El reto de la ciberseguridad
La ciberseguridad es uno de los retos a los que se enfrentan las empresas. Sin embargo, sigue siendo un agujero negro para muchas. Para hablar sobre ello, Byte TI organizó un desayuno que contó con la presencia de Luis Fisas, director parta el Sur de Europa de SonicWall; Daniel Puente, CISO de Wolters Kluwer; Miguel Ángel Cervera, director de Modern Workplace y Ciberseguridad de Microsoft; Isaac Carreras, CISO de IaaS365 y Catalina Jiménez, directora general de la Unidad de Negocio de Consultoría, Integración y Sistemas en Sothis
El acto comenzó con el análisis de los retos actuales del mundo de la seguridad. Fue Luis Fisas, director parta el Sur de Europa de SonicWall, el encargado de abrir el debate asegurando que “los nuevos retos están en el perímetro. Lo importante son las credenciales. Es decir saber que eres quien dices ser. Definir el perímetro es la nueva amenaza del mundo de la ciberseguridad”. Por su parte, Daniel Puente, CISO de Wolters Kluwer, cree que otro de los retos radica en que “seguiremos teniendo ataques de ransomware y creo que también va a ser importante la parte que se refiere a la migración a la nube y todo lo relacionado con el Internet de las Cosas”. Para Miguel Ángel Cervera, director de Modern Workplace y Ciberseguridad de Microsoft otra de las claves que hay que tener en cuenta a la hora de saber cuáles son los retos a los que se enfrenta la ciberseguridad se encuentra “en la movilidad, en la gestión del dato y en la identificación de la persona. En los próximos tiempos también va a jugar un papel importante la ayuda que va a aportar la inteligencia artificial al mundo de la ciberseguridad”.
Miguel López, country manager de Barracuda añadió otro de los retos que, en su opinión, “se encuentra en que “en el apartado del correo electrónico no se han hecho los deberes y sigue siendo la principal vía de ataque y por ello, al ser tan clásica muchas empresas no lo consideran importante. Es una vía que no se securiza como se debería. Otra gran área es el entrono cloud. Como no se introduce la seguridad desde la fase de diseño, muchas veces los entornos cloud no son tan seguros como debería”. En este sentido para Isaac Carreras, CISO de IaaS365, también se mostró de acuerdo en que en la nube se encuentran algunos de los principales retos. En su opinión, “la adopción al cloud es un reto muy importante por cómo se está haciendo la transición. Hay un desconocimiento de lo que significa cloud. Entender la adopción al cloud es crítico. Además otro reto es el famoso del personal cualificado, que hay muy poco y esto es un reto en sí mismo. El factor humano dentro de la ciberseguridad es fundamental porque se están contratando perfiles que no tienen la capacitación correcta”.
Finalmente, Catalina Jiménez, directora general de la Unidad de Negocio de Consultoría, Integración y Sistemas en Sothis, “los departamentos de seguridad, cuando existen, están muy por debajo del número de personas cualificadas necesarias para cubrir las necesidades. Además, hay carencia de experiencia en entornos cada vez más complejos de negocios y seguridad. Encontrar personas con habilidades y experiencia en estas áreas es difícil, y aún más, retenerlos. Por otro lado, hay que destacar que la estrategia de seguridad no está alineada con los objetivos del negocio (
Todavía hay muchas organizaciones que no han alineado la estrategia de seguridad con la estrategia corporativa”.
