CyberSecurityNEWS Revista especializada en ciberseguridad. Ejemplar gratuito. Nº5 Mayo 2022 CISOEspecialDay CiberseguridadEspecialIndustrial EspecialGRC CiberseguridadEspecialenPYMES
Monitorice de forma instantánea el nivel de seguridad de organización!cualquier Obtenga su propia calificación de seguridad instantánea gratuita hoy en securityscorecard.com/instant-security-scorecard ¿ES SEGURO SU ECOSISTEMA?
3 CyberSecuritynews | Mayo 2022 Editorial
Redactor: Maria Luz Domínguez
El 24 de febrero de 2022 quedó marcado en la historia como el comienzo de la invasión en Ucrania por parte de Rusia así como el comienzo de un nuevo orden mundial.
Antes del día D, antes de ese 24 de febrero, el propio Presidente de Microsoft, Brad Smith dijo: “ horas antes del lanzamiento de misiles o el movimiento de tanques del 24 de febrero, el Centro de Inteligencia sobre Amenazas de Microsoft (Microsoft Threat Intelligence Center, MSTIC)
Redacción
CYBERSECURITY NEWS Edita: Digital Tech Communications Group S.L. C/ Núñez Morgado, 5 (local) 28036 MADRID CIF: DepósitoB87917563legal:M-11022-2018 www.cybersecuritynews.es info@cybersecuritynews.es
Todos los profesionales del sector de la ciberseguridad éramos conscientes de los ciberataques patrocinados por estados, pero fue también a partir de dicho momento cuan do pudimos comprobar el notable incremento de la necesi dad de defenderse de ataques cibernéticos de otros países en un contexto bélico.
Publicidad: luisrincon@cybersecuritynews.es
Relaciones Públicas: Angie Parra.
Pero no nos olvidemos, Internet no tiene fronteras y es precisamente una de las grandes ventajas de este espacio. Es por ello por lo que infraestructuras críticas y organizaciones de todos los tipos de países principalmente opuestos a la invasión, tuvieron que aumentar sus ciber defensas y recordar a todos sus empleados que debido a la excepcional situación de “ciberguerra” todos debíamos ser mucho más cautos con nuestra actividad digital y estar en constante alerta. Una alerta que por el momento no podemos parar y que lleva activa des de el 24 de febrero, el día en el que todos conocimos que la ciberguerra existía…
Pero ese día, el 24 también cambió algo. Fue el día en el que todas las televisiones, radios y medios de comuni cación masivos del mundo, empezaron a hablar de ciber guerra. Y todos entendieron en ese momento, que no se trataba de un concepto sacado de una película de ciencia ficción. “ Sí, la ciberguerra existe ” resonaba en cualquier plaza de España.
El día en que todos conocímos qué la ciberguerra existía
Redactora Jefe: Alicia Burrueco.
Director Comercial: Luis Rincón.
Diseño y maquetación: Pedro Santos
detectó una nueva oleada de ciberataques destructivos y ofensivos dirigidos contra la infraestructura digital de Ucra nia”. Como muchos de vosotros ya sabréis, esta potente arma rusa tenía un nombre y era Foxblade cuyo objetivo era borrar los datos de los servicios públicos y las entidades financieras ucranianas. Es decir, la invasión ucraniana comenzó con una ciberguerra y a partir de ahí, evolucionó a la guerra híbrida a través de tierra, mar, aire y ciberespacio.
Socios directores: Pedro Pablo Merino y Samuel Rodríguez.
4 Sumario16402242 324527 3650 6. #CyberCoffe 8. Perfiles que buscan los CISO para formar sus equipos 10. Conflicto bélico: ¿Cómo cambiará la 14ciberseguridad?.EspecialCISO Day 2022 16. ¿Cuáles son las prioridades del CISO en este 2022? 18. Fastly 20. Entrevista Amelia Torres 22. Entrevista Toni García 24. Vectra 26. Especial Ciberseguridad Industrial 27. Ciberseguridad Industrial 4.0 30. Securityscorecard 36. Entrevista David Muñiz 38. Especial GRC 40. ¿Qué es el GRC? 42. Entrevista Carlos Seisdedos 45. Cumplimiento RGPD de las empresas 46. Entrevista Jaime Requejo 48. Especial Ciberseguridad en las PYMES 49. Whitepaper PYMES 50. INCIBE 54. ¿Cómo mantener una PYME 58cibersegura?.¿Cómofue el Cyber Insurance Day 2022? 61. Jornada de puertas abiertas 62. Opinión de expertos de ciberseguridad
No importa dónde despliegues tus aplicaciones: Fastly puede protegerlas a escala. Ofrecemos a los equipos de desarrollo y seguridad soluciones que aportan visibilidad, control y acceso a información útil. Protege las experiencias que impulsan tu negocio. Una protección que no afecta al rendimiento. Despliegue flexible y gestión sencilla. La seguridad para aplicaciones que sí querrán tus desarrolladores. Más información en: fastly.com/es/products/cloud-security
6 CyberSecuritynews | Mayo 2022 #Cybercoffe
CyberCoffee
Siguenos en: RAQUEL BALLESTEROS, RESPONSABLE DE DESARROLLO DE MERCADO EN BASQUE CYBERSECURITY CENTREMARIONA CAMPMANY, DIGITAL IDENTITY AND INNOVATION LEAD EN MITEK JAVIER DÍAZ EVANS, SOCIO Y CRO DE A3SEC GABRIEL MOLINÉ SOSA, CISO DE LEROY MERLÍN
Detectar y CiberataquesinmediatamenteResponderaloshttps://www.vectra.ai DETECTAR AMENAZAS. DETENER ATAQUES. DESCUBRIR
8 CyberSecuritynews | Mayo 2022
Firma: AliciA Burrueco
fAlsA informAción
No hay momento sin noticias de una nueva amenaza cibernética. Debido a ello, son muchos los gobiernos que se han visto obligados a reforzar sus capacidades cibernéticas de defensa nacional.
predice un aumento rápido y soste nido de ciberataques, tanto a nivel nacional como internacional. Con las sanciones que se están imponiendo a las entidades rusas, los ciberde lincuentes contestarán con una gran cantidad de ciberataques más sofisti cados que incluso no se habían puesto en práctica aún.
CyberSecuritynews | Mayo 2022
Desde el inicio de la invasión de Rusia a Ucrania, el país invasor lanzó una serie de ataques de denegación de servicio distribuido (DDoS) contra webs ucranianas. Estos ataques iban diri gidos a webs bancarias y de defensa del país.
levamos unos años viviendo tiempos muy complicados. Sin ir más lejos, desde hace unos meses, tenemos presente el conflicto bélico. En ese acontecimiento los ataques cibernéticos se han conver tido en algo que está a la orden del día debido a que son una forma de atacar muy efectiva y con la que se consigue desviar la atención y sembrar el miedo.
AtAques DDos en el conflicto bélico
L
¿cómo será lA ciberseguriDAD trAs estA guerrA?
¿qué opinAn los expertos?
Conflicto bélico: ¿Cómo cambiará la ciberseguridad?
La invasión rusa a Ucrania ha originado también un notable aumento en los ciberataques a nivel mundial.
Estos ciberataques han seguido de forma intermitente. Se llegó a descubrir que grupos rusos utilizaban DanaBot, plataforma de malware como servicio, para lanzar ataques DDoS contra la web del Ministerio de Defensa de Ucrania.
Con la guerra cibernética que se está viviendo, debido a la invasión, se
La verdad también está siendo una víctima del conflicto bélico. A medida que se va compartiendo información errónea, es cada vez más complicado determinar qué es cierto y qué no. Esto ya lo vivimos hace un par de años cuando en marzo de 2020 declaraban el estado de alarma por el brote de COVID-19. Los cibercriminales utilizan información falsa, aparentemente validada por fuentes oficiales, para sembrar el miedo y así lanzar ciberaata ques a la población como por ejemplo, phishing.
Estamos viendo un gran aumento de ransomware en muchas industrias y es por ello que las organizaciones de infraestructuras críticas tienen que estar preparadas para este tipo de ataques y asegurarse de que su infraestructura tecnológica esté asegu rada, monitorizada y preparada para responder de manera rápida y efectiva para minimizar el riesgos y los daños todo lo posible.
Le hemos preguntado a los profesio nales de la ciberseguridad qué es lo qué opinan sobre la ciberguerra originada por el conflicto bélico y esto es lo que nos han contado:
· Al estar ubicado en un lugar de conflicto, desactivar la ubicación
Flavio Carvalho, CISO en Credibom dice que “A mi parecer, la invasión de Rusia a Ucrania nos ha puesto desafíos extras: hemos estado mucho más alertas, más integrados con los CERTs (Computer Emergency Response Teams) en Europa y más restrictivos. Por un lado es más impor tante segregar bien el tráfego y hasta mismo aplicar bloqueos geográficos
Gran parte de los incidentes más recientes los encontramos asociados a proveedores, muchas veces por fuera de nuestras capas de protección y capaces de generar daño”.
Consuelo Fernández de Miguel nos comenta: “La ciberguerra no es nada nuevo, existe desde hace muchos años. De hecho Ucrania ha sufrido varios ataques a su red eléc trica provenientes de hacker rusos Pero es verdad, que esta guerra ha dado visibilidad a que se puede hacer mucho daño con ataques dirigidos a instalaciones críticas. Y no solamente ha calado en la opinión pública, sino que ha incrementado la preocupación
· Antes de compartir la infor mación recibida con otro grupo de personas o en redes sociales, comprobar que está es verídica.
· Al recibir un correo electrónico con archivos adjuntos, evitar abrirlos a no ser que sean de un remitente de confianza.
· Utilizar la VPN siempre y cuando sea posible. .
11 CyberSecuritynews | Mayo 2022 Especial CISO Day
Jesús Alonso Murillo, CISO de Sigma en Europa opina sobre la segu ridad a partir del conflicto, “Conse cuencia de la guerra en Ucrania, hemos visto que es necesaria una mayor protección en el ámbito de ciberseguridad, los ataques a infraes tructuras críticas de los estados se han visto incrementados, buscando para lizar la estructura a través de ciberata ques. Mecanismos de protección peri metral ante ataques DDoS, cobran más importancia si cabe, así como preven ción y protección contra amenazas de ingeniería social (Phishing, Vishing, Smishing…) y ataques dirigidos. Una mayor orquestación de las herra mientas de seguridad disponibles y alerta temprana, son más necesarias que nunca. El ámbito de la ciber inteli gencia y compartición de información entre sectores público y privados, se ven cada día más necesarios para compartir información y prevenir la propagación de incidentes”.
y concienciación de los equipos direc tivos en las empresas. Aquellos que somos proveedores de instalaciones críticas, además hemos notado una mayor exigencia de nuestros clientes en la ciberseguridad. En nuestro caso, hemos tenido que reforzar los controles de seguridad y acelerar algunos proyectos, para lo que el apoyo de la Dirección ha sido funda mentalSiunimos a esta circunstancia que tras la pandemia, el teletrabajo es una realidad y cada vez tenemos más sistemas en el cloud, nos encontramos con un nuevo perímetro de seguridad a proteger donde se hace fundamental la protección de la entidad, de los endpoints y del dato allí donde esté y, sobre todo impulsar la detección y contención de los incidentes lo más rápido que se pueda. Por todo ello, el paradigma Zero Trust, la arquitectura SASE y la utilización de la inteligencia artificial en la detección y respuesta ante amenazas, son parte de las tecno logías a implementar a medio plazo”.
(a fin de reducir la superficie para ataques), garantizar cobertura contra ataques de denegación de servicio y refuerzos en nuestra seguridad “clássica” – y por otro mucho más atención con nuestros suppliers y cadenas de suministro.
¿qué poDemos hAcer Ante unA si tuAción Así? Cada vez que ocurre un acontecimiento de tal magnitud, la gente está ansiosa por conocer la información de última hora y busca constantemente noticias. Este hecho hace que los ciberdelincuentes estén alerta para atacar cuando pueden. Esto es lo que deberíamos hacer:
· No hacer clic en los enlaces que envían a través de correos electrónicos de extraños o en los SMS.
12 CyberSecuritynews | Mayo 2022 #CYBERAWARNESS G a m e s C o n c i e n c i a c i ó n ¿QUÉ ES LA DARK NET? FRAUDES ONLINE CARNAVAL CIBERSEGURO NAVIDAD CIBERSEGURA OFERTAS BLACK FRIDAY BRECHAS DE SEGURIDAD
El 9 de junio celebramos la IV edición del mayor congreso iberoamericano entorno a la figura del CISO
n la medida en la que los cibe rataques han ido creciendo en los últimos años, sabíamos que en este 2022 los ciberdelincuentes no iban a quedarse quietos e iban a seguir lanzando ciberataques.
Los CISOS son parte del negocio 2022 y tienen como objetivo asegurar el trabajo remoto, la concienciación en ciberseguridad y la gestión del riesgo entre otras.
En esta primera mitad del año ha habido ciberataques muy sonados y los cuales han tenido graves con secuencias. Era en marzo cuando los ciberdelincuentes atacaban a una de las grandes compañías energéticas, comprometiendo los datos de 1,3 mi llones de clientes. Destacado también,
no por el contenido robado si no por el lugar hacia donde se envió el ataque, fue el que se lanzó a la web del Congre so de los Diputados. Con lo que hemos visto en la primera parte del año, podemos hacernos una idea de cómo será la segunda parte del 2022. Ello supone una gran carga de
16 CyberSecuritynews | Mayo 2022 Ciberseguridad / CISO ¿Cuáles son las prioridades del CISO en este 2022?
Firma: redAcción de cyBerSecurity newS
E
Una de las prioridades a tener en cuenta es asegurar la fuerza del trabajo remoto . Desde que comenzó la pandemia, hace ya más de dos años, la gran mayoría de las empresas han dado un giro de 180º, si no más, en su forma de trabajar. El teletrabajo ha cogido uno de los papeles protagonis tas durante este tiempo y además de traer muchos beneficios también le ha abierto la puerta a los ciberdelin cuentes en alguna ocasión
¿Cuáles son las prioridades del CISO en este 2022?
entorno ot
Uno de los ciberataques más antiguos y que sigue siendo de los más sonados del
La seguridad de las plantas industriales y la de las infraestructuras críticas se han visto amenazadas en los últimos años debido al gran aumento de ciber delincuencia que estamos viviendo Las estrategias de ciberseguridad que se implanten en empresas industriales de ben de estar caracterizadas por la mejo ra continua debido, no solo a la rápida evolución del sector de la ciberseguri dad, sino también a la propia evolución del sector OT. Es por ello que se debe aumentar el presupuesto destinado a la ciberseguridad de este sector.
l AD illo : i nvertir en innovAción A medida que avanza la tecnología, van avanzando también los ciberata ques. Los ciberdelincuentes cada vez son más sofisticados y utilizan nuevos medios para lanzar malware, phishing, ataques de denegación de servicios (DDoS) y ataques a la cadena de suministro entre otros. Es por ello que
seguriDAD en lA nube
Puede que al inicio del conflicto entre Rusia y Ucrania los profesionales de la ciberseguridad, ni nadie, contemplaran la ciberguerra pero es algo que ha tenido y tendrá repercusión durante este año. Este conflicto ha sacado la ciber guerra a la superficie y ha hecho que todo el mundo la conozca y sepa de su realidad, ya que para muchos podría ser ficción hasta hace poco.
rAnsomwAre
t r A b A jo remoto
Todavía les queda un largo camino por recorrer a los CISOS de las empresas para ayudar y hacer entender a los trabajadores que, aunque nunca van a poder estar seguros 100% , usar el ordenador de trabajo como dispositivo personal, fuera de la jornada laboral, no es recomendable.
gran escala. Es por ello que los CISOS deberán tenerlo presente y adelantarse a los ciberdelincuentes.
17Especial CISO Day
La guerra entre Rusia y Ucrania puede traer consigo que los ciberdelincuentes se aprovechen de la situación y hagan ciberataques ya conocidos por todos nosotros pero es cierto que, puede que aparezcan nuevos ataques que los delincuentes tengan guardados para este tipo de situaciones. Herramientas que en principio estaban pensadas para entrar en acción y encuentran la motiva ción perfecta en una ciberguerra, como sería el caso.
La poca concienciación en cibersegu ridad, por parte de las empresas y los trabajadores, ha hecho que la forma de trabajar de estos no haya sido segu ra y los ciberdelincuentes no se han quedado quietos.
almacenar gran cantidad de informa ción, la hace muy atractiva para los Laciberdelincuentes.seguridadenla nube no es trabajo solo del proveedor de esta, si no que los CISOS también tienen parte de responsabilidad.
trabajo para la figura del Chief Infor mation Security Officer (CISO) de las empresas.
conflicto bélico
U
Firma: FAStly
reglA nº1 – combAtir intenciones, más que AmenAzAs específicAs Según estudios recientes, más de 350.000 nuevas variantes de malware se crean cada día. Por lo que las empre sas se afanan en buscar soluciones que protejan sus activos clave. En muchas ocasiones, la estrategia para abordarlo se basa en herramientas que buscan firmas (o indicadores de compromiso)
n auténtico desafío para los equipos de seguridad, ya que la mayoría de las herramientas de seguridad para aplicaciones web y API fueron diseñadas cuando los estándares se basan en soluciones nativas y permanentes en la nube. En esta evolución, es fundamental
18 CyberSecuritynews | Mayo 2022 Aplicaciones web por Fastly
Un internet fiable requiere nuevas reglas de seguridad para aplicaciones web y API
El diseño de aplicaciones se ha transformado profundamente en los últimos años, especialmente con motivo de la transición hacia los servicios en la nube, las arquitecturas multi-cloud y basadas en microservicios, así como aplicaciones orientadas a API que se distribuyen a nivel mundial.
que también las reglas de seguridad para APIs y aplicaciones web y sus procesos se actualicen, se adapten a la forma en que se diseñan las apli caciones hoy en día y que respondan al nivel de sofisticación y agilidad de los atacantes actuales. A continuación, detallaremos las que, desde Fastly, consideramos que son las cuatro reglas fundamentales.
19 CyberSecuritynews | Mayo 2022 Especial CISO Day
reglA nº2 – no hAy seguriDAD sin usAbiliDAD
completa no solo a los equipos de segu ridad, sino también a los de operaciones e ingeniería. Además, es fundamental que cuente con API sencillas y que se integren fácilmente entre sí y con todo el stack tecnológico de respuesta, como hacen Jira, PagerDuty, Slack y Splunk, junto con registros y estadísticas en tiempo real.
sistemas de autoaprendizaje y autorre cuperación; es decir, analizan constan temente patrones y comportamientos para predecir amenazas nuevas o en evolución, por lo que necesitan ver e interpretar el tráfico en tiempo real, así como poder para desplegar nuevas reglas ante las amenazas cambiantes.
