Cómo combatir la ciberdelincuencia

como combatir ciberdelincuencia
De izquierda a derecha, Alfonso Fernández (SIA), Andrés Jackson (A&G), Antonio Rodríguez (iCapital), Damián Ruiz (Singular Bank), Enrique García Mayordomo (Tressis) y Jesús Gómez (atl Capital). Firma: FundsPeople.

Los confinamientos y sus consecuencias fueron el caldo de cultivo perfecto para hacer crecer el número de ataques de los hackers. La fácil adquisición de herramientas de hackeo en la dark web, unida a una completa instauración del teletrabajo en aquellas empresas que, por su actividad, pudieron permitírselo, provocó una oleada de ciberataques a distintas empresas. Expertos sobre ciberseguridad de A&G, atl Capital, Singular Bank, iCapital y Tressis discuten cómo combatir la ciberdelincuencia en un desayuno organizado por FundsPeople y patrocinado por el Grupo SIA.

Saber la situación para saber cómo actuar

“En nuestra entidad ya habíamos empezado a trabajar a comienzos del 2020 en la elaboración de un plan de ciberseguridad para detectar como podría afectarnos un ataque en las distintas áreas de negocio. Para ello elaboramos un exhaustivo estudio, cuantificando los riesgos y pérdidas en función de los diferentes tipos de ataques que podían producirse en cada campo”, explica Jesús Gómez, director de Sistemas de Información de atl Capital. Dado este paso, explica el directivo, seleccionaron a distintas empresas para realizar una auditoría técnica de distintas áreas del negocio: “Auditamos todos los sistemas, redes, puestos de trabajo, comunicaciones, las aplicaciones web, el portal del cliente, observamos vulnerabilidades, etc”.

Una vez tuvieron el informe el completo, “a pesar de que la empresa ya había hecho un trabajo importante al respecto”, comenta Gómez, “obtuvimos un pliego sobre las vulnerabilidades, con sus correspondientes riesgos, a subsanar”. Tras ello, comenzaron con el plan de mitigación: “Debíamos mejorar áreas a nivel de hardware y software, como por ejemplo las aplicaciones web”. Gómez subraya, a su vez, que en atl Capital están trabajando en abandonar el modelo legacy y on-premise (aquellos sistemas informáticos heredados y ya obsoletos) en favor de la nube: “Con el objetivo de incrementar nuestra seguridad, estamos migrando aquello que consideramos más importante y vulnerable a servidores europeos en cloud, mucho más seguros”. Esto ha supuesto, según expone el director de Sistemas de Información, que “en la partida presupuestaria, el gasto en seguridad se haya disparado”.

Todo depende

Para Andrés Jackson, director de Sistemas y Tecnologías de la Información en A&G, el modelo organizativo con el que hacer frente a la ciberdelincuencia depende íntegramente de la entidad: “Es difícil recomendar un modelo organizativo, pues cada cual elige el mejor con respecto a sus capacidades y los recursos con los que cuenta. Sin embargo, esto no siempre es posible, según el directivo, pues existe un actor que obliga a ciertos estándares: la regulación.

“Uno de los problemas que supone la cada vez mayor normativa es que actualmente llega a imponer unos modelos organizativos per sé”, comenta Jackson, quien puntualiza que esto se debe a que “para poder cumplir con determinadas normas se deben crear estructuras que, a priori, posiblemente no se ajusten a las necesidades operativas de muchas empresas a las que afectan, ni aporten beneficio real en su seguridad”. Además, según el director de Sistemas, esto redunda en una pérdida de recursos, “que se podrían destinar a áreas de seguridad donde podría haber mayor riesgo o interés”, y en una restricción en la capacidad de acción: “Esa serie de estructuras provoca que el control de la situación esté tan segmentado y tan compartimentado que, al final, desemboca en una ralentización de la toma de decisiones. Se imponen, a empresas cuyo alto dinamismo es su punto fuerte competitivo, estructuras pensadas para enormes entidades que, por volumen, no tienen más remedio que ser burocráticas”.

Operatividad ante todo

Para Damián Ruiz Soriano, director de Seguridad de la Información en Singular Bank, la clave se encuentra en la operatividad: se debe apostar por modelo de gobierno y operación en Ciberseguridad, delgados en gestión y muy orientados a una seguridad operativa, eficaz y eficiente en términos de costes justificables.

Damián Ruiz, en relación a este modelo de Gobierno de la Ciberseguridad hace referencia a la deidad romana de las puertas, Jano, de dos cabezas: “Un CISO debe estar atento a la dirección, que entienda todo nuestro trabajo constantemente”. Esto se consigue, según comenta, con un framework básico, muy claro, que permita entender en qué estado se encuentra la entidad dentro de los tres pilares de la ciberseguridad: protección, detección y respuesta . Y por otro lado, está el modelo operativo centrado en los basics en Cibersegurudad: “Debe ser muy rápido, eficaz, medido y controlado en todo momento para facilitar su gestión y comprensión de terceros. La clave es balancear ambas cosas sin ahogarse en una gestión engorrosa”. Además, El directivo opina que la externalización, los servicios de seguridad gestionados, es una opción muy válida, pues “la seguridad es un campo con muchas ramas especializadas y sin soporte de terceros no se puede responder en tiempo y forma al entorno hostil creciente con adecuados esquemas de protección, detección y respuesta”

Estructura clara y comunicativa

En Tressis utilizan la normativa ISO 23001 de Continuidad de Negocio, un conjunto de acciones con las que no ver alterada la actividad de la empresa ante algún imprevisto: ”Siguiendo el modelo, tenemos un comité en el que se encuentran distintos departamentos, como Recursos Humanos, Financiero y, obviamente, Tecnología”, explica Enrique García Mayordomo, director de Tecnología y Sistemas de Información de la entidad. Luego, ese comité es el que reporta al Consejo, “donde hay un procedimiento top-down con el que se pone en práctica las medidas acordadas”, comenta.

García opina que es importante una estructura organizativa a la hora de saber hacia dónde tiene que dirigirse la comunicación en un momento difícil: “Aunque sea una organización básica, es clave tenerla ya formada para estar preparado el día que ocurra un incidente”. Sin ser demasiado pesada dicha estructura, explica el director de Tecnología, debe estar plasmada y bien clara. Además, el directivo afirma que son muy relevantes los canales de comunicación dentro de la empresa, por simples que sean: “En nuestro caso, por ejemplo, nos ha sido muy útil el grupo de WhatsApp donde estamos todos, ya que, aunque no tuviéramos sistemas, teníamos capacidad de comunicación entre las distintas áreas del negocio”.

La figura del CISO y la mitigación del impacto

Para Alfonso Fernández Jiménez, director de Identidad Digital y Firma del Grupo SIA la figura del CISO (de las siglas en inglés, Chief Information Security Officer) adquiere un papel especial en el modelo organizativo: “Es importante que haya alguien en la entidad que sepa sobre ciberseguridad, que sepa estructurar los conceptos y comunicarlos de tal forma que de tranquilidad al órgano director”. El problema es que no todas las entidades pueden permitirse dicho cargo, para lo cual el directivo propone una solución: el virtual CISO, “un servicio online a través del cual mantener una línea estratégica en ciberseguridad y tener controlado hacia dónde dirigir el camino”.

El director de Sucesión Digital opina que el modelo debe estar centrado en la mitigación: “Hay dos tipos de empresas, la que ya han atacado y la que va a ser atacada. Es inevitable que, antes o después, se reciba algún ciberataque; de ahí la importancia de mitigar el impacto del mismo”. Si le ponemos las cosas difíciles al hacker, afirma Fernández, “tenemos procedimientos que ralenticen su labor y le hagan perder el tiempo, finalmente buscarán otro objetivo”. También indica que, una vez han entrado en nuestra red, es clave el tiempo de recuperación, “invertir en recuperarnos lo antes posible para que su impacto no nos lleve a estar mucho tiempo fuera de operativa, con el gran impacto reputacional que eso supondría”.

Externalización de servicios

En iCapital han optado por externalizar ciertos servicios: “Somos humildes y reconocemos que no podemos abarcar todo el abanico que supone una buena ciberseguridad. Por ello, conscientes de ciertas limitaciones y de la complejidad de este tema, hemos externalizado las competencias a profesionales expertos en cada área. Son personas que se dedican exclusivamente a ese trabajo y nos hemos asegurado de escoger a profesionales que son muy buenos en lo suyo”, explica Antonio Rodríguez, socio de la entidad.

