‘Si los clientes no son exigentes, las empresas no van a invertir en seguridad’ (José Luis Paramio, Userlytics Corporation)

  • Entrevistas

José luis Paramio, Userlytics

Userlytics Corporation es una empresa dedicada, entre otras cosas, a realizar estudios de mercado cuyos clientes quieren comprobar la experiencia de usuario en nuevos prototipos de aplicaciones. El activo a proteger más importante, que no el único, de la compañía es la base de datos de testers que permite ofrecer a los clientes grupos definidos para realizar las pruebas, una base de datos que protege con celo José Luis Paramio, CISO de la compañía que durante años se dedicó al pentesting y pasó diez años en Japón.

Le preguntamos por la evolución de la figura del CISO y responde asegurando que depende del tipo de empresa a la que preste sus servicios. Dice también que la evolución del CISO va de la mano de la evolución de las tecnologías, como la aparición de los contenedores, del machine learning o el internet de las cosas; así como de la evolución de las necesidades y de las soluciones que ayudan a protegerlo todo, de forma que “según avanza la tecnología avanza la necesidad del CISO y evoluciona su figura. Pero creo que la ciberseguridad en realidad no tiene un papel cantante en todo esto, sino que va a remolque de la evolución de la tecnología”. ¿No sientes que os ponen en primer plano? “Sí, estamos en primer plano. Estamos de moda. Pero nosotros no decidimos hacia dónde evoluciona la seguridad. Nosotros nos adaptamos”.

Este contenido salió publicado en el número de Septiembre de 2021 de la revista IT Digital Secutity. Puedes descargártela desde este enlace.

En esa tarea de adaptación dice haber visto morir muchas tecnologías que parecía que iban a quedarse para toda la vida, “y siempre se me viene a la cabeza Flash. Hay tecnologías que ahora parecen inmutables, que parece que son el presente y nadie se atrevería a decir que no son el futuro, pero llegarán otras que les sustituirán y no sabría decirte cómo va a quedar todo, aunque todos miramos de reojo a los ordenadores cuánticos”.

En un mercado saturado de fabricantes, soluciones y propuestas ¿cómo escoger? “El CISO siempre tiene una limitación, que es el presupuesto”, responde José Luis Paramio. Explica que hay una parte fácil: según las características de una empresa se tienen una serie necesidades, y una serie de productos que las cubren; “a partir de ahí se produce un descarte por presupuesto” por lo que el número de opciones ya se reduce, y se añaden factores humanos, como “que alguien de tu empresa o tú mismo te fíes más de un proveedor, o tengas un contacto, o llegue una oferta más agresiva… o pruebas, te equivocas y al año siguiente, cuando acaba la licencia, te vas a la competencia”.

“El grado de sensibilización depende del grado de exigencia de tu cliente”, responde José Luis Paramio cuando le preguntamos por el grado de sensibilización de las empresas por la ciberseguridad. Añade que “si tus clientes no son exigentes, la empresa no invertirá en ciberseguridad; y si tus clientes son exigentes, la empresa va a invertir”. Dice también el CISO de Userlytics que también deben tenerse en cuenta las necesidades tecnológicas de cada caso.

Servicios Gestionados

Respecto a los servicios gestionados, dice Paramio que son más útiles para empresas pequeñas, pero demasiado caros para ellas. “Y digo que son útiles porque al final te dan todo el servicio de ciberseguridad sin necesidad de crear un departamento de ciberseguridad ni contratar personal. Pero son demasiado caros. Una pyme en realidad no se lo puede permitir y sin embargo sería la empresa perfecta como objetivo para estos servicios”, reflexiona, para después añadir que, en su opinión, un servicio gestionado empieza a ser interesante cuando se necesita un SOC.

Seguimos hablando del SOC y añadimos Zero Trust a la ecuación. Para José Luis Paramio ambos términos, o lo que representan, son compatibles, “pero los conceptos son antagónicos. Por un lado voy a crear una red en la que no confío ni en mí mismo porque sé que están dentro, y por el otro voy a proteger el perímetro”.

Opina también el CISO de Userlytics que “la nube mata el SOC. Todo el que tenga servidores en Amazon o en Digital Ocean, ¿para qué necesitaría un SOC? Probablemente Amazon y Digital Ocean ya tienen su propio SOC y están monitoreando sus data centers constantemente. Puedes contratar con tu propio SOC y añadirlo, como un doble firewall, pero en realidad si alguien entra en uno de esos servidores no tienes más que restaurar la máquina virtual. Entiendo que el SOC es interesante para empresas muy grandes y necesidades muy concretas”.

La nube

Sobre el cloud, dice José Luis Paramio que tenerlo todo en la nube es una tendencia; “todos los servicios nuevos que se ofertan, y cada vez hay más, y más interesantes, se ofertan como un servicio en la nube”. En este tipo de entornos hay que proteger las credenciales por un lado, y cómo hace uso de los datos el usuario por otro lado, dice el directivo añadiendo que no es lo mismo un usuario que solo tenga acceso a su email, que un usuario que tenga acceso a un CRM, de forma que “según la importancia del dato que vaya a manejar ese usuario, la seguridad que lleva detrás es diferente”.

Cuando le preguntamos por las tecnologías de seguridad que deberían ser imprescindibles en cualquier empresa nos pide José Luis Paramio que nos imaginemos una que no tiene presupuesto para seguridad, “en ese caso yo recomendaría ir a la nube y hacer uso de un autenticación multifactor en todos los servicios, como mínimo. Y si fuera posible, gestionar el login con un servicio de single sign-on; un SIEM de fuente abierta; un gestor de vulnerabilidades, el que pudiera; y gestionar un DLP. Nada muy elaborado pero muy útil y con lo que vas a vas a proteger el 80% por ciento de tu empresa. Ahora bien –añade, de aquí lo más importante es la formación en seguridad que des a tus empleados”.

Asegura el directivo que en definitiva se trata de aplicar el sentido común, aprender de las catástrofes de los demás para reforzar tu seguridad y la formación al empleado, “y si tienes el apoyo de la dirección, miel sobre hojuelas”.

Tecnologías de futuro

“Yo no puedo vivir, por ejemplo, sin un gestor de vulnerabilidades. Dado que somos una aplicación web, no puedo vivir sin un DAST, Dynamic Application Security Testing. Y un SAST, Static Application Security Testing, también es una tecnología increíblemente útil”, explica José Luis Paramio.

Añade que sería deseable una asociación o alianza de empresas que estén enfocadas en el SAST, DAST, Vulnerability Assessment, SIEM, SOC, “sería deseable”. Opina que los antivirus no tienen mucho interés a día de hoy, o por lo menos no la importancia que tenían, y que pasa algo parecido con los firewall, aunque siguen siendo necesarios.

Por otra parte, “estoy notando una tendencia a la seguridad hardware”, asegura el CISO de Userlytics, apuntando a anuncios realizados por HP [Wolf] o Apple relativos a la implementación de seguridad en el propio dispositivo o algunos de los requisitos de Windows 11, tanto a nivel de procesador como módulos seguridad TPM.

Finalmente hablamos de cambios que pudiera haber en lo que queda de año relativos a la ciberseguridad. “Creo que ninguno. Yo diría que casi ni en 2022”, dice,  para añadir que igual que estamos viendo el aumento del ransomware también veremos su caída, “y entonces aparecerá otra cosa”.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos