Coménteme en qué consiste la creación del Club CISO
El Club del CISO, puesto en marcha por la Asociación Española para la Calidad (AEC) y Govertis parte de Telefónica Tech, nace con la vocación de ser un punto de encuentro donde hallar soluciones y respuestas en el ámbito de la ciberseguridad, a través de la cooperación y el conocimiento, un lugar donde poder debatir sobre temas que afectan a los CISOs, un espacio de intercambio de experiencias dentro de la comunidad compartiendo con compañeros de profesión, un medio donde poder mantenerse al día y encontrar las noticias, informes y artículos técnicos más relevantes, del ámbito nacional e internacional, con afectación en Ciberseguridad, y un área donde encontrar la formación y concienciación a través de cursos especializados tanto en IT como en OT.
¿Cuáles son los objetivos principales en los que están trabajando actualmente?
El objetivo de su creación ha sido el de ofrecer un lugar de referencia que centralice todas las necesidades de información y conocimiento de quienes desarrollan su labor como responsables de ciberseguridad, además de servir de orientación a cualquier persona que quiera iniciarse en esta área de especialización.
En la actualidad se está trabajando y realizando un esfuerzo en aglutinar aquellas noticias, informes, artículos técnicos, etc., que permitan mantener actualizados los conocimientos de los CISOs, y al mismo tiempo, sirvan de orientación a todo el personal involucrado o que quiera iniciar su carrera profesional en la ciberseguridad.
Con el objetivo de dar continuidad, difusión del conocimiento y colaboración se están programando:
Eventos en modalidad on-line para los meses de julio y noviembre del presente año, en formato Cyber-Insight con dos ponencias sobre temas relevantes y actuales, y un taller práctico sobre aspectos de actualidad.
Congreso presencial y retransmitido on-line para el mes de febrero de 2025.
En el objetivo de formación se disponen de los siguientes Talleres:
Taller de Implantación del Esquema Nacional de Seguridad (ENS),
Taller de Implantación de un Sistema de Gestión de Seguridad de la Información ISO 27001 y los controles de la ISO 27002,
Taller práctico para la gestión y notificación de brechas (o incidentes) de seguridad, y
Taller de Gestión de Crisis y Continuidad de Negocio.
Por otra parte, se están planificando programas de capacitación y formación en ciberseguridad, en concreto,
Un Programa de capacitación en Ciberseguridad Industrial con tres niveles: Foundation o Fundamentals, donde se impartirá una introducción y los conocimientos base, Professional o Advanced, en el que se aborda la operación, regulaciones y estándares, y el nivel Expert, donde se desarrolla el Sistema de Gestión de la Ciberseguridad Industrial.
Una formación general sobre la implicación de la nueva directiva de la UE NIS2: lo que necesitamos saber, cómo nos afecta y si estamos preparados.
Una formación sectorial sobre el estado de adaptación a la directiva NIS2 de las organizaciones enfocado a una evaluación en formato autodiagnóstico del cumplimiento de los requisitos, medidas y obligaciones exigidas por la directiva.
Un programa formativo para Responsables de Gobierno y Gestión de la Ciberseguridad (CISOs).
¿Qué herramientas se usan para la ciberseguridad industrial?
La principal herramienta que disponen todas las organizaciones para la defensa de la ciberseguridad industrial es el PERSONAL. Tenemos que tener siempre presente que suponen la mayor vulnerabilidad. Según un informe de Verizon Communications, el 17% de los ataques se sufren desde el interior de la propia organización, y el elemento humano fue un componente del 68% de las infracciones. Para prevenir este vector de ataque lo más efectivo es la FORMACIÓN y CONCIENCIACIÓN para asegurar que los empleados entienden los riesgos a los que nos enfrentamos y adoptan buenas prácticas fomentando la cultura de ciberseguridad corporativa.
Nuestro objetivo es proteger las personas, los sistemas, las redes, los datos y la infraestructura, y para ello disponemos de las siguientes tecnologías/herramientas:
Esencial y ‘obligatoria’ la implementación del CIFRADO de datos, tanto en reposo como en tránsito,
Firewalls industriales de última generación (NGFW),
Sistemas de Detección y Sistemas de Prevención de Intrusiones (IDS/IPS),
Software antimalware/antivirus, soluciones Endpoint Detection & Response (EDR),
Soluciones de Autenticación Multifactor (MFA) como Microsoft Authenticator, Google Authenticator; o Soluciones Inteligentes de Gestión de Identidades y Accesos (IAM); o soluciones de autenticación de forma transparente para los usuarios basándose en la conexión de sus dispositivos a la red como API Number Verification de Telefónica,
Herramientas de análisis de vulnerabilidades como Nessus, y de evaluación de riesgos como Sandas GRC.
Metodologías y Sistemas de Gestión:
Implementar un Sistema de Gestión de Ciberseguridad Industrial (SGCI),
Complementado con el Sistema de Gestión de la Seguridad de la Información (SGSI), y
Disponer de un Plan de Gestión de Incidentes, un Plan de Gestión de Crisis, el Plan de Continuación de Negocio (BCP) y los Planes de Recuperación ante Desastres (DRP).
