'No conozco ninguna herramienta única que realmente te ayude a hacer una gestión de la parte cíber más sencilla' (Alejandro Sánchez es el CISO de SEAT)

La figura del CISO ha cambiado bastante, tanto como la propia evolución del mercado y el concepto de la seguridad. Hace unos años se hablaba del IT Security y ahora se habla de la Information Security, dice Alejandro Sánchez, CISO de SEAT, añadiendo que dentro de la parte de Security no sólo se contempla la parte del hardware, sino los riesgos, cómo afecta a la empresa la ciberseguridad, “con lo cual se ha convertido en un pilar básico desde el punto de vista de negocio”. Por otra parte, el hecho de que todos los datos de la compañía estén cada vez más distribuidos refuerza la posición del CISO dentro de las compañías. Sobre el futuro del responsable de ciberseguridad en las empresas, dice Alejandro Sánchez que cada vez tendrá más peso con el objetivo de gestionar la seguridad del dato y la identidad.

Este contenido salió publicado en el número de Mayo de 2021 de la revista IT Digital Secutity. Descárgatela.

El de seguridad es uno de los mercados más fragmentados. Hay, literalmente, decenas de fabricantes por cada capa de seguridad que se tiene que implementar. Dice Alejandro Sánchez que escoger es complejo porque en medio de un gran abanico de fabricantes “siempre hay uno que te da una mini funcionalidad que te va muy bien en un caso determinado, pero que los otros no cumplen”. La clave es la “sostenibilidad”, asegura el directivo hablando de la complejidad de tener un montón de sistemas totalmente diferentes que se tienen que gestionar; se prioriza por tanto “la sostenibilidad de las soluciones y que haya una convergencia. Por ejemplo, si estás implementando un tema de DLP intentamos buscar una solución que te cubra todos los aspectos, tanto el aspecto on-premise, el aspecto del endpoint y el aspecto del cloud en lugar de tener tres soluciones” con el fin de reducir la cantidad de herramientas que se tienen, a pesar de que en seguridad “hay casos de uso en los que es bueno tener dos soluciones diferentes que hagan lo mismo”.

La sostenibilidad que menciona el CISO de SEAT hace frente a la etapa del “Best of Breed” por la que pasó la industria tecnológica hace unos años. La rápida evolución de las tecnologías y soluciones, el avance de las amenazas, llevó a optar por lo mejor de cada casa, lo que aumentó la complejidad de la gestión y una demanda de automatización que llega hasta nuestros días. El ciclo parece estarse cerrando con la propuesta de arquitecturas de seguridad abiertas en las que integrar herramientas de propios y extraños que faciliten la visibilidad y control de la ciberseguridad. “Yo no conozco ninguna herramienta que realmente te ayude a hacer una gestión de la parte cíber más sencilla”, asegura Alejandro Sánchez, añadiendo que “al final tienes que tocar diferentes tecnologías, ir con cuidado y priorizar esa sostenibilidad”.

Sobre la sensibilización de la empresa española hacia la seguridad, dice el CISO de SEAT que, a pesar de que la concienciación y la sensibilización han crecido, aún queda mucho camino por recorrer, sobre todo en ser conscientes de los datos, en saber dónde los tienes o que los estás dando cada vez que instalas alguna aplicación en el móvil, por ejemplo.

En cuanto a los servicios gestionados de seguridad, está de acuerdo el directivo de SEAT en que sí son necesarios, pero no en su totalidad. “Yo no soy partidario de un 100% de servicios gestionados, porque al final el que más interés va a tener en gestionar tu seguridad eres tú. Creo en los modelos mixtos”. Destaca la inteligencia como elemento a tener en cuenta en un servicio gestionado explicando que las compañías generan inteligencia, entre otras cosas de los productos que tienen instalados, pero hay que tener en cuenta que los servicios gestionados tratan diferentes clientes, “y por tanto la inteligencia que un proveedor de servicios puede recolectar es mayor que la tuya como empresa individual, y ahí sí que creo que aporta un valor añadido considerable”.

Seguimos lanzando preguntas a Alejandro Sánchez, ahora en torno al impacto del elemento humano y la cadena de suministro en la seguridad empresarial. Recordamos que el impacto de SolarWinds sigue coleando meses después de haberse producido la brecha, y que por el camino se han visto impactadas otras empresas de seguridad que han anunciado vulnerabilidades en algunos de sus productos. Asegura que “eliminar el riesgo de los usuarios es muy complejo y muy difícil”, al tiempo que añade que hasta ahora el mayor vector de ataque que tienen las organizaciones es el phishing, y el phishing lo que busca es que el usuario se descuide, engañarlo y que pinche en el enlace, “y esto lo corriges con la parte de concienciación y formación”. En todo caso asegurando que el riesgo se puede minimizar, señala también que no se puede eliminar porque se llega a una frontera: la propia libertad del usuario; “y eso es lo que añade un nivel de complejidad radical”. Para eliminar el riesgo con garantías, continúa diciendo el CISO de SEAT, tendrías que plantearte dejar de hacer vídeoconferencias, no enviar ningún documento por correo electrónico…  y esto es volver a 20 años atrás".

¿Qué tecnologías de seguridad crees que son imprescindibles para cualquier empresa? Tiene claro Alejandro Sánchez que la herramienta tiene que ir asociado a la visibilidad de la seguridad porque sólo puedes responder a lo que ves. Es decir, cualquier empresa necesita es un SIEM, “pero de nada te vale un SIEM sin datos; y si sólo recibes los datos de un firewall, te están faltando los de otros componentes de la red, aplicaciones, etc., que dotan de contexto a ese dato”. Ahora está de moda la detección y la respuesta, pero por lo mismo, “no se puede responder si tú no tienes el contexto de lo que está ocurriendo. Ese contexto te lo va a dar un SIEM porque tienes los datos, y un SOAR porque automatizas y realmente puedes hacer una gestión de ese incidente”.  

¿Si tuvieras un talón en blanco, y el tiempo no fuera un problema, qué tecnología de seguridad adoptarías? “Más que el talón y el tiempo, lo más crítico es el compromiso, el alineamiento del 100% de las organización”, asegura Alejandro Sánchez. Y es que de nada vale invertir mil millones si al final el usuario y contraseña es ‘admin’.

En todo caso, si tuviera que hacer una recomendación respecto a una tecnología escogería un DLP (Data Lost Prevention) en el que convergiera el mundo cloud y el mundo on-premise, porque lo importante es el dato y lo que tiene que prevenirse es la fuga, o pérdida, del mismo. Y si se quiere invertir más, invita Alejandro Sánchez a interesarse por el Machine Learning y los algoritmos matemáticos de correlación de eventos que te puede ayudar a crear un UEBA (User and Entity Behavior Analytics), por ejemplo.

IoT

Como fabricante de automóviles, SEAT es una de las muchas empresas que ha implementado el Internet de las cosas. ¿Cómo se protege ese IoT? “Para mí es fundamental el blueprint de seguridad establecido con guías de bastionado. Una vez que eres capaz de bastionar esos dispositivos puedes hablar de la seguridad de los mismos, y eso para los diferentes dispositivos, sensores, cómo se comunican, cómo se autentican y monitorizarlo”. Dice además el CISO de SEAT que la gestión y la seguridad del IoT también está unido con la microsegmentación de las redes; “la guía de bastionado es lo mejor que le puedes hacer a ese dispositivo. Si luego no puedes actualizar ese dispositivo tienes que intentar buscar en la siguiente capa de seguridad de forma que en caso de que pase algo saber cómo lo detectas y cómo cortas y remedias el problema”.

Por último preguntamos al CISO de SEAT si, después de todo un año de pandemia, prevé algún cambio significativo en torno a la seguridad. Para Alejandro Sánchez los cambios que podrían verse en seguridad este año y el próximo afectarán al cloud y las cargas de trabajo, sobre todo “si tenemos en cuenta que más del 95% de las organizaciones ya tienen presencia ahí y que la necesidad de rapidez hace que a veces se descuidan ciertos controles. Entonces yo creo que durante este año y el año que viene veremos un incremento de esa seguridad”. Menciona también que habrá trabajo que hacer en torno al trabajo en remoto, y de manera específica en las conexiones o las herramientas de colaboración.