Los ciberataques siguen en tendencia ascendente y es fundamental el trabajo del CISO en las organizaciones para alinear la ciberseguridad como estrategia dentro de la organización.
CyberSecurity News (CSN): Omar, el perfil de experto en ciberseguridad se ha vuelto más necesario que nunca a nivel empresarial, especialmente tras el cambio producido por la pandemia en la que ha aumentado el teletrabajo, ¿cuál es la misión y responsabilidad actual de un CISO?
Omar Orta (OO): A mí me gusta decir que la responsabilidad del CISO es generar confianza en las tecnologías para impulsar la Transformación Digital en las organizaciones, con la misión de impulsar el crecimiento del negocio de manera sostenible y rentable
Todo esto, al final, se traducirá en alinear la ciberseguridad a la estrategia de la organización, para generar cultura de ciberseguridad, apoyar al cumplimiento normativo, preparar a la organización para responder a un ciberataque y, en general, proteger a la organización contra cualquier amenaza digital y evitar fugas de información
CSN: Combatir las amenazas y los riesgos que se producen cada día en torno a la ciberseguridad en las empresas, no es una tarea fácil: ¿Cuáles son los retos principales como CISO a los que te has tenido que enfrentar?
OO: Sin lugar a dudas, creo que el mayor reto ha sido generar cambios en el comportamiento humano ante el riesgo digital. Las estadísticas están allí, más del 95% de los ciberataques que logran su objetivo en el mundo, viene precedido por un error humano. Invertimos mucho en tecnología, porque tenemos la falsa creencia que el tema de ciberseguridad lo resolveremos con tecnología, que es necesaria, sí, pero no es lo único. No estamos invirtiendo en formar, concienciar y adiestrar a los equipos.
Otro de los retos ha sido posicionar la figura del CISO como un ejecutivo de alto nivel dentro de las organizaciones. Desmitificar el pensamiento que la ciberseguridad es un tema únicamente tecnológico que no aporta al negocio y sólo está para resolver problemas, ciberseguridad, en el contexto actual, es mucho más que eso, ha de estar incorporado en los procesos de negocio de las empresas.
CSN: El CISO es una figura central en la empresa que se relaciona con casi todas las áreas de la organización para que se cumplan los objetivos de ciberseguridad, ¿cómo es posible desempeñar esta función tan transversal?
OO: Como he comentado, para mí, la figura del CISO es de un ejecutivo de alto nivel, debe tener conexión directa con el CEO, porque como bien has comentado, tiene visión transversal de la organización, tanto tecnológica, como de negocio, lo que nos obliga no solamente tener conocimientos en ciberseguridad, sino también en nuevas tecnologías y, por su puesto, de negocio.
También es necesario contar con esas habilidades “blandas” que llaman, porque necesitamos comunicarnos de manera efectiva con todos nuestros interlocutores, para transmitir la importancia de la ciberseguridad en cada proceso de negocio, así como ser capaces de analizar todo desde el punto de vista de negocio y poder plantear soluciones que en lugar de ser stopper para el negocio, permite acelerar su desarrollo.
En conclusión, para desempeñar esta función es necesario ser un líder con visión tecnológica, de negocio y mucha paciencia.
CSN: ¿Muchos expertos dibujan un escenario complejo en lo que a ciberseguridad se refiere en el panorama actual, Para ti. ¿Cuáles son las tendencias en ciberseguridad del 2022?
OO: Creo firmemente que los humanos continuaremos siendo el principal objetivo de los ciberdelincuentes y estos ataques se irán perfeccionando cada vez más. Por lo tanto, continuaremos viendo muchas noticias sobre casos de ransomware en organizaciones de todo tipo, tamaño y posición geográfica.
Del mismo modo, estaremos viendo como los ataques contra las pymes continuarán creciendo, serán las pymes como proveedores de grandes empresas la puerta de entrada para los ciberdelincuentes. Las grandes empresas deben poner foco durante los próximos meses/años en securizar su cadena de suministro.
Otra tendencia para este año lo será la filtración de datos, los frágiles controles de seguridad que las empresas están considerando para su estrategia de migración al cloud y teletrabajo, además del “olvido” por proteger los dispositivos móviles de sus empleados. Generan una tormenta perfecta para que ciberdelincuentes puedan sustraer información confidencial de los sistemas y filtrarlos.
Por último, creo que veremos en el 2022 un avance importante en lo que a desinformación se refiere y como esto desestabilizará negocios y naciones enteras. La tecnología de deepfake permitirá manipular opiniones e incluso cotizaciones bursátiles, además de empezar a utilizarse como herramienta para ingeniería social para obtener permisos y acceder a datos sensibles
CSN: – La concienciación de los usuarios en ciberseguridad es una de las mejores herramientas para combatir los riesgos que se producen cada día, ¿Existe en general falta de concienciación en ciberseguridad en España?
