Ciberresiliencia es uno de esos términos en boga que empiezan a acaparar la atención de directivos y responsables de ciberseguridad. Durante este evento de Computing, con la colaboración de Commvault, se abordaron los aspectos esenciales que tocan la resiliencia y se destacó la importancia de la regulación y la necesidad de estrategias efectivas para la recuperación ante incidentes.
Índice de temas
¿Qué es ciberresiliencia?
Pero, ¿cómo definir ciberresiliencia? Roger Martínez Martín, responsable del Centro de Competencia d’Infraestructures Crítiques, Essencials i d’Interès, Agència de Ciberseguretat de Catalunya, establece las diferencias: “La ciberseguridad históricamente se ha enfocado más en la protección, mientras que la ciberresiliencia abarca también la recuperación y la continuidad operativa tras un ataque”.
Con la llegada de nuevas regulaciones como la Directiva NIS2, el número de entidades esenciales e importantes va a aumentar significativamente. Esto implica una gran responsabilidad, ya que las empresas deben cumplir con un régimen jurídico estricto y un régimen sancionador. “Veremos cómo el regulador nacional implementa esto y quién se encargará de la supervisión”, se cuestiona Roger Martínez.
Estrategia de ciberresiliencia
Las estrategias de seguridad están cambiando por varios motivos. “Necesitamos un enfoque más holístico que considere todos los entornos locales y los usuarios que están conectados a ambos mundos. Esto requiere plataformas que unifiquen la visión de los elementos de política, compliance y despliegue de seguridad”, aconseja el experto.
Necesitamos un enfoque más holístico que considere todos los entornos locales y los usuarios que están conectados a ambos mundos. Esto requiere plataformas que unifiquen la visión de los elementos de política, compliance y despliegue de seguridad
ROGER MARTÍNEZ, AGÈNCIA DE CIBERSEGURETAT DE CATALUNYA
Un desafío importante es tener una buena estrategia de resiliencia, no solo con las herramientas y elementos necesarios para la recuperación, sino también con la capacidad de implementarla de manera eficiente y en tiempo adecuado para el negocio.
Finalmente, la regulación y las normativas son palancas importantes para impulsar la seguridad. Sin embargo, no se puede aplicar la seguridad solo en base al cumplimiento normativo. Es necesario encontrar un equilibrio para que la postura de seguridad de la organización mejore continuamente.
Cuando hablamos de gestión del riesgo debemos trasladar a negocio el impacto real que puede causar la materialización de una amenaza. La alta dirección debe ser consciente de estos riesgos y esponsorizar la implementación de medidas de ciberresiliencia adecuadas para mantener a salvo el negocio
SERGI TORRES, ESTEVE
Sergi Torres Santasusagna, Head of IT Global Information Security de Esteve, observa que puede ser un problema centrarse demasiado en el cumplimiento, dejando en un segundo plano los controles técnicos, si bien reconoce que estas regulaciones sirven de palanca, y que gracias a ellas muchas compañías han mejorado sus capacidades de ciberresiliencia. “Cuando hablamos de gestión del riesgo debemos trasladar a negocio el impacto real que puede causar la materialización de una amenaza, como por ejemplo un ransomware que pueda parar una fábrica durante varias semanas. La alta dirección debe ser consciente de estos riesgos y esponsorizar la implementación de medidas de ciberresiliencia adecuadas para mantener a salvo el negocio”.
En sectores como el de salud, es crucial concienciar y movilizar al personal hacia nuevas normativas, utilizando simulacros y pruebas de penetración para validar la efectividad de las estrategias de seguridad
EVA JORQUERA, CENTRO DE COMPETENCIA EN SALUT AGÈNCIA DE CIBERSEGUERTAT DE CATALUNYA
Según Eva Jorquera Lerís, responsable del Centro de Competencia de Salut Agència de Ciberseguretat de Catalunya, la ley es una herramienta importante que impulsa el cumplimiento normativo. “En sectores como el de salud, es crucial concienciar y movilizar al personal hacia nuevas normativas, utilizando simulacros y pruebas de penetración para validar la efectividad de las estrategias de seguridad”.
La experta considera preciso que CISO y CIO se sientan acompañados y trasladar estos mensajes a las gerencias para que se involucre la gente y para que desde las áreas directivas lo entiendan y destinen recursos.
La ley es una forma de motivar el gasto que, de otro modo, sería difícil de justificar. En otros casos, se utiliza para protegernos de posibles riesgos futuros. Parece que en Europa somos expertos en crear leyes, mientras que en otros lugares se enfocan en la producción
RAIMON DALMAU, SISTEMA d’EMERÈNCIES MÈDIQUES DE CATALUNYA
Raimon Dalmau Parés, CIO del Sistema d’Emergències Mèdiques, coincide con la apreciación de Eva Jorquera: “La ley es una forma de motivar el gasto que, de otro modo, sería difícil de justificar. En otros casos, se utiliza para protegernos de posibles riesgos futuros. Parece que en Europa somos expertos en crear leyes, mientras que en otros lugares se enfocan en la producción, y aquí nos dedicamos más a hacer normas”.
Dalmau no considera que sea negativo crear normas, pero a veces se produce la desconexión entre la realidad y las normas, y puede representar un problema. “Por un lado, estas normas pueden impulsar la comprensión de ciertas inversiones y gastos, pero por otro, no garantizan que se cumplan los deberes ni que se mejore en calidad y seguridad”. A veces es más eficaz, que tu competidor de al lado sufra un ataque.
