El manejo de la información y de los datos ocupa buena parte del tiempo de la jornada laboral de los departamentos TI y, en los últimos años, ha sustituido a otras funciones que se les atribuía rápidamente. La información está en constante movimiento, cada segundo entran millones de datos que analizar y, sobre todo, que proteger ante los ciberataques. En el encuentro celebrado por Computing y SEIDOR, junto con algunos de los principales CIO y CISO nacionales, se trató de cómo está siendo la transformación, la seguridad y la resiliencia de la información.
La primera base que se puso en el debate fue establecer qué funciones tenía el CISO en cada organización y comprobar que ya no es una figura inferior al CIO, sino que, en muchos casos, ocupa el mismo nivel de importancia puesto que la seguridad informática se ha convertido en un factor esencial de todas las empresas.
La ciberseguridad ocupa ya un amplio espacio en las conversaciones entre los departamentos TI y los directivos, es más, según Ramón Ortiz, responsable de Seguridad IT en Mediaset España, los CEOs “no son un stopper, cuesta más convencer a los usuarios internos que a las altas esferas”.
Javier Martínez, Head of Data en Enagás, opinaba lo mismo: “El enemigo está en casa, tenemos que controlar nuestra reacción ante el phishing, los pendrives externos y cualquier ataque que puedan sufrir nuestros usuarios”.
A la hora de proteger el dato es necesario hacer un cribado de cuáles son más importantes e incluso una limpieza. En la época digital hay mucho síndrome de Diógenes en el almacenamiento de datos. Proteger cada dato aumenta el presupuesto, por tanto, hay que seleccionar bien qué se debe almacenar y qué eliminar. Avelino Gómez, Global Process Backup & Restoration de Roche Farma, sostenía que la complejidad y la cantidad del dato es enorme y, por ello, “la IA puede ayudarnos a clasificar el dato para decidir qué combatir”.
Para José Luis Campuzano, Head of Data and Cloud Services & Hosting en Nationale-Nederlanden, creía que “todos los esfuerzos de una empresa deben estar bien orientados, en el ámbito de la ciberseguridad, también”.
De izquierda a derecha, de arriba a abajo: Rubén Mora, Global CISO at SEIDOR | Natacha Rodríguez, CIO España en ManpowerGroup | Ricardo Herrero, Jefe de Área de Ingeniería de Sistemas en CEDEX | Jorge Martín, CIO en Grupo Anaya | Javier de Andrés Blasco, Director de TIC en el Congreso de los Diputados | Avelino Gómez, Global Process Backup & Restoration en Roche Farma.
De izquierda a derecha, de arriba a abajo: Alberto Hernández, CIO del Ayuntamiento de Torrejón de Ardoz | Juan Hidalgo, Cibersecurity Chief Technology Office at SEIDOR | Javier Martínez, Head of Data en Enagás | Ramón Ortiz, Responsable de Seguridad IT en Mediaset España | José Luis Campuzano, Head of Data and Cloud Services & Hosting en Nationale-Nederlanden | Juan Miguel Gil, IT Manager Corporate Spain at Arcelormittal.
Índice de temas
Los simulacros, la clave de la concienciación
La realidad es que nos encontramos ante un nuevo paradigma en el que si un hacker quiere atacar lo puede hacer. La opinión generalizada entre los TI es que todas las empresas van a ser antes o después atacadas y lo que realmente importante es la capacidad de respuesta y de recuperación de cada una de ellas tras el hackeo.
Natacha Rodríguez, CIO en España de ManpowerGroup, afirmaba que ante esta nueva situación es imprescindible que en todas las empresas se realicen simulacros sin avisar a los trabajadores, “al igual que se hace en los colegios con los simulacros de incendio”. En Manpower estas recreaciones las promueven desde arriba y facilitan que haya una respuesta coordinada ante cualquier ataque. “La fuga de datos es preocupante en cualquier empresa. Los valores de ciberseguridad tienen que ser potenciados desde arriba para estar siempre preparados y disminuir esta pérdida y un posible daño reputacional”, sostenía la CIO.
En esta misma línea en Enagás han creado un Comité Transversal de Continuidad donde se pone a prueba la resiliencia y tienen protocolos para testarlos.
Juan Miguel Gil, IT Manager Corporate Spain de Arcelormittal, también mantenía que cada ataque que la empresa no consigue repeler causa un daño económico y reputacional. En Arcelormittal tienen un departamento central de ciberseguridad y pruebas internas anti phishing.
Jorge Martín, CIO del Grupo Anaya, veía que el principal problema es interno. “El reto no es lo susceptible de ser recuperado, sino el mal uso que se da y que permite que haya fugas”, sentenciaba.
La asunción de riesgos es un factor a medir a la hora de prevenir los ciberataques. Natacha Rodríguez sostenía que “cuántas más reglas, menos agilidad” y por eso es necesario el equilibrio. “La inteligencia artificial aprende rápidamente y nos puede ayudar a reorientar y decidir qué riesgos tomar y cuáles no”, sostenía la CIO.
La ciberseguridad en el sector público
A la comida ejecutiva acudieron Javier de Andrés Blasco, director de TIC del Congreso de los Diputados; Alberto Hernández, CIO del Ayuntamiento de Torrejón de Ardoz, y Ricardo Herrero, jefe de área de Ingeniería de Sistemas en CEDEX. Compartieron su punto de vista de la situación desde la perspectiva del sector público.
En el Congreso de los Diputados, la toma de decisiones estratégicas relacionada con las TIC se valida por la Secretaría General de la Cámara y en última instancia por la Mesa de la misma lo que implica un seguimiento exhaustivo de las diferentes propuestas.
En este momento se está ultimando la implantación de un SOC (Centro de Operaciones de Seguridad) con objeto de aumentar la ciberseguridad de forma significativa.
Respecto a los datos que se gestionan hay que destacar que atendiendo al principio de “luz y taquígrafos” la información se publica en los Boletines y Diarios de Sesiones, además de en el extenso apartado que sobre Transparencia existe en la página web. El reto actual consiste en lograr la mayor eficiencia en el tratamiento de los datos para lo que un análisis adecuado se considera fundamental (data science).
En la Cámara están implementando un nuevo software que ayude a incrementar la ciberseguridad. Los ataques a los que se enfrentan en el Congreso son variados, algunos pueden tener carácter político, pero en la mayoría de los casos son particulares que quieren demostrar que son capaces de obtener información del organismo.
El departamento TI del Ayuntamiento de Torrejón de Ardoz se enfrenta diariamente a una tesitura diferente a la de la mayoría de los ayuntamientos españoles. En Torrejón está la base aérea militar y, aunque no se controla desde el consistorio, los hackers no se paran a diferenciar.
Alberto Hernández aportó un dato muy relevante a la conversación. Según un estudio al que ha tenido acceso, España es el primer país de la Unión Europea con más ciberataques y el tercero del mundo. El debate se centró en los hipotéticos motivos de esta información: desde la transparencia a la hora de notificar los ataques hasta la cultura informática nacional. Pero, en lo que respecta a la gestión del departamento TI del Ayuntamiento, Hernández sostuvo que “cada vez hay más ciberataques, pero menos recursos para hacerles frente”.
Por su parte, Ricardo Herrero encontraba una falta de “soberanía del dato y de concienciación a los directivos en el sector público en general”. Herrero veía complicado separar lo importante de lo que no lo es por la falta de personal formado en la materia y que conozca también el organismo. Por eso creía que “desde Negocio tienen que tomar la decisión y administrar un dato estructurado. Hay servicios que generan tanta información ruido que no pueden dar un servicio óptimo”.
El factor humano, esencial en la gobernanza
La falta de talento es un tema recurrente en las conversaciones del sector TI. Las personas con conocimientos sobre ciberseguridad en muchos casos desconocen el funcionamiento particular de cada empresa y lo mismo sucede a la inversa.
Avelino Gómez se planteaba si la automatización iba a suplir la falta de talento, pero él mismo se respondía que no puesto que “alguien tendrá que controlar las máquinas”, sentenciaba.
