'Los CISOs nos hemos dado cuenta de que la preparación al final del día compensa' (Fermín Serna, Citrix)

Fermín Serna es el CISO de Citrix, una empresa con más de 30 años de vida, muchos para un mercado tan cambiante como el tecnológico. Antes de este rol fue el CISO de una empresa llamada Semmle a la que llegó después de dedicar más de diez años a realizar diferentes tareas de ciberseguridad en Google y Microsoft. Lo primero que preguntamos es qué retos tiene el CISO de una empresa que satisface un alto porcentaje de sus necesidades de TI y seguridad gracias a su oferta en torno al puesto de trabajo, incluidos la gestión de accesos y de endpoints, SD-WAN o analítica. “Ser CISO ya es difícil de por sí”, asegura el directivo añadiendo que ser CISO de una empresa de seguridad tiene dos componentes, “proteger nuestra empresa y ayudar a proteger a otros”.

Este contenido salió publicado en el número de Mayode 2021 de la revista IT Digital Secutity. Descárgatela.

En todo caso prefiere “poner un poco en contexto a qué es esto de ser un CISO”, un trabajo sobre el que asegura que es uno de los más complicados del mundo de la tecnología, entre otras cosas porque “te estás defendiendo incluso de cosas que desconoces”, y porque hay una falta de equilibrio entre el mundo ofensivo, de los atacantes, y el defensivo, que somos nosotros. Como ejemplo de esto último los 150 millones de dólares que un ciberdelincuente ganó a través del ransomware el año pasado, una cifra que según Serna tiene dos impactos: en primer lugar un ‘efecto llamada’ que hace que aumente el número de ciberdelincuentes; y en segundo lugar el alcance en la escala de operaciones, que pueden ir no ya contra 20 o 30 empresas, sino contra miles. Todo ello “a no ser que nosotros, los CISO, podamos proteger materialmente a las empresas, y a nuestros clientes y usuarios”.

El de la ciberdelincuencia es un mercado en alza. Ha evolucionado desde los primeros hackers que buscaban casi por prestigio y rebeldía adentrarse en las empresas y probar qué impacto tenían los virus a ser auténticos profesionales organizados que también utilizan avances como el machine learning o el cloud para ser más eficientes. La dificultad de perseguirlos hace que sea complicado acabar con una industria tan rentable.

“Estamos siendo atacados por organizaciones, pero el rol del CISO es proteger a las empresas, no ir detrás de los ciberdelincuentes”, dice Fermín Serna, añadiendo que tras un ataque lo primero es entender lo que ha sucedido, minimizar el incidente y, si hay filtración de datos comunicarlos a las autoridades, “que son las que tienen que hacer el trabajo siguiente, que es llegar hasta el cibercriminal. Y es un problema muy difícil porque la atribución en Internet en un problema complicadísimo”.

Zero Trust y SASE

Preguntamos a Fermín Serna cuál es la aproximación de Citrix en torno al Zero Trust, un concepto que no es nuevo. Fue acuñado hace unos años por el vicepresidente y director general de Forrester John Kindervag, pero está ganando cada vez más tracción y despertando el interés de las empresas, y eso es porque “hay una necesidad nueva”, dice el CISO de Citrix.

Echando la vista atrás, explica que en 2019 ya se veían dos transformaciones. Por un lado una tendencia a trabajar fuera de la oficina, tanto desde casa, como a conectarse desde un cibercafé, o en el aeropuerto; “de alguna forma la gente ya estaba trabajando un poco en remoto, bien sea horas o permanentemente”. La segunda transformación, continúa Serna, es que todas estas aplicaciones, todos estos servicios que antes estaban en oficinas están en el cloud, “de forma que todos los controles de seguridad que se han puesto de antimalware, de firewall, de detectores de intrusión… no quiero decir que sean obsoletas, sino que no se aplican para ese modelo de trabajo”.

