EncuentrosCiberseguridad

Tour Ciberseguridad Madrid 2022: Nuevo objetivo, proteger al usuario

Las compañías han pasado de aplicar protección a sus sistemas a aplicarla directamente a todos los dispositivos, herramientas y accesos que pueda tener el usuario, asegurando todo su recorrido. De cómo conseguirlo hablaron en el Tour de Ciberseguridad de Computing, que ha hecho su última parada en Madrid, con récord de participación.

Hasta 23 expertos en ciberseguridad de distintas organizaciones se reunieron en el encuentro en Madrid del Tour de Ciberseguridad 2022 de Computing. Un Tour que previamente ha pasado por las ciudades de A Coruña, Bilbao, Barcelona, Valencia y Sevilla para hacer una radiografía del estado de la seguridad en España con la colaboración de HP, VMware, WatchGuard Cytomic, Okta y Wise Security Global.

En el encuentro participaron, de izquierda a derecha: Nuria Lizarbe de Airbus, Antonio Antúnez de Bergé y Compañía, Ricardo Herrero de Centro de Estudios Hidrográficos – CEDEX, Ángel Gálvez de Dufry, Sonia del Castillo de Dufry, Alejandro las Heras de Eulen, Mariano Tejedor de ICEX, Carlos Garriga de IE University, Mario García de JSV Logistic, Javier Turégano de Macmillan Education, Alejandro Expósito de Merck, Carlos Bartret de MetLife, Javier Loma de Padecasa Obras y Servicios, Jesús Aragoneses de Pfizer, Pedro Navas de PONS, Manuel Tarrasa de Prosegur, Ángel Luis Sánchez de Servicio Madrileño de Salud (SERMAS), Alberto López de Solaria Energía, José Luis Hernández de Universidad Carlos III, Alberto Sánchez de Universidad Rey Juan Carlos, Pablo Martín de Grupo Varma, Luis Ballesteros de WiZink Bank y Luis Cabañas de Instituto de Turismo de España.

Los expertos en el encuentro comenzaron bromeando con que su principal objetivo es “no aparecer en los periódicos”. Todas las empresas de cualquier sector son susceptibles de ser atacadas, no solo por motivos económicos, sino políticos, de reputación o para promoción de los propios programas malignos. Las compañías del sector sanitario se han visto en el punto de mira a raíz de la Covid-19, siendo atacadas “hasta por grupos negacionistas de la pandemia”. Con la guerra de Ucrania, el sector público es el que más está sufriendo ciberataques.

En caso de ser atacada, la Administración Pública no tiene ninguna posibilidad de pagar el rescate de datos robados, “lo máximo que puede hacer es volver a levantar el servicio”. Tanto para la Administración como para el sector privado existen leyes, al menos en Europa y en Estados Unidos, que prohíben pagar un rescate, no obstante, en muchas ocasiones se acaba haciendo. De la misma forma, siguiendo la normativa de GDPR, si una empresa sufre un ciberataque tiene la obligación de notificarlo. Además, el conocimiento de los ataques puede servir para aprender de ellos y protegerse mejor. La legislación ha obligado también a las autoridades y los cuerpos de seguridad del Estado a incorporar a su equipo a expertos de ciberseguridad para perseguir los ciberdelitos y hacer cumplir la norma.

Definir y aterrizar un plan de seguridad

El gobierno de la seguridad debe provenir del CISO o máximo responsable, pero estar impulsado desde el comité de dirección de la empresa. De hecho, muchos CISO ya forman parte de este comité. Si la seguridad no aparece en la agenda del CEO, raramente se extenderá al resto de la compañía, por lo que debe ser transversal a todos los niveles de la empresa. 

Los ataques cada vez están menos dirigidos, los lanzan a discreción en un modelo de Ransomware as a Service

Para que la seguridad llegue al ámbito de la alta dirección, tiene que ser vista como una inversión, no como un gasto; para que llegue al área de Negocio, se debe considerar como un factor que lo protege y que no deja de lado la funcionalidad, no como un stopper; y para que llegue a todos los puntos de la organización, hay que hacer entender que los datos de la compañía son como los datos personales, aunque pertenezcan a un tercero, cualquier perjuicio a estos afecta a los empleados de forma directa.

En este sentido, incluir la seguridad en el plan de continuidad de negocio es un buen paso, a opinión de los expertos, para darle la relevancia que tiene, “sobre todo en negocios muy estacionales, como una universidad en periodo de matrículas, donde un ciberataque que paralice la actividad puede ser fatal”. No obstante, no hay nada como que otra compañía sufra un ataque para poner “las barbas a remojar”.

La estrategia estrella que están implantando muchas empresas es la conocida como Zero Trust, o confianza cero. Los ataques cada vez están menos dirigidos, “los lanzan a discreción en un modelo de Ransomware as a Service” y pueden entrar por cualquier vector: empleados, clientes, proveedores, dispositivos móviles, máquinas industriales, etcétera. Por este motivo, es importante extender la política de seguridad de la empresa a terceros, con los que esta interactúa continuamente, y no confiar en ningún actor, ni interno ni externo de la compañía, que no esté adecuadamente identificado.

Tour Ciberseguridad 2022, Madrid.
Tour Ciberseguridad 2022, Madrid.

Así, las organizaciones ya no se preocupan por proteger únicamente un dispositivo concreto, un hardware o un software, sino que la seguridad debe blindar al usuario y seguirle allá donde vaya, en el uso de distintos dispositivos en diferentes lugares; un cambio de paradigma provocado por la movilidad y el teletrabajo.

