Actualidad, Ciberseguridad, Entrevistas

«Somos capaces de medir el impacto económico que supone la pérdida de reputación de una organización»

Manuel Carpio, Director de Ciberseguridad en Armatum habla para CyberSecurityNews de diferentes cuestiones de ciberseguridad y de la plataforma Armatum capaz de medir el impacto económico de la pérdida de reputación.

Manuel Carpio, Director de Ciberseguridad en Armatum, lidera una plataforma revolucionaria desarrollada por el grupo tecnológico español ABAI que proporciona una valoración económica cuantitativa del Riesgo Tecnológico. Armatum, siendo pionera en el uso de la Inteligencia Artificial en la evaluación del riesgo tecnológico, es un reflejo del continuo impulso innovador de Carpio en el sector.

En esta entrevista exclusiva, exploraremos trayectoria, experiencias y conocimientos de Manuel Carpio sobre la importancia de la ciberseguridad en el entorno actual, así como su enfoque disruptivo para cuantificar el riesgo tecnológico a través de la plataforma Armatum.

En primer lugar, nos gusaria que nos hicieras un repaso a tu trayectoria profesional

A finales de 1988, me encontraba terminando mi Proyecto Fin de Carrera en la escuela de Teleco, aquí en Madrid. Era un estudiante pobre. En esta época los alumnos teníamos que pagar por el uso de la CPU. No tenía dinero y tuve que hackear el VAX para poder terminarlo. Este ha sido un secreto que me ha acompañado 35 años. No estoy orgulloso de haber hecho eso, pero tampoco sabía en ese momento que aquello estaba mal.

Entré a trabajar en Telefónica, pero había dejado pendiente mi servicio militar. Por entonces se hacia la “mili”. Ya estando en Telefónica solicité a Recursos Humanos mi traslado y entré a trabajar en su División de Defensa. Durante los permisos puede dedicarme a muchos proyectos clasificados. Trabajé en uno muy chulo, un proyecto de seguridad en comunicaciones. Desarrollábamos sistemas para medir la calidad de los equipos de criptografía que compraba el ejército. Aquello fue mi primer baño en el mundo de la ciberseguridad, y me atrapó profesionalmente.

En el año 92 ocurren dos cosas fantásticas, Telefónica se abre por primera vez a la competencia. Entonces empieza a plantearse la necesidad de proteger la información corporativa, y fundé el primer área de Seguridad de la Información. En el año 95, la llegada de Internet supuso el espaldarazo definitivo a esa unidad. Crecimos muchísimo, ganamos mucho dinero. Gracias a nuestro equipo pudimos proteger muchas empresas. Antes de esa época, en el ‘92, a lo que me dedicaba yo también en Telefónica era a perseguir a los “phreakers” , los que construían “blue boxes” para defraudar a la Telefónica.

Así fueron mis comienzos…

Luego llega internet, los navegadores, se dan cuenta que no hay Firewall. ¿Cómo se le ayudaba a las empresas en ese momento? ¿Como fue desarrollándose la ciberseguridad?

Un importante hito que ocurrió en el ‘92, y por lo que España fue pionera, fue la publicación de la LORTAD, la primera Ley Europea de protección de datos personales. Aquello supuso un antes y un después. Esta Ley fue un catalizador tremendo para todo el tema de seguridad en las empresas en España. Más tarde en el ‘97, la publicación de la Directiva europea, supuso la reafirmación de lo que habíamos hecho en España.

En el año ‘95 los incidentes de ciberseguridad eran debidos a los virus. Virus para los sistemas Windows. Pero con la llegada de internet y de los navegadores, con la popularización del “Host on Demand” empezamos a trabajar sobre todo con los bancos. Empezaron a producirse las primeras conexiones a internet, para el correo electrónico, y empezaron a aparecer también las aplicaciones web. Lógicamente los departamentos empezaron a poner medidas de seguridad, que casi en exclusiva consistían en la seguridad perimetral mediante “firewalls”. Nosotros pusimos los primeros. En ese momento no se hablaba de ciberseguridad, se hablaba de seguridad de la información. El término “ciber” se acuña a mediados de la primera década de este siglo, cuando entra en juego un nuevo factor: los Estados y sus intereses geopolíticos. Hasta entonces el mundo de los hackers era tratado como un tema criminal, de intentos de robo de información, en fin, el uso de los sistemas de la información para la comisión de delitos. Entonces los Estados empiezan a dotarse de recursos económicos, recursos humanos y de herramientas, para defender sus infraestructuras críticas y para, eventualmente, atacar a posibles enemigos. Aparece también el concepto de Guerra Hibrida.

Desde Armatum, habéis puesto en marcha la primera plataforma que usa inteligencia artificial para cuantificar el ciber riesgo… ¿Cómo surge la idea?

Los negocios necesitan cuantificar, y los ingenieros necesitamos medir. Los ingenieros, siempre estamos deseosos de poder medir porque la única forma de gestionar correctamente algo es poder medirlo. Como dijo Kaplan, “si no lo puedes medir, no lo puedes gestionar”, por lo que desde un punto de vista científico-técnico siempre me pareció un fracaso no poder medir algún fenómeno experimental. Para mí una de las cosas que me había frustrado siempre era la incapacidad de medir el riesgo tecnológico. Cuando coincidía en el ascensor de Telefónica con un Director General y me preguntaba “Carpio, ¿qué tal? ¿cómo va la ciberseguridad?”, yo respondía “pues muy bien, señor Director General, vamos mejorando”, a lo que socarronamente él respondía, “pero… ¿cuánto estamos de mejor?, ¿o estamos peor?”, y yo me quedaba cortado, pensando. Y entonces lo único que podía responder, claro está, era “no, no, estamos mejor, mejor”. En realidad, nadie podía saberlo. Teníamos que empezar a medir.

Cuando las inversiones en ciberseguridad empiezan a tener ya un cierto porte, es decir estamos hablando de empresas con presupuestos entre un 10% o un 15% de todas las inversiones en TI, ya empieza a ser un tema que alcanza los consejos de administración. Los de control financiero empiezan a llamar al CISO y le preguntan “¿realmente no te puedes gastar un poquito menos, es que vamos un poco apretados”. Y es cuando el CISO ya empieza a tener problemas, empieza a sentirse incómodo porque necesita invertir para cubrir los riegos que conoce de primera mano, pero no sabe comunicar en un lenguaje financiero la magnitud de dichos riesgos. Y no sabe cómo medirlos. No tiene ningún instrumento de medida.

Lo primero que surgió al principio de este siglo, en 2005, fueron las métricas cualitativas. Empiezan a surgir sistemas de análisis de riesgos que al final lo que te dan es una medida en una escala cualitativa del tipo alto, medio, o bajo, de mucho, poco, o bastante, o de rojo, naranja, amarillo, o verde. Así, podíamos decir “¡nuestro riesgo es naranja!, señor Director General”, a lo que el Director General espetaba “¿y eso, qué significa?, con lo que nuestra respuesta defensiva era “pues que no es rojo, pero tampoco es amarillo”.

Es decir, poco concreto.

Si, poco concreto, ambiguo. Hay algún artículo del que soy autor en el que hace unos años defendía los esquemas de calificación como la mejor forma de comunicar el nivel de seguridad alcanzado por un sistema. Esos esquemas de calificación o “rating” suelen dar una letra o tres letras, de forma similar a la clasificación de eficiencia energética de una casa o un frigorífico. Hay empresas que ofrecen estos “ratings” lo mismo que las agencias Fitch, Standard and Poor’s, o JPMorgan dan una calificación a los bonos emitidos por empresas y gobiernos. Alguna de estas empresas califica la ciberseguridad mediante una terna de letras que pueden ser desde la A hasta la F, lo que significa por ejemplo que estás muy bien en confidencialidad, que estás muy mal en disponibilidad o que estás regular en integridad. Pero volvemos a lo de siempre. No deja de ser un sistema cualitativo basado en la subjetividad del evaluador o de los criterios que aplica la empresa. Y, además, este proceso es poco escalable.

Un buen día, el jefe de la empresa para la que trabajo, un gran empresario, charlando amigablemente en su despacho, me propuso el reto. Me dijo: “los de seguridad nos asustáis mucho, pero no sois capaces todavía de medir económicamente el riesgo tecnológico”. Tuve que reconocer la cruda verdad, pero acepté el reto, y le pedí permiso para ponerme a investigar en el tema. Me puse a trabajar y comprobé que existían los ingredientes necesarios para hacerlo realidad. Incluso había ya alguna empresa en Estados Unidos que estaba dando los primeros pasos en esto de la cuantificación económica del riesgo cibernético. Debo reconocer, y debo agradecer a ABAI, y a su dirección, que me hayan proporcionado el tiempo para investigar, y los recursos para desarrollar la plataforma Armatum, que hoy es una realidad. No quiero decir que sea la más importante, pero sin duda, una de las líderes a nivel mundial en esto de la cuantificación del riesgo tecnológico. Porque sí se puede, se puede hacer una estimación muy aproximada, de lo que supondría el impacto económico por ciber incidentes de seguridad.

¿Que qué parámetros se tiene en cuenta para para hacer estas cuantificaciones? ¿Qué podrías decirnos?.

Pues son muchos y podríamos estar todo el día, pero centrándonos solamente en las fuentes de entrada mencionaré tres: En primer lugar la opinión de los expertos. Cuando estamos hablando de disciplinas incipientes, como es esto de la cuantificación económica del ciber riesgo, es imprescindible contar con la opinión de los expertos. ¿Cómo se hacían los primeros seguros de automóviles cuando solamente existían los carros tirados por caballos?. ¿Qué parámetros se utilizaban entonces para hacer un seguro de un coche? Pues se utilizaban los datos de los accidentes con carros tirados por caballos que había disponibles, y la experiencia de los actuarios de entonces. Luego, aquello evolucionó y se fueron creando las tablas actuariales propias de aquella nueva forma de transporte. Pues bien, ahora nos encontramos en una situación parecida. Necesitamos a los expertos, que están formulando nuevas reglas de cálculo, siguiendo el método experimental, y necesitamos también crear nuevas bases de datos.

Entre las metodologías actuales para el cálculo hay que destacar Open FAIR^TM, y el modelado de variables estadísticas mediante funciones de distribución Beta PERT y Weibull. Luego, aplicamos correcciones por los controles de seguridad que se hayan dispuesto, y todo eso lo orquestamos con simulaciones Montecarlo. Además, utilizamos también metodología Gordon&Loeb. Gordon y Loeb son dos catedráticos de la Universidad de Maryland en USA, autores de una teoría que, por cierto, somos los primeros pioneros a nivel mundial en aplicar, para el cálculo de la inversión óptima en ciberseguridad. Este es básicamente el aparato matemático que usamos. La ciencia experimental dice que tienen que ser los expertos los que lleven a cabo los primeros experimentos a partir de los cuales construir una teoría. Así ha funcionado la teoría científica desde la época de Galileo. Para la cuantificación económica del riesgo tecnológico sucede algo parecido: en primer lugar, deben elaborarse los modelos matemáticos que describan los fenómenos que se observan en la realidad, esto es, los incidentes de seguridad, y a continuación contaremos con la opinión de los expertos que evalúan las consecuencias económicas que acarrean dichos incidentes. Todo eso es lo que hace Armatum, utilizando análisis estadístico avanzado. Esta es la parte, digamos, metodológica, y una de las fuentes de información.

La segunda fuente de información es la inteligencia artificial que tenemos trabajando día y noche, barriendo toda la red en busca de indicadores econométricos de incidentes de ciberseguridad. Es decir, ¿cuál es el porcentaje de ocurrencia de los distintos escenarios de riesgo definidos en el catálogo de ENISA, la Agencia Europea para la Seguridad de la Información y de las Redes? Esta agencia anualmente publica un informe de amenazas con una taxonomía de incidentes de ciberseguridad. Nosotros además añadimos otros, como el fraude en los servicios, tanto interno como externo, y los causados por la naturaleza como huracanes, inundaciones, etc. Por lo que sabemos, creemos que estamos creando la primera base de datos actuarial mundial en ciberseguridad. Lo estamos haciendo a nivel internacional, para todos los países, para cada sector de actividad, y siguiendo esa taxonomía de ENISA. Es posible que existan algunas aseguradoras que estén haciendo algo parecido, y que dispongan ya de tablas actuariales, pero si es así serían privadas, y posiblemente no serán muy diferentes a las nuestras. Esto como digo, es la segunda fuente. Cuando una empresa contrata el servicio Armatum extraemos el dato de esta fuente de información y se lo proponemos al cliente diciéndole “mire usted, lo que dice el mercado para empresas de su sector de actividad y para este riesgo en concreto, es que la incidencia es del 30%, o del 25% anual”. El cliente puede aceptar esa frecuencia como aplicable, pero puede rechazarlo y aducir un mejor desempeño que el de la media. Si la empresa dispone de datos estadísticos fehacientes, por ejemplo, los que se obtienen a partir de los registros de un SOC, utilizaremos esos datos.

