Si hay una palabra que suena y resuena últimamente en los ambientes empresariales es ‘ciberseguridad’. Y quizás no suena tanto, y debería, en nuestros ámbitos más personales y familiares.
Raro es el día que no nos encontramos una notica relacionada con algún ataque informático a alguna compañía u organismo oficial de renombre. ¡Incluso la ONU! Y eso que se supone que están súper protegidas y con un gran presupuesto destinado a ello. ¿Os imagináis las pequeñas empresas? ¿O nuestros dispositivos caseros?
Toda preocupación es poca y nunca será suficiente. Es algo que deberíamos tener presente.
Ya dicen que la III Guerra Mundial no se librará, si es que no se está librando ya, en el campo de batalla. Es importante estar formados e informados, tomar pequeñas precauciones en nuestro día a día y seguir los consejos de los que más saben.
Y Javier es uno de ellos. Javier Solueta es Consultor de Tecnología, Ciberseguridad e Innovación en Xecuritas TIC. Gran conocedor del mundo de la tecnología y de la ciberseguridad en particular. Didáctico, ameno y, además, un buen Amigo.
Un lujo poder hacerle esta entrevista y compartirla con todos vosotros. Espero que os resulte interesante.
El momento de la ciberseguridad
¿Cuándo debe aparecer la ciberseguridad en una organización?
En el mismo momento en el que se decide que se va a usar algún dispositivo electrónico. He dicho “se decide” porque antes de tener el dispositivo funcionando ya tenemos que hacer y decidir cosas al respecto.
Fíjate si la ciberseguridad es importante que debe estar presente antes de entrar en modo reactivo de defensa. Por error se suele asociar la ciberseguridad a un modo reactivo en lugar de a un modo proactivo. La realidad es que los dos modos son necesarios, pero cuanto más tiempo le dediques al proactivo, menos tiempo le das al reactivo, y esto tiene muchas implicaciones en muchas esferas de la organización (financiero, operaciones, legal, RR.HH., etc.).
En muchas profesiones es crítico lo que haces, pero en ciberseguridad además es crítico lo que no haces.
Entre la administración pública y la privada, ¿quién es el mayor responsable de su implantación?
Desde mi punto de vista, hablar de “administración pública” o “privada” sólo resta responsabilidad a quienes realmente la tienen que son las personas. Todos sabemos que una empresa es un CIF y los activos y pasivos que pueda acumular. Pero quien determina hacia dónde va son las personas que la forman. Siguiendo este hilo, creo que los empleados públicos tienen más responsabilidad a nivel de país que los empleados privados. Las razones son varias:
- Cuentan de partida (otra cosa son las asignaciones presupuestarias) con muchos más recursos financieros que los empleados privados.
- Tienen bajo su responsabilidad información y datos muy sensibles de todos los ciudadanos y organizaciones del país, mientras que el alcance de las privadas en este sentido es mucho más limitado (dejando bancos, hospitales, etc. a un lado).
- De ellos dependen muchas personas por usar sus servicios de sanidad, educación, tributarios,… que forman parte del pilar de un país y del futuro del mismo.
- Gestionan parte de las infraestructuras críticas.
- La administración publica es la empresa más grande de España con unos 2,5M de empleados, si las cosas van mal, les van mal a muchos empleados y en definitiva a gran parte de la población activa laboral de España.
Por otra parte tenemos a los empleados privados, que si bien pueden tener inicialmente menos recursos, menor ámbito de actuación,… no por eso pueden relajarse. De hecho el tener menos recursos no quiere decir que vayan a tener menos riesgos y poco impacto en la sociedad. Sólo quiere decir que ante los mismos problemas que la administración pública, tendrán que afinar mucho más a qué dedican los pocos recursos que tienen en comparación.
Como sabemos la responsabilidad no se delega. Y si bien los dos tipos de actores son responsables en su ámbito de actuación para tener la ciberseguridad necesaria implantada, no es menos cierto que la administración pública debe además de proveer del ámbito y recursos de apoyo que necesita la privada para que eso se lleve a cabo de forma ordenada y controlada.
¿Por dónde empieza un proceso de poner ciberseguridad en una empresa?
Empieza por tener la certeza desde la Dirección de que el proceso es necesario. Diría más, de que es crítico para la subsistencia de la organización. Muy dramático sin duda, pero igual que si nos quedamos sin clientes. En parte la implantación de la ciberseguridad implica de manera intrínseca una transformación digital, que es sinónimo de resistencia dentro de la organización.
De ahí que si no tenemos la implicación de la Dirección en este proceso sólo echaremos a perder recursos muy valiosos como el tiempo y el dinero, además de dejar a la organización expuesta.
