“Es necesario inculcar la cultura de la ciberseguridad en la empresa”

29-05-2019

Para Miguel Ángel Arroyo existen dos tipos de empresas: las que han sido atacadas y las que lo serán en el futuro. Hoy hablamos con nuestro experto en seguridad de la información, considerado como uno de los 8 hackers más influentes de toda España.

 

P. ¿Qué significa ser Hacker Ético?

R. En realidad lo de hacker ético es un concepto que con el tiempo ha ido distorsionándose, al menos para mí. A día de hoy lo considero como una disciplina más dentro del ámbito de la seguridad de la información, que utiliza la seguridad ofensiva para evaluar el nivel de seguridad de los activos analizados. Los hackers no son malos, los que son malos son los ciberdelincuentes que utilizan herramientas y técnicas de hacking para cometer algún delito. Siempre pongo el mismo ejemplo, del carnicero, que trabaja a diario con un cuchillo en sus manos, y que tiene un dominio absoluto de la herramienta, pero eso no implica que utiliza esa pericia para cometer un delito. En este ejemplo, el carnicero es un hacker, una persona que tiene entusiasmo por su trabajo, un gran conocimiento y experiencia, disfruta con lo que hace y tiene unas habilidades especiales para llevar a cabos sus tareas diarias.

 

P. Es cierto que la digitalización ha traído consigo infinitas posibilidades: hemos derribado fronteras y estamos más conectados. ¿Cuál es la otra cara de la moneda?

R. Toda tecnología lleva asociada unos riesgos de forma inherente. Es cierto que estamos en una constante evolución digital que, como bien plantea la pregunta, nos ofrece infinitas posibilidades, pero también un nuevo mapa de riesgos, amenazas y vulnerabilidades que no existían antes de aparecer esa nueva tecnología. Esa es la otra cara de la moneda: que las organizaciones tienen que evaluar bien los riesgos asociados a esa nueva tecnología antes de implantarla, y disponer de las medidas técnicas y organizativas necesarias para mitigar o reducir esos riesgos a unos niveles aceptables por la organización.

 

P. En seguridad de la tecnología, ¿tenemos que aplicar siempre el concepto de Zero Trust?

R. Debemos de partir siempre de una confianza mínima. Si confiamos en que un dispositivo ya venga de fábrica configurado de forma segura, o que se ha aplicado aquello del “Security by design” (seguridad desde el diseño), nos podremos llevar una desagradable sorpresa. Esa desconfianza inicial, nos obligará a estar alerta y concienciados en la necesidad de evaluar riesgos de cualquier sistema, para así gestionar dichos riesgos de forma eficaz y eficiente, y no confiar en la seguridad por defecto.

 

Miguel Ángel Arroyo, en una de las múltiples conferencias de seguridad en las que participa.

P. En el terreno empresarial, la información es el principal activo. Los ciberdelincuentes quieren datos. ¿Por qué? ¿Y cuáles son las técnicas de ataque más habituales?

R. La información es poder, ya sea por su cantidad o por su calidad. Para cualquier delincuente, robar información confidencial, es una información de “calidad”, una información de valor, con la que podrá hacer su negocio, ya sea vendiendo a terceros o pidiendo algún tipo de rescate para recuperar o para que no sean publicados. Existen multitud de técnicas, pero de forma global, podríamos decir que las más utilizadas son las intrusiones en los sistemas y su posterior robo. Este tipo de ataques tiene como causa raíz la explotación de una vulnerabilidad en el sistema, el acceso físico a los mismos o el robo de credenciales a través de ingeniería social, como puede ser el caso de la suplantación de identidad utilizando el correo electrónico como medio de comunicación (phishing).

 

P. ¿Qué pueden hacer las empresas para hacer frente a estos ciberataques? ¿Tienen suficientes recursos?

R. Estar preparadas. Se suele decir que las empresas se dividen en dos; las que han sido atacadas y las que van a ser atacadas. Y esto es una realidad. Hay que concienciarse que tarde o temprano vamos a tener un incidente de seguridad, y para ello hay que estar preparados. Una actitud proactiva de seguridad ayudará en este sentido, y una evaluación previa de riesgos posibilitará detectar qué medidas de seguridad hay que implantar para reducir la probabilidad o impacto de un incidente de seguridad. También es cierto que hay un número importante de empresas que no cuentan con los recursos necesarios para hacer frente a los ciberataques, y es una labor de la dirección de las empresas inculcar esa cultura de ciberseguridad en las organizaciones, entendiendo que la seguridad es un proceso transversal que afecta a las personas, tecnología y procesos de la organización, y que sin esta seguridad, será mucho más complicado cumplir con los objetivos de negocio, ya que no se están garantizando las dimensiones básicas de la información como son la confidencialidad, integridad y disponibilidad.

 

P. Ser Security Business Manager de SEMIC significa estar al día de las soluciones y tendencias en seguridad empresarial. ¿Cuál crees que es el principal reto?

R. Precisamente esta evolución digital en la que estamos inmersos, nos está llevando a un escenario en el que prácticamente todo está conectado, incluso los electrodomésticos de nuestras casas. En este sentido, uno de los grandes retos de la seguridad es el IoT (Internet of Things), y es cómo garantizar la seguridad en todos esos dispositivos que se están conectando a la red. También habrá que prestar especial atención a las infraestructuras críticas de los países. Cada vez es más habitual ver actividades de ciberguerra de un país atacando las infraestructuras críticas de otro país.

 

P. ¿Qué es lo próximo que vamos a ver?

R. Sin lugar a dudas, la inteligencia artificial está irrumpiendo de una forma muy importante en la seguridad de la información, tanto desde el punto defensivo (análisis de comportamientos de las amenazas) como desde el punto de vista ofensivo.

 


Noticias relacionadas:

09/04/2019 – Arranca la Campaña de la Renta: alerta con el Phishing
02/04/2019 – Celebramos un coloquio de Seguridad junto con HPE Aruba
28/11/2018 – Participamos en el VII Encuentro de CSA España

 

Compartir en: