Los retos de seguridad en la empresa española

Cloud, Movilidad, GDPR, Ransomware, Phishing, Ataques dirigidos, DDOS, Vulnerabilidades, control de accesos, Troyanos bancarios, IoT… y así podríamos seguir y seguir con el sinfín de problemas de seguridad al que se enfrentan las empresas. Cerramos el año de Wannacry o de Equifax para entrar en el año del cumplimiento y la transparencia, que es lo que va a exigir la GDPR: reconocer públicamente que se ha sufrido una brecha de seguridad.

¿Está la empresa española concienciada de que la seguridad no es una opción? ¿Qué barreras se encuentra cuando quiere hacer frente a un proyecto de seguridad? ¿Están los servicios gestionados de seguridad allanando el camino? ¿tiene en cuenta la seguridad cuando adopta el cloud? ¿se preocupa de parchear las vulnerabilidades?

Este contenido fue publicado en el número de Enerode la Revista IT Digital Security, cuyo tema de portada se centró en la Deception Technology. Puedes descargarte la revista desde este enlace.

Éstas y otras preguntas similares son las que hemos planteado en el desayuno de trabajo que, bajo el título “Los retos de la seguridad en la empresa española?”, ha reunido a un grupo de expertos, empezando por Josep Albors, Head of Awareness and Research at ESET Spain; Eusebio Nieva, Director Técnico de Check Point; Martín Morey, Security Architect DXC; José de la Cruz, Director Técnico de Trend Micro; Manuel Cubero, Director Técnico de Exclusive Networks y Bosco Espinosa de los Monteros, Preventa Kaspersky Lab.

Arrancamos el debate hablando de la situación de la empresa española en cuanto a seguridad, Para Josep Albors, a pesar de que los incidentes están ayudando a concienciar, no se está invirtiendo todavía en bloquear amenazas de seguridad, “no sólo las amenazas avanzadas, sino métodos que llevamos viendo décadas”. Eusebio Nieva coindice en el apunte y señala que al final el problema es que “se ha minimizando del cálculo de riesgos. Y los últimos incidentes no están ayudando a que mejores”. Un poco más optimista se muestra Martín Morey al asegurar que las inversiones están creciendo un poco más y que “la seguridad no se está considerando tanto como gasto”. José de la Cruz coincide en que los incidentes que se han visto este año, desde Wannacy a la brecha de Equifax, están ayudando a concienciar a las empresas de que la seguridad es una necesidad; “queda camino por recorrer, pero creo que vamos en buena dirección”. Manuel Cubero destacad la visibilidad que los medios de comunicación han aportado sobre los incidentes de seguridad, lo que ha ayudado a incrementar las inversiones. Por último, Bosco Espinosa de los Monteros hablaba de esperanza, y al mismo tiempo del largo camino que queda por recorrer.

¿Por dónde empezar?

Se planteaba durante el desayuno de trabajo qué barreras encuentran las empresas a lo hora de afrontar un proyecto de seguridad. Para Eusebio Nieva, director Técnico de Check Point el reto es el de siempre: abordar algo sobre lo que no tienes el conocimiento adecuado, algo a lo que las empresas deben hacer frente o bien a través de servicios gestionados o invirtiendo en especialidades, “porque al final la seguridad es algo que tienes que mantener vivo, no es algo estático que se ponga en un momento y luego te olvidas de ello”.

Martín Morey, Security Architect DXC, destaca que actualmente las empresas “están demasiado expuestas a demasiados vectores de ataque”, y que los ataques son más complejos, como las barreras a las que se enfrentan los negocios desde el punto de vista de la seguridad.

“Hace falta conocimiento. Hace falta alguien que sea capaz de diseñar una seguridad adecuada al negocio o al tipo de vectores que afectarían a nuestra compañía”, asegura José de la Cruz, director técnico de Trend Micro.

