'La ciberseguridad se está convirtiendo en una utility. O la tienes o no eres nadie' (Consuelo Fernández, Grupo Tecnatom)

Tecnatom es una empresa de ingeniería que presta sus servicios en el sector nuclear desde su creación en el año 1957 y en la última década ha diversificado sus servicios y productos en el mercado internacional y en otros sectores industriales como el aeronáutico, ferroviario, petroquímico, etc. Suministra servicios y productos con altos contenidos tecnológicos los cuales mejora continuamente para adaptarse a las necesidades y requisitos de los diversos clientes y mercados. La seguridad de la información del Grupo Tecnatom es responsabilidad de Consuelo Fernández, su CISO, con quien hemos tenido la oportunidad de hablar.

Este contenido salió publicado en el número de julio de 2021 de la revista IT Digital Secutity. Puedes descargártela desde este enlace.

Cuando le preguntamos cuáles cree que son las grandes cualidades que tiene que tener un CISO empieza diciendo que siempre se ha pensado que un buen responsable de ciberseguridad tiene que tener un perfil técnico, pero que en realidad eso no es verdad; “ahora mismo el CISO tiene que ser un convencedor en toda la organización, tiene que hablar un lenguaje que se entienda, saber comunicar cuáles son los auténticos riesgos y entender el negocio para saber cuáles son las limitaciones que puede haber, además de buscar un equilibrio entre la seguridad y el trabajo de todos los empleados”.

Al hablar de la evolución de la figura del CISO dice Consuelo Fernández que la legislación le está dando un puesto que antes, considerados un frikis que estaban todo el día hackeando cosas, no tenían. Al margen de que la nueva legislación sobre ciberseguridad en servicios digitales e infraestructuras críticas ha dado más protagonismo al CISO, “yo creo que realmente la evolución del CISO ha venido en consonancia con la evolución de los ciberdelincuentes”. Añade que las empresas han debido evolucionar porque los ciberdelincuentes “son cada vez más inteligentes y van siempre por delante, lo que te obliga a cambiar constantemente tus estrategias de seguridad. Hace unos años valía con tener un firewall, y ahora la seguridad perimetral es lo que menos importa”.

Sobre si el peso del CISO seguirá aumentando dentro de las compañías, dice Consuelo Fernández que dependerá del tipo de empresa. La CISO de Tecnatom depende organizativamente del CIO y asegura que “no hace falta tener un puesto de relevancia para asegurar que la seguridad se realiza dentro de la empresa realmente”. Añade además que “te tienes que ganar que la gente te haga caso, no porque tengas un cargo, sino porque lo que estás haciendo has sido capaz de explicarlo bien”. Dice también Consuelo Fernández que un CISO va a ser muy necesario siempre, sobre todo desde el punto de vista de “tener a alguien que lleve la gestión de los riesgos de ciberseguridad que hay”.

La empresa española avanza lento a la hora de considerar la seguridad como una prioridad. Falta un impulso, dice Consuelo Fernández, y ese impulso vendrá por la obligación, una obligación que comenzó el año pasado con la pandemia, que no sólo ha impuesto el teletrabajo, sino que ha incrementado el perímetro de seguridad. El número de ataques ha crecido “y deberíamos ir un poco más deprisa”.

Mercado

El de la seguridad es uno de los mercados más fragmentados. El número de empresas se cuentan por decenas por cada tecnología, sumando miles, y si bien el proceso de consolidación se ha acelerado en los últimos años, hay un boom en cuando a nacimiento de empresas con bellos ideales y tecnologías avanzadas. La evolución ha hecho, además, que se haya alcanzado un mínimo tecnológico en las propuestas que llegan al mercado. ¿Cómo escoger entre, literalmente, decenas de propuestas? Explica Consuelo Fernández que cada empresa tiene que escoger aquella solución que más se ajusta a sus necesidades desde el punto de vista de la funcionalidad, de la facilidad de implantación, y también desde el punto de vista de los costes de la propia solución. “Nosotros básicamente nos basamos en los grandes gurús” para el proceso de selección de una solución, y después pedimos a diferentes fabricantes una prueba de concepto “teniendo siempre muy claro cuáles son los beneficios que al final queremos conseguir con la solución”.

Proveedores de soluciones para el sector industrial, dice la CISO de Tecnatom que, si bien en el mundo industrial la cultura de seguridad es algo fundamental, la pata ciber, como no podía ser de otra manera, se está considerando cada vez más y ahora la ciberseguridad se considera por nuestros clientes en los procesos de adjudicación de ofertas”.

Insiste la CISO en que la ciberseguridad es una obligación, y asegura que un hacker no puede tirar abajo un avión o parar un oleoducto. La ciberseguridad se está convirtiendo en una utility. O lo tienes o no eres nadie.

Servicios gestionados

Sobre el papel que juegan los servicios gestionados de seguridad, casi imprescindibles para las empresas, nos cuenta Consuelo Fernández que cada vez se tienen más herramientas de detección; “tenemos más capacidad de saber dónde están los incidentes y menos capacidad de poder dedicarle el tiempo que necesita todo eso”, y añade que en su empresa están convencidos de que “hay que tener ayuda externa con un servicio gestionado para que el personal interno se dedique a aquellas cosas que realmente dan valor al negocio”.

El siguiente paso es cómo seleccionar al mejor proveedor de servicios gestionados. Al respecto, dice Consuelo Fernández que “los proveedores necesitarían escuchar un poco más a sus clientes y ver qué necesitan realmente porque hay muchos tipos de clientes. Ahora mismo la selección de un buen proveedor de servicios gestionados es complicado”.

Tecnologías imprescindibles

Ya no vale con tener seguridad perimetral, ya no vale con tener un firewall, dice Consuelo Fernández cuando le preguntamos qué tecnologías de seguridad considera imprescindibles dentro de una empresa. Dice que ahora hay que preocuparse por defender la identidad (más allá de usuario y contraseña), así como la defensa del endpoint y del dato, que ahora está en cualquier sitio y requiere sistemas de cifrado, tanto en tránsito como en reposo, así como un IRM; añade que los permisos de acceso son importantes, por lo que además habría que contar con tecnologías de doble factor de autenticación para proteger usuarios.

También le preguntamos a la CISO de Tecnatom por las tecnologías que considera que serán necesarias en un futuro. Dice que habrá que tener herramientas en torno a la detección temprana de incidentes “donde la inteligencia artificial nos va a poder ayudar mucho”, aunque, añade, por el momento el coste es demasiado alto.

Lo ideal, asegura, sería contar con sistemas de detección que en tiempo real y a través de inteligencia artificial dijeran qué tipo de amenazas y qué tipo de intentos de intrusión está teniendo una empresa, incluido si está habiendo alguna fuga de información, si hay datos que se han llevado a un cloud y no deberían estar allí… “. Es decir, todo tipo de información y todo tipo de avisos, pero sin tener que dedicar horas a analizarlos”. ¿Qué te gustaría tener? “Un sistema que no diera falsos positivos”, responde rotunda, aclarando que montar un SIEM o un entorno de monitorización no cuesta tanto, pero “dedicarle tiempo para enseñarle y ver todos los avisos que te está enviando para saber si es positivo o no es lo que más cuesta”.

¿Después de más de un año de pandemia, este 2021 es diferente en lo que respecta a la ciberseguridad? En la parte positiva dice la CISO de Tecnatom que se está viendo una mayor concienciación por parte de la alta dirección de las empresas, “con lo cual el trabajo de un CISO se hace más sencillo”. En la parte negativa “los malos no van a parar, y cuando cierras una puerta llegarán con una ganzúa diferente. Cuando se dice que la seguridad al 100% no existe, es verdad”.