"Para ganar la guerra al cibercrimen hay que innovar"

¿Cómo influye la ciberseguridad en el contexto económico y social? ¿Qué estrategias son las más adecuadas para tener una buena gestión de riesgos? ¿Cómo está ayudando la inteligencia artificial (IA) generativa a la protección de las empresas? Estos son algunos de los interrogantes que han tenido respuesta durante la primera jornada del Cybersecurity Summit, organizado por la consultora IDC y Foundry –editora en España de las cabeceras ComputerWorld, CSO, CIO y DealerWorld–, en el Hotel Ritz de Madrid. Un evento que cuenta con la colaboración de importantes jugadores del sector como IBM, Softeng, Cloudflare, Pentera, Fortinet, HPE Aruba Networking, Sosafe, SailPoint, AT&T Cybersecurity, Sophos, Delinea, Commvault, Tehtris, Dell Technologies/Intel, Barracuda, Base4, Eset, Irius Risk y Cyberark.

La apertura institucional ha corrido a cargo de Ignacio González, subdirector del NCC-ES del Instituto Nacional de Ciberseguridad (INCIBE), quien señalaba que la industria de la ciberseguridad se mueve en un paisaje muy cambiante y en el que “estamos corriendo todo el tiempo en una rueda que implica analizar las amenazas, los cambios de tecnología y hablar de otras claves como la concienciación […] Si ayer era tendencia la nube, las redes sociales y las criptomonedas, hoy lo es la IA generativa y el Internet de las Cosas (IoT), y mañana lo será la computación cuántica”.

Este escenario nos cambia la vida a todos, desde cómo nos relacionamos como sociedad hasta la productividad y la riqueza que generan las compañías. Por ello, proseguía, se abre una “guerra” entre ciberdelincuentes y empresas y organismos públicos en la que es necesario dotarnos de capacidades de innovación. “Va a ser difícil llegar al nivel de países como Estados Unidos pero eso no implica que no podamos imitar las cosas buenas que hacen”. De hecho, el directivo ponía el ejemplo de las cuatro convocatorias de compra pública que el Instituto ha lanzado en los últimos 14 meses y que ha canalizado casi 200 millones de euros en distintos proyectos. “Esto no solo redunda en mejoras económicas; si queremos ganar esta guerra hay que tener más competencias, innovación y crear un fuerte tejido industrial”, concluía.

 

Ignacio González, subdirector del NCC-ES del Instituto Nacional de Ciberseguridad (INCIBE).

 

El CISO como agente del cambio

En lo que respecta a las compañías, la gestión de respuesta a incidentes, la visibilidad y la mejora de la cultura son las principales prioridades, según datos que presentaba Joel Stradling, director europeo de investigación en ciberseguridad de IDC. Además, el 59% de las mismas aseguran que buscan mejorar la resiliencia en sus infraestructuras, y el 30% reconocen este concepto como beneficioso para su actividad.

“Estamos experimentando cómo está cambiando la importancia del CISO”, decía. “Antes era un experto, pero ahora ayuda a adoptar plataformas digitales y a ganar agilidad; también en la implementación de regulación. Las directivas buscan un agente del cambio, y ese es el CISO”.

Todo esto se da en un contexto geopolítico frágil, con un gran volumen de ataques patrocinados por estados, y con otros grandes desafíos como el cambio climático, ideal para que los ciberdelincuentes utilicen agendas políticas. Muestra de ello son brechas famosos como la de SolarWinds o los deepfakes “que ya se ven hasta en las noticias”.

Pero, ante la democratización del ‘mal’, Stradling lo tiene claro: “Basta de pesimismo, hay que combatir […] Por ejemplo, la IA ya está en todas partes y es una tecnología crítica central para la transición de todas las plataformas y los ordenadores que van siendo reemplazados. Esto supondrá un gran cambio en el que hay que poner el acento en la protección de la identidad”.

 

Joel Stradling, director europeo de investigación en ciberseguridad de IDC.

