“Deberíamos esperar ataques a gran escala con consecuencias globales a corto plazo”, Marshall Erwin, Fastly

Según la encuesta de Fastly, el 46% de las organizaciones no sabe quién es el responsable último si sufren un incidente de ciberseguridad… ¿Quién es el responsable?

Creo que debería quedar bastante claro que el CSO es, en última instancia, responsable de garantizar que una empresa responda de manera efectiva a una brecha o un incidente importante de ciberseguridad. Ahora bien, solemos decir que la seguridad es a menudo una responsabilidad compartida, particularmente en el trabajo para prevenir brechas o incidentes desde el principio.

Ese trabajo suele ser una responsabilidad compartida entre el líder de seguridad, el líder de producto y el líder de ingeniería. Y así, gran parte del trabajo más importante que hacemos en Fastly para asegurarnos de construir nuestra infraestructura de manera adecuada y efectiva desde el principio, y garantizar que sea segura, es una responsabilidad compartida. Pero cuando se trata de responder realmente a una brecha, la respuesta debería ser clara. Y si no está claro en una empresa en particular, eso es un problema. Y es que el CISO, el líder de seguridad, es en última instancia la persona responsable de responder a una brecha de seguridad.

 

¿Qué sucede que el CEO no proporciona al CISO el adecuado presupuesto de ciberseguridad?

Creo que otra de las responsabilidades importantes que tengo, y es una parte central de mi trabajo, es asegurarme de que me comunico de manera efectiva con nuestro equipo directivo y con nuestra junta sobre los riesgos. Es hacer una evaluación para asegurarnos de comprender nuestros riesgos, comunicar esos riesgos de manera efectiva al equipo directivo y comunicar lo que necesitamos hacer para alinear los presupuestos con esos riesgos. Ahora, en última instancia, creo que tu punto es que es responsabilidad del CEO decidir cómo utiliza su presupuesto una empresa en particular. Y, después de todo, no es mi trabajo tomar esa decisión, es decisión del CEO. Y por eso esa es parte de la responsabilidad que un CEO necesita compartir. Ellos son los que deciden, al final, si van a dar al CISO la responsabilidad suficiente para abordar esos riesgos.

 

¿Qué indican las normativas en este sentido?

Creo que NIS2 establece un régimen de responsabilidad personal. Y creo que es demasiado pronto para decir si será una fuerza positiva para el cambio en este ámbito. Y eso por dos razones. Una es que necesitamos ver algunas acciones de cumplimiento para entender exactamente qué nivel se establecerá para esa responsabilidad personal. Lo que queremos es que se cree responsabilidad en casos de verdadera negligencia, lo cual no ha sido el caso hasta ahora en otros enfoques de responsabilidad de los CISO. Por lo tanto, será un aspecto importante que observar con NIS2.

Otra cosa de NIS2 es que no solo coloca la responsabilidad y la rendición de cuentas en los CISO. Más bien, potencialmente extiende la responsabilidad de manera más amplia a los directores corporativos y otros líderes. En mi opinión, eso es algo bueno. Nuevamente, porque la seguridad a menudo será una responsabilidad compartida, particularmente, el trabajo de prevención de seguridad, que a menudo es una responsabilidad compartida entre los líderes de seguridad, los líderes de producto y los líderes de ingeniería. Y si los encargados de hacer cumplir la NIS2 adoptan ese enfoque y aplican la responsabilidad de manera más amplia, no solo en los CISO, eso sería un desarrollo positivo. Creo que obligaría a los líderes de las empresas, no solo a los líderes de seguridad, a dar prioridad a buenas prácticas de seguridad.

 

Muchos líderes de IT en España consideran que hay menos regulación en Estados Unidos. ¿Cómo ves la diferencia entre ambos enfoques regulatorios?

En general, en el ámbito de la tecnología de gran escala, Estados Unidos ha adoptado un enfoque más laxo y tolerante, pero no creo que ese sea necesariamente el caso cuando se trata de ciberseguridad. Y, profundizando un nivel más en eso, Estados Unidos no cuenta con nada similar a RGPD (Reglamento General de Protección de Datos) para la privacidad, DMA (Ley de Mercados Digitales) para la competencia o DSA (Ley de Servicios Digitales) para los servicios digitales generales. Tampoco tenemos algo como NIS2. Por lo tanto, se observa un régimen regulatorio más laxo y tolerante en general.

Sin embargo, en el caso específico de la seguridad, lo que también vemos son algunos de los casos más agresivos de responsabilidad y rendición de cuentas para los CISO, que han sido perseguidos dentro de Estados Unidos por los reguladores estadounidenses. Por lo tanto, en lo que respecta específicamente a la seguridad, creo que es una historia algo diferente, y no se observa un enfoque tan laxo como en otros casos, como la privacidad o la competencia.

