Cuantificar el riesgo sirve a los CISOs para poner en valor la seguridad

La seguridad es un camino que no se puede recorrer todo de golpe ni caer en la tentación de pensar que se ha alcanzado la seguridad absoluta. Por ello, las grandes organizaciones necesitan adoptar una mentalidad de “seguridad por diseño, partiendo del cifrado en todo momento de los datos sensibles, y tratar de revisar cada día los procesos, sus aplicaciones e infraestructuras con una nueva mirada. Ésta podría contarse como una de las conclusiones más importantes que se desprenden del encuentro digital organizado por Silicon España y Thales celebrado el pasado 14 de diciembre. La reunión ha contado con Alfonso Martínez, Regional Sales Manager Data Protection en Thales; y Raúl Suárez, Presales Engineer Cyber security de la compañía de ciberseguridad como anfitriones del evento, que ha sido moderado por Daniel de Blas, periodista de NetMedia.

Además de una filosofía de revisión y evolución continua de los planteamientos y medidas, junto con la adopción de metodologías agile; otro de los elementos que han impactado de manera importante en las grandes empresas son sin duda las normativas, cada vez más evolucionadas en materias como privacidad o seguridad. Sin embargo, para los CIOs, CISOs y responsables de tecnología las normativas están sirviendo como palanca para incorporar muchas medidas de seguridad y mejoras en la gestión de la información que de otro modo podrían haberse visto como precauciones innecesarias o como una inversión sin un retorno claro.

En el debate, que puedes ver en vídeo en el canal de YouTube de Silicon España, han participado responsables de tecnología y seguridad como Miguel Ángel Blanco, CISO de SGFAL (Ministerio de Hacienda); David Cano, Risk Manager de AXA; Ignacio Pérez, CISO de AST (Gobierno de Aragón); Patxi Hernández, Cybersecurity Manager de BBVA; Mariano Gutiérrez, CIO del Consorci Sanitari de l’Alt Penedès i Garraf; Eva Cristina Cañete, CISO de Unicaja; Lucas Paz, CISO de Mercury TFS; Francisco Leal, Director de Nuevas Tecnologías de la Cámara de Comercio de Sevilla; y Juan Carlos Ortega, Jefe de Servicio de Desarrollo Tecnológico de la Junta de Andalucía.

Cuantificar el riesgo para valorarlo

Como explica David Cano, Risk Manager de AXA, en una aseguradora se manejan datos críticos como los de salud o datos financieros, sujetos a numerosas regulaciones; pero además sometidos a al riesgo de ser sustraídos. Por ello, uno de sus grandes retos ha sido precisamente llevar a cabo una estimación económica de los daños por fugas de información, ya sea una cuantificación del daño reputacional o los daños por denuncias o similares, lo que ha permitido evidenciar de una manera más clara la necesidad de reducir estos riesgos. En este mismo sentido, Patxi Hernández, Cybersecurity Manager de BBVA, añade que en el entorno bancario se está virando de una época en la que la batalla se libraba contra el fraude a una era en la que el robo de datos es uno de los principales problemas. “ya no se roban datos de tarjetas sólo para cometer fraudes, sino que se roban datos de clientes porque es información que se cotiza per sé en la dark web”, explica Patxi Hernández. Con esta idea coincide Eva Cañete, CISO de Unicaja, que añade que “ahora estamos pagando las brechas de seguridad de redes sociales como Facebook”, ya que los usuarios suelen no cambiar las contraseñas y datos de acceso de hace años pueden servir para robar información importante, para llevar a cabo la suplantación de usuarios o para elaborar ataques que nos afectan en la actualidad.

Complejidad, OT y tecnologías “legacy”

Para algunos de los participantes en el debate, la descripción de la situación de la gestión de datos como “una tormenta perfecta” es muy acertada porque a la criticidad y el creciente volumen de datos, se suman la complejidad de las tecnologías OT (como pueden ser en el entorno sanitario las que utilizan los aparatos médicos) a veces imposibles de parchear o actualizar y toda la que añade la burocracia y procedimientos de las Administraciones Públicas.

Ignacio Pérez, CISO de AST (Gobierno de Aragón), asegura que tiene unas 2.000 aplicaciones, unos 30.000 equipos con unas 1.800 ubicaciones físicas a las que dar servicio, y explica que entornos grandes y diversos hay una gran complejidad de aplicaciones: “de mis 2.000 aplicaciones hay unas 500 que cambian de año en año, de manera que es imposible estar al tanto con detalle”, señala, y está el factor de imprevisibilidad como el que ha generado el COVID: “de un día para otro, se monta un hospital de campaña y tienes que dotarlo de una mínima tecnología”. El responsable de seguridad también apoya la idea de que las normativas en seguridad están sirviendo de gran ayuda en casos en los que puede haber disparidad de criterios: “nos ha sucedido con cosas tan básicas como el cambio de contraseña a lo que algunos departamentos eran reacios”.

