Servicios de ciberseguridad gestionada

Centro de Conocimiento en Ciberseguridad
La ciberseguridad gestionada
en la encrucijada de la transformación
El mundo de hoy está sumido en una transformación en la que las amenazas
y los ataques con componente parcial o total de ciberseguridad empiezan
a pesar y justifican sobradamente la existencia de un pujante sector profesional dedicado a la defensa y a la respuesta. Y en ese sector, ocupan un
lugar relevante los proveedores de servicios de ciberseguridad gestionada
(MSSPs). Los hay de distintos tamaños, con distinto alcance, generalistas,
muy especializados, con tradición, oportunistas…
En las siguientes páginas, e imbricado en el espacio de conocimiento Ágora
SIC, esta publicación ha realizado un trabajo acerca del estado del arte y
futuro de este tipo de servicios de externalización, pulsando la opinión de
CISOs, proveedores y especialistas muy destacados.
SUMARIO
• La analítica avanzada y la sectorización definirán a los MSSPs 2.0 que reinen
en un negocio pendiente de regulación específica.
• Situación y evolución de los servicios gestionados de ciberseguridad: hacia
•
•
•
el 3.0 y más allá…, por JUAN MIGUEL VELASCO
Tu proveedor (de seguridad gestionada) no es seguro, por ANTONIO RAMOS
Los MSSPs opinan: Proveedores de Servicios de Ciberseguridad Gestionada:
tiempos de transformación.
Los CISOs opinan: Servicios de ciberseguridad gestionada: ¿hay espacio
para la mejora?
* Es posible obtener una versión en pdf de este especial rellenando el formulario disponible en www.revistasic.com
08_ARTICULOESTELAR con telvent.i71 71
03/09/2015 14:11:20
El mercado corporativo de servicios de ciberseguridad gestionada no parará de crecer durante el próximo lustro
La analítica avanzada y la sectorización definirán
a los MSSPs 2.0 que reinen en un negocio
pendiente de regulación específica
La proliferación de ciberamenazas cada vez más complejas, la dificultad de las organizaciones de contar con centros y equipos de expertos propios, completos y sostenibles para hacerlas frente y la diversidad de los entornos
informáticos, de red y dispositivos en los que se desarrollan los negocios y actividades han acelerado durante
estos años la adopción de servicios de ciberseguridad gestionada por terceros. Este aumento de la demanda de
este tipo de externalización, con previsiones de crecimientos anuales en torno al 20%, no solo ha conllevado un
incremento en el número de proveedores, sino también en su tipología, desde aquellos que prestan desde Centros
de Operaciones de Ciberseguridad únicamente servicios generales básicos o parciales, a los que, una ver cubiertos
estos servicios básicos por el mercado, se centran en los de nuevo cuño, definidos por la correlación avanzada,
el análisis de inteligencia y la prospectiva como piezas clave, o los que lo aplican a ámbitos específicos, como los
entornos industriales y las infraestructuras críticas, o la lucha contra el fraude en sus diversas manifestaciones. Y
todo ello, al menos en España, a la espera de un reglamento (el que se prevé en la Ley de Seguridad Privada) que
defina los actores de un mercado en el que aún queda mucho por hacer… y por repartir.
Cuando un mercado considerado maduro experimenta
una nueva evolución que ha de
catapultarlo a una mayor previsión de ingresos, cabe preguntarse el por qué de tal suceso
y evaluar aspectos como su
posición con respecto a otros
segmentos de negocio, principales actores que conforman
y protagonizan tal impulso o
nuevas tecnologías que hacen
un panorama a todas luces halagüeño para quienes desembarquen en él con garantías y
una buena proposición.
Los servicios de ciberseguridad gestionada se han venido
ofreciendo durante una década. De un modo u otro, la gestión de la navegación web, del
servicio de correo electrónico
o el análisis antivirus ya se han
convertido en productos sumamente solicitados por las empresas, llevando a los proveedores (MSSPs – Managed Security Service Provider) a conformar una oferta consolidada
sobre esa creciente demanda
e incluso proporcionándoselos
72
08_ARTICULOESTELAR con telvent.i72 72
SOC de Accenture
SOC de BT
SOC de Deloitte
a los clientes como parte de
servicios globales.
Sin embargo, la evolución mencionada no llega
por un repunte de estos servicios, sino por la aparición
de otros más avanzados que
por diversas razones están
experimentando tal auge
que ha llevado a numerosas
organizaciones a sumarse a
este mercado con una oferta más o menos cuidada y
diferencial.
Estos servicios, que para
la consultora Frost & Sullivan son los relacionados
con la inteligencia frente a
amenazas, la investigación,
la detección y el remedio,
están creciendo el doble, por
ejemplo, que la gestión y
monitorización de elementos
de seguridad. No obstante,
también es cierto que, hasta
la fecha, las soluciones más
estándarizadas representan
aproximadamente el 80%
de la cifra de negocio total
en la región EMEA (Europa,
Oriente Medio y África).
SEPTIEMBRE 2015 / Nº116 /
SiC
03/09/2015 14:11:28
Eso sí, numerosos proveedores están creando grupos de
especialistas capaces de analizar vulnerabilidades y peligros,
correlacionar eventos, comparar alertas e intervenir una vez
que se presenta el ataque. Esto
hace que todo esté encaminado hacia una seguridad basada
en la correlación avanzada, el
análisis de grandes cantidades
de datos (big data), que son
esenciales en la prevención,
detección y respuesta.
Tendencia imparable
La prestación de servicios
de ciberseguridad no parará de
crecer en los próximos años y
las causas podrían tildarse de
obvias. Por ejemplo, para ABI
Research, el motivo principal
de este crecimiento radica en
que la implementación y la
gestión de un programa de
seguridad exitoso dentro de
una empresa se ha convertido
en un asunto complejo, dado
que la mayoría de las organizaciones carece de la experiencia
necesaria para gestionar soluciones de seguridad TIC de una
amplia variedad de proveedores.
A este factor se une el hecho de que se sufre un continuo incremento de las amenazas y de la perpetración de
“ciberdelitos”, la necesidad de
cumplir con las regulaciones,
estándares y leyes de protección de datos (incluidos los
personales), la escasez de expertos en ciberseguridad y la
constricción de los presupuestos de TI.
Por su parte, Gartner también señala cuatro factores de
crecimiento, en línea con los
que se acaban de citar:
• Menores presupuestos y
personal especializado.
• Adopción de tecnologías
de seguridad y herramientas
analíticas para prevenir, identificar y responder a ataques
SiC
/ Nº116 / SEPTIEMBRE 2015
08_ARTICULOESTELAR con telvent.i73 73
El mercado de MSSPs en España
Nuestro país ha sido pionero en la provisión de algunos servicios específicos
de seguridad TIC gestionada desde
SOC (principalmente básicos de red),
un mercado que se inició hace bastante
más de una década de la mano de
compañías como
la española GMV
Soluciones Globales Internet, SIA,
S21Sec (hoy en
manos del grupo
portugués Sonae) y
algo posteriormente Ecija y Telefónica. A ellos se fueron
sumando actores como Accenture, IBM,
Iecisa o Atos, que jugaban en el terreno
más general de la externalización total
o parcial de la función de TIC y que, por
tanto, prestaban a tenor de esta circunstancia atención a la ciberseguridad en el
marco de sus contratos.
Casi simultáneamente aparecieron otros
proveedores con SOC como Innotec
System (Grupo Entelgy), las antaño
competitivas Unitronics y Oesía, algunos
integradores clásicos de tecnologías que
ofrecían gestión de dispositivos de red,
ciertos fabricantes con línea de servicios,
como Symantec, y algún significado
mayorista cuya iniciativa para pymes no
prosperó.
Ya desde hace tiempo han entrado en
este mercado actores muy relevantes,
desde el gigante de servicios tecnológicos
Indra, la big four Deloitte –que cuenta
con ciberSOC en España–, HP Enterprise
Security Servicies y BT –ambas con SOC
en nuestro país integrados en sus redes
mundiales de SOCs–, hasta compañías
como la española S2 Grupo –pionera en
la ciberseguridad orientada a los entornos
industriales, aunque atienda también a
otros ámbitos más generales–, Telvent
–igualmente enfocada a los entornos industriales–, Mnemo –que intenta abrirse
camino en este segmento en el mercado ibérico–, Aiuken
–un proveedor muy
especializado que va
ganando mercado–,
MDtel o Prosegur
–que dispone de SOC,
aunque su estrategia
de penetración en el
mercado sea dubitativa–.
También otras empresas están sopesando
dar el paso y desembarcar al fin en este
mercado. Entre estos posibles new players no resulta difícil imaginar la llegada
de operadores competidores, decididos
a importar los exitosos y jugosos ‘savoir
faire’ de sus nodrizas británicas, francesas
y norteamericanas en estas materias. Con
todo no será tarea sencilla posicionarse
tras una miopía mercantil de lustros para
con el mercado español.
Sin duda, las bazas de sus estrategias
pasan por ofrecer los obligados servicios
básicos, pero realmente hacer hincapié
en otros muy exclusivos y completamente
sectorizados, a la espera de que el crecimiento en el uso de la nube y cambios en
la legislación pueda ampliar el caladero de
clientes. Mientras tanto, los proveedores
de proveedores de MSSPs (correlación
avanzada, vigilancia digital e incluso
fabricantes de productos de seguridad
para red y nube…), estudian el impacto
en sus negocios de ir directamente o no
a proveer servicios al usuario final.
Principales MSSPs en España
A continuación se listan las principales compañías –españolas o que operan en
España– con centros de operaciones de seguridad y/o prestación de servicios de
seguridad gestionados, avanzados y a medida.
• Accenture
• BT
• Deloitte
• GMV
• HP
• IBM
• Indra
• Innotec System (Grupo Entelgy)
• Telvent
• Mnemo
• S2 Grupo
• S21Sec
• SIA
• Telefónica
73
03/09/2015 14:11:33
Principales servicios estándar que ofrecen los MSSPs
• Filtro de correo electrónico
• Antivirus en el puesto de trabajo
• Gestión de cortafuegos
• Firewall multifunción (UTM)
• Consultoría de cumplimiento, riesgo y gobierno
• Gestión de sistemas de protección/detección de intrusiones
(IDS)
• Anti DoS y DDoS
• Servicios de gestión de acceso e identidades
• Gestión de logs, monitorización y archivado
• SIEM
• WAF
• Inteligencia ante amenazas
• Detección y remediación de APTs
• Monitorización de aplicaciones web
• Gateways (mensajes y tráfico web)
• Pentesting
avanzados.
• Incremento en la adopción de servicios basados en la
nube.
• Evolución de los informes
de cumplimiento de regulaciones.
Todo ello ha llevado a que
las compañías opten por sis-
temas de seguridad TIC integrales, una constante que se
está reflejando incluso en el
ámbito de los consumidores
y del sector público. Es más,
organismos gubernamentales
de nuestro país como el CCN
CERT ya recomiendan optar
por protección avanzada, así
como por aumentar la capacidad de vigilancia con equipos
externos de ciberseguridad.
El resultado de este incesante movimiento no se está
haciendo esperar y la tendencia alcista actual tendrá continuación los próximos años, a
tenor de lo que prevén algunas
de las principales consultoras a
nivel mundial. Por ejemplo, la
mentada ABI Research estima
que el mercado mundial de servicios de seguridad gestionada
tendrá un valor de 15.400 millones de dólares a finales del
presente año, llegando a alcanzar los 32.900 millones en
el año 2020.
Por su parte, Infonetics Research apunta que el mercado de la seguridad gestionada
superará los 9.000 millones
de dólares en 2017; mientras
que la anteriormente citada
Frost & Sullivan predice que el
mercado de MSSPs en la región
EMEA moverá 5.000 millones
de dólares en 2018. Asimis-
Mercado Financiero
Al igual que en el resto de sectores, las empresas financieras
están optando por servicios de ciberseguridad atendiendo a las mismas razones: la sofisticación creciente de las
amenazas, la necesidad de reducir los costes y la falta de
personal experto.
Sin embargo, la particular idiosincrasia de este segmento de mercado conlleva un factor clave para una correcta
relación entre el MSSP y el cliente:
los riesgos adicionales a que se ven
expuestas las instituciones financieras
cuando optan por servicios externalizados.
De acuerdo con el Consejo Federal de Instituciones
Financieras de Estados Unidos (FFIEC), en su Manual
de Sistemas de Información – Apéndice de Servicios de
Seguridad Gestionada, una gestión exitosa en este campo ha de incluir un contrato con un acuerdo mutuo de
SLAs, así como estrategias para asegurar la transparencia
(comunicación regular entre la institución y el MSSP en
materias como el cambio de control, la resolución de problemas, las evaluaciones de amenazas; y descripciones de
procesos para controles físicos y lógicos de los datos de la
institución financiera). A esto hay que añadir una revisión
periódica de los procesos del MSSP, la infraestructura y
74
08_ARTICULOESTELAR con telvent.i74 74
el entorno de control.
En dicho documento, el FFIEC asume como clave la evaluación de riesgo en los sistemas de información, las aplicaciones y los datos más críticos, de modo que los procesos
han de estar mucho más controlados que en cualquier
otro tipo de organización. Asimismo, la
infraestructura de seguridad de la información ha de contar con herramientas
para el control y la gestión de accesos,
la protección contra malware, el manejo de datos y medios, el desarrollo
de aplicaciones e integración de sistemas, la continuidad
del negocio y la recuperación ante desastres, así como la
gestión de la respuesta frente a incidentes.
Y por supuesto, las obligaciones deben quedar bien definidas en el contrato, que debería incluir: responsabilidades
explícitas de MSSP y la propia institución financiera en
cuanto a servicios proporcionados y tiempos de implementación; derecho a modificar los servicios existentes, tipo y
frecuencia del reporte disponible, actividades a las que el
MSSP puede conducir cuando está operando una red de un
cliente, pertenencia de los datos generados por la seguridad de los propietarios y por la monitorización de terceras
partes, y derechos de acceso garantizados al MSSP.
SEPTIEMBRE 2015 / Nº116 /
SiC
03/09/2015 14:11:35
mo, prevé que estos servicios
conseguirán 3.500 millones de
dólares en ese mismo año en
Norteamérica.
Research and Markets,
en cambio, asegura que este
segmento subirá desde los
14.300 millones de dólares de
2014 hasta los 31.900 millones
en 2019, con un crecimiento
anual del 17,3%.
Finalmente, también de cara
a 2018, Gartner considera que
más de la mitad de las organizaciones utilizarán servicios
de seguridad especializada en
protección de datos, gestión
del riesgo en la seguridad y
gestión de infraestructuras de
seguridad. Además, desvela
que en 2015 un 10% de las capacidades de protección para
grandes empresas estarán en
la nube, siendo del 30% si se
habla de pequeña y mediana
empresa.
pecto de la ciberseguridad; y
flexibilidad, ya que es más sencillo adaptar un servicio externalizado ampliando su alcance,
funcionalidad, incrementando
la capacidad, etc., que reorganizar la propia empresa.
Eso sí, esta empresa pública
estatal también se refiere a los
SOC de GMV
Ventajas… y
desventajas
Como se ha señalado, las
causas de la mayor oferta y
demanda de servicios de seguridad externalizados son diversas, tantas como las ventajas
que pueden suponer para el
usuario su contratación.
En este punto, el propio INCIBE (Instituto Nacional de Ciberseguridad) pone nombre a
esas ventajas. Y es que, además
de que los servicios de gestión
de la ciberseguridad son claves
de cara a afrontar los requerimientos regulatorios y de cumplimiento (compliance), aportan
especialización y calidad, una
clara reducción de costes (no
existe necesidad de invertir en
software, hardware o recursos
humanos, ni en llevar a cabo
una constante actualización de
los productos instalados), un
menor impacto por la obsolescencia; una mayor atención a
los procesos de negocio, pues
no se pierde tiempo en el as-
SiC
/ Nº116 / SEPTIEMBRE 2015
08_ARTICULOESTELAR con telvent.i75 75
SOC de HP
inconvenientes de subcontratar
servicios de ciberseguridad, entre los que destacan aspectos
nada triviales: dependencia de
terceros que puede tener implicaciones negativas desde el
punto de vista de la seguridad
de la información; acceso de
estos a la información corporativa, y poner el know-how
en manos del proveedor.
En estos casos, durante
la provisión del servicio
se genera conocimiento.
Si se externaliza la prestación del servicio de ciberseguridad se corre el
riesgo de perder dicho
conocimiento e incluso
de que salgan a la luz vulnerabilidades de los sistemas de información. Hay
que tener en cuenta que
la subcontratación conlleva el acceso de terceros a
la información de la empresa, por lo que hay que
protegerla de accesos o
tratamientos no adecuados, al tiempo que han
de adoptarse las medidas
de seguridad que marca
la LOPD y otras legislaciones generales y sectoriales
concernidas.
Proveedores de toda
condición
SOC de Indra
SOC de Innotec System (Grupo Entelgy)
Así pues, teniendo en
cuenta el hecho de que
la mayoría de las empresas ya no puede defender
solas con garantías sus
infraestructuras y su información por razones de
eficiencia y rentabilidad y
de que la externalización
de la ciberseguridad se ha
convertido en un elemento común, se está viviendo una cierta proliferación
de la oferta que ha llevado a la aparición de numerosos proveedores de
servicio, los cuales se han
sumado a esta tendencia,
75
03/09/2015 14:11:37
Seguridad como servicio en la nube
Una de las variantes dentro de los servicios
gestionados de ciberseguridad que está despertando un mayor interés y, por lo tanto, mayores
crecimientos, es su modalidad como servicio
en la nube.
Y aunque no está claro qué porcentaje de estos
servicios cloud serán ofrecidos por MSSPs, Gartner tiene muy claro que la seguridad en la nube
se está expandiendo hacia la forensía de la red,
la detección de fraude y APTs. Es más, según
una encuesta que esta consultora ha llevado a
cabo, el 70% de los que respondieron a la misma tiene un gran interés en la ciberseguridad
cloud, mientras que un 37% está interesado en
aumentar la inversión por encima del 10%.
Esto hará que la seguridad como servicio cloud crezca durante los próximos cuatro
años, aumentando el tipo de servicios que se ofrecerán a todo tipo de empresas:
desde la seguridad del correo electrónico y de la pasarela web, la gestión de identidades y accesos, o SIEM (gestión de eventos e información de seguridad), hasta
la gestión de intrusiones, el cifrado, la recuperación ante desastres, la continuidad
del negocio y la seguridad de red.
Gestión de accesos e identidades como servicio
La identificación, la verificación de credenciales
y la gestión de las identidades y de los accesos
se han convertido en herramientas esenciales
para evitar la pérdida de oportunidades, el
incumplimiento de normas o una exposición a
riesgos no controlada. La necesidad de contar
con sistemas de gestión de identidades (IaM)
bien construidos, flexibles y adaptables es una
realidad de mercado que tiene su reflejo en el
aumento de la demanda de servicios que los
proporcionen.
De acuerdo con un reciente informe publicado
por Gartner, las compañías dedicadas a IDaaS
(gestión de identidad y acceso como servicio)
ofrecen un servicio basado en la nube en un modelo multitenant, dedicado y alojado que se centra en IGA (administración y gobernanza de identidades), funciones
de acceso e inteligencia para sistemas concretos tanto en la nube como en los
sistemas del usuario. Se trata de un mercado que está en sus primeros días y que
se ha incrementado debido al aumento de la competitividad entre lo proveedores
de PaaS (Plataforma como servicio).
En este sentido, los proveedores de IDaaS pueden crear conexiones con los de SaaS
(Software como Servicio) para propuestas de autenticación, entrada única (SSOsingle sign-on) y gestión de cuentas. Además pueden construir puentes entre la
identidad on-premise de los clientes y los servicios de autenticación.
Gartner también estima que en 2014 este mercado movió 260 millones de euros
y prevé que termine 2015 con 367 millones. Además, considera que los proveedores proporcionan una mayor ciberseguridad para servicios de IAM que la que los
propios clientes podrían tener por sí mismos.
76
08_ARTICULOESTELAR con telvent.i76 76
detectándola como la más provechosa y, en parte, como el
único camino para seguir evolucionando en un mercado que
cada día se ha de enfrentar a
nuevos retos.
Pero no todos han cruzado
las –cada vez más– amplias
puertas que llevan a la condición de MSSP del mismo modo.
Las capacidades, la experiencia,
la situación geográfica e incluso la naturaleza de los servicios
que prestan les diferencian,
puesto que no es lo mismo
una operadora con presencia
internacional y propietaria de
infraestructura de red, que un
integrador que haya aunado
las tecnologías de algunos fabricantes para ofrecer servicios
a su cartera de clientes o una
big four.
Por lo tanto, se antoja casi
necesaria una división que
ayude a las empresas, como
potenciales clientes que son,
a optar por aquellos servicios
que realmente necesitan. Al
observar las diferenciaciones
que realizan algunas consultoras internacionales, la opción
de Gartner pasa por dividir a
los MSSPs de un modo muy
genérico, al catalogarlos como
“jugadores puros”, integradores de sistemas y operadores
y proveedores de servicios de
red.
Sobre los “jugadores puros”, la consultora apunta que
suelen ser pequeños y completamente enfocados en los
servicios de seguridad, incluso
únicamente en mercados verticales, en el cumplimiento de
regulaciones o en amenazas
avanzadas. Por su tamaño, muchos de ellos son susceptibles
de ser adquiridos por compañías mayores, que buscan la
capacidad y especialización de
este tipo de proveedores.
Respecto a los integradores
de sistemas u outsoucers de
procesos de negocio, se caracterizan por gestionar disposi-
SEPTIEMBRE 2015 / Nº116 /
SiC
03/09/2015 14:11:43
SOC de Mnemo
SOC de S21sec
tivos de seguridad como parte
de una oferta mayor, de ahí
que tiendan a adquirir “jugadores puros”.
Finalmente, los operadores
y proveedores de servicios de
red gestionan productos de seguridad de red y habitualmente
proporcionan monitorización
remota y servicios basados en
la nube.
Forrester, en cambio, divide a los proveedores por su
tamaño, aunque le presta mayor atención a los emergentes, es decir, a aquellos que se
caracterizan por ofrecer unas
capacidades tecnológicas de
seguridad competentes, unos
precios efectivos, un excelente
servicio al cliente, una plantilla
experimentada y flexibilidad.
No obstante, las divisiones
que estas dos compañías realizan están simplifi cadas si se
tienen en cuenta las diversas
naturalezas de los proveedores
de servicios gestionados de ciberseguridad que pueblan actualmente el mercado y que,
con toda certeza, seguirán
SiC
/ Nº116 / SEPTIEMBRE 2015
08_ARTICULOESTELAR con telvent.i77 77
SOC de S2 Grupo
SOC de SIA
Nubes públicas y sus políticas de seguridad
Forrester analizó durante el último
trimestre del pasado 2014 un mercado que afecta directamente al tema
que aquí se trata: los servicios de
plataforma cloud, cuyo crecimiento
en el mercado está siendo imparable y
que, al ser servicios en la nube, han de
contar con unos mínimos (o máximos)
requisitos de seguridad.
En el estudio, Forrester entra de lleno en las medidas de protección que compañías como IBM, Amazon o
Microsoft proporcionan en sus respectivas plataformas y que, como es
evidente, podrían restar negocio a proveedores de seguridad en la nube
que estén centrados en las áreas más básicas.
La primera conclusión a la que la consultora llega es que estas plataformas
ofrecen seguridad física y lógica efectivas, aunque también es cierto que
de trece compañías a las que invitó a formar parte, sólo cuatro aceptaron
el reto. Esto podría deberse a dos razones: la certeza de que si se habla
sobre su ciberseguridad, se abren las puertas a más ataques o simplemente
por una falta de confianza en sus controles.
En el estudio, Forrester evalúa las aproximaciones de los proveedores al
control de acceso (soluciones IAM de terceros, Directorio Activo, seguridad en el entorno de computación, seguridad física del centro de datos,
seguridad efectiva en la red, certificaciones y soporte profesional).
77
03/09/2015 14:11:48
haciéndolo los próximos años.
Operadores de telecomunicaciones, fabricantes de TIC que
han decidido ofrecer servicios,
integradores clásicos que aumentan su cartera de soluciones para afrontar una realidad
de la que podrían quedarse
fuera en caso de seguir optando por ofrecer únicamente
productos ligados a proyecto,
proveedores de tecnología de
correlación, análisis e inteligencia en la nube, proveedores
tradicionales de servicios de TI
que han ampliado su oferta
tradicional –en la que solían
ofrecer una parte integrada
de seguridad en red–, proveedores que ponen servicios (de
marca blanca) a disposición de
los demás MSSPs…
La tipología es, por lo tanto,
abundante y recoge muy diferentes idiosincrasias, a lo que
hay que añadir la diversidad
de los servicios que se prestan: desde los más típicos de
protección del perímetro, del
correo-e o del tráfico en Internet, hasta los de inteligencia
frente a amenazas avanzadas.
Las opciones son muy numerosas y variadas. Pero ¿hacia
Servicios de ciberseguridad industrial
Aunque, tal y como sucede con el mercado dedicado a la seguridad de sistemas industriales,
aún hay mucho terreno que recorrer, los servicios
de ciberseguridad industrial tienen ante sí un
amplio campo que abonar.
Por ello, el Centro de Ciberseguridad Industrial (CCI) ha publicado recientemente
el “Catálogo de Proveedores de Servicios y
Soluciones de Ciberseguridad Industrial”, en el
que recoge un completo inventario que refleja
la creciente oferta existente, organizándola en
diez categorías de servicios (Análisis e investigación de mercado, Concienciación, Formación,
Técnico, Consultoría, Auditoría, Certificación, CERT, SOC e Inteligencia) y ocho de
soluciones (Control de acceso, Cumplimiento, Monitorización de red, Monitorización de sistemas, Protección de red, Protección de sistemas, Ciberresiliencia y
Protección Integral).
Por otra parte, dentro de los sistemas industriales se hallan la mayoría de las
infraestructuras críticas, es decir, aquellas que proporcionan servicios esenciales
y cuyo funcionamiento según la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas (LPIC) “es
indispensable y no permite soluciones alternativas, por lo que su perturbación o
destrucción tendría un grave impacto sobre los servicios esenciales”.
Por lo tanto, los proveedores que proporcionan servicios de ciberseguridad a los
operadores críticos, han de atenerse a unos requisitos y unas necesidades que
conllevan una formación y una capacitación diferenciadas del resto. De ahí que
la propia ENISA (European Union Agency for Network and Information Security) publicara un informe en el que ofrecía recomendaciones para el desarrollo
de programas de certificación de las aptitudes de los expertos que trabajan en
Sistemas de Control Industrial (ICS) y en Sistemas de Supervisión para el Control
y la Obtención de Datos (SCADA) en Europa. Esto se debe a que en la actualidad,
los conocimientos sobre los programas de certificación disponibles son limitados,
lo cual conlleva un número reducido de profesionales cualificados.
78
08_ARTICULOESTELAR con telvent.i78 78
dónde ha de encaminarse un
MSSP si desea acaparar buena
parte del pastel que se presupone para los próximos años?
¿Cómo diferenciarse en un
mercado donde la oferta se ha
multiplicado ante las necesidades del tejido empresarial?
¿Qué debe exigir el cliente
como una correcta prestación
de servicios de ciberseguridad?
¿Están todos los proveedores
preparados para atender las
peticiones de una organización
que pone en sus manos información vital para el negocio
siendo competitivo también en
la relación calidad/precio?
A ello se viene a sumar el
estudio, sin necesidad de salir de España, de una futura
y polémica regulación de los
proveedores de servicios de ciberseguridad gestionada que
siente las bases en las que los
actores de un mercado creciente (y cada vez más global),
ofrece servicios en los que se
manejan datos críticos tanto
de compañías como de personas, y que tienen interés para
las investigaciones estatales de
presuntos ciberdelitos.
Precisamente, uno de los
asuntos más problemáticos al
que se enfrentan y enfrentarán los MSSPs habrá de estar
presente en el texto que se
promulgue. Se trata de la regulación de la actividad de los
analistas que tienen acceso a
información “delicada” y que
posteriormente pueden fichar
por otras empresas, llevándose inevitablemente un conocimiento muy preciso de datos
críticos de terceros.
