Si a muchos CISO les hubieran dicho a principios de año que unas semanas después deberían enfrentarse a una situación como la vivida en los últimos meses, probablemente no se lo hubieran creído. Sin embargo, en ocasiones la realidad supera la ficción. Y en este contexto, las áreas de seguridad tecnológica de las empresas han tenido que demostrar el importante papel que desempeñan haciendo frente a situaciones como el uso masivo del teletrabajo, el aumento de las ciberamenazas, la inestabilidad económica o el futuro incierto que se abría ante todos durante la pandemia.
Para hablar de todo ello y de cómo esta situación va a cambiar las reglas del juego en el ámbito de la ciberseguridad, Red Seguridad, en colaboración con Sothis, organizó una mesa redonda virtual en la que participaron varios especialistas en seguridad de la información. En concreto, estuvieron presentes Javier Rodríguez, IT Manager de GF-TIC, empresa tecnológica de GF Hoteles (cadena hotelera perteneciente a Grupo Fedola); Daniel Zapico, CISO de Globalia; Jorge Lagares, Iberia Security and EHS Manager de Richemont; Sergi Carmona, CISO de Suez Iberoamérica; Alejandro Ortiz, Global Security de Cellnex Telecom; Emilio Rodríguez, director de Desarrollo de Negocio de Sothis; y Miguel Monedero, director de Ciberseguridad de Sothis.
El impacto del COVID-19
La mesa redonda comenzó abordando por parte de los asistentes el impacto que había tenido la crisis del COVID-19 en sus respectivas organizaciones, sobre todo por el hecho de tener a la mayoría de la plantilla teletrabajando de un día para otro. «Para nosotros, la transición no resultó complicada, porque llevábamos tiempo desarrollando un proyecto de securización de la nube a través de Cloud Access Security Broker (CASB)», afirmó Ortiz, de Cellnex Telecom, quien añadió: «lo más complicado fue la protección de elementos fuera del perímetro de la empresa. Por tanto, tuvimos que dimensionar nuestras conexiones a la realidad».
Así también actuaron en Globalia, según Zapico: «en nuestro caso, había alguna unidad de negocio en la que ya estaba implantado el teletrabajo, pero el volumen no estaba dimensionado para tantos empleados». Lo mismo sucedió en Suez Iberoamérica, una empresa que suministra agua y, por tanto, es considerada servicio esencial. «Por dimensionamiento, no estábamos preparados para que toda la empresa pudiera teletrabajar. De hecho, tuvimos que triplicar la infraestructura de conexión. Afortunadamente, teníamos securizada la conectividad, si bien tuvimos que adaptar la tecnología al nuevo paradigma», explicó Carmona.
En todos los casos, la clave para ofrecer una mejor respuesta en esa situación fue la anticipación. Fue el caso de Richemont, una multinacional del lujo que a finales de enero ya contaba con información de sus colegas chinos, quienes les hicieron partícipes de lo que estaba sucediendo allí. Esto, a juicio de Lagares, les hizo adelantarse. «El 3 de marzo pusimos en marcha 14 medidas en España y Portugal y mandamos a los empleados a teletrabajar a sus casas».
En GF Hoteles, un par de semanas antes del estado de alarma también comenzaron a notar que la situación iba a más. «Levantamos proyectos que teníamos casi finalizados y priorizamos la conectividad y la comunicación con los empleados del grupo a través de mensajería instantánea y videollamadas», recordó Rodríguez.
En Sothis también tenían diseñados protocolos con medidas que fomentaban el teletrabajo con seguridad, por lo que, según Monedero, no tuvieron inconvenientes en ese sentido. Donde sí es cierto que encontraron más problemas fue en sus clientes. «Ahí nos hemos encontrado de todo, desde empresas que no tenían continuidad de negocio, hasta compañías muy importantes que no contaban con portátiles porque trabajaban desde la oficina, y ahora han tenido que implantar de forma vertiginosa soluciones de seguridad como las de doble factor de identificación», aseguró su representante.
Eso sí, a pesar de la confusión inicial que generó el estado de alarma en las empresas en torno a la seguridad, «todas ellas pudieron abordar satisfactoriamente sus proyectos y adaptar las necesidades del teletrabajo a sus compañías». Ahora bien, en muchos casos necesitaron más que nunca fomentar entre sus empleados una mentalidad en la que se tuviera muy en cuenta la ciberseguridad.
Concienciación y formación
Precisamente, este hecho es algo que constataron todos los presentes en la mesa redonda virtual, pues tuvieron que realizar una importante labor de concienciación y formación de sus respectivas plantillas. «En nuestro caso, hemos hecho más foco en la formación y reforzar el conocimiento del empleado de cara a posibles ataques desde su casa», según Ortiz, de Cellnex Telecom. En GF Hoteles también fueron muy activos en este sentido, enviando a su plantilla «avisos de posibles fraudes para que fueran conscientes de lo que pudiera ocurrir si alguien les mandaba un correo de phishing«, en palabras de Rodríguez.
Así también actuaron en Suez Iberoamerica, cuyo CISO confirmó que durante este tiempo recibieron muchos phishing, fake news, desinformación… «Lo paquetizamos todo y lo enviamos al empleado para concienciarlo y explicarle cuál era la nueva normalidad», afirmó Carmona. Además, realizaron varias acciones para fomentar el buen uso de las tecnologías en casa, no solo entre los empleados, sino también entre los familiares de estos.
En general, la concienciación, según explicó Monedero, de Sothis, fue fundamental sobre todo durante los primeros momentos del confinamiento. «Las personas siempre son el punto más débil, por lo que es necesario enseñar a trabajar de forma remota con seguridad y que asimilen cuáles son los riesgos».
Relación con los proveedores
Ahora bien, el problema de que aparecieran posibles brechas de seguridad no solo se encontraba entre los empleados, sino también entre los proveedores. Precisamente, esta fue otra de las preocupaciones de los responsables de seguridad de la información de las empresas participantes en la mesa redonda virtual. Por ejemplo, en el caso de Suez Iberoamerica, declararon proveedores estratégicos. Carmona explicó: «proporcionamos acreditaciones para que nuestros proveedores esenciales pudieran garantizarnos su servicio de forma prioritaria ante cualquier necesidad, algo que tuvo muy buena acogida entre ellos, sobre todo en las empresas más pequeñas, que no tuvieron que cerrar sus puertas y enviar a sus empleados a un ERTE». «Gracias a eso, vivimos una situación de seminormalidad en la que nuestra cadena de suministro nunca estuvo comprometida», sentenció.
Además, en caso de utilizar software de terceros, en Suez Iberoamerica intentan auditarlo. «Lo analizamos por dentro y miramos las medidas de seguridad que tienen, tanto el software como el proveedor que nos presta el servicio». Claro que eso no siempre es posible cuando se trata de herramientas cerradas, como por ejemplo las de videoconferencia como Team o Zoom. «En esos casos no podemos auditarlas, pero sí dar recomendaciones de uso a los empleados para que se aseguren de conectarse de forma segura. En esto no podemos mirar para otro lado», puntualizó.
Precisamente, las herramientas de videoconferencia fueron otro de los caballos de batalla de los departamentos de seguridad de la información, tal y como explicó Zapico, de Globalia. «Tú puedes controlar lo que tus empleados hacen con tu tecnología corporativa, pero no las reuniones que puedan tener con otros. Controlas tu perímetro, pero no puedes impedir que esas herramientas estén instaladas en sus dispositivos personales», opinó el directivo, quien añadió: «Si una empresa va hacia un modelo BYOD, tiene que cambiar la forma de pensar, porque hay cosas que no se pueden controlar», manifestó.
En este punto, Rodríguez, de Sothis, hizo un acertado resumen de los tres aspectos principales que se podían extraer de lo dicho por los asistentes en relación a cómo les afectó esta crisis. «En primer lugar, las infraestructuras de las empresas no estaban preparadas para esto. Seguidamente, hubo una rápida adopción tecnológica por parte de muchas personas que no estaban acostumbradas. Y finalmente, la concienciación fue clave para hacer ver a los empleados la importancia de tomar medidas adecuadas de ciberseguridad desde sus casas».
Etapa posCOVID
Analizada la situación que generó la declaración del estado de alarma y el confinamiento en sus respectivas organizaciones, los ponentes trataron cuál será la situación de la ciberseguridad a partir de ahora. Todos ellos dibujaron un escenario en el que el teletrabajo está llamado a quedarse en el día a día de las empresas. Prueba de ello son los ejemplos que mencionó Rodríguez, de Sothis, durante su intervención. «Estamos teniendo llamadas por parte de nuestros clientes interesándose por aplicaciones para controlar el teletrabajo». Además, mostró los datos de una encuesta en la que, de momento, el 46 por ciento de las empresas están midiendo el teletrabajo mediante resultados objetivos; el 28 por ciento, a través de reuniones virtuales; el 16 por ciento mediante reuniones con compañeros; el 15 por ciento no hace ningún tipo de comprobación; y el 12 por ciento, a través herramientas específicas.
En cualquier caso, ante esta nueva situación, la opinión generalizada es que algunas empresas tendrán que cambiar sus modelos de trabajo y otras deberán adaptarlos al nuevo entorno. «Nosotros estábamos preparados, pero sí es cierto que hemos tenido que adaptar ciertas cosas», apuntó Lagares, de Richemont.
Estas adaptaciones de las que habló Lagares las están comprobando también en Sothis en sus clientes. De hecho, Monedero insistió en que, a partir de ahora, veremos más modelos mixtos en los que «se balanceará el teletrabajo y la asistencia física». Pero, sobre todo, tiene claro que esto impactará de una forma u otra «en la seguridad y en la manera de trabajar en procesos y políticas» apuntó.
En este punto, Zapico, de Globalia, también mencionó otro problema fruto de esa adaptación. Y es que «las herramientas colaborativas que se utilizan ya masivamente en todo tipo de equipos te llevan el dato al dispositivo personal y se sincroniza con el disco local». Eso puede suponer un riesgo para la seguridad de la empresa, si el dispositivo no cuenta con las medidas de protección adecuadas.
La seguridad va con el dato
En ese punto, el tema de conversación se centró en la importancia de securizar el dato, ya esté en el equipo, en la nube o en cualquier dispositivo móvil. «La seguridad debe ir con el dato», afirmó Carmona, de Suez Iberoamérica, quien continuó: «Hasta ahora hemos ido a un modelo de capas tradicional. Sin embargo, ahora que el perímetro se dispersa ya no tiene sentido mantener tantas capas de seguridad en la misma ubicación, hay que distribuirlas. En esa situación, se ha de ir hacia una seguridad gestionada y al pago por uso». De hecho, el invitado abogó por tener un único fabricante que proporcione toda la seguridad en uno. Vamos hacia un modelo SASE (Secure Access Service Edge), al menos ese es nuestro caso, en el que con los mínimos proveedores posibles gestionas toda tu estrategia de ciberseguridad».
Además, este modelo se podrá ajustar más a los presupuestos de las organizaciones que, en esta situación de crisis generada por el coronavirus, pueden reducirse. «Hay que analizar cómo las empresas van a poder adoptar todos estos cambios en ciberseguridad de los que estamos hablando con problemas económicos que puedan impactar en sus presupuestos», reflexionó Monedero, de Sothis. Por eso, el directivo consideró importante «adoptar modelos económicos que no bajen el grado de seguridad, con una estructura financiera con la que se pueda adquirir servicios y tecnología».
Y para conseguirlo, por supuesto, ayuda bastante contar con el apoyo de la alta dirección de la compañía. «Cuando el área de seguridad se encuentra varias capas por debajo del consejo de dirección, no se va a conseguir, pues el grado de interlocución es bajo», según Zapico, de Globalia.
A pesar de ello, los ponentes se mostraron optimistas, puesto que esta situación ha contribuido a poner en el mapa al área de seguridad de la información. En palabras de Monedero, de Sothis, «en tres meses la crisis del COVID-19 ha hecho más por este sector de seguridad que tres años haciendo fuerza los profesionales que trabajamos en él». Para el directivo, eso va a suponer un impulso crucial a la transformación digital y concienciación sobre seguridad. De hecho, cuando hablan con sus clientes ya están notando esa mayor predisposición a tomar medidas relacionadas con la ciberseguridad.
Lecciones aprendidas
Los últimos minutos de la mesa redonda se dedicaron a enumerarlas lecciones aprendidas de toda esta situación. Todas ellas se pueden resumir en cuatro puntos que citó Carmona, de Suez Iberoamérica: «Digitalización de las empresas, la seguridad va con el dato, concienciación y es preciso probar los planes de continuidad de negocio».
En el primer aspecto también hizo hincapié Monedero, de Sothis, para quien «aquella empresa que no afronte la transformación digital y la digitalización de sus procesos va a estar fuera de juego». Y en este punto es importante «securizar la información allá donde esté, apostando por la seguridad desde el diseño», recordó.
Así también se posicionó Ortiz, de Cellnex Telecom, para quien, una vez que queda claro que el perímetro no existe, la seguridad deber ir donde está el dato. Siguiendo ese patrón, «las empresas han de actualizarse con las tendencias de mercado teniendo en cuenta que nada es estático». A lo cual añadió: «ahora nos queda la batalla continua de hacer ver que lo que vamos haciendo tiene sentido. Afortunadamente, estas circunstancias nos dan soporte en ello», subrayó.
Un punto importante aquí es concienciar a los empleados rompiendo la barrera mental que suponen los cambios, tal y como apuntó Zapico, de Globalia. «Hasta este momento, algunas compañías eran muy reacias a poner en marcha medidas como el teletrabajo, y ahora han visto que en tres días todos sus empleados han pasado a trabajar desde sus casas. Esto significa que cuando hay necesidad y se puede, se hace», argumentó.
Esta situación, a juicio del directivo, pone en una tesitura comprometida a las organizaciones, pues «les ha dejado sin argumentos para el futuro. Ahora cómo dices a alguien que no puede hacer su trabajo desde casa si lo ha estado haciendo durante varios meses…», se preguntó.
Ahora bien, esta evolución también lleva aparejado un proceso de «formación constante de los empleados», tal y como apuntó Rodríguez, de GF-TIC (GF Hoteles). «Son los eslabones más débiles y en los que primero se piensa en atacar. Por tanto, son los que hay que formar adecuadamente».
Finalmente, la última lección aprendida mencionada en la mesa redonda virtual tiene que ver con los planes de contingencia de las empresas, cuya principal particularidad, según Lagares, de Richemont, es que «deben ser testados». «Han de tratarse de documentos vivos actualizados periódicamente», añadió.
Sobre este aspecto, además, Zapico de Globalia, se mostró muy crítico. «Ahora todo el mundo dice que pusieron en marcha planes de continuidad cuando llegó esta crisis. Sin embargo, yo no me lo creo. Me gustaría saber cuántas empresas tenían preparado un escenario en el que ningún empleado pudiera trabajar en sus oficinas. Nosotros, por ejemplo, no era un escenario que contempláramos», reconoció. «Teníamos previstas otras posibilidades, pero no el hecho de que más del 90 por ciento de la empresa estuviera teletrabajando», señaló.
Poner en valor la seguridad
Por todo ello, este profesional quiso poner en valor la seguridad y los profesionales que trabajan en ella. «Por el tipo de trabajo que hacemos, estamos habituados a pensar en circunstancias que nadie cree que pueden pasar y que después suceden. Además, tenemos conocimiento de los procesos, las personas, la tecnología, los modelos de negocio, etc., que nos aporta una visión de conjunto que otras áreas no tienen», agregó.
Así también opinó Lagares, de Richemont, que manifestó: «Se ha visto que la seguridad es fundamental para poder capear y liderar crisis como esta, y nuestro país cuenta con una gran cantidad de profesionales muy bien preparados para ello».
Sothis, un 'partner' de TI fiable, flexible y seguro
Sothis es una compañía especializada en soluciones adaptadas de tecnología de la información, gestión industrial y empresarial. Fundada en 2008, cuenta con más de 890 profesionales repartidos entre su sede central, ubicada en Paterna, y sus oficinas en Valencia, Barcelona, Madrid, Aranda de Duero, Sevilla y Porto. Actualmente, proporciona servicio a más de 300 clientes en 35 países, en los sectores agroalimentario, farmacéutico, químico, construcción, distribución y automóvil, entre otros. Cuenta con tres unidades de negocio: Consultoría SAP, Control y Consultoría Industrial y Tecnologías de la Información.
En concreto, el objetivo de esta última área es construir para sus clientes un entorno tecnológico fiable, flexible y seguro que soporte todas las actividades de su cadena de valor. Su oferta incluye soluciones de infraestructura digital, red corporativa, cloud y data center, de productividad y puesto de trabajo digital; además de un porfolio completo de implementación y desarrollo a medida de aplicaciones de negocio y de los servicios de seguridad de la información más avanzados. Todos ellos con las máximas certificaciones en tecnología y metodologías del sector. Es más, los profesionales de Sothis cuentan con niveles máximos de certificación en tecnologías de fabricantes como Microsoft, IBM Security o HPE. Esto, junto con las certificaciones ISO 20000 e ISO 27000, avalan la solvencia de la empresa para afrontar proyectos exigentes. En 2019, Sothis alcanzó el nivel más alto en el Esquema Nacional de Seguridad (ENS).
Finalmente, la empresa dispone de un SOC desde el que presta servicios de monitorización y respuesta a incidentes, vigilancia digital y protección del puesto de trabajo y red; realiza auditorías de vulnerabilidades y proyectos Red Team y proporciona otros servicios relativos a áreas donde tiene conocimientos específicos de seguridad, como Office365, SAP o entornos industriales.
Archivado en:
