Hiperconectividad, Blockchain, Inteligencia Artificial…el entorno actual es sin duda en entorno retador que favorece tanto a los expertos en ciberseguridad como a los propios ciberdelincuentes. ¿Cómo encuentra este entorno un CISO? ¿Qué retos deberemos asumir en materia de seguridad en los próximos años?
Hablamos con David Tubia, CISO del Grupo Quality Telecom, operador de telecomunicaciones especializado en la red inteligente y que comienzan a trabajar con tecnologías tan punteras como el blockchain.
CyberSecurity News (CSN): En primer lugar, y con el objeto de conocer mejor el sector en el que se ubica, ¿qué es el Grupo Quality Telecom?
David Tubia (DT): Quality Telecom es un operador de telecomunicaciones especializado en red inteligente, que ofrece soluciones de telecomunicaciones on-demand y en la nube. Quality Telecom está inmerso en un proceso de transformación de operador de telecomunicaciones a operador tecnológico, ofreciendo actualmente soluciones de call center, ivr, sistemas de reconocimiento de voz y pregunta abierta y soluciones de pago seguro en transacciones telefónicas
CSN: ¿En qué consiste vuestro proyecto del 060 de atención ciudadana?
DT: El servicio 060 de Información de la Administración General de España surge como una necesidad de dar respuesta a los ciudadanos ante lo que llamamos “Hechos Vitales” : hay determinados momentos en los que el ciudadano tiene necesariamente que acudir a la Administración, y se va a encontrar dos barreras: una organización compleja, y un lenguaje lleno de tecnicismos.
Para derribar la primera de esas barreras, la Administración genera un “Punto de Acceso Telefónico” a través de una numeración corta y fácil de recordar como 060 que, conceptualmente, debe funcionar como el mostrador de Información en la entrada a la Administración. Desde 060 el ciudadano va a recibir la información completa en un primer nivel, siempre que sea posible, y si no es posible, el Servicio de 060 se compromete a redirigirlo al destino exacto donde su gestión va a ser realizada.
Para eliminar la segunda barrera hay un factor clave en el servicio, todos los recursos tanto humanos como tecnológicos, que participan en el servicio 060 van a utilizar el “lenguaje de la calle”, y se van a adaptar a la forma de expresarse de los ciudadanos, quedando en el Servicio 060 la carga de realizar la traducción al “lenguaje administrativo”.
Actualmente se ha implementado en la web el servicio de chat atendido por un agente humano, lo que permite recoger interacciones de los ciudadanos en un entorno escrito. Gracias a las interacciones recibidas a través del canal telefónico y el canal web, se podrá realimentar un modelo consolidado de Inteligencia Artificial, pudiéndose acceder finalmente a un servicio multicanal integrado y plenamente automatizado.
CSN: Hoy día la ciberseguridad es cuestión de todo tipo de empresas independientemente de su tamaño y del sector. ¿Cuáles son vuestras medidas de ciberseguridad? ¿Como Telco, qué es lo que más os preocupa?
DT: Implantar PCI-DSS nivel 1 hace 4 años nos hizo aprender y acometer unos importantes cambios de seguridad a todos los niveles e importantes inversiones en tecnología de seguridad que se han propagado más allá del ámbito de datos de titulares de tarjetas de crédito. En ese aspecto, acometer normativas particulares de los distintos proyectos, como el Esquema Nacional de Seguridad se hace más sencillo.
Quality Telecom es una telco con ciertas características singulares. A pesar de estar al mismo nivel que Movistar o Vodafone (salvando las obvias diferencias de tamaño) no contamos entre otras cosas con bucle de abonado, lo cual centra nuestras necesidades propias de ciberseguridad en primer lugar en los CPD donde se reciben los primarios de interconexión, buscando las máximas garantías de control de acceso y disponibilidad (mínimo CPDs TIER III). Además estamos sujetos a la regulación de CNMC. En particular todo lo relativo a la protección de datos (LOPD y ahora RGPD) es de suma importancia para nosotros. Por ello ponemos mucho énfasis en el control de esos datos.
