Mónica de la Huerga Ayuso, CISO de Sopra Steria. «Es egoísta decir que los fallos de seguridad son culpa del usuario»
Covid-19 ha trastocado muchos de los parámetros bajo los que funcionaba cualquier empresa. En materia TIC, la ciberseguridad es uno de los elementos más afectados, en este caso, para bien. Los cibercriminales están aprovechando la crisis sanitaria para lanzar ataques y aprovecharse de los fallos de seguridad pero, esta vez, las organizaciones están más que preparadas.
Una firma como Sopra Steria también se ve afectada por esta nueva situación. Y lo hace en dos frentes: en su propia empresa y en asesorar e implementar las medidas de seguridad en sus clientes. Hablamos con Mónica de la Huerga Ayuso, CISO de Sopra Steria.
¿En qué ha cambiado Covid-19 la estrategia de ciberseguridad de Sopra Steria?
Pues en realidad es más que un cambio ya que lo que ha hecho el coronavirus ha sido acelerar ciertos procesos. Nosotros ya teníamos nuestra nuestra estrategia definida pero además somos una consultora que estamos realizando una transformación digital en nuestros clientes.
La transformación digital y lógicamente toda la parte de la ciberseguridad va asociada a un cambio. En nuestro caso ya contábamos con todo lo que se refiere a acceso remoto tanto a nuestros sistemas como a sistemas de clientes. En lo que se refiere a la política de ciberseguridad, no hemos cambiado nada, aunque, lógicamente, lo que sí hemos hecho ha sido reforzar las medidas
El hecho de pasar al teletrabajo, ¿os ha afectado en vuestra estrategia de ciberseguridad? ¿Qué medidas concretas habéis tenido que adoptar?
Yo creo que nos ha pasado como a casi todas las empresas y hemos tenido que actuar de forma muy rápida porque el margen de actuación con el que contábamos fue muy breve. Así que si queríamos seguir prestando nuestros servicios teníamos que actuar rápido. No podíamos perder ni calidad ni seguridad y contábamos ya con ciertas medidas, como por ejemplo todo el tema de acceso remoto, que no nos supuso un esfuerzo excesivo porque era una estrategia con la que ya contábamos.
Es decir, no ha supuesto un cambio de mentalidad porque ya lo teníamos en nuestra cultura y al final, lo que hemos hecho ha sido reforzar las miras y reforzar los mensajes a nuestros colaboradores.
Lo que sí que es cierto, y ahí es donde se encuentra el verdadero cambio, es que hemos pasado de tener los dispositivos controlados por las empresas a aumentar el tráfico en Internet, que dependemos en algunos casos de dispositivos personales, que el router que se emplea es el doméstico... Hemos tenido que ejercer una labor un poco más intensa a la hora de concienciar a nuestros colaboradores de que, aunque estemos en casa y aunque estemos en la situación en la que estamos actualmente como sociedad, no había que relajar las medidas de seguridad.
¿Cuáles han sido las claves para gestionar de forma correcta toda esta estrategia?
Creo que se trata de mantener la mente fría y no tomar decisiones que surjan de la prisa y de las necesidades de un determinado momento. Se trata de recordar a la gente que la información sigue siendo importante, que tenemos que seguir haciendo nuestro trabajo y no podemos poner en riesgo ni nuestros datos ni los de nuestros clientes y que las buenas prácticas hay que seguir manteniéndolas. Se trata de definir una hoja de ruta y sobre todo de hacer mucha concienciación, mucha campaña y recordatorio.
Las conexiones tienen que ser seguras en sí mismas. Se trata de que sigan existiendo buenas prácticas, aunque sea algo que llevamos haciendo mucho tiempo. Y en la situación actual es importante que los usuarios sepan cómo configurar la seguridad dentro de nuestra casa para que así no generar un impacto negativo.
¿Habéis observado fallos o errores que no esperábais?
