'No tiene sentido ver la seguridad como un gasto' (Rubén Fernández, Grupo DIA)

La última la tuvo en IBM, haciendo un rol parecido, pero en modo outsourcing. En su nuevo papel de CISO, Rubén Fernández dice haber aprendido muchísimo, entre otras cosas que la seguridad es una inversión y que la concienciación de usuarios y clientes es vital.   Grupo DIA (Distribuidora Internacional de Alimentación, S.A.), es una compañía internacional del sector de la distribución de la alimentación, productos de hogar, belleza y salud. Actualmente la compañía tiene presencia en España, Portugal Brasil y Argentina y en lo que la ciberseguridad se refiere se trabaja de manera centralizada desde Madrid, siendo Rubén Fernández quien marca las directrices. Le ha tocado vivir la “transición” del papel del CISO dentro de las empresas, dejando de reportar el CIO para hacerlo al departamento legal o directamente al CEO, y que deje de verse al CISO como “el que dice que no, el que pone peros a todo y no deja avanzar”. En Grupo DIA, nos cuenta, las cosas han cambiado porque “no decimos que no, sino que identificamos los riesgos en función del proyecto que se quiere abordar, y esos riesgos se aceptan o se mitigan. A veces no somos nosotros los que más impedimentos ponemos, sino la parte de protección de datos o de legal”.

Este contenido salió publicado en el número de Septiembre de la revista IT Digital Security disponible desde este enlace.

Otra evolución vivida es que la ciberseguridad empiece a verse como una inversión y no tanto como un gasto. Hay una parte, el día a día, la seguridad operativa, que sí, dice Rubén Fernández, “pero al final no tiene sentido verlo como un gasto”. Reflexiona el CISO de Grupo DIA que inversión también es mejorar el servicio al cliente y es básico que puedas garantizar que sus datos están tratados de manera adecuada, con las medidas de seguridad adecuadas, con el fin de elaborar un perfil lo más exacto posible y aconsejarle compras que les sean útiles; “para mí es evidente que cuando invertimos dinero en seguridad es dinero que se está invirtiendo para dar un mejor servicio al cliente”.

La mejor solución es…

Todos venden la mejor solución. Saber discernir entre cientos es complicado y por eso hay que contar con las herramientas adecuadas. En el caso de Grupo DIA hay un acuerdo con una conocida consultora a la que se le pide, cuando se va a sacar un proyecto, que se valoren una serie de puntos específicos en relación a una tecnología, además de un ranking de empresas. Se trata de un punto de partida para la toma de decisiones. 

Más interesante le resulta a Rubén Fernández la comunidad de CISO, grupos de responsables de seguridad que comparten conocimientos a través grupos de redes sociales, en eventos y organizaciones como ISMS Forum o Isaca. Una comunidad abierta y colaborativa que debate sobre soluciones, implantadas y algunas menos conocidas, y proveedores de servicios que pueden ser la clave del problema. “Es muy interesante esta red que tenemos de CISO o de gente que trabaja en el sector de seguridad y esta comunicación abierta y fluida que existe. Es importante seleccionar bien el producto porque lo vas a tener conviviendo contigo durante muchos años”.

La empresa española es sensible a la ciberseguridad, “pero hace falta trabajar más la concienciación del cliente final. Es muy importante que el cliente al final esté concienciado, que sepa que ciertos comportamientos pueden afectar a la manera en la cual se relaciona con una empresa o con un producto; que sepa que hay ciertos riesgos que también tiene que tener en cuenta, como no conectarse a sus cuentas a través de una WiFi pública”.

Concienciación también en cuanto a usuarios internos de las organizaciones, dice el CISO de Grupo DIA, donde se busca que la formación en materia de seguridad valga tanto para el ámbito profesional como para el personal.

El último eslabón sería la cadena de suministro. La compañía para la que trabaja Rubén Fernández, que ya se ha visto afectada por el impacto que un ataque de ransomware tuvo contra una de las empresas que tenía contratadas para hacer la recogida de efectivo de las tiendas, tiene obligatoriedad de llevar a cabo un procedimientoue establece un scoring de riesgo de cada proveedor para saber hasta qué punto se puede confiar en él. “Dependiendo del proyecto exigimos una puntuación  mayor o menor para poder optar a ese proveedor”, explica Rubén Fernández añadiendo que hay otras empresas que incluso exigen a los proveedores contar con un seguro para que, en caso de incidente, pueda cubrir las pérdidas de la cadena de suministro a la que da servicio.

Adopción del cloud

La infraestructura tecnológica de Grupo Día se basa, como otras grandes empresas, en tecnología IBM, que es complicado de migrar al cloud. “Tenemos servidores externalizados, porque el tema de los datacenters no es nuestro negocio, y nos vale tanto Amazon como Google, Azure… Dependiendo del servicio que queramos contratar o de la empresa con la que vamos a trabajar estamos trabajando con unos o con otros proveedores de nube”.

De forma que Grupo DIA tiene poco cloud aunque se prevé una mayor adopción con el fin de establecer una estrategia que contemple trabajar más en global, y no tanto de forma regional, “y una de las ventajas que tiene el cloud es que da igual que tengamos cuatro regiones. Se podrá acceder a ese servidor desde cualquiera de los países en los que estamos trabajando”. Explica Rubén Fernández que toda la parte de analítica de datos se está montando en el cloud “porque es para lo que se crearon este tipo de escenarios”. El cloud permite, además, aglutinar los datos de los diferentes países y poder hacer el procesado de datos de una forma rápida, explica el CISO de Grupo Día, añadiendo que uno de los problemas que hasta hace poco había es que no se tenían unas buenas prácticas extendidas o aprobadas por todo el mundo en materia de seguridad cloud. Ahora hay cada vez más documentación, y los proveedores ofrecen por defecto muchas características de seguridad que antes se exigían como adicionales, como es el caso del cifrado de datos.

“Pero en nuestro roadmap no está, en el corto plazo, el irnos masivamente al cloud. Estamos contentos con lo que tenemos porque realmente nos está dando el servicio que necesitamos, pero todo lo que es trabajar con datos, y afortunadamente tenemos muchísimos datos que podemos utilizar para mejorar la experiencia de cliente, eso sí que se está montando en cloud porque creemos que es lo que nos da la ventaja al poder aplicar los resultados lo antes posible”, asegura el CISO de Grupo DIA.

¿Qué papel juegan los servicios gestionados de seguridad en Grupo DIA? “Para mí es vital. Nosotros utilizamos mucho lo que servicios gestionados”, dice Rubén Fernández, quien conoce de primera mano el grado de madurez de este tipo de servicios. Menciona que uno de los que se tienen contratados es sobre cibervigilancia que busca en la red comentarios negativos de la compañía o un uso no autorizado de su imagen; también un SOC, porque “para nosotros es mucho más cómodo arrancarlo y tenerlo como servicio gestionado que no trabajarlo internamente, tener que montar tu propio centro de atención de incidencias, etc.”.

Los imprescindibles de Rubén Fernández

“Toda la parte de seguridad perimetral, todo lo que blinda accesos no autorizados a tu sistema, el firewall, el WAF, el SOC –aunque no sea una tecnología sino un servicio, son esenciales para mi empresa desde el punto de vista de la seguridad”, dice Rubén Fernández.

Dice sobre el SOC que si no tienes un equipo interno de incidencias específicas se seguridad “tienes que tenerlo fuera”, y que el SIEM es muy importante “para poder rascar un poco más y ver qué es lo que está pasando en estos sistemas cuando tienes una anomalía o una incidencia, y ver si realmente es una incidencia debido al mal funcionamiento de tus sistemas o que realmente te están atacando y han entrado en tu red”.

Añade que también es muy importante el marco normativo de seguridad. “Tienes que tener la tecnología, pero tienes que apoyarla en una política, en unas normativas, para que la gente también conozca qué es lo que puede hacer y qué es lo que no puede hacer”.

No se le olvida mencionar el tema de la concienciación, tanto interna como externa; “es básico también en cualquier empresa tratar de dotar tanto al trabajador como al cliente final de una pieza de seguridad que tienen que ir interiorizando y que nos ayuden a todos en el futuro a que Internet sea lo más seguro posible”.

En el radar de Rubén Fernández dos tecnologías que le gustan: EDR (Endpoint, Detection and Response), y gestión de identidades en base al comportamiento de las personas. Sobre los EDR, que reconoce como una tecnología madura, dice que a pesar de la reticencia de muchos responsables de seguridad de sustituir el antivirus tradicional por el EDR, estos últimos te dan una ventaja adicional porque al final se basan en el comportamiento.

“Y muy en esa línea también me parecen muy interesante las soluciones de gestión de identidades o de monitorización de lo que hace un usuario en tus sistemas en tiempo real en base al comportamiento, que aportan la ventaja de que ellas automatizan y catalogan el acceso como sospechoso o no sospechoso, o directamente como no autorizado o maligno”, explica el CISO de Grupo DIA.

Sobre la posibilidad de eliminar las contraseñas, dice que en realidad las soluciones de múltiples factores de autenticación están acabando con ellas de facto. Desde el momento en que tienes que validar el acceso a un servicio a través de tu móvil, por ejemplo, que las contraseñas sean más o menos fuertes o se hayan cambiado hace dos o seis meses dejar de ser tan importante.

COVID-19

Pregunta obligada, hablamos con Rubén Fernández sobre el impacto del COVID-19 en una empresa que ha visto cómo las ventas han aumentado por la apuesta que la compañía hizo en su día por los supermercados de cercanía.

Como en la mayoría de los casos se han tenido que tomar algunas medidas, como la compra de portátiles, licencias VPNs o aumento del ancho de banda. “También hemos reforzado mucho la parte del eCommerce, que para nosotros no era una prioridad pero ahora se ha multiplicado casi por diez la afluencia de pedidos algunos días”.

Sobre el teletrabajo, aunque algunos departamentos sí tenían contemplada la opción por temas de conciliación familiar, “no estaba pensado para que todo el mundo estuviera en casa y entrando por VPN.

Hemos tenido que dimensionar de una manera adecuada la nueva situación”, dice Rubén Fernández.

Añade el CISO de Grupo DIA que también ha aumentado la superficie de ataque, lo que tienes expuesto, porque no es lo mismo que tenga los ordenadores conectados en mi red interna que fuera; “en ese sentido sí que aumentan ciertos requisitos de seguridad, que a lo mejor cuando estás en la oficina son automáticos y ahora hay que forzarlos un poco de forma manual”.

Terminamos la conversación mencionando cómo la legislación está ayudando a los responsables de seguridad a tener más peso dentro de las empresas. Normativas como GDPR, PSD2, ENS, NIS, etc., han abierto los ojos de muchos directivos que refuerzan la seguridad para evitar posibles sanciones económicas.