CyberSecurity NEWS
Revista especializada en ciberseguridad. Ejemplar gratuito.
Nº4 Mayo 2021
Especial CISO’s
Especial concienciación y entrenamiento
Especial formación en ciberseguridad
Especial trabajo ciberseguro
EL 10 DE JUNIO 2021 CELEBRAMOS LA III EDICIÓN DEL MAYOR CONGRESO IBEROAMERICANO ENTORNO A LA FIGURA DEL CISO
3
Editorial
En Ciberseguridad, mejor ser ConCISOs
Ser concisos ha traído muchos beneficios a la ciberseguridad. Sigamos acercando los valores ciberseguros a la sociedad de forma clara y sencilla. Si miramos solo unos años atrás, puede que al preguntar a alguien qué era la ciberseguridad, conseguiríamos una respuesta en blanco. Algo ha cambiado en este tiempo y algo tendrá que ver los más de 130.000 ciber incidentes que solo en España fueron gestionados por el INCIBE el pasado 2020. Llegamos pues a un 2021 marcado nuevamente por la pandemia del Covid-19 y la pandemia de Ransomware que tantos desastres está causando a nivel mundial: La paralización del SEPE en España, del Sistema de Salud de Irlanda o del gran oleoducto de EEUU… Pero nuestra sociedad ya no se queda totalmente en blanco ante el concepto ciberseguridad; vemos muy de vez en cuando ciertos anuncios de privacidad y ciberseguridad en los medios masivos como televisiones; vemos gobiernos intentando llevar el tema que nos ocupa a las aulas en forma de materias obligatorias e incluso vemos a micro, pequeñas y medianas empresas decir aquello de “o invierto o desaparezco”. Pero aún queda mucho por hacer y mucho camino que recorrer y, muy probablemente, una clave para allanar
dicho recorrido sea ser ConCISOs. Literalmente, concisos: “Brevedad y economía de medios en el modo de expresar un concepto con exactitud”. Así define la Real Academia Española un trabajo que llevan haciendo muchos años a quien hoy llamamos en ciberseguridad “CISOs”. Y es que, aunque quede claro que en grandes empresas públicas y privadas, así como gobiernos, instituciones y organizaciones de todo tipo de cierta magnitud, tengan clara la inversión en ciberseguridad, necesitan que los mensajes transmitidos a la alta dirección sigan siendo concisos, lo cual deriva en ser claros. Y esta es, por ende, una de las principales responsabilidades que el director de ciberseguridad tiene: Transmitir de forma clara, no solo a la alta dirección sino también a todos los empleados y a la sociedad, la importancia de la ciberseguridad. Por ello, desde este humilde medio, lanzamos el mensaje de convertirnos todos, en la medida de lo posible, en CISOs en nuestro mundo profesional y personal. Seamos embajadores y evangelizadores de algo que no para de crecer en relevancia. En Ciberseguridad, seamos ConCISOs. Redacción
CYBERSECURITY NEWS Edita: Digital Tech Communications Group S.L. C/ Núñez Morgado, 5 (local) 28036 MADRID CIF: B87917563 Depósito legal: M-11022-2018 www.cybersecuritynews.es info@cybersecuritynews.es
Socios directores: Pedro Pablo Merino y Samuel Rodríguez. Diseño y maquetación: Pedro Santos Redactora Jefe: Alicia Burrueco. Redactores: Aina Pou Relaciones Públicas: Angie Parra. Director Comercial: Luis Rincón. Publicidad: luisrincon@cybersecuritynews.es
CyberSecuritynews | Mayo 2021
4
Sumario
6. #CyberCoffee 9. Entrevistas CyberSecurity News 2021
26
17
12. CISO Day 2021 14. Eventos de ciberseguridad 2021 19. Especial concienciación y entrenamiento 20. ¿Qué debemos hacer ante una filtración de datos en las redes sociales? FB y LK 21. #CyberAwarness Games Concienciación
32
22. Darktrace 27. Especial formación en ciberseguridad 31. Infografía ¿Cómo formarte en ciberseguridad? 34. Infografía en los colegios 35. INCIBE
34
44
38. ¿Falta talento en ciberseguridad? 41. Especial Trabajo Ciberseguro 42. Oodrive 44. Entrevista Eva Cristina Cañete 46. Reportaje sobre la importancia de la VPN 47. Infografía VPN 50. ¿Cómo trabajar de manera cibersegura desde casa?
22
50
51. Especial Nuevas Tecnologías en Ciberseguridad 52. SecurityScorecard 56. Fastly 58. Entrevista Héctor Flores 60. Inteligencia artificial: También en el lado de los malos 62. Webinars CyberSecurity News 63. La mujer en el sector de la ciberseguridad
42 36 CyberSecuritynews | Mayo 2021
64. CyberSecurity News Magazine: Números anteriores 66. Cyber Insurance Day 21
Fastly y Signal Sciences han unido sus fuerzas para transformar el panorama de la seguridad. Juntos creamos una plataforma de seguridad unificada, creada para DevOps de hoy en día. Signal Sciences, reconocida como visionaria en el informe Gartner Magic Quadrant 2020 para Web Application Firewalls, aporta a la familia Fastly soluciones de seguridad líderes en el sector. Más información en:
fastly.com/es/signalsciences
6 #Cybercoffe
CyberCoffee ANTONIO MARCO, CISO DE LANACCESS
ANDREA FIORENTINO, JEFE DE PRODUCTOS Y SOLUCIONES DE VISA
JOAN MASSANET, CEO DE LA EMPRESA MALLORQUINA DE CIBERSEGURIDAD WORLD2CONNECT Y CISO EN MAXIMICE EVENTS GROUP
PABLO MASAGUER, CISO EN SOCIEDAD TEXTIL LONIA
MARIONA CAMPMANY, DIGITAL IDENTITY AND INNOVATION LEAD EN MITEK.
Siguenos en:
CyberSecuritynews | Mayo 2021
Monitorice de forma instantánea el nivel de seguridad de cualquier organización ¿Es seguro su ecosistema? La mayoría de las organizaciones no saben si sus redes son vulnerables a ciberataques que suponen la filtración de su información sensible, su propiedad intelectual o la indisposición de sus activos digitales más críticos.
Solicite un informe customizado de su rating de riesgo de forma gratuita en securityscorecard.com SecurityScorecard le ofrece un informe gratuito del nivel de ciberseguridad de su organización. Descubra de primera mano cómo ven su organización desde el exterior los hackers, sus partners y sus clientes. La plataforma de SecurityScorecard también propondrá acciones para mejorar su rating de seguridad, de cara a minimizar el riesgo de sufrir un ciberataque.
El logo de Gartner Peer Insights es una marca registrada y una marca al servicio de Gartner, Inc. y/o sus afiliadas, y se incluye aquí con autorización. Se reservan todos los derechos.
Empresas que confían en SecurityScorecard
https://securityscorecard.com/
info@4biz.es
8 Recap entrevista CSN 2021
#CyberEntrevistas #CyberEntrevistas Luis Daniel Zamudio, CISO
David Matesanz, CISO
Facundo Gallo, CISO
Daniel Madero, Regional Sales Director
CyberSecuritynews | Mayo 2021
9
PROTEGERSE HOY. PREVENIR EL MAÑANA. PREDECER MAÑANA.
Protección, inteligencia e interrupción para eliminar las amenazas externas a las marcas, el personal, los activos y los datos en toda la superficie de ataque público.
zerofox.com
Redes Sociales Web Oscuro Web Profundo Mercados Apps Móviles Blogs Noticias Digitales Reseñas Plataformas de colaboració CyberSecuritynews | Mayo 2021
10 Recap entrevista CSN 2021
#CyberEntrevistas #CyberEntrevistas Eusebio Nieva, Director Técnico
Alejandro Ramos, Director de Operaciones
Laura del Pino , Senior Manager en Data
Álvaro Garrido, CSO
CyberSecuritynews | Mayo 2021
No es un juego justo
Los ciberdelincuentes usarán inteligencia artificial para potenciar su jugada. Las nuevas innovaciones tecnológicas están ayudando a impulsar ciberataques más sigilosos, más rápidos y más efectivos, que se mezclan con la actividad en segundo plano. Aprenda a luchar contra la IA, con IA. darktrace.com/es/
12 Especial CISO Day
Madrid acoge la III Edición del CISO Day Este 10 de junio, durante el CISO Day se pondrán sobre la mesa las diferentes problemáticas a las que se enfrentan los responsables de la ciberseguridad
E
TEXTO: Alicia
Burrueco
l incremento de las ciberamenazas a lo largo del 2020 ha crecido exponencialmente siendo un 125% mayor el número de ciberataques en España en comparación con 2019. De hecho, se calcula que hubo una media de 40.000 ataques diarios, siendo la suplantación de identidad, o el ransomware los más habituales. Todo ello ha hecho que el papel del CISO esté siendo clave en las empresas privadas y en sector público, así como para la industria. En este contexto, el próximo 10 de junio se celebrará de nuevo el CISO Day, la tercera edición del mayor evento en torno a la figura del CISO, organizado por Cybersecurity News. El objetivo de este evento es tratar las diferentes problemáticas a las que se enfrentan los responsables de la ciberseguridad. Este año volvemos a repetir formato y lo haremos de manera híbrida. Será en formato virtual e híbrido, a través de Live streaming para permitir la asistencia de cualquier usuario desde cualquier punto del mundo ya sea de manera online, o mediante asistencia presencial en el Hotel Nuevo Boston de Madrid. CISO Day 2021 cuenta con el apoyo de patrocinadores como Security Scorecard, Fastly, Darktrace, Mdtel, Zerofox, a3Sec, Oodrive, ZTE y ESIC, así como con la colaboración de Axicom, Vino Premier, Women4Cyber, La Neurona, Big Data magazine e Ecommerce News y con el apoyo institucional del Centro Criptológico Nacional (CN-Cert). Además de CyberSecuritynews | Mayo 2021
la colaboración especial de Carlos Seisdedos, como presentador del auditorio principal. Esta edición será especial por diferentes motivos. Uno de ellos es porque por primera vez en el CISO Day, se contará con dos salas simultáneas para abordar diferentes temas de actualidad, tendencias y herramientas del sector de la ciberseguridad. Entre los ponentes actualmente confirmados se encuentran: - Jesús Martín Oya, General Director, Southern Europe and Middle East de Fastly - Gersán Murcia Suárez, CISO para Canaragua Concesiones, Aguas de TELDE y TEIDAGUA - Joaquín Castellón, CISO de Navantia - Diógenes Mariño Torrellas, CISO Corporación América Airports Uruguay - Toni García, CISO y CIO en Leti Pharma - Alejandro Scatton Londero, Cibersecurity Protection OT en Siemens - Jose Luis Gallego, OT Cibersecurity Architecture en CEPSA - Eva Román, international talent acquisition in technology, cyber security & hr y miembro de Woman4Cyber - Julia Perea, Directora de seguridad digital en Telefónica y miembro de W4C - Fanny y Pérez, CISO en CODERE - Javier Monjas, CDO y profesor UCM - Maica Aguilar, Gerente de Seguridad en Ferrovial y Junta Directiva de Woman4cyber
- Fernando Sánchez, CISO en Aplázame - Ana Gómez, Head of Global Cibersecurity Awareness BBVA - José Ferreira da Costa, Regional Director, LATAM & Iberia de SecurityScorecard - Francisco José Arbulu, Partner 4BIZ-Reseller de SecurityScorecard para España - Alejandro de la Peña, Gerente de Cuentas de A3SEC - Jose Ignació García Egea, Director Técnico de A3SEC España - Juan Sáez, Cibersecurity Analyst & Project Manager de MDTEL - José María Labernia, Head de IT security e Internal Control de Lafargeholcim IT EMEA - Juan Grau, Regional Sales Director Southern Europe de Zerofox - Javier Candau, Jefe de departamento en CCN-CERT Centro Criptológico Nacional - José Badía, Country Manager, Spain & Portugal at Darktrace - Juan Cobo, CISO en Ferrovial - Mar López, Jefa de la Unidad de Ciberseguridad y lucha contra la Desinformación del DSN (Gobierno de España) - Ignacio José García Egea, Director Técnico de A3Sec España - Antonio Relvas, Director Cybersecurity Strategy en ZTE - Carlos López Ariztegui, Ingeniero Superior de Telecomunicación, Universidad Politécnica de Madrid.
.
14 Eventos
CISO DAY 2021 10 de junio
International CyberEx 2021 30 de junio
El CISO Day 2021 tendrá lugar con un formato híbrido el 10 de junio, celebrándose con un público reducido de manera presencial. Y el resto en formato virtual a través de una herramienta que favorecerá una experiencia híbrida inmersiva. Asemejando la experiencia digital a la real al máximo.
International CyberEx es una iniciativa de la OEA (Organización de los Estados Americanos) e INCIBE (Instituto Nacional de Ciberseguridad de España) que persigue el fortalecimiento de las capacidades de respuesta ante incidentes cibernéticos, así como una mejora de la colaboración y cooperación ante este tipo de incidentes.
Summer BootCamp 2021 12 - 22 de julio
European Cyber Security Challenge 28 de septiembre
2 Sesiones abiertas (12 y 22 de julio) para que todos los profesionales de la ciberseguridad puedan participar de esta iniciativa conjunta de INCIBE y OEA. Estas sesiones tendrán una duración de entre dos y tres horas, impartidas en horario de tarde, formadas por keynotes internacionales en el idioma de referencia del ponente, donde se ofrece un servicio de traducción simultánea.
Una iniciativa de la Agencia de la Unión Europea para la Seguridad de las Redes y la Información (ENISA), participada por un grupo de países europeos organizadores de competiciones nacionales de ciberseguridad. Se trata del mayor campeonato técnico a nivel europeo en materia de ciberseguridad, en el que compiten los mejores jóvenes talentos de los diferentes países participantes, seleccionados a través de sus diferentes competiciones nacionales.
Jornadas STIC CCN-CERT Noviembre 2021
CYBER INSURANCE DAY Diciembre 2021
El Centro Criptológico Nacional, adscrito al Centro Nacional de Inteligencia de España, organiza desde el año 2007 las Jornadas STIC CCN-CERT, que se han convertido en el principal encuentro de ciberseguridad celebrado en España.
Un congreso pionero que pretende unir al sector asegurador y al sector ciberseguridad, con las empresas finales contratantes del ciberseguro. ¿Nuestra misión? Ser el foro principal de discusión nacional en torno a las novedades del ciberseguro, ayudando a la evolución y maduración del que será el producto estrella de ambos sectores.
CyberSecuritynews | Mayo 2021
Descubra la solución de firma electrónica inteligente en oodrive.com
Disponibilidad en plataforma o API Facilidad de uso y de implementación Cumplimiento de las normas de seguridad. Accesible en computadora, tableta y móvil Función de recopilación de información de «Smartfields®» Ruta de firma personalizable
Creado en el año 2000, Oodrive es actualmente el líder europeo en gestión de documentos sensibles. Oodrive ofrece en particular una solución inteligente de firma electrónica, cumpliendo con las certificaciones de seguridad locales e internacionales más exigentes. Presente en toda Europa, Oodrive cuenta con más de 400 empleados. Las soluciones del grupo han sido adoptadas por más de un millón de usuarios de diversos sectores económicos.
15 000 clientes
Oodrive Spain C/ Gabriel García Márquez, 4 - 1 28232 Las Rozas (Madrid) - España
1 millión de usuarios
20 años
de experiencia
Escanee el código QR para descubrir oodrive_sign
16 Chief Information Security Officer
La demanda del “CISO” en diferentes países El CISO es una figura profesional cada vez más demandada a nivel mundial pero… ¿en qué países se está demandando más? AUTOR: Redacción
N
CyberSecurity News
o cabe duda que el trabajo del Director de Ciberseguridad es cada vez más complejo debido al incremento del cibercrimen. Es por ello que este rol es cada vez más conocido y demandado a nivel mundial. ¿Cómo está España en cuanto a ofertas de trabajo para CISOs con respecto a otros países? Desde CyberSecurity News y aprovechando el contexto del CISO Day 2021, elaboramos un pequeño experimento para ver la demanda de esta figura en nuestro país con respecto a otros países del mundo. Para llevar a cabo esta curiosidad, nos introducimos en la sección de empleo de LinkedIn, la red social profesional más conocida del mundo e introducimos la palabra clave “CISO” sin ningún filtro adicional más allá de la ubicación. Este ejercicio fue elaborado el 19/05/21. ¿Los resultados? ¡En esta infografía!
.
CyberSecuritynews | Mayo 2021
17
Café con CISOs
A3Sec presenta la segunda edición de Café con CISOs by A3Sec La compañía especializada en soluciones integrales de Ciberseguridad y Monitorización, A3Sec, presenta la segunda edición de Café con CISOs by A3Sec, una nueva iniciativa impulsada en los tres países en los que está presente, México, Colombia, a parte de la propia España. TEXTO: Pedro
C
Pablo Merino
afé con CISOs surge como un foro donde CISOs de diferentes sectores podrán contar cómo es su día a día, conocer sus inquietudes, sus retos, cómo gestionan sus equipos y cuáles son sus relaciones con los dirigentes de sus compañías. En la primera edición de España, el primer invitado de Café con CISOs by A3Sec fue Jesús Alonso Murillo, CISO de Ferrovial Servicios. Jesús es un profesional con 18 años de experiencia en el sector de la ciberseguridad. En 2018 fue nombrado entre los 25 profesionales más influyentes de la ciberseguridad en España. Con anterioridad a Ferrovial Servicios trabajó como IT Risk Manager en Corporate Security & Engineering
Risk en BBVA, donde trabajó en el proyecto global de automatización de evidencias y proyectos derivados de la protección del dato. También trabajó en otras grandes compañías como Aegon, Indra y Telefónica. Actualmente en Ferrovial Servicios, una de las mayores y más diversificadas multinacionales de servicios para infraestructuras y ciudades, se
encarga de la Dirección Estratégica de Información y Ciberseguridad, definiendo, desarrollando y manteniendo una estrategia y un modelo operativo de seguridad cibernética alineados con el negocio, entre otras funciones. Esta primera entrevista, realizada por Alejandro de la Peña, director general en España e Ignacio José García Egea, director técnico de
“En esta edición de Café con CISOs, el invitado ha sido Jesús Alonso Murillo, CISO de Ferrovial Servicios, un profesional con 18 años de experiencia en el sector de la ciberseguridad” CyberSecuritynews | Mayo 2021
18 A3Sec A3Sec, tuvo lugar en un entorno de lujo como el Hotel H10 Puerta de Alcalá. Un precioso emplazamiento ubicado junto al Parque del Retiro, en el exclusivo barrio de Salamanca de Madrid, donde se encuentran las mejores boutiques y centro neurálgico financiero de la ciudad, en la impresionante Terraza El Cielo de Alcalá con preciosas vistas panorámicas a la ciudad. Comenzó la entrevista comentando que el cibercrimen es el delito número 1 en el mundo. “Y en España, el número de ataques a PYMES aumentó un 186%. Según la OCDE, los incidentes alcanzan un número de 55 billones” comentó Jesús. Por este motivo, recalcó la importancia de estar detrás de los incidentes. Según explica Jesús, “es bueno ser agnóstico con la tecnología y apoyarse en proveedores externos. No pensar tanto en qué tecnología estoy utilizando y sí en qué es lo que queremos conseguir, cómo quiero proteger la empresa y los negocios de esta”. En lo que respecta al trabajo en el día a día de un CISO, Jesús comentó que “la cooperación con otros departamentos es clave: “Es muy necesaria la coordinación entre los diferentes departamentos. Nosotros estamos muy alineados con compliance y servicios jurídicos, algo menos con otros como los de infraestructuras”. Otro perfil con el que Jesús recomienda estar en permanente contacto son los data scientist: “Deberíamos ser muy amigos de los data scientist. Ellos son el mejor aliado de un CISO” explica. Porque “el dato es muy importante para nuestro desempeño, también trabajar con grandes volúmenes de información para poder ver desde dónde podrán venir los próximos ataques”. Alejandro de la Peña por su parte, comenta que aparte de los grandes volúmenes de datos, “los análisis en tiempo real son clave, es lo que hace falta ahora”. Ignacio José García Egea detalla por otro lado que desde A3Sec potencian la instalación de EDR pero creen que es esencial acompañarlo de un equipo de threathunting que explote esa investigación. “Nosotros tenemos puesto mucho el foco en el servicio, no tanto en las siglas, que son muy importantes por supuesto. Porque, aunque nuestro negocio está basado en las mejores CyberSecuritynews | Mayo 2021
La segunda edición de Café con CISOs tuvo lugar en la impresionante Terraza El Cielo de Alcalá con preciosas vistas panorámicas a la ciudad.
