EncuentrosCiberseguridad

Tour Ciberseguridad 2022: Establecer una estrategia de seguridad corporativa tiene que ser una prioridad

“El río Guadalquivir va entre naranjos y olivos”, decía Lorca en uno de sus poemas y, aunque a su paso por Sevilla se camufla también entre los edificios, sigue dejando una estampa bonita, algo de lo que pudieron disfrutar los asistentes al encuentro del ‘Tour de Ciberseguridad’ que ha organizado Computing en la ciudad hispalense.

Enclavados en la orilla del río y con vistas a la Torre del Oro, expertos del ámbito de la ciberseguridad, tanto de la Administración Pública como empresas del entorno privado, se reunían en el restaurante Abades Triana para debatir sobre el estado actual en el que se encuentran las organizaciones, cada vez más concienciadas y comprometidas con la protección de sus datos.

El debate comenzaba con una ronda de presentaciones en la que los asistentes aprovechaban para comentar el plan estratégico de su empresa u organización en materia de ciberseguridad. Un plan en el que tienen que alinearse múltiples factores como son la seguridad del dispositivo tanto a nivel software como hardware, estar al tanto de las actualizaciones, la gestión de acceso e identidades e integrar los sistemas, entre otras cosas, algo para lo que es fundamental contar con un compañero de viaje que les ayude en ese proceso. En la mesa, HP, VMware, WatchGuard-Cytomic yCGI, en representación de Oktatendían su mano con el objetivo de ofrecer ideas y soluciones tecnológicas.

En este sentido está trabajando la Junta de Andalucía, a través de la Agencia Digital, un nuevo organismo creado recientemente con el objetivo de ‘sinergiar’ todas las competencias TIC dentro de la Administración y, lo que está haciendo, es unificar todos los planes de seguridad que cada organización ha ido aplicando desde 2007 para establecer un plan a nivel de gobierno, cumplimiento y concienciación que sirva para todos de forma estandarizada. Adolfo García, jefe del servicio de Telecomunicaciones de este organismo, señalaba que “es un momento de redefinición de escenarios para alinearlos en el mismo track y poder seguir avanzando en la misma dirección”.

Destaca el papel de la Universidad de Granada en esta dirección, primera universidad en recibir el certificado ENS, según señalaba su CTO, Antonio Ruiz Moya. “Fabricamos conocimiento y la seguridad es muy importante para nosotros, manejamos la información de más de 80.000 usuarios y para nosotros es esencial tener una política de seguridad corporativa”. La primera que puso en marcha fue en 2003, al crear unos índices de seguridad para proteger la información de la comunidad universitaria, siendo pionera en la región autónoma y un referente para otras políticas que se fueron adaptando más tarde, como reconocía más adelante el responsable de la Secretaría Técnica de la Asociación de Telecomunicaciones de Andalucía, José Manuel Muñiz.

Un partner de confianza

En cuanto a las empresas presentes, había tres pymes andaluzas y, todas ellas, apostando por mejorar la protección de su negocio. Spagnolo, Grupo Iturri y San Telmo Business School mostraron su preocupación y concienciación en este aspecto, señalándolo como un problema de todos con la consecuente concienciación del empleado y de la dirección por tener sus datos protegidos y estar prevenidos con un protocolo de actuación en caso de sufrir un ciberataque. Así, realizan simulacros de phishing y manifestaban estar al tanto de las soluciones que ofrecen los proveedores de ciberseguridad para integrarlas en su empresa, sin escatimar en gastos tecnológicos y con el fin de “mantener la reputación del negocio y no comprometer los datos de los clientes”. El problema y los esfuerzos deben ir dirigidos a cómo detectar rápidamente cuando hay un problema de seguridad y ser capaces de ejercer una respuesta de manera ágil.

Tour Ciberseguridad 2022, Sevilla.
Tour Ciberseguridad 2022, Sevilla.

¿Existe déficit de concienciación?

