ThreatQuotient: “Quien ha impulsado más la digitalización no ha sido el CIO o el CEO, sino la propia COVID-19”

En un mundo donde el panorama laboral ha cambiado drásticamente debido a la pandemia global, las compañías de ciberseguridad han ganado una relevancia notable.

Las organizaciones han tenido que reorganizar sus oficinas y mantener el modelo de trabajo híbrido para adaptarse a las necesidades de distanciamiento social y evitar así contagios entre su fuerza laboral, algo que también ha impactado en sus estrategias de ciberseguridad, extendendiéndola más allá de las redes internas y dispositivos corporativos. 

Con un número de ataques que crece considerablemente, empresas como ThreatQuotient están proponiendo un acercamiento distinto que añade el componente de ciberinteligencia, aquel capaz de unificar todos los recursos de seguridad con los que cuentan las organizaciones y que, además, aporta información basada en el aprendizaje obtenido en el pasado. 

De todo esto y más hablamos con Eutimio Fernández,  Director General de ThreatQuotient España, que decidió aceptar un bonito reto tras 7 años liderando el área de seguridad de Cisco España.  En cierta forma vuelve a sus raices para impulsar una tecnología poco conocida hasta ahora en nuestro país, al igual que ya hizo anteriormente con Sourcefire, empresa adquirida por aquel entonces por la propia Cisco. A continuación, nuestra entrevista con Fernández:

—Antes de entrar en materia sobre ThreatQuotient, ¿cómo has vivido este último año y medio en clave de ciberseguridad?, ¿cómo ha cambiado la pandemia los ataques y amenazas?

Nos tocó quedarnos en casa para teletrabajar y a las empresas les pilló desprevenidas. No estaban preparadas desde el punto de vista de procedimientos, desde el tecnológico… Tuvieron que afrontar un cambio táctico para salir del paso de la mejor forma posible y lo hicieron montando VPNs, que es lo más fácil que se puede hacer a la hora de mover cargas de trabajo sin tener la infraestructura y los recursos previstos.

Por lo tanto, ha quedado mucho por hacer y lo están haciendo poco a poco para mejorar los procesos. 

Por otra parte, había falta de hábito en el trabajo en remoto, algo que nos lleva a cosas como la ampliación de las superficies de ataque: muchos ordenadores que estaban acostumbrados a estar protegidos dentro de un perímetro, de repente estaban desprotegidos al sacarlos fuera y  conectarlos a los routers estándar de nuestros operadores particulares. 

Además, la propia temática de la pandemia ha sido utilizada por los ciberdelincuentes a sabiendas de que habría un mayor porcentaje de personas haciendo clic donde no debían debido a la incertidumbre provocada por la COVID-19. 

En cierta forma, quien ha impulsado más la digitalización no ha sido el CIO o el CEO, sino la propia COVID-19. A las empresas no les quedaba otra que dar el salto. Un salto de gigante que aún tiene mucho recorrido por delante.

—A día de hoy, ¿están las empresas realmente concienciadas de la necesidad de cambiar los modelos de seguridad con el teletrabajo?

El problema es que muchas empresas aún no han cambiado el chip para conseguir que la seguridad sea algo transparente para los usuarios y para darse cuenta de que los métodos deberían cambiar en función de dónde se encuentren los trabajadores, pero manteniendo la misma experiencia de usuario. Una vez que las empresas consiguen esto, el teletrabajo es mucho más sencillo y seguro. Los mecanismos de conexión a las aplicaciones y servicios empresariales deben ser los mismos para el usuario aunque de forma interna varíen de una localización a otra.

—En un mundo laboral cada vez más diluido por el modelo de trabajo híbrido, ¿cuál crees que debería ser la configuración de ciberseguridad idónea?, ¿más dirigida el ‘end-point’, a la nube o se trata de buscar un acercamiento global?

Más que una configuración de ciberseguridad yo hablaría de una estrategia de TI homogénea que se aplique a todos los sitios por igual. Obviamente, el modelo de seguridad desde la nube debería predominar debido a que los dispositivos de los usuarios, por la tendencia al modelo de trabajo híbrido, ya no tienen que estar dentro de las compañías. La autenticación de doble factor (o similares) a través de cualquier navegador predominará y es el método que debería adoptarse de forma global. Aquí entra en juego la arquitectura SASE. Aquellas empresas que tengan aún aplicaciones hospedadas en sus centros de datos de forma tradicional deberán ir adaptándolas al modelo de seguridad y autenticación en la nube que comentaba. 

—¿En este paradigma, qué cabida tiene el antivirus tradicional que se instala en los ordenadores?, ¿crees que perderá relevancia?

Es una discusión que llevo teniendo desde hace mucho tiempo. Es cierto que los antivirus son recursos muy fáciles de desplegar y siguen teniendo sentido a la hora de detectar las  amenazas tradicionales existentes. Pero efectivamente el paradigma de seguridad ha evolucionado mucho, sobre todo con la llegada de los XDR [Extended Detection and Response: detección y respuesta en múltiples capas de seguridad], que ha desplazado al antivirus tradicional para dejarlo como algo que está ahí pero que no sirve para segurizar los dispositivos frente a las amenazas sofisticadas de la actualidad.

