La gestión del riesgo, parada clave en el evento 'Cybersecurity Summit'

La segunda jornada del Cybersecurity Summit, organizado por IDC y Foundry en Madrid, ha contado con las perspectivas de todas las áreas de interés de la industria de la ciberseguridad; legal, fuerzas y cuerpos de seguridad, CISO, proveedores… De hecho, Juan Salom, Coronel jefe de la Unidad de Coordinación de Ciberseguridad de la Guardia Civil, inauguraba el día de clausura de un evento que ha contado con la colaboración de importantes actores del sector como IMB, Softeng, Cloudflare, Pentera, Fortinet, HPE Aruba Networking, Sosafe, SailPoint, AT&T Cybersecurity, Sophos, Delinea, Commvault, Tehtris, Dell Technologies/Intel, Barracuda, Base4, Eset, Irius Risk y Cyberark.

Salom, que se dedica a la investigación del cibercrimen desde 1999, aseguraba que su persecución es todavía un problema “porque siempre anteponemos temas como la detección, la respuesta y la recuperación”. Pero los números son clarividentes: en 2023 se denunciaron hasta 131.000 vulneraciones digitales, lo que supone una de cada cinco. En el conjunto global, la estadística es uno a cuatro. “Este crecimiento no contempla los nuevos avances tecnológicos que siempre aprovecha el delincuente”, exponía. “Y no se denuncia todo lo que ocurre, ya sea por temor reputacional, acciones que pueda tomar la Agencia Española de Protección de Datos (AEPD) o por otras tantas circunstancias. Solo vemos la punta del iceberg”.

No obstante, los cuerpos policiales están haciendo mucho con pocas herramientas, proseguía, y muestra de ello es la reciente desarticulación de la banda cibercriminal LockBit. Pero, “lo que no existe no se puede perseguir y la impunidad significa más delito”, decía en referencia al ransomware, un ataque que prácticamente no se denuncia y que llega a ganar millones de euros en rescates. “España está muy bien situada en ciberseguridad. Se detecta más y se regula más, pero la realidad es que el cibercrimen aumenta. Animo a denunciar todo lo que pasa en Internet, el riesgo reputacional es más ficticio que real. Necesitamos saber la verdad y que se demande una mejor respuesta a la ciberdelincuencia, si no, llegará un momento en que no podamos protegernos más”.

 

Juan Salom, Coronel jefe de la Unidad de Coordinación de Ciberseguridad de la Guardia Civil.

 

La identidad en el centro de la estrategia

La realidad es que el fraude es cada vez más rápido e inteligente. Si no que se lo digan a grandes firmas como JP Morgan, que tiene un presupuesto de 15.000 millones de dólares en TI y todavía les resulta difícil lidiar con la seguridad, apuntaba Mark Child, director asociado de investigación en seguridad de IDC Europa. Y, es que, más de la mitad de las grandes organizaciones del Viejo Continente sufrieron el año pasado un ataque de ransomware que bloqueó su acceso a los sistemas o a los datos.

Todo esto en un contexto en el que la inteligencia artificial (IA) sigue despuntando y en el que los llamados deepfakes supondrán una gran preocupación para las empresas: más del 35% tendrán soluciones en este ámbito para 2026. Ante la amenaza, Child ponía en valor los esfuerzos que está haciendo la Unión Europea (UE) en materia de legislación para “adoptar una visión más amplia de la problemática”.

Por último, el analista aseguraba que “la identidad está en el centro de todo”, como herramienta de seguridad y también de experiencia de usuario para el mantenimiento de la productividad. “La filosofía Zero Trust es clave”, concluía.

 

Mark Child, director asociado de investigación en seguridad de IDC Europa.

 

Un punto de vista legal

Rafael García del Poyo, partner y director del departamento de TI/IP de Osborne Clarke, asentía que “el derecho en ciberseguridad ya es necesario porque el activo más importante que tenemos en la sociedad actual es la información”. Por ello, continuaba, tenemos que utilizar las herramientas digitales conforme a nuestras maneras, “a nuestro derecho”. Además, las empresas trabajan con herramientas deslocalizadas, que no han sido ideadas en Europa y hay que legislar.

“No somos capaces de vivir sin información por lo que es lógico que crezcan los ciberataques”, asimilaba. “La protección de datos ha popularizado la necesidad de seguridad, todo a petición de una sociedad democrática; el derecho es fruto del consenso de la sociedad”. Porque, detrás de todas las amenazas hay una intención política, como lo es “fastidiar” a las empresas, más si tenemos en cuenta que los ataques suelen ocurrir en fines de semana o en periodos de vacaciones, algo que no es aleatorio.

“Lo que nos queda en la UE es la utilización de todas las tecnologías de una determinada manera, y hay un cierto grado de geopolítica en todo esto, lo que denominamos Efecto Bruselas”. Esto es, decía, que aunque una compañía no sea del continente debe hacerse cargo a sus reglas si tiene clientes de esa zona. “Estamos en el momento perfecto para adaptarnos al cambio y de mostrar debidas diligencias ante las autoridades”.

 

Rafael García del Poyo, partner y director del departamento de TI/IP de Osborne Clarke.

 

Así valida un CISO la seguridad

Ramón Lucini, director para Iberia de Pentera, presentaba el caso de éxito de Ferrovial de manos de David Teruel, su director de EDR. El primero aseveraba que la ciberseguridad ha de ser un activo que funcione, que las empresas tengan la certeza de que va a responder. “Muchas veces entendemos que las herramientas que implementamos van a funcionar per sé, por eso ayudamos a validar que nuestros sistemas no caen. Lo más importante es probar las soluciones en entornos reales”.

De este modo, Teruel, que gestiona un equipo de 25 personas, tiene entre sus principales preocupaciones los ataques ransomware. “Utilizamos la tecnología para comprobar de qué manera nos puede afectar y si podríamos responder. Es clave detectar todos los activos que podemos tener expuestos. De forma automatizada, gestionamos diferentes evaluaciones en todas las geografías con diferentes escenarios que vamos lanzando en distintos contextos, lo que nos aporta una realidad muy amplia de nuestra superficie de ataque”.

 

Ramón Lucini (Pentera) y David Teruel (Ferrovial).

 

La ingeniería social en la actualidad

Vicente Gea, cybersecurity awareness expert de Sosafe, explicaba cómo los atacantes entran en el cerebro de los empleados. Desde la plataforma de concienciación oriunda de Alemania, cuyo producto gira en torno al comportamiento humano, buscan la maximización de conceptos para ganar una fuerte cultura de la ciberseguridad corporativa. Porque el 82% de las fugas de datos proceden del factor persona. Una de cada tres hacen click en contenido malicioso, y de estos, el 50% introduce información sensible. “Los atacantes apuntan a las personas porque es el vector más desprotegido”, contaba.

Y el panorama es más complejo que nunca, con el auge de la IA y la escasez de personal técnico en Europa –se estima que faltan unos 3,5 millones de trabajadores–. “Nos encontramos con situaciones de estrés y falta de tiempo que aprovechan los ciberdelincuentes”.

Por una parte, estos hacen gala de manipulación utilizar para que los empleados bajen la guardia. También, en sus amenazas de phising cuentan con asuntos exitosos como errores en la nómina, por ejemplo. Y, por último, el correo electrónico sigue siendo la herramienta preferida ya que con la IA son más rápidos en crear sus campañas y con un volumen mayor y más creíble. “Para protegernos hay que tener una visión más holística, todas las empresas son objetivo y debemos trabajar con las personas para cerrar la brecha que hay entre el empleado y el atacante”.

Vicente Gea, cybersecurity awareness expert de Sosafe.

 

Ciberseguridad para la alta dirección

Eduvigis Ortiz, fundadora y presidenta de Woman4Cyber España, dirigía una mesa redonda sobre cómo llegar a los comités administrativos en la que participaron Susana Quintás, consejera independiente de firmas como Sofinco y Reale Seguros; y Rosa Kariger, directora global de análisis y prospectiva de seguridad de Iberdrola.

Quintás comenzaba diciendo que el consejo de administración es esa “nebulosa rara que pide documentación de vez en cuando, marca la estrategia, supervisa al CEO y la relación con los accionistas y gestiona los riesgos”. Y, la ciberseguridad es un riesgo más. “Necesitamos un proceso de doble convergencia, el del consejo y el de los CISO. Estos últimos deben tratar de hablar el lenguaje de los humanos y no usar su propia jerga llena de complejidades. Tienen que acercarse al negocio”. En este sentido, hasta el 55% de las empresas cotizadas en España no tiene en su consejo a nadie con experiencia en tecnología. “Cuesta entender los nuevos desafíos. Hay que escalar lo tecnológico y mejorar la diversidad, no solo de género, sin la de las experiencias. El CISO tiene que llegar al lugar que se merece, que es un puesto de muchísima importancia”.

Por su parte, Kariger asumía que para llegar a la alta dirección el CISO tiene primero que entender la actividad de la empresa y sentarse con el responsable de todos los departamentos. “El riesgo de la seguridad es de todos, y no se puede delegar en un tercero porque puede llegar a parar las operaciones. Pero hay una falsa sensación de seguridad, el CISO tiene que trabajar para que haya una comprensión de cómo la dependencia de las TI está entrando en los modelos de riesgo de las firmas”.

 

Rosa Kariger (Iberdrola), Eduvigis Ortiz (Woman4Cyber España) y Susana Quintás (consejera independiente).

 

"La IA generativa nos ayuda a elevar la concienciación de nuestros empleados"

El flamante ganador en la categoría a CISO del año de los CIO 100 Awards Spain 2023, Firas Atassi, CISO de Seur, estuvo presente en el evento con una entrevista a cargo de Esther Macías, directora editorial de Foundry España. El ejecutivo contaba cómo la pandemia nos cambió a todos, también a la empresa de paquetería, que pasó a ser un servicio más esencial todavía con la aceleración del comercio electrónico. “Pasamos a mover millones y millones de entregas”, indicaba. “Pero claro, la ciberdelincuencia también aumenta proporcionalmente”.

De este modo, Seur se adaptó a los nuevos volúmenes con un programa estratégico basado en trasladar a la dirección el riesgo de ataque para así comprender mejor el negocio y saber “que el objetivo tiene que ser la resiliencia”. La primera fase fue la de la identidad digital, asegurar a empleados y cadena de suministro, e incluso a estos primeros a nivel personalidad. Por último, se hizo un programa específico de monitorización y respuesta basado en IA. “Así, redujimos la superficie de ataque; tenemos que ser muy conscientes de cómo nos ven los ciberdelincuentes, qué grado de exposición tenemos y pensar como ellos”.

En relación con la IA, que lleva muchos con nosotros, “tenemos que empezar a entender ‘lo generativo’, generar procesos predictivos y poner ética y moral. Esta tecnología nos ayuda a la madurez y a elevar la concienciación de nuestros empleados”. No obstante, añadía, se habla ya de “estupidez artificial, que es creer que la IA va a gobernar el mundo. Tenemos que analizar para qué queremos utilizarla. Por ejemplo, los datos biométricos van a ser necesarios para la IA generativa […] Me preocupa que cada vez se necesitan menos conocimientos y dinero para generar un ataque”.

Por último, concluía la entrevista, “hay que invertir en identidad digital, formación y concienciación, y entender que la ciberseguridad es un tema corporativo. Todos tenemos que colaborar para acabar con esta lacra que mueve millones y millones de euros”.

 

Firas Atassi (Seur), y Esther Macías (Foundry).

 

La clave de la externalización

La última mesa redonda del evento trataba sobre las necesidades del outsourcing en ciberseguridad. Fernando Muñoz, director del CIO Executive Council, conducía una charla en la que participaron Maica Aguilar, gerente de seguridad de Ferrovial, Andrés Romero, director de seguridad de la información, gobernanza y arquitectura de Mercedes Benz AG; David Mora, CISO de Baqueira Beret; y Javier Tobal, CISO de Astara.

Aguilar, de Ferrovial, comenzaba diciendo que “ya llevamos muchos años de externalización en los que apostamos por grandes partners tecnológicos. Son los que a nivel técnico mejor nos conocen; forman parte de nuestro día a día y tenemos la confianza de que los servicios funcionan tal y como los necesitamos. A nivel interno, es muy difícil conseguir el conocimiento necesario para poder gestionar toda la tecnología”.

Por su parte, Romero asumía que es complicado decir algo que Mercedes no tenga externalizado. “Y para mí, esto es bueno. Tenemos incluso subsidiarias de TI dentro de la empresa. Este conglomerado solo nos mejora, somos más eficientes y contamos con el personal adecuado. Somos una compañía más tecnológica de lo que parece. La externalización va a ir a más”.

Mora, de Baqueira Beret, indicaba que la estación de esquí, de 60 años, cuenta con más de 2.500 dispositivos. “No contamos con un equipo de TI muy grande”, asumía. “Y tenemos muchas actividades que hacer. Evidentemente, externalizamos. Pero eso no significa ceder la responsabilidad a otro. Ahora estamos trabajando mucho en tener el control y en que los proveedores nos garanticen el cumplimiento”.

Por último, Tobal, de Astara, decía que “en ciberseguridad es difícil contratar servicios cuando tu área no es experta, tiene que ponerse a la par de la evolución desde el primer día y externalizar lo más crítico desde el primer día”.

 

Javier Tobal (Astara), David Mora (Baquiera Beret), Andrés Romero (Mercedes Benz), y Maica Aguilar (Ferrovial).