“Los CISOs somos como los autores de novela negra…”

”…nunca hemos matado a nadie, pero nos pasamos el día imaginando cómo matar a nuestras organizaciones.”

El responsable de la seguridad digital de una compañía es un perfil imprescindible en medianas y grandes empresas hoy en día. Asumir el rol de gestión de la ciberseguridad y estar en constante comunicación con su equipo técnico y la alta dirección es fundamental pero…¿sigue costando hacer ver a la alta dirección de las organizaciones la necesidad de invertir en ciberseguridad? Ignacio Pérez, CISO de Aragonesa de Servicios Telemáticos, nos diferencia claramente 3 tipos de empresas según su voluntad y predisposición a la ciberseguridad…

CyberSecurity News (CsN): En los últimos años, se ha hablado mucho de cloud, cloud pública, privada, híbrida, multi cloud…¿cómo se trabaja esta tecnología en una organización como la vuestra y qué medidas de seguridad hay que tener en cuenta?

Ignacio.Perez-AST.2019.11.17Ignacio Pérez (IP): A nivel personal, lo que más me gusta de la nube es el cambio de paradigma que ha traído entre la interacción de las aplicaciones y los servidores. El funcionamiento de docker, Kubernetes es algo que hay que replicar en los CPD internos de una organización. Como en su momento fue la virtualización de servidores. Con ello evitamos los dramas de las actualizaciones del sistema operativo, las aplicaciones mastodónticas que nos anclan a tecnologías obsoletas y por tanto vulnerables. E incluso, hay que dar una vuelta a como traer a casa el paradigma «serverless», al estilo del de Azure o el de AWS lambda.

 “Si no puedes con tu enemigo, únete a él: el cloud ha llegado para quedarse”

Pero con todo, pese a mis preferencias, no puedo impedir al cloud. Así que, si no puedes con tu enemigo, únete a él: el cloud ha llegado para quedarse. Siendo conscientes de que tampoco es la panacea. Lo primero que hay que asumir es que no se puede garantizar la confidencialidad a nivel alto. Es decir, si tus activos de información son lo suficientemente interesantes como para que un actor global tan poderoso se fije en ti. Estoy pensando en las denuncias que surgieron en el 2013 de que la NSA espiaba a Petrobras. ¿No ocurrirá eso ahora? ¿Quién me garantiza que el proveedor cloud no indaga en mi contenido?

Lo que ocurre es que, en algunos casos, esta vulneración de la confidencialidad no es tan importante. Me explico, si yo tengo una pyme, es muy probable que me afecte muy poco al negocio que un gran actor pueda indagar en mis contenidos. Salvo que te de diques a un I+D+i muy específico, pero si yo tengo una pequeña fábrica de tornillos, que mi correo este en la nube no parece un problema relevante. Y por el contrario puede dotarme de una disponibilidad que en el caso de una pyme es muy difícil de alcanzar por medios propios.

En seguridad no hay una solución que sea perfecta, sino un compromiso entre tus recursos y los riesgos residuales que tienes que asumir.

Conclusión: en AST apostamos por el Cloud Hibrido, donde combinamos nuestro Cloud privado con Cloud público donde veamos la conveniencia. Nuestra licitación de Transformación digital de Datacenters ya refleja esta filosofía. Y en cualquier caso hay centrarse en las medidas de protección clásicas: cifrado de las comunicaciones, cifrado del almacenamiento, establecimiento de DMZ, entornos de gestión no accesibles directamente, servidores bastionados, aplicar programación por capas (vamos guardar las BBD en «backend» no accesibles desde fuera), monitorizar las aplicaciones cloud y los flujos de comunicación… Puede que no tengas el hierro en casa, pero tienes una gran cantidad de tareas que acometer. Y si no le aplicas seguridad pagaras para que otros minen criptomonedas en tus servidores.

Por último, la agilidad en el despliegue de aplicaciones aumenta los requerimientos en la securizacion de las mismas. DevSECOps. Es más fácil que nunca dejarte una puerta abierta, lo bueno es que también es más fácil cerrarla sin que afecte al servicio.

CsN: El CISO nunca tuvo tanta importancia como tiene hoy día. ¿Has notado cómo en general, tanto compañías públicas y privadas, están apostando más por la ciberseguridad en nuestro país?

IP: ¿Te refieres a que me llaman más a menudo y me ofrecen puestos mejor remunerados? Siendo cierto, no puedo discernir si es derivado de una mayor inversión en ciberseguridad o si mi currículo se ha vuelto más interesante.