No obstante, los representantes de estas administraciones como Juan Carlos Ortega, de la Junta de Andalucía, también han puesto en valor como se están aunando esfuerzos en materia de ciberseguridad y creando instituciones como la Agencia Digital de Andalucía que ayudan a unificar recursos, criterios y estrategias en lugar de que cada consejería haga su trabajo de manera independiente y desconectada.

El cifrado, la primera línea de defensa

En cuanto a los representantes de Thales, anfitriones de la reunión, han señalado que la seguridad es una tarea compleja y en la que hay que estar a la última día a día porque “los malos no descansan”; pero se pueden tomar medidas que ya dan un elevado nivel de seguridad desde la base. En este caso, el cifrado es un elemento clave, asegura Alfonso Martínez, regional Sales Manager Data Protection de Thales, porque hace que los datos dejen de ser legibles y por tanto interesantes para los ciberdelincuentes: “nuestra propuesta es que la primera línea de defensa para el dato sea el propio dato; pero la criptografía, como todo, se puede hacer bien o puede ser un desastre”. “La propia GDPR obliga cifrar datos personales o sensibles, pero tú no puedes cifrar de cualquier manera y hemos visto casos en los que se han robado estos datos cifrados y se han podido descifrar porque las claves no estaban bien protegidas” explica Alfonso Martínez. La seguridad es un camino y hay multitud de capas que hay que poner en práctica, pero la propuesta de Thales es empezar por “ir a lo más básico: proteger el dato… y a partir de ahí, ir construyendo más niveles”, indica Alfonso Martínez.

Por su parte, Raúl Suárez, Presales Engineer Cyber security de Thales apoya la idea indicando que la custodia de las claves es un elemento crítico: estas claves se deben cambiar de manera regular como indican las normativas y hay que establecer una política de roles para que, por ejemplo, el administrador de las bases de datos no sea quien tiene también la custodia de las claves de cifrado.

Ransomware, extorsión por fugas de información y robos de datos internos

Otro de los problemas en los que coinciden en el debate los CIOS es el que sigue representando el Ransomware y la extorsión por fuga de datos, tal y como señala Eva Cañete, responsable de sistemas de Unicaja: “estamos viendo como empresas con estrategias de seguridad muy desarrolladas están siendo víctimas de este tipo de ataques, lo que nos hace estar muy alerta”.

Sin embargo, el mayor peligro no es a veces el robo desde fuera sino el que puede surgir desde dentro. Así, Raúl Suárez de Thales, explica que hay que vigilar muy bien qué datos se almacenan cifrados y cuales en claro, ya que en ocasiones una copia de seguridad que va a una cinta o a un disco de respaldo se pueden sustraer de manera muy sencilla: “sacar un disco de un servidor y clonarlo sólo lleva como una hora y es un evento que sólo genera una pequeña alarma”. Por eso no sólo hay que asegurar los accesos, el perímetro o los trabajadores remotos: puede haber un ataque físico que sirva para llevarse datos o para analizar las vulnerabilidades y después montar un ataque externo.

Desarrollo ágil e infraestructura cloud: armas de doble filo

Para Patxi Hernández, Cybersecurity senior Manager de BBVA, uno de los mayores retos está siendo la incorporación de la seguridad como un elemento de los ciclos de desarrollo ágil. El responsable asegura que la seguridad se ha considerado muchas veces un “stopper” en el mundo del desarrollo: “el agilismo en el desarrollo premia la entrega de valor, lo que puede generar algunas dinámicas peligrosas”, explica. Sin embargo con una mentalidad de seguridad en el diseño se puede hacer que esta seguridad sea un elemento de control dentro del ciclo de desarrollo ágil, lo que puede ser beneficioso. Para este responsable, otro elemento crítico es, como siempre, la concienciación y los CISOs tienen la necesidad de hacer entender a las áreas de negocio que los riesgos de seguridad son un riesgo del propio negocio.

Para Alfonso Martínez, representante de Thales, este problema se une al de los sistemas de cifrado en la nube; porque los clientes están usando, para este tipo de desarrollos ágiles, infraestructura cloud que no proporciona una seguridad completa en este aspecto, al incorporar las claves de cifrado en la misma nube en la que están los datos, y añade más complejidad a los administradores de sistemas, que tienen que gestionar varias consolas. “Nosotros pensamos siempre en intentar hacer la vida un poco más sencilla a los CISOs, ayudándoles a descubrir dónde están los datos sensibles (que pueden haber pasado desapercibidos) y sobre todo después ha llevar a cabo el cifrado y la gestión de las claves de la manera que el cliente desee, ya sea en nuestros servidores o en la nube; siempre pensando en hacerles la vida un poco más amable desde el punto de vista de normativas o de seguridad”, concluye Alfonso.