Con el cambio de paradigma de telefonía donde comienzan a utilizarse redes públicas para transmisión de datos (VoIP) damos mucha importancia a la capa de red, cuestión que antes estaba más segura al tener primarios dedicados para interconexión.
El mayor riesgo y preocupación para nosotros en cuanto a pago telefónico suele venir de nuestros clientes: callcenters donde no hay medidas básicas de seguridad implementadas (segmentación, centralita segura, etc) a pesar de que, como parte del proceso de pago deben cumplir con la normativa PCI-DSS. Aquí es donde podemos aportar la experiencia y distintas formas de poder ofrecer el servicio de manera segura.
CSN: ¿En qué consiste su proyecto, Paybycall?
DT: Paybycall ofrece realizar pagos seguros vía telefónica. Es un proyecto disruptivo. Permite automatizar el proceso (IVR segura) y un ahorro importante costes, además de garantizar la disponibilidad (se pueden escalar recursos de la arquitectura más fácilmente que de agentes), confidencialidad (gran riesgo en los callcenters) e integridad.
Cuando nació fuimos pioneros en ofrecer en España esa posibilidad de pago telefónico seguro. Esto es particularmente importante debido a que las transacciones de pago con tarjeta por teléfono se estaban realizando de manera no segura en inmensa mayoría de los escenarios. Para poder operar de esta forma necesitas estar certificado nivel 1. Previamente había mucha permisividad por parte de los bancos que no exigían certificación alguna, pero eso ha cambiado conforme aparece el fraude y se empieza a establecer una cultura de seguridad.
Además no nos hemos limitado a certificar y asegurar el tpv, sino que al ser una compañía telco, podemos ofrecer soluciones seguras integrales. Es el caso de muchos callcenters, donde podemos ofrecer todos los servicios de una compañía telco.
El proyecto está en continuo desarrollo. El proceso de pago debe ser lo más rápido y amigable posible, y para ello hay que buscar sinergias con algo que marcará un antes y un después: estamos asistiendo a el comienzo de uso generalizado de los asistentes de voz (Google Assistant, Alexa, etc) con su machine learning e IA, sobre los que estamos explorando distintos casos de uso (autenticación biométrica por voz, etc) que permitan realizar de manera sencilla y segura las transacciones.
CSN: Para conocer un poco mejor su actividad como máximo responsable de ciberseguridad en Grupo Quality Telecom, ¿en qué consiste su función dentro de la compañía?
DT: Como responsable de seguridad las funciones habituales consisten en definir las políticas de seguridad, colaborar con los procedimientos, identificar riesgos, etc. Hay una parte más ‘aburrida’ respecto a entender las distintas normativas y explicar las implicaciones a la Dirección, hablarlo con el departamento Legal, ver su implantación. Lo más interesante viene a la hora de evaluar o implantar un nuevo sistema de seguridad, o ante un posible incidente de seguridad, donde puedo aprovechar el background técnico y ‘cacharrear’ un poco. Que si no nos oxidamos.
CSN: ¿Cree que ataques como el Wannacry han ayudado a dar mayor prioridad a la ciberseguridad dentro de las compañías?
DT: Sin duda. Como comentaba el mayor riesgo lo tenemos es el factor humano y estas noticias tienen un gran impacto y bien encauzado por los Responsables de Seguridad, consiguen que todos estemos más atentos a las recomendaciones de seguridad. Por supuesto, eso incluye a la Dirección. Nosotros nos sentimos afortunados en ese aspecto porque siempre se ha puesto en valor los distintos riesgos identificados y se han tomado las medidas oportunas para mitigarlos o cancelarlos, siendo realmente proactivos.
CSN: Imaginando que su empresa ha recibido un ataque que compromete información de sus clientes, ¿cuál es el mecanismo de reacción?
