CyberSecurity NEWS
Revista especializada en ciberseguridad. Ejemplar gratuito.
Nยบ3 Noviembre 2020
Especial Ciberseguridad en Tiempos del Covid-19
Teletrabajo ciberseguro
Concienciaciรณn en ciberseguridad
Ciberseguros
3
Editorial
Ciberseguridad: Lo que fue, lo que es y lo que será
E
No cabe duda de que el año 2020 ha supuesto un antes y un después en el sector de la ciberseguridad.
n septiembre de 2020 el Centro Criptológico Nacional publicaba su último informe sobre Ciberamenazas y Tendencias, un informe que imaginando debido al impacto del Covid-19 en nuestro sector, se retrasó unos meses. En el pudimos comprobar la creciente tendencia en el número de ciberataques gestionados por el CCN-CERT desde el año 2015 cuando se hablaba de en torno a 18.000 ciberataques hasta el año 2019 cuando estos supusieron casi 43.000. Estas simples cifras dicen mucho más. Es un claro reflejo de lo que la ciberseguridad significó para la sociedad, lo que significa y lo que podría llegar a significar en un futuro próximo. Y es que si retrocedemos unos 20 años atrás, ¿qué significaba la ciberseguridad para una persona fuera del sector? Lo más probable era que no supiera su significado o bien que con algo de suerte se asociara a algún antivirus. Apenas había medios de comunicación especializados en el sector ni mucho menos grandes presupuestos ni interés por parte de las empresas. Tampoco resonaban los ciberataques en los grandes medios de comunicación ni se escuchaban términos como cyberbullying, ciberacoso, sextorsión o GDPR. Siguiendo la curva ascendente de la digitalización que parece no llegar a su pico, así como la del número de ciberataques, vamos viajando hasta lo que es la ciberseguridad en la actualidad. Es impensable encontrar hoy día una gran empresa sin un presupuesto
claro en ciberseguridad. Los datos valen mucho dinero y si no se protegen activamente, las empresas pueden ser seriamente multadas. Las empresas de ciberseguridad encuentran ahora en las pymes, microempresas y autónomos sus grandes objetivos. Casi todos hemos aprendido el término VPN a raíz de comenzar a trabajar desde nuestros hogares tras la pandemia del Covid-19. Este año se ha lanzado la primera serie de ciberseguridad y hemos podido ver y escuchar anuncios publicitarios de ciberseguridad en televisión y radio. Y no solo de antivirus no, sino también del número de atención al ciudadano en relación a temas cibernéticos, el 017 lanzado por el INCIBE. También existen aseguradoras que se lanzan a vender ciberseguros, existen más medios de comunicación especializados en el sector, se han multiplicado las empresas que se dedican a la ciberseguridad y existen varios programas de emprendimiento en este mercado. ¿Ha cambiado un poco en estos 20 años no? Pero, ¿qué será la ciberseguridad? Si en estos últimos años ha cambiado tanto y la digitalización avanza tan rápidamente, ¿qué nos deparará el sector? Lo que parece cada vez más claro es que hablar de ciberseguridad es hablar de futuro, de trabajo. Y es que poco a poco vamos siendo conscientes de que la ciberseguridad dejó hace tiempo de ir con unos cuantos y estar en el día a día de todas las personas. Desde los que juegan online, a los que compran, trabajan, se comunican, se relacionan o simplemente hablan con su altavoz inteligente. Todo online, es decir, todos nosotros.
Samuel Rodríguez CYBERSECURITY NEWS Edita: Digital Tech Communications Group S.L. C/ Núñez Morgado, 5 (local) 28036 MADRID CIF: B87917563 Depósito legal: M-11022-2018 www.cybersecuritynews.es info@cybersecuritynews.es
Socios directores: Pedro Pablo Merino y Samuel Rodríguez. Diseño y maquetación: Pedro Santos Redactora Jefe: Alicia Burrueco. Redactores: Aina Pou Relaciones Públicas: Angie Parra. Director Comercial: Luis Rincón. Publicidad: luisrincon@cybersecuritynews.es
CyberSecuritynews | Noviembre 2020
4
Sumario 06. #Cybercoffe 08. Infografia ¿Quién es quién en ciberseguridad?
26
24
10. Podcast #Cybercoffe 12. CISO Day 2020 14. Cyber Awareness Games 15. Especial Teletrabajo Seguro 16. TECTECO
32
18. Travesía de los CISOs del sector sanitario 19. Infografia Teletrabajo Seguro 20. Evolutio 22. Fuentes oficiales para estar desinformados 23. Especial Concienciación en Ciberseguridad
34
46
24. ¿Cómo definir una estrategia de concienciación en ciberseguridad? 25. INCIBE Rosa Díaz 26. Softeng 28. Entrevista Héctor Guantes 30. Auditech 32. ¡Ciber-conciénciate! Nicolás Rodriguez
22
49 37
33. Entrevista Francisco Javier 34. #CyberWebinar 35. Entrevista Ana María 39. #QuédateenCasa 41. Especial Ciberseguros 42. ¿Por qué un ciberseguro? El salvavidas de las PYMES 44. Ciberseguros para empresas… ¿y para quién más? 46. Cyber Insurance Day 2020
42 36 CyberSecuritynews | Noviembre 2020
48. ¿Quién es quién ciberseguros? 49. El ataque a SegurCaixa 50. Una visión al futuro: Más allá de ser reactivos
¿Nube pública o privada? No importa: lo esencial es que sus datos estén seguros Su empresa necesita estar conectada en todo momento y acceder a sus datos de manera ágil, independientemente de dónde se encuentren. En Evolutio integramos Trend Micro Deep Security Software, ayudándole a afrontar con garantías los retos de seguridad de los entornos cloud híbridos.
Descargue el whitepaper gratuito ‘Afrontando Desafíos de Seguridad en Entornos Cloud Híbridos’ de Trend Micro y descubra por qué estos son la clave para conseguir una estructura flexible, pero segura, independientemente de las necesidades de su organización. Más información: https://bit.ly/3q262l5
6 Podcast
CyberCoffee DEEPAK DASWANI, EXPERTO EN CIBERSEGURIDAD CON UNA LARGA CARRERA CURRICULAR
KENDRA MAZARA, ESPECIALISTA SENIOR EN INSTITUCIÓN FINANCIERA DE LA REPÚBLICA DOMINICANA
MANUEL PRIETO, CEO DE EASY PAYMENT GATEWAY
DAVID LÓPEZ, DIRECTOR DE TECNOLOGÍA EN FACTUM INFORMATION TECHNOLOGIES
FERNÁNDO SÁNCHEZ, CISO DE APLAZAME
Siguenos en:
CyberSecuritynews | Noviembre 2020
UDITECH T E C H S O L U T I O N S F O R YO U R B U S I N E S S
CYBERSECURITY
SEGURIDAD OFENSIVA Análisis de Vulnerabilidades
SEGURIDAD GESTIONADA SEGURIDAD DEFENSIVA
SOC como Servicio
Pentesting
EndPoint Detection & Response
CISO como Servicio
Hacking Ético / Red Team
Seguridad en Email
Búsqueda activa de Amenazas
SAST y DAST
Firewalls
Cyber Awareness
Control de Acceso a la Red (NAC) Prevención de Fuga de Datos (DLP)
www.auditech.es info@auditech.es +34 911 15 71 77
8 Infografía
¿QUIÉN ES QUIÉN? Las 14 «patas» de la ciberseguridad nacional CISO El director de ciberseguridad de una compañía u organización. Se trataría del máximo responsable del desarrollo de la estrategia de ciberseguridad corporativa.
CSO Responsable de la seguridad de la organización que debe de tener una visión de negocio que comprenda los riesgos que afronta la organización y saber cómo tratarlos.
Analista de seguridad
Ciberdelincuente
Este perfil se encarga de coordinar la implementación de controles específicos de seguridad para nuevos sistemas o servicios.
Persona, que bajo el anonimato que ofrece Internet, lleva a cabo una serie de técnicas, descubre vulnerabilidades y las aprovecha para repercutir un daño.
Hacker El hacker realiza diferentes pruebas (pentesting) para evaluar las vulnerabilidades y los fallos de seguridad en una infraestructura de red.
Informático Forense Resulta una pieza clave para entender por tanto el origen, la consecuencia y motivaciones de un ciberataque.
Arquitecto de ciberseguridad El arquitecto de ciberseguridad se ocupa de estudiar y analizar el diseño de «Seguridad de Red Perimetral» en diferentes espacios.
CTO Es el responsable de la implementación de las nuevas tecnologías dentro de la compañía y por tanto, debe de trabajar conjuntamente con perfiles como el CISO.
Comunidades de ciberseguridad Comunidades formadas por grupos específicos de profesionales que fomentan sus temáticas y se reúnen periódicamente para compartir experiencias.
CyberSecuritynews | Noviembre 2020
DPO Encargado de llevar a cabo la estrategia necesaria para que la compañía esté en armonía con la legislación actual en materia de protección de datos.
Ciber Abogados Antes hemos hablado de la figura del DPO que en muchos casos suelen ser abogados especializados en protección de datos.
Empresas de ciberseguridad Todas aquellas empresas que se dedican a ofrecer soluciones de ciberseguridad no solo para empresas sino para usuarios.
CIO Director de tecnología de la información y su función es que las estrategias de organización estén alineadas con la tecnología de la información para lograr los objetivos marcados.
Asociaciones de ciberseguridad Existen múltiples asociaciones que tienen como objetivo difundir y fomentar la ciberseguridad y la privacidad en nuestra sociedad.
9
CyberSecuritynews | Noviembre 2020
10
LA TRANQUILIDAD DE TENER CIENTOS DE PERSONAS TRABAJANDO EN REMOTO DE MANERA SEGURA
CyberSecuritynews | Noviembre 2020
descubre
WINDOWS VIRTUAL DESKTOP
GANA EN SEGURIDAD Y PRODUCTIVIDAD. ELIMINA COMPLEJIDAD. Permite que todos los empleados puedan conectarse a su sesión de escritorio Windows 10 desde cualquier lugar y cualquier dispositivo. Con una experiencia idéntica a usar Windows 10 instalado en tu equipo. Y con toda la protección, seguridad y versatilidad de la nube de Microsoft y nuestros servicios de acompañamiento.
PERMITE QUE LOS EMPLEADOS SE CONECTEN DESDE EL DISPOSITIVO QUE QUIERAN. Acceso seguro a través de las aplicaciones creadas para iOS, Android, Windows y MacOS, o mediante cualquier navegador web moderno.
SIN VPN. SIN GESTIONAR INFRAESTRUCTURA. SIN COMPLICACIONES Simplifica. Toda la información, las aplicaciones y Windows 10 funcionan dentro de Azure, y lo gestionamos por ti.
CON TOTAL SEGURIDAD PARA LA EMPRESA. Toda la información queda protegida frente a posibles brechas, secuestros o fugas de información gracias a Microsoft 365 y Azure.
Accede a través del código QR para obtener a una prueba subvencionada por Softeng y Microsoft
12 Concienciación
¿Cuál es la solución para trabajar de manera remota? Windows Virtual Desktop La implantación masiva del teletrabajo, debido al COVID-19, ha traído consigo muchos problemas a las empresas. La solución para estos se llama Windows Virtual Desktop.
H
Texto: Softeng
ace ya más de siete meses que muchas empresas se vieron obligadas a pedir a sus empleados el trabajar desde sus casas, estando algunos de ellos con sus ordenadores personales, debido a la acelerada actuación e improvisación de la situación. Esta crisis sanitaria provocó que muchas se vieran obligadas a adaptarse a una nueva cultura de colaboración descentralizada y de trabajo remoto la cual, ha llegado para quedarse. Las organizaciones que ya contaban con servicios en la nube como Microsoft 365, entre otras ventajas, tuvieron la oportunidad, desde el principio de la pandemia, de que sus usuarios trabajasen desde cualquier lugar y desde cualquier dispositivo. A diferencia de estas, había, y hay, otras empresas que no disponían de este tipo de tecnologías implementadas, y muchas de las que sí disponían de ellas no eran lo suficientemente avanzadas como para acceder de manera remota a una aplicación corporativa de escritorio, como por ejemplo una aplicación de gestor, o para acceder desde casa a los archivos ubicados en la red de la empresa. La solución para todos estos CyberSecuritynews | Noviembre 2020
“La solución para todos estos problemas es Windows Virtual Desktop, la cual busca reducir las complicaciones en las que se encuentran las empresas cuando ponen en marcha una solución “clásica”. problemas es Windows Virtual Desktop, la cual busca reducir las complicaciones en las que se encuentran las empresas cuando ponen en marcha una solución “clásica” (como permitir a los usuarios que se conecten de manera remota a los equipos físicos de la oficina o habilitar una infraestructura de escritorios dentro de su Datacenter). Algunas de estas dificultades son: · Mantenimiento complejo. IT acaba sufriendo un mantenimiento tedioso debido a la complejidad de la infraestructura a gestionar. · Infraestructuras insuficientes. Llegando al límite físico de las infraestructuras IT de la empresa, teniendo entonces que adquirir y desplegar más activos. · Necesidad de desplegar y
mantener redes VPNs. Para poder ofrecer a los clientes una manera de conectarse a la red corporativa y acceder a su equipo físico. · Rendimiento pobre por la saturación de la red corporativa. Provocado porque reciben más peticiones de conexión desde fuera de la organización, y porque una vez que los usuarios están conectados acaban accediendo a datos que en realidad están en la nube, generando latencias y saturación por las idas y venidas de tráfico entre el escritorio virtual, los datos de las aplicaciones y el equipo desde que se está conectando el usuario. · Importantes riesgos de seguridad. Cuando se permite acceder a los usuarios mediante una conexión VPN se pone en peligro a toda la organización.
13
Softeng ¿Cómo teletrabajar de una manera segura? Como ya se ha mencionado, el teletrabajo ha llegado para quedarse por lo que es conveniente habilitarlo de una manera segura y habiendo solucionado, antes, los riesgos y problemas que se han enumerado anteriormente. La solución para trabajar a remoto, a la cual está dedicada este artículo, permite trabajar a distancia pero cumpliendo con los niveles de productividad “exigidos” por sus empresas como si estuvieran trabajando en las oficinas con el resto de compañeros y compañeras. Windows Virtual Desktop Microsoft ofrece una nueva solución que mejora la experiencia de usuario, la seguridad y a la vez, reduce costes y complejidad a la hora de utilizarlo. Windows Virtual Desktop es la infraestructura de escritorio virtual de Microsoft que está basada en la nube de Azure. Esta permite conectarse a un escritorio de Windows 10 desde casa sin necesidad de tener que estar conectados a la VPN de la empresa. Así los usuarios pueden utilizar las aplicaciones corporativas y tratar datos personales de clientes desde cualquier lugar y dispositivo sin poner en peligro esa información. ¿Por qué utilizar Windows Virtual Desktop? Una experiencia de escritorio remoto que te permite trabajar desde cualquier lugar de una manera segura. Solo lleva unos minutos habilitarla y una vez lista, proporcionará a los usuarios finales la familiaridad y la compatibilidad de Windows 10 con la nueva experiencia escalable para diversas sesiones. Este es su gran abanico de ventajas: · Habilitar un teletrabajo seguro. · Proporciona a los usuarios finales familiaridad y compatibilidad con Windows 10 con la nueva experiencia escalable para múltiples sesiones. · Seguridad inteligente integrada. Mantiene la seguridad y la conformidad de las aplicaciones y los datos con las características de seguridad que, de forma proactiva, pueden detectar las amenazas y tomar medidas correctivas. · Implementa y escala en cuestión de minutos. Simplifica la implementación y la administración de la infraestructura, y escala los recursos rápidamente en función de sus necesidades empresariales. · Reduce el costo usando las licencias que ya tiene. El usuario puede usar las
licencias actuales para ahorrar en costes con una infraestructura de escritorio virtual moderna basada en la nube. · Acceder al escritorio y las aplicaciones de Windows 10 desde cualquier lugar y en cualquier dispositivo. · Productividad para los usuarios. Gracias a una experiencia de usuario sobresaliente, permite trabajar desde cualquier lugar con la misma comodidad a la de estar haciéndolo en la oficina. · Seguridad y control. La información está protegida en Azure, y por lo tanto no compromete a la empresa por posibles brechas, secuestros o fugas. · Simplicidad para IT. Ya no tiene que gestionar la infraestructura como ocurre con las soluciones convencionales, de esta manera solo lo gestiona como si se trataran equipos físicos corporativos, de manera unificada. · Resiliencia para la empresa. Tener estas opciones listas para desplegarse a medida que se vayan necesitando permite a la organización estar preparada para contingencias de cualquier tipo. Experiencia de cliente La experiencia de productividad que tienen los usuarios es similar a la que puedes tener utilizando Windows 10 en un equipo físico, con la ventaja de que al final todo se queda en la nube. Eso te permite poder acceder a ese contenido desde cualquier dispositivo que te conectes. Acceso multi-dispositivo Microsoft ha permitido que sea posible conectarse a un escritorio virtual desde cualquier sistema operativo. Concretamente, conectarse mediante la aplicación creada para iOS, Android, Windows o MacOS, e incluso desde otros sistemas operativos. Y en cualquier caso, de forma segura. Optimizado para Office Apps En las soluciones que se vienen utilizando de una forma mayoritaria hasta ahora, las tradicionales, el acceso a la información desde aplicaciones como son Outlook, Teams, OneDrive, OneDrive, OneNote, Explorador de archivos, necesita un tiempo importante
de carga ya que los datos no están en la máquina virtual/escritorio del usuario. Pero ahora con Windows Virtual Desktop, el usuario podrá conectarse desde donde sea y tendrá inmediatamente toda la información que tiene guardada en su escritorio virtual. Una solución más rápida, productiva y segura
El pasado mes de octubre Softeng, consultoría e ingeniería de software cuya misión es ayudar a las empresas a incrementar su ventaja competitiva optimizando sus sistemas, mejorando su productividad e impulsando la innovación, presentó esta solución de Microsoft, como especialista que es, en un webinar organizado por ellos. Más de 200 empresas fueron espectadoras de la presentación, conducida por Jordi Fernández, Cloud Solutions Manager, y Alex Imbernon, Head of Cybersecurity. Se mostraron las capacidades de Windows Virtual Desktop, los asistentes descubrieron la importancia de desplegar el trabajo en remoto para conseguir que las organizaciones sigan creciendo de manera productiva, con independencia de factores externos, las desventajas de las opciones convencionales para habilitarlo y cómo Windows Virtual Desktop es la solución que permite hacerlo de forma sencilla, eficiente, segura y, además, con un ahorro de costes. En definitiva, elimina todas las incomodidades, complejidades e ineficiencias que presentaban las soluciones clásicas a la hora de trabajar en remoto. Ofrece una simplificación al máximo en la gestión IT, un ahorro de costes ajustando el sistema a la medida del cliente en tiempo real y un entorno de productividad en remoto seguro, accesible desde cualquier dispositivo y siempre disponible. Desde Softeng, como especialistas en Windows Virtual Desktop, te ofrecemos nuestra experiencia en esta área, asesorando y ayudándote a ponerlo en marcha en cuestión de días.