Una vez concienciados de la necesidad, debes contar con los perfiles necesarios. Pueden ser internos o mixtos, no basta con sólo externos. Hay normas como la ISO 27001 que pueden ayudar además de darte un punto diferencial respecto a tu competencia que no la tenga, y hay procedimientos técnicos que te protegerán. Bajo mi punto de vista, al final tanto las normas como los procedimientos deberán ajustarse a la organización y nunca al revés.
Venimos de un histórico en tecnología donde la organización casi se sometía a los mandatos de tecnología, pero por suerte para todos el departamento de IT ha pasado (o debería ya) a ser un departamento de servicios interno como lo es RR.HH. La seguridad debe alinearse y adaptarse a los objetivos y necesidades de la organización y nunca al revés.
Una vez estás concienciado y tienes los recursos para arrancar, cuidado, no nos volvamos locos. La ciberseguridad llega para quedarse. Es un proceso de mejora continua, por lo que empecemos por lo más importante y en ciclos posteriores seguimos avanzando. Las organizaciones y las amenazas son dinámicas, cambian constantemente, de ahí que el proceso de control, revisión, adaptación y mejora sea permanente.
¿Qué tipo de organización estaría exenta de poner ciberseguridad?
Espera que lo pienso… ¿ninguna? Siendo estrictos se puede salvar aquella que no tenga ningún dispositivo electrónico y sus empleados tampoco. Y la verdad, habría que buscarla muy lejos.
A nivel de gestión, ¿qué supone para la empresa?
Como dice uno de mis escritores favoritos, nada que sea bueno es gratis y no todo se paga con dinero. Por supuesto, requiere de un esfuerzo de gestión porque implica la reserva de recursos, la adaptación de procesos existentes, y la eliminación y creación de otros. La ciberseguridad es un ámbito que alcanza a toda la organización, es transversal. Y ese movimiento de inserción lateral en todas las áreas requiere de una planificación y una gestión dedicada y continua, al igual que la prevención y resolución de la resistencia que sin duda va a aparecer como en cualquier cambio. La diferencia respecto a otros cambios es que éste es mandatorio pues de él depende la supervivencia de la organización.
Nuevo roles en una empresa: el responsable de seguridad
Por otra parte, hará falta la creación de nuevos roles como puede ser el responsable de seguridad y la implicación real de la dirección. El cambio puede parecer sólo técnico pero eso está muy lejos de la realidad.
El área de IT se va transformando en un área de servicios internos y los cambios de mejora de IT se deben afrontan desde el negocio y desde esa perspectiva requiere que el negocio forme parte de los equipos de trabajo. Tanto es así que requerirá de la creación de un comité de seguridad donde deberán involucrarse perfiles de dirección.
El proceso implica por ejemplo de un análisis de riesgos de arriba hacia abajo, es decir, desde el negocio hacia la parte técnica. Y para hacerlo bien se necesita conocer bien la organización, sus actores, las relaciones entre éstos , sus procesos internos y externos, y al final los elementos de IT asociados a esos procesos. Este papel protagonista del área de negocio en la seguridad conlleva una carga de trabajo continua que antes no tenían y que deben adaptar a sus ya complicadas agendas.
¿Crees que el aumento de aplicaciones tanto para el entorno de empleados como para clientes dificulta la ciberseguridad?
Sin duda, cuantas más aplicaciones uses más expuesto estás, y ojo porque el ratio no es de uno a uno. Una aplicación puede incorporar multitud de vulnerabilidades que pongan en peligro tu seguridad por distintos puntos.
En un estudio sobre aplicaciones para iOS el 75% de las aplicaciones móviles no guardan los datos cifrados (contraseñas, etc.), el 18% transmite los datos sin cifrar y el 97% accede al menos a un dato privado (p.e. localización). Para Android no debe ser mucho mejor. Incluso hay código malicioso en las apps de los Apps Store oficiales ya embebidos en las propias apps, a ese nivel estamos. Aunque es cierto que tanto Google como Apple y Microsoft dedican recursos para minimizar este tipo de apps.
Nos hemos acostumbrado a la barra libre de aplicaciones sin coste económico directo lo que no quiere decir que sean gratis. Hace años y gracias a Facebook se hizo popular una gran afirmación: en la red, si algo es gratis, el producto eres tú. Con las aplicaciones ocurre lo mismo y los riesgos además son muy altos.
Desde un punto de vista de desarrollo de aplicaciones propias el escenario no es mucho mejor. Se tiende a pensar que si son de uso interno en la organización la seguridad puede quedarse en segundo plano, y si son para uso externo y/o por personas ajenas a la propia organización aplicar metodologías de desarrollo de software seguro encarecerá el proyecto y se tardará mucho más. Dos aclaraciones rápidas: las aplicaciones internas pueden tener más riesgo que las externas; y el coste de solucionar las vulnerabilidades es mayor cuanto más tarde se detecten.
