'Las empresas no pueden ser negligentes en la gestión de dato' (Francisco Valencia, Secure&IT)

  • Entrevistas

Francisco Valencia, Secure&IT

Conciso, con las ideas claras y un tanto irreverente. Así es Francisco Valencia, CEO de Secure&IT, la empresas que fundó hace más de 10 años, ?con un maletín, un portátil y un tarjetero de contactos?. Tuvo claro desde el principio que lo suyo iba a ser la ciberseguridad cuando detectó un nicho importante de ?empresas que no estaban siendo atendidas?. Había oferta para la gran cuenta, para el mundo telco, las administraciones públicas, incluso las micro-pymes tenían algo, ?pero las empresas medianas se las tenían que ingeniar porque no había una oferta clara para ellos?.

Por aquel entonces apenas había en el mercado empresas que ofrecieran servicios de ciberseguridad, “y durante un tiempo nos vimos solos y con un mercado por adoctrinar”, recuerda Francisco Valencia. La situación actual es diferente porque la ciberseguridad está en los telediarios y hay una mayor preocupación, se van haciendo cosas, el mercado está intentando comoditizar la seguridad, a pesar de que “esto es un servicio que no es fácilmente comoditizable”.

Sobre el coste de la seguridad, tiene claro Francisco Valencia que de lo que se trata es de “en qué momento te encuentres cómodo con la seguridad que tienen”, y esto se puede hacer de dos formas, la empírica o haciendo un análisis de riesgos de forma que incluso se puedan comparar los riesgos de ciberseguridad con otros riesgos como los financieros, los humanos, los geopolíticos, etc.

Este contenido salió publicado en el número de Enero de 2020 de la revista IT Digital Secutity.

Aunque ahora hay una mayor preocupación por la ciberseguridad, y se vayan haciendo cada vez más cosas, “históricamente nuestro mejor comercial ha sido el legislador”, responde Valencia cuando le preguntamos qué tipo de servicios de seguridad se demandan. Añade que “la gente le tiene más miedo a la multa que a lo que le pueda pasar”, cuando en realidad “el impacto de un ciberataque es mayor que una sanción administrativa”.

Frente a la pregunta, tristemente repetida, de “¿qué es el mínimo que tengo que hacer para cumplir la ley?”, dice Francisco Valencia que las empresas tienen que aprender a que “la ley lo que pretende es defender ciertos activos, algunos tuyos y otros de terceros, y que tú deberías preocuparte por proteger los activos entendiendo el riesgo como propio”.

Hablar de leyes es hablar de RGPD, que tuvo un impacto importante y generó muchos proyectos de seguridad, pero ya se está enfriando el miedo y se ha vuelto a la normalidad. El impulsor ahora, es “el miedo a ser atacado”, siendo el mayor el miedo a los ataques internos; “la gente tiene más miedo a que un empleado robe datos que a que un tercero venga y se los lleve”.

A nivel tecnológico explica Francisco Valencia que se ha pasado de proteger redes y sistemas, con firewall y antivirus, a la protección del dato con soluciones de criptografía, de IRM, DLP: “después de pasó a proteger al usuario” con soluciones de protección del endpoint, de MDM para los móviles, etc., “y ahora hemos tenido que trabajar en la protección de amenazas avanzadas, que nos ha dado un empujón grande”. Al mismo tiempo, “se ha tenido que avanzar hacia la protección de un entorno divergente en el que la información está distribuida”.

Este entorno divergente no es otro que el híbrido. “Todo el mundo tiene cloud, lo que pasa es que no es consciente”, dice Francisco Valencia, y añade que el reto es “cómo protejo tu información si tú mismo la estás esparciendo por un montón de sitios que son difíciles de proteger, y que además parten de la premisa de que nos han vendido que son seguros”.

“Hay un montón de servicios cloud y todas las empresas están en la nube. Y quien diga que no, miente”; dice también Francisco Valencia que se ha pasado esta fase de desconfianza, pero que hay que tener en cuenta que “el proveedor cloud se protege, no te protege, y eso es proteger la caja, no el dato. Y las empresas no pueden ser negligentes en la gestión de dato cuando se le da a un tercero del que no saben nada. No puedes pensar que tu empresa no tiene responsabilidad legal por el hecho de que te hayan subido a la nube”.

