'El cloud no se hace responsable de la seguridad' (Toni García, LETI Pharma)

La figura del CISO ha evolucionado muchísimo, asegura Toni García. “Hemos pasado de ser una figura que estaba muchas veces dentro del departamento de redes, debajo del de sistemas o dependiendo de finanzas”, a ser una figura que está en el comité de dirección y reporta directamente a la presidencia de la compañía. Esta nueva situación, que es una realidad para el CISO de LETI Pharma, no es lo habitual. Asegura el directivo que los responsables de ciberseguridad de las empresas “estamos cogiendo más peso” y que algunos cambios, como el Real Decreto 43/2021 sobre la seguridad de las redes y sistemas de información que especifica que es necesaria la figura del CISO, o responsable de seguridad, en las infraestructuras críticas o proveedores esenciales, están también ayudando. Por otra parte, si bien el papel del CISO ha evolucionado mucho en los últimos 15 años, aún le queda mucho por evolucionar.

Este contenido salió publicado en el número de Abril de 2021 de la revista IT Digital Secutity. Descárgatela.

La pandemia también ha sido un impulsor de la figura y el valor del CISO. Explica Toni García que una de las cosas que normalmente la gente de seguridad suele estructurar/plantearse es que no sólo hay que tener en cuenta los problemas del día a día, sino hay que tener una visión amplia de cosas que pueden pasar “y el de la pandemia es un escenario que yo había planteado en muchas ocasiones, aunque no con este alcance. Esto ha hecho ver a los CEOs que hay una cierta preparación a riesgos del que no eran conscientes”. Continúa diciendo el CISO de LETI Pharma que esta percepción ha llevado a que muchos de los planes que se habían hecho con anterioridad “estén ganando peso e importancia”.

La empresa española está más sensibilizada hacia la ciberseguridad, “pero no del todo”, dice Toni García, añadiendo que se sigue viendo como un gasto y que esto tiene mucho que ver con el desconocimiento; “no es fácil pedirle a alguien que visualice una arquitectura de red, o un modelo de gestión de aplicaciones y que se den cuenta de que, igual que debe haber un control de acceso a la entrada del edificio, tiene que haber controles de acceso a la red”, asegura.

Tiene que ver esto con el cambio del discurso que hace años que se le pide a los CISOs. Reconoce Toni García que “nuestro lenguaje ha tenido que cambiar”, pero que al mismo tiempo se ha tenido que aceptar “porque es un lenguaje que ahora hablan los hijos de los CEOs”. Añade que el cambio importante ha sido el hecho de que no sólo los responsables de seguridad han tenido que modular su lenguaje y acercarlo más a negocio, sino que negocio también tiene que entender un poco el lenguaje de seguridad “porque ya no es un tema solo mío, es un tema de gestión de riesgos corporativos. A lo mejor no saben utilizar las palabras concretas, pero saben que estas palabras son importantes”.

Siglas para estandarizar

En un mercado tan saturado de fabricantes, de soluciones y de propuestas, ¿cómo se puede escoger? “Básicamente hay un factor que es que es crítico, que es el de toda la vida, y es el boca a boca. No es ninguna novedad que hablamos entre nosotros y evidentemente las experiencias, buenas y malas, son muy importantes, porque si no es imposible verlas todas, hablar con todo el mundo y entender la realidad de cada una de las herramientas”, dice Toni García.

Otra peculiaridad de este mercado, no exclusiva del mismo, es la pasión por las siglas. Si hace unos años se hablaba del NGFW, ahora es el EDR, o el XDR, o SASE. ¿Os lo tomáis con humor, preocupación o con ganas de aprender algo nuevo? Asegurando que “muchas veces no es un modelo nuevo” dice este directivo que “es importante que aparezcan palabras que definan conceptos y los estandaricen”. Añade que muchas veces las consultoras han visto que en muchas empresas la preocupación era la misma y cada uno lo abordaba de una manera distinta y le ponía un nombre distinto, “y cuando hablaban entre ellas no eran capaces de darse cuenta de que estaban hablando del mismo problema. Estandarizar los problemas es una buena manera para poder solucionarlos”, dice Toni García.