 

Almacenamiento y seguridad

Carolina García, directora de ventas IBM Storage para España y Portugal, ponía de relieve que en España se producen más de 1.250 ciberataques a la semana. “Y todavía existen organizaciones que piensan que pagando un rescate pueden recuperar la información”. Es más, el 50% de ellas nunca lo logra y más del 80% sufre amenazas continuadas. Además, solo uno de cada tres incidentes es detectado por sus herramientas. “Hay que hacer cosas diferentes para recuperar la información” indicaba.

Por ello, su receta para la seguridad del dato pasa por una buena estrategia de almacenamiento con soluciones que cumplan con el 100% de la regulación y aseguren la gobernanza de la información. “Cuando no hay una buena estrategia, en el mejor de los casos, nos damos cuenta del ataque pasado un día”. De hecho, la media de recuperación es de más de tres semanas. “¿Qué empresa se lo puede permitir?”, se preguntaba García. “El tiempo es crucial, por cada minuto nos pueden destruir hasta 1,7 Terabytes de información”.

El plan que proporciona García tiene cuatro conceptos clave: contar con herramientas de detección, prevención, soluciones de seguridad y backup; tener copias de datos seguras e inmutables; crear multicapas de detección de ransomware en tiempo real; y una recuperación con una aproximación de almacenamiento primario y secundario para tener una visión completa de todas las soluciones.

 

Carolina García, directora de ventas IBM Storage para España y Portugal.

 

Una estrategia basada en IA generativa

Álex Imbernon, cybersecurity manager de Softeng, y Yoel Lopera, Microsoft security expert de la firma, hablaban de cómo trazar una estrategia de defensa basada en IA generativa. La compañía basa su actividad en la seguridad y la digitalización de procesos y en acompañar a los clientes en la maximización del uso de la nube de Microsoft, tecnológica de la que lleva más de 25 años siendo partner. De hecho, como casos de uso presentaban soluciones de Azure AI y de Copilot for security. Soluciones que, según sus palabras, ayudan a minimizar el impacto de las amenazas. “El objetivo es reducir el riesgo y optimizar los procesos de los equipos de SOC. La IA puede ayudarnos a tener un mayor contexto y una serie de análisis y remediación automática”.

Para los ponentes, el SOC moderno está basado en la prevención y la detección global de amenazas, junto con el análisis y la priorización de riesgos. “No hay que vigilar solo lo que hay dentro de la empresa, sino también lo que ocurre fuera, como los datos, el phishing, la respuesta ágil y eficaz…”. Como conclusiones, decían: “Esta tecnología –IA generativa– requiere de un partner especializado para que no dé respuestas erróneas, aumente la eficiencia y la rapidez de la detección y la respuesta. Y no sustituye a los equipos de seguridad, sino que los mejora”.

 

Yoel Lopera, Microsoft security expert de Softeng, y Álex Imbernon, cybersecurity manager.

 

Los componentes clave en la gestión de riesgos

La primera mesa redonda de la jornada, conducida por José Antonio Cano, consulting director de IDC Research España, versaba sobre la importancia de la gestión de riesgos en las compañías. En la misma participaban Miguel López, country manager de Barracuda en Iberia, Enrique Miranda, CISO global de DIA Group, Álvaro Fernández, sales manager para Sophos Iberia, y Sandra Espinoza, international SaaS SE Manager de Commvault.

“Los retos dependen de cada organización”, comenzaba López, de Barracuda. “Quizás el más urgente es simplemente encontrar talento, o en otros casos la falta de presupuestos o de decisión para acometer políticas de seguridad. Pero el denominador común es todavía la falta de percepción para invertir más y saber que la ciberseguridad es un elemento clave en la empresa. También se piensa que es algo intangible e inabarcable, y ese es uno de los aspectos que los proveedores tenemos que ayudar a solucionar”.

Desde el punto de vista del usuario final, Miranda, de DIA Group, aseguraba que para llegar al CEO “no hay que hablar de la ciberseguridad de manera aislada o etérea, sino de inversión y de por qué es necesario. Lo primero que tiene que conocer el CISO es a qué se dedica la empresa, y qué puede fallar en ella que la perjudique, que es lo que tenemos que proteger. No hay que mencionar al firewall, sino construir el mensaje a partir del negocio. Hay que integrarse directamente en sus necesidades y riesgos”.