Los tres protagonistas en la presentación inicial, con vistas de Madrid de fondo
soluciones buscamos llevar al cliente a ese modelo de portal gestionado” comenta Ignacio. Al fin y al cabo, no hay que olvidar una cosa siempre: Las personas. Según el CISO de Ferrovial Servicios, “no debemos olvidar a las personas y la concienciación. Porque al final quien gestiona es una persona. Nosotros los que estamos aquí si podemos tener muy en nuestra cabeza la seguridad, tanto en nuestro negocio como en nuestro día a día personalmente. Pero hay que seguir concienciando a la sociedad de la importancia de la ciberseguridad” concluía Jesús.
.
La presentación tendrá lugar el próximo 24 de junio. Escanea el QR para registrarte y verlo.
19
Especial concienciación y entrenamiento
CyberSecuritynews | Mayo 2021
20 Filtración de datos
¿Qué debemos hacer ante una filtración de datos en las redes sociales? La privacidad de las redes sociales, en ocasiones, se ve comprometida. Es por ello que es muy importante recordar la importancia de configurar bien la privacidad en tus redes sociales. AUTOR: Alicia
H
Burrueco
oy en día hay una gran cantidad de peligros que se esconden en la red y los cibercriminales, además de estar al acecho con sus próximas víctimas, se están modernizando constantemente para sacar nuevas técnicas de ataque. La filtración de datos es una de ellas pero… ¿Sabes qué es una brecha de datos y cómo hay que defenderse? La filtración de datos ocurre cuando la información privada de los usuarios cae en manos equivocadas, ya sea por accidente o de manera intencionada. ¿Qué
hacer si se filtran nuestros
datos?
Si tienes cuentas en diferentes redes sociales, y dentro de estas tienes datos comprometidos, es necesario saber que: según el artículo 82 del RGPD, toda persona que haya sido víctima de daños y perjuicios materiales o inmateriales debido al inclumplimiento del RGPD tendrá derecho a recibir una indemnización. Y si el ciberataque ha sido a través de un ransomware, ¿es el mismo procedimiento? La respuesta es no. Según la RGPD hay obligación de que las organizaciones que hayan sido víctimas de una brecha de datos actúen de manera responsable y lo notifiquen, por un lado, a la Autoridad de Control Competente y por otro lado a la persona cuyos datos han sido comprometidos. ¿Qué pueden hacer los ciberdelincuentes con mis datos? Si los ciberdelincuentes se hacen con el poder de estos datos pueden llegar a hacer mucho daño por el uso indebido que hagan con ellos: CyberSecuritynews | Mayo 2021
· Crear perfiles falsos con tu nombre y apellidos. · Pueden registrarse en una plataforma con los datos de una víctima. · Enviar mensajes maliciosos bajo el nombre de otra persona. · Vender los datos. Filtraciones de datos en 2021 Solo llevamos la mitad del año 2021 y ya, desgraciadamente, ha habido diversas filtraciones de datos muy sonadas, a la vez de importantes. Hace unos meses, la privacidad de Facebook sufría un ciberataque y dejaba expuestos los datos de más de 500 millones de usuarios y a este le seguía, tan solo unos días después, la brecha de datos de una de las redes sociales profesionales más grandes que hay: Linkedin. También se dejaron expuestos correos, teléfonos, nombres de usuarios, etc. ¿Cómo configurar la privacidad de tus redes sociales? Las redes sociales se han convertido en algo indispensable en nuestra sociedad. Una gran mayoría de la población les
dedica horas y horas, ya sea por temas profesionales o personales. Pero, ¿se utilizan de una manera correcta? ¿Tus redes sociales están ciberseguras? En muchas ocasiones, un uso inadecuado de las redes sociales es un foco de vulnerabilidades en materia de ciberseguridad. Es por ello que os volvemos a recordar que tenemos a vuestra disposición un whitepaper (escanéa el QR de arriba) en el que os contamos todo lo que necesitas saber para configurar la privacidad en redes sociales.
.
21
Redes Sociales
#C
S S E N R A W A YBER
Games
n ó i c a i c n Concie
¿QUÉ ES LA DARK NET?
FRAUDES ONLINE
CARNAVAL CIBERSEGURO
NAVIDAD CIBERSEGURA
OFERTAS BLACK FRIDAY
BRECHAS DE SEGURIDAD
CyberSecuritynews | Mayo 2021
22 Especial CISO’s / Darktrace & IA en la ciberseguridad
El 88% de los profesionales de seguridad creen que los ataques potenciados en IA son inevitables” En 2013, un equipo de matemáticos expertos en inteligencia artificial de clase mundial estaba trabajando en algunas aplicaciones innovadoras de la inteligencia artificial. Unieron fuerzas con expertos en inteligencia para crear herramientas avanzadas que facilitasen a las máquinas una comprensión mucho más profunda que permite identificar e interrumpir en tiempo real ciberataques de cualquier índole. Así nació Darktrace. TEXTO: Samuel
Rodríguez
CyberSecurity News (CSN): Seguramente nuestros lectores conozcan ya Darktrace pero en por si acaso, repasemos en primer lugar sus orígenes. En este sentido, haciendo un breve repaso por la página web, descubrimos que Darktrace fue la primera empresa en aplicar inteligencia artificial en el mundo de la ciberseguridad. Eso ya nos dice mucho pero... ¿qué nos puede contar del recorrido de su compañía a nivel global hasta el momento actual? José Badía (JB): A esta herramienta
que describíamos en la introducción la CyberSecuritynews | Mayo 2021
llamamos “IA de autoaprendizaje” y, en la actualidad, está conectada a más de 4.700 organizaciones en más de 100 países para protegerse contra todo tipo de amenazas sofisticadas y sigilosas. Desde nuestros inicios en 2013, hemos dado pasos agigantados en el avance de la IA. En 2016, la oferta
de Darktrace se amplió con nuestra tecnología de Respuesta Autónoma, capaz de luchar contra los ataques a la velocidad de un ordenador de parte de los humanos. En 2019, nuestro equipo de I + D hizo posible que nuestra IA cuestionara y narra en lenguaje sencillo sus propios hallazgos. En otras palabras,
“Los ataques rápidos como el ransomware continúan amenazando a los hospitales, las instituciones del sector público y la infraestructura nacional crítica”
23
Especial CISO’s / Darktrace & IA en la ciberseguridad
“Debido a las técnicas de ingeniería social cada vez más sofisticadas, muchos correos electrónicos maliciosos ahora son prácticamente indistinguibles de la comunicación general y no existen reglas estrictas y rápidas sobre cómo los empleados pueden identificarlos” en lugar de que los equipos de seguridad observen los resultados de la IA y apliquen su propio contexto y entendimiento, la IA ahora también se ocupa de explicar los entresijos de esos incidentes cómo si lo hiciera un analista de seguridad. Nuestras últimas innovaciones de inteligencia artificial se han centrado en mitigar el riesgo del trabajo descentralizado y la transformación digital acelerada, brindando seguridad desde y hacia la Nube, y las recientes asociaciones con organizaciones como Microsoft han acelerado la protección en todas las herramientas de colaboración virtual. CSN: Si nos centramos en el mercado español, ¿cuál es su situación actual? ¿Qué objetivos tiene Darktrace marcados para el futuro próximo? JB: Los ciberataques son un desafío de
la sociedad importante en casi todos los países del mundo, y España no es una excepción. Los ataques rápidos como el ransomware continúan amenazando a los hospitales, las instituciones del sector público y la infraestructura nacional crítica. La innovación tecnológica como solución a este desafío, no ha estado entre las prioridades nacionales hasta hace mas bien poco. Sin embargo, a medida que los ataques se están haciendo cada vez más sofisticados y sigilosos, las organizaciones se están alejando de los enfoques tradicionales de seguridad y recurriendo a nuevas tecnologías más dinámicas que pueden mantener el ritmo. Esta transición hacia herramientas más punteras ha llevado a que hace poco más de dos años, Darktrace decidiese abrir una oficina en Madrid para dar cobertura a la creciente lista de clientes que buscan adoptar un enfoque radicalmente diferente de la ciberseguridad. Es un momento ilusionante para Darktrace. Nuestro objetivo es siempre
expandir el uso de Ciber IA a nivel mundial y a diferentes partes de la empresa, y esta sigue siendo nuestra visión para el mercado español.
CSN: Pongamos la siguiente casuística: Un empleado recibe un spear phishing. El objetivo del ciberdelincuente, es desplegar malware a toda la red con una simple descarga e instalación de un archivo malicioso. Esto lo conseguiría usando la ingeniería social, intentando provocar las emociones del empleado para que logre realizar la acción de descarga y ejecución. ¿Cómo podría la plataforma de Cyber IA de Darktrace a prevenir esto? JB: Hasta la aparición de Antigena
Email, una tecnología pionera en el mundo, la seguridad del correo electrónico era un problema crítico, y actualmente el 94% de los ataques aún se originan en la bandeja de entrada.
La realidad es que, con demasiada frecuencia, los empleados de todo el mundo, ocupados haciendo su trabajo, se enfrentan a ataques de correo electrónico de ingeniería social muy convincentes y sofisticados. Éstas siguen siendo la forma más común de que un atacante se infiltre en una organización. Debido a las técnicas de ingeniería social cada vez más sofisticadas, muchos correos electrónicos maliciosos ahora son prácticamente indistinguibles de la comunicación general y no existen reglas estrictas y rápidas sobre cómo los empleados pueden identificarlos. La formación sobre cómo detectar estos correos electrónicos es importante, pero hoy en día no es suficiente. Las herramientas de filtrado de correo electrónico que comparan los correos electrónicos con las listas negras no son lo suficientemente buenas porque estos correos electrónicos suelen ser novedosos en su contenido. Por el contrario, Antigena Email aprende el “patrón de vida” único de
cada usuario de correo electrónico para identificar los indicadores sutiles de un correo electrónico malicioso. Fundamentalmente, la IA interviene y bloquea el correo electrónico malicioso antes de que pueda llegar a un usuario, conteniendo el ataque antes de que se convierta en una crisis y la empresa pueda continuar en su actividad normal. CSN: Estamos hablando de los beneficios de la inteligencia artificial en el mundo de la ciberseguridad pero no cabe duda que el cibercrimen también sabe utilizar la IA y lo hace muy bien. ¿Nos podría contar algunos ejemplos de cómo el lado del mal evolucionará sus técnicas en un futuro próximo?
JB: En las redes sociales e Internet en general, ya hemos visto circular “deepfakes”: imágenes o videos que se modifican para difundir deliberadamente información errónea o dañarla reputación figuras políticas, o incluso para la ingeniería social. Pero la IA también se puede utilizar de formas más sutiles, por ejemplo, para crear correos electrónicos muy convincentes que se hagan pasar por personas de confianza dentro de su red, o para garantizar que el malware se dirija a los conjuntos de datos de mayor valor dentro de una red corporativa. Esto se conoce como “IA ofensiva” y su aparición es una preocupación real para las empresas y los gobiernos. Tanto el World Economic Forum como Europol han advertido sobre los peligros de la IA ofensiva en informes recientes. Un informe de Darktrace y Forrester el año pasado encontró que el 88% de los profesionales de seguridad creen que los ataques potenciados en IA son inevitables, y un informe del mes pasado de MIT Tech Review encontró que el 96% de los profesionales de seguridad ya se están preparando para la IA ofensiva, y muchos se están viendo obligados a adoptar defensas de IA. Los atacantes siempre buscan mejorar y automatizar sus ataques, y la IA CyberSecuritynews | Mayo 2021
24 Especial CISO’s / Darktrace & IA en la ciberseguridad
“El 88% de los profesionales de seguridad creen que los ataques potenciados en IA son inevitables, y un informe del mes pasado de MIT Tech Review encontró que el 96% de los profesionales de seguridad ya se están preparando para la IA ofensiva”
es solo la última herramienta de su arsenal para lograrlo. El malware de IA ofensivo será rápido e inteligente, lo que permitirá a los atacantes acelerar los ataques, atacar a más organizaciones a la vez y evadir las defensas tradicionales. Podemos esperar que se use durante todo el ciclo de vida del ataque, ya sea para usar el procesamiento del lenguaje natural (NLP) para comprender el lenguaje escrito y para crear correos electrónicos de spear-phishing contextualizados a escala, o para la clasificación de imágenes con el fin de acelerar el robo de documentos confidenciales una vez que un entorno se ve comprometido y los atacantes estén en busca de material del que puedan beneficiarse. La IA defensiva es absolutamente necesaria para luchar contra la IA ofensiva. Los humanos no son rival para los ataques procedentes de máquinas, y los controles de seguridad tradicionales ya están luchando por detectar ataques que CyberSecuritynews | Mayo 2021
nunca antes se habían visto en el mundo real. Solo la IA puede luchar contra la IA, y será una guerra de algoritmos.
CSN: Cuando hablamos de ciberseguridad parece que siempre nos referimos a la preocupación de grandes compañías y organismos públicos pero la realidad es que es una cuestión de preocupación creciente en el mundo pyme y microempresas.
¿Cree que la ciberseguridad real está democratizada y al alcance fácilmente de este colectivo? Recordemos que el nivel de resiliencia aquí es mucho menor y las consecuencias pueden ser equivalentes en muchos casos al cierre permanente de los negocios... JB: La ciberseguridad actual es un desafío
para prácticamente todas las organi-
“Un número creciente de organizaciones del sector público, como el Servicio Nacional de Salud (NHS) del Reino Unido, aprovechan hoy esta tecnología de inteligencia artificial de vanguardia para luchar contra los ataques cibernéticos”
25
Especial CISO’s / Darktrace & IA en la ciberseguridad zaciones, y hay mucho en juego para todos. Las organizaciones pequeñas y del sector público históricamente se han quedado atrás de las empresas más grandes en madurez cibernética, lo que las convierte en un objetivo más fácil para los ciberdelincuentes, pero esto está cambiando rápidamente. Afortunadamente, hoy en día, existe tecnología escalable que se adapta a organizaciones de todas las formas y tamaños. En Darktrace, por ejemplo, trabajamos con una amplia gama de organizaciones, desde compañías Fortune 500 hasta organizaciones benéficas de 10 personas. A pesar de la sofisticación de la tecnología, no se requiere un experto en inteligencia artificial o un matemático para navegar por el producto. Un número creciente de organizaciones del sector público, como el Servicio Nacional de Salud (NHS) del Reino Unido, aprovechan hoy esta
tecnología de inteligencia artificial de vanguardia para luchar contra los ataques cibernéticos. CSN: Llevamos mucho tiempo hablando de teletrabajo y realmente hoy ya se da por hecho que es una realidad que ha venido para quedarse de forma permanente, ya sea combinado con modelos híbridos. En este contexto, quizás sería fácil de entender los riesgos del teletrabajo y si es posible tener los entornos controlados en este contexto. ¿Qué consejos podría darnos? ¿Cómo abordáis el teletrabajo seguro desde su compañía? JB: La pandemia puso a prueba las ciber-
defensas de las organizaciones. Rápidamente quedó muy claro que la seguridad estática, basada en reglas sobre lo que es “bueno” y “malo”, simplemente no podía seguir el ritmo de los entornos cambiantes para los modelos de trabajo dinámicos.
El desafío para las organizaciones hoy en día no es crear reglas de seguridad nuevas y actualizadas para un mundo nuevo, o incluso lanzar a más personas al problema, sino que adoptar tecnologías de vanguardia puede defender su negocio en constante evolución. La buena noticia es que la inteligencia artificial ya ha dado grandes pasos en esta área. Lo bueno de la IA es que es muy buena para manejar la incertidumbre y el cambio: aprende lo que es normal y luego lo vuelve a aprender y lo vuelve a aprender, por lo que reevalúa constantemente sus suposiciones. Esto significa que puede mantenerse al día con entornos que cambian rápidamente: la cantidad de dispositivos en la red, las plataformas de software y las herramientas que se utilizan, el comportamiento de los usuarios, todas estas son variables, nunca son estáticas.
.
CyberSecuritynews | Mayo 2021
26 CISO / Concienciación
“Creo que dar charlas de seguridad en los colegios debería ser obligatorio” Charlamos con Soledad Martín Morales, CISO & DPO de Nalanda Global TEXTO: Aina
Pou Rodríguez
CyberSecurity News (CSN): La escasez de concienciación en materia de ciberseguridad es un hecho, ¿a qué cree que se debe esta falta de formación? Soledad Martín (SM): La cibersegu-
ridad a día de hoy es una gran desconocida, es un mundo muy amplio y que crece de forma exponencial. Además, nos hemos visto “obligados” tanto en el plano personal como laboral, a adecuar nuestro día a día a las tecnologías, ya sea para comunicarnos o para estar al día de las noticias que van sucediendo. Esta transición tan abrupta no ha permitido establecer una formación mínima, o unas precauciones necesarias para utilizar los medios tecnológicos a nuestro alcance de una forma responsable y minimizando los riesgos. CSN: ¿Cómo podemos desarrollar un programa de concientización en materia de ciberseguridad? SM: Lo más importante para desa-
rrollar un buen plan de concienciación es conocer bien el negocio de la compañía. Si a los empleados les mandas un curso estándar, finalmente van a pulsar “siguiente, siguiente, siguiente” sin entender la necesidad de por qué deben aprenderlo. Anualmente son obligatorios muchos cursos de muchas temáticas diferentes, si no haces CyberSecuritynews | Mayo 2021
atractiva esta formación, pasará a ser uno más de los obligatorios. Es muy importante conocer qué procesos llevan a cabo los empleados de tu compañía que puedan suponer un riesgo de seguridad y, a partir de ahí buscar ejemplos reales, definir pequeñas píldoras que sean sencillas, que no sean muy extensas y con un resumen de 3 o 4 tips que sean fáciles de recordar. También es importante utilizar diferentes formatos y canales para fijar las ideas: charlas presenciales, correos electrónicos, paneles en las oficinas, blogs internos, etc. CSN: ¿Qué es la cultura en ciberseguridad? ¿Y cómo se puede crear una sólida en el ámbito empresarial? SM: La formación a los empleados en
materia de seguridad es muy importante, pero no es suficiente. Además de enviar estas píldoras que comentábamos anteriormente, es necesario medir su efectividad. Para ello, se pueden hacer diferentes ejercicios para conocer si realmente tu equipo está preparado, como campañas de phishing controladas. Otro punto importante es dar a conocer a toda la compañía una persona de referencia que pueda resolver las dudas de los empleados sobre si lo que está haciendo es o no seguro. En empresas muy grandes tal vez es mejor definir un canal, pero que siempre esté disponible y sobre todo
con ganas de explicar el por qué; esto va a hacer que el empleado aprenda a diferenciar los motivos y así podrá ayudar a sus compañeros. CSN: Y por último, ¿Cómo podemos conseguir un mayor nivel de entrenamiento en cuanto a seguridad cibernética en los usuarios y en la gente de a pie? SM: Veo importantísimo empezar a
generar este conocimiento desde los más pequeños, creo que dar charlas de seguridad en los colegios debería ser obligatorio. Los niños ya nacen con la tecnología bajo el brazo y muchos de ellos manejan los dispositivos mucho mejor que los padres, lo que no conocen son los riesgos que hay y las repercusiones que estos pueden tener. En cuanto a los adultos, lamentablemente solemos encontrar el interés cuando a nosotros o a una persona cercana le ha ocurrido una situación desagradable: un virus en el ordenador, le han robado dinero de su cuenta, o han publicado información suya en redes sociales. Hay empresas en el sector de la seguridad que disponen de charlas de ciberseguridad muy interesantes y, en mi opinión, necesarias para cualquier persona. También hay repositorios públicos en internet como la oficina de seguridad del internauta (OSI) o Internet Segura for Kids (is4k).