OO:Y mucha, ya hemos mencionado algún dato que apoya esto, desde mi punto de vista es la tarea pendiente de los expertos de ciberseguridad, lo más que hemos logrado hasta ahora es generar miedo en el uso de la tecnología en algunos niveles de la población. No únicamente debemos concienciar, también debemos ser capaces de formar y preparar a las personas para cambiar sus conductas ante los riesgos digitales.
El enfoque actual es obsoleto, debemos ser capaces de evolucionar lo que estamos haciendo para que realmente tenga el efecto deseado. Las organizaciones invierten en seguridad tecnológica entre 50 € y 150 € al año por dispositivo, pero en concienciar y formar en ciberseguridad a las personas, si en nosotros, quienes manejamos la tecnología y estamos siendo el principal foco de ataque entre 0 € y 20 € por persona.
No solamente hablo de un esfuerzo necesario en las organizaciones, sino a nivel general, incluyendo nuestros hijos, debemos enseñar a la población a hacer un uso sano de la tecnología y a generar confianza en ella.
CSN: ¿Con el incremento de los ciberataques en todos los ámbitos, ¿qué recomendaciones puede dar como “básicas” en seguridad para todos los usuarios?
OO: Actualizar todos los sistemas. Las actualizaciones son añadidos o modificaciones realizadas sobre los sistemas operativos o aplicaciones que tenemos instalados en nuestros dispositivos y cuya misión es mejorar tanto aspectos de funcionalidad como de seguridad. No tener los sistemas actualizados es el principal fallo de seguridad en las organizaciones, por lo tanto, la primera actividad que deberíamos trabajar consiste en actualizarlo todo, si bien es cierto que puede tener impacto en la operativa, las consecuencias de un ciberdelito es un coste mucho mayor.
Mejorar la formación y concienciación de empleados. Puede que la disposición tecnológica de tu empresa sea correcta, que los sistemas defensivos funcionan adecuadamente y que lo estés monitorizando todo. Pero el riesgo humano puede tirar todo esto a la basura en una décima de segundo dando clic en el lugar equivocado. Es por ello que debes ocuparte que tu personal sea consciente del riesgo al que expone a la organización con su actividad digital y cambie su conducta ante estos riesgos. Será la mejor inversión generar un entorno de resiliencia ante el ciberdelito en tu organización.
Revisar las huellas digitales de la empresa y empleados clave. La responsabilidad del equipo de ciberseguridad no solamente se suscribe al perímetro que rodea a la organización. La digitalización lo ha cambiado todo y ha desdibujado ese perímetro. Los canales digitales también hay que protegerlos, es por ello que se debe verificar que, y donde se está hablando de la organización y sus empleados, también debes evaluar las vulnerabilidades de los entornos públicos (dominios e IPs) y, por último, analizar la marca y el uso fraudulento para el que pueda estarse utilizando.
Securizar el gobierno de proveedores. Es posible que todo lo que hayas hecho por controlar los riesgos sea correcto, puede incluso que tengas inversiones millonarias en tecnología de seguridad, incluso que tu personal esté formado y preparado para actuar ante un ciberdelito. Pero nada de esto importa si tus proveedores se convierten en la puerta de entrada de ciberdelincuentes. Debes asegurarte de contar con un gobierno de seguridad de proveedores que mitigue los riesgos a los que pueden exponerte, recuerda que sus vulnerabilidades afectan el mapa de riesgo de tu organización y como tal, debes controlarla.
Desarrollar un plan de crisis y continuidad de negocio. un aspecto a considerar en ciberseguridad, es que la seguridad al 100% no existe y tu mejor estrategia de protección es plantear que vas a ser víctima de un ciberdelito en algún momento. Es por ello que debes contar con un plan de acción que te permita saber qué hacer en una crisis, una guía que contemple la mayor cantidad de escenario de riesgo posible y cada uno de ellos con acciones concretas a realizar. Recuerda que, en un momento de crisis, la planificación y el orden es la mejor herramienta. Además, debes ocuparte porque el negocio pueda seguir funcionando, incluso sin acceso a los sistemas, para que el impacto sea el menor posible.
Mejorar las capacidades de monitorización. Como puedes ver lo primero es hacer que todos los sistemas funcionan adecuadamente, el siguiente paso es garantizar que estás monitorizando todo, debes contar con un servicio SOC que integre y pueda correlar eventos de todas las fuentes posibles. Así, los equipos de monitorización podrán buscar patrones de comportamiento anómalos en la red y prever la ocurrencia de un ciberdelito.
