“Las herramientas de detección y validación continua de vulnerabilidades son ya fundamentales” (José Manuel Beltrán, Hermanas Hospitalarias)

  • Entrevistas

José Manuel Beltrán, CISO Hermanas Hospitalarias

Pasar de administrador de sistemas a CISO en Hermanas Hospitalarias ha sido una evolución natural para José Manuel Beltrán, quien reconoce que los responsables de ciberseguridad deben tener tanto habilidades de comunicación como conocimientos técnicos; que el mayor reto es el trabajo deslocalizado y que el concepto de inteligencia artificial está mal enfocado. La gestión de identidades, el demostrar que tú eres tú de forma inequívoca, es una de las tecnologías que, si aún no tienes, deberías tener, así como una adecuada protección de dispositivos móviles que se integre bien con la protección del puesto de trabajo.

Evolución natural. Así llegó José Manuel Beltrán Sánchez a ser el CISO de Hermanas Hospitalarias. Es lo que tiene llevar 18 años en la misma compañía. Muchos años en un sector, el de la ciberseguridad, con una rotación que para muchos es excesiva. José Manuel Beltrán trabajaba en una compañía de seguros administrando servidores hasta que apostó por una congregación con dos grandes hospitales, el Beata María Ana de Madrid y el de San Rafael en Barcelona, y 25 centros asistenciales repartidos por toda España, y en la que actualmente trabajan 8.000 personas con una rotación que lleva a su compañía a gestionar unos 12.000 contratos anuales.

Este contenido fue publicaod en el número de Octubre de 2022 de la revista IT Digital Security. Puedes descargártela aquí.

Antes de la llega de José Manuel Beltrán, cada centro era independiente, y lo que se buscaba era “una persona que supiese mucho de comunicaciones”. Pero la suerte que tuvo la congregación es que, además de comunicaciones, José Manuel Beltrán estuviese interesado en la seguridad desde una edad temprana, la misma en la que deseaba interceptar frecuencias de radio con un walkie talkie, y comprometer sistemas remotos a través de Internet; suerte que José Manuel Beltrán se mantuviera del lado del bien, pero con el cocimiento y la inquietud del otro lado.

Ventaja aparte de la buena relación que mantiene con Emilio Rodríguez, CIO de Hermanas Hospitalarias, quien también lleva muchos años en la empresa, la confianza de sus jefes fue llevando a José Manuel Beltrán de Administrador de sistemas a CTO y, finalmente, a CISO.

“Ha sido una evolución natural y mientras, por el camino, formándote, conociendo a proveedores de los que aprender, otros colegas de profesión, y gestionando auditorías externas de ciberseguridad, trabajando codo a codo con el departamento de calidad para que todo se formule como un proceso de mejora continua”, asegura Beltrán antes de que le preguntemos por las cualidades que cree que debe tener un buen CISO.

Comienza planteando que, dependiendo de a quién preguntes, “hay gente que te dice que un CISO no debe tener prácticamente ni idea de tecnología, sino alguien que esté muy metido en consejo de dirección y que entienda mucho de negocio. Yo puedo estar parcialmente de acuerdo en eso, en el sentido de que lógicamente un CISO tiene que entender el negocio de una empresa para tomar cierto tipo de decisiones, como puede ser por dónde evolucionar o qué tipo de políticas de seguridad hay que aplicar. El CISO no puede imponer medidas que vayan contra el negocio, y además debe tener, como en mi caso, un puesto en la empresa que le permita hablar directamente con la dirección, pero, además, un CISO necesita conocer la tecnología, necesita conocer cómo va evolucionando el mundo, necesita conocer productos y tendencias”.

¿El CISO ideal? “Una persona que tuviese un buen balance a nivel técnico y a nivel de conocimiento del negocio de la empresa; que tuviese buenas capacidades de comunicación y saber qué tendencias hay a nivel de tecnología, tanto para evolucionar en productos como para defenderte de cosas nuevas que van apareciendo”. Añade un aspecto importante: “Tiene que ser una persona muy segura de sí misma para poder transmitir las cosas muy bien en todas las direcciones, y además estar preparada para que le lluevan palos de todos lados”.

La siguiente gran pregunta que le planteamos a José Manuel Beltrán Sánchez es cuáles son los grandes retos del CISO. A grandes rasgos la principal dificultad que tienen la mayoría de las empresas es “el trabajo deslocalizado”, asegura, porque abre cuestiones como la seguridad de las redes en los hogares, o el uso de dispositivos personales no controlados por las empresas; “si esto lo juntas, en nuestro caso, con todo lo que tiene que ver con telemedicina y teleasistencia y todos los dispositivos inalámbricos… por ahí es porque llegan los retos”, dice Beltrán añadiendo que se ha pasado de tener un entorno interno bastante controlado a que cualquiera piense que puede pedirte  una VPN desde su casa, en la que un empleado crea que puede acceder a los recursos desde un ordenador que no está controlado por la empresa y en el que pueden descargarse historias clínicas que pueden filtrarse. Esto lógicamente requiere inversiones en dispositivos corporativos y articular perfectamente los accesos “Todo lo que tiene que ver con movilidad es el mayor de los problemas”, asegura Beltrán.

