Centro de Conocimiento en Ciberseguridad La ciberseguridad gestionada en la encrucijada de la transformación El mundo de hoy está sumido en una transformación en la que las amenazas y los ataques con componente parcial o total de ciberseguridad empiezan a pesar y justifican sobradamente la existencia de un pujante sector profesional dedicado a la defensa y a la respuesta. Y en ese sector, ocupan un lugar relevante los proveedores de servicios de ciberseguridad gestionada (MSSPs). Los hay de distintos tamaños, con distinto alcance, generalistas, muy especializados, con tradición, oportunistas… En las siguientes páginas, e imbricado en el espacio de conocimiento Ágora SIC, esta publicación ha realizado un trabajo acerca del estado del arte y futuro de este tipo de servicios de externalización, pulsando la opinión de CISOs, proveedores y especialistas muy destacados. SUMARIO • La analítica avanzada y la sectorización definirán a los MSSPs 2.0 que reinen en un negocio pendiente de regulación específica. • Situación y evolución de los servicios gestionados de ciberseguridad: hacia • • • el 3.0 y más allá…, por JUAN MIGUEL VELASCO Tu proveedor (de seguridad gestionada) no es seguro, por ANTONIO RAMOS Los MSSPs opinan: Proveedores de Servicios de Ciberseguridad Gestionada: tiempos de transformación. Los CISOs opinan: Servicios de ciberseguridad gestionada: ¿hay espacio para la mejora? * Es posible obtener una versión en pdf de este especial rellenando el formulario disponible en www.revistasic.com 08_ARTICULOESTELAR con telvent.i71 71 03/09/2015 14:11:20 El mercado corporativo de servicios de ciberseguridad gestionada no parará de crecer durante el próximo lustro La analítica avanzada y la sectorización definirán a los MSSPs 2.0 que reinen en un negocio pendiente de regulación específica La proliferación de ciberamenazas cada vez más complejas, la dificultad de las organizaciones de contar con centros y equipos de expertos propios, completos y sostenibles para hacerlas frente y la diversidad de los entornos informáticos, de red y dispositivos en los que se desarrollan los negocios y actividades han acelerado durante estos años la adopción de servicios de ciberseguridad gestionada por terceros. Este aumento de la demanda de este tipo de externalización, con previsiones de crecimientos anuales en torno al 20%, no solo ha conllevado un incremento en el número de proveedores, sino también en su tipología, desde aquellos que prestan desde Centros de Operaciones de Ciberseguridad únicamente servicios generales básicos o parciales, a los que, una ver cubiertos estos servicios básicos por el mercado, se centran en los de nuevo cuño, definidos por la correlación avanzada, el análisis de inteligencia y la prospectiva como piezas clave, o los que lo aplican a ámbitos específicos, como los entornos industriales y las infraestructuras críticas, o la lucha contra el fraude en sus diversas manifestaciones. Y todo ello, al menos en España, a la espera de un reglamento (el que se prevé en la Ley de Seguridad Privada) que defina los actores de un mercado en el que aún queda mucho por hacer… y por repartir. Cuando un mercado considerado maduro experimenta una nueva evolución que ha de catapultarlo a una mayor previsión de ingresos, cabe preguntarse el por qué de tal suceso y evaluar aspectos como su posición con respecto a otros segmentos de negocio, principales actores que conforman y protagonizan tal impulso o nuevas tecnologías que hacen un panorama a todas luces halagüeño para quienes desembarquen en él con garantías y una buena proposición. Los servicios de ciberseguridad gestionada se han venido ofreciendo durante una década. De un modo u otro, la gestión de la navegación web, del servicio de correo electrónico o el análisis antivirus ya se han convertido en productos sumamente solicitados por las empresas, llevando a los proveedores (MSSPs – Managed Security Service Provider) a conformar una oferta consolidada sobre esa creciente demanda e incluso proporcionándoselos 72 08_ARTICULOESTELAR con telvent.i72 72 SOC de Accenture SOC de BT SOC de Deloitte a los clientes como parte de servicios globales. Sin embargo, la evolución mencionada no llega por un repunte de estos servicios, sino por la aparición de otros más avanzados que por diversas razones están experimentando tal auge que ha llevado a numerosas organizaciones a sumarse a este mercado con una oferta más o menos cuidada y diferencial. Estos servicios, que para la consultora Frost & Sullivan son los relacionados con la inteligencia frente a amenazas, la investigación, la detección y el remedio, están creciendo el doble, por ejemplo, que la gestión y monitorización de elementos de seguridad. No obstante, también es cierto que, hasta la fecha, las soluciones más estándarizadas representan aproximadamente el 80% de la cifra de negocio total en la región EMEA (Europa, Oriente Medio y África). SEPTIEMBRE 2015 / Nº116 / SiC 03/09/2015 14:11:28 Eso sí, numerosos proveedores están creando grupos de especialistas capaces de analizar vulnerabilidades y peligros, correlacionar eventos, comparar alertas e intervenir una vez que se presenta el ataque. Esto hace que todo esté encaminado hacia una seguridad basada en la correlación avanzada, el análisis de grandes cantidades de datos (big data), que son esenciales en la prevención, detección y respuesta. Tendencia imparable La prestación de servicios de ciberseguridad no parará de crecer en los próximos años y las causas podrían tildarse de obvias. Por ejemplo, para ABI Research, el motivo principal de este crecimiento radica en que la implementación y la gestión de un programa de seguridad exitoso dentro de una empresa se ha convertido en un asunto complejo, dado que la mayoría de las organizaciones carece de la experiencia necesaria para gestionar soluciones de seguridad TIC de una amplia variedad de proveedores. A este factor se une el hecho de que se sufre un continuo incremento de las amenazas y de la perpetración de “ciberdelitos”, la necesidad de cumplir con las regulaciones, estándares y leyes de protección de datos (incluidos los personales), la escasez de expertos en ciberseguridad y la constricción de los presupuestos de TI. Por su parte, Gartner también señala cuatro factores de crecimiento, en línea con los que se acaban de citar: • Menores presupuestos y personal especializado. • Adopción de tecnologías de seguridad y herramientas analíticas para prevenir, identificar y responder a ataques SiC / Nº116 / SEPTIEMBRE 2015 08_ARTICULOESTELAR con telvent.i73 73 El mercado de MSSPs en España Nuestro país ha sido pionero en la provisión de algunos servicios específicos de seguridad TIC gestionada desde SOC (principalmente básicos de red), un mercado que se inició hace bastante más de una década de la mano de compañías como la española GMV Soluciones Globales Internet, SIA, S21Sec (hoy en manos del grupo portugués Sonae) y algo posteriormente Ecija y Telefónica. A ellos se fueron sumando actores como Accenture, IBM, Iecisa o Atos, que jugaban en el terreno más general de la externalización total o parcial de la función de TIC y que, por tanto, prestaban a tenor de esta circunstancia atención a la ciberseguridad en el marco de sus contratos. Casi simultáneamente aparecieron otros proveedores con SOC como Innotec System (Grupo Entelgy), las antaño competitivas Unitronics y Oesía, algunos integradores clásicos de tecnologías que ofrecían gestión de dispositivos de red, ciertos fabricantes con línea de servicios, como Symantec, y algún significado mayorista cuya iniciativa para pymes no prosperó. Ya desde hace tiempo han entrado en este mercado actores muy relevantes, desde el gigante de servicios tecnológicos Indra, la big four Deloitte –que cuenta con ciberSOC en España–, HP Enterprise Security Servicies y BT –ambas con SOC en nuestro país integrados en sus redes mundiales de SOCs–, hasta compañías como la española S2 Grupo –pionera en la ciberseguridad orientada a los entornos industriales, aunque atienda también a otros ámbitos más generales–, Telvent –igualmente enfocada a los entornos industriales–, Mnemo –que intenta abrirse camino en este segmento en el mercado ibérico–, Aiuken –un proveedor muy especializado que va ganando mercado–, MDtel o Prosegur –que dispone de SOC, aunque su estrategia de penetración en el mercado sea dubitativa–. También otras empresas están sopesando dar el paso y desembarcar al fin en este mercado. Entre estos posibles new players no resulta difícil imaginar la llegada de operadores competidores, decididos a importar los exitosos y jugosos ‘savoir faire’ de sus nodrizas británicas, francesas y norteamericanas en estas materias. Con todo no será tarea sencilla posicionarse tras una miopía mercantil de lustros para con el mercado español. Sin duda, las bazas de sus estrategias pasan por ofrecer los obligados servicios básicos, pero realmente hacer hincapié en otros muy exclusivos y completamente sectorizados, a la espera de que el crecimiento en el uso de la nube y cambios en la legislación pueda ampliar el caladero de clientes. Mientras tanto, los proveedores de proveedores de MSSPs (correlación avanzada, vigilancia digital e incluso fabricantes de productos de seguridad para red y nube…), estudian el impacto en sus negocios de ir directamente o no a proveer servicios al usuario final. Principales MSSPs en España A continuación se listan las principales compañías –españolas o que operan en España– con centros de operaciones de seguridad y/o prestación de servicios de seguridad gestionados, avanzados y a medida. • Accenture • BT • Deloitte • GMV • HP • IBM • Indra • Innotec System (Grupo Entelgy) • Telvent • Mnemo • S2 Grupo • S21Sec • SIA • Telefónica 73 03/09/2015 14:11:33 Principales servicios estándar que ofrecen los MSSPs • Filtro de correo electrónico • Antivirus en el puesto de trabajo • Gestión de cortafuegos • Firewall multifunción (UTM) • Consultoría de cumplimiento, riesgo y gobierno • Gestión de sistemas de protección/detección de intrusiones (IDS) • Anti DoS y DDoS • Servicios de gestión de acceso e identidades • Gestión de logs, monitorización y archivado • SIEM • WAF • Inteligencia ante amenazas • Detección y remediación de APTs • Monitorización de aplicaciones web • Gateways (mensajes y tráfico web) • Pentesting avanzados. • Incremento en la adopción de servicios basados en la nube. • Evolución de los informes de cumplimiento de regulaciones. Todo ello ha llevado a que las compañías opten por sis- temas de seguridad TIC integrales, una constante que se está reflejando incluso en el ámbito de los consumidores y del sector público. Es más, organismos gubernamentales de nuestro país como el CCN CERT ya recomiendan optar por protección avanzada, así como por aumentar la capacidad de vigilancia con equipos externos de ciberseguridad. El resultado de este incesante movimiento no se está haciendo esperar y la tendencia alcista actual tendrá continuación los próximos años, a tenor de lo que prevén algunas de las principales consultoras a nivel mundial. Por ejemplo, la mentada ABI Research estima que el mercado mundial de servicios de seguridad gestionada tendrá un valor de 15.400 millones de dólares a finales del presente año, llegando a alcanzar los 32.900 millones en el año 2020. Por su parte, Infonetics Research apunta que el mercado de la seguridad gestionada superará los 9.000 millones de dólares en 2017; mientras que la anteriormente citada Frost & Sullivan predice que el mercado de MSSPs en la región EMEA moverá 5.000 millones de dólares en 2018. Asimis- Mercado Financiero Al igual que en el resto de sectores, las empresas financieras están optando por servicios de ciberseguridad atendiendo a las mismas razones: la sofisticación creciente de las amenazas, la necesidad de reducir los costes y la falta de personal experto. Sin embargo, la particular idiosincrasia de este segmento de mercado conlleva un factor clave para una correcta relación entre el MSSP y el cliente: los riesgos adicionales a que se ven expuestas las instituciones financieras cuando optan por servicios externalizados. De acuerdo con el Consejo Federal de Instituciones Financieras de Estados Unidos (FFIEC), en su Manual de Sistemas de Información – Apéndice de Servicios de Seguridad Gestionada, una gestión exitosa en este campo ha de incluir un contrato con un acuerdo mutuo de SLAs, así como estrategias para asegurar la transparencia (comunicación regular entre la institución y el MSSP en materias como el cambio de control, la resolución de problemas, las evaluaciones de amenazas; y descripciones de procesos para controles físicos y lógicos de los datos de la institución financiera). A esto hay que añadir una revisión periódica de los procesos del MSSP, la infraestructura y 74 08_ARTICULOESTELAR con telvent.i74 74 el entorno de control. En dicho documento, el FFIEC asume como clave la evaluación de riesgo en los sistemas de información, las aplicaciones y los datos más críticos, de modo que los procesos han de estar mucho más controlados que en cualquier otro tipo de organización. Asimismo, la infraestructura de seguridad de la información ha de contar con herramientas para el control y la gestión de accesos, la protección contra malware, el manejo de datos y medios, el desarrollo de aplicaciones e integración de sistemas, la continuidad del negocio y la recuperación ante desastres, así como la gestión de la respuesta frente a incidentes. Y por supuesto, las obligaciones deben quedar bien definidas en el contrato, que debería incluir: responsabilidades explícitas de MSSP y la propia institución financiera en cuanto a servicios proporcionados y tiempos de implementación; derecho a modificar los servicios existentes, tipo y frecuencia del reporte disponible, actividades a las que el MSSP puede conducir cuando está operando una red de un cliente, pertenencia de los datos generados por la seguridad de los propietarios y por la monitorización de terceras partes, y derechos de acceso garantizados al MSSP. SEPTIEMBRE 2015 / Nº116 / SiC 03/09/2015 14:11:35 mo, prevé que estos servicios conseguirán 3.500 millones de dólares en ese mismo año en Norteamérica. Research and Markets, en cambio, asegura que este segmento subirá desde los 14.300 millones de dólares de 2014 hasta los 31.900 millones en 2019, con un crecimiento anual del 17,3%. Finalmente, también de cara a 2018, Gartner considera que más de la mitad de las organizaciones utilizarán servicios de seguridad especializada en protección de datos, gestión del riesgo en la seguridad y gestión de infraestructuras de seguridad. Además, desvela que en 2015 un 10% de las capacidades de protección para grandes empresas estarán en la nube, siendo del 30% si se habla de pequeña y mediana empresa. pecto de la ciberseguridad; y flexibilidad, ya que es más sencillo adaptar un servicio externalizado ampliando su alcance, funcionalidad, incrementando la capacidad, etc., que reorganizar la propia empresa. Eso sí, esta empresa pública estatal también se refiere a los SOC de GMV Ventajas… y desventajas Como se ha señalado, las causas de la mayor oferta y demanda de servicios de seguridad externalizados son diversas, tantas como las ventajas que pueden suponer para el usuario su contratación. En este punto, el propio INCIBE (Instituto Nacional de Ciberseguridad) pone nombre a esas ventajas. Y es que, además de que los servicios de gestión de la ciberseguridad son claves de cara a afrontar los requerimientos regulatorios y de cumplimiento (compliance), aportan especialización y calidad, una clara reducción de costes (no existe necesidad de invertir en software, hardware o recursos humanos, ni en llevar a cabo una constante actualización de los productos instalados), un menor impacto por la obsolescencia; una mayor atención a los procesos de negocio, pues no se pierde tiempo en el as- SiC / Nº116 / SEPTIEMBRE 2015 08_ARTICULOESTELAR con telvent.i75 75 SOC de HP inconvenientes de subcontratar servicios de ciberseguridad, entre los que destacan aspectos nada triviales: dependencia de terceros que puede tener implicaciones negativas desde el punto de vista de la seguridad de la información; acceso de estos a la información corporativa, y poner el know-how en manos del proveedor. En estos casos, durante la provisión del servicio se genera conocimiento. Si se externaliza la prestación del servicio de ciberseguridad se corre el riesgo de perder dicho conocimiento e incluso de que salgan a la luz vulnerabilidades de los sistemas de información. Hay que tener en cuenta que la subcontratación conlleva el acceso de terceros a la información de la empresa, por lo que hay que protegerla de accesos o tratamientos no adecuados, al tiempo que han de adoptarse las medidas de seguridad que marca la LOPD y otras legislaciones generales y sectoriales concernidas. Proveedores de toda condición SOC de Indra SOC de Innotec System (Grupo Entelgy) Así pues, teniendo en cuenta el hecho de que la mayoría de las empresas ya no puede defender solas con garantías sus infraestructuras y su información por razones de eficiencia y rentabilidad y de que la externalización de la ciberseguridad se ha convertido en un elemento común, se está viviendo una cierta proliferación de la oferta que ha llevado a la aparición de numerosos proveedores de servicio, los cuales se han sumado a esta tendencia, 75 03/09/2015 14:11:37 Seguridad como servicio en la nube Una de las variantes dentro de los servicios gestionados de ciberseguridad que está despertando un mayor interés y, por lo tanto, mayores crecimientos, es su modalidad como servicio en la nube. Y aunque no está claro qué porcentaje de estos servicios cloud serán ofrecidos por MSSPs, Gartner tiene muy claro que la seguridad en la nube se está expandiendo hacia la forensía de la red, la detección de fraude y APTs. Es más, según una encuesta que esta consultora ha llevado a cabo, el 70% de los que respondieron a la misma tiene un gran interés en la ciberseguridad cloud, mientras que un 37% está interesado en aumentar la inversión por encima del 10%. Esto hará que la seguridad como servicio cloud crezca durante los próximos cuatro años, aumentando el tipo de servicios que se ofrecerán a todo tipo de empresas: desde la seguridad del correo electrónico y de la pasarela web, la gestión de identidades y accesos, o SIEM (gestión de eventos e información de seguridad), hasta la gestión de intrusiones, el cifrado, la recuperación ante desastres, la continuidad del negocio y la seguridad de red. Gestión de accesos e identidades como servicio La identificación, la verificación de credenciales y la gestión de las identidades y de los accesos se han convertido en herramientas esenciales para evitar la pérdida de oportunidades, el incumplimiento de normas o una exposición a riesgos no controlada. La necesidad de contar con sistemas de gestión de identidades (IaM) bien construidos, flexibles y adaptables es una realidad de mercado que tiene su reflejo en el aumento de la demanda de servicios que los proporcionen. De acuerdo con un reciente informe publicado por Gartner, las compañías dedicadas a IDaaS (gestión de identidad y acceso como servicio) ofrecen un servicio basado en la nube en un modelo multitenant, dedicado y alojado que se centra en IGA (administración y gobernanza de identidades), funciones de acceso e inteligencia para sistemas concretos tanto en la nube como en los sistemas del usuario. Se trata de un mercado que está en sus primeros días y que se ha incrementado debido al aumento de la competitividad entre lo proveedores de PaaS (Plataforma como servicio). En este sentido, los proveedores de IDaaS pueden crear conexiones con los de SaaS (Software como Servicio) para propuestas de autenticación, entrada única (SSOsingle sign-on) y gestión de cuentas. Además pueden construir puentes entre la identidad on-premise de los clientes y los servicios de autenticación. Gartner también estima que en 2014 este mercado movió 260 millones de euros y prevé que termine 2015 con 367 millones. Además, considera que los proveedores proporcionan una mayor ciberseguridad para servicios de IAM que la que los propios clientes podrían tener por sí mismos. 76 08_ARTICULOESTELAR con telvent.i76 76 detectándola como la más provechosa y, en parte, como el único camino para seguir evolucionando en un mercado que cada día se ha de enfrentar a nuevos retos. Pero no todos han cruzado las –cada vez más– amplias puertas que llevan a la condición de MSSP del mismo modo. Las capacidades, la experiencia, la situación geográfica e incluso la naturaleza de los servicios que prestan les diferencian, puesto que no es lo mismo una operadora con presencia internacional y propietaria de infraestructura de red, que un integrador que haya aunado las tecnologías de algunos fabricantes para ofrecer servicios a su cartera de clientes o una big four. Por lo tanto, se antoja casi necesaria una división que ayude a las empresas, como potenciales clientes que son, a optar por aquellos servicios que realmente necesitan. Al observar las diferenciaciones que realizan algunas consultoras internacionales, la opción de Gartner pasa por dividir a los MSSPs de un modo muy genérico, al catalogarlos como “jugadores puros”, integradores de sistemas y operadores y proveedores de servicios de red. Sobre los “jugadores puros”, la consultora apunta que suelen ser pequeños y completamente enfocados en los servicios de seguridad, incluso únicamente en mercados verticales, en el cumplimiento de regulaciones o en amenazas avanzadas. Por su tamaño, muchos de ellos son susceptibles de ser adquiridos por compañías mayores, que buscan la capacidad y especialización de este tipo de proveedores. Respecto a los integradores de sistemas u outsoucers de procesos de negocio, se caracterizan por gestionar disposi- SEPTIEMBRE 2015 / Nº116 / SiC 03/09/2015 14:11:43 SOC de Mnemo SOC de S21sec tivos de seguridad como parte de una oferta mayor, de ahí que tiendan a adquirir “jugadores puros”. Finalmente, los operadores y proveedores de servicios de red gestionan productos de seguridad de red y habitualmente proporcionan monitorización remota y servicios basados en la nube. Forrester, en cambio, divide a los proveedores por su tamaño, aunque le presta mayor atención a los emergentes, es decir, a aquellos que se caracterizan por ofrecer unas capacidades tecnológicas de seguridad competentes, unos precios efectivos, un excelente servicio al cliente, una plantilla experimentada y flexibilidad. No obstante, las divisiones que estas dos compañías realizan están simplifi cadas si se tienen en cuenta las diversas naturalezas de los proveedores de servicios gestionados de ciberseguridad que pueblan actualmente el mercado y que, con toda certeza, seguirán SiC / Nº116 / SEPTIEMBRE 2015 08_ARTICULOESTELAR con telvent.i77 77 SOC de S2 Grupo SOC de SIA Nubes públicas y sus políticas de seguridad Forrester analizó durante el último trimestre del pasado 2014 un mercado que afecta directamente al tema que aquí se trata: los servicios de plataforma cloud, cuyo crecimiento en el mercado está siendo imparable y que, al ser servicios en la nube, han de contar con unos mínimos (o máximos) requisitos de seguridad. En el estudio, Forrester entra de lleno en las medidas de protección que compañías como IBM, Amazon o Microsoft proporcionan en sus respectivas plataformas y que, como es evidente, podrían restar negocio a proveedores de seguridad en la nube que estén centrados en las áreas más básicas. La primera conclusión a la que la consultora llega es que estas plataformas ofrecen seguridad física y lógica efectivas, aunque también es cierto que de trece compañías a las que invitó a formar parte, sólo cuatro aceptaron el reto. Esto podría deberse a dos razones: la certeza de que si se habla sobre su ciberseguridad, se abren las puertas a más ataques o simplemente por una falta de confianza en sus controles. En el estudio, Forrester evalúa las aproximaciones de los proveedores al control de acceso (soluciones IAM de terceros, Directorio Activo, seguridad en el entorno de computación, seguridad física del centro de datos, seguridad efectiva en la red, certificaciones y soporte profesional). 77 03/09/2015 14:11:48 haciéndolo los próximos años. Operadores de telecomunicaciones, fabricantes de TIC que han decidido ofrecer servicios, integradores clásicos que aumentan su cartera de soluciones para afrontar una realidad de la que podrían quedarse fuera en caso de seguir optando por ofrecer únicamente productos ligados a proyecto, proveedores de tecnología de correlación, análisis e inteligencia en la nube, proveedores tradicionales de servicios de TI que han ampliado su oferta tradicional –en la que solían ofrecer una parte integrada de seguridad en red–, proveedores que ponen servicios (de marca blanca) a disposición de los demás MSSPs… La tipología es, por lo tanto, abundante y recoge muy diferentes idiosincrasias, a lo que hay que añadir la diversidad de los servicios que se prestan: desde los más típicos de protección del perímetro, del correo-e o del tráfico en Internet, hasta los de inteligencia frente a amenazas avanzadas. Las opciones son muy numerosas y variadas. Pero ¿hacia Servicios de ciberseguridad industrial Aunque, tal y como sucede con el mercado dedicado a la seguridad de sistemas industriales, aún hay mucho terreno que recorrer, los servicios de ciberseguridad industrial tienen ante sí un amplio campo que abonar. Por ello, el Centro de Ciberseguridad Industrial (CCI) ha publicado recientemente el “Catálogo de Proveedores de Servicios y Soluciones de Ciberseguridad Industrial”, en el que recoge un completo inventario que refleja la creciente oferta existente, organizándola en diez categorías de servicios (Análisis e investigación de mercado, Concienciación, Formación, Técnico, Consultoría, Auditoría, Certificación, CERT, SOC e Inteligencia) y ocho de soluciones (Control de acceso, Cumplimiento, Monitorización de red, Monitorización de sistemas, Protección de red, Protección de sistemas, Ciberresiliencia y Protección Integral). Por otra parte, dentro de los sistemas industriales se hallan la mayoría de las infraestructuras críticas, es decir, aquellas que proporcionan servicios esenciales y cuyo funcionamiento según la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas (LPIC) “es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”. Por lo tanto, los proveedores que proporcionan servicios de ciberseguridad a los operadores críticos, han de atenerse a unos requisitos y unas necesidades que conllevan una formación y una capacitación diferenciadas del resto. De ahí que la propia ENISA (European Union Agency for Network and Information Security) publicara un informe en el que ofrecía recomendaciones para el desarrollo de programas de certificación de las aptitudes de los expertos que trabajan en Sistemas de Control Industrial (ICS) y en Sistemas de Supervisión para el Control y la Obtención de Datos (SCADA) en Europa. Esto se debe a que en la actualidad, los conocimientos sobre los programas de certificación disponibles son limitados, lo cual conlleva un número reducido de profesionales cualificados. 