Raúl Guillén (Trend Micro): «El ‘lost in translation’ entre ciberseguridad y negocio debe acabar»
El director de Estrategia de Seguridad de Trend Micro asegura, en conversación con el analista de innovación Eugenio Mallol para ATLASTECH REVIEW, que la superficie de ataque se está expandiendo, ojo a la cadena de suministro porque los criminales actúan ya como verdaderas empresas y los Estados han decidido sumarse a la 'ciberconfusión', analiza también la creciente automatización y el impacto de la directiva europea NIS2
5 de mayo de 2023
|
Compartir:
Eugenio Mallol.-Hay una sensibilidad a flor de piel, la ciberseguridad es estratégica, está en el núcleo de la toma de decisiones. Casi nos faltaba ya ChatGPT escribiendo código para ataques o la presencia de los Estados cada vez más activa.
Raúl Guillén.-La nueva situación geopolítica está provocando que muten los ataques a empresas y gobiernos de la industria del cibercrimen, que por desgracia está cada vez más profesionalizada. Históricamente veíamos que los ataques tipo ransomware, extorsión, doble extorsión, secuestro de información, tenían un driver fundamentalmente económico. Ahora asistimos a otro tipo de ataques incentivados por inquietudes geopolíticas. Los grupos de ciberdelincuentes se estructuran como empresas, están haciendo scouting de ‘clientes’, es decir, de víctimas, cualificando a quién quieren atacar para maximizar el rédito económico. La superficie de ataque, por supuesto, se está expandiendo. En Atlas Tecnológico habláis mucho de la problemática de la tecnología no sólo en el mundo IT, sino también en el OT e industrial. Y además hay un punto importante en el que hacen hincapié Gartner y el Foro Económico Mundial que es la cadena de suministro.
Y todo ello impactado por la brecha de talento, que es una carrera de fondo por intentar adquirir y retener talento. Los que estamos en tecnología tenemos que ayudar a que las empresas mitiguen y reduzcan la dependencia de las personas. Por su fuera poco, todo esto lo tenemos que aderezar con una situación económica de bastante incertidumbre y las empresas están conteniendo el gasto. En un informe reciente hemos detectado que la ciberseguridad está en la mesa de debate cuando se negocia la adquisición de nuevos servicios y contratos con sus clientes. Los riesgos cibernéticos tienen que estar asociados de una forma directa a los riesgos de negocio.
Eugenio Mallol.-Antes era relativamente cómodo para las empresas mantener la ciberseguridad en el ámbito IT y ahora la figura del CISO debe cobrar una nueva relevancia. Será uno de los cambios culturales que se tienen que producir todavía en muchas empresas.
Raúl Guillén.-Cuando hablamos de estrategia de ciberseguridad, tiene que definirse y debatirse en los comités de dirección. Es importante que negocio y ciberseguridad hablen el mismo idioma. Es fácil tener ese lost in traslation. Normalmente, los de ciberseguridad hemos estado más aislados, éramos los raros, pero al final un riesgo cibernético impacta en la capacidad productiva de una empresa, en su reputación, en su economía.
Tenemos que partir de la premisa de que nos van a atacar. Antes, no se incorporaba la ciberseguridad en la fase de diseño. En un entorno moderno hacerlo es algo asumible, pero en un entorno productivo que lleva 10-15 años en funcionamiento es absolutamente ineficaz e improductivo
Eugenio Mallol.-En un momento de confusión en el que hay que establecer prioridades, dime dónde estás viendo las principales vulnerabilidades en la industria.
Raúl Guillén.-En primer lugar, tenemos que conocer nuestro nivel de riesgo: qué activos tenemos y cómo están expuestos. Tenemos que hablar de visibilidad, de detección, hacer un discovery de todos nuestros activos del mundo OT. Antes era una isla estanca y los riesgos se minimizaban, no estaba abierta ni conectada con otras tecnologías o servicios. En el momento en que hablamos de hiperconvergencia tenemos un problema serio, porque tenemos entornos OT que tienen que estar corriendo y funcionando durante ocho, 10, 20 años, con un nivel de exposición y vulnerabilidad muy elevado.
Eugenio Mallol.-Cómo ves a la industria en España, hasta qué punto es consciente de los riesgos.
Raúl Guillén.-Un alto número de empresas lo es, está invirtiendo desde hace unos años en soluciones y servicios que les aporten esa visibilidad de los activos y el riesgo. Tenemos que empezar a introducir también el concepto de confianza cero. Según el Incibe, casi el 90% de las empresas españolas ha sido atacada durante 2022, eso supone toda la industria. Por eso, asumir la brecha es muy importante. Tenemos que partir de la premisa de que nos van a atacar. El entorno industrial es muy práctico, confianza cero es aplicar técnicas de whitelisting, hacer un categorizado de servicios que se pueden utilizar en determinados activos, mitigar la brecha de exposición con parcheado físico o soluciones de parcheado virtual… Además, y este es un error histórico del OT, no se incorporaba la ciberseguridad en la fase de diseño. En un entorno moderno hacerlo es algo asumible, pero en un entorno productivo que lleva 10-15 años en funcionamiento es absolutamente ineficaz, improductivo e inasumible.
