Proteger, 2ª Jornada de CiberTodos20

Detalles de la segunda jornada del Congreso CiberTodos20 de ISACA Madrid: “Es necesario contar con proveedores, socios y terceras partes, certificadas”

En artículos anteriores os hemos hablado del Congreso CiberTodos20 de ISACA Madrid Chapter, tanto de forma general en el artículo “Congreso CiberTodos20 de ISACA Madrid Chapter“, como en detalle acerca de la 1ª jornada que tuvo lugar el pasado jueves 1 de octubre, en el artículo “Identificar, 1ª Jornada de CiberTodos20“. Hoy toca contaros cómo fue la 2ª jornada del día 8 de octubre… ¡un lujo y éxito como siempre! 😉

Ésta comenzaba con un resumen de datos de la pasada jornada, agradecimientos, felicitaciones y una amabilísima bienvenida por parte de Ricardo Barrasa García, Presidente de ISACA Madrid Chapter (@ISACAMadrid).

Ricardo presentó y dio paso a Eduardo Solís, Miembro de la Junta Directiva de ISACA Madrid y Líder de Servicios de Tecnología en Entelgy Innotec Security, quien fue el hilo conductor y presentador del evento a partir de ese momento y comenzó dando paso a la primera intervención.

Ésta fue a cargo de Alberto Francoso (Jefe del Servicio de Análisis de la Ciberseguridad y la Cibercriminalidad de la OCC, del Ministerio del Interior). Alberto comenzó trasladando la magnitud del importante aumento de la criminalidad y cibercriminalidad a nivel mundial en los últimos tiempos (en especial, durante la pandemia del COVID y el confinamiento) y aportando también los datos de España:

• Entre 2018 y 2019 la criminalidad y cibercriminalidad aumentó un 41%.
• Entre 2015 y 2019, un 210%.
• Hoy en día el 10% total de los delitos son ciberdelitos.

Todo esto -comentó-, precisa tomárnoslo muy en serio, precisa de medidas urgentes, de actuaciones. Por este motivo se ha diseñado, establecido y se está poniendo en marcha, a nivel estatal y europeo, un Plan para la Lucha Contra la Cibercriminalidad.

Este plan, cuenta con un grupo de trabajo para el Plan Director de Lucha contra la Cibercriminalidad. Dos temas claves en el ciclo de la cibercriminalidad son obviamente la prevención (ciberseguridad) y también, y de máxima importancia, el apoyo a la víctima.

Toda acción de ciberseguridad previene de ciberdelitos, de delitos y, en este sentido también es importantísima la concienciación y la formación. Es por ello que el Plan de Lucha contra la Cibercriminalidad cuenta con diferentes principios y ejes de acción como la prevención, la disponibilidad de capacidades (para adaptarse a diferentes modalidades ciberdelictivas), la coordinación y la cooperación, la colaboración público-privada nacional e internacional, y el respecto a la libertad y a la privacidad.

Tras la intervención de Francoso, llegó el momento para la entrevista. En este caso, Carlos Otto (Periodista tecnológico de El Confidencial, @elconfidencial y responsable de El Enemigo Anónimo, El Enemigo Anónimo en LinkedIN, @EnemigoAnonimo_ en Twitter y elenemigoanonimo en YouTube) conversó unos minutos con Ofelia Tejerina (entre muchas otras cosas, Presidenta de la Asociación de Internautas).

Tal y como ya hiciese Carlos en la anterior jornada, a la hora de entrevistar en su momento a Miguel Ángel Ballesteros, en esta ocasión, la entrevista con Ofelia fue una charla amena y cercana, donde comenzó planteándola si su profesión venía por vocación o por obligación.

Tejerina comentó que su vocación era el derecho pero que, gracias a su hermano (informático de profesión), conoció más cosas y llegó a “este mundo“, concibiendo que ambas patas de la mesa tenían muchísimo en común y que cada una de ellas encajaba y completaba a la otra de forma muy necesaria.

Ofelia aseguró haber sido más de hacer puzzles que de estar continuamente pendiente de cualquier pantalla, pero a las preguntas de Carlos sobre recomendaciones, nos dejó dos grandes libros que dijo le habían gustado mucho y de los que también había aprendido:

• “Haz clic aquí para matarlos a todos“, de Bruce Schneider, que -dijo- ponía encima de la mesa la reflexión de la “Tecnología Reposada“… curioso y muy interesante concepto.

• “Mito del algoritmo“, de Richard Benjamins y Idoia Salazar García, que, aun no siendo 100% técnico en términos de los algoritmos informáticos, preside -dijo- muchas de las cosas y acontecimientos de la vida cotidiana sin que tan siquiera nos demos cuenta.