Para Manuel Cubero, director técnico de Exclusive Networks, son muchas las empresas medianas y pequeñas que “se ven ciertamente abrumadas porque desconocen qué pueden hacer”. Asegura el directivo que el primer reto es encontrar el apoyo de profesionales externos para poder acometer este tipo de proyectos, que le apoye y le pueda ayudar en esta transición y adaptarse continuamente a estos retos.

Bosco Espinosa de los Monteros, preventa de Kaspersky Lab, añade que son muchas las ocasiones en las que las empresas adoptan nuevas tecnologías “sin tener en cuenta las consecuencias que tiene para mi negocio ni los riesgos a los que me estoy exponiendo”.

Josep Albors, Head of Awareness and Research at ESET Spain, habla de tres puntos. Por un lado, el desconocimiento, tanto de las amenazas como de las soluciones disponibles; en segundo lugar, seguir pensando que la seguridad es un gasto y preguntar cuánto me va a costar eso en lugar de cuánto te voy a ahorrar; “y tercero lo que están comentando los compañeros, que la seguridad es un proceso continuo, que no es implementar una solución y olvidarse. Que se tiene que hacer monitorización, vigilar que esos clientes estén controlados por alguien que realmente sepa interpretarlos y saber reaccionar ante esos incidentes”.

Servicios de seguridad gestionados

Después de hablar de los retos, otro de los temas que se plantea es si los servicios de seguridad gestionados están acelerando la adopción de soluciones, sobre todo entre las empresas más pequeñas.

Eusebio Nieva prefiere hablar de facilidad más que de aceleración. Añade también que la falta de conocimiento entre las empresas impide a veces que se valore con criterio. “Dentro de dos días las amenazas van a ser diferentes. Ahora estamos en la era del ransomware, pero mañana puede ser otra cosa. Y para eso tienes que estar preparado”.

Para Martín Morey, las empresas “no ven las amenazas porque son intangibles”. Asegura el ejecutivo que los servicios gestionados ayudan sobre todo a las pequeñas empresas que “no pueden acceder a un departamento de IT, ni siquiera al tema de la seguridad”.

Las soluciones as-a-service “permiten a una pequeña o gran empresa acceder a una tecnología que de otra manera sería más complejo desde  el punto de vista económico y que además es más sencillo de implementar”, explica José de la Cruz, a quien le parece muy adecuado el mensaje que se está dando durante el evento: “No basta con  hacer un stick en una serie de ítems que necesito, se trata de aplicar la seguridad y además evolucionarla en el tiempo para que seamos  capaces de dar una protección continuada”.

Para Manuel Cubero, “la planificación es esencial, pero la planificación de negocio a la que se tienen que mover las empresas muchas veces dificulta que esa planificación tenga en cuenta la seguridad en el tiempo adecuado”. De forma que apoyarse en socios externos, en empresas que hagan seguridad gestionada, o servicios de IT gestionados que te proporcionen el conocimiento de las amenazas o qué herramientas elegir es clave.

Bosco Espinosa de los Monteros incide en que los servicios gestionados están beneficiando a las pymes a la hora de adoptar una serie de herramientas que están disponibles en el mercado, “porque de otra forma sería imposibles para ellos llegar, tanto económicamente como por recursos y conocimiento”. Añade que el hecho de poder contar con servicios en la nube y con servicios gestionados, que tiene una escalabilidad muy alta, “también hace que las pymes se pueden plantear tener una seguridad adecuada. El problema con las pymes que muchas veces no tienen el conocimiento o a conciencia de que su negocio se basa en la información y que son mucho más sensibles a este tipo de ataques de lo que lo puede ser una compañía más grande”.

Liderando la concienciación

Durante el desayuno de trabajo se habla de falta de concienciación, de conocimiento. Por eso preguntamos a los expertos reunidos quién debería tomar las riendas; ¿las administraciones públicas? ¿los fabricantes? ¿hay proactividad por parte de los clientes?

