Entrevistamos a Amador Aparicio, CISO en Zunder y uno de los expertos en ciberseguridad participantes el próximo 22 de noviembre en Cyber Insurance Day.

Hoy tenemos el honor de entrevistar a Amador Aparicio, un destacado profesional con una amplia trayectoria en ciberseguridad. Actualmente, ocupa el cargo de Chief Information Security Officer (CISO) en Zunder España y también es Profesor Asociado en la Escuela de Ingeniería Informática de la Universidad de Valladolid. Además, es miembro del Comité CTN 320 de UNE Asociación Española de Normalización, y se desempeña como profesor en programas de ciberseguridad en varias universidades. Su experiencia y conocimientos en este campo son muy interesantes, así que os animamos a conocer la visión de este «genio» sobre la seguridad en la era digital.

Amador, con su amplia trayectoria en ciberseguridad, ¿Qué medidas toma para fomentar el aprendizaje continuo y la actualización de habilidades en su equipo para estar preparados ante las sofisticadas ciberamenazas?

Amador Aparicio (AA): tras llevar más de 15 años en el sector de la Ciberseguridad desempeñando diferentes roles, algunas de las medidas que llevo a cabo tras todo este tiempo y he inculcado a los equipos que he dirigido son las siguientes:

Formación y Capacitación Continua: Proporcionar oportunidades regulares de formación y capacitación en ciberseguridad para el equipo. Esto puede incluir cursos en línea, talleres, conferencias y la participación en programas de certificación relevantes.

Ejercicios de Simulación y Pruebas: Realizar ejercicios de simulación de ataques cibernéticos y pruebas de penetración periódicas para poner a prueba las habilidades del equipo y su capacidad para responder a situaciones de amenaza real.

Mantenerse Actualizado: Fomentar la investigación y el estudio continuo de las últimas tendencias en ciberseguridad. Esto puede incluir la lectura de informes de amenazas, blogs de expertos y la participación en grupos de discusión en línea.

Participación en Congresos y Comunidades  de Seguridad: Alentar a los miembros del equipo a participar en congresos y comunidades de seguridad  y grupos de investigación para compartir conocimientos y experiencias con otros profesionales.

Asistencia a Conferencias y Eventos: Apoyar la asistencia a conferencias y eventos de ciberseguridad donde los miembros del equipo pueden aprender de expertos de la industria y mantenerse actualizados sobre las últimas tecnologías y amenazas.

Hackathones Internos: Organizar hackathones internos o desafíos de seguridad cibernética en la organización para fomentar la resolución creativa de problemas y el aprendizaje colaborativo.

Mentorización: Establecer programas de memorización de proyectos tecnológicos donde los profesionales más experimentados guíen a los miembros menos experimentados del equipo, compartiendo conocimientos y experiencia.

Revisión y Retroalimentación: Realizar revisiones de desempeño regulares para identificar áreas de mejora y proporcionar retroalimentación constructiva sobre el desempeño en seguridad cibernética.

Recursos y Herramientas: Proporcionar acceso a recursos y herramientas actualizadas, como software de seguridad, bases de datos de amenazas y laboratorios de pruebas.

Política de Aprendizaje Continuo: Establecer una cultura organizacional que valore y promueva el aprendizaje continuo en ciberseguridad como un componente esencial del trabajo.

¿Cuáles, desde su posición como CISO, identifica como los desafíos más apremiantes y emergentes en el panorama actual de ciberseguridad?

AA: desde mi posición como director de Ciberseguridad, los desafíos que identifico como más críticos son los siguientes:

Amenazas Avanzadas Persistentes (APT): Las APT son ciberataques muy sofisticados y dirigidos que a menudo son respaldados por actores estatales o grupos de ciberdelincuentes bien financiados. Identificar y mitigar APT es un desafío importante.

Ransomware: Los ataques de ransomware siguen siendo una amenaza grave, y los atacantes han aumentado sus demandas de rescate y su capacidad para cifrar datos críticos de las empresas y organizaciones.

