En ocasiones ante una pregunta clara y sencilla que me realizan y de la que se espera una respuesta categórica me enfrento con una sensación extraña de no saber si la respuesta que estoy dando refleja la experiencia de años en la profesión, la cual debería aportar sustancia sin caer en el dogmatismo o que, por el contrario, mi respuesta abre casi más interrogantes que certezas.

El mundo está rodeado de incertidumbres, nuestro trabajo en Ciberseguridad como el de la inmensa mayoría lo está, el entorno y las circunstancias marcan en muchos casos el devenir de las cosas, por eso el término tan de mi tierra “depende” condensa la certeza que con los años de ejercicio profesional tengo y que parafraseando a Sócrates lo expresaré como “sólo sé que no se nada” (aunque me temo que algunos de los que me conocen ya pensaban eso de mi desde hace años 😉).

Recientemente me preguntaron en una mesa redonda: ¿Cómo y qué amenazas, riesgos y ciberataques afectan sectorialmente a su escenario de ciber protección?  Obviamente, se esperaba una respuesta concreta, pues el contexto geopolítico ha puesto sobre el tapete lo vulnerables que son las sociedades (y más cuanto más avanzada sea) en lo que respecta a sus servicios esenciales e infraestructuras críticas de las que depende.  Sin embargo, las ideas que me vinieron a la mente me llevaron a un terreno donde “el DEPENDE” crecía y sigue creciendo. Esto es así, como consecuencia de que la única certeza es que no hay certezas (verdades incuestionables), sino que como ya sabemos (aunque habitualmente nos olvidemos) para este materia sólo hay probabilidades de difícil cuantificación y esto por mucho que queramos objetivar lo subjetivo… ¿o no?

Si el riesgo consiste en la probabilidad de que una amenaza (“cosas que le pueden suceder a un activo”, según recoge la metodología de riesgos Magerit) explote la vulnerabilidad de un activo de información y, por tanto, cause un daño en ese activo y lo haga con un determinado impacto, deberíamos intentar reflexionar si globalmente podemos hablar de amenazas (con un catálogo especifico de amenazas) y de la materialización de estas en riesgos concretos en sectores concretos. En caso de que realmente fuera así, estaríamos hablando que las “cosas que le pueden pasar” a un activo son el resultante de las condiciones específicas de ese sector, por ejemplo, la provisión de servicios de las empresas y de los intereses de los agentes maliciosos para ese sector concreto. Por el contrario, pienso que el riesgo al que se somete una empresa/entidad dependerá más de la madurez alcanzada en organización, procesos y capacidades de Ciberseguridad, así como de su grado de exposición, apetito de riesgo, postura de seguridad y dependencia ante una serie de factores. Factores externos e internos; tales como:

  • Que la empresa tenga presencia en Internet.
  • Si opera como comercio electrónico; el volumen de su comercio.
  • Si tiene clientes distribuidos por el mundo y si opera desde diferentes países.
  • El interés geopolítico al que puedan estar sometido. La existencia de una situación de tensión geopolítica.
  • La regulación y grado de exigencia a la que está sometida: infraestructura crítica y/o servicio esencial y/o tratar un volumen elevado de datos de carácter personal.
  • El grado de supervisión, la capacidad y voluntad sancionadora de las autoridades de control.
  • La implicación y liderazgo de la Alta Dirección en Ciberseguridad.
  • El apetito de riesgo y la profundidad y calidad de sus análisis de riesgos.
  • La autoexigencia de las empresas.
  • Tamaño y recursos (económicos, técnicos y humanos) de la empresa.
  • El grado de autonomía en la contratación de servicios de las unidades de la Organización.
  • La extensión y dependencia de la cadena de suministro (y no solo de sus proveedores).
  • La interiorización y aplicación de los principios y requisitos de privacidad y ciberseguridad desde el diseño (por ejemplo, incluyendo requisitos de ciberseguridad y privacidad en las especificaciones técnicas de productos y servicios que incluyan activos de información (sean estos o no el objeto principal del producto o servicio a contratar/desarrollar/desplegar/operar).
  • El volumen, la complejidad de los activos y la dispersión de servicios:
    • IT, OT e IoT. El grado de consumo y dependencia de servicios externos (Incluido nube), su obsolescencia, la importancia del safety y como de viable es la convivencia operacional de criterios de inmutabilidad al que con frecuencia el safety nos lleva frente al de actualización continua al que siempre nos obliga la ciberseguridad, la comprensión y extensión del término “seguridad”.
    • La existencia y complejidad de la arquitectura de seguridad, la segregación de funciones.
  • La existencia de áreas de arquitectura, sistemas y operaciones, para encontrar escenarios “limpios y ordenados”.
  • La calidad del inventario.
  • El grado de madurez de la práctica de la seguridad (cultura, capacidad, posición e influencia), lo que incluye, aunque no limitándose, aspectos tales como:
    • La conciencia, percepción e interiorización que de la seguridad tenga la alta dirección y por extensión el conjunto de los trabajadores de la empresa, la existencia y competencia de la figura del CISO.
    • La existencia de una Organización de la seguridad, la segregación o no de las funciones de seguridad y las capacidades de esa Organización de seguridad (presupuesto, humanas y técnicas), su estrategia, su independencia de sistemas, su proximidad a la Alta Dirección (más cuando empezamos a otear el futuro que tendremos como consecuencia de la ya aprobada NIS2).
    • El ciclo de parcheado, el uso de configuraciones seguras, el desarrollo seguro, el fortalecimiento de la autenticación -con 2FA, por ejemplo-, la gestión de identidades privilegiadas el uso sin excepción de soluciones avanzadas de antimalware, el volumen y calidad de la telemetría y la detección.
    • La eficacia y eficiencia de la práctica de la seguridad, la supervisión de la cadena de suministro y la madurez de esta, el grado de exigencia externa (autoridades, obligaciones contractuales, certificaciones, empresas de calificación …), el desarrollo de su marco normativo.
    • La cooperación con otras empresas y grupos de interés, el asesoramiento recibido, el desarrollo y preparación de la gestión de incidentes, entre otras muchas cuestiones y controles.

Y así podríamos seguir enumerando o divagando según como se entienda, hasta llevarme a pensar que todo ello me debería llevar a responder de forma escueta a la pregunta concreta: ¿Cómo y qué amenazas, riesgos y ciberataques afectan sectorialmente a su escenario de ciber protección? , con un rotundo:  DEPENDE… ¿o no?

Francisco Lázaro, CISO Renfe, Presidente del Grupo de Seguridad de AUTELSI