La ciberseguridad empresarial, encabezada por los CISO, madura en un ambiente marcado por las regulaciones, la formación, la vigilancia de los mercados y la gestión del fraude
Securmática XXXIII volvió a demostrar por qué, tras más de tres décadas, continúa siendo el foro profesional de referencia. Con más de 400 asistentes y cerca de 50 destacados ponentes del sector privado y público, el congreso celebró sus tres jornadas del 3 al 5 de octubre mostrando, con profundidad y al detalle, los que, sin duda, están siendo los proyectos más destacados e innovadores en este ámbito. En esta ocasión, muchos de ellos estuvieron centrados en el ámbito bancario, para anticiparse a los requisitos de normativas europeas, como DORA o NIS2, que van a suponer un antes y un después en el ‘ciberescudo europeo cibernético’ en el que trabajan instituciones y compañías. En un auditorio que volvió a estar con ‘aforo completo’, no faltaron interesantes reflexiones y debates sobre cómo aprovechar la observabilidad para la ciberprotección, la gestión del riesgo, la compartición fluida y recíproca, la concienciación, la apuesta por la nube en entidades bancarias, el impacto de la IA y un largo y sofisticado etcétera. Securmática contó con el apoyo de las compañías Accenture, Aiuken Cybersecurity, Áudea, Alvarez & Marsal, Babel, Cipher a Prosegur Company, Entelgy Innotec Security, EY, Factum, Fujitsu, GMV, Google Cloud, KPMG, Microsoft, Outpost24, PwC, S2 Grupo, SIA, Telefónica Tech y Wise Security Global.
En su XXXIII edición, Securmática volvió a convertirse en la cita de referencia del ámbito ejecutivo, con una nutrida representación de los principales clientes y oferentes, tantos públicos como privados, de ciberprotección. El programa profundizó en todo tipo de sectores, con especial presencia del financiero y bancario, sobre la legislación ya promulgada por la UE, como NIS2 y DORA, unas normativas que dibujan el camino que deben seguir las corporaciones y los integrantes de las cadenas de suministro para transformar los sistemas de gestión de riesgos hacia una operativa digital y ciberfísica plenas. Bajo el lema ‘En buena compañía’, el congreso comenzó con la exposición de los grandes retos de los 20 copatrocinadores, cuya representatividad mayoritaria sectorial y de excelencia da curso con máximo realismo y credibilidad a las iniciativas más innovadoras llevadas a efecto en los mercados ibéricos y transnacionales concernidos.
En el acto de apertura de la XXXIII edición de Securmática -previo a la conferencia de inauguración- los principales ejecutivos de los proveedores de servicios copatrocinadores del congreso expusieron sus retos y novedades. Todos conforman una muestra muy representativa del sector oferente de ciberseguridad para el ámbito corporativo en el mercado ibérico. Así, se contó con las aportaciones -de izquierda a derecha, comenzando por arriba-, de Domingo Cardona, Director Gerente Senior de Wise Security Global; Javier Pérez, Responsable de Ciberseguridad de Fujitsu España; Julio San José, Director Gerente de Transformación Digital y Ciberseguridad de Alvarez & Marsal; Roberto Espina, CEO de SIA; Mario Casado, Responsable Global de Ciberseguridad de Babel; Agustín Muñoz-Grandes, Responsable de Seguridad para España, Portugal e Israel de Accenture; David López, Director de Tecnología en Factum; Marc Martínez, Socio Responsable de Ciberseguridad en KPMG; Jorge González de León, Vicepresidente para EMEA de Cipher a Prosegur Company; Pedro López Peña, Director General Adjunto de GMV–Secure e-Solutions, así como con José Miguel Rosell, CEO y Fundador de S2 Grupo; José Luis Domínguez, Director de Ventas de Cybersecurity and Cloud de Telefónica Tech; Félix Muñoz, Director General de Entelgy Innotec Security; Elena Maestre, Socia Responsable de Ciberseguridad y Riesgos de EY; Jesús Romero, Socio Responsable de Business Security Solutions de PwC España; Néstor Carriba, Chief Revenue Officer de Aiuken Cybersecurity; María Vázquez, Responsable de Ventas Especializadas y miembro del Consejo de Microsoft España; Jesús Sánchez, Socio Fundador y Director de Operaciones de Áudea Seguridad de la Información; Héctor Sánchez Montenegro, Director de Tecnología de Google Cloud Spain; y Vicente Martín, Vicepresidente Senior de Producto de Outpost24.