Hacia el MSSP 2.0
En este escenario y atendiendo a lo que apuntan los
analistas, las grandes compañías están buscando lo que se
ha venido a denominar como
MSSP 2.0, es decir, un proveedor que ofrezca un conjunto
SEPTIEMBRE 2015 / Nº116 /
SiC
03/09/2015 14:11:54
de servicios capaces de afrontar las amenazas y el constante flujo de ataques (de mayor
o menor importancia) que la
mayoría de organizaciones sufre cada día –buena parte de
ellos sin siquiera percatarse–.
Por ello es necesario que dicho proveedor desarrolle conocimientos, que sea capaz
de recolectar información de
atacantes, métodos y motivos,
que utilice analítica avanzada
y que proporcione capacidades de protección y detección
adaptativas. Es decir, que sume
inteligencia a sus servicios tradicionales.
Y es que, la inteligencia y el
análisis comienzan a antojarse
esenciales para proporcionar el
conjunto de servicios más completo o, al menos, aquel que
pueda afrontar un tipo de amenazas que se multiplica y que,
a fin de cuentas, está moviendo al sector. Los analistas se
refieren a una visión holística,
con servicios complementarios,
inteligencia frente a amenazas
y el desarrollo de talento humano para ofrecer seguridad
preventiva y proactiva y en un
entorno multilegislativo.
En relación con esta visión,
una constante que está observándose en los MSSPs más
avanzados, según IDC, es la
combinación de servicios con
SOCs. En esa idea abundan
en ABI Research, para quienes
dichos SOCs, aunque no son
requeridos, añaden valor a la
proposición del proveedor porque suman no solo un centro
de investigación, sino laboratorios de desarrollo y profesionales de la seguridad enfocados únicamente en soluciones
contra amenazas. Este aspecto
ayuda en la citada inteligencia
de seguridad y en soluciones
analíticas, así como en la creación de automatismos frente a
ataques, lo que, a la postre, supone una ventaja competitiva
para el MSSP.
SiC
/ Nº116 / SEPTIEMBRE 2015
08_ARTICULOESTELAR con telvent.i79 79
No obstante, aún queda camino por recorrer, pues, como
se ha apuntado con anterioridad, la especialización en servicios de nicho o que responden
a necesidades muy puntuales
podría ocupar un espectro de
negocio que ofrecería importantes beneficios a quienes la
ofrecieran. Y será la capacidad
de diferenciarse la que lleve
a unos proveedores a salir airosos frente a competidores
menos preparados o que no
sepan interpretar un mercado
durante los dos próximos años
serán las de IAM (gestión de
accesos e identidades), gestión
de eventos y seguridad de la
información (SIEM) y monitorización de la seguridad. Claro
que al referirse al tipo de MSSP
que va a conseguir un mayor
negocio, en esta entidad analista se decantan por los que
ofrecen seguridad como servicio en modo “hosteado”, pues
supondrá la mayor oportunidad de crecimiento en el mercado en los próximos años.
Global vs. local
SOC de Telefónica
SOC de Telvent
que se mueve a una velocidad
vertiginosa ante la constante
actividad delictiva.
Como se ha señalado, esa
diferenciación se basa en capacidades, que van desde la
oferta de avanzados modelos
de entrega de soluciones de
software y hardware como
servicio, hasta la reventa de
servicios de marca blanca, pasando por un catálogo extenso
o basado en alguna tecnología
concreta. Eso sí, según ABI Research, conviene precisar que
las áreas de mayor crecimiento
Finalmente, cabe reseñar que el factor geográfico también será un
aspecto a tener en cuenta
para los proveedores, tanto en lo que se refi ere al
área geográfica en la que
se enfoquen, como, precisamente, en el hecho de
tener presencia local que
asegure una mejor comprensión de las necesidades de sus clientes y de la
reglamentación de cada
zona.
Respecto a geografías,
el mercado norteamericano será el que aporte mayores beneficios, seguido
por Europa, aunque se
prevé crecimiento en Asia
Pacífico, Latinoamérica y
Oriente Medio y África. Asimismo, en el ámbito europeo,
la adopción de servicios de alta
gama será rápida en los países
nórdicos
En cuanto al segundo factor
citado, Frost & Sullivan asegura que la presencia física en el
país es un elemento diferenciador, ya que señala que tener
una presencia global no siempre es una ventaja en la región
EMEA. Es más, muchos de los
proveedores radicados en estos
países destacan su nula afiliación con Estados Unidos como
ventaja competitiva. ■ SIC
79
03/09/2015 14:11:56
Situación y evolución de los servicios gestionados
de ciberseguridad: hacia el 3.0 y más allá…
La evolución del mundo a digital y la entrada en escena de la Cloud, la Internet Of Things (IoT), las aplicaciones móviles
y el Big Data, entre otros, exigen a los proveedores de programas y servicios de seguridad una evolución urgente. Es la
nueva ciberseguridad 3.0, servicios sin fronteras digitales ni geográficas, sin perímetro a ‘securizar’ y
con alcance en todos los ámbitos tecnológicos y analógicos, una evolución que muchos usuarios (CSO y
CISOs) no han sabido ver aún. De la evolución de los servicios 1.0 a la ciberseguridad 3.0, este artículo
recorre los tipos de servicios y las características que deben tener para anticipar y proveer soluciones
eficaces en los nuevos entornos.
Juan Miguel Velasco
SERVICIOS DE GENERACIÓN
1.0: DE LA MEDIOCRIDAD AL
TAXÍMETRO
mente o no...
Estos servicios de outsourcing no son
Seguridad Gestionada, y si bien su precio puede ser competitivo, sólo ofrecen
manos de operación al Cliente para administrar sin un gobierno de la seguridad, ni preocuparse de la estrategia de
Ciberseguridad, ni políticas, ni POS en
producción –en resumen, sin Seguridad
Gestionada–, y para nada implementan
una buena política de mejora continua
(PADC). Son servicios que tienen todos
los grandes proveedores de TI, Integra-
personalizado a el/los Clientes. En la Figura 1 se pueden observar los elementos
de plataforma de proveedor de servicios
de seguridad comunes que se deberían
Después de casi más de 25 años en TI
contar como base mínima; estos elemeny los últimos 17 en Seguridad en Grandes
tos son esenciales para proveer como el
Corporaciones, se hace uno a la idea de
conocimiento compartido y una platacómo está el panorama de los servicios
forma de gestión. Sin ellos es imposible
gestionados. En la actualidad “disfrutaproveer una gestión de seguridad, que
mos” de una suerte de proveedores de
no una administración de los sistemas de
“seguridad gestionada”, donde desaforseguridad.
tunadamente la mayoría de ellos son
La diferencia es muy muy relevante,
realmente empresas de body-shopping
ya que un buen proveedor de Servicios
como decimos aquí, bastante
Gestionados de Seguridad
mal dicho por cierto, ya que
debe cumplir unos mínimos
es un vocablo con el que uno
para poder denominarse así,
debe ser cuidadoso y no usar
que al menos son:
nunca en EE.UU. o Reino Uni1. Debe soportar TODAS las
do, porque tiene otras connotecnologías de seguridad que
taciones más relacionadas con
tenga el cliente.
la trata de personas que con
2. Debe respetar la libertad
las TI, aunque me temo que
del Cliente de elegir las tecnomuchas veces es fiel reflejo de
logías de seguridad que decila realidad del servicio que desda según sus propios criterios
cribe...
(presupuesto, fiabilidad, cercaEn definitiva la mayor parte
nía, etc.).
de proveedores grandes, con
3. Debe ser proactivo en la
grandes nombres y enormes
gestión, crítico y analítico en
capacidades sobre el papel,
la administración (no vale con
juntan de aquella manera técaplicar las reglas que te indinicos dispares, bastante poco
quen sin control ni raciocinio).
formados, para que vayan al
4. Debe conocer el entorno
cliente a “administrar” seguri- Figura 1.- Ejemplo de servicios de seguridad de un proveedor MSSP básico 1.0
y disponer de información de
dad, y muchas veces no sabevulnerabilidades y del contexto
mos si es técnicamente o en la acepción
de las tecnologías gestionadas de forma
dores, proveedores de TeleComunicaciode Clint Eastwood, de la muerte tenía un
aislada y en su conjunto.
nes y consultoría o auditoría. Pero, ¿son
precio, para ajusticiar los sistemas y pla5. Debe disponer de herramientas
servicios? En realidad son proyectos detaformas.
propias de gestión, monitorización y addicados, muy bien armados, y que basan
Eso, apreciado lector, no es gestionar
ministración.
su eficacia y éxito en las personas que se
la seguridad, es lucrarse con la adminisA los proveedores que mezclan servidediquen a él, en muchos casos recomentración de sistemas de seguridad con elecios de body-shopping con administradadas o subcontratadas por indicación
gancia y con mucha suerte de no tener
ción de TI, los denominaremos Proveedel propio cliente.
incidentes, ya que al no gestionar la sedores 1.0. Estos proveedores 1.0 ofrecen
La realidad es que un servicio, como
guridad, se intenta que no haya ataques
su paquete básico de servicios (ver Figura
su definición de R.A.E. indica, es algo coo que nadie rompa nada intencionada2), que son siempre de relación directa
mún, replicable, escalable y orientado o
80
08_ARTICULOESTELAR con telvent.i80 80
SEPTIEMBRE 2015 / Nº116 /
SiC
03/09/2015 14:11:59
con la administración TI. Como se apreciberseguridad de el/los Clientes.
cia en el gráfico 2, tenemos la gestión
Ese es el futuro de ese taxi y de la Ciy administración de cualquier elemento
berseguridad 1.0, avanzar hasta ser consde seguridad: FW gestionado, IPS gestiocientes que servicio no es “guiar un auto
nado, Proxy gestionado, etc. Realmente
por la carretera” y reaccionar a lo que
no mienten al decir que son proveedoocurra, sino planificar, prevenir, conocer
res de Seguridad Gestionada, porque lo
y anticipar. Eso es la Seguridad Gestionaque hacen es gestionar, que en el argot
da que necesitan los clientes hoy y para
del SOC 1.0 es que las cosas funcionen,
mañana.
no den ruido y no se caigan;
eso sí, si existen 20 reglas en
el firewall con ANY ANY *.*
eso es cosa del Cliente o de
otros, porque ellos gestionar
gestionan, lo que no dejan de
ser servicios de operador nivel
1 ilustrado, algo así como un
robot administrador. Lo que
aportan es bajo coste para el
Cliente, en modo OPEX (gasto), que normalmente ayuda
a mejorar la cuenta de resultados. Cuando hay un incidente,
lo cual es inevitable, se ponen
en modo taxi y se disparan
las horas extras y acciones de
apaga-fuegos exprés, con un
importante impacto de precio Figura 2.- Ejemplo de servicios de seguridad avanzados MSSP 2.0
para el Cliente afectado, ya que
No es de extrañar que muchos clientes
suelen ser incidentes, como suelen decir,
aún tengan miedo de subir al taxi (pasan
“fuera de línea base contratada”.
más miedo que en su coche propio), es
Esto nos ha llevado de la mediocridad
decir, que no quieran externalizar o apode los inicios de hace 10 ó 12 años, en
yar una parte de sus servicios en externos,
los que la administración de seguridad se
ya que no ven que el “taxi” les aporte
separaba de la administración de sistemas
nada, y además no siguen las pautas de
con apenas unas políticas y procedimienconducción que ellos quieren, y es importos iniciales, al modelo taxímetro en el que
tante guiar al Cliente, pero mucho más
los proveedores de seguridad cobran por
escucharle y darle el servicio para que
personas, dispositivos y años, igual que
se sienta cómodo con él. Por no decir,
un taxista que te lleva de Aluche a Plaademás, que los precios muchas veces no
za de Castilla sin más que conducir, sin
invitan a usar servicios, sino a usar el propreocuparse del trayecto, elementos de la
pio vehículo, ya que la seguridad implica
ruta, datos previos de conducción, tráfico
tres parámetros íntimamente unidos, las
o incidentes, así como el conocimiento
tres Cs (CCC): confidencialidad, confianza
del pasajero. Además muchos integradoy coste, pero definitivamente si avanzares están más preocupados por vender los
mos del taxi a un servicio de más valor
amortiguadores y las ruedas que el serviveremos las ventajas de la CiberSeguridad
cio de transporte del taxi en sí, es decir, se
2.0, habremos llegado al siguiente nivel,
focalizan en una u otra tecnología sin anael 2.0, al avión.
lizar las necesidades del clientes, y la necesaria multitecnología y multicapa esencial
SERVICIOS DE GENERACIÓN 2.0:
en la elaboración de una buena estrategia
DEL TAXI AL AVIÓN
de seguridad, basada en redundancia y segregación de riesgos y funciones.
Las opciones de proveedores de seCaracterizan estos servicios el despreguridad en nuestro mercado no son sólo
cio absoluto por la innovación o la mejoopciones mediocres de modelo “bodyra de nuevas tecnologías, son SOCs (SOC:
shopping”, ya que existen un grupo de
Centros de Operación de Seguridad) con
proveedores serios y pioneros, profesiocero nivel de innovación o mejora, no se
nales en nuestro mercado, que enfocan
plantean renovaciones de plataforma
la seguridad a nivel global, como un siso tecnología, ni existen laboratorios de
tema de inteligencia, anticipación y conoprueba y pre-producción para promover
cimiento. Estos proveedores que llamaremejoras y sugerencias en la estrategia de
SiC
/ Nº116 / SEPTIEMBRE 2015
08_ARTICULOESTELAR con telvent.i81 81
mos 2.0 avanzados ofrecen servicios de
CiberSeguridad 2.0. Vamos a ver cómo
lo hacen, y por qué esos servicios están a
años luz de sus colegas Ciber 1.0.
Igual que el taxi que sólo conoce el
destino y arranca y conduce, la Ciberseguridad 2.0. es más como el avión, que
conoce el destino pero planifica la ruta,
los elementos climatológicos (viento,
presión, nubes, lluvia, etc.), los
elementos del servicio como el
número de pasajeros, su criticidad, la mercancía, el peso de
la aeronave, y la combinación
de todos, y además mientras
va en ruta sigue ese análisis
continuo del contexto para
actuar y adelantarse a los elementos adversos (climatología, ruta, etc.).
Los proveedores de Servicios de Seguridad 2.0 CiberSeguridad se caracterizan por la
diferenciación en dos elementos claves: la estrategia y la
inteligencia.
CiberSeguridad 2.0 Estrategia. La estrategia en un
conjunto de elementos de anticipación relativos a la seguridad, que
deben complementar los servicios del catálogo de seguridad del proveedor. Una
buena estrategia debe incluir, al menos,
los siguientes elementos característicos
para reforzar los servicios de Seguridad:
1. Conocimiento continuo del mercado de fabricantes nacional y global.
2. Gestión de configuraciones y políticas compartida para todos los clientes
(nada de islas por cliente), y en el contexto más amplio del fabricante/s.
3. Laboratorio de innovación de plataformas de Clientes (pre-producción real)
4. Laboratorio de estrés tests y ciberejercicios de cada Cliente (democenter de
pruebas por cliente).
5. Network Knowledge Exchange
(FIRST, CERT Network, APWG, iSMS, EuroCloud, ISACA, etc) y foros de seguridad
Rooted, BlackHat, Navajas Negras, DefCon (hay que hablar inglés y ruso como
mínimo…).
6. Certificaciones de Terceros (de seguridad): 27.001, LEET Security, 25999,
etc.
7. Globalidad (SOC Multiterritorio conectado).
Desarrollaremos brevemente cada
punto para no alargarnos, que si no el
artículo dará para una serie y no es cuestión de aburrir.
En el punto 1, las relaciones globales con fabricantes locales, pruebas, de-
81
03/09/2015 14:12:04
mos, análisis de innovación, congresos y
ficación específica sobre la calidad del
maquetas son esenciales; en seguridad
proveedor de seguridad gestionada, su
TI y Seguridad Física todo conocimienexcelencia en la prestación de servicios de
to de innovación es poco siempre. Ser
seguridad y su solvencia y garantía en los
conservador es bueno en la ejecución y
servicios que ofrece. Estos nuevos actores
operación pero no en la estrategia y las
aparecen en el mercado para ayudar a
organizaciones están demasiado ocuparenovar las certificaciones y excelencia de
das para innovar, para eso nos pagan a
los proveedores de seguridad, y separar
los proveedores de seguridad, para ir por
los proveedores 1.0 de los 2.0. Informarse
delante siempre.
y analizarlo es muy recomendable, fresh
Los puntos 2 y 3 están unidos al 1
air que dicen los ingleses, un poco de aire
de forma que el Cliente tenga siempre
fresco en lo relativo a las certificaciones
un entorno de pruebas e innovación,
de MSSP y de SOCs, que exigen mucho
y pueda ver en el caso más
avanzado el impacto de esas
tecnologías y políticas en su
entorno como un avance en
el tiempo, igual que los sistemas predictivos de rutas aéreas, que dan la mejor ruta en
base a las condiciones climáticas estimadas para ser más
eficientes sin miedo a innovar
de forma controlada.
El punto 5 es un pilar básico para evaluar un servicio
local, ya que la conexión global es fundamental, las amenazas, los Z-Days, los rootkits,
botnets, etc. Son globales y la Figura 3.- De la carreta cuadrada por la NO innovación.
comunidad dark-side (oscura)
es cooperativa, por lo que hay que estar
más que un certificado de ser un CERT o
conectados a las redes de conocimiento
una ISO 27001.
nacionales e internacionales para comPor último, el punto 7 es algo manpartir, aprovechar y enriquecer el conodatorio para ser proveedor de servicios
cimiento de las amenazas.
2.0, ya que las oleadas de amenazas, ataLos fabricantes juegan un papel funques y vulnerabilidades se van generando
damental en este punto, ya que habitualcomo decimos en TI, following the sun,
mente hacen de introducción y mueven
alrededor del mundo y la ventaja compepartners y clientes entre regiones donde
titiva y de operación que ofrece el tener
exponen a sus mejores expertos y de
equipos y centros de servicios en 2 ó 3
terceros. Los fabricantes de vanguardia
continentes es la diferencia de tener el
y que quieren que sus productos sigan
100 % de los servicios down o tener sólo
siendo líderes mueven toda una serie
el 50%, porque una región lo sufre y adde expertos y retos a los hackers, para
vierte a la otra, así que la multiterritoriaprobar continuamente su hardware y
lidad es una característica que deben tesoftware y así diferenciarse del resto del
ner obligatoriamente los proveedores de
mercado.
CiberSeguridad 2.0. Lo debemos poner
El punto 6 es muy saludable porque
como un must-have para ser proveedor
obliga a la evolución, no basta con un
de servicios 2.0.
mero body shopping para estar up-toCiberSeguridad 2.0 Inteligencia.
date y certificarse. Más allá de las certiEsta cualidad de los servicios 2.0 se basa
ficaciones clásicas, como la ISO 27001,
en la anticipación, el conocimiento, la
que aplica en la fase de CiberSeguridad
experiencia y la infiltración. Es imposible
1.0, pero dice bastante poco de un prodar servicios avanzados sin cierto nivel
veedor de seguridad 2.0, ya que la 27001
de comunicación con el lado oscuro,
es demasiado dependiente del alcance y
bien porque cuentes con un Tiger-Team
de la forma de implementarse del evade primer nivel, bien porque cuentes con
luado. Por eso están surgiendo nuevos
las redes de contactos en el Deep-Internet
actores en el mundo de la certificación
para esa transferencia de conocimiento.
de proveedores de seguridad y seguridad
La inteligencia en los servicios viene
gestionada, como en el mercado nacional
definida por varios elementos, el primero
la compañía LEET que ofrece una certiel de atacar y probar tus propios servicios
82
08_ARTICULOESTELAR con telvent.i82 82
continuamente; el primer atacante y analizador de tus servicios debes ser tú mismo. Un buen proveedor 2.0 somete a sus
fabricantes, proveedores y arquitecturas a
análisis, crítica y ataque continuo, lo que
le provee de la inteligencia para prevenir
y anticipar los vectores de ataques antes
de que se les ocurran a los “malos”.
Adicionalmente la red de inteligencia es necesario crearla desde fuera de
forma anónima por lo que los llamados
Tiger-Teams de los equipos dotados de
consultores avanzados de seguridad,
interactúan con hackers, crackers y curiosos varios externos,
gente inquieta que enriquece
con su curiosidad y dedicación
a destacar como invasor el conocimiento de los centros de
servicios que lo que quieren es
adelantar esos conocimientos
a sus clientes para mejorar su
seguridad. La diversidad de
amenazas, su diversidad de
orígenes, los ataques dirigidos
y las APTs son elementos en los
que las características de inteligencia o CiberInteligencia del
proveedor 2.0 nos marcarán
la diferencia entre la defensa
proactiva o ser objetos de ataques sin siquiera saberlo. Como se recoge
en el documento del NIST (National Institute of Standards and Technology of
the United States of America), titulado
“Preliminary Cybersecurity Framework”,
en palabras del Subsecretario de Defensa
de EE.UU. (Feb. 2011): “It was our worst
fear: a rogue program operating silently
on our system, poised to deliver operation plans in to the hands of an enemy”.
(Nuestro peor temor: un programa malicioso (malware) operando silenciosamente en nuestro sistema, teledirigido para
llevar a cabo un plan de daños en manos
del enemigo).
Estas palabras del Secretario de Defensa estadounidense reflejan perfectamente la realidad de la transformación
de la CiberSeguridad en nuestros días y
el futuro: amenazas silenciosas diseñadas
y ejecutadas a medida contra nuestros
sistemas, diseñadas para esquivar nuestras barreras de seguridad perimetrales e
internas, de manera lenta pero firme.
Estas nuevas amenazas se utilizan
para el fraude, el robo de activos, el robo
de dinero, el sabotaje, el terrorismo y la
intrusión en la privacidad. Hay ejemplos
tales como:
1. Stuxnet (2010). Es el primer gusano conocido que espía y reprograma
sistemas industriales, en concreto siste-
SEPTIEMBRE 2015 / Nº116 /
SiC
03/09/2015 14:12:06
mas SCADA de control y monitorización
proyecto, frente a otros objetivos más
este nuevo entorno requiere de un nuevo
de procesos, pudiendo afectar a infraestipo de proveedor de seguridad y nuevos
normales para el negocio como el autructuras críticas como centrales nucleaservicios, además de un cambio fundamento de clientes, fidelización, aumento
res, refinerías, etc.
de mercados o crecimientos de negocio
mental en la mentalidad de los respon2. Flame (2012). Es un motor de
sables de seguridad de las empresas (CSO
en general.
malware derivado de Stuxnet. Flame pueo CISOS), la seguridad no se puede dar
La Ciberseguridad 3.0 nacida de este
de propagarse a otros sistemas a través
nuevo mundo ultradigitalizado, combina
de forma individual o aislada, hay que
de la red de área local (LAN) y mediante
usar recursos externos, bien de proveedo7 factores determinantes que lo definen
memorias USB. Puede grabar audio, capres, de fabricantes o de fuentes libres de
y nos dan las claves para sobrevivir en el
turas de pantalla, pulsaciones de teclado
nuevo ecosistema; son los siguientes:
terceros; es imposible ofrecer seguridad
y tráfico de red. El programa también
en una gran compañía en nuestros días
1. El elemento atacante es dinámigraba conversaciones de Skype y puecon recursos propios únicamente. Y ¿por
co y dispone de inteligencia, se adapta
de controlar el Bluetooth para intentar
qué? Veámoslo.
a las medidas de seguridad del cliente y
obtener información de los dispositivos
El mundo de la Ciberseguridad 3.0
a los cambios del entorno, para permaBluetooth cercanos. Estos datos, junto
necer oculto y operativo en el máximo
es un escenario nuevo que toda compacon los documentos
número de sistemas,
almacenados en el ordurante el máximo
denador, son enviados
tiempo posible.
a uno o varios servido2. Se combinan
res dispersos alrededor
elementos de natudel mundo. Cuando
raleza tecnológica
termina, el programa
dispar que interacse mantiene a la espera
túan autónomamenhasta que recibe nuevas
te y en tiempo real,
instrucciones de esos
como sistemas SCADA
servidores.
y sistemas industriales
3. Operación Au(navegación área, sisrora (2009 – 2010):
temas de control satéliconjunto de CiberAtate, drones, sistemas de
ques basados en APTs
conducción de coches),
a medida, emitidos
M2M e Internet Of
supuestamente desde
Things (IoT) millones
China contra grandes
de equipos comunicompañías americanas
cándose y actuando sin
como objetivo principal Figura 4.- Catálogo de Servicios de CiberSeguridad 2.0 Avanzado. Estructura de SOC 2.0
absolutamente ninguna
Google.
intervención humana y
4. Red October (octubre 2012): caen tiempo real o SmartCities (ciudades
ñía debería sentarse a valorar de cara a
ballo de Troya descubierto por Kaspersky
que interactúan con los sistemas de los
su estrategia y reescribir su Plan Direcen octubre de 2012 y que espió los móviciudadanos de forma independiente y
tor de los próximos 2 ó 3 años; en los
les de una gran cantidad de diplomáticos
automática).
tiempos actuales no se me ocurriría hacer
europeos entre 2008 y 2012.
3. Se desarrollan nuevas aplicacioun Plan Director a más de 3 años. Con la
Este tipo de nuevo malware (progranes por millones diariamente, el elevariabilidad y evolución de tecnologías
mas maliciosos que combinan distintas
mento código de programas se convierte
y amenazas sería una locura. De hecho
técnicas de infección, ataque y distribuen un elemento clave en el nuevo campo
muchas compañías con buen sentido de
ción), algunos los definen como APT (Adde seguridad, ya que tanto en el mundo
la estrategia están desarrollando un Livanced Persistent Threats), requieren
móvil como en el fijo, las Mobile Apps
bro Blanco de Seguridad 3.0, ya que
un nuevo tipo de servicios de protección.
generan millones de nuevos programas,
han entendido que muchos ámbitos de
En muchos casos son sólo la punta del
apareciendo y combinándose diariamenlas compañías van a necesitar una guía
iceberg de las miles de APTs que están
te e instalándose instantáneamente en
de seguridad que les ayude a tener crien producción y que todavía no han sido
miles de millones de dispositivos. Este
terio, y ¿por qué? O ¿para qué puede el
descubiertas.
fenómeno ha disparado el número de
departamento de Marketing de una gran
programas en los que la seguridad no es
compañía de seguros, o hidrocarburos
SERVICIOS DE GENERACIÓN 3.0:
una prioridad.
o de venta de productos alimenticios o
CIBERSEGURIDAD E INTELIGENCIA,
4. El Cloud y el IoT, eliminan los petextiles necesitar un libro blanco de guía
ESTRATEGIA, VIRTUALIZACIÓN Y CLOUD
rímetros de seguridad, no hay fronteras
de seguridad? Pues sencillamente porque
entre sistemas, empresas y usuarios, y el
no hay ni una sola compañía de ningún
Hemos llegado a nuestro entorno
campo de actuación, impacto y ataque
sector que no esté ya o vendiendo por
actual, el mundo de los servicios avanzade las nuevas amenazas es prácticamenInternet, o desarrollando sus Apps de
dos Cloud, de los móviles, del Internet Of
te infinito, todo un “greenfield” para
pago y fidelización u obligando a sus
Things, de las SmartCities, de los sistemas
los ataques. La adopción de la nube por
proveedores a interactuar para facturas
de control industrial SCADA, en definitiva
departamentos no tecnológicos, como
y pedidos vía Internet, y le aseguro, lecel “mundo internizado” y digital que tanmarketing, RR.HH., financiero, compras,
tor, que ninguna de ellas se ha planteado
tas ventajas aporta al usuario final. Pero
etc. genera exposición de áreas a las que
la Seguridad como la prioridad para ese
SiC
/ Nº116 / SEPTIEMBRE 2015
08_ARTICULOESTELAR con telvent.i83 83
83
03/09/2015 14:12:08
los departamentos de seguridad no están
Además nos da una guía sencilla para
habituados a enfrentar, ni existen mediidentificar la estructura del portafolio de
das tecnológicas físicas (on premise) a
CiberSeguridad 3.0, que debe incluir al
desplegar. Sólo con servicios de seguridad
menos:
Cloud, se pueden proteger y monitorizar
– Grupo 1.- Servicios de seguridad
servicios Cloud.