.
CyberSecuritynews | Noviembre 2020
14
CYBER HALLOWEEN
CYBER QUIZ CYBER FASES
CISO QUIZ
BIOMETRIA QUIZ
CYBER SUMMER
CYBER NIÑ@S
CIBERSEGUROS QUIZ
CYBER CURIOS@
DESTRUYE VIRUS
CyberSecuritynews | Noviembre 2020
15
Especial
Teletrabajo Seguro
CyberSecuritynews | Noviembre 2020
16 Teletrabajo Seguro
¿Podemos securizar las redes WIFI de todos nuestros empleados durante el teletrabajo? Sí. Te contamos cómo WEFENDER (de Tecteco Security Systems) ofrece una solución sencilla y eficaz ante el reto de asegurar las conexiones WIFI de millones de empleados que han trasladado su lugar de trabajo a casa. Texto: Tecteco Security Systems
N
o cabe duda de que durante 2020 el aumento del teletrabajo está suponiendo un antes y un después para los responsables de ciberseguridad de miles de empresas a nivel mundial. Son muchas las preocupaciones que los CISOs deben abordar ante esta creciente modalidad de trabajo. Y es que, aunque hace tiempo que se hablaba de la expansión del perímetro corporativo, la incidencia de teletrabajo era muy pequeña, por lo que la mayoría de los empleados en nuestro país seguían trabajando bajo el paraguas robusto que componía las complejas infraestructuras de seguridad implementadas dentro de las oficinas, donde la red WIFI estaba securizada. Ahora, las oficinas se han multiplicado y han pasado de un ambiente seguro y homogéneo a un entorno totalmente heterogéneo en el que CyberSecuritynews | Noviembre 2020
probablemente la inseguridad de las conexiones sea muy elevada en ciertos casos. Así pues, muchos directores de ciberseguridad se habrán planteado cuestiones como: ¿Han realizado los empleados cambios básicos de seguridad en sus conexiones WIFI domésticas? ¿Compartirán la red WIFI con sus vecinos o terceras personas? Y es que existe un gran problema de seguridad en estos entornos domésticos… Sí, las redes WIFI son inseguras El problema de las redes WiFi es que son inseguras por su naturaleza, ya que en su concepción y diseño se primaron la velocidad y la usabilidad frente a la seguridad. Y, de momento, van a seguir siéndolo porque ni siquiera la implantación del WPA3, que incluye algunas mejoras, soluciona la principal vulnerabilidad de seguridad que es el uso de una credencial / contraseña común para todos los dispositivos. El uso de una contraseña compartida
(o PSK) tiene varios problemas: que la información no viaja cifrada y por tanto puede ser interceptada y espiada a través de otros dispositivos; que todos los dispositivos conectados dentro de la red pueden ver y acceder a lo que hacen otros; que no hay forma de controlar quién está conectado; y que todos los usuarios se conectan con los mismos privilegios. En este sentido, las amenazas más habituales en redes WiFi son los ataques de denegación de servicio, el Man in the Middle (suplantación de identidad), ataques de fuerza bruta, eavesdropping o MAC spoofing. Cualquiera de estos ataques puede suponer el riesgo de robo o manipulación de datos, uso de la red para actividades ilegales, convertir la red o parte de los equipos conectados en botnets, etc. Si bien estas redes WiFi son las que se usan principalmente en pymes y hogares, con la expansión del teletrabajo, es un problema que también
17
WEFENDER afecta a todas las empresas que tienen empleados teletrabajando. Las grandes empresas disponen de infraestructuras complejas que incorporan capas de seguridad adicionales a los routers WiFi para sortear estas deficiencias, pero sólo protegen al empleado mientras se encuentra dentro del perímetro corporativo. En un contexto de teletrabajo dicho perímetro se extiende más allá de la oficina, multiplicando exponencialmente la superficie de ataque hasta cada hogar de cada empleado. Por tanto, los responsables de IT / Seguridad se enfrentan al reto de gestionar la seguridad de muchos equipos remotos, con dos problemas añadidos: · La WiFi doméstica se comparte con otros dispositivos no corporativos que no cumplen con las medidas de seguridad adecuadas. · La VPN no es una medida suficiente y puede dar una sensación de “falsa seguridad”. Una VPN es un canal privado para entrar en los servidores corporativos, pero no protege el dispositivo y puede facilitar el acceso ilegítimo si se utiliza a través de una WiFi insegura. En definitiva, las conexiones WIFI desprotegidas en los hogares han pasado de ser un problema casi exclusivamente de ámbito personal a afectar más que nunca a la seguridad corporativa de las compañías. Pero ahora hay una solución sencilla y robusta creada para añadir una capa extra de seguridad en el teletrabajo tanto para pequeñas y medianas empresas como grandes compañías. ¿Qué es WEFENDER? WEFENDER es ahora mismo la única solución que puede proveer de seguridad WiFi avanzada usando un solo dispositivo (frente a infraestructuras complejas de las grandes corporaciones) a un precio asequible a todos los bolsillos. Es un sistema plug&play, que se gestiona sin necesidad de tener conocimientos técnicos, pero que ofrece las mismas funcionalidades de seguridad avanzada que tienen las grandes empresas. WEFENDER es compleja y robusta por dentro, pero sencilla por fuera, y cuenta con potentes funcionalidades de seguridad: · Autenticación robusta y multifactorial que no permite la suplantación.
de identidad y controla la identidad de todas las conexiones. · Segmentación predefinida de la red permitiendo configurar las direcciones IP sin necesidad de conocimientos técnicos. · Denegación implícita mediante la cual se rechazan todas las solicitudes de comunicación de dispositivos no registrados, autenticados y autorizados previamente. · Políticas de seguridad individuales predefinidas por usuario, dispositivo y servicio que evitan las malas configuraciones · Control de acceso a la red eficaz basado en la identidad digital que vincula diferentes factores, siendo más seguro que otras soluciones como el filtrado MAC o los cortafuegos. · Interfaz de gestión desde la nube, que permite la gestión a distancia de los usuarios, los dispositivos y las políticas de seguridad. Añadiendo una capa de seguridad extra al teletrabajo
WEFENDER añade una capa adicional a la seguridad corporativa, eliminando los riesgos habituales de las
redes domésticas. Con WEFENDER se puede crear una red exclusiva para los dispositivos corporativos. Pero, incluso cuando se utiliza junto con otros dispositivos no corporativos, aumenta la privacidad de las comunicaciones evitando la captura e interceptación del tráfico de los dispositivos conectados. Los beneficios de la solución en estos entornos se traducen en: · Asegura la confidencialidad de las comunicaciones de los empleados que manejan información sensible. · Evita el robo y la manipulación de datos, ayudando en el cumplimiento del RGPD. · Su política de autenticación robusta, mediante clave individual y de construcción dinámica, protege frente a dos de los malwares más persistentes actualmente (EMOTET y Agent Tesla) · Mejora la seguridad de las empresas en cualquier entorno de teletrabajo. · Proporciona mayor control de las comunicaciones WiFi de los empleados. · La gestión centralizada alojada en la nube evita el desplazamiento in situ de personal especializado. Además, reduce la exposición de router en Internet evitando que forme parte de botnets.
.
“Las amenazas más habituales en redes WiFi son los ataques de denegación de servicio.”
Arquitectura de la solución WEFENDER CyberSecuritynews | Noviembre 2020
18 Ciberseguridad & Sanidad / CISO
La travesía de los CISOs del sector sanitario Texto: Alicia
N
Burrueco García
o cabe duda de que este año 2020 ha supuesto un antes y un después para toda la sociedad. Pero hay un sector que ha sido fundamental para la lucha contra la pandemia, el sector sanitario. La ciberseguridad ha jugado un papel muy clave también en la nueva normalidad, aquella que nos llegó a todos allá por el mes de marzo de un loco año 2020. Como mencionamos en varios artículos de esta revista, todas las empresas se vieron forzadas a teletrabajar, en un escenario incierto, con redes desprotegidas, con información corporativa corriendo por dispositivos personales… un caos que la ciberseguridad va ordenando poco a poco. En un extremo superior, lo vivieron todos los profesionales del sector sanitario. Pero, ¿cómo ha sido esta experiencia para un CISO de dicho sector? Conozcamos mejor en este artículo la opinión de Ángel Luis Sánchez García, CISO de la Consejería de Sanidad de la Comunidad de Madrid. CyberSecurity News (CsN): A finales del 2019 ¿te podrías haber llegado a imaginar que vuestra labor iba a ser mucho más crítica en este 2020? Ángel Luis (AL): Creo que, aunque
en sanidad siempre hemos sido conscientes que era muy probable sufrir una pandemia como la del COVID19, ya hubo un aviso con la alerta vivida en 2009 por la gripe A/H1N1, la verdad, nadie podía predecir que se materializara en 2020 y con un impacto tan negativo para la sociedad. Pero, realmente, no hubiera sido necesaria la crisis del COVID para ser consciente de la importancia que tiene la ciberCyberSecuritynews | Noviembre 2020
seguridad y la protección de datos. La seguridad siempre ha sido prioridad estratégica en nuestra organización. Por ello, la Consejería de Sanidad de la Comunidad de Madrid fue una de las primeras entidades públicas españolas en disponer de una Oficina de Seguridad. CsN: ¿Cómo afrontáis, a nivel de ciberseguridad, estos próximos meses que se presentan críticos? AL: No hay nada que nos haga pensar
que el sector sanitario deje de ser uno de los sectores de mayor interés para los ciberdelincuentes, por ello, seguiremos insistiendo en la concienciación de nuestros más de 80.000 profesionales sanitarios y administrativos propios de la organización y también a aquellos de las empresas privadas concertadas, que intervienen en la asistencia sanitaria pública. Seguiremos estando en alerta constante ante cualquier posible incidente, mejorando la operativa y los procedimientos, colaborando con CCN-CERT, intercambiando información con CSIRT.es, ya que el SERMAS es uno de sus miembros, y también con el resto de responsables de seguridad de sistemas de información de los distintos servicios de salud pública de otras Comunidades Autónomas. Además, seguiremos colaborando con ENISA en el proyecto de creación del European Health ISAC (Information Sharing and Analysis Centers). Y muy importante, incorporando las mejores tecnologías del mercado de la ciberseguridad, que estén al alcance de nuestro presupuesto
CsN: Hace poco conocimos la noticia de que una persona perdía la vida en un contexto en el que se había producido un ciberataque a un hospital, si miramos al futuro con mucho más digitalizado, ¿corren las vidas de las personas
un peligro real debido a los ciberataques? AL: En la actualidad, los requisitos
de los servicios TI en el ámbito sanitario son cada vez más exigentes, por su gran complejidad, alto nivel de integración y máximo nivel de disponibilidad. La implantación gradual de la historia clínica digital ha supuesto que no sea asumible la grave pérdida que conlleva la indisponibilidad de los sistemas informáticos, y todos sabemos, porque ya lo hemos visto en repetidas ocasiones, que un ciberataque podría suponer la parada de dichos servicios. Por tanto, no es exagerado afirmar que, a pesar de que los centros sanitarios disponen de planes de contingencia en los que se prevé la indisponibilidad de los sistemas de información sanitarios, una indisponibilidad continuada en el tiempo pueda aumentar el riesgo de poner en peligro la salud de los pacientes. Entra dentro de lo probable.
.
Ángel Luis Sánchez, CISO de la Consejería de Sanidad de la Comunidad de Madrid.
19
TELETRABAJO SEGURO Cambia la clave y el nombre del wifi que viene por defecto. Monitoriza su tráfico
Actualiza los sistemas operativos y aplicaciones siempre que sea necesario
Emplea la autenticación multifactor siempre que sea posible
Si sufres un ciberataque, comunícalo y denúncialo
2
1
4
3
Evita riesgos no utilizando los dispositivos personales para trabajar
VPN
6
MFA
5
Permanece conectado a la VPN de la empresa
Conoce la necesidad de seguir una buena práctica de ciberseguridad
7
CyberSecuritynews | Noviembre 2020
20 Entorno Cloud
El auge de la nube híbrida: ¿cómo afrontar los desafíos que plantea para la ciberseguridad? En 2021 y según IDC, 9 de cada 10 empresas combinarán distintos modelos de computación cloud, tanto nubes públicas como privadas, con sistemas on premise. Evolutio, experto en integración de servicios cloud, y el líder en ciberseguridad Trend Micro, ponen al servicio de las empresas Deep Security Software, una solución integral para afrontar los retos de la nube híbrida.
L
Texto: Evolutio
a transformación de las empresas ha dejado de ser un discurso comercial para convertirse en una necesidad para aquellas que quieran maximizar sus capacidades digitales, generar eficiencias operativas y ser más competitivas en un entorno cada vez más complejo. Según la consultora IDC, en 2021, el 90% de las CyberSecuritynews | Noviembre 2020
empresas combinará varios modelos de computación en la nube, ya sea en entornos cloud públicos o privados, o con sistemas on premise. La nube proporciona a organizaciones de todo tamaño y sector la capacidad de procesar un elevado volumen de información y, como respuesta a entornos de trabajo intermitentes (presenciales más en remoto), muchas están apostando por la nube híbrida como respuesta a las
necesidades particulares en cada caso, pero que en todos ellos pasan por aunar los beneficios en cuanto a agilidad y escalabilidad de la nube pública con la gobernanza y seguridad de los entornos cloud privados. En la economía actual, las empresas deben estar preparadas para operar 24 horas al día, los 7 días de la semana. Y no solo eso, sino que deben ser capaces de adaptar sus estructuras a
21
Evolutio aumentos o reducciones de la demanda imprevistos, fruto de nuevos patrones de consumo, como el uso masivo del e-commerce o el consumo masivo de datos en streaming en forma, por ejemplo, de vídeos bajo demanda. Asegurando los datos de las organizaciones, independientemente de dónde se encuentren
El auge de la nube híbrida ya estaba en la hoja de ruta de la mayoría de los directivos en las grandes empresas, pero ahora esta tendencia se ha acelerado. Junto a su adopción, el CISO debe ser capaz de proporcionar a la organización la agilidad y el acceso a los datos que precisa, pero de manera controlada y segura. Para ello, Evolutio, integrador líder de servicios cloud para compañías españolas con alcance global, junto con su partner Trend Micro, ponen al servicio de las empresas Deep Security Software, una solución integral que pone al servicio de las organizaciones una amplia gama de capacidades de seguridad en un solo agente inteligente. Trend Micro Deep Security puede proteger automáticamente workloads
nuevos o ya existentes para afrontar todo tipo de ciberamenazas, con técnicas como el machine learning o parches virtuales, protegiendo la nube híbrida de manera integral. La seguridad no debería ser un freno para el negocio, sino al revés: cuando las empresas optan por la computación en la nube, persiguen obtener entornos dinámicos y escalables. Poseer una infraestructura de ciberseguridad que avance al mismo ritmo, detectando automáticamente nuevos workloads, y protegiéndolos en consecuencia, es vital para detener ataques, ir un paso por delante de las amenazas y minimizar las interrupciones en el servicio proporcionado. En entornos híbridos, la superficie de ataque se expande porque las organizaciones que busquen desarrollar e implementar productos lo más rápido posible deben interconectar aplicaciones, software, servicios, plataformas y redes. Y todo esto requiere una protección integral, especialmente a medida. El interconectar aplicaciones, software y plataformas permite optimizar cargas de trabajo, si bien puede ser un riesgo si se desea una visión
única a nivel de seguridad. Tanto los equipos internos como externos encargados de garantizarla deben tener una visión panorámica si quieren reaccionar más rápido y prevenir riesgos con más eficacia. Estas capacidades serán cada vez más útiles para garantizar en todo momento el acceso ágil y seguro a los datos, independientemente de dónde se encuentren, bajo una estructura flexible y escalable. Los entornos de nube híbrida ofrecen la flexibilidad para ejecutar aplicaciones que necesitan un gran ancho de banda al mismo tiempo que admiten cargas de trabajo que requieren significativamente menos recursos locales, dotando a las organizaciones con gran elasticidad y considerable sentido práctico. Poder respaldar dichas capacidades con tecnología y conocimiento en torno a la ciberseguridad se postula, por tanto, como unas de las principales tendencias empresariales, desde el punto de vista tecnológico, para los próximos meses. Para más información sobre cómo afrontar los retos de la nube híbrida, descargue este ebook gratuito ofrecido por Evolutio y Trend Micro.