Los equipos de seguridad necesitan integrar herramientas, observar el com portamiento de los sistemas y adoptar medidas de forma ágil. Para ello, la interfaz de usuario es su principal vía de acceso. Sin embargo, en demasiadas ocasiones, han de manejar una mul titud de interfaces antiguas que no se diseñaron teniendo la usabilidad como una prioridad. Esto provoca problemas como lagunas en el cumplimiento de políticas en todas las herramientas, len titud y falta de coordinación en la res puesta a las amenazas urgentes, incluso, incongruencias en la visibilidad del ecosistema de seguridad integral —o, lo que es peor, su invisibilidad. Por este motivo, toda solución de seguridad debería contar con una interfaz única, intuitiva y fácil de usar que permita controlar y ver toda la solución, con ob servabilidad global para dar visibilidad
reglA nº3 – un AtAque en tiempo reAl requiere unA reAcción en tiempo reAl
Un verdadero modelo de DevOps seguro diseña la verificación de segu ridad y el análisis de vulnerabilidades directamente en el marco de trabajo automatizado de pruebas y despliegue, y no al final del proceso. La mejor forma de establecer esta avanzada forma de trabajo es la integración real de los equipos de seguridad, operaciones y de sarrollo, y adoptar una mentalidad de ingeniería centrada en la distribución de software seguro. No solo lograre mos un sistema más fiable, sino también equipos más alineados y empleados con una carrera profesional más satisfactoria. Hoy en día, todavía hay una cierta fricción entre entregar software con rapidez y hacerlo con seguridad. Pero los motivos detrás de esta fricción se pueden resolver con soluciones de segu ridad que satisfagan las necesidades de los equipos y que integren la seguridad en los aspectos culturales y técnicos del diseño de software. En Fastly nos centramos en diseñar soluciones de seguridad para aplicaciones web y API que respondan a estas reglas y a las exigentes expectativas de seguridad de las organizaciones modernas. .
de amenazas específicas. Por ejemplo, los casos de Stuxnet o SolarWinds. Los IoC incluyen elementos como las direcciones IP de atacantes conocidos y expresiones regulares que coinciden con una URL de petición particular a la que apunta el malware. Sin embargo, ya hemos podido compro bar que proteger contra amenazas (como los antivirus), buscar inyecciones SQL o scripts en sitios (como hacen los WAF antiguos) o examinar exclusivamente el agente de usuario de las peticiones (como hacen las herramientas antibots) es un modelo que realmente no fun ciona. Es necesario un nuevo enfoque de seguridad para aplicaciones web y API, más inteligente, capaz de bloquear los ataques maliciosos pero también de mantener el flujo de tráfico valioso, como el de un cliente dispuesto a hacer una transacción. Para ello, es fundamen tal que las herramientas cumplan tres requisitos clave: primero, examinar no solo la firma del tráfico sino también la intención o el comportamiento. Lo cual significa tener en cuenta factores como la velocidad de la petición, la hora del día y el estado de inicio de sesión del usuario; segundo, que se puedan ejecu tar no solo en modo supervisión, sino también en modo bloqueo, sin miedo a generar falsos positivos; y tercero, que estén al día anticipándose a las ame nazas de forma proactiva sin suponer una carga adicional para los equipos de seguridad y operaciones.
reglA nº4 – Devops seguro, ¿men tAliDAD De ingeniero en DesArrollo, seguriDAD y operAciones?
Los responsables detrás del malware suelen ser ágiles y emplear flujos de trabajo DevOps avanzados para probar, ajustar y desplegar rápidamente nuevos métodos de ataque. Si deseamos prote ger los activos de una organización, las soluciones de seguridad deben reaccio nar con la misma rapidez tanto en la visibilidad de la amenaza como en la velocidad de reacción para controlarla. Vayamos por partes. Entendemos por visibilidad en tiempo real aquella que se mide en segundos -aplicada tanto a flujos automatizados como a los manuales- y que permite al sistema aplicar lógica inmediata para examinar amenazas y permitir reaccio nar ante alertas que requieren interven ción humana. Teniendo en cuenta que los ataques se perpetran en apenas unos minutos, una reacción demasiado lenta puede acarrear consecuencias nefastas. Eso sí, una vez detectada la amenaza, la velocidad de respuesta debe ser igual mente rápida, y basada en un enfoque de mitigación basado en la intención, como explicábamos anteriormente. Estas herramientas funcionan como
motor de innovación de la industria y su objetivo el compromiso de la reduc ción, la reutilización y el reciclaje de residuos. La finalidad es conseguir una sociedad sin residuos. Se trabaja por un futuro más limpio con un sistema de reciclaje eficiente, digitalizado y de circuito cerrado que proteja nuestro medioambiente y cree una cadena de valor sostenible.
AT: La ciberseguridad en PreZero es un pilar fundamental de la empresa. Como infraestructura crítica en servicios urbanos, gestionamos la limpieza viaria, la recogida y el tratamiento de residuos desde urbanos a industriales o farma céuticos. En PreZero contamos con un amplio equipo de expertos en inno vación en el ámbito de los residuos, implementamos procesos con tecno logía de última generación y esa tecno logía conlleva una securización tanto en el área IT y OT. Trabajamos con la premisa de hacer partícipe al equipo de ciberseguridad desde el inicio de todos los proyectos. Apostamos y ponemos foco en la concienciación y formación del empleado.
Conocemos
a Amelia Torres, CISO en PreZero
CSN: Amelia, ¿los riesgos ciberné ticos pueden llegar a impactar en el medio ambiente?
CSN: ¿Podrías decirnos cómo se trabaja la ciberseguridad en una empresa como es PreZero?
Su trayectoria profesional comenzó en el área técnica como analista del Centro de Operaciones de seguridad (SOC) de Telefónica, posterior mente en PwC con foco en el área de auditoria y riesgos tecnológicos. Tras más de 7 años en IBM, adquirió responsabilidades liderando proyectos internacionales en el área de arqui tectura de Seguridad Cloud para, posteriormente, aceptar un nuevo reto apasionante de CISO en PreZero (Schwarz Group), cuya misión es ser
20 CyberSecuritynews | Mayo 2022 Especial CISO Day / PreZero
“El riesgo cibernético se ha convertido en un riesgo sistémico en constante evolución que debe gestionarse de forma activa”
AT: El riesgo cibernético se ha conver tido en un riesgo sistémico en cons tante evolución que debe gestionarse de forma activa. Con un aumento del trabajo remoto, la interconectividad de la cadena de suministro, la digita lización como motor de la innovación y las vulnerabilidades críticas de las infraestructuras, las empresas están más expuestas que nunca. Los riesgos cibernéticos constituyen una amenaza muy importante actualmente para las empresas, y van a seguir siéndolo en un futuro.Lasobligaciones medioambientales implican un riesgo cada vez mayor. Junto con el aumento de la concien ciación ciudadana y el desarrollo de la normativa han hecho que las empresas tengan una mayor responsabilidad frente a los daños medioambientales. Al mismo tiempo, el riesgo cibernético es una amenaza cada vez mayor para las empresas de todos los tamaños, podemos establecer dos categorías de elementos, las pérdidas económicas derivadas de una interrupción de la actividad y el daño reputacional exis
CyberSecurity News (CSN):
Firma: AliciA Burrueco
Amelia Torres (AT): Amelia Torres es una apasionada de la tecnología y la ciberseguridad, campo donde ha desem peñado toda su experiencia profesional. Ingeniera en informática por la univer sidad Pontificia de Salamanca, cursó un Executive MBA y un Programa de desarrollo directivo en The George Washington University. Cuenta con más de 12 años de experiencia en empresas multinacionales en el sector de la ciberseguridad
¿Quién es Amelia Torres y cómo ha sido su trayectoria hasta ocupar la posición de CISO?
Reforzar la ciberseguridad es mejorar el funcionamiento de la sociedad, proteger la privacidad de los ciuda danos, reducir el fraude y minimizar los riesgos ambientales derivados de los ciberataques
en todos los dispositivos (Ordenadores, móviles, tablets..) que sean de fuentes desconocidas. Es muy importante hacer hincapié en la conexión wifi a redes seguras evitando wifi públicas o gratuitas. Para evitar el robo de cuentas utilizar contraseñas robustas y no reutilizar la misma en varias cuentas. Además, es recomendable cambiar cada cierto tiempo las claves.
CSN: El pasado 2021 se registraron más de 40.000 ciberata ques diarios y este 2022 parece seguir aumentando las cifras. ¿Qué nos espera en esta segunda mitad del año?
CSN: ¿La ciberseguridad es una pieza clave para la sostenibilidad?
Amelia Torres, CISO en PreZero
21 CyberSecuritynews | Mayo 2022 Amelia Torres, CISO en PreZero
AT: Ante todo con la prevención, moni torización y detección precoz. Deben implementarse políticas y procesos para minimizar el riesgo y proteger los datos. Las empresas que desarrollan software deben hacer de la seguridad una parte integral involucrando a los equipos técnicos de seguridad desde el inicio. El coste en ciberseguridad es ínfimo en comparación con la repercusión e impacto que pueden generar como consecuencia de un incidente. Hoy en día no solo se defiende la infraestruc tura IT sino también la OT, ambas tienen como fin proteger a la empresa.
CSN: Cambiando ahora un poco el enfoque de la entrevista, en el momento en el que nos encon tramos actualmente donde la tecnología y la digitalización tienen un papel muy impor tante, ¿cómo podemos mantener alejados a los ciberdelincuentes?
AT: El 2021 fue el año con mas cibe rataques reportados a nivel mundial, se prevé que este 2022 superemos las cifras. Nuevos métodos de ciberataques con foco en los servicios en cloud, continuaremos con los ataques de ransomware y la cadena de suministro, el aumento de los ataques a través de ingeniería social (Phishing, Smishing) cada vez más sofisticados y persona lizados, y por lo tanto más difíciles de detectar. Todo ello unido a la guerra cybernetica en paralelo a nivel inter nacional que estamos viviendo ante la invasión de Rusia en Ucrania. Refor zando las defensas por ejemplo uno de los entornos amenazados es el universo de Windows 365, según la alerta AA22047A enviada por la Agencia de Ciber seguridad e Infraestructuras (CISA) de Estados Unidos. Fortaleciendo una estrecha colaboración entre proveedor
El sector de la ciberseguridad tiene una tasa entorno al 0% de paro, por lo que creo que puede ser una gran opor tunidad para las mujeres ya que tienen mucho que aportar. .
Tener instalado y actualizado el sistema antivirus. El dispositivo también debe estar con la última versión disponible en el SO.
CSN: ¿Cómo podrían gestionarse estos efectos?
y empresa, ya que, aunque el ataque esté orientado a una empresa específica, al final se extiende por todo el mundo. Poner foco aún más en el parcheado y optima gestión de las vulnerabili dades unido a playbooks de actuación probados en caso de incidente.
AT:. La presencia de las mujeres en los sectores tecnológicos está creciendo, pero todavía queda mucho por hacer. Desde mi punto de vista se debería hacer más hincapié en la base, es decir es fundamental el apoyo de los colegios fomentando la inquietud por la programación y la ciencia en las más jóvenes, ofreciendo la posibilidad de cursar asignaturas más atractivas como robótica y desarrollo de aplicaciones móviles.
AT: La ciberseguridad se ha conver tido en una prioridad estratégica para la sostenibilidad y la competitividad a corto y largo plazo de un mundo empresarial en proceso de digitaliza ción acelerado, como una herramienta clave para las empresas que necesitan reforzar la seguridad de sus operaciones y finanzas, además de su reputación.
CSN: Antes de terminar queríamos conocer tu punto de vista sobre el papel de la mujer en el sector de la ciberseguridad.
tente ante el que están expuestos al explotar una vulnerabilidad y, como segundo elemento, la amenaza física que derive de un incidente como puede ser en nuestro caso perder el control ante un hackeo en una de nuestras plantas pudiendo ocasionar un impacto medioambiental.
“Sólo el 35% de los estudiantes matriculados en las carreras vincu ladas a las STEM en la educación superior son mujeres y únicamente el 3% de las estudiantes de educación superior realizan estudios TIC, según la UNESCO”.Aumentando el numero de estudiantes mujeres en formaciones, carreras STEM se reducirá la brecha que actualmente existe. La presencia de las mujeres en el sector de la ciberseguridad es del 24% a nivel mundial según datos de la Asocia ción (ISC) 2
AT: Prevención, concienciación, apostar por la seguridad como acom pañamiento de negocio y adoptar unos buenos hábitos digitales. Por ejemplo, desconfiar de los correos electrónicos y tener especial cuidado al descargar los archivos adjuntos de los correos y revisar los enlaces colocando el cursor sobre ellos para chequear a dónde nos dirigen realmente, ya que pueden contener un malware. Ser muy cuida doso a la hora de instalar aplicaciones
dos lados de la mesa, dando servicios y después desde el cliente final. He pasado por muchas empresas y he podido ver y aprender muchísimo de distintos sectores y sobre todo de distintas personas. Soy Ingeniero Técnico y Superior en Informática y tengo un Máster en Ingeniería Infor mática y de la Seguridad. Actualmente soy el Director de la Unidad que agrupa Seguridad, Transformación Digital, IT y Organización en LETI
En esta ocasión hemos tenido la oportunidad de hablar con Toni García, Chief Information Security Officer en Leti Pharma.
Toni García, CISO en Leti Pharma
“La escasez de personas será un factor crucial en los próximos años, esto no es nuevo en nuestro país, pero hay que encontrar una solución.”
CyberSecurity News (CSN): El equipo de CyberSecurity News ya te conoce pero para nuestros lectores, ¿qué nos puedes contar sobre Toni García?
22 CyberSecuritynews | Mayo 2022 Especial CISO Day / Leti Pharma
Firma : A liciA B urrueco
Toni García (TG): Como la mayoría (creo) que trabajamos en Seguridad es una afición además de un trabajo. En mi caso me encanta. Llevo ya unos cuantos años en el sector en los
Pharma lo cual me da mucho trabajo, pero también una visión muy trans versal de todo lo que sucede (con mis conflictos internos por los m ú ltiples gorros).
CSN: ¿Cómo es la ciberseguridad en LETI Pharma? ¿Este sector está concienciado de los peligros que hay en la red?
TG: Como en todas las empresas y sectores, cada vez se está más concienciado, pero estamos todavía
ridad como requisito de cumplimiento y esto supone que si se tienen en cuenta.
23 CyberSecuritynews | Mayo 2022 Toni García, CISO en Leti Pharma
CSN: Y para terminar, ¿qué podemos esperar para los próximos años en materia de ciberseguridad? ¿Cómo será el futuro de las soluciones de ciber TG:seguridad?
puedan ampliar las ubicaciones donde se encuentran estas personas.
* II Indicador de Madurez en ciberse guridad del Observatorio de la Ciberse guridad de ISMS Forum.
lejos de tener una madurez real a nivel de sociedad y empresas. En el sector farmacéutico tenemos la suerte de estar muy regulados y esto ayuda a la conciencia de que es necesario cumplir con unos estándares , pero también implica que para poder realizar cambios hay que hacerlo bien y validando que todo vaya acorde con el negocio. Por suerte, somos una compañía consciente de estos riesgos y se percibe como una aportación de valor. De todos modos, tenemos que seguir trabajando en mejorar día a día porque es una carrera de fondo.
A nivel de soluciones, el problema es que hay muchas. El problema en sí no es el número, relacionado con lo que comentaba de la escasez de personas, si no que para poderlas gestionar todas, se requieren manos y mucho conocimiento. Esto ligado a datos como que el 62%* de las compañías tienen entre 1 y 5 personas internas dedicadas a la ciberseguridad implica que tener ese conocimiento es muy complejo y que la única solución para muchas empresas sea externa lizarlo, con la consecuente pérdida de conocimiento interno. Por tanto, creo que habrá dos tipos de líneas de trabajo que se verán en este futuro cercano. Empresas, probablemente más grandes y con capacidad que podrán ir a muchas soluciones específicas y empresas que optarán, ya sea por la falta de capacidad de operación o por querer a un modelo simplificado a gestionar, por solu ciones unificadas (todo en uno) que les permita dotarse de todas sus nece sidades pero sin estar en “la mejor”, esto hay que cogerlo con matices, porque si no tienes la capacidad de operar una solución para sacarle el mayor partido a su rendimiento, capacidades y potencial, es probable que el resultado para ese 62% de las empresas sea el mismo que si tuviesen las soluciones líderes del mercado. Como digo, con matices, cada vez más se está viendo una consolidación en las soluciones y proveedores y esto en determinados casos brinda la posibilidad de tener funciones “básicas” que de no formar parte de una solución mayor es probable que tardamos años en disponer de ellas. Pero también implica riesgos al tener esa simplificación, un punto de fallo más grande. Esta simplifi cación y externalización nos genera una dependencia mucho más grande de los terceros y las soluciones a los que tendremos que aplicar las mismas estrategias de desconfianza, porque aunque sean muy grandes, también pueden fallar, y para nosotros el resul tado sigue siendo el mismo, tener impacto en nuestros negocios.
(Otra vez, por desgracia nada bueno :P) Como decíamos, somos un sector que todavía está madu rando, con lo cual cada vez será más necesario porque habrá más problemas y muchos todavía no los conocemos. Todos estamos inmersos en las mismas estrategias Zero Trust, SASE , etc. Y vendrán otras, pero seguimos teniendo los mismos problemas de raíz, identidad y datos. Creo que esto todavía no está solu cionado de modo que tendremos que seguir trabajando en ellos los próximos años. También, tenemos que ver una profesionalización todavía más grande del sector. En este punto, la escasez de personas será un factor crucial en los próximos años, esto no es nuevo en nuestro país, pero hay que encontrar una solución . Con el “nuevo” concepto de trabajo remoto, es probable que se
TG: Si, pero no siempre es fácil. Por suerte (o por desgracia) la acelera ción de la transformación digital que hemos sufrido estos últimos años ha hecho que el día a día del negocio cambie y que se utilice de manera más activa nuevas tecnologías, con esta palanca hemos conseguido que seguridad también se introduzca en ese día a día y aunque siempre decimos que la parte más técnica tiene que entender el negocio, ahora el negocio se ha visto “obligado” a entender más la parte técnica. En nuestro caso, esto está permitiendo que no hablemos de dos partes, solo hay un negocio y estamos implicados desde el inicio en todas las actividades de la compañía con la premisa de seguridad en el diseño y por defecto . Eso nos implica un gran esfuerzo y empujar y ceder cuando es necesario en cada caso.
CSN: ¿Crees que las empresas tienen en cuenta la cibersegu ridad cuando empiezan a preparar e implantar sus estrategias de TG:negocio?
CSN: Desgraciadamente hemos vivido el conflicto bélico y esto ha afectado a todos los sectores. ¿Cómo dirías que ha intervenido en el panorama de la cibersegu TG:ridad?
CSN: El CISO hace de interme diario y traductor entre la parte del negocio de la compañía y la parte técnica. ¿Consigues que se entiendan ambas partes?
Las empresas se dedican a lo que se dedican. A nivel de estrategia se debe tratar la ciberseguridad desde un punto de vista de gestión de riesgos. Creo que sí se tiene en cuenta, pero todavía estamos recorriendo el camino . Probablemente en empresas que tengan un área o departamento de riesgos maduro es más fácil que se tenga en cuenta la seguridad, del mismo modo que se tienen en cuenta los riesgos regulatorios o los finan cieros. Por suerte, estas regulaciones están añadiendo el concepto de segu
Por desgracia está afectando y mucho, si ya hablábamos del incre mento de “intentos” de ataque que se había sufrido con la pandemia, ahora se ha disparado todavía más. Nosotros hemos visto como en los últimos meses desde el inicio de esta situación, ¡se han multiplicado por 100 los intentos de intrusión! (personalmente este es un dato que me aterra, porque esto es lo que vemos… pero ¿y lo que no?) Lo que está claro es que este conflicto se está librando en muchos frentes y nuestro ámbito de actuación es uno de ellos. Como decía, por desgracia, un conflicto bélico nunca es bueno, pero estamos viendo como los peores eventos hacen que la ciberseguridad gane peso y visibilidad. Personalmente preferiría que esto no fuese así, pero tenemos que, siempre desde el máximo respeto, tratarlo y enfocarlo para poder mejorar entre todos.
En lugar de fijarse solo en las herra mientas utilizadas, abstraen las acciones de esta tecnología y estudian el método de control del atacante. Gracias a la técnica de abstracción, Vectra puede proteger frente a las herramientas que se sabe que emplean este método actual
mente, así como a las que se desarro llarán en el futuro.
El equipo de investigación de segu ridad de Vectra lidera todo el proceso de desarrollo de detecciones, en el que constantemente supervisa y revisa las técnicas de ataque que hay en circu lación. La investigación no se centra en herramientas o grupos de ataque concretos, sino en los métodos gene rales que emplean los atacantes
Una vez que los investigadores de seguridad han identificado el método de ataque, pasan a crear un corpus de muestras maliciosas y benignas.