Cloud (¡Ojo! Son servicios de seguridad
5. El volumen de información y
Cloud no servicios Cloud con seguridad,
datos a controlar crece exponencialno confundir).
mente. Se multiplica el volumen de
– Grupo 2.- Servicios de protección y
datos generados por los ataques y se
análisis de aplicaciones y código.
extienden en el tiempo días o meses.
– Grupo 3.- Servicios SIEM y Big
La enorme cantidad de aplicaciones y
Data.
sistemas nuevos provoca una avalancha
– Grupo 4.- Servicios de Ciberintelide datos generados y las compañías
gencia.
ven inviable una recogida
eficiente de información.
Además muchas de las
apps no generan logs, por
no hablar de que muchos
servicios en nube no tienen
logs o no permiten el acceso a los mismos. Recoger y
apreciar toda esa información es clave en los servicios
de Ciberseguridad 3.0.
6. El valor de la información y la virtualización
de la moneda y las transacciones económicas,
combinado con las monedas digitales virtuales,
favorece el cibercrimen
y el ciberfraude, ya que
se pueden capitalizar los Figura 5.- Deep-Internet.
éxitos de forma inmediata,
anónima e impune, y además la inforPor supuesto los tradicionales sermación es dinero, con lo que no hace
vicios de integración y despliegue de
falta robar dinero en sí mismo para que
tecnologías pueden estar incluidos en
el fraude o el ataque sea exitoso. Hábiel portafolio, y los servicios gestionados
tos, información personal, localización,
de tecnología on premise, pero al ser de
gustos, relaciones y en general cualquier
sobra conocidos y estar incluidos en las
información de usuarios y empresas siggeneraciones 1.0 y 2.0, no los considenifican dinero.
ramos. Si bien la complejidad y profun7. La inteligencia, la colaboración,
didad de las nuevas familias de servicios
la anticipación y la actuación en tiem3.0 está generando proveedores espepo real son las claves para una procíficos especialistas y cada vez es más
tección eficiente. Estas son las caracdifícil ser un proveedor generalista que
terísticas que deben tener los sistemas
pueda cubrir los cuatro grupos de nueofrecidos por los MSSP (Proveedores de
vos servicios. Los nuevos proveedores de
seguridad gestionada), y fabricantes de
ciberseguridad (MSSP) combinan solusoftware y hardware de seguridad 3.0,
ciones propias y de terceros para cubrir
de la combinación de todos o alguno
los cuatro campos de forma integral y
de ellos depende la eficacia de nuestra
coherente, y además logran integrar disprotección y de la seguridad de nuestintos servicios y tecnologías de forma
tros activos y personas y su información.
sencilla. Este es el futuro que los MSSP
Es fundamental pertenecer a redes de
3.0 van a jugar.
inteligencia común, compartir conocimientos y amenazas y de igual forma
TO CIBERSEGURIDAD 3.0 AND BEYOND
desplegar.
Estos factores se deben tener en cuenLos 7 factores que hemos descrito en
ta y combinar en los servicios y productos
el apartado anterior configuran un pre3.0, y afectan de forma separada pero
sente que nos encamina a un futuro de
combinada el despliegue de seguridad.
cambio de los entornos de Ciberseguri-
84
08_ARTICULOESTELAR con telvent.i84 84
dad sin vuelta atrás. Lamentablemente
la mayor parte de la empresas (grandes
y pymes), ignoran o menosprecian esta
evolución, lo que ya está costando miles de millones en daños de imagen, robos, fraude y pérdidas de información;
basta recordar los casos de Sony o el
más reciente de Ashley Madison, o el
último ataque de XSS sobre Salesforce
(http://www.cio-today.com/article/index.php?story_id=101003937V84), si
bien en España y LATAM ocurre también a menudo.
La adopción del Cloud en los procesos de negocio está acelerando la desaparición de
los perímetros y las empresas requieren de nuevos
servicios y productos capaces de adaptase a este
nuevo entorno dinámico y
virtual.
Se dan casos en los que
grandes corporaciones están
desarrollando capacidades
avanzadas para protegerse
a sí mismas y se podría dar
el caso de que incluso en un
futuro cercano pudiéramos
ver cómo estas corporaciones especializadas en SCADA o servicios financieros
se conviertan también, por
qué no, en proveedores de
Ciberseguridad 3.0 para
terceros aprovechando sus capacidades
y tecnologías internas.
El futuro está abierto, y lo único cierto es que la multiplicación exponencial
del Cloud, el Internet of Things y las
aplicaciones móviles, nos obligan a los
proveedores y fabricantes de seguridad
a avanzar igual o más rápido. No nos va
a salvar el “security by design” que muchos desarrolladores no aplican, porque
el crecimiento de los nuevos entornos
es exponencial, así que necesitamos que
los servicios, productos y proveedores de
Ciberseguridad evolucionen a la misma
velocidad, porque el mundo del perímetro controlado y localizado no va a
volver. ■
* Fuentes: Incapsula-Imperva, Arbor
Networks, Corero Networks, NIST,
SANS Institute, LEET.
JUAN MIGUEL VELASCO LÓPEZ-URDA
Partner & Managing Director
AIUKEN SOLUTIONS
SEPTIEMBRE 2015 / Nº116 /
SiC
03/09/2015 14:12:10
Tu proveedor (de seguridad gestionada)
no es seguro
Los servicios de seguridad gestionada implican unos altos requisitos de seguridad. Cómo conocer las medidas que implementa el proveedor es algo relativamente sencillo si se acude a
un sistema de calificación diseñado específicamente para medir la efectividad de las medidas
de seguridad de un servicio TIC, en este caso, de seguridad gestionada.
Antonio Ramos
Seguridad absoluta o relativa
No quisiera insultar al lector o a la
lectora habitual de esta revista dedicando
mucho tiempo a justificar por qué no
podemos afirmar si un determinado
servicio o proveedor o si, nosotros mismos, estamos seguros. De hecho, creo
que de lo único de lo que cualquiera de
nosotros está seguro es de que no estamos/somos seguros (perdón por el juego
de palabras), hecho que se debe a que
el calificativo de seguro hace referencia,
según el diccionario de la lengua española 1, a algo que es: (i) libre y exento de
todo peligro, daño o riesgo; (ii) cierto,
indubitable y en cierta manera infalible;
o (iii) firme, constante y que no está en
peligro de faltar o caerse.
Como somos conscientes de que la
seguridad al cien por cien no existe, la
siguiente pregunta que debemos responder entonces es, ¿cuánto de seguro
es mi proveedor? O más en concreto,
¿cuánto de seguro es este servicio que
utilizo o quiero utilizar?
Es decir, estamos hablando de medir
la seguridad, algo sobre lo cual se ha
escrito y dicho tanto, que no merece la
pena dedicarle aquí más tiempo. Pero
sí reflexionar sobre un componente de
la seguridad, la subjetividad. Según el
perfil de riesgo que tengamos, bien como
personas, bien como organizaciones, nos
sentiremos cómodos con un mayor o
menor nivel de riesgo, y, por ende, con
un mayor o menor nivel de seguridad.
Por tanto, el reto al que nos enfrentamos es cómo medir la seguridad de un
servicio de forma general, objetivamente
y que nos sirva para comparar entre
servicios. Mi respuesta es utilizar una
calificación de la seguridad específica
para los servicios TIC.
En suma, que necesitamos disponer
86
08_ARTICULOESTELAR con telvent.i86 86
de un método que, de manera sencilla,
permita conocer las características de
seguridad de un servicio y poder valorar
así si se adecúa a las necesidades establecidas 2. En particular, para los servicios de
seguridad gestionada, por muy amante
al riesgo que sea la organización, será
de esperar que se requieran del servicio
unos niveles de robustez y madurez de
las medidas de seguridad superiores a
la media.
Características de un servicio
de calificación específico para
servicios TIC
En un informe publicado por Penteo
sobre vendor risk management se resaltan
las características principales que debe
reunir una calificación como la propuesta,
en términos formales; a saber:
• Escala de calificación claramente
establecida.
El reto al que nos enfrentamos es cómo medir la seguridad de un servicio
de forma general, objetivamente, y que nos sirva para comparar entre
servicios. Mi respuesta es utilizar una calificación de la seguridad
específica para los servicios TIC.
Incluso aunque fuéramos muy amantes del riesgo, es bastante probable que
los servicios de seguridad gestionada pasen a estar regulados por la normativa de
Seguridad Privada 3 y que el reglamento
que debe publicarse establezca condiciones de seguridad mínima de dichos
servicios (esperemos que en función del
tipo de cliente al que se preste servicio,
básicamente porque no es lo mismo
gestionar, digamos un cortafuegos de
una tienda online, que de una infraestructura crítica, o de un organismo
oficial). De nuevo, vemos la necesidad
de evaluar la robustez y efectividad de
las medidas de seguridad del servicio
para ver si las medidas implantadas son
suficientes para cumplir las expectativas
de los usuarios.
• Publicidad del algoritmo de calificación y de las calificaciones asignadas.
• Criterios de asignación objetivos y
actualizados.
• Definición del alcance orientado a
servicios, no a organizaciones.
• Independencia y cualificación técnica del calificador / auditor.
• Existencia de un mecanismo de
supervisión para garantizar la validez de
las etiquetas asignadas a un servicio.
• Existencia de un sistema de garantías por parte del calificador.
• Consideración de la cadena de
suministros.
Por otro lado, en cuanto a los aspectos que debe revisar una calificación de
seguridad, debería estar alineada con
las mejores prácticas internacionales,
es decir, contar con una taxonomía
1
Véase definición en el enlace http://lema.rae.es/drae/?val=seguro
2
Recomendación realizada por la Comisión Europea a la industria TIC en la Directiva Europea de Ciberseguridad en
febrero de 2013
3
Véase normativa aplicable en la web del Ministerio del Interior, http://www.interior.gob.es/web/servicios-al-ciudadano/personal-de-seguridad-privada/normativa-basica-reguladora
SEPTIEMBRE 2015 / Nº116 /
SiC
03/09/2015 14:12:14
de controles lo más amplia posible.
(Como ejemplo, se incluyen las áreas
contempladas en la metodología de
LEET Security. Ver figura 1).
Estos aspectos son especialmente
relevantes en el caso de los servicios de
seguridad gestionada en los que, dado
su ámbito de utilización, las medidas
de seguridad que incorpora el propio
servicio cobran especial relevancia.
Está bien preguntar a nuestro
proveedor de servicios de seguridad
gestionada si dispone de un SGSI
certificado; pero lo que verdaderamente nos va a ayudar a tomar
una decisión es conocer aspectos
concretos de seguridad como, por
ejemplo:
• ¿Cómo de protegido está el acceso físico al Centro de Operaciones
de Seguridad? ¿Control biométrico o
un simple PIN?
Figura 1.- Medidas de seguridad evaluadas por LEET Security.
• ¿Cómo de robustos son los
controles de acceso lógico para evitar
accesos de personal no autorizado?
Es bastante probable que los servicios de seguridad gestionada pasen a
• ¿Cómo se controla el uso de las
estar regulados por la normativa de Seguridad Privada y que el reglamento
credenciales de administración?
• ¿Qué nivel de preparación tie- que debe publicarse establezca condiciones de seguridad mínima de
nen los operadores y los analistas?
¿Conocen las tecnologías que ges- dichos servicios (esperemos que en función del tipo de cliente al que se
tionan? ¿Cuentan con algún tipo de preste servicio, básicamente porque no es lo mismo gestionar, digamos un
cualificación?
• ¿Qué medios técnicos y capaci- cortafuegos de una tienda online, que de una infraestructura crítica, o de un
dades personales tiene para detectar organismo oficial).
incidentes, analizarlos para saber qué
está pasando y responder en caso de
conocer cuan robustas son las medidas
miento existen dos formas, o revisar
ataques?
de seguridad (en función del nivel de
al proveedor de manera exhaustiva,
• ¿Hasta qué punto puede garantizar
calificación) y, no solo en el momento
o utilizar la calificación de un tercero
la continuidad del servicio? ¿Dispone
inicial, sino durante toda la vida del
independiente, que aporte el mismo
de centros alternativos de procesaservicio, puesto que una agencias de
nivel de transparencia pero que, ademiento?
calificación supervisa (o debería) que
más, incorpore mecanismos de monitorización y supervisión que permitan
asegurar que el nivel de seguridad se
Los proveedores que califican sus servicios de seguridad gestionada
mantiene a lo largo del ciclo de vida
muestran su voluntad de transparencia y de someterse a un control de
del servicio.
Por igual motivo, los proveedores
un tercero independiente que demuestra que no tienen qué ocultar y que
que califican sus servicios de seguridad
prefieren la seguridad por claridad a la seguridad por oscuridad.
gestionada muestran su voluntad de
transparencia y de someterse a un control de un tercero independiente que
• ¿Cómo de probada tiene su opeel nivel asignado es correcto en todo
demuestra que no tienen qué ocultar y
rativa de contingencia?
momento.
que prefieren la seguridad por claridad
• ¿Hasta qué punto un ataque APT
que la seguridad por oscuridad, ¿qué
dirigido al proveedor puede terminar
Conclusión
tipo de proveedor prefiere? ■
afectando a mi infraestructura?
• ¿Qué mecanismos de segregación
Los servicios de seguridad gestioexisten?
nada son, normalmente, de elevada
criticidad para las empresas que los
• ¿Se han establecido ANSs para los
servicios? ¿Se revisan periódicamente?
usan. Por tanto, conocer la fiabilidad
Todos estos controles y muchos
de las medidas de seguridad que el
ANTONIO RAMOS
CEO
otros son los que se evalúan para asigproveedor del mismo implementa es
LEET Security
nar un nivel de calificación y permiten
crítico. Y para adquirir este conoci-
SiC
/ Nº116 / SEPTIEMBRE 2015
08_ARTICULOESTELAR con telvent.i87 87
87
03/09/2015 14:12:18
Los MSSPs opinan
Proveedores de Servicios de Ciberseguridad
Al igual que las organizaciones usuarias, las proveedoras de servicios de ciberseguridad gestionada (MSSPs) buscan
los estados de mayor eficiencia en la explotación de su negocio, que no es otro que proteger los de sus clientes. Son
los primeros interesados en saber lo que pasa, lo que puede pasar y en pronosticar lo que hay que esperar para poder
adaptar su oferta, incorporar nuevas disciplinas y aplicar nuevos métodos, técnicas y tecnologías para evolucionar
los servicios en consonancia con los derroteros que están tomando las TIC usadas por sus clientes y por los atacantes.
