"El foco por tanto tiene que cambiar, hay que pasar de las defensas a la rápida detección y respuesta", Nikos Tsouroulas, 11Paths
- IT User
Nikos Tsouroulas, y jefe del equipo de gestión de productos de ciberseguridad de 11Paths en Telefónica, nos habla de los principales errores que se comenten en seguridad y cómo está evolucionando esta área del negocio.
Hablar de seguridad es muy amplio, pero, ¿cuáles son los principales errores que cometen las empresas en materia de seguridad?
El primer error cometido por las empresas hasta ahora es algo que se ha visto en muchas ocasiones en el pasado, incluso en ámbitos fuera de las TI. Las empresas no toman medidas frente a emergentes amenazas de seguridad hasta que se vean directamente afectadas o muy cerca de serlo.
El segundo error es esperar que medidas parciales, “tapando agujeros” según se manifiestan, será suficiente. Aunque ciertas acciones rápidas y puntuales sean imprescindibles, por ejemplo, resolver una vulnerabilidad en un website y contratar un servicio de pentesting continuo para prevenirlo en el futuro, no son suficientes para controlar todo su riesgo de forma definitiva.
La empresa tiene que proteger todos los eslabones débiles de su negocio, cuando un atacante solo tiene que encontrar un fallo en cualquier eslabón para poder ser exitoso. La ciberseguridad hoy en día tiene que verse de forma holística. No solo tratar la tecnología sino también a las personas, los procesos y la organización. Los activos a proteger no es el PC de los empleados, ni la red corporativa o los servidores, sino los datos de los clientes, la propiedad intelectual de la empresa, la continuidad de negocio, la imagen y la reputación de la marca. Y para abordarlo requiere un plan de seguridad que abarque prácticamente todos los aspectos de una empresa. Un plan que tratando lo urgente e inmediato a la vez establezca las bases para un proceso de mejora de la seguridad de la empresa continuo y constante.
¿Hacia dónde está evolucionando la seguridad? (integral, vertical, extremo a extremo, especializada, perímetro...)
Las empresas hoy en día se enfrentan con dos realidades contradictorias. Tienen que ser Digitales, pero ser Digital conlleva un riesgo nuevo: los ciberataques. Para luchar contra estos, Telefónica y otras empresas se unen para dar respuesta más rápida y contundente a las amenazas.
Tener canales online y utilizar las redes sociales es una necesidad para cualquier empresa. Pero esto implica que activos muy importantes como la continuidad del negocio, los datos de los clientes y de los empleados estén expuestos a nuevos riegos. Un error de programación, un defecto en un SW de terceros, etc. son suficientes para abrir la puerta a fugas de millones de registros. Incluso gigantes del mundo online como Adobe e Ebay han sido víctimas de este tipo de incidentes durante los últimos años, dejando expuestos casi 300 millones de registros de usuarios.
Ser competitivo hoy en día requiere utilizar lo último de la tecnología de información, depender de proveedores y cadenas de suministro complejas, adoptar la Cloud y las tecnologías de la movilidad. Los departamentos IT tienen cada vez sistemas más heterogéneos y más complejos que gestionar e incluso menos control de los mismos. No solo es más fácil encontrar brechas de seguridad, los atacantes muchas veces ya no apuntan directamente a las empresas maduras en seguridad, sino a aquellos de sus suministradores que están peor preparados. Así fue el caso del incidente del retailer de EEUU Target, que perdió unos 40 millones de números de tarjetas y sufrió unas pérdidas de 200M USD en un ataque que empezó por un suministrador suyo.
Finalmente, en el mundo de internet muchos riesgos están totalmente fuera del control de las empresas. Un grupo hacktivista que lanza un ataque DDOS puede causar daños graves de imagen o pérdidas de millones de facturación dejando saturado e inaccesible un canal online. Un simple comentario erróneo, una foto o un vídeo en una red social pueden crear una bola de nieve que dañe de forma muy considerable una marca. Un fallo en un sistema o un producto SW de un tercero, como fue el caso de Shellshock que dejó millones de servidores vulnerables, puede invalidar cualquier defensa.