78 08_ARTICULOESTELAR con telvent.i78 78 dónde ha de encaminarse un MSSP si desea acaparar buena parte del pastel que se presupone para los próximos años? ¿Cómo diferenciarse en un mercado donde la oferta se ha multiplicado ante las necesidades del tejido empresarial? ¿Qué debe exigir el cliente como una correcta prestación de servicios de ciberseguridad? ¿Están todos los proveedores preparados para atender las peticiones de una organización que pone en sus manos información vital para el negocio siendo competitivo también en la relación calidad/precio? A ello se viene a sumar el estudio, sin necesidad de salir de España, de una futura y polémica regulación de los proveedores de servicios de ciberseguridad gestionada que siente las bases en las que los actores de un mercado creciente (y cada vez más global), ofrece servicios en los que se manejan datos críticos tanto de compañías como de personas, y que tienen interés para las investigaciones estatales de presuntos ciberdelitos. Precisamente, uno de los asuntos más problemáticos al que se enfrentan y enfrentarán los MSSPs habrá de estar presente en el texto que se promulgue. Se trata de la regulación de la actividad de los analistas que tienen acceso a información “delicada” y que posteriormente pueden fichar por otras empresas, llevándose inevitablemente un conocimiento muy preciso de datos críticos de terceros. Hacia el MSSP 2.0 En este escenario y atendiendo a lo que apuntan los analistas, las grandes compañías están buscando lo que se ha venido a denominar como MSSP 2.0, es decir, un proveedor que ofrezca un conjunto SEPTIEMBRE 2015 / Nº116 / SiC 03/09/2015 14:11:54 de servicios capaces de afrontar las amenazas y el constante flujo de ataques (de mayor o menor importancia) que la mayoría de organizaciones sufre cada día –buena parte de ellos sin siquiera percatarse–. Por ello es necesario que dicho proveedor desarrolle conocimientos, que sea capaz de recolectar información de atacantes, métodos y motivos, que utilice analítica avanzada y que proporcione capacidades de protección y detección adaptativas. Es decir, que sume inteligencia a sus servicios tradicionales. Y es que, la inteligencia y el análisis comienzan a antojarse esenciales para proporcionar el conjunto de servicios más completo o, al menos, aquel que pueda afrontar un tipo de amenazas que se multiplica y que, a fin de cuentas, está moviendo al sector. Los analistas se refieren a una visión holística, con servicios complementarios, inteligencia frente a amenazas y el desarrollo de talento humano para ofrecer seguridad preventiva y proactiva y en un entorno multilegislativo. En relación con esta visión, una constante que está observándose en los MSSPs más avanzados, según IDC, es la combinación de servicios con SOCs. En esa idea abundan en ABI Research, para quienes dichos SOCs, aunque no son requeridos, añaden valor a la proposición del proveedor porque suman no solo un centro de investigación, sino laboratorios de desarrollo y profesionales de la seguridad enfocados únicamente en soluciones contra amenazas. Este aspecto ayuda en la citada inteligencia de seguridad y en soluciones analíticas, así como en la creación de automatismos frente a ataques, lo que, a la postre, supone una ventaja competitiva para el MSSP. SiC / Nº116 / SEPTIEMBRE 2015 08_ARTICULOESTELAR con telvent.i79 79 No obstante, aún queda camino por recorrer, pues, como se ha apuntado con anterioridad, la especialización en servicios de nicho o que responden a necesidades muy puntuales podría ocupar un espectro de negocio que ofrecería importantes beneficios a quienes la ofrecieran. Y será la capacidad de diferenciarse la que lleve a unos proveedores a salir airosos frente a competidores menos preparados o que no sepan interpretar un mercado durante los dos próximos años serán las de IAM (gestión de accesos e identidades), gestión de eventos y seguridad de la información (SIEM) y monitorización de la seguridad. Claro que al referirse al tipo de MSSP que va a conseguir un mayor negocio, en esta entidad analista se decantan por los que ofrecen seguridad como servicio en modo “hosteado”, pues supondrá la mayor oportunidad de crecimiento en el mercado en los próximos años. Global vs. local SOC de Telefónica SOC de Telvent que se mueve a una velocidad vertiginosa ante la constante actividad delictiva. Como se ha señalado, esa diferenciación se basa en capacidades, que van desde la oferta de avanzados modelos de entrega de soluciones de software y hardware como servicio, hasta la reventa de servicios de marca blanca, pasando por un catálogo extenso o basado en alguna tecnología concreta. Eso sí, según ABI Research, conviene precisar que las áreas de mayor crecimiento Finalmente, cabe reseñar que el factor geográfico también será un aspecto a tener en cuenta para los proveedores, tanto en lo que se refi ere al área geográfica en la que se enfoquen, como, precisamente, en el hecho de tener presencia local que asegure una mejor comprensión de las necesidades de sus clientes y de la reglamentación de cada zona. Respecto a geografías, el mercado norteamericano será el que aporte mayores beneficios, seguido por Europa, aunque se prevé crecimiento en Asia Pacífico, Latinoamérica y Oriente Medio y África. Asimismo, en el ámbito europeo, la adopción de servicios de alta gama será rápida en los países nórdicos En cuanto al segundo factor citado, Frost & Sullivan asegura que la presencia física en el país es un elemento diferenciador, ya que señala que tener una presencia global no siempre es una ventaja en la región EMEA. Es más, muchos de los proveedores radicados en estos países destacan su nula afiliación con Estados Unidos como ventaja competitiva. ■ SIC 79 03/09/2015 14:11:56 Situación y evolución de los servicios gestionados de ciberseguridad: hacia el 3.0 y más allá… La evolución del mundo a digital y la entrada en escena de la Cloud, la Internet Of Things (IoT), las aplicaciones móviles y el Big Data, entre otros, exigen a los proveedores de programas y servicios de seguridad una evolución urgente. Es la nueva ciberseguridad 3.0, servicios sin fronteras digitales ni geográficas, sin perímetro a ‘securizar’ y con alcance en todos los ámbitos tecnológicos y analógicos, una evolución que muchos usuarios (CSO y CISOs) no han sabido ver aún. De la evolución de los servicios 1.0 a la ciberseguridad 3.0, este artículo recorre los tipos de servicios y las características que deben tener para anticipar y proveer soluciones eficaces en los nuevos entornos. Juan Miguel Velasco SERVICIOS DE GENERACIÓN 1.0: DE LA MEDIOCRIDAD AL TAXÍMETRO mente o no... Estos servicios de outsourcing no son Seguridad Gestionada, y si bien su precio puede ser competitivo, sólo ofrecen manos de operación al Cliente para administrar sin un gobierno de la seguridad, ni preocuparse de la estrategia de Ciberseguridad, ni políticas, ni POS en producción –en resumen, sin Seguridad Gestionada–, y para nada implementan una buena política de mejora continua (PADC). Son servicios que tienen todos los grandes proveedores de TI, Integra- personalizado a el/los Clientes. En la Figura 1 se pueden observar los elementos de plataforma de proveedor de servicios de seguridad comunes que se deberían Después de casi más de 25 años en TI contar como base mínima; estos elemeny los últimos 17 en Seguridad en Grandes tos son esenciales para proveer como el Corporaciones, se hace uno a la idea de conocimiento compartido y una platacómo está el panorama de los servicios forma de gestión. Sin ellos es imposible gestionados. En la actualidad “disfrutaproveer una gestión de seguridad, que mos” de una suerte de proveedores de no una administración de los sistemas de “seguridad gestionada”, donde desaforseguridad. tunadamente la mayoría de ellos son La diferencia es muy muy relevante, realmente empresas de body-shopping ya que un buen proveedor de Servicios como decimos aquí, bastante Gestionados de Seguridad mal dicho por cierto, ya que debe cumplir unos mínimos es un vocablo con el que uno para poder denominarse así, debe ser cuidadoso y no usar que al menos son: nunca en EE.UU. o Reino Uni1. Debe soportar TODAS las do, porque tiene otras connotecnologías de seguridad que taciones más relacionadas con tenga el cliente. la trata de personas que con 2. Debe respetar la libertad las TI, aunque me temo que del Cliente de elegir las tecnomuchas veces es fiel reflejo de logías de seguridad que decila realidad del servicio que desda según sus propios criterios cribe... (presupuesto, fiabilidad, cercaEn definitiva la mayor parte nía, etc.). de proveedores grandes, con 3. Debe ser proactivo en la grandes nombres y enormes gestión, crítico y analítico en capacidades sobre el papel, la administración (no vale con juntan de aquella manera técaplicar las reglas que te indinicos dispares, bastante poco quen sin control ni raciocinio). formados, para que vayan al 4. Debe conocer el entorno cliente a “administrar” seguri- Figura 1.- Ejemplo de servicios de seguridad de un proveedor MSSP básico 1.0 y disponer de información de dad, y muchas veces no sabevulnerabilidades y del contexto mos si es técnicamente o en la acepción de las tecnologías gestionadas de forma dores, proveedores de TeleComunicaciode Clint Eastwood, de la muerte tenía un aislada y en su conjunto. nes y consultoría o auditoría. Pero, ¿son precio, para ajusticiar los sistemas y pla5. Debe disponer de herramientas servicios? En realidad son proyectos detaformas. propias de gestión, monitorización y addicados, muy bien armados, y que basan Eso, apreciado lector, no es gestionar ministración. su eficacia y éxito en las personas que se la seguridad, es lucrarse con la adminisA los proveedores que mezclan servidediquen a él, en muchos casos recomentración de sistemas de seguridad con elecios de body-shopping con administradadas o subcontratadas por indicación gancia y con mucha suerte de no tener ción de TI, los denominaremos Proveedel propio cliente. incidentes, ya que al no gestionar la sedores 1.0. Estos proveedores 1.0 ofrecen La realidad es que un servicio, como guridad, se intenta que no haya ataques su paquete básico de servicios (ver Figura su definición de R.A.E. indica, es algo coo que nadie rompa nada intencionada2), que son siempre de relación directa mún, replicable, escalable y orientado o 80 08_ARTICULOESTELAR con telvent.i80 80 SEPTIEMBRE 2015 / Nº116 / SiC 03/09/2015 14:11:59 con la administración TI. Como se apreciberseguridad de el/los Clientes. cia en el gráfico 2, tenemos la gestión Ese es el futuro de ese taxi y de la Ciy administración de cualquier elemento berseguridad 1.0, avanzar hasta ser consde seguridad: FW gestionado, IPS gestiocientes que servicio no es “guiar un auto nado, Proxy gestionado, etc. Realmente por la carretera” y reaccionar a lo que no mienten al decir que son proveedoocurra, sino planificar, prevenir, conocer res de Seguridad Gestionada, porque lo y anticipar. Eso es la Seguridad Gestionaque hacen es gestionar, que en el argot da que necesitan los clientes hoy y para del SOC 1.0 es que las cosas funcionen, mañana. no den ruido y no se caigan; eso sí, si existen 20 reglas en el firewall con ANY ANY *.* eso es cosa del Cliente o de otros, porque ellos gestionar gestionan, lo que no dejan de ser servicios de operador nivel 1 ilustrado, algo así como un robot administrador. Lo que aportan es bajo coste para el Cliente, en modo OPEX (gasto), que normalmente ayuda a mejorar la cuenta de resultados. Cuando hay un incidente, lo cual es inevitable, se ponen en modo taxi y se disparan las horas extras y acciones de apaga-fuegos exprés, con un importante impacto de precio Figura 2.- Ejemplo de servicios de seguridad avanzados MSSP 2.0 para el Cliente afectado, ya que No es de extrañar que muchos clientes suelen ser incidentes, como suelen decir, aún tengan miedo de subir al taxi (pasan “fuera de línea base contratada”. más miedo que en su coche propio), es Esto nos ha llevado de la mediocridad decir, que no quieran externalizar o apode los inicios de hace 10 ó 12 años, en yar una parte de sus servicios en externos, los que la administración de seguridad se ya que no ven que el “taxi” les aporte separaba de la administración de sistemas nada, y además no siguen las pautas de con apenas unas políticas y procedimienconducción que ellos quieren, y es importos iniciales, al modelo taxímetro en el que tante guiar al Cliente, pero mucho más los proveedores de seguridad cobran por escucharle y darle el servicio para que personas, dispositivos y años, igual que se sienta cómodo con él. Por no decir, un taxista que te lleva de Aluche a Plaademás, que los precios muchas veces no za de Castilla sin más que conducir, sin invitan a usar servicios, sino a usar el propreocuparse del trayecto, elementos de la pio vehículo, ya que la seguridad implica ruta, datos previos de conducción, tráfico tres parámetros íntimamente unidos, las o incidentes, así como el conocimiento tres Cs (CCC): confidencialidad, confianza del pasajero. Además muchos integradoy coste, pero definitivamente si avanzares están más preocupados por vender los mos del taxi a un servicio de más valor amortiguadores y las ruedas que el serviveremos las ventajas de la CiberSeguridad cio de transporte del taxi en sí, es decir, se 2.0, habremos llegado al siguiente nivel, focalizan en una u otra tecnología sin anael 2.0, al avión. lizar las necesidades del clientes, y la necesaria multitecnología y multicapa esencial SERVICIOS DE GENERACIÓN 2.0: en la elaboración de una buena estrategia DEL TAXI AL AVIÓN de seguridad, basada en redundancia y segregación de riesgos y funciones. Las opciones de proveedores de seCaracterizan estos servicios el despreguridad en nuestro mercado no son sólo cio absoluto por la innovación o la mejoopciones mediocres de modelo “bodyra de nuevas tecnologías, son SOCs (SOC: shopping”, ya que existen un grupo de Centros de Operación de Seguridad) con proveedores serios y pioneros, profesiocero nivel de innovación o mejora, no se nales en nuestro mercado, que enfocan plantean renovaciones de plataforma la seguridad a nivel global, como un siso tecnología, ni existen laboratorios de tema de inteligencia, anticipación y conoprueba y pre-producción para promover cimiento. Estos proveedores que llamaremejoras y sugerencias en la estrategia de SiC / Nº116 / SEPTIEMBRE 2015 08_ARTICULOESTELAR con telvent.i81 81 mos 2.0 avanzados ofrecen servicios de CiberSeguridad 2.0. Vamos a ver cómo lo hacen, y por qué esos servicios están a años luz de sus colegas Ciber 1.0. Igual que el taxi que sólo conoce el destino y arranca y conduce, la Ciberseguridad 2.0. es más como el avión, que conoce el destino pero planifica la ruta, los elementos climatológicos (viento, presión, nubes, lluvia, etc.), los elementos del servicio como el número de pasajeros, su criticidad, la mercancía, el peso de la aeronave, y la combinación de todos, y además mientras va en ruta sigue ese análisis continuo del contexto para actuar y adelantarse a los elementos adversos (climatología, ruta, etc.). Los proveedores de Servicios de Seguridad 2.0 CiberSeguridad se caracterizan por la diferenciación en dos elementos claves: la estrategia y la inteligencia. CiberSeguridad 2.0 Estrategia. La estrategia en un conjunto de elementos de anticipación relativos a la seguridad, que deben complementar los servicios del catálogo de seguridad del proveedor. Una buena estrategia debe incluir, al menos, los siguientes elementos característicos para reforzar los servicios de Seguridad: 1. Conocimiento continuo del mercado de fabricantes nacional y global. 