A pesar de poner todas las barreras para protegerse de los ciberdelincuentes, las organizaciones son conscientes de que en algún momento pueden caer en su trampa. Por este motivo, la ciberresiliencia es la última pata de una estrategia de seguridad bien amueblada. Una compañía debe prepararse para no ser atacada, pero también para, si es atacada, levantar su servicio en un tiempo récord con los mejores sistemas de backup y recuperación de datos, para que el negocio minimice sus pérdidas. “La seguridad completa, 100%, no existe, sobre todo para profesionales cuyo negocio es exclusivamente detectar las brechas de seguridad de las empresas o usuarios para colarse por ellas”.

Melchor Sanz, CTO de HP

“Añadir capas de seguridad que aíslen el riesgo y lo notifiquen”

El aumento del Internet of Things (IoT) ha extendido el perímetro del riesgo de los dispositivos tradicionales, como el smartphone, el PC o la impresora, a otros que ahora también están conectados, como la Smart TV o hasta el termostato. Estos dispositivos llevan un código por debajo del sistema operativo, llamado BIOS o firmware, que, en algunos casos, es fácilmente reprogramable por agentes externos.

Por este motivo, es importante conocer que existen estándares diseñados por el NIST (National Institute of Standards and Technology) para securizar estas capas de software; y que existen soluciones y dispositivos en el mercado, como los de HP, que cuando se detecta un comportamiento anómalo en estas capas aíslan el riesgo y lo notifican al SOC de la compañía o a quien corresponda.

Es muy importante garantizar que los dispositivos son suficientemente seguros y que contienen soluciones de aislamiento para amenazas, sobre todo para aquellas nuevas o desconocidas sobre las que no tenemos tanto poder.

Iván Sanz de Castro, Security Services Manager de Wise Security Global

“Implantar una cultura transversal de ciberseguridad”

Este año saltó la noticia de que varios políticos, entre ellos el propio presidente del Gobierno, Pedro Sánchez, habían sido espiados por el spyware Pegasus, un software avanzado de ciberespionaje. Esto nos hizo darnos cuenta de que el ciberespionaje no es algo que solo ocurre en las películas, sino que es una actividad delictiva con gran impacto económico y en la reputación y del que todos podemos ser víctimas.

El robo de datos, la filtración de información comprometida y el chantaje a los usuarios para recuperar sus datos son algunas de los efectos que sufren las víctimas.

Para combatir este tipo de actividades es necesario implantar una cultura preventiva de la seguridad, así como mecanismos de defensa que protejan a las organizaciones y a los individuos. Para ello, Wise Security Global ayuda a sus clientes, tanto del sector privado como del sector público, a definir un marco robusto de ciberseguridad y de protección y monitorización de los procesos y las comunicaciones.

Fernando Meléndez, Enterprise Account Executive de Okta

“Implementar un modelo de confianza cero: Never trust, always verify” 

La transformación tecnológica en la que estamos inmersos actualmente, y que no tiene visos de terminar, ha dado lugar a una concienciación renovada en ciberseguridad y, más concretamente, en gestión de la identidad, derivada de la cantidad de usuarios y dispositivos que acceden a los datos de la empresa. 

La nube se mueve fuera de la red corporativa, eso significa que el modelo tradicional de un perímetro definido y estático pierde cada vez más fuerza. Para hacer frente al mayor volumen de amenazas que reciben las compañías en este perímetro abierto, Okta propone la implementación de una arquitectura basada en el modelo Zero Trust, que considera que todos los agentes son externos, por lo tanto, siempre verifica la identidad del agente antes de confiar en él, siguiendo el lema “never trust, always verify”.

La confianza en un mundo digital se basa en un enfoque que priorice la identidad garantizando que los usuarios tengan el acceso necesario a los recursos apropiados en un contexto seguro y que este acceso se verifique continuamente sin comprometer la experiencia de usuario.

Francisco José Verdugo, Senior Partner Solution Engineer de VMware

“Un enfoque de seguridad basado en contexto, intercomunicado y abierto”

La mayoría de nuestros clientes son partners que quizá todavía no vean a VMware como un fabricante se seguridad, pero nuestra posición en este ámbito es lo suficientemente revolucionaria como para que nos tengan en cuenta para aplicar la seguridad en cualquier entorno, desde endpoints hasta redes, cloud y Kubernetes. En VMware ofrecemos todo tipo de servicios de seguridad de nueva generación basada en contexto. Este novedoso enfoque viene, en cierta medida, a democratizar la seguridad, simplificar el modelo e interconectar los distintos mundos de seguridad para ofrecer una solución o conjunto de soluciones que valgan para cualquier casuística.

En definitiva, VMware aporta un enfoque basado en contexto, intercomunicado y abierto a poder alimentar o ser alimentado de otros fabricantes para dar respuesta a las amenazas que sufrimos actualmente.

Miguel Carrero, VP Security Service Providers & Strategic Accounts de WatchGuard Cytomic

“Poner el foco en la gestión de identidad para aplicar una filosofía Zero Trust”

La gestión de la identidad digital es absolutamente crítica a la hora de aplicar una seguridad Zero Trust y para definir las políticas de seguridad de la empresa según sea el perfil de la persona o la aplicación. En un entorno en el que todo ha de ser verificado específicamente, debemos poder adaptar el nivel de seguridad a cada usuario, plataforma o máquina concreta.

Desde WatchGuard Cytomic hemos lanzado Total Identity Service, que combina la gestión de identidad con elementos de multifactor authentication (MFA), administración de contraseñas y análisis proactivo de lo que ocurre en la dark web. De esta forma, las compañías pueden saber si las credenciales de sus empleados están siendo expuestas, robadas o utilizadas para filtrarse en sus sistemas.

 

Computing 815