‘La inspección de tráfico de red en tiempo real es fundamental’ (Jesús M. Doña, EMASA)

Jesus M. Doña Fernández es el Responsable de infraestructuras, soporte y ciberseguridad del Departamento de Tecnologías de la Información de EMASA, Empresa Municipal Agua de Málaga. Nos cuenta que llega al mundo de la seguridad “como una evolución natural dentro de la responsabilidad en la administración de sistemas”. Inicia el camino en el Servicio Andaluz de Salud, como responsable provincial de sistemas, “donde la preocupación inicial es que todo funcione. Y llega un momento en el que te das cuenta de que de nada sierve toda la infraestructura que estás montando si no tienes en cuenta la seguridad”. Añade que a partir de ahí se va tomando conciencia y que hay que darle un giro a la situación, tanto a nivel de formación como a nivel de responsabilidades, “y te estoy hablando de hace 15-20 años, cuando aún no se hablaba del CISO; fue entonces cuando los que trabajábamos en administración de sistemas empezamos a preocuparnos por la seguridad”.

Este contenido se publicó en el número de junio de 2022 de la revista IT Digital Secutity. Puedes descargártela desde este enlace.

Se empezó pensando en la disponibilidad, “en contar con un sistema que fuera tolerante a fallos; luego en la recuperación ante desastres, y en las copias de seguridad. Pero empiezan a surgir eventos que generar interrupciones de servicio y ya se habla de la seguridad como protagonista. Y esa necesidad a mí me cautivó”. Así se introdujo en el mundo de la seguridad este Doctor Ingeniero en Informática con más de 20 años de experiencia en el sector TI que además tiene tiempo para la investigación en Inteligencia Artificial, Sistemas de Apoyo a la Decisión, Ciberseguridad y BigData, junto con docencia universitaria a través de la UNED.
Preguntamos a Jesús M. Doña si el CISO, después de una evolución que en muchos casos ha llevado a que su voz sea escuchada en los consejos de dirección, tiene el peso que debe tener dentro de las compañías. “Yo te diría rotundamente que no. Básicamente porque la seguridad sí tiene peso generalmente dentro de las empresas, pero la ciberseguridad como tal está todavía muy alejada de la alta dirección, y cuando no eres consciente de la ciberseguridad te puede parar el negocio, no das importancia a la figura que la gestiona”. Opina el Responsable de Infraestructuras, soporte y ciberseguridad de EMASA que, en España, y a nivel de Administración Pública falta hacer crecer, e incluso al definir la figura del CISO”.

Uniendo TI y TO

Hablando de los retos de ciberseguridad a los que se enfrenta Jesús M. Doña, responde que el mayor es la concienciación de la organización en lo que se refiere a la ciberseguridad. Explica que el CISO de EMASA está muy vinculado al Departamento de Tecnologías de Información, “con lo cual nosotros somos rápidos ejecutores de las necesidades que parten de la ciberseguridad, pero en lo que es la organización todavía es complicado crear esa conciencia de ciberseguridad; el que sean capaces de tomar en cuenta la ciberseguridad como punto clave que no puede faltar en ningún proyecto”.

Destaca el responsable que en la compañía se está apostando porque la tecnología de la operación adquiera la madurez en ciberseguridad que tiene el equipo de TI. Explica que, sobre todo en industria, la parte de TI suele estar muy concienciada y trabajando mucho en ciberseguridad mientras que a la parte de TO, de Tecnologías de la Operación, que además suele ser generalmente el core del negocio, les cuesta más centrarse en ciberseguridad, “y ahora estamos trabajando mucho en equiparar lo que son los sistemas de TO en ciberseguridad a los sistemas de TI, y vamos consiguiendo que haya una sinergia a partir de la ciberseguridad, que es algo que nos compete a todos. Estamos consiguiendo resultados muy interesantes, ya no solo a título de proyecto que podemos realizar, sino a colaboraciones, formación o compartición de intereses a la hora de implantar tecnologías”.

Ser responsable de ciberseguridad día a día

¿Qué cualidades debe tener un buen CISO? “Debe tener buen corazón. Y no me refiero a que sea buena persona, sino a que sea capaz de aguantar emociones fuertes, porque el CISO es una responsabilidad que la llevas 24/7”, responde Jesús M. Doña. Añade que el tema de la ciberseguridad no entiende de jornadas, no entiende los festivos, y te involucra a todos en todo momento; “siempre está preocupado y es importante el poder hacer una gestión del estrés grande”.

Además de tener el corazón en forma, añade el responsable de EMASA que un buen CISO también debe tener la capacidad de dedicar tiempo “a analizar cosas: analizar la tecnología, analizar los riesgos, poder estar continuamente bebiendo de fuentes de información para no solo saber lo que está pasando en el día a día, sino el conocer tendencias… ser muy esponja”. Añade: “Te tiene que gustar. Si no te gusta la ciberseguridad no puedes ser CISO”.

¿De dónde sacáis esa información? “Nosotros tenemos varias fuentes que son muy interesantes. Nos llega mucha información a través de CCN-CERT; también tenemos mucha información de Seguridad Digital de Andalucía; de INCIBE; Foros especializados y, a través de distintos proveedores de ciberseguridad estamos asociados a la serie de boletines”.

Sobre los servicios de seguridad gestionados, que es hacia donde se está dirigiendo el mercado, asegura Jesús el responsable ciberseguridad de EMASA que “han venido para quedarse”, y una de las razones es porque las empresas no tienen capacidad económica ni humana para generar lo que se necesita en ciberseguridad. Por otra parte, hay que tener en cuenta, los servicios gestionados son rentables porque dan servicio a varios clientes, lo que hace que “el servicio no sea todo lo todo lo personal o directo que te gustaría”.

Tecnologías imprescindibles

Preguntado por las tecnologías de seguridad que considera imprescindibles, asegura que sin el SOC no podría vivir; “a mí me quitas el SOC y me quitas una herramienta clave para el funcionamiento de la ciberseguridad. Y es una herramienta que no puedo suplir con personal mío”.

El antivirus en el puesto de trabajo es una de las tecnologías que Jesús M. Doña considera imprescindibles. Habla de un “muy buen antivirus que sea capaz de cortar antes de que ocurra la acción”. Por concretar preguntamos si se refiere a antivirus o al EDR, la respuesta no deja dudas: “Ahora el antivirus es el EDR. Ya no se concibe un antivirus como tal si no tiene su módulo de inteligencia artificial”, apunta, añadiendo que la analítica del tráfico de red también se ha convertido en algo esencial.

Sobre las nuevas tendencias del mercado que llegan imparables, como SASE, Zero Trust, SSE, Cybersecurity Mesh, que en ocasiones llegan rodeadas de marketing, dice que es habitual tener reuniones y realizar auditorías de calidad periódicas para conocer más cosas. Menciona el Zero Trust más como un objetivo que como una realidad y nos cuenta que uno de los aspectos que se están revisando son los accesos adoptando la política de menor privilegio.

¿Todo es tecnología? ¿Qué papel juega la concienciación del empleado? la respuesta es clara: “puedes tener todas las tecnologías que quieras, si un usuario pincha un USB que ha traído de su casa o te deshabilita el antivirus, ya ha acabado contigo”. Por eso la concienciación del usuario es algo que está en el ADN del EMASA, donde se realizan campañas de phishing dirigidas a toda la organización, además de compartirse noticias para fomentar la cultura de seguridad.

El balance de estas campañas de concienciación en bueno. Entre otras cosas, se han multiplicado las incidencias de usuarios que avisan de correos sospechosos, “y eso antes era impensable. Hemos conseguido que un porcentaje muy grande de la organización tenga ya una conciencia de ciberseguridad importante”.

Mencionamos la Inteligencia Artificial como una de las tecnologías que serán imprescindibles en el futuro. Como gran experto, ya que es Doctor en Informática especializado en Inteligencia Artificial, nos asegura Jesús M. Doña que todas las IA son inteligentes realmente, pero que “hay sistemas que dicen que tienen inteligencia artificial y no la tienen”. Advierte además que en lo que ahora mismo está funcionando muy bien la IA “es en la generación de ransomware y ataques vía phishing”. Teniendo en cuenta que la respuesta frente a esos ataques también tiene que integrar inteligencia y que tratamos con un experto, ¿llegas a escoger una solución de seguridad en función de cuán inteligente es? “No. Al final la elección de un sistema es por benchmark que puedas encontrar, experiencia previa de otros usuarios que te hablan de la herramienta y por POCs”.

Entre las tecnologías de seguridad que serán necesarias en el futuro la primera que menciona Jesús M. Doña es “la inspección de tráfico en tiempo real” Dice que es una tecnología que se utiliza mucho, sobre todo en los entornos de Tecnologías de la Operación ante la dificulta de poner agentes en los puntos finales “y lo que se hace es analizar continuamente el tráfico de red que se produce y si encuentran patrones de tráfico de red que coinciden con lo que sería un tráfico de un malware, por ejemplo, aíslan ese elemento de la red. Esto no te impide la infección, pero sí la transmisión de la infección”.

La segunda tecnología que menciona es la gestión y seguridad de los accesos a los entornos, ya sean en nube o en local para evitar el acceso no deseado.

Explica el responsable de ciberseguridad de EMASA que está muy interesado “con el análisis de tráfico, de red, el uso de IRM (Information Rights Management), DLP, control de cuentas privilegiadas (PAM)… Todo este análisis hay que hacerlo para evitar los ataques dirigidos. Yo al que más temo es el ataque dirigido”.

Y ya que hablamos de ataques, ¿el ransomware es tan indetectable, imparable y súper sofisticado o es que las empresas están mal preparadas? “El ransomware es una amenaza muy peligrosa porque te puede hacer muchísimo daño, pero al mismo tiempo te entra por lo más simple, que es hacer doble clic en un enlace; hay una interacción por parte del usuario que con concienciación y elementos de IA que detectan que están cifrando pueden parar rápidamente la amenaza”, responde Jesús M. Doña, insistiendo en que lo que más le preocupa es un ataque dirigido que entra en tu sistema porque está analizando por dónde puede entrarte y no es un correo electrónico sino que está atacando la vulnerabilidad de los servicios expuestos en internet y que una vez que entran se quedan en el sistema y hacen lo que quieren.