EncuentrosSeguridad

Tour Ciberseguridad 2022 Cataluña: Hay que aprender a convivir con el riesgo

La seguridad completa no existe, las compañías han tenido que aprender a convivir con el riesgo, a estar preparadas para combatir los ataques más sofisticados y a ser resilientes.

De un tiempo a estar parte, los medios de comunicación se han hecho eco de los incidentes de seguridad, creando una concienciación a nivel social que ha fortalecido la prevención, detección y respuesta a los ataques tanto a nivel empresarial como personal. El Tour de Ciberseguridad de Computing, en colaboración con HP, WatchGuard, VMware y Okta, pulsa el estado de las organizaciones en cuanto a la seguridad, y esta vez ha hecho parada en Barcelona.

A raíz de la pandemia, el perímetro se ha roto. El teletrabajo y la movilidad han marcado el ritmo de la seguridad en los últimos meses y, sobre todo, han exigido un acelerón en la concienciación y la formación de los usuarios tanto internos como externos de la empresa. “Se ha puesto en valor la seguridad, pero aún no es vista del todo como una inversión, sino más bien como un gasto”, lamentaron los profesionales. En este punto, la cultura empresarial continúa fallando. Muchas organizaciones no se deciden a invertir hasta que no le ven las orejas al lobo, pero antes de esperar a tener algún incidente deberían pensar: “Si les ha ocurrido a las más grandes compañías, cómo no me va a ocurrir a mí”.

En un ecosistema cada vez más complejo y con más actores, perseguir la seguridad Zero Trust y capar los accesos, manteniendo el equilibrio con no sobreproteger los activos, es cada vez más difícil. El gobierno de la seguridad en las organizaciones tiene que contemplar también la seguridad de los terceros y la de los servicios SaaS que contratan, porque “si un proveedor tiene una brecha de seguridad y a la compañía le repercute de alguna manera, la que responde ante el cliente es la compañía”. Por eso, las medidas de seguridad de los partners están cada vez más incluidas en la estrategia de la empresa, por no hablar de las de los empleados. “La seguridad es una oportunidad para que las compañías hagan su negocio más sólido y se conviertan en un partner de confianza”. No obstante, para aprovechar esta oportunidad, la Dirección tiene que ser la primera en estar, no solo concienciada, sino implicada en la seguridad.

La seguridad es una oportunidad para que las compañías hagan su negocio más sólido y se conviertan en un partner de confianza

La seguridad, ¿un deporte de equipo?

Prueba de que existe una Dirección con conocimiento de la seguridad es la progresiva incorporación de los responsables de esta área a los consejos directivos y la presencia de la figura del arquitecto de Seguridad en el desarrollo y análisis de las aplicaciones desde el diseño. “Es fundamental hacer un análisis de riesgo de cada proyecto porque ahora prácticamente todos tienen una variante tecnológica”. De esta forma, cada vez están surgiendo perfiles más completos que aúnan la experiencia tecnológica y de seguridad con el conocimiento del negocio. De ahí nace la filosofía SecOps que, como ocurre con DevOps, une Seguridad y Operaciones para evitar el aislamiento de Seguridad.

Más allá del talento que posee cada empresa, externalizar determinados servicios, “como la seguridad de los pagos”, con un partner de confianza ayuda a las compañías a protegerse, ya que es poner en manos de expertos lo que mejor saben hacer. Además, “cuantas más soluciones de seguridad implementa una empresa, más mano de obra y conocimiento interno necesita para gestionarlas, y al final puede salir más caro el candado que la bici”.

En este escenario de sistemas distribuidos, la cloud, antes considerada un riesgo para la seguridad, ahora es un facilitador para implementar ciertas soluciones que, ante un ciberataque, mejora la capacidad de recuperación y garantiza la continuidad del negocio. No obstante, aunque las cargas de trabajo en la nube están blindadas por la tecnología y el expertise de los profesionales especializados, la seguridad de estas depende en gran medida de las soluciones y procedimientos con que se tratan estos datos desde las compañías. “No podemos subir a la nube y delegar la seguridad en el proveedor únicamente, el último responsable de esta siempre es la compañía”. Sin embargo, Europa está dando un paso adelante en su independencia frente a los hiperescalares norteamericanos, “que alojan los datos de las compañías con sus condiciones”, creando la cloud soberana europea GAIA-X.

Esperando el primer ciberataque

En el encuentro, los expertos bromearon con que estaban esperando el primer ciberataque -aunque algunos, lamentablemente, ya lo han sufrido-; “no sabemos qué intensidad tendrá ni cuántos días durará, pero hay que estar seguros de que seremos víctimas de uno, porque la seguridad 100% no existe y la ciberdelincuencia se ha convertido en un modelo de negocio muy rentable”. Muchas de las compañías presentes contaron que cada día sufren al menos un ataque de phishing, por lo que las simulaciones para entrenar a los empleados están a la orden del día, aunque los resultados no son tan favorables como cabría esperar. Pero no queda otra que “seguir apostando por la formación y la preparación y mantener la serenidad. Tenemos que aprender a convivir con el riesgo”

Tour Ciberseguridad 2022, Barcelona.
Tour Ciberseguridad 2022, Barcelona.

Esta convivencia, en ocasiones, se hace difícil, sobre todo porque “la ciberseguridad nunca se ha visto como un deporte de equipo, sino como un stopper para el negocio y la innovación”. Cada vez es más complicado que los empleados utilicen sus dispositivos y aplicaciones separando la vida personal -“en la que, lejos de ser precavidos, descargamos todo tipo de aplicaciones”- de la profesional, y eso crea brechas de seguridad. Volvemos a la concienciación y la educación tantas veces nombrada. Por este motivo, los CISO tienen una doble misión, la de liderar la estrategia de seguridad de la empresa y la de hacer ver que esta no tiene por qué estar reñida con la usabilidad, “siempre siendo conscientes de que hay pasos que merece la pena dar con tal de estar protegidos”.

Por la consecución de estos pasos ha hecho mucho la normativa, sobre todo las multas. “La Directiva NIS prevé sanciones a empresas por brechas de seguridad que deberían estar parcheadas del 1% de la facturación”. Los profesionales apuntaron a que, si estas multas se dieran a nivel individual a los empleados, se estrecharía mucho este vector de ataque.

Pero, mientras esta educación en seguridad y cambio de mentalidad se instala en las empresas, la tecnología continúa siendo la mejor aliada para avanzar en este sentido y proteger sus datos. Los SOC (Security Operations Center) han proliferado en los últimos años, pero “todavía falta aplicar inteligencia, tanto a estos centros como a los sistemas de seguridad y a su gestión”.

Francisco José Verdugo, Senior Partner Solution Engineer de VMware

“Detectamos malware de última generación en dispositivos móviles por contexto”

En 2018 el mundo de la ciberseguridad fue puesto en jaque por WannaCry y, desde entonces, los medios de comunicación se han ido haciendo eco de distintos ataques hasta llegar al protagonista de los últimos meses, el malware Pegasus. El día 4 de mayo, desde VMware lanzamos una solución para proteger a las compañías de los spyware que operan en dispositivos móviles aparentemente seguros.

Los smartphones son como una parte de nosotros, contienen información crucial de nuestra vida personal y profesional, y con Workspace ONE Intelligence podemos detectar malware de última generación en estos dispositivos a través de contexto o identificando las conexiones o transmisiones de datos a IP sospechosas. Esta herramienta completa el ciclo de nuestras soluciones de seguridad, aplicables en prácticamente cualquier ámbito.

Miguel Carrero, VP Security Service Providers & Strategic Accounts de WatchGuard Cytomic

“Una estrategia de seguridad proactiva basada en Zero Trust, threat hunting e identidad”

En WatchGuard Cytomic tenemos un largo historial en el mundo del endpoint protection, y desde hace años aplicamos una filosofía Zero Trust, basada en no ejecutar absolutamente nada que no tenga una validación previa. Para fortalecer esta estrategia de confianza cero, hemos implementado elementos de gestión de identidades que garantizan que el perfil de una persona corresponde al que está detrás, y que lo que está ejecutando este perfil en el entorno es benigno.

También traemos al mercado herramientas de threat hunting, que aportan la capacidad de anticiparnos a los ataques que pueden sufrir las empresas mediante una estrategia de seguridad más proactiva. Así, nuestra propuesta se apoya en estos pilares: una seguridad proactiva basada en Zero Trust y combinada con la gestión de identidades y herramientas de threat hunting.

Alejandro Curto, Cibersecurity Sales Manager de HP

“Incorporamos la seguridad en los dispositivos desde el diseño”

En HP apostamos por aportar a las organizaciones un tipo de protección que reside en los dispositivos desde el diseño. Para ello, implementamos soluciones con un enfoque diferencial que incluye las propuestas tradicionales de antivirus y Endpoint Detection and Response (EDR) y, además, con una capa adicional de seguridad basada en el aislamiento de contenidos externos potencialmente peligrosos para la corporación. Esta capa de protección no posee ningún tipo de requisito adicional para ser incorporada a los dispositivos.

Desde HP ofrecemos soluciones fáciles e integrables, que se implementan tanto en dispositivos de HP como de cualquier otra familia. Estas herramientas protegen al usuario del mayor número de amenazas posible, tanto si son conocidas como si son nuevas y, también, altamente sofisticadas.

Computing 815