.
Especial formación en ciberseguridad
28 Entrevista
“El 42% de los profesionales de ciberseguridad dicen que sus organizaciones dejan pasar un alto número de alertas porque no tienen capacidad para mantener al día la gran cantidad de alertas generadas” Para esta ocasión hemos tenido el placer de hablar con Eduvigis Ortiz, una profesional que lleva 30 años en el área de consultoría de negocios y sistemas de la información.
E
TEXTO: Alicia
Burrueco
duvigis Ortiz es una profesional que en los últimos años ha tenido como objetivo promover soluciones utilizando la ciberseguridad integrada en el portafolio de aplicaciones de analítica de datos, inteligencia artificial , arquitectura en la nube y transformación digital. CyberSecurity News (CSN): Eres fundadora y presidenta de Women4Cyber España, ¿cómo surgió y cómo fue el proceso de desarrollo? ¿En qué momento se CyberSecuritynews | Mayo 2021
encuentra actualmente? Eduvigis Ortiz (EO): Tuve la oportu-
nidad de conocer un grupo de mujeres extraordinarias que como yo se dieron cuenta que este es un sector apasionante y lleno de oportunidades y es importante atraer a muchas más mujeres para trabajar en él. Además de que todas desde nuestros distintos roles habíamos sufrido en primera persona la escasez de talento que existe en el sector y la poca representación femenina que hay. Todavía menos representación que en el sector de la tecnología. Por eso en julio de 2018 se puso en
marcha una comunidad de mujeres liderada por Karen Gaines con una primera reunión en Microsoft apoyada por su entonces Directora General, Pilar López. Al mismo tiempo, la European Cybersecurity Organization lanzó la Fundación Women4Cyber para promover la visibilización e inclusión de la mujer en la ciberseguridad en toda Europa. Con la máxima de que siempre llegamos más lejos si vamos juntos, en octubre de 2020 realizamos el lanzamiento del capítulo español de Women4Cyber e integramos la iniciativa local para explotar sinergias de
29
Formación nuestro entorno europeo, construyendo sobre experiencias ya aplicadas en otros países y continuar cada día aprendiendo y evolucionando con las líneas de trabajo marcadas por la Fundación Women4Cyber como son: 1.-Crear comunidad promoviendo las mejores prácticas y visibilizando los referentes femeninos del sector 2.-Promover programas de formación a todos los niveles en ciberseguridad y tecnología para atraer más talento femenino 3.-Potenciar la presencia de mujeres en el mercado laboral de la ciberseguridad a través de distintos programas 4.-Incrementar la presencia de mujeres en la Investigación e Innovación (I+I) en ciberseguridad y en el campo de las tecnologías emergentes 5.-Apoyar y dar forma a políticas a nivel nacional y de la UE que estén en consonancia con los mensajes de Women4Cyber 6.-Establecer y coordinar alianzas nacionales e internacionales del ámbito de la ciberseguridad a nivel público y privado Estoy muy orgullosa de presidir una junta directiva integrada por mujeres referentes en el mundo de la ciberseguridad y el sector tecnológico, cada una de ellas reconocidas nos solo por su gran valor profesional sino también por su generosidad y trabajo incansable para hacer de la ciberseguridad un sector más diverso e inclusivo. Muchísimas gracias a Mar López Gil, Rosa Díaz Moles, Idoia Mateo, María de Miguel, Daniela Kominsky, Maica Aguilar, Eva Román, Concepción Cordón, Julia Perea, Begoña García Pérez, Elena García Diez, Ana Ayerbe, Soledad Antelada y Beatriz Soto por vuestro compromiso cada día.
CSN: Cada vez son más las mujeres que se adentran en el mundo de la ciberseguridad y ocupan puestos de responsabilidad. ¿Crees que todavía queda mucho recorrido por hacer? EO: Nos queda mucho camino por
recorrer, aunque estoy convencida que vamos por el buen camino. Hacer cantera es muy importante y trabajar a todos los niveles para atraer talento femenino para la gente que quiere dar un cambio en su carrera profesional o buscar nuevas oportunidades. Ahí también estamos trabajando arduamente desde nuestra línea de Talento
Joven desde donde nos coordinamos con asociaciones que trabajan con las niñas y adolescentes como Inspiring Girls y Stem Talent Girl para que ellas conozcan más sobre tecnología y ciberseguridad. Sobre todo, que sientan que tienen espacios en estas carreras y pueden ser un camino para ellas. La UNESCO nos señala que alrededor del mundo sólo un 30% de las mujeres estudian carreras relacionadas con las ciencias, la tecnología, las ingenierías o las matemáticas (STEM, por sus siglas en inglés). Mirando los datos más de cerca, sólo 3% de ellas estudian carreras relacionadas con tecnologías de la información y el 8% ingenierías). En los últimos años uno de los estudios más constantes y mencionados sobre la participación de la mujer en la ciberseguridad a nivel global es el que realiza el International Information Systems Security Certification Consortium (ISC)2, encontró en 2013 que sólo el 11% de la fuerza laboral en la ciberseguridad eran mujeres, frente al 24% en el 2020. Estos datos me dan mucha esperanza porque indican que todos los esfuerzos e iniciativas que estamos trabajando están dando sus frutos y que el crecimiento en el sector puede absorber todavía más talento femenino y lograr un sector más diverso e inclusivo. Es importante destacar que los medios de comunicación tienen un papel importante en la visibilización de las mujeres como expertas y referentes en el mundo de la tecnología y la ciberseguridad, como dice la sabiduría popular “no se puede ser lo que no se puede ver”. Las niñas y las jóvenes reciben una cantidad ingente de información de muchas fuentes y es fundamental que se vean reflejadas en que las carreras en tecnología y ciberseguridad están llenas de oportunidades y es un camino claro para ellas. CSN: Y para terminar, ¿Qué papel crees que está jugando la Inteligencia Artificial en la ciberseguridad y el cibercrimen? EO: La inteligencia artificial y el
machine learning están siendo y cada día serán más importantes para proteger las empresas e ir por delante de los cibercriminales. Me considero una privilegiada porque tengo la oportunidad de trabajar con dos pilares de la transformación del negocio habilitado por la tecnología como son la ciberseguridad y la analítica de datos unida
Eduvigis Ortiz, fundadora y presidenta de Women4Cyber España
a la inteligencia artificial. Dos líneas que son transversales a cualquier tipo de actividad y que deben ir muy de la mano para mitigar riesgos y estar más protegidos frente a los ciberataques. Las constantes brechas de ciberseguridad que vemos cada día en las que se han visto involucradas empresas de todo tamaño, muchas de las cuales contaban con importantes medidas de seguridad, han dado lugar a la necesidad urgente de que las organizaciones refuercen sus sistemas de seguridad desde otro punto de vista, más transversal y holístico. En general las compañías utilizan de media unos 75 productos de seguridad para protegerse de distintos ataques y muchas veces la disparidad de estos y la fragmentación de la información es lo que puede provocar mayores vulnerabilidades. Es aquí donde se ve que la inteligencia artificial y el machine learning juegan un gran papel. Se ve necesario el uso de los datos procedentes de todas estas soluciones de ciberseguridad aisladas y unificarlos con capacidades analíticas en un solo centro que usando inteligencia artificial aprenda automáticamente para identificar patrones y convertir los datos en inteligencia que permitan tomar mejores decisiones de ciberseguridad. Ya existen algunas soluciones de inteligencia artificial que toman datos de todas las soluciones de ciberseguridad a las que está conectada y ayuda a las organizaciones a centralizar y acelerar la detección de ciberataques. Obteniendo información precisa que identifique las brechas de ciberseguridad y ayude a priorizar las acciones necesarias para mitigarla.
.
CyberSecuritynews | Mayo 2021
30 Formación
“No siempre se aprecia el nivel de riesgo al que se está sometido” Para esta entrevista hemos podido hablar con José María de Fuentes, profesor titular de la Universidad Carlos III de Madrid. Además, ocupa la posición de Vicepresidente del Comité Técnico Nacional de normalización en ciberseguridad y protección de datos. TEXTO: Alicia
Burrueco
CyberSecurity News (CSN): Como docente especialista en ciberseguridad, ¿cuál dirías que es el nivel de ciberseguridad en el sector universitario ya sea desde el punto de vista del profesorado o de los alumnos? José María de Fuentes (JMF): La
presencia de contenidos relacionados con la ciberseguridad es cada vez más creciente, ya no sólo en titulaciones de informática sino también en otras ramas de conocimiento. No considero que sea suficiente, pues hay una serie de nociones y conceptos que deberían “venir de base”, especialmente en lo tocante a la autoprotección y la preservación de la privacidad. Esto es extensible al profesorado... Afortunadamente, el músculo de seguridad TIC corporativa es bastante bueno, contando con varios actores entre los que se cuenta el Instituto Nacional de Ciberseguridad o el Centro Criptológico Nacional. CSN: ¿Crees que sería conveniente añadir una nueva asignatura, en los colegios e institutos, para que los alumnos se conciencien desde bien pequeños? JMF: Sin ninguna duda. Es algo que ya se
ha propuesto reiteradamente, y de hecho el Instituto Nacional de Ciberseguridad ha lanzado varias iniciativas, como IS4K. En todo caso: ¡cuanto antes, mejor! Si desde CyberSecuritynews | Mayo 2021
pequeños empiezan a tomar conciencia de los riesgos que tienen los dispositivos conectados, eso formará parte de su “cultura de ciberseguridad”. Si nadie pone en duda que haya conocimientos esenciales de literatura, matemáticas o idiomas, por ejemplo, la ciberseguridad no puede quedarse al margen. CSN: Las PYMES y las grandes empresas sufren a diario ciberataques, ¿qué hace falta para que las empresas aumenten su nivel de cultura de ciberseguridad? JMF: Hace falta un cambio cultural en
algunos contextos empresariales. Todavía muchas empresas mantienen el chip de “primero que funcione y luego que sea seguro”, a la hora de desarrollar productos. Y desde el punto de vista corporativo, no siempre se aprecia el nivel de riesgo al que se está sometido, quizá por desconocimiento. Así pues, no creo que sea un problema ni de falta de recursos ni de talento, sino de ubicar la ciberseguridad en el lugar adecuado en la escala de prioridades corporativas.
CSN: Si las empresas deciden implementar una estrategia de ciberseguridad, ¿qué dirías que es lo más importante a tener en cuenta antes de poner en marcha dicha acción? JMF: Que se lo crean, y que eso sea
antes de recibir su primer ciberataque o sufrir un incidente. De nada sirve añadir mecanismos de seguridad, que siempre
José María de Fuentes, profesor titular de la Universidad Carlos III de Madrid
redundan en una mayor incomodidad y a veces un menor rendimiento de los sistemas informáticos, si la organización no entiende que es algo imprescindible. Se pueden poner muchos medios, pero sin esa falta de espíritu siempre aparecerá quien siga poniendo la contraseña en post-it...
CSN: Y ya para ir terminando con la entrevista, ¿cómo dirías que será el futuro de la ciberseguridad en un largo plazo? JMF: Tremendamente cambiante y mucho
más imbricado en otras muchas disciplinas, tales como el sector sanitario o los sistemas de control industrial. Los problemas de ciberseguridad serán crecientes, porque cada vez los sistemas son también más complejos, pero el número de profesionales capacitados para hacer frente a ellos también va a incrementarse con lo que “la guerra” está servida pero estoy convencido de que los buenos ganaremos.
.
31
Infografía
¿CÓMO CONVERTIRME EN UN PROFESIONAL DE LA
CIBERSEGURIDAD?
¿Tienes una base técnica? Es recomendable tener una base inicial que puede proponer una ingenieria
Adquiere conocimientos especializados en el área en el que quieres trabajar
Una vez que te has especializado en un área, es necesaria conseguir la certificación que lo demuestre
DERECHO. Cada vez se les pide más a los profesionales que sepan de temas legales
Pon a prueba tus conocimientos para ver tu nivel de preparación
Hay que estar en constante aprendizaje en el mundo de la ciberseguridad
CyberSecuritynews | Mayo 2021
32 Formación en ciberseguridad / CISO
“La figura del CISO debe ser cercana y abierta a todas las áreas, debe siempre acompañar al negocio y ser una figura visible para todos los departamentos” Javier Sánchez Salas, Director de Seguridad (CISO) en Haya Real Estate TEXTO: Aina
C
Pou Rodríguez
harlamos con Javier, experto en ciberseguridad, ligado al sector desde los inicios de su carrera profesional. Desde 2017 desempeña la función de CISO en Haya Real Estate.
CyberSecurity News (CSN): ¿Cómo se combina la innovación y la experiencia de usuario con la seguridad a la hora de desarrollar un nuevo servicio digital? Javier (JS): Cualquier nuevo servicio
debe ser acompañado desde el inicio y diseñado por los expertos de ciberseguridad. De este modo, desde los primeros planteamientos del servicio se tendrán en consideración los requisitos necesarios para minimizar los riesgos, lo cual también minimizará los costes del servicio. Por otro lado, la ciberseguridad y la innovación siempre van de la mano, porque están obligadas a entenderse, y siempre hay beneficio mutuo. Las novedades y evoluciones tecnológicas nos proporcionan herramientas al mundo de la ciberseguridad, por ejemplo el “machine learning”. En cuanto a la experiencia de usuario, siempre decimos que el usuario es el eslabón débil y que tenemos que formarlo, pero recientemente he escuchado un concepto por el que me inclino más y consiste en introducirlos CyberSecuritynews | Mayo 2021
y que se “adueñen” de la cultura de la ciberseguridad, de modo que ellos sean la barrera y no la puerta de entrada. CSN: Para poder llevar a cabo tantas tareas y objetivos, un CISO necesita relacionarse con casi todas las áreas de la empresa. ¿Cómo es posible desempeñar una función transversal con los diferentes departamentos que conforman una empresa? JS: Ante todo, la figura del CISO debe
ser cercana y abierta a todas las áreas, debe siempre acompañar al negocio y ser una figura visible para todos los departamentos. De modo que si surge un nuevo proyecto, riesgo o duda, se piense en nosotros como una especie de “stakeholder” y que nuestro afán es contribuir al éxito de dichos proyectos.
CSN: Ahora nos enfrentamos a la llamada ‘nueva normalidad’, en la que se combina el teletrabajo con la vuelta a las oficinas. ¿Crees que ante esta nueva situación la ciberseguridad se valora como debe? JS: Creo que sí. Esta grave crisis
mundial que hemos sufrido nos ha obligado a cambiar el paradigma del trabajo hacia un mundo laboral que, en muchas empresas, apenas se había comenzado a experimentar. El teletrabajo, la conectividad a procesos y sistemas críticos de la compañía ha
obligado a las compañías y sus equipos de Tecnología y Ciberseguridad a correr para que todo funcionara sin que ello supusiera un riesgo para la compañía y sus activos. Actualmente, la ciberseguridad se ha puesto en valor como vehículo conductor para alcanzar las metas del negocio sin ser perjudiciales para la misma empresa. Eso sí, el actual perímetro de ciberseguridad es tan amplio como dispositivos y usuarios tenga la compañía.
CSN: El mercado de los ciberseguros está en pleno crecimiento, ¿qué beneficios aporta la contratación de estas pólizas? JS: El concepto de que las medidas
y controles de seguridad mitiguen el 100% del riesgo es erróneo. Como se ha visto, cada vez son más los casos de ciberataques, y esto es una preocupación creciente para las empresas ante el riesgo de sufrir un incidente de ciberseguridad. Esta “última línea de defensa” nos ayuda a proteger el negocio de las empresas de las consecuencias de estos incidentes. Pero no sólo en el plano económico, ya que obligan a las empresas a implantar las medidas y procedimientos de ciberseguridad necesarios para alcanzar los mínimos exigidos por las aseguradoras.
.
33
Formación en ciberseguridad / CISO
“La digitalización ha venido para quedarse y el ritmo de transformación digital se ha incrementado sustancialmente con la pandemia” Raúl Díaz Bañobre, CISO en Oney y experto en seguridad de la información
Raúl Díaz Bañobre, CISO en Oney y experto en seguridad de la información TEXTO: Aina
C
Pou Rodríguez
harlamos con Raúl Díaz, gerente de la información y experto en ciberseguridad.
CyberSecurity News (CSN): Raúl, ¿La podría, brevemente, contarnos cuál ha sido su trayectoria hasta llegar a ser CISO de Oney? Raúl Díaz (RD): Comencé mi trayectoria
desde la parte técnica, haciendo tareas de seguridad, sistemas, comunicaciones e incluso desarrollo. Creo que este comienzo de amplio espectro, me ha ayudado mucho a poder tener una visión muy amplia del mundo tecnológico. Posteriormente comencé a trabajar en el mundo de la consultoría hasta que recibí una propuesta en un cliente final, y posteriormente me ofrecieron el reto de Oney, reto que no pude rechazar.
CSN: Con el panorama actual, ¿cuáles son sus predicciones y sus recomendaciones como CISO? RD: Estamos en un momento donde la digi-
talización ha venido para quedarse y el ritmo de transformación digital se ha incrementado sustancialmente con la pandemia. A estos ingredientes hay que sumar otros factores, tales como: el incremento de la capacidad de cálculo, la profesionalización de los “malos”, la dispersión de la información, la necesidad, cada vez mayor, de disponer de la información desde cualquier lugar y en cualquier momento, y todo esto
en un entorno donde el teletrabajo se ha implantado a marchas forzadas por la crisis del COVID. Considerando estos factores, creo que se incrementarán las inversiones en la prevención de fuga de la información, en los análisis de comportamiento digital de los usuarios mediante IA para cruzar dichos análisis con la identificación, y así evitar la pérdida de datos, facilitar la usabilidad de las aplicaciones, incorporar esta información en la identificación de riesgos emergentes y agilizar la respuesta reactiva. Otro campo que sufrirá un incremento sustancial es la ciberinteligencia, pues nos ayuda a recortar la distancia que nos van tomando las brechas y ataques de seguridad, permitiendo evitar y mitigar los ataques antes de que se materialicen. CSN: ¿Qué papel ocupa la ciberseguridad en una compañía financiera? ¿Cree que es un sector en el que está más presente o se le dedica más atención? RD: La seguridad en una compañía
financiera juega un papel clave, no sólo por la seguridad per-se, sino también por que es un sector con una regulación muy férrea. Sin duda alguna es uno de los sectores en los que la seguridad toma mayor relevancia, aún sin llegar a los niveles del sector militar o del sector Farma. CSN: Dentro de la protección del
cliente, la biometría es esencial a la hora de acceder a las aplicaciones por encima de las contraseñas, ¿desaparecerán estas últimas en un futuro próximo? RD: Creo que las contraseñas, como las
entendemos hoy día, serán una ilusión en un futuro no muy lejano; la computación cuántica y la posibilidad de cálculo que provee la nube ayudará a ello. No obstante, muy probablemente se dispondrá de contraseñas mucho más largas que nos hará imposible su memorización, y sólo nos preocuparemos de custodiarlas debidamente. Esto, junto con el análisis del comportamiento digital de los usuarios (también llamado biometría), nos permitirá incrementar la seguridad hasta los niveles adecuados, sin perder usabilidad, aunque probablemente introduzca nuevos riesgos o vectores de ataque que tendremos que gestionar, vamos que en Seguridad no nos vamos a aburrir. CSN: Tras la aparición de los ciberseguros. ¿Cómo se han recibido en el sector financiero? RD: Creo que son productos que han
sido muy bien recibidos, puesto que nos permite realizar transferencia de riesgos, y al mismo tiempo nos ayuda a mejorar el servicio y la percepción de nuestros clientes. Creo que es un win-win en toda regla.
