16 minute read
Entrevista Ana María
TexTo: AliciA Burrueco
CyberSecurity News (CsN): En primer lugar, vamos a empezar a hablar un poquito sobre tu trayectoria. ¿Cómo llegas a ocupar el puesto de CISO?
Ana M. Castillo (AMC): Comencé mi trayectoria en el mundo de las telecomunicaciones.
Tras pasar por varias operadoras y multinacionales del sector del Contact Center como ingeniero y responsable de redes, pasé a gestionar equipos de ingeniería que diseñaban, ejecutaban y mantenían infraestructuras de redes, sistemas y voz y, poco a poco, fui paladeando mi fascinación por la
ciberseguridad y la protección de datos.
Al mismo tiempo, me embarqué en un
proyecto personal en el que desarrollé un SaaS para la gestión de la ISO
27001 (www.sec4all.es) y eso me hizo entender aún más que la ciberseguridad y la gestión de riesgos posee un alcance, posibilidades de investigación y aprovechamiento, cercanos al infinito. Al ser consciente de la amplitud del espectro de estudio y dedicación que suponía, decidí dedicarme a gestionar la ciberseguridad a todos los niveles.
CsN: ¿Qué peso crees que tiene la concienciación, en la ciberseguridad, en la estrategia global de una compañía?
AMC: Me parece que es vital. Hace mucho tiempo que se habla del “Insider threat”, o la amenaza interna, y creo que debemos desterrar un poco ese concepto, o al menos matizarlo para no ver al usuario como un enemigo, sino como un aliado poco informado.
La concienciación debe diseñarse para
el usuario, con objetivos claros y medibles, debemos preguntarnos, ¿cómo se mide la concienciación? Yo lo tengo claro: debes preguntar, bien con encuestas, con quizz o con recursos gamificados, hasta averiguar cómo se enfrentan tus usuarios a situaciones potencialmente peligrosas, y entonces focalizar tus esfuerzos de concienciación en reforzarlos.
Un usuario con cultura de Ciberseguridad, es una herramienta muy poderosa en la prevención de ciberataques a nuestras organizaciones.
CsN: Cambiando un poquito de tema, los ciberseguros han llegado para quedarse. ¿Qué visión tienes sobre ellos? ¿Crees que todas las empresas deberían de contratarlos?
AMC: Que los ciberseguros han llegado para quedarse, es un hecho. Antes no se oía hablar de este tema, y ahora es raro la empresa que no lo ha valorado. Pero creo que estamos ante un asunto muy particular, que puede generar sentimientos encontrados entre los responsables de ciberseguridad, me explico: · Por un lado, nos encontramos con el alto coste de estos seguros, que un CISO podría considerar que debería ser invertido antes en otra partida de ciberseguridad, dedicada no tanto a paliar costes de una brecha, sino a evitarlas. · Por otro lado, es innegable que las juntas directivas de distintas áreas, al escuchar las estremecedoras presentaciones de las aseguradoras, que muestran perspectivas futuras
repletas de ciberataques, con pérdidas
millonarias y daños reputacionales, funcionan como otro tipo de campaña de concienciación, al hacerles entender la actual frecuencia y gravedad de los ciberataques, porque hablan el idioma del negocio y de la dirección.
El problema que veo aquí, es que estoy segura de que hay empresas que ya tienen contratados seguros de responsabilidad ante ciberataques, o incluso les cubren
Ana M. Castillo López. CISO en multinacional española
jornadas profesionales para solucionar
un caso de ransomware, cuando ni siquiera disponen de un firewall de última generación o de un producto de protección de sus equipos de trabajo en condiciones.
CsN: Y para terminar, ¿qué les dirías a todos los usuarios y empresas que están y van a seguir teletrabajando en esta nueva normalidad?
AMC: El teletrabajo es una nueva frontera para muchas empresas de este país. Si hace mucho tiempo hablábamos de extender el perímetro de seguridad a la nube, ahora el perímetro se ha roto, ha saltado en pedazos, y debemos ser rápidos en reconstruirlo. Para ello, es imprescindible contar con el usuario, que es inteligente, quiere ayudar y está interesado en contribuir a la ciberseguridad. Y no sólo debemos ofrecerle herramientas tecnológicas para que lo haga, también hemos de robustecer las infraestructuras
que soportan la carga del teletrabajo,
puesto que la disponibilidad de este servicio ahora mismo está asegurando la continuidad de los negocios a nivel mundial.
Las empresas deben asumir un cambio de mentalidad, el teletrabajo ya no es una opción o beneficio en el que, si falla, hay un plan B trabajando en la oficina, porque en muchos casos, el plan B no es factible en el escenario actual. .
“La concienciación efectiva como elemento clave”
Tuvimos el placer de hablar con Facundo Gallo, CISO en Castro Alonso, sobre la concienciación en ciberseguridad y sobre el teletrabajo y el telecole como nueva normalidad.
TexTo: AinA Pou rodríGuez
Cyber Security News (CSN): Para mantener unas medidas robustas de ciberseguridad es necesario que tanto los directivos como los empleados estén concienciados de los posibles riesgos y peligros que puede sufrir la organización. ¿Cómo se puede concienciar de manera efectiva en cuestión de ciberseguridad a los empleados?
Facundo Gallo (FG): Como la efectividad de los ataques externos depende del descuido de los empleados, es necesario desplegar un plan de concienciación para educar ante los posibles escenarios de riesgo que puedan darse en la organización. El primer paso para que el plan de concienciación sea efectivo es medir el estado actual, esto es, conocer las necesidades de cada grupo de usuarios, mediante entrevistas, encuestas… y la consecuente aplicabilidad de las políticas de seguridad, dando como resultado un enfoque objetivo que nos indique qué carencias formativas o culturales existen y por tanto hacia dónde destinar recursos para la concienciación. Abordar la transferencia de conocimientos dependerá del tipo de usuarios. Por una parte, el cuerpo directivo debería ser consciente de los riesgos tecnológicos a los cuales se enfrenta la organización, por otro lado, el conjunto de empleados debería tener
conocimiento de las políticas de segu-
ridad, donde consultarlas y cuando entran en vigor, pero probablemente desconocen su detalle y por ende, cómo aplicarlas. Existen diversos recursos formativos que podrían aplicarse para mejorar la “ciber-higiene” o los hábitos saludables de seguridad, y uno de ellos es aplicar dinámicas de grupo donde cada equipo asume un rol distinto ante situaciones cotidianas que dan como resultado un ataque efectivo a la organización.
CsN: Con los más pequeños de la casa es aún más complicado, ¿Cómo se puede concienciar tanto a los niños como a los padres de que deben hacer un uso correcto de los dispositivos para la docencia online?
FG: Deberían trasladarse los riesgos tecno-
lógicos con la aplicación de una meto-
dología de aprendizaje efectiva; la clave siempre se encuentra en captar la atención de los usuarios para que el mensaje tenga el alcance necesario, pero sin olvidar que aquí se trata de niños y ellos lo que quieren es simplemente divertirse. Si sabemos que los niños cuando juegan no lo hacen para aprender, sino que aprenden mientras juegan, apliquemos entonces el sentido común para que se enfrenten a situaciones simuladas donde no haya castigos por equivocarse, sino que los errores sean parte del proceso de aprendizaje. Está en nuestra responsabilidad como padres transmitir adecuadamente los conceptos a nuestros hijos desde edades tempranas, porque los fundamentos sociales se aprenden de pequeño, pero también debemos tomar las medidas preventivas oportunas. En este sentido, existen organismos públicos que ofrecen guías de apoyo para comprender los conceptos esenciales y aplicar todo mecanismo de control parental.
CsN: ¿Cómo se puede enseñar a los empleados a prevenir los ciberataques desde sus dispositivos personales? ¿Y a los alumnos de los colegios?
FG: De cara a los niños de 3 a 10 años, existen numerosas ventajas de aplicar técnicas de gamificación conjuntamente con otros elementos pedagógicos más tradicionales. De esta forma, encontramos muchos recursos en internet que pueden ayudar a los profesores para generar contenido interactivo, es el caso de
Cerebriti o Genial.ly.
Cuando nos referimos a adolescentes la dinámica cambia, pues resulta necesario generar un cierto impacto emocional y ponerse en su lugar; no hace mucho fuimos todos adolescentes y resulta necesario reconectar con aquella etapa para adecuar nuestro discurso hacia algo que no les resulte ajeno, porque la tecnología ha avanzado, ha creado nuevos enemigos, pero las sensaciones primarias, miedos e inseguridades, siguen siendo los mismos. Cuando hablamos de empleados, hablamos de planes de concienciación derivados de
Facundo Gallo, CISO en Castro Alonso
un plan estratégico de seguridad, pero las herramientas no difieren tanto del mundo de los más jóvenes, hablamos aquí de talleres, cursos, newsletter, pero también juegos de rol, porque no es lo mismo contarlo que vivirlo.
CsN: De cara al nuevo escenario profesional que se plantea, es clave contar con una estrategia de seguridad sólida, robusta y eficaz para garantizar que todos los activos corporativos se encuentran a salvo de las ciberamenazas del mundo digital, ¿Cómo plantearía esta estrategia de seguridad?
FG: La transformación digital es inevitable, pero es una carrera a contrarreloj y totalmente dispar; como punto en común para trazar un plan estratégico de seguridad comenzaremos por un trabajo de humildad que nos permita situar en
qué estado de madurez nos encon-
tramos actualmente, y a la vez ubicar el horizonte hacia donde necesitamos llegar para alcanzar las metas de negocio.
Además, no todas las empresas tienen los recursos necesarios para llevar a cabo un plan de seguridad que se adapte a sus necesidades; en esta dirección existen entidades sin ánimo de lucro que brindan soporte de asesoría con el respaldo de empresas dedicadas íntegramente a la ciberseguridad.
Por último, las empresas que hayan ingresado en la nueva normalidad se verán obligadas a reactivar el teletrabajo. Hacer una re-evaluación de los controles de seguridad es un punto de partida necesario, porque no conoce su historia, está obligado a repetirla. .
Tuvimos el placer de charlar con David Matesanz, Global CISO en Santander Asset Management sobre la concienciación en seguridad cibernética tanto por parte de los clientes como de los empleados y la ciberseguridad en el sector bancario.
CyberSecurity News (CsN): Una de las piezas clave para estar protegidos de posibles ciberataques es la concienciación de los empleados, ¿En el sector bancario hay un buen plan de concienciación?
David Matesanz (DM): La concienciación en ciberseguridad es algo que me ha sorprendido muy gratamente desde mi llegada al sector bancario. Todos los empleados tienen una cultura de riesgos bastante desarrollada, conciben el riesgo ciber como algo muy relevante. Adicionalmente, hay una gran sensibilidad desde la Dirección, lo que conlleva que medidas de seguridad que, en otros sectores, son impensables en la Banca se implementan rápidamente y todo el mundo entiende que son necesarias.
Hay campañas de concienciación
temáticas, cursos online, charlas,
simulacros de phishing…etc., todo de una manera muy constante, lo que hace que todos los empleados tengamos la ciberseguridad muy presente y no se entienda como una “moda” pasajera.
CsN: ¿Cuál o cuáles cree que son los fallos humanos, de seguridad, en que los trabajadores caen más fácilmente? ¿Qué se puede hacer para evitarlo?
DM: Los ciberdelincuentes cambian y evolucionan, los ataques son cada vez más sofisticados pero, al final, siempre aprovechan los mismos fallos: engañar
a los empleados para que pinchen en
un link o revelen información, contraseñas débiles, configuraciones vulnerables por defecto y falta de parcheado...
Caemos una y otra vez en los mismos errores, emails que nos dicen que tenemos un paquete que no tenemos, o que nos piden urgentemente que hagamos algo fuera de lo normal, o que nos ofrecen algo a cambio de que pinchemos en un link.
5 consejos para la ciberseguridad: “Protege tu información y
tu equipo”, “Se discreto online y en público”, “Piensa antes de hacer click o responder”, “Mantén tus contraseñas
seguras” y “Si sospechas, repórtalo”.
CsN: Los bancos y los servicios financieros se han convertido en unos de los objetivos preferidos de los ciberdelincuentes, ¿Cuáles son las principales amenazas que afectan al sector financiero?
DM: Los servicios financieros han sido desde siempre uno de los principales objetivos de los ciberdelincuentes. Allí
donde haya dinero habrá siempre
amenazas que intentan aprovechar todas las vulnerabilidades para mani-
pular o vulnerar los sistemas de pago,
realizar ataques dirigidos a altos cargos, o personal con capacidad de realizar transacciones económicas, o “simplemente” utilizar ransomware para secuestrar la información.
CsN: Los ciberdelincuentes han aumentado tanto en número como en nivel de sofisticación sus ataques contra entidades bancarias, y además han encontrado nuevas vías que van más allá de robar los datos de los clientes. ¿En qué consisten esas nuevas vías y cómo pueden prevenirse?
DM: “Los atacantes sólo tienen que
aprovechar una vulnerabilidad una
vez, mientras que nosotros tenemos que
defender todas las vulnerabilidades todo
el tiempo”. Cada vez usamos más servi-
cios digitales, y tenemos más disposi-
tivos conectados. Las vías realmente las abrimos nosotros.
En cuanto a la sofisticación, la ciberdelincuencia se ha profesionalizado hasta el punto de que se ofrece como servicio al alcance de cualquiera. Existen auténticos modelos de negocio dedicados a la ciberdelincuencia. Esto es clave para entender
David Matesanz, Global CISO en Santander Asset Management
por qué el riesgo en ciberseguridad no
para de crecer.
La manera de reducir este riesgo es
defender todas las vulnerabilidades
durante todo el tiempo o bien cerrar estas vías, y dejar de usar servicios digitales y estar hiperconectados, lo cual creo que no es una opción, o bien desarrollar toda una
estrategia de ciberseguridad acompañada del soporte y el talento necesario. CsN: Por último, ¿Cuáles son los retos del futuro que se prevén en el sector banca en cuanto a ciberseguridad?
DM: La digitalización, es el principal reto y la facilidad de uso y la velocidad son una prioridad.
El reto es estar en la cresta de la ola en todo momento, defender todas las vulnerabilidades todo el tiempo y adaptar nuestras
defensas a la evolución de las amenazas
y los atacantes. Se trata de una carrera de fondo y sin descanso.
No quiero terminar sin mencionar como reto, la creación y atracción de talento. Esto es un reto no solo del sector bancario sino de todo el país. Al final, no debemos olvidar que detrás de todas las tecnologías, sistemas, procesos, hay
personas que requieren de una alta cuali-
ficación y que, a día de hoy, escasean. Si queremos estar a la altura de los ciberataques, debemos ser capaces de generar y atraer ese talento, y esto es algo que no se consigue a corto plazo. .
TexTo: AliciA Burrueco
CyberSecurity News (CSN): Vamos a conocerte un poquito, ¿quién es Xavi Bertomeu?
Xavier Bertomeu (XB): Xavi Bertomeu tiene 30 años, estudió ingeniería superior de telecomunicaciones, cursó un máster en dirección de proyectos y es un apasionado del mundo digital. Ha pasado por distintos roles en distintas compañías: ingeniero de redes y sistemas en Mediapro y Colt, project manager de arquitectura de seguridad en ITNow! prestando servicio a La Caixa, consultor de seguridad de la información en Ernst & Young prestando servicio al sector banca y aseguradoras, CEO/CTO de un par de proyectos digitales propios, Head of Security en AXA Digital y CISO en SCRM Lidl Digital International Hub.
Un episodio de cyberbulling que le ocurrió cuando era adolescente le hizo querer entender más sobre el mundo de la ciberseguridad y luchar contra el cibercrimen. CsN: ¿Crees que la ciberseguridad ha cobrado más importancia en tiempos del COVID-19?
XB: Por supuesto, el hecho de que las
empresas hayan empezado a trabajar remotamente ha hecho que el número de ciberataques se haya incrementado
de forma exponencial, poniendo máximo foco en ciberamenazas vía social engineering (campañas de phishing). Ha afectado también a plataformas de streaming como Zoom y protocolos asociados al teletrabajo (p.ej. RDP).
CsN: Los ciberataques al sector sanitario se han visto incrementados en estos últimos meses, ¿cuáles pueden ser las diferentes motivaciones de los ciberdelincuentes, además del dinero?
XB: En primer lugar, remarcar mi profunda preocupación y decepción por esta situación,
hace unas semanas vimos como moría una mujer en Dusseldorf (Alemania) por un ataque de ransomware que colapsó
las urgencias del hospital, tuvieron que trasladarla y no llegaron a tiempo. Creo que debemos empezar a darnos cuenta de la importancia de la ciberseguridad y más cuando hablamos de vidas humanas… El sector de la salud cumple un rol vital para el bienestar de la sociedad y esto lo convierte en un blanco perfecto para la extorsión (recordemos el caso de ransomware de WannaCry de 2017 que afectó a muchísimos hospitales). La interrupción en los servicios hospitalarios tiene un impacto importante y esto genera la necesidad de
resolver con urgencia cualquier tipo de
incidente, lo cual es un punto a favor en
la negociación para un cibercriminal.
Pero también otros aspectos lo hacen un
blanco “goloso” para los cibercrimi-
nales, como son la falta de capacitación en seguridad de los profesionales de la salud; la existencia de múltiples
vulnerabilidades por el uso de software obsoleto; la multiplicidad de dispositivos IoT que se usan y por supuesto la sensibilidad de la información que se maneja. CsN: ¿En qué nivel de ciberseguridad están las empresas españolas? ¿Están protegidas frente a ciberataques?
XB: Aunque la pandemia ha propiciado
que el mercado de la ciberseguridad
mejore en España (se estima que habrá un 6% más de inversión con respecto el año anterior según fuentes oficiales), estamos muy por debajo de lo ideal y necesario. La
ciberseguridad sigue siendo un segundo
plato para la mayoría de las empresas del ecosistema español. Hay que generar
más concienciación y entender mejor los riesgos e impactos que se pueden generar
por no tener un buen programa de seguridad de la información bien implementado. Es importante remarcar que la seguridad no hace que ganes dinero, pero sí que no lo pierdas… Aun así, no hay que señalar únicamente al sector empresarial, la ciberseguridad suele ser costosa económicamente y si hubiera más subvenciones y ayudas públicas sería de más fácil acceso para pequeñas empresas y PYMES.
CsN: Dejando a un lado la parte del teletrabajo y para terminar, muchos Xavier Bertomeu, CISO en SCRM Lidl Digital International Hub
usuarios son víctimas a través de dispositivos móviles… ¿Han cobrado más importancia en los últimos años los móviles? ¿Qué medidas de seguridad podemos tener en cuenta en la navegación móvil?
XB: Vivimos en un mundo de transformación digital, el uso de los smartphones se ha incrementado exponencialmente en los últimos años y esto evidentemente implica que cada vez existan más vulnerabilidades en las aplicaciones móviles que utilizamos en nuestro día a día (y más interés por parte de los cibercriminales).
A nivel de desarrollo software es importante revisar la seguridad en el código
(ya sea propio o de terceros), seguir buenas prácticas y pasar revisiones de seguridad periódicas del producto digital en cuestión. A nivel usuario, siempre recomiendo que leamos la letra pequeña, no sabemos en la
mayoría de casos que es lo que se hace
con nuestros datos (ni quien)… Es importante además hacer un buen uso de la tecnología, entender cuales son los principales riesgos y buscar formas de protegernos ante ellos. Algunos tips por mi parte: utilizar como mínimo un segundo factor de autenticación en aplicaciones que contengan datos sensibles y/o personales, no conectarnos a
WiFis públicas y/o sin password, acceder
siempre a websites seguras (https), actualizar nuestros sistemas operativos a las últimas versiones, disponer de un antivirus, analizar bien nuestros correos para evitar ataques de phishing, descargarnos aplicaciones confiables (a ser posible de páginas o stores oficiales)… .