El Head of Awareness and Research at ESET Spain reconoce que no hay proactividad por parte de las empresas y dice que la solución viene desde varios niveles. “Desde la administración pública tienen medidos para hacerlo a través por ejemplo del INCIBE, que hace lo que puede". También reflexiona el ejecutivo que a veces hace falta que suceda un ataque lo suficientemente llamativo para que se planteen que pueden ser víctimas de ataques. ¿Qué puede hacer la empresa privada?, se pregunta Josep Albors, “puede ofrecer cursos de concienciación, campañas, incluso promover buenos hábitos a través de webinario, mostrando cómo proteger las empresas, o tener los ordenadores de forma segura para cumplir con GDPR u otras leyes. Y además aportando valor, que no sólo sea vender el producto, sino aportando el conocimiento en materia de seguridad para que tu empresa esté segura”.

El director técnico de Exclusive Netwoks plantea que “es responsabilidad de todos poner nuestro granito de arena para trasmitir esos mensajes, no sólo intentando vender productos específicos, sino intentando aportar conocimiento, explicando en qué consiste una nueva normativa, hasta qué nivel puede afectarte…”. Y al mismo tiempo cada empresa tiene que estar escuchando y hacer un poco de caso para ver qué medidas puede adoptar y qué medidas afectan a su negocio.

“Desde Kaspersky pensamos que no sólo hay orientarlo a las empresas, hay que orientarlo al usuario”, dice el preventa de Kaspersky, añadiendo que muchas veces se piensa en todas las medidas de seguridad que tiene que adoptar la empresa, pero al final el factor humano es clave para este tipo de cosas. “Hay que concienciar al usuario y hacerle partícipe. Hay que hacerles ver que el mundo digital es igual o más peligroso que el físico”, añade Bosco Espinosa de los Monteror.

Para el director Técnico de Check Point “no hay peor sordo que el que no tiene oír” y plantea que no sabe si es porque no se adapta el mensaje, o porque no está dentro del ámbito de atención de las empresas. “Probablemente hay un 80% o un 90% de empresas en España que ha tenido un evento de seguridad y con eso empieza la concienciación. A partir de ese primer evento empieza la concienciación”, y pone como ejemplo el de los ataques DDoS: “sólo las empresas que los han sufrido empiezan a pensar que se tienen que proteger”.

Manuel Cubero añade que en muchas ocasiones la concienciación llega después del ataque, pero que un mes después se ha olvidado. “Se diluye la amenaza, se diluye el interés”, coindice Eusebio Nieva.

Martín Morey, Security Architect DXC, insiste en que las amenazas son invisibles; “una amenazas de un ciberataque no se nota, ni se siente, ni se ve venir. Y por eso se suele hacer frente de una manera reactiva”, dice el ejecutivo.

“El problema es que a veces no se actúa ni siquiera en lo más básico. Es decir, sabes que tus empleados no tienen el conocimiento, la formación… por lo menos reacciona y dales un poco de formación”, dice Eusebio Nieva, comentario que aprovecha José de la Cruz para explicar que como empleado de Trend Micro “estoy obligado a pasar un test interactivo que te ayuda a entender lo que estás haciendo y realizar una serie de acciones para identificar phishing, un posible spam… Yo creo que es un buen punto de partida, y que si todas las empresas lo implementasen mejoraríamos bastante”, dice el directivo.

“En Exclusive Networks tenemos un test muy parecido y lo primero es intentar concienciar al usuario, que es el eslabón más débil de la cadena”, añade Manuel Cubero.

La empresa española no está peor que otras

Siempre pensamos que hay países que siempre pensamos que están mejor, que España es lo peor y no es verdad, asegura Bosco Espinosa de los Monteros. Explica el directivo que la situación de las empresas con respecto a la seguridad es similar en toda Europa que “pueden estar más avanzados si tiene una normativa más avanzada, pero con la GDPR todos vamos a jugar al mismo nivel, con las mismas reglas”.

“Wannacry ha demostrado que no hay una gran diferencia”, dice Eusebio Nieva, recordando que este ransomware nos hizo ver que que países que se supone que son más avanzados cayeron igual.