No. Nos hemos encontrado con que ha habido clientes a los que hemos tenido que aconsejarles y ayudarles en la puesta en marcha de todo lo que es el teletrabajo, entre otro aspectos, pero en lo que se refiere a nosotros como compañía, no. Lo único que hemos hecho era poner un poco más de énfasis y aumentar nuestros niveles de seguridad, porque todos los ciberataques se han incrementado y mucho.
¿Es el usuario el principal problema de cualquier estrategia de ciberseguridad?
Se suele decir eso pero sería un poco egoísta por parte de los CISOs o de los responsables de seguridad de una empresa decir que el problema es el usuario. Creo que si nos quedásemos con eso sería muy pobre la labor que hacemos desde los departamentos de seguridad. Al final, ese usuario será tan débil como nosotros queramos, en el sentido de que si no le concienciamos, si no le explicamos cuáles son los riesgos el error será nuestro.
Por eso, tenemos que hacerle entender que las medidas que se toman no están ahí para dificultarle su labor, sino para mejorar su trabajo y su seguridad. Si le concienciamos y le empoderamos no va a ser tan débil como nosotros pensamos. Se trata darle a ese usuario las herramientas y los conocimientos para que esos riesgos se minimicen.
«Para evitar fallos de seguridad no podemos permitir conexiones que no están cifradas», afirma la CISO de Sopra Steria
Ahora que ya se habla de desescalada ¿donde van a estar los principales retos en materia de ciberseguridad de aquí a los próximos meses?
Lo que tenemos que pensar es que lo que considerábamos antes como la seguridad perimetral y que se restringía al hecho de estar en oficina ha cambiado de forma absoluta. Así que ahora lo que hay que vigilar es el tema de gestión de identidades, verificar que quien accede es realmente quien tiene que acceder. Además, no podemos permitir conexiones que no están cifradas a través de Internet. Esto es, se trata de reforzar toda esa capa de transporte.
Tenemos que hacer una vigilancia constante, más exhaustiva, en tiempo real de todo lo que va circulando por las redes, para ser capaces de identificar esos posibles intentos de ataque porque las fronteras ya se están atenuando y el trabajo lo podemos hacer desde cualquier sitio.
Un departamento de seguridad, hasta hace unos años, era visto como un gasto y no como una inversión. ¿Está cambiando esa concepción por parte de las empresas?
Creo que sí. De hecho, ese cambio ya lo estábamos notando en los últimos años. Ha habido muchos ataques de ransomware bastante conocidos que produjeron un cambio en la mentalidad de las empresas, sobre todo en lo que respecta a las altas direcciones.
A día de hoy, el departamento de seguridad está alineado con los objetivos de la empresa porque si no se alinea con los objetivos de negocio, éstos no van a salir adelante. Nuestros objetivos deben ser los de tener una visión en la que objetivos de negocio y objetivos de seguridad de la empresa vayan de la mano.
Nos encontramos en una época tremendamente cambiante. Las empresas deben incidir en la gestión de los usuarios, en los factores de autenticación, etc.
Uno de los problemas viene por los routers que tienen en casa los usuarios. ¿Cómo se hace una gestión de los dispositivos de tal forma que no sólo se verifique el acceso del usuario, sino también del dispositivo?
En nuestro caso son controles que ya teníamos implementados. De hecho, nos centramos en dar planes de formación para precisamente concienciar y sensibilizar a nuestros colaboradores y empleados para que sepan identificar cuáles son los riesgos y explicarles también el porqué de ciertas medidas. Si conseguimos que la gente lo entienda y que vean los beneficios que tienen, al final se convertirá en una parte más de su rutina.
Nuestro apoyo pasa no sólo por dar a conocer nuestras políticas de seguridad, sino también enfocarnos en las buenas prácticas que se pueden aplicar al día a día. En general, tanto las organizaciones como la sociedad no estamos sensibilizados al 100% con la seguridad. Por eso, las empresas nos piden a las consultoras que en sus procesos de transformación digital les acompañemos para definir estas medidas de seguridad que tienen que poner para todo lo que se refiere al acceso remoto que estamos viendo como se está incorporando de forma masiva.