Hoy Conversamos con:
Jose Manuel de la Puente. Security Manager en VASS
Hoy en Petec tenemos el honor de entrevistar a José Manuel de la Puente para hablar de Seguridad/ Ciberseguridad.
José Manuel es Devops & Security Manager en Vass, Consultora experta en Soluciones Digitales, donde lleva trabajando más de una década.
Un auténtico experto en temas de Ciberseguridad. Y lo hago tras conocer el Ciberataque sufrido ayer en los servidores que almacenan la información del Servicio Público de Empleo Estatal (SEPE). Un órgano sensible ya que, de el dependen las retribuciones de los miles de españoles que están en situación de ERTE.
¿Estás de acuerdo con que ninguna organización está exenta de sufrir un ataque?
J.M. Estoy completamente de acuerdo. Toda organización grande o pequeña, aunque trate de evitar cualquier tipo de ataque siempre está expuesta a los ciberdelincuentes debido a que la información es el valor más importante de todas las empresas independientemente de su tamaño. Las organizaciones pueden intentar mitigar dichos ataques, pero los cibercriminales, al igual que los datos no descansan, y siempre van un paso por delante de las medidas que se puedan tomar puesto que la seguridad total no existe.
Hemos podido ver y conocer ataques desde grandes corporaciones, universidades, hospitales, etc.
Desde tu punto de vista ¿Cómo ha cambiado la Ciberseguridad en la última década?
J.M. La ciberseguridad ha cambiado bastante en los últimos años debido a que ya no sé considera únicamente un coste.
La digitalización y las nuevas formas de relación con nuestros clientes y proveedores han cambiado, e incluso se ha acelerado de forma vertiginosa con la pandemia. Además, tenemos muchos más dispositivos tanto profesionales como personales que contienen, tanto información personal, como empresarial que tenemos que controlar y mantener.
Hace años las empresas se limitaban a controlar sus accesos a servidores y equipos informáticos dentro de tus oficinas, pero con el crecimiento del uso tanto de tablets como smartphones hacen que toda la información sensible este fuera de nuestras instalaciones y es necesario gestionarla y controlarla.
¿Cómo ha evolucionado la seguridad en las empresas y que asignatura tenemos pendiente respecto a este tema tan crítico y relevante, quizá el entender que la Seguridad y la Ciberseguridad son una buena inversión y no un gasto?
J.M. Esta pregunta está muy relacionada con la anterior. Los responsables de seguridad de las compañías eran los CEOS y CIOS que consideraban un gasto la seguridad y no se le daba la importancia que tenía. Se pensaba que con un control perimetral de nuestra infraestructura se estaba más o menos cubierto y el diseño de seguridad de aplicaciones, por ejemplo, por defecto y diseño se consideraba un importante incremento.
La creación de la figura del CISO ha sido fundamental para cambiar esta situación y plantear nuevos escenarios de securización, no solo a nivel de diseño de aplicativos sino del control de acceso de usuarios privilegiados, sistemas de Single Sign On, unificación, gestión y control de dispositivos móviles, etc.
¿Qué papel ocupa la concienciación de los usuarios a nivel empresarial para frenar los ataques?
J.M. La concienciación tiene un papel principal, prioritario.
El 90% de las violaciones de seguridad o el comienzo del 90% de los ataques, se producen a través de nuestros empleados vía Ramsomware. Las entradas suelen ser vía correos electrónicos e incluso Whatsapps y es por ello que debemos concienciarnos todos como usuarios.
¿Cuándo deberíamos empezar a concienciar a las personas? (tanto a nivel empresarial como individual).
J.M. Es algo que tiene que ser recurrente y realizarse de forma periódica. Todos deberíamos tener cuidado con los lugares que visitamos, no abrir correos desconocidos, evitar conectarnos a redes wifi-abiertas, etc.
Hay que ser constante y no dejar la concienciación únicamente en manos de la responsabilidad de los usuarios.
A nivel empresarial, también hay que incluir planes de formación periódicos de ciberseguridad para los empleados con el objetivo de que todos seamos conocedores de los riesgos y se puedan evitar situaciones que comprometan la seguridad de la empresa.
¿Qué retos tenemos por delante y cómo crees debemos afrontarlos?
J.M. Tenemos aún muchos retos y como he dicho antes, debido a la pandemia debemos de acelerar el tiempo de respuesta.
Es importante que continuemos con la monitorización y evaluación de los diferentes incidentes producidos para activar actividades de remediación.
