Tecnología y estrategias para hacer frente a las amenazas emergentes
Proteger la información corporativa de amenazas es un elemento clave desde la propia actividad o continuidad del negocio, al cumplimiento de normativas y la reputación de la empresa.
Una infraestructura cada vez más heterogénea en un entorno en el que las amenazas aumentan en sofisticación y volumen. Ese el escenario actual al que se enfrentan los CISOs y profesionales los departamentos de tecnología y en el que los datos se presentan como el valor más crítico en las organizaciones.
Proteger la información corporativa es un elemento clave en todos los aspectos: desde la propia actividad o continuidad del negocio, el cumplimiento de normativas, hasta la reputación de la empresa están en juego si hay una brecha de seguridad.
Para afrontar este desafío los responsables de seguridad necesitan por ello contar con las herramientas, soluciones y servicios adecuados que les permitan proteger los endpoint, la red, los accesos a la web y el correo; los sistemas en cloud o aplicaciones SaaS, salvaguardar la información de filtraciones, garantizar la continuidad frente al ransomware y llevar a cabo una correcta gestión de las identidades y los accesos.
Analizar precisamente estos desafíos así como las principales herramientas y tecnologías que permiten afrontarlos fue el objeto del evento organizado por Silicon España y Symantec y que congregó a Javier Pérez, Manager de Ciberseguridad de Fever; Hermes Serrano, Fraud Detection Technician en Van Green Europe; Max Moreno, CISO de Viajes El Corte Inglés; Carlos Caballero, Threat Hunting en BBVA; Pierre Pita, IT Sourcing and Vendor Manager de Atradius; Alberto López, CIO & CISO de Solaria; y Carmen Ollero y Alfredo Sánchez, ambos ingenieros de Ciberseguridad de Iberdrola.
Con Daniel de Blas, responsable de Branded Content de Netmedia, como conductor el encuentro lo abría Sergio Cabrera, Regional Sales Manager en Symantec que explicaba cómo la propia tecnológica ha reducido su oferta para ofrecer una mayor sencillez a los responsables de seguridad de las empresas.
“Hemos articulado además todas nuestras soluciones en torno a cuatro ejes: la seguridad del Endpoint, de la red, de la información y de la identidad”, apuntaba y añadía que “toda la oferta de Symantec está accesible tanto en on premise, cloud y/o modelo híbrido y en cualquiera de estos modos la licencia es exactamente la misma”.
Seguridad basada en el dato
Una oferta que señalaba Javier Armesto, Field Applications Engineer de Symantec está centrada en la protección del dato. “Nuestra propuesta ya no está enfocada únicamente a proteger la red sino que proponemos una seguridad basada en el dato y que además tiene como principal cometido reducir la complejidad de los CIOs y los CISOs”.
A dicha complejidad se enfrenta en su día a día Javier Pérez, Manager de Ciberseguridad de Fever. “Somos 100 por cien cloud y esto hace que no todo avance muy deprisa sino que la superficie de exposición sea cada vez mayor”.
Esto les ha llevado a configurar una seguridad por capas y una estrategia de identidad single sign on. Además explicó, por la propia naturaleza de su negocio, en Fever preocupa casi tanto la confidencialidad como la disponibilidad de la plataforma: “Imagina que sacamos a la venta una entradas a una determinada hora del día y nos tumban la web; sería un caos”.
En el caso de Van Green Europe el reto es el cambio cultural, compartía Hermes Serrano, Fraud Detection Technician en la compañía. “No había una gran concienciación de la necesidad de invertir en ciberseguridad y estamos empezando desde cero prácticamente pero con algunos vicios ya adquiridos”.
La formación del empleado es esencial en el caso de Van Green Europe como añadía Hermes Serrano ya que “son nuestro principal vector de ataque actualmente”.
También concienciar al usuario al tiempo que adaptarse a que más del 50 por ciento de ellos trabaja sobre el terreno es el reto para Alberto López, CIO & CISO de Solaria. “Mi intención es ir a un modelo SASE ya que tenemos mucha información y además información dinámica que, al inicio de un proyecto, es confidencial y luego deja de serlo”.
Con una política “bastante restrictiva”, explica Alberto López, por ejemplo en Solaria no se permite que el usuario utilice más que los dispositivos corporativos “algo que es verdad que perciben como una molestia en su trabajo pero que es necesario”.
En ese punto, Javier Armesto, de Symantec, apuntaba cómo dos son las principales preocupaciones hoy en día en cuanto a la ciberseguridad en las empresas: “Primero es necesario proteger el acceso de usuarios y dispositivos y, de forma paralela, la protección de la información porque una fuga de datos supone un daño económico pero sobre todo reputacional inmenso”.
Y es que, añadía Sergio Cabrera, también de Symantec, la regulación y cumplir con normas como la ISO 27001 es imprescindible. “Tenéis que proteger vuestra información pero también la de vuestros clientes, proveedores, etc. ¿De quién si no es la responsabilidad si os roban alguno de esos datos?”.
Precisamente la normativa, en este caso, el Reglamento DORA es lo que preocupa y ocupa, entre otras cuestiones, en BBVA, según Carlos Caballero, Threat Hunting en la entidad. “La norma entró en vigor 2023 y establece un plazo de dos años para que las entidades del sector financiero podamos cumplir con los requisitos que establece, eso es el hasta el 16 de enero de 2025”.
“Es compliance, no queda otra opción que cumplir”, reconocía, además de compartir que para él uno de sus principales retos es la integridad del dato.
También con el dato como protagonista Max Moreno, CISO de Viajes El Corte Inglés, se enfrenta a “la unificación y consolidación”.
Además, explicó, “hemos iniciado una auditoria de nuestros vendors pero hay que tener en cuenta que no es una tarea compleja; tenemos desde grandes mayoristas a pequeñas agencias de viajes y no puedes esperar ni obligar a todos a tener una infraestructura y unas soluciones de seguridad determinadas e iguales”.
Normas y compliance
Tampoco es fácil priorizar la inversión, exponía Alfredo Sánchez, ingeniero de Ciberseguridad de Iberdrola. “Hay normas y certificaciones que hay que cumplir pero además es que hay mucha información, usuarios y equipos que proteger y no puedes llegar a todo. Además muchas veces ni siquiera sabes dónde están esos equipos, cuántos hay… Es decir, lo primero es saber qué tenemos para así poder decidir cómo protegerlo y con qué herramientas”.
Algo a lo que su compañera Carmen Ollero añadía que, en el caso de Iberdrola, “al ser un negocio regulado, esa inversión también lo está” y apunta a la necesidad de “llegar a la madurez de las herramientas en las que ya se ha invertido, porque muchas veces las dejamos de usar y no les sacamos suficiente partido”.
Por su parte Pierre Pita, IT Sourcing and Vendor Manager de Atradius explicaba cómo les preocupan también normas como DORA y cómo tratan de “hacer responsable a cada área de negocio de la inversión que requiere un determinado proyecto porque presupuesto hay mientras no sea el mío” y añadía una reflexión final: “Es necesario escuchar a la gente y no fiscalizar los proyectos desde el inicio. Preguntar y escuchar”.
Un consejo que, en materia de ciberseguridad, cada vez es más valioso como se demostró en el encuentro en el que se compartían dudas y experiencias con el objetivo común de hacer frente a la cada vez más compleja labor que es la protección de información, infraestructura y usuarios.