Disponer de los servicios de:
Un Centros de Operaciones de Seguridad (SOC) para la vigilancia, el análisis, la respuesta y la mejora de la seguridad en tiempo real, con técnicas de Big Data e Inteligencia Artificial, y tecnología de Seguridad Orquestada, Automatizada y de Respuesta (SOAR)
El Servicio de Administración de Eventos e Información de Seguridad (Security Information and Event Management, SIEM) con el objetivo de ampliar las capacidades de detección y respuesta a través de una monitorización y correlación continua de eventos, logs y alertas en el entorno IT/OT, ofreciendo una visibilidad del estado de la seguridad, así como el apoyo y soporte a los equipos de seguridad ante cualquier amenaza detectada o necesidad de evolución de la monitorización.
En un mundo cada vez más tecnológico y digitalizado, ¿cómo afecta esto a la ciberseguridad?
Estamos hablando de la evolución tecnológica y del reto de la transformación digital (concepto inherente al de Industria 4.0), términos que son inseparables con el de la ciberseguridad. Debemos tener presente que esta transformación digital global que estamos viviendo en la actualidad se debe traducir en un compromiso claro y preciso de las empresas e industrias para adaptarse al progreso tecnológico.
Esta transformación digital y sus nuevos riesgos tecnológicos se deben abordar de forma eficiente y eficaz, priorizando la seguridad de las personas, la información, y los procesos y sistemas, pero sin olvidar el cumplimiento normativo como son las nuevas directrices de la UE NIS2 o CER.
Si no se toman por parte de las organizaciones las decisiones correctas, oportunas y proporcionales a los riesgos propios en ciberseguridad ante el uso extensivo e intensivo de las nuevas tecnologías y la hiperconectividad de las redes y sistemas, implementando las medidas técnicas y organizativas necesarias para hacer frente a las amenazas y vulnerabilidades ante una mayor exposición de los activos a los ataques cibernéticos; el progreso y subsistencia de la empresa puede estar sumido al fracaso y su desaparición.
¿Qué riesgos corre una industria que no disponga de elementos de seguridad en materia de ciberseguridad?
Según el informe de la Agencia Federal de Gestión de Emergencias de los EEUU (FEMA), el 90% de las empresas cierran permanentemente si no tienen capacidad de reiniciar su operación en 5 días.
Una industria que carezca de forma proactiva de los mínimos elementos de ciberseguridad está expuesta a una serie de riesgos significativos, que pueden tener impactos graves en su operativa, la seguridad, la integridad de los datos, las infraestructuras, las personas y la propia subsistencia del negocio.
Entre los riesgos y amenazas más comunes que afectan a la ciberseguridad industrial se encuentran los ataques de Ransomware, malware, phishing, ataques BEC, ataques de denegación de servicio (Dos), configuraciones incorrectas y uso malintencionado por parte de empleados, ataques basados en ingeniería social, ataques de fuerza bruta para obtener credenciales, vulnerabilidades Zero-Day, o ataques que aprovechan la inexistencia de políticas o procedimientos de ciberseguridad en la organización (Política de Protección de Datos, de Control de Acceso y Autenticación, de Actualizaciones, de Almacenamiento y Copias de Seguridad, de uso de Correo Electrónico, redes externas, WiFi e Internet, etc.).
Una vez que una empresa ha sufrido un ciberataque, ¿qué puede hacer?
Siento decir que lo esperado es que las organizaciones sufran ataques, los hayan sufrido o los estén sufriendo y no sean conscientes de ello.
Recientemente comenté con un compañero sobre un ataque que sufrió una Universidad relevante en nuestro país. Un incidente con mucha difusión y repercusión en los medios y RRSS, lo que lo hace muy rentable para los cibercriminales en cuanto a su reputación, ya no solo por el hecho de si ha sido un ataque Ransomware, el robo de datos personales (como detallan en sus comunicados) con la más que probable posterior venta en la Deep/Dark Web al mejor postor, o un daño específico en su infraestructura, además de extorsionar o pedir un rescate económico. Muchas veces el objetivo principal del ataque no es el económico, sino hacerse un hueco de protagonismo en los medios y RRSS. Una labor de marketing para vender sus ‘éxitos’ a potenciales ‘clientes’.
La recomendación, una vez detectado el ciberataque, es en primer lugar pedir al equipo técnico que NOTIFIQUE, COLABORE y COMPARTA INFORMACIÓN, no solo con los CSIRT de referencia oficiales como el CCN-CERT, la Brigada Central de Investigación Tecnológica (BCIT) de la Policía Nacional, el Grupo de Delitos Telemáticos (GDT) de la Guardia Civil, o las Autoridades de Control como la AEPD, a efectos de cumplir con la obligación de la Notificación de Incidentes, sino también con las partes interesadas (colegas técnicos con responsabilidad en los sistemas de información) de otras organizaciones del sector que pueden haber sido o serán atacadas con el mismo vector aprovechando la vulnerabilidad que hayan explotado en este caso.
En segundo lugar, lo que es obvio, ANALIZAR cuál ha sido el vector y la vulnerabilidad que han aprovechado y reparar el problema lo antes posible (análisis forense). Para ello no hay que dudar en pedir ayuda a aquellas organizaciones especializadas en este ámbito.
Y en tercer lugar, realizar una evaluación del impacto y consecuencias que ha podido o puede tener, e INFORMAR con absoluta transparencia a las personas afectadas y a la sociedad en general, sin dar rodeos, para evitar la pérdida de reputación y confianza hacia la organización.
Solo queda transmitir mucho ánimo al equipo técnico y de comunicación que tendrán que realizar un gran esfuerzo para que todo vuelva a la normalidad.