Comparte:
Ciberseguridad
5 de abril de 2018

“Wild wild west 2.0”: estado del arte de la ciberseguridad

“Wild wild west 2.0”: estado del arte de la ciberseguridad

“Wild wild west 2.0”: estado del arte de la ciberseguridad

Escrito por , 5/04/2018

Con media vida profesional ligada a la ciberseguridad he podido contemplar su evolución desde aquellos tiempos en que “los chicos de seguridad” eran un mal necesario hasta la actualidad en que la seguridad se afronta como una oportunidad de negocio y forma parte ineludible de la agenda del comité de dirección.

Incluso desde finales del año pasado el término hacker ya no solo se refiere a  piratas informáticos sino que tiene la consideración -¡ha costado!- de “persona experta en el manejo de ordenadores, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora”.

Afortunadamente también este mundo, de protagonismo casi exclusivamente masculino años atrás, cuenta cada vez más con perfiles femeninos con papeles en todos los ámbitos: desde desarrollo de productos y soluciones hasta en el entorno hacker. Un ejemplo de ello es Yaiza Rubio, analista de seguridad de ElevenPaths que, entre otros logros, ha sido la primera mujer hacker de España en participar en DefCON & BlackHat, las dos conferencias más importantes de ciberseguridad.

Lo que no cambia es que el cibercrimen se mantiene en continua evolución y crecimiento. Se estima que en la actualidad ocasiona un coste de 600 mil millones de dólares a la economía global según un estudio de CSIS (Centro de estudios estratégicos e internacionales) en colaboración con McAfee, con un impacto en algunas de las principales economías mundiales por encima del 1 por ciento de su Producto Interior Bruto. En España, el mercado de la ciberseguridad ronda los 1.000 millones de euros anuales y se prevé un crecimiento contenido pero sostenido del 5 por ciento hasta 2020. Es muy llamativo el dato de que el software de seguridad pirata mueva en torno a 150 millones de euros al año. Por familias de servicios destacan en crecimiento las soluciones de seguridad gestionada y seguridad cloud  y la consultoría, seguidas por proyectos y venta de equipamiento.

Telefónica, con una experiencia de más de quince años en la gestión de la seguridad de sus clientes, es uno de los actores más relevantes en el ámbito de la ciberseguridad tanto en España como en el mundo, con diferentes tipos de soluciones, un equipo multidisciplinar de especialistas y sus SOCs, centros de excelencia en la operación de seguridad que trabajan de forma coordinada entre sí y con organismos nacionales e internacionales. También es fundamental el trabajo conjunto con partners de primer nivel para poder ofrecer siempre la mejor tecnología.

Para hablar de todo ello entrevistamos a Pedro Pablo Pérez, uno de los mayores expertos en ciberseguridad y en la actualidad VP Security & CEO de ElevenPaths, la unidad global de ciberseguridad de Telefónica, que ha permitido el posicionamiento líder que mencionaba y lidera la concienciación e innovación abierta en este campo. Desde ElevenPaths esperan que este año la ciberseguridad aumente su relevancia en todo el mundo y su demanda siga creciendo a doble digito. Ellos, por su parte, seguirán innovando, participando en los principales foros de ciberseguridad, creando nuevos productos, generando patentes y contribuyendo a que el mundo sea un poco más seguro.

-En un encuentro reciente con clientes hablabas del “Wild wild west 2.0” ¿es el entorno digital el nuevo Oeste?

El mundo de la seguridad de la información tiene apenas treinta años de historia, pero en la última década se ha convertido en algo muy relevante para las empresas y, tras los graves acontecimientos de los últimos tres años, está entre las prioridades de todas las compañías y administraciones públicas. Por su falta de historia sufre una falta de regulación y madurez, de ahí el símil de que estamos viviendo el salvaje Oeste en la actualidad en este ámbito.

-¿Qué implicaciones va a tener el nuevo RGPD que será de obligado cumplimiento el próximo mes de mayo?

La regulación en áreas tan poco maduras como la ciberseguridad siempre es un dinamizador. En este caso la obligación de tener un responsable (DPO), las altas multas y el alcance europeo de la normativa han provocado una alta receptividad en las empresas, especialmente en las grandes multinacionales. Sin embargo, todavía quedan muchas dudas sobre su llegada a las pymes así como sobre la gran variedad de iniciativas para recabar consentimientos y su impacto real en la protección de datos para los consumidores finales. Como comentario general creo que la iniciativa es altamente positiva, y me reservo la valoración final para diciembre de este año cuando veamos la eficacia y eficiencia de las medidas tomadas.

-Un aspecto del que se habla siempre como condición sine qua non para la seguridad es la concienciación al respecto. Después de los últimos ataques y de que tú mismo hayas intervenido a lo largo de 2017 en numerosos eventos en los que se trata de concienciar sobre su importancia, ¿crees que se está avanzado algo en este sentido?