Rol del CISO
En los últimos tiempos, hay una figura que está emergiendo por encima de todas. Se trata del CISO. En la actualidad, son muchas las empresas que están dándole mayor poder de decisión, pero, es verdad que su papel todavía no es fundamental en muchas de las organizaciones. Para el portavoz de IaaS365, “el riesgo de no posicionar la figura del CISO es un factor crítico. El CISO tiene que reportar directamente al CEO. Tiene que participar en el plan estratégico de la compañía. No puede ser que vaya por un sitio diferente al que va el negocio. Los CISO tienen el reto de comunicar mejor y explicar cuáles son los riesgos y las necesidades”. Por su parte, el country manager de Barracuda cree que “el problema es que hay organizaciones en las que el CISO juega un papel decorativo, pero no tiene las capacidades de decisión ni de recursos. El origen de este problema es que, en una empresa, los directivos no consideran a la seguridad como un elemento más de su cadena productiva”. Para Miguel Ángel Cervera de Microsoft, “el CISO se encuentra hoy en la misma situación en la que se encontraba el CIO hace 20 años. Su papel debería ser la de prescribir al negocio cómo hacer las cosas y tiene que tener un papel de liderazgo y poner foco en la agilización de los procesos. Es fundamental que pasen a un modelo que de respuesta a los problemas en un entorno en el que los ciberataques se incrementan”. Por su parte, el portavoz de Wolters Kluwer fue tajante al asegurar que “si una empresa no confía en la figura del CISO, es mejor no tenerlo en la empresa. Los CISO, además, comunicamos muy mal porque la educación que hemos recibido nunca ha sido la de poder comunicar. En cuanto al talento, sí que hay, lo que ocurre es que hay poco personal”. En este sentido, desde SonicWall, Luis Fisas, aseguró que “nos encontramos con la desalienación entre las necesidades de la empresa y lo que se estudia. Hay que enfocarse en las necesidades de las empresas y la sociedad tiene que entender hacia dónde va el futuro”. Finalmente, la portavoz de Sothis cree que “los CISO deben ser, a la vez, estratégicos y tácticos mientras actúan como un conductor entre el negocio y TI. Una comprensión del negocio y una habilidad para comunicar sobre seguridad, riesgos y cumplimiento regulatorio es crucial. El CISO debe ser capaz de entender la estrategia del negocio, desarrollar un plan de seguridad de la información que sea medible , comunicar de forma honesta y transparente con los líderes”
Los riesgos
Evidentemente la seguridad al 100% no existe y cualquier empresa independientemente de su tamaño y del sector en el que opere, puede sufrir un ciberataque. Pero, además, la mayoría de las organizaciones suelen incurrir en riesgos sinsentido. En opinión de Luis Fisas, “en la actualidad, el BYOD pasa a ser el bring your own application. Uno de los riesgos es que nos encontramos con que las empresas tienen aplicaciones que ni el propio CIO sabe. Esto es una puerta más. Lo que hay que tener claro es que ya no vivimos en castillos, ahora vivimos en aeropuertos y ya no podemos retroceder a la etapa del castillo. Así que la realidad es que no estamos prestando atención a los nuevos agujeros de seguridad”. Para Daniel Puente, “el problema es que estamos normalizando lo anormal. En mi opinión uno de los riesgos viene por parte del Internet de las Cosas. La verdad es que yo no entiendo por qué hay que tener conectados dispositivos que no los estamos aislando. Por ejemplo, ¿de verdad un peluche de un niño necesita tener conectividad a Internet? ¿Sabemos los riesgos que puede tener? Para Miguel Ángel Cervera, uno de los riesgos radica en que “la estrategia de seguridad que hemos tenido hasta ahora, no da cobertura a las necesidades actuales. Hay otro punto que es la actualización continua para prevenir ataques. Se requiere que la forma en la que gestionamos los datos se encuentren en la última versión. Además también señalaría la carencia del talento porque con la complejidad que estamos teniendo requiere más formación y finalmente está la concienciación interna. No sólo el CISO, todos deberían tener la securización de los datos en nuestro hábito de trabajo y para esto queda mucho camino por andar”. Para Miguel López de Barracuda, “se pueden poner muchos ejemplos de cosas que se están haciendo mal, pero básicamente el problema es que la seguridad no se incorpora como un elemento básico de los procesos de negocio de una empresa. Cuando se compra una empresa, por ejemplo, rara vez se mete la ciberseguridad en los elementos de análisis de compra. Además, la seguridad no se incorpora desde la fase de diseño en muchas ocasiones”.
Para evitar estos riesgos están apareciendo nuevas tendencias que mejorarán la estrategi de ciberseguridad. En este sentido, Isaac Carreras afirma que “es imparable la adopción de la inteligencia artificial y el machine learning, pero es otra moda o tendencia del mercado porque no todo lo que reluce es machine learning. Igual que la gente se está yendo al cloud y comete errores, lo mismo ocurre con la adopción de la inteligencia artificial. Además, todos los fabricante ofrecen soluciones de IA y no siempre es cierto. Según estudios no se puede permitir que la IA gobierne todo porque tiene sesgos y puede tomar decisiones incorrectas. Si esto se lleva a ciberseguridad quiere decir que hay que gobernarla porque si se confía demasiado en la IA o el machine learning, como se rompa el modelo, eres 100% vulnerable. Además los malos también tienen machine learning”.
Para Miguel López de Barracuda, “como cualquier herramienta, machine learning se puede utilizar de forma correcta o incorrecta pero no se debe creer que son la panacea. Es verdad, que IA y machine learning son componentes imprescindibles en las herramientas de seguridad, pero eso no significa que por utilizarlas nuestra empresa vaya a ser infranqueable. Hay que tener claro que la IA es una herramienta más pero no es la solución definitiva”.
Como explicaron los asistentes la estructura de defensa hay que cambiarla. En este sentido, para el responsable de Microsoft, “hay un nuevo paradigma que no se resuelve con los modelos tradicionales. La inteligencia artificial y el machine learning son fundamentales para este nuevo modelo. Machine learning ayuda a dar contexto para resolver el 100 % de alertas, que antaño no se podían resolver”.
Por su parte el portavoz Luis Fisas cree que “hoy es imposible defenderse sin estas herramientas pero es importante saber distinguir. Para que la inteligencia artificial funcione necesita tiempo para aprender y millones de datos. El nivel de variantes que hay es brutal. Hay que tener en cuenta que un hacker invierte un 80% de lo que gana en nuevas herramientas, por lo que la IA es imprescindible para defenderse. Hoy al cliente le explicamos en qué consiste, pero dentro de 10 años ya se dará por supuesto que una solución de seguridad emplea IA”.
Finalmente Catalina Jiménez cree que “lo más elemental es no cubrir los fundamentos básicos de ciberseguridad. Por ejemplo, algo tan simple como parchear regularmente los sistemas puede bloquear hasta un 78% de las vulnerabilidades internas en una organización. Además, falta de una política de ciberseguridad. No se prioriza que la política de ciberseguridad es un problema; y el que los empleados no la hagan suya es algo que las organizaciones no se pueden permitir hoy en día. Así como las compañías buscan expertos fuera de su organización para aspectos legales y financieros, de la misma forma deben buscar ayuda de expertos en ciberseguridad y protección de datos”.
El perímetro
Una de las claves en los cambios que se han producido en la forma de defenderse se encuentra en el perímetro. Para el portavoz de SonicWall, “el perímetro ha variado. El problema es que el perímetro corresponde a tecnologías muy poco definidas, por que se se apuesta por tecnologías zero trust. Nosotros nos enfocamos mucho en el tema de las credenciales porque es fundamental saber quién es quien”. Para el CISO de Wolters Kluwer, “con el perímetro hay que tener herramientas multicapas y ser multidisciplinar porque se ha convertido en algo muy complejo. El perímetro hoy es la identidad saber que quien está conectado es la persona que dice ser”. Por su parte, Miguel Ángel Cervera de Microsoft, afirmó que “no se trata de securizar el perímetro sino gestionar la identificación de la persona. La inteligencia artificial y machine learning permiten anticipar lo que pueda estar pasado para dar respuesta a todo el ciclo de uso, desde entorno el multicloud, hasta la gestión de la actividad de las apps. Se trata de realizar un enfoque holístico”.
Para Miguel López de Barracuda, “el perímetro como concepto ha muerto. Hay que implementar una política de seguridad que englobe a aplicaciones, al cloud, a los dispositivos móviles, etc. Porque los ataques van a venir desde el punto más vulnerable. Hay que aplicar una política global que no es el perímetro tradicional. También es necesario hacer un análisis de riesgos para ver dónde se es más vulnerable y detectar cuáles son los entornos mas críticos para la empresa para incidir primero en esa parte. El análisis de riesgos con un concepto holístico te va a permitir cuales son las fases”.
Por su parte Isaac Carreras de IaaS365 consideró que “hay que hacer un enfoque sobre el dato. Acompañarle en el ciclo de vida que tiene ese dato. Pero sobre todo hay que dar por hecho que vas a ser hackeado porque te hace pensar, en cómo pensar y en dar respuesta al problema que te puede venir”.
Para finalizar, la responsable de Sothis cree que “para abordar esta realidad se han desarrollado distintos modelos, uno de ellos es la “deperimeterization”, que es una estrategia para proteger la información de una organización en múltiples niveles utilizando cifrado y autenticación a nivel del dato. Este concepto está íntimamente alineado con el modelo de “zero trust”, en el cual el diseño de la arquitectura previene a un usuario el acceso a los datos hasta que no ha sido extensivamente inspeccionado y autenticado”.
EMPRESAS PARTICIPANTES
Barracuda Total Email Protection.
Esta solución para O365 es un bundle de diferentes elementos, los cuales pueden adquirirse de forma conjunta (el paquete llamado “TEP”) o bien por separado. Barracuda TEP incluye soluciones de seguridad preventiva como Barracuda Email Security Service (BESS), una solución de seguridad perimetral para incrementar la protección nativa de O365 frente a Spam, malware, spyware, ransomware,… incluye sandboxing, antispam avanzado y cifrado del correo saliente así como una herramienta de continuidad de correo. Barracuda Sentinel (SL), una solución de inteligencia artificial aplicada a O365 orientada a proteger a sus usuarios frente a ataques de “Spear Phishing” e ingeniería social; Barracuda Forensinc & Incident Response (FIR), para el análisis forense, identificación, seguimiento y resolución de ataques al correo electrónico. Barracuda Cloud Archiving Service (BCAS), una solución de archivado de correo que permite guardar una copia de todos los correos enviados y recibidos en nuestro cloud de forma independiente al de MS. Barracuda Cloud to Cloud Backup (CCB): es la solución para el Backup directo a nuestro cloud (en la UE) de los datos de Exchange, OneDrive y SharePoint y Barracuda PhishLine (PH) para la implementación del FW humano, es decir, training online personalizable para los empleados en materia de autoprotección frente a ataques al correo.
