No es en absoluto novedad que la ciberseguridad se ha convertido en una preocupación que comparten usuarios (los que menos, por lo visto), las empresas (que pagan el pato) y las autoridades (un tanto despistadas). Por consiguiente, es un mercado que crece y seguirá creciendo. Además de los proveedores de soluciones específicas – una lista que también crece – prácticamente todas las compañías de T.I. sienten la necesidad de añadir una línea transversal de ciberseguridad a su oferta tradicional. Es el caso de Capgemini, multinacional de servicios que acaba de cumplir 50 años de vida: se fundó en Grenoble (Francia) en 1967. Estas han sido las premisas de la entrevista que sigue.
La conversación con Jorge Hurtado Rojo, director de servicios de ciberseguridad de la filial española, podría resumirse en tres puntos clave: 1) la red no es un mecanismo eficaz de seguridad, por lo que la prioridad debe dirigirse a la protección del dato, 2) las políticas de protección van dejando paso a la detección, con la meta de anticiparse a las amenazas, y 3) las empresas deberían invertir más en el factor humano, que es el primer vector de la mayoría de los ataques que sufren.
Hubo un tiempo, recuerda Hurtado, en que los responsables de seguridad de las empresas, «que no sabían que acabarían llamándose CISO» tenían una misión de guardia fronteriza, se tomaban medidas sin contar con un plan de riesgos, sin fijar objetivos y prioridades. «En nuestra concepción – dice – el paradigma de seguridad se parece más a un aeropuerto que a un castillo. hay distintas zonas con distintos niveles de protección, en los que cada usuario está identificado y los controles son dinámicos en función del nivel de amenaza potencial».
Lamento empezar así pero, a bote pronto, yo no asociaría a Capgemini como un vendedor de ciberseguridad. Me vienen nombres de empresas especializadas […]
Cuando en España se habla de ciberseguridad, puede que Capgemini no esté grabado en la conciencia colectiva. Quizá no le hemos dado un valor reforzado dentro de la oferta de Capgemini. Estas son las razones por las que hace dos años se decidió crear una línea de negocio transversal y se institucionalizó una práctica global. No será fácil nombrar una compañía que, como Capgemini, dedique 3.000 personas a esta actividad y tenga siete centros de ciberseguridad repartidos por el mundo, uno de ellos en Asturias.
Dando la vuelta a la pregunta, ¿qué ha cambiado fuera de Capgemini?
El paradigma de la ciberseguridad es lo que ha cambiado. Radicalmente. Vemos claramente que la red ya no es un mecanismo eficiente de protección, una conclusión que nos ha llevado a centrarnos en la protección del dato […] lo que tiene mucho que ver con la nueva regulación europea. El RGPD [Reglamento General de Protección de Datos] que entrará en vigor dentro de pocos meses, no deja de ser un reconocimiento de que, como sociedades, no hemos sido capaces de contener las amenazas fuera de las organizaciones […]
El RGPD implica la necesidad de un análisis de riesgo en la seguridad de los datos confiados a una organización
Ese enfoque es uno de los rasgos positivos del reglamento. Está muy bien que sea así, pero luego el análisis de riesgo deja un margen subjetivo. En febrero publicamos un estudio según el cual – hablo de España – el 75% de los clientes de banca confían en que sus datos están bien protegidos; curiosamente sólo el 22% de los directivos confían en la capacidad de su entidad para detectar una brecha de seguridad. No hay que tomarlo a la ligera: en la banca, el 90% de los clientes españoles dicen que cambiarían de entidad si esta fuera victima de un ataque de hackers.
¿No es hora de preguntarse dónde reside el problema?
Hasta hace muy poco, cuando se hacían las estadísticas de brechas de seguridad, parecía que aquí vivíamos en un oasis, pero era falso, sólo se debía a que tenemos poca cultura de reporting […] Todos nos hemos acostumbrado a decir que el eslabón débil son las personas, pero ¿qué hacemos contra eso? A la hora de invertir, donde más se invierte es en medidas tecnológicas, no en provocar un cambio cultural que acabe con esa debilidad de la cadena.
