Recuperando con gran éxito el formato presencia, este encuentro de referencia para los profesionales de la seguridad de la información, trató de aportar respuestas en los ámbitos de gobierno y estrategia relacionados con la innovación y el proceso de transformación digital, el compliance tecnológico o la alineación de la ciberseguridad a los riesgos para el negocio.
El foro se estructuró en dos bloques o Tracks, uno dedicado a las estrategias de ciberseguridad y otro a las tendencias en ciberseguridad. Un formato que dificultó el seguimiento de la totalidad de las mesas, por lo que lo que sigue es una visión amplia pero no exhaustiva de los allí tratado.
Sí cabe destacar que entre los aspectos clave de la sesión, se abordaron la Identificación y la automatización de respuesta ante amenazas, se analizó el nivel observable del apetito de riesgo en las entidades en base a prácticas como los ciberejercicios multisectoriales, se evaluó la ciberseguridad como inversión de la mano de expertos en economía de empresa, y se revisó el papel del rol de CISO en el marco organizativo.
Como señaló en la inauguración del evento Daniel Lagarcha, CISO de Mapfre, en la actualidad las empresas se encuentran en medio de una nueva realidad digital que se ha convertido en escenario de fuego cruzado en el tablero geopolítico. En este escenario, en el que las empresas tarden de media seis meses en recuperarse de un ataque grave, las organizaciones que se desarrollan mejor son las más resilientes, las que permiten a sus negocios estar siempre operativos.
La situación del sector
La ponencia inaugural del Track 1 corrió a cargo de Don Gibson, Head Of Cyber del Department for International Trade (DIT) británico, donde habló en su ponencia online sobre la transformación de los enfoques de ciberseguridad al mercado. Gibson destacó los valores de la ciberseguridad, qué estamos defendiendo con la ciberseguridad en la transformación digital y su valor distintivo además de las claves para gobernar la ciberseguridad en este proceso de transformación actual.
Para situar las tendencias apreciadas en esta materia, en la mesa titulada “The perfect storm”, intervinieron María Ramirez, Enterprise Solutions Engineer de Akamai; José Luís Díaz, VP - Managing Director EMEA de Cipher; Koen Claesen, Senior Cyber Security Advisor de Huawei; Roberto Heker, Director de NextVision; Vicente de la Morena, Country Manager Spain & Portugal de Riskrecon, y Miguel Pleite, Sales Engineer Manager de Splunk, moderados por Carlos Pérez, CISO de Abanca.
En ella se explicó que está aumentando la conciencia de que la ciberseguridad tiene impacto en el negocio, aunque el negocio todavía no le dedique demasiada atención (Heker). Y que ya se pueden definir casos de uso de riesgos reales que afectan a las empresas, por lo que estas solicitan soluciones para problemas concretos y tangibles, lo que dificulta la aplicación de medidas estratégicas.
En cuanto a las tendencias que se están aplicando, Pleite explicó que si bien hasta ahora los atacantes buscaban el punto más débil del atacado, ahora tratan de optimizar la eficiencia en sus ataques, por lo que se ha pasado de atacar el área de IT a la de operaciones, es decir, el proceso productivo o incluso a los proveedores, como nuevas puertas de entrada. Y es que, como explicó de la Morena, es mucho más interesante, fácil y barato, atacar la cadena de suministros, que es mucho más amplia y vulnerable.
Por otra parte, Guillem Colon, Codirector de Thiber, habló de “Mitos y Realidad en la Ciberescalada y Ciberdisuasión en la Guerra de Ucrania” en el Track 1 y Kai Roer, managing the CLTRe Research Center, de “The Security Culture Playbook” en el Track 2.
La visión de las grandes organizaciones: EUROPOL y Microsoft
Por otra parte, también en el Track 2, Luis de Eusebio, Deputy Executive Director y CIO de EUROPOL, habló sobre el rol de esta organización dentro de la política de ciberseguridad europea, como hub de información europeo sobre la actividad criminal en el ciberespacio. Una actividad que en los últimos tiempos se centra en el ransomware, el desarrollo de inversiones fraudulentas y la ruptura de los dobles controles de protección, todo ello con foco en objetivos de alto valor.
“Nuestra función, destacó, es el análisis de información y la generación de inteligencia sobre hechos criminales, nos dedicamos a apoyar a las policías europeas en todo el ciclo de investigación de una determinada operación, generamos análisis de esa información, es decir, lo que nosotros denominamos “collect to connect”, recogemos información y establecemos puntos comunes entre la información recibida de un estado miembro y otras policías”. Para ello, el Centro Europeo contra el Cibercrimen realiza tareas de coordinación, análisis forense e investigación.
De esta manera intentan ayudar en la coordinación de operaciones en el terreno y en el establecimiento de estrategias entre las distintas policías tanto a nivel estratégico, en determinadas materias que son de interés común a todas las policías, como también en determinadas cuestiones que quizás tengan un carácter más táctico, pero son decisivas en orden de luchar contra el crimen trasnacional” destacó Luis de Eusebio.
En la ponencia paralela del Track 1, Lesley Kipling, Chief Cybersecurity Advisor de Microsoft EMEA, expuso los anti-patrones en seguridad. “La misión de Microsoft es empoderar a todas las organizaciones y personas del planeta para lograr más, pero queremos hacerlo de manera segura, sostenible y con empatía digital. Queremos que la tecnología sea algo transparente”.
Los malware más punteros
Por otro lado, Pablo Valenzuela, Sales Engineer Manager de Recorded Future, centró su ponencia en el Infostealer Malware, nombre genérico de un conjunto de programas informáticos maliciosos del tipo troyano, que se introducen en un ordenador con el propósito de obtener de forma fraudulenta información confidencial del propietario, tal como su nombre de acceso a sitios web, contraseña o número de tarjeta de crédito, con la característica de que solo se ejecutan y desinstalan una vez completada su misión.
Se trata de una actividad realizada por unas quince empresas ya identificadas, aunque la mayoría de ataques proceden de dos de ellas. Los datos que obtienen se suelen vender después muy baratos en la Dark web.
Dada las características de este software, Valenzuela explicó que se necesitan reglas específicas, como los sistemas IDS o IPS, que permiten detectar actividad maliciosa mediante reglas YARA específicas (las reglas YARA son unas herramientas informáticas de código abierto que permiten fijar sus propias reglas para identificación de malware), o integrar estas alertas con un sistema UBA (de análisis del comportamiento del usuario), para aumentar su nivel de riesgo. Recomendó no reutilizar contraseñas, realizar campañas de phishing interno con el fin de concienciar, no descargar material de sitios con baja reputación, agregar feeds de inteligencia y aplicar arquitectura Zero Trust (un método para diseñar la infraestructura de ciberseguridad de la red de una organización basado en el principio de que no se otorga confianza implícita a ninguna parte de la red).
Diseñando arquitecturas seguras con el modelo Zero Trust
Precisamente al Zero Trust model se dedicó la ponencia de Marc Lueck, CISO EMEA de Zscaler.
Lueck explicó la importancia de eliminar la confianza implícita en las organizaciones, apuntando que en lo que se puede confiar es: en las identidades, que es lo que se puede validar; en los path de acceso (mejor si son en dos pasos), confiar en el endpoint, en el entorno de aplicaciones y en en workload.
Añadió que esta tecnología se basa en tres principios: verificar (lo que incluye autenticar y autorizar); limitar (lo que incluye otorgar menos privilegios de acceso) y adaptar, ajustando los derechos de acceso (porque que hayas confiado ayer no significa que puedas seguir confiando mañana).
En resumen, para construir una arquitectura de ciberseguridad confiable hay que tener en cuenta que Zero Trust no es una simple etiqueta, sino una metodología de trabajo. Que para implantarla hay que analizar previamente la confianza implícita en cada proyecto y en cada arquitectura, eliminándolo siempre que sea posible y, finalmente, elegir la tecnología que se va a aplicar, en función de sus resultados y no de que lleve la etiqueta de Zero Trust. Y para empezar a aplicarla “Think big, start small” (piensa en grande, empieza por lo pequeño).
Acelerando la respuesta: automatizando la detección
Ricardo Hernández, Country Manager Iberia de Vectra, explicó por su parte que el ransomware es frecuentemente la última parte de un ataque, por lo que, si solo se trata de prevenir este, se pierde el foco sobre todo lo anterior.
El problema, en este sentido, proviene de que los tiempos de que se emplean en detectar los ataques son muy altos. Lo que provoca que el denominado Median Dwell Time (o tiempo que tarde un ataque en ser detectado, desde que se inicia), haya aumentado en los últimos tiempos.
