CIO, CISO, experts de seguretat i directius de negoci es van reunir el passat 23 de març per compartir i debatre la seva experiència en el camp de la ciberseguretat. La trobada organitzada per The Excellence Net (ENET) i CIOnet, va girar al voltant de la ciberseguretat en organitzacions i el món digital i es van tractar temes com la continuïtat de negoci, els riscos i les solucions i opcions per prevenir o minimitzar l’impacte dels atacs cibernètics.
La ciberseguretat s’està convertint en un eix primordial en les organitzacions i que cada vegada més està apareixent com una funció horitzontal en les empreses, alineant-se amb altres unitats com auditoria, sistemes d’informació o unitats de negoci. Com a resultat sorgeixen uns objectius comuns que persegueixen la seguretat dins i fora de l’àmbit de l’empresa.
La conscienciació, la cultura i la formació, les tres en l’eix de les persones, apareixen com a clau fonamental en les estratègies de Ciberseguretat, al costat de la tecnologia i els processos.
Però la conscienciació no només és important per als empleats i proveïdors, “també ha d’arribar als clients” va afirmar Rubén Muñoz, director de Tecnologia i Operacions d’Evo Banc durant la primera taula rodona de la jornada.
Mentre transcorria el debat, vam descobrir que, els ciberdelinqüents també tenen l’ull posat en els proveïdors de grans empreses. Jorge Chinea López, coordinador de l’Àrea de Serveis Ciberseguretat de Incibe, va explicar que moltes vegades els atacs no es produeixen cap a la gran empresa, precisament perquè se suposa que té un bon bloqueig i ciberseguro, però, decideixen atacar a través dels proveïdors.
Uns instants més tard, va arribar el torn de Nicolás Rodríguez Tolmo, Global IT Security & Procurement Director de Ferrovial per compartir l’experiència en ciberseguretat que va tenir la companyia. Així va explicar que el 2016 es va realitzar un atac simulat de phishing entre els usuaris de Ferrovial i el grau de conscienciació va resultar ser més baix del que s’esperaven. “No només va caure gent a Espanya, també a Polònia i altres països europeus”, afirma Rodríguez.
Després de la taula rodona sobre la ciberprotección de les empreses espanyoles i l’experiència de Ferrovial, els assistents van poder veure en directe una sessió d’hackeo i remediació de la mà d’Eduardo Arriols i Ángel García, sènior solution Engineer de BMC Software.
La debilitat de reconèixer un atac
David Gràcia, CIO de BT Espanya, va explicar que a més del pilar de les persones, els ciberdelinqüents segueixen fixant-se en les tecnologies més febles. “Els principals problemes no és el que es coneix sinó el que no es coneix, això inclou el shadow IT, però també allò que vas crear fa 10 anys i que ara no tens sota control, tots dos són elements susceptibles a amenaces”.
També la relació entre CISO ha canviat. Abans es podia apreciar una aura de competència, però ara l’interès per ajudar-se mútuament ha crescut. Així i tot, l’objecció en difondre els atacs és un tema delicat. Des del punt de vista de proveïdors “aquesta debilitat pot ser motiu de que els clients canviïn d’un proveïdor a un altre”, va afirmar Eduardo Herrero, SecOps Specialist de BMC Software.
Al que Gràcia, ha afegit que “per norma general, s’intenta que els atacs no surtin als diaris i no es facin famosos tot i que això no sempre sigui possible”.
L’explicació del canvi de paradigma en el camp de la ciberseguretat va arribar de la mà Rubén Muñoz Carrers, director de Serveis de Seguretat Espanya & Portugal a HPE, si ponència sobre la ciberseguretat com a potenciador de negoci. Anteriorment la ciberseguretat era un cost pur, explica Muñoz. “Ara som una inversió i en alguns casos amb retorn immediat. La ciberseguretat s’ha de deixar veure i no estar en el background “.
Amb el veloç ritme d’avanç de la tecnologia hacking, la conscienciació s’ha convertit en un dels principals objectius i reptes que els responsables de ciberseguretat i les empreses del sector tecnològic tenen diàriament en la seva agenda. Les tècniques de ‘ransomware’, ‘CIO Fraud’ i el ‘phishing’ són ja termes coneguts en el món empresarial, però, tot i així, les persones no sempre són conscients del moment en què són atacats a través d’aquest tipus de tècniques.
Les diferents ponències van donar pas al tancament de la trobada amb una sessió de debat, en què CIO i CISO, moderats per Luis Miguel Rosa, director de The Excellence Net, van creuar les seves experiències i visió com a conclusió de CBSEC17.
En aquesta sessió, David Moreno del Turó, Director de Seguretat i Sistemes TI del Grup Cortefiel, ha apuntat que la majoria dels incidents del 2017 s’han produït per un mal ús de la tecnologia per part de les persones.
Segons Rosa Kariger, corporate security – Global CYBERSECURITY a Iberdrola, les campanyes de conscienciació són importants, però també cal tenir en compte la facilitació. “Per exemple en les còpies de seguretat, podria haver equips que traslladin la responsabilitat, però no la tasca”.
Al final de la jornada, Carlos Alves, head of IT Services Europe a Daimler AG, ens va mostrar un punt de vista constructiu de les fallades de ciberseguretat. “Tots aquests exemples de gent que cau, almenys tenen una part positiva perquè una vegada que s’han tallat el dit no tornaran a fer-ho”.
Finalment, Laura Nuñez Letamendía, professora de Finances de l’Institut d’Empresa, va completar el debat amb la perspectiva dels ciberseguros, revisant l’evolució d’aquests serveis com a mesura addicional de mitigació dels riscos que afecten a les companyies en l’àmbit de la ciberseguretat , visió que també va presentar en exposar les investigacions que l’Institut d’Empresa acull en el marc del ‘Center for Insurance Research’ d’aquesta institució.
El camí ja ha començat perquè la ciberseguretat estigui en direcció d’esdevenir una qüestió quotidiana i socialment acceptada i coneguda. Però segons els ponents de la trobada, perquè això passi, la conscienciació en empreses, treballadors i clients és el factor clau. Ens trobem en una època en què els ciberatacs poden danyar significativament la imatge d’una empresa, a més de la sostenibilitat d’aquesta. Per això, per defensar-nos dels ‘dolents’ la inversió en ciberseguretat està augmentant, però queda molta feina per davant i cal tenir en compte que els resultats no seran immediats.