"Un servicio gestionado puede ser tan bueno como estés dispuesto a hacerlo" (Iván Sánchez, Sanitas)

Sobre la evolución del CISO dice Iván Sánchez que ha sido mucha y que aún le queda. Asegura que la evolución pasa por “el propio perfil de profesional”, tradicionalmente muy asociado a la seguridad IT y con una línea de reporte a sistemas y muy técnico. Añade que, aunque evidentemente “sigue existiendo ese componente técnico, se bascula cada vez más hacia negocio”, lo que lleva a hablar más de temas más estratégicos, “pero todavía nos queda”. Menciona Iván Sánchez las regulaciones como elementos que dan más entidad al CISO, junto con los incidentes de seguridad. Los incidentes, asegura, “aceleran la evolución del CISO. Cuando pasa algo todo cambia. Cuando tienes un CISO sin visibilidad suficiente o sin reporte independiente y tienes un incidente gordo, al año siguiente tienes un CISO reportando al board y con dinero. Ha pasado y está pasando, pero creo que lo bueno es adelantarse a eso”.

Este contenido fue publicado en el número de mayo de la revista IT Digital Security, que puedes descargar desde este enlace.

Los propios responsables de la seguridad de la información tienen su parte de trabajo en esta evolución: pasar de hablar de temas puramente técnicos a hablar un lenguaje de negocio, estar más cerca de la estrategia de la compañía.

En un mercado tan saturado de fabricantes, de tecnologías y de propuestas, ¿cómo escoger? Dice Iván Sánchez que es complicado y menciona la balanza tradicional que impulsa, por un lado, a optar por soluciones integradas que cubren gran parte de las necesidades vs optar por las mejores soluciones, o las que mejor encajan, pero que no estén integradas. Asegura que el primer enfoque, el de plataforma, “creo que es más efectivo en costes, es más mantenible, pero quizá las soluciones no te cubren el 100% de las necesidades, mientras que un enfoque más especialista es menos óptimo en costes”. A la hora de escoger “depende de cada empresa, del margen económico que tengas, y también cómo lo vas a operar. Porque no es lo mismo operar una plataforma integrada que 10 plataformas independientes”. Los servicios, dice el CISO de Sanitas, ayudan a escoger, y el soporte es fundamental.

Los servicios gestionados se han convertido en algo prioritario en ciberseguridad. La consultora MarketsandMarkets habla de crecimientos medios anuales del 14,7% entre 2018 y 2023, cuando los proveedores de servicios gestionados de seguridad generarán casi 50.000 millones de dólares impulsados por las regulaciones, mayor sofisticación de los ciberataques, el famoso BYOD y rentabilidad en la implementación de servicios. Tradicionalmente, cuando el enfoque era otro, las empresas trataban de hacerlo todo internamente, pero todo ha cambiado mucho, y ya se opta por los servicios gestionados; “empezamos con los servicios más habituales, como temas de SOC, temas de operación de plataformas, etc.”. Explica el CISO de Sanitas que han buscado proveedores que, ofreciendo el servicio de manera industrializada, “porque si para cada cliente se tiene su modelo de servicio distinto entonces no eres un MSSP”, sí que fueran lo suficientemente flexibles para cumplir con determinados requerimientos más específicos a nivel de plataformas, de cómo se operan, etc. “Yo creo que a final un MSSP, un servicio gestionado, es tan bueno como tú quieres hacerlo. Me explico, ni puedes delegarlo todo, ni puedes esperar que ellos sepan cosas que ni siquiera tú sabes. Tienes que acompañarle, tienes que educarle, tienes que invertir en ellos para que sean efectivos. Los primeros seis meses de un MSS, el esfuerzo que te va a va a suponer estar a su lado, a lo mejor es tanto como si lo hicieras tú en casa, pero después hay un momento de estabilidad donde que es autónomo”.

Empresa, usuario y seguridad

La sensibilidad de la empresa española hacia la seguridad de la información “sin duda ha mejorado, pero todavía nos queda mucho, y nos queda mucho a ambas partes”, asegura Iván Sánchez. Menciona la labor de los CISO a la hora de adoptar un discurso más orientado a negocio, “pero también hay que tener apetito por escuchar estas cosas”, dice haciendo referencia a las juntas directivas. Insiste en que hay dos cosas que lo cambian todo: la regulación o la incidencia. “La regulación es necesaria, pero mete presión al negocio y a empresas que pueden querer quedarse en lo mínimo. Y luego está el incidente, que eso sí que cambia las cosas, o cambia la concienciación, o cambia el enfoque. El éxito es saber adelantarse, por supuesto a un incidente, y a esa regulación y que ese grado de concienciación vaya subiendo en la compañía”.

La concienciación tiene que mejorar, pero aún nos queda, y nos queda sabiendo que, en realidad, “esto no acaba nunca”. Y recuerda que hasta hace dos días “estábamos securizando nuestro datacenter y ahora tenemos que securizar a miles de trabajadores. Es una foto tan móvil que la situación que vimos hace un año ha cambiado. Ese es el problema; los conceptos financieros no han cambiado en los últimos 30 40 años, pero la tecnología, y especialmente la ciberseguridad cambian cada día”.