CyberSecuritynews | Noviembre 2020
22 Teletrabajo seguro / Desinformación
Fuentes oficiales para estar (des)informados Con Internet recibimos falsedades que más allá de mantenernos informados nos desinforman. Texto: Aina
C
Pou Rodríguez
ontrolar los bulos y las falsas informaciones sigue siendo una lacra en el uso de Internet y uno de sus mayores enemigos. Cualquier tragedia o acontecimiento provoca que las redes sociales y los grupos de mensajería se comiencen a llenar de información, la cual en muchas ocasiones es falsa. Somos sometidos a un aluvión de imágenes y de mensajes que nos hacen adoptar una posición de escepticismo y que nos hacen dudar de si la información que recibimos es real, o no. A todos nos ha pasado más de una vez y lo cierto es que comprobar la veracidad de lo que nos llega es muy complicado. Y es que en el mundo hiperconectado en el que vivimos la inmediatez informativa es ya una necesidad para todos, pero el riesgo de encontrarnos con noticias falsas o rumores está más presente que nunca. Por este motivo en este artículo os traemos una serie de fuentes oficiales para estar verídicamente informados. Las unidades administrativas Unas de las principales fuentes oficiales de información son las unidades administrativas de cada país correspondiente, en nuestro caso vamos a fijarnos en las del territorio español. Estas son: · Fuentes de información oficiales nacionales. Doue, el Diario Oficial de la Unión Europea, facilita una serie de canales RSS; BOE o Boletín Oficial del estado, facilita un canal general RSS y varios canales RSS temáticos; y BORME o Boletín Oficial del Registro Mercantil, facilita varios canales RSS. · Boletines oficiales de Comunidades Autónomas. Facilitan también canales RSS y algunos disponen de servicio de alertas temático por email. · Boletines Provinciales y de las diputaciones CyberSecuritynews | Noviembre 2020
WhatsApp incluye un botón para verificar en el buscador web la información que haya sido reenviada muchas veces. Por supuesto existen más fuentes de información oficiales de las que echar mano. Los Ayuntamientos son una de estas fuentes oficiales de las que también pueden extraerse normativas generales. La herramienta de Whatsapp para comprobar los bulos
Esta función llega en un momento en que Whatsapp y otras plataformas de mensajería se utilizan con más frecuencia que nunca para mantenerse en contacto con familiares y amigos y para compartir información sobre las novedades relacionadas con la pandemia del coronavirus. Los audios de supuestos médicos, las imágenes, los vídeos y los enlaces de origen desconocido y sin contexto se comparten día tras día en los chats. Esta nueva funcionalidad permite hacer una búsqueda en la web de los mensajes con información sospechosa que hayan estado circulando de un chat a otro. Se trata de un botón que aparece junto a los mensajes y que permite a los usuarios acceder directamente a la web y comprobar si la información ha sido publicada en otros medios confiables. Además, Whatsapp también está probando una función parecida a esta, que permite buscar imágenes en la web para comprobar si son reales o falsas La Maldita.com Maldita.com es un medio de comunicación privado español dedicado al fact checking, es decir, a la verificación de hechos. Su finalidad es dotar a los ciudadanos de herramientas para que no se vean
desprotegidos ante las fake news. Cuenta con diferentes ramas dedicadas a la monitorización del discurso político, sobre todo contrario a su ideología, y toda aquella información que circula por la red que no es real. Este medio nativo digital es una fuente de información oficial libre de bulos. Su objetivo es verificar informaciones que circulan en Internet, sobre todo en redes sociales como Facebook o Twitter, plataformas como YouTube y memes, y cadenas de mensajes en Whatsapp. También busca dotar a la ciudadanía de las herramientas necesarias para tener una información veraz y contrastada sobre los sucesos cotidianos. En definitiva, desmentir las noticias falsas. Otras fuentes oficiales de información Hay muchas más fuentes fiables para recopilar información. Centrándonos en la crisis del coronavirus podemos optar por plataformas como la de la comunidad médica chica DXY, la Organización Mundial de la Salud (OMS), el Centro europeo para la prevención y control de enfermedades (ECDC), así como las autoridades sanitarias a nivel de la ciudad y el estado, en nuestro caso el Ministerio de Sanidad. Si queremos ver la repercusión económica que está teniendo esa crisis a nivel mundial en los mercados, statista.com, nos ofrece datos e infografías relacionadas con el tema. Si lo que queremos es saber si la noticia que has recibido es falsa puedes acceder a maldito bulo, o a medios como Efe para comprobar si es una fake new.
.
23
Especial
ConcienciacĂon en Ciberseguridad
CyberSecuritynews | Noviembre 2020
24 Concienciación / Cyber Awareness
¿Cómo definir una estrategia de concienciación en ciberseguridad? La concienciación es uno de los pilares fundamentales en la estrategia de ciberseguridad global de cualquier empresa en la actualidad. Texto: Redacción de
D
CyberSecurity News
urante el año 2020 hemos podido ver múltiples ciberataques a grandes compañías las cuales se han visto gravemente afectadas tanto operacionalmente y económicamente, así como podría verse afectada su reputación. Y todo por un ransomware. También lo hemos podido vivir en nuestra vida personal. Multitud de información relacionada con el Covid-19 y la confusión generada por una situación atípica y de crisis, era el marco perfecto que muchos ciberdelincuentes han aprovechado para estafar. En cualquiera de los planos, el personal o el profesional, el factor humano y la concienciación sobre los ciberriesgos constituyen la principal fortaleza para no caer en el engaño. En este artículo, nos centramos en el plano profesional para explicar una serie de pasos a través de los cuales definir una estrategia de concienciación en ciberseguridad para los empleados de una empresa. Estrategia de concienciación en 4 pasos: 1. IDENTIFICA colectivos: El primero de los pasos consiste en idenCyberSecuritynews | Noviembre 2020
tificar a los diferentes tipos de colectivos dentro de la compañía. Cuando decimos colectivos nos referimos a grupos de empleados que comparten una serie de características entre ellos y que difieren del resto. Por ejemplo, podemos crear dichos colectivos basándonos en una segmentación por uso de tecnología, por el tipo de información que utilizan, por la actividad que realizan, etc. 2. ANALIZA colectivos: Una vez tenemos los diferentes colectivos identificados procederemos a analizar todo su entorno para recopilar información previa a la definición de las acciones de concienciación que vamos a realizar. Para analizar los colectivos, conocer a fondo sus comportamientos, con quiénes se relacionan, qué tecnologías usan el día a día, etc, algunas de las herramientas y técnicas más utilizadas son las entrevistas o los cuestionarios. 3. ENTRENA colectivos: Con los colectivos identificados y sus necesidades conocidas, procederemos a cubrir dichos vacíos con una serie de acciones de concienciación en ciberseguridad que les entrenen. En este paso podemos utilizar técnicas tan variadas como la realización de charlas personalizadas
para cada colectivo, abordando posibles casos que podrían darse en el día a día y con la utilización de la tecnología que aplican. También resulta muy útil la gamificación, pudiendo mostrar por ejemplo diferentes tipos de phishing a través de un juego y que mediante la interacción los eviten. Vídeos, infografías, comunicaciones periódicas por diferentes canales, eventos, material offline... cualquier recurso vale para que la ciberseguridad esté presente cada día en la mente de los empleados. Ojo por que este paso de entrenamiento es para muchos un paso puntual pero al igual que el resto de pasos, debe integrarse en una estrategia continuada en el tiempo ya que las tecnologías cambian, los empleados cambian de posición y los ciberataques también. 4. EVALÚA colectivos: Por último, periódicamente debemos de medir y evaluar la concienciación de los empleados ya que lo que no se mide no se puede mejorar. Así pues, técnicas como analizar las preguntas o dudas que surgen por parte de los empleados en algunas de las charlas iniciales con otras en charlas posteriores, o bien crear un phishing simulado, podrán ayudarnos en este punto.
.
25
Concienciación / INCIBE
“Entre los temas más consultados por las empresas, destacan, dudas relativas a la concienciación y la implementación de buenas prácticas” Uno de los grandes cambios que ha traído el COVID-19 es el teletrabajo y esto ha supuesto una puerta abierta para los ciberdelincuentes. Hablamos con Rosa Diaz, Directora General de INCIBE, quien nos cuenta cómo han vivido este cambio en el Instituto Nacional de Ciberseguridad. Texto: Alicia
Burrueco
CyberSecurity News (CsN): Sin esperarlo, nos hemos visto obligados a cancelar muchos eventos y actividades presenciales. Sin ir más lejos, este final de año teníais varios eventos que finalmente no se van a poder celebrar o cambian el formato. ¿Qué tiene preparado INCIBE de cara al final e inicio del año que viene? Rosa Díaz (RD): Desde el Instituto
Nacional de Ciberseguridad (INCIBE) nos hemos adaptado a las circunstancias derivadas de la crisis sanitaria, buscando la parte positiva de esta situación y encontrando una oportunidad para ampliar las dimensiones de los eventos en los que ya estamos trabajando, como el Cybersecurity Summer BootCamp o 14 ENISE spirit, ambos organizados por primera vez en modalidad online. El Cybersecurity Summer BootCamp, el programa internacional de capacitación especializado en ciberseguridad que se celebró del 20 al 30 de julio, contó con más de 1.000 participantes de 62 países diferentes, procedentes fundamentalmente de América, Europa y África. Por otro lado, 14ENISE spirit, el Encuentro Internacional de Seguridad de la Información, consolidado como punto de encuentro de referencia para la industria de la ciberseguridad, tuvo lugar los días 20 y 21 de octubre. Durante dos días, los participantes disfrutaron de un foro de negocio internacional, así como de un espacio expositivo con stands virtuales, ofreciendo un escaparate internacional de marcas y facilitando un espacio que permite llegar a una amplia comunidad de profesionales. (CSN): Muchas personas no estaban equipadas para teletrabajar desde
sus casas, por ejemplo, no tenían dispositivos adecuados, como el Instituto Nacional de Ciberseguridad de España, ¿habéis recibido muchas solicitudes de ayuda por parte de las empresas y usuarios? (RD): Como sabes, el 017 es un servicio
telefónico gratuito y confidencial que hemos puesto en marcha desde INCIBE en el que se centralizan los servicios de atención telefónica que ofrecemos relativos a consultas sobre ciberseguridad. Entre los temas más consultados por las empresas, destacan, en el mes de agosto: dudas relativas a la concienciación y la implementación de buenas prácticas, con un 17%, el incidente tipo ransomware, con un 14%; la extorsión o el fraude, con un 14%; la suplantación y el phishing, con un 16%; las mejores herramientas a utilizar para combatir los incidentes, con un 7%, etc.
CsN: Si antes era importante concienciar, desde bien pequeños, de los peligros que se esconden en el ciberespacio, ahora que muchas de las clases son virtuales, ¿qué consejos les darías a esos niños y niñas que estudian delante del ordenador? ¿Y a los padres? (RD): En los últimos años ha mejorado
notablemente la sensibilización de los niños y jóvenes en relación al uso seguro y responsable de Internet. Si bien debemos seguir trabajando para evolucionar desde la sensibilización a la capacitación, y conseguir que ésta se desarrolle de una manera mucho más sistematizada, de forma que aseguremos que todos los menores adquieren las competencias necesarias para beneficiarse de las ventajas de Internet, limitando los riesgos asociados. Desde INCIBE, a través de nuestro canal especializado en menores, siempre
Rosa Díaz, Directora General de INCIBE
hacemos hincapié en la importancia de promover la autonomía del menor y su capacidad para discernir entre contenidos fiables y aquellos que se consideran de riesgo.
CsN: Y para ir terminando, ¿cuál es tu opinión sobre la incidencia del COVID-19 en el mundo de la ciberseguridad? (RD): En mi opinión, es habitual que
los ciberdelincuentes planeen campañas específicas, en situaciones especiales, utilizando esa temática como gancho con el único objetivo de engañar a sus potenciales víctimas. Durante la crisis del COVID-19, los ciberdelincuentes han diseñado diferentes tipos de ataques basados en técnicas de ingeniería social. Puesto que el propósito es el de engañar al mayor número de usuarios y empresas posible utilizan diversos mensajes que van adaptando a medida que la situación va evolucionando. En la sección de avisos de seguridad de nuestro canal especializado en ciudadanos, y de nuestro canal dedicado a las empresas, diariamente, publicamos fraudes y vulnerabilidades concretas, al igual que recomendaciones y soluciones específicas ante un determinado problema de seguridad.
.
CyberSecuritynews | Noviembre 2020
26 CISO Day
Cerca de 1.000 espectadores en la II Edición del CISO Day El pasado 17 de septiembre se celebró, en formato híbrido, el CISO Day 2020. Evento organizado por CyberSecurity News que tuvo presencia internacional entre sus diferentes ponentes. Texto: Alicia
M
Burrueco
ás de 20 speakers, tanto nacionales como internacionales estuvieron acompañándonos durante este congreso. Expertos de la talla de Javier Candau, Jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional, Andrés Jesús Ruiz, Asesor en la Unidad de Ciberseguridad del Departamentos de Seguridad Nacional de la Presidencia del Gobierno o Gustazo Lozano, CISO de ING España y Portugal estuvieron con nosotros en el CISO Day 2020. Y también contó con el apoyo de grandes empresas como Sonatype, Darktrace, Akamai, Evolutio, Factum, S21sec, Softeng, Experis, Stackscale, Axicom, Big Data Magazine, Ecommerce News, Duoc UC, y con el apoyo institucional del CCN – CERT. Esta segunda edición traía cambios desde el inicio. Y es que los dos maestros de ceremonia que dirigieron el evento fueron: Pedro Pablo Merino, CyberSecuritynews | Noviembre 2020
Socio-Fundados de Cybersecurity News y Alicia Burrueco, redactora jefe de CyberSecurity News, ambos miembros del equipo organizativo del CISO Day. El speech de bienvenida vino de la mano del S. Javier Candau. International CISO’ Experience Tras la bienvenida, llegó el turno de una entrevista one to one; International CISO’ Experience. A través de la cual el director de ciberseguridad de una empresa digital internacional, nos contó su experiencia en la gestión global de la ciberseguridad, adentrándonos en estrategias de ciberseguridad proactivas y en estrategias reactivas en momentos de crisis. Alejandro Estrada Gamboa, Regional Sales Director Iberia, Italy and North Africa at Sonatype, fue el encargado de entrevistar a Xavi Bartomeu, CISO de SCRM Lidl International Hub. Tuvieron una conversación donde, como es lógico, predominaba la figura del CISO pero también hubo tiempo de hablar de un hecho tan importante como
es que muchas personas no le den a la ciberseguridad la importancia que tiene. CISO Round Table: CISOs from different sectors in Spain La primera mesa redonda tenía como objetivo reunir a CISOs de diferentes sectores para conocer sus experiencias como directores de ciberseguridad actuales, sus necesidades, inquietudes y objetivos. Esta mesa estaba compuesta por Gustavo Lozano, CISO de ING en España y Portugal. Sara Martín, CISO de Homeserve. Luis Paredes, CISO de Grupo SACYR. David Muñiz, CISO de Talgo y como moderador, Israel Zapata, Director de Operaciones de Ciberseguridad en SecurabyFactum, patrocinador SILVER del CISO Day 2020. La importancia del DevSecOps y la gestión de OSS Volvía a ser el turno de Alejandro Estrada Gamboa, Regional Sales
27
Evento Director Iberia, Italy and North Africa at Sonatype que era el encargado de impartir la primera Keynote. Alejandro nos habló sobre la importancia del DevSecOps y la gestión de OSS. Explicó que el mundo del software se ha comido el mundo entero, es decir, se ha empezado a desarrollar a través del código abierto. Es importante analizar nuestras apps y saber de qué están compuestas, dado que la inmensa mayoría está compuesta por dependencias de terceros. Eso hace que en realidad la parte que veas desarrollada por los ingenieros sea solamente entre un 10 o 20% de la ingeniería desarrollada. Muchos de los CISOs le ponen mucho enfoque en analizar ese 10-20%, cuando es el resto de la app la parte que debería recibir el enfoque mayor, que son librerías o dependencias que descargaron de internet de otros proyectos, y que no controlan ni conocen. Por este motivo, Sonatype se asegura de que ese 80-90% sea seguro. El panorama cambiante de ciberseguridad: La batalla de los algoritmos
La segunda keynote del evento venía de la mano de José Badía, Country Manager de España y Portugal en Darktrace. Patrocinador GOLD del CISO Day 2020. José nos contó que entre los avances tecnológicos de evolución rápida, y la emergencia de malware acentuado con IA está haciendo que los ciberataques sean exponencialmente más peligrosos y más difíciles de identificar. En un futuro cercano, empezaremos a ver ciberataques basados y propulsados por IA, además, de ser utilizados a gran escala. Para protegerse contra los ataques de IA ofensiva, las organizaciones están recurriendo a la ciber IA defensiva, que puede identificar y neutralizar la actividad maliciosa emergente, sin importar cuándo o dónde ocurra. En esta ponencia aprendimos sobre los cambios de paradigma en el panorama de ciberseguridad, los avances en las técnicas de ataques de IA ofensiva, el enfoque del sistema inmune para la ciberseguridad y las capacidades defensivas de respuesta autónoma.
Ciberinteligencia para la protección de infraestructuras en tiempo real
Akamai y Evolutio fueron los protagonistas de impartir la última keynote del CISO Day 2020, como patrocinadores GOLD de este evento. Esta venía de la mano de Ricardo Sanz, Director de Cyber Security Business en Evolutio. Ricardo Sanz nos habló sobre los pasos a seguir para poder mantenerse al día con las amenazas que hay en el ciberespacio. Hay que optimizar la postura de seguridad y roadmap, detectar amenazas antes y saber responder ante ellas muy rápido. Además, implementar controles frente a las últimas amenazas, saber gestionar volúmenes de datos muy altos. “La ciberinteligencia es algo que debe informar y estar presente en todos los procesos de seguridad, mejora la detección de amenazas, acortan el tiempo de respuesta.” afirmaba el Director de Cyber Security Business en Evolutio. Cybersecurity Key Trends Round Table La segunda mesa redonda del evento, llamada “Cybersecurity Key Trends round table”, tuvo como objetivo reunir a varios CISOs para hablar sobre las tendencias en ciberseguridad que estamos viviendo y viviremos en los próximos años, y como debemos abordarlo. Esta mesa estaba compuesta por Willy Bascuñan Silva, CISO de Correos Chile , Gabriel Moliné Sosa, CISO de Leroy Merlin, Javier Sánchez Salas, CISO de Haya Real Estate, Alejandro Figueroa, Director de Seguridad Corporativa y CISO para BBVA España. Y como moderador, Pedro Pablo Merino, Socio Director y Cofundador de CyberSecurity News. Pedro Merino empezaba preguntándole a los participantes de la mesa redonda qué opinan sobre la nueva tendencia del phishing utilizando la Inteligencia Artificial, y cómo la abordan en sus compañías. Gabriel explicó que “la realidad es que el phishing es algo que ocurre de manera cotidiana. El mayor remedio es la concienciación y el one to one”. Por otro lado, Javier tiene claro que los ataques de phishing “cada vez son más sofisticados, tenemos más vectores de ataque, y los ataques cada vez están más conseguidos. Debemos seguir concienciando a los usuarios vip, que
tienen más derechos que un usuario de a pie”. Mesa Redonda Ciberseguridad en el Sector Público Como última ponencia era el turno de la tercera mesa redonda de la segunda edición del CISO Day. Esta mesa redonda, llamada «Ciberseguridad en el Sector Público» tenía como objetivo contar con la presencia de CISOs y expertos en ciberseguridad de empresas y organismos públicos de máximo nivel en España. Y conocer de primera mano las líneas de actuación en ciberseguridad dentro del sector público. Esta mesa estaba compuesta por Ángel Luis Sánchez García, CISO de la Consejería de la Comunidad de Madrid. José Fernández Zapata, CISO de la Autoridad Portuaria de Valencia. Javier Candau, Director de Jefe del Departamento de Ciberseguridad del CCN. Andrés Jesús Ruiz, Asesor Departamento de Ciberseguridad del DSN MODERA. Y moderada por Igor Unanue, CTO y Cofundador de S21Sec. CISOS AWARDS SPAIN Este año el CISO Day traía consigo una novedad: Los CISOS AWARDS SPAIN. Un reconocimiento al protagonista de nuestro evento, a la figura del CISO. Tras una votación pública en la web del CISO Day 2020, los dos profesionales más votados eran Luis Paredes, CISO de Gupo SACYR y David Muñiz, CISO de Talgo. Ambos obtuvieron el reconocimiento de la mano de dos de nuestros patrocinadores: Sonatype y Darktrace respectivamente. Además, y ya para concluir esta nueva Edición del CISO Day, se hizo un reconocimiento especial a todos los CISOs y profesionales de ciberseguridad del sector sanitario por su especial dedicación durante todos estos meses marcados por la Pandemia del COVID-19. Desde la humilde labor del equipo organizativo del CISO Day, se les dio las gracias y dejaron ver un vídeo con las declaraciones de algunos CISOs del sector de la sanidad como Ángel Luis Sánchez, CISO de la Consejería de Sanidad de la C. Madrid, Juan Miguel Signes Andreu (C. Valenciana), Jorge Prado Casal (Galicia) y Alberto González (OSAKIDETZA).
.
CyberSecuritynews | Noviembre 2020
28 Concienciación
“Cada vez los ataques son más sofisticados, con actores mejor coordinados y haciendo uso de mayores recursos y tecnologías” Hablamos con Héctor Guantes, Head of Cybersecurity Iberia and Israel in BT. Texto: Alicia
Burrueco
CyberSecurity News CsN: BT es una
de las telecos más grandes del mundo con presencia operacional en más de 100 países. En este contexto la comunicación en materia de Ciberseguridad entre las diferentes geografías es vital. Imaginando que existen varios CISOs a nivel global en vuestra compañía...¿Cómo es el flujo de comunicación entre ustedes? Héctor Guantes (HG): La seguridad se encuentra en el corazón de todos los productos y servicios de BT. Desde el nivel más alto del comité hasta el último departamento de la organización, entendemos y transmitimos la importancia y el valor de la ciberseguridad. Año tras año, seguimos invirtiendo para ampliar nuestras capacidades y equipos. BT trabaja con un ecosistema bastante complejo y con presencia local o clientes actuando bajo nuestro paraguas en prácticamente todos los países del mundo. Dentro de la vertical de ciberseguridad tenemos una rama específica denominada Protect BT que engloba todo el personal dedicado a la monitorización y protección de la propia compañía. Aquí podremos encontrar figuras como el Global CISO, Regional CISOs y los DPOs. Hay una relación sólida y colaboraCyberSecuritynews | Noviembre 2020
tiva entre todos los equipos para garantizar la monitorización de amenazas las 24 horas del día y compartir inteligencia y experiencia con el fin de poder mantener a BT y a nuestros clientes protegidos.
CsN: ¿Cómo se ha gestionado el teletrabajo seguro en su compañía tras la llegada del Covid-19? HG: En BT históricamente hemos
contado con una política bastante difundida de trabajo flexible y sus empleados están acostumbrados a poder trabajar desde diferentes ubicaciones, utilizando diversas herramientas de colaboración. En este sentido, el reto ha sido poder escalar masivamente y en un breve periodo de tiempo todas las medidas con las que contábamos. Algunas acciones importantes que hemos realizado han sido: · Mayor supervisión del puesto de usuario. · Controles adicionales para detectar y limitar software no autorizado. · Monitorización de accesos anómalos a sistemas o datos. · Pensar en las personas y en especial en aquellas que hacen un trabajo más sensible o con mayor riesgo. · Despliegue de soluciones “Zero Trust” para garantizar el acceso solo a lo que es necesario y cuando es nece-
sario. · Concienciación sobre los riesgos del teleletrabajo y acceso remoto. · Creación de guías de teletrabajo seguro para empleados (firewall humano). Este firewall humano es uno de los pilares clave sobre los que pivota nuestra estrategia de concienciación de usuarios acentuada con los nuevos riesgos y amenazas derivadas por el Covid-19. Durante estos meses también hemos estado trabajando con nuestros clientes que se enfrentan a los mismos desafíos, y estamos orgullosos de cómo hemos sido capaces de ayudarlos a adoptar de forma segura soluciones de trabajo remoto y en la nube. CsN: En este contexto, la concienciación es uno de los pilares más básicos en una estrategia de Ciberseguridad. ¿Cómo abordar esto entre sus empleados? HG: En BT tenemos claro que todos los
empleados somos el firewall humano y por ello responsables de la seguridad de la compañía. BT define un plan de formación y concienciación obligatorio para más de 100.00 personas. Como parte de ese plan damos píldoras formativas a nuestros empleados durante todo el año. Tenemos cursos de formación específicos mediante una plataforma de E-learning y en formato gamifi-
29
Entrevista cado, y realizamos periódicamente ejercicios de phishing dirigidos a diferentes departamentos entre otras actividades. Es necesario hacer conscientes a los empleados de cómo detectar y evitar errores de seguridad a través de la formación, el compromiso y una orientación clara. El contenido se actualiza periódicamente para asegurarnos de que refleja las últimas tendencias y amenazas. El fin último es garantizar que las mejores prácticas de seguridad se entiendan y adopten lo más ampliamente posible. CsN: Este año hemos visto como muchas grandes empresas se han visto afectadas por un Ransomware que les ha perjudicado muchísimo tanto a nivel operacional como a nivel reputaciónal. ¿Qué medidas podemos aplicar para prevenirlo? ¿Cómo actuar? HG: Aunque los ataques tipo Ranso-
mware llevan más de 10 años con nosotros, es cierto que en los últimos años han alimentado su fama debido a los estragos generados en grandes compañías por todo el mundo. Cada vez los ataques son más sofisticados, con actores mejor coordinados y haciendo uso de mayores recursos y tecnologías, lo que provoca el auge de Amenazas Avanzadas Persistentes (APTs) y Zero Days. Si fuéramos infectados por Ransomware no deberíamos pagar el rescate y es importante ser conscientes que pagando estamos financiando a los cibercriminales, no tendremos ninguna garantía de si vamos a volver a tener acceso a la información ni tampoco si han dejado alguna “puerta trasera” que les permita infectar o acceder a los datos de nuevo. En general, en lugar de responder a esto directamente, podríamos decir que las empresas deben invertir en seguridad y en tecnologías que prevengan y minimicen el impacto de los ataques Ransomware. De cara a afrontar el Ransomware debemos hacerlo en varias fases, desde su prevención y detección precoz, hasta la respuesta y recuperación. Algunos ejemplos: · Mantener el software actualizado junto con una política adecuada de gestión de vulnerabilidades y parcheos. · Uso de herramientas de detección y respuesta ante amenazas. · Monitorización con equipos espe-
cializados del uso de la información: control de accesos, flujos y procesos. · Especial precaución en lo referente al correo electrónico evitando la apertura de información o acceso a enlaces sospechosos. Aquí debemos enlazar con nuestras políticas de concienciación corporativas. CsN: ¿Cree que cada día las empresas toman más conciencia de la importancia de invertir en ciberseguridad? HG: Nadie puede negar que la
tendencia de las compañías es hacia la digitalización y a la adopción de mecanismos de teletrabajo y colaboración remota y que si no se hace de una forma adecuada puede traer consigo un incremento en el nivel de riesgo de la organización. Aunque encontramos desviaciones importantes por sector, países de operación y tamaño de las compañías, la comprensión general de la importancia sobre la ciberseguridad se incrementa año tras año. A modo de ejemplo, gastos operativos abultados, multas y daños a la marca causados por ciberataques hacen que todos seamos conscientes de los riesgos y esto acabe calando en las empresas e incluso en todos nosotros como sociedad. Otra de las palancas que está empujando con fuerza a las empresas hacia la ciberseguridad es la legislación y normativa vigente, tanto interna como comunitaria, que ha ido apareciendo o actualizándose en los últimos años. Por último, el Coronavirus ha acelerado esto aún más permitiendo a las empresas que habían invertido en estrategias de seguridad proactivas estar mejor posicionadas para adaptarse al trabajo remoto y en la nube y esto se traduce incluso en una ventaja competitiva para su negocio. CsN: ¿Cómo ve el futuro de la ciberseguridad? HG: La ciberseguridad no se va a ver
como un extra opcional a los servicios si no que se considerará como una parte esencial e intrínseca a los mismos. Partiendo de premisas en las que el dato es el activo estratégico y definiendo los servicios como el uso que se va a hacer del mismo siguiendo la máxima de seguridad por diseño. El perímetro de seguridad tradicional ha pasado de ser algo estático y definido a completamente elástico a medida que los sistemas y los individuos se han ido conectando. Cobrarán
Héctor Guantes, Head of Cybersecurity Iberia and Israel in BT
una importancia cada vez mayor conceptos tales como Zero Trust. Inclusión de políticas de seguridad adaptativas que evolucionan a medida que cambia la superficie de ataque. Mayor uso de técnicas de análisis de big data, análisis de comportamiento, aprendizaje automático e IA para ofrecer un alto nivel de automatización, orquestación y precisión a estas políticas dinámicas. El panorama de amenazas también está en constante evolución, se aprecia un incremento en la complejidad de los entornos y mayor sofisticación de los ataques. Estamos viendo nuevos actores y tipos de ataques. A modo de ejemplo, la Inteligencia Artificial o podríamos también denominarlo Inteligencia Aumentada, está ampliando enormemente nuestras capacidades en ciberdefensa. Aunque también sabemos que son técnicas usadas por los ciberdelincuentes, su uso nos ayuda a igualar la balanza. Como ya dijo Sun Tzu en El arte de la guerra, conócete a ti mismo y a tu enemigo y nunca saldrás derrotado. En ciberseguridad no podemos afirmar algo con tanta rotundidad, pero el uso de IA junto con la inteligencia de amenazas (en la que BT colabora y tienen acuerdos con grandes entidades públicas y privadas por todo el mundo), nos facilitan en gran medida esta tarea. El 5G también ofrecerá grandes avances a los consumidores y las empresas. Al mismo tiempo, tenemos que estar preparados en cómo afrontar de manera segura los enormes incrementos en el uso de datos y dispositivos conectados que acarreará. En conclusión, tenemos que seguir invirtiendo en formar a nuestra gente, en la mejora de procesos y en tecnología para luchar contra las nuevas amenazas que, con toda seguridad, aparecerán.
.
CyberSecuritynews | Noviembre 2020
30 Transformacíon Digital
Transformación Digital VS COVID-19 La crisis sanitaria, económica y social por la que todos nos hemos visto afectados en los últimos meses ha destruido calendarios y objetivos; ya no solo a corto, si no a medio y largo plazo, llevando al límite el funcionamiento de organizaciones públicas y privadas.
E
Texto: Josué
López
l confinamiento y las restricciones plantean nuevos retos a los negocios, especialmente estructurales y logísticos, pero también vinculados a Recursos humanos y la relación con el cliente. Sin que a día de hoy tengamos una solución mágica, la tecnología y el modo en el que la utilizamos ha dado respuesta a las nuevas necesidades provocadas por la situación. CyberSecuritynews | Noviembre 2020
En algunos casos, los planes de transformación digital se han ido postergando y esta crisis ha forzado su aceleración, es un hecho palpable la brecha entre las organizaciones que tenían los “deberes” hechos y las que no. Es una coyuntura dinámica, llena de incertidumbres en la que aprendemos a diario y desde la experiencia consideramos que la afrontamos mejor si tenemos en cuenta ciertos puntos:
1. Capacitación y versatilidad de equipos Los procesos de digitalización actuales no es solo cuestión de usar los mejores softwares y tecnología más puntera. Es imprescindible comenzar desde un punto de capacitación y versatilidad en todos los equipos de nuestra organización, son las personas las que permiten la transformación. Es imprescindible ajustar la inversión en la cultura digital de
31
Auditech los equipos de una forma decidida y recurrente, marcarán la diferencia frente a la competencia. Es un punto estratégico dentro de cualquier plan de transformación digital, especialmente si el tiempo juega en nuestra contra. La cultura colaborativa y la versatilidad para adaptarse a los cambios dentro de cualquier organización es un punto crítico para que las herramientas sean realmente eficaces. Esto se hace fácilmente reseñable con la implantación de soluciones cloud y en de la ciberseguridad. Las respuestas cerradas y estandarizadas ya no resuelven problemas. 2. Trabajo remoto y control de objetivos Es un hecho que los servicios en la nube se han convertido en un salvavidas durante la crisis sanitaria. La prueba de ello es que los principales operadores Amazon Web Services (AWS) o Microsoft Azure y Google Cloud han registrado un crecimiento récord del 34% durante el primer trimestre de 2020, según un informe de la consultora británica Canalys. En la nube es importante seguir una arquitectura de microservicios, la que posibilita teletrabajar con unas condiciones óptimas: La operación remota de procesos de producción y el acceso a los recursos compartidos hasta el control de la productividad y haciendo uso de una comunicación eficiente y con las ventajas que nos proporcionan estas plataformas. Esta implantación no es únicamente accesible para grandes empresas sino también para pymes. Una cultura corporativa basada en la colaboración, la confianza, la transparencia y la consecución de objetivos y tareas es clave para que el trabajo remoto pueda ser incluso más productivo. ¿La respuesta? La combinación de soluciones ERP, CRM y productividad o almacenamiento que permitan trazar que está haciendo cada persona en la empresa en todo momento sin necesidad de su presencia física.
3. Digitalización de procesos La digitalización de los procesos de gestión de tareas está mejorando la productividad en muchas empresas, tanto en movilidad como en entorno de oficina haciéndolas más eficientes y competitivas, algo que con la actual crisis se ha vuelto una necesidad. La integración y sincronización en tiempo real con las herramientas ERP. El registro horario adaptado a los requisitos de cada empresa pueden convertir cualquier dispositivo conectado a internet en un reloj de registro horario con el que cumplir la normativa laboral. La mensajería instantánea llevadas al ámbito profesional permite la gestión de incidencias de forma más ágil y eficiente. Plataformas SaaS que permiten definir roles y hacer seguimiento de incidencias y permiten generar reportes para mejorar la productividad. 4. Ciberseguridad personalizada Con la rápida adopción del teletrabajo los ciberataques han aumentado exponencialmente y se vuelven mas sofisticados con el paso del tiempo, aunque este aumento del riesgo en su mayoría es debido a la precipitación de algunas organizaciones que se han visto obligadas a implantar el teletrabajo debido a la pandemia. Las herramientas clásicas como los antivirus dejaron ser eficientes y la clave realmente reside en personalizar el sistema de defensa a la organización, y, sobre todo, invertir en formación. La ciberseguridad es un medio que logrará un fin y que debe estar en todo momento alineada con la estrategia de negocio, es por esto que algunas compañías optan por establecer la figura del CISOaaS o Virtual CISO. Esta figura toma relevancia en el momento de gestionar la capacidad de Resilencia de la empresa. Adicionalmente, las soluciones más eficientes para afrontar con garantías el teletrabajo son las basadas en inteligencia artificial y que monitorizan de manera constante los sistemas, redes
Josué López – CEO & CSO en Auditech
y dispositivos para la anticipación y detección rápida de amenazas, en un proceso de aprendizaje continuo. La implementación de software de protección de respuesta autónoma frente a amenazas avanzadas como Fire-Eye. Si se quiere obtener una protección 360º es importante ir de la mano de consultoras especializadas y estudiar la necesidad de externalizar las operaciones de ciberseguridad en un ”Security Operations Center” para monitorizar la ciberseguridad con el objetivo de detectar y responder de forma integral ante ciberamenazas en tiempo real. Y sobretodo aporta la lógica de la búsqueda activa de amenazas y vulnerabilidades o Threat Intelligence. Propia del Hacker ético, que tiene en cuenta todos los factores que puedan afectar a la seguridad. Por eso es esencial capacitar al equipo en esta materia, en muchos casos los ciberataques con consecuencias más graves son vulnerados por fallos humanos, como filtrado de claves de acceso o email de un empleado. Seguir utilizando los dispositivos de la empresa, cifrar las conexiones o forzar el uso del Factor de doble autenticación son algunos ejemplos de medidas de seguridad directas para implantar el teletrabajo, no obstante, con la sobre exposición que implica es recomendable auditar y personalizar la ciberseguridad.
.
CyberSecuritynews | Noviembre 2020
32 Concienciación / ¡Ciber-conciénciate!
«Promueve buenas prácticas en materia de ciberseguridad, rápidas y fáciles de implementar» A día de hoy, todavía son muchísimas las personas y empresas que se preguntan cómo pueden proteger sus sistemas y/o documentos de los ciberdelincuentes. Esto deja ver un claro desconocimiento sobre las mejores prácticas de ciberseguridad.
E
Texto: Alicia
Burrueco
s mayor el número de usuarios que desconoce que una simple acción como tener la misma contraseña en dos emails diferentes puede ser una puerta de entrada para los ciberdelincuentes. Igual se intenta concienciar a la población sobre los peligros que pueden haber tras expansión de un virus o los problemas que se pueden ocasionar en el medio ambiente si no lo cuidamos, también hay que hacer hincapié en la ciberseguridad y conseguir que todo el mundo, desde los más pequeños a los más mayores, estén concienciados sobre todos los peligros que hay. Para ello hoy tenemos la posibilidad de estar hablando con un experto en este tema, Nicolás Rodríguez Tolmo, autor del libro “¡Ciber-Conciénciate!” CyberSecurity News (CSN): ¿Por qué te decidiste a escribir un libro sobre un tema tan “poco comercial”? Nicolás Rodríguez (NR): ¿Poco comer-
cial? Quizá tengas razón… pero es un tema de rabiosa actualidad. Y tremendamente importante en nuestras vidas… Hoy en día, todos y cada uno de nosotros convivimos y nos enfrentamos a un mundo donde la tecnología ha adquirido un peso e importancia que afecta a todas y cada una de las acciones y tareas cotidianas que conforman nuestra vida. Casi todas nuestras decisiones se apoyan y se soportan en la tecnología. Estoy convencido que para muchos sería casi imposible imaginar sus vidas sin, por ejemplo, sus móviles. O que me dirías si no tuvieran acceso a internet, sin la multitud de aplicaciones que nos facilitan nuestras compras, consultas, actividades… En definitiva, vivimos conectados permanentemente. Y claro, aprovecharse de todas estas ventajas también trae inevitablemente que nos CyberSecuritynews | Noviembre 2020
enfrentemos a nuevos riesgos, peligros que nos acechan y amenazan a diario. Lo que nos obliga, queramos o no, a establecer nuevos mecanismos de defensa, a protegernos, para evitar o al menos minimizar los ataques a la seguridad y a la privacidad de nuestra información. Por eso la existencia de este libro que, como muchos otros, pretende ofrecer una base de ayuda para sus lectores en favorecer esta concienciación tan necesaria en materia de ciberseguridad, que todos debemos tener. CsN: ¿Qué pueden encontrar las personas que recorran las páginas de “¡Ciber-Conciénciate!”? NR: Como ya he comentado, es muy
importante conocer los nuevos riesgos que forman parte de nuestro entorno, por su indudable impacto en nuestra vida cotidiana. Por tanto, la ciberseguridad debe ser una pieza totalmente integrada no sólo en la cultura de las empresas sino en la de nuestros hogares y familias. Este libro divulga información y expone los principales riesgos a los que estamos sometidos en este mundo digital actual, intentando clarificar el peligro real de exposición a todas estas nuevas amenazas que nos rodean.
CsN: ¿Se puede hablar de la misma forma a niños, padres, profesionales de sectores ajenos, de los riesgos de la ciberseguridad? NR: No, hablar de la misma forma
claro que no. Es necesario distinguir y segmentar cada colectivo para emplear el lenguaje y los canales más apropiados, que faciliten y hagan llegar con claridad los mensajes que queremos transmitir. Sobre todo si hablamos de adultos y menores… ¡y eso que hay muchos adultos que desde el punto de vista de ciberseguridad se comportan de igual forma o incluso peor que los menores!
Nicolás Rodríguez Tolmo, autor de ¡Ciber-Conciénciate!
En el fondo, muchos de los mensajes de concienciación a transmitir son iguales, pero sin embargo, los mecanismos de transmisión empleados pueden o deben ser distintos. Por tanto, es fundamental categorizar y segmentar previamente los contenidos en función del colectivo que va a ser receptor de dichos mensajes. No es el mismo mensaje el que tenemos que dar a un menor cuando estamos hablando del uso comedido y responsable de las redes sociales que el que tenemos que dar a los empleados de una empresa cuando, por ejemplo, hablamos de proteger información sensible o confidencial.
CsN: ¿Crees que la industria está sensibilizada con las vulnerabilidades a las que están expuestas? ¿Y las personas en sus casas? NR: En el mundo empresarial sí que
algunas grandes corporaciones se toman muy en serio los peligros y amenazas a las que están expuestos. Y apoyan y fomentan medidas correctoras. Pero en nuestro entorno familiar, raras son las ocasiones en que esto ocurre… También es cierto que las empresas todavía tienen por delante un largo camino que recorrer en materia de ciberseguridad. Y me estoy refiriendo principalmente al gran conjunto de pequeñas y medianas empresas de este país, las pymes.
.
33
Chief Information Security Officer / Entrevista
«En el caso de las tarjetas de pago, un ciberataque puede llegar a paralizar todas las transacciones y por ende tu actividad core» Hablamos con Francisco Javier, CISO de Diners Club Spain. Él nos habla de cómo es la ciberseguridad en una empresa enfocada en Servicios Financieros. ¡No te lo pierdas! Texto: Alicia
Burrueco
CyberSecurity News (CsN): ¿Quién es Francisco Javier Farfán? Francisco Javier (FJ): Soy un informá-
tico gaditano que llegó al mundo de la seguridad por casualidad. Estudié Ingeniería Informática en Granada y me vine a Madrid a trabajar. Mi primer trabajo fue en una gran empresa de auditoría, donde realizaba el apoyo IT a la auditoría financiera y ahí empezó mi andadura… En la actualidad tengo el placer de trabajar como CISO de Diners Club Spain, una empresa enfocada en Servicios Financieros para el pago de viajes corporativos. CsN: ¿Cómo es la ciberseguridad en una plataforma de pagos y tarjetas? FJ: El mundo de la ciberseguridad es muy
complejo de por sí, pero cuando a la ciberseguridad le añadimos transaccionalidad, se abre ante nosotros un nuevo paradigma. Hay sectores en los que la ciberseguridad se puede ir aplicando de forma progresiva e incluso eventualmente de forma reactiva. Cuando tu empresa se dedica a algo tan sensible como las tarjetas de crédito, sabes que una parte crucial del negocio es la transaccionalidad y la seguridad no puede hacer que una transacción se demore un segundo porque esto haría que la operación fuera rechazada. Por ello, cuando hablamos de ciberseguridad en las plataformas de pago, debemos tener muy claro cuales son los posibles vectores de ataque que podemos tener, e intentar mitigarlos en el mayor grado posible. Además, debo enfrentarme a todas las normativas aplicables que debemos cumplir por ser entidad de Pago, entre ellas PCI-DSS, GDPR y PSD2. CsN: ¿Tenéis algún ciberseguro contratado? ¿Habéis tenido alguna experiencia con ellos?
FJ: Diners Club Spain es una empresa
participada mayoritariamente por Banco Santander, por lo que nos beneficiamos de todas las ventajas que el grupo aporta a sus empresas participadas. A día de hoy, no hemos tenido que hacer uso de los servicios del ciberseguro, pero sí tenemos un conocimiento detallado de su clausulado y formas de activación. CsN: De todos es sabido que estamos pasando unos meses muy complicados a nivel mundial y eso ha hecho que un gran número de empresas se hayan visto obligadas a teletrabajar… ¿Qué ha supuesto eso en temas de ciberseguridad? FJ: Visto desde fuera, parece que Teletra-
bajar es sólo coger nuestras cosas y, en vez de ir a trabajar a la oficina, hacerlo desde casa. Pero en realidad, algo que se ha decretado de una forma tan rápida, tiene un gran impacto en las compañías. En nuestro caso, hemos tenido que aplicar un plan progresivo de medidas de seguridad para poder replicar la seguridad que tenemos en nuestras instalaciones. Si bien es cierto que este tipo de cambios siempre genera incertidumbre a la hora de comenzar a aplicarlos, las medidas de seguridad están funcionando correctamente, y se podría decir que nuestro equipo está trabajando de una forma normal desde sus casas. Algo que nos alegra poder decir.
CsN: El 2019 terminó con una palabra muy destacada: Ransomware. ¿Crees que pasará lo mismo en este 2020? FJ: Creo que Coronavirus o COVID-19
va a ser la palabra del año. El coronavirus ha marcado un antes y un después en la sociedad. Aún cuando termine el estado de alarma, la sociedad habrá cambiado,
Francisco Javier Farfán, CISO de Diners Club Spain
nuestra forma de entender la interrelación habrá cambiado y la forma de trabajar habrá cambiado. Los retos en la ciberseguridad también han cambiado. Antes había empresas en las que no se necesitaba tener toda la información accesible desde cualquier parte del mundo; Ahora, debido a la situación de alarma actual, nos ha llevado a todas las compañías a hacer accesibles los sistemas. Esto abre la puerta a nuevas amenazas que no estaban contempladas, y que si no se hace con la seguridad adecuada, puede llevar a cometer grandes errores. Está claro que no podemos resistirnos al cambio, pero debemos ser conscientes de todos los riesgos a los que nos enfrentamos. Un claro ejemplo de empresas que se han visto superadas por esta necesidad de interconexión a través de apps de videollamada o entretenimiento, digamos que a la hora de hacer un orden de prioridad se prioriza usabilidad por encima de seguridad. Y es justo en ese momento en el que se cometen los mayores errores. La seguridad no puede bloquear el negocio, pero tampoco puede dejarse en un segundo plano. La receta del éxito es un equilibrio entre Negocio-Ciberseguridad.
.
CyberSecuritynews | Noviembre 2020
34 Concienciación / Webinar
La importancia de la concienciación en ciberseguridad El pasado mes de octubre CyberSecurity News organizó un webinar el que se habló sobre el gran papel que juega la concienciación en ciberseguridad.
S
Texto: Alicia
Burrueco
e contó con la presencia de Nicolás Rodríguez Tolmo, Senior Advisor at NRT y autor del libro “¡Ciber-conciénciate!”, Ana Gómez, Head of Global Security Awareness at BBVA y Ana Belén Santos Pintor, Responsable de Servicios para Ciudadanos en INCIBE. Y moderando la mesa, Alicia Burrueco, redactora jefe de CyberSecurity News. Alicia dió inicio a la mesa redonda haciendo referencia a estos últimos meses señalados por el covid-19, tema que no podía faltar: “Bajo vuestra experiencia profesional, ¿Cómo diríais que ha afectado el coronavirus en la estrategia de seguridad de las compañías?” Ana Gómez contó que “En BBVA en los meses de confinamiento hemos hecho especial hincapié en la formación y concienciación, consiguiendo que entre esos meses en nuestras formaciones asistieron hasta 15.000 empleados”. Por otro lado, Ana Belén confirma que “La pandemia va a influir de forma muy importante en todas las compañías. Todos hemos sufrido el teletrabajo, y todavía nos faltan muchas mejoras en cuanto al avance tecnológico. En algunos casos los sistemas de seguridad han impedido que se pudiera seguir trabajando, y en otros casos han tenido que aflojarlos”. La siguiente pregunta realizada por la moderadora fue: “¿Es el factor humano el más vulnerable en la cadena de seguCyberSecuritynews | Noviembre 2020
ridad?”. Los tres profesionales estuvieron de acuerdo en que así es. Nicolás empezaba comentando que “Existe mucha tecnología para protegernos, pero la tecnología por sí sola no puede protegernos al 100%, lo más vulnerable es el fallo humano y la falta de concienciación en ciberseguridad de los empleados y los usuarios”. Ana Belen añadía “Más del 95% de las causas de sufrir un ciberataque es el factor humano. Todos somos vulnerables, y en la medida que tengamos más conocimiento de como nos quieren atacar seremos más o menos vulnerables”. Y Ana terminaba concluyendo que “Todos los empleados somos la primera línea de defensa, hemos decidido darle la vuelta al lema, para animar a seguir protegiendo y poner más cuidado a la hora de analizar si un correo es malicioso o no”. Nicolás nos habló sobre su libro “Cyber-conciénciate” y a que personas va dirigido. “Me he basado en mi experiencia profesional, vivimos en un mundo donde la tecnología afecta a cada una de nuestras tareas cotidianas, vivimos permanentemente conectados. Esto conlleva nuevos riesgos, y es muy importante conocer esos riesgos para estar más preparados a la hora de protegernos. El objetivo era ofrecer una base de ayuda en cuanto a la concienciación de ciberseguridad. Y también habla de futuro, de Internet, detallando algunos casos curiosos e impactantes que están por venir”.
Durante este CyberWebinar, Ana Belén, como Responsable de Servicios para Ciudadanos en INCIBE, comentó cuales son las dudas más comunes que se presentan si nos centramos en el ciudadano fuera del sector profesional. “Lo que más nos preguntan los ciudadanos cuando llaman al número de teléfono (017) de ayuda en ciberseguridad es sobre todo por incidentes relacionados con el fraude: la ingeniería social, phishing, falsas entregas, distorsión, estafas en internet…” Además, durante la mesa redonda de la CyberWebinar, también charlamos sobre qué técnicas o metodología funcionan mejor en concienciación, la necesidad de la gamificación, como se implementa una estrategia de ciberseguridad. Sobre el black friday (27 de noviembre), el futuro de la seguridad cibernética, y mucho más. Puedes volver a disfrutar de este CyberWebinar: La importancia de la concienciación en ciberseguridad, escaneando el siguiente QR. ¡No te lo puedes perder!
.
35
Chief Information Security Officer / Entrevista
“Un usuario con cultura de Ciberseguridad, es una herramienta muy poderosa en la prevención de ciberataques a nuestras organizaciones” Hablamos con Ana M. Castillo López. CISO en multinacional española. Texto: Alicia
Burrueco
CyberSecurity News (CsN): En primer lugar, vamos a empezar a hablar un poquito sobre tu trayectoria. ¿Cómo llegas a ocupar el puesto de CISO? Ana M. Castillo (AMC): Comencé mi trayectoria en el mundo de las telecomunicaciones.
Tras pasar por varias operadoras y multinacionales del sector del Contact Center como ingeniero y responsable de redes, pasé a gestionar equipos de ingeniería que diseñaban, ejecutaban y mantenían infraestructuras de redes, sistemas y voz y, poco a poco, fui paladeando mi fascinación por la ciberseguridad y la protección de datos. Al mismo tiempo, me embarqué en un proyecto personal en el que desarrollé un SaaS para la gestión de la ISO 27001 (www.sec4all.es) y eso me hizo entender aún más que la ciberseguridad y la gestión de riesgos posee un alcance, posibilidades de investigación y aprovechamiento, cercanos al infinito. Al ser consciente de la amplitud del espectro de estudio y dedicación que suponía, decidí dedicarme a gestionar la ciberseguridad a todos los niveles. CsN: ¿Qué peso crees que tiene la concienciación, en la ciberseguridad, en la estrategia global de una compañía? AMC: Me parece que es vital. Hace
mucho tiempo que se habla del “Insider threat”, o la amenaza interna, y creo que debemos desterrar un poco ese concepto, o al menos matizarlo para no ver al usuario como un enemigo, sino como un aliado poco informado. La concienciación debe diseñarse para el usuario, con objetivos claros y medibles, debemos preguntarnos, ¿cómo se mide la
concienciación? Yo lo tengo claro: debes preguntar, bien con encuestas, con quizz o con recursos gamificados, hasta averiguar cómo se enfrentan tus usuarios a situaciones potencialmente peligrosas, y entonces focalizar tus esfuerzos de concienciación en reforzarlos. Un usuario con cultura de Ciberseguridad, es una herramienta muy poderosa en la prevención de ciberataques a nuestras organizaciones. CsN: Cambiando un poquito de tema, los ciberseguros han llegado para quedarse. ¿Qué visión tienes sobre ellos? ¿Crees que todas las empresas deberían de contratarlos? AMC: Que los ciberseguros han llegado
para quedarse, es un hecho. Antes no se oía hablar de este tema, y ahora es raro la empresa que no lo ha valorado. Pero creo que estamos ante un asunto muy particular, que puede generar sentimientos encontrados entre los responsables de ciberseguridad, me explico: · Por un lado, nos encontramos con el alto coste de estos seguros, que un CISO podría considerar que debería ser invertido antes en otra partida de ciberseguridad, dedicada no tanto a paliar costes de una brecha, sino a evitarlas. · Por otro lado, es innegable que las juntas directivas de distintas áreas, al escuchar las estremecedoras presentaciones de las aseguradoras, que muestran perspectivas futuras repletas de ciberataques, con pérdidas millonarias y daños reputacionales, funcionan como otro tipo de campaña de concienciación, al hacerles entender la actual frecuencia y gravedad de los ciberataques, porque hablan el idioma del negocio y de la dirección. El problema que veo aquí, es que estoy segura de que hay empresas que ya tienen contratados seguros de responsabilidad ante ciberataques, o incluso les cubren
Ana M. Castillo López. CISO en multinacional española
jornadas profesionales para solucionar un caso de ransomware, cuando ni siquiera disponen de un firewall de última generación o de un producto de protección de sus equipos de trabajo en condiciones.