Las posturas en cuanto a este tema eran diversas, aunque fueron acercándose a medida que avanzaba el encuentro. La conclusión es que hace falta una cultura de ciberseguridad y, para ello, no basta solo con conocer los problemas a los que se enfrentan las empresas, sino también en tomar medidas. Ante esta situación, hubo quorum en cuanto a que las empresas prioricen más su seguridad en sus planes de gasto, porque esa inversión, a la larga, puede suponer un ahorro.

Ángel Quiles, director de Sistemas y Desarrollo de la Confederación de Empresarios de Andalucía, hablaba del virus informático y lo comparaba con el virus físico que ha parado el mundo durante dos años. “La pandemia ha cambiado muchas cosas, el ransomware ha hecho mucho daño y la transformación digital ha provocado que veamos la ciberseguridad como una necesidad, pero sigue faltando implantar las soluciones porque, aunque exista concienciación, las organizaciones no están preparadas técnicamente y es importante trabajar de la mano con ellas”.

Respecto a este tema, se hizo referencia a la falta de actuación hasta que no vemos el problema de cerca. “Hasta que no le pasa al vecino no somos conscientes de que también nos puede pasar a nosotros” o, dicho de otra forma y tirando del refranero español, “cuando ves las barbas de tu vecino cortar, pon las tuyas a remojar”, incidiendo en la importancia de una actuación más preventiva.

A pesar de que hay concienciación en cuanto al riesgo, se señaló que las empresas muchas veces no ven la seguridad como una de sus prioridades, ni saben qué es lo que necesitan implantar. De ahí que, desde la Cámara de Comercio, se incidiese en la importancia de realizar diagnósticos y labores de asesoramiento. Las empresas deben conocer que hay soluciones de seguridad para todos los bolsillos y existen formas de financiación para conseguir este propósito, como puede ser el Kit Digital, las ayudas que otorga el Gobierno para que las empresas puedan, entre otras cosas, adquirir soluciones de seguridad. “La posibilidad está ahí, pero habría que obligarlas a hacerlo”, decía Francisco Leal, CIO de la Cámara.

La solución planteada por una parte de la mesa es imponer unas medidas básicas. “Incluir la seguridad por ley y por defecto, igual que un coche tiene que tener airbag o cinturón, las empresas que vendan cualquier dispositivo o servicio tecnológico deberían tener unos mínimos”, a lo que Melchor Sanz, CTO de HP, respondía que “antes de que a nivel legislativo se aprobase una ley que garantizase que todos los coches tenían que incluirlo, Volvo lo proporcionaba”, añadiendo que, “ya hay empresas como HP que lo hacen”.

Aunque la concienciación es la fase previa, la conclusión general es que hace falta tomar ese camino de acción, tanto por parte de las empresas como a nivel legislativo. Abogando por la cultura de la ciberseguridad, se hizo mención también a la rentabilidad que puede suponer leer términos y condiciones al adquirir un servicio o instalar una aplicación.

¿La nube, más o menos segura que in house?

Ni más ni menos, sino diferente. La conclusión es que, aunque ya se haya superado la falsa creencia de que la nube no es segura, siguen existiendo reticencias. “Existen riesgos y peligros similares, lo único que cambia es el paradigma, haciendo que partners y usuarios tengan una responsabilidad compartida”. Por ello, para una empresa que no dispone de un buen sistema de protección in house, “confiar en un tercero para acometer esa seguridad es una buena opción y lo que tiene que hacer entonces es analizar el coste de oportunidad y decidir cuánto está dispuesto a invertir para securizar su negocio”

En resumen, la síntesis de la situación actual de las organizaciones en Andalucía es que es necesaria una política de seguridad corporativa donde todos los activos estén protegidos; para ello, hay que comprometer a toda la empresa con objeto de que entiendan que la seguridad del negocio es una responsabilidad de todos, desde el CIO hasta la trabajadora de la limpieza.