Espinoza, de Commvault, indicaba que los proveedores han de ayudar a analizar los riesgos, tanto los internos como los externos, y saber que una buena estrategia gira en torno al dato; cuáles se necesitan para levantar el negocio. “Está muy bien tener planes, pero hay que probar. No hay nada más desesperante y crítico que cuando ocurre un incidente nadie sepa qué hacer”.

Por último, Fernández, de Sophos, incidía en la concienciación. “Hay que integrar a los usuarios en las estrategias de ciberseguridad, pero las compañías no pueden dejar solo la responsabilidad en ellos. Hay que poner otras barreras como la filosofía Zero Trust y la autenticación multifactor”.

 

Sandra Espinoza (Commvault), Álvaro Fernández (Sophos), Miguel López (Barracuda) y Enrique Miranda (DIA Group).

 

Seguridad en la nube

María Ferreira, AE de Cloudflare, proponía una plataforma unificada que haga hincapié en el negocio, reduzca el número de eventos, aumente la visibilidad y reduzca el número de activos que se necesitan para gestionar toda la seguridad. “Hay que dejar de trabajar en silos y pasar a la colaboración”, aseveraba. De hecho, añadía, la solución propuesta también ayuda a retener el talento debido a la innovación que aporta. “Protegemos y mejoramos todos los entornos añadiendo constantemente servicios de desarrollo propio con un ritmo constante de innovación”.

 

María Ferreira, AE de Cloudflare.

 

Cómo sobrevivir a un ciberataque

Guillermo Llorente, director corporativo de seguridad de Mapfre, contaba en entrevista a Esther Macías, directora editorial de Foundry España, los pormenores, y el caso de éxito que acabó siendo, del famoso ciberataque que sufrió la aseguradora un fin de semana del año 2020. “Estábamos en el mes de agosto, año de pandemia, todo el mundo de vacaciones y la mayoría de las empresas habíamos optado por el teletrabajo”, comenzaba. Así, la noche del 14 de agosto, en vísperas de festivo en España, ocurrió. “Sonó el teléfono, el mundo se cayó y la oscuridad llegó de repente. No sabes que está pasando ni cómo ha ocurrido”.

Guillermo Llorente, director corporativo de seguridad de Mapfre, y Esther Macías, directora editorial de Foundry España.

 

Pulso a la regulación: cómo cumplir con NIS2

El desafío que conlleva para los CISO y las compañías en general el cumplimiento de una regulación cada vez más exigente en materia de ciberseguridad y protección de datos fue el tema protagonista de otro de los paneles de la jornada. No hay que olvidar que el próximo mes de octubre entra en vigor la Directiva NIS2 de la Unión Europea, la actualización de la Directiva sobre Seguridad de las Redes y los Sistemas Informáticos (NIS) y cuyo objetivo es crear un nivel común de ciberseguridad en todos los Estados miembros de la Unión.

José Antonio Cano, de IDC, fue quien condujo un debate en el que participaron, por parte de la industria tecnológica Pedro Morcillo, director de ventas de TEHTRIS en España, Roger Gallego, director de ventas para Iberia de Delinea y Julio Gómez Martín, CTO en Dell Technologies España y los CISO de la aerolínea Iberia y de la compañía cervecera Hijos de Rivera, respectivamente, Jesús Mérida y Ana Salazar.

Morcillo subrayó el fuerte impacto que tendrá la nueva NIS2, que afecta a muchas más organizaciones que la versión anterior de la directiva. “La normativa, al final, no deja de empujarnos hacia la ciberprotección, un asunto en el que existe cada vez más concienciación desde el punto de vista empresarial. El reto para las compañías está en cómo abordar el cumplimiento, lo que al final supone balancear dos aspectos como el presupuesto y la capacidad, sin olvidar, por supuesto, que si una empresa no controla sus datos tiene un problema”. Desde la industria, añadió, compañías como la suya trabajan para hacer la tecnología más sencilla y para unificar las múltiples soluciones que existen en un mercado muy fragmentado.