Ataques de Día Cero (Zero-Day): Los ataques que aprovechan vulnerabilidades de día cero (vulnerabilidades no conocidas y explotadas) aún son una preocupación importante para los CISOs, ya que pueden ser difíciles de detectar y mitigar.

Internet de las Cosas (IoT): La creciente adopción de dispositivos IoT ha ampliado la superficie de ataque, lo que significa que los CISOs debemos lidiar con la seguridad de una variedad de dispositivos conectados, algunos de los cuales pueden tener limitaciones de seguridad.

Privacidad de Datos y Cumplimiento: Las regulaciones de privacidad de datos, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y leyes similares, imponen requisitos estrictos en la gestión y protección de datos, lo que aumenta la responsabilidad de las organizaciones en este sentido.

Inteligencia Artificial y Ciberseguridad: Si bien la inteligencia artificial (IA) se utiliza para mejorar la detección de amenazas, también puede ser explotada por atacantes para llevar a cabo ataques más sofisticados, o ser una fuente de información de datos sensibles para empresas y organizaciones si los conjuntos de datos que se utilizan para entrenar estos modelos tienen información de carácter personal o sensible.

Ataques a la Cadena de Suministro: Los atacantes a menudo buscan debilidades en la cadena de suministro de una organización para infiltrarse en sistemas y redes.

Ciberseguridad en la Nube: La adopción de servicios en la nube plantea desafíos de seguridad específicos relacionados con la configuración adecuada, la visibilidad y la gestión de riesgos.

Phishing e Ingeniería Social: Los ataques de phishing y la ingeniería social siguen siendo una táctica efectiva para engañar a los usuarios y obtener acceso no autorizado a sistemas cuyo vector de entrada sigue siendo el correo electrónico.

Regulación y Cumplimiento: Las regulaciones en constante cambio y la necesidad de cumplir con estándares de seguridad, como ISO 27001 o el Esquema Nacional de Seguridad (ENS), añaden presión adicional a los CISOs para mantener el cumplimiento.

En un entorno dinámico en lo que se refiere a la carga de vehículos, como es el caso en la empresa Zunder, ¿cómo se equilibra todo lo relativo a innovación y con la seguridad de los dispositivos?

AA: Equilibrar la Innovación y la Ciberseguridad en un entorno dinámico y en eclosión como es la carga ultra-rápida en vehículos eléctricos es fundamental para aprovechar las ventajas de la tecnología emergente mientras se mitigan los riesgos de seguridad. Algunas estrategias que utilizamos son las siguientes:

Evaluación de Riesgos Temprana: Antes de adoptar nuevas tecnologías o sistemas, realizamos una evaluación exhaustiva de riesgos para identificar las posibles vulnerabilidades y amenazas que podrían surgir con la implementación de innovaciones y desarrolle estrategias para mitigar estos riesgos.

Adopción Gradual: No implementamos cambios de manera abrupta. En lugar de eso, adoptamos nuevas tecnologías de manera gradual y planificada.

Actualizaciones y Parches: Mantenemos los sistemas y dispositivos actualizados con los últimos parches de seguridad y actualizaciones de software. Esto es especialmente importante en entornos dinámicos donde las amenazas evolucionan constantemente.

Educación y Formación: Proporcionamos formación y concienciación en seguridad a su personal. Asegúrese de que comprendan los riesgos y sepan cómo tomar medidas para proteger la información y los sistemas críticos.

Pruebas de Penetración: Realizamos pruebas de penetración y auditorías de seguridad de forma regular para identificar vulnerabilidades en nuestros sistemas. Contratamos a expertos externos en seguridad para realizar pruebas imparciales y después revisamos los resultados con ellos.

Diseño Seguro por Defecto: Integramos la seguridad en el diseño de nuestros sistemas desde el principio. El enfoque de «seguridad por diseño» implica considerar y abordar los riesgos de seguridad desde la fase de diseño y desarrollo.