—¿Qué es lo que te llevó a liderar una empresa como ThreatQuotient y qué retos te has marcado a corto plazo?

Tras 7 años en Cisco con cierto éxito y habiendo sido una gran experiencia, llegó un momento en que necesitaba afrontar nuevos retos. Y ThreatQuotient me ofrecía varios. El principal es que estamos analizando en estos momentos la ciberseguridad que llegará dentro de un par de años. Posicionar un producto que ya existe en el mercado, como hacía en mi anterior etapa, es algo que está bien, pero desde un punto de vista estratégico me aportaba menos. Hablar de la tecnología de ciberseguridad que existirá en el futuro me parece interesantísimo. El reto de evangelizar, que es lo que estoy haciendo en estos momentos, me atraía bastante. 

Se trata de reunirme con las empresas, ver lo que están haciendo, hablarles de lo que necesitarán en un par de años y convencerles de que les podemos acompañar en esa evolución con nuestra plataforma. Para mí es algo muy bonito y estoy convencido de estar aportando algo más de lo que aportaba hasta ahora.    

Por otra parte, en ThreatQuotient hay personas que ya conocía de etapas anteriores en las que confío mucho. Me gusta el equipo que se ha montado, me gusta la tecnología y me gusta la propuesta que se ha construido para hacer evolucionar a las compañías en algo tan difícil como es la puesta en práctica de la ciberinteligencia. Si a todo esto le añades que estoy aprendiendo mucho cada día, la combinación es perfecta. 

—La diferencia a nivel de estructura empresarial también ha cambiado notablemente…

ThreatQuotient en España funciona como una startup. Todo es muy dinámico y contamos con tecnología puntera. Me recuerda a cuando empecé en SourceFire hace ya muchos años [compañía adquirida por Cisco en 2013]. Aquí no hablamos de grandes volúmenes de ventas sino de un nicho de mercado muy concreto. 

Nuestro objetivo principal son las compañías del IBEX y las organizaciones relacionadas con Defensa en el sector Pùblico. No es una plataforma dirigida a la mediana empresa.

Veremos cómo evoluciona el mercado durante el próximo año y medio y, a partir de ahí, nos plantearemos cómo crecer. 

—Es ahí donde encaja vuestra plataforma ThreatQ. ¿En qué consiste?

La idea es ayudar a las compañías a implementar buenas prácticas en ciberinteligencia, un proceso que cuenta con muchas etapas. En estos cinco meses que llevo en la compañía, he recorrido todo el IBEX y parte de la Administración Pública. Efectivamente, se trata de un mercado muy inmaduro aún desde el punto de vista de la ciberinteligencia.

La plataforma ThreatQ ayuda a automatizar todos los procesos que ya tienen las organizaciones: los programas espía para conocer qué están haciendo los ciberdelincuentes, los servicios que proporcionan información sobre la reputación de marca y los posibles ataques dirigidos a ellas, etc. En general, se trata de información muy sensible que las grandes organizaciones necesitan tener pero que llega desde distintas fuentes y organismos públicos y privados. Todos esos datos hay que gestionarlos correctamente para saber cuáles son los hay que tener en cuenta y reaccionar consecuentemente a través de los recursos de ciberseguridad disponibles.

La información es procesada y automatizada por ThreatQ a través de la interconexión de los flujos de datos con dichos recursos. El resultado es la identificación y respuesta frente a amenazas de forma proactiva y dinámica, en tiempo real.

—Aunque en el mundo de la ciberseguridad hay mucho gurú que prefiere esconder sus avances y conocimiento frente a ataques para adelantarse a su competencia…

Cada vez menos. De hecho, nosotros utilizamos conectores para comunicarnos con los distintos sistemas de seguridad y poder normalizar toda la información que generan. El  mundo de la ciberseguridad es cada vez más abierto y es algo que se asumió hace tiempo.

Para conseguir una plataforma de ciberinteligencia eficiente es necesario conectarse a todas las fuentes de información, es algo en lo que ThreatQuotient es especialista. 

—¿Qué importancia tiene la inteligencia artificial y el aprendizaje de máquina en este procesamiento tan complejo de la información y la posterior toma de decisiones?

Nosotros preferimos hablar de aprendizaje de máquina a la hora de recabar toda la información de sucesos acontecidos para obtener una visión mucho más amplia. A medida que pasa el tiempo contamos con más datos, la experiencia se incrementa porque la plataforma no “olvida” los ataques pasados, sino que los va incorporando a la lista. Una vez procesada y filtrada, la figura del analista sigue siendo importante: Nuestra plataforma nunca sustituye la inteligencia de un analista sino que le facilita enormemente el trabajo al priorizar los datos realmente valiosos.