 “El reto del sector público es que es enorme y para dicho tamaño, su inversión en seguridad TIC es relativamente pequeña”

De media, las empresas se diferencian entre las le han visto las orejas al lobo, las que no y las que aun sin sustos invierten para no tenerlos. ¡Ojala todas fueran del último grupo! Pero mucho me temo que la mayoría invierte según los dos primeros. Pero es una impresión sin datos. En mi pasado como consultor de seguridad hice una PoC de hacking ético demostré a un cliente que dándome únicamente un cable de red fui capaz de obtener información sobre las deudas de la empresa, cuánto debían a cada banco. Uno podría pensar que esa empresa espabilo e invirtió mucho en ciberseguridad… yo solo sé que no participe en ningún proyecto más para ese cliente. Era un momento en que la seguridad todavía no estaba tan madura.

Hoy, en lo que me toca que es el sector público, el cambio sí que se ha dado. Invertimos más en ciberseguridad. El reto del sector público es que es enorme, para su tamaño y complejidad la inversión en seguridad TIC es relativamente pequeña si lo comparamos con otros departamentos. Optimizamos mucho las inversiones. Hacemos mucho con muy poco… y si nos dieran más haríamos mucho más.

CsN: Un CISO debe de estar rodeado de profesionales multidisciplinares en ciberseguridad. ¿qué habilidades, capacidades o aptitudes valorarías a la hora de tener en cuenta en un profesional de esta materia?

IP:  En ciberseguridad hay cuatro competencias fundamentales:

Curiosidad: es una profesión en la que hay que estudiar toda la vida. Lo que se aprendido en los estudios formales se queda desfasado en muchos aspectos. Hay que ponerse al día continuamente. El saber, como la seguridad, es un proceso no un estado.

Autonomía: hay que ser capaz de sacarse las castañas del fuego. Que uno no se quede de brazos cruzados ante la primera dificultad, si no que le de mil vueltas sin darse por vencido.

Trabajo en equipo: Aquí entra en juego desde ser capaz de pedir ayuda, cuando el impacto del retraso de resolución de un reto excede lo admisible. Y la otra cara de la moneda: ser capaz de enseñar a los demás, darles esas líneas que permitan hacerles volar solos. La estrategia de intentar ser el único con determinado conocimiento en una organización, no te vuelve imprescindible: te vuelve un riesgo. Por último, trabajo en equipo es colaborar en el buen ambiente de trabajo. En informática los problemas deberían de venir de una pantalla, no del estado de humor de la persona que tengas al lado.

Resistencia a la tensión: Como técnico he tenido que lidiar desde una empresa parada hasta un hospital con las comunicaciones internas caídas. Son situaciones de mucho estrés, en donde lo prioritario es recuperar el servicio. Y eso mientras tienes gente alrededor que te grita… ¿te imaginas a un cirujano al que le gritan en plena operación? ¿O a un bombero al que todo el mundo le mira mal, como si fuera el responsable del incendio en lugar de la persona que viene a apagarlo? Pues en ciberseguridad, y en general en las TIC nos ocurren esas cosas. Cuando de chico caminaba por desfiladeros y acantilados, mi padre me decía que hay sitios en los que no puedes caerte. En ciberseguridad hay momentos en los que no puedes bloquearte o quebrarte. Y el cerebro es muy traicionero, en los estudios deberían de explicarnos que hace nuestra cabeza, conocer mecanismos como la indefensión aprendida te ayuda a mitigar su impacto.

CsN: Finalmente, ¿sigue siendo complejo hacerle ver a la alta dirección que la inversión en ciberseguridad no es un gasto?

IP: Poner dinero en algo que no sean dividendos siempre produce “alergia” a las organizaciones. Y además uno va y les dice que hay que poner dinero para evitar situaciones que nunca les han ocurrido… Los CISOs somos como los autores de novela negra: nunca hemos matado a nadie, pero nos pasamos el día imaginando cómo matar a nuestras organizaciones. Aquí lo que ayuda es un análisis de riesgo consistente: las matemáticas en nuestra ayuda. Hay que objetivar el riesgo, definirlo y parametrizarlo. Y por último recordar a la alta dirección que son los responsables de lo que pase: el CISO no es el responsable del sistema.

Con todo, el ser humano no es solo racional: hay que buscar ejemplos que permitan a la alta dirección comprender que hay detrás de sus números. Desde el «Wanna Cry», todos saben que es un «ransomware». O inviertes en protegerte o te puede destruir como organización.

A veces, el limitante ni siquiera es el dinero. ¿Cuántas empresas hay que bastionan el ordenador del almacén, pero permiten una contraseña lamentable – y que no caduque – a las credenciales del CEO? Me viene a la memoria la noticia del acceso al correo de un importante juez: el problema es que nadie tuvo los arrestos de decirle que su contraseña tenía que caducar.

En mi caso particular tengo la suerte de tener a la dirección concienciada, y se están haciendo esfuerzos muy serios para mejorar la ciberseguridad.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Ir arriba