'No estamos en el momento de que sólo contratando tecnología podamos estar protegidos' (Judit Closa, habitissimo)

“Un buen CISO debe practicar siempre la escucha activa, tanto para atender al negocio como para saber cuáles son realmente sus necesidades”, lo dice Judit Closa Ribalta, CISO de habitissimo, una compañía que cuenta con una plataforma para el sector de la reforma y reparación con información detallada y opiniones sobre profesionales, empresas y marcas de arquitectura, interiorismo, obras y reformas. Añade Judit Closa que, además, un CISO debe tener un criterio muy bien definido para asumir los riesgos y poder tomar decisiones.

Este contenido salió publicado en el número de Mayo de 2021 de la revista IT Digital Secutity. Descárgatela.

Asegura la CISO de habitissimo, cuya red suma casi dos millones de profesionales de la construcción, que la seguridad va siendo, cada vez más, una prioridad para la empresa española; “todo negocio se preocupa por su continuidad y eso hace que cada vez se esté más concienciado de las amenazas”, dice, añadiendo que al tener un negocio más concienciado, unos planes de seguridad más enfocados a lo que son los riesgos de seguridad, “estamos evolucionando a que la empresa española y en general la mundial esté más pendiente de las ciberamenazas”.

Para Judit Closa hay un paralelismo entre la pandemia que estamos sufriendo y esa concienciación de las amenazas y de los planes de continuidad; asegurando que nadie se esperaba que en pleno S-XXI viniera una pandemia, dice que “aun así” es necesario contar con planes de continuidad definidos para ello, para que den una respuesta que permita sobrevivir a esta crisis.

“La pandemia nos ha hecho aprender muchísimo”, dice la CISO de habitissimo, añadiendo que los responsables de ciberseguridad de las empresas tienen que estar dispuestos “con herramientas y formación” a poder hacer frente a las crisis. Asegura también que, si la adopción de cloud desdibujó las fronteras, la pandemia las redujo aún más. Explica que hasta las empresas más tradicionales ya estaban en un proceso de adopción del cloud, y de repente “deslocalizamos a los empleados de un día para otro. Esta deslocalización permanente ha sido y seguirá siendo un riesgo que las empresas más tecnológicas tenemos que estar en constante valoración”.

Y si los CISOs han aprendido de la pandemia, los CEOs, también. ¿Se han dado cuenta de la importancia de la seguridad?, ¿ha estrechado lazos estas dos figuras? Dice Judit Closa Ribalta que la adaptación constante al cambio es algo que tiene que tener un buen CEO, que son los referentes dentro de la organización. Con respecto a si se han estrechado los lazos, asegura la directiva que si se quiere interpretar una crisis desde un punto de vista positivo, constructivo, “las dos figuras, la del CISO y la del CEO, van a tener que trabajar más de la mano, van a tener que tenerse más en cuenta”.

El cloud, ¿se está adoptando de manera segura? “Depende de en qué casa”, dice Judit Closa. Explica que hay empresas en las que la seguridad se tiene más en cuenta y que, en todo caso “desde seguridad no podemos impedir que el negocio progrese, que el negocio continúe siendo puntero a nivel tecnológico”; añade también la directiva que el modelo de responsabilidad compartida que se establece entre una empresa y el proveedor de cloud es “esencial”, y que se tiene que trabajar en un modelo en el que “no por tener algo externalizado el departamento de ciberseguridad tenga que dejar de ser el responsable del dato”.

MSSP

Los servicios gestionados quienes los ofrecen, los MSP (Managed Service Provider), se han convertido en figura esencial dentro del ecosistema tecnológico. Cada vez son más las capas de tecnología que tienen las empresas, capas que es necesario gestionar y tienen que interoperar. Y el mundo de la ciberseguridad no es ajeno a ello; no sólo hay cada vez más herramientas involucradas en la ciberdefensa de las empresas, sino que se debe hacer frente a amenazas más sofisticadas y a una constante falta de profesionales, lo que ha colocado a los MSSP (Managed Security Service Provider) en primera línea de batalla. Para Judit Closa la contratación de este tipo de servicios depende del modelo que quiera adoptar cada empresa, y añade que, en todo caso, “la tecnología no es nada sin personas detrás. Por mucho que haya muchísimos avances en inteligencia artificial, no estamos en el momento de que sólo contratando tecnología podamos estar protegidos. Para poder operar y gestionar tecnología puntera necesitamos personas detrás; personas formadas, personas especializadas y comprometidas”.