Vale, pero también es cómodo descargar la culpa en las personas…
[…] Uno de los problemas que vivimos, y desde luego no sólo en España, es que la gente, los usuarios, delega su seguridad en controles que no son realmente eficaces. En realidad, la proliferacíón de múltiples mecanismos de seguridad, desde los antivirus a los cortafuegos, etc. no ha conseguido reducir la siniestralidad.
No se puede prescindir de ellos.
No es eso lo que digo. Hemos hecho con algunos clientes experimentos interesantes: exponer a su plantilla a situaciones de ataque controladas, para evaluar el comportamiento humano. Hemos aprendido que esos simulacros pueden ser más efectivos que cualquier campaña de formación que se nos pudiera ocurrir. La idea básica es que las personas asuman que son la primera línea de defensa: si alguien quiere atacar remotamente a una empresa, empezará por rastrear en los perfiles de LinkedIn y en Facebook para identificar individuos cuyos hábitos de navegación sean laxos, como paso previo a elaborar un engaño que los convierta en vehículos involuntarios de un ataque.
¿Qué entiende Capgemini por proteger el dato?
Sería raro encontrar una empresa que no sea consciente de la necesidad de medidas de seguridad y, a la vez, de que son insuficientes. Hay una estadística muy seria según la cual el tiempo medio que se tarda en detectar una intrusión en la red es de seis meses; quiere decir que un hacker puede estar agazapado esperando el momento oportuno para atacar.
Frente a esa gravedad, ¿qué propone Capgemini?
Invertir más en detección. Para nuestros clientes, recoplamos de manera sistemática la información sobre eventos e infraestructura que tenga la empresa. Tanto on premise como en cloud […] Nuestros especialistas analizan, con tecnologías específicas, qué está pasando dentro de la organización para detectar cualquier cambio de patrón, de forma que pueden descubrir ´aquí está pasando algo` […] Ocurrió este año con WannaCry. Más en serio que en broma, un colega decía que WannaCry ha sido el desastre más benévolo que recuerda: al usuario le salía una pantalla avisando de que el sistema estaba infectado […] Si hubiese sido un actor silencioso, ahora tendríamos un problema brutal. Dicen, y me lo creo, que WannaCry puede haberse escapado de un laboratorio: tenía unas cosas burdas y otras tan sofisticadas que hubiera podido estar escondido durante meses y propagarse poco a poco .
Me ha quedado claro que el monto de la inversión no es una garantía, lo que importa es en qué se invierte. Y que Capgemini propone invertir en detección […]
Normalmente, nos contratan para diseñar una estrategia que no puede ser un libro estándar. No es lo mismo hacer el diagnóstico de seguridad para una frutería que para una joyería [risas]. Lo llamamos plan director de ciberseguridad; bajo este nombre un poco rimbombante no deja de ser una evaluación de los activos que se quiere proteger para, a continuación, recomendar las medidas apropiadas.
Y claro, el plan director habrá que actualizarlo periódicamente, no se hace una vez y para siempre.
Exactamente. Las medidas de seguridad que se implanten pueden dejar de ser seguras – es una probabilidad alta – dentro de seis meses o un año. El mantra que tanto hemos usado, ese que dice que la seguridad al 100 por 100 no existe, hoy es más cierto que nunca, pero con frases así no vamos a arreglar nada […] Porque ha cambiado el ciclo de la ciberseguridad; hasta podría decir que el objetivo pasa a ser anticiparse a los ataques […]
No me deje sin saber cómo se hace [risas]
Se hace recuperando información de contexto. Hay mucha información que un atacante puede explotar… esos usuarios internos con direcciones de mail expuestas a ataques de phishing son candidatos a servir de vectores de ataques muy serios.
Hasta ahora se ha priorizado la protección, me decía antes […]
Sí, así es. La tendencia actual, que viene de hace un par de años, es dar más importancia a la detección, y creo que será así en el futuro. En particular, hay tecnologías de analítica avanzada o incluso de inteligencia artificial que nos ayudan a extraer la enorme cantidad de información y, a partir de ahí, determinar si está pasando algo anómalo que anuncie un ataque en preparación. En este plan, tenemos un acuerdo con IBM para trabajar con Watson for Cybersecurity: la masa de información a manejar es tan grande que ni siquiera con técnicas convencionales de big data podríamos lanzar una alerta con tiempo suficiente. Esto en cuanto a la detección a nivel de servidor, porque hay otra línea que está en boga bajo la sigla UBA (User Behavior Analytics), un nombre que creo lo dice todo.
