CyberSecurity - CISO: el nuevo superhéroe de moda en ciberseguridad? - NEWS - AZARplus
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
CyberSecurity
1
NEWS
Revista especializada en ciberseguridad. Ejemplar gratuito. Nº1 junio 2019
CISO: ¿el nuevo superhéroe de
moda en ciberseguridad?
We protect your AWS,
CyberSecuritynews | Junio 2019
Azure and GCP environments
2
De la
hipótesis
a la caza
Threat Hunting: Zero Trust y Analítica de comportamiento
Nuestros servicios de Threat Hunting e investigación estudiarán y clasificarán
todos los comportamientos de aplicaciones, máquinas y usuarios para erradicar
las ciberamenazas avanzadas en tu entorno corporativo.
Cytomic, Unit of Panda Security cytomicmodel.com
CyberSecuritynews | Junio 2019
Editorial 3
CISO Club: Apostando por el CISO como
el motor de la ciberseguridad nacional
E
n un recorrido por la plantilla del sector nacional de mente al sector, por lo que hemos creado el CISO Club,
la ciberseguridad, podemos encontrar a hackers (que el club oficial para los CISOs de nuestro país, un club
nunca nos cansaremos de repetir que no los podemos privado (solo puede accederse mediante invitación y aproba-
confundir con los ciberdelincuentes), a investigadores del ción de los CISOs miembros), un club para promover en un
mundo de la ciberinteligencia, a periodistas de ciberseguridad ambiente privado, exclusivo y efectivo, la comunicación entre
(como nosotros), ciber-abogados, responsables de empresas los CISOs de diferentes sectores de la ciberseguridad.
proveedoras de ciberseguridad, de instituciones como
INCIBE, CCN, CNPIC...somos un todo y una familia. En septiembre de este mismo año 2019, tendrá lugar la
primera reunión del club, una cita en la que solo estarán
Sin lugar a dudas, el buen prestigio en cuanto a ciberse- presentes 10 CISOs (posteriormente podrán acceder todos los
guridad se refiere, que tiene España a nivel internacional, CISOs), de grandes empresas españolas, junto a CyberSecu-
no se podría entender sin ninguno de esos perfiles, y es que rity News y donde se establecerán las bases y la estruc-
como hemos podido comprobar, el sector no se limita al tura del club.
mundo técnico, sino que todos podemos aportar nuestro
granito de arena. En este sentido, no podemos dejar pasar la Es así como en 2020 esperamos contar con un número
“montaña” que están construyendo los CISOs de nuestro país, limitado de reuniones del club (en torno a 6), en fechas que
un perfil no mencionado anteriormente pero que cada vez está solo se les serán comunicadas a los CISOs miembros, y en
más reconocido y valorado tanto por los propios directivos lugares exclusivos de Madrid. En estas reuniones, los CISOs
de sus empresas como por el sector en general. Y es que el no tendrán solo un ambiente inmejorable para realizar ese
negocio no se podría entender en la mayoría de los casos sin networking que necesitan y deben de tener con otros CISOs
la figura del director de ciberseguridad. de otros sectores diferentes, sino que desde nuestra parte,
coordinaremos el trabajo para traer a cada reunión, profe-
Quizás, nos podremos a atrever a decir que es la figura más sionales del sector que les puedan aportar un gran valor a
importante en cuanto al ser las empresas las más afectadas cada uno de ellos, incluidos CISOs internacionales de
por los ciberataques hoy día...pero como decíamos antes, el empresas como HBO quienes explicarán sus experiencias a
CISO necesita de colaboración, de mucha colaboración los miembros de nuestro club.
por parte del resto de expertos.
Si eres CISO y te gustaría formar parte de este selecto club,
En el presente y en los años venideros, el CISO deberá de de tu club, podrás hacerlo hablando directamente con un
hacer frente a ciber-crisis que hoy día no podemos ni llegar CISO miembro o bien escribiéndonos a info@cybersecurity-
a imaginar ante unos ciberdelincuentes que cada vez aplican news.es
más “la innovación” en sus ciberataques para obtener un
mayor rendimiento económico o provocar un mayor daño Aunque llevamos tiempo hablando de ciberseguridad, en
reputacional. muchos casos las funciones de los directivos de cibersegu-
ridad están por definir, los retos aún por inventar y los cono-
Ante este contexto, es comprensible que el flujo de comu- cimientos (sobre todo cuando un CISO cambia de sector), aún
nicación entre los diferentes expertos del sector sea efectivo, por adquirir. Por ello y por mucho más, desde CyberSecurity
.
ya que esto nos ayudará a actuar mucho más rápido ante cual- News esperamos contribuir muy positivamente al sector con
quier crisis. Es por ello y por el compromiso de CyberSecu- eventos que potencien esta figura como CISO Day así como
rity News por promover iniciativas que repercutan positiva- con la creación del CISO Club.
CYBERSECURITY NEWS Socios directores: Pedro Pablo Merino y Samuel
Edita: Digital Tech Communications Group S.L. Rodríguez.
C/ Núñez Morgado, 5 (local) Redactor Jefe: Vicente Ramírez.
28036 MADRID Redactores: Mónica Gallego. Álvaro Gutiérrez y Laura
CIF: B87917563 Quelle
Depósito legal: M-11022-2018 Relaciones Públicas: Angie Parra.
www.cybersecuritynews.es Director Comercial: Luis Rincón.
info@cybersecuritynews.es Publicidad: luisrincon@cybersecuritynews.es
CyberSecuritynews | Junio 2019
4
Sumario
06. Infografía Adaptación al RGDP
08. Eventos
34
10. Podcast Cybercoffee
12. Cytomic María Campos, VP
14. Especial Ciberseguridad Corporativa
18
15. Ciberseguridad en Pymes INCIBE
16. Los retos del CISO en 2019
32
18. Ackcent Estrategia enfocada al public cloud
20. Veracode El software deja a las empresas
expuestas a hackers
22. Micromouse Sebastián Carmona, CEO
24. Codere Luis Miguel Brejano, CISO
26. Sanitas Iván Sánchez, Information Security
12 46
Director
28. Ciberseguridad corporativa
Daniel Martínez, CISO
30. Mistery CISO eventos deportivos
32. Allianz Emiliano Astudillo, Director de
Protection & Resilience
34. Palladium Francisco García Lázaro, CISO
36. Smartfense Mauro Graziosi, CEO
37. Leet Security Los proveedores, el nuevo
38
37
talón de aquiles de la ciberseguridad
38. BBVA Ana Gómez Blanco, responsable de
Security Culture
28
40. Proofpoint Fernando Anaya.
42. Especial Ciberinteligencia
44. Redes Sociales Influencers, el nuevo
objetivo de los ciberdelincuentes
46. Telegram ¿El canal de mensajería
preferido por los ciberterroristas?
26 22
48. Informática Forense Alejandro Cortés
López, Ingeniero, Profesor, Hacker y Perito
Judicial
50. GDPR un año después
CyberSecuritynews | Junio 2019
5 CyberSecuritynews | Junio 2019
ADAPTACIÓN AL RGPD –
Agencia ha elaborado una HOJA DE RUTA sobre cómo adaptarse al Reglamento
6 Infografía General de Protección de Datos (RGPD), normativa aplicable el 25 de mayo de 2018.
Sector Privado
Adaptación
1. al RGPD - Sector privado
Designación del DELEGADO DE PROTECCIÓN DE DATOS (DPD)
si es obligatorio para la empresa o si lo asume voluntariamente.
En caso de no ser necesario designar un DPD, identificar a la/s
persona/s responsables de COORDINAR LA ADAPTACIÓN.
Para aquellas empresas y organizaciones a las que no resulte útil Facilita_RGPD, la
Agencia ha elaborado una HOJA DE RUTA sobre cómo adaptarse al Reglamento
2.
General de Protección de Datos (RGPD), normativa aplicable el 25 de mayo de 2018.
Elaborar el REGISTRO ACTIVIDADES DE TRATAMIENTO
(servicio de solicitud de copia de la inscripción como ayuda),
teniendo en cuenta su finalidad y la base jurídica
1.
Designación del DELEGADO DE PROTECCIÓN DE DATOS (DPD)
si es obligatorio para la empresa o si lo asume voluntariamente.
En caso de no ser necesario designar un DPD, identificar a la/s
3.
persona/s responsables de COORDINAR LA ADAPTACIÓN.
Realizar un ANÁLISIS DE RIESGOS (guía práctica)
2.
Elaborar el REGISTRO ACTIVIDADES DE TRATAMIENTO
(servicio de solicitud de copia de la inscripción como ayuda),
4.
teniendo
Revisar en cuentaDE
MEDIDAS su SEGURIDAD
finalidad y la base
a la jurídica
luz de los resultados del
análisis de riesgos
3. Realizar un ANÁLISIS DE RIESGOS (guía práctica)
5. Establecer mecanismos y procedimiento de NOTIFICACIÓN DE
QUIEBRAS DE SEGURIDAD
4. Revisar MEDIDAS DE SEGURIDAD a la luz de los resultados del
análisis de riesgos
6.
A partir de los resultados del análisis de riesgos, realizar, en su
caso, una EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE
DATOS (guía práctica)
5. Establecer mecanismos y procedimiento de NOTIFICACIÓN DE
QUIEBRAS DE SEGURIDAD
6.
A partir de los resultados del análisis de riesgos, realizar, en su
caso, una EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE
Actuaciones simultáneas a
DATOS (guía práctica)
Actuaciones simulatáneas
los pasos anteriores:
a los pasos anteriores
Actuaciones simultáneas a
Adecuar los FORMULARIOS derecho de información
los pasos anteriores:
Adaptar los MECANISMOS Y PROCEDIMIENTOS para el ejercicio de
derechos
Adecuar los FORMULARIOS derecho de información
Valorar si los ENCARGADOS ofrecen garantías y adaptación de contratos
Adaptar los MECANISMOS Y PROCEDIMIENTOS para el ejercicio de
derechos
Elaborar / Adaptar POLÍTICA DE PRIVACIDAD
Valorar si los ENCARGADOS ofrecen garantías y adaptación de contratos
En todo caso, es imprescindible documentar todas las actuaciones realizadas para
poder acreditar la diligencia en el cumplimiento del RGPD.
Elaborar / Adaptar POLÍTICA DE PRIVACIDAD
Fuente: AGPD
CyberSecuritynews
poder
w w w. a g p d . e s
En todo caso, es imprescindible documentar todas las actuaciones realizadas para
| Junio 2019la diligencia en el cumplimiento del RGPD.
acreditar
7
Publicidad Ackcent
CyberSecuritynews | Junio 2019
8
Eventos
12 de junio. Palacio de la Prensa. Madrid 20 de junio. La Nave. Madrid
CISO Day OpenExpo Europe
Uno de los eventos exclusivos que marcarán la agenda del Es un Congreso y Feria Profesional sobre Innovación
sector. Todos sabemos la importancia del flujo de información Tecnológica Empresarial en Europa. Se celebrará el 20
dentro de una industria tan cambiante y retadora como la de junio de 2019 en Madrid y reunirá a más de 3.500
de la ciberseguridad. Si eres CISO, CIO, responsable de personalidades del sector, profesionales de todas las
ciberseguridad, experto en la materia, investigador o hacker… industrias, comunidades, principales empresas nacionales e
serás bienvenido a CISO Day 2019, el mayor evento en internacionales, decision makers, asociaciones, fundaciones e
España centrado en el responsable de la ciberseguridad. instituciones, perfiles técnicos, expertos y usuarios.
13-14 de septiembre. Velencia 22-23 de octubre. León
RootedCON 13ENISE
El congreso de seguridad informática Rooted CON nació con En un contexto de interrelación creciente entre todos
el propósito de promover el intercambio de conocimiento los actores del sistema, la apuesta por la ciberseguridad
entre los miembros de la comunidad de seguridad, en constituye una oportunidad para el desarrollo de una industria
particular reivindicando la enorme capacidad de los especializada, madura y cada vez más internacional. Bajo
profesionales hispanoparlantes. el lema «Ciberseguridad en la industria conectada: de la
amenaza a la oportunidad», los participantes en 13ENISE.
27-30 de noviembre. Palacio de Congresos. Valencia 12-13 de diciembre. Madrid.
CyberCamp Jornadas STIC CCN-CERT
la Comunidad Valenciana se convertirá en escenario mundial Uno de los eventos de referencia y más importantes de todo
de la ciberseguridad gracias a este evento internacional que el panorama nacional de la ciberseguridad, organizado por
tiene como objetivo promover la cultura de la ciberseguridad el Centro Criptológico Nacional (CCN), organismo adscrito
en la sociedad, orientar profesionalmente a jóvenes, despertar al Centro Nacional de Inteligencia (CNI), siendo plenamente
e impulsar el talento en este campo y concienciar a las conscientes de la misión que se les ha encomendado y de la
familias de la importancia de un uso seguro y responsable de necesidad de transmitirla a la sociedad española.
las TIC e Internet.
CyberSecuritynews | Junio 2019
9 CyberSecuritynews | Junio 2019
10
CyberCoffee
ÁNGEL PABLO AVILÉS, CISO DE SMART
HUMAN CAPITAL
MARIBEL POYATO, COUNTRY MANAGER DE
TIXEO ESPAÑA
JOSEP ALBORS, EXPERTO DE
CIBERSEGURIDAD EN ESET
SILVIA BARRERA, JEFA SECCIÓN
RELACIONES INSTITUCIONALES CNPIC
CARLOS SEISDEDOS, CYBERSECURITY
RESEARCHER
Siguenos en:
CyberSecuritynews | Junio 201911 CyberSecuritynews | Junio 2019
12 Ciberseguridad Corporativa / Cytomic
“Cytomic tiene como objetivo
dar respuesta a las necesidades
de ciberseguridad avanzada del
segmento enterprise internacional”
María Campos, VP de Cytomic Business Unit, explica las claves de la nueva unidad de
negocio de Panda Security.
Texto: Redacción
Cyber Security News (CsN):
¿Qué motivos han propiciado su
creación justo en este momento?
María Campos (MC): Con Cytomic
queremos dar respuesta a las necesi-
dades de ciberseguridad avanzada del
segmento enterprise a nivel interna-
cional. Su creación responde a la evolu-
ción natural de la estrategia de negocio
de Panda Security, tras un cambio en el
modelo de negocio que comenzó hace
diez años y que se ha intensificado en
los últimos cinco, en los que nos hemos
centrado en ofrecer tecnología muy
innovadora de ciberseguridad a grandes
empresas. De hecho, hace más de un
año se creó una unidad especializada en
este segmento, que ya supone en torno a
un 15% de nuestra facturación, cifra que
esperamos que la creación de Cytomic
acelere hasta el 40%.
CsN: ¿Existe la necesidad de una María Campos, VP de Cytomic Business Unit.
oferta tan especializada como la
de Cytomic en el mercado? MC: El portfolio de soluciones de pero ¿a qué tipo de empresas se
MC: La ciberseguridad está evolucio- Cytomic integra soluciones Endpoint dirige en concreto?
nando muy rápidamente, provocando que Protection (EPP) y Endpoint Detection MC: La oferta de Cytomic se dirige
las empresas se enfrenten a un número and Response (EDR) con los servicios a cualquier organización con necesi-
de amenazas cada vez mayor y con de clasificación y Threat Hunting. dades avanzadas en ciberseguridad.
una sofisticación en aumento. En este Sin embargo, destacaría los servicios En este sentido, dará servicio, por un
contexto, las empresas necesitan adoptar adicionales como la pieza clave de su lado, a aquellas empresas que cuenten
un enfoque proactivo y avanzado, con oferta, ya que éstos van a permitir la con equipos de respuesta a incidentes
soluciones cada vez más personalizadas adaptación a las necesidades especí- profesionalizados y, por el otro, a
y adaptadas a sus necesidades específicas ficas del cliente para que éstos puedan proveedores de servicios de seguridad
para proteger sus activos. Y, de hecho, abordar la ciberseguridad de forma gestionados (MSSPs) y proveedores
esto es algo que ya estábamos viendo personalizada, adoptando un enfoque de servicios de detección y respuesta
reflejado en el aumento de la demanda de proactivo ante cualquier amenaza. (MDRs). Gracias a sus soluciones y
las soluciones de este tipo que se comer- Estos servicios van a estar enmar- servicios, todos ellos podrán abordar de
cializaban en Panda. cados principalmente en validación de forma eficiente algunos de los princi-
CsN: Llevan años apostando fuerte amenazas, Threat Hunting, investiga- pales problemas a los que se enfrentan
.
por la tecnología EDR, ¿el porfolio ción y soporte. actualmente, como son la falta de
de soluciones de Cytomic va a CsN: Hablan del segmento enter- tiempo, de herramientas adecuadas o de
seguir esta misma línea? prise como el target de Cytomic, talento.
CyberSecuritynews | Junio 201913
Sería más fácil
reparar
este auto...
... que utilizar un LMS convencional
para concienciar en ciberseguridad.
www.smartfense.com
info@smartfense.com14
Ciber
Seguridad
Corporativa
CyberSecuritynews | Junio 2019Ciberseguridad en Pymes / INCIBE 15
Protege tu empresa,
implementa ciberseguridad
Los ciberdelincuentes se han dado cuenta de que las pymes, microempresas y
autónomos, pueden llegar a ser un negocio extremadamente rentable para su actividad
y desde hace varios años, este tipo de organizaciones están siendo objeto de diferentes
tipos de ataques.
Texto: INCIBE impacto mediático como WannaCry cómo actuar frente a determinadas situa-
Y
o las fugas de información que se ciones, y por otro, aquellos usuarios que
a no es motivo de discusión suceden paulatinamente, han calado pudieran tener malas intenciones hacia
dirimir que la ciberseguridad en este colectivo y cada vez son más la empresa en la que trabajan. Serán
es una cuestión que no ha de conscientes de que han de aplicar tanto ambos, los que, probablemente, puedan
preocuparnos, si no que hemos de medidas técnicas, como organizativas generar la mayor cantidad de incidentes,
ocuparnos de ella. Sobre todo, aquellas en sus empresas, si quieren seguir bien de manera inconsciente (ejecu-
organizaciones que usan elementos y manteniendo o recuperar la actividad, tando algún archivo, accediendo a algún
servicios tecnológicos dentro de sus tras la materialización de un incidente. enlace, etc.) o bien de manera intencio-
procesos de negocio y en especial las Regresando al plano de los ciberdelin- nada (robando información o haciéndola
pymes, microempresas y autónomos cuentes, éstos se han dado cuenta de que pública).
ya que, en ocasiones, no cuentan con las pymes, microempresas y autónomos, No podemos olvidar los sistemas y las
conocimientos, ni personal especiali- pueden llegar a ser un negocio extre- tecnologías, ya que es fundamental no
zado y desafortunadamente, tampoco madamente rentable para su actividad, eludir las actualizaciones o no mantener
presupuesto. y desde hace varios años, este tipo de las configuraciones por defecto, del
Uno de los errores de contexto y organizaciones están siendo objeto mismo modo, la importancia que tiene
que desde nuestra experiencia nos de diferentes tipos de ataques, pero el desarrollar planes de concienciación
encontrábamos, de manera habitual, sobre todo del tipo ransomware, cuyo y formación para que los empleados y
es que los pequeños empresarios no objetivo es secuestrar la información autónomos adquieran hábitos de uso
se consideraban un objetivo de los del dispositivo que se ve afectado. Los seguro de los servicios.
ciberdelincuentes. Pero nada más cibersecuestros de información, como Por las razones anteriormente
lejos de la realidad. Sin duda son el también se denominan, han generado mencionadas e independientemente
“bocado perfecto”, ya que muchas cierto pánico sobre las pymes y autó- de si la empresa es grande, mediana o
pequeñas y medianas empresas nomos, no sin razón, ya que el impacto pequeña, va a cobrar siempre un sentido
no aplican ningún tipo de política de una amenaza de este tipo puede dejar especial, ya que de manera continua
o buena práctica en cibersegu- en “blanco” a la pyme o autónomo más podrían ocurrir incidentes inesperados
ridad e incluso, carecen de planes próspero. y ajenos a nosotros como fallos en los
de recuperación frente a desastres o Otro tipo de problemas que podemos dispositivos, borrado accidental de
siquiera lo más esencial, un sistema de encontrar son por un lado, los ocasio- documentos, infecciones por malware,
.
copias de seguridad. nados por empleados que no etc. Por ello, si implementamos ciberse-
Afortunadamente, los medios de estén concienciados o formados guridad, nuestra empresa contará con un
comunicación y los incidentes con gran en ciberseguridad y que desconocen valor diferencial.
CyberSecuritynews | Junio 201916 Ciberseguridad Corporativa / Los retos del CISO
Los principales retos
del CISO en 2019
Nace Ciso Club para impulsar la comunicación directa entre los CISOs de empresas de
diferentes sectores.
Texto: Vicente Ramírez de capital humano”. “En España hay mucho en este sentido, expertos como
E
mucho talento pero a la vez este talento Ángel Ortíz, Country Manager de
l 2018 cerró con más de 38.000 escasea. No es fácil ir al mercado y McAfee España, nos comentaban hace
incidentes de ciberseguridad encontrar en condiciones normales el poco que “Se habla mucho de que la
según los datos facilitados por talento que tu quieres”, nos comentaba industria tiene que colaborar más entre sí,
el CNI. La evolución del cibercrimen hace un tiempo Juan Cobo, CISO de pero a la hora de la verdad, los pasos que
parece imparable y palabras clave como Ferrovial en CyberSecurity News. se dan son a todas luces insuficientes”
originalidad, innovación, incremento En este sentido, muchos directores
del daño, incremento de ingresos o Gestión de riesgos de ciberseguridad de nuestro país, coin-
repercusión social, están cada vez más Existen muchos mitos en torno al CISO ciden en la necesidad de mejorar este
presentes en las estrategias de los ciber- debido a su trabajo diario: “ningún día flujo de comunicación y sobre todo,
delincuentes. es igual al anterior”, “trabajamos 24x7”, la comunicación entre los CISOs
En este entorno, no es de extrañar “no dormimos”... pero sin duda lejos de diferentes sectores. En este
que el CISO sea contemplado como de ser mitos, son realidades. Debido contexto, nace CISO Club Spain,
una figura indispensable en cualquier al avance de los cibercriminales, la por iniciativa de CyberSecurity
compañía de tamaño considerable, ni gestión de riesgos es cada vez más News, como el club exclusivo de
que las pequeñas y medianas empresas complicada. “A medida que profun- CISOs que propondrá aportar un gran
apuesten cada vez más por cumplir con dizamos en la revisión de los riesgos valor a los directivos de ciberseguridad
reglamentos como el GDPR o tener en de los proyectos o de los procesos del de España mediante un networking
cuenta un mínimo de seguridad. negocio, los CISOS vamos catalogando privado, en un ambiente exclusivo y
Debido precisamente a esta evolución los riesgos. Nuestra tarea es hacer el con personas relevantes del panorama
tan rápida que está experimentando levantamiento de esos riesgos para nacional e internacional de ciber-
el director de ciberseguridad en sus analizarlos y proponer los requisitos o seguridad. En este sentido, el CISO
funciones, podemos destacar 3 retos contramedidas que puedan paliar total o Club Spain iniciará su andadura
a los cuales se están enfrentando parcialmente estos riesgos” nos comenta el próximo mes de septiembre
durante este año 2019, unos retos que Luis Miguel, CISO de Codere en su donde 10 CISOs seleccionados de
muy probablemente no serán tan priori- entrevista a CyberSecurity News. grandes compañías, establecerán
tarios en 2020, ya que habrán aparecido las bases del club y se definirán
nuevos obstáculos en el camino. Comunicación las reuniones del club para 2020,
¿Sabemos cómo es la comunica- reuniones en las que contaremos
Talento ción entre los ciberdelincuentes? con otros CISOs internacionales de
Mucho se ha hablado durante este año Muy probablemente sea más eficiente empresas como HBO, a los cuales desde
en cuanto al talento en ciberseguridad, que la comunicación entre los expertos CyberSecurity News nos encargamos de
y realmente es un campo prioritario de la ciberseguridad. En este sentido, invitar y coordinar. Para más informa-
.
para el sector, del cual se seguirá marcamos la necesidad de una comuni- ción acerca del club, podéis escribir un
hablando en esta segunda mitad del año, cación más rápida y fluida entre dichos correo electrónico a info@cybersecuri-
sobre todo por la denominada “fuga expertos. Aunque hemos mejorado tynews.es.
CyberSecuritynews | Junio 201917
PASSED
ICT Rating
NOT PASSED
C B
PASSED
D A
C B
D A A+ C B
D A
A+ A+
PASSED
C B
PASSED D A
A+
C B
D A
A+
¿Quieres saber cómo protegen tus datos tus
proveedores? Nuestro sello te da la tranquilidad de
conocer el nivel de ciberseguridad de sus servicios
#SellaTuSeguridad
+34 915 798 187 @leet_Security
leetsecurity.com info@leetsecurity.comCyberSecuritynews | Junio 2019
Leet Security SL18 Ciberseguridad Corporativa / Public cloud
Estrategia corporativa
de ciberseguridad enfocada
al public cloud
Ante el escenario actual en el que Gartner estima que los ingresos correspondientes al
mercado mundial de servicios en public cloud crecerán un 17,3% en 2019, hasta alcanzar
los 206,2 mil millones de dólares, surge más que nunca la necesidad de plantearse la
definición de una estrategia corporativa de ciberseguridad enfocada al public cloud.
Texto: José Giraldo generando así nuevas oportunidades
A
de negocio.
l abordar la definición de la • Considerar la ciberseguridad como
estrategia, podemos encon- un proceso de mejora continua, que
trarnos dos posibles escenarios: se adapta conforme a las necesi-
• Organizaciones nativas en public dades cambiantes de la organiza-
cloud. ción y del mercado. Establecer para
• Organizaciones que migran del ello indicadores a monitorizar para
mundo on-premise (o un hosting la detección temprana de posibles
tradicional) al public cloud mante- desviaciones sobre los objetivos
niendo, o no, parte de su plataforma marcados.
tecnológica inicial. En este caso, • Orientación basada en el riesgo
la estrategia de ciberseguridad que de la organización y sus provee-
fue concebida para ese escenario dores, la estrategia de tratamiento
inicial, aunque sea correcta para del riesgo, el nivel de apetencia de
dicho escenario, probablemente no riesgo y la posibilidad de aparición
pueda ser reutilizada para aspectos de nuevos riesgos que deberán ser
inherentes del public cloud, como analizados y evaluados periódica-
Autoescalado (escalabilidad mente, junto con los ya existentes,
conforme al crecimiento de la para poder gestionarlos.
demanda de recursos) y DevOps • Enfoque de seguridad by default y
(ciclos cada vez más cortos de by design.
desarrollo, prueba, implementación • Dar la misma importancia a las
y despliegue que permiten reducir medidas de seguridad organizativas
drásticamente el time to market de – como la formación y la concien-
nuevas funcionalidades). ciación periódicas – que a las
En ambos escenarios, se deberán tener técnicas, ya que el factor humano
en cuenta los siguientes aspectos en la es el eslabón más débil (ataques
definición de la estrategia corporativa basados en ingeniería social y
de ciberseguridad: errores humanos, intencionados o
• Involucrar desde el primer no, en las iteraciones DevOps).
momento al C-level de la organiza- • Evaluar periódicamente la adopción
ción y asegurar que se cuenta con la de nuevos servicios de cibersegu-
aprobación y el respaldo del execu- José Giraldo, Operations Director ridad, conforme son liberados por
tive management. Ackcent Cybersecurity los proveedores de public cloud, de
• Establecer hitos realistas, no sólo a soluciones de terceros que permitan
medio y largo plazo sino también a organización al que vaya dirigido alcanzar los objetivos establecidos
corto plazo, que permitan presentar el mensaje – distintas formas de con mayor eficacia y eficiencia,
resultados tangibles y medibles para explicar y demostrar este hecho. monitorizar el nivel de cumpli-
seguir contando con el respaldo de Una estrategia basada en causar miento conforme a las políticas de
la organización. miedo a largo plazo no funciona y seguridad de la organización y los
• Concebir la ciberseguridad como es contraproducente. Se debe optar estándares de seguridad y cumpli-
rol habilitador y generador de por hacer tangible el retorno de la miento que le sean de aplicación,
.
negocio, alineada con los obje- inversión realizada, enfocando la además de la implementación en las
tivos de negocio. Se deben esta- ciberseguridad como medio para iteraciones de un enfoque
blecer – según al estamento de la generar confianza en el cliente, SecDevOps.
CyberSecuritynews | Junio 201919
LA FORMACIÓN
LÍDER PARA EL CISO
Certificado a nivel mundial
por EC-Council
Ofrecido en exclusiva en España por
M2i Formación desde 2016
CCISO es el primer programa de
capacitación y certificación destinado
a producir ejecutivos de seguridad de
la información de máximo nivel.
Inscríbete:
www.m2iformacion.com
CyberSecuritynews | Junio 201920 Cibersegurida Corporativa / Veracode
El software deja a las empresas
expuestas a hackers
El auge del software de código abierto ha proporcionado una gran cantidad de beneficios
tanto a los desarrolladores como a las empresas. Pero la falta de conocimiento sobre
cómo escribir código seguro y usar librerías de código abierto (Open Source) de manera
segura, está causando que las empresas, sin saberlo, permitan a los piratas informáticos
comprometer sus sistemas.
Texto: Veracode
Es realmente clave garantizar que los
L
a demanda de los consumidores
de dispositivos conectados a desarrolladores no solo piensen en el
Internet y las aplicaciones de
software que los gestionan se ha dispa- riesgo teórico, sino que también se les
rado en los últimos 10 años. Las aplica-
ciones inteligen- tes ahora se extienden proporcionen soluciones para detectar los
más allá de los smartphones a otros
dispositivos, con televisores, videopor- riesgos que existen en el software.
teros y cámaras de seguridad habilitados
para la red, cada vez más comunes. El
software es un impulsor dominante y Mientras que hace 20 años el software empresas se olviden de los riesgos que
crucial de la innovación en el comercio, se desarrollaba en su mayoría de forma implica el uso de fragmentos de software
que ayuda a las organizaciones a ser interna utilizando código propietario, públicos en todas sus aplicaciones.
más ágiles y competitivas. Gartner ahora pronostica que siete de Las vulnerabilidades en el código
La funcionalidad de estos dispositivos cada diez aplicaciones se ejecutan en Open Source son apreciadas por los
y aplicaciones está determinada por el bases de datos de código abierto. Los piratas informáticos simplemente por la
código fuente escrito por los desarro- desarrolladores de hoy afrontan una prevalencia de su uso. Una vez que un
lladores. De acuerdo con al AppSec presión abrumadora para entregar más hacker descubre una vulnerabilidad en
Market Report en 2017 se crearon alre- software en plazos más cortos. Las libre- un paquete o librería de código abierto,
dedor de 111 mil millones de líneas de rías Open Source pueden ayudar propor- puede explotar potencialmente miles
código de software nuevo. Dentro de cionando piezas de código pre-cons- de sistemas que ejecutan ese código,
ese volumen masivo de código nuevo, truidas que brindan una funcionalidad amplificando en gran medida el impacto
inevitablemente surgen millones de específica sin tener que construirlo desde de la vulnerabilidad.
vulnerabilidades en el código, y los cero. En consecuencia, el 90 por ciento Según el informe del estado de segu-
problemas de seguridad se agravan con del código en muchas aplicaciones hoy ridad del software de Veracode, el 88%
el tiempo. La creciente dependencia del en día puede provenir de librerías de de las aplicaciones Java contienen al
software, tanto en la empresa como en código abierto. El software de código menos una vulnerabilidad. Una sola
la sociedad, significa que las brechas de abierto permite a los desarrolladores vulnerabilidad en un fragmento de
datos son más impactantes que nunca y cumplir con los requisitos comerciales código puede afectar a cientos de miles
los piratas informáticos están atacando más rápidamente y a un menor coste, de aplicaciones.
activamente las vulnerabilidades en el pero también presenta nuevos riesgos. “La comunidad de código abierto
código. En el Informe Verizon’s Data Cuando el software sale al Mercado está creciendo exponencialmente y el
Breach Investigations Report 2018, las bajo licencia de código abierto, significa deseo de que las empresas se muevan
aplicaciones web fueron identificadas que el autor original tiene la intención más rápido alienta a los desarrolla-
como la fuente más común de brecha de de dar dicho código a los desarrolla- dores a utilizar software abierto, lo
datos e incidentes de seguridad. dores para que lo utilicen, estudien que reduce el costo para las empresas
“Las aplicaciones de software son el y mejoren libremente. La cantidad y significa que los plazos de entrega
objetivo principal de los atacantes que de colaboración que estos proyectos pueden ser más rápidos que nunca”,
desean apoderarse de los activos y datos pueden fomentar adelanta algunos de dice Paul Farrington, quien predice
de una empresa”, dice Paul Farrington, los mayores avances en tecnología, y que hay más de 5 millones de compo-
CTO de Veracode en EMEA. “Las apli- hace que el software sea más accesible nentes únicos de código abierto que
caciones web y móviles representan más para las personas que no pueden pagar existen en varios repositorios de
de un tercio de las brechas de datos, y los derechos de licencia. software con los que los desarrolla-
los ataques en la capa de aplicación están Los beneficios del código abierto dores interactúan. “Pronto, esto se
creciendo en un 25 por ciento anual”. pueden ser tan atractivos que las convertirá en cientos de millones
CyberSecuritynews | Junio 2019Protección de Software 21
Days from first discovery Vercado SOSS Volume 9.