En general, la tendencia para ello es tratar de controlar los logs o registros generados por el sistema, pero en estos se pueden borrar los rastros. Por ello, posibles alternativas consisten en capturar los datos de otra manera para mejorar su calidad, es decir, generar metadatos de ciberseguridad de alto rendimiento; establecer correlaciones estáticas con los casos de uso, utilizando las herramientas de Inteligencia Artificial para detectar comportamientos maliciosos y trata de corregir la fatiga de las alertas, gestionando los procesos de manera más eficaz por medio de una IA avanzada.
El siguiente reto: la protección de la identidad
Sobre este importante tema habló Álvaro Garcia, Senior Sales Engineer Iberia de Crowdstrike, explicando la abundancia de sistemas como Kerberoasting o Golden Ticket, diseñados para penetrar en sistemas ajenos con notable facilidad, por lo que destacó la importancia de herramientas como la autenticación multifactorial, para prevenir que el ataque llegue a ser eficaz.
El buen gobierno de la ciberseguridad
Este fue tema al que se dedicó la última mesa de la mañana, formada por Gonzalo Asensio, CISO de Bankinter y Board Member de ISMS Forum; Rafael Hernández, CISO de Cepsa y Board Member de ISMS Forum; Jesús Mérida, CISO de Iberia y Board Member de ISMS Forum; Esther Muñoz, Subdirectora General de Ciberseguridad, Protección de Datos y Privacidad, Madrid Digital de la Comunidad de Madrid y Alberto López, CISO de Solaria y como moderador Gianluca D’Antonio, Partner de Deloitte y Presidente de ISMS Forum.
D’Antonio señaló para empezar que la gobernanza de la ciberseguridad la constituyen ese conjunto de principios orientados a la alta dirección con la finalidad de involucrarla en la definición y gestión de la estrategia de ciberseguridad. La realidad muestra que si la ciberseguridad se deja exclusivamente en manos del área técnica, no es suficiente.
En este sentido, Rafael Hernández señaló que la concepción de la ciberseguridad en la empresa privada suele ser de gestión de riesgos y basada en el miedo, olvidando con frecuencia que la ciberseguridad aporta un valor al negocio basado en la continuidad del mismo.
Y un problema adicional, indicó Gonzalo Asensio, es que los consejos de administración suelen estar formados por personas que llevan mucho tiempo en el mismo trabajo, por lo que suele resultar difícil hacerles entender la importancia de los nuevos roles.
Por ello, el objetivo del CISO debe ser dar respuestas al consejo sobre cuestiones complejas; acompañar y tener compromiso con el negocio.
Por su parte, Jesús Mérida destacó que “El riesgo real es no entender el riesgo en sí mismo y el no facilitar o dotar a la empresa las medidas o medios adecuados para afrontar dicho riesgo… Hoy en día, todo el mundo tiene el riesgo de ciber como uno de los riesgos principales de las empresas. Prácticamente todas las empresas están abordando, por ciertos motivos, porque sea un plan preconcebido o porque la pandemia les ha abocado a ello, a transformación digital de sus procesos de negocio y no puede existir la transformación digital sin la ciberseguridad o al menos, es una irresponsabilidad absoluta el plantear procesos de negocio tecnológicos sin contar con ciberseguridad.”
Algo que no se diferencia mucho del ámbito público, dónde, como explicó Esther Muñoz, es necesario aportar una estrategia que defina funciones y capacidades alienadas con los respectivos roles; aportar valor y una hoja de ruta de proyectos.
Ciberejercicios
Por otra parte, en el marco del Foro se presentaron los resultados de los Ciberejercicios del 2022 de la mano de los expertos Neftali Mañes, Lead Solutions Architect Southern Europe de Cymulate; Vicente de la Morena, Country Manager Spain & Portugal, de Riskrecon; Fernando Campagnale, Chief Operating Officer & Board Member de Beygoo; Lucas Varela, Board Member, ISMS Forum Barcelona y Juan Manuel Zarzuelo, Director - IT Risk, KPMG.
Juan Manuel Zarzuelo, como evaluador, destacó que “Teniendo en cuenta lo que han contado todos los compañeros, al final podemos observar una serie de parámetros que se repiten año a año en los ejercicios y este año hemos podido ver mejoras en algunos aspectos y otros que nos siguen generando mucha preocupación. Han mencionado que en la parte de ransomware se ha visto como las empresas siguen siendo uno de los temas principales, vamos viendo mejoras en los controles y en la parte de los correos. En la parte de la navegación web ha habido compañeros que han marcado que sigue habiendo temas a mejorar y hay algún otro aspecto que también es relevante. En ámbitos generales sí que vemos mejora viendo la foto finish de todas las prácticas que se han hecho, se ve mejora con respecto al año pasado”.