GrupoSothis ha participado en el decimoprimer Encuentro Internacional de Seguridad de la Información ENISE organizado por INCIBE (Instituto Nacional de Ciberseguridad) en el auditorio Ciudad de León los días 24 y 25 de Octubre.
El encuentro ha girado en torno a los retos de ciberseguridad en un mundo conectado, realizando diversas ponencias y mesas redondas con personalidades destacadas del mundo de la ciberseguridad. Organizado en dos tracks, uno principal y otro de emprendimiento, asistimos al track principal.
En un entorno global en el que la ciberseguridad tiene cada vez más presencia, van apareciendo nuevos retos y nuevas amenazas, sin olvidar la creciente necesidad de tener un marco normativo que genere confianza entre los diferentes países y organizaciones.
GDPR y el rol del Data Protection Officer.
Los temas legislativos y en concreto la conocida GDPR (General Data Protection Regulation) que entrará en vigor el próximo 25 de mayo de 2018 han salido de forma recurrente en varias de las ponencias por el impacto que tendrá su aplicación.
Esta es una ley de obligado cumplimiento para el tratamiento que las empresas hacen de los datos personales. En ella aparece especificado que debe existir una figura llamada Data Protection Officer que será el responsable de esta gestión de datos que realizará la empresa.
En general todos los ponentes se han mostrado en deacuerdo con que una ley les exija tener un puesto/persona concreta dentro de la organización pero además también tienen todos en cuenta que una persona no puede llegar a cubrir completamente todo el abanico de responsabilidades que debe tener a su cargo. Por ese motivo el DPO debe tener un equipo de trabajo por debajo de él para repartir el trabajo pero sin olvidar que el responsable último de esa gestión de datos sigue siendo el DPO que será quien deba dar las explicaciones pertinentes en caso de que se produzca una brecha de seguridad en la empresa y tendrá la capacidad de interlocución con los organismos oficiales de cara a la gestión de incidentes. Esto no quiere decir que el DPO vaya a ser el responsable “jurídico” de un incidente en el que se involucran datos protegidos, ya que el responsable último en este caso siempre será el propietario del fichero de datos comprometido que normalmente será la empresa.
Otro debate interesante sobre el DPO ha sido sobre si debe ser un tecnólogo o debe ser un jurista. En general la figura del DPO normalmente se verá con temas legales la mayor parte del tiempo por lo que en general no parece mala idea que sea un jurista pero ¿Qué ocurre si no tiene formación o conocimiento de IT? La tarea suele ser bastante más compleja para esta persona ya que debe entender qué ocurre y cómo ocurre dentro de la empresa. Debe tener un conocimiento transversal de las diferentes áreas de la empresa para poder hacer llegar esa seguridad necesaria para los datos que se manejan, y no necesariamente solo con soluciones IT. Por tanto asalta la duda de si lo mejor es poner a un tecnólogo a trabajar en el departamento jurídico o pasar a un jurista al departamento de Seguridad. Parece que esta última opción es la más elegida por las grandes empresas para el rol de DPO.
La figura del DPO debe tener conocimiento en tres aspectos fundamentales desde el punto de vista de los ponentes de las mesas redondas de ENISE
- Conocimientos jurídicos
- Conocimientos técnicos
- Capacidades personales (principalmente de organización y de diálogo)
Otros puntos puestos encima de la mesa es cómo sabes qué hay que notificar, como y a quien. En este sentido faltan criterios para definir qué es un incidente de nivel ALTO y esto debe ser común ya que si los criterios se dejan al punto de vista de cada empresa puede haber diversidad de opiniones y decisiones al respecto. También debe quedar claro a quien hay que notificar un incidente y cómo hacerlo, ya que esta tarea no debe quitar tiempo de lo realmente importante que es solventar el incidente lo antes posible. Por este motivo no se puede dudar ni perder tiempo en esta notificación ni tampoco que sea complicado realizarla para focalizar esfuerzos en lo realmente importante.
Seguridad IT / OT
Se ha tratado también el tema de cómo se realiza la gestión de la seguridad IT (Information Technology) y la OT (Operational Technology). Para empresas que tienen desplegadas tecnologías en ambos mundos el modelo de gobierno de la seguridad tiende a ser centralizado, con un punto de vista de la seguridad a nivel global de la empresa, pero los equipos de trabajo deben ser multidisciplinares. Esto es debido a que muchas veces un ingeniero de seguridad normalmente tiene conocimientos de IT y está habituado a trabajar en este entorno pero no conoce nada de OT, mientras que los operarios de OT muchas veces no tienen conocimientos sobre seguridad, conocen como operan y funcionan sus dispositivos pero les falta esa parte de seguridad aplicada a sus dispositivos. Por eso en los equipos deben convivir técnicos de ambos mundos y trabajar conjuntamente para implementar y garantizar la seguridad y solventar posibles incidentes que puedan surgir.
Y todo esto además con vistas a la IoT o Internet de las cosas que cada vez más nos obliga a tener controlado, actualizado y asegurado un sinfín de dispositivos en las empresas y en nuestras casas.
Capacidades más demandadas por las empresas
Otro de los puntos tratados es la falta de profesionales cualificados en ciberseguridad. Todas las empresas conocemos lo difícil que es encontrar perfiles en ciberseguridad. Tanto a nivel u niversitario como en formación profesional no existen estudios en los que la seguridad forme parte del currículo de los estudiantes. Muchos aprenden por su cuenta y muchos se empiezan a formar ya en las empresas. Existen cada vez más opciones para poder estudiar temas relacionados con ciberseguridad; másters universitarios, bootcamps ….. pero la empresa sigue demandando estudios en este campo.
Está claro que las personas que quieran dedicarse a la ciberseguridad deben tener capacidades técnicas en diferentes áreas (forense, pentesting, análisis de malware …) pero la seguridad también abarca otros ámbitos que muchas veces se olvidan pero que son necesarios como:
- Concienciación y comunicación de la seguridad.
- Análisis de riesgos
- Saber traducir las amenazas en riesgos de negocio para aportar información que facilite la toma de decisiones en la empresa.
- Contar con cierta madurez laboral (muchos jóvenes que llegan al mercado laboral son técnicamente muy buenos pero se desconoce el entorno laboral y como orientar la seguridad dentro de una empresa).
En muchas ocasiones también se puede encontrar esa persona que puede formar parte del equipo de ciberseguridad dentro de la propia empresa, en otra área o departamento (buscar talento interno) porque muchas veces, cuando ya tienes el talento, con formación se pueden obtener muy buenos resultados.
El estado actual de las ciberamenazas
Las amenazas que llegan desde Internet no paran de crecer. A pesar de que han descendido las estadísticas de correos de phishing existen estudios que indican que uno de cada 312 correos contiene malware. Cada vez más, este malware hace uso de conexiones cifradas usando https o ssl para realizar sus comunicaciones con los centros de control o para descargar componentes del malware por lo que a dia de hoy abrir el tráfico https no es una opción sino algo que debemos plantearnos hacer para protegernos de amenazas.
Si bien es cierto que parece que estemos ante nuevos escenarios de ataques, muchos de ellos usan técnicas ya conocidas e incluso vulnerabilidades conocidas y parcheadas. Aun así, seguimos cometiendo los mismos errores que hace 15 años. ¿es la persona el eslabón más débil de la cadena? Siempre hemos estado dándole vueltas a esta frase, siempre la decimos cuando infectan una empresa pero ¿qué medidas hemos tomado al respecto? Hay que invertir en formación y concienciación de las personas, no vale con decir que son el eslabón más débil, llevamos diciéndolo muchos años y debemos empezar a concienciar y a formar a esas personas.
Gestionar el IoT también supone un reto por la cantidad de dispositivos que forman este ecosistema. Existen dispositivos muy diferentes, que hacen cosas distintas y que son de fabricantes diversos. Una de las cosas más importantes en este aspecto es mantener estos dispositivos actualizados y no perder de vista que pueden ser un dispositivo más conectado a Internet y por tanto vulnerable a los ataques. Es por ello que también en estos dispositivos debemos tener en cuenta tres puntos fundamentales:
- Autenticación de los dispositivos (tanto para administrarlos como en su conexión a la red).
- Bastionado (configurar el dispositivo con la superficie de exposición mínima y bien configurado).
- Detección de anomalías (incluir estos dispositivos en los entornos de seguridad que podamos tener en la empresa, syslog, SIEM …. Etc).
Nuevas amenazas y criptomonedas
En esta mesa participaron miembros de las Fuerzas de Seguridad del Estado y de Europol para hablar sobre el impacto que han tenido las criptomonedas como bitcoin o ethereum en la comisión de delitos.
En este sentido destacaron la reciente detención de una persona que vendía armas en la Deep web y por los diferentes estados por los que pasó su “negocio”. Al comenzar en ese mundo nadie te co mpra nada por la desconfianza que genera y generó cientos de perfiles falsos en un foro para poner comentarios que le dieran mayor credibilidad. Empezó a vender armas pero se dio cuenta que su papel en todo esto se limitaba a mero intermediario por lo que las armas ni tan siquiera pasaban por sus manos, se enviaban desde el proveedor al comprador. Posteriormente cuando ya tenía cierta reputación empezó a estafar a la gente, se dio cuenta que ganaba el mismo dinero entregando el producto que sin hacerlo, simplemente cuando alguien se quejaba, se escudaba en que él era un intermediario y devolvía la mitad del importe pagado, pero aún así se quedaba la mitad del dinero y no todos protestaban la no recepción de la mercancía. Esto es muchas veces lo que se encuentra en estas webs, gente que estafa a la hora de entregar el producto comprado.
En general las redes anónimas como TOR o las criptomonedas no nacieron con fines maliciosos pero han sido una buena herramienta para la comisión de delitos. Existen más de 900 criptomonedas actualmente.
Se siguen produciendo delitos que se han dado siempre solo que ahora existen medios de pago más anónimos y que impiden identificar a las personas que los cometen. Los pagos de rescates por infecciones de ransomware con bitcoins antes se producían con pagos en Western Union.
Otros tipos ataques que envuelven el intercambio de dinero son los ataques de tipo Bussiness Email Compromise o a veces llamados fraude del CEO (que es una de las posibles formas de este tipo de ataque). En estos ataques se suplanta la identidad de un responsable de la empresa que solicita hacer una transferencia de dinero a una cuenta bancaria. En este caso no intervienen criptomonedas directamente pero también es difícil de identificar debido a la rapidez con la que actúan. Cuando se consigue una transferencia de dinero con un correo phishing suplantando al responsable de administración o al director general se ponen en marcha una serie de personas o mulas que sacan el dinero de las cuentas en efectivo y las vuelven a ingresar en otras cuentas diferentes haciendo esto varias veces y consiguiendo que sea muy difícil identificar a quien va el dinero realmente.
Incluso hacer el seguimiento de un pago en efectivo sigue siendo más sencillo que el seguimiento de las transacciones con criptomonedas.
En general han sido unas mesas redondas y charlas muy interesantes en las que hemos podido conocer de primera mano los retos que tenemos a día de hoy y que compartimos con el resto de empresas que nos dedicamos a la ciberseguridad y las amenazas que están por venir y cómo debemos organizarnos y formarnos para hacerles frente.