.
CyberSecuritynews | Mayo 2021
34 Formación / Colegios
¿Ciberseguridad en los colegios?
Esta pregunta lleva tiempo planteándose pero cada vez está más cerca de convertirse en una afirmación. TEXTO: Redacción
N
CyberSecurity News
o cabe duda que la seguridad digital es una asignatura pendiente para la sociedad global. Y es que, al igual que en su día en nuestro sector se decía aquello de “los responsables de las compañías no invierten tanto en ciberseguridad como en transformación digital”, en nuestra actividad personal, en nuestra vida diaria pasa eso mismo que pasaba en las grandes empresas. Nos preocupamos por estar a la última en tecnología. Un robot de cocina, todas mis fotografías en la nube, mis hijos hiperconectados con clases online, con juegos online, las compras por supuesto por Internet, altavoces inteligentes en cada rincón, cerraduras, bombillas, cámaras, coches...todo conectado a la red para mayor comodidad y… ¿menor privacidad? Es por ello por lo que, para solventar la clara brecha a nivel social entre la transformación digital y la seguridad digital, se ha planteado la posibilidad de llevar como asignatura a los colegios esta última parte. Así pues, ha sido durante el mes de abril de este 2021 cuando se aprobó una Proposición No de Ley (PNL), de la Comisión Mixta de Seguridad Nacional a través de la cual instaban al gobierno a abordar el tema de la ciberseguridad en colegios e institutos como temática clave para aportar valor a nuestra sociedad. En este sentido, cabe recordar que una Proposición No de Ley es un documento que no tiene ningún carácter vinculante pero que sí constituirá un primer paso para que el Gobierno tome CyberSecuritynews | Mayo 2021
en consideración dicha propuesta. Saliendo de nuestras fronteras, Australia se encuentra -según informaba este pasado mes de mayo TheRegister- en proceso de revisión de su plan de estudios nacional y en su borrador más reciente se ha incluido una sección para abordar diferentes cuestiones de la ciberseguridad y privacidad de los datos en colegios e institutos para niños de entre 5 y 16 años. En plano europeo, cabe destacar que desde la Comisión Europea se está impulsando el denominado proyecto “CONCORDIA”. Se trata de una iniciativa que busca implementar la enseñanza en seguridad digital en institutos. Para conseguir dicho fin, el programa CONCORDIA tiene abierta una encuesta a nivel europeo en la que pueden participar tanto profesores de secundaria como alumnos, padres y profesionales de la gestión escolar. El objetivo, según exponen desde la web oficial de la Comisión Europea, es triple: Relevancia: seleccionar los temas más necesarios para ser cubiertos en los materiales. Efectividad: Definir el formato más adecuado para los materiales a desarrollar. Novedad: Identificar áreas no cubiertas (lo suficiente) por los programas existentes. Esta es otra clara apuesta por el fomento de la ciberseguridad a fin de reducir la brecha entre la transformación digital y la seguridad. Y es que tal y como expone la Comisión Europea en su web: “Los profesores pueden desempeñar un papel importante en la sensibilización de sus alumnos sobre
“Opina en la encuesta a través de este código QR”
la ciberseguridad y en la difusión de una cultura de prevención de riesgos. Si bien son cada vez más sensibles a los problemas de ciberseguridad y han comenzado a adquirir nociones fundamentales en esta área, existe la necesidad de un enfoque estructurado para enseñar temas relacionados con la ciberseguridad a los jóvenes europeos.” Si perteneces al colectivo objetivo, puedes participar en la encuesta a través de este código QR. Hasta el momento, existen diferentes iniciativas en nuestro país para abordar la concienciación en materia de ciberseguridad para los más pequeños en colegios e institutos de nuestro país. Un claro ejemplo a nivel de voluntariado es el programa de Cibercooperantes del INCIBE, que desde el año 2016 han logrado concienciar a más de 158.000 personas. El programa vuelve de nuevo tras el parón que provocó la pandemia con una modalidad totalmente online que permitirá llevar sin ninguna barrera geográfica la seguridad digital a muchos más centros escolares.
.
35
Concienciación en ciberseguridad
Menores de edad y concienciación: un eslabón estratégico del ciclo de vida de la ciberseguridad Posiblemente, nunca los CISO y responsables de la ciberseguridad de las organizaciones en todo el mundo, han estado tan pendientes de la ciberseguridad doméstica de sus empleados como lo han hecho en el largo año transcurrido desde la irrupción del coronavirus en nuestro planeta.
A
TEXTO: Félix
Barrio
sí, se pudo comprobar que los cibercriminales por explorar organizaciones que, acuciadas por la pandemia, desplegaron sistemas de soporte al teletrabajo desde el espacio doméstico de sus empleados, trataban de identificar configuraciones débiles o incorrectas que permitiesen articular intrusiones y ataques por esta vía de los hogares. La concurrencia de espacios domésticos con múltiples usuarios, a menudo menores de edad, que incrementaron su uso de Internet y los dispositivos electrónicos conectados de manera exponencial en este largo año de pandemia, elevó el nivel de exposición al riesgo de verse espiadas, de ser infectados con distintos tipos de software malicioso, para las familias. Y con ello, la posibilidad de que, de modo indirecto, equipos compartidos con los más jóvenes se conviertan en auténticas puertas traseras para lanzar ataques a las organizaciones de todo el mundo. En paralelo, los casos de ciberacoso a este colectivo se han multiplicado con los ciberataques registrados durante 2020 y comienzos de 2021. Muchas horas de consumo de teleeduca-
ción, ocio electrónico, sistemas de chat y mensajería, que son, en ocasiones, vectores para los ciberatacantes, que saben que no siempre se configuran los equipos de cómputo familiares para el uso de sesiones separadas, o que la actualización de antivirus o parcheados no está tan programada como lo están los equipos de las empresas y organizaciones. El estudio sobre percepción de la ciberseguridad y nivel de confianza en España, que semestralmente publica nuestro Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información, alerta en su edición de mayo de 2021 de que el 59,2% de un total de 3.700 hogares que se han prestado a participar en dicho estudio, alojan software malicioso, algún tipo de virus, y que un 72% del mismo es considerable de alto riesgo, porque puede invadir la privacidad de las personas, robar datos personales, financieros o espiar su comportamiento, entre otros riesgos. Más aún, el estudio también indica que el 65,6% de los ciudadanos afirman haber sufrido algún intento de fraude a través de Internet. Si de por sí la preocupación por preservar a nuestros menores del riesgo de verse acosados, de sufrir
Félix Barrio, gerente de Ciberseguridad para la Sociedad de INCIBE
cualquier tipo de abuso por Internet, de ser víctimas de desaprensivos, ya es de por sí una de las grandes preocupaciones de la sociedad y las administraciones públicas en todo el mundo, ahora debemos ser más conscientes que nunca de que el objetivo común debe ser elevar el nivel de capacidades y conocimientos de cualquier usuario en la Red. Y dado el creciente protagonismo de los menores de edad en Internet y las redes sociales, si conseguimos mejorar su capacidad y experiencia de navegación y uso seguros, contribuiremos a reducir el nivel de riesgo global de que el software malicioso y los ciberatacantes alcancen al resto de nuestra sociedad y economía, más digitales que nunca.
.
CyberSecuritynews | Mayo 2021
36 Concienciación
“Me imagino el área de ciberseguridad naturalizada, donde todo organismo, empresa o familia conozca cuáles son las medidas mínimas de seguridad” Carina Birarda Futterman, Líder de proyectos especiales de Ciberseguridad en Centro de Ciberseguridad del GCBA (BA-CSIRT)
H
TEXTO: Alicia
Burrueco
ablamos con Carina Birarda, profesional de la ciberseguridad, quien tuvo unos inicios algo peculiares en este mundo. Empezó vendiendo hardware en computación, consiguió su primer trabajo relacionado con la tecnología allá por el 2006 hasta ahora, que ocupa el puesto de líder de proyectos especiales de Ciberseguridad en Argentina.
CyberSecurity News (CSN): Carina, ¿Cómo es el día a día en el Centro de Ciberseguridad del GCBA? Carina Birarda: En el centro de CiberCyberSecuritynews | Mayo 2021
seguridad del Gobierno de la Ciudad de Buenos Aires, tenemos el desafío constante de asistir a los ciudadanos en los aspectos relacionados con la ciberseguridad; somos, en tal sentido, un referente a la comunidad. un espacio al cual acudir para informarse, capacitarse y solicitar ayuda ante eventuales incidentes de seguridad relacionados con el uso de la tecnología y, de forma interna, nos encargamos de las tareas usuales de un Csirt para nuestra comunidad de usuarios, la cual es muy extensa y para la cual también brindamos concienciaciones y capacitaciones de forma sistemática y programada.
CSN: La situación que estamos viviendo de “nueva normalidad”, ¿ha provocado un cambio en los proyectos de ciberseguridad? CB: La nueva normalidad nos ha
cambiado a todos en todo ámbito; los proyectos de ciberseguridad se podrían decir que en un 50% cambió los proyectos que eran presenciales como las capitaciones y las concienciaciones, el otro 50% de implementación de medidas y controles de ciberseguridad, realmente se pueden hacer en su mayoría de manera remota, con conexión a internet y medidas de seguridad, se pueden llevar adelante.
37
CISO CSN: ¿Cuál es tu opinión sobre concienciar a los más pequeños de la casa? ¿Se debería impartir ciberseguridad en las aulas? CB: Sin lugar a dudas mi respuesta
es un si, desde niños deberían de conocer cómo proteger su identidad digital, su huella digital, su reputación digital, cómo proteger nuestra interacción en el ciberespacio, conocer los derechos y obligaciones, estamos viviendo tiempos de ultra conectividad que han llegado para quedarse y debemos tener una educación proactiva a esta situación y no reactiva a las situaciones que se presentan.
CSN: Hace unos meses celebramos el Día Internacional de la Mujer y tuvimos la oportunidad de hablar con diferentes compañeras acerca del papel de la mujer en este sector. Me gustaría conocer tu opinión… CB: Cuando comencé a trabajar en
tecnologías de la información y luego telecomunicaciones, eran muy pocas las mujeres que me cruzaba; hoy en día, y con mucha alegría puedo decir que este número ha crecido exponencialmente, la diversidad es necesaria en todos los ámbitos, los distintos puntos de vistas, las distintas perspectivas y distintas formas de abarcar un mismo tema es donde todos nos vemos beneficiados y todos ganamos como sociedad desde mi punto de vista. La ciberseguridad es un área transversal a cualquier actividad, para mi importante y abordarla desde lo diverso como todo ámbito.
CSN: Ahora cambiando un poco el rumbo de la entrevista, me gustaría preguntarte acerca del mundo de los ciberseguros. ¿Cuál es tu opinión sobre ellos? ¿Crees que las empresas deberían de contratarlos? CB: Las empresas deberían de
contratar a alguien que los ayude con la ciberseguridad; que los ayude a que sus procesos se encuentren dentro de un ámbito de protección digital, donde la ciberseguridad esté implementada y sea trasversal pero como para mencionar algunos puntos a tener en cuenta; que puedan acceder a una copia de seguridad en caso de tener algún inconveniente con la información, como por ejemplo con un ransomware, donde realice un análisis de vulnerabilidades sobre sus sistemas,
para conocer el estado alineado a las buenas prácticas internacionales, solo por mencionar dos puntos, que cualquier empresa debe de tener en cuenta para poder mantener la continuidad de sus procesos y por consiguiente su negocio vivo y mucho más si su negocio está publicado o gestionado sobre el ciberespacio. CSN: ¿Cuál crees que es el principal inconveniente por el que los ciberseguros no están tan extendidos en nuestro país? CB: Por informes y estadísticas que
he venido leyendo, los profesionales de ciberseguridad son faltantes en muchos países o en su gran mayoría; la educación a temprana edad o el darlo a conocer como un trabajo con mucha demanda me parece que son puntos clave para que se sumen más personas a esta área.
CSN: En un tiempo, ¿crees que los ciberseguros serán de contratación obligatoria para las empresas? CB: No se si de contratación obliga-
toria pero quizás sí, en un tiempo, sea obligatorio informar sobre incidentes de ciberseguridad donde se exponga información de los clientes y estos deban ser informados del tratamiento y la gestión que se ha dado a los mismos. En los países con mayor nivel de madurez en la gestión de la seguridad de la información y en los tratamientos de los datos, están obligados a brindar esa información, y me parece una buena medida a tener en cuenta.
CSN: ¿Cómo dirías que será el futuro de la ciberseguridad en un largo plazo? CB: A largo plazo me imagino -o es
un deseo lo que comento en realidad-, el área de ciberseguridad naturalizada, donde todo organismo, empresa, familia ya conozca cuáles son las medidas mínimas de seguridad y de cuidado que tienen que tener. Los temas que me parecen que serán mandatorios llegar a una madurez serían una legislación o norma supra nacional adoptada por todos los países para lograr un ciberespacio seguro, libre y abierto, con sólidas y establecidas medidas de fomento de confianza entre las organizaciones/ naciones que gestionan los ciberincidentes y los cibercrimenes con una cooperación internacional donde las naciones puedan estar en igualdad de
Carina Birarda Futterman, Líder de proyectos especiales de Ciberseguridad en Centro de Ciberseguridad del GCBA (BACSIRT)
condiciones, conocimiento y gestión para poder hacer una mejor tratamiento a las amenazas existentes y emergentes en las implicancias internacionales.
CSN: Y para ir terminando, aun cuando gran parte de la población está teletrabajando a causa del COVID-19, ¿qué consejo les darías para proteger sus dispositivos? CB: Que implementen todas las medidas
de seguridad de la información que sus empleadores les hayan indicado, pero por mencionar algunas: utilizar VPN, robustecer la clave del WIFI de su hogar en WPA2, evitar conectarse a WIFI Publicas, activar en las plataformas y aplicaciones sensibles MFA. En los momentos que, de manera adicional, mantengan una higiene digital, se podría decir que es mantener nuestro entorno digital lo mas limpio posible, algunas acciones pueden ser eliminar las apps que no te son útiles o que no usas hace más de 6 meses, o indicar un tiempo personal, organizar los iconos de las apps, quizas colocando los que más utilizan en la primera pantalla, vaciar la memoria caché, borrar las imágenes y los documentos que no nos interesan mantener en nuestra nube, serían algunos de las acciones que podemos tomar como hábito para una limpieza sistemática.
.
CyberSecuritynews | Mayo 2021
38 ¿Falta talento en ciberseguridad?
¿Falta talento en ciberseguridad?
L
a falta de talento en nuestro sector se ha convertido en un mantra repetido por una y otra vez hasta la saciedad. Pero, ¿es cierto? Para propiciar una respuesta propia y privada a cada lector, vamos a visualizar en primer lugar, una situación idílica en la que la oferta se iguala a la demanda. Es decir, el momento en el que por fín, dejaríamos de decir, “falta talento en ciberseguridad”. Y es que tal y como veremos a continuación, si existe falta de talento o no, no es algo que incumba únicamente a las universidades. Pues bien, esta situación idílica se podría basar en cuatro pilares fundamentales: Aparición de talento: Es la fase más temprana que debe estar satisfecha para poder alcanzar la situación idílica en la que la oferta se iguale a la demanda. En esta fase, son de vital importancia las escuelas y universidades. Así pues, hemos podido comprobar que para introducirse en el mercado laboral de la ciberseguridad, no basta con estudiar una ingeniería. Hace falta mucho más y mucho más contenido específico. ¿Cuántas universidades ofrecen un grado en ciberseguridad? ¿Cuántas ofrecen másters en ciberseguridad? La respuesta es más bien pocas y cada vez más. A este respecto, encontramos algunas universidades que sacan sus primeros grados en esta materia, escuelas privadas con cada vez más cursos específicos, empresas que crean sus propios programas formativos internos, ¡e incluso el INCIBE ha estrenado este año 2021 una academia de hackers! Así pues, aunque estamos haciendo los deberes en esta primera fase, nos estamos poniendo las pilas CyberSecuritynews | Mayo 2021
ahora y aún así no es suficiente. Pinchamos en la aparición de talento. Al menos por el momento... Identificación del talento: El talento se forma pero hay un paso que a veces pasa desapercibido y es aquel en el que se produce el nexo de unión o punto de encuentro entre la empresa y el talento. En este sentido, podríamos decir que al pinchar en el punto inicial, no llegamos a satisfacer por completo esta fase al no existir programas de partnership con largo recorrido entre mercado laboral y académico tal y como pueden existir en otras formaciones. Aún así, contamos con fantásticas herramientas como LinkedIn y otras apps similares que llegan a especializarse en el mundo tecnológico y que facilitan en gran medida la identificación del talento. Por último, debemos mencionar que cada vez es más popular el rol de “IT recruiter” que sepa aportar el valor añadido en esta importante fase. Aún así y como decimos, creemos que volvemos a pinchar y no llegar a satisfacer plenamente a consecuencia del punto anterior, este apartado. ¡Pasemos al siguiente! Atracción del talento: Hemos identificado el talento pero ojo, también lo han identificado otras organizaciones, de nuestro país u de otro país. En este punto entran en juego muchísimos factores. Uno de ellos es obviamente el sueldo. Y claramente en España estamos lejos aún de los 300K$ pagan algunas pocas empresas de ciberseguridad en EEUU a los recién contratados extranjeros o los más de 200.000$ en otras muchas empresas de ciberseguridad norteamericanas a los recién contratados. Pero el sueldo, no es el único factor que influye en la atracción de
talento y esto bien lo saben los expertos en recruitment. Por ejemplo, una de las grandes bazas que hoy día tienen las empresas en general y las de ciberseguridad en particular, es la flexibilidad laboral, el teletrabajo o el trabajo mixto. Es decir, el dejar siempre que sea posible porque el trabajo lo permita, que sea el talento quien decida cómo quiere trabajar. Y lo más importante, desde qué ciudad quiere trabajar. Y es que, el ofrecerle trabajar desde el lugar que deseé se ha convertido en el primer punto para atraer talento en esta época post pandemia. En este sentido, son muchas las empresas en España que están implementando trabajo mixto pero muy pocas las que dejan decidir al talento dónde quiere vivir y desde dónde quiere trabajar. Volvemos a pinchar parcialmente en esta fase. Retención del talento: Una vez que hemos captado el talento, lo difícil es retenerlo. E igualmente aquí entran en juego muchos factores anteriores como el sueldo o la flexibilidad laboral pero además el incremento gradual de responsabilidades, o la cultura de diversificación y ocio dentro de la compañía. Y está claro que otra constante es lo complicado que es retener talento en ciberseguridad frente a otros grandes mercados como EEUU. A este respecto, dejamos a vuestro criterio queridos lectores, si nuestras empresas, flojean en esta última fase. Pero llegados a este punto, respondemos que sí, sí falta talento en ciberseguridad en España. Pero también respondemos que vamos por el buen camino, sólo debemos pisar el acelerador y tener claro que es un trabajo de todos. Desde gobiernos a instituciones, universidades y empresas.
