¡CONTENIDO BLOQUEADO!
Aquí hay un vídeo que no puedes ver debido a tu configuración de cookies.
Puedes ver nuestra política de cookies o abrir el vídeo en youtube.com
La pandemia no ha sido el detonante para que las compañías empiecen a preocuparse por la seguridad, aunque también ayudó, sino que “fue WannaCry”, señalaron los expertos de seguridad de las organizaciones públicas y privadas de País Vasco que se reunieron en Bilbao, en el contexto del Tour de Ciberseguridad que Computing realiza junto con HP, VMware, WatchGuard Cytomic y BeClever, partner de Okta.
Observar desde la barrera cómo los ciberdelincuentes comprometían los sistemas de compañías del tamaño y la capacidad de Telefónica o Iberdrola, fue un serio aviso para el resto de empresas. Sin embargo, la seguridad en ocasiones parece chocar con los objetivos de Negocio. “Históricamente, el mundo de la ciberseguridad se había enfocado a la parte más técnica, como el bastionado de sistemas y el patching de vulnerabilidades”, dijo Alberto Bernáldez, CISO de Liberty Seguros. “En Liberty estamos evolucionando en este sentido mediante el desarrollo de un Programa de Ciberseguridad, usando NIST-CSF como marco de referencia e implementando una estrategia end to end multicapa y logrando alinear objetivos de Negocio y de TI. Puede que alguna compañía vaya tarde”, -añadió Bernáldez.- “pero hay que reconocer que la alineación entre negocio y seguridad no ha sido fácil. Nuevas regulaciones como NIS , EIOPA o DORA, -en el sector seguros-, lo están impulsando”. Que la seguridad tenga que ir pegada al negocio ha favorecido que ésta deje de ser una preocupación exclusiva de TI. Para la Mondragon Unibertsitatea, ha sido esencial la involucración de la Dirección de la universidad en este cambio. “Estamos redefiniendo nuestra estrategia y estableciendo nuevos planes de gestión desde 2019”, explicó su CISO, Jesús Lizarraga. En este punto coincide AMPO, fabricante de componentes de acero inoxidable, que ha comenzado a desarrollar un proyecto de seguridad a tres años; además, “en un sector como el industrial en el que la ciberseguridad sí que no era prioridad”, según Alain Gómez, director de IT de la compañía.
En la carrera de los ciberataques, nunca se va a ganar a los ciberdelincuentes, como mucho se puede empatar
Índice de temas
Acordarse de Santa Bárbara cuando truena
Los responsables de seguridad lamentan que en las compañías no se acuerden de ellos hasta que hay problemas y, cuando esto ocurre, “la culpa siempre es nuestra”. El departamento TI o el de Ciberseguridad, “con el que deberían contar todas las empresas, no es el culpable de los incidentes de seguridad, pero en última instancia, sí es el responsable. Los CISO deben “rendir cuentas y preocuparse de concienciar en la empresa de que la seguridad no es un gasto, sino una inversión y, frente al cliente, la compañía es la que tiene que rendir estas cuentas”.
“Para tener un verdadero control de la seguridad y de su impacto hacen faltan métricas”, incidió Andoni Valverde, CISO de Laboral Kutxa. Esto es esencial para poner en valor la seguridad y asociarla a factores de riesgo reales, ya no solo ante la Dirección, sino ante el usuario, interno y externo, “que a veces es el menos concienciado”, contaron Juan Carlos Ávila y Goizane Martínez, IT manager, y responsable de Ofimática, Comunicaciones y Ciberseguridad, respectivamente, en Consulmar. La compañía de consignación de buques está implantando cursos de formación para hacer la seguridad atractiva a los empleados, aunque ven un reto mayor trasladar esta idea a los clientes. “Falta concienciación a nivel social”. Y aquí es clave segmentar los accesos a los sistemas, “medida un tanto controvertida según a quien capes los accesos”.
