Muy probablemente hoy día no podamos ni imaginar los ciberataques que mañana afectarán a las empresas de todo el mundo y a las personas.

Por delante, las empresas proveedoras de ciberseguridad deben de evolucionar y usar las nuevas tecnologías de manera más eficiente que los cibercriminales y para ello, deberán de afrontar múltiples retos. Hoy hablamos con Rui Shantilal, CEO at Integrity, empresa proveedora de ciberseguridad que estará presenta en CISO Day 2019. 

CsN: Integrity es una empresa internacional con presencia en varios países del mundo, para todos los españoles que aún no os conocen, ¿qué es Integrity?

Integrity es una empresa líder en ciberseguridad con todas las certificaciones relevantes (ISO 27001, ISO 9001, CREST, acreditación del National Security Cabinet) y un enfoque claro en 2 áreas principales:

• Auditar sistemas y aplicaciones utilizando técnicas y prácticas de piratería, buscando vulnerabilidades y ayudando a las organizaciones en el proceso de reducir su nivel de riesgo, para lo cual utilizamos un enfoque muy innovador de la prueba de detección persistente, que contrasta dramáticamente con el pentesting tradicional más orientado a proyectos, también ofreciendo una plataforma de administración en la que nuestros clientes pueden administrar de manera efectiva el ciclo de vida de sus vulnerabilidades; y también…
• Un equipo de Infosec Consulting, que ayuda a las organizaciones en el proceso de administrar sus sistemas de seguridad, cumple con sus obligaciones reglamentarias o simplemente se vuelve más eficaz y eficiente en sus operaciones; En esta área, Integrity desarrolló su propia plataforma de gestión (Integrity GRC) que conduce a una automatización y centralización efectivas de todas las actividades de GRC, lo que permite a la organización demostrar el cumplimiento como un resultado natural de sus procesos de gestión.

CsN: Cuando hablamos de ciberataques, existen muchos mitos como por ejemplo que solo afecta a las grandes empresas o que son complicados de evitar. Según vuestra experiencia, ¿se podrían evitar gran parte de los ciberataques con un mínimo de inversión en ciberseguridad?

Tienes toda la razón. Las grandes empresas tienden a estar más seguras dentro de su perímetro y, a menudo, se olvidan de otras compañías más pequeñas que, eventualmente, están trabajando para ellas en proyectos específicos. Solo recuerde lo que sucedió con una pequeña empresa que trabajaba para Disney en la edición de «Orange is the new Black» con un total de 10 episodios robados en un ataque de ransomware. La conclusión es … si una empresa tiene algo de valor, es un objetivo (ya sea una pequeña empresa o una gran corporación … o incluso un estado).

Con respecto a la segunda parte de su pregunta, diría que muchas compañías ya están invirtiendo mucho dinero en seguridad, pero no siempre de una manera eficiente. La seguridad no es un proyecto; es un proceso y las organizaciones deben invertir en consecuencia, construir procesos mejores y más resistentes y comprender que las amenazas son permanentes y permanentes. Al final del día, los asuntos de seguridad deben estar en la agenda de todas las empresas, a pesar de su tamaño, con una inversión que sea adecuada para su contexto y considerando un equilibrio entre costo / beneficio.

CsN: Atendiendo a vuestra experiencia de nuevo, ¿cuál es el porcentaje de los ciberataques que se producen por una mala concienciación o formación de los empleados? ¿Es esto más común de lo que pensamos?

De hecho, las organizaciones están pidiendo cada vez más capacitación sobre concienciación para sus empleados, lo que, creemos, está alineado con una creciente comprensión de que la seguridad no se trata solo de tecnología y procesos, sino también de personas. De hecho, para hacer frente a esta creciente demanda, estamos lanzando (con un socio) una oferta en línea para nuestro programa de capacitación de sensibilización, que nos permitirá llegar a muchas más organizaciones. El crimen cibernético siempre está atacando a través del vínculo más débil y más efectivo; La capacitación en concientización es una de las respuestas obvias para enfrentarla porque, de hecho, una gran cantidad de ataques son compatibles con el desconocimiento de los empleados.