39
Mdtel
mdtel toma el pulso de la ciberseguridad en empresas y corporaciones mdtel dispone de las mejores soluciones en cada campo, para prevenir y responder con las mayores garantías a cualquier ataque. TEXTO: Equipo de
L
Ciberseguridad de mdtel
a división de ciberseguridad se denomina SECunit by mdtel. Desde el inicio, la estrategia de la unidad se orientó a ser la boutique líder en servicios de ciberseguridad para medianas y grandes empresas, dando un valor añadido real a todas las soluciones y servicios del portfolio y con las mejores condiciones. Después de más de 8 años, el resultado es excepcional. mdtel está gestionando servicios críticos en la mayor parte de las compañías del Ibex35, de los principales bancos, de las principales utilities, del sector financiero, salud y también, de entornos industriales, con casos multinacionales. La unidad, totalmente independiente de los servicios tradicionales de mdtel, está
siendo la punta de lanza de la compañía, con incrementos en la facturación que superan el 50% en los últimos años. mdtel dispone de un servicio SOC (Security Operation Center) durante las 24 horas del día, los 365 días del año. Centra sus servicios en cuatro grandes áreas: Operación y Mantenimiento, SecOps, Respuesta ante incidentes y orquestación, y Sistemas de Prevención. El servicio está configurado por capas, de forma que se adapte a cualquier gestión que necesite una empresa. Pero también está ofreciendo ciertas capas de valor a SOCs ya existentes en grandes corporaciones, de forma coordinada. Es una tendencia que cada vez se consolida con mayor fuerza. Una de las especializaciones de mdtel es la gestión corporativa de las vulnerabilidades y del compliance técnico.
mdtel es el único Partner Platinum en España del prestigioso fabricante TENABLE, que ocupó el primer lugar entre todos los proveedores evaluados por Gartner en “Customers’ Choice” 2020, con una puntuación de 4,7 sobre 5. También Forrester lo sitúa como líder en su cuadrante Vulnerability Risk Management. Este nivel de certificación que posee mdtel, le permite ser muy competitivo en cualquier propuesta y modelo de servicio. El portfolio completo de TENABLE puede consultarse en www.mdtel.es/tenable Como muestra de los servicios de valor que mdtel ofrece a sus clientes, dispone de una solución propia de interconexión entre Tenable y cualquier sistema ITSM, ya sea propietario o de los principales players del mercado. Con capacidades de customización CyberSecuritynews | Mayo 2021
40 Seguridad IT/OT
SOC24h de mdtel
avanzadas que permiten integrar la información de riesgo en los diferentes procesos de la compañía y disponer de una seguridad accionable. De esta forma, cualquier vulnerabilidad detectada en una red, abre un ticket automático para que el grupo de IT lo repare, informando del país, del servidor y del parche adecuado. Existe un control en sentido contrario que asegura que el parcheo se haya realizado. Esta automatización reduce enormemente la superficie de ataque, el riesgo y el coste de la ciberseguridad. La unidad es muy activa en los servicios de vulnerabilidades, pero también para los entornos OT (Operation Technology), que proporciona la protección de las redes industriales contra las amenazas cibernéticas, agentes maliciosos con acceso a información privilegiada y errores humanos. Permite a las compañías inmersas en la Industria 4.0, disponer de una visibilidad convergente IT/OT, el control de sus activos y su configuración, mediante operaciones de descubrimiento no intrusivas, que utilizan el lenguaje nativo de los equipos. Una de las labores más demandadas por nuestros clientes son las auditorías de red desde el punto de vista de la seguridad, que nos permiten detectar los puntos débiles y el nivel de riesgo existente en los activos y servicios, mediante tests de intrusión internos de la infraestructura, auditorías de seguridad externa y auditorías de procesos y controles de seguridad. El objetivo CyberSecuritynews | Mayo 2021
es entender y evaluar la postura de seguridad tanto externa como interna, y elaborar un informe con las vulnerabilidades y problemas encontrados, así como una serie de recomendaciones técnicas para mitigar y mejorar la arquitectura del cliente, junto con la auditoría de procesos y políticas de seguridad de la información de la arquitectura, aplicaciones y servicios ofrecidos y de forma específica, de los controles aplicados para la salvaguardar la seguridad de la información de las operaciones del cliente. Dentro de este punto es relevante la simulación de ataques y verificación de medidas de protección del cliente desde un punto de vista automatizado y con pruebas de su eficacia en todo momento. La evaluación continua del riesgo es clave y es preciso realizar estos ejercicios de forma continua, integrando sus resultados en los procesos de control y evaluación del riesgo de la organización. Una parte fundamental que no se debe olvidar, son todos los servicios de securización del endpoint, no sólo desde un punto de vista técnico (AV, EDR, anti-phising, etc.) sino también humano, complementando una parte clave de concienciación de los usuarios, con métodos tremendamente efectivos y verificando la correcta aplicación de las políticas corporativas en estos dispositivos. Esta tarea requiere la correcta adaptación de guías de bastionado y generación de controles específicos según los requerimientos del cliente. Es relevante también la seguridad
en el control de acceso mediante el empleo de soluciones de doble factor as a service, soluciones de control de acceso a la red y control de cuentas privilegiadas. Puntos relevantes debido al gran aumento de accesos externos con motivo de la pandemia. Desde mdtel también se apuesta por la protección del Active Directory como elemento clave a la hora de contener ataques, evitando movimientos laterales y escalada de privilegios. No ya desde un punto de detección del ataque sino de evaluación continua de los vectores de ataque que podrían ser usados por amenazas que finalmente encuentran un camino para adentrarse en la red. La securización de este entorno es clave para contener y mitigar los ataques. También el acceso a través de redes seguras, el control de los dispositivos, su supervisión desde nuestro centro de operaciones y la evaluación continua de riesgo facilita a las empresas la productividad en la situación actual que vivimos. Finalmente, mdtel da servicio también para la elaboración y mantenimiento de cualquier tipo de dashboard de valor, utilizando los sistemas más avanzados de Big Data e inteligencia artificial, integrando datos de seguridad de distintas fuentes y elaborando KPIs que habiliten a los responsables de seguridad en la toma de decisiones y evaluación continua del riesgo. Realizamos la ingesta de todos los elementos, y elaboramos los cuadros de indicadores con valor para el departamento y para toda la organización.
41
Especial trabajo ciberseguro
CyberSecuritynews | Mayo 2021
42 CISO
La firma electrónica, una palanca de aceleración y transformación de las empresas OODRIVE, un editor de software, lleva 20 años ofreciendo soluciones de gestión de contenidos sensibles, incluida la firma electrónica inteligente.
E
TEXTO: Alicia
Burrueco
n un contexto en el que evolucionan los problemas vinculados a la transformación de las empresas, el grupo ofrece a todos un entorno de trabajo digitalizado más seguro, con herramientas sencillas, eficaces y ergonómicas. En esta entrevista, Stéphane Ankaoua, director general a cargo de las operaciones de OODRIVE, arroja luz sobre los problemas actuales de ciberseguridad y sobre cómo el grupo ayuda a las empresas a acelerar su transformación CyberSecuritynews | Mayo 2021
digital y a asegurar sus datos estratégicos. Stéphane Ankaoua, director general a cargo de las operaciones de OODRIVE
CyberSecurity News (CSN): ¿Cuáles cree que son los efectos de la crisis de Covid-19 en la ciberseguridad? Stéphane Ankaoua (SA): Desde
el inicio de la crisis sanitaria, las organizaciones se enfrentan a una explosión de ciberamenazas. Una encuesta de Forrester realizada en noviembre de 2020 a 800 RSC/CISOs
reveló que el 90% de las empresas han sido víctimas de ciberataques. La ONU estima que la ciberdelincuencia costará a la economía mundial 5,2 billones de dólares entre 2020 y 2025. La explosión de la ciberdelincuencia y el número exponencial de ataques están obligando a las organizaciones a reaccionar rápidamente, para reforzar la seguridad de sus datos, sus sistemas de información y sus procesos digitales. Hoy en día, son muchos los actores europeos, entre ellos OODRIVE, que trabajan para hacer frente a los retos de la gobernanza de
43
Oodrive
Stéphane Ankaoua, director general a cargo de las operaciones de OODRIVE
los riesgos cibernéticos, la seguridad de la información y la protección de los contenidos más sensibles. CSN: ¿Cómo responde OODRIVE a estas cuestiones? SA: OODRIVE nació de la necesidad
de digitalización hace más de 20 años. Nuestras soluciones de gestión de documentos sensibles y de firma electrónica responden a un doble reto. En primer lugar, permitir a los usuarios, sea cual sea su dispositivo o ubicación, trabajar con total tranquilidad en un entorno digital ergonómico y fácil de usar. Al mismo tiempo, garantizamos la seguridad y confidencialidad de sus intercambios y contenidos. Integramos el principio de “privacidad y seguridad por diseño” en el desarrollo de nuestros productos y en la elección de nuestras asociaciones tecnológicas. La seguridad de nuestras soluciones está garantizada por las certificaciones más exigentes de Europa y un método de alojamiento adaptado a la criticidad de los datos tratados.
CSN: ¿Cuál es la solución más pertinente en estos tiempos de recuperación de desastres? SA: En el contexto actual de digitali-
zación acelerada de las empresas, la solución que recomiendo en primer lugar es la firma electrónica. Sus ventajas son innegables en cuanto a facilidad de uso, movilidad, simplificación del trabajo colaborativo, aumento de la productividad y, sobre todo, ahorro de costes... Su despliegue es rápido y el retorno de la inversión es inmediato. Su implantación permite agilizar los procesos de todos los departamentos empresariales, siempre que se elija una plataforma segura, que cumpla con la normativa eIDAS y garantice la integridad de los documentos firmados y su valor legal. Nuestra solución oodrive_sign responde a estas expectativas con procesos fluidos y seguros, totalmente digitales, que aumentan las tasas de transformación y reducen los tiempos de procesamiento por10. En parti-
cular, permite personalizar el proceso de firma según el tipo de transacción y el sector de actividad.
CSN: ¿Cómo ve el futuro de lo digital en este periodo posterior a la crisis? SA: En 2020, las empresas se han
sometido a la digitalización de los procesos para garantizar la continuidad de su negocio. Por un lado, han tenido que adaptarse rápidamente a un modo de trabajo remoto. Por otro lado, se dieron cuenta de que los beneficios de la digitalización de los procesos eran reales. Esto les permitió adquirir la madurez digital en pocos meses. De aquí a 2022, las organizaciones tendrán que dar un paso esencial en materia de digitalización con la implantación de sistemas seguros y sostenibles. OODRIVE está encantada de poder apoyar a las empresas españolas en sus proyectos de transformación digital e implantación de la firma electrónica.
.
CyberSecuritynews | Mayo 2021
44 Teletrabajo
“Lo que mantuvimos, y a día de hoy seguimos teniendo claro, es que esta necesidad no podía tener un impacto negativo en nuestra seguridad” Para esta entrevista hemos tenido el placer de hablar con una persona tecnológica a la que le gustan los retos y los cambios.
U
TEXTO: Alicia
Burrueco
na mujer que dice que se mantiene en un reto constante lo que hace que viva en una permanente situación de cambio. En definitiva, esta profesional se define como “una privilegiada por poder dedicarme a lo que me gusta, la ciberseguridad”. Ella es Eva Cristina Cañete, CISO de Unicaja Banco CyberSecurity News (CSN): ¿Cómo ha sido tu trayectoria hasta llegar a tener el cargo que tienes a día de hoy en Unicaja Banco? CyberSecuritynews | Mayo 2021
Eva Cristina (EC): Mi trayectoria
no dista mucho de lo habitual. Como muchos otros compañeros, comencé trabajando en el mundo de los sistemas para pasar a la consultoría tecnológica, primero, y luego, de seguridad. En mis inicios, el mundo de la seguridad no tenía ni la importancia ni la relevancia que tiene hoy en día. Sin embargo, cuanto más iba conociendo y trabajando en seguridad, más me atraía. Es una profesión que te permite desarrollar múltiples habilidades: técnicas, organizativas y también personales. Es muy exigente, ya que requiere de
una actualización constante. Tienes que estar formándote continuamente e investigando sobre nuevas soluciones, técnicas de defensa, etc. En definitiva, te obliga a vivir en estudio permanente y eso la convierte en una profesión muy completa.
CSN: Hace unos meses se celebró el Día Internacional de la Mujer y que, además, tuvimos el placer de que nos acompañaras ese día. ¿Nos dirías cómo ves el papel de la mujer en el sector de la ciberseguridad? EC: Afortunadamente, cada vez se
observa mayor presencia de la mujer
45
CISO en el mundo de la tecnología, lo que tiene una manifestación clara en la ciberseguridad. Aunque creo que todavía queda mucho recorrido para alcanzar porcentajes que nos lleven a una presencia similar e igualitaria a la de los hombres. Desde la infancia ya se presenta esa diferenciación, por medio de lo que se ofrece a los niños o a las niñas para desarrollar sus juegos. En el caso de los primeros, la mayoría de las veces suelen ser juguetes más tecnológicos. Tenemos, por tanto, el deber de acercar la tecnología también a nuestras hijas para que comiencen a familiarizarse con este mundo. Es necesario que la mujer se identifique con la tecnología y encuentre referentes en ella para plantearse la posibilidad de acceder a ingenierías. Estas carreras siguen teniendo un porcentaje muy pequeño de mujeres en sus aulas. CSN: ¿Cómo dirías que es la ciberseguridad en una entidad financiera como Unicaja Banco? ¿Cómo se trabaja? EC: Como en cualquier entidad finan-
ciera en estos tiempos, la ciberseguridad es una actividad indispensable. Pero no solo por tratarse de un banco, sino por la transformación que se está produciendo en la sociedad. Somos más digitales que nunca. Estamos conectados casi todo el tiempo y hemos descubierto lo fácil y rápido que es hacer cualquier gestión de forma digital. En este punto, reconozco que, ante estas posibilidades, ya no me resulta cómodo tener que hacer trámites en persona. CSN: Hace un año nos vimos obligados a implantar el teletrabajo… ¿De qué forma asegurasteis el teletrabajo y la continuidad del negocio? EC: Como un gran número de enti-
dades, nos vimos obligados a buscar el modo de seguir prestando nuestros servicios desde un estado de confinamiento que a todos nos cogió un poco por sorpresa. Tuvimos que buscar soluciones rápidas y seguras para conseguir conectar a los empleados desde sus casas. Lo que mantuvimos, y a día de hoy seguimos teniendo claro, es que esta necesidad no podía tener un impacto negativo en nuestra seguridad, por lo que cada paso que fuimos dando lo fuimos asegurando. CSN: ¿Cuál dirías que es la clave principal de la ciberseguridad?
Eva Cristina Cañete, CISO de Unicaja Banco
¿Prevenir el ataque? EC: El objetivo de la ciberseguridad
ha ido variando con el tiempo. Hace años los esfuerzos se centraban en intentar evitar sufrir un incidente de seguridad. Hoy en día, los esfuerzos se concentran en dotarnos de la capacidad de respuesta rápida, para lograr un mínimo impacto en el caso de sufrir un incidente. Esto no quiere decir que no trabajemos para prevenirlos, sino que, además de intentar evitarlos, tenemos que estar preparados para cualquier situación. CSN: Cambiando un poco el tema, los ciberseguros cada vez van adquiriendo más importancia, ¿cuál es tu opinión sobre ellos? EC: La ciberseguridad trata de dar
respuesta a los riesgos de ciberataques a los que se exponen las empresas. El tratamiento de estos riesgos requiere de múltiples soluciones, entre las que se encuentra la transferencia de los mismos. Por tanto, en mi opinión, es otra herramienta más que debemos considerar en nuestro plan de tratamiento de riesgos. CSN: ¿Recomendarías la contratación de un ciberseguro? EC: Como he comentado anteriormente,
es una buena opción para transferir
ciertos riesgos de ciberseguridad. Aunque también es importante estudiarlos con detenimiento y comprobar que estamos cubriendo los objetivos que perseguimos. CSN: Y para ir terminando esta entrevista, ¿qué consejos de ciberseguridad, cotidiana les darías a los usuarios que nos están leyendo? EC: Yo daría un único consejo, que es
actuar siempre con precaución, tal y como haríamos en el mundo físico, ya que a menudo se observa cómo al pasar al escenario digital, nos movemos como si no hubiese ningún riesgo. Es lógico, ya que no son tan obvios los peligros a los que nos enfrentamos. Por tanto, mis consejos se resumen en ser cautos y no dar nuestros datos a nadie que nos los pida, a menos que estemos completamente seguros de quién es. También en pensar siempre si hemos sido nosotros los que hemos iniciado la comunicación o nos han contactado, y desconfiar, de hecho, siempre en el segundo caso. Por último, y no por ello menos importante, recordar en todo momento que no existen los ‘chollos’ y que, detrás de una ganga, hay un posible ciberdelincuente.
.