Pero que los servicios estén externalizados no significa que las decisiones también lo estén: “Solamente tres personas de iCapital tenemos la potestad de tomar decisiones en caso de que haya que hacer alguna contingencia”, explica el socio. Cuando esas mismas decisiones conllevan algún tipo de gasto, comenta Rodríguez, como puede ser la contratación de cierto profesional externo, la decisión se eleva a órganos superiores ”y se explican las necesidades por las que nos convendría, o no, tomar una u otra línea de actuación”. Asegura que en ese proceso de toma de decisiones son muy ágiles, una cualidad clave en estos casos.

¿Qué camino tomar?

Respecto a qué líneas de actuación toman ahora las entidades, los caminos son diversos. Enrique García Mayordomo (Tressis) explica que las medidas se toman a raíz de planes anuales, “aunque hay propuestas similares de unos años a otros, como la concienciación y formación del empleado, que se lleva a cabo mínimo cada dos años”. Ahora están trabajando, según afirma, en una plataforma permanente de información y en aumentar la frecuencia de las auditorías, pues, entre otras razones de seguridad, “hay clientes institucionales que nos lo demandan”. También están intentando elaborar una política que les ayude en la monitorización de las herramientas: “Tenemos tantas que se convierte en una labor ardua”, comenta el directivo.

En Singular Bank están trabajando en cuatro pilares diferenciados. “Estamos reforzando la seguridad del endpoint, el terminal del usuario, junto con todas sus herramientas ofimáticas y colaborativas”, expone Damián Ruiz. Una segunda medida es poner en marcha un dataleak de seguridad, una herramienta que concentra toda la información de ese ámbito para su explotación, comenta el directivo, “para lo cual estamos explorando técnicas de machine learning y automatización”. La tercera línea de actuación es la optimización o fine tunning de todos los elementos de protección y la cuarta y última línea, según Ruiz, consistiría en aplicar test de estrés al modelo completo: “Realizamos revisiones muy agresivas para comprobar nuestras capacidades en los tres pilares de ciberseguridad; protección, detección y respuesta”.

No confíes en nadie

Andrés Jackson (A&G) explica que se han centrado en la concienciación de todos los estratos de la plantilla. En un primer lugar, IT y Marketing pusieron en marcha un juego para concienciar a toda la plantilla: “Se llama ‘ciber te la ligas’. Consiste en simular dentro de la oficina ataques de phising dirigidos. Cinco personas se la ligan y comienzan el juego y atacan a otras personas, que si caen en la trampa pasan a tomar su lugar como atacante. El juego funciona no por un efecto real, sino porque consigue un nivel de implicación del trabajador altísimo”.

En otro nivel, por ahora menos desarrollado, explica Jackson, se encuentra una treta cuyo fin es aleccionar a la gente para que no se confíe nunca: “Consiste en contratar a un imitador que se haga pasar por el presidente, director general u otro cargo relevante. Es una forma espléndida de enseñar al personal de que quizás la persona que está al otro lado del teléfono no es quien tú crees y nos prepara para un tipo de ataque que será muy común en los próximos años, cuando las herramientas de deepfake se vuelvan comunes en los ataques”.

La protección del cliente

“En nuestro caso, nos hemos centrado en blindar todo lo que lo que está relacionado con la interacción con los clientes”, afirma Jesús Gómez (atl Capital), quien puntualiza que por ejemplo han implementado sistemas de doble autenticación. “Este años hemos cambiado en nuestra web el apartado de acceso exclusivo a clientes. Este cambio implica que el cliente tenga que introducir un código que recibe a través de un SMS para acceder a sus posiciones. La nueva operativa generó cierta extrañeza, en un principio, pero realmente ha sido muy bien recibida ya que proyecta una mayor protección de sus datos al cliente”. Además, el directivo comenta que están explorando el machine learning: “Que las herramientas (algoritmos) identifiquen qué es normal en el negocio y qué no lo es, y lo que no supere ese umbral de normalidad, aislarlo”.