2. Gestión de configuraciones y políticas compartida para todos los clientes (nada de islas por cliente), y en el contexto más amplio del fabricante/s. 3. Laboratorio de innovación de plataformas de Clientes (pre-producción real) 4. Laboratorio de estrés tests y ciberejercicios de cada Cliente (democenter de pruebas por cliente). 5. Network Knowledge Exchange (FIRST, CERT Network, APWG, iSMS, EuroCloud, ISACA, etc) y foros de seguridad Rooted, BlackHat, Navajas Negras, DefCon (hay que hablar inglés y ruso como mínimo…). 6. Certificaciones de Terceros (de seguridad): 27.001, LEET Security, 25999, etc. 7. Globalidad (SOC Multiterritorio conectado). Desarrollaremos brevemente cada punto para no alargarnos, que si no el artículo dará para una serie y no es cuestión de aburrir. En el punto 1, las relaciones globales con fabricantes locales, pruebas, de- 81 03/09/2015 14:12:04 mos, análisis de innovación, congresos y ficación específica sobre la calidad del maquetas son esenciales; en seguridad proveedor de seguridad gestionada, su TI y Seguridad Física todo conocimienexcelencia en la prestación de servicios de to de innovación es poco siempre. Ser seguridad y su solvencia y garantía en los conservador es bueno en la ejecución y servicios que ofrece. Estos nuevos actores operación pero no en la estrategia y las aparecen en el mercado para ayudar a organizaciones están demasiado ocuparenovar las certificaciones y excelencia de das para innovar, para eso nos pagan a los proveedores de seguridad, y separar los proveedores de seguridad, para ir por los proveedores 1.0 de los 2.0. Informarse delante siempre. y analizarlo es muy recomendable, fresh Los puntos 2 y 3 están unidos al 1 air que dicen los ingleses, un poco de aire de forma que el Cliente tenga siempre fresco en lo relativo a las certificaciones un entorno de pruebas e innovación, de MSSP y de SOCs, que exigen mucho y pueda ver en el caso más avanzado el impacto de esas tecnologías y políticas en su entorno como un avance en el tiempo, igual que los sistemas predictivos de rutas aéreas, que dan la mejor ruta en base a las condiciones climáticas estimadas para ser más eficientes sin miedo a innovar de forma controlada. El punto 5 es un pilar básico para evaluar un servicio local, ya que la conexión global es fundamental, las amenazas, los Z-Days, los rootkits, botnets, etc. Son globales y la Figura 3.- De la carreta cuadrada por la NO innovación. comunidad dark-side (oscura) es cooperativa, por lo que hay que estar más que un certificado de ser un CERT o conectados a las redes de conocimiento una ISO 27001. nacionales e internacionales para comPor último, el punto 7 es algo manpartir, aprovechar y enriquecer el conodatorio para ser proveedor de servicios cimiento de las amenazas. 2.0, ya que las oleadas de amenazas, ataLos fabricantes juegan un papel funques y vulnerabilidades se van generando damental en este punto, ya que habitualcomo decimos en TI, following the sun, mente hacen de introducción y mueven alrededor del mundo y la ventaja compepartners y clientes entre regiones donde titiva y de operación que ofrece el tener exponen a sus mejores expertos y de equipos y centros de servicios en 2 ó 3 terceros. Los fabricantes de vanguardia continentes es la diferencia de tener el y que quieren que sus productos sigan 100 % de los servicios down o tener sólo siendo líderes mueven toda una serie el 50%, porque una región lo sufre y adde expertos y retos a los hackers, para vierte a la otra, así que la multiterritoriaprobar continuamente su hardware y lidad es una característica que deben tesoftware y así diferenciarse del resto del ner obligatoriamente los proveedores de mercado. CiberSeguridad 2.0. Lo debemos poner El punto 6 es muy saludable porque como un must-have para ser proveedor obliga a la evolución, no basta con un de servicios 2.0. mero body shopping para estar up-toCiberSeguridad 2.0 Inteligencia. date y certificarse. Más allá de las certiEsta cualidad de los servicios 2.0 se basa ficaciones clásicas, como la ISO 27001, en la anticipación, el conocimiento, la que aplica en la fase de CiberSeguridad experiencia y la infiltración. Es imposible 1.0, pero dice bastante poco de un prodar servicios avanzados sin cierto nivel veedor de seguridad 2.0, ya que la 27001 de comunicación con el lado oscuro, es demasiado dependiente del alcance y bien porque cuentes con un Tiger-Team de la forma de implementarse del evade primer nivel, bien porque cuentes con luado. Por eso están surgiendo nuevos las redes de contactos en el Deep-Internet actores en el mundo de la certificación para esa transferencia de conocimiento. de proveedores de seguridad y seguridad La inteligencia en los servicios viene gestionada, como en el mercado nacional definida por varios elementos, el primero la compañía LEET que ofrece una certiel de atacar y probar tus propios servicios 82 08_ARTICULOESTELAR con telvent.i82 82 continuamente; el primer atacante y analizador de tus servicios debes ser tú mismo. Un buen proveedor 2.0 somete a sus fabricantes, proveedores y arquitecturas a análisis, crítica y ataque continuo, lo que le provee de la inteligencia para prevenir y anticipar los vectores de ataques antes de que se les ocurran a los “malos”. Adicionalmente la red de inteligencia es necesario crearla desde fuera de forma anónima por lo que los llamados Tiger-Teams de los equipos dotados de consultores avanzados de seguridad, interactúan con hackers, crackers y curiosos varios externos, gente inquieta que enriquece con su curiosidad y dedicación a destacar como invasor el conocimiento de los centros de servicios que lo que quieren es adelantar esos conocimientos a sus clientes para mejorar su seguridad. La diversidad de amenazas, su diversidad de orígenes, los ataques dirigidos y las APTs son elementos en los que las características de inteligencia o CiberInteligencia del proveedor 2.0 nos marcarán la diferencia entre la defensa proactiva o ser objetos de ataques sin siquiera saberlo. Como se recoge en el documento del NIST (National Institute of Standards and Technology of the United States of America), titulado “Preliminary Cybersecurity Framework”, en palabras del Subsecretario de Defensa de EE.UU. (Feb. 2011): “It was our worst fear: a rogue program operating silently on our system, poised to deliver operation plans in to the hands of an enemy”. (Nuestro peor temor: un programa malicioso (malware) operando silenciosamente en nuestro sistema, teledirigido para llevar a cabo un plan de daños en manos del enemigo). Estas palabras del Secretario de Defensa estadounidense reflejan perfectamente la realidad de la transformación de la CiberSeguridad en nuestros días y el futuro: amenazas silenciosas diseñadas y ejecutadas a medida contra nuestros sistemas, diseñadas para esquivar nuestras barreras de seguridad perimetrales e internas, de manera lenta pero firme. Estas nuevas amenazas se utilizan para el fraude, el robo de activos, el robo de dinero, el sabotaje, el terrorismo y la intrusión en la privacidad. Hay ejemplos tales como: 1. Stuxnet (2010). Es el primer gusano conocido que espía y reprograma sistemas industriales, en concreto siste- SEPTIEMBRE 2015 / Nº116 / SiC 03/09/2015 14:12:06 mas SCADA de control y monitorización proyecto, frente a otros objetivos más este nuevo entorno requiere de un nuevo de procesos, pudiendo afectar a infraestipo de proveedor de seguridad y nuevos normales para el negocio como el autructuras críticas como centrales nucleaservicios, además de un cambio fundamento de clientes, fidelización, aumento res, refinerías, etc. de mercados o crecimientos de negocio mental en la mentalidad de los respon2. Flame (2012). Es un motor de sables de seguridad de las empresas (CSO en general. malware derivado de Stuxnet. Flame pueo CISOS), la seguridad no se puede dar La Ciberseguridad 3.0 nacida de este de propagarse a otros sistemas a través nuevo mundo ultradigitalizado, combina de forma individual o aislada, hay que de la red de área local (LAN) y mediante usar recursos externos, bien de proveedo7 factores determinantes que lo definen memorias USB. Puede grabar audio, capres, de fabricantes o de fuentes libres de y nos dan las claves para sobrevivir en el turas de pantalla, pulsaciones de teclado nuevo ecosistema; son los siguientes: terceros; es imposible ofrecer seguridad y tráfico de red. El programa también en una gran compañía en nuestros días 1. El elemento atacante es dinámigraba conversaciones de Skype y puecon recursos propios únicamente. Y ¿por co y dispone de inteligencia, se adapta de controlar el Bluetooth para intentar qué? Veámoslo. a las medidas de seguridad del cliente y obtener información de los dispositivos El mundo de la Ciberseguridad 3.0 a los cambios del entorno, para permaBluetooth cercanos. Estos datos, junto necer oculto y operativo en el máximo es un escenario nuevo que toda compacon los documentos número de sistemas, almacenados en el ordurante el máximo denador, son enviados tiempo posible. a uno o varios servido2. Se combinan res dispersos alrededor elementos de natudel mundo. Cuando raleza tecnológica termina, el programa dispar que interacse mantiene a la espera túan autónomamenhasta que recibe nuevas te y en tiempo real, instrucciones de esos como sistemas SCADA servidores. y sistemas industriales 3. Operación Au(navegación área, sisrora (2009 – 2010): temas de control satéliconjunto de CiberAtate, drones, sistemas de ques basados en APTs conducción de coches), a medida, emitidos M2M e Internet Of supuestamente desde Things (IoT) millones China contra grandes de equipos comunicompañías americanas cándose y actuando sin como objetivo principal Figura 4.- Catálogo de Servicios de CiberSeguridad 2.0 Avanzado. Estructura de SOC 2.0 absolutamente ninguna Google. intervención humana y 4. Red October (octubre 2012): caen tiempo real o SmartCities (ciudades ñía debería sentarse a valorar de cara a ballo de Troya descubierto por Kaspersky que interactúan con los sistemas de los su estrategia y reescribir su Plan Direcen octubre de 2012 y que espió los móviciudadanos de forma independiente y tor de los próximos 2 ó 3 años; en los les de una gran cantidad de diplomáticos automática). tiempos actuales no se me ocurriría hacer europeos entre 2008 y 2012. 3. Se desarrollan nuevas aplicacioun Plan Director a más de 3 años. Con la Este tipo de nuevo malware (progranes por millones diariamente, el elevariabilidad y evolución de tecnologías mas maliciosos que combinan distintas mento código de programas se convierte y amenazas sería una locura. De hecho técnicas de infección, ataque y distribuen un elemento clave en el nuevo campo muchas compañías con buen sentido de ción), algunos los definen como APT (Adde seguridad, ya que tanto en el mundo la estrategia están desarrollando un Livanced Persistent Threats), requieren móvil como en el fijo, las Mobile Apps bro Blanco de Seguridad 3.0, ya que un nuevo tipo de servicios de protección. generan millones de nuevos programas, han entendido que muchos ámbitos de En muchos casos son sólo la punta del apareciendo y combinándose diariamenlas compañías van a necesitar una guía iceberg de las miles de APTs que están te e instalándose instantáneamente en de seguridad que les ayude a tener crien producción y que todavía no han sido miles de millones de dispositivos. Este terio, y ¿por qué? O ¿para qué puede el descubiertas. fenómeno ha disparado el número de departamento de Marketing de una gran programas en los que la seguridad no es compañía de seguros, o hidrocarburos SERVICIOS DE GENERACIÓN 3.0: una prioridad. o de venta de productos alimenticios o CIBERSEGURIDAD E INTELIGENCIA, 4. El Cloud y el IoT, eliminan los petextiles necesitar un libro blanco de guía ESTRATEGIA, VIRTUALIZACIÓN Y CLOUD rímetros de seguridad, no hay fronteras de seguridad? Pues sencillamente porque entre sistemas, empresas y usuarios, y el no hay ni una sola compañía de ningún Hemos llegado a nuestro entorno campo de actuación, impacto y ataque sector que no esté ya o vendiendo por actual, el mundo de los servicios avanzade las nuevas amenazas es prácticamenInternet, o desarrollando sus Apps de dos Cloud, de los móviles, del Internet Of te infinito, todo un “greenfield” para pago y fidelización u obligando a sus Things, de las SmartCities, de los sistemas los ataques. La adopción de la nube por proveedores a interactuar para facturas de control industrial SCADA, en definitiva departamentos no tecnológicos, como y pedidos vía Internet, y le aseguro, lecel “mundo internizado” y digital que tanmarketing, RR.HH., financiero, compras, tor, que ninguna de ellas se ha planteado tas ventajas aporta al usuario final. Pero etc. genera exposición de áreas a las que la Seguridad como la prioridad para ese SiC / Nº116 / SEPTIEMBRE 2015 08_ARTICULOESTELAR con telvent.i83 83 83 03/09/2015 14:12:08 los departamentos de seguridad no están Además nos da una guía sencilla para habituados a enfrentar, ni existen mediidentificar la estructura del portafolio de das tecnológicas físicas (on premise) a CiberSeguridad 3.0, que debe incluir al desplegar. Sólo con servicios de seguridad menos: Cloud, se pueden proteger y monitorizar – Grupo 1.- Servicios de seguridad servicios Cloud. Cloud (¡Ojo! Son servicios de seguridad 5. El volumen de información y Cloud no servicios Cloud con seguridad, datos a controlar crece exponencialno confundir). mente. Se multiplica el volumen de – Grupo 2.- Servicios de protección y datos generados por los ataques y se análisis de aplicaciones y código. extienden en el tiempo días o meses. – Grupo 3.- Servicios SIEM y Big La enorme cantidad de aplicaciones y Data. sistemas nuevos provoca una avalancha – Grupo 4.- Servicios de Ciberintelide datos generados y las compañías gencia. ven inviable una recogida eficiente de información. Además muchas de las apps no generan logs, por no hablar de que muchos servicios en nube no tienen logs o no permiten el acceso a los mismos. Recoger y apreciar toda esa información es clave en los servicios de Ciberseguridad 3.0. 