'Los CISO somos ciberresilientes desde hace mucho tiempo' (Javier Sánchez Salas - HAYA Real Estate)

Hace tiempo que los responsables de ciberseguridad han tomado más relevancia en sus empresas. Más ataques y más sofisticados, normativas con sanciones y falta de personal les colocan en primera línea de batalla y cada vez más cerca de la dirección. Dice Javier Sánchez Salas que la seguridad “está dejando de ser un lujo para ser una necesidad”, que aún falta tiempo para que se convierta en una prioridad dentro de las empresas, y que el salto no se producirá hasta que no se entienda la ciberseguridad y los medios de control “como algo que está ligado al beneficio del negocio o a la no pérdida”.

Este contenido salió publicado en el número de octubre de la revista IT Digital Secutity. Descárgatela.

Dice también el responsable de ciberseguridad de HAYA Real Estate que hace tiempo que los CISOs saben adaptarse a los riesgos que se les presentan y que la pandemia sanitaria les ha obligado a actuar de forma rápida para ofrecer la disponibilidad adecuada de todos los servicios; “somos ciberresilientes desde hace mucho tiempo”, asegura. La pandemia no ha hecho sino demostrar, para aquellos que se hubieran empeñado en no creerlo, que el perímetro de seguridad de la empresa no es el perímetro de la oficina; “tenemos que ir pensando que los perímetros son más amplios o globales, y con el mundo cloud más”.

En cuando a los directores generales, la pandemia les ha servido… “para darse cuenta de esa transformación digital, organizativa; al final las oficinas ya no existen como tal, cualquier empleado puede trabajar en cualquier sitio y eso tiene su parte buena, porque al final somos más competitivos y tenemos más capacidad para trabajar, pero también tiene sus riesgos. Nada crítico, nada grave, solo hay que establecer una política de riesgos en función de estas nuevas formas de trabajar”.

Esta nueva forma de trabajar, desde fuera de la oficina, ya se empezaba a hacer en HAYA Real Estate de forma gradual antes de la pandemia, “por lo tanto, el cambiar de modo oficina a modo teletrabajo para toda la compañía no ha sido un impacto grande, salvo el tener que duplicar temas de VPN para que tuviéramos más espectro, pero por lo demás, ha sido un caso de éxito”, asegura Javier Sánchez Salas. Explica el directivo que “llevamos mucho tiempo formando a los empleados por temas de continuidad de negocio, por si hay un desastre” y que durante todo este tiempo no ha habido más incidencias que las del día a día habitual; “no hemos tenido ninguna crisis reseñable”.

Sí que se han reforzado los mensajes de concienciación a los empleados, que en ocasiones y según algunos informes, han bajado la guardia con el teletrabajo. “El tema de la concienciación de la seguridad lo estábamos haciendo desde hace tiempo, pero no obstante mandamos un decálogo de medidas seguridad al uso para recordarlo”.

La pérdida del perímetro de seguridad empezó con los portátiles, siguió con las tabletas y los móviles, y se aceleró con el cloud. ¿Cómo se aborda la adopción del cloud teniendo en cuenta la seguridad? “El cloud es algo que ya tenemos encima y lo que tenemos que hacer simplemente es establecer qué se puede hacer, qué no se puede, y controlarlo. Simplemente es eso. Hay que controlar”, asegura Javier Sánchez, explicando que igual que antes se establecían controles sobre el mundo no cloud, hay que adaptar esos controles para mitigar todo el riesgo que se tenga en el mundo cloud.

Dice también el CISO de HAYA Real Estate que “tenemos que hacernos fuertes contra el cloud. Es decir, que tenemos que apoyarnos sobre todo para que en este mundo cloud, que ya es una realidad presente, esté suficientemente controlado o con los controles necesarios para que cualquier empresa que se vaya a la nube tenga la garantía de seguridad, igual que la disponibilidad, que es lo que te ofrece cloud per sé”.

En el cloud, ¿se tiene en cuenta el modelo de responsabilidad compartido? “Cuando las empresas van a cloud están dando por hecho algunas cosas que no son realidad en materia de seguridad”, asegura Javier Sánchez Salas, añadiendo que le parece correcto ese modelo de seguridad compartido ya que las empresas deben establecer sus propios controles para saber lo que está pasando en todo momento; “yo no dormiría tranquilo sin poder supervisar mi gestión de la ciberseguridad en el mundo cloud”.

