EncuentrosCiberseguridad

Tour Ciberseguridad 2022: El camino a la seguridad, una carrera de fondo

La ciberseguridad adquiere cada vez mayor peso en las organizaciones, sobre todo en las públicas, que tienen que ser las más garantistas y, a su vez, las que más brechas pueden tener debido a su proceso de digitalización, históricamente más lento que el del sector privado.

La ciberseguridad adquiere cada vez mayor peso en las organizaciones, sobre todo en las públicas, que tienen que ser las más garantistas y, a su vez, las que más brechas pueden tener debido a su proceso de digitalización, históricamente más lento que el del sector privado. Computing ha reunido en Valencia a profesionales TI de la Comunidad Valenciana de la mano de HP, Sothis, como partner de Okta, WatchGuard-Cytomic y VMware para hablar sobre hasta qué se ha diseñado un plan sólido de seguridad en sus organizaciones, tanto públicas como privadas.

En el caso concreto del sector público, los expertos aludieron claramente a la importancia que otorga el conocido como ‘Modelo Valenciano de Ciberseguridad’ a “la colaboración y coordinación de esfuerzos con empresas privadas que aporten su saber hacer, y entre organismos públicos”. El Modelo Valenciano de Ciberseguridad es la evolución del plan de choque de Entidades Locales puesto en marcha en el mes de junio de 2021 por la Conselleria de Hacienda para proteger a los municipios de los principales ciberataques, y se ha convertido en un “ejemplo a seguir para el Centro Criptológico Nacional (CCN-CERT), que ahora busca expandirlo al resto de comunidades autónomas, sobre todo, como medida de protección ante la escalada de amenazas cibernéticas derivadas del conflicto bélico Ucrania-Rusia”, según destacó José Manuel García Duarte, director general TIC de la Dirección General de Tecnologías de la Información y la Comunicación (DGTIC) de la Generalitat Valenciana.  

Según este plan, desde un mismo centro de respuesta a incidentes -en este caso desde el Centre de Seguretat TIC de la Comunitat Valenciana (CSIRT-CV)-, se da servicio tanto a la Generalitat, como a todas las entidades locales del territorio, a sus ciudadanos y al tejido empresarial. “Se trata de una plataforma liderada por el CCN-CERT que interconectará los principales centros de respuesta ante incidentes de España, públicos, privados y de distintos sectores, con el fin de compartir e intercambiar información de incidentes y coordinar su respuesta de la forma más eficiente y satisfactoria posible”, explicó Mercedes Baroja, jefa de Servicio de Ciberseguridad Corporativa de la DGTIC de la Generalitat Valenciana. Para ello ha sido necesario que desde la Conselleria de Hacienda se ampliaran tanto las infraestructuras TIC como las capacidades de atención del CSIRT. En este sentido, “la Generalitat cuenta con un presupuesto superior a 200 millones de euros”

La inversión de recursos, “que en principio se pensaba que sería destinada a otras actividades”, está siendo redirigida a la ciberseguridad. Todas las organizaciones son susceptibles de ser víctimas de un ciberataque, pero algunas son especialmente sensibles ya que, si sus datos fueran comprometidos, además del impacto reputacional, “los efectos a nivel económico serían muy graves”. Es el caso, por ejemplo, del Puerto de Valencia, “por el que pasa todo el comercio de la Comunidad Valenciana”, indicaron José Fernández y Luis Agustín Fonfría, responsable de Sistemas y jefe de Ciberseguridad de la Autoridad Portuaria, respectivamente. Por su parte, Mercedes Carbonell, directora de Sistemas de Información de Boluda Corporación Marítima, también reclamó que “las empresas del Puerto de Valencia, tanto públicas como privadas, deberían colaborar más y compartir información valiosa para todos”.

