IA, regulación, computación cuántica o la complejidad TI marcan la nueva ciberseguridad

La popularización y avances de tecnologías como la Inteligencia Artificial y las nuevas inteligencias generativas y multi modales junto con el desarrollo de la computación cuántica y la propia sofisticación del cibercrimen están obligando a las organizaciones a replantear por completo sus estrategias de defensa, salvaguarda de su información y resiliencia de sus negocios.

Adicionalmente, las estructuras de la empresa y la relación con sus trabajadores, colaboradores y cadena de suministro se han hecho más complejas y heterogéneas, al tiempo que la digitalización y la infraestructura tecnológica se diversifica en sistemas en la nube, SaaS, on premises, etc.

Si a ello se le suma la necesidad de atender a las nuevas normativas que afectan al manejo de la información, la ciberseguridad y tecnologías como la IA, el resultado es una “tormenta perfecta” que pone a los CISOs en el epicentro de la estabilidad y continuidad de negocio de las organizaciones.

Un nuevo enfoque de la ciberseguridad

Hoy en día, las decisiones de los CIOs tienen un impacto clave no sólo en la resistencia frente a los ataques, sino en la capacidad del negocio para desplegar proyectos de innovación desde la base de la seguridad que impulsen la competitividad y no que sirvan de freno para ésta. Es por ello que el rol de los responsables de ciberseguridad es un eje clave de la organización, que debe adaptarse a esta realidad en la que no sólo hay que poner barreras sino contar con estrategias, tecnologías y personal para hacer frente a una era de grandes avances pero también de incertidumbres.

Compartir esas inquietudes pero también experiencias y soluciones era el objeto del encuentro organizado por Silicon junto a Darío Bengoechea, Regional Sales Manager y Raúl Suarez Varela, Senior Sales Enigneer ambos de Thales.

Con Daniel de Blas como conductor, a los expertos de Thales se sumaron en el evento Patxi Hernández, Cybersecurity Senior Manager de BBVA; Manuel Asenjo, CIO de Broseta Abogados; Fernando Sanz, CISO en Arcano Partners; Ildefonso Vera, Director Innovación y Transformación Digital de ISDEFE; Bernardo Caballero De Olmedo, Senior Information Security Officer de European Broadcasting Union; Pierre Pita, IT Sourcing and Vendor Manager de Atradius; Javier Rivas Olivares, CIO, CTO y CISO de Uniteco; Pablo Fernández Burgueño, Director de NewLaw en ESIC; y Miguel Ángel González, CIO de ImesAPI.

“Cada vez hay más datos y la llegada de la IA generativa no ha hecho sino incrementar exponencialmente ese volumen pero al mismo tiempo también hay cada vez más regulaciones (más de 2.500 normas en el mundo sobre privacidad y seguridad del dato), una mayor complejidad operacional y más brechas de seguridad”, afirmaba Darío Bengoechea, Regional Sales Manager de Thales.

Un escenario en el que la propuesta de la tecnológica es que “el dato sea capaz de autoprotegerse, que se convierta en la primera línea de defensa”.

Algo para lo que es necesario en primer lugar, como explicaba Darío Bengoechea, “descubrir donde está la información sensible de la compañía, en segundo lugar, protegerla, cifrándola y en tercer lugar, gestionar las claves, tener el control de esa protección”. Y añadía: “Cuando hablamos de cifrado, es fundamental asociar al cifrado la gestión de claves criptográficas. De nada sirve tener una puerta blindada si dejamos por fuera las llaves”.

Una propuesta a la que Raúl Suarez Varela, Senior Sales Engineer de Thales sumaba la importancia de “tener una gestión unificada de las claves, un único punto de control”.

Gestión de claves

“Actualmente son muchas las empresas que tienen muchas claves de cifrado distintas, consolidar todo para mantener el control es estratégico además de ayudar, por ejemplo, a la separación de roles y las auditorias que marca la normativa”, reflexionaba Raúl Suarez.

Lo que sí tienen muchas compañías es una enorme complejidad de gestión de su infraestructura TI como explicaba Patxi Hernández, Cybersecurity Senior Manager de BBVA.”Cada vez tenemos más stacks tecnológicos y más entornos híbridos”. Un escenario en el que la llegada de la IA generativa “genera tantas expectativas como preocupación por los riesgos que presenta pero para los que yo creo que la mejor forma de combatirlos es la propia IA”.

La Inteligencia Artificial generativa también ha supuesto un antes y un después en Broseta Abogados, como apuntó Manuel Asenjo, CIO del despacho. “Está teniendo un gran impacto y va a tenerlo más aún; de hecho, nosotros ya pedimos a los perfiles que incorporamos en prácticas que tengan conocimientos de prompting”.

Una tecnología, la IA generativa, con la que ya están experimentando pero con “modelos que sí nos den la fuente de la que han obtenido la información; para nosotros es esencial”.

Datos que alimentan esa IA y que es necesario, como apuntaban desde Thales, saber dónde están en primer lugar. Algo que no es sencillo siempre como compartía Fernando Sanz, CISO en Arcano Partners. “El 80 por ciento de nuestro negocio corresponde a fusiones y adquisiciones, mantener el control de todo, de la infraestructura TI pero también de lo que tienes es muy complicado”.