El reto es ambicioso y, aunque hemos avanzado mucho en los últimos años, “el nivel alcanzado no es ni mucho menos el idóneo”, en palabras de Javier Diéguez, director del Basque Cybersecurity Centre -organización del Gobierno vasco que promueve la seguridad en Euskadi-. Este cuenta con ciertas estadísticas del nivel de seguridad de las empresas que arrojan que “entre el top 5 de incidencias actuales, tres de ellas son vulnerabilidades de 2015, por lo tanto, durante siete años estas brechas aún no se han parcheado”. Según Diéguez, más de la mitad de los proyectos de seguridad son de segmentación de redes IT y OT, diagnósticos y diseño de planes de seguridad y monitorización de la seguridad perimetral. “Hay que ser conscientes de que nunca se va a ganar a los ciberdelincuentes, como mucho se puede empatar, y para ellos es importante considerar la seguridad como una cuestión de riesgos no financieros, no como una cuestión tecnológica”.
¿Dónde está el límite de la inversión?
Calcular cuánto hay que invertir para considerar a una empresa segura es muy difícil, “hay que estudiar qué tipo de ataques es más propensa a sufrir una compañía según su sector e invertir lo suficiente como para poder neutralizarlos”, explicó Javier Gárate, director de Organización y Sistemas de la aseguradora médica IMQ, y añadió: “La inversión en seguridad no tiene que ser mayor que el dinero que se perdería siendo atacado”.
La mejor manera de medir el nivel de seguridad y la inversión necesaria, según Manu Roibal, director de Desarrollo, Producción y Sistemas de Bilbao TIK, es medirla, pero a diferencia de lo apuntado por Diéguez, hacerlo en riesgos financieros. “Al final cualquier brecha de seguridad ocasiona pérdidas financieras, y el daño reputacional también afecta al negocio”. Para esta medición, en Bilbao TIK cuentan con una herramienta especializada con la que quieren crear un rating de seguridad que permita comparar las medidas de seguridad que aplican las distintas empresas para mejorar. “Este año también queremos poner en marcha un proyecto para informar a los ciudadanos de los riesgos digitales. Hemos desplegado la red wifi pública de Bilbao, a la que se conectan uno de cada tres bilbaínos, por la que podemos saber qué virus son los que más afectan a la ciudadanía. Curiosamente, en Android nos encontramos con centenares de virus diarios, y en iOS, apenas”, contó Roibal. “Aunque este concepto de vigilancia digital puede no gustar, la identidad de los ciudadanos es anónima”.
Para calcular la inversión en seguridad hay que estudiar qué tipo de ataques es más propensa a sufrir una compañía
“La Administración aparte de velar, por supuesto, por la prestación de los servicios a la ciudadanía, debe cumplir los estándares de seguridad por ley. En la empresa privada, aunque existe también cierta regulación sobre todo en algunos sectores, no existe una ley global para todas las entidades; pero la ciberseguridad es un imperativo para todas ellas, por preservar su negocio”, indicaba Imanol Sauto, director de la Unidad de Tecnología y Conocimiento de Lantik. Cumplir con la normativa vigente implica invertir una serie de recursos y capacidad para gestionarlos. Por eso, “es importante contar con un partner de confianza, que cuente con soluciones especializadas para cada negocio”, indicó Miguel Sanz, IT manager de Focke Meler Gluing Solutions. No obstante, para sacar todo el partido a un partnership, se deben dar al partner “instrucciones concretas de las necesidades de la empresa, por lo que es muy importante contar con talento interno capaz de correlacionar la información de la compañía con la del proveedor”. Asimismo, “es crucial testear las medidas de seguridad de los proveedores de cualquier área, porque la seguridad de terceros repercute en la propia”, apuntó Xabier Arrieta, director TIC del Gobierno Vasco.
Para proteger a las empresas de las repercusiones de sus propias brechas de seguridad, y las de terceros, están despuntando cada vez más los ciberseguros. Jorge Arroiz, director de IT de EVA Group, contó haber recibido la oferta de contratar uno hace poco. “Claro que, para poder contar con uno, las compañías tienen que cumplir unos estándares de seguridad muy elevados”.
Por último, el tema de la seguridad en la nube, y en concreto, la creación de la cloud soberana europea GAIA-X, no faltó en el encuentro. Con GAIA-X, las compañías tienen por delante un reto que los expertos calificaron de “inabarcable”, ya que “la libre competencia que impera en el mercado europeo enfrenta a los proveedores europeos con los gigantes norteamericanos y asiáticos, lo que deja a los del viejo continente en una posición complicada, por mucho que a nivel de seguridad y política de residencia de datos lleven ventaja frente a los de otros continentes”.