Entre los proveedores cloud, dice también Francisco Valencia, hay una asignatura pendiente, que es la “interoperabilidad de nubes”. Reconoce que los proveedores cloud tienen sus propios intereses de mercado, pero que estaría muy bien “que estuvieses en una nube y pudieras migrar a otra de una forma sencilla. Y eso no ocurre”. No será fácil, “pero al final el mercado les terminará obligando porque las empresas sí que tienen esa necesidad”. Añade que deben confiar más en los proveedores de seguridad cloud “como nosotros o empresas de nuestro color”.

Para complicar aún más las cosas, se añade el mundo OT/IoT. Sobre este tema dice el CEO de Secure&IT que “todo el mundo está intentando hacer un dispositivo de IoT, se dediquen a lo que se dediquen”, y que “esos dispositivos, que cuestan dos o tres dólares, son un gran agujero de seguridad”. Esta problemática lleva a Secure&IT a estar trabajando en una norma para recomendársela a sus clientes y “con la que pretendemos que todas las compañías que fabrican dispositivos conectados hayan pasado una prueba, una auditoría; de forma que se tenga información precisa de lo que ese dispositivo va a hacer. ¿Te atreverías a securizar un entorno IoT? Lo que tiene que hacer quien va a ofrecer el servicio es pasar unas pruebas de homologación al producto que compra, de forma que esté testado y tenga un mínimo de seguridad. Dice además Francisco Valencia que esto es algo que el mercado va haciendo poco a poco y que “no creo que tarde mucho en regularse por el daño que esto hace a terceros”.

Nuevas tendencias

Ahora todo es Zero Trust y somos SASE Believers. ¿Cuán cerca de la realidad, del día a día de los negocios, están este tipo de tecndencias? Habla Francisco Valencia de utopía. Sobre el concepto de Zero Trust, que dice que todo es malo menos lo que sepas que es bueno, asegura que “es una utopía porque lo que sabes que es bueno puede no serlo del todo, y lo que piensas que es malo seguramente tampoco lo sea”. Reconoce que “como modelo está muy bien, como meta para ir dando pasos, y como concepto de marketing es genial, pero es una utopía. Jamás alcanzaremos el Zero Trust, igual que jamás alcanzaremos la confidencialidad, son como el horizonte”. Finaliza diciendo: “nunca llegarás pero cuando más cerca mejor”.

Sobre el EDR (Endpoint, Detection and Response), otra de las grandes tendencias del mercado, dice que ya se están haciendo cosas y que hay muchos clientes con esta tecnología, “pero lo que no entienden es qué hay detrás del EDR, de lo que significa esa etapa de responder a un incidente”. Menciona que en ocasiones lo que hay detrás está vacío, y que también hay mucho marketing; “Si en realidad quieres la ‘R’ de respuesta tienes que ser capaz de poder parar la infección y poder actuar, y eso parte de que el antivirus pueda reconocer el malware y pararlo. Si es capaz de pararlo, el EDR vale para poco, y si no, tampoco vale para mucho, de forma que al final estamos siempre sujetos al antimalware en el puesto de trabajo”.

Hablar de Threat Hunting es distinto “porque cuando integras dentro de un motor de inteligencia único todas las amenazas de tu empresa, y no lo sujetas a un único fabricante, y vas a investigar en tiempo real todo lo que está haciendo tu organización para detectar que tienes una amenaza dentro de la red justo en este momento, que es lo que se hace con un SIEM bien montado, sí que te permite detectar la amenaza”. Añade en todo caso, que “el trabajo de ir a un cliente con sus sistemas, que nos mandan la información que realmente nos tienen que mandar, que nosotros hagamos el análisis que de verdad tenemos que hacer para identificar qué es una amenaza y qué no lo es, es un trabajo que lleva tiempo y no es automático”.

Y aunque, como nos recuerda Francisco Valencia, eso de la deception technology existe de toda la vida, que las honeypots y las honeynets no son nuevas y se utilizan desde hace tiempo en sectores como la banca y aseguradoras, también hablamos con él de esta “nueva tecnología”. Dice el directivo que la entrada de nuevas empresas “que han profesionalizado las honey” está revolucionando un poco el sector; que la deception “no está mal como una herramienta que ayuda al theat hunting” porque son capaces de detectar amenazas en tiempo real; y que en realidad lo que hace es “poner de manifiesto que ni el EDR ni el Threat hunting funcionan bien porque al final necesitas ponerle la trampa al hacker.