CsN: Y para terminar, ¿qué les dirías a todos los usuarios y empresas que están y van a seguir teletrabajando en esta nueva normalidad? AMC: El teletrabajo es una nueva frontera
para muchas empresas de este país. Si hace mucho tiempo hablábamos de extender el perímetro de seguridad a la nube, ahora el perímetro se ha roto, ha saltado en pedazos, y debemos ser rápidos en reconstruirlo. Para ello, es imprescindible contar con el usuario, que es inteligente, quiere ayudar y está interesado en contribuir a la ciberseguridad. Y no sólo debemos ofrecerle herramientas tecnológicas para que lo haga, también hemos de robustecer las infraestructuras que soportan la carga del teletrabajo, puesto que la disponibilidad de este servicio ahora mismo está asegurando la continuidad de los negocios a nivel mundial. Las empresas deben asumir un cambio de mentalidad, el teletrabajo ya no es una opción o beneficio en el que, si falla, hay un plan B trabajando en la oficina, porque en muchos casos, el plan B no es factible en el escenario actual.
.
CyberSecuritynews | Noviembre 2020
36 Telecole / Concienciación
“La concienciación efectiva como elemento clave” Tuvimos el placer de hablar con Facundo Gallo, CISO en Castro Alonso, sobre la concienciación en ciberseguridad y sobre el teletrabajo y el telecole como nueva normalidad. Texto: Aina Pou Rodríguez
Cyber Security News (CSN): Para mantener unas medidas robustas de ciberseguridad es necesario que tanto los directivos como los empleados estén concienciados de los posibles riesgos y peligros que puede sufrir la organización. ¿Cómo se puede concienciar de manera efectiva en cuestión de ciberseguridad a los empleados? Facundo Gallo (FG): Como la efecti-
vidad de los ataques externos depende del descuido de los empleados, es necesario desplegar un plan de concienciación para educar ante los posibles escenarios de riesgo que puedan darse en la organización. El primer paso para que el plan de concienciación sea efectivo es medir el estado actual, esto es, conocer las necesidades de cada grupo de usuarios, mediante entrevistas, encuestas… y la consecuente aplicabilidad de las políticas de seguridad, dando como resultado un enfoque objetivo que nos indique qué carencias formativas o culturales existen y por tanto hacia dónde destinar recursos para la concienciación. Abordar la transferencia de conocimientos dependerá del tipo de usuarios. Por una parte, el cuerpo directivo debería ser consciente de los riesgos tecnológicos a los cuales se enfrenta la organización, por otro lado, el conjunto de empleados debería tener conocimiento de las políticas de seguridad, donde consultarlas y cuando entran en vigor, pero probablemente desconocen su detalle y por ende, cómo aplicarlas. Existen diversos recursos formativos que podrían aplicarse para mejorar la “ciber-higiene” o los hábitos saludables de seguridad, y uno de ellos es aplicar dinámicas de grupo donde cada equipo asume un rol distinto ante situaciones cotidianas que dan como resultado un ataque efectivo a la organización. CsN: Con los más pequeños de la casa es aún más complicado, ¿Cómo se puede concienciar tanto a los niños como a los padres de que deben hacer un uso correcto de los dispositivos para la docencia online? FG: Deberían trasladarse los riesgos tecnoCyberSecuritynews | Noviembre 2020
lógicos con la aplicación de una metodología de aprendizaje efectiva; la clave siempre se encuentra en captar la atención de los usuarios para que el mensaje tenga el alcance necesario, pero sin olvidar que aquí se trata de niños y ellos lo que quieren es simplemente divertirse. Si sabemos que los niños cuando juegan no lo hacen para aprender, sino que aprenden mientras juegan, apliquemos entonces el sentido común para que se enfrenten a situaciones simuladas donde no haya castigos por equivocarse, sino que los errores sean parte del proceso de aprendizaje. Está en nuestra responsabilidad como padres transmitir adecuadamente los conceptos a nuestros hijos desde edades tempranas, porque los fundamentos sociales se aprenden de pequeño, pero también debemos tomar las medidas preventivas oportunas. En este sentido, existen organismos públicos que ofrecen guías de apoyo para comprender los conceptos esenciales y aplicar todo mecanismo de control parental.
CsN: ¿Cómo se puede enseñar a los empleados a prevenir los ciberataques desde sus dispositivos personales? ¿Y a los alumnos de los colegios? FG: De cara a los niños de 3 a 10 años,
existen numerosas ventajas de aplicar técnicas de gamificación conjuntamente con otros elementos pedagógicos más tradicionales. De esta forma, encontramos muchos recursos en internet que pueden ayudar a los profesores para generar contenido interactivo, es el caso de Cerebriti o Genial.ly. Cuando nos referimos a adolescentes la dinámica cambia, pues resulta necesario generar un cierto impacto emocional y ponerse en su lugar; no hace mucho fuimos todos adolescentes y resulta necesario reconectar con aquella etapa para adecuar nuestro discurso hacia algo que no les resulte ajeno, porque la tecnología ha avanzado, ha creado nuevos enemigos, pero las sensaciones primarias, miedos e inseguridades, siguen siendo los mismos. Cuando hablamos de empleados, hablamos de planes de concienciación derivados de
Facundo Gallo, CISO en Castro Alonso
un plan estratégico de seguridad, pero las herramientas no difieren tanto del mundo de los más jóvenes, hablamos aquí de talleres, cursos, newsletter, pero también juegos de rol, porque no es lo mismo contarlo que vivirlo.
CsN: De cara al nuevo escenario profesional que se plantea, es clave contar con una estrategia de seguridad sólida, robusta y eficaz para garantizar que todos los activos corporativos se encuentran a salvo de las ciberamenazas del mundo digital, ¿Cómo plantearía esta estrategia de seguridad? FG: La transformación digital es inevi-
table, pero es una carrera a contrarreloj y totalmente dispar; como punto en común para trazar un plan estratégico de seguridad comenzaremos por un trabajo de humildad que nos permita situar en qué estado de madurez nos encontramos actualmente, y a la vez ubicar el horizonte hacia donde necesitamos llegar para alcanzar las metas de negocio. Además, no todas las empresas tienen los recursos necesarios para llevar a cabo un plan de seguridad que se adapte a sus necesidades; en esta dirección existen entidades sin ánimo de lucro que brindan soporte de asesoría con el respaldo de empresas dedicadas íntegramente a la ciberseguridad. Por último, las empresas que hayan ingresado en la nueva normalidad se verán obligadas a reactivar el teletrabajo. Hacer una re-evaluación de los controles de seguridad es un punto de partida necesario, porque no conoce su historia, está obligado a repetirla.
.
37
Concienciación / Santander Asset Management
“En el sector bancario la concienciación de empleados y clientes es algo primordial” Tuvimos el placer de charlar con David Matesanz, Global CISO en Santander Asset Management sobre la concienciación en seguridad cibernética tanto por parte de los clientes como de los empleados y la ciberseguridad en el sector bancario. CyberSecurity News (CsN): Una de las piezas clave para estar protegidos de posibles ciberataques es la concienciación de los empleados, ¿En el sector bancario hay un buen plan de concienciación? David Matesanz (DM): La conciencia-
ción en ciberseguridad es algo que me ha sorprendido muy gratamente desde mi llegada al sector bancario. Todos los empleados tienen una cultura de riesgos bastante desarrollada, conciben el riesgo ciber como algo muy relevante. Adicionalmente, hay una gran sensibilidad desde la Dirección, lo que conlleva que medidas de seguridad que, en otros sectores, son impensables en la Banca se implementan rápidamente y todo el mundo entiende que son necesarias. Hay campañas de concienciación temáticas, cursos online, charlas, simulacros de phishing…etc., todo de una manera muy constante, lo que hace que todos los empleados tengamos la ciberseguridad muy presente y no se entienda como una “moda” pasajera. CsN: ¿Cuál o cuáles cree que son los fallos humanos, de seguridad, en que los trabajadores caen más fácilmente? ¿Qué se puede hacer para evitarlo? DM: Los ciberdelincuentes cambian y
evolucionan, los ataques son cada vez más sofisticados pero, al final, siempre aprovechan los mismos fallos: engañar a los empleados para que pinchen en un link o revelen información, contraseñas débiles, configuraciones vulnerables por defecto y falta de parcheado... Caemos una y otra vez en los mismos errores, emails que nos dicen que tenemos un paquete que no tenemos, o que nos piden urgentemente que hagamos algo fuera de lo normal, o que nos ofrecen algo a cambio de que pinchemos en un link.
5 consejos para la ciberseguridad: “Protege tu información y tu equipo”, “Se discreto online y en público”, “Piensa antes de hacer click o responder”, “Mantén tus contraseñas seguras” y “Si sospechas, repórtalo”. CsN: Los bancos y los servicios financieros se han convertido en unos de los objetivos preferidos de los ciberdelincuentes, ¿Cuáles son las principales amenazas que afectan al sector financiero? DM: Los servicios financieros han sido
desde siempre uno de los principales objetivos de los ciberdelincuentes. Allí donde haya dinero habrá siempre amenazas que intentan aprovechar todas las vulnerabilidades para manipular o vulnerar los sistemas de pago, realizar ataques dirigidos a altos cargos, o personal con capacidad de realizar transacciones económicas, o “simplemente” utilizar ransomware para secuestrar la información.
CsN: Los ciberdelincuentes han aumentado tanto en número como en nivel de sofisticación sus ataques contra entidades bancarias, y además han encontrado nuevas vías que van más allá de robar los datos de los clientes. ¿En qué consisten esas nuevas vías y cómo pueden prevenirse? DM: “Los atacantes sólo tienen que
aprovechar una vulnerabilidad una vez, mientras que nosotros tenemos que defender todas las vulnerabilidades todo el tiempo”. Cada vez usamos más servicios digitales, y tenemos más dispositivos conectados. Las vías realmente las abrimos nosotros. En cuanto a la sofisticación, la ciberdelincuencia se ha profesionalizado hasta el punto de que se ofrece como servicio al alcance de cualquiera. Existen auténticos modelos de negocio dedicados a la ciberdelincuencia. Esto es clave para entender
David Matesanz, Global CISO en Santander Asset Management
por qué el riesgo en ciberseguridad no para de crecer. La manera de reducir este riesgo es defender todas las vulnerabilidades durante todo el tiempo o bien cerrar estas vías, y dejar de usar servicios digitales y estar hiperconectados, lo cual creo que no es una opción, o bien desarrollar toda una estrategia de ciberseguridad acompañada del soporte y el talento necesario. CsN: Por último, ¿Cuáles son los retos del futuro que se prevén en el sector banca en cuanto a ciberseguridad? DM: La digitalización, es el principal reto
y la facilidad de uso y la velocidad son una prioridad. El reto es estar en la cresta de la ola en todo momento, defender todas las vulnerabilidades todo el tiempo y adaptar nuestras defensas a la evolución de las amenazas y los atacantes. Se trata de una carrera de fondo y sin descanso. No quiero terminar sin mencionar como reto, la creación y atracción de talento. Esto es un reto no solo del sector bancario sino de todo el país. Al final, no debemos olvidar que detrás de todas las tecnologías, sistemas, procesos, hay personas que requieren de una alta cualificación y que, a día de hoy, escasean. Si queremos estar a la altura de los ciberataques, debemos ser capaces de generar y atraer ese talento, y esto es algo que no se consigue a corto plazo.
.
CyberSecuritynews | Noviembre 2020
38 CISO en SCRM Lidl
“La ciberseguridad sigue siendo un segundo plato para la mayoría de las empresas del ecosistema español.” Hablamos con Xavier Bertomeu, CISO en SCRM Lidl Digital International Hub. Texto: Alicia
Burrueco
CyberSecurity News (CSN): Vamos a conocerte un poquito, ¿quién es Xavi Bertomeu? Xavier Bertomeu (XB): Xavi Bertomeu
tiene 30 años, estudió ingeniería superior de telecomunicaciones, cursó un máster en dirección de proyectos y es un apasionado del mundo digital. Ha pasado por distintos roles en distintas compañías: ingeniero de redes y sistemas en Mediapro y Colt, project manager de arquitectura de seguridad en ITNow! prestando servicio a La Caixa, consultor de seguridad de la información en Ernst & Young prestando servicio al sector banca y aseguradoras, CEO/CTO de un par de proyectos digitales propios, Head of Security en AXA Digital y CISO en SCRM Lidl Digital International Hub. Un episodio de cyberbulling que le ocurrió cuando era adolescente le hizo querer entender más sobre el mundo de la ciberseguridad y luchar contra el cibercrimen. CsN: ¿Crees que la ciberseguridad ha cobrado más importancia en tiempos del COVID-19? XB: Por supuesto, el hecho de que las
empresas hayan empezado a trabajar remotamente ha hecho que el número de ciberataques se haya incrementado de forma exponencial, poniendo máximo foco en ciberamenazas vía social engineering (campañas de phishing). Ha afectado también a plataformas de streaming como Zoom y protocolos asociados al teletrabajo (p.ej. RDP). CsN: Los ciberataques al sector sanitario se han visto incrementados en estos últimos meses, ¿cuáles pueden ser las diferentes motivaciones de los ciberdelincuentes, además del dinero? XB: En primer lugar, remarcar mi profunda
preocupación y decepción por esta situación, hace unas semanas vimos como moría una mujer en Dusseldorf (Alemania) por un ataque de ransomware que colapsó las urgencias del hospital, tuvieron que trasladarla y no llegaron a tiempo. Creo CyberSecuritynews | Noviembre 2020
que debemos empezar a darnos cuenta de la importancia de la ciberseguridad y más cuando hablamos de vidas humanas… El sector de la salud cumple un rol vital para el bienestar de la sociedad y esto lo convierte en un blanco perfecto para la extorsión (recordemos el caso de ransomware de WannaCry de 2017 que afectó a muchísimos hospitales). La interrupción en los servicios hospitalarios tiene un impacto importante y esto genera la necesidad de resolver con urgencia cualquier tipo de incidente, lo cual es un punto a favor en la negociación para un cibercriminal. Pero también otros aspectos lo hacen un blanco “goloso” para los cibercriminales, como son la falta de capacitación en seguridad de los profesionales de la salud; la existencia de múltiples vulnerabilidades por el uso de software obsoleto; la multiplicidad de dispositivos IoT que se usan y por supuesto la sensibilidad de la información que se maneja. CsN: ¿En qué nivel de ciberseguridad están las empresas españolas? ¿Están protegidas frente a ciberataques? XB: Aunque la pandemia ha propiciado
que el mercado de la ciberseguridad mejore en España (se estima que habrá un 6% más de inversión con respecto el año anterior según fuentes oficiales), estamos muy por debajo de lo ideal y necesario. La ciberseguridad sigue siendo un segundo plato para la mayoría de las empresas del ecosistema español. Hay que generar más concienciación y entender mejor los riesgos e impactos que se pueden generar por no tener un buen programa de seguridad de la información bien implementado. Es importante remarcar que la seguridad no hace que ganes dinero, pero sí que no lo pierdas… Aun así, no hay que señalar únicamente al sector empresarial, la ciberseguridad suele ser costosa económicamente y si hubiera más subvenciones y ayudas públicas sería de más fácil acceso para pequeñas empresas y PYMES. CsN: Dejando a un lado la parte del teletrabajo y para terminar, muchos
Xavier Bertomeu, CISO en SCRM Lidl Digital International Hub usuarios son víctimas a través de dispositivos móviles… ¿Han cobrado más importancia en los últimos años los móviles? ¿Qué medidas de seguridad podemos tener en cuenta en la navegación móvil? XB: Vivimos en un mundo de transfor-
mación digital, el uso de los smartphones se ha incrementado exponencialmente en los últimos años y esto evidentemente implica que cada vez existan más vulnerabilidades en las aplicaciones móviles que utilizamos en nuestro día a día (y más interés por parte de los cibercriminales). A nivel de desarrollo software es importante revisar la seguridad en el código (ya sea propio o de terceros), seguir buenas prácticas y pasar revisiones de seguridad periódicas del producto digital en cuestión. A nivel usuario, siempre recomiendo que leamos la letra pequeña, no sabemos en la mayoría de casos que es lo que se hace con nuestros datos (ni quien)… Es importante además hacer un buen uso de la tecnología, entender cuales son los principales riesgos y buscar formas de protegernos ante ellos. Algunos tips por mi parte: utilizar como mínimo un segundo factor de autenticación en aplicaciones que contengan datos sensibles y/o personales, no conectarnos a WiFis públicas y/o sin password, acceder siempre a websites seguras (https), actualizar nuestros sistemas operativos a las últimas versiones, disponer de un antivirus, analizar bien nuestros correos para evitar ataques de phishing, descargarnos aplicaciones confiables (a ser posible de páginas o stores oficiales)…
.