Teniendo esto en cuenta asegura la directiva de habitissimo que los servicios gestionados “ofrecen muchos beneficios a las empresas, pero no son la solución a absolutamente todo” y que igual que ocurre con el modelo de seguridad compartida de la nube, cuando hablamos de servicios de seguridad, la responsabilidad de la seguridad sigue siendo de la empresa, no pasa por responsabilizar a un tercero que te está operando las herramientas. En todo caso, “es un servicio que crecerá cuanto más prioritaria sea la seguridad para la empresa española”.

Tecnologías imprescindibles

Habla Judit Closa de tres pilares fundamentales cuando le preguntamos por las tecnologías de seguridad que cree imprescindibles: la parte de usuario, la parte de red que se tiene que proteger y monitorizar, y el poder dar una respuesta en caso de que hay cualquier tipo de incidentes. Si nos centramos en la parte del usuario “yo creo que es esencial disponer de unos sistemas de autenticación y de gestión de la identidad digital muy sólidos; y después proteger los dispositivos con un EDR para que el dispositivo con el que trabaja el empleado a diario no sea la puerta de entrada de las principales amenazas”.

Para la parte de red menciona la CISO de habitissimo las tecnologías de firewall, analizadores de paquetes, monitorización, o detección de potenciales amenazas. Especifica que cuando hablamos de monitorización “tanto podríamos irnos a la tecnología tradicional de un SIEM como a los novedosos servicios de SOC-as-a-Service, que quizá sería una solución más que factible para una empresa pequeña o mediana que empezara a tener músculo operativo en sus diferentes verticales”.

Fuera de lo que serían los imprescindibles, menciona Judit Closa algunas tecnologías que hay que tener en el radar, como son las que rodean y protegen al empleado. Hay tecnologías de endpoint protection y de detección y respuesta a amenazas del puesto de usuario que son “muy prometedoras”, que en los últimos años se han desarrollado muchísimo “y son muy alentadoras en cuanto a cuánto puede llegar a ser de eficaz una herramienta para proteger la operación habitual del trabajador de la empresa”.

Preguntamos por la adopción más o menos generalizada en las empresas de soluciones de seguridad más proactivas, como el deception, threat Hunting o simulación de brechas y ataques de seguridad BAS). Explica la CISO de habitissimo que “hay diferentes tipos de organizaciones en cuanto a su madurez en seguridad; la banca, por ejemplo, ya estaba hablando de threat hunting hace cinco años o más; después de estas grandes empresas, hay otro grupo preocupado por la seguridad por su volumen y el capital que mueven, que a lo mejor no son cotizadas, pero su negocio es crítico y que quizá lleven hablando de esas tecnologías hace dos o tres años. Pero hay una gran parte de pequeñas empresas que no están en el punto de preocuparse por threat hunting, aunque sí en el de empezar a preocuparse por saber cómo tienen la seguridad de sus usuarios, o de las redes.”

En los últimos tiempos hemos visto cómo las amenazas de la cadena de suministro, los ataques internos, están causando verdaderos estragos en las empresas, muchas de las cuales han tenido que reorientar su seguridad para poder hacer frente a este nuevo reto. Dice Judit Closa que los departamentos de ciberseguridad tienen que salvaguardar tanto la seguridad de su organización como también su reputación, su imagen de marca; “la empresa tiene que ser una marca segura en la que sus clientes pueden confiar a la hora de dejar los datos”, y eso significa que se tienen que definir las reglas internas y los controles para que los clientes se sientan seguros utilizando los servicios que se ofrecen desde una empresa.

“¿Cuándo no ha habido un cambio significativo año a año en la seguridad?”, plantea Judit Closa cuanto le preguntamos qué se espera de este 2021, de un año que estará marcado por la vuelta a las oficinas, una vuelta al perímetro. Dice que habrá empresas que continúen con el teletrabajo y que “para esas empresas que vuelvan a la oficina, si realmente la arquitectura de red corporativa ha estado evolucionando hacia una arquitectura sin fronteras, no debería haber más impacto”. Por otra parte, desde el punto de vista de la seguridad, se continuará evolucionando porque “habrá nuevos ataques, actores y amenazas a tener en cuenta, así como nuevos riesgos a gestionar”.