'Las empresas necesitan madurar en el área de ciberinteligencia' (Eutimio Fernández, ThreatQuotient)

Más amenazas y más sofisticadas, una situación que se ha acrecentado en los últimos años, forzando a los equipos de ciberseguridad a estar preparados no sólo para responder sino para adoptar una actitud más proactiva que los lleve a anticiparse y prevenir. La situación conduce a la adopción de Plataforma de Inteligencia de Amenazas, o TIPs (Threat intelligence Platform), que ofrecen a los equipos de seguridad la capacidad de ingerir y normalizar los datos de amenazas, enriquecerlos y analizarlos, y luego usar esa inteligencia para tomar decisiones informadas y tomar acciones más inteligentes. En pocas palabras, los TIP se utilizan para convertir los datos de amenazas en inteligencia operativa que se puede utilizar para identificar, detectar, responder y mitigar amenazas.

Se trata de un mercado incipiente, representado por un puñado de empresas entre las que se encuentra ThreatQuotient, una empresa fundada en marzo de 2013, y que acumula algo más de 65 millones de dólares en seis rondas de financiación en las que han participado, entre otros, NTT DoCoMo Ventures y Cisco Investments.

Hace unos meses ThreatQuotient aterrizaba en España y lo hacía a lo grande, poniendo al frente del proyecto a Eutimio Fernández, conocido por dirigir el negocio de ciberseguridad de Cisco, por hacer que esta empresa, grande entre las grandes en el mundo de las redes, fuera también admitida en el mundo de la ciberseguridad.

Tras más de nueve años en Cisco, donde llegó cuando esta última compró Sourcefire por 2.700 millones de dólares, aborda esta nueva etapa profesional en ThreatQuotient “con ilusión y ganas”. El mensaje que traen es claro: ayudar a las compañías a implementar la práctica de ciberinteligencia, “un área en la que las compañías están aún muy verdes”.

Le avalan más de 20 años de experiencia y conocimiento del mercado, de “entender las necesidades de las empresas y cómo se les puede ayudar”. De ThreatQuotient le atrajo una solución que ve muy necesaria por varias razones, “porque el problema es complejo, las compañías no lo tienen resuelto y es el siguiente paso en el proceso de madurez de las empresas”. Además, “es un mercado inmaduro, en el que hay que evangelizar mucho y eso me gusta”.

Dice Eutimio Fernández que el mercado está madurando, que la implementación de un SOC fue la última implantación que se realizó en cuanto a gestión de amenazas, “y nosotros queremos ayudar a las compañías a dar el siguiente paso, a una práctica de ciberinteligencia que ayude a automatizar y mejorar las tareas que se hacen en el SOC”. Dice también este directivo que la propuesta tiene mucho sentido si se tiene en cuenta que la empresas tienen mucha tecnología y dispositivos implementados “y que muchas veces mejorar la eficacia no es comprar más dispositivos, sino decirle a lo que tienes dónde tienen que mirar”.

La información está disconexa, dice Eutimio Fernández. Hay equipos haciendo Threat Hunting, otros respuesta ante incidentes, otros gestionando vulnerabilidades… La información de cada uno está en un repositorio y “hay que añadir coherencia”. Dado que los datos de inteligencia de amenazas con frecuencia provienen de cientos de fuentes, agregar esta información manualmente es una tarea que requiere mucho tiempo y dificulta lo importante: saber y clasificar qué datos son los más relevantes y útiles para su empresa con el fin de que puedan analizarlos e identificar qué amenazas son reales y cuáles no. Una tarea que está lista para la automatización.

Hasta ahora, dice Eutimio Fernández, lo habitual ha sido abordar este problema con desarrollos a medida, pero ThreatQuotient “llega con la plataforma desarrollada y montada”, que inicialmente se llevará una tipología de clientes con más madurez, “empezando por las entidades financieras; los CERT españoles, incluido el de la Administración pública, INCIBE, etc; los grandes proveedores de tecnologías y servicios, como Telefónica o Deloitte”.

¿Son conscientes de que necesitan una herramienta que ahora mismo no tienen? Aunque hay algunos clientes que tienen una herramienta similar “va a haber que educar mucho”, asegura el directivo, añadiendo que muchos utilizan estas herramientas como repositorios de información y que no les están sacando el jugo, “que es a lo que nos dedicamos nosotros”.

El valor de ThreatQ, que es la plataforma de la compañía, es que “está muy diseñada para clientes que de verdad saben de ciberinteligencia y necesitan flexibilidad para decidir qué hacer, cómo hacerlo, cómo priorizar… y tomar decisiones reales sobre sus propios datos. Qué es realmente prioritario y qué no.

Sobre el reto de implantación de la plataforma, es como la de cualquier otra. “El 80% del trabajo es analizar qué quieres hacer, qué procesos tienes y cómo quieres implementarlos. Para las empresas más maduras responder a estas preguntas es más fácil”, dice Eutimio Fernández. “Vamos a tener una tarea importante de evangelizar, de educar, de hacer comprender los beneficios de implantar una plataforma de inteligencia como la nuestra”, dice, añadiendo que la complejidad que resuelve la plataforma es lo que ha hecho que mucha gente todavía no haya hecho este tipo de implementación.