debido a la tasa de contribución de los humana para priorizar cómo abordar y para garantizar la seguridad de las apli-
desarrolladores”. remediar los fallos encontrados. caciones que existen en entornos de
Los desarrolladores son, sin duda, “Utilizamos el aprendizaje automá- contenedor”, dice Paul Farrington. “Sin
conscientes de la existencia de fallos tico para identificar posibles vulnera- embargo, abordar el problema desde
de seguridad en el software de código bilidades con una precisión cada vez el origen, cuando los desarrolladores
abierto. Por ejemplo, la vulnerabilidad mayor”, dice Paul Farrington. “Sin escriban el código, será la forma en que
de Apache Struts estuvo detrás de la embargo, los humanos son excelentes abordemos el problema a escala.
violación masiva de datos que expuso la para encontrar la secuencia de pasos “Es realmente clave garantizar que
información personal de 143 millones que los hackers deben emprender para los desarrolladores no solo piensen en
de estadounidenses en marzo de 2017. comprometer ese sistema. Utilizamos el riesgo teórico, sino que también se
Pero si bien pueden apreciar el impe- la combinación adecuada de automa- les proporcionen herramientas para
rativo de crear un código seguro, falta tización e ingenio humano. Llamamos detectar los riesgos que existen en
el conocimiento de cómo hacerlo. La a estas personas Manual penetration el software. Veracode señala lo que
educación y la concienciación en última testers, buscando defectos de seguridad llamamos “métodos vulnerables” para
instancia permitirán a los equipos de para probar que estos existen en los que podamos mostrarles a los desa-
desarrollo mejorar la forma en que sistemas “. rrolladores el punto de riesgo entre
crean un código seguro. Veracode En última instancia, los desarro- el código que escriben y el exploit de
proporciona soluciones que permiten lladores deben pensar en dónde se seguridad que existe en el componente
a los desarrolladores identificar y ubicará el software una vez que entre en Open Source. Eso es una verdadera
corregir los defectos de seguridad a los producción o se instale en el dispositivo ventaja para los equipos de desarrollo
pocos segundos de escribir el código, de un usuario. Las aplicaciones pueden que no tienen tiempo para lidiar con
.
y también les dice si las librerías y existir en entornos hostiles, mucho más potenciales amenazas, sino que deben
frameworks de código abierto que están tiempo de lo previsto originalmente centrarse en lo que verdaderamente
utilizando tienen alguna vulnerabilidad. y los hackers pueden hacer cualquier supone un riesgo”.
Las tecnologías de automatización, cosa para subvertirlos. Como tales, los
como la inteligencia artificial y el desarrolladores deben buscar un enten- Para mayor información en
aprendizaje automático, están acele- dimiento del código seguro y trabajar en relación a las vulnerabilidades
rando la capacidad de buscar defectos conjunto con los equipos de seguridad que, con más frecuencia, se están
en el software, pero será un equilibrio para eliminar la fricción del proceso de encontrando en la industria y
adecuado entre las máquinas y los seres desarrollo. especialmente para entender
humanos el que tenga más éxito. Si bien “A medida que el uso de contenedores cómo las organizaciones están
las computadoras son excelentes para continúa reduciendo drásticamente el reduciendo su riesgo, descargue
buscar los rasgos de posibles defectos tiempo requerido para implementar Veracode’s State of Software
en los datos a velocidad y escala, no y escalar software, estamos a la Security Volume 9 en veracode.
pueden prescindir de nuestra capacidad vanguardia del desarrollo de técnicas com/soss.
CyberSecuritynews | Junio 201922 Ciberseguridad Corporativa / Micromouse
“Se ven avances como la creación
de la figura del CISO y del DPO,
síntoma de que ha habido
un cambio de mentalidad”
Toca hablar con una de las empresas con más solera en el sector de la ciberseguridad,
o seguridad de la información en su momento. Nacida en 1984 (más de tres décadas
la contemplan), Micromouse ha visto crecer el sector desde el embrión hasta lo que es
hoy. Hablamos con Sebastián Carmona, CEO de Micromouse.
Texto: Samuel Rodríguez países encontramos un mayor • Gestión de los datos generados por
grado de innovación? los usuarios – Entidad financiera
Cybersecurity News (CsN): En SC: La innovación está en las personas; española, de reconocido prestigio
primer lugar y para todos los los países, en función de sus políticas nacional e internacional, gestiona
lectores que no conozcan aún su y de su cultura, afectan irremediable- con NORTHERN los datos gene-
compañía, ¿qué es Micromouse? mente a esa innovación. Hoy en día rados por los usuarios corporativos
Cuéntenos un poco de historia… hay un auge creciente de soluciones sobre sus cabinas de almacena-
Sebastián Carmona (SC): Micro- innovadoras y pioneras en mercados miento Netapp y EMC.
mouse es una compañía tecnológica de oriente. Nosotros seleccionamos las • Conectividad segura win-to-host –
con una larga trayectoria en el sector TI soluciones de nuestro portfolio, no por Empresa española de referencia en
comprometida con sus clientes, hacemos su origen, sino basado en su grado de el ámbito de la comercialización y
de sus proyectos nuestros proyectos. innovación y de madurez. distribución de energía ha implan-
Desde sus orígenes en el año 1984 ha CsN: ¿Qué tipo de soluciones han tado Exceed TurboX (ETX) para
estado siempre orientada al cliente importado y ofrecéis a día de hoy visualizar su red de distribución
aportando valor añadido en el área de en España? de energía residente en sistemas
las nuevas tecnologías e importando SC: Antes mencionamos por un lado SCADA de Siemens.
en exclusiva soluciones software para la conectividad segura win-to-host y • Fax sobre IP - La plataforma de
el ámbito corporativo. Comenzamos FoIP, y por otro, la gestión de los datos fax corporativa de una de las prin-
con soluciones de desfragmentación y de los usuarios y la ciberseguridad, que cipales Telco española confía en
recuperación de ficheros en entornos además de permitir el blindaje de los el servidor de fax ZETAFAX y sus
VAX y VMS, y en 1994 acometemos un datos, ayudan al cumplimiento regula- conectores IP para la transferencia
cambio estratégico al ser de las primeras torio y de GDPR. de unos 10.000 faxes mensuales.
