'El Shadow IT sigue siendo un grandísimo problema hoy en día y con cloud todavía más' (Globalia)

¿Qué tienen en común Halcón Viajes, AirEuropa, Viajes Ecuador o Travelplan? Que les protege el mismo hombre: Daniel Zapico, responsable de seguridad de la información de Globalia, el grupo turístico español con más de 15.000 empleados y presencia en más de 30 países dueño de esas marcas y algunas más. Dice Zapico que todas las empresas tienen incidentes y que, aunque afortunadamente “no hemos tenido nada de lo que tengamos que informar tengo clarísimo que si un día pasa lo mejor es la transparencia absoluta”.

Este contenido fue publicado en el número de mayo de la revista IT Digital Security, que puedes descargar desde este enlace.

Una transparencia que no aplica al nombre de los fabricantes y proveedores de seguridad que velaban por la empresa afectada. “Honestamente yo creo que en realidad no es muy relevante”, dice Daniel Zapico, añadiendo que, en general, el mayor de los problemas hoy en día no es la tecnología; “hoy en día todas las tecnologías tienen nivel de madurez razonablemente alto. El problema en las empresas no está en la tecnología, está en los procesos, está en las personas”. Reconoce, eso sí, que no todas las tecnologías son iguales, que una tecnología no vale cinco veces más que otra porque sí… “Yo siempre pongo un mismo ejemplo que a mí me parece muy gráfico, y es que a mí me dejan un coche de Fórmula 1, no llego a la siguiente curva y si no me mato sería un milagro. Y si a un piloto de Fórmula 1 le dejo mi coche, seguro que corre el triple que yo. No es una cuestión solo de la tecnología, sino de cómo se usa.  A veces las cosas más modestas con un buen equipo que le saque provecho son mucho más efectivas que tener tecnología súper top que nadie sabe explotar”.

Tiene también claro Daniel Zapico que el peso de los responsables de ciberseguridad dentro de las empresas tiene que aumentar. “La percepción del CISO ha cambiado muchísimo en los últimos años y su relevancia dentro de la organización es claramente mayor ahora que hace tres años”, asegura, añadiendo que a esto ha ayudado es que algunas regulaciones hayan reconocido la figura del responsable de seguridad de la información y cuáles son sus responsabilidades y requisitos. En el caso de Globalia el CISO, Daniel Zapico, reporta directamente al consejo de dirección, “algo que hace tres o cuatro años era impensable en la mayoría de las empresas”.

Según datos del State of Cybersecurity Report 2019 de Wipro, el 21% de los CISOs han empezado a reportar directamente al CEO, y el 51% siguen teniendo al CIO como su supervisor directo. Asegura también el informe que las organizaciones son más seguras cuando los CISO informan a los CEO en lugar de a los CIO.

 “No se trata de una competición”, dice cuando le preguntamos si cree que la figura del CISO llegará a superar a la del CIO; explica que en Globalia hay un CIO por cada unidad de negocio, pero un CISO común porque “entendemos que la seguridad es mucho más transversal. A mí de nada me sirve establecer una serie de medidas de seguridad en Halcón Viajes, por ejemplo, y no hacerlo en Be Live. No me serviría demasiado. Tú no puedes poner todo el foco en un punto y olvidar todos los demás”, añade para terminar previendo que el rol del CISO “en muchas ocasiones acabará estando incluso en paralelo a la dirección de operaciones. El futuro va por ahí”.

Fuerte apuesta por los servicios

“Nuestra estrategia va encaminada a que sea nuestro proveedor de servicios el que seleccione la tecnología”, dice Daniel Zapico. Explica el directivo que de nada le vale comprar una tecnología que su proveedor se servicios no sepa gestionar o con la que no tenga suficiente experiencia.

