Daniel Agudo
Daniel Agudo. Docente del Máster en Ciberseguridad

Cybersecurity Operations Improvement Manager en el Centre de Seguretat de la Informació de Catalunya (CESICAT)

«Las inversiones en ciberseguridad demuestran el compromiso de una organización con sus clientes»

29 septiembre 2016

Hoy entrevistamos a Daniel Agudo, responsable de la evolución y transformación del centro de operaciones de seguridad del CESICAT de la Generalitat de Catalunya y con más de diez años en el sector de la seguridad de la información. Daniel nos habla de las tendencias actuales en ciberseguridad.

Desde fraudes en el comercio electrónico hasta ciberguerras entre países enemigos, la ciberseguridad tiene un campo de acción muy destacado y va a despuntar como uno de los sectores más dinámicos de la economía digital en un corto espacio de tiempo.

Existen varios catálogos de amenazas de organizaciones gubernamentales dedicadas a la ciberseguridad, las cuales clasifican las amenazas según tendencia y probabilidad de ocurrencia. Por nombrar algunas: US-CERT, ENISA, CCN-CERT y FIRST. Personalmente me gusta la de ENISA y me atrevería a decir que las principales amenazas son: Ataques de denegación de servicio distribuido, fraude y sabotaje, ataques contra el servicio de resolución de nombres o DNS, suplantación de identidad, robo de información y código malicioso.

Se estima que el coste del ciberdelito a nivel mundial se situó entre los 375.000 y los 575.000 millones de dólares en 2013. Estas cifras suponen que el ciberdelito extrae alrededor del 15-20% del valor generado por Internet.

Según la auditora PwC en su encuesta anual sobre ciberseguridad, en el año 2015 se incrementó el presupuesto en ciberseguridad en un 24%. No es de extrañar pues la tendencia ha sido a la alza en los últimos diez años, con una clara sofisticación de los ataques y por ende sus atacantes (grupos expertos, bien organizados y financiados). Los ataques han pasado de ser aleatorios a ser dirigidos contra organizaciones tanto públicas como privadas y sobre todo contra los usuarios. Actualmente siguen siendo comunes los ataques de denegación de servicio, ataques contra las aplicaciones para el robo de datos o la suplantación de identidad y, en el caso de los usuarios, el sabotaje (robo o destrucción de la información a cambio de dinero (bitcoins normalmente)).

Dado que los ataques han sido muy publicitados tanto por la prensa escrita y oral, como por ciudadanos y organizaciones a través de las redes sociales, la situación de alarma ha hecho que las organizaciones incluyan la seguridad de la información o ciberseguridad dentro de sus planes estratégicos como un objetivo clave. Existe una real preocupación a sufrir un incidente de seguridad que tenga impacto en su reputación, imagen de marca, que se transforme en problemas legales o incluso en pérdidas económicas. Por este motivo, las organizaciones se están reforzando comprando dispositivos, programas y sobre todo, personal experto en seguridad, que ayude a protegerse frente a las amenazas latentes en la sociedad digital.

Desde el punto de vista financiero, el beneficio obtenido al realizar inversiones en seguridad es difícil de calcular pues normalmente es más fácil calcular el coste de un incidente de seguridad si se hubiera materializado. Este dato resulta del tratamiento de riesgos que toda organización debe tener dentro de un modelo GRC (Gobierno, Riesgo y Cumplimiento) para garantizar la gestión del riesgo integral y por tanto determinar en todo momento si las medidas y controles implantados son suficientes para el tratamiento de los riesgos corporativos o se requiere más inversión. No obstante, en algunos casos, las inversiones en seguridad/ciberseguridad, demuestran el compromiso de una organización con la protección de sus activos de la información y los de sus clientes y eso les hace aumentar la confianza de sus clientes/accionistas y genera nuevos.

CIberseguridad

Se estima que en 2014 el gasto mundial en ciberseguridad alcanzó los 72.200 millones de dólares, mientras que en España se invirtieron 150 millones de euros. La previsión de crecimiento para los próximos años de este sector se sitúa en una tasa media anual del 10,3% entre 2014 y 2019.

Depende de cada escenario. Para determinar el gasto necesario en ciberseguridad hay que analizar cada caso concreto. ¿Por qué? Porque cada organización tiene un nivel de madurez por sí misma, pertenece a un sector concreto, tiene unas obligaciones normativas y legales distintas y por supuesto unos objetivos de seguridad y presupuesto global distinto. Dicho esto, las organizaciones siguen apostando por los antivirus y programas para proteger al usuario final, se está incrementando el número de organizaciones que cuentan con personal interno en seguridad dentro del departamento de IT/Informática o bien, acompañado de un responsable de seguridad tecnológica o incluso un CISO. Es menos común que las organizaciones tengan un CISO real que tenga voz y voto en los comités de dirección; normalmente las organizaciones prefieren tener un responsable de seguridad tecnológica por debajo de un CIO o bien que este CISO dependa del CIO o de algún otro miembro de Dirección. Esto es algo que cambiará con el tiempo…

En el plano de la externalización (outsourcing), también es frecuente encontrar modelos de gobierno de la seguridad con una estructura organizativa consistente en un responsable de seguridad para el gobierno de la misma y una oficina de seguridad o Security Operations Center para la operación, gestión de incidentes, análisis forenses, etc.

El despliegue de un programa de seguridad establece medidas de seguridad lógica mediante perímetros. De este modo, tenemos el perímetro de seguridad externo; entre otros: firewalls de control de acceso a la red, proxies inversos, protectores de ataques de DDoS con ayuda de la operadora de servicios de Internet, firewalls exclusivos para aplicaciones y DNS’s así como elementos de protección en el correo (antivirus, antiSPAM, antimalware, etc.). Un segundo perímetro de seguridad para controlar el acceso a la red y tener trazabilidad de las acciones (NAC’s, PAM’s, etc.) analizar posibles intrusiones en la red como IPS’s, correladores de eventos como SIEM’s para la detección temprana de anomalías en la red, en el puesto de trabajo, en las aplicaciones, etc. En la misma red pero en sentido de la capa de usuario hacia Internet tendríamos el perímetro de seguridad para los usuarios, donde se suelen instalar uno o varios agentes que realizan la función de monitorizar todas las acciones que realiza el usuario para evitar la infección de su sistema, el compromiso de los datos que trata y su propia identidad. Estos agentes normalmente son antivirus que también realizan funciones de IPS o agentes que controlan la navegación de los usuarios para evitar que visiten sitios que contengan código malicioso.

Las herramientas de gestión de la identidad y control de acceso a los sistemas TI de las organizaciones, las herramientas antimalware y los sistemas de análisis de la actividad en los sistemas TI en tiempo real, así como las herramientas de continuidad del negocio y recuperación de desastres, son las más utilizadas por las empresas e instituciones.

No existe una arquitectura segura. Existen arquitecturas que reducen el nivel de riesgo para las organizaciones pero ningún profesional de la seguridad diría jamás que una arquitectura es 100% segura. Dicho esto, la seguridad por capas o perímetros de seguridad es la estrategia más comunmente utilizada para la protección de los activos frente a una ciberamenza. Las medidas de seguridad que se citan son correctas pero solamente son ejemplos. Cada organización necesita identificar los riesgos a los que está expuesta continuamente y de ese análisis, surgen las medidas de seguridad, objetivos de control y controles que darán protección a la organización. Estas contramedidas que protegen a la organización pueden ser desde tecnológicos como un firewall o algunos más novedosos como una herramienta de sandboxing para análisis de código malicioso (malware) pero siguen siendo igualmente otros controles/medidas como la formación y concienciación de los usuarios (los más vulnerables y atacados), la utilización de metodologías de desarrollo seguro, la identificación de riesgos de seguridad en servicios externalizados, la utilización de servicios en la nube, el uso o la falta de uso del cifrado en las comunicaciones, la clasificación de la información y aplicación de medidas de seguridad en base a si es interna, confidencial, de difusión limitada o secreta, etc.

En general, todas las organizaciones de tamaño grande disponen hoy en día de gestores de identidades, herramientas antivirus/antimalware/antiSPAM, sistemas de análisis de la actividad en tiempo real que detecten y bloqueen ataques (IPS), procedimientos de recuperación ante desastres y de continuidad TI, etc. A destacar, el valor que aportan las herramientas de minería de datos e inteligencia por la facilidad con la que pueden poner en valor la información y convertirla en conocimiento. Este conocimiento permite a un CISO determinar más facilmente aspectos clave en el gobierno de la seguridad como la efectividad de los controles de seguridad, los cambios en el alcance, el grado de madurez del sistema de gestión de seguridad, el nivel incidental y su causa o procedencia, o la necesidad de realizar inversiones por la aparición de nuevas amenazas que se transforman en nuevos riesgos de seguridad para la organización.

El 86% de los profesionales TIC asociados a ISACA (más de 140.000 en 180 países), consideran que hay una escasez de profesionales cualificados en ciberseguridad.

Estoy de acuerdo en que existe dificultad para encontrar profesionales cualificados. El perfil llamado «de ciberseguridad» anteriormente se le llamaba auditor de seguridad TI, pentester, experto en malware o técnico de seguridad TI; hoy en día se resume en ciberseguridad. De este perfil de ciberseguridad se espera mucho, que sepa si las medidas de seguridad tecnológicas de una organización son suficientes para afrontar cualquier ataque, y por tanto, pueda dar respuesta a las preguntas clásicas que preocupan a la alta dirección de una organización: ¿estamos seguros?» o «¿He leído que han robado todos los datos de los clientes de la competencia, nos podría pasar a nosotros?» o ¿Podrían entrar en mi equipo/smartphone?… por poner algunos ejemplos.

El perfil de ciberseguridad no es estándar pues cada vez más se requieren especialistas en sus funciones. De ahí que un profesional de ciberseguridad puede ser un especialista/experto en análisis de malware, en herramientas de ciberseguridad (IDS/IPS/FW/WAF/AntiDDoS/etc..), pentester, auditor de aplicaciones web, auditor de código fuente, programador que sepa utilizar los principales lenguajes de programación para desarrollar heramientas y scripts, security incident handler, analista forense (ciberseguridad), etc. A nivel de gobierno y gestión también son necesarios perfiles senior con conocimientos en las anteriores disciplinas, capaces de liderar equipos, liderar un SOC (Security Operations Center) o gobernar la seguridad de la información de toda una organización.

¿Sabías que...?

Daniel Agudo es docente y miembro del consejo de expertos del Máster en Ciberseguridad que responde a la necesidad actual de gobiernos y empresas de incorporar a profesionales especializados en ciberseguridad preparados para estar al frente de la protección de sus respectivas organizaciones.

Artículos relacionados

Envía un comentario

*