empresas en España en convertirnos Son muchos los proyectos que hemos CsN: Se cumple un año de la
en partner certificado de Microsoft e abordado en estos ámbitos, en empresas implementación del GDPR. ¿Cree
importar soluciones corporativas como de todos los sectores y tamaños, acom- que ha supuesto un gran cambio
Zetafax o el gestor de cuotas de disco pañándolas en el camino a gestionar de en la mentalidad de las PYMES
Quota Advisor y Quota Server. forma más eficiente sus datos y sistemas respecto al uso adecuado de los
Actualmente, nuestra máxima sigue corporativos. Por áreas algunas de las datos? Igualmente, ¿cree que cada
siendo ofrecer soluciones de alto valor soluciones implantadas: vez las pymes aprovechan más
empresarial, principalmente en el área • Ciberseguridad – Dos de las princi- el valor de los datos o siguen sin
de la Ciberseguridad y la gestión de pales consultoras utilizan SAFEND, entender cómo hacerlo?
los datos del usuario con soluciones nuestra solución de cifrado, protec- SC: En la misma pregunta se encuentra
de cifrado, análisis de información ción de los puertos y DLP; para ya uno de los paradigmas en que se
sensible, auditoría de sistemas o securi- evitar fugas de esos datos enor- encuentran las PYMES y en general
zación del AD, pero también en el área memente sensibles que gestionan. las empresas en España. Realmente
de la Conectividad con soluciones que En el ámbito de la auditoria de entró en vigor en el 2016 pero, para
permiten la interacción Windows-Host ficheros, una gran productora tele- todos, el límite ha sido el pasado 2018,
como Exceed TurboX. visiva eligió LEPIDE Auditor para y el cambio de mentalidad está siendo
CsN: Importáis soluciones exclu- tener una completa trazabilidad de también lento, sobre todo en el cambio
sivas y de nicho pioneras en otros sus ficheros, alertas en tiempo real de un modelo más pasivo, a uno en el
mercados. Las importáis a España, y visualizar los permisos efectivos que las empresas tienen que tomar un
Italia y LATAM pero… ¿en qué de sus usuarios. papel más proactivo.
CyberSecuritynews | Junio 2019Sebastián Carmona, CEO de Micromouse 23
GDPR no ha conseguido un giro proyecto con unas mínimas condiciones Hoy en día el coste del almacena-
espectacular, sino más bien un cambio de medidas de seguridad adecuadas al miento es infinitamente más barato,
paulatino, y todavía con mucha tarea tipo de información que cada empresa sobre todo si analizamos la capacidad
por delante. La responsabilidad en el gestiona en sus sistemas internos. y las nuevas formas de almacenar los
uso correcto y protección del dato va En conclusión, ha habido un antes datos con el auge de entornos cloud en
poco a poco avanzando y prueba de ello y un después desde la aplicación de la ambientes corporativos. Su gestión se
son las medidas de seguridad que cada normativa GDPR. Gracias a ello, las ha vuelto en nuestra contra, aún más
día se implementan. Por tanto, GDPR PYMES están reaccionado y no solo se cuando se tienen que analizar los conte-
ha conseguido cambiar la forma de están preocupando de poner los medios nidos para determinar el nivel de sensi-
entender la protección de la información necesarios para el cumplimiento de la bilidad que tiene cada fichero y, con ello,
sensible. Las empresas, en general, no normativa, si no que esta normativa les poder establecer políticas adecuadas a
solo las Pymes, son ahora más cons- ayuda a entender el valor que tienen los mismos. Hoy en día se requieren
cientes de que los datos deben de residir sus datos corporativos, de manera que herramientas de descubrimiento y clasi-
de forma segura y se deben de proteger están implementado soluciones para ficación de la información, auditoria de
adecuadamente. De hecho, se ven proteger su información, el corazón de acceso a fichero y, por supuesto, cifrado
avances como la creación de la figura su negocio. automático de estos cuando se guardan
del CISO y del DPO en el organigrama CsN: El almacenamiento de los en almacenamiento externo.
de las compañías, síntoma de que ha datos de forma correcta es hoy Las empresas en la última década se
habido un cambio de mentalidad. Por en día un MUST en cualquier data han enfrentado a un cambio enorme
otro lado, también es cierto que muchas driven company... ¿qué aportáis en en la cantidad de información que
lo hacen por el hecho punitivo, es decir, este sentido? recaudan, poseen, elaboran y, por
por la posible sanción que les puede SC: Sin duda alguna; pero no solo supuesto, en el almacenamiento de la
acarrear el no hacerlo. hoy en día, sino que es algo en lo que misma. Esta evolución tan rápida no ha
No obstante, sigue costando entender Micromouse está perfectamente posi- sido correspondida con un incremento
que la información y el conocimiento cionada desde hace muchos años. Desde en la conciencia del valor e importancia
es el principal activo de las empresas y, comienzo del año 2000 Micromouse de esta información y, sobre todo, de los
por esa razón e independientemente de proporciona soluciones tecnológicas riesgos y daños que puede suponer la
GDPR, esta debe de protegerse debi- para ayudar a las empresas en la gestión pérdida de esta, tanto en valores econó-
damente, con cifrado de datos o con del almacenamiento de la información. micos como reputacionales. En este
auditoria de acceso a los ficheros, por Bien es cierto que las razones han ido sentido Europa con GDPR ha hecho un
ejemplo. Todos los días tratamos evolucionando a lo largo del tiempo. gran trabajo ofreciendo un instrumento
de concienciar a las empresas, y a En aquellos años, el coste del almace- para defender el derecho a la protección
sus responsables, en este sentido namiento era carísimo y era, por tanto, del dato personal y, por nuestra parte,
y vemos que ahora hay más necesario controlar la cantidad de infor- MICROMOUSE ofrece soluciones para
.
receptividad. Sin embargo, es muy mación que los usuarios podían alma- atender ese grado de gestión y control
común encontrarse con limitaciones cenar en los sistemas corporativos. Lo de la información almacenada en el
presupuestarias para poder afrontar un conseguíamos con las cuotas de disco. ámbito corporativo.
CyberSecuritynews | Junio 201924 Ciberseguridad corporativa / Codere
“Estar permanentemente informado
sobre nuevas vulnerabilidades, es
una de las prioridades de un CISO”
La figura del CISO ha evolucionado mucho en los últimos años y hoy día se contempla
como una figura clave en el negocio de cualquier compañía data driven o cualquier
gran compañía. Como en todo, existen sectores más sensibles que otros en relación a la
ciberdelincuencia y el sector del juego y juego online podría ser uno de ellos.