Para ello, en Arcano cuentan con un data lake con cifrado de los datos pero el desafío, para Fernando Sanz, se encuentra más “en la cadena de suministro, en cómo acceden a mi información terceros y cómo la utilizan, con qué criterios de seguridad”.

La misma preocupación compartía Ildefonso Vera, Director Innovación y Transformación Digital de ISDEFE: “Le pedimos a todos nuestros proveedore que estén certificados en el Esquema Nacional de Seguridad”.

Pero además en ISDEFE consideran estratégico “el tiempo de respuesta tras un posible incidente de ciberseguridad” y “las personas, sin su concienciación no sirve de nada ni certificaciones ni tecnología”.

Aspectos en los que coincidía Bernardo Caballero De Olmedo, Senior Information Security Officer de European Broadcasting Union al afirmar que “es el usuario el principal riesgo y por eso estamos haciendo una gran labor de formación y concienciación”.

Paralelamente, en European Broadcasting Union, tratan de securizar la relación con cualquier actor de la cadena de suministro: “Tienes que fiarte de lo que te digan, su estrategia y herramientas de seguridad son casi siempre una caja negra”.

Identificar para proteger

En Atradius, comentó Pierre Pita, IT Sourcing and Vendor Manager, ya están investigando los posibles casos de uso de utilizar la IA generativa y el mayor desafío al que se enfrentan realmente es a “no saber qué tenemos y dónde lo tenemos. Hablo de equipos, de usuarios, de datos… Es primordial que identifiquemos todos esos activos y los consolidemos”.

Además de herramientas de gestión de vulnerabilidades, apuntó Pierre Pita, en Atradius también están securizando las claves y contraseñas, “que nos obligan a cambiar periódicamente”.

La segmentación de accesos por perfiles es una de las prácticas de ciberseguridad por las que apuestan en Uniteco, según explicaba Javier Rivas Olivares, CIO, CTO y CISO de la empresa. “Nuestro mayor desafío es la continuidad de negocio”, apuntó al tiempo que “estandarizar procesos y acabar con los silos de información, algo en lo que llevamos ya tiempo trabajando”.

La diversidad y complejidad de gestión TI es también el reto al que se enfrenta Miguel Ángel González, CIO de ImesAPI. “Tengo 170 sociedades, imaginaos”.  Un entramado en el que la llegada de la IA generativa ha supuesto una labor previa y necesaria de “identificar el dato”.

Y en pro de la seguridad del uso de la IA generativa, explicaba Miguel Ángel González, “hemos establecido una normativa completa de qué se puede hacer y qué no porque, entre otras cosas, tenemos que garantizar que no se utiliza información corporativa así como así en cualquier modelo de IA”.

La formación precisamente es la actividad de ESIC, desde donde Pablo Fernández Burgueño, director de NewLaw, también ponía sobre la mesa aspectos clave de la política de ciberseguridad como que “el CISO este en el Comité de Dirección de las empresas para que no simplemente se le vea como un stopper de decisiones que se toman fuera de su criterio”.

El usuario, el eslabón más débil

Preguntados por los principales riesgos a los que se enfrentan actualmente las respuestas fueron claras. Para Patxi Hernández, de BBVA, es el robo masivo de información o los ataques a la red SWIFT, que permite las transacciones internacionales, “donde estamos ensayando ya con redes neuronales para detectar patrones extraños y posibles vulnerabilidades, por ejemplo”.

En el caso de Arcano Partners el robo de información también es el mayor riesgo, “sobre todo, últimamente, hemos sufrido intentos a través de ingeniería social”. Y es que como señaló “todos queremos digitalización pero eso supone exposición y por lo tanto tener que invertir más en ciberseguridad”.

El riesgo reputacional es el más temido en ISDEFE y aunque aplican una política de Zerto Trust, “es el usuario nuestra principal preocupación. Por ello, para mi lo más importante es formar, concienciar y estar siempre alerta”, afirmaba Ildefonso Vera.

También la formación sigue siendo la mejor arma contra los ciberataques en European Broadcasting Union, según Bernardo Caballero De Olmedo, que sufre mucho los ataques phising y que se encuentra inmerso en un proceso de limpieza de cuentas de usuario “que ya no están en la compañía pero que siguen activas y que, por lo tanto, son una vía de entrada de ciberdelincuentes”.

Contar con un férreo plan de resiliencia es el consejo que desde ImesAPI daba a todos, según su experiencia Miguel Ángel González y la formación y la concienciación eran las vías puestas en valor por Pierre Pita de Atradius; Javier Rivas de Uniteco y Pablo Fernández Burgueño, desde ESIC.

Un evento en el que todos coincidieron en la ciberseguridad, de nuevo, tiene que responder a desafíos normativos y tecnologías como la Inteligencia Artificial que están transformando el día a día de empresas y usuarios. Un cambio en el que si algo permanece es el dato y la necesidad de protegerlo como el activo estratégico y diferencial que es.