'SASE no será algo que pase de refilón. Todas las empresas iremos en esa dirección' (Carlos Manchado, Naturgy)

Naturgy Energy Group es una empresa española que opera en los sectores eléctrico y gasístico. Su actividad se remonta a 1841, cuando la que hoy se conoce solo como Naturgy empezó a alumbrar las calles de la ciudad de Barcelona. Previamente había instalado las farolas de gas en el centro de Madrid, y después construiría la primera fábrica de gas manufacturado de España. A lo largo de los años y hasta la actualidad se adentró en el mercado de la electricidad, se fusionó con varias empresas y cambió de nombre hasta el actual, adoptado un 27 de junio de 2018, cuando una Junta General de Accionistas acordó que Gas Natural Fenosa pasara a denominarse Naturgy Energy Group. Actualmente la compañía es una de las principales distribuidoras de gas y electricidad del mercado de Iberia, opera en otros nueve países europeos y suma casi doce mil empleados, todo ello protegido bajo la coordinación de Carlos Manchado, CISO de Naturgy desde hace casi tres años y con experiencia en consultoras de la talla de Deloitte y Accenture.

Este contenido salió publicado en el número de Enero de 2020 de la revista IT Digital Secutity.

Capacidad técnica, capacidad estratégica y capacidad de gestión son, en opinión de Carlos Manchado, las grandes cualidades que debe tener un buen CISO. Explica que un responsable de ciberseguridad debe tener capacidad de trabajar en distintas dimensiones, incluida la operativa, “y eso requiere tener un gran conocimiento técnico para para poder entender distintas problemáticas, amenazas e incidentes”. Añade que “para tomar decisiones estratégicas, y dada la naturaleza de la exposición, con un escenario de amenazas muy agresivo y dinámico, o tienes el conocimiento técnico o te asesoras muy bien”. Tener conocimientos técnicos no parece a priori una tarea fácil si tenemos en cuenta la rapidez con la que evoluciona la tecnología; al respecto dice Carlos Manchado que su trabajo “tiene tanto de profesión como de pasión” y que para desempeñar bien esta labor “no solamente vale ser disciplinado y tener conocimiento, sino que te tiene que gustar, te tiene que apasionar”.

Hablando de estrategia asegura el CISO de Naturgy que hay que tener muy claro hacia dónde quieres ir, cuál es la dirección, “aunque el escenario sea muy dinámico” tanto a nivel de ciberamenazas como regulatorio.

Planteamos si la ciberseguridad se ha convertido en una prioridad dentro de las empresas españolas, sobre todo después de todos los cambios que se han producido a raíz de la pandemia. Para Carlos Manchado “aunque no ha alcanzado la posición que por naturaleza debiera tener, sí que se piensa más en la seguridad”. Los diferentes incidentes que copan los titulares cada semana han ayudado a ello, así como desafíos como el que ha generado la COVID-19, que “ha supuesto un impulso para la transformación digital, para todas las iniciativas de movilidad y por supuesto, para el tema de ciber”, asegura Carlos Manchado añadiendo que mientras los malos han convertido la pandemia en un caldo de cultivo, “las empresas nos hemos tenido que poner a correr”, algo que se ha percibido en los consejos y en la dirección general de las empresas.

Durante años la relación entre el CIO, o responsable de TI, y el CISO, ha sido tirante. ¿Ha cambiado esa relación? Reconoce Carlos Manchado que “sobre el papel hay un claro conflicto de interés”, porque el CIO va a velar por la funcionalidad, la usabilidad y la disponibilidad de las aplicaciones, y el CISO por la ciberseguridad o la seguridad de la información de las aplicaciones en las plataformas, “y cuanto más seguro es algo, más complejo, y más difícil para los usuarios”. En todo caso, y a pesar de ese conflicto de interés, parece que la relación entre ambas figuras ha mejorado “porque al final se están dando cuenta de que el escenario actual es el que es, es el que vemos en las noticias”.