De forma que la opción es contratar servicios gestionados que van acompañados de tecnología. La imposición viene en los “requisitos que esas tecnologías tienen que cumplir como mínimo, lo suficientemente abiertos para que los proveedores de servicios que licitan puedan presentar una o más tecnologías distintas para una determinada necesidad y en conjunto”. Y al final… “el pliego lo gana el que tenga la mejor propuesta técnica y de servicio en su conjunto”.

Asegura que no se cierran a una u otra tecnología porque no se tiene ni capacidad ni tiempo para conocerlas todas, y que se trabaja con diferentes proveedores por seguridad, nunca mejor dicho; de esta forma “los proveedores de servicios que nos dan servicios digamos a las capas estratégicas y tácticas son diferentes de los que nos proveen servicios operativos. Lo tenemos bastante concentrado, pero lo suficientemente separado para no correr el riesgo de concentración de proveedores y, sobre todo, que no se produzca conflicto de intereses entre capas”.

La sensibilidad que hay en la empresa española hacia la hacia la seguridad de la información es muy desigual. Depende mucho del sector, dice Daniel Zapico. Cuando se habla de entidades financieras la concienciación es altísima, y también los presupuestos.  “Yo tengo que decir que en nuestro caso el nivel de concienciación que hay es tan impresionante que me facilita muchísimo la vida. Creo de verdad que entienden que es una necesidad”, dice el CISO de Globalia. En todo caso, reconoce ser una persona “razonable” y asegura que tan importante es la sensibilidad que viene de la empresa como la que genera el responsable de seguridad en el día a día, y que no hay que olvidar que el negocio es lo primero y la seguridad debe ser un facilitador. Es más, la seguridad puede ser una ventaja competitiva “y en nuestro caso se percibe así, lo que facilita mucho mi trabajo”.

Empleado, ¿amenaza silenciosa?

Con miles de empleados y distintas unidades de negocio, ¿cómo puedes hacer frente a esa concienciación que comentas? “Es muy complicado, porque además hay que entender que en nuestro caso ya no es la cantidad de empleados, sino la heterogeneidad de los empleados, de las organizaciones y de las necesidades. Y es que, según apunta Daniel Zapico, nada tiene que ver un tripulante de un avión con una recepción de un hotel, sus funciones son completamente distintas.

La estrategia en Globalia pasa por el enforcement, no en tanto obligar a la gente a hacer las cosas, sino en cómo dejar lo menos posible a la decisión del usuario final, porque puedes decirle a la gente que no debe instalarse software que no esté autorizado, “pero como puedan hacerlo lo van a hacer. Seguro. No tengo la más mínima duda”. De forma que se opta por no permitirlo, “y si quieres solicitar la instalación de determinado software se hace una petición explícita, se justifica y, por medidas de seguridad, se acepta o no se acepta”.

En Globalia se busca más un modelo de premiar que castigar, dice su CISO, y “muy pronto vamos a poner medidas para que los usuarios puedan informar de manera voluntaria y automáticamente de elementos de correos sospechosos”, y el que el que más informe de cosas sospechosas, que efectivamente eran maliciosas, premio. El enfoque más por esa línea”.

El cloud, una gran oportunidad

¿Cómo se afronta la migración en la nube? “Con muchísima ilusión”. ¿Con miedo? “No, miedo ninguno”. Para Daniel Zapico la nube es una grandísima ventaja, una grandísima oportunidad; “la nube tiene una serie de riesgos, pero tiene otra serie de ventajas. Lo único que migras son los esfuerzos”. Explica el CISO de Globalia que uno de los problemas que tienen muchas empresas es la alta disponibilidad, y eso es algo que te quita el cloud. En todo caso la migración al cloud en Globalia “es una decisión tomada, con lo cual ya no es una cuestión de decir si lo vamos a hacer o no lo vamos a hacer, sino cómo lo vamos a hacer”.

Se suma la nueva situación que se vive con la pandemia, el teletrabajo y, en muchas ocasiones como resultado del mismo, el BYOD. En cuanto se está en un modelo en el que la gente no esté on-premise, utilizando su dispositivo personal “que estés en un datacenter o estés en cloud es irrelevante porque el perímetro se te acaba de diluir”.