Gestión de Identidad y Acceso: Implementamos una sólida gestión de identidad y acceso para garantizar que solo las personas autorizadas tengan acceso a sistemas y datos críticos.

Monitorización Continua: Contamos con sistemas de monitorización continua para detectar comportamientos inusuales o posibles ataques en tiempo real.

Colaboración con la Comunidad de Seguridad: Colaboramos con la Comunidad de Ciberseguridad y participamos en la divulgación responsable de vulnerabilidades. Esto puede ayudar a identificar y abordar problemas antes de que los atacantes los exploten.

Cumplimiento Normativo: Nos asguramos de cumplir con las regulaciones y estándares de seguridad aplicables a su industria. Cumplir con estas regulaciones puede proporcionar un marco sólido para la seguridad.

Gestión de Incidentes: Contamos con un plan de respuesta a ciberincidentes bien definido para abordar rápidamente cualquier brecha de seguridad o incidente.

Como docente en Ciberseguridad, ¿Cuáles son los requisitos básicos para afrontar los desafíos en ciberseguridad que les transmite a sus estudiantes?

AA: Bueno, lo primero de todo, les transmito la pasión por lo que hago, a la vez que les muestro lo importante que tener los conceptos, claro. Les digo que una buena base conceptual distingue a un profesional de un chusquero. Me gusta explicarles para qué vale, en la vida real, lo que les enseño, ponerles casos prácticos de verdad; me gusta que mis clases sean muy prácticas y me gusta esquematizar, dibujar en una pizarra en blanco para que mis estudiantes vean la importancia de saber comunicar ideas, conocimientos en un papel en blanco, de que se den cuenta de que pueden ser muy buenos técnicamente, pero que si no saben comunicar, muchas veces el trabajo que hacen no valdrá para mucho.

A modo de resumen, le diría, que en un ecosistema donde hay tantísimas oportunidades de trabajo, aparte de la actitud que siempre se ha vendido como ese “gran factor multiplicador” que todo lo puede y que todas las puertas abre, han de tener una buena base conceptual y han de darle mucha importancia a la comunicación, tanto oral como escrita. Les tocará hacer informes técnicos y ejecutivos con resultados que tendrán que explicar a clientes en reuniones. La capacidad de comunicación marcará la diferencia entre un profesional y otro, entre un informe y otro. Y también, me gusta transmitirles la importancia del trabajo diario, el valor de la constancia. Les digo que a mí la inspiración siempre me ha venido trabajando. Si te quieres dedicar de manera profesional a la Ciberseguridad, no hay atajos. Es como ir al gimnasio: leer, practicar y sé constante.

El próximo día 22 de noviembre participará en “Ciber Insurance Day” dentro una de las mesas redondas de expertos”. A este respecto, ¿Cuál es su opinión sobre la colaboración entre la industria de seguros y la comunidad de ciberseguridad en eventos como el Ciber Insurance Day?

AA: Es la primera vez que participo en este evento y la verdad es que estoy encantado de hacerlo. La colaboración entre la industria de seguros y la comunidad de ciberseguridad es fundamental y puede ser beneficiosa para ambas partes, así como para las organizaciones que buscan protegerse contra las amenazas cibernéticas. Aquí hay algunas razones por las cuales esta colaboración es importante y cómo puede ser beneficiosa:

Evaluación de Riesgos Precisa: La industria de seguros tiene experiencia en la evaluación de riesgos y la cuantificación de pérdidas. Al colaborar con la comunidad de ciberseguridad, las aseguradoras pueden obtener información valiosa sobre las amenazas cibernéticas y las vulnerabilidades actuales, lo que les permite ajustar sus políticas y tarifas de manera más precisa.

Fomento de Buenas Prácticas de Seguridad: La colaboración puede promover la adopción de mejores prácticas de seguridad en las organizaciones. Las aseguradoras pueden ofrecer incentivos para que las empresas implementen medidas de seguridad más sólidas, lo que a su vez puede reducir el riesgo de incidentes cibernéticos.

Mitigación de Pérdidas: Cuando se produce un incidente cibernético, las aseguradoras pueden trabajar en estrecha colaboración con la comunidad de ciberseguridad para ayudar a las organizaciones a mitigar las pérdidas y responder de manera eficaz a la amenaza.

Desarrollo de Productos Específicos: La colaboración puede dar lugar al desarrollo de productos de seguros cibernéticos más especializados y adaptados a las necesidades cambiantes de las organizaciones. Esto puede incluir cobertura para incidentes específicos, como ransomware o violaciones de datos.

¿Qué beneficios considera que pueden surgir de estas interacciones en términos de protección contra riesgos cibernéticos y conciencia sobre la importancia de la ciberseguridad?

AA: La colaboración entre la industria de seguros y la comunidad de ciberseguridad puede generar una serie de beneficios significativos en términos de protección contra riesgos cibernéticos y conciencia sobre la importancia de la ciberseguridad. Algunos de los beneficios clave incluyen:

Mejor Evaluación de Riesgos Cibernéticos: Las aseguradoras pueden utilizar la experiencia de la comunidad de ciberseguridad para evaluar de manera más precisa los riesgos cibernéticos a los que se enfrentan las organizaciones. Esto permite una tarificación más precisa de las pólizas de seguros cibernéticos y una gestión de riesgos más efectiva.

Incentivos para la Adopción de Buenas Prácticas de Seguridad: Las aseguradoras pueden ofrecer incentivos financieros para que las organizaciones adopten buenas prácticas de seguridad cibernética. Esto puede incluir descuentos en las primas de seguro para las empresas que implementan medidas de seguridad sólidas.

Desarrollo de Productos de Seguros Cibernéticos Más Especializados: La colaboración puede conducir al desarrollo de productos de seguros cibernéticos más específicos y adaptados a las necesidades cambiantes de las organizaciones. Esto puede incluir cobertura para amenazas emergentes, como ataques de ransomware, y una mayor flexibilidad en la selección de coberturas.

Mitigación de Pérdidas y Respuesta Eficiente a Incidentes: En caso de un incidente cibernético, las aseguradoras pueden trabajar con la comunidad de ciberseguridad para ayudar a las organizaciones a mitigar las pérdidas y responder de manera eficiente. Esto puede incluir la provisión de servicios de respuesta a incidentes y recursos financieros para la recuperación.

Mayor Concientización sobre la Ciberseguridad: La industria de seguros puede ayudar a aumentar la conciencia sobre la importancia de la ciberseguridad al destacar los riesgos y las posibles consecuencias financieras de los incidentes cibernéticos. Esto puede motivar a las organizaciones a tomar medidas proactivas para protegerse.

Mejora de la Investigación de Amenazas: La colaboración puede facilitar la investigación conjunta de amenazas cibernéticas. Las aseguradoras pueden proporcionar datos sobre incidentes que ayuden a la comunidad de ciberseguridad a comprender mejor las tendencias y las tácticas utilizadas por los atacantes.

Establecimiento de Normas y Mejores Prácticas: La colaboración puede contribuir a la creación de estándares y mejores prácticas en el ámbito de la ciberseguridad y el seguro cibernético, lo que beneficia a toda la industria.

Compartir Experiencias y Aprendizaje Mutuo: Las aseguradoras pueden beneficiarse al aprender de las experiencias de la comunidad de ciberseguridad y viceversa. Esto puede ayudar a ambas partes a mejorar sus capacidades y enfoques.

¿Cuánto de genio hay en usted?

AA: Hay mucho más de trabajo que de genio. La genialidad y la locura son zonas limítrofes, pero bien es cierto que en las más oscuras profundidades del yo a veces he encontrado las ideas más geniales y bellas.