Cuatro puntos clave para ser buen responsable de ciberseguridad

La plataforma CyberSecurity news, en su apartado de podcast, ha entrevistado en su #CyberCoffee a nuestro IT and Cibersecurity Manager, Antonio Marco. A continuación, hemos transcrito la entrevista que le realizaron sobre la Seguridad de la Información y la Información Tecnológica, sobre las características que necesita un profesional para ser un buen candidato para ser el responsable de ciberseguridad y mucho más. También puedes escucharla pinchando aquí.

¿Podría, brevemente, contarnos cuál ha sido su trayectoria hasta llegar a ser CISO de LANACCESS?

La mayor parte de mi carrera profesional la he desarrollado en LANACCESS, una empresa perteneciente al sector de la seguridad y especializada en todo lo que tiene que ver con el Vídeo IP. LANACCESS es actualmente líder en mercado de la videovigilancia dentro del sector bancario donde tiene una alta presencia a nivel nacional con más 10.000 de equipos instalados.

Pues bien, trabajar para un cliente tan exigente en el ámbito de la ciberseguridad como es banca, nos exige como es evidente estar a la altura. Y con esto me refiero, a cumplir con las más estrictas medidas de seguridad con el objetivo de evitar que nuestros sistemas puedan llegar a convertirse en un punto de pivotaje para el malware.

Otro factor muy importante para nosotros es asegurar la teleasistencia, es decir, que el soporte remoto que ofrecemos a nuestros clientes cumple con los más altos estándares en materia de seguridad. Porque, al fin y al cabo, nuestra visión de negocio y de cómo este debe alinearse con la ciberseguridad, es vital para el desarrollo tecnológico de nuestra compañía.

¿Por qué decidió meterse en el sector de la ciberseguridad?

Creo que, por un lado, estaría motivado por el proceso de convergencia que ha experimentado sobre todo la TI hacia el campo de la seguridad, pero también ha sido fruto de la experiencia adquirida en la administración de sistemas, dado que en muchos aspectos, la gestión TI confluye con la ciberseguridad o está íntimamente ligada.

Todos los que nos hemos dedicado profesionalmente al desarrollo de software, a la administración de sistemas, o al diseño de arquitecturas de red, sabemos que los equipamientos tecnológicos, son piedra angular de las TIC,… pero también el verdadero campo de batalla en la lucha diaria contra el ciberterrorismo.

La industria de la seguridad de la información se enfrenta a una grave escasez de habilidades. Los departamentos de TI no pueden encontrar candidatos con suficiente experiencia, hay una clara demanda del sector. ¿Por qué cree que existe esta falta de profesionales en ciberseguridad?

Si excluimos las certificaciones en ciberseguridad más orientadas al ámbito de la auditoría, el derecho o el compliance, hasta hace relativamente poco tiempo, gran parte de la formación técnica en ciberseguridad era de tipo autodidacta y este hecho posiblemente, es uno de los factores. Por otro lado, estaría, la concienciación en materia de seguridad informática, que es también algo relativamente nuevo en nuestro ideario colectivo.

Por suerte, esto parece que está empezando a cambiar, quizás debido sobre todo al goteo incesante de incidentes de seguridad que nos llegan desde los medios, no sé, todos recordaremos el famoso WannaCry, WikiLeaks, Cambridge Analytics o el sonado caso Facebook y es este acercamiento, o el sentir el riego cercano, es el que poco a poco está generando la verdadera trasformación social.

Además, en la actualidad son muchas las universidades que ofrecen másteres de en seguridad informática, e incluso me parece, que ya existe algún grado de ingeniería específico en ciberseguridad.

¿Qué características necesita un profesional para ser un buen candidato para ser el responsable de ciberseguridad?

Desde mi punto de vista existen cuatro puntos clave: el compliance, el bagaje técnico, conocer las herramientas y sobre todo la monitorización.

El compliance o conocimiento normativo es muy importante para tener una visión objetiva de las normas regulatorias que afectan a la gestión del riesgo, así como a todo lo referente con los estándares para la seguridad de la información, como por ejemplo la ISO27001, o el NIST.

En segundo lugar, como comentaba, estaría el bagaje técnico y tecnológico y con esto me refiero a conocimientos en programación, tanto en lenguajes de alto nivel, como pueden ser C, R, o Python, como también de bajo nivel como el Assembler. Además, creo fundamental tener experiencia en sistemas operativos y conocer en profundidad todo lo relativo a las redes de datos, el denominado networking.

El tercer pilar desde mi punto de vista sería disponer de amplios conocimientos en herramientas de protección perimetral y arquitecturas de seguridad: Firewalls, WAF, IDSs, IPSs, securización WIFI y VPN. Así como de las diversas soluciones de protección y gestión del EndPoint: MDM, DLP, antimalware etc. También valoraría el expertise en las soluciones y productos de las empresas referente en el sector, como Cisco, Fortinet, Check Point, Palo Alto, Trend Micro, entre muchos otros.