CsN: Estamos en  el ecuador de 2019…¿pensáis que volveremos a ver este año un ciberataque sofisticado a escala mundial?

Una cosa es segura. Los atacantes persistentes avanzados siempre están trabajando y adelantándose a los mecanismos de defensa. Por supuesto, veremos ataques más generalizados, ya sea este año o en el próximo. Es una actividad permanente, y la única forma en que las organizaciones y los gobiernos pueden reducir su exposición es mediante la adopción de un enfoque similar: ser persistente en sus defensas y administrar sus riesgos de manera efectiva.

CsN: La prevención es un factor fundamental en una buena estrategia de ciberseguridad. Y si hablamos de prevención debemos de hablar de Pentesting. ¿Cómo funciona vuestra solución Keep It Secure 24?

Sí, Pentesting es un medio eficaz de prevención (junto con un sistema de seguridad bien administrado), principalmente al identificar vulnerabilidades y (con suerte) resolverlas y no permitir su explotación.

Lo que nos dimos cuenta es que la forma en que las organizaciones estaban (están) haciendo el pentesting está desactualizada. De hecho, es completamente inútil desperdiciar dinero haciendo un proyecto pentesting anual (o incluso dos veces al año), que es un escenario muy común, y permitir que el resto del año esté completamente expuesto a vulnerabilidades existentes o nuevas.

Nuestro enfoque (Keep It Secure 24), por el contrario, considera el proceso de pentestación como un proceso continuo (lo probamos, luego informamos, luego el cliente corrige y volvemos a realizar la prueba; y comienza todo de nuevo). Repetir la prueba es un factor crítico, ya que vemos que alrededor del 60% de las «soluciones» no corrigieron las vulnerabilidades identificadas de manera efectiva. Además, dado que tenemos el mismo enfoque que tienen los atacantes persistentes avanzados, podemos hacer un análisis profundo (esto puede incluir revisiones de código fuente, ingeniería inversa y otras técnicas sofisticadas) y poder descubrir algunas vulnerabilidades «complejas», que en Un enfoque más tradicional nunca sería capaz de hacerlo. Entonces, lo que hace KEEP-IT-SECURE_24 es proporcionarle un Servicio de PenTesting pero en un enfoque de Servicios Gestionados para una gestión y reducción de riesgos continua y efectiva.

CsN: Hace casi un año desde la implementación de la nueva normativa GDPR. ¿Crees que las organizaciones mejorado la forma en la que recopilan y manejan los datos de sus clientes? ¿Cree que son más conscientes del valor de los datos?

Sí, aunque hay mucho trabajo por hacer, creo que hoy en día las organizaciones y las personas en general están más conscientes de sus datos personales y sus derechos. En este sentido, las multas conocidas que ya se aplicaron son un medio muy bueno para verificar la realidad de esta política.
Aun así, hay muchos conceptos erróneos y malas implementaciones de esta nueva regulación. Elegir respaldar este reglamento con un marco de apoyo podría ser un punto de inflexión, permitiendo a las organizaciones cumplir y demostrar su cumplimiento fácilmente, incluso para empresas fuera de la Unión Europea que tienen páginas de destino para clientes europeos y que, en algunos casos, simplemente decidieron informar a sus clientes -Cumplimiento y, por lo tanto, detener el negocio.

CsN: Aunque tenéis vuestra sede en Portugal, ¿cuáles son vuestros objetivos en España para este año?

Integrity tiene su sede en Portugal, y estamos brindando servicios en hasta 16 países diferentes en todo el mundo, especialmente en esta área de pentesting con nuestro servicio Keep It Secure 24. También tenemos una oficina comercial en el Reino Unido, que nos permite tener cierta proximidad dentro del país. Creemos que el mercado español es muy maduro y decidimos tener también presencia local. Esto nos permitirá crecer como empresa, pero también ayudar a que todo el mercado se vuelva más resistente y más seguro.
Se proyecta que nuestra operación tendrá su retorno de la inversión a fines del primer año, lo que nos permitirá aumentar también nuestros recursos locales.