Sobre el impacto que tienen los usuarios en la seguridad de las empresas, de la concienciación sobre la seguridad, dice Iván Sánchez que el ser humano trabaja bien por imitación y por recompensas, y que lo mejor es definir una buenas prácticas y hacer que sean imitables. “En el caso de Sanitas sí que hemos invertido bastante y ahí nos ha ayudado la organización”, dice el directivo, añadiendo que la ciberseguridad se incluye incluso en los objetivos de cada empleado, “objetivos que fija la dirección pensando es que es la mejor manera de que cada uno sienta que la seguridad es parte de su día a día”. En todo caso, dice, “siempre habrá usuario malicioso o una oveja negra”.

Tecnologías básicas de seguridad

Habiendo como hay tal cantidad de propuestas, tanta superficie de ataque que proteger, preguntamos a Iván Sánchez cuáles son, en su opinión, las tecnologías de seguridad básicas. Responde asegurando que depende de cada empresa, porque hay entornos más tradicionales, y casos en los que se están haciendo migraciones al cloud; “lo que no es asumible es que se desarrollen productos si tener en cuenta seguridad. Eso es lo principal. Si estás entregando productos y la seguridad no es parte de este desarrollo, algo estás haciendo mal”.

Dejando claro eso, y dando por hecho que se ha superado una parte básica relacionada con el firewall apunta el CISO que las tecnologías de monitorización son fundamentales “porque además es lo que hace que también aprendas cómo funciona una organización y empiezas a ver puntos débiles”.

Añade la parte de puesto de trabajo asegurando que más que EDR (Endpoint Detection and Response) hay que hablar de XDR, algo “que es absolutamente necesario”. También menciona las herramientas de descubrimiento y clasificación de la información, que han recobrado protagonismo tras GDPR, porque las compañías generan una cantidad de información tremenda “y la realidad es que no sabemos qué información es, cuánta es ni dónde reside. Esto es una realidad y muchas veces pasa que no sabemos dónde está la información hasta que hay un problema. Por eso para mí estas herramientas se están convirtiendo en una necesidad”.

Y por último menciona las herramientas de fuga de datos, o DLP, que no son nada nuevo, pero sin las que resulta difícil vivir actualmente. Mirando hacia el futuro menciona Sánchez las herramientas de automatización, “que todavía no veo como un must, pero que tienen muy buena pinta”.

Cloud

Cambiamos de tema para hablar de la adopción de la nube, que muchas empresas “abordan de manera oportunista”, dice Iván Sánchez. Cuando esto ocurre, asegura, no se tiene muy en cuenta la seguridad. Dice el CISO de Sanitas que la adopción de la nube debe verse como una estrategia que responda a varias preguntas: ¿dónde quiero estar? ¿qué es para mí la cloud? ¿qué quiero hacer en la nube? ¿qué quiero tener en el cloud y qué no?... Una estrategia en la que la seguridad sea parte fundamental.

El principal reto del cloud, dice Iván Sánchez, son las personas. Se ha pasado estar en entornos on-premise, con personas que tenían un gran conocimiento del centro de datos, y el modelo actual es totalmente distinto. “Ahora mismo los técnicos ya no son técnicos, son gestores de un servicio. Ya no hay un técnico de base de datos, un técnico de entorno Windows, o de lo que sea, ahora tienes gestores de servicio y esto, que parece trivial, es muy relevante porque las personas, lo que hacen y cómo lo hacen tiene que cambiar porque ya no tienes un hierro que administrar. Ahora tienes una infraestructura que, por cierto, no es tuya, es compartida; que hace lo que quieres hasta cierto punto, porque no todo es industrializable en la cloud… pero debes tener a la gente formada, preparada y adaptada para dar ese salto”.

De forma que el salto al cloud hay que darlo muy bien pensado, y si es algo estratégico más vale que la seguridad sea parte de esa estrategia.

Impacto de Covid-19 en la seguridad empresarial

La crisis sanitaria nos lleva a preguntar a Iván Sánchez, CISO de Sanitas por el impacto que está teniendo en la seguridad de las empresas:

Yo creo que la traslación de un evento del mundo físico al digital cada vez es más rápida, y el Covid-19 no ha sido una excepción. Nos ha obligado a reaccionar rápidamente y estar preparados. Yo creo que el panorama de amenazas ha cambiado sustancialmente por el virus para aquellas empresas que ya fueran conscientes de las amenazas, para quien era consciente del peligro del phishing, del malware que puede llegar enmascarado con noticias relacionadas con la pandemia.

Respecto al tema del teletrabajo ocurre lo mismo: quien no estuviera preparado para dar ningún tipo de capacidad segura de teletrabajo, seguramente ha tenido que correr un poco más. El teletrabajo lo puedes dar de muchas maneras, rápidas, lentas, seguras o inseguras, y nosotros sí que teníamos ya definido un modelo de teletrabajo seguro. Es verdad que hemos tenido que escalarlo rápidamente, pero que no nos ha supuesto hacer compromisos en la seguridad.

Hoy en día, nuestra capacidad de teletrabajo en Sanitas es total, y eso no ha pasado a costa de la seguridad. Cuando volvemos a la normalidad, al mundo anterior, habrá que pensar en cómo va a ser, y seguramente haya que hacer cambios.