La tercera fuente de información para Armatum es lo que denominamos “pruebas sustantivas”. Los auditores de sistemas nos referimos a pruebas sustantivas cuando hacemos muestreos sobre una población para caracterizarla en su totalidad. En nuestro caso queremos comprobar si las respuestas que se han dado a los cuestionarios, se comparecen con la realidad. Por ejemplo, los expertos del área de TI de la empresa podrán declarar un cierto estado de madurez y grado de despliegue de los controles de seguridad, pero después nuestras pruebas sustantivas corregirán, o no, de forma objetiva estas declaraciones. ¿Y qué pruebas son estas?:

Un test de ciberinteligencia en fuentes abiertas en Dark Web y Deep Web para ver si existen amenazas que están urdiendo algún ataque contra la empresa en los “bajos fondos”, o si se están intercambiando credenciales, direcciones IP o vulnerabilidades listas para ser explotadas, de una determinada empresa. Buscamos esto y movemos el nivel de riesgo de la empresa en función de los resultados de ese test de ciberinteligencia.
Un “pentesting” externo automatizado. Barremos toda la empalizada de la empresa y de sus proveedores críticos. Como exige DORA, incluimos dentro del perímetro del estudio a los proveedores críticos de la empresa, y vemos si existen vulnerabilidades por las que nos podríamos colar dentro.
La tercera de las de las pruebas que hacemos es comprobar la seguridad de la pasarela de correo. Esta se ha convertido en una de las vías de entrada de infecciones. A través del correo electrónico hacemos un test sobre los filtros de la pasarela de correo para comprobar su eficacia contra las típicas amenazas que están entrando, que no solamente son los anexos sino los botones que vienen con enlaces y que pulsas sin saber exactamente qué es lo que estás haciendo y que te pueden desencadenar una infección.
Por último, lanzamos un estudio de “phishing” para una muestra representativa de todos los niveles de la organización: del nivel C, del personal operativo y del personal de administración de redes y sistemas. Obtenemos una serie de indicadores, con los que alimentamos los algoritmos internos de Armatum para modelar y modular el perfil de riesgo de esa compañía. En base a ese perfil de riesgo, mediante los las metodologías que te he mencionado anteriormente, estimamos las pérdidas potenciales que podrían llegar a producirse.

¿Qué sectores son los más demandados por este tipo de valoraciones?, o en realidad ¿son todas las empresas en general?

Son todas las empresas, todas aquellas que pueden perder dinero por la concreción de un riesgo cibernético. Pero no solo pérdida tangible, sino también los intangibles. Entre los 38 escenarios de riesgo del catálogo de Armatum también figuran los que se refieren a los activos intangibles. Somos capaces de medir el impacto económico que supone la pérdida de reputación de una organización. Al final, traducimos a dinero cualquier pérdida que se produzca en un activo sea esta una pérdida de reputación, o las causadas por amenazas como extorsión del personal. Hay casos de cómo personal de una empresa es chantajeado para que proporcione información, o de cómo es presionado, como le ocurrió por ejemplo con British Petroleum después del desastre de su plataforma en el Golfo de México: los empleados sufrieron unas campañas terroríficas de spam y de acoso en redes sociales. Hubo mucha gente que se marchó de la empresa. Este tipo de eventos también hay que empezar a medirlos. Y se pueden medir. ¿Cuál es el impacto que tiene una campaña de desinformación en términos económicos para la empresa? Esto también lo hacemos con Armatum.

En general Armatum puede aplicarse en cualquier empresa que ofrezca servicios digitales, o que utilice los sistemas de información como soporte a servicios presenciales, y obtenga ingresos por dichos servicios. Por ejemplo, uno de los casos de uso que tenemos en Armatum es el de un hospital. No se gana dinero por el sistema de información, pero el hospital necesita el sistema de información para sus procesos productivos, que son sanar a la gente enferma. Pero pensemos en cómo los hospitales y centros clínicos se van digitalizando más cada día, no solo ya en la parte de gestión administrativa, sino incluso también en los servicios al cliente, por ejemplo, los sistemas de ayuda remota a la intervención quirúrgica. Entonces, cualquier empresa pueda tener una pérdida ocasionada por una paralización, una corrupción de datos, o un robo de propiedad intelectual, si quiere conocer lo que podría llegar a perder y saber dimensionar exactamente cuáles deberían de ser sus inversiones y calcular el retorno de sus inversiones en seguridad, necesita Armatum. Les conviene tener Armatum para poder presentar todo esto a la dirección ejecutiva, para que entienda, en su lenguaje, qué es lo que está pasando.

