Una web de INFORMA D&B S.A.U. (S.M.E.)

Cara a Cara

Ciberseguridad y ciberresiliencia. Entrevista a Luis Gonçalves, CISO del Grupo Informa

07 marzo, 2022

Luis Gonçalves es ingeniero, con un máster y un doctorado en ciencias de la computación. Este profesor universitario, especializado en ciberseguridad e inteligencia artificial, también es coordinador de diferentes programas de formación para altos ejecutivos sobre gobierno y estrategias de seguridad.

Postgraduado en leyes, geopolítica y defensa internacional, con una experiencia de 20 años en el sector de la ciberseguridad, es el nuevo CISO (Chief Information Security Officer) en la Dirección Ejecutiva de Sistemas de Calidad y Seguridad de Información del Grupo INFORMA desde enero de este año.

Con él conversamos sobre ciberseguridad, ciberguerra y geoestrategia, y cómo todo ello tiene afección en un entorno globalizado.

Con el conflicto bélico entre Rusia y Ucrania, ¿podemos afirmar que el ciberespacio es el escenario bélico de última generación?

Sí, claramente. En el conflicto bélico convencional no se contemplaba la ciberguerra. Muchas personas no tenían este ámbito del ciberespacio bélico presente; creían que solo preocupaba a los profesionales de la ciberseguridad.

De hecho, la OTAN ha definido el ciberespacio como un dominio bélico e incluso ha reconocido que un impacto significativo de un ataque cibernético mal intencionado puede ser considerado, en situaciones particulares, un ataque armado, abriendo la posibilidad de activación del articulo 5 – que define que un ataque a uno es un ataque a todos los estados miembros de la alianza.  Con el conflicto entre Rusia y Ucrania hemos visto que existe una noción clara de que los grupos apoyados por las partes intervinientes en el conflicto se han activado mediante sus ciberarmas, siendo parte activa de la guerra, como concepto más amplio del que conocíamos hasta ahora.

Todo ello ha traído la ciberguerra a la superficie, haciéndose presente para todo el mundo. Ya forma parte de la agenda geopolítica y social actual. Con ello, los responsables políticos y la población en general empiezan a considerar la ciberguerra como una realidad, algo que para muchos podría ser una ficción hasta hace poco.

En este sentido también hay muchas compañías que, aunque cuentan con elevada madurez en ciberseguridad, ante la ciberguerra se cuestionan si sus niveles y protocolos de seguridad son suficientes para hacer frente a la sofisticación de los ataques que estamos viendo ahora mismo. Esta situación requiere una preparación mucho mejor, tomando consciencia de ello.

Por todo lo hablado, está claro que existe la guerra virtual y la guerra física. ¿Piensa que estamos ante una nueva doctrina militar, nuevas formas en las tácticas bélicas?

Por supuesto. Las tácticas de ciberguerra típicamente funcionan como apoyo a la guerra convencional. Actualmente hay que cambiar los conceptos y hablar de guerra híbrida, con una primera fase de ciberataques o ciberguerra para preparar el terreno a lo que es la segunda fase, la guerra convencional. La utilización del ciberespacio y de técnicas no cinéticas tiene la capacidad de potenciar y ayudar a la intervención bélica o cinética convencional, como por ejemplo invasiones físicas

Hoy, no podemos hablar de guerra cinética únicamente. Hay que considerar la guerra en el ciberespacio y su utilización para facilitar la incursión física no virtual, la intervención bélica convencional. En términos de doctrina militar, estamos claramente en un momento de viraje. Con la mayoría de los países considerando y desarrollando nuevas doctrinas militares duales, con la clásica componente cinética y la nueva componente non cinética.

Algunos datos de análisis en ciberseguridad afirman que la mitad de los grupos de cibercrimen tienen apoyos gubernamentales. Tecnológicamente, como comunidad internacional, ¿estamos preparados para hacer frente a esta situación?

Es una pregunta de difícil respuesta, pero muy interesante y actual. No se puede afirmar con precisión el número de grupos de cibercrimen que existen con apoyo gubernamental. No obstante, de facto observamos, desde hace muchos años y de manera más clara recientemente, que existen grupos de cibercrimen apoyados por algunos estados de manera no oficial. Sabemos que existen, algunas veces identificamos a dichos grupos y se logra relacionarlos con ciertos países. Incluso con su forma de actuación se percibe si pertenecen a una doctrina de un país u otro… Pero el gran problema es que parte destacada de esos grupos intervienen en la economía local o interna de los países.

