Javier Sevillano, Cyber Security Manager en Vodafone, lo tiene claro: «Dónde y cuándo invertir en ciberseguridad debe derivar del adecuado análisis de riesgos».
En la presente entrevista, Sevillano destaca la importancia de cubrir, por encima de todo, todas aquellas amenazas que pueden tener un mayor impacto en las organizaciones, porque, tal y como asegura, «la cobertura al 100% en cuestión de ciberriesgos, es imposible».
Sin duda alguna. En las arquitecturas de sistemas y redes tradicionales, alojadas en centros de procesos de datos propios de cada compañía o en modelos de housing, aún se disponía de un control de seguridad física, que en última instancia te permitía desconectar de la red o apagar preventivamente un equipo. Con la adopción masiva de cloud, toda nuestra capacidad de control sobre la infraestructura se sustenta en último término sobre unas crendenciales de acceso. Quien dispone de las credenciales tiene el control total, haciendo recaer sobre la ciberseguridad el control completo de las infraestructuras.
La ciberseguridad es una disciplina relativamente nueva, si la comparamos con otras disciplinas de tecnologías de la información más longevas, como las bases de datos o la gestión de redes de comunicaciones. Como tal, tiene aún un amplio camino que recorrer antes de estar consolidada y formar parte intrínseca de los sistemas, los procedimientos y la cultura de las personas. Dónde y cuándo invertir en ciberseguridad debe derivar del adecuado análisis de riesgos, cubriendo en primer lugar aquellas amenazas que pueden tener un mayor impacto en las organizaciones, porque la cobertura al 100% es imposible e, incluso aunque fuera posible, tendría un coste no aceptable por la salud financiera de la organización.
Hay una tendencia clara a proporcionar servicios de seguridad, tales como «SOC as a service» o incluso «CISO as a service», que pueden resultar muy eficientes para pequeñas y medianas empresas. Auguro también un crecimiento del sector en volumen de negocio a nivel general, y que continuará la especializacion, apareciendo nuevas disciplinas, tal y como ya han surgido en el pasado “threath inteligence”, “red team” o “Digital Forensics” por ejemplo.
Creo que la tendencia actual para reducir la superficie de ataque, y mitigar asimismo los movimentos laterales del atacante es la creación y la migración hacia arquitecturas Zero Trust. Cada empresa debería plantearse cuál es el camino adecuado hacia este nuevo paradigma, que sustituye el actual de perímetro internet y VPN para dar acceso a una red interna, por un planteamiento “never trust, always verify”, donde se asume que puedes estar en compromiso en cualquier momento y la arquietctura debe ser resiliente a esto.
Peter Drucker dijo: ‘La cultura se come como desayuno a la estrategia”. Es fundamental una concienciación en seguridad, no solo para evitar que cada uno de los usuarios de la compañía se convierta en el posible inicio de un incidente, sino para que cada uno de los procesos de la compañía lleve la seguridad embebida. Es fundamental que la seguridad por diseño este presente en todos los servicios y productos tanto usados como producidos por una compañía.
Tradicionalmente ha habido una ausencia de conciencia y de inversión en ciberseguridad, que se ha hecho visible con los ataques de ransomware. Los servicios de ciberseguridad adaptados a pymes, como el “CISO as a service” suponen el dotar de una capacidad en ciberseguridad razonable con costes abordables.
Este es un campo que seguramente veremos crecer enormemente. Los tiempos actuales entre el compromiso inicial de un ataque hasta el compromiso total de la empresa han pasado de semanas/meses a horas en algunos casos. Esto hace imprescindible automatizar, no es viable hacerlo a tiempo solo con intervención humana. Y para ello los modelos que no solo detecten sino que también respondan, basados en motores complejos de reglas e inteligencia predictiva serán fundamentales.
Sin duda. Los presupuestos en todas las areas de las compañías son más y más ajustados con el tiempo, tratando de reducir gastos y mejorar la eficiencia. En ese sentido, la ciberseguridad no es una excepción, y en la valoración de un responsable de seguridad de una organización va a pesar cada vez más su habilidad para ajustar y distribuir el gasto (o inversión) en ciberseguridad entre los diversos riesgos, en los diversos planes anuales, en detrimento de su capacidad técnica o de comunicación. Como en el concurso “El precio justo”, se trata de calcular el valor adecuado respecto al riesgo, pero sin pasarse, sabiendo que todas las organizaciones, en el actual escenario de ciberamenazas, están obligadas “a jugar”.