Y casi lo más importante: deben disponer de equipos de analistas bien entrenados y siempre a la última.
“Accenture está haciendo un importante esfuerzo de adaptación de sus propuestas
de seguridad para cubrir y dar soluciones al problema de las APTs y a los ataques
que se están produciendo y que se prevé que crezcan en los próximos meses”
Juan Carlos Torres Cañete
Spain Infrastructure Delivery Center Security Lead
ACCENTURE
Actualmente, Accenture está haciendo un importante esfuerzo
de adaptación de sus propuestas de seguridad para cubrir y dar
soluciones a nuestros clientes ante las nuevas amenazas y ataques
que se están produciendo y que se prevé que crezcan en los próximos meses (como, por ejemplo, en el área de APTs).
Como parte de estas medidas de actualización, estamos colaborando estrechamente con los fabricantes para ajustar nuestro
catálogo de servicios tecnológicos a estas nuevas necesidades,
tanto con los “grandes” fabricantes a través de programas de inversión conjunta en nuestros laboratorios de Innovación de Ciber-
seguridad alrededor del mundo, como a nivel local con empresas
españolas que están despuntando en este ámbito.
Al mismo tiempo, seguimos trabajando con nuestros clientes
para entender sus nuevas necesidades donde estamos apreciando
un mayor interés de sus áreas de negocio en el impacto que las
amenazas de seguridad tienen sobre el mismo. Esto se traduce en
la necesidad de implantación de Cuadros de Mando de Negocio
donde la Seguridad es pieza clave y un mayor interés de nuestros
clientes en colaborar con empresas especializadas del sector para
ayudarles en la gestión de incidentes de seguridad.
Desde nuestro Centro de Servicios de Madrid, integrado en
la Red de Centros de Seguridad de Accenture, apostamos por el
desarrollo de estos productos para dar respuesta a las nuevas necesidades de nuestros clientes.
“El catálogo de servicios de BT Security ha evolucionado para incorporar soluciones de
ciberinteligencia y correlación de eventos de varias compañías del mismo sector, complementando con servicios ERS en escenarios de actuación previamente entrenados”
José Pereiro
Director para España y Portugal
BT SECURITY
Las organizaciones demandan soluciones que sean específicas a
su sector, precisas y en tiempo real. El disponer de cantidades ingentes de alertas genéricas y desagregadas que tardan horas o incluso
días en ser analizadas ya no es suficiente para contener y mitigar
los ataques que con mayor frecuencia se ejecutan en ventanas más
reducidas en tiempo. Por ello el catálogo de servicios ha evolucionado para incorporar soluciones de ciberinteligencia y correlación
de eventos de varias compañías del mismo sector, complementando
con servicios ERS en escenarios de actuación previamente entre88
08_ARTICULOESTELAR con telvent.i88 88
nados. Sin duda esto afectará positivamente a los riesgos empresariales, especialmente en lo relativo a las amenazas, al igual que
en algunos escenarios como los ataques DDoS, en los que hemos
visto que el hecho de disponer de contramedidas solventes ya es
suficiente en muchos casos para actuar como medida disuasoria y
evitar un ataque contra la empresa; aquellas empresas que dispongan de mejores servicios de ciberinteligencia y SOC tendrán un nivel
de riesgo menor por el simple hecho de tenerlas.
La superficie de ataque en Internet es inmensa, los ciberdelincuentes no quieren perder el tiempo ni asumir el riesgo de ser detectados atacando empresas adecuadamente protegidas cuando
tienen otras miles en las que pueden conseguir sus objetivos de
forma rápida y anónima.
SEPTIEMBRE 2015 / Nº116 /
SiC
03/09/2015 14:12:20
Los MSSPs opinan
Gestionada: tiempos de transformación
La revista SIC ha formulado a trece MSSPs que tienen SOC la siguiente pregunta:
¿Cómo va a afectar a la ampliación del actual catálogo de servicios de ciberseguridad gestionada
la evolución de las amenazas y los ataques prevista a medio plazo?
Aquí están sus respuestas.
“El CyberSOC de Deloitte siempre tiene presente la evolución de las amenazas y los ataques
a medio plazo desde una perspectiva ligada a la situación específica de cada sector y cada
organización para poder ofrecer servicios avanzados, globales y altamente especializados”
Abel González Lanzarote
Director
DELOITTE (CyberSOC)
El CyberSOC de Deloitte siempre tiene presente la evolución de las
amenazas y los ataques a medio plazo desde una perspectiva ligada a la
situación específica de cada sector y de cada organización. La constante
ampliación de nuestro catálogo es para prevenir, responder más rápido
y trabajar de manera más eficiente para proteger el corazón del negocio
de nuestros clientes. Deloitte mantiene una serie de iniciativas a nivel
global con la colaboración de todas las Firmas Miembro de Deloitte en el
mundo, para el análisis y gestión de ciberamenazas mediante el desarrollo e implementación de una plataforma de capacidad global y unificada.
Esto se plasma en nuestro Centro de Excelencia de CyberIntelligence y
Análisis Avanzado de Malware (eCIC) incluido en el CyberSOC con sedes
en Barcelona y Madrid.
Otras iniciativas globales como nuestra biblioteca compuesta por
más de 4.500 casos de uso definidos para distintas tecnologías SIEM, la
plataforma GAST (Global Application Security Testing) y nuevos cursos de
nuestra CyberSOC Academy persiguen anticiparse a la imparable progresión de las ciberamenazas y los ciberataques a medio y largo plazo.
Finalmente, dado que la seguridad total es imposible, en caso de que
el ciberataque tenga éxito, es esencial contar en nuestro catálogo con un
servicio mundial CIR (CyberIncident Response) con capacidad de respuesta
en 38 países que de forma organizada gestiona la situación de manera
que se limite el daño y permita al negocio retomar su operativa normal
tan pronto como sea posible.
En definitiva, servicios avanzados, globales y altamente especializados con el objetivo de lograr que las organizaciones puedan fortalecer
sus capacidades de prevención, detección, defensa y respuesta a las
amenazas y ciberataques.
“Ante la evolución prevista de las amenazas, los ataques y su tratamiento, Mnemo ha renovado su
SOC incorporando nuevas herramientas y tecnologías para que nuestro CERT gestione de un modo
más eficaz los Laboratorios de Malware, Forense Digital, Fraude y de Dispositivos Electrónicos”
Inmaculada Parras Pastor
Gerente de Desarrollo de Negocio, Tecnología y Seguridad
MNEMO
En Mnemo llevamos varios años trabajando en proyectos de I+D+i
en Ciberseguridad e incorporando servicios asociados a nuestro catálogo, desde los tradicionales de Gobierno de la Seguridad, Auditorías
de Vulnerabilidades, Respuesta a Incidentes, Hacking Ético y servicios
de SOC, hasta los últimos servicios para hacer frente a la evolución de
los grandes grupos organizados, con servicios de Threat Intelligence,
para poder determinar las características de los atacantes y definir
estrategias para prevenir y anticipar los ataques.
De hecho, la toma de conciencia sobre la evolución de las amenazas, los ataques y su tratamiento ha hecho que renovemos nuestro
SOC que se presentará el próximo mes de octubre; a él se han incorporado nuevas herramientas y tecnología para que nuestro Equipo
SiC
/ Nº116 / SEPTIEMBRE 2015
08_ARTICULOESTELAR con telvent.i89 89
de Respuesta a Emergencias Informáticas (CERT) gestione los Laboratorios de Malware, Forense Digital, Fraude y de Dispositivos Electrónicos, para dar respuesta de forma más rápida y aún más fiable a las
acciones de prevención, al análisis detallado de los datos y de forma
significativa a la presentación de resultados.
Estamos desarrollando herramientas propias dirigidas a los servicios de seguridad sistemas SCADA para la protección de infraestructuras críticas y en Threat Intelligence. El refuerzo de nuestro catálogo
se está concentrando también en la ampliación del equipo de Ciberseguridad y en el área de Formación, aspecto clave para que las
organizaciones tengan un punto de partida en la toma de conciencia
del cambio tan profundo al que asistimos en la forma de atender los
requerimientos de seguridad de la organización y los empleados.
Es nuestro objetivo proporcionar servicios de seguridad con alcance global y ámbito 360º. La estructura de Mnemo da cobertura global
con Centros en tres países de Europa, Sudamérica y Arabia Saudita.
89
03/09/2015 14:12:27
Los MSSPs opinan
“En base a la evolución de las amenazas y los ataques, HP ESS se ha centrado en aumentar las
capacidades para enfrentarse a APTs, reforzar el equipo de respuesta a incidentes, reciclar
constantemente los equipos de gestión de alertas y vigilancia digital y consolidar el grupo de
Gestión de Vulnerabilidades y Amenazas”.
Karen Gaines Cordero
Directora General
HP ENTERPRISE SECURITY SERVICES PARA IBERIA
Siendo el proveedor de confianza para nuestros clientes en el
mercado de la seguridad, estamos en continuo desarrollo de metodologías y avances técnicos, dando ese grado de especialización en
multitud de tecnologías y adelantándonos con nuestros sistemas de
alertas para evitar fugas de información y brechas de seguridad.
La evolución de las amenazas y los ataques a medio plazo implican que nuestros servicios gestionados deben evolucionar a su vez
en los siguientes frentes:
• Aumentar su capacidad de enfrentarse a APTs. En esto aprovechamos la estrategia global de HP en su alianza con FireEye.
• Reforzar nuestro equipo específico de respuesta a incidentes
de seguridad con expertos en múltiples materias que puedan dar
respuesta rápida, con capacidad para desplegarse en cualquier momento y en cualquier cliente.
• Reciclar constantemente los equipos de gestión de alertas de
seguridad y vigilancia digital para que estén totalmente informados
de los últimos focos de amenazas y mejorar así su detección y anticipación.
• Consolidar nuestro grupo de Gestión de Vulnerabilidades y Amenazas, equipo que engloba servicios como hacking ético y revisión de
código, entre otros) para dar el nivel de exigencia en seguridad que
necesitan las empresas.
Todas estas medidas se complementan mejorando los flujos internos, para que las sinergias entre los distintos equipos aumenten
significativamente la eficiencia y el valor aportado por nuestro servicio
gestionado de seguridad basado en Madrid.
“Indra está comprometida en acompañar a sus clientes en sus necesidades de ciberseguridad para
ayudarles tanto a estar al día de la situación de riesgo y de las novedades tecnológicas, normativas y
en procedimientos de mitigación, como a responder ante situaciones de materialización de amenazas
concretas y propias de su negocio”
Marta Oliván
Gerente de Desarrollo de Negocio - Cybersecurity
INDRA DIGITAL
Para dar cobertura a las necesidades en Ciberseguridad, las grandes empresas e instituciones han necesitado pasar de tener un grupo
de personas en asistencia técnica (incluso de diferentes proveedores) coordinadas por ellos mismos, a necesitar un partner (no un proveedor) que sea capaz de dar un servicio integral de ciberseguridad
(tanto en amplitud por la diversidad, como en profundidad por las
necesidades de especialización), personalizado a sus necesidades, que
sea capaz de cubrir el día a día mediante un Centro de Servicios de
Ciberseguridad, pero que, además cuente con un grupo competente
de especialistas en las, cada vez más, específicas y dirigidas técnicas
de ataque y amenazas.
Un socio como siempre ha sido Indra, comprometido en acompañarle en sus necesidades, y que le permita tanto estar al día de
la situación de riesgo y de las novedades en cuanto a tecnologías,
normativas y procedimientos de mitigación, como responder con la
máxima rapidez y eficacia ante situaciones de materialización de amenazas concretas y propias de su negocio: no son lo mismo los sistemas
embarcados en aeronaves, que los sistemas de banca online, que las
redes de control de una central nuclear, el acceso a Internet de los
empleados de una gran compañía o el portal de clientes de una operadora de móviles. Todos son necesarios para sus negocios, y cada uno
tiene su complejidad, particularidad y puntos de vulnerabilidad.
“Los servicios de seguridad gestionada deberán ampliar su catálogo actual para dar cobertura a las
nuevas necesidades de protección. Para S2 Grupo va a ser especialmente relevante la capacidad de los SOC
para hacer frente a APT cuyos objetivos no sean únicamente el robo de información –que también–, sino
adicionalmente el sabotaje”.
José Miguel Rosell
Socio Director
S2 GRUPO
En nuestra opinión, los servicios de seguridad gestionada deberán,
a medio plazo, cubrir no sólo el catálogo actual, sino ampliar éste para
dar cobertura a las nuevas necesidades de protección que sin duda van
a surgir; para nosotros va a ser especialmente relevante la capacidad de
los SOC para hacer frente a APT cuyos objetivos no sean únicamente el
90
08_ARTICULOESTELAR con telvent.i90 90
robo de información –que también–, sino adicionalmente el sabotaje.
En este sentido, el del sabotaje, es muy preocupante la seguridad
en el Internet de las Cosas, sobre todo cuando esas “cosas” son críticas:
desde suministros esenciales para una nación hasta elementos no tan
críticos pero especialmente relevantes incluso para la vida humana, como
sistemas industriales de todo tipo o sistemas de control médico. O por
qué no, automóviles –todos hablamos estos días del incidente de Jeep–,
acuarios o espejos... elementos conectados a Internet que requerirán una
adecuada protección y servicios de vigilancia desde un SOC.
SEPTIEMBRE 2015 / Nº116 /
SiC
03/09/2015 14:12:33
Los MSSPs opinan
“La dificultad de detectar y gestionar estos riesgos sólo es posible con un equipo de
profesionales muy especializado, que se adapte continuamente a las nuevas amenazas y
ofrezca soluciones ágiles y flexibles, en función de las necesidades de cada cliente”
Félix Muñoz Astilleros
Director General
INNOTEC SYSTEM (Grupo ENTELGY)
Inteligencia y apuesta decidida por personal cualificado son las
bases por la que estamos apostando desde InnoTec System (Grupo Entelgy). Nuestra larga experiencia en la gestión de incidentes y amenazas, en todo tipo de organizaciones, nos ha dejado clara la necesidad
de adaptación continua e, incluso, de anticipación a cualquier riesgo.
Máxime en un momento como el actual, en el que el número de amenazas, su grado de sofisticación y su peligrosidad crecen de un modo
constante. La dificultad de detectar y gestionar estos riesgos sólo es
posible con un equipo de profesionales muy especializado, que se
adapte continuamente a las nuevas amenazas y ofrezca soluciones
ágiles y flexibles, en función de las necesidades de cada cliente.
Por ello, en nuestra compañía se crearon hace ya más de tres años
dos departamentos encargados de adaptar nuestros servicios a las
nuevas amenazas: IRTLABS e ILABS. El primero es el responsable de
buscar y definir soluciones, mejorando todos los procesos y automatizando en la medida de lo posible los servicios. Por su parte, ILABS
es el encargado de poner en producción estas nuevas soluciones,
realizando, si es necesario, nuevos desarrollos para llevar a cabo las
mejoras. Ampos departamentos están conformados por profesionales
con amplia experiencia en la materia.
“La necesidad de contar con información fiable acerca de las amenazas va a ser cada vez mayor. En IBM
contamos con diez SOC interconectados a nivel mundial que nos permiten conocer ataques en algunos
casos antes de que lleguen a España y anticiparnos para minimizar el impacto en nuestros clientes”.
Susana del Pozo
Responsable de Servicios de Seguridad
IBM España, Portugal, Grecia e Israel
El incremento constante en la complejidad y sofisticación de los
ataques se une a la adopción de modelos cloud y entornos colaborativos en los que los servicios de seguridad tradicionales pierden
eficacia. Los catálogos de servicios están en continua evolución para
asegurar la protección extremo a extremo, tanto en entornos TI tradicionales como cloud. Entre las últimas incorporaciones a nuestro
portafolio de servicios cabe destacar los servicios de seguridad para
cloud, o el servicio de protección de ejecutivos para gestionar la seguridad de sus actividades en redes sociales.
La necesidad de contar con información fiable acerca de las amenazas va a ser cada vez mayor. En IBM contamos con 10 centros de
operación de seguridad interconectados a nivel mundial que nos permiten conocer ataques en algunos casos antes de que lleguen a España y anticiparnos para minimizar el impacto en nuestros clientes.
El volumen de información a considerar (tanto interna como externa) y las necesidades de correlación van a seguir creciendo, lo que va a
hacer que se intensifique el uso de herramientas analíticas avanzadas
aplicadas a los servicios de seguridad.
“Es necesario suplementar los servicios de inteligencia con capacidades de respuesta que garanticen
una contención y mitigación de los (ciertos) incidentes de seguridad. Este es un ámbito más de
desarrollo de servicios que hay que complementar con un mayor nivel de especialización en las
capacidades de la organización”
Roberto López Navarro
Jefe de División Servicios Gestionados
GMV SOLUCIONES GLOBALES INTERNET
Si algo caracteriza el panorama de amenazas a medio largo plazo
es la continua innovación y adaptabilidad. En consecuencia, tanto
los consumidores como proveedores de servicios de ciberseguridad
deben dotarse de las capacidades necesarias para poder identificar y
responder a estas nuevas estrategias. En esta continua batalla, cobran
especial importancia los servicios de inteligencia y la capacidad de
SiC
/ Nº116 / SEPTIEMBRE 2015
08_ARTICULOESTELAR con telvent.i91 91
actuar sobre la misma para desarrollar estrategias eficaces y eficientes.
Al mismo tiempo, es evidente que la prevención, basada en el conocimiento de estas amenazas, no es suficiente, pues no se trata tanto
del cómo si no del cuándo.
Estos servicios de inteligencia es necesario suplementarlos con
capacidades de respuesta que garanticen una contención y mitigación de los (ciertos) incidentes de seguridad. Este es otro ámbito de
desarrollo de servicios para los proveedores de seguridad, complementado con un mayor nivel de especialización en las capacidades
de la organización.
91
03/09/2015 14:12:45
Los MSSPs opinan
“Los servicios de ciberseguridad gestionada deben ser más multidisciplinares y estar totalmente
interconectados. En este sentido S21sec, bajo el concepto Security as a Service (SecaaS), ofrece soluciones
globales, una visión 360º de los eventos y acontecimientos de las organizaciones a las que protege”
Andoni Valverde
Head of Cybersecurity Managed Services
S21SEC
Existen dos pilares principales para hacer frente a la especialización y masificación de las ciberamenazas. Por un lado, la formación
del usuario final, donde seguimos viendo que por más medidas tecnológicas que se implementen, continúa siendo el eslabón más débil
de la cadena. Asimismo, los servicios de ciberseguridad gestionada
deben avanzar en ser más multidisciplinares y estar totalmente interconectados. En este sentido, S21sec, bajo el concepto Security as
a Service (SecaaS), ofrece soluciones globales, una visión 360º de los
eventos y acontecimientos de las organizaciones a las que protege.
No sólo se trata de una metodología, sino que además juega un papel fundamental nuestra plataforma de inteligencia, que provee en
cada instante la información precisa contextualizada a cada equipo
de trabajo.
La evolución de los servicios de S21sec en ciberseguridad gestionada seguirá estas líneas y nuestro catalogo se nutrirá de soluciones integrales, servicios avanzados que mejoran sustancialmente la
gestión y la inmediatez en la respuesta a los incidentes, así como la
detección de las nuevas amenazas. Todo ello con un modelo tecnológico más integrable con las infraestructuras propias de los clientes
sin necesidad de grandes despliegues. La agilidad y la simplicidad
son las claves para conseguir una efectividad mayor en los servicios
gestionados.
“Lo que en el año 2002 eran los Servicios Gestionados de Seguridad (SIA Tiger Team), que luego
se convirtieron en SOCs y en Centros Expertos de Ciberseguridad (CEC), han evolucionado hacia
nuestro Centro Experto de Ciber Inteligencia, en el que se definen y gestionan los nuevos servicios
de forma holística”.
Enrique Palomares
Consejero Delegado
SIA
Cuando hace ya 27 años en SIA comenzamos a especializarnos en
el incipiente mercado de la seguridad de la información, hay que reconocer que nadie divisaba lo que actualmente llamamos ciberseguridad. Hemos asistido a múltiples oleadas y modas de mayor o menor
intensidad, pero siempre con el mismo método de trabajo: entender la
problemática y colaborar estrechamente con nuestros clientes, contar
con los mejores profesionales, tecnologías y metodologías para adelantarnos a la exponencial evolución de las amenazas.
Es cierto que ahora nos enfrentamos a otra dimensión de ataques,
donde los conceptos clásicos ya no sirven, y vamos a asistir a una auténtica “guerra fría” durante la próxima década. Por ello, para continuar sien-
do pioneros en la prestación de los nuevos servicios de ciberseguridad,
desde SIA estamos incorporando expertos y aplicando metodologías
del sector militar y policial: sistemas de inteligencia, equipos Red Team
(seguridad física, lógica y social) y otros sistemas inteligentes, que nos
permiten prepararnos para los ataques avanzados y personalizados
para cada sector y cada organización que se nos avecinan.
Lo que en el año 2002 eran Servicios Gestionados de Seguridad
(SIA Tiger Team), que luego se convirtieron en SOCs y en la última
generación en Centros Expertos de Ciberseguridad (CEC), han evolucionado ahora hacia nuestro Centro Experto de Ciber Inteligencia,
quien define y gestiona los nuevos servicios, aplicando técnicas de
inteligencia de forma holística, para anticiparnos a las amenazas y
ataques que están por venir, manteniendo siempre nuestros principios y método de trabajo.
“La apuesta de Telefónica pasa por potenciar la proactividad en los servicios para permitir a nuestros
clientes entender el comportamiento y motivaciones de los atacantes, disponer de información para
anticiparse y hacer frente a las amenazas y los ataques combatiéndolos en la propia Red”.
Juan Hernández Orea
Gerente de Desarrollo de Negocio Dirección de Defensa y Seguridad
TELEFÓNICA ESPAÑA
Los ataques son cada día más sofisticados, las motivaciones se
han transformado, ya no son retos de jóvenes apasionados sino organizaciones criminales con ánimo de lucro o gobiernos con objetivos
políticos, hasta el punto de que una de las expresiones de moda que
ofrece titulares en prensa cada día es “ciberwar”. No hablamos de tendencias sino de hechos constatados.
Se ha demostrado que los enfoques tradicionales, diseñados para
proteger la información de una forma reactiva, resultan inadecuados, siendo necesario un nuevo enfoque sobre ciberseguridad que
92
08_ARTICULOESTELAR con telvent.i92 92
sea proactiva, lo que implica una investigación constante, dinámica
y adaptativa.
En este sentido nuestra apuesta pasa por potenciar la proactividad en nuestros servicios, de tal forma que permita a nuestros clientes
entender el comportamiento y motivaciones de los atacantes y así
disponer de la información suficiente para anticiparse y hacer frente
a las amenazas y los ataques combatiéndolos en la propia Red, antes
de que lleguen a afectar infraestructuras o activos críticos de nuestros
clientes.
Para llegar a ese punto de entendimiento es imprescindible contar con una organización y unos recursos altamente preparados que
garanticen una detección temprana y una contención y respuesta
con garantías.
SEPTIEMBRE 2015 / Nº116 /
SiC
03/09/2015 14:12:52
Los CISOs opinan
Servicios de ciberseguridad gestionada:
¿hay espacio para la mejora?
La urgente búsqueda de la eficiencia por las organizaciones usuarias llegó hace algunos años a la ciberseguridad, provocando la aparición de proveedores de servicios de seguridad TIC gestionada (MSSPs). Hoy, ha crecido ostensiblemente
el número y tipologías de MSSPs, y por la presión de las amenazas y los ataques, y el avance de la transformación digital
de la mano de la virtualización, la movilidad, la nube y el análisis de grandes cantidades de datos, empiezan a surgir,
conviviendo con servicios ya básicos, otros de gran valor, algunos de los cuales, además, se van adaptando a las particularidades de cada sector económico de actividad.
Con estos condicionantes, la revista SIC ha formulado a once CISOs de otras tantas compañías la siguiente pregunta:
¿En qué deberían mejorar sus servicios los proveedores de ciberseguridad gestionada? Sus contestaciones,
realmente interesantes, empiezan a continuación.
“Un servicio maduro, y es lo primero que, en caso de no existir, se debe demandar
a los proveedores de ciberseguridad gestionada como mejora… invierte,
y no repercute al cliente, en los elementos que lo integran”.
Juan Cobo Páez
CISO
FERROVIAL
Antes de hablar de mejorar servicios, deberíamos dejar claro qué
es un servicio y qué no es un servicio, porque, al menos en mi opinión, sigue habiendo en el mercado muchos servicios que, habiendo
sido concebidos y denominados como tales, no dan la talla para ser
considerados servicios gestionados o, al menos, servicios maduros
gestionados.
Un servicio maduro, y es sólo mi opinión, debe ser algo más que empaquetar algo de hardware, algunas licencias de software, unas cuantas
horas hombre, ponerle un lazo y ofrecérselo al cliente repercutiéndole
el coste total de la inversión, inversión que, por otro lado, tendrá los
días contados en la medida en que la obsolescencia tecnológica haga
su aparición. Y de esto, más orientado a proyecto que a servicio real,
sigue habiendo mucho en el mercado.
Un servicio maduro, y es lo primero que, en caso de no existir, se
debe demandar a los proveedores de ciberseguridad gestionada como
mejora… invierte, y no repercute al cliente, en los elementos que lo
integran, y vive de tener muchos clientes contentos y satisfechos. Contempla modelos de pago por uso... está diseñado de forma horizontal
para todos sus clientes, que consumen un mismo servicio y que se aprovechan de las mejoras y actualizaciones incorporadas al servicio como
consecuencia del feedback dado por clientes o de las amenazadas e
incidentes sufridos por éstos (lo que “amenaza” a un cliente, mejora la
defensa de los demás)… no requiere de integraciones complejas a la
hora de desplegarlo en el entorno del cliente… es escalable y flexible,
y abstrae al cliente de la tecnología y de su obsolescencia… tiene claro
y formalizado cómo medir el nivel de servicio.
Con respecto a los servicios que ya siguen esta aproximación, y en
base a mi experiencia, me permito enumerar algunas áreas susceptibles
de mejora tales como la existencia de certificaciones conforme a marcos internacionales de referencia, la capacidad de revisión y auditoría
por parte del cliente, la existencia de informes de auditoría públicos
alineados con modelos reconocidos (SSAE 16…), el cumplimiento de
los marcos regulatorios de aplicación, la coordinación / integración con
organismos públicos con competencias en materia de Ciberseguridad
o el alcance global / internacional de los mismos.
“La diferencia la va a marcar el conocimiento que tenga el proveedor del entorno
en que se mueve su cliente, cuáles son sus amenazas y el impacto que tiene
en su negocio la materialización de un riesgo”.
Ángel Campillo del Río
CISO
CARREFOUR GROUP ESPAÑA
Como en cualquier servicio gestionado, tanto el proveedor como
el cliente debemos mejorar en la correcta definición de los Niveles de
Servicio y la medición de los mismos, para que ambos nos sintamos
confortables durante la vigencia de la prestación de este servicio, incluida la revocación o finalización del mismo.
Pero dada la naturaleza de la seguridad y lo cambiante de los
servicios que se pueden demandar, creo que el proveedor debe enSiC
/ Nº116 / SEPTIEMBRE 2015
08_ARTICULOESTELAR con telvent.i93 93
contrar la manera de adaptar estos servicios a las necesidades del
cliente y saber gestionar la excepción y la necesidad puntual ante
posibles incidentes. Esto les obliga a conocer el negocio de su cliente
y ofrecer soluciones quizás sectorizadas por industria.
Las soluciones técnicas y la madurez en la prestación de los servicios básicos de seguridad serán características obligadas de cualquier
proveedor que quiera jugar un rol importante; pero a mi entender la
diferencia la va a marcar el conocimiento que tenga el proveedor del
entorno en que se mueve su cliente, cuáles son sus amenazas y el
impacto que tiene en su negocio la materialización de un riesgo.
93
03/09/2015 14:12:58
Los CISOs opinan
“Salvo puntuales excepciones los proveedores tienen pocos ‘servicios para clientes’
y sí muchos proyectos para clientes”.
Rafael Hernández González
Responsable de Seguridad de la Información
CEPSA
Lo más significativo al evaluar los servicios de proveedores de
ciberseguridad gestionada es la propia pregunta; me explico: son los
términos “Servicios” y “Ciberseguridad Gestionada”. Lo primero porque después de 10 años de usar proveedores externos, Cepsa ha sido
pionero en el uso de Servicios de Seguridad Gestionada, hemos de
lamentar que salvo puntuales excepciones los proveedores tienen
pocos “servicios para clientes” y sí muchos proyectos para clientes.
Esto nos obliga a los responsables de las empresas a una supervisión
constante y una falta de escalabilidad y a problemas de evolución, ya
que son proyectos dedicados sin estandarización. Además, la gestión
individual de los mismos no nos hace crecer hacia un modelo de se-
guridad integral. El concepto de “Ciberseguridad” ha venido para quedarse pero hay que explicarle dentro del global de las organizaciones
pues ya no solo nos estamos refiriendo a la seguridad lógica o física,
sino que la extendemos a las áreas de marketing, personal, imagen.
Es necesario tener un nuevo marco de relación y un nuevo marco
de gestión. Es decir: servicios normalizados, recurrentes, medibles y
replicables y con SLA controlables, y gestionados. Por lo tanto sería
deseable que nos encontrásemos muchos clientes dentro del mismo
servicio y que el proveedor comparta, optimice y aporte mejores soluciones y una mejora continua de nuestra ciberseguridad. Creo que
en estos momentos están apareciendo nuevas empresas que con su
aire fresco están renovando estos servicios, esperemos que esta línea
crezca y avancemos hacia la mejora de la SEGURIDAD, bueno perdón:
de la CIBERSEGURIDAD.
“Es demasiado habitual que el equipo destinado en el cliente no mantenga
un verdadero espíritu de equipo, bien porque no comparten información entre ellos
o porque no es homogéneo ni está adecuadamente motivado”.
Jesús Mayor Sendra
Responsable de Seguridad de la Información
CORREOS
La provisión de servicios con una verdadera orientación al cliente en la que hablamos de colaborador y no de proveedor, en la que
mantenemos intereses y valores compartidos, en la que se instaura
la mejora continua en el desarrollo de las prestaciones, supondría
una deseable evolución que mejoraría radicalmente la calidad del
servicio prestado.
Yendo a lo concreto de las prestaciones, la mayoría de las mejoras
que me vienen a la cabeza giran a en torno al equipo de recursos
humanos asignados al cliente:
• Habilidades insuficientes para la función desempeñada, que
obligan a desencadenar todo el proceso de cambio de recurso.
• Gestión del conocimiento (sustituciones) deficiente, que penaliza el servicio en las ausencias y periodos vacacionales
• Trabajo en equipo parcial. El trabajo en equipo y la inteligencia
compartida son fundamentales para enfrentarse a los problemas y
nuevos desafíos. Es demasiado habitual que el equipo destinado en
el cliente no mantenga un verdadero espíritu de equipo, bien porque
no comparten información entre ellos o porque no es homogéneo ni
está adecuadamente motivado.
Adicionalmente, en el caso de mi organización (sometida al régimen de contratación pública) se produce otro fenómeno indeseable
que resiente la calidad y flexibilidad en los servicios, como son las
“obligadas” contrataciones a precio. ¿Cómo romper esa dinámica?
Tarea difícil que alguien deberá de empezar.
“El verdadero reto de las compañías que ofrecen este tipo de servicios es la capacidad
de adaptación a las necesidades particulares de sus clientes sin perder la esencia
de su servicio”.
Mario Trotta
IT Security Manager
SECURITAS DIRECT ESPAÑA
Actualmente la oferta existente en servicios de seguridad gestionada es muy amplia. Tenemos posibilidad de contratar estos servicios a grandes compañías con infraestructura muy importante, pero
también existen empresas más pequeñas aunque con un grado de
especialización elevado en esta materia.
Securitas Direct es una compañía con un alto componente tecnológico y con unas exigencias en materia de seguridad elevadas dada
94
08_ARTICULOESTELAR con telvent.i94 94
la naturaleza de su negocio. Pero tal y como nos ocurre a nosotros,
cada compañía tiene unas necesidades muy concretas, que además
variarán a lo largo del tiempo y dependerán del grado de madurez en
seguridad que tenga la empresa en cada momento.
Pienso que el verdadero reto de las compañías que ofrecen este
tipo de servicios es la capacidad de adaptación a las necesidades
particulares de sus clientes sin perder la esencia de su servicio. Los
proveedores de seguridad gestionada deben tener siempre presente que ellos son los que deben adaptar su servicio al cliente y no la
situación inversa.
SEPTIEMBRE 2015 / Nº116 /
SiC
03/09/2015 14:13:02
Los CISOs opinan
“El seguimiento y reporting periódico del servicio ofrecido sigue siendo el punto débil,
así como la industrialización, es decir, la capacidad de proporcionar servicios
personalizados en función de la demanda del cliente”.
Santiago Minguito Santos
Director de Seguridad de la Información
BANCO SABADELL
Del mismo modo que las amenazas en materia de ciberseguridad han evolucionado de forma significativa en el transcurso de los
últimos años, también lo han hecho las contramedidas para mitigar
la probabilidad e impacto de materialización de dichas amenazas. En
este sentido, los proveedores de ciberseguridad gestionada juegan
un papel fundamental para la aplicación de las contramedidas, debido a las capacidades globales que gran parte de ellos poseen. En el
portafolio de servicios de estos proveedores seguimos encontrando
servicios que se han convertido en comodities, que si bien siguen siendo necesarios, aportan poco valor. Sin embargo, aparecen nuevos
servicios diferenciales en ciertos proveedores que aportan mucho
más valor hoy en día con soluciones innovadoras. En general se sigue
ofreciendo buen servicio, si bien en la mayoría de los casos se les
reclama mayor capacidad de innovación y de reacción ante nuevas
amenazas. El seguimiento y reporting periódico del servicio ofrecido
sigue siendo el punto débil, así como la industrialización, es decir, la
capacidad de proporcionar servicios personalizados en función de
la demanda del cliente. En algunos casos para obtener ese servicio
personalizado es necesario recurrir a servicios conjuntos de dos o más
proveedores con capacidades complementarias. Asimismo la velocidad a la que evoluciona la tecnología de ciberseguridad hace que
también sea complicado encontrar proveedores que sean expertos
en las tecnologías utilizadas en nuestras organizaciones.
“Una vez que el proveedor notifica al cliente que está siendo víctima de algún tipo
de ataque o que se encuentra fehacientemente bajo amenaza, debe proponer
un plan de actuación de forma inmediata”.
Eduardo García Martínez
CISO
EQUIFAX IBÉRICA
Cualquier proveedor de estas características debe dejar muy claro
como mínimo tres cosas en su propuesta de servicios de ciberseguridad gestionada. A día de hoy estos aspectos deben ser los mínimos y
sin ellos es muy difícil encontrar el valor añadido de un proveedor de
ciberseguridad frente a otro.
El primer elemento clave es un portafolio de servicios definidos y
sumamente detallados. Esto puede parecer una obviedad para cualquier producto, servicio o solución que se lanza al mercado, pero en
este sector no lo es en absoluto. Mucho portfolios son generalistas y no
aportar valor añadido, dado el grado de sofisticación de las amenazas
y la disparidad de modelos de negocio susceptibles de ser víctimas del
cibercrimen o la ciberdelincuencia. Por lo tanto, una oferta de servicios
específicos marcará la primera gran diferencia.
El segundo aspecto a tener en cuenta es la frecuencia de actuali-
zación de ese portafolio, dado que el dinamismo de las amenazas es
sencillamente sobrecogedor. Por ello, las empresas necesitan saber qué
nuevas amenazas pueden gestionar con el proveedor, a qué coste y con
la mayor brevedad posible, para no quedarse desprotegidas.
El tercero, y quizá el más importante, es que una vez que el proveedor notifica al cliente que está siendo víctima de algún tipo de ataque
o que se encuentra fehacientemente bajo amenaza, debe proponer
un plan de actuación de forma inmediata: “ What’s the next step?“ ¿Qué
asesoramiento dará el proveedor y qué acciones deberá llevar a cabo
el cliente?
En este sentido la coordinación de los servicios de contramedidas y
eliminación de la amenaza con la empresa son igual o más importantes
que el propio servicio de detección en sí mismo, pues de nada vale un
servicio que por ejemplo alerta o notifica de ataques de denegación
de servicio, si la empresa no es experta en seguridad y no dispone del
asesoramiento y medios adecuados para contrarrestar la amenaza y
volver a un estado normal en la operación y dinámica de su negocio.
“Las medidas y las métricas de un SLA no son suficientes cuando lo que se requiere
es un servicio maduro y que proporcione valor a la seguridad de la compañía”.
Javier Sevillano
CTSO (Chief Technology Security Officer)
VODAFONE
Los SLA (Service Level Agreement) son imprescindibles para medir la
calidad y cantidad adecuadas de un servicio de seguridad gestionado. Y
son adecuados para muchas de las tareas de un servicio de este tipo, p.
ej. la gestión de reglas de firewall, o la gestión de certificados digitales.
Pero las medidas y las métricas de un SLA no son suficientes cuando
SiC
/ Nº116 / SEPTIEMBRE 2015
08_ARTICULOESTELAR con telvent.i95 95
lo que se requiere es un servicio maduro y que proporcione valor a la
seguridad de la compañía. Por ejemplo, en el caso de las revisiones de
vulnerabilidades o fallos de seguridad de una nueva aplicación antes
de su implantación en un entorno real. No es mejor el que realiza más
revisiones por unidad de tiempo, sino el que lo hace con mayor calidad
para la misma velocidad. Para estas comprobaciones se hace necesaria
la colaboración de un tercero de confianza que actúe como garante de
la calidad del proveedor de servicio principal.
95
03/09/2015 14:13:13
Los CISOs opinan
“Existe una necesidad común de servicios básicos de ciberseguridad, pero echamos
de menos servicios específicos que tengan en cuenta las particularidades de los
modelos de negocio y de operaciones de cada sector”.
Carlos Pérez Navarro
Director de BBVA CERT
GRUPO BBVA
La mayor oportunidad de mejora está en ofrecer servicios de ciberseguridad especializados por sector. Ciertamente existe una necesidad común de servicios básicos de ciberseguridad. Pero echamos de
menos servicios específicos que tengan en cuenta las particularidades
de los modelos de negocio y de operaciones de cada sector.
En ciberseguridad estas particularidades se traducen en que en
cada sector tenemos adversarios con cadenas de valor, perfiles de
atacantes y modus operandi específicos. Y esto deriva en múltiples ne-
cesidades diferenciadas. Por ejemplo, cada sector necesita una inteligencia sobre amenazas a su medida. De igual forma, el malware afecta
de formas diferentes a un banco que a una empresa de energía.
Una buena muestra de esta realidad diferenciada por sector es el
fuerte impulso que están tomando las asociaciones privadas sectoriales y concretamente los ISAC (“Information Sharing and Analysis
Center”). En el sector financiero, el FS-ISAC es una comunidad muy activa con más de 4.400 empresas participantes. La colaboración con los
ISAC es una clara oportunidad para los proveedores de ciberseguridad
gestionada de conocer de primera mano las necesidades particulares
de cada sector y personalizar su oferta de servicios.
“El proveedor debería anticiparse y ofrecer novedades inspiradas en incipientes
cambios regulatorios o amenazas plausibles que puedan tener impacto en los clientes”.
Ramón Ortiz
Responsable de Seguridad Informática
MEDIASET ESPAÑA
El proveedor debería estar comprometido en la correcta definición de las matrices de responsabilidades del servicio que gestiona;
deberá por tanto hacer por conocer correcta y debidamente los que
pueden llegar a ser sus interlocutores llegado el momento de un incidente determinado.
Disponer y utilizar herramientas que utilicen metodología de gestión de servicios de soporte; la supervisión debería detectar, escalar si
fuera el caso y comunicar prontamente posibles incumplimientos de
los niveles de servicio acordados en los contratos, sin olvidar aquellos
servicios de valor añadido no facturables.
En cuanto a la comercialización, ofrecer los servicios requeridos
por las empresas y además anticiparse a ofrecer novedades inspiradas más que en modas o tendencias procedentes del mercado, en
incipientes cambios regulatorios o amenazas plausibles que puedan
tener impacto en los clientes.
Los proveedores de servicios de Seguridad Gestionada podrían
tener la capacidad de practicar fórmulas flexibles de facturación
donde acomodar políticas de inversión y/o gasto según sea necesidad puntual de las organizaciones y en cuanto a reducción de
costes, sobre una tarifa pactada, poder hacer repercutir dinámicamente al cliente el concepto de economía de escalas, al ocurrir
nuevas incorporaciones o bajas en el servicio, pudiendo volver a
la tarifa base.
“Hay varios puntos de medición de la calidad del servicio, y uno de ellos
es la estabilidad del mismo. Ojo con la rotación de personal causada
por la demanda inflacionista de profesionales de ciberseguridad”.
Francisco Lázaro Anguís
CISO
RENFE
En mi opinión, a un proveedor de Ciberseguridad se le debe exigir:
especialización, coordinación, capacidad, industrialización y estabilidad.
Los servicios de Ciberseguridad que proporcione deben estar claramente
diferenciados de la operación de la seguridad, con el foco puesto en el
incidente y no en la incidencia de seguridad; así, la calidad de los servicios
que suministra se medirá por:
1) El grado de coordinación que tenga con otros Centros de Respuesta,
2) La capacidad para: a) generar información preventiva (avisos,
96
08_ARTICULOESTELAR con telvent.i96 96
alertas temprana, inteligencia...); b) responder, asesorar y adaptarse a las
amenazas, tecnologías y métodos de explotación de vulnerabilidades.
3) Su facultad para industrializar las actividades (generación y consumo de IOCs, procedimientos operativos o mecanización de análisis de
tráfico y equipos).
4) Y, finalmente, por la estabilidad en el servicio (ojo con la rotación
de personal causada por la demanda inflacionista de profesionales de
Ciberseguridad).
¿En qué deben mejorar? En todos y cada uno de los aspectos antes
mencionados. Así lo requiere el incremento de incidentes, motivaciones,
tecnologías o capacidades de los atacantes (individuos, grupos, empresas
o naciones).
SEPTIEMBRE 2015 / Nº116 /
SiC
03/09/2015 14:13:24