Por ejemplo, existen grupos dedicados al “negocio” de ransomware. Estos grupos se dedican parcialmente a la extorsión en el transcurso de sus campañas de ataque. Hay muchas compañías que son atacadas y que pagan esa extorsión. Cuando los grupos de cibercrimen reciben el dinero, lo utilizan para mejorar aún más las proprias herramientas de ransomware. Y, por otro lado, invierten en el país, hacen compras, mueven el dinero y, en el fondo, mueven la economía del país desde el que actúan. Es un combate muy difícil porque no existe un marco legal que se puede aplicar de manera global en todo el mundo y en todo ciberespacio. Y, cuando el cibercrimen representa una parte relevante de la economía de un país, es natural que cerrarlos no sea una opción para los gobiernos.

La comprobación de los ataques

Es la parte más complicada, a la hora de la identificación de las personas o grupos ciberatacantes. Y tampoco existe un vínculo directo de estos individuos con los grupos de ciberataque y los propios estados. No hay marco legal o, cuando existe, no es posible reunir información probatoria suficiente.

Es evidente que, para combatir esta situación, resulta necesario sumar el esfuerzo global con la colaboración internacional entre países. Aunque existan estados que no se sumen a ello. Hasta que eso sea una realidad, mi opinión es que, como comunidad internacional, no estamos totalmente preparados para una acción global, coordinada y eficaz.

¿Existen iniciativas internacionales que trabajen en la construcción del marco legal global?

Existen iniciativas en América, Europa, incluso transatlánticas. Pero la mayoría son iniciativas locales, en el sentido de que se empiezan a crear encuadramientos globales, aunque en una fase primaria.

Como tal, cualquier marco legal tiene que ser internacional porque el ciberespacio no tiene fronteras. Por lo que la acción legislativa contra estos grupos ciberatacantes en distintas regiones del mundo necesita un marco normativo mundial. No obstante, se están dando pasos muy importantes y relevantes en esa dirección.

Si sumamos los conceptos guerra y sanciones, en los últimos días estamos viendo decisiones de grandes empresas y holdings en relación con sus operaciones y a sus relaciones con el estado y el mercado rusos. Y resulta evidente que la ciberseguridad es una de las preocupaciones principales en estas organizaciones. ¿Qué pueden hacer al respecto?

Creo que las empresas pueden considerar algo que en muchos programas de ciberseguridad se obvia: la parte de la geopolítica y de la geoestrategia. Con ello, las grandes empresas pueden crear un contexto de amenazas tanto técnicas como sociales, políticas o económicas, que puedan escalar y acaben repercutiendo como riesgos cibernéticos. Es muy relevante y las empresas deben considerar seriamente estos diversos tipos de informaciones.

También es importante tipificar las amenazas corporativas en cada región donde la organización está implantada u operando.

En este sentido, compartir estas informaciones con las autoridades competentes es clave, creando y colaborando con grupos internacionales de información.

Teniendo en cuenta que cada región tiene sus particularidades, cualquier información de tres ámbitos, que son geoestratégica, geopolítica e inteligencia (informaciones estratégicas), debe incluirse en las estrategias avanzadas de ciberseguridad y ciberresiliencia.

Ciberresiliencia

Este concepto implica aguantar un escenario de ciberataque o ciberguerra manteniendo la operativa como organización. Es la capacidad de una organización de sostener/contener los ataques, en cuanto perduran, sin interrupción internacional, y volver al punto normal de operativa cuando las campañas de ataque terminan. Para ello, es esencial tener capacidades de reunir informaciones estratégicas – o inteligencia – que permitan una postura proactiva y la identificación previa de los riesgos que se podrán materializar.

Hoy, las empresas no pueden evitar que sucedan ciberataques por lo que tienen que ser proactivas, resilientes, sin perder capacidad operacional, y por encima de todo, tienen que entrenar este tipo de escenarios. Pero lo que es muy importante es que los planes de continuidad de negocio o de recuperación en caso de desastre contemplen las amenazas cibernéticas.

Hay que considerar que los ataques acontecen al segundo. Las empresas están expuestas a sufrirlos y hay que saber aguantar y sobrevivir a todo ello, protegiéndonos al máximo y estando preparados. Para eso, es muy importante simular, entrenar y cambiar de una postura reactiva a una postura proactiva.