También hablamos con Carlos Manchado sobre la adopción del cloud. Asegura el CISO de Naturgy que “entre algunas compañías y personas hay una falsa creencia de que el cloud es seguro de por sí”, independientemente de que detrás haya un gran proveedor. Lo habitual es que se ofrezcan controles de seguridad básicos y que sean los clientes de ese proveedor cloud los que tengan que completar esos controles. Esa falsa sensación de seguridad es “para mí, donde radica el problema” porque “sí que hay un tendencia al cloud, que tiene cosas buenísimas, pero todos deberíamos tener en la retina que el cloud por defecto no es seguro”.

¿Cómo se está abordando el tema del IoT dentro de Naturgy?

“La hiperconectividad que nos trae IoT es impresionante”, dice Carlos Manchado, añadiendo que hay que tener en cuenta conectividades como 5G, SD-WAN… En Naturgy por el momento se están definiendo arquitecturas y marcos “para que las cosas que se hagan bien desde el principio”. Apunta este directivo que en el caso del IoT “tendrían que ser los propios fabricantes los que nos ayudan a securizar esos elementos desde el principio, porque si no, es muy difícil”.

Hablar de IoT no sólo es hablar de los dispositivos, sino de la red y la arquitectura en su conjunto, incluidas las plataformas que están al otro lado gestionando los datos, “y aunque nosotros intentemos plantear todo bien de cero, si uno de los elementos no es securizable, es bastante más complejo”. Para Carlos Manchado “es necesario una estandarización de los distintos dispositivos para que tengan cierta certificación y cumplan ciertas medidas de seguridad”, además, “los reguladores deberían establecer ciertos criterios y hacer de obligado cumplimiento algunos controles”.

Servicios y Tecnologías

“Se puede internalizar algunas partes de la ciberseguridad que son clave”, dice Carlos Manchado, pero “siempre vas a tener un servicio o varios servicios gestionados de seguridad”.

Aceptado que los servicios de seguridad gestionados se han vuelto imprescindibles para la labor de un CISO, dice el de Naturgy que requieren tener cierta calidad; “yo siempre digo que un servicio gestionado de seguridad es tan bueno como tú quieras hacerlo y querer hacerlo requiere esfuerzo, dedicación, porque lo tienes que moldear para que encaje con la cultura y la forma de proceder de tu compañía”.

Preguntamos a Carlos Manchado cuáles son, en su opinión las tecnologías imprescindibles a día de hoy. Menciona el primer lugar el EDR (Endpoint Detection and Response) “por el modus operandi de los ciberdelincuentes”; dice además que no sólo se trata de un EDR, sino que tenga un servicio por detrás “que lo opere, explote y gestione de manera adecuada”, o lo que es lo mismo un MRD (Managed Detection and Response). Por cierto, “si además de un MDR tienes un servicio de Threat Hunting, fenomenal”.

Otro elemento importante para el CISO de Naturgy es la protección de la navegación (proxy cloud, Security Gateway…), “es decir controlar muy bien dónde navegan los usuarios y saber qué traen y qué llevan esos flujos de red. Es una segunda capa que se complementa muy bien con el EDR, el saber qué está pasando”.

Si tuviese un talón en blanco, y el tiempo no fuera un problema, Carlos Manchado apostaría por… “una arquitectura SASE / Zero Trust clarísimamente”. Explica el directivo que llevamos décadas utilizando lo mismo y de la misma manera, “aunque haya habido mejoras y nuevas versiones”; está convencido de que “hay que cambiar el paradigma” y optaría por una arquitectura SASE con una gestión centralizada donde se apliquen todos los controles, desde la protección contra amenazas, fugas de información, temas de CASB… exactamente lo mismo a un ordenador corporativo de un interno que a una tablet  de un externo”. SASE, asegura Carlos Manchado, “no será algo que pase de refilón, y todas las empresas iremos para allá. Así como Zero trust”.

Después de un año 2020 movidito, ¿qué se espera de 2021? “Que podamos consolidar todo lo que se ha hecho de manera precipitada en 2020”, dice Carlos Manchado, añadiendo que “no hay varitas mágicas para hacerlo en tan poco tiempo y que esté perfecto”.

Rosalía Arroyo