Conferencia inaugural
A continuación, José de la Peña, Director de Revista SIC, presentó a Silvia Senabre, Jefa del Grupo de Riesgo Tecnológico de la Dirección General de Supervisión del Banco de España, quién pronuncio la conferencia de inauguración del congreso, dedicada a la ‘La resiliencia digital del sector financiero’. Senabre recordó que “la transformación digital no es gratis, tiene riesgos”. Asimismo, destacó que, en este ámbito, hay que tener claro “que va a haber escenarios adversos que nos van a impactar”, por lo que “hay que centrarse en las funciones que para el negocio sean críticas”.
Ante ello, apostó por contar con una mirada holística para abarcar la función de negocio de extremo a extremo, rompiendo los silos y contando con una visión transversal. Precisamente, por ello, resaltó el papel que van a jugar normativas como DORA, que propone apostar por la gobernanza y “poner todos los recursos de la compañía para proteger lo más crítico para ella”. No faltó el guiño al lema del congreso de este año, destacando el valor de la cooperación y la compartición de información, y destacando el papel relevante que ha jugado Banco de España en normativas como DORA y estándares internacionales en este ámbito, como el marco TIBER. Desde el BdE “consideramos que la resiliencia no es una opción, es una necesidad”, concluyó.
Enfoque integral
Acto seguido, se dio paso al primer bloque, moderado por el editor de Revista SIC, Luis Fernández, comenzado con la interesante ponencia de la recientemente nombrada CISO Global en Grupo Santander, Hazel Díez Castaño, quien desgranó los retos de la entidad sobre la resiliencia colectiva como camino de la colaboración hacia un ecosistema más seguro. Así, recordó que el riesgo cibernético “es uno de los 10 principales para todas las compañías, según organizaciones como el Foro Económico Mundial, que cuantifica las pérdidas del cibercrimen, en 2027, en 22,79 billones de euros, cuando el PIB de EE.UU. anual es de 23,74 billones de euros”. En este sentido, resaltó la necesidad de ampliar “el círculo de confianza” para intercambiar información sobre incidentes, como ya se hace a través de iniciativas como Cybercrime Atlas o la Ransomware Task Force.
Además, recordó la necesidad de “fomentar la innovación del ecosistema” con nuevas ideas de startups, iniciativas como la Santander X Global Challenge, y apostando por la concienciación de todo tipo de perfiles empresariales. No faltó en el coloquio con Díaz la referencia al ex CISO de la entidad, Daniel Barriuso, que ha sido ascendido a Global Head of Santander Retail & Commercial, y que supone “un cambio de mente, demostrando que nuestro perfil no tiene los riesgos y el negocio como techo”.
Posteriormente, agarró el testigo como moderador, Boris Delgado, Director de Soluciones de Digitalización y Tecnología de Aenor, para dar paso a José Ignacio Garrido y Roberto Ortiz Plaza, Global Head of Information Security y CISO del área Global Software Development, respectivamente, de BBVA, quienes hablaron sobre la ‘Seguridad embebida: Distribuyendo el centro de gravedad para garantizar la ejecución’. Así, dieron a conocer, en primicia, un nuevo enfoque que se está aplicando en la entidad, basado en cinco pilares: gobierno basado en riesgo, seguridad embebida, seguridad basada en inteligencia, modelo operacional de excelencia y las mejores capacidades.
En concreto, en Securmática se centraron en el segundo, que pasa por “asignar la propiedad de la responsabilidad a quien, de verdad, tiene que hacer las cosas”, explicó Garrido. Así, se ha conseguido que “sean responsables en ciberprotección los que trabajan en otras áreas que no son las de ciberseguridad. Es complicado, pero ese es el reto”, destacó. “La clave para hacerlo con éxito es entender que detrás de procesos y tecnologías, están las personas”, añadió Ortiz, explicando que, en definitiva “se trata de un cambio cultural”.