Iaas365
Desde IaaS365 consideramos que, en un mundo tan exigente, dinámico y competitivo, la Ciberseguridad es un elemento clave para la viabilidad y supervivencia de las compañías durante los próximos años. Nuestro objetivo es convertir las amenazas actuales en oportunidades para el Negocio, proponiendo una visión end-to-end de la Ciberseguridad e impulsándola como un elemento crítico dentro de la estrategia corporativa de nuestros clientes, ya que no sólo como consultor tecnológico somos conscientes de los retos y desafíos a los que se exponen las organizaciones, sino que como proveedor Cloud (Managed Service Provider), tenemos asumida la responsabilidad de ser evangelizadores de la ciberseguridad desde el principio y realizar un acompañamiento en las empresas para que la experiencia y la adopción de los servicios Cloud sean seguros.
Microsoft
En Microsoft invertimos 1.000 millones de dólares cada año en reforzar la ciberseguridad de nuestros servicios y, además, contamos con más de 3.500 profesionales dedicados específicamente a velar por la protección, defensa y respuesta a las amenazas que aparecen cada día. Gracias a ello, proporcionamos un nivel de seguridad a todos nuestros clientes, sin importar su tamaño, muy por encima de lo que podrían alcanzar incluso grandes multinacionales con infraestructuras propias. Con Microsoft 365, damos respuesta a la securización, modernizando el puesto de trabajo con una estrategia zero-trust centrada en la protección de la identidad y en la gestión proactiva de amenazas. Al ofrecer una visión plataformada, los servicios que integra esta plataforma ofrecen una aproximación holistica a la seguridad, incluyen siempre las últimas novedades y facilitan la gestión administrativa. Las organizaciones que utilizan Microsoft 365 reducen hasta en un 55% el volumen de brechas de seguridad y en un 88% los costes de remediación a la vez que incrementan la productividad en +4 hrs a la semana con herramientas como Microsoft Teams.
Sonicwall
Sonicwall ha anunciado el lanzamiento de la nueva versión 2.0 de CAS (Cloud Application Security), la suite SaaS de servicios para protección empresarial del correo electrónico en la nube (O365/G-Suite)y de aplicaciones SaaS vía API, así como avanzadas funciones para evitar el robo de credenciales (el nuevo perímetro en las compañías) y la fuga de datos / cumplimiento normativo. Cloud App Security se integra perfectamente con las aplicaciones SaaS autorizadas (Suites completas de Office 365, Google Suite, Dropbox, Salesforce, Box, etc.) mediante API nativas de conexión a estas plataformas. Este enfoque proporciona seguridad avanzada antimalware de tipo desconocido para el correo electrónico y funciones Cloud Access Security Broker (CASB), que son necesarias para proteger el panorama SaaS actual.
Sothis
En Sothis dedicamos tiempo y esfuerzo para entender de forma detallada como definen nuestros clientes el éxito; con ello les ayudamos a utilizar los avances tecnológicos, simplificar la complejidad de TI y optimizar sus entornos de forma tal que puedan habilitar nuevas aplicaciones, generar nuevas experiencias de usuario y desarrollar nuevos modelos de negocio. Sothis provee su conocimiento y experiencia a través de un modelo de ciclo de vida TI, lo que nos permite diseñar la arquitectura de transformación que encaje con la estrategia de negocio de nuestros clientes, y que los lleve a ser más eficientes, más productivos y a estar mejor protegidos.Hemos demostrado éxito en la ingeniería y el despliegue de soluciones utilizando el modelo de ciclo de vida TI lo cual ha permitido a nuestros clientes aprovechar al máximo el complejo y cambiante panorama tecnológico actual. Este éxito está respaldado por nuestros servicios profesionales que incluyen la consultoría y estrategia, los servicios gestionados y la seguridad y defensa de las personas, los procesas y la información, principales activos de las organizaciones, lo que nos permite conseguir excelencia en innovación y satisfacción del cliente
Wolters Kluwer
es la compañía líder en software de gestión, información y servicios para despachos profesionales y empresas, con una cifra de negocio de 4.260 millones de euros anuales (2018) y más de 19.000 empleados en todo el mundo. En España, Wolters Kluwer es la única compañía que ofrece soluciones integrales de software de gestión, información, servicios y formación a Pymes (a3ERP), Despachos Profesionales (a3ASESOR) y Departamentos de Recursos Humanos (a3EQUIPO), que son el referente y la ayuda imprescindible para mejorar su eficiencia y competitividad. Además, la compañía ha lanzado a3innuva, la nueva suite online que ofrece al asesor y a la pyme un entorno colaborativo que conecta el negocio de ambos.
Nota: sólo los miembros de este blog pueden publicar comentarios.