6. El valor de la información y la virtualización de la moneda y las transacciones económicas, combinado con las monedas digitales virtuales, favorece el cibercrimen y el ciberfraude, ya que se pueden capitalizar los Figura 5.- Deep-Internet. éxitos de forma inmediata, anónima e impune, y además la inforPor supuesto los tradicionales sermación es dinero, con lo que no hace vicios de integración y despliegue de falta robar dinero en sí mismo para que tecnologías pueden estar incluidos en el fraude o el ataque sea exitoso. Hábiel portafolio, y los servicios gestionados tos, información personal, localización, de tecnología on premise, pero al ser de gustos, relaciones y en general cualquier sobra conocidos y estar incluidos en las información de usuarios y empresas siggeneraciones 1.0 y 2.0, no los considenifican dinero. ramos. Si bien la complejidad y profun7. La inteligencia, la colaboración, didad de las nuevas familias de servicios la anticipación y la actuación en tiem3.0 está generando proveedores espepo real son las claves para una procíficos especialistas y cada vez es más tección eficiente. Estas son las caracdifícil ser un proveedor generalista que terísticas que deben tener los sistemas pueda cubrir los cuatro grupos de nueofrecidos por los MSSP (Proveedores de vos servicios. Los nuevos proveedores de seguridad gestionada), y fabricantes de ciberseguridad (MSSP) combinan solusoftware y hardware de seguridad 3.0, ciones propias y de terceros para cubrir de la combinación de todos o alguno los cuatro campos de forma integral y de ellos depende la eficacia de nuestra coherente, y además logran integrar disprotección y de la seguridad de nuestintos servicios y tecnologías de forma tros activos y personas y su información. sencilla. Este es el futuro que los MSSP Es fundamental pertenecer a redes de 3.0 van a jugar. inteligencia común, compartir conocimientos y amenazas y de igual forma TO CIBERSEGURIDAD 3.0 AND BEYOND desplegar. Estos factores se deben tener en cuenLos 7 factores que hemos descrito en ta y combinar en los servicios y productos el apartado anterior configuran un pre3.0, y afectan de forma separada pero sente que nos encamina a un futuro de combinada el despliegue de seguridad. cambio de los entornos de Ciberseguri- 84 08_ARTICULOESTELAR con telvent.i84 84 dad sin vuelta atrás. Lamentablemente la mayor parte de la empresas (grandes y pymes), ignoran o menosprecian esta evolución, lo que ya está costando miles de millones en daños de imagen, robos, fraude y pérdidas de información; basta recordar los casos de Sony o el más reciente de Ashley Madison, o el último ataque de XSS sobre Salesforce (http://www.cio-today.com/article/index.php?story_id=101003937V84), si bien en España y LATAM ocurre también a menudo. La adopción del Cloud en los procesos de negocio está acelerando la desaparición de los perímetros y las empresas requieren de nuevos servicios y productos capaces de adaptase a este nuevo entorno dinámico y virtual. Se dan casos en los que grandes corporaciones están desarrollando capacidades avanzadas para protegerse a sí mismas y se podría dar el caso de que incluso en un futuro cercano pudiéramos ver cómo estas corporaciones especializadas en SCADA o servicios financieros se conviertan también, por qué no, en proveedores de Ciberseguridad 3.0 para terceros aprovechando sus capacidades y tecnologías internas. El futuro está abierto, y lo único cierto es que la multiplicación exponencial del Cloud, el Internet of Things y las aplicaciones móviles, nos obligan a los proveedores y fabricantes de seguridad a avanzar igual o más rápido. No nos va a salvar el “security by design” que muchos desarrolladores no aplican, porque el crecimiento de los nuevos entornos es exponencial, así que necesitamos que los servicios, productos y proveedores de Ciberseguridad evolucionen a la misma velocidad, porque el mundo del perímetro controlado y localizado no va a volver. ■ * Fuentes: Incapsula-Imperva, Arbor Networks, Corero Networks, NIST, SANS Institute, LEET. JUAN MIGUEL VELASCO LÓPEZ-URDA Partner & Managing Director AIUKEN SOLUTIONS SEPTIEMBRE 2015 / Nº116 / SiC 03/09/2015 14:12:10 Tu proveedor (de seguridad gestionada) no es seguro Los servicios de seguridad gestionada implican unos altos requisitos de seguridad. Cómo conocer las medidas que implementa el proveedor es algo relativamente sencillo si se acude a un sistema de calificación diseñado específicamente para medir la efectividad de las medidas de seguridad de un servicio TIC, en este caso, de seguridad gestionada. Antonio Ramos Seguridad absoluta o relativa No quisiera insultar al lector o a la lectora habitual de esta revista dedicando mucho tiempo a justificar por qué no podemos afirmar si un determinado servicio o proveedor o si, nosotros mismos, estamos seguros. De hecho, creo que de lo único de lo que cualquiera de nosotros está seguro es de que no estamos/somos seguros (perdón por el juego de palabras), hecho que se debe a que el calificativo de seguro hace referencia, según el diccionario de la lengua española 1, a algo que es: (i) libre y exento de todo peligro, daño o riesgo; (ii) cierto, indubitable y en cierta manera infalible; o (iii) firme, constante y que no está en peligro de faltar o caerse. Como somos conscientes de que la seguridad al cien por cien no existe, la siguiente pregunta que debemos responder entonces es, ¿cuánto de seguro es mi proveedor? O más en concreto, ¿cuánto de seguro es este servicio que utilizo o quiero utilizar? Es decir, estamos hablando de medir la seguridad, algo sobre lo cual se ha escrito y dicho tanto, que no merece la pena dedicarle aquí más tiempo. Pero sí reflexionar sobre un componente de la seguridad, la subjetividad. Según el perfil de riesgo que tengamos, bien como personas, bien como organizaciones, nos sentiremos cómodos con un mayor o menor nivel de riesgo, y, por ende, con un mayor o menor nivel de seguridad. Por tanto, el reto al que nos enfrentamos es cómo medir la seguridad de un servicio de forma general, objetivamente y que nos sirva para comparar entre servicios. Mi respuesta es utilizar una calificación de la seguridad específica para los servicios TIC. En suma, que necesitamos disponer 86 08_ARTICULOESTELAR con telvent.i86 86 de un método que, de manera sencilla, permita conocer las características de seguridad de un servicio y poder valorar así si se adecúa a las necesidades establecidas 2. En particular, para los servicios de seguridad gestionada, por muy amante al riesgo que sea la organización, será de esperar que se requieran del servicio unos niveles de robustez y madurez de las medidas de seguridad superiores a la media. Características de un servicio de calificación específico para servicios TIC En un informe publicado por Penteo sobre vendor risk management se resaltan las características principales que debe reunir una calificación como la propuesta, en términos formales; a saber: • Escala de calificación claramente establecida. El reto al que nos enfrentamos es cómo medir la seguridad de un servicio de forma general, objetivamente, y que nos sirva para comparar entre servicios. Mi respuesta es utilizar una calificación de la seguridad específica para los servicios TIC. Incluso aunque fuéramos muy amantes del riesgo, es bastante probable que los servicios de seguridad gestionada pasen a estar regulados por la normativa de Seguridad Privada 3 y que el reglamento que debe publicarse establezca condiciones de seguridad mínima de dichos servicios (esperemos que en función del tipo de cliente al que se preste servicio, básicamente porque no es lo mismo gestionar, digamos un cortafuegos de una tienda online, que de una infraestructura crítica, o de un organismo oficial). De nuevo, vemos la necesidad de evaluar la robustez y efectividad de las medidas de seguridad del servicio para ver si las medidas implantadas son suficientes para cumplir las expectativas de los usuarios. • Publicidad del algoritmo de calificación y de las calificaciones asignadas. • Criterios de asignación objetivos y actualizados. • Definición del alcance orientado a servicios, no a organizaciones. • Independencia y cualificación técnica del calificador / auditor. • Existencia de un mecanismo de supervisión para garantizar la validez de las etiquetas asignadas a un servicio. • Existencia de un sistema de garantías por parte del calificador. • Consideración de la cadena de suministros. Por otro lado, en cuanto a los aspectos que debe revisar una calificación de seguridad, debería estar alineada con las mejores prácticas internacionales, es decir, contar con una taxonomía 1 Véase definición en el enlace http://lema.rae.es/drae/?val=seguro 2 Recomendación realizada por la Comisión Europea a la industria TIC en la Directiva Europea de Ciberseguridad en febrero de 2013 3 Véase normativa aplicable en la web del Ministerio del Interior, http://www.interior.gob.es/web/servicios-al-ciudadano/personal-de-seguridad-privada/normativa-basica-reguladora SEPTIEMBRE 2015 / Nº116 / SiC 03/09/2015 14:12:14 de controles lo más amplia posible. (Como ejemplo, se incluyen las áreas contempladas en la metodología de LEET Security. Ver figura 1). Estos aspectos son especialmente relevantes en el caso de los servicios de seguridad gestionada en los que, dado su ámbito de utilización, las medidas de seguridad que incorpora el propio servicio cobran especial relevancia. Está bien preguntar a nuestro proveedor de servicios de seguridad gestionada si dispone de un SGSI certificado; pero lo que verdaderamente nos va a ayudar a tomar una decisión es conocer aspectos concretos de seguridad como, por ejemplo: • ¿Cómo de protegido está el acceso físico al Centro de Operaciones de Seguridad? ¿Control biométrico o un simple PIN? Figura 1.- Medidas de seguridad evaluadas por LEET Security. • ¿Cómo de robustos son los controles de acceso lógico para evitar accesos de personal no autorizado? Es bastante probable que los servicios de seguridad gestionada pasen a • ¿Cómo se controla el uso de las estar regulados por la normativa de Seguridad Privada y que el reglamento credenciales de administración? • ¿Qué nivel de preparación tie- que debe publicarse establezca condiciones de seguridad mínima de nen los operadores y los analistas? ¿Conocen las tecnologías que ges- dichos servicios (esperemos que en función del tipo de cliente al que se tionan? ¿Cuentan con algún tipo de preste servicio, básicamente porque no es lo mismo gestionar, digamos un cualificación? • ¿Qué medios técnicos y capaci- cortafuegos de una tienda online, que de una infraestructura crítica, o de un dades personales tiene para detectar organismo oficial). incidentes, analizarlos para saber qué está pasando y responder en caso de conocer cuan robustas son las medidas miento existen dos formas, o revisar ataques? de seguridad (en función del nivel de al proveedor de manera exhaustiva, • ¿Hasta qué punto puede garantizar calificación) y, no solo en el momento o utilizar la calificación de un tercero la continuidad del servicio? ¿Dispone inicial, sino durante toda la vida del independiente, que aporte el mismo de centros alternativos de procesaservicio, puesto que una agencias de nivel de transparencia pero que, ademiento? calificación supervisa (o debería) que más, incorpore mecanismos de monitorización y supervisión que permitan asegurar que el nivel de seguridad se Los proveedores que califican sus servicios de seguridad gestionada mantiene a lo largo del ciclo de vida muestran su voluntad de transparencia y de someterse a un control de del servicio. Por igual motivo, los proveedores un tercero independiente que demuestra que no tienen qué ocultar y que que califican sus servicios de seguridad prefieren la seguridad por claridad a la seguridad por oscuridad. gestionada muestran su voluntad de transparencia y de someterse a un control de un tercero independiente que • ¿Cómo de probada tiene su opeel nivel asignado es correcto en todo demuestra que no tienen qué ocultar y rativa de contingencia? momento. que prefieren la seguridad por claridad • ¿Hasta qué punto un ataque APT que la seguridad por oscuridad, ¿qué dirigido al proveedor puede terminar Conclusión tipo de proveedor prefiere? ■ afectando a mi infraestructura? • ¿Qué mecanismos de segregación Los servicios de seguridad gestioexisten? nada son, normalmente, de elevada criticidad para las empresas que los • ¿Se han establecido ANSs para los servicios? ¿Se revisan periódicamente? usan. Por tanto, conocer la fiabilidad Todos estos controles y muchos de las medidas de seguridad que el ANTONIO RAMOS CEO otros son los que se evalúan para asigproveedor del mismo implementa es LEET Security nar un nivel de calificación y permiten crítico. Y para adquirir este conoci- SiC / Nº116 / SEPTIEMBRE 2015 08_ARTICULOESTELAR con telvent.i87 87 87 03/09/2015 14:12:18 Los MSSPs opinan Proveedores de Servicios de Ciberseguridad Al igual que las organizaciones usuarias, las proveedoras de servicios de ciberseguridad gestionada (MSSPs) buscan los estados de mayor eficiencia en la explotación de su negocio, que no es otro que proteger los de sus clientes. Son los primeros interesados en saber lo que pasa, lo que puede pasar y en pronosticar lo que hay que esperar para poder adaptar su oferta, incorporar nuevas disciplinas y aplicar nuevos métodos, técnicas y tecnologías para evolucionar los servicios en consonancia con los derroteros que están tomando las TIC usadas por sus clientes y por los atacantes. Y casi lo más importante: deben disponer de equipos de analistas bien entrenados y siempre a la última. “Accenture está haciendo un importante esfuerzo de adaptación de sus propuestas de seguridad para cubrir y dar soluciones al problema de las APTs y a los ataques que se están produciendo y que se prevé que crezcan en los próximos meses” Juan Carlos Torres Cañete Spain Infrastructure Delivery Center Security Lead ACCENTURE Actualmente, Accenture está haciendo un importante esfuerzo de adaptación de sus propuestas de seguridad para cubrir y dar soluciones a nuestros clientes ante las nuevas amenazas y ataques que se están produciendo y que se prevé que crezcan en los próximos meses (como, por ejemplo, en el área de APTs). Como parte de estas medidas de actualización, estamos