Alejandro Curto, Cibersecurity Sales Manager de HP
“Las empresas han hecho los deberes con la tecnología, ahora toca la concienciación”.
Prácticamente todas las empresas han hecho ya los deberes preocupándose por adquirir la tecnología adecuada para asegurar su negocio. Ahora también es necesario que inviertan en concienciación y educación para darle un uso correcto a esta tecnología y aprovechar todo su potencial.
Esto se traduce en transmitir conocimientos, no solo de cómo utilizar la tecnología, sino de conocer el ecosistema que rodea a la empresa y los potenciales ataques de los que pueden ser víctimas.
En el paso que están dando las empresas para pasar de trabajar en un entorno de oficina 100% a un modelo remoto o de teletrabajo, esta concienciación supone un doble reto. Por eso, desde HP ayudamos a que esta transición sea lo menos agresiva posible para el empleado, dotando a las organizaciones de dispositivos seguros mientras que se van adaptando al nuevo escenario durante el tiempo que tanto el trabajador como el negocio necesitan.
Aiert Azueta, CEO de BeClever, partner de Okta
“Se necesita un enfoque less privileged para securizar los procesos de principio a fin”.
El paradigma de seguridad hoy en día está marcado por el control de accesos. Por este motivo, en BeClever hemos establecido un enfoque ‘less privileged’ -de minimización de permisos-, que va un paso más allá para garantizar que cada persona que accede a una aplicación sea quien dice ser; pero, además, el objetivo es cuidar de que toda persona que tiene acceso a una aplicación cuente únicamente con los permisos necesarios y específicos para realizar su labor.
Nuestro partner Okta brinda a las empresas una aplicación escalable en formato SaaS en la cloud para aplicar la seguridad en todos los procesos, tanto internos como externos, desde sus fases iniciales hasta las finales, haciéndolos, a su vez, más eficientes, y garantizando la disponibilidad de los sistemas y la seguridad de los accesos tanto a empleados como a colaboradores y clientes. Y mejorando la experiencia de usuario con medidas como la autenticación adaptativa en base a la localización, entre otras.
Francisco José Verdugo, Senior Partner Solution Engineer de VMware
“Mantenemos una estrategia cloud security posture management”.
En VMware mantenemos una estrategia de gestión de seguridad en la nube pública conocida como Cloud Security Posture Management que, junto con nuestra solución de seguridad EDR Carbon Black, que incluye antivirus de última generación válido para cualquier carga, tanto física como virtual, en cloud u on premise; más la seguridad que aplicamos en la parte de Kubernetes, que también protegemos con Carbon Black, tanto para distribución oficial de contenedores como en cloud, compone un portfolio completo para defender el negocio ante los ciberdelincuentes.
En la parte de seguridad de red, gracias a la adquisición de la compañía estadounidense Lastline hace dos años, implementamos sandboxing, analíticas e inteligencia para proteger el puesto de trabajo de amenazas desconocidas. Y, además, integramos todas estas soluciones con herramientas de seguridad de terceros.
Roberto Fernández, Product Manager de WatchGuard Cytomic
“Es clave una herramienta de telemetría para hallar el origen de los ataques”.
El perímetro de la empresa, y por tanto la superficie de ataque, cada vez es mayor, lo que complica la reducción de los vectores de ataque. Tener un buen firewall que proteja la red corporativa, securizar los puntos de acceso wifi y también los endpoints mediante una solución EDR o XDR sólida, y contar con una herramienta de telemetría que permita a la empresa moverse en el tiempo para poder identificar los orígenes de un ataque determinado son acciones clave para blindar el negocio.
La solución de WatchGuard almacena información de lo acontecido durante 365 días y no permite que se ejecute ningún programa en el endpoint que no haya sido previamente analizado y aprobado por nuestros expertos. Además, nuestra plataforma unificada de seguridad gestiona todas las herramientas de los clientes desde una única consola. Por su parte, WatchGuard Orion, nuestra solución de hunting e incident response, permite detectar las tipologías de ataque más sofisticadas.