La IA y el Machine Learning nos ayudaran a ser más eficientes en la prevención y resolución de incidentes, pero para ello, hay que mejorar los procesos, etc. puesto que la situación requiere un control continuo, debido a los cambios en las normativas y la velocidad de adaptación de nuestro entorno.
La inversión en Seguridad debe de incrementarse.
¿Cómo crees que impactarán los ordenadores cuánticos en la Ciberseguridad? ¿Son una gran amenaza?
J.M. Los investigadores estadounidenses estiman que su adopción llevará menos de 20 años, pero creen que los ciberdelincuentes podrían llegar mucho antes. Aunque hay numerosos expertos que hablan de tenerlo en diez años.
Yo no los consideraría una amenaza es un nuevo reto y por supuesto que permitirán con los niveles de computación estimados, mejorar los ataques, pero también nuestros niveles de defensa. Nos quedan años importantes y hay que continuar mejorando nuestros sistemas actuales y trabajar en la innovación y adopción de nuevas plataformas que nos ayuden a mejorar la seguridad de nuestros sistemas.
¿Cómo lograr que los clientes vean y perciban la importancia de pagar por lo que vale recibir un servicio de calidad que te asegure de la mejor manera posible tu información, que sepan dónde están sus vulnerabilidades antes de que se produzca un ataque y convertirlas en fortalezas o descubrir intrusos?
J.M. Es un tema complicado porque lo primero que se mira es el coste, y más en un momento como este, pero generar confianza y demostrar el valor que puedes aportar es la mejor forma de que los clientes se convenzan de que la seguridad es una inversión.
Como he comentado antes, la Seguridad no es algo inmóvil, está en constante evolución y esto hace que tengas que estar actualizándote permanentemente para de forma preventiva poder robustecer tus sistemas para intentar minimizar el impacto de futuros ataques.
El 16 de febrero han alertado de una nueva estafa de un “falso técnico de Microsoft”. El falso técnico informa a su víctima de que su ordenador está infectado por un troyano que estaría haciendo ataques a entidades mundiales de relevancia, por lo que podría tener serios problemas legales al atacar, entre otros sitios, al FBI. Después se ofrece a examinar el ordenador para repararlo y evitarle problemas legales. Para ello, les da instrucciones de cómo instalar un programa de acceso remoto. Una vez instalado, el estafador se conecta con el ordenador de la víctima y toma el control del mismo. Le enseña una serie de pantallas con códigos ilegibles y le hacen creer que han localizado al virus. Tras fingir desinstalarlo, solicita el pago de los servicios que suele ser poco dinero. Para ello, las víctimas han de conectarse con su banco para realizar la transferencia. Como el delincuente está controlando el ordenador, toma la identidad de la víctima y en vez del dinero reclamado incrementan esta cantidad hasta el límite que posibilite la entidad bancaria.
¿Qué recomendaciones y consejos darías a nivel usuario para no caer en este tipo de estafas o similares?
J.M. Dentro de la Seguridad el eslabón más débil solemos ser los usuarios y tenemos que estar atentos puesto que la información o los ataques pueden llegar de distintas formas.
Os recomiendo:
- No abrir correos o mensajes de fuentes desconocidas
- No conectarse a redes wifis abiertas o no confiables
- Utilizar contraseñas robustas y no dejarlas en sitios visibles
- Tener cuidado donde visualizamos y accedemos a información sensible (transporte público, cafeterías, etc.). Nunca sabemos quién nos pueda estar observando
- Verificar quien nos envía la información. Las corporaciones bancarias, empresas no envían o solicitan información vía mail o WhatsApp
Por último ¿crees que desde el punto de vista gubernamental e institucional se da la importancia que se precisa a la Ciberseguridad Y Seguridad de la información?
Noticias como esta me hacen pensar que es así: https://www.boe.es/boe/dias/2021/02/18/pdfs/BOE-B-2021-7623.pdf
J.M. Por supuesto, los estados están muy centrados en la Protección de los Datos y saben que dicha protección y aseguramiento de los mismos es vital para el funcionamiento correcto de sus países. Por ello están invirtiendo mucho en Ciberdefensa.
Pero lo realmente importante es que esta inversión no sea puntual, sino que sea constante y sostenida en el tiempo.
Comparto la frase de Newton Lee, “Como el mundo está cada vez más interconectado, todos comparten la responsabilidad de asegurar el Ciberespacio”.