CyberSecuritynews | Mayo 2021
46 Cyber Insurance Day
Las redes VPN se han convertido en una necesidad Una VPN permite conectar de forma segura uno o más ordenadores en una red privada virtual desde cualquier sitio, utilizando una red pública como Internet. TEXTO: Aina
L
Pou Rodríguez
as redes VPN se han convertido en una necesidad. Una conexión VPN te permite crear una red local sin necesidad que sus integrantes estén físicamente conectados entre sí, sino a través de Internet. De manera que todo el tráfico de red sigue yendo desde tu dispositivo a tu proveedor de Internet, pero de ahí se dirige directo al servidor VPN, desde donde partirá al destino. Ya sea en momentos de necesidad, como sucede a día de hoy, o en cualquier otro contexto, no se tiene muy claro qué es una VPN y por qué es tan importante. ¿Cómo funciona una VPN? Antes de saber cómo funciona una red VPN, es necesario tener claro qué ocurre cuando navegamos por Internet. Y sucede lo siguiente: cuando queremos acceder a cualquier sitio o servicio web, en primer lugar nos conectamos a los servidores de nuestro ISP, es decir, el proveedor de servicio de Internet y ellos se encargan de llevarnos a la web deseada. Lo que conseguimos cuando usamos una conexión VPN es una conexión cifrada en todo momento a los servidores VPN. Al estar nuestra conexión cifrada, nuestro ISP sólo verá que estamos conectados y haciendo uso de un servidor VPN, pero nunca tendrá acceso para ver qué contenidos visitamos o dónde estamos navegando. Tras la pandemia de la Covid-19, este tipo de conexiones han aumentado su importancia. El hecho de que el año pasado la gran mayoría de los trabajadores, a nivel mundial, se pasaran al teletrabajo, implicó adaptar las herramientas laborales a esta nueva situación. Más de la mitad de las empresas espaCyberSecuritynews | Mayo 2021
ñolas optaron por una conexión VPN durante la pandemia. Ahora, casi una de cada tres empresas está dispuesta a adoptarlo de manera permanente. La
importancia del
VPN
en el te-
letrabajo
Desde marzo del 2020, la gran mayoría de los trabajadores, por necesidad, tuvieron que recurrir al teletrabajo. Este hecho trajo consigo una carga mayor en cuanto a responsabilidad cibernética y un aumento de los ciberriesgos. Una de las recomendaciones que se hacen encarecidamente es el uso de VPN en las conexiones de datos. Tradicionalmente, no estamos acostumbrados a ver y a ser conscientes del trabajo que realizan las VPN, dado que han estado ligadas a tareas más bien opacas. Como por ejemplo, el uso de esta red para saltarse el geobloqueo de contenidos en alguna otra red. Pero si sacamos a relucir las funciones que lleva a cabo la red VPN se entiende con mayor claridad que su posición es imprescindible. A simple vista, teniendo en cuenta su nombre: Virtual Private Network (Red Privada Virtual), podemos sacar algunas conclusiones de la VPN: · Permite tener acceso seguro y privado a los recursos en red de la oficina, como por ejemplo: ficheros compartidos, bases de datos o aplicaciones, entre otros. Lo hace a través de la conexión a Internet aunque estemos en el otro lado del continente. · Seguridad extra. Los datos en las VPN están encriptados gracias a algunos protocolos de seguridad en la red, así como IPSec (Internet Protocol Security), SSL/TLS, SSH o L2TP/IPsec (L2TP sobre IPSec). Esta seguridad extra permite conectarnos,
por ejemplo, a redes WIFI públicas sin miedo a que terceras personas tengan acceso a nuestros datos. · Falsear tu ubicación. Cuando estamos usando una VPN realmente estamos navegando a través del servidor VPN por lo que nuestra ubicación no es la real. · Bloqueo ISP. Algunos proveedores de internet bloquean el acceso a ciertas webs o contenidos, y como decía en el punto anterior nosotros navegamos a través del servidor VPN, teniendo encriptados los datos de navegación. Por lo que nuestro ISP no sabe realmente dónde estamos navegando; al Proveedor de servicios de Internet solo le consta que estamos haciendo una conexión a un servidor VPN, pero no ve el contenido de esta conexión. Después de haber enumerado las distintas funcionalidades de las VPN, es más fácil entender cuáles son las ventajas de usar una. Privacidad, seguridad, teletrabajo, evitar bloqueos de contenidos o de localización, entre muchas otras. Una de las principales utilidades que cabe destacar es que el uso de VPN se puede hacer desde cualquier dispositivo, ya sea un smartphone, un ordenador de mesa, un ordenador portátil, o una tableta. Debemos tener en cuenta que, a pesar de su importancia y de todos los beneficios que nos aporta emplear una VPN, también tiene su parte negativa. Debemos ser conscientes de que la conexión a Internet se ralentizará, dado que navegamos a través de un tercero. Además, aunque aporten una capa extra de seguridad, no podemos pretender que la ciberseguridad que proporcionan sea infalible y atribuirle toda la responsabilidad; nosotros debemos seguir siendo responsables y concienciarnos por completo en materia de ciberseguridad.
.
Dispositivos Dispositivos
Esta conexión de VPN en dispositivos móviles sería cuando el punto de determinación de la VPN no está fijo en una única dirección IP
Remoto Remoto
Existe una autentificación entre el servidor y el usuario. Este último se conecta a la red VPN
Firewall Firewall Es la conexión de un firewall a la red privada. Cualquier usuario puede enviar información pero tiene que pasar una verificación.
VPN VPN Tunnel Tunnel Esta conexión encapsula un protocolo de red sobre otro creando así un túnel dentro de la red
VPN VPN Router Router La conexión se hace a través de un router que se conecta a la red privada.
Intranet Intranet Esta conexión es utilizada cuando no existe una dirección IP exclusiva
¿QUÉ TIPOS DE VPN PODEMOS USAR?
Eventos 47
CyberSecuritynews | Mayo 2021
48 Inteligencia sobre amenazas
Inteligencia de marca: la primera línea de defensa para los equipos de Inteligencia sobre amenazas La inteligencia de amenazas no está ya sólo reservada para grandes empresas con equipos de seguridad de más de 20 personas. Según el último Forrester Wave™:
S
TEXTO: Juan
Grau, ZeroFOX
ervicios de inteligencia de amenazas externas, primer trimestre de 2021, “los que toman decisiones de seguridad global ahora se suscriben a un promedio de 7.5 servicios de inteligencia de amenazas externas comerciales, lo que representa un aumento de un promedio de 4.2 proveedores desde 2018”. Está claro que la inversión en inteligencia de amenazas ha crecido durante los últimos 5 años en indusCyberSecuritynews | Mayo 2021
trias y organizaciones de todos los tamaños. El panorama actual de las amenazas digitales es muy amplio y puede resultar abrumador saber dónde invertir recursos limitados para proteger eficazmente a su organización y a sus clientes. La inteligencia de marca proporciona una primera línea de defensa, centrando los esfuerzos en los activos y datos específicos relacionados con su organización en línea que ofrecen objetivos principales para los atacantes cibernéticos. La inteligencia de marca
ha surgido como un componente esencial de las operaciones de seguridad proactivas que protege los datos, las personas, los clientes y la reputación en nuestro entorno cada vez más digital. ¿Qué es Brand Intelligence? Si bien Forrester y otros han categorizado muchos tipos de inteligencia sobre amenazas, la inteligencia de marca se centra específicamente en proteger la presencia digital de una empresa. Las soluciones de inteligencia sobre amenazas a la marca recopilan y
49
ZeroFOX analizan datos en plataformas públicas y digitales, incluida la web superficial, profunda y oscura, redes sociales, tiendas de aplicaciones móviles y más, con el único enfoque en identificar los riesgos para la marca, los productos y los datos de la organización. Los casos de uso típicos incluyen suplantaciones de marcas y ejecutivos, dominios falsificados, apropiación de cuentas, phishing y fraude, compromiso de credenciales y fuga de datos. Por qué la protección de la marca y la inteligencia son un desafío para la seguridad
El término, “marca” se ha asociado tradicionalmente con el marketing. El aumento del conocimiento de la marca y el fomento de una reputación de marca positiva son funciones de marketing importantes, pero a medida que la promoción y la reputación se definen cada vez más por las interacciones digitales, se ha desarrollado un desafío de seguridad. Desde una perspectiva de seguridad, una “marca” consta de
todos los activos y datos digitales de su organización con los que interactúa un cliente. Estos mismos activos y datos son objetivos principales para los malos actores que buscan capitalizar su red extendida de seguidores y participantes a través de suplantaciones, ataques de phishing y fraude. Cuando se enfoca en la protección de la marca como una prioridad, una solución debe abarcar la identificación y eliminación de suplantaciones (tanto corporativas como de ejecutivos), detectar y frustrar las adquisiciones de cuentas, el descubrimiento temprano de infracciones y la reparación rápida, el fortalecimiento de las defensas basadas en la alerta temprana de ataques y más. La inteligencia de marca va más allá de obtener acceso a datos e información para proporcionar a los equipos de seguridad inteligencia procesable no solo para identificar, sino también para interrumpir los ataques que amenazan la marca y la empresa. Esto implica analizar múltiples vectores de ataque y sistemas de respuesta integral para una acción inmediata.
Tendencias de inteligencia de amenazas de marca
Existe una correlación abundante entre las amenazas de marca y el crecimiento de eventos externos. La pandemia actual, junto con el malestar social, los desafíos económicos y la agitación política, ha llevado a un aumento de los ataques a la superficie pública. ZeroFOX es el líder del mercado en la interrupción de este tipo de ataques para una gran variedad de clientes del sector público y privado y ha experimentado un aumento diario del volumen de solicitudes de takedowns del 144% desde marzo de 2020. De las más de 4025 marcas que ZeroFOX protege, cada una ha visto más de diez alertas por día. en promedio, con aproximadamente 8,36 millones de incidentes relacionados con las redes sociales solo en los últimos seis meses. Casi el 40% del volumen de alertas generadas derivó en algún tipo de acción inmediata, incluida la corrección automática de contenido o la eliminación.
.
CyberSecuritynews | Mayo 2021
50 Teletrabajo / Seguro
¿Cómo trabajar de manera cibersegura desde casa? El teletrabajo aporta muchísimos beneficios a las empresas y a los trabajadores, pero si no se hace de una forma correcta también puede implicar riesgos.
C
TEXTO: Alicia
Burrueco
asi año y medio después de que se declarara el Estado de Alarma, y de que una gran parte de la población tuviera que trasladar su puesto de trabajo a un rincón de su casa, todavía queda mucha gente teletrabajando y esto hace que los ciberdelincuentes pongan el foco en estos empleados y en sus dispositivos. Los ciberdelincuentes detectan con rapidez las vulnerabilidades del mercado, empresas y trabajadores. Ellos están en constante búsqueda y cuando el trabajo de las compañías se realiza desde el entorno familiar y no en la oficina, pueden llegar a detectarlo y sacar partido de ello. Es por ello que es muy importante que los trabajadores estén concienciados en los ciberpeligros que se esconden detrás de acciones muy simples como usar el portátil familiar para trabajar. Ciberprotege tu trabajo Si eres de los que piensan que el teletraCyberSecuritynews | Mayo 2021
bajo ha llegado para quedarse y además, estás de la parte de que se quede, es muy importante que tomes determinadas medidas de ciberseguridad. A continuación, pasamos a enumerar y a detallarlas: 1. Transfiere la información con las herramientas adecuadas: En muchas ocasiones hay que pasar información confidencial con el resto de los compañeros o con los directivos de la compañía, y esta se envía a través del correo electrónico. Lo ideal sería instalar una VPN para tener una conexión cifrada. 2. Información profesional e información personal: Hay que saber diferenciar entre los documentos que hay del trabajo y, por otro lado, las fotografías familiares, documentos del hogar, etc. Hay que tener un orden. 3. Mantén tus dispositivos actualizados: Actualiza y/o comprueba que lo estén los dispositivos con los que teletrabajas. Además, es muy importante que las aplicaciones que utilices y los navegadores que tengas en tu día a día estén actualizados y protegidos.
4. ¿Las contraseñas son correctas? Nunca hay que tener contraseñas repetidas para diferentes cuentas. Esto es algo esencial, pero si se trata de herramientas de trabajo, todavía más. Si no las tienes todavía, crea contraseñas fuertes y robustas incluyendo mayúsculas, minúsculas, signos y números. 5. Cuidado desde dónde te conectas: Es muy importante conectarse a la red doméstica y no a una red pública de Internet. Si conectas el dispositivo a la red wifi de un restaurante puede ser que le estés dejando la puerta abierta a un ciberdelincuente. 6. Copias de seguridad: Deberían de hacerse casi a diario. Guardar toda la información importante de tu dispositivo es un salvavidas en caso de que ocurriese algún ataque. 7. Si hay un ciberataque, ¿qué hacer? La respuesta de incidentes en caso de que haya un ciberataque es primordial. Se debe de tener un plan de actuación por si ocurriese el hecho de que los dispositivos del trabajo se ven afectados, por ejemplo, por un ransomware.
.
51
Especial nuevas tecnologias en ciberseguridad
CyberSecuritynews | Mayo 2021
52 Calificación de seguridad
¿Qué son los security ratings? La edad, la altura, el peso y la presión arterial son índices que controlamos de forma rutinaria para cuidar nuestra salud. ¿Por qué? Porque queremos estar seguros de que, a medida que pasa el tiempo, los indicadores de nuestra salud están estables, o si están cambiando, que están cambiando de forma positiva.
L
TEXTO: SecurityScorecard
a gestión de la salud de la ciberseguridad de una empresa no es diferente. Al igual que medimos nuestra altura, peso, edad, etc., también necesitamos tener una referencia de la salud de nuestra ciberseguridad. Ahí es donde entran en juego las calificaciones de seguridad. Las calificaciones de seguridad brindan a las empresas una comparativa que nos permite establecer niveles para medir y administrar continuamente nuestra exposición al riesgo cibernético. Risk Rating: ¿Qué es una calificación de seguridad? Las calificaciones de seguridad evalúan CyberSecuritynews | Mayo 2021
su nivel de seguridad de acuerdo a la eficacia con que protege la información. En un mundo digital, los datos y la protección de dichos datos por parte de la empresa, son análogos a sus ingresos y la protección de sus activos financieros. Las agencias de informes crediticios del consumidor revisan las finanzas de una empresa y asignan un puntaje crediticio evaluando si la empresa puede proteger sus activos financieros y así evitar endeudarse. De manera similar, una plataforma de calificaciones de seguridad revisa la postura de seguridad de una empresa y le asigna una puntuación al evaluar si la empresa puede proteger sus activos de datos de ataques.
La gestión del riesgo cibernético es un viaje: Su puntuación de seguridad es un punto de partida en su viaje de ciberseguridad. Incluso si su calificación es baja, digamos, una D, o entre 60 y 70 puntos, su calificación nunca debería ser una fuente de vergüenza. En cambio, es el primer paso en un viaje de mejora. Las calificaciones de ciberriesgo le permiten identificar fácilmente dónde necesita enfocar su atención y construir rápidamente un plan para mejorarlo. Introducción a las clasificaciones de seguridad Con una plataforma como la de SecurityScorecard, puede obtener la calificación de seguridad de nivel superior de su organización. La calificación le
53
SecurityScorecard brinda visibilidad del nivel de riesgo de su empresa, información procesable y, a partir de ahí, puede elaborar un plan para remediar los riesgos. Su calificación de seguridad desglosa su postura de seguridad para que pueda ver exactamente dónde deben centrar la atención sus equipos; tal vez la seguridad de los endpoints sea demasiado floja o los parches no se prioricen o no se apliquen con la suficiente rapidez. Luego, puede crear fácilmente un plan. Conocer los puntos débiles de su empresa puede resultar intimidante, pero existen buenas razones para comenzar su viaje de ciberseguridad con una puntuación de seguridad de referencia. Por un lado, las empresas que gestionan activamente su Scorecard Rating ven, en promedio, una mejora de 8 puntos en los primeros tres meses. Una calificación de seguridad mejorada significa una higiene de seguridad general mejorada y una menor probabilidad de un ataque. Las empresas con una calificación de Scorecard de F (menos de 60) tienen 7,7 veces más probabilidades de sufrir un ataque que las empresas con una calificación de A (90-100). Por lo tanto, incluso si comienza con una calificación baja, aumentar su puntuación hará que su empresa sea más segura. Conocer su Scorecard le brinda una forma reconocida a nivel mundial y de gran reputación de mostrar a los clientes que se toma en serio la ciberseguridad. Es una garantía de que sus datos están protegidos en manos de su organización. Su Scorecard también abre puertas para mejorar los gastos de su empresa; considere las tarifas del seguro cibernético y cómo las acciones que tome para mejorar su Scorecard podrían afectar su estado de riesgo asignado. Finalmente, ¿Qué riesgos pueden venir de la mano de sus propios proveedores? Con la información que proporciona su Scorecard, existe una mayor oportunidad de reducir el riesgo al dirigir la atención a sus proveedores. La gestión de riesgos de terceros permite ver de qué forma los socios de la cadena de suministro valoran la protección de sus datos y si alguna debilidad que tengan podría representar una amenaza para sus operaciones. El arte de la seguridad A Sun-Tzu se le atribuye la enseñanza de que conocerse a uno mismo
Aleksandr Yampolskiy y Sam Kassoumeh
es una garantía del 50% de éxito en el campo de batalla. Si bien el contexto era conocer las fortalezas y debilidades de la estrategia militar, la metáfora definitivamente se extiende a la ciberseguridad. Su organización podría estar bajo ataque en cualquier momento, y su Scorecard le dice lo que ve un observador externo (léase: Hacker) cuando observa su organización y sus defensas. Saber esto le permite evaluar la capacidad de su organización para defenderse de estas amenazas. La historia de los fundadores de SecurityScorecard Las empresas gastan millones en la lucha contra los ciberataques, pero muchas de ellas siguen siendo víctimas. ¿La razón? No monitorean continuamente sus sistemas para detectar vulnerabilidades, sino que confían en análisis puntuales que se quedan obsoletos enseguida en la era digital. Fue esta situación la que llevó a Aleksandr Yampolskiy y Sam Kassoumeh a lanzar SecurityScorecard, una plataforma que muestra una visión externa de las amenazas a la seguridad y proporciona calificaciones de seguridad diarias similares a una calificación crediticia. La pareja se conoció mientras trabajaba en la empresa de comercio electrónico Gilt Groupe, donde se dieron cuenta de que compartían una visión para un mejor enfoque de la ciberseguridad. También reconocieron que en sus funciones corporativas, la
negligencia de otros podría costarles sus puestos de trabajo. “Teníamos varias herramientas a nuestra disposición para ayudarnos a hacer nuestro trabajo, sin embargo, nuestro equipo de marketing firmaba contratos con proveedores de los que no creíamos que tuviéramos suficiente visibilidad”, dice Yampolskiy. “¿Cómo podríamos entender el riesgo de trabajar con ellos y con nuestros datos si no teníamos forma de medir su nivel de seguridad desde fuera?” Comenzaron a buscar una forma de calcular un puntaje de seguridad y tener una comprensión holística del riesgo cibernético, similar a cómo los puntajes crediticios ayudan a las instituciones financieras a comprender el riesgo de las personas. Kassoumeh pensó: “¿Qué pasaría si pudiéramos diseñar una forma de proporcionar a las empresas una visión profunda de la postura de seguridad de otras empresas que fuera instantánea, precisa y verificable de forma independiente sin tener que pedir permiso o esperar semanas para obtener respuestas a importantes preguntas de seguridad? En lo que fue realmente un momento de inspiración, ambos creímos que había formas no intrusivas de medir la salud de la seguridad de una empresa”. Ocho años después, esa visión es una realidad y la plataforma de SecurityScorecard se ha convertido en una referencia del mercado de Security Ratings.
.
CyberSecuritynews | Mayo 2021
54 Nuevas tecnologías en ciberseguridad
“La tecnología no lo es todo, y un Programa de Seguridad excesivamente orientado a la tecnología adolecerá de ciertas debilidades” Charlamos con Ramón Serres Soler, experto en ciberseguridad y CISO & IT Manager de Almirall, sobre las nuevas tecnologías en ciberseguridad. TEXTO: Aina
Pou Rodríguez
CyberSecurity News (CSN): ¿Podría, brevemente, contarnos cuál ha sido su trayectoria hasta llegar a ser CISO de Almirall? Ramon Serres (RS): Mi posición
como responsable de Seguridad de la Información en ALMIRALL llega después de una larga trayectoria tanto dentro de ALMIRALL, como en etapas anteriores, principalmente como consultor en Price Waterhouse Coopers, y como IT Manager en un centro de Desarrollo de Henkel, sector gran consumo. CSN: ¿Por qué decidió meterse en el sector de la ciberseguridad? RS: En el momento en que ALMIRALL
me ofreció esta posición, había una CyberSecuritynews | Mayo 2021
clara oportunidad de acercar la función al negocio, darle un claro enfoque a la gestión de riesgos, y establecer un sólido vínculo entre Seguridad de la Información y la Dirección de la compañía. Los retos que ello planteaba a nivel de Comunicación, Gestión y Liderazgo eran ámbitos en los que pensé que yo podía dar el valor que esperaba ALMIRALL. CSN: ¿Cuáles diría usted que son las necesidades básicas en ciberseguridad en el sector biofarmacéutico? RS: Hay ciertos escenarios de riesgo
que no son tan diferenciales de un sector a otro. Ejemplos de ello son la interrupción de operaciones como consecuencia de un ransomware. Este tipo de situaciones pueden tener
un impacto económico evidente en ventas, en falta de productividad, reputacional incluso, o regulatorio si se llega a incumplir alguna obligación de abastecimiento. En ese sentido hay que desarrollar todos los ámbitos desde la concienciación del personal, la protección de las infraestructuras de IT con estándares y buenas prácticas, la planificación en la respuesta ante incidentes, y la capacidad de recuperación. Otro escenario ya común a todos los sectores debido al marco normativo es el de la protección de datos personales. Ya antes de GDPR era una obligación regulatoria relevante, pero a raíz de la entrada en vigor de la GDPR se han tenido que fortalecer ciertos controles internos y dotar a las estructuras de control de más recursos.
55
CISO Aparte de estos dos escenarios de riesgo más generales, sí podemos mencionar otros más específicos de nuestro sector, como son el riesgo de fuga de información, particularmente en lo que concierne a información sensible de Investigación y el Desarrollo, o escenarios que afectan a equipamiento y sistemas de control industrial, cuya manipulación indebida podría conllevar riesgos físicos en las personas, y por lo tanto, deben ser tratados como críticos. CSN: ¿Cree que las nuevas tecnologías en ciberseguridad reciben la importancia que realmente tienen? RS: La tecnología es importante y,
obviamente, juega un papel fundamental en la gestión de la ciberseguridad. Sin embargo, la tecnología no lo es todo, y un Programa de Seguridad excesivamente orientado a la tecnología adolecerá de ciertas debilidades que sólo llegaremos a cubrir si balanceamos el foco en tecnología; con un foco en la Gestión de Personas (concienciación, formación, motivación por la Seguridad, etc), y en la organización y procesos, dado que en muchas ocasiones, a pesar de tener una tecnología adecuada, la operación de dicha tecnología no es efectiva debido a carencias en la definición de responsabilidades, o en los procedimientos asociados a su operación.
CSN: ¿Cuál es el nivel de investigación en tecnologías de ciberseguridad que se requiere para el despliegue de una red de trabajo más segura? RS: En mi opinión, cada compañía debe
determinar qué tecnologías son las que le encajan mejor en cada momento, lo cual es una decisión a tomar en función de multitud de variables: su infraestructura actual de IT y su estrategia de IT, su mapa de riesgos y cómo dicha tecnología pretende mitigar riesgos relevantes, su contexto, posibilidades económicas y, por encima de todo, sentido común para realmente apostar por tecnologías que tengan sentido en su contexto, que no necesariamente son las mejores del mercado o las que, según evaluaciones de terceros, son las mejor posicionadas. CSN: El objetivo principal de un proyecto de seguridad cibernética es conseguir un mayor grado de seguridad, pero para conseguirlo las compañías deben investigar y desarrollar nuevos conocimientos en el campo de la ciberseguridad.
Ramón Serres Soler ¿Están las empresas invirtiendo el tiempo y la financiación necesaria para ello? RS: Desde un punto de vista más acadé-
mico, el objetivo de los proyectos de seguridad es el despliegue de soluciones (tecnológicas y también de organización y procesos) para mitigar riesgos y obtener un nivel aceptable de riesgo. Dicho esto, aunque no se puede responder generalizando, sí pienso que a medida que las empresas van sufriendo ataques reales, o van conociendo ataques a compañías cercanas, aunque no necesariamente de grandes corporaciones, van tomando entonces decisiones de inversión en Seguridad, creando equipos con conocimiento y habilidades, y trazando planes concretos para reconducir su mapa de riesgos. CSN: ¿Cuáles son las tecnologías en materia de ciberseguridad que se prevén de cara a finales de este año? RS: Creo que la aplicación de la inte-
ligencia artificial a los sistemas que los Centros de Operaciones de Seguridad (SOC) utilizan para la correlación de alertas y priorización, acabará teniendo un retorno claro para llegar a reducir los llamados “falsos positivos” y ser capaces de detectar rápidamente aquellas alertas que realmente representan una amenaza para la compañía.
CSN: ¿Qué fundamentos requiere la investigación y la innovación en nuevas tecnologías para la seguridad cibernética? RS: El sentido común. Es decir, buscar
soluciones a los problemas y no al revés: buscarle un problema a una solución. Es fundamental que la investigación y la innovación estén orientadas a resolver aquellas situaciones que a las compañías nos resultan un riesgo. De lo contrario, uno puede acabar viendo tecnologías con escasa utilidad
y que, por lo tanto, no tengan un valor claro en la mitigación de riesgos.
CSN: Es un hecho que la digitalización acelera la exposición a ciberriesgos, ¿cómo ha afectado la pandemia de la Covid-19 en el sector biofarmacéutico? RS: Cuando en 2020 entramos en
fase de confinamiento y el trabajo en remoto se tuvo que implementar de la noche a la mañana y de manera masiva para todas las organizaciones, fue cuando las compañías que no estaban preparadas, sufrieron un cambio más drástico en su perfil de riesgo. No fue el caso de ALMIRALL, dado que nuestra infraestructura de IT ya estaba preparada para el trabajo en remoto. Lo que sí es cierto es que ese nuevo contexto desencadenó acciones de concienciación a todo nuestro personal, y una monitorización más activa de ciertos indicadores de riesgo.
CSN: Por último, como en ciberseguridad, ¿cuáles cree que son los consejos que todos debemos seguir para obtener un buen nivel de ciberseguridad? RS: A nivel personal, hay que
mantener siempre un nivel de alerta alto. Debemos estar concienciados y prestar atención a los muchos consejos que vamos recibiendo por parte de nuestras compañías, de entidades públicas y de otras organizaciones. Hay muchos riesgos asociados a las oportunidades del mundo digital, pero sobre todo, el riesgo de suplantación de identidad es clave, con lo cual hay que tomar todas las precauciones posibles para asegurar que estamos tratando con quien creemos estar tratando, esto es, verificar la identidad correctamente, y tomar precauciones para que nuestra identidad tampoco sea suplantada.
.
CyberSecuritynews | Mayo 2021
56 DevOps en seguridad
Cinco maneras de securizar la transformación digital a través de DevOps La transformación digital persigue mejorar todos los aspectos de un negocio a través de la tecnología.
L
TEXTO:
Fastly
as capacidades habitualmente ligadas al área de DevOps (como gestión rápida de cambios, desarrollo ágil de software y despliegue continuo) son partes clave de cualquier transformación digital. Sin embargo, la implementación continua de cambios puede incrementar los riesgos si la seguridad no es tenida en cuenta adecuadamente. CyberSecuritynews | Mayo 2021
Desarrollar más rápido y de manera más económica no es suficiente: el proceso y producto resultantes también deben ser seguros. Aunque incorporar la seguridad dentro del pipeline sigue siendo un reto complejo para muchas compañías. Fastly ha entrevistado a expertos globales en seguridad y DevOps para definir los cinco retos clave en la securización de los ciclos de desarrollo de software. Estas son las
conclusiones: Reto 1: La falta de visibilidad puede ocultar vulnerabilidades o amenazas
Con frecuencia, en el proceso de despliegue de DevOps, las herramientas disponibles carecen de visibilidad sobre puntos ciegos que comprometen la seguridad de ciertas aplicaciones, consideradas cajas negras. Esta falta de visibilidad se agrava con la adopción de componentes y frameworks. Según un
57
Fastly informe reciente (1) el 70% del código base de una aplicación suele ser opensource, y en casi el 90% de los casos, el software tiene un componente con más de cuatro años o sin actividad de desarrollo en los últimos dos. Las organizaciones deberían aprovechar herramientas duales, que seguricen sistemas y proporcionen a los equipos de desarrollo y DevOps visibilidad sobre las amenazas y vulnerabilidades. Contar con un WAF moderno permite tener observabilidad sobre las aplicaciones. Esto es especialmente importante en medio de la transformación digital cuando los datos sobre seguridad en tiempo real pueden ayudar a tomar decisiones en la infraestructura. Andrew Becherer, CISO, Iterable Reto 2: La falta de integración hace que la seguridad sea difícil de manejar
Un estudio conservador (2) estima que más de un cuarto de todas las alertas corresponden a falsos positivos. Si los desarrolladores se encuentran inundados de alertas falsas -a menudo enviadas directamente por los equipos de seguridad desde testeos de seguridad de aplicaciones estáticas (SAST) o desde un WAF- es probable que terminen ignorando los informes. Para facilitar la tarea de los desarrolladores, las herramientas deben de ser precisas, no producir demasiada fricción, y sobre todo, estar integradas en sus entornos de desarrollo y en el ciclo de DevOps, además de estar correctamente conectadas con los diferentes entornos operativos y proveedores cloud. Reto 3: Los procesos manuales provocan test de seguridad lentos e inconsistentes
Un importante retailer utilizaba una herramienta de seguridad que requería crear y desplegar reglas para bloquear los ataques, pero el más simple error podía generar una denegación de servicio. Resultado: cada cambio de regla tenía que pasar por una inspección manual que aumentaba los tiempos de respuesta ante ataques, con su correspondiente impacto en la continuidad del negocio. Es solo un ejemplo del impacto que los procesos manuales pueden tener en los pipelines de DevOps. La automa-
tización debe extenderse a todos los procesos de seguridad: desde el testeo -pasando por el desarrollo y la detección de ataques- hasta la respuesta. Las herramientas nativas de DevOps deberían integrarse con la infraestructura de desarrollo, así como con los componentes nativos cloud -como Kubernetes o Envoy- sin que sea necesario que el código base cambie en cada despliegue. La monitorización automatizada del tráfico y del rendimiento, acelerará la detección de ataques y anomalías, y su consiguiente respuesta. Al automatizar, las empresas ganan velocidad para tomar medidas, y en un escenario en el que estás siendo atacado y todas las alarmas se activan, la velocidad marca una gran diferencia: un minuto puede ser un gran problema en una exfiltración de datos. Zane Lackey, Co-Founder, Signal Sciences Reto 4: La abundancia de herra-
mientas y software complica la seguridad
Con frecuencia, las compañías cuentan con equipos independientes de desarrollo que se encargan de su propio código, despliegues y entornos. En compañías grandes, se llega a dar el caso de que cada equipo tiene sus propias herramientas, utiliza diferentes componentes de software y establece procesos diferentes. Manejar y securizar esta variedad de entornos resulta complejo. Una forma de abordar este problema es el concepto de Paved Road, que utilizan, por ejemplo, los equipos de seguridad y desarrollo de Netflix. ¿En qué consiste? Básicamente en proporcionar a los desarrolladores soluciones bien integradas a problemas comunes, como servicios de autenticación o almacenamiento secreto. Esto disminuye la redundancia y la complejidad, y permite que los test de seguridad y cambios de configuración cubran de forma más completa todo el portfolio de aplicaciones de la compañía. Cuando una empresa crece hasta un determinado umbral, es probable que se desarrollen múltiples iteraciones de las mismas funciones y herramientas en varios equipos, y eso es una increíble pérdida de tiempo y recursos.
Keith Hoodlet, Senior Manager of Global DevSecOps, Thermo Fisher 2019 R eto 5: E l
choque de culturas
de los equipos de desarrollo y seguridad
Los equipos de negocio, desarrollo y seguridad tienen sus propios problemas, incentivos y prioridades. Como ejemplo, los incentivos en el área de desarrollo suelen estar diseñados para crear código funcional rápidamente, aunque a menudo, no incorpora hitos de seguridad. Pero estos grupos necesitan trabajar juntos para crear una cultura que incorpore la seguridad en los procesos de DevOps y apoye el negocio. Una forma de generar un terreno compartido es la utilización de métricas que impacten tanto al área de desarrollo como a la de seguridad. Por ejemplo, las utilizadas por el grupo DORA de Google. El benchmark para medir a sus DevOps Elite requiere menos de un día para aprobar cambios, la restauración del servicio se da en menos de una hora y una ratio de fallos en cambios inferior al 15%.
Desde Fastly (Signal Sciences) promovemos estas cinco maneras de securizar a través de DevOps. Nuestras soluciones de seguridad para aplicaciones web, dan respuesta a las necesidades de los equipos modernos de desarrollo, operaciones y seguridad, cuyo día a día se ocupa en la iteración y lanzamiento de software. Signal Sciences ha desarrollado un conjunto de soluciones que suponen una cobertura completa y de muy fácil instalación. (1) Synopsys. “Open Source Security and Risk Analysis Report” (2) Critical Start. “Accuracy in AppSec Is Critical to Reducing False Positives”
Para saber más puedes visitarnos en: https://www.fastly.com/es/ products/cloud-security
.
CyberSecuritynews | Mayo 2021
58 Concienciación / CISO
“Tener unas políticas de seguridad robustas y bien diseñadas no tiene ningún valor si no controlamos continuamente que se están cumpliendo” En esta ocasión tenemos el placer de hablar con Héctor Flores, un ingeniero informático que poco a poco fue descubriendo que la seguridad de la información era una de sus pasiones. A día de hoy tiene el cargo de CISO en Ingenico Iberia. TEXTO: Alicia
Burrueco
CyberSecurity News (CSN): ¿Cómo se trabaja la ciberseguridad en una empresa que se dedica a las soluciones de pago? Héctor Flores (HF): Los datos de pago
son altamente deseados por los ciberdelincuentes, estando entre la información más valorada en la dark web. Es por ello que la seguridad para nosotros no puede ser una opción, es un pilar básico sobre el que se apoya la estrategia de la empresa y que por lo tanto marca las bases del presente y futuro del negocio. En nuestro dia a dia debemos de ir por delante de los delincuentes, protegiendo nuestros activos y estando en constante evolución según avanzan el mercado y las amenazas. Simultáneamente cumplir con las diferentes auditorías y certificaciones que nos atañen, hacen que nuestra labor no se detenga en ningún momento. CSN: Recientemente hemos oído hablar mucho de las fugas de datos, ¿qué recursos son necesarios para evitar este tipo de brechas? HF: Creo que lo primero es conocer la
información que gestiona la organización y clasificarla según sus peculiaridades. Es importante saber que información es importante para nuestra empresa, ya sea por el negocio, cumplimiento normativo o legalidad. Es fundamental tener un muy buen conocimiento del inventario de máquinas y recursos de la empresa para no sufrir de ‘olvidos’ que pudieran provocar que no se cumpliera la política de actualizaciones o CyberSecuritynews | Mayo 2021
contraseñas. Además, tener unas políticas de seguridad robustas y bien diseñadas no tiene ningún valor si no controlamos continuamente que se están cumpliendo. El papel lo aguanta todo, pero si no lo cumplimos nos estamos haciendo trampas al solitario. Es por eso que creo que lo más importante es la educación en seguridad de los empleados. Un empleado educado y comprometido va a hacer que el trabajo del equipo de seguridad sea mucho más sencillo y por lo tanto la empresa más segura. CSN: ¿Cuáles dirías que son las ciberamenazas más comunes que podemos encontrar en una empresa? HF: En el panorama actual creo que el
phishing es la amenaza más común por su bajo coste y riesgo para los delincuentes. De esta manera vemos continuos intentos de ataques phishing como ‘el fraude del CEO’ o ataques de ramsonware tan publicitados ultimamente. Una red informática empresarial mal protegida, junto a estaciones de trabajo o servidores no actualizados, pueden hacer que un ataque de ramsonware que se habría quedado en nada, ponga en riesgo el negocio de nuestra empresa. Otro ataque en auge últimamente, es cuando los delincuentes piden una cantidad de dinero a cambio de no realizar un ataque de denegación de servicio distribuido (DDoS) que podría dejar a la empresa sin servicio durante horas o días. Este chantaje hace que muchas empresas tengan que reforzar sus balanceadores y servidores e implantar sistemas anti DDoS.
Héctor Flores, CISO en Ingenico Iberia CSN: Y para terminar, ¿crees que España es uno de los destinos preferidos para los ciberdelincuentes? HF: No creo que seamos un país que
prefieran más que otros, simplemente creo que ahora estas redes de delincuentes están más profesionalizadas y se esmeran más en personalizar campañas para países o regiones en concreto. Antes solo nos llegaban campañas en inglés o con un español bastante sospechoso. Además, cada vez existen herramientas más avanzadas que pueden ser usadas ahora (las más profesionales previo pago) por un público antes mucho más especializado, o servicios que directamente pueden ser contratados con fines ilícitos. Estos servicios están totalmente profesionalizados y se ofrecen hasta SLAs. No nos olvidemos también, de que somos los posibles daños colaterales en esta guerra cibernética entre países que se está llevando a cabo desde hace años. Muchos de estos ataques de los que oímos en los medios de comunicación, son ejecutados o facilitados por diferentes gobiernos.
.
59
Nuevas tecnologías en ciberseguridad
¿Cada vez son más las empresas que contratan ciberseguros? La respuesta es un rotundo sí. Es un hecho que la contratación de ciberseguros ha aumentado exponencialmente. TEXTO: Aina
Pou Rodríguez
Desde 2012, el año en que se empezaron a contratar las primeras pólizas en España, hasta el día de hoy el sector del ciberseguro es de los que más han crecido. Debido a la evolución de Internet y de la informática, consecuentemente ha aumentado el número de amenazas a las que debe hacer frente una compañía en cuestión de ciberseguridad. Todas y cada una de las empresas existentes están expuestas a sufrir un ciberataque, independientemente del sector al que pertenezcan, del lugar en el que se ubiquen, o el número de empleados y usuarios que la conformen. Las consecuencias de sufrir un ciberataque son varias, desde el tiempo y el dinero que se necesita para subsanar, pasando por el desprestigio que sufre el negocio, hasta las posibles demandas y sanciones si se llega a dar la pérdida o el robo de datos personales. Para prevenir todos estos males, existen los ciberseguros. El primer aumento de la contratación de seguros cibernéticos significativo se hizo en 2018. Para conseguir cubrir los gastos debidos al compromiso de datos que exigía el nuevo Reglamento en Materia de Protección de Datos. Y volvió a pasar el año pasado, con la pandemia de la Covid-19, tras el decreto de estado de alarma y la obligación de
todos los trabajadores del país a trasladarse al teletrabajo desde casa, en la mayoría de los casos con dispositivos personales. Esta situación provocó un crecimiento de la conciencia del riesgo cibernético por parte de directivos, empleados y usuarios. El ciberseguro ya no se percibe como un lujo, sino como una necesidad
Esta afirmación junto con la creciente demanda del seguro cibernético por parte de las empresas, conduce a la obligación de la revisión permanente de los términos y condiciones de las pólizas cibernéticas. Lo que conlleva a la aparición de nuevos tipos de coberturas con nuevas condiciones y exclusiones. Los ciberseguros cubren dos tipos de garantías: unas básicas y otras complementarias, además de en ambos casos dejar algunos riesgos fuera de la cobertura. Estos casos que se excluyen, normalmente, son: Aquellos daños que resulten de los actos ilícitos llevados a cabo por el asegurado de manera deliberada, daños materiales y personales, reclamaciones y litigios producidos antes de la firma del contrato del ciberseguro, violación de la normativa sobre secretos comerciales y patentes, y los que tiene que ver con la guerra y el terrorismo. Asimismo, no son simplemente legales o económicos, sino que también
pueden ser técnicos. Y es importante tener en cuenta que depende de la ciber póliza que la empresa contrate, podrá disfrutar de unas u otras coberturas distintas. Qué tener en cuenta para contratar un ciberseguro: La actividad de la empresa. El tipo de datos que trata. Los equipos informáticos que se utilizan. Dónde se almacena la información de carácter personal o confidencial de clientes y/o empleados. Si trata datos médicos o financieros, u otra categoría de carácter especial. Si almacena propiedad intelectual. A pesar de que las empresas aún no estén obligadas de manera legal a tener ciberseguro, es 100% recomendable, para ayudar a mitigar el impacto económico de un ataque cibernético sobre la compañía afectada. Además, ya es un factor clave para que la empresa siga con su continuidad del negocio, con el mínimo número de brechas de seguridad. En definitiva, el confinamiento y la crisis sanitaria han acelerado la digitalización de la sociedad. El teletrabajo, la conciliación, la distancia social, la creciente importancia de la ciberseguridad y la contingencia y continuidad del negocio, son los términos que han provocado este aumento exponencial de la contratación del ciberseguro.