F
comportamientos de los atacantes con el menor ruido posible.
irm A: V ectrA A i
Para que el modelo final sea lo más eficaz posible, el prototipo informa de todas las instancias relativas al método de ataque y de cualquier otra instancia que se asemeje a ese método;
n Vectra, las detecciones se centran en localizar a los atacantes e identificar sus métodos de ataque, no solo las anoma lías. La cobertura la desarrollan investi gadores de seguridad con muy variada experiencia y científicos de datos con profundos conocimientos acerca de cómo extraer valor de conjuntos de datos enormes y complejos. En los últimos 10 años o más, ambos grupos han ideado un enfoque de estrecha cola boración con el que desarrollar métodos de detección de amenazas comunes a todos los dominios de seguridad y tipos de datos para identificar con eficacia los
E
Detección de Amenazas por Vectra AI Detección de Amenazas mediante Inteligencia Artificial: la aproximación de Vectra AI Vectra ha sido pionera en el enfoque basado en la seguridad para detectar métodos de ataque en la red, la nube pública, las aplicaciones SaaS y las identidades
Una vez que los investigadores de seguridad conocen el método de ataque y los datos correspondientes, trabajan con el equipo de científicos de datos para desarrollar un modelo prototipo con un umbral óptimo para detectar el método del atacante.
24 CyberSecuritynews | Mayo 2022
25 CyberSecuritynews | Mayo 2022
A continuación, este algoritmo de correlación atribuye los comporta mientos a cuentas o hosts como anclajes estables.Unavez que se logran atribuir los comportamientos de ataque a un indi cador estable, se correlacionan para identificar el perfil de comportamiento subyacente del sistema, que posterior mente sirve para etiquetar y priorizar las amenazas en curso. El algoritmo de correlación se diseñó para reproducir las acciones que los analistas y los investi gadores de seguridad de Vectra llevan a cabo cuando investigan amenazas, para ofrecer la posibilidad de clasificar situaciones de ataque complejas (como
La detección debe realizarse lo antes posible. Si las alertas tardan en dispa rarse, los atacantes aprovecharán para llegar más lejos. Los algoritmos de Vectra se ejecutan en datos en strea ming, en lugar de hacerlo con lotes periódicos, de modo que las detecciones de Vectra permiten hallar a los atacantes en poco tiempo y así tener margen sufi ciente para detener su avance.
CISO Day
Sin duda, los atacantes seguirán inno vando, por lo que los responsables de la seguridad deberían hacer lo mismo. A lo largo de los años, Vectra ha innovado constantemente para desarrollar la plataforma de detección de amenazas y respuesta más eficaz posible para proteger recursos locales y en la nube.
Además de la protección que ofrece la tecnología patentada de Vectra, nos sentimos orgullosos de ser el proveedor con más menciones en el marco de la NSA y MITRE (conocido como MITRE D3FEND), que define las contramedidas que deben adoptar los responsables de seguridad para proteger su entorno. D3FEND es un gráfico que indica a estos responsables cómo detener los ataques y evitar las técnicas empleadas por los ciberdelincuentes, que se definen en el marco ATT&CK de MITRE. En total, el marco D3FEND menciona 12 patentes de Vectra, que se utilizan como referencia para las contramedidas de seguridad. .
es decir, de los eventos que estén justo por debajo del umbral. Estos últimos eventos permiten a los científicos de datos perfeccionar sus modelos para no pasar por alto ningún tipo de comporta miento. Se iteran modelos rápidamente hasta que se cumplen los estrictos están dares de calidad en cuanto a detectar métodos de ataque en el mundo real.
La eficacia de los algoritmos, sobre todo la de aquellos que siguen un método de aprendizaje sin supervisión, queda considerablemente lastrada por la cantidad de datos históricos dispo nibles. Cuando se ejecutan detecciones en lotes, se limita el volumen de datos que se puede procesar en un plazo razo nable. En el modelo de streaming de Vectra, los algoritmos extraen solo los datos que necesitan de un evento y los convierten en referencias nuevas para los modelos. Como aprenden de datos en streaming, esas referencias se crean a partir de meses de datos y millones de eventos, lo que garantiza una máxima calidad de las alertas.
La IA de Vectra no solo se emplea para identificar métodos de ataque concretos, sino también para correla cionar esa actividad y poder identificar, categorizar y priorizar los ataques que progresan activamente. Un algoritmo de correlación especializado analiza comportamientos en cuentas, hosts, la red y la nube, para indicar cuándo se produce un incidente de seguridad real.
Especial
Vectra emplea una arquitectura de red neuronal recurrente específica conocida como “memoria a corto y largo plazo” (LSTM) para identificar el compor tamiento de los ataques. Este tipo de algoritmo destaca en la comprensión de los eventos en varias escalas de tiempo diferentes, lo que resulta clave para comprender bien la naturaleza de los datos de la comunicación de mando y control. La LSTM se entrena con muestras reales y generadas mediante algoritmos.También es importante saber que este enfoque algorítmico existe gracias a la forma en que Vectra da formato a los datos de las sesiones de red. Aunque Vectra puede generar metadatos pare cidos a los de Zeek, los metadatos que extrae el analizador propio de Vectra son más fiables que los del estándar de Zeek porque puede analizar las comu nicaciones de red a intervalos de menos de un segundo. Esta perspectiva deta llada permite observar claramente todo tipo de comunicaciones benignas y maliciosas, y permite a los cien tíficos de datos de Vectra emplear los algoritmos que ofrecen la mejor cobertura posible ante situaciones muy distintas.Elresultado de estos metadatos exclu sivos y el sofisticado enfoque algo rítmico hacen posible conjuntamente detectar a los atacantes. La decisión de centrarse en los propios datos de comunicación, en vez de hacerlo en las señales superficiales, blinda la segu
ridad ante los cambios de herramientas y el cifrado del tráfico.
Vectra ha desarrollado más de cien detecciones con IA basadas en la segu ridad y ha identificado un sinfín de amenazas en la red de los clientes y en los entornos de nube, frustrando así las intenciones de los atacantes. Cada detección se desarrolló gracias a los profundos conocimientos de los equipos acerca de cómo se llevan a cabo los ataques y con el empleo de algunas de las técnicas de aprendizaje automático más avanzadas que existen. En total, Vectra tiene 33 patentes de tecnología para estas detecciones.
las amenazas externas o las amenazas internas a nivel de administrador) para que se analicen al instante.
Especial Ciberseguridad Industrial CiberseguridadEspecialIndustrial
Ciberseguridad en la industria 4.0
- Software. Los programas infor máticos o software es otra de las bases principales de la industria 4.0. Los sistemas industriales inteligentes dependen de un programa que hace que funcione todo correctamente. Por ello es necesario proteger ese programa e inte grarlo en los sistemas de seguridad.
- Datos. Las empresas y organiza ciones custodian datos tanto de clientes o empresas externas como confidenciales corporativos de la propia empresa. Es fundamental la protección de esos datos y cumplir con la normativa de protección de los datos de externos.
- Tecnología en los procesos. Existe otra tecnología que se encarga de admi nistrar los permisos y accesos de los usuarios a la red y el control de la planta industrial, además de otras muchas cosas. Proteger el acceso y los datos de la maquinaria de procesos es importante y necesario en todos los planes de ciber seguridad.-Entornos de la nube y dispositivos. En las empresas existen datos alojados en la nube y también se usan dispo sitivos inalámbricos como móviles o tablets. Estos elementos presentan un gran reto de seguridad por su interco nexión a la red.
Firma: mAri luz domínguez
redes de las industrias en comparación con el año 2020. El sector industrial y manufacturero registró el mayor número de ataques realizados por ciberdelin cuentes en 2021 a nivel global, desban cando así a los servicios financieros y al sector de los seguros, que histórica mente han sido los más atacados en los últimos años. En España los ciberataques a industrias aumentaron en un 79% más con respecto al año anterior.
Según datos de Check Point Research, el pasado año se detectó un aumento del 50% de amenazas por semana en las
No podemos olvidar que un cibe rataque en la industria puede tener diferentes niveles de gravedad según el impacto que provoque. Por ejemplo, un spam produce solo molestias a la empresa, pero Rootkit o una Amenaza Persistente Avanzada puede producir la pérdida del control del sistema bastante tiempo antes de que sus efectos sean visibles.
La ciberseguridad será fundamental en lo sucesivo según todos estos datos, por lo que tendrá que proteger las insta laciones y los procesos de producción de la organización o fábrica, además de los sistemas CPS. Además, deberán proteger todos los datos que recaban los disposi tivos, así como los datos confidenciales corporativos y todas las formas de comu nicación.Lossistemas de seguridad de las empresas industriales tienen que proteger las áreas tradicionales relacio nadas con el trabajo físico y también todas las nuevas herramientas digitales. Ambas áreas están relacionadas ya que cualquier problema que afecte a la seguridad de uno repercutirá también en la otra. Por todo ello, la ciberseguridad en la industria tiene una elevada impor tancia porque de ella dependen muchos otros factores.
- Red y comunicaciones. El primer sector y uno de los más importantes, donde la ciberseguridad es fundamental, es en la red informática de la empresa. Esta red controla muchos de los procesos automatizados. Es necesario proteger la red para que no haya ciber delincuentes que se puedan hacer con el control de la maquinaria.
27 CyberSecuritynews | Mayo 2022 Ciberseguridad en la industria 4.0
Entender el potencial de la nueva industria es importante también en lo que se refiere a la seguridad. De forma tradi cional, la industria se ha centrado prin cipalmente en proteger a las personas de posibles daños físicos de trabajar y operar con máquinas. Las políticas y los programas de prevención de riesgos laborales son esenciales para cualquier organización. Pero a esa seguridad tradi cional se le suma, con la implantación de nuevas tecnologías, el hecho de proteger estos nuevos sistemas. Así, será nece sario introducir nuevos parámetros de seguridad en las industrias mediante la conocida como Ciberseguridad.
Las empresas deben adaptarse a los tiempos e identificar aquellas herra mientas tecnológicas que pueden ser oportunidades para satisfacer sus necesi dades e implementar cambios de mejora en sus Estasprocesos.herramientas tecnológicas apli cadas en la empresa suponen cambios como la automatización de tareas, hacer la toma de decisiones mucho más descentralizada, optimizar los recursos y mejorar los procesos y productos, adquirir información en tiempo real, tener plena interconexión o introducir inteligencia artificial en la organiza ción. El hecho de implementar sistemas, máquinas o recoger grandes cantidades de datos aumentará la productividad y mejorará los resultados de las empresas.
- Recursos humanos. Los empleados de la empresa son también importantes en la seguridad de sistemas digitali zados. Si se produce un error humano puede tener consecuencias relevantes. Por eso es muy valioso crear un proto colo de ciberseguridad en la empresa ..
La industria 4.0 ofrece nuevas oportunidades, pero también retos en lo que a seguridad se refiere. En 2021 en España los ciberataques a industrias aumentaron en un 70%.
Texto: La industria 4.0 o la que también se denomina cuarta revolución industrial es una evolución y revolución en la industria que implica introducir tecnologías inteligentes, técnicas avan zadas, el Internet de las Cosas (IOT), la robótica y la inteligencia artificial, etc. en los procesos de industrialización.
su implantación. Estos sectores son:
sectores De ActuAción De lA ciber seguriDAD en lA inDustriA 4.0 La Ciberseguridad en la Industria tiene diferentes sectores donde es necesaria
comentado, tiene visión transversal de la organización, tanto tecnológica, como de negocio, lo que nos obliga no sola mente tener conocimientos en ciberse guridad, sino también en nuevas tecno logías y, por su puesto, de negocio. También es necesario contar con esas habilidades “blandas” que llaman, porque necesitamos comunicarnos de manera efectiva con todos nuestros interlocutores, para transmitir la importancia de la ciberseguridad en cada proceso de negocio, así como ser
Firma: mAriA luz domínguez
OO: Como he comentado, para mí, la figura del CISO es de un ejecutivo de alto nivel, debe tener conexión directa con el CEO, porque como bien has
Todo esto, al final, se traducirá en alinear la ciberseguridad a la estrategia de la organización, para generar cultura de ciberseguridad, apoyar al cumplimiento normativo, preparar a la organización para responder a un ciberataque y, en general, proteger a la organización contra cual quier amenaza digital y evitar fugas de información
Otro de los retos ha sido posicionar la figura del CISO como un ejecutivo de alto nivel dentro de las organizaciones. Desmi tificar el pensamiento que la ciberseguri dad es un tema únicamente tecnológico que no aporta al negocio y sólo está para resolver problemas, ciberseguridad, en el contexto actual, es mucho más que eso, ha de estar incorporado en los procesos de negocio de las empresas.
CSN: Combatir las amenazas y los riesgos que se producen cada día en torno a la ciberseguridad en las empresas, no es una tarea fácil: ¿Cuáles son los retos principales como CISO a los que te has tenido que enfrentar?
CyberSecurity News (CSN): Omar, el perfil de experto en cibersegu ridad se ha vuelto más necesario que nunca a nivel empresarial, especialmente tras el cambio producido por la pandemia en la que ha aumentado el teletrabajo, ¿cuál es la misión y responsabi lidad actual de un CISO?
28 CyberSecuritynews | Mayo 2022 Ciberseguridad Industrial
Los ciberataques siguen en tendencia ascendente y es fundamental el trabajo del CISO en las organizaciones para alinear la ciberseguridad como estrategia dentro de la organización.
Omar Orta, Chief Information Security Officer (CISO)
Omar Orta (OO): A mí me gusta decir que la responsabilidad del CISO es generar confianza en las tecnologías para impulsar la Transformación Digital en las organizaciones, con la misión de impulsar el crecimiento del negocio de manera sostenible y rentable.
“La responsabilidad del CISO es generar confianza en las tecnologías para impulsar la Transformación Digital en las organizaciones, con la misión de impulsar el crecimiento del negocio de manera sostenible y rentable”
OO: Sin lugar a dudas, creo que el mayor reto ha sido generar cambios en el comportamiento humano ante el riesgo digital. Las estadísticas están allí, más del 95% de los ciberataques que logran su objetivo en el mundo, viene precedido por un error humano. Invertimos mucho en tecnología, porque tenemos la falsa creencia que el tema de ciberseguridad lo resolveremos con tecnología, que es nece saria, sí, pero no es lo único. No estamos invirtiendo en formar, concienciar y adiestrar a los equipos.
CSN: El CISO es una figura central en la empresa que se relaciona con casi todas las áreas de la organización para que se cumplan los objetivos de ciberseguridad, ¿cómo es posible desempeñar esta función tan transversal?
Information
CSN: ¿Muchos expertos dibujan un escenario complejo en lo que a ciberseguridad se refiere en el panorama actual, Para ti. ¿Cuáles son las tendencias en cibersegu ridad del 2022?
Actualizar todos los sistemas. Las actualizaciones son añadidos o modifi caciones realizadas sobre los sistemas operativos o aplicaciones que tenemos instalados en nuestros dispositivos y cuya misión es mejorar tanto aspectos de funcionalidad como de seguridad. No tener los sistemas actualizados es el principal fallo de seguridad en las orga nizaciones, por lo tanto, la primera acti vidad que deberíamos trabajar consiste en actualizarlo todo, si bien es cierto que puede tener impacto en la operativa, las consecuencias de un ciberdelito es un coste mucho mayor. Mejorar la formación y conciencia ción de empleados. Puede que la dis posición tecnológica de tu empresa sea correcta, que los sistemas defensivos funcionan adecuadamente y que lo estés monitorizando todo. Pero el riesgo hu mano puede tirar todo esto a la basura en una décima de segundo dando clic en el lugar equivocado. Es por ello que debes ocuparte que tu personal sea consciente del riesgo al que expone a la organiza ción con su actividad digital y cambie su conducta ante estos riesgos. Será la mejor inversión generar un entorno de resiliencia ante el ciberdelito en tu orga nización.
OO: Creo firmemente que los humanos continuaremos siendo el principal objetivo de los ciberdelincuentes y estos ataques se irán perfeccionando cada vez más. Por lo tanto, continuaremos viendo muchas noticias sobre casos de ranso mware en organizaciones de todo tipo, tamaño y posición geográfica. Del mismo modo, estaremos viendo como los ataques contra las pymes continuarán creciendo, serán las pymes como proveedores de grandes empresas la puerta de entrada para los ciberdelincuentes. Las grandes empre sas deben poner foco durante los próxi mos meses/años en securizar su cadena de suministro.
Por último, creo que veremos en el 2022 un avance importante en lo que a desin formación se refiere y como esto deses tabilizará negocios y naciones enteras. La tecnología de deepfake permitirá manipular opiniones e incluso cotiza ciones bursátiles, además de empezar a utilizarse como herramienta para ingeniería social para obtener permisos y acceder a datos sensibles.
CSN: ¿Con el incremento de los ciberataques en todos los ámbitos, ¿qué recomendaciones puede dar como “básicas” en seguridad para todos los OO:usuarios?
Omar Orta, Chief Security Officer (CISO)
Otra tendencia para este año lo será la filtración de datos, los frágiles controles de seguridad que las empresas están considerando para su estrategia de migración al cloud y teletrabajo, además del “olvido” por proteger los dispositi vos móviles de sus empleados. Generan una tormenta perfecta para que ciberde lincuentes puedan sustraer información confidencial de los sistemas y filtrarlos.
más que hemos logrado hasta ahora es generar miedo en el uso de la tecnología en algunos niveles de la población. No únicamente debemos concienciar, tam bién debemos ser capaces de formar y preparar a las personas para cambiar sus conductas ante los riesgos digita les.
29 CyberSecuritynews | Mayo 2022
Securizar el gobierno de proveedores. Es posible que todo lo que hayas hecho por controlar los riesgos sea correcto, puede incluso que tengas inversiones millonarias en tecnología de seguridad, incluso que tu personal esté formado y preparado para actuar ante un ciber delito. Pero nada de esto importa si tus proveedores se convierten en la puerta de entrada de ciberdelincuentes. Debes asegurarte de contar con un gobierno de seguridad de proveedores que mitigue los riesgos a los que pueden exponerte, recuerda que sus vulnerabilidades afec tan el mapa de riesgo de tu organización y como tal, debes controlarla. Desarrollar un plan de crisis y conti nuidad de negocio. un aspecto a con siderar en ciberseguridad, es que la se guridad al 100% no existe y tu mejor estrategia de protección es plantear que vas a ser víctima de un ciberdelito en algún momento. Es por ello que debes contar con un plan de acción que te per mita saber qué hacer en una crisis, una guía que contemple la mayor cantidad de escenario de riesgo posible y cada uno de ellos con acciones concretas a realizar. Recuerda que, en un momento de crisis, la planificación y el orden es la mejor herramienta. Además, debes ocuparte porque el negocio pueda seguir funcionando, incluso sin acceso a los sis temas, para que el impacto sea el menor posible.
Revisar las huellas digitales de la em presa y empleados clave. La responsa bilidad del equipo de ciberseguridad no solamente se suscribe al perímetro que rodea a la organización. La digitaliza ción lo ha cambiado todo y ha desdibu jado ese perímetro. Los canales digitales también hay que protegerlos, es por ello que se debe verificar que, y donde se está hablando de la organización y sus em pleados, también debes evaluar las vul nerabilidades de los entornos públicos (dominios e IPs) y, por último, analizar la marca y el uso fraudulento para el que pueda estarse utilizando.
CSN: - La concienciación de los usuarios en ciberseguridad es una de las mejores herramientas para combatir los riesgos que se producen cada día, ¿Existe en general falta de conciencia ción en ciberseguridad en España?
Mejorar las capacidades de moni torización . Como puedes ver lo pri mero es hacer que todos los sistemas funcionan adecuadamente, el siguiente paso es garantizar que estás monitori zando todo, debes contar con un servi cio SOC que integre y pueda correlar eventos de todas las fuentes posibles. Así, los equipos de monitorización podrán buscar patrones de comporta miento anómalos en la red y prever la ocurrencia de un ciberdelito. .
capaces de analizar todo desde el punto de vista de negocio y poder plantear soluciones que en lugar de ser stopper para el negocio, permite acelerar su Endesarrollo.conclusión, para desempeñar esta función es necesario ser un líder con visión tecnológica, de negocio y mucha paciencia.
El enfoque actual es obsoleto, debemos ser capaces de evolucionar lo que esta mos haciendo para que realmente tenga el efecto deseado. Las organizaciones invierten en seguridad tecnológica entre 50 € y 150 € al año por dispositivo, pero en concienciar y formar en ciberseguri dad a las personas, si en nosotros, quie nes manejamos la tecnología y estamos siendo el principal foco de ataque entre 0 € y 20 € por persona.
No solamente hablo de un esfuerzo necesario en las organizaciones, sino a nivel general, incluyendo nuestros hijos, debemos enseñar a la población a hacer un uso sano de la tecnología y a generar confianza en ella.
OO:Y mucha, ya hemos mencionado algún dato que apoya esto, desde mi punto de vista es la tarea pendiente de los expertos de ciberseguridad, lo
Su puntuación de seguridad es un punto de partida en su viaje de ciber seguridad. Incluso si su calificación es baja, digamos, una D, o entre 60 y 70 puntos, su calificación nunca debería ser una fuente de vergüenza. En cambio, es el primer paso en un viaje de mejora.
evitar endeudarse. De manera similar, una plataforma de calificaciones de seguridad revisa la postura de seguridad de una empresa y le asigna una puntua ción al evaluar si la empresa puede proteger sus activos de datos de ataques.
risk rAting: ¿qué es unA cAlificAción De seguriDAD?
La edad, la altura, el peso y la presión arterial son índices que controlamos de forma rutinaria para cuidar nuestra salud. ¿Por qué? Porque queremos estar seguros de que, a medida que pasa el tiempo, los indicadores de nuestra salud están estables, o si están cambiando, que están cambiando de forma positiva. de seguridad
Calificación
aUTO r : SecurityScorecArd
¿Qué son los security ratings?
Las calificaciones de seguridad evalúan su nivel de seguridad de acuerdo a la eficacia con que protege la información. En un mundo digital, los datos y la protección de dichos datos por parte de la empresa, son análogos a sus ingresos y la protección de sus activos finan cieros.Lasagencias de informes crediticios del consumidor revisan las finanzas de una empresa y asignan un puntaje credi ticio evaluando si la empresa puede proteger sus activos financieros y así
30 CyberSecuritynews | Mayo 2022
L
a gestión de la salud de la ciber seguridad de una empresa no es diferente. Al igual que medimos nuestra altura, peso, edad, etc., también necesitamos tener una referencia de la salud de nuestra ciberseguridad. Ahí es donde entran en juego las calificaciones de seguridad. Las calificaciones de seguridad brindan a las empresas una comparativa que nos permite establecer niveles para medir y administrar conti nuamente nuestra exposición al riesgo cibernético.
La gestión del riesgo cibernético es un viaje:
Su calificación de seguridad desglosa su postura de seguridad para que pueda ver exactamente dónde deben centrar la atención sus equipos; tal vez la segu ridad de los endpoints sea demasiado floja o los parches no se prioricen o no se apliquen con la suficiente rapidez. Luego, puede crear fácilmente un plan para mejorar su postura de seguridad.
Finalmente, ¿Qué riesgos pueden venir de la mano de sus propios provee dores? Con la información que propor ciona su Scorecard, existe una mayor oportunidad de reducir el riesgo al dirigir la atención a sus provee dores. La gestión de riesgos de terceros permite ver de qué forma los socios de la cadena de suministro valoran la protección de sus datos y si alguna debi lidad que tengan podría representar una amenaza para sus operaciones.
El arte de la seguridad
lA historiA De los funDADores De securityscorecArD Las empresas gastan millones en la lucha contra los ciberataques, pero muchas de ellas siguen siendo víctimas. ¿La razón? No monitorean continua mente sus sistemas para detectar vulnerabilidades, sino que confían en análisis puntuales que se quedan obso letos enseguida en la era digital. Fue esta situación la que llevó a Aleksandr Yampolskiy y Sam Kassoumeh a lanzar SecurityScorecard, una plata forma que muestra una visión externa de las amenazas a la seguridad y propor ciona calificaciones de seguridad diarias
“Teníamos varias herramientas a nuestra disposición para ayudarnos a hacer nuestro trabajo, sin embargo, nuestro equipo de marketing firmaba contratos con proveedores de los que no creíamos que tuviéramos suficiente visibilidad”, dice Yampolskiy. “¿Cómo podríamos entender el riesgo de trabajar con ellos y con nuestros datos si no teníamos forma de medir su nivel de seguridad desde fuera?”
Con una plataforma como la de Secu rityScorecard, puede obtener la califi cación de seguridad de nivel superior de su organización. La calificación le brinda visibilidad del nivel de riesgo de su empresa, información procesable y, a partir de ahí, puede elaborar un plan para remediar los riesgos.
Scorecard también abre puertas para mejorar los gastos de su empresa; considere las tarifas del seguro cibernético y cómo las acciones que tome para mejorar su Scorecard podrían afectar su estado de riesgo asignado.
Las calificaciones de ciberriesgo le permiten identificar fácilmente dónde necesita enfocar su atención y construir rápidamente un plan para mejorarlo.
Security Scorecard
Aleksandr Yampolskiy y Sam Kassoumeh
Kassoumeh pensó: “¿Qué pasaría si pudiéramos diseñar una forma de proporcionar a las empresas una visión profunda de la postura de seguridad de otras empresas que fuera instantánea, precisa y verificable de forma inde pendiente sin tener que pedir permiso o esperar semanas para obtener respuestas a importantes preguntas de seguridad? En lo que fue realmente un momento de inspiración, ambos creímos que había formas no intrusivas de medir la salud de la seguridad de una empresa “.
Conocer los puntos débiles de su empresa puede resultar intimidante, pero existen buenas razones para comenzar su viaje de ciberseguridad con una puntuación de seguridad de referencia.Porunlado, las empresas que gestionan activamente su Scorecard Rating ven, en promedio, una mejora de 8 puntos en los primeros tres meses. Una calificación de seguridad mejorada significa una higiene de seguridad general mejorada y una menor probabilidad de un ataque. Las empresas con una calificación de Scorecard de F (menos de 60) tienen 7,7 veces más probabilidades de sufrir un ataque que las empresas con una calificación de A (90-100) . Por lo tanto, incluso si comienza con una calificación baja, aumentar su puntuación hará que su empresa sea más segura.
Conocer su Scorecard le brinda una forma reconocida a nivel mundial y de gran reputación de mostrar a los clientes que se toma en serio la ciberseguridad. Es una garantía de que sus datos están protegidos en manos de su organiza ción.Su
Los beneficios de conocer su Scorecard
La pareja se conoció mientras traba jaba en la empresa de comercio elec trónico Gilt Groupe, donde se dieron cuenta de que compartían una visión para un mejor enfoque de la ciber seguridad. También reconocieron que en sus funciones corporativas, la negligencia de otros podría costarles sus puestos de trabajo.
Comenzaron a buscar una forma de calcular un puntaje de seguridad y tener una comprensión holística del riesgo cibernético, similar a cómo los puntajes crediticios ayudan a las insti tuciones financieras a comprender el riesgo de las personas.
Su organización podría estar bajo ataque en cualquier momento, y su Scorecard le dice lo que ve un obser vador externo (léase: Hacker) cuando observa su organización y sus defensas. Saber esto le permite evaluar la capa cidad de su organización para defen derse de estas amenazas.
31 CyberSecuritynews | Mayo 2022
Ocho años después, esa visión es una realidad y la plataforma de SecuritySco recard se ha convertido en una referencia del mercado de Security Ratings. .
similares a una calificación crediticia.
A Sun-Tzu se le atribuye la ense ñanza de que conocerse a uno mismo es una garantía del 50% de éxito en el campo de batalla. Si bien el contexto era conocer las fortalezas y debilidades de la estrategia militar, la metáfora definiti vamente se extiende a la ciberseguridad.
Introducción a las clasificaciones de seguridad
Especial Ciberseguridad en la Industria
Firma: mAri luz domínguez
- El crecimiento de los ciberataques a industrias está obligando a las compañías a formar a sus empleados.
on el crecimiento de los cibe rataques en este 2022 las empresas están más expuestas a sufrir uno de ellos. La digitalización acelerada en los últimos años ha hecho que los ciberataques afecten también
- La formación, ya sea proporcionada por la propia empresa, a empleados o reglada, es clave en el futuro industrial.
a las organizaciones industriales. Las infraestructuras tecnológicas de las industrias se han tenido que adaptar rápidamente a la aceleración digital causada por la pandemia. Esta aceleración ha provocado proble mas de adaptación y en determinadas ocasiones ha dejado expuestas opera
La formación, clave en el futuro de la ciberseguridad industrial
C
32 CyberSecuritynews | Mayo 2022
ciones de procesos industriales y datos confidenciales que han sido aprove chados por los ciberdelincuentes con ataques de ramsomware o de denega ción del servicio. En 2021, compañías industriales del sector eléctrico, del agua o del transporte fueron las más afectadas por estos ataques. Con este
- Reseñar las características de las “Amenazas Persistentes Avanzadas’’ (APT) y mostrar sus posibles conse cuencias en la seguridad industrial.
La formación de empleados es nece saria en todas las organizaciones, pero especialmente en aquellas industrias con personal de rotación o que depen den mucho de personal contratado de manera temporal. Formación en Ciberseguridad Indus trial para empleados Existen empresas que ofertan cursos técnicos de formación en ciberseguri
lA importAnciA De lA formAción en ciberseguriDAD inDustriAl
los empleados sobre la seguri dad informática y concienciarnos puede evitar que un ciberataque sea exitoso. Para ello es necesario contar con un buen programa donde se incluyan las políticas y procedimientos para traba jar con las tecnologías de la información de las que dispone la industria.
La llegada del teletrabajo ha acelerado la transformación digital, pero también ha hecho que muchas organizaciones in dustriales están expuestas a ciberataques donde la información, datos y procesos industriales están comprometidos. Tan importante son los sistemas como la formación tanto de empleados como de contar con profesionales formados especializados.
Los empleados deben recibir informa ción sobre las amenazas, pero también tienen que saber con quién contactar si descubren una amenaza a la seguridad.
- Conocer los tipos de ataques que los ciberdelincuentes pueden intentar efectuar tanto en una red OT como en una infraestructura crítica.
- Conocer las políticas de seguridad y entender las diferencias entre las que se realizan en los entornos IT y los entornos OT.
Así, Vester Industrial Training Center oferta para empresas grandes y media nas el curso de Ciberseguridad Indus trial e Infraestructuras Críticas, donde se da una formación teórica y práctica sobre la protección de sistemas críticos industriales y la aplicación de medidas de seguridad en PLC / SCADA / MES. Igualmente, la compañía ACIBIN ofer ta para empresas medianas, pequeñas y micro pymes una formación personali zada sobre las soluciones, roles y res ponsabilidades que se han adoptado tras la implantación del Sistema de Gestión de la Ciberseguridad Industrial.
- Capacitar a los empleados para que tengan una visión en conjunto de los conceptos relevantes en lo que se refiere a ciberseguridad industrial.
Los ciberdelincuentes han encontrado en internet un escenario casi perfecto para lanzar sus ataques y sacar beneficio de ellos. Las mejoras en las telecomuni caciones, que hacen que la transmisión de datos sea mucho más fácil y rápida, hace crecer también el riesgo de los ata ques. Es entonces cuando la formación en ciberseguridad se hace indispensable y de ahí la gran demanda en institucio nes y empresas de todos los tamaños. Según un informe de ObservaCIBER, en España existe una brecha de talento especializado en esta disciplina de más de 24.000 profesionales. Entra esta falta profesional destaca especial mente la falta de especialización en ciberseguridad. Y si vamos más allá es de resaltar la escasez de especialistas en ciberseguridad industrial. El informe “Kapersky ICS Security Survey 2022” muestra que al 16% de las empresas industriales europeas la falta de pro fesionales de seguridad en tecnología operativa (OT) hace que estén en riesgo. Para ser un experto en ciberseguridad hay tres canales principales de forma ción; por un lado, están los estudios post universitarios basados en másteres que muchas universidades ofertan. Por otro lado, existen módulos de formación profesional y grados y cursos de títulos propios en ciberseguridad. Entre toda la oferta existen formaciones de este tipo más especializadas en ciberseguridad industrial.
En la actualidad las industrias se enfren tan al escaso conocimiento sobre ciber seguridad que se tiene a nivel industrial. Además, no existe todavía la suficiente concienciación dentro del ámbito profe sional que haga tomar medidas con anti cipación a las empresas. Muchas son las organizaciones que toman en cuenta la ciberseguridad solo después de haber sufrido un ciberataque.
33 CyberSecuritynews | Mayo 2022 Formación en Ciberseguridad Industrial
Para que los empleados puedan detectar y prevenir ataques en el sistema de se guridad, deberán ser formados sobre las diferentes formas en que las amenazas de ciberseguridad pueden presentarse. Algunas de estas ciberamenazas son el phishing, malware y ransomware e ingeniería social.
Por último, los empleados son un pilar fundamental en lo que se refiere a la ciberseguridad de la industria. Es ne cesario generar equipos multidisciplina res y preparados para que sean capaces de identificar los riesgos y amenazas.
- Conocer la normativa vigente en lo que se refiere a la protección de infraes tructuras críticas.
formAción De empleADos De lAs inDustriAs
La formación específica a empleados en lo que se refiere a ciberseguridad indus trial debe incluir unos aspectos forma
panorama las empresas industriales están aumentando sus presupuestos de ciberseguridad industrial.
Existen también sistemas obsoletos en unidades de producción o estaciones de trabajo que, pese a estar conectados a la red, no tienen ya por su antigüedad posibilidades de actualizaciones o parches, lo que hace que se exponga toda esta infraestructura a un riesgo alto de Noataques.podemos olvidar que los tres pilares de la ciberseguridad industrial son los sistemas: los procesos industriales y los empleados. En los sistemas deben integrarse elementos relacionados con la seguridad y la segmentación de redes. En los procesos deben aplicarse procedimientos y programas que ayuden a crear una red para hacer más seguro el entorno industrial y las infraestructuras.
tivos básicos, entre los que destacan:
- Identificar las principales vulnera bilidades y riesgos que existen en la actualidad en los entornos industriales.
La implementación de las herramien tas de protección basadas en software adecuadas junto con la especialización de equipos son algunas de las claves para lograr una seguridad completa en las instalaciones industriales. En esta especialización de los equipos juega un papel relevante la formación de los profesionales.
dad industrial para empleados con el objetivo de capacitarlos para adquirir competencias básicas en los procesos y entornos industriales.
La formación de los empleados es esen cial, ya que un error humano debido a la falta de conocimientos y conciencia ción sobre ciberseguridad es en muchos casos la razón principal de los ciberin Educarcidentes.a
formAción De profesionAles especiAlizADos en ciberseguriDAD inDus triAl
Formación Reglada en Ciberseguri dad Industrial en España INCIBE recopila en su catálogo de For
(CCI) de forma online. La capacita ción está orientada a profesionales de la Ciberseguridad Industrial: Profesio nales de la Seguridad de la informa ción, profesionales de la operación en organizaciones industriales y profesio nales de ciberseguridad en proveedores, ingenierías, integradores y fabricantes Lasindustriales.plazasse limitan a 20 alumnos para garantizar la calidad de la formación. El máster tiene un precio de 2.250 euros y
34 CyberSecuritynews | Mayo 2022
su formación está compuesta por cuatro módulos en los que se tratan: - Conceptos de automatización industrial y el estado de la seguridad digital en la industria 4.0. Donde se da una aproximación a la automatización y los sistemas de control industrial. Introducción a las redes y los sistemas de control industrial. Definiciones y ex plicación de conceptos y componentes claves: SCADA, DCS, RTU, IED, PLC, HMI, FEP, PCS, DCS, EMS, sensores,
mación Reglada en ciberseguridad en España los másteres, especializaciones, grados y especializaciones en Forma ción Profesional que existían en España en 2021. Este recopilatorio muestra cómo a finales del año pasado existían tres formaciones regladas en España en lo relativo a Ciberseguridad Industrial: Máster Profesional Online de Ciberse guridad Industrial
Este máster está impartido por el Centro de Ciberseguridad Industrial
En lo que se refiere al centro que lo imparte, este Centro de Ciberseguridad Industrial (CCI) es una organización independiente, sin ánimo de lucro, que trabaja en impulsar y contribuir a la mejora de la ciberseguridad Industrial.
- Hacking, Estrategia de Defensa y Análisis Forense. Donde se especifican las estrategias y técnicas de defensa y se aprende a realizar un análisis forense en ambientes industriales. Además de aprender la tipología de delitos tecnoló gicos en una organización industrial.
- Diagnósticos de la ciberseguridad industrial, donde se revisa como es la seguridad en los entornos industriales, así como cuáles son las vulnerabilidades y amenazas de los Sistemas de Control. Además de identificar los vectores de ataque como líneas de comunicación, accesos remotos, etc.
después los conocimientos relacio nados con el cumplimiento y gestión de la ciberseguridad industrial, donde se exponen los riegos y se conoce la normativa aplicable como es la NIS europeas, el Esquema Nacional de Seguridad ENS o la Ley de protección de infraestructuras críticas LPIC. Los alumnos en la última parte del curso conocerán los Sistemas de supervisión y monitorización de amenazas con las Soluciones Zabbix, los firewalls de nue va generación (NGFW), los sistemas de detección de intrusiones y los sistemas de gestión de eventos e información de Ciberseguridadseguridad.
Este curso está actualmente también im partiéndose en la Universidad de Vigo. Consta de 330 horas y tiene un precio de 2.500 euros. El curso está orientado a titulados universitarios de primer y segundo ciclo, así como a profesionales dedicados a la implantación y mante nimiento de sistemas automáticos de ámbito industrial que acrediten tres años de experiencia profesional.
en Sistemas de Control Industrial ICS/SCADA
Una vez que finaliza el máster, el alumno ha adquirido competencias válidas para efectuar un diagnóstico de ciberseguridad en un entorno industrial, tanto a nivel técnico como organizativo. Además, estos profesionales formados son capaces de elaborar un programa de ciberseguridad industrial basado en análisis de riesgos y análisis gap de las mejores prácticas y estándares actua les, utilizar técnicas y herramientas de hacking para identificar componentes vulnerables en la infraestructura del sistema de control y SCADA, aplicar estrategias y técnicas de defensa para proteger los sistemas de automatización industrial.
En un segundo bloque se ejecuta una introducción a los Sistemas de control industrial como son los sistemas de control distribuido (DCS), autómata programable (PLC), control numérico por computador (CNC), robot industrial, entre otros. También se incide en las interfaces hombre-máquina como son los sistemas HMI y SCADA. Avanzando en el curso se establece
- Preparación de la ciberseguridad industrial. Donde se establece ya como diseñar un plan de seguridad y protección de infraestructuras críticas, así como un Programa de Seguridad de Sistemas de Control Industrial.
tiene una importante cartera de ac tividades de investigación y análisis, generación de opinión, elaboración y publicación de estudios y herramientas, e intercambio de información y conoci miento en lo relativo a los derivados de la integración de los procesos e infraes tructuras industriales en el ciberespacio. Especialista en Ciberseguridad Indus trial
El Centro de Ciberseguridad Industrial
Este Centro fue creado hace 7 años y en la actualidad se ha convertido en el re ferente internacional en el ámbito de la ciberseguridad industrial, contando ya con más de 3.000 miembros, un equipo de más de 45 coordinadores regionales, 4 continentes, y 20 expertos.