Y es ahí donde el concepto de Zero Trust encaja, porque lo que se necesita es una seguridad contextual que responda a cada petición de acceso teniendo en cuenta que el usuario tiene, o no, las credenciales válidas, que accede desde una localización lógica, que lo hace desde un dispositivo que está convenientemente protegido… “y en base a ese contexto es cuando yo apruebo esa petición, o decido no aprobarla porque aunque tengas unas credenciales válidas la petición me está viniendo desde Nigeria y me está viniendo a las 3 de la mañana, o incluso esta petición viene con credenciales buenas desde España, pero el portátil tiene algún problema y no permito el acceso”.

En definitiva, no es que las empresas se están dando cuenta ahora que Zero Trust es una estrategia de seguridad necesaria, sino que los tiempos y las tecnologías evolucionan, que la gente trabaja desde casa, que cada vez se mueven más cosas al cloud “y hay que buscar alternativas a los antiguos problemas de seguridad”.

¿Cómo puede Citrix ayudar a sus clientes a llevar a cabo una estrategia Zero Trust? “Cuando vamos a un cliente, lo primero que hacemos es entender qué problema están intentando solucionar”, dice Fermín Serna, mencionando que puede ser tanto gestionar el trabajo remoto de forma segura como afrontar la integración de dos empresas tras una adquisición.  En este caso se necesita conectar al personal, pero puede hacerse mediante la apertura de mi firewall y mi VPN, “que es una opción obsoleta porque estás exponiendo toda tu red perimetral”, o utilizar otro tipo de soluciones como es el Virtual Desktop o Virtualized Applications con los que “puedes proveer un acceso seguro a los nuevos empleados” para que desde unos portátiles que no están gestionados puedan seguir trabajando de forma segura”

Tras hablar de Zero Trust nos adentramos en el mundo SASE (Secure Access Service Edge), otro concepto que está despertando un enorme interés en el mercado. Asegura Fermín Serna que se trata de un concepto muy interesante que también se ha visto impulsado por las dos transformaciones que se mencionaban antes: migración al cloud y trabajo en remoto. Explica Fermín Serna que SASE se puede dividir en dos grandes componentes: Secure Web Gateway, que es un proxy en el cloud donde se lleva todo el tráfico y se limpia; y  el CASB, o Cloud Access Security Broker, que permite poner restricciones al cloud, como establecer que desde los portátiles de la empresa se pueda ir a Google Drive, pero solo a la carpeta corporativa. “Y esto tiene sentido, y lo va a tenar cada vez más”.

CISOS y Pandemias

¿Qué crees que han aprendido los CISOs de la pandemia? Responde Fermín Serna que los CISO han aprendido varias cosas. Una de ellas es adaptarse muy rápido, “como ha sido el tener que implementar herramientas de colaboración y videoconferencia rápidamente sin que a veces se tuviera muy claro cómo compartir archivos de forma segura con herramientas como Zoom.

Además, los CISOs “se ha dado cuenta de que la preparación al final del día compensa. Todos esos años de controles, de planes contingencia, de hacer las cosas bien tiene su sentido en situaciones como las que hemos vivido”.

Y Citrix, ¿qué ha aprendido de la pandemia? “Que somos una empresa que podemos ayudar. Somos una empresa que proveemos acceso seguro a aplicaciones y desktops, proveemos servicios para el trabajo donde quiera que estés y hemos ayudado a muchas empresas a través de nuestras soluciones, a través de nuestros servicios y a través de nuestros consejos”.

En medio de la revolución de la seguridad endpoint hacia el EDR, del empuje de herramientas como el threat hunting, el NDR, XDR o los SIEM de nueva generación, ¿cuál crees que será el siguiente campo de batalla en la seguridad? “Yo creo que nos estamos quedando ya sin acrónimos”, empieza contestando Fermín Serna para a continuación comentar que el gran problema del mercado de seguridad es el factor humano; “los equipos de seguridad tienen que meter la seguridad en la cultura de la empresa, que el usuario haga su trabajo consumiendo seguridad sin saber que la está consumiendo y tomando decisiones de seguridad acertadas”. Es lo que conoce como Seguridad Invisible.