Riesgo de terceros
También despertó notable interés la conferencia sobre ‘Transformación de la función de ciberseguridad en un grupo empresarial multisectorial’, por parte de El Corte Inglés, pronunciada por Alejandro Ramos, su CISO Global, y Jesús Romero, Socio Responsable de Business Security Solutions de PwC España. Ramos puso en valor el proceso de transformación digital que está llevando a cabo el Grupo, “tanto en lo que atañe a la tecnología, como al negocio”, explicando la complejidad que supone dar ciberprotección cuando se cuenta con más de 60.000 proveedores.
Así, destacó que su foco pasa por tres pilares: el principio de corresponsabilidad, la apuesta por la seguridad desde el diseño y la necesidad de evolucionar hasta contar con capacidades avanzadas, implementando controles de ciberprotección exhaustivos en las diferentes capas del negocio. Por su lado, Romero comentó que los aspectos claves para el éxito del plan implementado han sido ayudar en “la definición de la estrategia, la orientación al riesgo, las capacidades transversales y la planificación del roadmap”, a tres años.
Siguió un bloque moderado por Antonio Ramos, CEO de Leet Security, en el que Mario Maawad, Director de Innovación en Seguridad y Red Team de CaixaBank, y Gonzalo Sánchez Delgado, Hacking Service Manager de Entelgy Innotec Security hablaron sobre el ‘Bug Bounty y Red Team como medios necesarios para asegurar la ciberseguridad’. En ella mostraron cómo complementar la ciberprotección de una entidad bancaria a través del pago por vulnerabilidades, como una capa más dentro de la estrategia de seguridad cibernética. “Se planteó como algo que permitiera ‘meter el turbo’ al servicio que ya ofrecemos para dar el mejor valor”, destacó Sánchez Delgado recordando que, en muchas ocasiones, las pruebas de intrusión, por su enfoque, no llegan a dar con vulnerabilidades realmente críticas para el negocio.
“Estos servicios son cada vez más necesarios y cubren muchos aspectos porque, además, están orientados a resultados”, dijo Maawad, quien puso en valor que, realizado con una empresa de confianza, se disipan las dudas que surgen, como “la confidencialidad”.
Finalizó el primer módulo con la conferencia de Javier Gayoso Enrique, CISO de Banca March, y Juan López-Rubio, Senior Director de Alvarez & Marsal, que presentaron cómo en la entidad bancaria se ha acometido la ‘Transformación de la función de seguridad’. “En 2018, comenzamos un fuerte proceso de transformación digital y se vio que la ciberprotección debía ser vital”, explicó Gayoso que destacó que, desde 2021, debido al incremento de las ciberamenazas y del riesgo ‘ciber’, se creó la función del CISO en la alta dirección, concienciando a los empleados para que la “ciberseguridad sea de todos”. Así se dotó a esta área de más recursos y personal, alineando su función con la del plan estratégico apostando por la innovación y la observabilidad “y evitando que se nos viera como el stopper del negocio, sino su facilitador”.
López Rubio explicó, además, que, en el proceso de acompañamiento al CISO de la entidad financiera, se planteó una estrategia a tres años, para “contar con un departamento de ciberseguridad maduro que responda a los restos actuales y los que vengan”.
Lecciones aprendidas
Tras los recientes ciberataques contra grupos hoteleros como MGM Resorts y Caesars Entertainment, en septiembre, había expectación por la primera ponencia del segundo módulo de Securmática. Moderado por Pablo San Emeterio, consultor independiente, profesor y comunicador, abrieron la jornada Francisco García Lázaro, CISO Corporativo de Palladium Hotel Group, y Rubén Gómez, Responsable de Servicios de Detección y Respuesta a Incidentes y Responsable de Arquitectura de Ciberseguridad de Fujitsu, para hablar sobre ‘Lecciones aprendidas en servicios de detección y respuesta a incidentes’, por parte de la entidad hotelera.
