Red Seguridad 081

red seguridad segundo trimestre 11 protagonista segurtic entrevista es una matriz amplia que no solo tiene empresas de telecomunicacio- nes, sino también de otros sectores, el CSIRT de España agrupa a todas las que existen dentro del territorio español y recibe información de las que tengan presencia en otros paí- ses, de manera que tenemos todo localizado geográficamente y de manera piramidal. Además del ransomware , una de las amenazas más peligrosas actualmente para las organizacio- nes, ¿cuáles cree que son otros retos importantes a los que se enfrentan las empresas hoy en día? Entre las amenazas, ahora está haciendo mucho ruido todo lo rela- cionado con la desinformación y las fake news . Esto, que es algo clásico en la seguridad tradicional, se está trasladando a los medios digitales. Hace cinco años nadie pensaba que pudiera ser un problema, pero ahora afecta a las compañías. Uno de los retos actuales es ser capaces de anticiparnos a las ame- nazas que surgirán dentro de cinco años. Hay amenazas que sabemos que vienen, pero no tenemos claro cómo nos van a afectar. Luego están los problemas clá- sicos, como la gestión de muchos proveedores, los insiders , etc., que siguen siendo retos importantes. El ransomware es una amenaza rele- vante, pero yo creo que afecta más a las pymes, que no tienen unos pro- cedimientos de back up establecidos ni un departamento de seguridad como tal. Ya que menciona la gestión de los proveedores, ¿cree que es perjudicial que el mercado esté tan atomizado y las empresas cuenten con muchos proveedores a la vez? Creo que es un mal necesario y que va por modas. Ahora mismo, el modelo de trabajo en las grandes compañías consiste en externalizar muchas partes de su actividad, pero en algún momento irán captando más personal para desempeñar determinadas acciones o proyectos. Lo que es cierto es que los recur- sos humanos son muy limitados a grupo para luego redistribuir estos indicadores de compromiso. Hay una tercera parte formada por las técnicas de deception , que consiste poner trampas para ver qué actores nos están agrediendo desde una perspectiva tecnológica. Lo que buscamos con todo esto es el contexto, el enriquecimiento y el análisis de la información. Hace un año del ataque de WannaCry, que entre otras muchas compañías afectó a Telefónica. ¿Qué lecciones aprendieron de aquel incidente? De aquel ataque aprendimos que somos resistentes, porque aunque fuimos afectados no tuvimos pérdi- da del servicio ni hubo un impacto en el negocio. Fue más una crisis de comunicación a través de los medios, que una crisis técnica como tal. A las empresas nos ha servido para reforzar el mensaje de la seguri- dad. Aquello fue concienciación con roce duro, porque cuando tienes un incidente de este tipo llega a todas las alturas y todo el mundo queda enterado de que la ciberseguridad es relevante. ¿Supuso aquel ataque un cam- bio importante en el gobierno de seguridad de Telefónica? Realmente no hemos cambiado nada de lo que estábamos haciendo, por- que era lo correcto; pero nos cogió en una fase temprana en la que el fortalecimiento de los procesos bási- cos a los que me refería antes tenía que haber llegado un poco antes. Es decir, no ha supuesto un cambio en la estrategia de seguridad, pero nos indicó la necesidad de acelerar ese fortalecimiento de procesos. Tras el incidente sí que reforzamos nuestra red de CSIRT, para otorgarle más relevancia a estos equipos den- tro de las organizaciones. Pero poco más, no ha habido ningún cambio drástico. ¿Cómo está conformada la red de CSIRT de Telefónica? Funciona como un árbol. En España tenemos el CSIRT global, que genera y recoge información de los CSIRT de cada país. Como Grupo Telefónica Cuando llegó a la compañía como CISO, ¿a qué le dio prioridad? Yo entré en Telefónica para dedicar- me a la seguridad de la información, que es una de las áreas que ahora coordino. Entonces, estábamos más enfocados a la prevención y lo pri- mero en lo que pusimos foco fue en fortalecer los procesos básicos de seguridad. Es decir, no se trataba de implantar la tecnología más moder- na del mercado, sino de abordar lo más clásico dentro del entorno de seguridad, como mantener los siste- mas actualizados, fortifícalos, hacer una auditoría de vulnerabilidades, etc. Desde entonces, hemos actua- lizado la normativa interna del Grupo Telefónica, cambiado todo el marco de control, las políticas normativas, los reglamentos y los procedimien- tos, hasta el proceso más básico de seguridad. Una de las áreas que ha mencio- nado sobre la estructura de su departamento es la de ciberin- teligencia. ¿De qué manera lleva a cabo Telefónica ese proceso y cuál es su concepto sobre esta especialidad? En Telefónica la ciberinteligencia ya está implantada. Yo reporto al Global CSO [ Chief Security Officer ] de la compañía, cuya dirección se llama Dirección Global de Seguridad e Inteligencia. A su vez, también le reportan desde el departamento de Inteligencia, que proporciona una inteligencia más estratégica y con una perspectiva más amplia. Los depar tamentos de Ciberinteligencia e Inteligencia inte- ractúan mucho. Desde Inteligencia nos informan de cuál es la situa- ción actual en el entorno de las telecomunicaciones en el que nos movemos y desde Ciberinteligencia apoyamos todo el proceso de recopilación de información para la toma de decisiones, con datos e información desde una perspectiva técnica. Además, tenemos otra parte de indicadores de compromiso donde agrupamos y compartimos todas las huellas de los incidentes que vemos en el Grupo Telefónica. Hacemos de hub entre todas las operaciones del