Y, por último y como cuarta pata, destacaría la monitorización de eventos de seguridad, conocer y saber gestionar los IOCs, es clave para la detección precoz amenazas. Esto implica tener experiencia en soluciones SIEM, que son aquellas que nos permiten correlacionar la información, un hecho fundamental de cara el tratamiento de los incidentes de seguridad.

Los ciberdelincuentes han evolucionado más allá del sótano. Cuando se enfrenta a grupos de Estados-nación y redes del crimen organizado, la seguridad debe ser proactiva. Eso significa pensar en las amenazas antes que los hackers, adelantarse a los malos.

Cuando se mira desde una perspectiva ajena a la ciberseguridad, es cierto que puede asemejarse a un escenario bélico, ¿no? donde la geopolítica y el crimen organizado tienen un gran peso específico. Pero… al fin y al cabo no todo se reduce al ataque y a la defensa, disponer de tecnología para atacar y tecnología para defenderse. La realidad es que asistimos a un escenario donde la brillantez de las personas, los equipos y las capacidades técnicas son las que realmente marcan la diferencia la diferencia, para que al final una empresa o un gobierno no acaben apareciendo en los titulares del diario tras la palabra “brecha de seguridad” o “millones de datos robados”.

Respecto a tu segunda pregunta sobre cómo adelantarse a los hackers, ciertamente existen diversas tecnologías para poder ir un paso por delante, y sirven para protegernos de los ataques también conocidos como de día cero o Zero-day. Estos tipos de ciberataques desconocidos, hasta el momento, que explotan una vulnerabilidad podrían tener su símil cibernético en la actual pandemia, pues la COVID-19 se asemejaría mucho a un ataque de propagación automática de uno o más exploits de día cero, lo que implica que pasen inadvertidos por lo general, y que solo sean detectados una vez que ya han ocasionado los daños.

El conocimiento es, naturalmente, una de las principales prioridades de TI, sin embargo, es necesario trasladar esta preocupación a otros departamentos, como los líderes empresariales no técnicos o los usuarios finales de las unidades de negocio.

La Transformación Digital de un negocio no sólo involucra una nueva forma de entender las ventas, la atención al cliente, o la interacción con los proveedores. La realidad es que este proceso innovador -y hay que afirmarlo sin ánimo de alarmar- también implica riesgos que todos deben conocer. Y por eso es tan importante la formación y concienciar a todos los estratos de la organización, porque como ya sabemos el usuario siempre será el eslabón más débil.

En el caso de que descubriera un fallo de seguridad en el producto de su empresa. ¿Cómo convencería a un gerente de producto y a una junta de ingeniería del riesgo? ¿Y cómo evaluaría el riesgo de ese fallo de seguridad?

Dado en el mercado en el que estamos y en base al nuestro cliente objetivo, no podemos permitirnos fallos de seguridad, y por esta razón realizamos análisis sistemáticos y PenTest a todos nuestros productos.

Y aunque, como sabemos, la seguridad absoluta no existe, o es claramente una quimera, creo que tanto el gerente de producto, como los ingenieros de sistemas, que desarrollan el software serían los primeros interesados en conocer este hecho. Porque al fin y al cabo dependerá de ellos en última instancia, determinar el riesgo específico, y claro, después les tocará aplicar las correcciones necesarias dentro del ciclo de desarrollo de software seguro.

Los expertos en ciberseguridad deben comprender los fundamentos de las redes y la informática. ¿Cómo almacenaría las contraseñas en su base de datos?

Los datos de carácter personal, incluidas las contraseñas, es decir, la información “sensible” como sabemos está regulada por la Ley de Protección de Datos.

Para este tipo información, y dependiendo de su clasificación, la Ley establece diversos niveles de protección. Que básicamente son: el control de acceso, la gestión de soportes, el registro de incidencias, el cifrado, y por último, la destrucción segura.

Las medidas de seguridad adoptadas se concretarán después en el plan del director de seguridad, donde se deben definir también: los dispositivos permitidos, y el cifrado de la información crítica, tanto tránsito como en almacenamiento.

La TI y la seguridad requieren mucho conocimiento técnico e incluso más paciencia, los profesionales del sector también tienen la garantía de encontrarse en situaciones de alta presión. ¿Cómo manejaría la respuesta a una brecha en la que tuviera que trabajar toda la noche, cuando la vulnerabilidad de seguridad fue un simple error por parte de un usuario final?

Creo que todo CISO es consciente de los inconvenientes a los que se puede enfrentar durante un incidente de seguridad y la presión que ello supone. Por mi parte no he tenido la incómoda oportunidad de pasar una noche en vela, pero si varios fines de semana.

Pienso que la mejor forma para no tener que llegar a estas situaciones, es apostar por la prevención, ser proactivo, y sobre todo muy importante disponer de unos buenos planes recuperación y remediación. Y esto es básico, para que, dado el momento, se puedan volver a levantar servicios dentro de los tiempos definidos en el análisis de riesgos.

Porque al final, una estrategia de ciberseguridad robusta requiere de un entendimiento pleno de las necesidades, pero también, de los objetivos de la organización. No basta con instalar programas o hardware especializado, es muy importante diseñar una solución eficiente, la cual, y a partir de los factores de riesgo detectados pueda hacer frente a las necesidades reales de la compañía.