Detrás de todo esto hay ya una industria de cibercrimen organizado muy sofisticada y ágil que está siempre un paso por delante de cualquier defensa que pueda poner una empresa. Y acorde con la avalancha de noticias que hemos vistos durante los últimos años cualquiera es vulnerable. De la empresa más grande a la más pequeña. Desde retailers, bancos, especialistas de seguridad y gigantes del internet hasta gobiernos y estados.
El cibercrimen está muy organizado, es global y utiliza lo último para colaborar, compartir y hacer su negocio. Además, el mercado de los proveedores de seguridad, se compone de numerosos actores que cubren distintas partes del problema y que, muchas veces, no está tan organizado como la amenaza a la que hacen frente.
La seguridad tradicional se basa en el concepto del perímetro. En las defensas. En construir castillos. Firewalls en las redes, antivirus en los PCs. En el nuevo mundo Digital esto no funciona. Es necesario, pero no suficiente.
Como se dice en el círculo de seguridad hay dos tipos de clientes: los que ya saben que han sido víctimas y aquellos que lo han sido, pero aún no lo saben. El foco por tanto tiene que cambiar, pasar de las defensas a la rápida detección y respuesta.
Según nuestra visión, este paradigma será el dominante en los próximos años.
¿Es la seguridad total una utopía? ¿Por qué?
No existe seguridad total en el ámbito de la Ciberseguridad. Al igual que no la hay en ningún otro ámbito de nuestras vidas. En nuestras casas tenemos puertas blindas, cerrojos de seguridad, detectores en la venteas, vigilancia con cámaras, cajas fuertes etc. Pero sigue habiendo robos y lo tenemos todos asumido. Eso sí, protegemos para prevenir, tenemos medidas para detectar y mitigar rápidamente las consecuencias y, en muchos casos transferimos el riesgo con un seguro contra robos. Lo mismo está sucediendo con la Ciberseguridad, incluyendo además la parte de los seguros, con la última oleada de productos de Ciberseguros que están apareciendo.
¿Cuáles son, en su opinión, los principales desafíos que en materia de seguridad hay ahora mismo? ¿Y en el futuro?
El mayor desafío ahora mismo es la concienciación y la madurez organizativa de las empresas. La ciberseguridad está ya en el núcleo de los negocios. Hay incidentes de seguridad que pueden afectar de forma severa a un negocio, como sucedió por ejemplo el caso de la cadena de tiendas Target en Estados Unidos que tuvo que sufragar unos costes de 200 millones de euros después de una fuga masiva de 40 millones de tarjetas de crédito y 70 millones de registros de datos de clientes y vio a su CEO dimitir. La ciberseguridad tiene que ser un el orden de día del board de cada empresa con visibilidad al propio CEO, y ser una línea estratégica para el negocio de prácticamente todas las empresas del día de hoy.
En el plano tecnológico hay también un reto muy importante que resolver. El Internet de las Cosas, la promesa de interconectar prácticamente cualquier objeto que estemos utilizando en nuestro día a día: televisores, coches, electrodomésticos, sensores de temperatura, cámaras... Hablamos incluso ciudades inteligentes y plantas de producción inteligentes (Industria 4.0)... En este ámbito la ciberseguridad será crítica. Sin ella simplemente no se va a poder alcanzar el potencial de estas tecnologías. Sobre todo, porque ahí se unen los mundos de la seguridad (security) con la seguridad de las personas (safety).
¿Las empresas españolas se muestran más o menos preocupadas por cuestiones de seguridad que otras (europeas, internacionales)? ¿Hay algún asunto que les preocupe más que otro?
En España ahora mismo hay una brecha muy grande entre empresas grandes que están en la vanguardia de la ciberseguridad con el resto de empresas que están poco maduras, enfocadas principalmente en temas de protección de datos de carácter privado y soluciones básicas de virus y malware en puesto de trabajo y redes. El primer reto es la concienciación y la madurez organizativa en ámbito de ciberseguridad.
Quizá tambien te interesen estas entrevistas del tema de portada de IT User de diciembre de 2015, centrado en el mundo de la seguridad...