“La regulación nos va a ayudar”, afirmó por su parte Roger Gallego, de Delinea, “absorber y adaptarse a regulaciones como NIS2 o Dora [el Reglamento de Resiliencia Operativa Digital, dirigido a entidades financieras] va a incrementar el nivel de protección y seguridad en las organizaciones. El portavoz hizo hincapié en que muchas organizaciones no han puesto suficientemente el foco en la gestión de la identidad. “Es importante saber quién accede a los datos y cómo y qué hacer si se ha realizado un acceso inadecuado para abordar la auditoría correspondiente”.

Desde Dell, Julio Gómez Martín, recordó que compañías como la suya ofrecen ya múltiples funcionalidades asociadas a la protección de su infraestructura y servicios, “muchas de las cuáles desconocen los usuarios, como el cifrado de la información en tránsito, entre otras”. Indicó, además, que los fabricantes de tecnología deben “ayudar a mejorar la capa de observabilidad y automatización de los clientes y facilitar la integración de sistemas”. “Al final se trata de ayudar a las organizaciones a detectar incidencias y activar la forma de hacerles frente”, añadió.

Los dos CISO del panel desvelaron cómo trabajan en sus organizaciones para adaptarse a la regulación. Ana Salazar, de Hijos de Rivera, destacó la importancia de que el área del CISO trabaje en conjunto con el área legal para adoptar las regulaciones pertinentes. “Es importante mantener una relación y colaboración estrecha con el departamento jurídico”, afirmó. “También es conveniente contar con proveedores que sean aliados y nos ayuden en nuestra estrategia de seguridad”. Indicó que el actual plan de respuesta a incidencias tendrá que actualizarse con las novedades que implica la nueva regulación.

Jesús Mérida, de Iberia, recordó que las empresas siempre deben “absorber la regulación de forma que aporte a los planes de seguridad”. Subrayó, igual que su homóloga, la importancia de “colaborar con las áreas legales y realizar auditorías internas para pulir la estrategia de ciberseguridad”.

 

Desde la izda. Pedro Morcillo (TEHTRIS), Roger Gallego (Delinea), Julio Gómez Martín (Dell Technologies España), Jesús Mérida (Iberia) y Ana Salazar (Hijos de Rivera).

 

La identidad es la base de ‘Zero trust’

Fernando Muñoz, director del think tank CIO Executive Council, de Foundry, moderó un debate centrado en la importancia de proteger la identidad en las organizaciones en el que participaron Ángel Uruñuela, CISO de Fluidra; Carlos Manchado, CISO de Acciona; Juan Cobo, CISO global de Ferrovial; y Olga Forné, CISO global del Grupo Abertis.

Uruñuela recordó que, para Fluidra, que tiene más de un millón de piscinas conectadas con internet de las cosas, “la securización de los dispositivos, la gestión de accesos de forma privada y la autenticación son grandes pilares en materia de gestión de identidad”. “No hay duda de que la identidad es el camino hacia el ‘zero trust’ y el pilar fundamental en todos los procesos de autenticación”, añadió. Además, subrayó que ahora el reto al que se enfrenta es “analizar lo que ocurre después de la autenticación, cuando la sesión está abierta, y valorar cómo usar la inteligencia artificial y el machine learning para detectar abusos que se puedan producir durante esta sesión”.

“La identidad es un pilar para Abertis”, afirmó Olga Forné, reconociendo la complejidad de gestionar ésta en un grupo que cuenta con varias compañías, cada una de las cuales dispone de una solución de identidad. “Nuestra visión pasa por analizar qué soluciones tenemos y cómo podemos simplificarlas. Queremos adoptar tecnologías de mercado, no pretendemos reinventar la rueda”, añadió. La CISO recalcó que la identidad no es algo que sólo atañe a los usuarios sino también a los dispositivos de internet de las cosas y los entornos OT (de operaciones de tecnología) y desveló que ya utilizan tecnología de machine learning en aras de impulsar una mayor automatización en el área de seguridad. “Apostamos por ‘zero trust’, que implica no sólo el gobierno de la identidad sino también el del dato. Los datos tienen que estar protegidos”.