Lo que sí se da es una estrategia básica diferente. Y diría que el enfoque en Estados Unidos es inferior porque los reguladores estadounidenses están adoptando un enfoque de regulación a través de la aplicación de la ley. No existe una regulación de base amplia que defina cuándo debería existir responsabilidad por las brechas de seguridad. En cambio, los reguladores están tratando de determinar eso caso por caso, mediante la presentación de casos particulares y acciones de cumplimiento contra los CISO.

Eso es diferente de lo que se observa, por ejemplo, en Europa con NIS2, que establece específicamente los estándares y el régimen que regirán cuándo los líderes de las empresas pueden ser considerados responsables. Creo que ese es un mejor enfoque porque crea más claridad y menos caos. Y el enfoque en Estados Unidos, de regulación mediante la aplicación de la ley, ha creado mucha confusión y muchos interrogantes, sin realmente incentivar adecuadamente las prácticas correctas.

 

Según la encuesta de Fastly, el 41% de los CISO empiezan a participar en decisiones estratégicas, incluso al nivel de la junta. ¿Qué nuevas habilidades necesita el CISO en ese rol?

Realmente se nota cómo el rol de un CISO está cambiando. Está convirtiéndose más en un líder estratégico dentro de la empresa y requiere habilidades para comunicarse de manera efectiva con el equipo directivo y la junta, no solo habilidades puramente técnicas, aunque estas siguen siendo fundamentales. Es necesario entender, a nivel técnico, cuáles son los riesgos, qué incidentes potenciales pueden ocurrir, qué ataques podrían suceder y anticiparlos y prevenirlos.

Por lo tanto, las habilidades necesarias para ser un CISO se han ampliado, pero la lista no ha hecho más que crecer. Se necesitan tanto las habilidades técnicas, la capacidad de operar de manera efectiva a nivel técnico, como las habilidades estratégicas para comunicarse eficazmente con el equipo directivo y la junta. Y en este sentido, el rol del CISO es mucho más estratégico de lo que era hace solo unos años. Antes, el líder de seguridad se percibía principalmente como el líder funcional y operativo del equipo encargado de proteger tu bandeja de entrada, no necesariamente como un líder estratégico dentro de la empresa, responsable de reducir el riesgo general de la organización.

 

Esta evolución del rol del CISO acompaña la evolución general del sector. En tu experiencia, ¿cómo has vivido estos cambios?

Creo que ese es un cambio positivo en general, pero también ha introducido muchos desafíos. Lo que esto significa es que la seguridad está recibiendo una mayor atención por parte de los líderes sénior y de las juntas directivas. Y, cuanta más atención recibe, más recursos y prioridad puede obtener también. Así que eso es algo bueno.

Pero creo que también significa que muchos líderes y equipos de seguridad se sienten sobrecargados más allá de su capacidad porque no solo necesitan realizar el trabajo diario de seguridad, sino que también son responsables de cumplir con un número creciente de regímenes de cumplimiento y regulación en todo el mundo. Además, necesitan pensar en cómo evaluar y comunicar de manera efectiva el riesgo a nivel estratégico frente a la junta directiva. Y ese equilibrio es todo un desafío.

Por lo tanto, ese cambio y la ampliación de las responsabilidades, si bien creo que es una tendencia positiva que consigue recursos y atención para la seguridad de manera más efectiva, también significa que esos mismos líderes y equipos de seguridad se verán sobrecargados y enfrentarán el desafío de cubrir todos los aspectos como lo hacían antes.

 

En este sentido, ¿cómo puedes organizar a tu equipo para que no se queme?

Por eso creo que las empresas recurren cada vez más a menudo a los servicios de seguridad gestionados. Hay un delicado equilibrio: en el caso de Fastly, por ejemplo, tenemos un equipo interno de seguridad sólido que cuente con el conocimiento técnico y el conocimiento de nuestros sistemas para poder intervenir, resolver problemas críticos y realizar un trabajo realmente efectivo en medio de un incidente real. Y eso no es algo que podamos esperar de un servicio de seguridad gestionado por terceros.

Lo que hacemos, y lo que creo que cada vez más empresas están haciendo para escalar su programa de seguridad, es delegar parte de la responsabilidad del trabajo diario de triaje a un MSS (Servicio de Seguridad Gestionado), mientras que al mismo tiempo se mantiene un equipo interno esencial, muy competente y capaz de realizar la detección y respuesta ante incidentes de manera efectiva cuando necesitamos que tengan esa experiencia.

 

El sector se ha ido moviendo, de hecho, hacia los servicios de seguridad gestionados. De cara al futuro, ¿se irán imponiendo o serán más bien los modelos híbridos que mencionas?