Melchor Sanz, CTO de HP

“HP ofrece una seguridad total en el dispositivo”

La ciberseguridad ha avanzado radicalmente durante los últimos años. Tanto las empresas privadas como las Administraciones Públicas se encuentran en estos momentos más sensibilizadas y ya no es un parche que quieran poner a sus sistemas, sino algo totalmente recomendable, siendo ellos mismos los que piden que la seguridad sea parte de los nuevos diseños y soluciones, procesos y nuevas formas de trabajar. En este sentido, las grandes organizaciones ya tienen sus entornos securizados; sin embargo, la Administración Pública y la pyme siguen teniendo un largo camino que recorrer para apostar por la securización en el dispositivo.

Esta es una labor que HP pretende garantizar para todo tipo de entidades, incluyendo tanto las características de fabricación como el diseño para que sean fácilmente integrables y se pueda aplicar la seguridad en cualquier fase de su utilización, independientemente del tamaño de la empresa o de si es pública o privada.

Francisco José Verdugo, Senior Partner Solution Engineer de VMWare

“Nuestro approach es ofrecer una seguridad cross”

Nosotros nos encargamos de gestionar los dispositivos de forma segura y de que los sistemas se integren con garantías en todos los dispositivos. Y, aunque a priori podamos pensar que son más seguros los sistemas de seguridad tradicionales porque estamos acostumbrados a proteger todo lo que hay en nuestro perímetro, hoy en día cada vez tenemos más aplicaciones que ya están dando servicios en la cloud, por lo que existe una problemática de seguridad nueva y los fabricantes hemos evolucionado para garantizar la protección en ese modelo híbrido y multicloud en el que nos va a tocar vivir a partir de ahora.

Nuestro approach es ofrecer una seguridad cross, es decir, que sea igual de efectiva estemos dentro o fuera de la oficina y que además nos facilite el control en diversos aspectos de la ciberseguridad, como en el control de accesos, para evitar fugas de datos e incluso para establecer una VPN por aplicación y por usuario de forma que sea más sencillo de gestionar y securizar.

José Manuel Kiernan, Gerente del Área de Gestión de Identidades de CGI, partner de Okta

“La identidad digital se ha convertido en el nuevo perímetro de la seguridad”

Cada vez hay más ciberataques y estamos más expuestos, por lo que un paso obligado es la protección del perímetro. Pero hay que tener en cuenta que cada vez hay más dispositivos en distintos frentes y el usuario es el que está accediendo a todos ellos, incluso desde una localización remota; ello desemboca en que la identidad digital se haya convertido en el nuevo perímetro de la seguridad. Es en este aspecto donde centramos nuestros esfuerzos.

Nuestra compañía lleva tres años trabajando con Okta para ofrecer soluciones de gestión de acceso y de identidades que nos pueden aportar seguridad a la hora de acceder a nuestros sistemas, incluyendo herramientas como el doble factor de autenticación, la huella digital o el reconocimiento facial. Además, gestionar todo el ciclo de vida de las identidades nos hace evitar que los usuarios acumulen permisos innecesarios y, a medida que tengan menos privilegios, nos estaremos acercando más a la filosofía Zero Trust.

Miguel Carrero, Vice President, Security Service Providers & Strategic Accounts de WatchGuard Cytomic

“La seguridad de red y la seguridad wifi son claves en la estrategia de watchguard”

Con la explosión del teletrabajo se ha producido una migración a la nube, no es más ni menos segura, pero sí es importante saber aplicar cuáles son los principios de seguridad que siguen siendo válidos en este entorno. Por otro lado, hay que saber que la red no desaparece, se transforma, algo que tenemos en cuenta, por lo que la seguridad de red y seguridad wifi son puntos fundamentales dentro de la estrategia de WatchGuard. Pero también lo es el endpoint, que esté donde esté, es donde se recluta la información y es un elemento de seguridad crítico.

No hay que olvidar otro concepto esencial, que es el de la identidad digital, toda vez que su gestión es crítica para la implementación de modelos Zero Trust. Debemos asumir que la seguridad no es un generador de negocio, pero es un elemento imprescindible para que funcione y, para ello, tenemos claro que nuestra estrategia puede ayudar a la sociedad y a las corporaciones a protegerse ante los ciberataques.

Computing 815