Y ya que salen siglas como las relativas al Bring Your Own Device, preguntamos a Daniel Zapico qué opina por la oleada de siglas que asola el sector tecnológico, incluido el de ciberseguridad. “Creo que casi siempre son cosas que ya existen y que cuando se les pone nombre es porque están interiorizadas”, dice el directivo recordando que ya hace años que se bromea con que poniendo una “X”, o una “W” en el nombre de un producto parece que ya es mejor. “Lo que quiero decir es que normalmente cuando se le pone nombre el paradigma, modelo, arquitectura, tecnología… son conceptos que ya existían y simplemente se les está poniendo nombre por cuestiones comerciales, por cuestiones de aceptación, por cuestiones de que cuando hables de algo, sepas de qué estás hablando”.

Tecnologías imprescindibles

“Si me hubieras preguntado hace un año te contestaría algo diferente a hoy, y eso que nuestra estrategia no ha cambiado sustancialmente porque sigue siendo la misma”, responde Daniel Zapico cuando le preguntamos qué tecnologías de seguridad cree que son imprescindibles. Hace un año el CISO de Globalia habría mencionado cualquier cosa que tuviera que ver con el endpoint, “precisamente por esa pérdida de perímetro”.

Ahora es imprescindible “todo lo que te haga girar en torno a la identidad del usuario, y a la autenticidad”.

¿Se ha trasladado el perímetro a esa identidad? “Sin duda alguna. Ahora mismo el perímetro es el usuario. Definitivamente. Es mi opinión”. Añade Daniel Zapico que cuando se va a un modelo de BYOD pensar que vas a controlar el dispositivo no realista y por tanto se tiene que asumir que ese dispositivo está comprometido. De forma que cuando en su momento se desarrolló la política de teletrabajo y BYOD en Globalia “partimos de la hipótesis de que el endpoint está comprometido, con lo cual a partir de ahí tenemos que trabajar”.

Junto con la identidad del usuario y la autenticación, imprescindible para Zapico es cualquier solución que tenga que ver con la identificación de todos los servicios que tienes, “porque el Shadow IT sigue siendo un grandísimo problema hoy en día y con cloud todavía más. El perímetro se ha trasladado a la identidad del usuario y al servicio en sí, y por tanto es necesario contar con cualquier cosa que vigile, controle y refuerce esas dos variables”.

Fuera las contraseñas

Y de cara al futuro, ¿alguna tecnología a la que habrá que echarle un buen vistazo cuando llegue el momento? Responde Daniel Zapico que seguimos utilizando a diario una tecnología de los años 70 que “está requeté demostrado que no vale para nada: las contraseñas”.

De forma que el CISO de Globalia se apunta a mirar cualquier tecnología que elimine el uso de contraseñas; “me apunto a lo que sea con tal de eliminar las contraseñas de todo, de todos los sitios. No son efectivas, no valen para nada”. Sobre el doble factor de autenticación dice que su función es contrarrestar la debilidad de la contraseña. Son tres los factores a tener en cuenta: algo que sabes, algo que tienes, y algo que eres, “y siempre se habla de la combinación de algo que sabes con cualquiera de los otros dos, es decir, la contraseña”.

Es decir, la contraseña quieres eliminarla desde el principio. “Sí. Definitivamente”, y pone como ejemplo los bancos: nunca piden el cambio de la contraseña de inicio de sesión y suelen ser muy sencillas, de cuatro dígitos. Ahora todo gira, explica Daniel Zapico, en el comportamiento del usuario para hacer el análisis de riesgo en tiempo real; cuando lo necesitan te piden un doble factor. “Es decir, la contraseña está olvidada. ¿Qué tecnologías hay que mirar a futuro? No tengo ni idea, pero seguro, seguro, que hay una que hay que quitar, que es el uso de contraseñas por sí solas”.