Autor: Luis Javier Sánchez, periodista especializado.

ISMS Forum pulsa la opinión mediante su tradicional encuesta sobre los temas que serán actualidad en este nuevo ejercicio.

Como ha venido sucediendo en los últimos años, ISMS Forum, siguiendo las pautas de la agencia de seguridad europea, ENISA, ha publicado los Cyber Security and Data Protection Challenges 2023, fruto de las opiniones de más de un centenar de CISOS vinculados a esta asociación empresarial. Gracias a estas opiniones se han definido los quince elementos que preocupan a estos profesionales en su actividad diaria.

A este respecto, elementos como el cumplimiento de terceros de esta normativa; la continuidad del negocio o la seguridad en la nube, son algunos de estas quince cuestiones que preocupan a estos profesionales en un entorno normativo cada vez más complejo que obliga a una mayor colaboración entre los responsables de seguridad y sus asesores jurídicos, tanto internos como externos.

En este contexto, ISMS Forum ha recabado la opinión de varios de estos expertos que configurar su comunidad de profesionales relacionados con la seguridad de la información y la gobernanza TIC para conocer de forma más expresa sus prioridades. Son los casos de Rafael Hernández, CISO de CEPSA; Sergi Carmona, CISO de Agbar, empresa de Veolia y  Daniel Largacha , Global Control Center Assistant Director en MAPFRE.

  

CEPSA y la gestión de incidentes

Rafael Hernández, ingeniero superior de telecomunicaciones, lleva 35 años en CEPSA, una trayectoria que le sirvió para poner en marcha el área de ciberseguridad de esta multinacional española a través de un modelo mixto de personas internas con un servicio gestionado de forma potente. “Nuestro equipo depende de la CIO de la compañía Sara Zumel y coordino un equipo de seis profesionales repartidos en tres áreas de actividad”, comenta.

    

Rafael Hernández, CISO, Cepsa.

Este experto recuerda que en su día fue uno de los fundadores de ISMS Forum. “Desde el principio me gusto la idea y los he acompañado durante mucho tiempo en esta iniciativa empresarial. En los últimos años he sido y soy miembro de la Junta Directiva de la Asociación participando activamente de la mayor parte de las iniciativas de esta entidad”.

Desde su punto de vista “la encuesta de ISMS Forum una vez más deja claro que los criterios que nos preocupan a los CISO son claros. El que más me inquieta es el segundo, sobre la ciberresilencia y gestión de incidentes, que es una de las principales preocupaciones que vamos a tener. Las empresas se distinguen entre las que sufren un ciberataque y las que aún no han sido ciberatacadas. Lo importante es tener una capacidad de respuesta rápida y de resiliencia ante estos ataques”.

Al mismo tiempo, indica que “tanto esa gestión de incidentes como el tratamiento del ransomware cuando somos atacados son claves para cualquier compañía. Junto a ello, como desarrollo a futuro, creo que también es relevante la seguridad en Cloud. Ahora la mayor parte de las empresas estamos en la nube y es fundamental lograrla”.

Para Hernández, otras cuestiones relacionadas con las terceras partes o la gestión de las infraestructuras críticas son relevantes, pero si tuviera que poner un top tres hablaría primero de la resiliencia y capacidad de respuesta, segundo el ransomware y el tercero el tema de la Nube, como elementos fundamentales”.

A la hora de gestionar un incidente que sufra una empresa “lo primero que debe hacerse es identificar realmente lo que está sucediendo. Hay que tener un equipo de defensa y respuesta potente que analice en poco tiempo qué es lo que está pasando. Si no se conoce, no se podrá solucionar dicho incidente. No siempre sabes que te están ciberatacando”

Desde esta perspectiva “es clave contar con un protocolo de funcionamiento claro que se debe entrenar de forma periódica. Hay que hacer simulacros lo más cercanos a la realidad teniendo en cuenta dos cuestiones, lo que se denomina juegos de rol, pero también con un componente técnico importante que ayude a recuperar los sistemas cuando esto suceda”:

En su opinión, “junto con las inversiones que se hagan en ciberseguridad, lo importante es contar con un procedimiento claro y tener las palancas adecuadas para desarrollarlo. Si el protocolo funciona se puede amortiguar mejor el impacto del ciberataque”.

Respecto a la nueva normativa europea que viene y que impulsa la obligación de la ciberseguridad en las organizaciones, Hernandez destaca que “hay que tenerlas muy en cuenta. DORA como reglamento afecta al sector bancario, pero en nuestro caso nos afecta más la directiva NIS2 y la de Resiliencia e infraestructuras críticas. Habrá que ver realmente como nos adaptamos”

A su juicio “será muy importante como se trasponen estas directivas en nuestro país. Es una tarea de los gobiernos que en el caso español solemos hacerlo por encima de los mínimos que plantea la UE. En este momento el tema de la normativa de la seguridad esta en España dividida lo que hace que no estemos bien posicionados los CISOS de este país en este sector”.

La continuidad del negocio clave

Para Sergi Carmona, CISO de Agbar, que pertenece a Veolia “el resumen planteado desde ISMS Forum sobre los hitos claves para este 2023 es muy acertado porque refleja la problemática que tendremos que afrontar los distintos responsables de seguridad a corto plazo”.

Este ingeniero experto en ciberseguridad, vinculado a este grupo empresarial desde hace seis años subraya que “todos podemos ser objetivo de ciberataques y que la seguridad 100% así como el riesgo 0 no existen, por lo tanto y desde mi experiencia, partiendo de la base que mencionaba anteriormente, el punto más importante de todos sería garantizar la continuidad del negocio”.

              

Sergi Carmona, CISO, Veolia

A su juicio, se trata sobre todo de “tener claro cómo actuar y qué puerta tocar para poder restablecer el negocio en el menor tiempo posible. Por lo que es más que recomendable revisitar cada año los procesos críticos de la empresa, hacer simulacros de caída de los mismos, incluyendo “lógicamente la parada de servicio por ciberataque y poder evaluar a los equipos de respuesta así como al comité de crisis para poner en tensión y a juicio la toma de decisiones”.

“A partir de aquí, se podrá medir como de ciberresilientes somos y poder definir una estrategia más a medida”, añade.

Para Carmona, “si analizamos el contexto de riesgos actual, estamos viendo que la mayoría de ciberataques vienen por conexiones con nuestra cadena de suministro, por lo tanto tenemos que traspasar la realidad que vivimos así como la responsabilidad en caso de sufrir un ciberataque o brecha de seguridad por esa conexión. Los ciberdelincuentes saben que no es lo mismo atacar una multinacional que una pyme, sería razonable que las inversiones y las medidas de ciberseguridad no fuesen las mismas”.

Al mismo tiempo incide en que no sirve de nada tener muchas capas de seguridad, tanto en el perímetro corporativo como más allá del mismo si no tenemos empleados suficientemente formados que conozcan perfectamente la diferencia entre hacer o no un clic en una solicitud de facturas”.

Desde esa perspectiva “podemos invertir en tecnología, pero si contamos con poco presupuesto, yo lo invertiría principalmente en concienciación a los empleados, desde los Manager a los colaboradores externos, socios, e incluso los reguladores así como en una ciberseguridad básica o suficiente como para proteger el dato crítico”.

A su juicio, “el mundo de las infraestructuras críticas lo conozco muy de cerca y los ciberdelincuentes saben dónde pueden hacer más daño y cómo, por ese motivo, han aumentado significativamente los ataques a infraestructuras estratégicas que son las que al final soportan las economías del país.

“Es el pilar clave de nuestro negocio, no puede parar, pase lo que pase y somos todos responsables de que así siga”, destaca.

El experto comenta que “una parte que echo en falta del informe es la ciberinteligencia. En el informe se menciona la relacionada con la guerra Rusia – Ucrania, pero antes de la guerra habían ciberataques y después de la misma los seguirán habiendo, por lo tanto, y coloquializándolo mucho, necesitamos poner ojos en todos los sitios. La mayoría de ciberataques se perpetúan en la deep/dark web y una buena práctica, es disponer de herramientas que nos permitan monitorizar lo que está pasando.”.

Desde su punto de vista, otra cuestión importante es que “todos los productos que se pongan en el mercado, ya deberían salir con la seguridad desde el diseño, esta tarea que deberían realizar los fabricantes de todo tipo facilitaría mucho el trabajo a los equipos de seguridad, permitiría al CISO dormir mejor y nos ahorraríamos brechas de seguridad o ataques por vulnerabilidades difíciles de parchear”.

Mapfre y su apuesta por la ciberseguridad

Por su parte Daniel Largacha, CISO de MAPFRE, comenta que “la ciberseguridad siempre ha estado en la agenda de la Dirección de la organización y en estos tiempos con más razón”. MAPFRE es una empresa del sector asegurador que, aunque comparte ámbito financiero con los bancos, se trata de un sector en el que los ciberriesgos han sido percibidos históricamente como lejanos y de baja probabilidad de materialización”.

      

Daniel Largacha, CISO, Mapfre

Lejos de este escenario ya en el 2008 la dirección de MAPFRE aprobó la creación de un centro de monitorización, cuando todavía pocas empresas podían presumir de contar con uno. Prueba de ello es que la empresa fue la primera empresa aseguradora en ingresar en la asociación internacional FIRST en 2010.

Este experto señala que “durante este periodo de tiempo la ciberseguridad ha ido tomando más relevancia y peso en la toma de decisión de la organización. Desde el punto de vista de la organización, la ciberseguridad se percibe como la función necesaria que dota de confiabilidad a la tecnología, y por lo tanto, cuanto más se avance en la transformación digital, mayor será la dependencia de la tecnología y, por ende, la exposición a los ciberriesgos. Así que mayor deberá ser la inversión en ciberseguridad”.

La seguridad en MAPFRE se entiende como una función necesaria y vital para conseguir que realmente una empresa aseguradora pueda transmitir confianza a sus clientes.

Para este experto, “todas las empresas podemos estar de acuerdo en los principales riesgos, luego es cierto que hay algunos riesgos que son más sectoriales o específicos (como pueden ser los riesgos OT por ejemplo) pero al final son riesgos que de una u otra manera nos afectan a todos, ya sea como parte de una empresa o como ciudadanos de la sociedad”.

A su juicio, “iniciativas como la de ISMS contribuyen a poner encima de la mesa las principales preocupaciones y eso siempre es positivo”.

También destaca que “la presión regulatoria ha crecido mucho en los últimos años, NIS2 y DORA son un ejemplo, pero tenemos otras normativas de privacidad y de seguridad específicas de los sectores que ya venían incrementando dicha presión. En general, este tipo de marcos normativos son el resultado de las preocupaciones de los gobiernos”.

Sobre esta normativa considera que “va a mejorar el entorno de control, pero no porque las grandes corporaciones se vayan a tomar más en serio la ciberseguridad, ya es relevante, y lo seguirá siendo, tengamos o no este tipo de normativas”.

“Probablemente sí que va a tener un efecto positivo en las grandes empresas, sin embargo, no soy tan optimista con el impacto que vaya a tener en las empresas de tamaño medio, que son la mayoría. Pero, al menos con el tiempo, se generará conciencia y a largo plazo espero que acabe teniendo un efecto llamada”, indica.