No obstante, aunque la compartición del know how es un plus, cada organismo tiene sus necesidades. “No es lo mismo un ayuntamiento de una localidad de 1.500 habitantes que de 25.000, ni a nivel de recursos ni de gestión, pero en todos se exigen los mismos estándares de calidad”, señaló Eusebio Moya, jefe del Departamento de Protección de Datos y Seguridad de la Información de la Diputación de Valencia. En la Diputación cuentan con dos líneas de trabajo: “Una más informática y otra más a nivel normativo, por la que supervisamos que todas las medidas se ajustan al Esquema Nacional de Seguridad y al RGPD”, explicó José Benedito, jefe del Servicio de Informática y Administración Electrónica de la Diputación, quien aclaró que “cumplir con la normativa no te libra de ser víctima de un ataque, pero sí de pagar la multa”. Para los próximos dos años, la Diputación ya tiene una hoja de ruta, por la que ejecutará un plan de copia de seguridad en la nube de los datos de todos los ayuntamientos de la Comunidad menores de 20.000 habitantes.

Tour Ciberseguridad 2022, Valencia.
Tour Ciberseguridad 2022, Valencia.

Conjugar seguridad y accesibilidad

El equilibrio entre seguridad y dotar al usuario de un fácil acceso a los sistemas, en el caso del usuario interno, y a los servicios, en el caso del usuario externo, no deja de ser difícil. “El usuario nunca se tiene que ver penalizado”, indicó Ismael Gourinda, administrador de Sistemas de Caixa Popular. Desde la entidad bancaria celebran que un organismo tan importante como el Banco de España haya adoptado el marco de pruebas de ciberseguridad TIBER-EU, que tiene como objetivo fortalecer la ciberresiliencia de las instituciones financieras que operan en España. “Esto impulsa también la creación de los ciberseguros y que, cuando se otorga un préstamo a una empresa, no se mire únicamente el riesgo financiero, sino también el tecnológico”, añadió José María Cervigón, director de Informática de la entidad.

Otro sector de suma criticidad es el sanitario. Para Salvador Carreres, coordinador de Informática del Hospital Lluís Alcayís de Xàtiva, los tres pilares de un plan sólido de seguridad están claros: concienciar a los empleados, invertir en soluciones de confianza y, sobre todo, realizar auditorías eventualmente, que “constituyen la mejor forma de valorar tu situación real”. En el hospital se enfocan en el desarrollo de proyectos de seguridad anuales y cuentan con un SOC externo que monitoriza las amenazas y codifica las alertas según su gravedad. Jorge Navarro, ingeniero de Aplicaciones y Sistemas del Servicio de Informática del Hospital Llíria, va un paso más allá: “Considero que, además de concienciar, habría que imponer sanciones a aquellos empleados que no cumplen las medidas de seguridad. No entiendo cómo el manejo de sistemas críticos no está respaldado por un certificado de riesgos laborales”.

Sin embargo, por donde primero hay que empezar a concienciar es por la dirección, que parece que ya se está tomando más en serio la ciberseguridad, “sobre todo cuando ve que atacan al vecino”, apuntó Miguel Ángel Royo, CIO de Grupo Gimeno. Por su parte, Jaime Luis Busquet, director de Sistemas y Comunicaciones de la Universidad Politécnica de Valencia, celebró la ubicación de los perfiles de seguridad en las mesas de dirección, lo que está impulsando la cultura de la seguridad en las empresas. La Administración también está avanzando en este sentido: ha creado, por fin, la figura del CISO. Aunque, según el origen de cada institución, el avance es más o menos rápido. En el caso del Consejo Jurídico Consultivo de la Comunidad Valenciana, la unidad de Tecnología se creó en 2017, por lo que “ha habido que empezar de cero hace relativamente poco, desde implantar un plan de contingencia hasta concienciar de la importancia de las contraseñas más complicadas”, contó Amparo Belmonte, jefa de la Unidad TIC, quien toma como modelo a su “hermana mayor, la DGTIC”.

Para poder implementar correctamente cualquier plan de seguridad, los expertos reclamaron talento cualificado, “muy escaso actualmente”, y “la visión de la ciberseguridad como una inversión, no como un gasto”. Simplemente echando un vistazo a los fondos europeos, se puede observar que “la seguridad no cuenta con una partida específica”. Los expertos lamentaron que, sin ir más lejos, el Kit Digital contemplara más la adquisición de soluciones ofimáticas para pymes que de servicios gestionados o servicios de auditoría. Sin embargo, el mensaje de los profesionales es optimista: “España es uno de los países de Europa más preparados a nivel de ciberseguridad, aunque nos quede camino por recorrer”, pero este camino tiene visos de ser una carrera de fondo, más que de velocidad.