Continuando hablando de protección y ciberseguridad, como no podía ser de otro modo, salió a colación el impacto que había habido derivado de la pandemia del COVID y el confinamiento. Ofelia expuso los datos del terrible incremento y el “ranking” en cuanto a países con mayores impactos, liderado por México, seguido de España e Italia. A la cola de todos ellos, curiosamente, Turquía, -dijo-.

Carlos preguntaba a Ofelia: “¿Estamos más concienciados?“

A lo que Ofelia respondía: “Es muy mejorable. Debemos preocuparnos más. Debemos plantearnos cosas como… ¿de verdad necesitamos usar esa tecnología?… y más concretamente… ¿necesitamos usar esa tecnología de ese modo?“…

Tejerina continuaba exponiendo…

“Vamos tarde. El nivel de conciencia actual es el que deberíamos haber tenido en 2012. Los padres deben ejercer mucha más responsabilidad frente a las tecnologías que usan y dejan usar a sus hijos. La verdad es que cuando más concienciados estamos es cuando se nos toca el bolsillo…“

La duda era la apropiada y así lo planteó Otto: “¿Qué nos debemos o deberíamos auto-exigir los usuarios para proteger nuestra identidad y privacidad?“

Ofelia comentó que lo primero y primordial es tener sentido común (el menos común de los sentidos, puntualizo yo a título personal ;-)). Otra cuestión a tener en cuenta y que deberíamos plantearnos es tener un “plan B“, porque, “¿qué vamos a hacer cuando esa/la tecnología falle?“

“Ofelia, ¿cuáles son las medidas de autoprotección que tu utilizas?“, preguntó Carlos. Ella sonrió y tiró de un clásico pero no menos cierto en muchísimos casos: “en casa del herrero, cuchillo de palo” 😉

“La verdad es que tengo menos protecciones de las que debería tener” -aseguró Tejerina-. “Pero, no dependo 100% de la tecnología en muchas cosas. En mi dispositivo no uso patrón de acceso, pero en caso de pérdida o robo, puedo destruir y hacer inaccesible todo su contenido, información, datos“.

“Además, tengo otras medidas no tecnológicas, sino de sentido común como te comentaba“, -le dijo a Carlos-, “cuando realizo compras online, si la tienda no me inspira el 100% de confianza, generalmente no realizo compras superiores a un importe determinado, por ejemplo como límite 50€“.

“Más cosas… Realizo copias de seguridad, y además las hago físicas, en local, en más de un dispositivo o disco duro externo, por duplicado, generalmente no en la nube, aunque allí también guardo otras cosas“.

Otra de las cosas que yo suelo hacer personalmente y que recomiendo es utilizarla tecnología, las innovaciones y la potencia de la misma, con cautela… “No suelo aprovechar la mayoría del potencial de los dispositivos y todas las últimas novedades por lo que, realmente (como la mayoría de los usuarios) no necesito (o finalmente no uso) muchas (la inmensa mayoría) de ella. Es decir, no opto por ellas, o no en primera instancia y, así, corro menos riesgos“.

Trasladando ahora el foco ya no en lo que podemos hacer como usuarios sino en lo que como usuarios podríamos o deberíamos exigir a las empresas tecnológicas, Ofelia comentaba:

“Debemos exigirles un Desarrollo Tecnológico Sostenible, la Privacidad por Diseño, la Ética por Diseño, pero especialmente que cumplan estrictamente las leyes“. “El problema” -decía- “es que, en muchas ocasiones les es más rentable no cumplir que asumir el riesgo y coste de incidentes, ciberincidentes, demandas…“

En la jornada anterior, Carlos Otto le pidió a Miguel Ángel Ballesteros que dejase una pregunta para el siguiente entrevistado, para Ofelia en este caso. Ésta fue la siguiente: “¿Está desarrollada la cultura de ciberseguridad en España y cómo crees que se podría fomentar mediante la colaboración público-privada?“

Ofelia Tejerina recogió el testigo contestando lo siguiente: “La colaboración es esencial para la concienciación. Además, debemos trasladar las ventajas de las tecnologías pero también enunciar y enseñar sobre sus riesgos, al mismo tiempo que debemos exigir a las empresas tecnológicas que sus tecnologías deben ser útiles, pero, sobre todo, respetuosas con los usuarios“.

Para finalizar la jornada y como magnífico colofón y broche de oro a la misma, tuvo lugar la mesa redonda “Gestión de riesgos de terceros: moda o tendencia“, en la que, por supuesto, volvieron a aflorar temas de ciberseguridad, privacidad, manipulación/desinformación, etc., estrechamente relacionados con los tiempos que corren de pandemia, COVID, Estado de Alarma y confinamiento y cómo nuestros proveedores, los terceros con los que colaboramos o subcontratamos nos pueden y deben ayudar.

Un debate, que resulto extraordinariamente interesante, y que contó con la participación de:

• Rosa Damaris Díaz de Tejada, Presidenta de ISACA Santo Domingo Chapter.