¿Qué tipo de amenaza te quita el sueño? Asegurando que en Hermanas Hospitalarias se está en continua reevaluación de análisis, dice José Manuel Beltran que el ransomware no le quita el sueño porque se cuenta con herramientas que realizan simulacros y se hacen pruebas de los sistemas de contingencia. “A mí lo que me quita el sueño es que un día se filtre información de las personas”, asegura, añadiendo que se pone foco especialmente en: “y si nos roban el dato, ¿qué pasa?”. Esto los lleva a trabajar con soluciones DLP, herramientas que impiden que ciertos ficheros se copien en un USB y enviarlas por correo, “aunque el USB esté autorizado y el correo sea lícito”.

La mayoría de las empresas tienen un backup, y algunas son capaces a volver al minuto anterior, o a hace una semana, incluso sistemas de contingencia deslocalizados en otra ciudad, “pero cuando hay una fuga de información y se expone públicamente, el daño que causa es muy grande. Es lo único que me quita el sueño porque al final hablamos de personas, de la historia clínica de todo el que pasa por el hospital”.

El impulso hacia la digitalización que se produjo por la pandemia, ¿sigue existiendo? “Yo te diría que en nuestro caso sí. Si algo no malo nos trajo la pandemia fue demostrar que se podía trabajar en remoto, dice José Manuel Beltrán. Añade que el equipo de soporte ya teletrabajaba y que la pandemia lo que generó fue un fin de semana largo, de mucho trabajo, “pero en los hospitales fue un caos, varias semanas de mucho trabajo. Una situación que sirvió para reforzar mucho la seguridad”. Añade también el CISO de Hermanas Hospitalarias que “a nivel de ciberseguridad, no se hizo nada que no fuéramos a hacer, pero se adelantó. Nos sirvió para mejorar más rápido”. ¿Y para elevar la concienciación del usuario? “Mi experiencia es que no”, asegura José Manuel Beltrán, añadiendo que el usuario lo que quiere es trabajar en lo suyo, y no que se le complique la vida con temas de ciberseguridad, y que la capa de seguridad debe ser aportada por las personas responsables de la misma, concienciar es una tarea continua que debe hacerse desde la formación y simulacros de phising por ejemplo.

Además de la concienciación suele identificarse la inteligencia artificial como uno de los elementos a tener en cuenta para reducir el impacto de las ciberamenazas. Para unos imprescindible, para otros no tanto, ¿qué opina Jose Manuel Beltrán? “No creo que la Inteligencia Artificial esté sobrevalorada. Lo que creo es que el concepto está mal enfocado. Sería un error pensar que la inteligencia artificial va a llegar y te va a solucionar la vida. Si entendemos por inteligencia artificial la capacidad de analizar y tomar decisiones, eso es algo en lo que se tiene que seguir trabajando. El problema es que muchas empresas invierten muchísimo dinero en un sistema de protección del puesto de trabajo perfecto que genera 50.000 millones de logs, y además un SIEM, y además otro colector de logs del firewall… y todavía no he visto una solución que sea capaz de integrar todo eso, más si hablamos de distintos fabricantes, y que tome decisiones en función de la información que recogieron de unos y otros”.

En un momento en el que cada vez hay más amenazas y más sofisticadas, donde el número de herramientas a gestionar no deja de crecer y encontrar personal es cada vez más complicado, los servicios gestionados se están convirtiendo en elementos cada vez más importantes de la defensa de las empresas. Añade José Manuel Beltrán que cada vez se necesita una mayor especialización a nivel de cada tecnología y que sólo las empresas muy grandes pueden dedicar el esfuerzo humano interno que se necesita para tener un entorno seguro; “hay ciertos servicios que sí o sí tienes que externalizar porque no puedes tener todas las personas necesarias y especializadas para garantizar el servicio”.

Tecnología

Sobre tecnologías que deberían ser imprescindibles, opina Beltrán que no acaban de calar algunas herramientas que para él son fundamentales, como las de análisis continuo de vulnerabilidades y de puntos de mejor de tu entorno, e incluso las de validación de esa vulnerabilidad; asegura que hay un gran nicho de mercado porque “las empresas que no lo estén aplicando se están engañando a sí mismas. En entornos grandes y complejos esas herramientas de detección y validación continua de vulnerabilidades son ya fundamentales”, aunque no suple la auditoría y la inteligencia de un buen hacker ético.

También considera fundamental una adecuada gestión de la identidad, el poder demostrar de manera inequívoca que tú eres tú. Apunta, por último, la necesidad de la protección de los dispositivos móviles con tecnologías que se integren bien con la protección del puesto de trabajo.

Rosalía Arroyo