Desde Acciona, Carlos Manchado reconoció que en una compañía tan geográficamente dispersa y con tantos y diferentes negocios, “la centralización de la función de la ciberseguridad es esencial y nuestro objetivo”. En materia de identidad, aseguró que “lo más complejo es el gobierno y el ciclo de vida de ésta”. En este aspecto, indicó, la gestión de los dispositivos tiene un importante papel. “Cuando detectamos comportamientos anómalos de identidad, no sólo analizamos la red sino también los dispositivos”, añadió. Finalmente, expresó que “la externalización a proveedores complica la gestión de la identidad en las empresas”.

“Para Ferrovial, la gestión de la identidad es el proceso más relevante en ciberseguridad; sin este componente es imposible implementar una estrategia de ‘zero trust”, sentenció el CISO de la compañía, Juan Cobo, que recordó que “para perpetrar muchos ataques no se necesita malware sino robar la identidad, de ahí que sea importante disponer de un buen proceso de gestión de ésta”.

El CISO subrayó, además, que “el de la identidad es un largo viaje” en el que Ferrovial está inmerso poniendo el foco en tres dimensiones: “La gestión del ciclo de la identidad, la autenticación y el nivel de autorización”. La multinacional trabaja actualmente para poder gestionar la identidad de forma unificada y en mejorar las capacidades de detección y en automatizar más la respuesta ante incidentes gracias a la apuesta por la inteligencia artificial.

 

Desde la izda. Juan Cobo (Ferrovial), Carlos Manchado (Acciona), Olga Forné (Abertis) y Ángel Uruñuela (Fluidra). 

 

Inteligencia sobre amenazas para un mundo digital en evolución

“La colaboración en materia de gestión de amenazas entre los proveedores es clave para este 2024”, espetó en su ponencia Paco Bonilla, territory SE manager de Fortinet, que ahondó en cómo mejorar la capacidad de inteligencia para mejorar la detección en un contexto de ciberseguridad cada vez más complejo, con la intensa digitalización de las organizaciones.

Tras hacer hincapié en la importancia de mejorar la seguridad de los usuarios, Bonilla afirmó que, con este fin, Fortinet está abrazando la tecnología de machine learning y la inteligencia artificial en general, incorporándola en todos sus servicios y soluciones. “También estamos trabajando para que todas nuestras soluciones hablen entre sí y facilitar la gestión de las mismas a nuestros clientes”, añadió.

 

Paco Bonilla, territory SE manager de Fortinet.

 

Imperativos para adoptar la confianza cero en 2024

“A raíz de la pandemia”, explicó Carlos Piñera, director de desarrollo de negocio SASE de HPE Aruba Networking, “han proliferado los entornos de trabajo híbridos, lo que complica la manera de mitigar los riesgos”. En este contexto, indicó, urge disponer de una política ‘zero trust’ para la gestión de identidades y generar accesos muy granulares.

Además de este desafío, Piñera se refirió a otros, como el aumento de la sofisticación de los criminales (“cada vez tienen mejores armas”, apuntó), los requisitos que se pide a las empresas en materia de la regulación y la dificultad de gestionar la ciberseguridad de superficies de ataque cada vez más extendidas, con el auge de los entornos edge, los centros de datos e incluso la nube pública. “Para nosotros el marco de trabajo ideal es ‘zero trust’; estamos activando principios siguiendo esta política dentro de nuestras soluciones de networking”, añadió.   

 

Carlos Piñera, director de desarrollo de negocio SASE de HPE Aruba Networking.

 

La IA generativa transforma las líneas de ataque y defensa

Ignacio Cobisa, consulting manager de IDC, moderó un panel de debate con la IA generativa como la protagonista de un creciente cambio en el ámbito de la ciberseguridad; una transformación sobre cuyos efectos departieron Rafael Ceres, CISO global de Iberdrola y Elena Ruiz González, responsable de GRC en Cepsa. “Para nosotros la IA generativa es una herramienta muy potente que ya estamos aplicando en distintas áreas como el ámbito legal, el financiero, el marketing, el mundo de la ingeniería… Queremos potenciar su uso en el negocio y, por supuesto, para mejorar la experiencia de cliente”, afirmó esta última.

Por su parte, Ceres especificó que, si bien Iberdrola trabaja con IA desde hace tiempo para mejorar su actividad de producción de energía y, de hecho, la compañía cuenta con una política de uso responsable de esta tecnología desde 2022, la compañía es más cautelosa a la hora de adoptar las plataformas generativas. “Vemos la IA generativa como una oportunidad para aportar más valor al cliente, pero nuestra posición es de cautela, tenemos que identificar bien los casos de uso; ahora mismo estamos en fase de prueba”.

Desde el punto de vista de la seguridad, Ruiz González subrayó que el uso de la IA generativa implica riesgos “sobre todo en materia de la gobernanza de datos; tenemos que identificar dónde están los datos sensibles y protegerlos”, añadió.

Esta preocupación, recordó Cobisa, es común en muchas empresas: “Este 2024 el 80% de las grandes organizaciones implantarán políticas para evitar la fuga de datos con aplicaciones de IA generativa no controladas”. “Nuestra política pasa por trabajar con este tipo de plataformas pero en un entorno controlado”, afirmó el portavoz de Iberdrola. “Huimos de las plataformas de IA públicas con limitadas o nulas garantías de seguridad”.  

Ambas compañías, desvelaron los portavoces, están ahora explorando cómo mejorar los procesos de ciberseguridad de mano de la IA generativa. “En este camino, la gobernanza del dato es esencial”, recalcó la responsable de Cepsa.

 

Ignacio Cobisa (IDC), Elena Ruiz (Cepsa) y Rafael Ceres (Iberdrola).

 

SASE como clave para proteger la fuerza de trabajo remota

Garantizar la seguridad en el modelo de teletrabajo es el objetivo de los servicios de acceso seguro edge o SASE, por sus siglas inglesas (Secure Access Service Edge). Sobre este concepto que, como define IDC, implica el uso de una arquitectura de red que combina capacidades de VPN y SD-WAN con funciones de seguridad nativas de la nube y en modalidad como servicio, se debatió en un panel moderado por Fernando Muñoz, de Foundry, en el que participaron Javier Sánchez Salas, CISO de Engie España, Enrique Cervantes, CISO de Fintonic, Elena García, CISO de Indra, Rafael Hernández, responsable de seguridad DSI de Cepsa, y Luis Ballesteros, CISO de Wizink.

“SASE es una realidad y una necesidad a cubrir. Necesitamos dotar de seguridad a todos nuestros accesos en todo el mundo”, afirmó el portavoz de la energética Engie, recordando, por otro lado, la mayor lentitud en digitalización que experimentan las empresas del ámbito industrial. “Nosotros lo vemos como una manera de entender la cultura de ciberseguridad basada en el mínimo privilegio; toda tecnología que nos permita seguir avanzando en protección nos parece bien”, añadió el CISO de la fintech Fintonic, recordando que “el viaje de cada empresa hacia SASE es único y diferente”.

“El éxito de SASE”, recordó el portavoz de la multinacional Cepsa, “depende de cómo se implemente. No hay que olvidar que estos servicios cubren el 70% de las necesidades que tenemos en lo que respecta a dotar de seguridad al acceso en el trabajo, pero el 30% restante depende de temas organizativos y del partner con el que trabajemos en la empresa”.

“La necesidad a la que responde SASE no es nueva”, matizó el CISO de la entidad financiera Wizink, “pero sí es cierto que hace que la gestión del acceso remoto sea más eficiente. Nosotros vemos la ciberseguridad como un ciclo de mejora continua”.

Para la CISO de la consultora Indra, la principal razón para implantar SASE está clara: “Dar seguridad al negocio. Ese es el principal motivo de apostar por este servicio”. Como lecciones aprendidas, Elena García señaló la necesidad de trasladar bien al negocio los beneficios que conlleva la apuesta por estas tecnologías, que son la mejora de la gestión de la ciberseguridad, de la madurez de los procesos asociados y de la eficiencia en la gestión. “Con SASE es posible tener una seguridad efectiva e independiente”, concluyó.

 

Desde la izda, Luis Ballesteros (Wizink), Rafael Hernández (Cepsa), Elena García (Indra), Enrique Cervantes (Fintonic) y Javier Sánchez Salas (Engie).