Jorge Martín afirmaba que “el gobierno del dato tiene directrices internacionales, pero se aplica de forma particular en cada país. La Inteligencia Artificial puede ayudarnos a generar alertas, pero tiene que haber un trabajo manual para afinarlo”.
Los asistentes a la tertulia sostenían que la automatización no puede prescindir totalmente del factor humano. La IA puede generarte alertas, pero tiene que haber personas que estén constantemente atentas a esa alarma para reaccionar. “Si una alarma suena un sábado por la noche tiene que haber alguien ahí viendo que salta, por eso algunas empresas prefieren no instalar estos equipos. Es mejor decir que no te enteraste a ver que sí se avisó, pero no había nadie preparado para reaccionar”, comentaron.
Juan Hidalgo, Cibersecurity Chief Technology Office de SEIDOR, opinaba que uno de los problemas a los que se enfrentan en materia de ciberseguridad es que “los malos también utilizan la IA y no es comparable el presupuesto de los atacantes con el de las empresas. Se ve que la inversión en ciberseguridad es un coste sin retorno”.
El principal problema que veía Juan Miguel Gil es que “uno se protege ante la realidad existente, pero los ataques van evolucionando y el área TIC debe ir adaptando la solución existente”.
Ramón Ortiz tenía claro que el dato es una cuestión de Negocio y, por ende, la contratación de talento que maneje el dato también debería serlo. “La tecnología está, pero tiene que haber conocimiento interno para cada caso de uso”, compartía Ortiz.
En ManpowerGroup están haciendo una inversión fuerte en talento, pero afirman que es complicado encontrarlo y por eso es importante contar con empresas especializadas, como la suya. “En las empresas no se estudia suficientemente qué demandan o qué les motiva para retenerlos. Hay que motivar y cuidar al talento porque es escaso y hoy los departamentos de tecnología ya tienen otro rol, en el que conocen bien la empresa y las necesidades de negocio”, sostenía Natacha Rodríguez.
“Las nuevas generaciones no solo miran lo económico, sino también el tiempo, la flexibilidad… las empresas tienen que adaptarse porque hay más oferta que demanda de los puestos de trabajo especializados”, confirmaba Ricardo Herrero.
La nube, ¿debate cerrado?
Durante muchos años el principal tema de debate era si nube sí o nube no. El pensamiento generalizado es que antes de decidir si se tiene un sistema híbrido, cloud o on premise hay que analizar bien los costes y las necesidades particulares de cada conjunto de datos. Los asistentes veían que se trata un tema de prioridades empresariales, pero que toda la presión que hubo en su día para llevar todo a la nube ha dejado de ser tan frecuente.
En el Congreso de los Diputados tienen la nube a modo testimonial porque no se han encontrado con una necesidad real de migración. “Cuando nos planteamos migrar llega algo más urgente, además a nivel general la nube causa mucha reticencia en el Congreso”, sostenía Javier de Andrés.
En el CEDEX tampoco han adoptado la nube por una cuestión que se puede considerar política. Actualmente no existe ninguna nube que esté en la Unión Europea y hasta que no estén totalmente fundadas y con herramientas de la UE, aunque ya haya Centros de Datos en Europa, no se va a migrar. “Es una cuestión de estrategia, no de ciberseguridad o de costes”, confirmaba Ricardo Herrero.
RUBÉN MORA | GLOBAL CISO AT SEIDOR
El CISO es una posición directiva que también habla de negocio, sobre todo de cómo impactan los riesgos de ciberseguridad. Los retos a los que se enfrenta son la normativa, el teletrabajo y la multitecnología existente, entre otros.
SEIDOR tiene un centro de operaciones en el cual operan y evalúan la ciberseguridad comparándolas con el mercado y viendo si son operacionales a nivel de gestión de riesgos.
La IA se está centrando en la operación, en la detección de falsos positivos y en la curva de aprendizaje. SEIDOR invierte en conocimiento para que la operación sea más eficaz. La gestión del resto a nivel de vulnerabilidades es una de las prioridades de SEIDOR.