Creo que tendrá que ser una solución híbrida. Una empresa que solo mantenga un equipo interno con productos de seguridad desarrollados internamente simplemente no va a escalar de manera efectiva. Las únicas organizaciones que podrán adoptar ese enfoque de no depender de terceros serán las empresas más grandes del planeta.

Pero la mayoría, la gran mayoría de las empresas, simplemente no podrán hacer su trabajo sin depender, al menos hasta cierto punto, de los servicios de seguridad gestionados. Al mismo tiempo, creo que cualquier empresa que dependa únicamente de los servicios de seguridad gestionados encontrará que enfrentará problemas que no podrá resolver porque no tiene la experiencia ni los conocimientos técnicos internos necesarios.

Por lo tanto, el enfoque que adoptamos en Fastly es un enfoque híbrido, donde contamos con un equipo interno sólido y capacitado y dependemos hasta cierto punto de los servicios de seguridad gestionados. Y creo que para una empresa de nuestro tamaño y en nuestro mercado, esta será la combinación y la solución adecuadas.

 

¿Cómo ha afectado la inteligencia artificial al sector?

Hasta ahora, lo que hemos visto es que las herramientas de IA están contribuyendo a los ataques de ingeniería social. Y este tipo de herramientas de IA generativa se están utilizando para crear ataques de phishing más sofisticados, ataques de ingeniería social que la gente puede caer. Y eso definitivamente está introduciendo desafíos.

Sin embargo, los equipos y líderes de seguridad han sabido durante mucho tiempo que el elemento humano siempre es un punto crítico de falla, entienden bien los ataques de ingeniería social y saben cómo responder a ellos. Como resultado, las herramientas de IA que están creando ataques de ingeniería social más sofisticados no representan realmente un cambio drástico. Es un cambio incremental en el riesgo, pero no algo que no se haya anticipado o que los equipos de seguridad no sepan cómo manejar.

Creo que hay un desafío en el horizonte, pero aún no ha llegado, que es lo que se llama IA agéntica. Herramientas de IA que podrían ser capaces de realizar ataques más sofisticados, como hacer un reconocimiento de una empresa, pruebas de penetración, penetrar en esa empresa y luego moverse lateralmente a través de ella.

Sin embargo, la tecnología aún no está en ese punto, porque la IA agéntica necesita resolver problemas de múltiples pasos y necesita estar integrada y automatizada, y ninguna de esas cosas es posible todavía. Creo que, cuando eso sea una realidad, representará un cambio drástico y un gran aumento en el riesgo para las empresas. Pero no espero que eso suceda este año; todavía está un poco en el horizonte.

 

¿Se está utilizando más la IA generativa o la clásica en ciberseguridad?

Creo que el uso real de la IA en la defensa es el uso tradicional del análisis de datos para identificar posibles ataques. Hoy en día, muchos equipos de seguridad enfrentan el desafío de la cantidad de datos que tienen sobre posibles ataques a la empresa. Y hay mucho ruido en esos datos.

Por lo tanto, una posible aplicación que creo que muchas empresas están observando es el uso de herramientas de IA de análisis de datos tradicionales para filtrar los datos y encontrar la señal real de los ataques que están ocurriendo y a los que debemos responder. Ese es el tipo de potencial beneficio a corto plazo en el campo de la seguridad para esta tecnología.

 

¿Cómo es tu visión del futuro del sector?

Es realmente difícil en este momento saber con precisión hacia dónde se dirige el sector, en parte debido al entorno político dinámico en el que nos encontramos. Pero hay algunas cosas que podemos afirmar con confianza. Si miramos hacia atrás en la historia reciente, en aproximadamente los últimos cuatro años, hemos visto ataques masivos con graves consecuencias globales. Y esos ataques incluyen el ataque de SolarWinds, el ataque de ransomware a Colonial Pipeline, el incidente de interrupción de CrowdStrike, que no es un ataque, pero tuvo consecuencias globales, y el compromiso del Salt Typhoon a la infraestructura de telecomunicaciones. Lo que esto nos dice es que seguimos viviendo en un entorno muy dinámico y arriesgado, y deberíamos esperar otro de estos ataques a gran escala con consecuencias globales a corto plazo.

Cuando eso ocurra, estaremos en un importante punto de inflexión porque podremos evaluar cuánto progreso hemos hecho frente a los riesgos. ¿Hasta qué punto hemos, a través de varios cambios en las políticas, degradado nuestra capacidad de responder a ello? Por lo tanto, creo que a corto plazo veremos uno de esos ataques. Y como dije, será un punto de inflexión. Y podremos evaluar mejor la dirección futura del sector.