Sin duda la base es educación, entrenamiento y concienciación (SETA: Security Education Training and Awareness). En los últimos tiempos, debido a las grandes brechas y problemas de seguridad, la concienciación se ha extendido pero, evidentemente, el camino más adecuado no es concienciarse tras el caos. En cualquier caso, los capítulos de seguridad se han convertido en algo clave en foros como Davos o cuando se aborda la transformación digital.

-La transformación digital está cambiando la visión que se tiene de la seguridad ¿Es necesario también un cambio cultural al respecto o las trabas en este caso son económicas, tecnológicas, de falta de expertos u otro tipo?

La carencia de profesionales es algo crítico, pues según diversas fuentes en este momento la falta de expertos en ciberseguridad se cifra en más de un millón de profesionales. Por otro lado, la inversión en seguridad es todavía muy heterogénea entre los diferentes sectores o tamaños de empresas, lo cual se está corrigiendo según avanzamos en grado de madurez. Por el contrario, la tecnología actual está en un grado de madurez bastante alto, pero la falta de profesionales, la capacidad de inversión y el cambio continuo provocan que la seguridad del conjunto diste de ser óptima.

-Parece obvio que la seguridad es clave para generar confianza y ayudar al despegue de los servicios y la economía digital… ¿Crees que uno de los principales problemas es que no se percibe la seguridad como un elemento transversal que aporta valor al negocio y solo nos acordamos de Santa Bárbara cuando truena?

Esto “va por barrios”. Hay sectores en los que la inversión en seguridad tiene su prioridad ganada desde hace años, como el financiero. Por el contrario, las pymes son más propensas a invertir en seguridad (que ven como un gasto) cuando han sufrido directamente un evento clave o un incidente grave (ransomware, pérdida de información sin copias de seguridad, robo de información confidencial, etc.).  La parte positiva es que en la actualidad la seguridad tiene un papel protagonista y va mejorando la resiliencia de las empresas.

-¿Cuál es tu impresión sobre el grado de madurez en seguridad de las grandes empresas y  pymes?

Hay dos ejes –el tamaño de las empresas y el sector de las mismas- que hacen que tengamos cuatro cuadrantes muy diferentes:

  1. Empresas grandes en sectores críticos (perspectiva ciberseguridad): alta concienciación y por ende alta inversión
  2. Empresas grandes en sectores menos digitales: concienciación media y seguridad entendida como gasto necesario
  3. Pymes en sectores críticos: concienciación en función de vivencias y por tanto priorizan gasto/inversión
  4. Pymes en sectores menos digitales: desconocimiento del riesgo y, en consecuencia, fragilidad absoluta

-¿Cómo ayuda Telefónica a protegerse a estas empresas?

En el ecosistema actual hay dos propuestas de valor distintas. Para las pymes ofrece todo lo necesario como servicio, es el compañero ideal para que todo este seguro y ellas puedan olvidarse de las complejidades técnicas, procesos y personal cualificado.  En el mundo de las grandes corporaciones y administraciones públicas esto es más complejo, dado que coexisten varios proveedores y el cliente tiene personal altamente cualificado, por lo que existen soluciones más a medida para cada necesidad, grado de madurez y momento particular.

-Una propuesta de seguridad integral y con un planteamiento disruptivo parece el enfoque idóneo, ¿qué otras características añadirías?

La seguridad integral  es clave para las empresas, pero también lo es la necesidad de foco. Muchas de las iniciativas en seguridad se centran en protegerse contra adversarios altamente avanzados, pero esas mismas empresas no han contemplado “los básicos”. Nosotros siempre insistimos en que la seguridad es un proceso, no un simple compendio de tecnologías; en seguridad es preciso agregar tecnologías, personas y procesos para su gestión eficaz.

-Cada vez se habla más de mobile first pero, ¿cómo está la seguridad en el mundo móvil? Recientemente oíamos hablar de un virus que aunaba tantas funcionalidades dañinas que era capaz de deformar la propia batería del teléfono… ¿Destacarías alguna particularidad de la seguridad en este entorno?

El mundo móvil no está exento de amenazas y vulnerabilidades. Además del consabido malware, especialmente extendido en Android, está el posible robo/pérdida del terminal, ataques de phishing, aplicaciones maliciosas, accesos por múltiples métodos de comunicación o las propias vulnerabilidades del sistema operativo. Como regla general es clave tener el sistema actualizado, usar aplicaciones descargadas de markets confiables, protección anti malware y control para el borrado remoto seguro. Adicionalmente, en los sistemas empresariales se hace necesario el uso de MDM (Mobile Device Management). Escribir apps seguras es también otro aspecto que la industria no debe descuidar.

 

Sobre el autor

Alberto Fernández Castro

Alberto Fernández Castro

Ingeniero de Telecomunicación por la Universidad Politécnica de Madrid. Interesado en la tecnología, en particular en su evolución imparable, su influencia en nuestro día a día y en nuestra manera de relacionarnos. Especializado en el "impulso" de Servicios TIC en grandes clientes, especialmente en sus facetas de cloud y seguridad, what next? Apasionado de las charlas con gente interesante y los largos paseos por el campo.
Ver todos sus artículos »