Los meses de marzo y abril han aumentado los ciberataques de manera notable.
Los expertos vaticinan que irán en aumento y que la Seguridad es un asunto que debe estar en los Comités de Dirección para tratarse de manera prioritaria y estratégica, de no hacerse ya, mañana será tarde.
Hoy para Petec entrevistó a Enrique Domínguez Fernández CSO ( Chief Strategy Officer) de ENTELGY.
ENTELGY ha crecido en el 2020 un 11%.
La compañía que el año pasado inauguró su primera oficina en Estados Unidos, aumentó un 16,5% su negocio internacional, alcanzando los 89 millones de euros de ingresos operativos y registrando un 8% de EBITDA.
Para 2021 la consultora ha establecido unos planes muy definidos, que tienen como principal objetivo lograr el 7% de crecimiento y superar el 11% de EBITDA.
Debido a la gran importancia que está teniendo la Ciberseguridad, la consultora continúa apostando por esta división para conseguir superar los resultados obtenidos en 2020. De hecho, se espera que en 2021 este sector crezca un 8,1% en nuestro país, superando los 1.324 millones de euros.
Tenemos con nosotros a un gurú vocacional de la Seguridad.
Enrique Domínguez Fernández estudió Ingeniería Informática en la Universidad de Zaragoza y un Master MBA en la ESADE Business School.
- ¿Cuándo descubriste que habías nacido para la Ciberseguridad?
Lo descubrí durante mi primer año de carrera, hace ya casi 20 años, cuando todavía no se llamaba así. Hice un curso de desarrollo seguro que organizó la Universidad de Zaragoza y me enamoré de ello por el alcance tan amplio que tiene la seguridad, que toca todos los ámbitos de la informática como ninguna otra especialización dentro del nuestro ámbito, al menos a mi entender.
- ¿Qué asignatura crees que es clave para entender la importancia de la seguridad de la información?
Creo que ninguna asignatura te prepara para entender la importancia de la seguridad, de hecho, creo que no lo llegas a comprender hasta que llevas bastantes años de carrera laboral. Sin embargo, sí que creo que hay asignaturas que son clave para tener una buena base sobre la que construir conocimientos, por ejemplo, sistemas operativos, redes y administración de sistemas.
- Todo el mundo debería tener al menos unos conocimientos básicos en ciberseguridad ¿sería bueno incorporar formación complementaria ad hoc de seguridad de la información adaptada desde la etapa escolar? Al igual que ahora se estudia robótica o programación como extraescolar, o se trata la programación en algunas asignaturas de Ciencias.
Desde un punto de vista meramente formativo, y de cara a construir las habilidades necesarias para poder dedicarse a esta profesión, no lo creo necesario. Sin embargo, sí creo que debiera contemplarse la ciberseguridad, especialmente con un prisma de concienciación, en el resto de formación tecnológica y de habilidades.
Por ejemplo, igual que a los niños se les enseña a lavarse las manos y los dientes, o a cruzar la calle de forma adecuada, se les debería enseñar a elegir contraseñas de forma segura, para su propia protección.
- ¿Cuál fue la primera brecha de seguridad que descubriste? ¿Cómo lo resolviste?
Siempre me interesó modificar el comportamiento del software y recuerdo modificar las cadenas de texto embebidas dentro de algún ejecutable para arreglar fallos y obtener ventajas en algunos juegos. En aquel momento aquello no me parecía una brecha así que no hice nada…
- Dicen que los depredadores de la red están observando qué hacemos y que publicamos para ver nuestros puntos débiles y lanzar su amenaza bien dirigida ¿Lo más importante es tratar de mantener la privacidad al máximo?
Es importante, desde luego, pero debemos contextualizarlo con el nivel de riesgo al que estamos expuestos. Por ejemplo, mi nivel de exposición, por mi profesión el alto, lo cual me debe llevar a ser especialmente precavido, no sólo con mi seguridad digital, sino también con la seguridad física de mi entorno.
- ¿Somos conscientes de la responsabilidad que conllevan los dispositivos electrónicos que ya no sólo son de carácter personal, sino profesional?
Creo que nadie alcanzamos a entender del todo el potencial riesgo y por tanto la responsabilidad inherente que tenemos al usar todos los dispositivos que tienen información profesional. Por ello, las empresas y sus proveedores debemos ir un paso más allá, no confiando tanto en la responsabilidad individual del usuario y asumiendo nuestro liderazgo técnico en esta materia.