En este sentido, Gómez mostró cómo su compañía está acompañando al Grupo con una metodología adaptada, “partiendo de un conocimiento exhaustivo del negocio del cliente” y “aterrizando diferentes casos de uso del negocio, teniendo en cuenta sus sistemas críticos y buscando la máxima protección a través de auditorías internas, ejercicios de red team, búsqueda de vulnerabilidades e inteligencia”. “Se trata de ser proactivos y no quedarse en los servicios tradicionales de SOC o SIEM”, añadió como clave. Además, García Lázaro también comentó que el valor diferencial del proyecto con Fujitsu fue la parte de protección, eligiendo las tres herramientas que más seguridad daban: “la del endpoint, navegación y correo-e, además externalizar algunas capacidades”, entre otros aspectos.
Le siguió una ilustrativa ponencia sobre ‘Una experiencia práctica de la transición de una administración pública hacia la ciberseguridad como servicio’, por parte de José Andrés Jiménez Martín, Jefe del Departamento de Asesoramiento Técnico de la Dirección de TIC del Congreso de los Diputados, y de Auxiliadora Ureña Serena, Responsable de Desarrollo de Negocio de Ciberseguridad en Babel. En ella, Jiménez recordó que uno de los grandes retos de la Administración son los sistemas heredados que hay que proteger. Frente a ello, en la institución parlamentaria se ha apostado por desarrollar lo que ha denominado una “doctrina digital que prefiero llamar capacidad de supervivencia más que resiliencia”, recordando el caso del portaviones Georgetown, de EE.UU., que fue capaz de resistir ataques críticos en la Segunda Guerra Mundial por su capacidad para la gestión del control de daños.
El Congreso cuenta actualmente con los servicios de ciberprotección de Babel, a la que se adjudicó el principal lote del concurso convocado al respecto. “Se trataba de dar un gran salto adelante para abordar ‘todo de una vez’ a través de marco maduro de ciberseguridad buscando la eficiencia”. Ureña, de hecho, resaltó que su propuesta, ya hecha realidad, pasa por “plantear un sistema de servicio integral para proteger las comunicaciones del Congreso, 24x7, con herramientas que permitan hacer seguro todo tipo de dispositivos y entornos, también conforme al ENS, además de implementar planes de concienciación”.
Ciberinteligencia y consolidación
Tomó el relevo como moderador el fundador de RootedCON, Román Ramirez, que presentó a Laura Caballero, CISO en Adevinta Spain, y Vicente Martín, Vicepresidente Senior de Producto en Outpost24, para detallar la experiencia de la conocida compañía de portales web con la ‘Cibervigilancia en marketplaces: Protegiendo y asegurando la confianza del usuario’. La responsable de ciberseguridad de la compañía, conocida por webs como Fotocasa, Infojobs o Cochesnet, explicó que reciben más de 2,5 millones de visitas al mes siendo un negocio muy expuesto a ataques a los logins, web e, incluso, a accesos no autorizados y publicidad de contenido fraudulento. Y todo ello en un entorno totalmente en la nube.
“Por ello, nuestra estrategia pasa por monitorizar accesos, con alertas específicas sobre el login de los usuarios, y apostar mucho por la cibervigilancia y la gestión de vulnerabilidades en diferentes niveles”, destacó, entre otros aspectos, Caballero. Una estrategia en la que juega un papel importante Outpost24 y la cibervigilancia. Precisamente, Martín puso en valor que, desde que comenzara la empresa en 2014, ha recuperado más de 300 millones de contraseñas, así como que “de las 11.000 identificadas en 2022, el 40% fueron válidas, muchas usadas por clientes de pago de las plataformas de la empresa”.
A continuación, Jesús Ángel Santos López, Director de Infraestructura, Workplace y Seguridad en Grupo Másmóvil, y el siempre notorio Juan Miguel Velasco, CEO y Fundador de Aiuken Cybersecurity, mostraron las ventajas del proyecto de ‘Consolidación en un único SOC de las operaciones de ciberseguridad’. En ella, Velasco recordó la importancia de la automatización y de tecnologías “que Gartner ha destacado como la arquitectura Mesh”. Así mostró su visión que pasa por apostar por un “security analytics y un reporte integrado, la citada arquitectura y una plataforma que permite la sistematización y la reducción de falsas alertas”. También, recordó cómo su compañía ha conseguido “un Meta SIEM que funciona sobre cualquier infraestructura como, por ejemplo, de Microsoft y Amazon”, y destacó la importancia de contar con un motor de IA para atender de forma automática al mayor número de incidentes.
Santos, por su parte, explicó el proceso que ha seguido el Grupo, que apostó, junto a Aiuken, por pasar de cinco SOC a uno, con algún servicio subcontratado más, “como el de protección frente a denegación de servicio”. No faltó en la intervención de ambos, la necesidad de atajar con tecnología y gestión unificada el déficit de talento, así como el enriquecimiento de datos para contar con observabilidad.
Transporte ferroviario
Le siguió la ponencia sobre el ‘El reto actual de la detección y respuesta en Servicios Esenciales’, realizada por Francisco Lázaro, CISO y DPO de Renfe, Lorenzo Mateu, Director de Desarrollo de S2 Grupo, y Óscar Navarro, Director del Área Industrial de S2 Grupo.
En ella, el responsable de ciberseguridad destacó haber “logrado un alto nivel de madurez, que también ha supuesto una inversión en un modelo de eficiencia en la gestión de la ciberseguridad, incluyendo la segregación de funciones”, destacó recordando también la importancia de implementar herramientas, con tecnología nacional, como Gloria de S2 Grupo, con altas capacidades de “detección y respuesta” que permite, además, “tener un diálogo con quien la ha desarrollado”.
Todo ello ha permitido a Renfe identificar 1.500 millones de eventos de ciberseguridad, 70.000 por segundo, centrándose en los críticos. “Gloria no es un SIEM tradicional, ya que permite gestionar de forma completa un centro de servicios a través de la monitorización, la recolección, con una orientación flexible hacia la vigilancia del mundo IP, incluyendo IoT y el mundo OT en general con inteligencia avanzada”, resaltaron los expertos de S2 Grupo.
El bloque moderado por la CISO de Europa y del Centro Corporativo del Grupo Santander, Idoia Mateo, comenzó con una exposición de alto nivel de Susana Calvo, Director Information Security Officer de Grifols, y Marcos Sánchez Martínez, Manager de Ciberseguridad en EY España, sobre ‘La colaboración continuada: el camino para evolucionar las capacidades de ciberseguridad’ en la conocida farmacéutica. Calvo subrayó la importancia de apostar por un “SIEM integrado en las operaciones, la capacidad para detectar acciones maliciosas y de contar con un enfoque de confianza cero, además de capacidades de inteligencia para conocer qué pasa en el sector, también de forma global”.
ecordó que “la tecnología y los servicios son clave, pero para tener ciberresiliencia lo importante son las personas”. Ambos pusieron en valor, entre otras cuestiones, “contar con equipos cohesionados, procedimientos compartidos, coordinación y tener un servicio flexible adaptado a las necesidades de la compañía en todo momento”.
Integración continua y SOC de aplicaciones
A continuación, se profundizó en los retos de la ‘Integración continua: Fusión de responsabilidades para crecer en capacidades ciber’, en la Agencia de Ciberseguridad de Cataluña por parte de su Director, Tomás Roy Catalá, y de Rafael Ortega García, Director de Operaciones de Factum.
Así, destacaron cómo, en la capa de aplicación, el paradigma de la ciberseguridad cambia y destacaron, de forma concreta, cuatro aspectos que hay que tener en cuenta; que "todo nace y evoluciona integrado y automatizado", el compliance 'de papel' que debe estar integrado en los controles técnicos, la necesidad de redefinir el área de ciberseguridad y lo esencial de la observabilidad, ya que la importancia de la monitorización de las aplicaciones y la experiencia del usuario es una materia ampliamente desarrollada por los centros del control de I&O. En este sentido, Roy explicó que el 73,23% de los incidentes gestionados por la Agencia están relacionados con el uso de código o programas maliciosos.
Ortega recordó la necesidad de “aprovechar la infraestructura tecnológica para sacar el máximo partido a la ciperprotección y, una vía es focalizarse en la capa de aplicación, porque es donde vamos a hacer horizontal la seguridad ‘por diseño’, centrándonos también en la detección y respuesta”. Por eso, ambos avanzaron que cada vez cobrarán más importancia los SOC de aplicaciones, así como la observabilidad en este ámbito.
