redseguridad 082

30 red seguridad tercer trimestre 2018 as a service sobre la mesa ciberseguridad como servicio; mien- tras que cuanto más grande sea, más importante será identificar las áreas críticas en las que decantarse por esta modalidad. Por su parte, Luis Miguel Brejano, de Codere, aunque coincidió en parte con esta argumentación, añadió que optar por la ciberseguridad como servicio "tiene que ver con el grado de madurez de cada empresa, independientemente de su tamaño". Según el directivo, "las organizaciones que no tienen un grado de madurez de seguridad muy elevado ven en la nube una salida para dotarse de un expertise que no tienen". Ahora bien, al igual que el resto de presentes, recalcó la necesidad de que "el cono- cimiento y la parte más estratégica" se encuentre dentro de la propia empresa y que esté alineada con el negocio. Claro que también existe un proble- ma inherente, según apuntaron varios de los asistentes a la mesa redonda: la formación y concienciación de los usuarios. Por ejemplo, Sergio Villarroel, de Panda Security, sostuvo que "la ciberseguridad debe formar parte de la estrategia de cualquier compañía. Sin embargo, para ello, el primer paso es la concienciación y la formación de los empleados". Más teniendo en cuenta que "el 70 por ciento de los ataques que tienen éxito aprovechan vulnerabi- lidades conocidas", apuntó el invitado. De igual manera se pronunció José Miguel Cardona, de ISACA, para quien "el eslabón más débil sigue siendo el usuario", que únicamente se va con- cienciando "de manera reactiva". Y en el caso concreto de las pymes, "la seguridad es un tema que ni siquiera se plantean". Para Luis Miguel Brejano, de Codere, los directivos, generalmente, suelen tener formación y concienciación para saber "qué tipo de seguridad tienen que aplicar a los datos y la información sensible". Sin embargo, los emplea- dos, "en muchas ocasiones, nos son conscientes de la información que manejan y por eso no la protegen, por lo que hay que estar concienciándoles continuamente", añadió. ¿Responsabilidad compartida? En este punto, el debate derivó hacia el concepto de responsabilidad en caso de ataque, y en manos de quién debería estar: los usuarios o los pro- veedores. Para todos los asistentes, este es un tema bastante "complica- do", porque "nadie puede tener un cien por cien de seguridad de que no va a recibir un ataque", en palabras de Sergio Villarroel, de Panda Security. De hecho, su compañero Vicente Martín apuntó que siempre se ha considerado que hay dos tipos de compañías: "Las que están siendo atacadas, y las que no saben que lo están siendo". Por eso es preciso poner "la mayor cantidad de barreras posibles", lo cual, a su vez, puede ser un indicativo del grado de servicio de ciberseguridad que una empresa necesita y en qué ámbitos concretos le hace falta. Este tema también lo abordó Luis Miguel Brejano, de Codere, con un ejemplo: "Hace unos meses nos pro- pusimos seleccionar un proveedor de ciberseguridad como servicio, para lo cual lanzamos una encuesta a las principales empresas españolas de seguridad con 52 cuestiones técnicas referentes a distintos aspectos como el servicio, las certificaciones, los clientes, las tecnologías...", explicó el directivo. Sin embargo, prosiguió: "Nos llevamos una decepción, porque muchas empre- sas de seguridad gestionada no tenían, por ejemplo, la ISO 22301 de conti- nuidad de negocio ni la ISO 27001 de seguridad de la información". Precisamente, al respecto intervino Ana Sánchez, de Global Technology 4E, quien opinó que "la ciberseguridad está de moda actualmente y muchas empresas que no tienen nada que ver con ella la están dando como servicio". Por este motivo, recomendó que "la empresa de servicios elegida se dedique única y exclusivamente a la ciberseguridad" y que "aporte garantías y confianza en el momento en el que surja cualquier problema". Asimismo, Luis Miguel Brejano, de Codere, subrayó las importancia de "elegir un proveedor que dé servicios en el mismo sector y tamaño que la empresa" y optar por "fabricantes de reconocido prestigio". Vicente Martín Director de Preventa de Panda Security "En entornos como el industrial o el hospitalario es muy habitual encontrar sistemas 'legacy'. El problema es bastante grave, porque estos equipos no dejan tocar nada al usuario de las máquinas, queda todo en manos del fabricante" José Miguel Cardona Representante de ISACA "El eslabón más débil en la cadena de la seguridad sigue siendo el usuario, que sólo se conciencia de manera reactiva cuando le sucede algo. En el caso de las pymes, la seguridad es un tema que ni siquiera se plantean"