Servicios, una apuesta segura

Decíamos que cada vez hay más ataques y que son más sofisticados, que las amenazas se multiplican, igual que los vectores de ataque. Añadimos que hay falta de profesionales de seguridad. Un cóctel explosivo que dejaría a las empresas desprotegidas si no fuera por los servicios de seguridad gestionados. ¿Os están salvando la vida? “Sí. Porque nos dan la ventaja de poder hacer ciertas acciones sin tener recursos físicos en la empresa. Si yo, por ejemplo, me meto en un proyecto de SIEM y tengo que dominarlo, gestionarlo, administrarlo, tengo que crear las reglas… no llego. Me tengo que apoyar en los servicios de seguridad gestionados”.

Asegura también Javier Sánchez Salas que no hay que olvidar que los servicios de seguridad gestionados son de expertos que no sólo ayudan, sino que dan el feedback de las tendencias del mercado, y añade que, lo mismo que ocurre con el cloud, no por externalizar una parte de la seguridad significa que tengas que olvidarte, “hay que estar encima para saber lo que hay”.

A la hora de escoger fabricantes hay un buen puñado de opciones, cuando hablamos de servicios también hay que saber elegir. ¿En qué se fija Javier Sánchez Salas? “Yo lo que busco es un servicio en el que no me traten como un número más. Al final intento ir a un servicio que esté conmigo, que me acompañe. Eso es lo primero”.

De los servicios gestionados de seguridad, un mercado que pasará de los 31.600 millones de dólares en 2020 a 46.400 millones en 2025, según datos de MarketsandMarkets, pasamos a hablar de normativas y cómo hacer frente a tanta regulación: “Con cuidado, intentando entenderlas muy bien, sobre todo las que tienen sanción”, dice el responsable de ciberseguridad de HAYA Real Estate. Añade que entre las labores del responsable de ciberseguridad está la de hacer entender a la parte de negocio que la normativa “no es una idea feliz del CISO”, sino que está en el mercado y que hay que invertir, tanto desde el punto de vista económico como de esfuerzo, para adaptarse a ella.

Para Javier Sánchez Salas, “las últimas normativas ayudan. GDPR nos ayudó en muchas cosas, a avanzar en muchos proyectos y las próximas espero que sean un refuerzo para el mundo de la seguridad”.

Los imprescindibles de Javier Sánchez

“Tener cifrado todo lo que se pueda. Eso para empezar”, dice Javier Sánchez Salas cuando le preguntamos qué tecnologías de seguridad nombraría como imprescindibles. No menciona de manera explícita la seguridad perimetral (firewalls, IPS, IDS…) porque considera que es algo que se sobrentiende que se tiene que tener.

“Y algo a lo que creo que tenemos que ir todos, y los que no se hayan adaptado se tienen que adaptar, es el mundo del DevSecOps. Tenemos que ir a por DevSecOps con toda nuestra fuerza porque es adelantarnos a las vulnerabilidades antes de que salga el producto. Si tuviera que apostar por algo ahora sería DevSecOps; nos ahorraríamos mucho tiempo, mucho dinero y muchos esfuerzos”, asegura con rotundidad el responsable de ciberseguridad de Haya Real Estate.

Finalizamos la entrevista hablando de aquello que hay que mirar de cerca para protegerse de las ciberamenazas. Parece fácil: los riesgos. Pero no lo es tanto. Por eso, dice Javier Sánchez, en el mundo que nos movemos, donde cada vez hay más desarrollo, y los desarrollos van mucho más rápidos que hace diez años, que eran proyectos eternos, DevSecOps es tan importante.

Si el objetivo de DevOps fue acelerar el lanzamiento del software sin afectar negativamente la calidad de los productos, con DevSecOps se añadió la seguridad a la ecuación. DevSecOps significa que Desarrollo, Operaciones y Seguridad se convierten en una sola cosa y que la función de seguridad estará presente en una etapa temprana del proceso de desarrollo. De hecho, con la creciente complejidad de los ciberataques y la rapidez con la que pueden comprometer todo un negocio con daños a menudo irreparables en términos de mala reputación, la necesidad actual no es solo tener un código de alta calidad, sino que también debe ser seguro y protegido por una arquitectura fuerte.

Con DevSecOps, asegura el CISO de HAYA Real Estate, consigues que los desarrolladores se preocupen de que toda la seguridad esté bien desde el inicio del proyecto. Con DevSecOps, “todos vamos a vivir mucho más felices y vamos a dormir mejor”, concluye Javier Sánchez Salas.

Rosalía Arroyo