Servicios gestionados y cloud

“Para mí son imprescindibles los servicios gestionados porque no todos somos grandes compañías con presupuestos muy grandes”, asegura el CISO de LETI Pharma. Añade que “el servicio gestionado es el modelo de revolución industrial dentro de la seguridad que se vivió a principios del siglo anterior. Es decir, tú no puedes ser una empresa que lo haga todo, no puedes tener todo el expertise dentro de tu casa” y eso significa que necesitas externalizar, sobre todo en un entorno que cambia muy rápido, en el que las tecnologías se mueven muy rápido. Dice también Toni García que lo importante es saber “qué tiene sentido externalizar y cómo juegas con la pérdida de conocimiento que esto puede suponer”.

A la hora de elegir un proveedor de servicios gestionados, ¿también funciona el boca a boca o se espera algo más? Evidentemente hay un proceso, dice el directivo de LETI Pharm; explica que ese ‘boca a boca’ te ayuda a decidir a quién metes en la coctelera, pero que es importante que los proveedores de servicio de seguridad gestionados “aterricen los temas” y “se profesionalicen”.

¿Cómo se afronta el riesgo de seguridad que generan los empleados? Para Toni García lo más importante es la formación y concienciación de los usuarios, “pero es verdad que esperamos que hagan las cosas de una cierta manera, y eso no es siempre posible”. Dice que los usuarios utilizan la tecnología de la manera que creen conveniente y, “o les has marcado un camino muy cerrado, que eso no es adecuado porque encorsetas mucho la organización, o tienes que asumir que lo pueden hacer de una manera que tú no habías planteado” y lo que debe hacerse es formar a esos usuarios lo máximo posible y estructurar las herramientas a su alrededor. “No podemos asumir que sepan lo mismo que nosotros”, asegura el directivo.

Sobre el cloud comienza diciendo Toni García que “migrar al cloud es más fácil de lo que parece”, pero que si esa migración no está bien definida de partida “cuando vas allí, todo el mundo se olvida de la seguridad”, y que lo hay que tener claro es que “el cloud no se hace responsable de la seguridad”. Llegados a este punto plantea el directivo que, si eres una empresa tardía, que has visto lo que le ha pasado a los demás, la seguridad se plantee de base; si has sido de las que han migrado al cloud sin ese conocimiento previo, seguramente seas de las que están teniendo un problema con la adopción de la seguridad en el cloud “porque no se gestiona de la misma manera”.

Tecnologías imprescindibles

Preguntamos a Toni García qué tecnologías o servicios cree que deben ser imprescindibles para la seguridad de una empresa. Comienza señalando que al conocer las amenazas lo primero que se necesita es una monitorización y respuesta; “a todos nos gustaría tener un SOC, pero es un servicio caro y complejo porque necesitas a alguien que lo gestione”.

Metiéndonos de lleno en las tecnologías menciona que hay algunas “fantásticas”, como UBA (User Behavior Analytics), o el EDR; “hay un abismo entre un antivirus y el EDR”, asegura. Pero advierte al mismo tiempo que no se debe asumir que “como tengo un EDR no me hace falta nada más”.

Sin identificarla como importante o imprescindible, pone foco Toni García en “una tecnología que realmente estuviese basada en la identidad y no tanto el concepto de perfilado. Es decir, que me diera igual si estás en un ordenador, un móvil o una Tablet, que me diera igual dónde estés… que cuanto yo sepa que tú eres tú pueda asegurarme de que te aplico toda la seguridad que necesitas”.

Añade que el cloud nos va a llevar hacia este concepto “porque eso cambia mucho la manera en consumir servicios”. Si la clave es la identidad el usuario tendrá una capacidad infinita de acceder a sus servicios, “y la única manera que tengo de restringirlo es asegurando que quien accede es quien dice ser, y a partir de ahí da igual si lo hace desde un dispositivo u otro, siempre con las medidas adecuadas”.

Apurando los últimos minutos de la entrevista con Toni García le pregunto si espera algún cambio significativo en 2021. Comenta que la ley es obsoleta desde el punto de vista de que la tecnología no tiene fronteras, y la seguridad que hay que aplicar a esa tecnología no tiene fronteras; la ley, asegura, no se ajusta a la realidad. Y lo que espera este directivo es que, en algún momento, alguien encuentre la fórmula para adaptar esas normas obsoletas. La ciberseguridad, dice, es un problema que no vamos a poder solucionar si no puedes ir a otros países a buscar a los ciberdelincuentes que siempre atacan desde los mismos sitios.