Para Josep Albors, la diferencia está en cómo reaccionan. Y es que mientras que en algunos países afectados por Wannacry parece que se están tomando medidas, parece que en España lo único que pensamos es que ya pasó. “Se nos olvida antes”, dice el ejecutivo de ESET España.

Eusebio Nieva añade que incluso cuando tiene un nivel de formación, los ciberdelincuentes se están refinando. Lo último que ha visto es un correo en el que te llega un adjunto, aparentemente de una agencia de abogados diciendo: estas son las condiciones del divorcio que ha establecido su pareja… ¿quién no pincharía?, se pregunta el directivo de Check Point

José de la Cruz recuerda que desde el punto de vista de diferencias de la empresa española y la internacional hay que tener en cuenta que si hablamos de empresas españolas hay pocas ya, ya estamos ya globalizados, y que por lo tanto las mismas carencias o ventajas que tienes en un sitio vas a tener en otro. “En organismos gubernamentales la verdad es que estoy sorprendido porque se están haciendo las cosas con bastante criterio. En el caso de Wannacry se reaccionó bien, desde el punto de vista gubernamental. Hubo mucha información, se facilitan incluso herramientas”, cuenta el directivo de Trend Micro.

Y de hablar de Pyme a hacerlo de Industria 4.0. Se coincide en que no estamos convenientemente seguros, que en el tema de los sistemas industriales también se adoptan nuevas tecnologías sin tener en cuenta la seguridad, que hacer cambios en una industria es mucho más complejo y más caro porque son arquitecturas que se han creado para durar. Josep Albors pone la nota positiva: “En temas de industria 4.0 hay que centrarse y huir del alarmismo”. Y es que hay que diferenciar entre sistema de control industrial e infraestructuras críticas, “porque parece que van de la mano, pero no. Puede que uno esté controlando el horno de una panadería sin ningún problema. Además, los sistemas de control industrial implementados en una infraestructura crítica tienen a alguien por encima llamado CNPIC, Centro Nacional de Infraestructuras Críticas que ya les van metiendo caña”.

Previsiones 2018

De cara a 2018 uno de los temas candentes será GDPR, el nuevo reglamento de protección de datos que entrará en vigor el 25 de mayo de 2018. Sobre las amenazas, está claro que habrá más.

La experiencia le dice a Josep Albors que los ciberdelincuentes seguirán utilizando técnicas ya conocidas; “vamos a ver nuevas amenazas y nuevos vectores de ataque, pero también vamos a seguir viendo ransomware, ataques DDoS, cualquier ataque que pueda suponer un problema en la continuidad de negocio”, dice el ejecutivo de ESET España.

Eusebio Nieva está de acuerdo al decir que “que las técnicas clásicas van a seguir utilizándose, enriquecidas con otras técnicas y nuevas amenazas que todavía no podemos ni imaginarnos”.

De cara a 2018 “las amenazas van a seguir siendo cada vez mayores. Pero se está empezando a tomar un poco más de concienciación gracias a la publicidad mediática de los últimos ataques”, dice el ejecutivo de DXC.

José de la Cruz identifica un par de puntos clave. Por una parte, GDPR, “que está claro que va a haber una carrera a toda prisa porque las empresas están un poco rezagadas para el 25 de mayo”. Habla también el directivo de Trend Micro de diversificación, “es decir, los malos han reutilizado tecnologías del pasado, muy sencillas, pero que han ido combinando con tecnologías nuevas. Yo creo que seguiremos en esa línea”.

Para Manuel Cubero “está claro que a menos no va a ir”, y habla de carrera contrarreloj en lo que a la adopción de GDPR se refiere.

Bosco. Por un lado, está claro que las técnicas que se usan se van a seguir utilizando porque tiene un éxito rotundo y grande ingresos.

Lo que preocupa en Kaspersky “es que los beneficios que están teniendo nos lleven a un nuevo ataque estilo Wannacry. Es decir, da la sensación de que ha tenido mucho éxito, de que ha sido relativamente fácil conseguirlo, y el replicarlo no es complicado porque, a día de hoy, hay empresas que siguen siendo vulnerables a este ataque”.