colaborando estrechamente con los fabricantes para ajustar nuestro catálogo de servicios tecnológicos a estas nuevas necesidades, tanto con los “grandes” fabricantes a través de programas de inversión conjunta en nuestros laboratorios de Innovación de Ciber- seguridad alrededor del mundo, como a nivel local con empresas españolas que están despuntando en este ámbito. Al mismo tiempo, seguimos trabajando con nuestros clientes para entender sus nuevas necesidades donde estamos apreciando un mayor interés de sus áreas de negocio en el impacto que las amenazas de seguridad tienen sobre el mismo. Esto se traduce en la necesidad de implantación de Cuadros de Mando de Negocio donde la Seguridad es pieza clave y un mayor interés de nuestros clientes en colaborar con empresas especializadas del sector para ayudarles en la gestión de incidentes de seguridad. Desde nuestro Centro de Servicios de Madrid, integrado en la Red de Centros de Seguridad de Accenture, apostamos por el desarrollo de estos productos para dar respuesta a las nuevas necesidades de nuestros clientes. “El catálogo de servicios de BT Security ha evolucionado para incorporar soluciones de ciberinteligencia y correlación de eventos de varias compañías del mismo sector, complementando con servicios ERS en escenarios de actuación previamente entrenados” José Pereiro Director para España y Portugal BT SECURITY Las organizaciones demandan soluciones que sean específicas a su sector, precisas y en tiempo real. El disponer de cantidades ingentes de alertas genéricas y desagregadas que tardan horas o incluso días en ser analizadas ya no es suficiente para contener y mitigar los ataques que con mayor frecuencia se ejecutan en ventanas más reducidas en tiempo. Por ello el catálogo de servicios ha evolucionado para incorporar soluciones de ciberinteligencia y correlación de eventos de varias compañías del mismo sector, complementando con servicios ERS en escenarios de actuación previamente entre88 08_ARTICULOESTELAR con telvent.i88 88 nados. Sin duda esto afectará positivamente a los riesgos empresariales, especialmente en lo relativo a las amenazas, al igual que en algunos escenarios como los ataques DDoS, en los que hemos visto que el hecho de disponer de contramedidas solventes ya es suficiente en muchos casos para actuar como medida disuasoria y evitar un ataque contra la empresa; aquellas empresas que dispongan de mejores servicios de ciberinteligencia y SOC tendrán un nivel de riesgo menor por el simple hecho de tenerlas. La superficie de ataque en Internet es inmensa, los ciberdelincuentes no quieren perder el tiempo ni asumir el riesgo de ser detectados atacando empresas adecuadamente protegidas cuando tienen otras miles en las que pueden conseguir sus objetivos de forma rápida y anónima. SEPTIEMBRE 2015 / Nº116 / SiC 03/09/2015 14:12:20 Los MSSPs opinan Gestionada: tiempos de transformación La revista SIC ha formulado a trece MSSPs que tienen SOC la siguiente pregunta: ¿Cómo va a afectar a la ampliación del actual catálogo de servicios de ciberseguridad gestionada la evolución de las amenazas y los ataques prevista a medio plazo? Aquí están sus respuestas. “El CyberSOC de Deloitte siempre tiene presente la evolución de las amenazas y los ataques a medio plazo desde una perspectiva ligada a la situación específica de cada sector y cada organización para poder ofrecer servicios avanzados, globales y altamente especializados” Abel González Lanzarote Director DELOITTE (CyberSOC) El CyberSOC de Deloitte siempre tiene presente la evolución de las amenazas y los ataques a medio plazo desde una perspectiva ligada a la situación específica de cada sector y de cada organización. La constante ampliación de nuestro catálogo es para prevenir, responder más rápido y trabajar de manera más eficiente para proteger el corazón del negocio de nuestros clientes. Deloitte mantiene una serie de iniciativas a nivel global con la colaboración de todas las Firmas Miembro de Deloitte en el mundo, para el análisis y gestión de ciberamenazas mediante el desarrollo e implementación de una plataforma de capacidad global y unificada. Esto se plasma en nuestro Centro de Excelencia de CyberIntelligence y Análisis Avanzado de Malware (eCIC) incluido en el CyberSOC con sedes en Barcelona y Madrid. Otras iniciativas globales como nuestra biblioteca compuesta por más de 4.500 casos de uso definidos para distintas tecnologías SIEM, la plataforma GAST (Global Application Security Testing) y nuevos cursos de nuestra CyberSOC Academy persiguen anticiparse a la imparable progresión de las ciberamenazas y los ciberataques a medio y largo plazo. Finalmente, dado que la seguridad total es imposible, en caso de que el ciberataque tenga éxito, es esencial contar en nuestro catálogo con un servicio mundial CIR (CyberIncident Response) con capacidad de respuesta en 38 países que de forma organizada gestiona la situación de manera que se limite el daño y permita al negocio retomar su operativa normal tan pronto como sea posible. En definitiva, servicios avanzados, globales y altamente especializados con el objetivo de lograr que las organizaciones puedan fortalecer sus capacidades de prevención, detección, defensa y respuesta a las amenazas y ciberataques. “Ante la evolución prevista de las amenazas, los ataques y su tratamiento, Mnemo ha renovado su SOC incorporando nuevas herramientas y tecnologías para que nuestro CERT gestione de un modo más eficaz los Laboratorios de Malware, Forense Digital, Fraude y de Dispositivos Electrónicos” Inmaculada Parras Pastor Gerente de Desarrollo de Negocio, Tecnología y Seguridad MNEMO En Mnemo llevamos varios años trabajando en proyectos de I+D+i en Ciberseguridad e incorporando servicios asociados a nuestro catálogo, desde los tradicionales de Gobierno de la Seguridad, Auditorías de Vulnerabilidades, Respuesta a Incidentes, Hacking Ético y servicios de SOC, hasta los últimos servicios para hacer frente a la evolución de los grandes grupos organizados, con servicios de Threat Intelligence, para poder determinar las características de los atacantes y definir estrategias para prevenir y anticipar los ataques. De hecho, la toma de conciencia sobre la evolución de las amenazas, los ataques y su tratamiento ha hecho que renovemos nuestro SOC que se presentará el próximo mes de octubre; a él se han incorporado nuevas herramientas y tecnología para que nuestro Equipo SiC / Nº116 / SEPTIEMBRE 2015 08_ARTICULOESTELAR con telvent.i89 89 de Respuesta a Emergencias Informáticas (CERT) gestione los Laboratorios de Malware, Forense Digital, Fraude y de Dispositivos Electrónicos, para dar respuesta de forma más rápida y aún más fiable a las acciones de prevención, al análisis detallado de los datos y de forma significativa a la presentación de resultados. Estamos desarrollando herramientas propias dirigidas a los servicios de seguridad sistemas SCADA para la protección de infraestructuras críticas y en Threat Intelligence. El refuerzo de nuestro catálogo se está concentrando también en la ampliación del equipo de Ciberseguridad y en el área de Formación, aspecto clave para que las organizaciones tengan un punto de partida en la toma de conciencia del cambio tan profundo al que asistimos en la forma de atender los requerimientos de seguridad de la organización y los empleados. Es nuestro objetivo proporcionar servicios de seguridad con alcance global y ámbito 360º. La estructura de Mnemo da cobertura global con Centros en tres países de Europa, Sudamérica y Arabia Saudita. 89 03/09/2015 14:12:27 Los MSSPs opinan “En base a la evolución de las amenazas y los ataques, HP ESS se ha centrado en aumentar las capacidades para enfrentarse a APTs, reforzar el equipo de respuesta a incidentes, reciclar constantemente los equipos de gestión de alertas y vigilancia digital y consolidar el grupo de Gestión de Vulnerabilidades y Amenazas”. Karen Gaines Cordero Directora General HP ENTERPRISE SECURITY SERVICES PARA IBERIA Siendo el proveedor de confianza para nuestros clientes en el mercado de la seguridad, estamos en continuo desarrollo de metodologías y avances técnicos, dando ese grado de especialización en multitud de tecnologías y adelantándonos con nuestros sistemas de alertas para evitar fugas de información y brechas de seguridad. La evolución de las amenazas y los ataques a medio plazo implican que nuestros servicios gestionados deben evolucionar a su vez en los siguientes frentes: • Aumentar su capacidad de enfrentarse a APTs. En esto aprovechamos la estrategia global de HP en su alianza con FireEye. • Reforzar nuestro equipo específico de respuesta a incidentes de seguridad con expertos en múltiples materias que puedan dar respuesta rápida, con capacidad para desplegarse en cualquier momento y en cualquier cliente. • Reciclar constantemente los equipos de gestión de alertas de seguridad y vigilancia digital para que estén totalmente informados de los últimos focos de amenazas y mejorar así su detección y anticipación. • Consolidar nuestro grupo de Gestión de Vulnerabilidades y Amenazas, equipo que engloba servicios como hacking ético y revisión de código, entre otros) para dar el nivel de exigencia en seguridad que necesitan las empresas. Todas estas medidas se complementan mejorando los flujos internos, para que las sinergias entre los distintos equipos aumenten significativamente la eficiencia y el valor aportado por nuestro servicio gestionado de seguridad basado en Madrid. “Indra está comprometida en acompañar a sus clientes en sus necesidades de ciberseguridad para ayudarles tanto a estar al día de la situación de riesgo y de las novedades tecnológicas, normativas y en procedimientos de mitigación, como a responder ante situaciones de materialización de amenazas concretas y propias de su negocio” Marta Oliván Gerente de Desarrollo de Negocio - Cybersecurity INDRA DIGITAL Para dar cobertura a las necesidades en Ciberseguridad, las grandes empresas e instituciones han necesitado pasar de tener un grupo de personas en asistencia técnica (incluso de diferentes proveedores) coordinadas por ellos mismos, a necesitar un partner (no un proveedor) que sea capaz de dar un servicio integral de ciberseguridad (tanto en amplitud por la diversidad, como en profundidad por las necesidades de especialización), personalizado a sus necesidades, que sea capaz de cubrir el día a día mediante un Centro de Servicios de Ciberseguridad, pero que, además cuente con un grupo competente de especialistas en las, cada vez más, específicas y dirigidas técnicas de ataque y amenazas. Un socio como siempre ha sido Indra, comprometido en acompañarle en sus necesidades, y que le permita tanto estar al día de la situación de riesgo y de las novedades en cuanto a tecnologías, normativas y procedimientos de mitigación, como responder con la máxima rapidez y eficacia ante situaciones de materialización de amenazas concretas y propias de su negocio: no son lo mismo los sistemas embarcados en aeronaves, que los sistemas de banca online, que las redes de control de una central nuclear, el acceso a Internet de los empleados de una gran compañía o el portal de clientes de una operadora de móviles. Todos son necesarios para sus negocios, y cada uno tiene su complejidad, particularidad y puntos de vulnerabilidad. “Los servicios de seguridad gestionada deberán ampliar su catálogo actual para dar cobertura a las nuevas necesidades de protección. Para S2 Grupo va a ser especialmente relevante la capacidad de los SOC para hacer frente a APT cuyos objetivos no sean únicamente el robo de información –que también–, sino adicionalmente el sabotaje”. José Miguel Rosell Socio Director S2 GRUPO En nuestra opinión, los servicios de seguridad gestionada deberán, a medio plazo, cubrir no sólo el catálogo actual, sino ampliar éste para dar cobertura a las nuevas necesidades de protección que sin duda van a surgir; para nosotros va a ser especialmente relevante la capacidad de los SOC para hacer frente a APT cuyos objetivos no sean únicamente el 90 08_ARTICULOESTELAR con telvent.i90 90 robo de información –que también–, sino adicionalmente el sabotaje. En este sentido, el del sabotaje, es muy preocupante la seguridad en el Internet de las Cosas, sobre todo cuando esas “cosas” son críticas: desde suministros esenciales para una nación hasta elementos no tan críticos pero especialmente relevantes incluso para la vida humana, como sistemas industriales de todo tipo o sistemas de control médico. O por qué no, automóviles –todos hablamos estos días del incidente de Jeep–, acuarios o espejos... elementos conectados a Internet que requerirán una adecuada protección y servicios de vigilancia desde un SOC. SEPTIEMBRE 2015 / Nº116 / SiC 03/09/2015 14:12:33 Los MSSPs opinan “La dificultad de detectar y gestionar estos riesgos sólo es posible con un equipo de profesionales muy especializado, que se adapte continuamente a las nuevas amenazas y ofrezca soluciones ágiles y flexibles, en función de las necesidades de cada cliente” Félix Muñoz Astilleros Director General INNOTEC SYSTEM (Grupo ENTELGY) Inteligencia y apuesta decidida por personal cualificado son las bases por la que estamos apostando desde InnoTec System (Grupo Entelgy). Nuestra larga experiencia en la gestión de incidentes y amenazas, en todo tipo de organizaciones, nos ha dejado clara la necesidad de adaptación continua e, incluso, de anticipación a cualquier riesgo. Máxime en un momento como el actual, en el que el número de amenazas, su grado de sofisticación y su peligrosidad crecen de un modo constante. La dificultad de detectar y gestionar estos riesgos sólo es posible con un equipo de profesionales muy especializado, que se adapte continuamente a las nuevas amenazas y ofrezca soluciones ágiles y flexibles, en función de las necesidades de cada cliente. Por ello, en nuestra compañía se crearon hace ya más de tres años dos departamentos encargados de adaptar nuestros servicios a las nuevas amenazas: IRTLABS e ILABS. El primero es el responsable de buscar y definir soluciones, mejorando todos los procesos y automatizando en la medida de lo posible los servicios. Por su parte, ILABS es el encargado de poner en producción estas nuevas soluciones, realizando, si es