Ante estas amenazas crecientes ¿cómo está de preparado el Grupo INFORMA para este conflicto bélico entre Rusia y Ucrania?

Nosotros hemos estado monitorizando la situación en Ucrania. Desde el punto de vista del ciberespacio y el riesgo que esto puede representar para nuestro Grupo y para nuestos clientes. Ya que, como proveedores de servicios digitales, tenemos que estar atentos a todo lo que pueda suponer un incremento del riesgo.

Seguimos muy de cerca la situación, junto con las autoridades nacionales e internacionales competentes.

Además contamos con un modelo de gobernanza de la ciberseguridad, que incluye la existencia de procesos y procedimientos de respuesta y recuperación ante ciberataques. Que se actualiza a partir de las lecciones aprendidas de las pruebas y simulaciones que se realizan periódicamente.

Por eso, nuestros procesos internos y las actividades de ciberseguridad se han intensificado y se ha puesto el foco de los controles internos de ciberseguridad sobre las amenazas que parecen estar surgiendo con los ataques recientes derivados del contexto de conflito bélico y de cyberguerra.

El Grupo INFORMA ha involucrado a nuestros equipos de seguridad en toda nuestra presencia global para fortalecer continuamente nuestra propia resiliencia cibernética y garantizar la continuidad del servicio para nuestros clientes a medida que se desarrollan los eventos.

Para mantenerlos informados en todo momento y resolver sus dudas, se ha creado un conjunto de preguntas frecuentes sobre nuestro porfolio de productos y servicios y su posible relación con el conflicto entre Rusia y Ucrania.

¿El Grupo INFORMA tiene operaciones en las áreas donde ocurre el conflicto?

No, no operamos directamente en Rusia o Ucrania. Así que nuestras operaciones y servicios no se ven directamente afectados por los problemas de ciberseguridad asociados con el conflicto.

Podría explicarnos las medidas específicas que se han desarrollado para mitigar la materialización de riesgos y posibles efectos negativos del conflicto

Nuestros equipos, además de monitorizar efectivamente el conflicto, como he comentado, han tomado medias como:

  • Mayores precauciones para salvaguardar nuestra infraestructura tecnológica de la creciente probabilidad de ataques cibernéticos.
  • Adopción de protocolos de seguridad elevados para monitorizar las actividades anormales de la red.
  • Solicitud a los empleados para que aumenten su atención a posibles ataques de seguridad que pretendan aprovechar la oportunidad distribuyendo entre otras, fake news.
  • Ejercicio de las buenas prácticas, extremando las medidas de seguridad.
  • Compartir con nuestros proveedores nuestra postura frente a la situación y solicitando que enfoquen el ambiente de control a este aumento de riesgo. Y nos informen oportunamente cualquier posible amenaza.
  • Elevar el nivel de riesgo global, recordando los medios de atención a los empleados en caso de detección de cualquier situación anómala o duda.

Adicionalmente, se implementan aquellas medidas específicas recomendadas por las autoridades competentes de cada país donde el Grupo INFORMA tiene presencia.

¿Hay algún ataque específico que deba ser considerado en esta situación de conflicto?

Sí, además de monitorizar los ataques cibernéticos y el uso de malware durante este tiempo, los equipos de ciberseguridad del Grupo están monitorizando activamente el phishing, las técnicas de ingeniería social asociadas con estos eventos, para mejorar aún más la detección y respuesta cibernética.

¿La tecnología empresarial y de red de Grupo INFORMA se ha visto afectada por el conflicto?

Hasta el momento, aunque hemos observado un aumento en la actividad de ciberataques a nivel mundial, no tenemos indicios de ataques o amenazas dirigidas directamente a la infraestructura, los servicios y los productos del Grupo INFORMA. Así como a sus activos de información.

¿El Grupo INFORMA tiene un plan de continuidad de negocio? ¿E incluye la planificación de amenazas cibernéticas?

El Grupo INFORMA cuenta con un plan integral de recuperación tecnológica (PRT) ante desastres y de continuidad de negocio (PCN). Estamos tomando precauciones para proteger nuestra infraestructura tecnológica de la creciente probabilidad de ataques cibernéticos. A su vez, adoptamos protocolos de seguridad más estrictos para monitorizar actividades anormales en nuestras redes de comunicación.

Ambos incluyen medidas específicas para responder a situaciones de desastre/interrupción por actividad maliciosa en el ciberespacio.

Comentarios

No hay comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Artículos relacionados