Encuentro de CIOs con Everbridge: ciberseguridad, continuidad y gestión de eventos críticos en IT
Los CISOs invitados al encuentro con Everbridge coinciden en que no sólo hay que poner medidas para evitar los eventos críticos, sino que hace falta tener una estrategia y un plan para cuando suceden; porque efectivamente suceden.
No hay peor pesadilla para cualquier CISO CIO o responsable de tecnología de una organización que tener que pronunciar la frase “apagad todo” y que representa la primera reacción habitual ante un ataque de ransomware. Sin embargo, incluso sabiendo que los eventos críticos, como un ataque de este tipo, suceden todas las empresas, hay formas de prepararse y de afrontarlos para superarlos con la mayor celeridad, con las mínimas consecuencias e incluso con un espíritu positivo y de cohesión en los equipos de IT y ciberseguridad.
Además, si el tiempo es oro en general, lo es mucho más en un evento crítico. Por eso, también es clave contar con un sistema de detección que te alerte lo más pronto posible de un incidente de seguridad, tomar decisiones rápido, estar seguro de que la última línea de defensa (la copia de seguridad) funciona correctamente y tener acceso directo al más alto nivel de la compañía para tomar esas decisiones con autoridad.
Estas son algunas de las conclusiones y consejos que compartieron CISOS y responsables de tecnología en el encuentro celebrado el pasado 9 de junio y organizado por Silicon España y Everbridge, desarrollador de soluciones precisamente enfocadas a abordar con eficiencia estos eventos críticos. El encuentro, conducido por Daniel de Blas, periodista de NetMedia, contó con José Manuel Villanueva, Country Manager de Everbridge en España y Christian Gobert, Senior Account Manager de Everbridge como anfitriones.
En la reunión participaron como invitados Victoria Rodríguez, CISO de GEA Group; José Benedito, CISO de la Diputación De Valencia; Enrique García, CIO y CTO de Iberdrola; Miguel Ángel Blanco, Jefe De Área De Planificación Y Sistemas Informáticos del Ministerio De Hacienda; Manuel Tarrasa, Global CIO & CTO de Prosegur y Carlos Merino: CIO de Eptisa.
Nadie escapa a los ataques, hay que estar preparado
Uno de las grandes coincidencias de los CISOs invitados a la reunión con Everbridge es que no sólo hay que poner medidas para evitar los ataques o incidentes de seguridad, sino que hace falta tener una estrategia y un plan para cuando suceden; porque efectivamente suceden. Así, la mayoría de los CISOs admiten haber sufrido ataques en los últimos años y también coinciden en que a pesar de tratarse de momentos difíciles han sido un excelente aprendizaje para la compañía y para los equipos de IT y ciberseguridad. Los últimos años han enseñado a las organizaciones que hay que estar preparados para lo inesperado: tanto la alta directiva, que sabe que tiene que invertir en seguridad y en estos planes de crisis, y los equipos de IT y seguridad ya saben que si se produce un incidente, no podrán poner aquella excusa de “nunca pensé que esto podría pasar”.
La escasez de talento, una de las grandes barreras
Uno de los problemas que apuntan los CISOS, como José Benedito, CISO de la Diputación De Valencia, no es tanto la escasez de presupuesto, que se supone es siempre la limitación de las organizaciones y de las instituciones públicas, sino las dificultades a la hora de encontrar personal con la experiencia y formación adecuada en ciberseguridad. En ocasiones, comentan, “tenemos el presupuesto aprobado; pero no conseguimos contratar a las personas que necesitamos”.
El teletrabajo y el trabajo híbrido, el nuevo reto
Otro de los retos que comentan los responsables de seguridad invitados al encuentro con Everbridge, es el que ha venido de la mano del trabajo remoto. Para las administraciones públicas, el reto ha sido todavía más importante porque la infraestructura, la organización de la fuerza laboral y el acceso a los datos sensibles o confidenciales está sujeta a condicionantes y directivas que han hecho más complicado el trabajo remoto. Así lo explica Miguel Ángel Blanco, Jefe De Área De Planificación Y Sistemas Informáticos del Ministerio De Hacienda, que señala que a pesar de estas dificultades han podido seguir con los servicios y el personal activo durante la pandemia ,y han podido mantener hasta ahora un cierto grado de trabajo remoto sin percances de seguridad. Por otro lado, la colaboración entre administraciones es una ventaja ya que se consiguen estrategias comunes y directivas, como las que publica el CCN, que ayudan a mejorar los niveles de seguridad. Para Miguel Ángel Blanco, la seguridad es una aproximación sucesiva, algo en continuo cambio y mejora: “siempre es mejor un 10 por ciento o un 20 por ciento de seguridad que no tener nada”.
Por otro lado, los CISOs de administraciones también señalan que el teletrabajo es complicado no sólo en lo que se refiere a la seguridad sino en la propia medición de la productividad y la organización de la fuerza laboral que requerirá un cambio de enfoque en la administración pública. Para otros responsables de tecnología como Carlos Merino, CIO de Eptisa, el teletrabajo ha sido técnicamente sencillo en un principio; pero se ha complicado cuando los directivos han empezado a solicitar herramientas para el control del personal, que generan habitualmente un clima negativo entre el personal, y que para Carlos no son necesarias si la propia organización de las tareas es coherente y se trabaja por objetivos. Esta medición de la productividad, es evidentemente complicada en la administración cuando se trata de tareas que son difíciles de contabilizar y medir.