• Josep S. Cuñat Ferrando, Socio – Seguridad de la Información de Auren.

• José Manuel Cabrera, Cybersecurity Strategy & Risks Manager en Repsol.

• Javier Puerta, Head of CyberSecurity in Third Parties en BBVA Spain.

• Y, como moderador y experto en gestión de riesgos de terceros, certificaciones, etc., Antonio Ramos, Vicepresidente de ISACA Madrid Chapter y CEO de LEET Security.

Tras las oportunas presentaciones, Antonio dio comienzo a la mesa con una pregunta inicial sobre cómo percibían los panelistas la situación entre proveedores y el modelo de externalización, respecto los ciberrriesgos y la ciberseguridad. Aunque todos ellos coincidieron en dar respuestas muy similares, cada uno aportó su punto de vista desde su propia experiencia.

Rosa Damaris comentaba que en Costa Rica y República Dominicana el modelo de “tercerización” estaba profundamente arraigado. “No hay (casi) empresas que no tengan algo subcontratado“, decía. De ahí una visión especial de la gestión de riesgos y en base a ello el decidir externalizar con las medidas oportunas.

Por su parte, Javier Puerta, comenzó respondiendo que, evidentemente “la externalización es el caldo de cultivo del riesgo, del ciberriesgo… y que ha venido para quedarse “. Sin embargo “debe tratarse como un modelo Win-Win, puesto que el perímetro ahora ha quedado diluido y los terceros no están ahí de forma aislada“, -sostuvo-.

“¿Quién nos iba a decir hace unos años (y no tantos) que íbamos a tener nuestro Data Wharehouse en un lugar físico en el que no está nuestro CPD, porque están en ubicaciones/lugares físicos totalmente distintos que, además, no sabemos ni donde están… en la nube…?“, respondió Jose Manuel Cabrera.

Continuó Jose Manuel comentando que “todo esos data wharehouses, CPDs, junto con los algoritmos que esos terceros implementan y las tecnologías de Inteligencia Artificial que usan en torno a ellos… están totalmente mezclados… hay un nivel extremo de interconexión e interoperatividad“.

“El modelo ha cambiado tanto que las barreras existentes ya no es que sean difusas, es que sencillamente no existen… y esto no es para nada una moda, sino que, como ya se ha dicho anteriormente, ha venido para quedarse“, -afirmó Jose Manuel-.

La frase inicial de la respuesta de Josep S. Cuñat, fue más que clarificadora por sí misma… “como muestra un botón… estamos aquí, ahora mismo, utilizando un proveedor externo para tener esta charla y este congreso, que es Zoom“, a la que todo el mundo asintió y sonrió ;-).

En este sentido, proponía Josep que “quizá lo conveniente sea valorar el riesgo que tiene la adopción de proveedores, de externalizaciones, en diferentes niveles y de diferentes modos, y que, en esa ecuación, éste sea mucho menor que el beneficio obtenido, porque el riesgo cero no va a existir nunca“.

Para finalizar su intervención y responder a Antonio, Josep comentaba que “en el futuro tal vez veamos modelos de trabajo locales, pero serán puntuales y mixtos, funcionando en paralelo con la/s nube/s y la interconexión“.

Para finalizar con esta primera ronda o intervención, y respecto a la garantía de disminución de riesgos y de incremento de la ciberseguridad en este modelo, Antonio argumentaba que “si alguien da servicios es porque (o eso se espera) es bueno y que dichos servicios serán mejores que los que hace otro (quien subcontrata, por ejemplo) porque necesita hacerlos“.

Continuando con la mesa, Antonio proponía a los panelistas que, con la debida confidencialidad, comentasen alguna experiencia de casos, sucesos, incidentes o ciberincidentes provocados total o parcialmente por un tercero externo, o derivados de ellos.

El primero en responder fue Javier, quien puso encima de la masa el caso de Target USA de 2013, a modo de ejemplo de cómo los ciberdelincuentes, impersonando a los proveedores, consiguieron infiltrarse en la red del supermercado y, con un malware, consiguieron robar 41 Millones de datos de tarjetas bancarias.

“Hay cientos de casos. Quizá los más populares los que se basan en el modelo clásico de montar una web (falsa) con un ecommerce, para robar datos de tarjetas bancarias“, decía Josep.

Rosa nos habló de lo ocurrido en Puerto Rico con el huracán María que dejó fuera de combate, decía, desarrollos, sistemas e infraestructuras de terceros. Hubo que hacer muchísimos cambios para que la información se restableciese y se volviese a transaccionar convenientemente, lo cual afectó de forma muy especial a las financieras.