Y ahí, por ejemplo, está el sector seguros.

El sector seguros es un “target” total. Esto es básico para las empresas de seguros. Disponer de una herramienta que sea un instrumento científico técnico de medida riguroso, confiable, es decir, que es que cada vez que midas eso te va a salir siempre el mismo resultado, y al mismo tiempo objetivo, es decir, que sea un instrumento que no dependa de quién sea la empresa aseguradora. Creemos que faltaba algo así en el sector seguros, una herramienta confiable, rigurosa y que sea universal.

¿Si, a mí también me parece que hacían falta empresas así o proyectos así ¿no? Porque al final el sector seguro se está metiendo en un negocio nuevo como este de la ciberseguridad.

El día 27 de Diciembre del año pasado, el diario Expansión publicaba la noticia de que el CEO de Zurich pronosticaba que “Los seguros ya no iban a cubrir los ciber ataques”. Aquello produjo un “tsunami”, un shock en el mundo del seguro. Pero ¿por qué decía esto? Por lo que acababa de pasar en el año 2022, en Estados Unidos. Y es que los siniestros declarados en empresas habían desbordado todas las capacidades disponibles. Aparte de un mejor dimensionamiento de las capacidades, otro de los problemas pendientes de abordar es el disponer de una herramienta rigurosa, confiable, que se pueda aplicar en distintas situaciones y que sea independiente, una herramienta que permita valorar de forma rigurosa esas pérdidas, a partir de la que se puedan establecer las pólizas. Las empresas de seguros están investigando en este campo. Hay mucho interés en Armatum, y en otras herramientas parecidas a Armatum.

ciberseguridad

Pedro Pablo Merino

Deja un comentario Cancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

Cyber Insurance Day 22: El evento del ciberseguro ya está aquí

Eventos

Cyber Insurance Day 22: Objetivo concienciar/informar sobre ciberseguros

Actualidad, Ciberseguros, Eventos

La necesidad de contar con un Ciberseguro

Actualidad, Ciberseguros

Resumen de la Jornada de Puertas Abiertas en CyberSecurity News

#CyberWebinar, Actualidad

Os invitamos a la Jornada de Puertas Abiertas de CyberSecurity News

Actualidad, Eventos

Códigos QR o SMS: riesgos de la vieja tecnología que la pandemia ha puesto de moda

Actualidad, Cyber Expertos

#CyberCoffee 23 con Raquel Ballesteros, Responsable de Desarrollo de Mercado en Basque Cybersecurity Centre

Entrevistas

#CyberWebinar El EPM: Antídoto contra sus infecciones del malware

#CyberWebinar

Llega una nueva edición de Cyber Insurance Day: El evento que fusiona Ciberseguridad y Seguros

Actualidad, Eventos

El 76% de las organizaciones españolas han experimentado un incidente de seguridad en aplicaciones en los últimos dos años

Actualidad, Security Breaches

Las empresas, desprotegidas ante el desafío para la ciberseguridad que supone la IA

AI, Ciberseguridad

RECIBE LA NEWSLETTER

ARTÍCULOS MÁS RECIENTES

Llega una nueva edición de Cyber Insurance Day: El evento que fusiona Ciberseguridad y Seguros

Actualidad, Eventos

El 76% de las organizaciones españolas han experimentado un incidente de seguridad en aplicaciones en los últimos dos años

Actualidad, Security Breaches

Las empresas, desprotegidas ante el desafío para la ciberseguridad que supone la IA

AI, Ciberseguridad

El malware más buscado en abril de 2024: aumento de ataques de Androxgh0st y declive de LockBit3

Actualidad, Security Breaches

Visa anuncia una solución basada en IA generativa para combatir los ataques a cuentas

AI, Ciberseguridad

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

SÍGUENOS EN FACEBOOK

SÍGUENOS EN TWITTER

SÍGUENOS EN LINKEDIN

SÍGUENOS EN INSTAGRAM

SÍGUENOS EN YOUTUBE

MÁS COMENTADOS

¿Qué hacer si eres víctima de phishing?

Email, Network Security

Un ciberataque sacude la sanidad en Baleares

Actualidad, CyberAttacks, Security Breaches

Los clientes de CaixaBank sufren un ataque de suplantación de identidad

Actualidad, CyberAttacks

España, entre las grandes potencias mundiales en ciberseguridad

Actualidad, Ciberseguridad

Ucrania anuncia un gran ciberataque y Rusia alega no estar involucrada

Actualidad, CyberAttacks