupo de directivos tuvo ocasión de plasmar sus estrategias y experiencias en torno a este ámbito tan delicado para la integridad de la información de las empresas. Deepak Daswani, responsable del Departamento de Operaciones de Inteco, fue el encargado de dibujar un escenario que ha sido llevado al primer plano por los medios de comunicación. “Somos conscientes de los riesgos, hay ejemplos como el caso Careto, o fallos informáticos que bloquean la gestión de citas en centros de salud y los creadores malware buscan el lucro económico a través de la extorsión y el robo de datos”.
En su opinión, “las vías de contagio se amplían, somos vulnerables y hay que balancear el conflicto entre seguridad y funcionalidad. El cibercrimen tiene un impacto de 300.000 millones de euros”. Inteco, entidad adscrita a Industria, participa activamente en la agenda digital y trabaja en promocionar la confianza digital. Además de gestionar cerca de 50.000 incidentes al año, Inteco ofrece informes técnicos y guías de vulnerabilidades. Y es que, como advierte Daswani, “cualquiera puede convertirse en un hacker y hay que actualizar todos los dispositivos digitales, no sólo los informáticos para evitar ser atacados”. Desde la posición de un grupo como Villar Mir, la preocupación por la protección no alcanza los estrictos requisitos de las entidades financieras o de seguros. “Nos centramos en diseñar y garantizar que los perímetros de seguridad son confiables y que existe un nivel adecuado. Es difícil saber el óptimo, monitorizamos nuestras redes con unos procedimientos que minimizan los riesgos para los usuarios internos”, detalla Carlos Arozamena, director de Consultoría del grupo, que se está planteando que “ciertos servicios de análisis y actualización los realice un proveedor especializado. Es difícil detectar el peligro, lo importante es discernir entre las amenazas reales y las prescindibles”.
Cultura de seguridad
Prosegur hace un especial esfuerzo para concienciar a sus empleados de la importancia de la seguridad virtual. Angélica Zamora, responsable de Seguridad de la Información, subraya la “necesidad de crear una cultura de seguridad a nivel interno. Estamos apostando por transmitir a los empleados que son responsables del uso que hacen de las aplicaciones y de los dispositivos con los que trabajan”. ONO tiene una dicotomía en el ámbito TI, como ISP (Internet Service Provider) o como empresa en sí misma. “Por un lado, proporcionamos una red limpia que permite dotar de calidad de servicio al cliente. Resulta complicado gestionar esta situación, pues no podemos actuar por el usuario, que es quien tiene que tomar conciencia y proteger sus sistemas para la posibilidad de externalizar servicios de seguridad y de tráfico limpio, reconociendo que no es posible resolver todos los problemas de modo interno. “Igual que los cajeros físicos tienen etiquetas de seguridad, la tecnología debería contar con estas categorías para garantizar los pagos por Internet o el comercio electrónico”, propone el gerente de seguridad.
La certificación es un aspecto básico para la Red Abogacía, como expone Mónica Díaz, responsable de la Gestión de la Autorización de Certificación Digital: “gestionamos la estructura informática de los colegios de abogados, ofrecemos servicios cloud y hemos acreditado normativas de seguridad. Nos hemos enfocado en seguir las mejores prácticas y acreditarlo. Queremos extender esta certificación a nuestros abogados”. Para Gonzalo Asensio, IT Security & Risk Manager de ING Direct, “estar extremadamente regulados (Basilea, SEPA, etc.) tiene sus ventajas y desventajas. Te sirve de driver para depurar aspectos internos, pero hay que centrarse en la seguridad real”.
La empresa holandesa es muy severa con los aspectos legales y de seguridad, basta con saber que el Banco Central Europeo forma parte del consejo de accionistas. “Estamos trabajando en la prevención del fraude en los distintos países, y en aplicaciones clave como la firma digital para las evitar intrusiones”, aduce Francisco Javier Santos, Seguridad Corporativa de Ono. El directivo añade que, “desde el punto de vista interno, no hacemos foco solamente en el perímetro sino que tratamos de hacer seguro todo. Tenemos un centro de control de seguridad, y ponemos énfasis en la identificación y en la protección de los activos críticos”. Con ciertas connotaciones similares a Prosegur, Grupo Eulen ofrece servicios de seguridad y sus exigencias de seguridad son estándares, si bien tiene algunas áreas sociosanitarias, donde se extreman las precauciones. “Nuestro enfoque de seguridad alcanza a nuestros servicios y a nuestra propia red de oficinas y empleados. Ahora nos centramos en proteger las aplicaciones, y facilitar que nuestros empleados nacionales e internacionales accedan a las mismas fuera del perímetro de seguridad con todas las garantías”, explica Alejandro Las Heras, director de Tecnología. Grupo Eulen tiene el correo en la nube de Google y muchos de sus empleados acceden a las aplicaciones corporativas fuera de la oficina y del horario laboral, y la gestión tecnológica se hace desde fuera. “Los desarrolladores no piensan en los backups y otras medidas de seguridad, por ello hacemos auditorías”, reivindica Las Heras. En el caso de Línea Directa, compañía online cien por cien, el cuidado de la información es un imperativo vital. Raúl Medel, responsable del departamento de Seguridad Corporativa, es un convencido de que “hay que proteger el endpoint pero también el perímetro. Pueden transcurrir tres meses y un malware puede seguir activo sin detectarse. Protegiendo sólo el endpoint perdemos el foco global. Hay que proteger el perímetro y tener una correlación entre ambos escudos, de forma que podamos detectar malware que las firmas de malware no pueden”.