.
CyberSecuritynews | Mayo 2021
60 Tecnologías
Inteligencia artificial: También en el lado de los malos Está claro que la inteligencia artificial nos ayuda y mucho en nuestro mundo profesional y personal. Nos facilita la vida y a los ciberdelincuentes también. TEXTO: Nuevas
L
Tecnologías
os directores de ciberseguridad en compañías y organizaciones de todo tipo tienen un panorama interesante y retador en el futuro más próximo. Y es que, la forma en la que están actuando los cibercriminales cada vez es más variada. Podríamos a modo super resumido, identificar dos variables clave que propiciarán un incremento del cibercrimen: Mayor digitalización y actividad online: La pandemia del Covid-19 ha supuesto un punto clarísimo de inflexión. ¿Qué no hemos podido hacer CyberSecuritynews | Mayo 2021
durante el Gran Confinamiento? Quizás dar un abrazo a todos los que queremos pero casi que poco más. Todos continuamos con nuestras vidas gracias a la tecnología y digitalización. Algo que va penetrando en nuestras vidas poco a poco y que pasado un tiempo veamos normal que hablarle a un altavoz para decirle que nos encienda la vitrocerámica y nos cocine. Avance de la tecnología: la cual también es usada por el cibercrimen. Y en este punto nos vamos a centrar para mencionar concretamente algunos casos o ejemplos de cómo los malos están usando la inteligencia artificial sus z.
Inteligencia “malficial”: ejemplos Audio Deepfakes : La ingeniería social o esa técnica de manipular a las personas para obtener información sensible o dinero, principalmente, sigue evolucionando. Y también lo hace con la inteligencia artificial. ¿Os imagináis que los malos puedan suplantar a través de esta tecnología la voz real del CEO de una compañía? Pues es lo que sucedió allá por el 2019 en una compañía británica tal y como confirmaba el Wall Street Journal. Una ciberestafa inteligente que acabó recabando 220.000€. Video Deepfakes: Probablemente
61
Inteligencia Artificial más de uno de nosotros nos hayamos reído usando alguna aplicación que juega con los videos deep fakes. Algunos recordaremos la conocida faceapp que tanta polémica generó en su día. Pero vamos, que más allá de la diversión, los malos también saben sacarle jugo. En este sentido, hay una tendencia, una combinación explosiva que junta la pornografía con los deepfakes y la extorsión. Hablamos de sextorsión... ¿inteligente? La habilidad de combinar un vídeo pornográfico con las caras de una persona, puede generar un ciberataque dirigido bastante peligroso. Ya no parecen tan divertidos estos vídeos… Deep Masterprint: Nos gusta el término deep por lo que sigamos “profundizando en él”. Y avanzando llegamos a este concepto tan curioso. ¿Una inteligencia artificial que pueda “hackear” las huellas? Así es como unos investigadores crearon hace ya un tiempo una red neuronal capaz de vulnerar la identificación biométrica. Es decir, como si de un ataque de fuerza bruta de toda la vida se tratase, pero a base de huellas dactilares para saltarse ese factor biométrico. DeepLocker: Este caso ya no utiliza la inteligencia artificial para la ingeniería social ni para suplantar huellas dactilares sino para ocultar un malware. Imagínate un ataque dirigido a un alto cargo de una organización. Probablemente, el acceso directo a dicha
fuente: Opendemocracy
persona, no sea fácil. Pero… ¿y colar un malware por una puerta trasera y mantenerlo oculto hasta que escalando llegue a su víctima? Pues este es el malware inteligente que se oculta y despliega cuando reconoce el rostro de su víctima. Lamphone: ¡A qué nivel de sofisticación, detalle y locura hemos llegado! Es lo que se te puede venir a la cabeza al enterarse de que esta técnica avanzada de espionaje que permitiría escuchar una conversación a través de las bombillas de la habitación. Sí sí, en este caso no tendríamos que desconectar el “Alexa” para obtener más privacidad sino correr las cortinas. Y es que con solo un telescopio, un sensor electroóptico, un ordenador y el software para convertir la información, valdría para
realizar el espionaje. Y hablando de espionaje, extrapolemos a los dispositivos basados en inteligencia artificial como nuestros queridos altavoces mencionados ya que nos acompañan en el día a día. Y es que, puede que nuestra casa se haya convertido ya en una casa totalmente digitalizada y eso, son más y más ventanas abiertas. ¡Securizemos! Por último, mencionamos así de paso la computación cuántica. Algo que va a cambiar el modo en el que interactuamos con la tecnología pero que también podría ser aprovechada en un futuro no tan remoto por los malos. En este sentido, ¿podría la computación cuántica romper cualquier tipo de cifrado actual en cuestión de segundo? Reflexionemos .
.
Representación esquemática del método utilizado. Vía Ben Nassi.
CyberSecuritynews | Mayo 2021
62 #CyberWebinars
¿Cómo son los #CyberWebinars? Iot en ciberseguridad, concienciación y ciberseguridad en el mundo gamer son algunas de las temáticas que han tenido los diferentes webinars organizados por CyberSecurity News.
1
TEXTO:
Alicia Burrueco
.¿Cómo desarrollar una estrategia de concienciación en ciberseguridad? En esta sección se habló de la importancia de la concienciación en ciberseguridad en la actualidad, la incidencia del Covid-19 en las estafas y los ciberataques de los delincuentes, los pasos para desarrollar una estrategia de awareness y blindaje de empleados en pymes así como la gestión del awareness en una gran empresa entre otras muchas cuestiones prácticas. En este webinar estuvieron Ana Belén Santos, responsable de servicios para ciudadanos de INCIBE, Ana Gómez, Global Security Culture and Awareness at BBVA y Nicolás Rodriguez, Autor del libro “Ciber-conciénciate”. Y con Alicia Burrueco, Redactora Jefe de CyberSecurity News, como moderadora.
2. Día Internacional de la Ciberseguridad Durante este webinar se habló sobre la evolución de la ciberseguridad. ¿Recordamos cómo eran los ciberataques hace años? ¿Cuál ha sido la evolución de las ciberamenazas? ¿Cuánto hemos evolucionado en el “lado bueno”? ¿Qué están ofreciendo las CyberSecuritynews | Mayo 2021
nuevas startups innovadoras de nuestro sector para protegernos? Para ello contamos con la presencia de algunos profesionales como son Ángel Galvez, Global CISO en DUFRY, María Cobos, CMO de authUSB, Pablo López, jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional y como moderadora nuestra redactora jefe, Alicia Burrueco.
3. Especial Ciberseguridad en el Mundo Gamer Cada día son más las personas que juegan online. Y ya no solo hablamos de los jóvenes sino que el mundo de los juegos online ha evolucionado gracias a dispositivos como los smartphone hasta todo tipo de públicos. ¿Pero son todos los vídeosjuegos online seguros? ¿Todo vale en el juego online? ¿A qué riesgos nos enfrentamos? De todo esto y más se habló en el webinar que celebramos junto a Andrés Naranjo, Analista en Ciberinteligencia y CSE 2019 & 2020 de ElevenPaths, Eusebio Nieva, Director Técnico para España y Portugal en Check Point, Carlos Sánchez, jugador tradicional y Alicia Burrueco, redactora jefe de CyberSecurity News, moderando la mesa.
4. Ciberseguridad en el Mundo IoT Industrial Si estás leyendo estas líneas seguramente algo te sonará el término IoT. Y es que son muchos los años que llevamos hablando de la intensa transformación tecnológica que está experimentando todo lo que nos rodea, ya sea aplicable al mundo empresarial o al mundo personal. En este sentido, son muchas las empresas que tienen implementada toda una red de dispositivos inteligentes en entornos controlados o en campo abierto, que forman parte de su actividad principal. ¿Pero cómo proteger todo este campo IoT? En el webinar lo debatimos con Óscar Navarro Carrasco, Director del área de Ciberseguridad Industrial de S2 Grupo, Daniel Madero W., Regional Sales Director en Ivanti. Y Alicia Burrueco, redactora jefe de CyberSecurity News, moderando la mesa.
63
Sector de la ciberseguridad
¿Cómo es el papel de la mujer en el sector de la ciberseguridad? Cada vez son más las mujeres que trabajan en el sector de la ciberseguridad y que luchan día a día por conseguir posiciones de liderazgo
S
TEXTO: Alicia
Burrueco
egún el estudio que publicó el Instituto Sans con motivo de la celebración del 8 de marzo, Día Internacional de la mujer, Las mujeres en la ciberseguridad, la presencia de las mujeres en los sectores tecnológicos está creciendo pero todavía queda mucho por hacer. En este sentido vamos a recopilar información clave en este artículo de varios informes y estudios que se han realizado en los últimos años en torno a la presencia de la mujer en el sector TI y de la ciberseguridad a fin de entender el panorama actual y su evolución: Cybersecurity Workforce Report ((ISC)2) EEUU - 2018: Aunque los hombres superan en presencia a la mujer en el sector de la ciberseguridad en una proporción de 3-1, cada vez son más las mujeres que se incorporan a este campo y ocupan puestos de liderazgo. Más mujeres están alcanzando puestos como CISO (7% mujer - 2% hombre), IT Director (18% - 14%) and C-Level Executive (28% - 19%) TechCrunch - Israel- 2018: Esta investigación aportó que el 15% de las nuevas empresas de ciberseguridad israelíes tenían una fundadora, lo que suponía un incremento del 5% con respecto al año anterior. McAfee Report- Australia - 2018:
En la otra punta del planeta, McAfee exponía en su estudio que la mujer representaba en Australia el 25% de la industria de ciberseguridad. Cybersecurity Ventures (Cybercrime Magazine) EEUU - 2019: La mujer representaría en 2019 el 20% de la fuerza global en ciberseguridad en contraposición al estudio previo a nivel global llevado a cabo en 2013 por Frost and Sullivan que exponía que dicho porcentaje era del 11%, Asociación Nacional de Empresas de Software y Servicios - India - 2019: Según el organismo de la industria, la Asociación Nacional de Empresas de Software y Servicios, la fuerza de la fuerza laboral femenina en la industria de servicios y tecnología de la información en la India es actualmente del 34 por ciento. En este sentido, Microsoft India y el Consejo de Seguridad de Datos de la India (DSCI) lanzaron CyberShikshaa , un programa de tres años para crear un grupo de mujeres profesionales calificadas en ciberseguridad en el país. BeecherMadden . Reino Unido 2019: Según su estudio, la presencia de la mujer en el sector de la ciberseguridad en 2019, era del 18%. Como podemos comprobar, en términos generales podemos decir que aunque la presencia femenina en nuestros sector está aumentando, sigue siendo un porcentaje reducido.
¿Qué podemos hacer? Seguir promoviendo la ciberseguridad y la formación STEM desde edades tempranas. Hacer entender a la sociedad que la ciberseguridad no es algo únicamente para informáticos Atraer talento de otros sectores (en relación al punto anterior) Por supuesto, invertir en promoción de las mujeres Aportar más visibilidad a las mismas dentro de nuestro sector Para nadie es un secreto que en el sector de la ciberseguridad hay una notable falta de profesionales lo cual puede ser una gran oportunidad para el género femenino. Esto no solo ocurre en España, si no que en muchos países de Europa están en la misma situación. Es el momento de que la mujer ponga sus cartas sobre la mesa. Y ya para ir terminando, os recordamos que en nuestro canal de YouTube tenemos un vídeo en el que recopilamos las declaraciones de algunas de las muchas mujeres que ocupan grandes puestos en el sector de la ciberseguridad. Entre ellas podemos encontrar a Elisa Lozano de la Rosa, Mónica Salas, Laura Caballero, Mónica de la Huerga, María Isabel Rojo, Eva Roman, Ana Gómez, Eva Cristina entre otras muchas más.
.
CyberSecuritynews | Mayo 2021
64 CyberSecurity News Magazine
¿Cómo han sido los números anteriores de CyberSecurity News Magazine? Durante los cuatro números publicados de la revista de CyberSecurity News se puede encontrar diferentes temas como la evolución de la ciberseguridad, la seguridad cloud, la concienciación y teletrabajo entre otros muchos.
L
TEXTO: Alicia
Burrueco
a revista que estás leyendo ahora mismo es la quinta que se ha publicado bajo el nombre de CyberSecurity News. Ha sido en esta fecha para poder presentarla en la tercera edición del CISO Day siendo este último su tema principal. Además, cuenta con otros subespeciales como son el teletrabajo ciberseguro, la concienciación y el entrenamiento en ciberseguridad, la formación y las nuevas tecnologías en este sector. Antes de lanzar este número se han publicado otras cuatro revistas en papel de las cuales vamos a pasar a hacer un breve repaso sobre ellas.
CyberSecuritynews | Mayo 2021
Nº0 ¿Cómo ha cambiado el sector de la ciberseguridad en el último año?
Era en el mes de abril de 2018 cuando CyberSecurity News sacaba a la luz su primer número de revista en papel. Tan solo un año después de su puesta en marcha llegaba esta revista a manos de muchos profesionales. En este número (0) se pueden encontrar diferentes entrevistas destacadas como serían a los profesionales que trabajan en INTECO, S2 Grupo y en muchas empresas más. Incluso cuenta con un repartaje que fue muy interesante en su día en el que se habla de un listado de los 5 ciberdelincuentes más buscados por el FBI.
65
Números anteriores Nº1 CISO: ¿El nuevo
superhéroe de
moda en ciberseguridad?
Fue durante la primera edición del CISO Day, en junio de 2019, cuando se repartió, de manera exclusiva, el segundo número de la revista en papel de CyberSecurity News: Especial Ciberseguridad Corporativa. En este número, titulado CISO: ¿El nuevo superhéroe de moda en ciberseguridad?, se pueden encontrar interesantes entrevistas a CISOs de empresas como Codere, Allianz, Palladium Hotels, BBVA… Además, algunas mistery speakers a CISOs que no pueden revelar la empresa para las que trabajan.
Nº2 Multicloud: Un entorno prometedor que hay que defender
Cloud, multicloud…¿te suenan? De estos términos se ha hablado muchísimo y se sigue hablando de ellos. Hoy estamos acostumbrados, sabemos cómo funciona la tecnología, la usamos en nuestro día a día, tanto empresarial como personal y sabemos el potencial que aporta a nuestro desarrollo. Pero en este mundo sobre las nubes, idílico aparentemente, existen muchos riesgos, cada vez más numerosos. Como todo lo digital, los ciberdelincuentes también utilizan esta tecnología para penetrar en nuestras organizaciones. En este último especial de CyberSecurity News Magazine del 2019, se abordó la Seguridad Cloud desde muchas perspectivas diferentes. Además, se contó en esta revista, con un sub especial de ciberseguridad en el mundo del retail y del eCommerce.
Nº3 Especial Ciberseguridad en tiempos de Covid-19 Y por último llegamos al ejemplar que se lanzó en un año marcado en el recuerdo de todos. Debido a todo lo sucedido, el equipo de CyberSecurity News decidió lanzar un nuevo número en papel solo. Teletrabajo, ciberseguros, concienciación… Son conceptos que nos han estado acompañando, día a día, durante este 2020. Un año marcado por la crisis sanitaria debido al Covid-19 en el que de un día para otro se «normalizó» el trabajar desde casa sin tener en cuenta la concienciación en ciberseguridad por parte de los empleados. En el único especial publicado de CyberSecurity News Magazine del 2020, abordamos la Ciberseguridad en tiempos del Covid-19 desde muchas perspectivas diferentes. Además, contamos en esta revista, con un sub especial de ciberseguros. Recuerda que todos nuestros especiales en papel los puedes leer también en formato online y además, puedes solicitar que te llegue un ejemplar gratuitamente.
CyberSecuritynews | Mayo 2021
66 Evento
Vuelve el Congreso Nacional entorno al Ciberseguro El Cyber Insurance Day será de nuevo el escenario que reuna los sectores de la ciberseguridad y del seguro TEXTO: Alicia
Burrueco
Será en los últimos meses del año 2021 cuando la capital de nuestro país acogerá la segunda edición del Congreso Nacional entorno al Ciberseguro. Un evento que tiene como fin unificar los dos sectores: asegurador y ciberseguridad. CyberSecuritynews | Mayo 2021
Ya se decía en la primera edición del CID pero durante estos meses se ha ido confirmando cada día más. Los ciberseguros se están convirtiendo en el producto estrella del sector asegurador. Cada vez son más las empresas que se interesan por ellos y eso hace que las empresas que se dedican a respaldar a las organizaciones tras sufrir un suceso,
avancen y añadan los ciberseguros a su cartera de productos. ¿Cómo será la segunda edición del Cyber Insurance Day? Formato: Cumpliendo siempre las medidas de seguridad sanitarias impuestas por las autoridades, el Congreso Nacional entorno al Ciberse-
67
Cyber Insurance Day guro se celebrará 100% físico y habrá la posibilidad de que todo aquel profesional que no pueda asistir de manera presencial al evento, lo pueda hacer de manera virtual. Tendremos un streaming para que el CID se disfrute en cualquier parte del mundo. Asistentes: El año pasado, siendo la primera edición de un evento tan innovador como ha sido el congreso del ciberseguro, tuvimos la oportunidad de estar con casi 600 profesionales de ambos sectores. Para esta edición esperamos duplicar ese número, de manera virtual, y de manera presencial ojalá y se nos permita recibir a más de 400 profesionales. Ponentes: Como ya se ha ido adelantando, el Cyber Insurance Day constituye un puente que sirve de unión para ambos sectores. Este año se espera tener
más de 20 profesionales de la ciberseguridad y del sector asegurador. ¿De qué hablaremos en el Cyber Insurance Day? El Congreso Nacional entorno al Ciberseguro se celebrará en una jornada en la cual se abordarán temas muy interesantes del ciberseguro. La agenda empezará a las 10:00 a.m con la bienvenida de la presentadora, tendremos unas palabras del apoyo institucional y continuará con la aparición de los profesionales. Habrá una mesa de aseguradoras, otra estará centrada en la ciberseguridad, un panel de expertos que hablarán del sector seguro y otra de mediadores. Por otro lado también contaremos con keynotes de ciberseguridad y seguros. De la mano de todos los participantes
de estas sesiones podremos conocer cómo ha evolucionado el producto desde que se celebró la pasada edición del CID. Además de saber cómo han afrontado, ambos sectores, la vuelta a la “nueva normalidad”. ¡Quiero estar en el CID! Si este año quieres estar en la segunda edición del Cyber Insurance Day todavía estás a tiempo. En el próximo CID podrás estar con nosotros y con todos los asistentes que acudan al evento, tanto presencial como virtual, explicando y comentando todos los servicios que ofrece tu empresa. Si necesitas más información acerca de cómo poder participar en el evento escríbenos un email aquí: info@cybersecuritynews.es
.
I Congreso Nacional entorno al Ciberseguro
CyberSecuritynews | Mayo 2021