Texto: Vicente Ramírez Luis Miguel (LM): Mi historia ha experiencia en seguridad anterior
P
sido una historia de evolución, desde adquirida en una gran “telco”
ara conocer mejor cómo es el el rol de consultor de seguridad hasta multinacional, para aplicarla en una
papel del CISO en este sector, CISO en empresa final. Tras varios “telco” española, no tan grande.
desde CyberSecurity News años de consultor de seguridad externo Tras pasar por otras compañías como
hablamos con Luis Miguel Brejano, me incorporé a Vodafone España Grupo Santander, En 2017 CODERE
CISO de Codere. en el departamento de Seguridad decidió incorporar la figura de CISO
CyberSecurity News (CsN): Cuando Lógica donde participé en proyectos de a su estructura para apoyar al CIO
hablamos con CISOs y nos cuentan ciberseguridad y privacidad de muy alto Corporativo y a su Director de Segu-
sus historias profesionales, vemos nivel sobre gestión de riesgos, seguridad ridad tecnológica en la estrategia global
como la mayoría vienen de la parte de la información y cumplimiento de ciberseguridad y privacidad y en la
técnica, del mundo hacking, pero normativo. Unos años después, la implantación de un Plan Director de
no todos. Hay algunos que vienen compañía de telecomunicaciones Ono Seguridad global para todos los países
del mundo de la consultoría o me ofreció el puesto de Manager de donde opera y tiene presencia: España,
incluso del cuerpo policial. ¿Cómo Seguridad corporativa, lo que suponía Italia, Argentina, México, Panamá,
es tu historia y cómo llegaste al rol un desafío profesional importante Colombia, Uruguay y Brasil. Acepté
de CISO actual? y donde tendría que aportar toda la este gran reto y desde 2017 formo
CyberSecuritynews | Junio 2019Luis Miguel Brejano, CISO de Codere 25
parte del gran equipo de profesionales CsN: El CISO por un lado
de CODERE, en un sector de enorme podríamos decir que hace de
complejidad técnica y operacional. intermediario y traductor entre la
CsN: Podríamos mencionar parte de negocio de la compañía
muchos retos a los que os y la parte técnica. ¿Consigues que
enfrentais en vuestro día a día ambas partes se entiendan?
en Codere. ¿Cuáles nos podría LM: En líneas generales es así, el
destacar? CISO debe detectar los riesgos en los
LM: Sin duda la gestión de los riesgos. procesos de negocio o en los proyectos
Toda compañía, en el ejercicio con implicación de datos sensibles,
de su actividad, está expuesta a analizarlos y elevar sus conclusiones y
riesgos tecnológicos, regulatorios recomendaciones técnicas de seguridad.
y de privacidad. A medida que Buscamos reducir el apetito de riesgo
profundizamos en la revisión de los de ambas partes y dar una solución Luis M. Brejano, CISO de Codere.
riesgos de los proyectos o de los equilibrada entre seguridad y negocio.
procesos del negocio, los CISOS CsN: Sabemos que el flujo de correo electrónico encaja perfectamente
vamos catalogando los riesgos. comunicación en el sector de la en el modelo de negocio y costes
Nuestra tarea es hacer el levantamiento ciberseguridad es muy importante de la compañía, pero siempre habrá
de esos riesgos para analizarlos y para mejorar la protección global áreas que, por la naturaleza de los
proponer los requisitos o contramedidas de todos. ¿Cree que queda mucho datos de negocio, deban acudir a una
que puedan paliar total o parcialmente que hacer aún para obtener el nube privada o mantenerse incluso on
esos riesgos. Nos enfocamos en flujo de comunicación deseado? premise por necesidades regulatorias.
garantizar la confidencialidad, ¿Crees que se podría mejorar CsN: Si hablamos de capacitación
integridad y disponibilidad de la mucho más incluso el propio flujo en Ciberseguridad, ¿cree que
información, para que nuestro negocio de comunicación entre diferentes contamos con profesionales muy
evolucione y sea competitivo CISOs? buenos en España? ¿Cree que se
CsN: ¿Qué parte de la estrategia de LM: Efectivamente, en un mundo les valora correctamente? ¿Qué
ciberseguridad suele externalizar hiperconectado donde la información habilidades busca un CISO para
a empresas proveedoras fluye globalmente por las redes de una persona de su departamento?
especializadas? comunicaciones, también lo hacen las LM: Si, contamos con profesionales de
LM: La estrategia en ciberseguridad no amenazas. Los patrones de ciberataques gran nivel, y la calidad de las ponencias
se externaliza, pero sí la operación. Me se repiten y replican a través de los en los congresos y los artículos en
explico, la estrategia en ciberseguridad cinco continentes, por lo que estar las publicaciones del sector así lo
de una compañía va ligada a la permanentemente informado sobre atestiguan. Recordemos el gran esfuerzo
estrategia de negocio y digitalización, nuevas vulnerabilidades, ataques 0 que se hace desde el sector público por
por lo que es complicado que una Day o campañas dirigidas de phising o el fomento de la ciberseguridad y la
empresa proveedora aporte valor en malware es una de las prioridades de un privacidad en España, con el INCIBE
este sentido. En el caso de CODERE, CISO. a la cabeza. Poco a poco va calando en
la estrategia en ciberseguridad está CsN: ¿Cree que la tecnología las organizaciones de todos los sectores
definida en un Plan Director de cloud y multcloud está ya y tamaños la importancia de contar
Seguridad y Privacidad trienal, lo suficientemente madura con esta figura y pienso que cada vez
alineado con los objetivos de compañía desde el punto de vista de la está más valorada. La proliferación
y dotado de presupuesto y recursos. ciberseguridad? ¿Cómo usa su de brechas de seguridad en grandes
Todas las iniciativas parten de este compañía la tecnología cloud? compañías de los últimos años, ha
plan y tienen unos objetivos de control ¿Pública, privada o mixta? elevado los asuntos de ciberseguridad
claros y definidos. Esto nos permite LM: Todavía queda mucho por a los comités de dirección, y eso da
diversificar con varios partners hacer desde el punto de vista de la una visión muy positiva sobre la figura
la gestión y/o la operación, pero ciberseguridad en el mundo Cloud. Se del CISO y su equipo y el trabajo que
manteniendo una visión global y de ha avanzado mucho y el modelo de realizan.
control sobre los objetivos. nube pública para servicios como el En cuanto a la captación de talento
especializado en ciberseguridad, priva-
cidad y riesgo tecnológico, ciertamente
“La estrategia en ciberseguridad de una es complicada. Se demandan habili-
dades técnicas y de gestión, conoci-
compañía va ligada a la estrategia de miento de comunicaciones, sistemas y
tecnologías de seguridad, capacidades
negocio y digitalización, por lo que es de comunicación, negociación y gestión
de proyectos, así como proactividad.
complicado que una empresa proveedora Se dice que somos un sector muy voca-
.
cional, que no es una habilidad pero
aporte valor en este sentido” que complementa a las que se tienen o
adquieren.
CyberSecuritynews | Junio 2019También puede leer
