redseguridad 082

especial Y es que, según apuntó José Miguel Cardona, de ISACA, "las organizacio- nes ponen en manos de un proveedor el 70 u 80 por ciento de la gestión de la ciberseguridad, por lo que es preciso que este les dé las mayores garantías". De hecho, opinó, han de ir más allá de los acuerdos de nivel de servicio (SLA, por sus siglas en inglés), ofreciendo como valor añadido certificaciones, informes, auditorías, calificaciones... Por todo ello, es importante, según Samuel Linares, de Accenture, desa- rrollar requisitos que definan las res- ponsabilidades de cada cual y que todo ello se traslade a los SLA; algo que además "facilita la relación". De manera paralela, para este profesional también resulta fundamental integrar a los directores de Compras en la elección del proveedor, con el fin de "inyectar la ciberseguridad en todo el proceso". En este punto hay que tener en cuenta, en opinión de Sergio Villarroel, de Panda Security, "la credibilidad y certidumbre del proveedor". Y es que este invitado se mostró convencido de que muchas empresas optan por ser- vicios de compañías norteamericanas porque es "cool" . Sin embargo, afirmó: "Europa debe concienciarse en tener ciberseguridad europea. Por ejemplo, Panda Security es la compañía de seguridad más grande de Europa". Sistemas 'legacy' A pesar de todo lo dicho, también hay algunos obstáculos a la hora de Todos los asistentes coincidieron en la idea de que las empresas deben apostar por compañías de servicios cuyo motor de negocio principal sea la ciberseguridad, así como por contar con especialistas en este campo para poder disponer de la mejor protección. implantar soluciones de cibersegu- ridad como servicio. Uno de ellos lo representan los sistemas legacy (sis- temas heredados que no se pueden o son muy difíciles de sustituir por la función que soportan) que realizan su tarea perfectamente, pero dificul- tan o hacen imposible externalizar algunos servicios de seguridad. En opinión de Vicente Martín, de Panda Security, esto "es muy habitual en entornos como el industrial o el hos- pitalario, con sistemas de alta tecno- logía que por debajo tienen Windows XP". Y añadió: "El problema es bas- tante grave, porque estos sistemas no dejan tocar nada al usuario de las máquinas, y queda todo en manos del fabricante". Ahora bien, eso no quita que no se puedan proteger. "El primer paso es controlar 'la isla legacy', contener lo que pasa dentro y, luego, a medida que sea posible, meter ciertos niveles de seguridad de acuerdo con el fabri- cante y las distintas áreas de ingenie- ría de las empresas", recalcó Samuel Linares, de Accenture. Y aparte de esto, hay que tener en cuenta otro punto importante: la interdependencia. "Cambiar un equipo obsoleto por otro más actual supone que la nueva ver- sión que corre sobre ello tiene que ser compatible con el resto de máquinas a las que esté conectadas", señaló el directivo. Por otro lado, también hay que luchar contra la resistencia natural al cambio de los usuarios. De hecho, Samuel Linares Managing Director en Accenture "Para implementar la ciberseguridad como servicio, es necesario previamente dar un paso atrás y realizar un diagnóstico de la situación de cada empresa y de las necesidades de protección reales que tiene en ese momento" as a service sobre la mesa 32 red seguridad tercer trimestre 2018