El factor humano, siempre vulnerable
Como era de esperar, otra de las coincidencias está en la importancia de la formación y concienciación del personal, que ya se está estableciendo también como una rutina y que parte de las iniciativas de los departamentos de ciberseguridad, y que evita que los empleados caigan fácilmente en engaños como el phishing o las clásicas memorias USB que vienen infectadas. El obstáculo, como explica José Benedito, CISO de la Diputación De Valencia, es que muchas veces no hay un interés en formarse por parte de los propios empleados, que en ocasiones pecan de inocencia a la hora de hacer frente a un engaño. Esta afirmación la apoyan otros CISOS como Manuel Tarrasa, Global CIO & CTO de Prosegur, que explica que en ocasiones le ha sorprendido lo sencillo que es hacerse con la clave de un usuario, a pesar de que también afirma que “el nivel de concienciación ha crecido de manera muy significativa entre la directiva en los últimos años”.
La industria 4.0 un nuevo elemento a asegurar
Como explica Enrique García, CIO y CTO de Iberdrola; en las empresas industriales, el nuevo caballo de batalla de la seguridad tiene que ver con el OT, es decir la tecnología industrial, y no sólo con el IT. A medida que se digitalizan procesos en la parte industrial, aumenta de manera exponencial el número de equipos porque estás incorporándolos en todas y cada una de las instalaciones, de manera que la superficie de ataque se incrementa de manera radical”, señala Enrique García. En este caso, el CIO de Iberdrola señala que uno de sus lemas es “the best security is obscurity”, ya que una de las “armas” para combatir los ataques es precisamente que el conocimiento de cómo funcionan estos equipos está restringido a personal muy concreto que los desarrolla y trabaja con ellos. Sin embargo, a medida que se adoptan estándares en el IOT o en las propias comunicaciones, la superficie de ataque se hace también mayor. En esto coinciden el resto de CISOs, como Manuel Tarrasa, Global CIO & CTO de Prosegur, que explica que “cada día te traen un nuevo producto al que hay que dar servicio y securizar, lo que se hace muy complicado… la velocidad a la que aparecen os problemas es mucho mayor que la velocidad a la que podemos resolverlos”.
Seguridad física y ciberseguridad cada vez más unidas, y con la necesidad de un plan de emergencias
Otro de los asuntos que resulta interesante es comprobar cómo en muchas organizaciones, sobre todo en las industriales; la ciberseguridad, la seguridad en el OT y la propia seguridad física están cada vez más unidas. Así lo explica Victoria Rodríguez, CISO de GEA Group, cuya responsabilidad ya cubre todas las áreas y, como es de esperar, en compañías como Prosegur ambos aspectos están más que relacionados ya que ofrecen servicios que tienen que ver con seguridad física y digital y una combinación de ambas. Curiosamente, asegura Manuel Tarrasa, Global CIO & CTO de Prosegur, donde están viendo crecer mucho las inversiones en seguridad física es en los centros de datos.
Este elemento es clave también para José Manuel Villanueva, Country Manager de Everbridge en España, ya que explica como los interlocutores con los que trata son muy diversos en las organizaciones: los CIOs, CISOs, responsables de seguridad física… y en ocasiones, los planes de emergencia pueden partir de la seguridad física para extenderse a la parte IT, en el que muchas empresas no cuentan con herramientas adecuadas y por ello necesitan soluciones como las que ofrece Everbridge (que cuenta con tecnologías que cubren los eventos críticos no sólo de la parte IT sino también en seguridad física). “En muchas empresas hemos entrado por un proyecto global de seguridad, en las que sí había un plan escrito para dar respuesta a eventos críticos, pero no contaban con las herramientas de comunicación y acción necesarias para ejecutar esos planes”, explica.
Por otro lado, a pesar de que se puede dar mucha importancia a la seguridad física, como apunta Manuel Tarrasa, Global CIO & CTO de Prosegur; al contrario de lo que sucede en las crisis de seguridad física, que suelen estar localizadas en un lugar y momento concreto, la facilidad para que una crisis de ciberseguridad sea global es mucho mayor y por ello es fundamental poder tomar decisiones rápido.
En nuevo (y crítico) papel de los responsables de tecnología
Durante la reunión, los invitados y anfitriones coincidieron también en el gran cambio que ha dado el papel de los responsables de tecnología y ciberseguridad, que son ya elementos clave para la continuidad y la innovación de la organización; así como la complejidad de priorizar las inversiones en tecnología ya que hay una parte de los presupuestos que hay que dedicar al “BUA o Business as Usual” y a la continuidad de negocio. Y como apunta José Manuel Villanueva, contar con un plan de acción es imprescindible ya para cualquier organización, no sólo por el daño directo que puede sufrir el negocio, sino por las consecuencias legales (por ejemplo, de un robo de información); los daños a largo plazo si la información cae en manos de competidores, o sencillamente por el daño reputacional que puede perder la confianza de clientes, proveedores o inversores.
Si quieres conocer más sobre las soluciones de Everbridge para gestión de eventos críticos en IT, no te pierdas su ponencia dentro del gran evento Silicon Security Day 2022.