necesario, nuevos desarrollos para llevar a cabo las mejoras. Ampos departamentos están conformados por profesionales con amplia experiencia en la materia. “La necesidad de contar con información fiable acerca de las amenazas va a ser cada vez mayor. En IBM contamos con diez SOC interconectados a nivel mundial que nos permiten conocer ataques en algunos casos antes de que lleguen a España y anticiparnos para minimizar el impacto en nuestros clientes”. Susana del Pozo Responsable de Servicios de Seguridad IBM España, Portugal, Grecia e Israel El incremento constante en la complejidad y sofisticación de los ataques se une a la adopción de modelos cloud y entornos colaborativos en los que los servicios de seguridad tradicionales pierden eficacia. Los catálogos de servicios están en continua evolución para asegurar la protección extremo a extremo, tanto en entornos TI tradicionales como cloud. Entre las últimas incorporaciones a nuestro portafolio de servicios cabe destacar los servicios de seguridad para cloud, o el servicio de protección de ejecutivos para gestionar la seguridad de sus actividades en redes sociales. La necesidad de contar con información fiable acerca de las amenazas va a ser cada vez mayor. En IBM contamos con 10 centros de operación de seguridad interconectados a nivel mundial que nos permiten conocer ataques en algunos casos antes de que lleguen a España y anticiparnos para minimizar el impacto en nuestros clientes. El volumen de información a considerar (tanto interna como externa) y las necesidades de correlación van a seguir creciendo, lo que va a hacer que se intensifique el uso de herramientas analíticas avanzadas aplicadas a los servicios de seguridad. “Es necesario suplementar los servicios de inteligencia con capacidades de respuesta que garanticen una contención y mitigación de los (ciertos) incidentes de seguridad. Este es un ámbito más de desarrollo de servicios que hay que complementar con un mayor nivel de especialización en las capacidades de la organización” Roberto López Navarro Jefe de División Servicios Gestionados GMV SOLUCIONES GLOBALES INTERNET Si algo caracteriza el panorama de amenazas a medio largo plazo es la continua innovación y adaptabilidad. En consecuencia, tanto los consumidores como proveedores de servicios de ciberseguridad deben dotarse de las capacidades necesarias para poder identificar y responder a estas nuevas estrategias. En esta continua batalla, cobran especial importancia los servicios de inteligencia y la capacidad de SiC / Nº116 / SEPTIEMBRE 2015 08_ARTICULOESTELAR con telvent.i91 91 actuar sobre la misma para desarrollar estrategias eficaces y eficientes. Al mismo tiempo, es evidente que la prevención, basada en el conocimiento de estas amenazas, no es suficiente, pues no se trata tanto del cómo si no del cuándo. Estos servicios de inteligencia es necesario suplementarlos con capacidades de respuesta que garanticen una contención y mitigación de los (ciertos) incidentes de seguridad. Este es otro ámbito de desarrollo de servicios para los proveedores de seguridad, complementado con un mayor nivel de especialización en las capacidades de la organización. 91 03/09/2015 14:12:45 Los MSSPs opinan “Los servicios de ciberseguridad gestionada deben ser más multidisciplinares y estar totalmente interconectados. En este sentido S21sec, bajo el concepto Security as a Service (SecaaS), ofrece soluciones globales, una visión 360º de los eventos y acontecimientos de las organizaciones a las que protege” Andoni Valverde Head of Cybersecurity Managed Services S21SEC Existen dos pilares principales para hacer frente a la especialización y masificación de las ciberamenazas. Por un lado, la formación del usuario final, donde seguimos viendo que por más medidas tecnológicas que se implementen, continúa siendo el eslabón más débil de la cadena. Asimismo, los servicios de ciberseguridad gestionada deben avanzar en ser más multidisciplinares y estar totalmente interconectados. En este sentido, S21sec, bajo el concepto Security as a Service (SecaaS), ofrece soluciones globales, una visión 360º de los eventos y acontecimientos de las organizaciones a las que protege. No sólo se trata de una metodología, sino que además juega un papel fundamental nuestra plataforma de inteligencia, que provee en cada instante la información precisa contextualizada a cada equipo de trabajo. La evolución de los servicios de S21sec en ciberseguridad gestionada seguirá estas líneas y nuestro catalogo se nutrirá de soluciones integrales, servicios avanzados que mejoran sustancialmente la gestión y la inmediatez en la respuesta a los incidentes, así como la detección de las nuevas amenazas. Todo ello con un modelo tecnológico más integrable con las infraestructuras propias de los clientes sin necesidad de grandes despliegues. La agilidad y la simplicidad son las claves para conseguir una efectividad mayor en los servicios gestionados. “Lo que en el año 2002 eran los Servicios Gestionados de Seguridad (SIA Tiger Team), que luego se convirtieron en SOCs y en Centros Expertos de Ciberseguridad (CEC), han evolucionado hacia nuestro Centro Experto de Ciber Inteligencia, en el que se definen y gestionan los nuevos servicios de forma holística”. Enrique Palomares Consejero Delegado SIA Cuando hace ya 27 años en SIA comenzamos a especializarnos en el incipiente mercado de la seguridad de la información, hay que reconocer que nadie divisaba lo que actualmente llamamos ciberseguridad. Hemos asistido a múltiples oleadas y modas de mayor o menor intensidad, pero siempre con el mismo método de trabajo: entender la problemática y colaborar estrechamente con nuestros clientes, contar con los mejores profesionales, tecnologías y metodologías para adelantarnos a la exponencial evolución de las amenazas. Es cierto que ahora nos enfrentamos a otra dimensión de ataques, donde los conceptos clásicos ya no sirven, y vamos a asistir a una auténtica “guerra fría” durante la próxima década. Por ello, para continuar sien- do pioneros en la prestación de los nuevos servicios de ciberseguridad, desde SIA estamos incorporando expertos y aplicando metodologías del sector militar y policial: sistemas de inteligencia, equipos Red Team (seguridad física, lógica y social) y otros sistemas inteligentes, que nos permiten prepararnos para los ataques avanzados y personalizados para cada sector y cada organización que se nos avecinan. Lo que en el año 2002 eran Servicios Gestionados de Seguridad (SIA Tiger Team), que luego se convirtieron en SOCs y en la última generación en Centros Expertos de Ciberseguridad (CEC), han evolucionado ahora hacia nuestro Centro Experto de Ciber Inteligencia, quien define y gestiona los nuevos servicios, aplicando técnicas de inteligencia de forma holística, para anticiparnos a las amenazas y ataques que están por venir, manteniendo siempre nuestros principios y método de trabajo. “La apuesta de Telefónica pasa por potenciar la proactividad en los servicios para permitir a nuestros clientes entender el comportamiento y motivaciones de los atacantes, disponer de información para anticiparse y hacer frente a las amenazas y los ataques combatiéndolos en la propia Red”. Juan Hernández Orea Gerente de Desarrollo de Negocio Dirección de Defensa y Seguridad TELEFÓNICA ESPAÑA Los ataques son cada día más sofisticados, las motivaciones se han transformado, ya no son retos de jóvenes apasionados sino organizaciones criminales con ánimo de lucro o gobiernos con objetivos políticos, hasta el punto de que una de las expresiones de moda que ofrece titulares en prensa cada día es “ciberwar”. No hablamos de tendencias sino de hechos constatados. Se ha demostrado que los enfoques tradicionales, diseñados para proteger la información de una forma reactiva, resultan inadecuados, siendo necesario un nuevo enfoque sobre ciberseguridad que 92 08_ARTICULOESTELAR con telvent.i92 92 sea proactiva, lo que implica una investigación constante, dinámica y adaptativa. En este sentido nuestra apuesta pasa por potenciar la proactividad en nuestros servicios, de tal forma que permita a nuestros clientes entender el comportamiento y motivaciones de los atacantes y así disponer de la información suficiente para anticiparse y hacer frente a las amenazas y los ataques combatiéndolos en la propia Red, antes de que lleguen a afectar infraestructuras o activos críticos de nuestros clientes. Para llegar a ese punto de entendimiento es imprescindible contar con una organización y unos recursos altamente preparados que garanticen una detección temprana y una contención y respuesta con garantías. SEPTIEMBRE 2015 / Nº116 / SiC 03/09/2015 14:12:52 Los CISOs opinan Servicios de ciberseguridad gestionada: ¿hay espacio para la mejora? La urgente búsqueda de la eficiencia por las organizaciones usuarias llegó hace algunos años a la ciberseguridad, provocando la aparición de proveedores de servicios de seguridad TIC gestionada (MSSPs). Hoy, ha crecido ostensiblemente el número y tipologías de MSSPs, y por la presión de las amenazas y los ataques, y el avance de la transformación digital de la mano de la virtualización, la movilidad, la nube y el análisis de grandes cantidades de datos, empiezan a surgir, conviviendo con servicios ya básicos, otros de gran valor, algunos de los cuales, además, se van adaptando a las particularidades de cada sector económico de actividad. Con estos condicionantes, la revista SIC ha formulado a once CISOs de otras tantas compañías la siguiente pregunta: ¿En qué deberían mejorar sus servicios los proveedores de ciberseguridad gestionada? Sus contestaciones, realmente interesantes, empiezan a continuación. “Un servicio maduro, y es lo primero que, en caso de no existir, se debe demandar a los proveedores de ciberseguridad gestionada como mejora… invierte, y no repercute al cliente, en los elementos que lo integran”. Juan Cobo Páez CISO FERROVIAL Antes de hablar de mejorar servicios, deberíamos dejar claro qué es un servicio y qué no es un servicio, porque, al menos en mi opinión, sigue habiendo en el mercado muchos servicios que, habiendo sido concebidos y denominados como tales, no dan la talla para ser considerados servicios gestionados o, al menos, servicios maduros gestionados. Un servicio maduro, y es sólo mi opinión, debe ser algo más que empaquetar algo de hardware, algunas licencias de software, unas cuantas horas hombre, ponerle un lazo y ofrecérselo al cliente repercutiéndole el coste total de la inversión, inversión que, por otro lado, tendrá los días contados en la medida en que la obsolescencia tecnológica haga su aparición. Y de esto, más orientado a proyecto que a servicio real, sigue habiendo mucho en el mercado. Un servicio maduro, y es lo primero que, en caso de no existir, se debe demandar a los proveedores de ciberseguridad gestionada como mejora… invierte, y no repercute al cliente, en los elementos que lo integran, y vive de tener muchos clientes contentos y satisfechos. Contempla modelos de pago por uso... está diseñado de forma horizontal para todos sus clientes, que consumen un mismo servicio y que se aprovechan de las mejoras y actualizaciones incorporadas al servicio como consecuencia del feedback dado por clientes o de las amenazadas e incidentes sufridos por éstos (lo que “amenaza” a un cliente, mejora la defensa de los demás)… no requiere de integraciones complejas a la hora de desplegarlo en el entorno del cliente… es escalable y flexible, y abstrae al cliente de la tecnología y de su obsolescencia… tiene claro y formalizado cómo medir el nivel de servicio. Con respecto a los servicios que ya siguen esta aproximación, y en base a mi experiencia, me permito enumerar algunas áreas susceptibles de mejora tales como la existencia de certificaciones conforme a marcos internacionales de referencia, la capacidad de revisión y auditoría por parte del cliente, la existencia de informes de auditoría públicos alineados con modelos reconocidos (SSAE 16…), el cumplimiento de los marcos regulatorios de aplicación, la coordinación / integración con organismos públicos con competencias en materia de Ciberseguridad o el alcance global / internacional de los mismos. “La diferencia la va a marcar el conocimiento que tenga el proveedor del entorno en que se mueve su cliente, cuáles son sus amenazas y el impacto que tiene en su negocio la materialización de un riesgo”. Ángel Campillo del Río CISO CARREFOUR GROUP ESPAÑA Como en cualquier servicio gestionado, tanto el proveedor como el cliente debemos mejorar en la correcta definición de los Niveles de Servicio y la medición de los mismos, para que ambos nos sintamos confortables durante la vigencia de la prestación de este servicio, incluida la revocación o finalización del mismo. Pero dada la naturaleza de la seguridad y lo cambiante de los servicios que se pueden demandar, creo que el proveedor debe enSiC / Nº116 / SEPTIEMBRE 2015 08_ARTICULOESTELAR con telvent.i93 93 contrar la manera de adaptar estos servicios a las necesidades del cliente y saber gestionar la excepción y la necesidad puntual ante posibles incidentes. Esto les obliga a conocer el negocio de su cliente y ofrecer soluciones quizás sectorizadas por industria. Las soluciones técnicas y la madurez en la prestación de los servicios básicos de seguridad serán características obligadas de cualquier proveedor que quiera jugar un rol importante; pero a mi entender la diferencia la va a marcar el conocimiento que tenga el proveedor del entorno en que se mueve su cliente, cuáles son sus amenazas y el impacto que tiene en su negocio la materialización de un riesgo. 