- ¿La cultura de prevención vía concienciación y formación a empleados realmente sirve para impedir que se cuelen los ciberdelicuentes?
Sólo sirve si se hace bien, algo que desgraciadamente es poco frecuente. Se cometen muchísimos errores en los programas de concienciación en ciberseguridad de las empresas y administraciones, que están más enfocados en el cumplimiento que en lograr cambios medibles en el comportamiento de los empleados y colaboradores.
Para lograr este cambio de comportamiento, hay que establecer un programa continuo de gestión del cambio organizativo que contemple tres pilares, la concienciación, la formación y la generación de hábitos seguros.
- Dar charlas a todos los empleados de la empresa, sea cual sea su rol ¿es esencial? Cada vez más se constata la necesidad de ofrecer píldoras informativas y webinar que contengan nociones básicas de seguridad informática para saber que debe hacer un empleado/a cuando detecten un problema de este tipo.
Es esencial, pero es difícil lograr que estas charlas y píldoras sean eficaces, hay que llegar a las personas a través de la emoción y a través de su ámbito personal, sólo así, impulsando un cambio efectivo en su comportamiento en todas las facetas de su vida, lograremos un impacto positivo en la empresa.
- ¿Crees que cualquier empresa puede ser atacada o lo ha sido o es una frase alarmista?
En absoluto y, además, lo vemos a diario en todos los sectores y tamaños de empresas. También hay muchas organizaciones que han sido atacadas y no se han enterado. A lo que hay que sumar muchas otras que lo ocultan a la opinión pública.
- Desde el ransonware Reveton o “virus de la policía”, Cryptolocker, Locky, WannaCry, ¿en que han cambiado los ataques en los últimos diez años? ¿Qué controles deberíamos implementar basándonos en los ataques actuales?
Los ataques se han sofisticado mucho, inicialmente la lógica del cifrado que utilizaban dejaba bastante que desear, lo que dejaba abierta la puerta de la recuperación de los archivos. A partir de ahí se han ido mejorando, alcanzando un alto grado de complejidad.
En los últimos años lo que hemos observado es que el cifrado de los archivos, es sólo el último paso que se ejecuta, tanto en los ataques dirigidos a empresas, cómo en las infecciones a particulares. Primero se roba información, se utilizan los recursos de computación para el minado de criptomoneda o se instala malware bancario y sólo cuando se quiere finalizar la intrusión y, ya de paso, borrar huellas, se procede con el cifrado de los archivos.
En cuanto a los controles, ninguna empresa debería prescindir de una buena solución de EDR y un servicio de MDR/XDR o al menos un servicio SOC de monitorización más tradicional.
- ¿Cuáles son los principales vectores de ataque detectados?
En esto se ha innovado menos, los clásicos vectores del correo y la web siguen plenamente vigentes. Lo que ha vuelto a ponerse de moda (ya se dice que las modas son cíclicas) son los gusanos (worms) aprovechando vulnerabilidades en los equipos para realizar movimiento lateral y extenderse por las redes de las organizaciones (véase Wannacry).
Hoy en día también estamos viendo como algo habitual que el delincuente tome control de piezas clave en la administración de los sistemas de las entidades (por ejemplo, Directorio Activo) y las utilice para distribuir su malware por toda la organización.
- ¿Qué consejo les darías a los clientes que creen que la Ciberseguridad es un gasto y no una inversión necesaria?
Afortunadamente creo que cada vez son menos y supongo que serán los mismos que consideran que la formación es un gasto y no una inversión. Aprovechando el símil les diría: “si pensáis que la seguridad es cara, probad con el coste de una intrusión” …
Las cifras hablan por sí solas:
El presupuesto medio de ciberseguridad en 2020 superó los 64 millones de euros en las empresas; y un 81 por ciento de los CISO esperan que aumente en el próximo año.
La gestión unificada de dispositivos/puntos finales y de autenticación biométrica serán las soluciones de software en las que más se invertirá.
La mitad de las empresas europeas gestiona la ciberseguridad con un departamento expresamente dedicado a esta función, mientras que el 46% lo tiene integrado en su departamento de TI y tan sólo un 15% de ellas dispone un Centro de Operaciones de Seguridad (SOC) interno responsable de la supervisión continua y la respuesta a los incidentes de seguridad.
La prevención es la clave. Y tener un buen Contingency Plan.
El mal nunca descansa.