Terminaron la segunda jornada dos interesantes propuestas, moderadas por el Director de Revista SIC, José de la Peña. La primera, a cargo de Ramón Ortiz, Responsable de Seguridad de Mediaset, y de Óscar Riaño, Responsable del CERT de GMV, quienes desgranaron la ‘Ciberseguridad de calidad durante 30 años en buena compañía’ en el grupo televisivo. En concreto, Ortiz mostró cómo ha evolucionado el enfoque de ciberprotección del Grupo desde 2005, con el reto por proteger hasta el despliegue del SOC en 2021”, un proceso en el que siempre ha contado con GMV como socio.
“Cuando hablamos de SOC y CERT lo hacemos de detección y respuesta, con mucho foco en lo segundo para ser resilientes y cumplir con los requisitos del negocio” explicó. Así, Riaño puso especial énfasis en la necesidad de que los clientes sepan bien lo que detecta su SOC -en el caso de GMV se usa el framework DeTT&CT-, para tener claro si tiene la protección que precisan. Además, también puso en valor otras actuaciones, como la realización de 12 pruebas de detección al año, gracias a las que se han detectado más de 40.000 vulnerabilidades.
Para finalizar este módulo, los asistentes disfrutaron de una conferencia sobre ‘Ciberresiliencia en el sector de las infraestructuras’, con la experiencia de Adif, de la mano de su Directora General de Seguridad, Procesos y Sistemas Corporativos, Esther Mateo, y de Ester Tejedor, Directora de Tecnología y Operaciones de Ciberseguridad en Telefónica Tech. Mateo recordó que uno de sus grandes retos es la parte OT, además de resaltar su madurez en ciberprotección a través de una estrategia alineada entre la transformación digital y lo digital, con el CIO y CISO dependientes de una misma persona. “Se apuesta por la simplificación de procesos y el cambio cultural”, recordó.
En definitiva, destacaron, en que todo el mundo tenga responsabilidad en ciberseguridad, sin importar el área en la que se trabaje. En este proyecto, como explicó Tejedor, Telefónica ha aportado mucho gracias a su buena aproximación, que no sólo busca hacer la infraestructura segura sino, también, que tenga plena disponibilidad. Para ello, se apuesta por “tener visibilidad y bases de datos que enriquezcan el trabajo para ver si un activo es crítico y tomar las decisiones”. “Además de contar con un SOC que tenga capacidad de respuesta, pero poca afectación en el negocio”. Asimismo, Tejedor destacó la importancia de que Telefónica cuente con la figura del BISO (Business Information Security Officer) para conseguir que los equipos de ambas empresas trabajen juntos compartiendo las mismas preocupaciones.
Identidades descentralizadas
Arrancó el tercer bloque, moderado por el redactor de Revista SIC, José Manuel Vera, con un breve repaso a la historia de Securmática, desde 1990, acompasando la evolución de la ciberprotección, y que dio paso a una ponencia de Sam Barranco, Director de Operaciones de Grupo Betmedia, y Óscar Flor, Digital Identity Director de Wise Security Global, sobre las ‘Identidades Digitales Descentralizadas (DID) como eje estratégico’.
En este sentido, Flor dio a conocer Wise DID Authenticator, un software basado en DID que verifica la identidad de un usuario o dispositivo y gestiona el acceso a un sistema o recurso protegido, a través de una red de blockchain. El directivo presentó el caso de uso en Betmedia, una red social exclusiva para el mundo de las apuestas deportivas que buscaba -en palabras de Barranco- una solución para su plataforma Mitipster “que nos diera seguridad, controláramos los datos y pudiéramos proteger al usuario”. A ello, se le unía el reto de dar respuesta “al imperativo legal en la industria del juego de demostrar que los usuarios que están accediendo son mayores de edad, y no garantizarlo solo en el momento, sino también a futuro”, añadió Flor. Wise lo afrontó con su solución de credenciales descentralizadas, la cual utiliza como base tecnológica Definitive ID, “uno de los pilares clave de la solución”.