93 03/09/2015 14:12:58 Los CISOs opinan “Salvo puntuales excepciones los proveedores tienen pocos ‘servicios para clientes’ y sí muchos proyectos para clientes”. Rafael Hernández González Responsable de Seguridad de la Información CEPSA Lo más significativo al evaluar los servicios de proveedores de ciberseguridad gestionada es la propia pregunta; me explico: son los términos “Servicios” y “Ciberseguridad Gestionada”. Lo primero porque después de 10 años de usar proveedores externos, Cepsa ha sido pionero en el uso de Servicios de Seguridad Gestionada, hemos de lamentar que salvo puntuales excepciones los proveedores tienen pocos “servicios para clientes” y sí muchos proyectos para clientes. Esto nos obliga a los responsables de las empresas a una supervisión constante y una falta de escalabilidad y a problemas de evolución, ya que son proyectos dedicados sin estandarización. Además, la gestión individual de los mismos no nos hace crecer hacia un modelo de se- guridad integral. El concepto de “Ciberseguridad” ha venido para quedarse pero hay que explicarle dentro del global de las organizaciones pues ya no solo nos estamos refiriendo a la seguridad lógica o física, sino que la extendemos a las áreas de marketing, personal, imagen. Es necesario tener un nuevo marco de relación y un nuevo marco de gestión. Es decir: servicios normalizados, recurrentes, medibles y replicables y con SLA controlables, y gestionados. Por lo tanto sería deseable que nos encontrásemos muchos clientes dentro del mismo servicio y que el proveedor comparta, optimice y aporte mejores soluciones y una mejora continua de nuestra ciberseguridad. Creo que en estos momentos están apareciendo nuevas empresas que con su aire fresco están renovando estos servicios, esperemos que esta línea crezca y avancemos hacia la mejora de la SEGURIDAD, bueno perdón: de la CIBERSEGURIDAD. “Es demasiado habitual que el equipo destinado en el cliente no mantenga un verdadero espíritu de equipo, bien porque no comparten información entre ellos o porque no es homogéneo ni está adecuadamente motivado”. Jesús Mayor Sendra Responsable de Seguridad de la Información CORREOS La provisión de servicios con una verdadera orientación al cliente en la que hablamos de colaborador y no de proveedor, en la que mantenemos intereses y valores compartidos, en la que se instaura la mejora continua en el desarrollo de las prestaciones, supondría una deseable evolución que mejoraría radicalmente la calidad del servicio prestado. Yendo a lo concreto de las prestaciones, la mayoría de las mejoras que me vienen a la cabeza giran a en torno al equipo de recursos humanos asignados al cliente: • Habilidades insuficientes para la función desempeñada, que obligan a desencadenar todo el proceso de cambio de recurso. • Gestión del conocimiento (sustituciones) deficiente, que penaliza el servicio en las ausencias y periodos vacacionales • Trabajo en equipo parcial. El trabajo en equipo y la inteligencia compartida son fundamentales para enfrentarse a los problemas y nuevos desafíos. Es demasiado habitual que el equipo destinado en el cliente no mantenga un verdadero espíritu de equipo, bien porque no comparten información entre ellos o porque no es homogéneo ni está adecuadamente motivado. Adicionalmente, en el caso de mi organización (sometida al régimen de contratación pública) se produce otro fenómeno indeseable que resiente la calidad y flexibilidad en los servicios, como son las “obligadas” contrataciones a precio. ¿Cómo romper esa dinámica? Tarea difícil que alguien deberá de empezar. “El verdadero reto de las compañías que ofrecen este tipo de servicios es la capacidad de adaptación a las necesidades particulares de sus clientes sin perder la esencia de su servicio”. Mario Trotta IT Security Manager SECURITAS DIRECT ESPAÑA Actualmente la oferta existente en servicios de seguridad gestionada es muy amplia. Tenemos posibilidad de contratar estos servicios a grandes compañías con infraestructura muy importante, pero también existen empresas más pequeñas aunque con un grado de especialización elevado en esta materia. Securitas Direct es una compañía con un alto componente tecnológico y con unas exigencias en materia de seguridad elevadas dada 94 08_ARTICULOESTELAR con telvent.i94 94 la naturaleza de su negocio. Pero tal y como nos ocurre a nosotros, cada compañía tiene unas necesidades muy concretas, que además variarán a lo largo del tiempo y dependerán del grado de madurez en seguridad que tenga la empresa en cada momento. Pienso que el verdadero reto de las compañías que ofrecen este tipo de servicios es la capacidad de adaptación a las necesidades particulares de sus clientes sin perder la esencia de su servicio. Los proveedores de seguridad gestionada deben tener siempre presente que ellos son los que deben adaptar su servicio al cliente y no la situación inversa. SEPTIEMBRE 2015 / Nº116 / SiC 03/09/2015 14:13:02 Los CISOs opinan “El seguimiento y reporting periódico del servicio ofrecido sigue siendo el punto débil, así como la industrialización, es decir, la capacidad de proporcionar servicios personalizados en función de la demanda del cliente”. Santiago Minguito Santos Director de Seguridad de la Información BANCO SABADELL Del mismo modo que las amenazas en materia de ciberseguridad han evolucionado de forma significativa en el transcurso de los últimos años, también lo han hecho las contramedidas para mitigar la probabilidad e impacto de materialización de dichas amenazas. En este sentido, los proveedores de ciberseguridad gestionada juegan un papel fundamental para la aplicación de las contramedidas, debido a las capacidades globales que gran parte de ellos poseen. En el portafolio de servicios de estos proveedores seguimos encontrando servicios que se han convertido en comodities, que si bien siguen siendo necesarios, aportan poco valor. Sin embargo, aparecen nuevos servicios diferenciales en ciertos proveedores que aportan mucho más valor hoy en día con soluciones innovadoras. En general se sigue ofreciendo buen servicio, si bien en la mayoría de los casos se les reclama mayor capacidad de innovación y de reacción ante nuevas amenazas. El seguimiento y reporting periódico del servicio ofrecido sigue siendo el punto débil, así como la industrialización, es decir, la capacidad de proporcionar servicios personalizados en función de la demanda del cliente. En algunos casos para obtener ese servicio personalizado es necesario recurrir a servicios conjuntos de dos o más proveedores con capacidades complementarias. Asimismo la velocidad a la que evoluciona la tecnología de ciberseguridad hace que también sea complicado encontrar proveedores que sean expertos en las tecnologías utilizadas en nuestras organizaciones. “Una vez que el proveedor notifica al cliente que está siendo víctima de algún tipo de ataque o que se encuentra fehacientemente bajo amenaza, debe proponer un plan de actuación de forma inmediata”. Eduardo García Martínez CISO EQUIFAX IBÉRICA Cualquier proveedor de estas características debe dejar muy claro como mínimo tres cosas en su propuesta de servicios de ciberseguridad gestionada. A día de hoy estos aspectos deben ser los mínimos y sin ellos es muy difícil encontrar el valor añadido de un proveedor de ciberseguridad frente a otro. El primer elemento clave es un portafolio de servicios definidos y sumamente detallados. Esto puede parecer una obviedad para cualquier producto, servicio o solución que se lanza al mercado, pero en este sector no lo es en absoluto. Mucho portfolios son generalistas y no aportar valor añadido, dado el grado de sofisticación de las amenazas y la disparidad de modelos de negocio susceptibles de ser víctimas del cibercrimen o la ciberdelincuencia. Por lo tanto, una oferta de servicios específicos marcará la primera gran diferencia. El segundo aspecto a tener en cuenta es la frecuencia de actuali- zación de ese portafolio, dado que el dinamismo de las amenazas es sencillamente sobrecogedor. Por ello, las empresas necesitan saber qué nuevas amenazas pueden gestionar con el proveedor, a qué coste y con la mayor brevedad posible, para no quedarse desprotegidas. El tercero, y quizá el más importante, es que una vez que el proveedor notifica al cliente que está siendo víctima de algún tipo de ataque o que se encuentra fehacientemente bajo amenaza, debe proponer un plan de actuación de forma inmediata: “ What’s the next step?“ ¿Qué asesoramiento dará el proveedor y qué acciones deberá llevar a cabo el cliente? En este sentido la coordinación de los servicios de contramedidas y eliminación de la amenaza con la empresa son igual o más importantes que el propio servicio de detección en sí mismo, pues de nada vale un servicio que por ejemplo alerta o notifica de ataques de denegación de servicio, si la empresa no es experta en seguridad y no dispone del asesoramiento y medios adecuados para contrarrestar la amenaza y volver a un estado normal en la operación y dinámica de su negocio. “Las medidas y las métricas de un SLA no son suficientes cuando lo que se requiere es un servicio maduro y que proporcione valor a la seguridad de la compañía”. Javier Sevillano CTSO (Chief Technology Security Officer) VODAFONE Los SLA (Service Level Agreement) son imprescindibles para medir la calidad y cantidad adecuadas de un servicio de seguridad gestionado. Y son adecuados para muchas de las tareas de un servicio de este tipo, p. ej. la gestión de reglas de firewall, o la gestión de certificados digitales. Pero las medidas y las métricas de un SLA no son suficientes cuando SiC / Nº116 / SEPTIEMBRE 2015 08_ARTICULOESTELAR con telvent.i95 95 lo que se requiere es un servicio maduro y que proporcione valor a la seguridad de la compañía. Por ejemplo, en el caso de las revisiones de vulnerabilidades o fallos de seguridad de una nueva aplicación antes de su implantación en un entorno real. No es mejor el que realiza más revisiones por unidad de tiempo, sino el que lo hace con mayor calidad para la misma velocidad. Para estas comprobaciones se hace necesaria la colaboración de un tercero de confianza que actúe como garante de la calidad del proveedor de servicio principal. 95 03/09/2015 14:13:13 Los CISOs opinan “Existe una necesidad común de servicios básicos de ciberseguridad, pero echamos de menos servicios específicos que tengan en cuenta las particularidades de los modelos de negocio y de operaciones de cada sector”. Carlos Pérez Navarro Director de BBVA CERT GRUPO BBVA La mayor oportunidad de mejora está en ofrecer servicios de ciberseguridad especializados por sector. Ciertamente existe una necesidad común de servicios básicos de ciberseguridad. Pero echamos de menos servicios específicos que tengan en cuenta las particularidades de los modelos de negocio y de operaciones de cada sector. En ciberseguridad estas particularidades se traducen en que en cada sector tenemos adversarios con cadenas de valor, perfiles de atacantes y modus operandi específicos. Y esto deriva en múltiples ne- cesidades diferenciadas. Por ejemplo, cada sector necesita una inteligencia sobre amenazas a su medida. De igual forma, el malware afecta de formas diferentes a un banco que a una empresa de energía. Una buena muestra de esta realidad diferenciada por sector es el fuerte impulso que están tomando las asociaciones privadas sectoriales y concretamente los ISAC (“Information Sharing and Analysis Center”). En el sector financiero, el FS-ISAC es una comunidad muy activa con más de 4.400 empresas participantes. La colaboración con los ISAC es una clara oportunidad para los proveedores de ciberseguridad gestionada de conocer de primera mano las necesidades particulares de cada sector y personalizar su oferta de servicios. “El proveedor debería anticiparse y ofrecer novedades inspiradas en incipientes cambios regulatorios o amenazas plausibles que puedan tener impacto en los clientes”. Ramón Ortiz Responsable de Seguridad Informática MEDIASET ESPAÑA El proveedor debería estar comprometido en la correcta definición de las matrices de responsabilidades del servicio que gestiona; deberá por tanto hacer por conocer correcta y debidamente los que pueden llegar a ser sus interlocutores llegado el momento de un incidente determinado. Disponer y utilizar herramientas que utilicen metodología de gestión de servicios de soporte; la supervisión debería detectar, escalar si fuera el caso y comunicar prontamente posibles incumplimientos de los niveles de servicio acordados en los contratos, sin olvidar aquellos servicios de valor añadido no facturables. En cuanto a la comercialización, ofrecer los servicios requeridos por las empresas y además anticiparse a ofrecer novedades inspiradas más que en modas o tendencias procedentes del mercado, en incipientes cambios regulatorios o amenazas plausibles que puedan tener impacto en los clientes. Los proveedores de servicios de Seguridad Gestionada podrían tener la capacidad de practicar fórmulas flexibles de facturación donde acomodar políticas de inversión y/o gasto según sea necesidad puntual de las organizaciones y en cuanto a reducción de costes, sobre una tarifa pactada, poder hacer repercutir dinámicamente al cliente el concepto de economía de escalas, al ocurrir nuevas incorporaciones o bajas en el servicio, pudiendo volver a la tarifa base. “Hay varios puntos de medición de la calidad del servicio, y uno de ellos es la estabilidad del mismo. Ojo con la rotación de personal causada por la demanda inflacionista de profesionales de ciberseguridad”. Francisco Lázaro Anguís CISO RENFE En mi opinión, a un proveedor de Ciberseguridad se le debe exigir: especialización, coordinación, capacidad, industrialización y estabilidad. Los servicios de Ciberseguridad que proporcione deben estar claramente diferenciados de la operación de la seguridad, con el foco puesto en el incidente y no en la incidencia de seguridad; así, la calidad de los servicios que suministra se medirá por: 1) El grado de coordinación que tenga con otros Centros de Respuesta, 2) La capacidad para: a) generar información preventiva (avisos, 96 08_ARTICULOESTELAR con telvent.i96 96 alertas temprana, inteligencia...); b) responder, asesorar y adaptarse a las amenazas, tecnologías y métodos de explotación de vulnerabilidades. 3) Su facultad para industrializar las actividades (generación y consumo de IOCs, procedimientos operativos o mecanización de análisis de tráfico y equipos). 4) Y, finalmente, por la estabilidad en el servicio (ojo con la rotación de personal causada por la demanda inflacionista de profesionales de Ciberseguridad). ¿En qué deben mejorar? En todos y cada uno de los aspectos antes mencionados. Así lo requiere el incremento de incidentes, motivaciones, tecnologías o capacidades de los atacantes (individuos, grupos, empresas o naciones). SEPTIEMBRE 2015 / Nº116 / SiC 03/09/2015 14:13:24