Vodafone España: estrategia de servicios gestionados de seguridad

P R O Y E C T O S
Vodafone España: estrategia de
servicios gestionados
de seguridad
¿Qué diferencia hay entre la gestión de la ciberseguridad de un banco y la de una
compañía de telecomunicaciones? ¿De qué margen de maniobra se dispone para
la gestión de seguridad en una compañía global, cuando formas parte de uno de los
mercados locales? ¿Es muy diferente la relación metrópoli vs colonias que la inversa,
colonias vs metrópoli? Estas son preguntas que
nos han formulado muchos colegas del sector,
y que tratamos de responder en este artículo.
La clave para dar respuesta a las mismas está,
como veremos, en la última milla.
Javier Sevillano Izquierdo / Roberto López Navarro
La Nochevieja del 31 de diciembre de
1984, Michael Harrison se escapaba de
la fiesta de fin de año que su familia había
organizado en una pequeña hacienda de Surrey (Reino Unido). A medianoche, Michael
sorprendía a su padre, Sir Ernest Harrison,
a la sazón Presidente de Vodafone, con una
llamada telefónica realizada desde Parliament Square (Londres) [1]. “Hola Papá. Soy
Michael. Esta es la primera llamada móvil en
Reino Unido a través de una red comercial”.
La llamada fue el resultado de tres años de
duro trabajo desde la adjudicación de la licencia en 1982.
Treinta años más tarde, Grupo Vodafone
es una de las compañías de telecomunicaciones más grandes del mundo por ingresos
y proporciona servicios de voz, mensajería,
datos y comunicaciones fijas en 26 países –y
tiene acuerdos con otros 57 más– y servicios
de banda ancha fija en 17 países.
A 31 de diciembre de 2015, Vodafone cuenta
con más de 461 millones de clientes de telefonía
móvil y 13 millones de clientes de banda ancha fija.
Vodafone España forma parte del Grupo Vodafone. Los 14.255.000 de clientes de telefonía
móvil y los 2.960.000 de banda ancha fija de
Vodafone España se benefician de la experiencia
y capacidad de esta empresa puntera mundial,
que ayuda a sus clientes –individuos, negocios
y comunidades– a estar mejor conectados. En
2015, el número de empleados en España era
de 6.148 (Vodafone + ONO).
Perspectiva global de ciberseguridad
Esta enorme huella geográfica y virtual enfrenta a Vodafone con la realidad actual de una
ciberamenaza global, altamente estructurada y
organizada [2]. Adicionalmente, es necesario tener
en cuenta la condición de actor principal en uno
de los sectores estratégicos identificados por la
regulación de infraestructuras críticas [3].
78
de un proveedor local de confianza, encargado
de focalizarse en la “última milla”, así como de la
coordinación con los servicios globales.
Es evidente que la selección de este proveedor local es un aspecto clave, no tanto de la
propia estrategia como de la implementación de
la misma. Afortunadamente, España cuenta con
un buen número de organizaciones capaces de
hacer frente a un reto de esta magnitud. Entre
todos ellos, GMV –por su amplia experiencia
en proyectos y clientes internacionales, por su
conocimiento de Vodafone de más de una década y por su expertise en ciberseguridad– ha
sido el seleccionado por Vodafone para poder
garantizar la gestión de la ciberseguridad en la
última milla.
GMV proporciona un servicio gestionado de
ciberseguridad en base a un modelo híbrido, que
aúna la flexibilidad y personalización proporcionada por un equipo experto en ciberseguridad y
el conocimiento de Vodafone, combinándolo con
la elasticidad y capacidad de un
SOC/CSIRT.
Servicios glocales
Es posible citar algunos
ejemplos de servicios que responden a una estrategia globallocal: gestión de incidentes, gestión de vulnerabilidades y gestión
de amenazas.
La naturaleza del negocio de Vodafone requiere incorporar a
todos sus clientes, ya sean particulares o corporativos, en la
superficie de exposición. Es evidente que esta condición afecta
enormemente a la postura de seguridad de la organización e
impacta enormemente en su estrategia de ciberseguridad.
Como consecuencia de todo ello, Vodafone ha definido e implantado una estrategia de
ciberseguridad que, al tiempo que reconoce la
necesidad de actuar con una perspectiva global,
entiende que el objetivo final de todo ciberataque
es un cliente/usuario en un mercado local.
Este principio de glocalidad es uno de los
ejes vertebradores de la estrategia de seguridad
de Vodafone.
La externalización como estrategia
de ciberseguridad
Un claro reflejo de este principio de glocalidad es la estrategia de externalización de servicios gestionados de seguridad. En el caso de
Vodafone España, el modelo de externalización
conjuga los dos aspectos fundamentales:
• Por un lado, se beneficia de la capacidad,
así como economía de escala, proporcionada por
los servicios globales de seguridad desplegados
por Vodafone Grupo.
• Por otro, reconoce la necesidad de dotarse
El servicio de gestión de incidencias es el
encargado de detectar, analizar y dar respuesta
a incidentes de ciberseguridad.
En la actualidad, aproximadamente el 70%
de los casos detectados tiene como origen Vodafone España. El 30% restante es reportado por
el Global SOC de Vodafone Grupo. Sin embargo,
es necesario hacer notar que esta proporción ha
fluctuado a lo largo del tiempo, fruto de los movimientos y cambios organizativos.
El de Gestión de vulnerabilidades es un servicio que se beneficia de las economías de escala.
Así Vodafone Grupo proporciona una plataforma
de análisis global que permite reportar a los mercados locales los resultados obtenidos. De esta
forma, la organización local “únicamente” debe
preocuparse de gestionar los resultados. En el
caso de Vodafone España, esto permite gestionar
las vulnerabilidades de más de 100.000 IPs.
Finalmente, el servicio de gestión de amenazas es un claro exponente de las sinergias que
es posible obtener con una perspectiva global.
Así, el análisis de los ataques y campañas desaJUNIO 2016 / Nº120 /
SiC
P R O Y E C T O S
rrolladas contra un determinado mercado local
puede ser realimentado en forma de inteligencia
en el resto de mercados locales.
Retos
Sin embargo, la consecución de estas sinergias y economías de escala no están exenta
de retos.
La coordinación global-local no es trivial. La
definición de procedimientos y protocolos comunes de actuación –es más, su seguimiento y
aplicación– es un trabajo que requiere una
supervisión continua. Si el segundo principio de la termodinámica [4] nos habla de la
tendencia global del universo a incrementar
su entropía, los entornos multi-culturales deberían tener su corolario particular. Es aquí
donde un fuerte gobierno global, junto con
socios locales capaces de trabajar en este
entorno, resulta imprescindible.
Otro aspecto que causa dificultad es la
percepción de la última milla, o más bien la
dificultad para construir dicha percepción,
desde un servicio global. Esta visión, por
fuerza miope, de la última milla requiere de
un gran esfuerzo local para adaptar y traducir
los principios y criterios globales al mercado
local. Un ejemplo es la gestión de las criticidades asociadas a las vulnerabilidades detectadas por herramientas automatizadas. Sin la
incorporación de la topología local al criterio
automático, no es posible valorar la verdadera
relevancia de una determinada vulnerabilidad. Sin
embargo, dado que no es práctico ni eficiente
incorporar esta visión local en el servicio
global, se llega a una situación de
doble caracterización de la criticidad de una vulnerabilidad,
lo que supone un claro sobrecoste en su gestión.
Sin embargo, el mayor
de los retos que plantea una
estrategia glocal es la capacidad de aprender y transmitir el conocimiento con la velocidad requerida por el
ámbito de la ciberseguridad. Con toda certeza,
un incidente de seguridad, un ataque, una campaña que hoy se desarrolla contra un mercado
local, se desarrollará mañana contra otro (un
ejemplo claro han sido las últimas campañas de
ransomware). El reto es transformar la experiencia obtenida en inteligencia actuable que permita
mejorar la preparación y respuesta.
Se hace necesario establecer un adecuado
balance entre el aprovechamiento de las capacidades, procedimientos y buenas prácticas
que proporciona una compañía global, con la
agilidad y capacidad de control que proporciona el desarrollo de las capacidades locales.
Cuando se diseña una solución de seguridad
relativa a un aspecto concreto, el primer análisis es conocer las capacidades globales,
cuántas de ellas se pueden/deben aprovechar,
y cuáles se van a proporcionar en local. En
SiC
/ Nº120 / JUNIO 2016
ocasiones, sobre todo en temas de innovación
en seguridad, el balance es netamente local,
y una vez probado y confirmado el funcionamiento de la solución en uno de los mercados
locales, se efectúa el traslado de la solución
a la “metrópoli”, para su aprovechamiento por
el resto de la compañía.
No puede dejarse de mencionar, aunque no
se ha abordado en el presente artículo, la propia
naturaleza del negocio de Vodafone, que requiere
incorporar a todos sus clientes, ya sean parti-
guridad. El reporte directo al CTO y su presencia
de los responsables de seguridad en los más
altos foros de decisión tecnológica, proporciona
la indispensable visibilidad y capacidad, y provee
al CTO de una visión de la seguridad tecnológica
de primera mano, indispensable en el concepto
de “seguridad por diseño”.
Las reglas del juego cambian el abordar un
escenario global. No es tanto el mercado, los servicios o las tecnologías implicadas (los firewalls,
IPS, SIEM, WAF, DAM, y demás “munición” de
seguridad son semejantes
en cualquier sector) como
la integración en una estrategia y organización global
que tiene que dar respuesta
a una amenaza global.
El hecho de que la matriz de la compañía sea de
origen inglés, le confiere
especial relevancia al cumplimiento normativo y regulatorio. Una conveniente
GMV proporciona al operador un servicio gestionado de
ciberseguridad en base a un modelo híbrido, que aúna la
flexibilidad y personalización proporcionada por un equipo
experto en ciberseguridad y el conocimiento de Vodafone,
combinándolo con la elasticidad y capacidad de un SOC/CSIRT.
culares o corporativos, en la superficie de exposición. Es evidente que esta condición afecta
enormemente a la postura de seguridad
de la organización y que impacta
enormemente la estrategia de
ciberseguridad. Este movimiento de las “mesnadas”
de ciberseguridad fuera de
los muros del “castillo” corporativo para defender los
intereses de la compañía y sus
clientes en las infraestructuras y
dispositivos de clientes particulares y corporativos, es algo cada vez más común entre
sectores, y que crece a gran velocidad.
Lecciones aprendidas
La cercanía de los CISO/CTSO/CSO/PDO a
la alta dirección es fundamental para lograr los
objetivos de una adecuada estrategia de ciberse-
diferenciación entre los conceptos de seguridad
y cumplimiento se hace necesaria, de cara a enfocar los esfuerzos de seguridad, siempre más
limitados de lo que a los responsables del sector
nos gustaría, a los aspectos más relevantes de la
gestión de la ciberseguridad.
Si bien la estrategia, modelo de gobierno,
organización, etc... son globales, las amenazas
y ataques se materializan en la última milla. Las
trincheras están en casa y es dónde se luchan
las batallas día a día. 
Javier Sevillano Izquierdo
Responsable de Seguridad Tecnológica
Vodafone España
Roberto López Navarro
Jefe de la División de Servicios Gestionados
Secure e-Solutions
REFERENCIAS
[1] Para los nostálgicos y amantes de lo retro, la llamada se realizó desde un terminal Transportable Vodafone
VT1 (http://www.vodafone.com/content/index/media/vodafone-group-releases/2014/thirtieth_anniversary_uk_
mobile_call.html) con un peso de 5 kg.
[2] A. Hutchings, T. Holt: “A crime script analysis of the online stolen data market”. British Journal of Criminology,
55(3), 2015, pp 596-614 (https://www.cl.cam.ac.uk/research/security/publications/)
[3] Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras
críticas.
[4] Consultar https://es.wikipedia.org/wiki/Segundo_principio_de_la_termodin%C3%A1mica
79