Alejandro Curto, Cibersecurity Sales Manager de HP

“Apostamos por un enfoque Zero Trust, analizando y catalogando las amenazas”

Las cifras de brechas de seguridad demuestran que, generalmente, el eslabón más débil de la cadena de accesos por el que puede entrar un ciberataque es el usuario. Por este motivo, es vital que las organizaciones creen programas de educación y concienciación sobre ciberseguridad, para formar una cadena de trabajo sólida, con todos sus eslabones fuertes y preparados para posibles intromisiones sospechosas.

No obstante, desde HP, apostamos por un enfoque Zero Trust, centrándonos en identificar, analizar, catalogar y, por lo tanto, controlar las potenciales amenazas. En este sentido, es fundamental contar con la mayor cantidad de información posible acerca de las ciberamenazas que acechan a las compañías, para estar prevenidos y evitar riesgos de robo de datos y daños en el negocio, tanto reputacionales como económicos, y que se genere un perjuicio al cliente.

Jorge Pages, Sales Engineer de WatchGuard-Cytomic

“Las empresas demandan un servicio integral de seguridad, de extremo a extremo”

Los ataques han ido evolucionando con el paso del tiempo, y las compañías hemos tenido que ir adaptándonos a estos cambios, desde la aplicación del antivirus hasta los sistemas Endpoint Detection and Response (EDR), Extended Detection and Response (XDR) o Managed Detection and Response (MDR). También ha cambiado la forma en la que se aplica la seguridad: de simplemente instalar un software, las empresas han pasado a demandar un servicio integral, con capacidad de reconocer un ataque en su conjunto, analizando los momentos previos y posteriores al evento, para detectar causas y consecuencias de este.

Desde WatchGuard-Cytomic optamos por realizar un análisis forense de las brechas de seguridad en el que converjan la telemetría 24/7 de todo el perímetro del empleado, incluyendo el puesto de trabajo remoto, los endpoints y las redes wifi, para tener una visión de extremo a extremo de todo el entorno que aporte respuestas.

Francisco José Verdugo, Senior Partner Solution Engineer de VMware

“Ofrecemos un modelo de seguridad cross, que tiene en cuenta el contexto”

Antes de que el trabajo remoto fuera más una excepción que una norma, la seguridad abarcaba un escenario muy acotado que se ajustaba a la oficina. Actualmente, el perímetro se ha expandido, los sistemas y aplicaciones ya no se hayan únicamente en un data center, sino que las organizaciones empiezan a consumirlos en la cloud, por lo que ya no hay que proteger una fortaleza estanca, sino que es necesario aplicar un modelo igual de hermético, pero mucho más ágil y teniendo en cuenta el contexto: desde qué tipo de dispositivo se conecta el usuario, a qué red, -corporativa o doméstica-, con qué sistema de autenticación, etc.

En VMware ofrecemos a las compañías implementar un modelo único, que aplique una seguridad cross de última generación indistintamente de la ubicación del usuario, evitando así la multiplicidad de soluciones y consolas, con un approach, no solo basado en patrones, sino también en contexto, y a nivel de red, aplicaciones y sistema operativo.

Miguel Monedero, Head of Information Security de Sothis, partner de Okta

“Protección para los vectores de ataque, los endpoints y la identidad digital”

En lo referente a las medidas de protección de datos y defensa del negocio, las organizaciones, tanto públicas como privadas, deben centrarse en tres focos principales: el primero es proteger los vectores de ataque, es decir, sellar las posibles brechas de seguridad, que pueden ser desde el correo electrónico hasta un dispositivo móvil. Este último debe ser especialmente protegido, ya que el segundo foco incluye blindar, sobre todo, los endpoints, todos aquellos dispositivos que se pueden convertir en un punto de fácil acceso a los sistemas de información de la empresa. Para la correcta securización del endpoint existen sistemas de protección avanzada como los EDR, XDR o MDR.

Y el tercer foco se basa en establecer una política de identidad digital, mediante sistemas de doble factor de autenticación y control de identidades y su ciclo de vida. En este punto también es muy importante la transparencia. Una compañía debe conocer quién accede a sus activos y quién tiene permitido el acceso.

Computing 814