Tras esta interesante exposición, le siguió una conferencia de Iván Muñoz Lois, Responsable de Ciberseguridad en Grupo Indukern, y Roger Ares Viñas, Senior Manager de Riesgos Tecnológicos y Ciberseguridad de KPMG en España, sobre ‘Fugas de información sensible, un reto para las empresas’, y la experiencia de la compañía del sector salud. Muñoz destacó los retos de las organizaciones en materia de protección de información, explicando que, por ejemplo, muchas organizaciones desconocen dónde residen sus datos sensibles, algunos de los sistemas no están protegidos de forma adecuada, tampoco existe un criterio estándar para la clasificación de información y su tratamiento en consonancia, etc. Acto seguido, Ares explicó cómo desde KPMG afrontan “un proyecto global de protección de información de las organizaciones para gestionar mejor su información y minimizar los riesgos de fuga”.
Para ello, la compañía cubre ocho pilares fundamentales: estrategia, gobierno, descubrimiento y clasificación, protección, monitorización y remediación, almacenamiento y borrado, recuperación y respuesta, sin olvidar la formación y concienciación.
Sacar partido
Continuó la moderación de Maica Aguilar, Gerente de Seguridad de Ferrovial y miembro de la junta de Women 4 Cyber, dando paso a una exposición de Miguel Ángel Carretero, CISO Global de Prosegur Compañía de Seguridad, y Carlos Fernández, Responsable Global de la División xMDR en Cipher, bajo el título ‘Redefiniendo la Ciberseguridad: Automatización Inteligente para una protección eficaz’, bajo el foco de la empresa de protección.
Carretero destacó la evolución de la compañía en ciberseguridad, a través de Cipher, buscando una fórmula de automatizar todo, reducir lo manual y complejo, para contar con una visibilidad de lo que se quiere proteger apostando por un nuevo servicio de Detección y Respuesta Gestionada xMDR, un servicio 24x7 para hacer frente al nuevo paradigma del adversario digital y las tecnologías en constante evolución. Fernandez, destacó que se trata de una plataforma que ya está en marcha desde este año, y que permite abordar problemas como el de la complejidad tecnológica y organizacional, la falta de visibilidad, la dificultad en la mejora continua, además de reforzar las capacidades de los servicios de SOC, así como evitar las ‘tormentas de alertas’. “La tecnología no es nueva pero sí resulta novedosa la forma de aproximarnos a la solución, siendo un ‘paraguas’ por encima de las tecnologías de cualquier empresa”, añadió.
Tras ella, el Director del Centro de Ciberseguridad del Ayuntamiento de Madrid (CCMAD), José Ángel Álvarez Pérez, y el Head of Cybersecurity Services & Solutions Business en SIA, Roberto Pérez García, explicaron cómo el consistorio ha apostado por ‘Un modelo de defensa proactivo para optimizar la protección de los sistemas y usuarios internos, los servicios públicos digitales y los datos de los ciudadanos’.
El experto del consistorio recordó la complejidad de gestionar la ciberprotección de una ciudad como Madrid que ya cuenta con su Estrategia de Ciberseguridad.
Así, mostró el enfoque que se ha puesto en marcha para identificar, proteger, detectar, responder y recuperar, aplicado al ámbito IT y OT de la ciudad. Una labor en la que ha sido determinante la compañía SIA. En este sentido, Pérez García explicó la labor de la empresa, adjudicataria del lote de servicios integrales de ciberseguridad, que comenzó en septiembre de este año, con un importe de dos millones de euros, a dos o tres años. Entre sus grandes aportaciones al consistorio destaca su “SIA eXtended Managed Detection & Response, que busca un cambio de paradigma y en definitiva una aproximación moderna para responder a las amenazas actuales con un proceso orientado a la gestión de riesgos”, comentó.
En el siguiente bloque, presentado por Isabel María Gómez, Asesora Independiente de Ciberseguridad, Jesús Muñoz Núñez, Director de CSIRT & Security Analytics de Digital Security de CaixaBank, y José Carlos Cerezo, Head of EMEA South Security and Compliance Team de Google Cloud, profundizaron sobre ‘Cómo proteger una plataforma de datos e IA corporativa: amenazas, controles y tecnología’, y cuál ha sido la apuesta de la entidad bancaria. Muñoz destacó que su área lleva tanto el CSIRT, como otros aspectos de ciberprotección, como alertas tempranas, red team y security analytics, que es la ‘navaja suiza’ de la plataforma para mejorar, monitorizar y encontrar fallos.