El reglamento sirve para que la dirección y los responsables de ciberseguridad comprendamos la importancia, pero el resto de la organización también tiene su responsabilidad y debe participar. Tienen que entender que todos vamos a certificarnos juntos
CLARA BELEÑA, UOC
Clara Beleña, Chief Information Security Officer Universitat Oberta de Catalunya, introduce un nuevo elemento en la ecuación: “El reglamento sirve para que la dirección y los responsables de ciberseguridad comprendamos la importancia, pero el resto de la organización también tiene su responsabilidad y debe participar. Tienen que entender que todos vamos a certificarnos juntos”. Beleña siente especial preocupación por los ataques de ransomware que arrecian en los campus universitarios y considera necesario establecer planes para evitar la fuga de datos, mediante la gestión de identidades.
Seguridad en la nube
Aunque Roger Martínez opina que el debate en torno a la nube ya está superado, lo que todavía está por discernir, según otros ponentes, es si es más segura que el entorno on premise.
Raimon Dalmau muestra sus reticiencias: “En el mundo de las emergencias somos escépticos en cuanto a la nube. Nuestros desarrollos son a medida y óptimos para nuestro entorno que tiene un centro de procesamiento de datos propio. Aunque vamos a contracorriente, nos sentimos más tranquilos”.
En la contratación pública los costes variables propios de la nube son difíciles de digerir. El problema no está en los datos que tienes bajo control, sino cómo solucionas los datos que tiene tu proveedor. La mejor protección es no proporcionarle los datos
JUAN JOSÉ DEL RÍO, TRANSPORTS METROPOLITANS DE BARCELONA
Juan José Del Río Estévez, responsable de Unitat Seguretat TIC de Transports Metropolitans de Barcelona, constata que en la contratación pública los costes variables propios de la nube son difíciles de digerir: “Además, el problema no son los datos que tienes bajo control, sino cómo solucionas los datos que tiene tu proveedor. La mejor protección es no proporcionarles los datos. Por ejemplo, tengo Microsoft Office y una API, pero conservo los datos en mi propio servidor”.
La clave es entender los riesgos y tomar medidas adecuadas, como implementar la autenticación multifactor y analizar el comportamiento. Personalmente, me siento más seguro teniendo los datos en la nube que en instalaciones locales on-premise
PERE SOLÉ TOMÁS, CUATRECASAS
Pere Solé Tomás, director de Arquitectura de Sistemas y Seguridad de la Información de Cuatrecasas, se muestra proclive al entorno cloud: “La clave es entender los riesgos y tomar medidas adecuadas, como implementar la autenticación multifactor y analizar el comportamiento. Personalmente, me siento más seguro teniendo los datos en la nube que en instalaciones locales on-premise, donde la actualización de parches puede ser un desafío en caso de vulnerabilidades día cero”.
En este punto, Nuria Brunat, Territory Sales Executive, Northeastern Spain de Commvault, explica que la solución de su compañía “ayuda a gestionar cualquier carga en la nube o en tus instalaciones. Protegemos los datos e incorporamos mejoras para analizar los riesgos. Además, ofrecemos herramientas que ayudan a detectar comportamientos anómalos”.
Ayudamos a gestionar cualquier carga en la nube o en tus instalaciones. Protegemos los datos e incorporamos mejoras para analizar los riesgos. Además, ofrecemos herramientas que ayudan a detectar comportamientos anómalos
NURIA BRUNAT, COMMVAULT
IA generativa y resiliencia
En estos momentos es inexcusable no hablar de IA generativa. Roger Martínez observa que hemos avanzado de forma notoria: “Aunque los ochenta marcaron una era de transformación tecnológica, aún nos enfrentamos a dificultades para detectar y prevenir fraudes de manera efectiva. Sin embargo, con la evolución de la inteligencia artificial (IA), estamos viendo un cambio en el panorama de seguridad”. La IA está revolucionando la forma en que abordamos el fraude, con avances significativos en el aprendizaje automático y la detección de amenazas como el phishing. Aunque se espera que la IA juegue un papel importante en la regulación y la lucha contra el fraude, también debemos reconocer que los perpetradores de fraudes pueden aprovechar esta misma tecnología para sus propios fines. En este contexto, la IA emerge como un asistente de confianza, proporcionando un punto válido de retorno en la detección y gestión de riesgos.
En la Universitat Oberta de Catalunya, como relata Beleña, “estamos potenciando el uso de ChatGPT, junto con el despliegue de Copilot, asegurándonos de que tus datos no se utilicen para entrenar el modelo. Esto se convierte en un elemento de productividad crucial. Además, estamos invirtiendo mucho en formación interna y fomentando la búsqueda activa de conocimientos. Cuando un estudiante se une, es para aprender y contribuir a nuestro crecimiento continuo”.
Con Aplannix (tecnología adquirida por Commvault) , protegemos todos los activos relacionados con los datos. Un tercio de estos activos son los datos en sí, mientras que los otros dos tercios comprenden los servicios asociados
ALFONSO DÍEZ, COMMVAULT
En último término, Alfonso Díez, Senior Sales Engineer de Commvault, añade que la ciberresiliencia es ahora más importante que nunca, con más brechas de información y canales de entrada, la tecnología avanza, lo que aumenta el riesgo y abre infinitas puertas. “Con Aplannix (tecnología adquirida por Commvault) , protegemos todos los activos relacionados con los datos. Un tercio de estos activos son los datos en sí, mientras que los otros dos tercios comprenden los servicios asociados. Los ataques suelen dirigirse a las copias de datos, lo que significa que los riesgos han crecido considerablemente.