35 CyberSecuritynews | Mayo 2022
Los alumnos del máster disponen tras la formación de conocimientos nece sarios sobre las principales técnicas y herramientas que se pueden usar en el análisis forense de un entorno OT, así como elaborar un informe pericial.
comunicaciones, Wireless (radio, Wifi, microondas, celulares), protocolos (ModBus, ProfiBus OPC, etc.) y capas de red.
Las plazas máximas disponibles son 30 y se realiza con un mínimo de 21 alumnos. Introducción a la Industria 4.0 (1 ECTS). El programa académico está compuesto por diferentes bloques donde se da una visión global de la industria 4.0 así como de su evolución en diferen tes sectores.
Impartido por la Universidad Nacio nal de Educación a Distancia (UNED) el curso se ofertó en el año 2016 de for ma virtual y estaba dirigido a alumnos o titulados de Grado, Ingeniería Informá tica, ingenieros en Informática, teleco municaciones e industriales, así como alumnos que hayan desarrollado en su formación módulos relativos a las TIC. Profesionales tales como analistas de ciberseguridad, y/o trabajadores inmer sos en desarrollo, control y vigilancia de procesos industriales y jefes de Seguri dad de empresas, en donde se lleven a cabo procesos industriales automatiza dos y se gestionen y controlen a través de sistemas ICS/SCADA. Profesionales del mundo de la seguridad (Fuerzas y Cuerpos de Seguridad, militares, seguri dad privada, etc.). .
cualquier compañía a nivel global, tampoco pasaron desapercibidas para Talgo. Este fue el punto de partida para crear el departamento de ciber seguridad en 2019. Desde entonces, el esfuerzo del trabajo en equipo y colaboración con otras áreas nos han llevado a gobernar y gestionar los riesgos IT, OT y de producto.
CSN: Con el papel de CISO que a día de hoy tienes, cuéntanos, ¿cómo estás gestionando el desa rrollo de los sistemas OT bajo el punto de vista de la cibersegu DM:ridad?
Firma : A liciA B
36 CyberSecuritynews | Mayo 2022 Ciberseguridad Industrial / Talgo
urrueco
Llevar ciberseguridad a una compañía desde el lado de los sistemas de información ya es un
“Los procesos y operaciones industriales son objeto de ciberataques cuando el foco son directamente los propios sistemas industriales”.
David Muñiz (DM): Las diferentes amenazas que afectan e impactan a
Charlamos con David Muñiz, Chief Information Security Officer en Talgo. Muñiz nos permite conocer más en profundidad cómo se trabaja la ciberseguridad en una empresa industrial.
CyberSecurity News (CSN): Antes de empezar, ¿podrías contarnos cómo ha sido la trayectoria de la ciberseguridad en una empresa como es Talgo?
Identificar y formar a ingenieros con talento y motivación para crecer profesionalmente en el ámbito de la ciberseguridad nos está permitiendo responder a las necesidades del sector y de nuestros clientes.
David Muñiz, CISO en Talgo
Sin lugar a duda, solo hace falta mirar el histórico de casos regis trados, o los medios de comunicación las últimas semanas, para encontrar ejemplos de casos reales. No debemos olvidar que los procesos y opera ciones industriales son objeto de ciberataques cuando el foco son directamente los propios sistemas industriales , pero también colate ralmente cuando son atacados los sistemas corporativos con los que están estrechamente relacionados. Nos gusta siempre hablar de la importancia de independizar los dos mundos, pero la realidad es que en una infinidad de escenarios esa independencia no llega a ser completa ni perfecta.
Más allá de buscar especialistas en la escasez del mercado laboral, nuestro objetivo es aportar a la eficiencia y valor de la compañía creando cantera de ciberseguridad industrial, a través de la especializa ción y reconversión hacia la ciberse guridad de personal con background deHayingeniería.mucho conocimiento sectorial y de operativa que ahora mismo solo tiene un ingeniero industrial, y donde un especialista de ciberseguridad no llega aún, sin contar los tiempos de adaptación y aprendizaje de los procesos de compañía.
37 CyberSecuritynews | Mayo 2022 David Muñiz, CISO en Talgo
Tenemos varios objetivos, entre los cuales desarrollar nuestros programas de ciberseguridad IT y OT, e incrementar la madurez y resi liencia , claramente son dos de los más importantes, pero no los únicos.
Colaboración público-privada con nuestros clientes y proveedores, para identificar estrategias conjuntas de mejora como acelerador del cambio
La definición de un programa de ciberseguridad OT basado en los estándares de referencia como la ISA62443, TS50701 (específico en el sector ferroviario) o NIST, que permita fijar y adaptar controles y medidas técnicas a nuestro sector
Además de avanzar en los programas de ciberseguridad, uno de los objetivos realmente más intere santes se centra en aportar soluciones y alternativas al problema de reclutar talento.
CSN: Durante tu trayectoria profe sional, ¿podrías decirnos cuáles han sido las carencias en ciber seguridad que te has encontrado respecto a las infraestructuras DM:industriales?
esfuerzo considerable, habitual mente marcados por presupuestos limitados y dificultad de reclutar y retener talento. En compañías con ámbito industrial, liderar y conseguir cambios satisfactorios en los esce narios OT supone un reto adicional. En nuestro caso, este cambio se está gestionando bajo las siguientes líneas de actuación:
La identificación de riesgos y cuan tificación adecuada de su impacto
sobre el problema. A partir de aquí, el resto de palancas y apoyos como una regulación sectorial más contun dente, inversión adecuada en las compañías , y la resistencia al cambio cultural, serían más soportables permitiendo agilizar su gestión.
.
ciberseguridad, en los próximos DM:años?
CSN: Tecnología cloud: ¿qué nece sitamos tener en cuenta a la hora de utilizarla en entornos indus DM:triales?
Usar la cloud para los entornos industriales es un tema muy discutido actualmente, y los posicionamientos son variados. Considero que cada sector y escenario debe realizar una valoración real y sensata de la nece sidad de involucrar la cloud en sus procesos industriales, y ponderar estos beneficios con los riesgos que implica. Hay que diferenciar los casos de uso realmente necesarios y de valor, de los que son simple marketing o capricho evolutivo.Posiblemente sea algo imparable y que habrá que gestionar, porque hay casos con grandes beneficios induda bles, pero también un primer punto clave e incluso crítico debe estar en asegurar que el caso de negocio para integrar la cloud incluye también los riesgos y costes de ciberseguridad ligados a los equipos de trabajo y medidas técnicas para su gestión CSN: Y ya para terminar, ¿qué objetivos tenéis, respecto a la
Cada sector industrial lleva un ritmo diferente en la adaptación y protección de sus entornos , pero creo que las mayores carencias comunes a la gran mayoría parten de una conciencia y compromiso real
Establecer un entorno de estrecha colaboración entre los equipos de ingeniería y ciberseguridad , como fórmula para lograr alcanzar el mejor resultado acorde a las necesidades y condiciones técnicas de cada entorno CSN: David, ¿dirías que las opera ciones industriales son objetivo de DM:ciberataques?
Especial GRCEspecialGRC
39 news | Mayo 2022
recomendaciones
x x x x x x x x x
concepto pretende dar respuesta a la necesidad de las empresas de mejorar la forma en la que gestionan determi nadas funciones y en cumplimiento de una mayor automatización tanto de sus datos como de su información.
L
40 CyberSecuritynews | Mayo 2022 GRC
últimos 10 años el concepto GRC ha ganado en popularidad. Este
Aunque existen numerosas defi niciones de GRC, la definición dada por Nicolas Racz, Edgar Weippl y Andreas Seufert muestra una idea bastante completa del concepto. Estos autores definen el GRC como “un enfoque integrado y holístico para abordar las áreas de gobierno corpora tivo, riesgo y cumplimiento en toda la organización, asegurándose de que esta actúa de un modo éticamente correcto y conforme a su perfil de riesgo, sus polí ticas internas y la normativa externa
¿Qué es el GRC y que debe hacer una empresa para implantarlo? Una estrategia GRC bien planificada tiene muchos beneficios para la organización, ya que convierte los riesgos en oportunidades
Firma: mAri luz domínguez
El GRC tiene que ver con las prácticas más importantes que han adoptado las organizaciones. Entre estas prácticas están la institucionaliza ción del gobierno corporativo, la gestión integral de los riesgos y los programas de cumplimiento.
as empresas de todo el mundo s on siempre conscientes de que es necesario renovarse y cambiar los modelos de trabajo Es por ello por lo que buscan ir mejo rando sus procesos, ya sea mediante la mejora continua de sus prácticas corporativas o mediante la implemen tación de nuevas soluciones tecnoló gicas.Enlos
Análisis previo de la situación de la organización . Es necesario conocer y analizar la situación de la compañía y establecer los puntos de mejora para conseguir un sistema GRC integrado.
4. Gestión del riesgo . Este proceso se centra generalmente en el segui miento de riesgos e incidentes, pero puede recabar datos también de herra mientas de analítica de riesgos.
3. Gestión del cumplimiento de la normativa. Estas funciones ayudan a los empleados a que se cumpla con procesos documentales, de flujo de trabajo, presentación de información y visualización de los objetivos de control, controles y riesgos asociados.
Estas soluciones introducen la automatización de varios procesos en la organización, lo que ayuda a aumentar su eficiencia y a reducir la complejidad de diferentes opera ciones. El software combina todas las aplicaciones que gestionan las funciones básicas de GRC en un solo paquete integrado.
a través de la alineación de la estra tegia, los procesos, la tecnología y las personas, y mejorando de este modo la eficiencia y la efectividad”.
f unciones principA les D el grc ¿Cuáles son las funciones prin cipales de una plataforma GRC? A continuación te las detallamos.
¿ q ué D ebe h Acer un A empresA pA r A impl A ntA r un grc A tr Avés D e un softwA re ? Antes de implementar un sofware GRC es necesario llevar a cabo un análisis y una planificación para diseñar la estrategia de integración del GRC en la organización.
Planificación y definición del alcance de los objetivos del proyecto. Conociendo el estado de la organización se ha de establecer el nivel que se busca alcanzar.
El propósito principal del software GRC es automatizar una parte importante del trabajo asociado a la documentación y presentación de información de las actividades de gestión del riesgo y cumplimiento, que están, en su mayoría, estrecha
41 CyberSecuritynews | Mayo 2022 ¿Qué es el GRC?
Implementación y realización del modelo con un software GRC . El siguiente paso tiene que ver con la implementación del modelo donde se ha de elegir un software GRC.
¿ q ué es un A solución D e softwA re grc ?
El cumplimiento consiste en la iden tificación de responsabilidades y obligaciones tanto internas como externas. Para lograr un cumplimiento exitoso debe conocerse ampliamente el marco legal al cual está sujeta la empresa.
El software GRC puede ser implementado por cualquier orga nización , ya sea pública o privada, de tamaño más grande o pequeño, que quiera alinear sus actividades de Tecnologías de la Información con sus objetivos de negocio, gestionar el riesgo de manera efectiva y mante nerse al día con el cumplimiento de la normativa vigente.
g D e g obierno c orpor Ativo El GRC se vislumbra como el meca nismo de protección más eficiente para asegurar la obtención de información sólida en la toma de decisiones clave por parte del consejo corporativo de una organización. Lo que hace es garantizar que las acti vidades de la organización, como la gestión de las operaciones de Tecnologías de la Información, estén alineadas de manera que apoyen los objetivos empresariales de la empresa.
El GRC lo que hace es crear valor en las empresas cuando permite trans formar esos riesgos en oportunidades, dentro del marco normativo de leyes existentes y cumpliendo siempre los compromisos con clientes, empleados, proveedores o socios.
2. Gestión de políticas . Estas funciones incluyen una forma espe cializada de gestión documental que posibilita el ciclo de vida de las políticas desde la creación hasta la revisión, actualización y archivado.
En lo que se refiere a los riesgos, el GRC asegura de que cualquier riesgo u oportunidad asociada con las acti vidades de la empresa, se identifica y se aborda de forma que se apoye en los objetivos de negocio de la organización.
La gestión de riesgos va totalmente ligada al objetivo y al desempeño de gestiones de una corporación. En una organización existen diferentes tipos de riesgos: legales, operativos, tecnológicos, de reputación, etc. Si estos riesgos se dejan de lado y no se atienden, lo más probable es que no se cumplan los objetivos previa mente establecidos. Se identifican los riesgos y se establece el orden en que estos deben ser atendidos.
c D e c umplimiento
El cumplimiento es parte funda mental del GRC debido en su gestión y coordinación están impli cados los órganos de gobierno y d eben existir programas en la organización para evitar incum plimientos normativos, la preven ción de riesgos y de conductas que podrían generar responsabilidades civiles o que incumplan los compro misos y políticas corporativas de la organización.
r D e r iesgos
Una estrategia GRC bien planifi cada tiene muchos beneficios: mejora de la toma de decisiones en la organi zación, se hacen inversiones óptimas en Tecnologías de la Información y hay una reducción de la segmentación entre las divisiones y departamentos de la empresa.
mente relacionadas con los objetivos de negocio y gobierno corporativo.
Monitorización y mejora continua del modelo. Una vez que el software está implantado, es fundamental monitorizar el funciona miento para introducir mejoras en los sistemas.
En su nivel más básico, la solución de software GRC permite a las orga nizaciones, por un lado, monitorizar y coordinar las políticas y controles corporativos. Además de examinar y evaluar los riesgos de la organiza ción del tipo que sea y entendiendo que aquellos que puedan afectar a los objetivos del negocio y mapear y relacionar controles con requisitos de cumplimiento interno y normativo.
.
El cumplimiento asegura que las actividades de la organiza ción funcionen de manera que cumpla con las leyes y reglamentos que afectan a esos sistemas. En el contexto de Tecnologías de la Infor mación, esto significa asegurarse de que los sistemas informáticos, y los datos contenidos en ellos, se utilizan de forma correcta.
1. Gestión de auditoría, que lo que hacen es ayudar a los auditores internos en la gestión de los docu mentos de trabajo y en la planificación de tareas relacionadas con la audi toría, gestión del tiempo y presenta ción de información.
CyberSecurity News (CSN): Carlos, has estado con nosotros en diferentes ocasiones y ya te consideramos amigo en Cyber Security News pero para aquel que haya empezado a seguirnos ahora, ¿quién es Carlos Seisdedos? ¿Cómo ha sido tu trayectoria?
ámbitos, y este esfuerzo me permitió poder liderar el proyecto del área de Ciberinteligencia en Internet Security Auditors .
“El desarrollo de estrategias orientadas a la implementación de una seguridad transversal a toda la organización para la protección de este activo tan importante como es la información y datos que una empresa maneja”
Firma: AliciA Burrueco
Carlos Seisdedos, experto en ciberinteligencia se sienta con nosotros para hablar, entre otros temas, sobre la GDPR a día de hoy.
GRC / Experto en ciberinteligencia
Por eso considero importante com partir lo poquito que se impartiendo formación y asistiendo al máximo de congresos que me permite la vida para devolver a la comunidad lo que recibí durante estos años .
Carlos Seisdedos (CS): Carlos Seis dedos es un tipo tímido y positivo, que siempre ve el vaso medio lleno y que le mete muchas horas al trabajo y a la formación. Desde mis inicios he intentado rodearme y aprender de los mejores, y eso significaba viajar a congresos, formarme constantemente y tomar muchos cafés con personas muy interesantes, de todos los
CSN: Ya hace cuatro años que la GDPR fue de obligada aplicación y desde entonces ha habido grandes avances en el mundo de la priva cidad. ¿Sería conveniente hacer una revisión de la legislación?
CSN: Decíamos que está impuesta desde 2018 pero entró en vigor en 2016. Desde entonces la GDPR supuso un antes y un después en la concienciación de las empresas en torno a la privacidad de los datos. ¿Consideras que aún hay margen que recorrer en la priva CS:cidad?
CS: Hasta la llegada del RGPD, y poste riormente, en España, la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales), las empresas y organizaciones del espacio económico europeo se habían limitado a cumplir una serie de legislaciones específicas de cada país, que regulaban el tratamiento de datos personales dentro de su actividad de negocio. En España, la legislación definía 3 niveles para la categorización de los trata mientos que llevaba a cabo una empresa con respecto a los datos de carácter personal (bajo, medio y alto); y cada uno de estos niveles, a su vez, definía una serie de medidas de seguridad espe cíficas que se debían implementar. Esto provocaba que, con el paso del tiempo, estas medidas de seguridad, en muchas ocasiones, se volvieran ineficaces o insuficientes dado que la tecnología, amenazas y riesgos evolucionan más rápido que la propia legislación. Sin embargo, con el RGPD, se produce un cambio de enfoque para corregir, entre otros aspectos, esta deficiencia que tenía la legislación anterior y se ha exigido a las empresas ir más allá del mero cumplimiento de una ley, exigién doles el desarrollo una auténtica estra tegia de gestión de riesgos relacionados con la protección de datos de carácter personal. Apelando a su responsabilidad proactiva, este reglamento establece que las compañías deben prever los riesgos asociados a los datos personales que gestionan, evaluarlos y prevenirlos implantando las medidas de seguridad oportunas que permitan mitigar dichos
En estos años, las empresas y organizaciones se han ido adaptando a la normativa vigente en materia de protección de datos, aunque queda aún queda bastante camino por recorrer. Es cierto que hubo un antes y un después en la mentalidad de las organizaciones con respecto a este tema y muchas compañías comenzaron a diseñar sus estrategias, aunque la mayoría, sólo desde el momento en que el RGPD comenzó a ser de aplicación (en 2018), cuando habría sido conve niente haberlas ido diseñando desde 2016, momento en el que entró en vigor
43 CyberSecuritynews | Mayo 2022 Carlos Seisdedos, experto en ciberinteligencia
este reglamento, y que éstas hubieran sido aplicadas con mayor antelación. Considero que, a día de hoy, todavía no ha calado lo suficientemente el mensa je de la responsabilidad proactiva en la mayoría de las organizaciones y que las empresas pueden y deben entender la importancia de la protección de este tipo de datos, tanto de sus clientes como de sus propios empleados y mejorar en as pectos como el desarrollo de estrategias que permitan dar más información a los usuarios para que entiendan la forma en la cual se van a tratar sus datos perso nales, es decir, ser más transparentes; el desarrollo de estrategias orientadas a la implementación de una seguridad transversal a toda la organización para la protección de este activo tan importante como es la información y da tos que una empresa maneja y, además, llevar a cabo auditorías externas (impar ciales y objetivas) sobre la protección de los datos personales que gestionan. Por último, es realmente importante realizar cambios en todos los procesos para que el diseño de los productos y/o servicios de una empresa se realice atendiendo a criterios de privacidad desde el origen y, por defecto. Es decir, que la seguridad sea un input más a tener en cuenta desde el momento cero de un producto o ser
a este cambio de enfoque, ahora la legislación vigente en materia de pro tección de datos es mucho más flexible y adaptable a los cambios en tecnología, amenazas, riesgos y tipos de ataque cuyo objetivo es el de conseguir datos de ca rácter personal. Por lo que, más que una revisión de la legislación, lo que sería conveniente es que las empresas y or ganizaciones tomen conciencia y, desa rrollen y apliquen estrategias basadas en este reglamento y las leyes específicas de cada país en materia de protección de datos, implementando, además, un pro ceso de revisión continua para adaptar
sus soluciones de seguridad a las nuevas amenazas y riesgos que puedan ir sur giendo, dotando así de un mayor nivel de seguridad y un mayor nivel de madurez, en términos de seguridad, a sus procesos en los que intervienen este tipo de datos. Hay que recordar, que la seguridad no es un producto, sino un proceso continuo.