Cerezo puso en valor la tecnología y propuesta de Google que ha apostado, en un entorno bancario, por la “confidencialidad del dato y su protección, garantizando siempre la disponibilidad desde la nube”. Además, recordó que este tipo de entornos es “elástico” y permite “garantizar en seis dominios la protección y garantizar que se acomete el cumplimiento necesario”. Asimismo, en el proyecto de la entidad financiera ha primado la transparencia frente al regulador, al que se presentó el framework de trabajo.
Adolfo Hernández, CISO en Sabadell Digital y Director de Operaciones de Seguridad de Banco Sabadell, y Nuria Andrés Pastor, Especialista en Soluciones de Ciberseguridad, Cumplimiento e Identidad para el Sector Financiero en Microsoft, ofrecieron una interesante propuesta bajo el título ‘Arrojando luz en zonas oscuras. Defensa contra amenazas avanzadas’, y lo acometido por la organización bancaria. Así, Hernández destacó que, desde su incorporación a la entidad en 2016, se ha evolucionado a una aproximación más proactiva, basada en la detección anticipada. “Se trata de ser capaces de detectar amenazas que pasan desapercibidas”. Por ejemplo, a través de la herramienta, de desarrollo propio, Tizona.
Un proceso en el que la entidad ha contado también con Microsoft y algunas de sus más innovadoras propuestas a través de una “plataforma de ciberseguridad basada en seis pilares (confianza cero, gestión de la identidad, de los dispositivos, de la información, de la red y de las infraestructuras), y con más de 50 soluciones agrupadas en seis familias: Microsoft Defender, Sentinel, Entra ID, Intune, Priva y Puriew”, explicó Andrés a la vez que puso en valor su Microsoft Security Copilot para, entre otras capacidades, contar “con una IA entrenada para casos de ciberseguridad”.
Como colofón a esta edición de Securmática, moderó el último bloque el Director de Revista SIC, José de la Peña, en el que Carlos Pérez Saldaña, CISO de Grupo Abanca y Javier Ruiz de Ojeda, Consultor GRC Senior en Áudea Seguridad de la Información, mostraron ‘¿Cómo sintetizar todos los datos sobre riesgo humano en un solo indicador que permita gobernar tu programa de concienciación?’, a raíz de lo acometido conjuntamente. Saldaña mostró que el foco de su entidad es de “seguridad por capas, en las que la concienciación es un control más”. Así, destacó que su éxito depende de que “pueda medirse y comprobar si la inversión en ella tiene sentido”. Ruiz Ojeda enseñó un interesante gráfico del cerebro dividido en tres partes: el reptiliano, el límbico y el neocórtex.
“Las dos primeras nos permiten realizar actividades de forma inconsciente, pero la última es la que realmente nos permite resolver los problemas”. Ambos destacaron en el trabajo realizado en Abanca para impulsar “un cambio cultural completo para que cada empleado deje de pensar en ciberseguridad y no sea el neocórtex el que reacciona, sino los ‘otros cerebros’ haciéndolo de forma instintiva”.
Finalizó el congreso la interesante reflexión y análisis de Gustavo Lozano, Chief Information Security Officer de ING España, y Víctor Hernández, Managing Director, Financial Services Security Lead en Accenture Iberia, sobre ‘La evolución de la función del CISO: mejora y madurez continua’, un aspecto de gran preocupación para este rol profesional que ha pasado de acometer aspectos básicos como ‘CISO operacional’ a un enfoque más proactivo. Con ello, el rol de responsable de ciberseguridad ha evolucionado hacia un “CISO de negocio, traduciendo los indicadores, del cuadro de mandos, con el que trabaja a cada departamento”.
Todo ello ha permitido al CISO ganar “influencia, además de resiliencia, predicción y capacidad de captación de talento”, siendo actualmente un proyecto de referencia en todo el Grupo ING.