39
#QuédateenCasa
Carlos Seisdedos, experto en ciberinteligencia y ciberterrorismo
Antonio Gil Moyano, Director del Máster en Ciberseguridad
Alejandro Banégas, Director de Desarrollo de Negocio en Mastercard Alberto López, Director de Ciberseguridad y Soluciones Digitales en Mastercard
Manuel Abellán, profesional del sector TI y ciberseguridad
Mónica de la Huerga, CISO de Sopra Steria
CyberSecuritynews | Noviembre 2020
40 Meridional Seguros
“Para enfrentar a un caso de siniestro cibernético hay que tener un plan de respuesta ante incidentes que esté documentado y probado” Hablamos con Ricardo Federico Colque, CISO de la empresa Meridional Seguros, que nos da su visión de la ciberseguridad en el sector seguros. Texto: Alicia
Burrueco
CyberSecurity News (CsN): Antes que nada, vamos a conocerte un poquito. ¿Quién es Ricardo Federico Colque? Ricardo Federico Colque (RFC):
Ricardo Federico Colque es una persona del interior de Argentina apasionado por los Sistemas de Información que le gusta pasar tiempo de calidad con su familia, cuando tiene tiempo libre le gusta leer y que también le gusta (y extraña) viajar. CsN: Muchas personas han tenido que teletrabajar debido al COVID19, ¿crees que si las empresas hubieran tenido concienciados a sus trabajadores se podrían haber evitado muchos ciberataques? RFC: Creo que los ciberataques se
habrían producido de todas maneras, de igual modo creo que los impactos de esos ciberataques habrán resultado menores en aquellas empresas donde los empleados remotos tienen un nivel de concientización maduro con respecto a los riesgos de ciberseguridad, como por ejemplo mayor conocimiento de las técnicas de engaño de ingeniería social. CsN: El ransomware es una de las amenazas que más preocupan a las empresas, ¿qué protocolo deberían de seguir las empresas, tanto para prevenirlo como para mitigarlo? RFC: Las empresas deberían tener
medidas de protección para detectar y en lo posible detener las amenazas de ciberseguridad en general, incluyendo al ransomware. En otras palabras, contar con un plan de respuesta ante ciber incidentes, contemplando un escenario para ransomware. Particularmente para el ransomware, deberían implementar medidas preventivas como entrenar al personal con respecto a las amenazas ciberCyberSecuritynews | Noviembre 2020
néticas, contar con una “línea de defensa tecnológica” que incluya desde FWs, AVs hasta detección de intrusiones, contar con procesos de seguridad implementados, como parcheos y detección de vulnerabilidades y tener preparado el plan de respuesta ante ciber incidentes, entre otras. CsN: Es cierto que los seguros cibernéticos están teniendo un gran crecimiento pero todavía están muy lejos de otros tipos de seguros…¿Cuándo crees que será el boom? RFC: Los seguros cibernéticos están
presentes en el mundo corporativo desde hace un tiempo considerable y en los últimos años han tenido un crecimiento mayor al habitual, pero como bien expresas, sin llegar a los niveles de otros tipos de seguros. En base a algunos estudios y encuestas a empresas de diferentes industrias, se proyecta un ritmo de crecimiento aún mayor para los próximos 5 años, ¿será un boom?; no lo sé... en todo caso serán masivos cuando las organizaciones consideren a los riesgos cibernéticos al mismo nivel que otros tipos de riesgos. CsN: ¿Cómo dirías que hay que enfrentarse a un caso de siniestro cibernético? ¿Son muchos los gastos que esto conlleva? RFC: Para enfrentar a un caso de
siniestro cibernético hay que tener un plan de respuesta ante incidentes que esté documentado y probado, y que contemple escenarios posibles de siniestros cibernéticos. Lógicamente, los gastos asociados a solucionar un siniestro cibernético estarán en relación al impacto y la complejidad del siniestro, por un lado y a la efectividad del plan de respuesta ante incidentes, por otro lado. Mientras más preparado sea el plan, se espera que haya menos gastos por actividades de recuperación.
Ricardo Federico Colque, CISO de la empresa Meridional Seguros
Los gastos en un caso de siniestro cibernético van desde costos por restauración de datos, reclamos de terceras partes, multas de reguladores, costos de investigación, costos de notificaciones, además de los costos por interrupción del negocio, dependiendo del tipo y magnitud de siniestro. CsN: ¿Qué consejo le darías a las PYMES que cuentan con poco presupuesto para ciberseguridad? RFC: Mi principal consejo es que reco-
nozcan que las amenazas cibernéticas son reales y que sus empresas no están exentas de esos riesgos, que revisen periódicamente sus riesgos cibernéticos. Otro consejo es que inviertan tiempo y dedicación en la educación de sus empleados con respecto a la ciberseguridad, que aprovechen los recursos gratuitos que hay en Internet (INCIBE por ejemplo), que tienen excelentes recomendaciones específicas para industrias en donde probablemente encuadre una PYME. Adicionalmente, existe material gratuito de buena calidad en Internet, en Linkedin por dar un ejemplo. Y por último que consideren contratar una póliza de ciberseguros que los ayude a mitigar el impacto en el caso de un ciber-siniestro.
.
41
Especial
Ciberseguros
CyberSecuritynews | Noviembre 2020
42 Ciberseguros / Coberturas
¿Por qué un ciberseguro? El nuevo salvavidas de las Pymes Los ataques de ransomware crecieron en España un 160% en el tercer trimestre. Texto: Redacción de
A
CyberSecurity News
sí lo afirma uno de los últimos estudios de grandes compañías como CheckPoint. Pero no solo hablamos de ransomware sino que las demás variedades de malware se han visto intensificadas durante este atípico año 2020 en el que la improvisación ha sido el escenario común tanto en el plano personal como profesional. Es por ello por lo que las empresas, en pleno auge del teletrabajo han adquirido quizás un mayor grado de conciencia en cuanto a los ciberriesgos y por ende, esto les ha conducido hacia la pregunta: ¿puedo transferir el ciberriesgo?, siendo la respuesta clara que sí. ¿Por qué un ciberseguro? A día de hoy, prácticamente cualquier gran empresa cuenta con un ciberseguro CyberSecuritynews | Noviembre 2020
contratado a sus características por lo que la visión del mercado se centra sobre todo en las pymes. Y es que, como cualquier lector puede imaginar, un ciberataque en una pyme puede llegar a provocar su cierre. Así pues y ante la pregunta de por qué contar con un ciberseguro en una pyme, sin duda la respuesta más corta y clara es porque así se transfiere el ciberriesgo, pudiendo asegurar la continuidad del negocio tras un ciberataque o al menos aumentar la probabilidad de la continuidad del negocio. Pero vayamos más allá y desglosemos aquellas ventajas para pymes y autónomos que aportarían las coberturas de dichos ciberseguros. Hablamos de protección (principalmente reactiva y en algunos casos también preventiva), frente a: - Diferentes tipos de malware
- Errores humanos - Suplantación de identidad - Extorsión digital - Responsabilidad civil provocada por la violación de datos y la posible multa ante la AEPD - Interrupción del negocio - Daño reputacional - Fraudes informáticos Aún podemos decir que el mercado de los ciberseguros en España no está completamente maduro pero los productos actuales ya ofrecen coberturas ajustadas a las necesidades y características de las pymes, cubriendo en caso de un ciber incidente, muchas casuísticas. Además de todas las coberturas mencionadas, no podemos dejar atrás el servicio de asesoramiento y ayuda 24x7 que muchos ciberseguros ofrecen.
.
MGS Ciberseguridad
43
para pymes y despachos profesionales 1
PREVENCIÓN CIBERPROTECCIÓN:
2
Protección y monitorización remota permanente de ordenadores. Informe de vulnerabilidades en la web
RESPUESTA GESTIÓN DE INCIDENTES
en ciberseguridad y concienciación en ciberseguridad para empleados.
3
COSTES PACK DE GARANTÍAS INDEMNIZATORIAS:
servicios legales, gastos de notificación, restitución de imagen, ciber extorsión, entre otras.
Para más información, remite un mensaje a clientes@mgs.es visita nuestra web o consulta a uno de nuestros agentes.
CyberSecuritynews | Noviembre 2020
44 Ciberseguros / Empresas, hogares, coches...
Ciberseguros para empresas… ¿Y para quién más? Texto: Redacción
L
de
CyberSecurity News
os ciberseguros constituyen un producto de futuro necesario cada vez más demandado pero no nos equivoquemos, su límite no está en el ámbito empresarial. Cada año encontramos nuevas aseguradoras que se lanzan al reto de la ciberseguridad para abarcar todas las pequeñas y medianas empresas que actualmente ya demandan y que demandarán mucho más en un futuro próximo, los ciberseguros. Un nicho empresarial claro: Microempresas
En este sentido, las aseguradoras conocen cuál es su próximo gran nicho empresarial: las microempresas denominadas. Estas constituyen más del 94% del tejido empresarial español y cuenta con ciertas ventajas: Son más fáciles de valorar pues su actividad y activos digitales son mucho más limitados que en las grandes empresas y son muchas más. En el otro lado de la balanza encontramos a los ciberdelincuentes quienes por supuesto también ven cada vez más atractivas a este tipo de empresas pues su inversión en ciberseguridad normalmente es inexistente. De esta manera, los nuevos productos que salen al mercado (ciberseguros) tienen un claro enfoque hacia estas microempresas con coberturas más básicas a precio desde unos 300 euros anuales. ¿Pero son las microempresas y las pymes el único recipiente futuro de los ciberseguros? ¡No! Más allá de las empresas…¡Ciberseguros para todos! CyberSecuritynews | Noviembre 2020
El avance imparable de la tecnología y la consiguiente digitalización de la sociedad, dibuja una línea cada vez más clara sobre las necesidades futuras de los clientes en el sector del seguro y esta línea está claramente marcada por la ciberseguridad. Para podernos plantear cómo podría ser este futuro próximo de los ciberseguros debemos imaginar un contexto más avanzado del presente donde la tecnología 5G estará implementada al 100% y la conectividad será mucho mayor. En ese contexto hablaremos de casas super inteligentes, coches inteligentes, ciudades inteligentes con las que podremos interactuar y cuyos activos principales funcionarán gracias a Internet. También hablaremos de hospitales inteligentes… En definitiva, la mejora de las conexiones y la aplicación de la inteligencia artificial a todo el contexto social nos conducirá a una vida casi plenamente digital. Así pues, ¿qué sentido tendría enfocarse únicamente en cubrir los ciberataques en microempresas? ¡Aquí van 5 líneas de futuro para los ciberseguros! · Ciberseguros para microempresas y pymes: Son los ciberseguros actuales los cuales deben seguir mejorando en personalización y coberturas. · Ciberseguros para grandes empresas: Existen igualmente en la actualidad y requiere de un gran esfuerzo por ambas partes de cara a identificar los riesgos definir unas coberturas personalizadas así como una póliza acorde a dicho nivel de riesgo. · Ciberseguros para hogares: Las familias cada vez realizan más vida en Internet y no hablamos solo de las compras online. Los muchos dispo-
sitivos IoT que conforman su hogar también pueden verse afectados por ciberataques. Aunque pocos, ya hay ciberseguros personalizados para particulares que cubren parte de su vida en internet como las compras. ¿Podríamos hablar de una transformación del seguro de hogar o de un nuevo producto independiente? · Ciberseguros para coches: No ya pero sí en un futuro. Coches actuales con mayor conectividad a Internet ya han demostrado ciertas vulnerabilidades cibernéticas. En dicho contexto futuro, podría hablarse de muchas otras consecuencias derivadas de un ciberataque a un coche. Es por ello por lo que nos hacemos la misma pregunta que en el punto anterior. ¿Podríamos hablar de una transformación del seguro de coche o de un nuevo producto independiente? · Ciberseguros para ciudades: En EE.UU. sobre todo hemos podido ver ya numerosos casos de ciudades que han sido secuestradas. Y es que cada vez hay más ciudades cuyos activos principales son digitales. ¿Nos imaginamos una ciudad donde no funcione el alumbrado? ¿Los semáforos? Las ciudades y los ataques en conjunto a dichas ciudades podrían suponer consecuencias que por sus características deberían considerarse de forma independiente en forma de ciberseguro para ciudades. · Ciberseguros sanitarios: Igualmente ya hemos podido ver numerosos casos de ciberataques a hospitales. También existen numerosos dispositivos sanitarios que se conectan a Internet como los marcapasos. En el futuro la digitalización en torno al mundo sanitario será mayor por lo que… ¿debemos hablar de un ciberseguro de salud o de una transformación del seguro de salud actual?
.
45
Ciberseguros / MGS Seguros
Ahora más que nunca: ciberseguridad MGS Seguros, con su renovado producto de ciberseguridad, ofrece una solución sólida a profesionales y empresas.
L
Texto: MGS Seguros
a situación actual ocasionada por la pandemia del COVID-19 ha puesto de manifiesto la importancia de la ciberseguridad como uno de los sectores del ámbito TIC en auge. Los ciberataques se han intensificado y se han sofisticado a la vez que lo hacen los avances tecnológicos y se ha generalizado la implementación intensiva del teletrabajo que implica una mayor vulnerabilidad. Entre sus ataques más frecuentes aparecen la paralización de las redes informáticas y el bloqueo del sistema de las empresas, quedando totalmente suspendida su actividad, sin olvidar la suplantación de identidad o el robo de información crítica para el negocio contenida en sus equipos informáticos. Un producto oportuno MGS Seguros no es ajeno a esta creciente necesidad y el año pasado lanzó al mercado el producto MGS Ciberseguridad. En abril, tras más de un año de excelente acogida comercial, este se renovaba mediante una nueva versión para ofrecer un plus de protección a sus clientes y mejorar su ya excelente competitividad. Así, la nueva versión del producto ofrece una protección integral frente a los principales riesgos cibernéticos a los que puedan enfrentarse pymes y autónomos, sean causados por ataques externos o por negligencia de los empleados y que pueden reportar pérdidas económicas, reclamaciones de terceros, sanciones o crisis reputacionales. Con las mejoras en el producto, MGS reafirma tener una solución innova-
dora y totalmente diferenciadora en el mercado. El nuevo producto mantiene su principal activo de prevención y protección, al tiempo que refuerza su componente indemnizatorio ante los posibles perjuicios al cliente ocasionados por un ataque a sus sistemas informáticos. Así pues, MGS Ciberseguridad ofrece a empresas y profesionales una protección 360º frente a los posibles riesgos cibernéticos con acompañamiento antes, durante y después del posible ataque. El producto dispone de una cobertura básica de primer nivel que incluye la protección y monitorización de todos los ordenadores para minimizar el riesgo de sufrir las consecuencias de un ataque. Asimismo, en caso de incidente de ciberseguridad se dispone de los mejores especialistas para su gestión. Esta combinación de servicios clave, se complementa con contenidos digitales que se facilitan al cliente para contribuir a mejorar la concienciación en ciberseguridad de sus empleados. En un segundo nivel, el producto incluye coberturas opcionales que permiten reducir el impacto económico en caso de un incidente de ciberseguridad llevado a cabo por un tercero, como son: Servicios Legales, Restitución de Imagen, Gastos de Notificación, Obligaciones en materia de protección de datos, Responsabilidad por uso y tratamiento de información, Actividades en medios digitales, Extorsión Cibernética, Interrupción de las redes y Proveedor externo de servicios. Con MGS Ciberseguridad, se pone al alcance de la pequeña y mediana empresa o despacho profesional los servicios de líderes en el sector como
son Ackcent Cybersecurity, partner de primer nivel con el que ha contado la aseguradora para el desarrollo de una solución a un precio muy competitivo. Una opción atractiva de presente y futuro Es evidente que internet ha abierto una ventana de infinitas posibilidades que está siendo determinante para el desarrollo económico y social de este siglo XXI, pero es necesario tomar conciencia de que conlleva nuevos riesgos. Las empresas se deben proteger para que esta enorme oportunidad pueda ayudarles en un momento de gran incertidumbre, donde la necesidad de aplicar medidas preventivas sólidas en el campo de la ciberseguridad se ha convertido en una urgencia. El boom que estamos viviendo en ciberdelincuencia exige una mayor concienciación frente a este tipo de riesgo. Sin ninguna duda, actualmente todas las empresas que dispongan equipos conectados en red, independientemente del tamaño que tengan, están expuestas a este tipo de ataques y tienen la necesidad de invertir en ciberseguridad. Con las mejoras incorporadas, MGS Ciberseguridad se consolida como una inmejorable solución aseguradora para abordar la protección de profesionales y empresas frente a los cada vez más frecuentes ataques a sus equipos y sistemas informáticos, con un amplio abanico de garantías y opciones de contratación que lo sitúan en lo más alto de las actuales ofertas del mercado. Para obtener más información, pueden acceder a la página web de MGS Seguros, www.mgs.es o enviar un correo a clientes@mgs.es.
.
CyberSecuritynews | Noviembre 2020
46 Cyber Insurance Day
Más de 600 espectadores en la I Edición del Cyber Insurance Day El pasado 18 de junio arrancaba el Cyber Insurance Day abriendo las puertas de un increíble mundo digital al que accedieron de forma concurrida cientos de profesionales del sector seguros y ciberseguridad.