Si Capgemini vende servicios de diagnóstico y monitorización, necesitará partners que hagan lo demás…
Buscamos tener como socios a los principales actores del mercado. IBM es uno de ellos y tiene sentido que lo sea por la tecnología cognitiva que aporta. Pero también trabajamos con Oracle o con Fortinet y RSA que son proveedores propiamente de seguridad.
¿Qué quiere decir ´trabajamos`?
Que son alianzas necesarias porque la relación con el cliente nos exige estar al día en las soluciones para resolver los problemas diagnosticados. Y trabajamos juntos porque conocemos sus soluciones y cómo adaptarlas y hacer que funcionen. Normalmente, es un partnership de ida y vuelta: a veces nos llama Oracle y otras nosotros llamamos a Oracle […] porque tanto ellos como nosotros tenemos otros acuerdos.
Conclusión: hay que invertir más en detección. Parece obvio.
El hacker, que no es un individuo aislado sino una organización delictiva, también invierte no sólo para encontrar agujeros sino también, o sobre todo, para hacerse invisible. Por esto es cada vez más difícil la ciberseguridad: este año hemos sacado un nuevo servicio, que llamamos Threat Hunting y está orientado a detectar lo que en principio debería ser indetectable. Tenemos un equipo de especialistas, residente en Francia, que a través de técnicas de ingeniería inversa se ocupa de dar ese servicio: el caso típico es el de un cliente que llama para decir ´aquí está pasando algo raro, ha saltado una alerta pero no localizo el problema`… ese tipo de situaciones.
[…] Alguna responsabilidad tendrá la industria en que eso ocurra.
Si las personas son apreciadas según métricas que no incorporan la seguridad […] piense en un desarrollador o un jefe de proyecto a quienes pagan para que el producto tal o cual esté listo a tiempo y cumpla el requisito de coste. Puede que reciban una prima incluso si la seguridad no ha sido un criterio relevante. Actualmente, con lo que sabemos, esto no debería ser aceptable, pero en muchas ocasiones se diseña un producto y se lanza al mercado sin un test preceptivo. Nosotros abogamos ante nuestros clientes para que la seguridad sea incorporada desde el principio del ciclo de vida de cualquier producto IT. `
¿Qué sectores están más preocupados por la coberseguridad? O mejor: ¿cuáles se toman esa preocupación más en serio?
En general, se preocupan aquellos que tienen más activos que proteger. En particular, destacaría el sector asegurador, lo que se explica por sí solo. También el sanitario, por la alta sensibilidad de los datos que custodia. Por supuesto, las telecomunicaciones, el de energía y otras utilities, con una doble preocupación: porque se juegan la continuidad operativa y por los datos de los usuarios.
Quería retomar su mención al RGPD. ¿Puede ser este reglamento un avance hacia una visión más amplia de seguridad, más allá de los datos?
Lo primero es que el reglamento tiene que entrar en vigor y necesitará un tiempo de rodaje. Por el lado de las empresas, cuanto antes aborden su adaptación, tanto mejor. Sé de algunas que, como cumplen con la LOPD, o eso dicen, no han empezado a moverse. Se equivocan: el reglamento incorpora muchas novedades y prevé un régimen sancionador severo.
La intención de mi pregunta era saber si las distintas normas relacionadas con la ciberseguridad van a converger o cada una cumplirá su papel, lo que podría dar lugar a situaciones contradictorias […]
El RGPD tiene un ámbito de aplicación, los datos de los ciudadanos de la Unión. No pretende cubrir otros espacios de regulación que en cierto sentido podrían estar vinculados. Hay otras regulaciones en embrión, como el nuevo esquema de certificación de productos ICT, que la CE ha abierto para discusión.