Debidoriesgos.
Carlos Seisdedos, experto en ciberinteligencia
CSN: ¿Los ciudadanos son conscientes del valor de sus datos?
Es cierto que, poco a poco vamos sien do más conscientes y consecuentes con nuestra vida personal en Internet, pero, aún hoy, ponerse en peligro al exponer datos personales en la red no parece ser un problema que preocupe realmente a la mayoría de los ciudadanos. Si lo analiza mos por edades, es interesante ver que un amplio porcentaje de los ciudadanos más jóvenes consideran que no es pro bable ponerse en riesgo por exponer sus datos en Internet y que cuanto más mayores, más conscientes o cautelosos somos acerca de los peligros que exis ten por la sobreexposición de nuestros datos. Esto puede deberse, a que los más jóvenes han crecido con el desarrollo de las nuevas tecnologías, de Internet y las redes sociales, por tanto, se encuentren más acostumbrados y, ni si quiera se planteen que la seguridad de sus datos y, por consecuencia, su propia seguri dad pueda estar en peligro, o bien que no sean realmente conscientes por haber crecido con ello y necesiten concienciar se de los peligros de la red, que son cada día mayores.
CSN: Y para ir terminando, el sector de la ciberseguridad se encuentra en constante evolución. ¿Qué retos técnicos o legislativos crees que nos esperan en unos CS:años?
Es por esto, que desde la administración pública y, también, desde las empresas privadas de seguridad, debemos hacer una labor importante en este sentido, para que los ciudadanos seamos más conscientes de la importancia de nues tros datos, que tengamos el conocimien to y las herramientas suficientes para poder elegir a quién, cómo y cuándo ce demos nuestros datos y, que cuanto an tes, seamos mucho más responsables y dueños de nuestros propios datos.
vicio, y se tenga en cuenta en todas y cada una de las fases del desarrollo del mismo, dado que si la seguridad solo se tiene en cuenta en las fases finales, pue de provocar que, en muchas ocasiones, no se puedan implantar las medidas de seguridad y privacidad adecuadas para el tratamiento que se desea hacer, que el coste de implementación de estas me didas sea muy superior al coste que hubiera tenido si se hubieran aplica do desde el inicio o que, directamente, todo el proyecto sea inviable.
. GRC / Experto en ciberinteligencia
CS: No pagamos nada por la utiliza ción de redes sociales o aplicaciones de mensajería. Y si algo es gratis, nosotros no somos los clientes, somos el Voyproducto.aponer ejemplo... Elon Musk quiere hacerse con el control de Twitter, quien la valora en 44.000 millones de dólares. 44 M $ por una aplicación que usamos diariamente de forma gratuita… lo que nos debe ayudar a recordar que el obje tivo principal de una empresa que ges tiona una red social radica en obtener beneficios. Beneficios obtenidos a raíz de la comercialización de nuestros da tos, datos obtenidos a través de nuestra
Está claro que actuarán si se presenta algún tipo de denuncias o similar, pero en muchos casos, por desgracia la co laboración efectiva con las Fuerzas y Cuerpos de Seguridad es mínima o no la suficiente para poder acabar con los haters o cibercriminales que campan a sus anchas por redes sociales o aplica ciones de mensajería.
La transformación digital de las organizaciones es uno de los mayores retos a los que nos vamos a enfrentar durante los próximos años, ya que la digitalización no tiene vuelta atrás, y los ciberdelincuentes son conscientes que a muchas organizaciones les está costando implementar medidas de ciber seguridad oportunas que acompañen su transformación digital de forma oportuna.
información y nuestras publicaciones, por lo que, aunque suene duro, a las pla taformas no les preocupa en exceso si se producen delitos o acoso en o mediante su plataforma.
44 CyberSecuritynews | Mayo 2022
CSN: Cada red social tiene su propia normativa o política de uso que regula, entre otros ciberde litos, el ciberacoso. ¿Le encuentras alguna carencia a estas políticas? ¿Por qué en 2022 se siguen permi tiendo este tipo de amenazas?
CS: De acuerdo a la encuesta sobre derechos fundamentales “Tus derechos importan: Protección de datos y Privacidad” de la Agencia europea de Derechos Fundamentales de Junio de 2020, la mayoría de personas un 55%, que utilizan Internet son cons cientes de que criminales y estafa dores pueden estar accediendo sin su conocimiento a la información que comparten. Por otro lado, un 69% ha sentido hablar sobre el RGPD, y un 71% sobre su APD nacional. Si bien es cierto que la entrada en vigor y aplicación del RGPD así como el desarrollo y despliegue de iniciativas similares surgidas en consecuencia en otras regiones y países del mundo, ha supuesto un impulso en la conciencia ción ciudadana, aún existe un margen de mejora y madurez de nuestra cultura de la privacidad.
En la era actual, en la que prácticamen te, a nivel mundial, todos nos encontra mos conectados a través de internet, re des sociales, smartphones, etc. Nuestros datos de carácter personal, nuestros gustos, nuestra información más íntima, se ha convertido en uno de los mayores negocios y que más dinero mueven en el Esmercado.poresto por lo que debemos ser conscientes de las amenazas y riesgos digitales a los que nos enfrentamos to dos y cada uno de nosotros cada día, muchas veces, sin tener conocimiento de su existencia. Uno de los principales problemas se encuentra, precisamente, en la colisión de las nuevas tecnologías con los derechos y libertades funda mentales, o lo que es lo mismo, nuestra privacidad digital.
Por lo que, hoy en día, considero que continúa siendo muy necesario progre sar en esta toda esta adaptación, en ma teria de protección de datos, por parte de las empresas y organizaciones.
CSN: ¿Crees que si una PYME obtiene la certificación de 27001 puede ayudarle, entre otras cosas, a mejorar su reputación?
CS: Uno de los objetivos principales de una ISO27001 es establecer un modelo de gestión de seguridad que esté alineado con los intereses y objetivos del negocio. El negocio se focaliza en satisfacer unas necesidades específicas de sus clientes y hoy cada día más como clientes y consumidores buscamos productos y servicios no sólo de calidad sino también que nos garanticen la mayor seguridad en este caso vinculada a la información que facilitamos . En consecuencia, considero que garantizar la seguridad de la información de nuestros clientes a través de los productos y servicios que les proveemos, supone indirec tamente una mejora en la reputación de la empresa, aunque muchas veces pueda quedar diluido si no se apoya en campañas adecuadas de marketing y publicidad que refuercen esa imagen y que permitan que nuestros clientes asocien claramente los productos y servicios con beneficios vinculados a la seguridad como un factor diferen ciador.
Este Reglamento ha sido especial mente criticado por no tener unos requisitos de cumplimiento claros. La regulación no dispone de una guía de cómo y qué constituye un esquema efectivo de desidentificación de datos.
A pesar de todo ello, este RGPD ha ido ganando apoyos de empresas que ven esta normativa como una oportunidad para mejorar su gestión de los datos.
- Es fundamental contar con un registro o inventario con todos los datos que se tratan y trataron.
- Es necesario nombrar un profesional responsable de la gestión de privacidad que trabaje en cumplir el RGPD, en muchas organizaciones se contrata para ello a un Delegado de Protección de Datos.
La naturaleza, duración y riesgo de la brecha de seguridad.
45 CyberSecuritynews | Mayo 2022
. GRC / RGPD en las Empresas
La gravedad de la sanción depende de factores como:
Tras la gestión de estas preguntas, la herramienta genera diversos docu mentos adaptados a la empresa y cláusulas informativas que debe incluir en sus formularios de recogida de datos personales, cláusulas contractuales para
Si fue intencional o accidental.
Para garantizar el cumplimiento del Reglamento General de Protección de Datos en las empresas es necesario como mínimo cumplir los requerimientos que mencionamos a continuación:
a privacidad de los datos se ha convertido en algo imprescin dible en las empresas. En el año 2018 entró en vigor el Reglamento General de Protección de Datos de la Unión Europea. Este Reglamento tiene como objetivo proteger los datos personales y la forma en la que las organizaciones los recogen, procesan, almacenan y, finalmente, destruyen, cuando esos datos ya no son requeridos. Así, todas las empresas que trabajan con datos personales de ciudadanos de la Unión Europea están obligadas a cumplir con la normativa.
Facilita RGPD está orientada a empresas que tratan datos personales de escaso riesgo, como, por ejemplo, datos personales de clientes, proveedores o recursosIgualmente,humanos.dispone de otra herra mienta muy parecida denominada Facilita Emprende, dirigida a empren dedores y startups de nuevas tecno logías para ayudar al cumplimiento del RGPD. Estas dos aplicaciones se pueden conseguir desde la web de la Agencia Española de Protección de Datos.
Las empresas que no cumplen con el Reglamento de Protección de Datos se enfrentan a multas de hasta el 4% de facturación de la compañía
Faltas que existieran con anterioridad.
- Analizar los riesgos que puede suponer cumplir el RGPD. Para ello es necesario conocer que tipo de datos gestiona la empresa y adecuar el proce dimiento de gestión a esta tipología.
L
La Agencia Española de Protección de Datos tiene disponible de Facilita RGPD, una herramienta que ayuda a las empresas a realizar el tratamiento de datos personales de escaso riesgo para cumplir con el RGPD.
Nivel de sensibilidad de los datos robados, alterados o eliminados.
AplicAciones De lA AgenciA espA ñolA De proteccion De DAtos pArA empresAs
Cumplimiento RGPD en las Empresas
Cumplimiento de los códigos de conducta.
- Es relevante instaurar un principio de responsabilidad proactiva en la empresa para lograr cumplir el RGPD.
consecuenciAs De no AplicAr el re glAmento De protección De DAtos Los ciudadanos de la UE tienen derecho a reclamar ante las autoridades de control si consideran que el tratamiento de sus datos personales no cumple el RGPD. Incumplir el Reglamento de Protección de Datos puede suponer a las empresas multas de hasta 20 millones de euros o 4% de la factura ción global de la compañía.
En la actualidad, un 28 % de empresas reconoce que, casi cuatro años después de la implantación del RGPD en la Unión Europea, la protección de datos sigue siendo un problema. Así lo refleja la Encuesta de Trans formación Digital de Konica Minolta y Keypoint Intelligence, que tiene en cuenta los cambios desencadenados por la pandemia de coronavirus en el entorno laboral y las desigualdades entre grandes compañías y otras más pequeñas.Enlaactualidad las empresas que deben cumplir con este Reglamento son: aquellas establecidas en la Unión Europea, independientemente si el tratamiento de los datos lo hacen o no en territorio de la UE; aquellas que monitorizan el comportamiento de las personas que se encuentran en la Unión Europea y las que ofrecen bienes o servicios a personas que se encuentran en territorio europeo.
Facilita RGPD es fácil de usar y está disponible de manera gratuita y valora a través de preguntas concretas la situación con respecto al tratamiento de datos personales en la organización.
Firma: mAri luz domínguez
anexar a los contratos de encargado de tratamiento, el registro de actividades de tratamiento, y un anexo con medidas de seguridad orientativas consideradas mínimas.
Además, existen empresas que se dedican a ofrecer a organizaciones de todo tipo un servicio de protección de datos. El precio mínimo de este servicio varía en función del tamaño de la empresa.
46 CyberSecuritynews | Mayo 2022 GRC / Sanitas
ablamos con Jaime Requejo, DPO de Sanitas.
bajar al terreno de juego. Hay que en tender muy bien el “que hacemos”, pero también el “cómo lo hacemos”. Hay que ir de la mano con el negocio, acompañar los, darles soluciones y hacerles enten der cuál es tu función: ayudar a hacer las cosas bien desde el principio poniendo siempre el foco en nuestros clientes. En la mayoría de los casos, esto implica
Firma: AliciA Burrueco
H
DPO? ¿Cómo es tu día a día? Jaime Requejo (JR): En términos generales la función habitual de un DPO es la de informar y asesorar a la compañía en materia de privacidad, así como supervisar el cumplimiento de la normativa vigente. Ahora bien, para realizar esta tarea co rrectamente es necesario remangarse,
“Definir el riesgo es altamente complejo, los requisitos para estar cubiertos son, en ocasiones, inalcanzables o por lo menos inciertos y la prima suele ser una cifra muy alta”
CyberSecurity News (CSN): Antes de entrar en profundidad en las temáticas elegidas para esta entrevista, ¿podrías contarnos cuáles son las funciones de un
47 CyberSecuritynews | Mayo 2022 Jaime Requejo, DPO Sanitas
JR: Desafortunadamente, los ciber delincuentes cada vez lanzan ataques más sofisticados y teledirigidos. Seguramente utilicen la informa ción obtenida para lanzar nuevas campañas de phishing para obtener la información necesaria que les permita acceder a información más sensible o restringida (cuentas bancarias, infor mación médica, etc.) o para cometer otro tipo de fraudes como el conocido como fraude al CEO o el llamado mail Spoofing
Dicho esto, los interesados afectados de ben de prestar especial atención a futuras comunicaciones, verificando su autenti cidad, resetear sus contraseñas y facilitar únicamente su información a empresas y por medios confiables. Por supuesto, también deben de preguntar siempre que tengan dudas a la empresa ataca da ya que esta es, en definitiva, la res ponsable de su información.
CSN: Ya hace unos cuatro años de la implantación del Reglamento General de Protección de Datos. ¿Has notado un cierto grado de concienciación de las empresas, especialmente de las PYMES, respecto a esta nueva ley?
JR: Sin duda. Yo creo que todas las empresas con las que trabajamos o interactuamos, incluso las PYMES más pequeñas, saben lo importante que es cumplir con los requerimientos del RGPD. Además, cada vez existe una mayor concienciación a nivel particular de la importancia de lo que hacemos con nuestros datos personales, lo que está obligando a todas las empresas, pequeñas o grandes, a hacer un esfuerzo especial en este campo.
No me gusta centrarme en un inci dente de una empresa en particular. Creo que todos estamos expuestos a sufrir un ciberataque, ¡siempre puede existir el error humano! Lo importante es cómo se gestiona ese incidente por parte de la empresa afectada. ¿Hizo sus deberes? ¿Ha informado debidamente a los interesados?, etc.
En nuestro caso particular - presiento es común en otros sectores - definir el ries go es altamente complejo, los requisitos para estar cubiertos son, en ocasiones inalcanzables o por lo menos inciertos y la prima suele ser una cifra muy alta. Teniendo todo esto en cuenta, hace real mente compleja la decisión de si com pensa o no contratar uno de estos segu ros, siendo un campo que, a mi juicio, todavía tiene que madurar bastante. .
JR: A la hora de valorar un ciberseguro, como en cualquier otro seguro, hay que definir el riesgo que se quiere cubrir, condiciones o requisitos para que este cubierto en caso de siniestro y la prima, cuanto me cuesta cubrir ese riesgo. El riesgo que se pretende cubrir con un ciberseguro tiene en la actualidad gran relevancia y criticidad motiva da, por un lado, por el incremento de la actividad maliciosa (i.e. ransomware), la digitalización de las empresas, el in cremento sustancial del teletrabajo, etc. y por otro, los cambios normativos (i.e. RGPD, NIS, etc.) y el aumento notable de la actividad sancionadora, tanto en número como en cuantía.
analizar aspectos legales y también as pectos tecnológicos, por ello es funda mental contar con un equipo apropiado que te ayude en estas tareas y estar coor dinado con otros departamentos, como por ejemplo con el equipo de Seguridad de la Información
CSN: Continuando con la pregunta anterior, ¿qué podría haber pasa do, y ha pasado, si esos datos los ciberdelincuentes lo utilizan para lanzar un phishing?
CSN: ¿Cuál dirías que ha sido tu mayor reto dentro de Sanitas?
CSN: Dentro de CyberSecurity News tenemos una sección dedicada a los ciberseguros. Además, ya llevamos dos
JR:Iberdrola?
ediciones celebradas del Cyber Insurance Day. ¿Cuál es tu opinión sobre el ciberseguro como miembro de Sanitas?
CSN: En el mes de marzo tuvo lugar unos de los ciberataques más hablados del 2022, hasta el momento. ¿Cómo deben proceder los ciudadanos que sus datos se ven afectados como en el ataque a
JR: Crear cultura dentro de la compañía en tres aspectos fundamentales. Primero, no paramos iniciativas, ayudamos a gestarlas de manera que se respeten siempre los derechos y libertades de los interesados. Segundo, contar con el equipo de privacidad desde el inicio de los proyectos, nos hace más eficientes. Y tercero, informar hasta el más mínimo incidente de privacidad nos ayuda a mejorar como compañía. Registrar incidentes de privacidad no es malo, lo malo es que sucedan y no se registren por conside rarlos de escasa relevancia. Registrarlos te ayuda a localizar campos de mejora y definir planes de acción que pueden evitar incidentes mayores.
Jaime, DPO en Sanitas
Especial Ciberseguridad en las PYMES CiberseguridadEspecialenlasPYMES
W H I T E P A P E R ¿ C ó m o d e f i n i r u n a e s t r a t e g i a d e c i b e r s e g u r i d a d p a r a P Y M E S ?
Firma: mArco lozAno
Un público especialmente afectado son las empresas y en particular, pymes, microem presas y los autónomos. Si a esto le sumamos que el usuario es uno de los vectores más atacados y de los que más incidentes provocan, de manera no intencionada eso sí, nos encontramos ante una situación donde todo parecen ser ventajas para los ciberdelincuentes
50 CyberSecuritynews | Mayo 2022 Concienciación / INCIBE
La gran cantidad de servicios y tecnologías existentes en Internet están elevando el nivel de exposición a los diferentes riesgos derivados a toda la sociedad.
Concienciación en ciberseguridad en las pymes
o atacantes. Para mitigar esta cuestión, hemos de utilizar uno de los prin cipales instrumentos que permiten hacer un uso seguro de todas aquellas herramientas que se usan en el ámbito empresarial: la adquisición de capaci dades en ciberseguridad, y llevar a cabo acciones de concienciación para la iden tificación de amenazas, todo apoyado además por medidas tecnológicas que también son esenciales.
En primer lugar, es interesante
destacar que el nivel de concienciación en ciberseguridad para una pyme va a estar muy ligado al uso de la tecno logía y la dependencia del negocio hacia esta. Salvando las distancias, no será necesario el mismo nivel de conciencia ción para un empleado de una empresa dedicada a cuestiones agroalimentarias que para un empleado que trabaja en una empresa tecnológica. En cualquier caso, no hay una respuesta homogénea acerca de los posibles riesgos ciber
INCIBE somos conscientes de esta cuestión y desde hace varios años tratamos de desarrollar conte nidos y servicios gratuitos, con el propósito de ayudar a las empresas a poner en marcha un plan de concien ciación que les permitan mejorar, de manera integral, la seguridad de su organización. Sin duda, uno de los más completos es el Kit de concienciación. Esta herramienta tiene como propó sito facilitar al empresario el diseño y puesta en marcha de un plan de formación integral en materia de ciber seguridad para todos los empleados, proporcionando un mecanismo útil para concienciar a sus empleados. El kit ha sido elaborado para que el
empresario pueda descargárselo y entregarlo a sus empleados de una manera secuencial, de acuerdo a un programa o planificación que también se le Comofacilita.conclusión, en general las pymes, y en particular las microem presas y los autónomos, aún tienen margen de mejora en lo relativo a la capacitación de sus empleados y al tratamiento de los riesgos que las afectan. Las empresas no pueden escapar a la transformación digital y esta lleva asociada de manera indiso luble la necesidad de protección frente a incidentes y a usos no autorizados o abusivos de la tecnología. Esta protec ción comienza por la concienciación y sensibilización con la que se consigue que los empleados de todos los niveles hagan un uso adecuado de la tecno logía, protegiendo el negocio y garan tizando los derechos de los clientes o usuarios.Paraampliar información acerca de los servicios de INCIBE en materia de concienciación, puede ponerse en contacto a través de la Línea de Ayuda en Ciberseguridad en el número corto 017, o a través de nuestros canales de chat de WhatsApp y Telegram. .
Es por ello, que empleado es el gran protagonista de la seguridad en las empresas. La tecnología tal y como hemos mencionado, es importante, pero no siempre es suficiente para proteger nuestros sistemas de informa ción. La implicación y participación de todos los empleados, es esencial para llevar una gestión adecuada de la ciberseguridad en las empresas y en especial las pymes. Por este motivo, concienciar y formar a los empleados, se convierte en una pieza clave del puzle de la Relacionadociberseguridad.conloanterior, la concienciación en ciberseguridad
néticos y nivel de concienciación que sea válido para todo tipo de empresas, dependerá de la dependencia tecnoló gica de cada una.
Otro elemento importante a consi derar, es conocer a qué riesgos estará expuesta la empresa. Para unas serán los riesgos asociados a dispositivos móviles o el incumplimiento del RGPD, para otras los relativos a la web para evitar phishing o los riesgos inherentes a la contratación de terceros. No obstante, esto no quiere decir que a mayor dependencia mayor riesgo, pues entra en juego otro factor que es la actitud ante la ciberseguridad. En este sentido, se puede constatar que las empresas más dependientes son también las más precavidas y que las menos depen dientes son las más despreocupadas ante suLociberseguridad.quesíesunfactor común es que las empresas han de incluir una gestión de riesgos en sus protocolos de ciber seguridad. Esto no es más que decir que han de priorizar lo que protegen y cómo lo protegen en base a los porcentajes de riesgo e impacto de cada posible suceso desafortunado que pueda poner en jaque su negocio. Para ello, han de identificar y valorar los activos que intervienen en sus procesos vertebradores y verificar las amenazas a las que están expuestos, siguiendo alguna metodología para evaluar los riesgos y para decidir cómo
impartida en muchas pymes suele ser en ocasiones inexistente. Unas veces por falta de recursos, por falta de tiempo, por desconocimiento o por errores de contexto como considerarse fuera del objetivo de los ciberdelin cuentes. Por ello, se hace imprescin dible la puesta en marcha de programas de concienciación y formación entre los empleados, que faciliten crear y asentar una cultura de seguridad en la organización, reduciendo de este modo los riesgos globales a los que se enfrenta.Desde
51 CyberSecuritynews | Mayo 2022 Ciberseguridad en las PYMES
Algoabordarlos.comúnatodas las empresas y que se obtiene resultado de esta gestión, es que siempre existe un riesgo que no ha de descuidarse y es la falta de concienciación de los empleados que hace posible que se materialicen muchos incidentes que utilizan por ejemplo, técnicas basadas en ingeniería social.
Marco Lozano, responsable de Ciberseguridad para Empresas de INCIBE
Nuestra misión es facilitar a nuestro consumidor todos los aspectos de la compra e instalación.
Sergi Majó (SM): Cargatucoche es una plataforma que te permite instalar tu punto de recarga y ayudarte en todo el proceso, desde elegir el cargador correcto hasta tramitar las ayudas correspondientes.
expertos
Aunque el nombre puede dar nos una idea, sí que nos gustaría conocer ¿Qué es cargatucoche. com y cuál es su misión?
permite
CyberSecurity News (CSN):
plataforma protegida” Cargatucoche.com es una empresa que proporciona servicios relacionados con la recarga de vehículos eléctricos como apuesta por la sostenibilidad y para un futuro de la movilidad eléctrico.
CSN: La sostenibilidad es el futu ro en cuanto a la movilidad, pero en su opinión, ¿Qué tendencia y evolución augura para su sector a medio plazo?
“La seguridad es prioritaria para cargatucoche, tenemos en cloud y seguridad que nos tener la donde se aloja la
52 CyberSecuritynews | Mayo 2022 Especial Ciberseguridad en las PYMES Firma: mAriA luz domínguez
arquitectura
SM: Entendemos que el futuro de la movilidad es eléctrico . Observamos como la sociedad demanda soluciones sostenibles en la mayoría de los as pectos de su vida. Para productos tan
diferentes como por ejemplo envases sostenibles o en nuestro caso movili dad Segúneléctrica.nuestros estudios del mercado automovilístico español, estimamos que el parque del vehículo eléctri co puede llegar a estar en torno al 20% en 2028.
Según esta estimación, empresas como la nuestra pueden ayudar a conseguir esas cifras sin que haya un problema real con la carga del vehículo.
CSN: Las pequeñas y medianas em presas son las que sufren más de litos cibernéticos. Podrías decirnos ¿cómo se trabaja la ciberseguridad en una empresa como es cargatu SM:coche.com?
Sergi Majó
SM: Estamos observando que muchas empresas tienen solo una página simple para contactar con ellos. Y no tienen elementos de seguridad como por ejemplo Web Application Firewall para protegerse de los ataques del tipo OWASP que básicamente son los ataques más comunes. Desde cargatucoche hemos apostado por la tecnología, no solo para facilitar la instalación de los clientes, sino para proteger sus datos.
La seguridad es prioritaria para cargatucoche, tenemos expertos en cloud y seguridad que nos permite tener la arquitectura donde se aloja la plataforma protegida con los estándares de buenas prácticas de los cloud vendor, tanto en seguridad, como en conservación de los datos o por ejemplo alta disponibilidad. En lo referente a seguridad, se pasan auditorias periódicas de pentest y calidad del código para asegurar que nuestra plataforma está protegida correc tamente.
CSN: Desde Cargatucoche.com y centrándonos en vuestro sector, ¿Cuál es el panorama en lo que se refiere a riesgos de ciberseguridad que estáis observando en la actualidad?
SM:ciberseguridad?
53 CyberSecuritynews | Mayo 2022 Sergi Majó Alvarez, CTO & Founder de Cargatucoche.com
ridad incluye formaciones estándares para todo el equipo, como podría ser cursos de phishing, personalizadas para el equipo técnico, como por ejemplo buenas prácticas de seguridad en código PHP. .
CSN: ¿Qué grado de importancia tiene en cargatucoche.com la formación de los empleados de
En el plan estratégico de segu
CSN: - ¿Contáis con un plan o una estrategia en lo que a cibersegu ridad se refiere?
SM: Cargatucoche tiene definida una estrategia que incluye por ejemplo desde auditorías externas periódicas, monitorización 24x7 de accesos y logs o equipo dedicado de seguridad.
Firma: mAriA luz domínguez
Cada vez más PYMES sufren las consecuencias de estos ataques . La pérdida de datos por ciberataques para una PYME puede suponer pérdidas de entre 2.000 y 50.000 euros , según el Instituto Nacional de Cibersegu ridad. Aunque la principal razón por la que los ciberdelincuentes eligen las PYMES es la económica, muchas veces el objetivo de atacar a pequeñas y medianas empresas es porque tienden a estar menos protegidas que
¿Cómo mantener una PYME cibersegura?
n la actualidad todas las empresas son susceptibles de ser atacadas mediante malware, independientemente de si son grandes o pequeñas. El malware utilizado es principalmente ransomware y además la ingeniería social permite a los delin cuentes obtener datos de acceso y robar información sin apenas levantar ningún tipo de sospecha.
Para los ciberdelincuentes descifrar y atacar los sistemas de una PYME no demasiado protegida implica unos medios y un esfuerzo mucho menor que en una gran empresa. Incluso muchas veces estos ataques a PYMES no se detectan a tiempo y es mucho más complicado descubrir a losTeniendoatacantes.en cuenta todo este panorama es muy importante reforzar
La pérdida de datos por ciberataques para una PYME puede suponer pérdidas de entre 2.000 y 50.000 euros, por lo que es necesario llevar cumplir unos protocolos mínimos para mantener segura una pequeña o mediana empresa.
54 CyberSecuritynews | Mayo 2022 PYMES
E
las grandes organizaciones.
Detectar fallos de hardware o una acti vidad anormal es más fácil con herra mientas que incluso son gratuitas. Es recomendable utilizarlas y si hablamos de una mediana empresa conviene elegir otras opciones que incluyen análisis de tráfico, uso de IP, etc.
elAborAr unA políticA De seguriDAD
Dar importancia a la seguridad de la PYME es fundamental. Por ello es necesario fijar quién será el responsable de gestionar la ciberseguridad en la pequeña y mediana empresa y elaborar una Política de Seguridad que deter mine los riesgos que se van a aceptar. Además, es crucial que todos los empleados o colaboradores entiendan la importancia de la seguridad.
monitorizAr De reDes y servicios
Es muy importante que se actualicen de forma regular todo el software de segu ridad de los equipos. Se recomienda realizar control de todos los equipos para ir revisando cada cierto tiempo su estado y en análisis de posibles vulnerabilidades.
la seguridad de las PYMES. Para ello es imprescindible cumplir algunos requisitos esenciales como los que te mostramos a continuación.
Es importante controlar quiénes son los usuarios y donde entran en una red de una PYME. El administrador debe controlar a los usuarios y se recomienda solo dar acceso a los espacios que los empleados necesiten dentro de la plata forma. Los datos o información personal deben estar separados y vigilados.
controlAr Dispositivos extrAíbles
como internos. Conviene comprobar si el proveedor de internet incluye un cortafuegos que controle las cone xiones de red de acceso a internet y que todas ellas estén vigiladas.
Los dispositivos extraíbles como memorias USB, Tarjetas SD, etc. pueden en un momento determinado ser fuente de origen de malware. Por ello se recomienda que sean controladas y
55 CyberSecurity Mayo 2022 Ciberseguridad en PYMES
controlAr los usuArios
En 2020, el sector de PYME ha reducido la contratación de este tipo de seguros, pasando de un 56% en 2019, a un 32% en 2020, probablemente como
contrAtAr un ciberseguro
mAntener el softwAre ActuAlizADo
protegido tanto por ataques propios como por daños que se puedan hacer a terceros.
Ciberseguridad en Pymes / CISO
Conocemos la opinión, de un profesional de nuestro sector, sobre cómo tienen implantada la ciberseguridad las PYMES
la oportunidad de pasar por varios sectores como Banca, compañías petrolíferas (Cepsa), y antes de venir a H10Hotels y he estado trabajando para el grupo Moventia/Movento/Moventia donde he podido trabajar como arqui tecto de sistemas, luego me pase a CISO de la compañía. En verano del año pasado he tenido la oportunidad de venir a H10Hotels y como a mi me gustan los retos aquí estoy. Pero muy bien y encantado en poder ayudar a
He empezado muy joven en Brasil, creando redes en sistemas Unix y Xenix con mainframes. Luego hace 20 años he tenido la oportunidad de venir a vivir en España, donde he tenido
Cristiano Dias (CD): Llevo unos 20 años en la carretera tecnológica y de forma afortunada he podido ver nacer la internet dentro y también experimentar tecnologías que han sido influencias de muchos sistemas que tenemos hoy.
Firma: AliciA Burrueco
“Hay que hacer caso a la seguridad y buscar poco a poco e ir implementando y aumentando el nivel de madurez”.
ristiano Dias, CISO en H10 Hotels se considera una persona sencilla, amante de las tecnologías y la ciberseguridad entre otras cosas.
CyberSecurity News (CSN): ¿Cómo ha sido tu trayectoria profesional hasta llegar a la posición de CISO que tienes actualmente?
C
56 CyberSecuritynews | Mayo 2022
Cristiano Diaz, CISO en H10 Hotels
CD: No debería haber, porque a cual quier empresa está susceptible a ataques, media, pequeñas y grandes
CSN: ¿Crees que el contexto bélico pone en una situación de riesgo a las PYMES o por el contrario cree que esto afecta más a grandes
CSN: Podrías mencionar algunos de los retos a los que te enfrentas en tu día a día, ¿cuál destacarías?
CD: La mala conducta, es como que tu sales de casa y dejas la puerta abierta, o dejar la password de tu tarjeta de crédito al lado de ella misma.
CD: Para nosotros de la ciberseguridad el principal reto es estar al día con las tendencias tecnológicas y poder buscar soluciones y controles para nuevas vulnerabilidades. El reto principal y la principal dificultad en eso es poder aliñar la seguridad con el negocio y sobre todo entre infraestructura y el departamento de ciberseguridad es normal muchas veces encontrar barreras.
CD: No hace falta tener un CISO, para estar seguro. Mi consejo más que nada es hacer caso a la seguridad en todos los ámbitos e intentar empezar desde cosas más básicas, porque muchas veces nos encontramos con situaciones que son controles que se pueden implementar y no lo hacen por falta de cultura en la propia empresa. Hay que hacer caso a la seguridad y buscar poco a poco e ir implementando y aumentando el nivel de madurez.
CSN: En un entorno de trabajo, ¿cuáles son los errores más comunes que abren las puertas a los ciberdelincuentes?
57 CyberSecuritynews | Mayo 2022 Cristiano Dias, CISO en H10 Hotels
la compañía con nuestro trabajo del día a día que es la ciberseguridad.
CSN: ¿Cuál es tu opinión sobre la concienciación en cibersegu ridad que tienen las pequeñas y medianas empresas de nuestro CD:país?
CSN: Cristiano, ¿dirías que existen diferencias en cuanto a necesi dades de ciberseguridad entre grandes y pequeñas empresas?
CD:empresas?
Pienso que este contexto puede afectar ambos seguimientos.
CSN: Y para terminar, ¿qué consejo le darías a las PYMES que a día de hoy no pueden “permi tirse” tener la figura del CISO dentro de su equipo?
El nivel de madurez y concienciali zación todavía es bajo pero ha mejorado bastante en los últimos años.
.
E
redactora jefe y redactor de CyberSe curity News
58 CyberSecuritynews | Mayo 2022 CiberSeguros / Evento ¿Cómo fue el Cyber Insurance Day 2022?
El prime time del evento no podía ser para otro que no fuera nuestro patro cinador DIAMOND, SecurityScore card , líder mundial en calificaciones
ha habido asistentes de diferentes puntos de nuestro país y de otros países como son México, Colombia o República Dominicana . Todo ello gracias a nuestro formato híbrido. Los maestros de ceremonia para esta segunda jornada del congreso han sido nuestros conocidos compañeros: Alicia Burrueco y Carlos Sánchez , gran acogida.
respectivamente.
l pasado mes de abril se volvieron abrir las puertas del #CID22 dando la bienvenida y acogiendo de la mejor manera a los profesionales del sector seguros y del sector de la ciberseguridad Un evento sin barreras en el cual
l A t r A nsform Ación D el c iber s e guro
Firma: AliciA Burrueco
Casi 600 asistentes quisieron estar en el CID.
La segunda edición del Congreso Nacional del Ciberseguro tuvo una
m esA re Don DA D e me D i ADores Este panel de expertos estaba compuesto por: Patricio Saavedra Miembro de la Vocalía de relaciones Internacionales de APROMES, David Santana Responsable Suscripción Cyber Risks en Riskmedia, Jose Enrique García Mérida Presidente Colegio de Mediadores de Seguros de Toledo, Flavio Carvalho CISO for Banco Credibom y , Alberto Ocarranza Vicepresidente FECOR, como moderador de la mesa redonda.
de ciberseguridad y el único servicio con millones de organizaciones cali ficadas continuamente. Ellos deci dieron estar en el evento de la mano de Carlos Rodríguez Sanz Cyber Product Leader Iberia and Cyber Product Expert APAC Europe, AXA XL, quien fue la persona encargada de dar la ponencia.
m esA re Don DA D e ciberseguri DAD La primera mesa del Congreso Nacional del CiberSeguro estaba compuesta por: Pedro Pablo Merino Socio Director CyberSecurity News, Alan Abreu González Corporate & Cyber Sales Practice Leader at Marsh España – Impulsado por SecurityS corecard , Ilaria Salvato Cyber & Technology Underwriter – EMEA & LATAM at Beazley, Yaiza Rubio Head of Network tokenization & home security/ Smart WIFI at Telefónica. Venía de la mano de uno de nuestros patrocinadores SILVER, Beazley
m esA re Don DA D e A segur ADor A s Este panel de expertos estaba compuesto por: Rafael Manchón Experto en ciberseguridad de ADECOSE, Benjamín Losada Suscriptor Ciber y Riesgos de Profe sionales @ HISCOX, Roberto Lara González CISO at Divilo y Alberto Muñoz Villarreal Socio de Muñoz Arribas Abogados, S.L.P., como moderador de la mesa.Venía de la mano de uno de nuestros patrocina dores SILVER, Hiscox
¿ p or qué contr AtA r un seguro D e ciber riesgos ?
p eritA je c iberseguro Jose Luis Quintero Villarroya Coronel con más de 20 años de experiencia en Ciberseguridad, Gabriel Araújo Perito en Informá tica Forense , Antonio Gil Perito Judicial Tecnológico, Angel Baha montes Presidente de la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos, ANTPJI como moderador. .
59 CyberSecuritynews | Mayo 2022 Cyber Insurance Day
La segunda keynote del Congreso Nacional del Ciberseguro venía de la mano de nuestro, y único, patro cinador GOLD del evento, Exsel Underwriting Agency. Álvaro Satrus tegui, CEO de la empresa, era el encargado de dar respuesta a la gran pregunta «¿Por qué contratar un seguro de Ciber Riesgos?».
60 CyberSecuritynews | Mayo 2022 CiberSeguros / Evento
61 CyberSecuritynews | Mayo 2022 Inteligencia Artificial JORNADA DE PUERTAS ABIERTAS S P E A K E R A L I C I A B U R R U E C O S P E A K E R C A R L O S S A N C H E Z
Ciberseguridad: ¿Qué opinan los expertos sobre ella?
E
Describen lA ciberseguriDAD
FernándezConsuelo , CISO at GROUPTECNATOM , para ella “ La ciberse guridad es el arte de proteger la confidencialidad, integridad y dispo nibilidad de la informaci ó n sensible en una compañía, en un entorno con cada vez más amenazas y más ciber criminales que no tienen problemas de presupuesto, teniendo recursos muy limitados tanto humanos como econ ó micos ”.
Ana SecurityGlobalGómez,HeadofCulture
CyberSecuritynews | Mayo 2022
Ale Cortés , experto en ciber seguridad y gran amigo de Cyber Security News nos comenta: “ Ciberseguridad
l último día del mes de noviembre celebramos el Día Internacional de la Ciberse guridad, 30 de noviembre. Esta fecha tiene como fin poder concienciar sobre los peligros que se esconden en la red y darle la importancia que se merece a la ciberseguridad.
Corporate Security comenta “Nuestra vida online nos ofrece grandes oportunidades pero también riesgos que, materializados, pueden tener importantes consecuencias negativas en nuestras finanzas o la continuidad del negocio de nuestras empresas. La ciber seguridad nos protege de estos riesgos, con procesos a medida, medios técnicos y directrices de comportamientos seguros.”
nos cuenta que para él la cibersegu ridad es: “La ciber seguridad, hermana de la transformación digital, es cerrar con llave una puerta pero una puerta del mundo digital. La ciberseguridad son guerras cibernéticas, intereses cruzados, presiones sociales, gente buena y gente mala. Sin la ciberseguridad el mundo actual en el que vivimos sería un caos económico, social, cultural y político”.
Xavi Hub,LidlDirectorCISOBertomeu,&ITinSCRMInternational
–
En la celebración del Día Internacional de la Ciberseguridad aprovechamos para concienciar sobre la importancia de la seguridad de la información
Este día se empezó a festejar en los años 80. Fue implantada por la Association for Computing Machi nery (ACM), entidad que nació en los Estados Unidos en 1947. A día de hoy esta agrupación científica tiene presencia en más de 100 países en los cuales celebra conferencias y eventos. Impusieron la fecha del 30 de noviembre para recordar a todas las personas la obligación y necesidad que tienen de proteger sus datos de cualquier tipo de acción corrupta que pueda surgir en el ámbito digital.