Al igual que Grupo Eulen, se preocupan por fortalecer la seguridad en el ciclo de vida de los desarrollos, “el programador se concentra en el rendimiento pero olvida codificar la seguridad. Estamos incidiendo en ello, pues nuestras aplicaciones se desarrollan en casa”. Este aspecto también es centro de atención para Rural Servicios Informáticos, que lleva operando más de 25 años en modo de servicio de cloud interna para diversas entidades financieras. “Desde 2008 tenemos una metodología de programación segura, una labor ingente que nos ha permitido homologarnos en ISO 27000 como certificado de buen gobierno con las TIC”, atestigua Pedro Pablo López, gerente de Seguridad, Privacidad y Continuidad Global de esta entidad. López también resalta la importancia de las personas y de transacciones de usuarios. Otro tema que nos ocupa son los ataques de denegación de servicio, que nos dieron un susto hace tiempo”, relata Asensio. La firma cuenta con un CERT (Equipo de Respuesta ante Emergencias Informáticas) que le da visibilidad en este área y colabora activamente con Inteco CERT, entre otros.
Dentro del sector financiero, el principal activo de la Asociación Española de la Banca es la documentación que genera, como explica Eva Hernández, directora de Tecnología del Conocimiento. “No tenemos clientes, trabajamos para los bancos. Nuestra información tiene que estar a buen recaudo. Pedimos a expertos que prueben con ciberataques para ver si nuestros sistemas de seguridad son eficaces”. Tras lo expuesto en la tertulia, Eva Hernández reconoce sentir “cierto miedo”. Así lo explica, “nosotros somos muy tradicionales y no tenemos nada en SaaS o en la nube. Cuando hemos proyectado sacar nuestros sistemas fuera, salen noticias que nos han disuadido. Para el desarrollo de software contratamos a proveedores y les exigimos que cumplan con los máximos estándares. También nos preocupa saber qué sucede con la información cuando sale fuera de nuestro entorno y estamos buscando una solución de cifrado adecuada”. El control de los móviles está en la agenda de la asociación, aunque su uso no es generalizado, “va a más”, concluye Eva Hernández.
Educación interna
David Gracia, Head of Internal IT de una multinacional como BT, puede sentirse en buenas manos ya que “dispone de todas las políticas de seguridad y cubre los diferentes flancos, y nuestro grupo de seguridad interno hace uso de las mejores prácticas para el desarrollo de soluciones”. Gracia alude a la necesidad de “educación interna” de quien accede a la información y la utiliza; “por muchas puertas que pongamos, si no evangelizamos, los problemas no se van a resolver”. BT trabaja en el desarrollo de aplicaciones web e imprime las buenas prácticas en la codificación, y con énfasis en cubrirse frente a la denegación de servicio, un ataque del que se han sentido amenazados. “En una compañía global, hay un tema delicado que es dónde reside la información. Puede estar en los servidores de un proveedor fuera de la UE, y por mucho que haya antivirus existen riesgos”, comenta David Gracia. La situación de Ferrovial no es muy diferente a la de la banca, según expone Juan Cobo, jefe del Departamento de Seguridad de la Información. “Nuestras cuatro divisiones, autopistas, servicios urbanos, construcción y aeropuertos requieren sistemas que garanticen nuestros datos: proteger una licitación es importante, hablamos de proyectos que mueven miles de millones de euros”. Juan Cobo y su equipo están concentrados en cloud y movilidad, “tenemos presencia en 40 países, y queremos ser autónomos y flexibles. La seguridad ha cambiado, antes se cerraban las puertas. Ahora el negocio no deja cerrarlas y asume el riesgo. Hay que mejorar la alerta temprana y la capacidad de respuesta en tiempo real para saber lo que pasa en el grupo a escala mundial”. Para Ferrovial, la monitorización interna y externa es muy importante, “estamos orientados a servicios de cloud y en seguridad también; nos gustan los servicios maduros y trabajamos en esa línea”.
Precauciones ante el BYOD y el cloud
Los CIO saben que BYOD es un tema delicado en lo que a seguridad se refiere. Raúl Medel de Línea Directa considera “el móvil como un ordenador y así hay que tratarlo; aunque nuestros usuarios se quejen, pues no conocen el peligro que entraña”. El portavoz de Inteco advierte que “los móviles multiplican los riesgos por mucho que los controlen con MDM; se siguen conectando a WiFi públicas y esto puede ser una trampa. La vigilancia tecnológica es más importante incluso que las novedades. Muchos productos Android son vulnerables”. Alejandro Las Heras del Grupo Eulen añade otro punto de vista inquietante: “la seguridad ha madurado pero en el mundo del cloud estamos manejando tecnologías incipientes, y aún no se ha producido una amenaza reseñable, para ver cómo funcionan los sistemas de protección realmente. No se conocen las amenazas en la nube. Si tu proveedor es Google, y un juez de Arkansas decide parar su actividad, ¿qué sucede con tus datos?”.
Arozamena valora más “definir bien una política de seguridad, que el hecho de que los recursos sean propios o externos. Hay que hacer una adecuada evaluación de los riesgos”. Aquí coincide Santos de Ono, “tenemos que ser capaces de saber a qué te expones y el proveedor debe ofrecer el máximo abanico de servicios”. Pedro Pablo López de RSI opina que “el riesgo es una cuestión de madurez. Igual que en la industria física, debería existir un rating de riesgos en las TI, así podremos externalizar la seguridad de una forma confiable. Ha pasado con el mainframe y pasará con el cloud”. Ferrovial tiene gestionada externamente la seguridad por sus dos grandes partners y, como señala Juan Cobo, “es clave un modelo de control de los proveedores. ¿Alguien puede rechazar la nube?”.