E
Texto: Alicia
Burrueco
n mitad del confinamiento que originó la pandemia del Covid-19, CyberSecurity News no quiso dejar pasar la oportunidad de organizar el I Congreso Nacional entorno al Ciberseguro. Para ello, se contó con una de las plataformas de eventos virtuales más innovadoras hasta el momento. Una plataforma que nos permitió compartir con todos los asistentes una experiencia 3D totalmente inmersiva. El Cyber Insurance Day 2020 estaba dividido en dos días. En ambas se unían el sector de la ciberseguridad y el sector de los seguros, las cuales han tenido una gran acogida. Y es que, a lo largo de las dos jornadas, más de 600 personas crearon su avatar y estuvieron en el mundo virtual del Cyber Insurance Day. En el CID cualquier avatar o usuario podía interactuar fácilmente con el resto de asistentes a través de la voz, como CyberSecuritynews | Noviembre 2020
si de un evento presencial se tratase. Y por supuesto, un evento sin barreras y es que en esta primera edición pasaron asistentes de diversos países como Colombia, México, EE.UU, Chile, República Dominicana y por supuesto, España. Aseguradoras Los encargados de inaugurar el evento fueron los representantes de MGS Seguros y de Ackcent. Ellos eran Daniel Vila, Director Técnico en MGS Seguros y Lluis Vera, CEO de Ackcent. Ambos abordaron los detalles de su ciberseguro así como el caso de éxito que comprende la alianza entre la aseguradora y la empresa de ciberseguridad citada. La primera mesa redonda estaba compuesta por aseguradoras: Javier Casells Galindo, suscriptor senior Cyber y Responsabilidad Civil Allianz Seguros, Marcial Fernández, Director de Operaciones y Organización en Asociación ICEA, Sanae Blanco, Cyber
Team Leader de Chubb en España y Portugal, Daniel Vila, Director Técnico en MGS Seguros y Alan Abreu, Responsable Técnico Cyber at Hiscox España. «Depende de la valentía del equipo directivo, de la empresa que tenga el equipo para justificar la toma de decisiones«, respondía Abreu a la pregunta sobre cómo fue el proceso de entrada al nicho de los ciberseguros. Por otra parte, Blanco decía que «Llevamos a nivel mundial casi 20 años haciendo ciber, nacionalmente fuimos pioneros hace 15 años«. Por otro lado y ante el por qué aún hay muchas aseguradoras sin un ciberseguro en el portfolio, Casells respondía que «la incertidumbre en general sobre los riesgos, el mercado inmaduro, la novedad del producto… entre otras cosas, hace que algunos estén todavía pensando en si entrar o no aunque acabarán entrando en el sector«. Una respuesta que coincidía con su compañero de mesa Vila, quien alegaba
47
Eventos que «hay muy poca información en el mercado, está poco maduro. Por ello es importante seguir trabajando la concienciación.» Ciberseguridad Además de las aseguradoras, la ciberseguridad fue la otra gran clave de la primera edición del #CID20, empezando con una perspectiva de las amenazas y tendencias del sector actuales y de futuro así como la minimización de riesgos a través de la prevención que fue abordada por Juan Bautista López, Channel Account Manager Check Point Iberia. Igualmente, tuvimos la oportunidad de adentrarnos más a fondo en el mundo de la ciberseguridad, en los detalles de la prevención, las estadísticas, motivaciones de los ciberdelincuentes, consecuencias de los ataques y mucho más, junto a profesionales del sector como Mar López. Jefa de la Unidad de Ciberseguridad y lucha contra la Desinformación del Departamento de Seguridad Nacional, Javier Candau, Jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional, Mario García, Country Manager Iberia at Check Point y Marco Antonio Lozano, Responsable de Servicios de Ciberseguridad para Empresas y Profesionales de INCIBE. Una mesa que fue moderada por Pedro Pablo Merino, socio director de CyberSecurity News. La protección de los procesos y personas como clave para reducir el y mitigar los riesgos tecnológicos es una de las temáticas que más interesan en la actualidad a las aseguradoras en su gestión de los ciberseguros y fue precisamente Alejandro Guerrero Presidente de la sociedad tecnológica Resiliente Digital quien nos habló de ello en el #CID20. Mediadores El Cyber Insurance Day contó también con el tercer pilar en el nicho de los ciberseguros: los mediadores. Unos mediadores que coincidieron en la profunda necesidad de formarse y concienciarse muy bien en esta materia para poder asesorar bien a los clientes y no poner en riesgo su seguridad. Precisamente, en esta mesa de mediadores contamos con la presencia de Alberto Ocarranza, Vicepresidente y Responsable del Área de Tecnología de FECOR. Presidente de Grupo hiB, Paloma Martínez Expansión de Negocio y especialista en Ciberriesgos
en Llerandi Riesgos y Seguros, Cristina de Uriarte Chavarri Directora del Departamento de Líneas Financieras y del Departamento Internacional de CONCENTRA GRUPO, Fernando Sevillano Jaén Head of Cyber Risk Consulting at Willis Towers Watson, David Santana Responsable Suscripción Cyber Risks en Riskmedia & CISO & Consejero en OneCyber SL. Innovación Y cómo no, el #CID20 también estuvo marcado por la innovación en ciberseguros, una innovación que vino marcada por una potente startup con sede en la cuna del emprendimiento mundial (San Francisco) y con presencia en España. José Mª Seara Co-Founder & CEO at DeNexus nos habló sobre cómo cuantificar la exposición de las infraestructuras industriales a ciber riesgos con la ayuda de IA. Empresas Para terminar la primera jornada del Cyber Insurance Day abordamos el tema de los ciberseguros desde el punto de vista de las empresas finales. Para ello contamos con expertos del sector como Leonardo Amor, CISO de ElevenPaths. Kendra Mazara, CISO de una Entidad Pública. Francisco Javier Farfán, CISO en Diners Club y Daniel Ramos, CIO Grupo Armas- Trasmediterranea. II Jornada del CID 2020 Tras la primera jornada en la zona de anfiteatro, se vivió un segundo día repleto de talleres centrados en diferentes aspectos del mundo del ciberseguro, talleres con temáticas más concretas que abarcaron desde el incremento del riesgo cibernético tras el Covid-19 a los diferentes pasos. Fernando Cordón Sanagustín, Socio Fundador de Cordón Seguros Asesores Independientes Correduría de Seguros fue el encargado de abrir esta importante jornada que tenía como objetivo acercar de manera más detallada a los profesionales de ambos sectores los conocimientos, problemas, ventajas y retos del ciberseguro. Patricia Villalva Directora General de CYBNUS, fue la responsable de tomar el relevo con su taller sobre el incremento del ciberriesgo tras el coronavirus. El Cyber Insurance Day 2020 virtual continuó con el taller sobre la cuantificación del ciberriesgo abordado
por Fernando Sevillano Jaén, Head of Cyber Risk Consulting at Willis Towers Watson. «La Amenaza en la Sombra, Protección Financiera» era el nombre del taller de David Santana Responsable Suscripción Cyber Risks en Riskmedia & CISO & Consejero en OneCyber SL. Cambiando el punto de vista, se pasó a vivir un interesante taller sobre los pasos que se dan tras un ciberataque. Y mostrando diferentes ejemplos de casos reales fue como lo expuso Ale Cortés Ingeniero, Formador y Pentester. Responsable de ciberseguridad en BSoftware. Alberto Muñoz Villarreal Director DEA Derecho de los Riesgos Tecnológicos UCM, fue el encargado de poner el punto de vista jurídico en esta segunda jornada del #CID20. «Protección y monitorización remota permanente de ordenadores en el producto MGS Ciberseguridad» se denominó el taller impartido por Lluis Vera CEO de Ackcent. Yolanda Belinchón Security Engineer de Check Point se centró en la prevención de amenazas para todos nuestros entornos en nube pública, una tecnología a través de la cual gira hoy día la operatividad de muchas compañías y un entorno crítico en el que se debe de abordar la seguridad. El penúltimo taller tuvo formato de entrevista entre sobre tecnología, identificación, seguridad y el proceso de adaptación del cliente. Una entrevista llevada a cabo por Pedro Pablo Merino Co-Founder Cybersecurity News a Abel Jiménez García Director de Golf Negralejo y embajador de Biocryptology. Llegamos al punto y final de esta segunda e intensa jornada en torno al ciberseguro de Cyber Insurance Day de la mano de Antonio Gil Moyano Perito Judicial tecnológico y presidente en la Asociación de Peritos Judiciales Tecnológicos de Andalucía (APTAN). Chief Security Envoy en ElevenPaths y su taller basado en la conocida como estafa al CEO. Y no queremos despedirnos del Cyber Insurance Day 2020 sin antes dar gracias a todos los patrocinadores que han estado de la mano con nosotros en esta nueva aventura: MGS Seguros, Check Point, Biocryptology, Allianz, CTMA Consultores, Auditech y Cordón Seguros. Sin vuestra ayuda, no habría sido posible. Os esperamos el año que viene, en marzo del 2021.
.
CyberSecuritynews | Noviembre 2020
48 Los roles principales / Ciberseguros
¿Quién es Quién en los ciberseguros? Ya conocemos la creciente importancia de los ciberseguros en la sociedad pero, ¿sabemos todos los engranajes que hay detrás de esta rueda? Texto: Redacción
P
de
CyberSecurity News
odríamos decir que los ciberseguros son un producto relativamente nuevo, en constante evolución, en un mercado muy volátil donde reina la incertidumbre, un producto también atractivo por su potencial crecimiento. Todo lo anterior convierte a los ciberseguros en un producto cuanto menos complejo en el que intervienen o deberían intervenir varios factores, desde el proceso inicial de fabricación al final de venta. Muchos de estos actores clave del tablero de los ciberseguros te vendrán fácilmente a la mente mientras que otros mientras tanto influyen de manera indirecta en la maduración de este producto y mercado en nuestro país. ¡Los mencionamos casi todos!
1. Aseguradoras: Quizás este es el principal actor que se te puede venir a la mente cuando hablamos del ciberseguro. Es decir, un producto que pertenece a una aseguradora. Las aseguradoras son las responsables de la definición o diseño, fabricación y puesta en marcha de los ciberseguros en el mercado como producto final disponible para su contratación.
2. Proveedores de ciberseguridad preventiva: Necesariamente, los ciberseguros son el primer producto que une a dos potentes sectores, el de la ciberseguridad y el de los seguros. Los proveedores de ciberseguridad preventiva aportan al ciberseguro todos los servicios y tecnología necesaria para prevenir los ciberataques en los clientes finales. A día de hoy, los ciberseguros no son tan preventivos como reactivos pero el futuro pasa por que estos servicios también estén incluidos ya que entre otras cosas, ayudará a bajar el riesgo de sufrir un ataque. Contenidos de concienciación, antivirus, auditorías… CyberSecuritynews | Noviembre 2020
3. Proveedores de ciberseguridad reactiva: Al igual que en el caso anterior, especialistas en ciberseguridad reactiva como los peritos informáticos forenses ayudan a solucionar el problema cuando el ciberataque se ha producido. Y es que como dice esa famosa frase… “La pregunta no es si serás atacado o no, sino cuándo”.
4. Mediadores: Los mediadores de ciberseguros son una pieza fundamental en el éxito de este producto. Y es que son los profesionales del sector seguros que están en el día a día del cliente, los que asesoran personalmente y resuelven todas las dudas. En definitiva, sin los mediadores, sería casi imposible acercar esta cobertura a los ciudadanos y empresas. Como sabes, existen dos tipos de mediadores en el mercado, los agentes exclusivos (gestionan ciberseguros de una única compañía o fabricante) o corredores (con diferentes ciberseguros en la cartera).
5. Analistas especializados en ciberseguros: Estas nuevas empresas tienen una labor muy importante. La de aportar luz a la tremenda incertidumbre que arrojan los ciberataques y el cibercrimen. Y es que la actividad es muy variable. Es por ello por lo que han surgido empresas data-driven especializadas en el análisis de ciberriesgo para los ciberseguros o sector asegurador.
6. Emprendedores en ciberseguros: Aunque esté en último lugar, no quiere decir que sea menos relevante. Estamos
hablando de un nicho de mercado creciente, con mayor demanda cada año pero con mucha incertidumbre. Al igual que las empresas del punto anterior que nacieron para dar una solución analítica al mercado de los ciberseguros, los nuevos y futuros emprendedores o especialistas en desarrollo de negocio de los ciberseguros, serán una importante pieza de este tablero que cada vez crece y crece más. Por ejemplo, en nuestro país contamos con muchos programas de apoyo al emprendimiento tanto en el sector de la ciberseguridad como en el de seguros. Concretamente, en el de la ciberseguridad, INCIBE celebra cada año su programa “CiberEmprende” en el que el pasado año, DEPODEX, una idea de emprendimiento para los ciberseguros originada por Vicente Ramírez, alcanzó ser finalista.
.
49
Ransomware / ciberataque
SegurCaixa Adeslas sufre un ataque ransomware que afecta a millones de usuarios SegurCaixa Adeslas activa su plan de contingencia tras sufrir el ciberataque.
L
Texto: Aina
Pou Rodríguez
a aseguradora Adeslas, una de las más grandes de su sector en España, el pasado 9 de octubre sufrió un ataque de ransomware de sus servidores, apagándola digitalmente por completo, que afectó a millones de usuarios, semanas después de que lo sufriera Seguros Mapfre. Los sistemas informáticos, como los que gestionan las autorizaciones de pruebas médicas y las pólizas de los usuarios, dejaron de funcionar de un día para otro. Durante los días siguientes el mensaje que aparecía en su página web era: “Lo sentimos, en estos momentos estamos realizando tareas de mantenimiento. Nuestra web volverá a estar operativa próximamente”. Y añade: “Si lo necesitas, puedes ponerte en contacto con nosotros a través de los siguientes teléfonos”. Y a continuación aparecían una serie de números relacionados con salud, auto, hogar y otros seguros. Un ataque de ransomware es una forma de malware que bloquea los archivos o dispositivos de los usuarios y luego reclama un pago online anónimo. Tras ser víctima de este ciberataque, SegurCaixa Adeslas activó su plan de contingencia, así lo informó la propia filial de Mutua Madrileña y de VidaCaixa Grupo. Desde el primer momento del ataque, la organización trabajó para dar una solución del mismo. CaixaBank aseguró que no había afectado a la entidad financiera, sino solo a SegurCaixa Adeslas. Servimedia, la aseguradora, ajustó los procesos que tienen que ver con los asegurados para seguir prestando
Tras seis semanas de apagón digital, SegurCaixa Adeslas volvió a la continuidad de su actividad el pasado 30 de octubre. servicio mientras su equipo de atención al cliente continúa gestionando las peticiones y consultas, para así poder identificar otras posibles afectaciones. El ciberataque ha provocado seis semanas de intentos de recuperación del apagón digital, luchando contra el ransomware. Provocando una situación muy delicada durante este mes y medio, y no fue hasta el este viernes, 30 de octubre, cuando recuperaron su actividad al 100%. Los estragos de este ataque se centraron en bloquear toda la estructura informática, se muestran claramente con un pequeño vistazo. Se vio reflejado en la web de la empresa, y se notó incluso en las redes sociales, donde su cuenta oficial respondía todos los días a quejas de los usuarios. Hasta finales del mes de octubre casi cualquier apartado de la página web de la aseguradora, venía acompañado de un mensaje en el que se avisaba que en esos momentos no estaba todo el servicio disponible y la situación interna era delicada. Toda la compañía ha centrado todos sus esfuerzos en recuperar la normalidad, pero el bloqueo de los sistemas informáticos ha obligado a recuperar prácticas casi olvidadas. Los ciberdelincuentes consiguieron coger a
SegurCaixa Adeslas por sorpresa. Sus sistemas de prevención no funcionaron, las copias de seguridad no fueron suficientes y ha necesitado crear infraestructuras nuevas. A esta situación se le añade el inconveniente de la necesidad del teletrabajo y la migración digital, factor que provoca una mayor dificultad para ofrecer los servicios habituales sin herramientas online. Adeslas se disculpó con los pacientes y clientes, desde el primer momento que el ciberataque les impidió seguir con la normalidad de su actividad, tanto por la situación como por las demoras ocasionadas. El ciberataque a SegurCaixa Adeslas responde a un caso claro de un potente ransomware que llevado por grupos con mucha experiencia y conocimiento, se ha colado hasta la cocina de la compañía y la ha secuestrado para cobrar un importante rescate a cambio de devolver la información. Un tipo de ciberataque que trae de cabeza a todo tipo de empresas e instituciones en los últimos años. No es la primera vez que una gran empresa española recibe un hackeo. Compañías como Mapfre, Telefónica o la cadena SER lo sufrieron en el pasado. Una de cada tres firmas en España sufren este tipo de ataques.
.
CyberSecuritynews | Noviembre 2020
50 Ciberseguros / Futuro
Una visión de futuro: Más allá de ser reactivos Los ciberseguros nacieron inicialmente como un producto reactivo en el mundo de la ciberseguridad pero sus posibilidades van mucho más allá de la reactividad. ¡Lo vemos! Texto: Redacción
A
de
CyberSecurity News
ctualmente la mayoría de coberturas de los ciberseguros tienen un carácter reactivo. Es decir, están diseñadas para actuar una vez se produce el ciberataque y van desde el servicio técnico como el peritaje informático a la cobertura por reclamaciones ante terceros por la posible brecha de datos o incluso en algunos casos hasta la pérdida de confianza de clientes ante el ciberataque (daño reputacional). Pero finalizando el 2020, queda claro cuál será el camino que se está dibujando sobre el futuro de los ciberseguros, un camino común por el que abogan corredores, aseguradoras, proveedores de ciberseguridad y clientes: La prevención. La prevención: Un reto futuro para el ciberseguro
Este es el camino por el que está aposCyberSecuritynews | Noviembre 2020
tando el sector, el camino correcto. Y es que los ciberseguros pueden llegar a ser el instrumento perfecto para llevar un mínimo de prevención a todas las empresas de nuestro país y a toda la ciudadanía. Bajo el punto de vista del cliente final (pymes), está claro que la ciberseguridad es un tema que cada día empieza a preocupar más pero no disponen de los recursos necesarios, ni económicos ni tampoco humanos como para desplegar una estrategia completa de ciberseguridad. Pero a la vez, les gustaría. Pero a la vez, querrían también estar cubiertos si un ciberataque sucede. La prevención y la reactividad se juntan en la mente del cliente final y el ciberseguro tiene el reto de constituir un producto de ciberseguridad muy sencillo de entender para el cliente final que le aporte la prevención necesaria y sin complicaciones que de verdad requiere una pyme y la tranquilidad necesaria al saber que también están cubiertos.
Por tanto dibujamos una fórmula mágica en la estrategia de los ciberseguros para su éxito en pymes: Concepto sencillo y fácil de entender + coberturas preventivas claras + coberturas reactivas claras = éxito. Todo esto sin dejar de lado la necesaria evaluación de los clientes antes de ser asegurados. ¿Qué coberturas preventivas incluir? A día de hoy existen muchas herramientas que ayudan fácilmente a la prevención de ciberataques. Un acuerdo Aseguradora y Proveedor de ciberseguridad podría aportar las coberturas preventivas justas y necesarias dentro de los ciberseguros como: · Antivirus o detección del malware · Entrenamiento y concienciación frente a phishing · Copias de seguridad · Monitorización · VPN · Auditorías
.