DT: Disponemos de sistemas proactivos de detección temprana que eliminan la inmensa mayoría de las amenazas. Estamos muy orgullosos de ese primer nivel. Si algo salvase esa barrera, depende del tipo de información afectada (datos de tarjeta o datos personales) hay escenarios ya procedimentados (en el caso de RGPD queda ya muy definido en la propia normativa) y testados una vez al año. No vamos a inventar la rueda, siempre se pasa por el ciclo habitual de detección, contención, respuesta, reporte… tenemos un equipo 24×7 que monitoriza cualquier evento de seguridad y preparado para dar una respuesta adecuada.
«Cualquier relajación de las medidas de seguridad puede comprometer seriamente la seguridad de toda la empresa.»
CSN: Como sabe, actualmente nos encontramos en un entorno donde reina la hiperconectividad y por ende, un volumen de datos cada vez mayor. ¿Cómo encuentra este entorno un CISO?
DT: Es un reto. La hiperconectividad actualmente no nos afecta demasiado en el entorno protegido, pero el eslabón más débil, el factor humano, es ciertamente un riesgo a el que cada vez hay que prestar mayor atención. Hispasec se hacía eco el otro día de que el 18% de los móviles con aplicaciones bancarias tenían malware instalado. Cualquier relajación o no previsión de las medidas de seguridad respecto a los dispositivos que usan los trabajadores puede comprometer seriamente la seguridad de toda la empresa.
Por otro lado, el volumen de datos y logs nos ha hecho movernos a implementar nuevos SIEM con elasticsearch para poder dar soltura a ese mayor volumen de datos generados.
CSN: ¿Se atrevería a hacer una predicción del panorama de la ciberseguridad para los próximos años en el sector telco? ¿Qué retos o amenazas cree que se deberán de afrontar en dicho sector?
DT: Hay varias transformaciones en las empresas telco. Sin entrar en la problemática propia de los actúan como ISP, por un lado está el abandono de lo que casi se puede llamar una red ‘privada’, con protocolos no muy usados (SS7) a un nuevo estándar abierto VoIP que en muchos casos emplea redes públicas. Es una nueva vulnerabilidad a la que hay que prestar mucha atención.
Por otro lado hay un importante cambio en cuanto a que las empresas telco deben ofrecer más servicios y más inteligentes, buscando sinergias propias de empresas tecnológicas. Es el caso de NLU, IA, identidad digital, identificación biométrica, etc buscando hacer más amigable y útil el empleo de las telecomunicaciones. Esa transformación ha de ser segura por defecto, porque sobre ella se implementarán servicios con datos muy sensibles.
Además hay una nueva tecnología que entra, blockchain, sobre la cual estamos buscando casos de uso reales. De momento sólo se está empleando a nivel de consolidación de pagos entre ciertas operadoras (Colt, T-Mobile), pero tiene mucho recorrido. Es una tecnología que de momento proporciona seguridad y la rapidez, para lo cual se busca no una blockchain pública, lenta, sensible al ataque del 51%, sino algo más privado, controlado y rápido.
«Hace poco asistimos a la demo de Google en la cual se conseguía una cita en la peluquería ¡y la persona al otro lado no se daba cuenta que hablaba con una máquina!. Se aproximan tiempo interesantes.»
CSN: ¿Cómo cree que ayudará el machine learning y la inteligencia artificial al sector de las telecomunicaciones?
DT: Es precisamente el cambio sobre el que más estamos trabajando, porque más que el futuro es el presente. La clave como siempre es esa base de conocimiento (una muestra fiable) y una abundante retroalimentación que haga lo haga cada vez más inteligente. Hablar con un sistema que, sin mediación humana, entienda de forma natural lo que requieres del mismo y pueda seguir una conversación es un avance que cambiará nuestras vidas. Hace poco asistimos a la demo de Google en la cual se conseguía una cita en la peluquería ¡y la persona al otro lado no se daba cuenta que hablaba con una máquina!. Se aproximan tiempo interesantes.