Jose Manuel apuntó al caso de MARSK que sufrió un ciberataque o cibersecuestro provocado por un ransomware que los ciberdelincuentes (probablemente provenientes de Rusia o Ucrania) habían ocultado en un software desarrollado por un tercero externalizado por MARSK. Como bien finalizó Jose Manuel: “hoy en día, ¡estamos a una sola IP de distancia!“.

“Y, respecto a las herramientas, medidas, mecanismos, protecciones y estándares de seguridad/ciberseguridad a la hora de trabajar con proveedores externos, ¿qué opináis?“, preguntó Antonio.

“La clave son las personas, los procesos, la capacitación, la formación y las tecnologías; pero, obviamente, debemos contar con Metodologías de Certificación o Sellos que avalen previamente la calidad del proveedor“, respondió Josep.

Salieron algunas de ellas encima de la mesa… COBIT de ISACA, ISO27001, ENS, las certificaciones de LEET Security…

Jose Manuel planteaba que “hay un factor o herramienta determinante que es la cultura, puesto que cuando hay una externalización y una auditoría, todo ello depende de las personas que lo gestionan“.

En ese contexto, Antonio coincidía al 100% y además agregaba que “el accountability deja mucho que desear y la ciberseguridad debería estar al nivel de la gestión de riesgos laborales“.

“Bueno, el proveedor del ciberincidente de Target que comentábamos antes… tenía la ISO 2001…“, dijo Javier, y continuó “con eso, ¿teniendo la certificación o el sello de haber pasado o cumplido con la ISO27001 (o de que mi proveedor externo la tiene), me quedo tranquilo?… creo que no…“

“Creo que debemos estar en un modelo continuo de auditoría, estar en el flujo de las contrataciones, teniendo en cuenta no solo el riesgo sino también el ciberriesgo, debemos construir convenientemente la BBDD de proveedores (que en la mayoría de casos ni existe) y debemos identificar activos, definir controles y aplicarlos“, finalizó comentando Javier.

Finalizó Rosa la ronda de respuestas a esta pregunta de Antonio comentando que “tenemos el marco de gestión de proveedores, que es la ISO 37000, con la que se determina el modelo de estrategia, elección, monitoreo continuo de la estabilidad del proveedor en el mercado (puede que éste cambie de core business, o que incluso desaparezca o sea absorbido)…” Por otro lado, “en España, tenemos el ENS (Esquema Nacional de Seguridad) para cumplirlo si lo que quieres es trabajar con la Administración Pública“, apuntó Antonio.

El tiempo se agotaba pero aún hubo espacio para un nuevo debate en torno a si es posible hacer esto solo o se necesita ayuda, que Antonio planteó a sus compañeros/a.

Jose Manuel contestó de inmediato y rotundamente… “esto es un traje a medida“.

A lo que Antonio, asintió y completó diciendo “Efectivamente. La ciberseguridad no se puede estandarizar. Cada uno tiene sus sistemas, sus necesidades, sus proveedores, sus requisitos“.

Enlazando con esta conversación, y para finalizar, surgió la duda de cuáles eran las principales barreras, dificultades y retos que superar.

“Probablemente, el máximo reto es poder monitorizar como esos terceros te están llevando el negocio, porque realmente lo están haciendo. La enorme dificultad estriba en que algunas de las empresas que tienen servicios externalizados, no tienen ni tan siquiera las capacidades y recursos de monitorear a esos terceros“, decía Rosa.

Josep comentaba que “el modelo de certificación es algo que llegó de la mano del producto, no tanto de los servicios, que son otra cosa bien distinta. Por tanto, la certificación de un servicio como tal no existe, es una baseline“.

“Como se suele decir, la seguridad no existe, lo que existe es la inseguridad y en este proceso de confianza con los proveedores o de sello/certificado de su calidad el proveedor es el que se tiene que preocupar de estar validado o autorizado y no tener que hacerlo yo cada vez que lo uso, o periódicamente“, finalizó Josep.

Desde mi punto de vista, decía Javier, “la eficiencia es el primer reto para no encontrarse con inconvenientes y no podemos estar solos en esa batalla“.

Javier continuaba diciendo… “Otro gran reto es el que, al minuto, o día siguiente de una revisión/certificación ya desconocemos de nuevo el estado de seguridad de ese proveedor; hasta que no se vuelve a realizar otro nuevo ciclo de análisis“.

Con esto quiero decir que probablemente “deberíamos tener un esquema real de monitorización unificada. La auditoría es una foto del hoy y debemos seguir supervisando que ese nivel de seguridad, de ciberseguridad, se mantiene, mantiene el nivel conseguido, e incluso o mejora“, finalizaba Javier.

De todos estos temas se habló en esta 2ª Jornada del Congreso CiberTodos20 de ISACA Madrid Chapter, pero, si queréis, podéis ver más en este enlace: https://engage.isaca.org/madridchapter/eventos/cibertodos