'En seguridad la heterogeneidad es compleja de gestionar, y sobre todo de financiar' (Jesús Alonso Murillo, Ferrovial Servicios)

No hace mucho que Jesús ha estrenado su puesto como CISO de Ferrovial Servicios después de gestionar la seguridad y el riesgo TI en BBVA. Estar al día en tecnología es una de las cualidades que debe tener un buen CISO, asegura, además de “estar cerca de negocio” para, entre otras cosas, hacerles comprender “por qué alguna vez les dices que no y otras veces les pones trabas”.

Este contenido salió publicado en el número de noviembre de 2020 de la revista IT Digital Secutity. Descárgatela.

A la pandemia sanitaria se le hizo frente “como todos, corriendo un poco”. Nadie se esperaba tener a toda la plantilla trabajando en remoto, que al mismo tiempo algunos pidieran trabajar en la oficina para abordar determinados proyectos, o que, al menos en los inicios, hubiera cierta necesidad de estar continuamente conectado a sistemas de videoconferencia.

Sobre si la seguridad ha dejado de considerarse un gasto, asegura Jesús Alonso que en realidad es una inversión porque “sin seguridad, no somos competitivos, y un incidente puede hacernos perder toda nuestra reputación y exponernos a multas millonarias”. En todo caso, no es la realidad española, donde más allá de sectores fuertemente regulados, “se sigue viendo como un gasto, dado que la seguridad total no existe, y siempre es necesario más presupuesto”. Añade también el CISO de Ferrovial Servicios que la realidad es que mientras a los responsables de ciberseguridad les cuesta defender los presupuestos, a los cibercriminales cada vez les cuesta menos financiarse; “no hay más que ver la capitalización del Ramsonware que existe últimamente”.

“La heterogeneidad es difícil de gestionar, y sobre todo de financiar”, apunta Jesús Alonso cuando le preguntamos cuáles son los grandes problemas de ciberseguridad a los que se enfrenta Ferrovial Servicios. “Necesitamos balancear diferentes soluciones y tecnologías para servicios y proyectos muy complejos, así como para otros más sencillos, pero igual de expuestos”, añade el directivo. Esos problemas, por cierto han cambiado en la pandemia, cuando el teletrabajo “y los entornos que teníamos perimetrados han perdido el sentido”.

Aunque los estudios señalan un aumento del 430% en los ataques contra la cadena de suministro ser parte de esa cadena no le quita el sueño a Jesús Alonso Murillo. Dice que nadie está fuera del foco de los ciberdelincuentes y por tanto proteger y protegerte como parte de la cadena de suministro “forma parte del día a día”. La clave, añade, “es tener monitorizados tus sistemas, hacer análisis diarios y que te des cuenta de lo que está pasando”, que no es poco. En todo caso, en Ferrovial Servicios “revisamos y tenemos control de la cadena de suministro, de aquellos proveedores que nos dan servicio, a los que damos servicio,y a las tecnologías asociadas a los servicios que prestamos y las que nos prestan”. En definitiva, se tienen controles tanto técnicos como a través de contratos con cada uno de ellos.

La situación, aclara, lleva a que “cuanto más extiendas el perímetro, tanto para el trabajo del usuario final, el endpoint, como para la cadena de suministro de los servicios que prestas, más complicado es la protección. Pero hay mecanismos para tratar de apantallarlo y cortarlo antes de que se extienda”.

Un cloud seguro

Un buen contrato es, según la experiencia de Jesús Alonso, la mejor manera de abordar la nube de manera segura. Dice el directivo que en ocasiones la tarea no es sencilla, pero que la mejor garantía es  contar con un buen contrato “que te permita revisar y supervisar los controles y seguridad que tiene dicho entorno”, además de pedir las certificaciones necesarias, revisando bien el alcance de las mismas, para asegurarnos que se aplican los controles adecuados”. Por último asegura que es importante “poder revisar periódicamente con nuestros equipos de defensa interna dichos entornos (hasta dónde nos dejan), para revisar el punto de compromiso de los mismos”.

La concienciación de los usuarios es la “tecnología” de seguridad imprescindible en cualquier empresa. “Sin esa ‘tecnología’, el resto no sirve para nada”, afirma el CISO de Ferrovial Servicios. Explica que si no nos damos cuenta de que no podemos trabajar con información en local, compartirla en un cloud público, enviarla por correo, sacarla en un pendrive, abrir una web de dudosa procedencia… el resto de tecnologías son “detectivas” y “preventivas”, pero la experiencia nos dice que donde hay una persona tiene que haber conciencia de seguridad.

En todo caso, Jesús Alonso apuesta por los mecanismos de monitorización, detección y respuesta, así como análisis de comportamiento o parcheo de vulnerabilidad. Y aunque no como tecnología de seguridad, apunta como útiles las tecnologías de isolation, o de IRM, “muy útil de cara a la información que maneja el usuario”.

Si tuviera un talón en blanco, ¿qué tecnología le gustaría implementar? “Inteligencia artificial y Deep learning en el análisis de logs e información que recogen los sistemas para prevenir ataques que no existen en patrones de forma proactiva”, concreta el directivo añadiendo que algunas de estar tecnologías aún están en fase de estudio pero que si pudiera implementarlas “me parecería algo muy divertido de hacer”.

A punto de acabar de año, la última pregunta que le hacemos a Jesús Alonso Murillo es si espera que haya algún cambio significativo en 2021 en torno a la seguridad. Tiene claro que el cambio lo estamos viviendo, “y es en torno al trabajo en remoto, y la descentralización total, que ha venido para quedarse; la tecnología hemos visto que nos acompaña, y la seguridad, existe. Ahora tenemos que convivir con ambas endureciendo los controles, para un trabajo en remoto, menos esporádico y para más usuarios”.

Añade que la vuelta a las oficinas será parcial y que contar con una licencia por usuario para el acceso remoto no va a ser una excepción, “va a ser sí o sí a partir de ya”.