Los ciberataques en prensa
Hay muchas noticias últimamente sobre ataques, ¿es positivo que se dé tanta luz sobre el tema?
Lo cierto es que es tremendo. Hace meses tuvimos por ejemplo el del SEPE y un mes y medio después los problemas persistían afectando al cobro de prestaciones. Otro como fue el de la central nuclear de Irán en Natanz ha sido calificado de terrorismo por lo que casi tienen las manos libres para responder físicamente. Uno de los más recientes es el que ha sufrido T-Mobile en Agosto, afectando a 53 millones de clientes. Necesitamos luz sobre lo que ocurre para poder tomar nuestras propias decisiones de autoprotección.
Hay dos tipos de pensamiento general: unos opinan que no es bueno tanto foco ya que puede centrar la atención sobre dichas organizaciones en búsqueda de más vulnerabilidades, y otros opinan que es necesario para poner en alerta a las organizaciones del sector y al resto para adoptar medidas que ayuden a mitigar ese tipo de ataques.
No hay duda, cuanto más sepamos sobre cómo están atacando mejor podremos defendernos. Sí es cierto que esa información debe ofrecerse en el momento justo y con la información necesaria para resolver el problema y poner en aviso a la comunidad, ni más ni menos.
Por otra parte está la parte normativa respecto a la obligatoriedad de la comunicación del ciberataque. Hay empresas que por el tipo de servicio que ofrecen están obligadas a informar ya que forman parte de la infraestructura crítica del país. Pero creo que perder de vista a empresas más pequeñas es un error pues muchas veces ofrecen sus servicios a las de mayor tamaño y son por lo tanto un vector o forma de ataque hacia la grande. De hecho es un tipo de ataque que se utiliza en muchas ocasiones ya que tu seguridad es tan fuerte como la de tu eslabón más débil. Ahora bien, se necesita una estructura que pueda dar servicio y ayuda técnica a todas las comunicaciones de brechas de seguridad que se sufre, y si bien contamos con el INCIBE y las Fuerzas y Cuerpos de Seguridad para ayudarnos, sus recursos son extremadamente limitados. Habría que poner foco y dotarles de mayores recursos y capacidad sin olvidar al ciberejército que ya tiene China, EE.UU. o Alemania entre otros.
Por otra parte, esta visibilidad (que a mi parecer es casi cero comparado con la realidad) pone sobre la mesa el problema de forma que la UE está cerrando la estrategia de protección de forma que parece que obligará a las empresas a tener escudos contra los ciberataques. Y esto puede estar muy bien dependiendo de cómo se articule operativa, legal y financieramente.
El mayor enemigo de la ciberseguridad además de los cibercriminales
Principalmente es uno mismo por su menoscabo al pensar que no es importante para nadie y por eso no lo van a atacar. Así acabamos en la inacción y por ende a no poner medidas de seguridad que ayuden a las organizaciones a mitigar los ataques.
También tenemos la escasez de los recursos financieros. Creo que aún la ciberseguridad no tiene la importancia que debiera en las organizaciones y suele verse como una molestia más que como una necesidad.
Por ejemplo, un dato objetivo de la determinación que como país tenemos para afrontar el cibercrimen es que en los últimos Presupuestos Generales se destina a ciberseguridad el 5% del presupuesto asignado a digitalización. Esto, sin duda, nos lleva directos al fondo del pozo pues nos vamos a poner a digitalizar a todo correr con el escenario socioeconómico que tenemos y no lo vamos a securizar. Estamos vendidos antes de empezar.
Es un fracaso antes de empezar. Alguien tendría que replantearlo aunque le vaya el puesto en ello, que para eso están los puestos, para jugársela en pro del trabajo bien hecho y no para calentarse lo más que se pueda.
Y por mencionar a tres enemigos diría que la ignorancia es el tercero. Necesitamos perfiles formados y también en esto vamos tarde. Se está trabajando en ello pero creo que hace falta un plan coordinado de país entre todas las CC.AA. para afrontar este gran reto con la seguridad de llegar a él.
Sin profesionales formados nos dará igual la cantidad de dinero que pongamos, sencillamente los proyectos de seguridad no se llevarán a cabo en tiempo y forma. Yo creo que con el plan correcto, en tres años empiezas a tener una buena base de profesionales preparados.
Eso sí, la ignorancia no es sólo técnica sino que también afecta a la concienciación de la capa de gestión, que también hay que ponerles las pilas.
Perfiles laborales de ciberseguridad
La ciberseguridad necesita de muy distintos perfiles tanto de gestión como técnicos ya que tiene distintas disciplinas (forense, hacking, análisis de riesgos, normativo, etc.), en dos tipos de entornos muy distintos como son el de IT y OT (operaciones industriales) y referente a campos de conocimiento muy diverso (desarrollo de aplicaciones, comunicaciones, bases de datos, sistemas operativos, hardware, etc.).