Eugenio Mallol.-Se habla incluso de ir más allá de la confianza cero, porque las empresas ya no son unidades aisladas, sino ecosistemas. La directiva europea NIS2 lo plantea muy claramente.
Raúl Guillén.-La NIS2 es muy clara al respecto de cómo impacta la ciberseguridad. Debes ser capaz de proteger la posición de tu compañía y de tu servicio, que incluye a todos y cada uno de tus proveedores. Una de las tendencias es buscar plataformas de ciberseguridad unificada. Las prioridades para las empresas deben ser reducir y minimizar el número de servicios y proveedores. Y hay que hablar de XDR, de la Detección y Respuesta Extendida, ya no sólo dentro de tu entorno, sino en el entorno industrial y en tu cadena de suministro. El tiempo es muy importante en ciberseguridad, porque el éxito de un negocio va a estar muy asociado a lo que tardas en responder a un incidente.
En el caso del 5G, las redes privadas pueden ser muy seguras por definición, pero en el momento en el que incorporamos factor humano o dispositivos, que son vulnerables, añadimos riesgo
Eugenio Mallol.-En esta tarea, la inteligencia artificial desempeñará un papel. Se habla de automatización en ciberseguridad desde hace tiempo, incluso de la necesidad de reducir al mínimo el factor humano y de dejar en manos de la IA cada vez más responsabilidades.
Raúl Guillén.-La IA es un melón divertido de abrir, pero genera responsabilidad. Debemos poner pausa, considerar qué queremos hacer con ella poniendo la perspectiva ética dentro del contexto. Si hablamos de machine learning, deep learning, de orquestación y automatización, son herramientas muy eficientes y absolutamente necesarias para reducir la dependencia del factor humano. En el caso del 5G, por ejemplo, las redes privadas pueden ser muy seguras por definición, pero en el momento en el que incorporamos factor humano o dispositivos, que son vulnerables, añadimos riesgo. Tenemos que ser capaces de poder, si detectamos que un ataque está entrando a través de una cámara conectada a la red 5G, deshabilitar la radio y sacarlo de nuestro network slice de forma automatizada. No es tanto IA, pero sí algoritmia, entrenamiento, ML y de alimentar múltiples soluciones dentro de un concepto de plataforma unificada.
Eugenio Mallol.-Las nuevas variantes en ciberseguridad están generando nuevos modelos de negocio. El caso de las aseguradoras me parece muy llamativo. Lloyd’s London ha dejado de cubrir las pérdidas por ciberataques ordenados desde un Estado y realmente hay problemas de pricing para evaluar la cobertura de posibles incidentes.
Raúl Guillén.-La ciberseguridad impacta a la capacidad productiva, la reputación y la negociación de servicios con terceros. Se está exigiendo ya que los potenciales proveedores expliquen sus posturas, medidas, estrategias de ciberseguridad. Además, lo dice la NIS2. El cibercrimen se profesionaliza y está variando, porque hay ataques basados en ciberEstados, lo cual acentúa mucho el riesgo de exposición. Si hacemos retrospectiva, las principales empresas que sufrieron ataques en 2021 y 2022 fueron las aseguradoras. Y si analizas las siguientes, el 80-90% de las atacadas tenían un ciberseguro. Cuando atacaron a las aseguradoras no estaban buscando hacer una doble extorsión de su información para chantajear o hacer un uso delictivo de ella: estaban buscando alimentar a sus próximas víctimas. Cuando lo pones todo en perspectiva, se unen los puntos. A los clientes les recomiendo que no sólo tengan seguros, sino que intenten evitar ser atacados o al menos reducir la ventana de tiempo en caso de serlo. Ir a cobrar un seguro no te va a solucionar la pérdida reputacional o de capacidad productiva.
Eugenio Mallol.-Muchas empresas pueden estar asustadas con los requisitos que trae la NIS2, cuéntame cómo se presenta su implantación. Quizás quede pronto obsoleta, a tenor del ritmo de transformación de la ciberseguridad.
Raúl Guillén.-NIS2 es un framework muy potente, moderno y actual. También lo era la NIS, que muchas compañías a día de hoy todavía no aplican. Hay un par de asuntos importantísimos en la NIS2. Uno es la responsabilidad legal de los directivos por no implementar las medidas adecuadas, que además tienen obligaciones de formación y de notificación. Esto cambia la aproximación de la ciberseguridad dentro de las compañías, como prioridad cross en el comité de dirección. NIS2 pone la ciberseguridad al nivel del riesgo correcto de las compañías. Hay que arremangarse y empezar a transformar de forma profunda las compañías para mirar la norma desde un punto de vista directivo y de arriba hacia abajo.