Sobre los cibecriminales, dice el fundador de Secure&IT que son ahora más inteligentes, que “ninguno intenta meterte un bicho si no lo ha probado antes en VirusTotal”, y que las sandbox, que una vez fueron tan necesarias “han dejado de tener tanta relevancia porque es muy fácil evadirlas”. Sobre esto último explica que es cuestión de mantener el proceso en ejecución el tiempo suficiente, media hora, un día, hasta que la sandbox, viendo que no hace nada, lo dé por bueno; aunque hay muchos otros trucos.

Fabricantes

“A los fabricantes les doy mucha caña”, dice Francisco Valencia sin pelos en la lengua. “Sí que es verdad que hacen bien su trabajo, y que tienen buenas soluciones, pero también es verdad que los ciberdelincuentes no son tontos y cuando [los fabricantes] vienen contando magia me enfada porque el esfuerzo que nosotros hacemos como integrador también es difícil”.

Menciona también cómo en empresas más pequeñas se vende el cifrado como la panacea del cumplimiento de GDPR, por ejemplo, generando así una falsa sensación de seguridad porque algunos fabricantes les venden que con eso cumplen las normativa, cuando no es verdad.

Metiendo el dedo en la llaga repito a Francisco Valencia una frase escuchada a un fabricante: “El MDR es el resultado del fracaso del canal”. El contexto: la incomodidad de algunos canales por la determinación de algunos fabricantes de dar servicios de EDR, o un EDR gestionados, que no es otra cosa que el MDR (Managed Detection and Response). Afirmación del fabricante: “al final hemos tenido que desarrollar el servicio porque el canal no ha sido capaz de hacerlo. El canal sigue sin aportar valor”.

El CEO de Secure&IT responde con honestidad: “Estoy lamentablemente de acuerdo con ellos. El problema es que no existe un adecuado canal de ciberseguridad en España. Los canales que hay son informáticos. Quien ha vendido tradicionalmente el antivirus ha sido el canal informático, y cuando se le mete la capa de EDR y de MDR, ¿quién la sigue vendiendo?, el canal informático. Y en este canal aún no hay conciencia de seguridad gestionada”. Añade que, para empresas como la suya, el que los fabricantes se hagan cargo de dar el servicio de seguridad sí que hace daño, “pero reconozco su parte de razón”. Finaliza diciendo que tanto el mercado como los fabricantes tienen que darse cuenta de que “la informática y la seguridad son cosas distintas”.

Previsiones 2021

“2020 ha sido bastante desastroso y espero que en 2021 se ejecuten mucho proyectos que se han quedado parados porque las empresas han estado haciendo otras cosas”, dice Francisco Valencia. En 2020 les ha ido muy bien a las empresas que venden cosas asociadas al teletrabajo mientras en la tele se hablaba de coronavirus y de seguridad; las amenazas han crecido este año, “por lo que es de esperar que haya más proyectos de seguridad en 2021”.

Los ciberdelincuentes también han estado confinados con sus ordenadores “y creo que va a venir una campaña de ransomware complicada que no sólo te va a cifrar los datos, sino que amenazará con publicarlos”. También espera el CEO de Secure&IT muchas amenazas asociadas a IoT, así como una mayor profesionalización de los ataques de ingeniería social “porque ataques como el fraude al CEO son tremendamente rentables”.

De cara a 2021 Secure&IT incidirá en sus servicios de SOC. La compañía cuenta con dos centros de seguridad, uno en Madrid y otro en Arrasate  (Gipuzkoa) que da servicio a un montón de empresas, muchas vascas, y ha permitido avanzar en el mercado de servicios de ciberseguridad industrial, “donde queda mucho por hacer”.

Asegurando que “si hay un problema con las empresas de seguridad es la captura y retención del talento”, dice Francisco Valencia que “pretendemos que Secure&Academy sea un dinamizador de talento en el mercado, lo tenga quien lo tenga, pero al menos que haya perfiles formados”.

Sobre el SIEM de la compañía, “sigue siendo nuestro gran desarrollo. El haberlo hecho nosotros y haberlo hecho a medida de los datos que recibimos le convierte” en un producto de referencia en el mercado.

Rosalía Arroyo