Con motivo de la celebración de este día, hemos hablado con diferentes profesionales del sector de la ciberse guridad para que nos den, cada uno y una, su definición de ciberseguridad. ¿Quieres saber cuáles son?
José Fernández Zapata , CISO en ValenciaPortuariaAutoridadde dice « La ciberseguridad es el proceso reque rido para proteger la informaci ó n y los servicios de la organizaci ó n».
¿cómo los expertos?
misión que todas estas situaciones no pasen. ¿Podemos permitirnos vivir sin ella en nuestro mundo digital?”
es tener en cuenta todo lo que puede fallar en el ámbito de la tecnología y actuar en consecuencia para evitar que ocurra. El problema es que para llegar a ese conocimiento debes conocer todos los aspectos de la tecnología y eso no está al alcance de todos, con lo que debes escuchar a los que mayor experiencia tienen para avanzar en su comprensión”.
Héctor BTandPortugal,DirectorCybersecurityGuantes,Spain,IsraelGreeceat nos ha dejado esta definición “ La ciberseguridad es la protecci ó n de cualquier elemento conectado, ya sea persona, entidad o dato frente a un uso ilegítimo o no autorizado. Debe cubrir aspectos técnicos, procedimentales y norma tivos y abarcar el ciclo completo de la amenaza: desde su prevenci ó n e identificación, hasta su respuesta y recuperaci ó n ”.
Nicolás Rodrí guez, autor ciate!¡Ciber-conciende nos da una definición de libro: “ enfocadaesCiberseguridadlaprácticaaidentificar el peligro real de exposici ó n a las nuevas amenazas que nos rodean—en este mundo cada vez más tecnol ó gico y digital— que ayuda a establecer nuevos mecanismos de defensa y análisis de riesgos para mitigar, en la medida de lo posible, los ataques a la privacidad y segu ridad de la informaci ó n, garanti zando su confidencialidad, dispo nibilidad e integridad así como la sostenibilidad de las operaciones ”.
nos da su versión: “La CiberSeguridad es aquello que las organizaciones y los particulares echan en falta solo cuando el mal ya está hecho, y el cibercriminal ha salido victorioso. Ese elemento de la cadena «molesto», que impone restric ciones al resto de departamentos y/o actividades, y que parece ser solo un pozo presupuestario. Es cierto que los tiempos cambian y cada vez hay más cultura alrededor del riesgo digital, de la importancia de invertir en cibersegu ridad para minimizar el daño. Pero aún hay camino que recorrer, lamentable y afortunadamente”.
Javier Allende, Head of Cyberse curity en grupo Konecta dice organizacidentromejoraesciberseguridad“Launprocesodecontinuadeunaóndonde
Privacidad. Junta Directiva Women 4Cyber Spain (W4C) “ describirPodemosunconcepto por lo que es, en positivo; o en negativo, por lo que no es. Muchas veces nuestra mente nos ayuda a entender mejor la definición de las cosas y su importancia cuando visualiza las implicaciones de no tener “ese concepto”. Por tanto, permi tirme que describa la ciberseguridad en negativo, lo que supone “no tener ciberseguridad”: la falta de seguridad es la pérdida de nuestra privacidad, la falta de confidencialidad en nuestra información, es no tener garantías de protección de nuestros datos. La falta de seguridad nos podría impedir acceder a la información cuando la necesitemos, nos impediría garantizar que nosotros somos quién decimos ser y que podemos acceder a nuestra infor mación. ¿Qué pasaría si un hospital no tuviese disponibles los expedientes y tratamientos de sus pacientes? ¿Qué pasaría si tuvieses que paralizar tu actividad porque no pudieses acceder a los sistemas informáticos y a la infor mación que contienen?¿Qué pasaría si se hiciesen públicos los usuarios, contraseñas, cuentas bancarias y otros datos sensibles de tus clientes?¿Y si tus fórmulas secretas y proyectos de innovación estuviesen en manos de tus competidores?¿Qué pasaría si te robaran tu usuario y contraseña y se hiciesen pasar por ti? ¿Qué pasaría si hackearan los sistemas eléctricos de una gran ciudad?¿Qué pasaría…? … Pues la Ciberseguridad tiene como
Pablo F. Iglesias, Hacker Fundador de la Consultora de Presencia Digital y Reputación CyberBrainersOnline
en una entidad finan ciera y conocida de CyberSecurity News da su punto de vista: “Desde mi perspectiva, la ciberseguridad lo es todo cuando tratamos de imple mentar herramientas y procedimientos, con la finalidad de salvaguardar informa ciones producidas y procesadas mediante computadoras, servidores, dispositivos móviles, redes y sistemas electrónicos. En tal sentido, puedo decir que la ciber seguridad viene a ser para nosotros algo así como la obligación de proteger las computadoras, servidores, dispositivos, etc. de ataques maliciosos”. .
Carlos Manchad o , Senior Cyberse curity Advisor en Microsoft comenta: “ Conjunto de iniciativas y controles, en el ámbito de tecnología, procesos o personas, que orquestados bajo un modelo estratégico, de gobierno y operativo, son capaces de mitigar parcialmente, protegiendo, detec tando y respondiendo, distintos riesgos planteados por amenazas en el entorno de las Tecnologías de la Informaci ó n y de la Operaci ó n ”.
intervienen actores internos y externos. Cada vez mas está en boca de todos pero sigue faltando concienciación en las personas de la importancia de la ciberseguridad”.
Kendra Mazara, Cyber IncidentSecurityHandling
Maica CiberseguridadExpertaAguilar,en y
Israel Díaz, CISO and Head CISMCyberSecurityof dice que para él la ciber seguridad es: “ ciberseguridadLaestá compuesta por el conjunto de soluciones tecnológicas que nos facilita que las políticas y procedi mientos de una organización puedan ser desplegados y gestionados de manera eficiente. Hoy en día, sin la cibersegu ridad no sería posible hacer frente al contexto tan cambiante, tan complejo y con tantas amenazas”.
63 CyberSecuritynews | Mayo 2022 Expertos de ciberseguridad
“Me imagino el área de ciberseguridad naturalizada, donde todo organismo, empresa o familia conozca cuáles son las medidas mínimas de seguridad” Carina Birarda Futterman, Líder de proyectos especiales de Ciberseguridad en Centro de Ciberseguridad del GCBA (BA-CSIRT)
CSN: La situación que estamos viviendo de “nueva normalidad”, ¿ha provocado un cambio en los proyectos de ciberseguridad?
H
Carina Birarda: En el centro de Ciber
seguridad del Gobierno de la Ciudad de Buenos Aires, tenemos el desafío constante de asistir a los ciudadanos en los aspectos relacionados con la ciberseguridad; somos, en tal sentido, un referente a la comunidad. un espacio al cual acudir para informarse, capaci tarse y solicitar ayuda ante eventuales incidentes de seguridad relacionados con el uso de la tecnología y, de forma interna, nos encargamos de las tareas usuales de un Csirt para nuestra comu nidad de usuarios, la cual es muy extensa y para la cual también brindamos concien ciaciones y capacitaciones de forma siste mática y programada.
ablamos con Carina Birarda, profesional de la cibersegu ridad, quien tuvo unos inicios algo peculiares en este mundo. Empezó vendiendo hardware en computación, consiguió su primer trabajo relacionado con la tecnología allá por el 2006 hasta ahora, que ocupa el puesto de líder de proyectos especiales de Ciberseguridad en Argentina.
TEXTO: AliciA Burrueco
64 CyberSecuritynews | Mayo 2022 Concienciación
CB: La nueva normalidad nos ha cambiado a todos en todo ámbito; los proyectos de ciberseguridad se podrían decir que en un 50% cambió los proyectos que eran presenciales como las capitaciones y las conciencia ciones, el otro 50% de implementación de medidas y controles de cibersegu ridad, realmente se pueden hacer en su mayoría de manera remota, con conexión a internet y medidas de segu ridad, se pueden llevar adelante.
CyberSecurity News (CSN): Carina, ¿Cómo es el día a día en el Centro de Ciberseguridad del GCBA?
CB: Cuando comencé a trabajar en tecnologías de la información y luego telecomunicaciones, eran muy pocas las mujeres que me cruzaba; hoy en día, y con mucha alegría puedo decir que este número ha crecido exponen cialmente, la diversidad es necesaria en todos los ámbitos, los distintos puntos de vistas, las distintas pers pectivas y distintas formas de abarcar un mismo tema es donde todos nos vemos beneficiados y todos ganamos como sociedad desde mi punto de vista. La ciberseguridad es un área transversal a cualquier actividad, para mi importante y abordarla desde lo diverso como todo ámbito.
CSN: ¿Cómo dirías que será el futuro de la ciberseguridad en un largo plazo?
CSN: ¿Cuál crees que es el prin cipal inconveniente por el que los ciberseguros no están tan extendidos en nuestro país?
CSN: Y para ir terminando, aun cuando gran parte de la población está teletrabajando a causa del COVID-19, ¿qué consejo les darías para proteger sus dispositivos?
CSN: Ahora cambiando un poco el rumbo de la entrevista, me gustaría preguntarte acerca del mundo de los ciberseguros. ¿Cuál es tu opinión sobre ellos? ¿Crees que las empresas deberían de CB:contratarlos?
CSN: ¿Cuál es tu opinión sobre concienciar a los más pequeños de la casa? ¿Se debería impartir ciberseguridad en las aulas?
CB: Sin lugar a dudas mi respuesta es un si, desde niños deberían de conocer cómo proteger su iden tidad digital , su huella digital, su reputación digital, cómo proteger nuestra interacción en el ciberes pacio, conocer los derechos y obli gaciones, estamos viviendo tiempos de ultra conectividad que han llegado para quedarse y debemos tener una educación proactiva a esta situación y no reactiva a las situaciones que se presentan.
No se si de contratación obliga toria pero quizás sí, en un tiempo, sea obligatorio informar sobre inci dentes de ciberseguridad donde se exponga información de los clientes y estos deban ser informados del trata miento y la gestión que se ha dado a los mismos. En los países con mayor nivel de madurez en la gestión de la seguridad de la información y en los tratamientos de los datos, están obli gados a brindar esa información, y me parece una buena medida a tener en cuenta.
CSN: En un tiempo, ¿crees que los ciberseguros serán de contratación obligatoria para las CB:empresas?
para conocer el estado alineado a las buenas prácticas internacionales, solo por mencionar dos puntos, que cual quier empresa debe de tener en cuenta para poder mantener la continuidad de sus procesos y por consiguiente su negocio vivo y mucho más si su negocio está publicado o gestionado sobre el ciberespacio.
CB: A largo plazo me imagino -o es un deseo lo que comento en realidad-, el área de ciberseguridad naturali zada, donde todo organismo, empresa, familia ya conozca cuáles son las medidas mínimas de seguridad y de cuidado que tienen que tener. Los temas que me parecen que serán mandatorios llegar a una madurez serían una legislación o norma supra nacional adoptada por todos los países para lograr un ciberespacio seguro, libre y abierto, con sólidas y establecidas medidas de fomento de confianza entre las organizaciones/ naciones que gestionan los ciberin cidentes y los cibercrimenes con una cooperación internacional donde las naciones puedan estar en igualdad de
Las empresas deberían de contratar a alguien que los ayude con la ciberseguridad; que los ayude a que sus procesos se encuentren dentro de un ámbito de protección digital, donde la ciberseguridad esté imple mentada y sea trasversal pero como para mencionar algunos puntos a tener en cuenta; que puedan acceder a una copia de seguridad en caso de tener algún inconveniente con la informa ción, como por ejemplo con un ranso mware , donde realice un análisis de vulnerabilidades sobre sus sistemas,
65 CyberSecuritynews | Mayo 2022 CISO
CB: Por informes y estadísticas que he venido leyendo, los profesionales de ciberseguridad son faltantes en muchos países o en su gran mayoría; la educación a temprana edad o el darlo a conocer como un trabajo con mucha demanda me parece que son puntos clave para que se sumen más personas a esta área.
CSN: Hace unos meses cele bramos el Día Internacional de la Mujer y tuvimos la oportunidad de hablar con diferentes compa ñeras acerca del papel de la mujer en este sector. Me gustaría conocer tu opinión…
condiciones, conocimiento y gestión para poder hacer una mejor trata miento a las amenazas existentes y emergentes en las implicancias inter nacionales.
Carina Birarda Futterman, Líder de proyectos especiales de Ciberseguridad en Centro de Ciberseguridad del GCBA (BACSIRT)
CB: Que implementen todas las medidas de seguridad de la información que sus empleadores les hayan indicado, pero por mencionar algunas: utilizar VPN, robustecer la clave del WIFI de su hogar en WPA2, evitar conec tarse a WIFI Publicas, activar en las plataformas y aplicaciones sensibles MFA. En los momentos que, de manera adicional, mantengan una higiene digital, se podría decir que es mantener nuestro entorno digital lo mas limpio posible, algunas acciones pueden ser eliminar las apps que no te son útiles o que no usas hace más de 6 meses, o indicar un tiempo personal, orga nizar los iconos de las apps, quizas colocando los que más utilizan en la primera pantalla, vaciar la memoria caché, borrar las imágenes y los docu mentos que no nos interesan mantener en nuestra nube, serían algunos de las acciones que podemos tomar como hábito para una limpieza sistemática. .
Eva Cristina (EC): Mi trayectoria no dista mucho de lo habitual. Como muchos otros compañeros, comencé trabajando en el mundo de los sistemas para pasar a la consultoría tecnológica, primero, y luego, de seguridad.
“Lo que mantuvimos, y a día de hoy seguimos teniendo claro, es que esta necesidad no podía tener un impacto negativo en nuestra seguridad”
na mujer que dice que se mantiene en un reto constante lo que hace que viva en una permanente situación de cambio. En definitiva, esta profesional se define como “una privilegiada por poder dedi carme a lo que me gusta, la ciberse guridad”. Ella es Eva Cristina Cañete, CISO de Unicaja Banco CyberSecurity News (CSN): ¿Cómo ha sido tu trayectoria hasta llegar a tener el cargo que tienes a día de hoy en Unicaja Banco?
U
En mis inicios, el mundo de la segu ridad no tenía ni la importancia ni la relevancia que tiene hoy en día. Sin embargo, cuanto más iba conociendo y trabajando en seguridad, más me atraía. Es una profesión que te permite desa rrollar múltiples habilidades: técnicas, organizativas y también personales. Es muy exigente, ya que requiere de
CSN: Hace unos meses se celebró el Día Internacional de la Mujer y que, además, tuvimos el placer de que nos acompañaras ese día. ¿Nos dirías cómo ves el papel de la mujer en el sector de la ciberseguridad?
TEXTO: AliciA Burrueco
66 CyberSecuritynews | Mayo 2022 Teletrabajo
una actualización constante. Tienes que estar formándote continuamente e investigando sobre nuevas soluciones, técnicas de defensa, etc. En definitiva, te obliga a vivir en estudio permanente y eso la convierte en una profesión muy completa.
Para esta entrevista hemos tenido el placer de hablar con una persona tecnológica a la que le gustan los retos y los cambios.
EC: Afortunadamente, cada vez se observa mayor presencia de la mujer
Yo daría un único consejo, que es actuar siempre con precaución, tal y como haríamos en el mundo físico, ya que a menudo se observa cómo al pasar al escenario digital, nos movemos como si no hubiese ningún riesgo. Es lógico, ya que no son tan obvios los peligros a los que nos enfrentamos.
Por tanto, mis consejos se resumen en ser cautos y no dar nuestros datos a nadie que nos los pida, a menos que estemos completamente seguros de quién es. También en pensar siempre si hemos sido nosotros los que hemos iniciado la comunicación o nos han contactado, y desconfiar, de hecho, siempre en el segundo caso. Por último, y no por ello menos impor tante, recordar en todo momento que no existen los ‘chollos’ y que, detrás de una ganga, hay un posible ciberdelin cuente.
CSN: ¿Cómo dirías que es la ciber seguridad en una entidad finan ciera como Unicaja Banco? ¿Cómo se EC:trabaja?
¿Prevenir el ataque?
EC: El objetivo de la ciberseguridad ha ido variando con el tiempo. Hace años los esfuerzos se centraban en intentar evitar sufrir un incidente de seguridad. Hoy en día, los esfuerzos se concentran en dotarnos de la capa cidad de respuesta rápida, para lograr un mínimo impacto en el caso de sufrir un incidente. Esto no quiere decir que no trabajemos para prevenirlos, sino que, además de intentar evitarlos, tenemos que estar preparados para cualquier situación.
EC: Como he comentado anteriormente, es una buena opción para transferir
CSN: Hace un año nos vimos obli gados a implantar el teletrabajo… ¿De qué forma asegurasteis el teletrabajo y la continuidad del EC:negocio?
Eva Cristina Cañete, CISO de Unicaja Banco
EC: La ciberseguridad trata de dar respuesta a los riesgos de ciberata ques a los que se exponen las empresas. El tratamiento de estos riesgos requiere de múltiples soluciones, entre las que se encuentra la transferencia de los mismos. Por tanto, en mi opinión, es otra herramienta más que debemos considerar en nuestro plan de trata miento de riesgos
Como un gran número de enti dades, nos vimos obligados a buscar el modo de seguir prestando nuestros servicios desde un estado de confina miento que a todos nos cogió un poco por sorpresa. Tuvimos que buscar soluciones rápidas y seguras para conseguir conectar a los empleados desde sus casas. Lo que mantuvimos, y a día de hoy seguimos teniendo claro, es que esta necesidad no podía tener un impacto negativo en nuestra segu ridad, por lo que cada paso que fuimos dando lo fuimos asegurando.
CSN: ¿Recomendarías la contrata ción de un ciberseguro?
CSN: Y para ir terminando esta entrevista, ¿qué consejos de ciber seguridad, cotidiana les darías a los usuarios que nos están EC:leyendo?
ciertos riesgos de ciberseguridad. Aunque también es importante estu diarlos con detenimiento y comprobar que estamos cubriendo los objetivos que perseguimos.
67 CyberSecuritynews | Mayo 2022 CISO
en el mundo de la tecnología, lo que tiene una manifestación clara en la ciberseguridad. Aunque creo que todavía queda mucho recorrido para alcanzar porcentajes que nos lleven a una presencia similar e igualitaria a la de los Desdehombres.lainfancia ya se presenta esa diferenciación, por medio de lo que se ofrece a los niños o a las niñas para desarrollar sus juegos. En el caso de los primeros, la mayoría de las veces suelen ser juguetes más tecnológicos. Tenemos, por tanto, el deber de acercar la tecnología también a nuestras hijas para que comiencen a familiarizarse con esteEsmundo.necesario que la mujer se identi fique con la tecnología y encuentre refe rentes en ella para plantearse la posi bilidad de acceder a ingenierías. Estas carreras siguen teniendo un porcentaje muy pequeño de mujeres en sus aulas.
Como en cualquier entidad finan ciera en estos tiempos, la cibersegu ridad es una actividad indispensable Pero no solo por tratarse de un banco, sino por la transformación que se está produciendo en la sociedad. Somos más digitales que nunca. Estamos conectados casi todo el tiempo y hemos descubierto lo fácil y rápido que es hacer cualquier gestión de forma digital. En este punto, reconozco que, ante estas posibilidades, ya no me resulta cómodo tener que hacer trámites en persona.
CSN: ¿Cuál dirías que es la clave principal de la ciberseguridad?
.
CSN: Cambiando un poco el tema, los ciberseguros cada vez van adquiriendo más importancia, ¿cuál es tu opinión sobre ellos?
¿Misión crítica?
Cuando se trata de seguridad, no dejes nada al azar.
Darktrace protege las infraestructuras críticas -desde los sistemas informáticos hasta las redes industriales- contra los ciberataques avanzados. Nuestra IA puede neutralizar las amenazas en segundos, sin interrumpir las operaciones.
Puedes encontrar más información en darktrace.com