Pero creo que todos los perfiles sobresalientes tienen tres actitudes en común:
- implicación personal,
- pasión por el detalle,
- y calma ante situaciones de estrés.
- El resto es “sólo” conocimiento.
¿Y cuál crees que tiene más valor para una organización?
Los tres aspectos son necesarios, deben ir juntos.
Todas las profesiones tienen picos de trabajo en el que hace falta un esfuerzo personal para dedicarle más horas y más noches. Y no es literatura, cuando tienes parada una organización por una incidencia provocada (p.e. ciberataque) o fortuita (p.e. corte de luz) sólo piensas en revertir la situación lo antes posible con tu mayor y mejor esfuerzo aunque eso suponga dormir muy rápido. Debes estar muy motivado para intentar hacerlo y bien formado y entrenado para hacerlo bien.
La motivación personal basada en valores es un extra casi imparable pues siempre nos empuja hacia el objetivo. Por el otro lado, la atención al detalle es básico ya que hablamos de una línea de código, de un puerto en un firewall, de una trama de datos en el aluvión de tráfico de red, de un nuevo activo o uno que ya no está, etc. y no se puede dar nada por hecho ni por irrelevante inicialmente. Y mantener la calma ayuda siempre a ver con más claridad.
¿Dónde buscar el talento necesario en ciberseguridad?
Yo he sido partidario de buscarlo siempre primero dentro de la organización y eso me ha dado sorpresas muy agradables. Cuando digo dentro no tiene por qué ser dentro de IT. La ciberseguridad es un arte que se circunscribe a todas las áreas de la organización, y ese conocimiento de parcelas concretas añadido a la motivación y capacidades de aprendizaje más técnico te puede llevar a contar con personas muy sobresalientes en sus nuevos desempeños y con un alto valor añadido. Pero sí es cierto que es un camino a medio plazo pues requiere de un tiempo para la capacitación.
Si necesitas talento rápido por un proyecto o incidencia y no lo tienes disponible dentro habrá que salir al mercado a buscarlo en los modos que ya todos conocemos. Es importante estar en contacto de forma habitual con proveedores, foros y entornos profesionales donde conoces profesionales que sin duda te ayudarán en los momentos complicados y te aconsejarán bien.
De todas formas, se estima que en Europa faltan 3,5 millones de profesionales de la ciberseguridad. Si partimos de este escenario, soy partidario de empezar mañana mismo dentro de las organizaciones a diseñar un plan con diversos actores que vaya identificando y formando a esos profesionales dentro de la propia organización. Un escenario mixto con recursos externos según el caso también puede ser muy útil.
¿La ciberseguridad es un área de conocimiento típico del outsourcing?
Desde muchas organizaciones se entiende la ciberseguridad como algo que tienen que abordar de manera puntual ante problemas que van surgiendo, momento en el que subcontratan ese tipo de servicios en modo de outsourcing. La percepción que se tiene en gran parte es que es algo tan técnico, tan de nicho y tan temporal que no merece la pena tener ese talento dentro de la organización. Sin duda, un error de planteamiento con altos riesgos.
Creo que el mejor equipo en este caso es un equipo mixto donde el seguimiento y mejora continua del plan esté gestionado por personal interno y buen conocedor de la organización, mientras que el equipo técnico pueda ser de dentro y fuera de la organización según los proyectos y las necesidades. La estructura nunca debe ser un inconveniente, lo que nos lleva a orientarnos a disponer de recursos de manera flexible lo que implica costes flexibles.
Y el outsourcing se adapta muy bien a esta flexibilidad además de ofrecer visiones sobre las necesidades desde distintas perspectivas y sectores que pueden ayudar mucho y bien.
Al final el problema de la ciberseguridad es real y concreto, por lo que necesitamos del talento necesario para abordarlo con ciertas garantías y el outsourcing es un buen modelo. Y si aún así no lo tenemos, tendremos que crearlo. Pero hay que empezar a correr hoy ya que los cibercriminales nos sacan ya dos vueltas.
Me gustaría cerrar la entrevista con una reflexión que creo refleja muy bien en qué punto nos encontramos y que me permito la licencia de acercarla a la ciberseguridad. La hizo Donald Rumsfeld, Secretario de Defensa de EE.UU. de 1975 a 1977 y del 2001 al 2006:
“Existen certezas conocidas. Existen incertidumbres conocidas. También hay incertidumbres desconocidas. Pero también existen las certezas desconocidas. Cosas que creíamos saber, pero que resulta desconocíamos.”
Cuidaros.
