Entrevista a Álex López, director general de F5 Networks
¿Cuál es su visión sobre el estado de la ciberseguridad empresarial en 2017? ¿Considera que están las empresas protegidas adecuadamente?
La seguridad es uno de los mayores retos a los que tienen que hacer frente las organizaciones en la actualidad y, por desgracia, nunca va a ser posible alcanzar un nivel de seguridad total. Es una realidad con la que tenemos que aprender a vivir.
2017 está siendo un año complicado en este sentido. Estamos detectando un fuerte incremento en los ataques tipo DDoS y creemos que esta tendencia, empujada por la proliferación de dispositivos IoT, va a continuar.
La migración de aplicaciones a la nube, el mayor número de usuarios y de recursos móviles y el incremento de amenazas sofisticadas han dado lugar a la desaparición del perímetro tradicional de seguridad de las empresas, no obstante, cualquier compañía debe ser responsable de gestionar los riesgos y amenazas que sus sistemas de información puedan sufrir, incluyendo vulnerabilidades, disponibilidad, o integridad de la información.
A medida que las empresas van siendo más pequeñas y disponen de menos recursos y/o conocimientos se observa una tendencia hacia la relajación de los procesos de gestión de la seguridad, pero incluso en estos entornos son necesarios, por lo que la solución más adecuada para estos casos puede ser la externalización de los servicios a proveedores que puedan aportar el conocimiento y capacidad necesarios para su operación.
Álex López, director general de F5 Networks.
¿Han tomado medidas las empresas y administraciones públicas españolas frente al WannaCry? ¿Qué se ha aprendido de estos ataques masivos de ransomware?
WannaCry nos ha enseñado que a medida que nos orientamos hacia un mundo de dispositivos conectados y dependientes de las aplicaciones, el área en la que pueden producirse este tipo de ataques es cada vez mayor, ya que una pequeña vulnerabilidad en cualquier programa de un dispositivo conectado a la red corporativa puede ser la puerta de entrada y el inicio de un verdadero desastre viral que ponga en peligro a una corporación entera, a una infraestructura crítica o a un gobierno.
Hemos aprendido también que los ciberdelincuentes no pierden el tiempo perfeccionando sus malwares, sino que prefieren esperar a que se abra un nuevo flanco para introducirse en nuestras redes, conseguir engañarnos y volver a utilizar las mismas amenazas de siempre aunque con envoltorios diferentes.
Las empresas deberían haber aprendido que los ciberdelincuentes se están encontrando con muchas puertas abiertas que les facilitan su actividad, por lo que es necesario actualizar los softwares; filtrar y supervisar los sistemas de correo electrónico para evitar ataques de phishing; dotar a los usuarios con los menores privilegios que sea posible, permitiéndoles solo el acceso a los recursos que necesitan para realizar sus trabajos; reducir y restringir los privilegios administrativos; configurar controles internos de acceso para contener el contagio dentro de las redes; realizar copias de seguridad periódicamente y formar y concienciar a los empleados. Seguramente habrá muchas que se lo hayan tomado en serio y otras tantas que volverán a caer en los mismos errores. Las que no se sientan capaces de poner en marcha las medidas necesarias, deberían plantearse contratar los servicios de un proveedor externo, pero nunca jugar a la ruleta rusa con la supervivencia de la empresa.
¿Cómo está impactando la próxima llegada del GDPR?
La entrada en vigor de la nueva norma europea de protección de datos va a suponer un avance muy significativo en las estrategias de seguridad de las organizaciones. Hemos visto cómo, en los últimos tiempos, compañías de todos los tamaños y de múltiples sectores de actividad han sido víctimas de ciberataques. En un principio, estas situaciones pudieron coger a las marcas totalmente desprevenidas, sin embargo, ahora ya no hay excusa. Sabemos que las infraestructuras tecnológicas tradicionales no pueden hacer frente a las técnicas cada vez más sofisticadas de los hackers y, por ello, las organizaciones necesitan repensar sus prácticas de seguridad y poner en marcha una estrategia a largo plazo si quieren salvaguardar su información y la lealtad de unos clientes que son cada vez más conscientes del valor que tienen sus datos y que comienzan a recelar de las empresas que han sido objetivo de algún ataque.
Vivimos en un mundo en el que la economía digital tiene cada vez más peso y en el que las aplicaciones resultan fundamentales para su desarrollo. Poner todos los medios necesarios para proteger adecuadamente los datos de los clientes y para evitar ataques y fraudes que pongan en riesgo la reputación de la marca debería, por tanto, convertirse en una prioridad casi absoluta. Es más, no debería ser posible poner un negocio en marcha sin ser capaz de garantizar estas condiciones de seguridad.
¿Cómo valoran la llegada de tecnologías como Blockchain?
En una época de incertidumbre generalizada y desconfianza en tantas áreas de la sociedad, la principal promesa de la tecnología Blockchain, que ofrece medidas nuevas y ultra seguras para aumentar la certeza y la autenticidad sin la costosa intervención de un intermediario, es una propuesta realmente convincente. No en vano, para muchos expertos, Blockchain se ha convertido en el mayor disruptor de la economía digital.
Hasta la fecha, Blockchain se ha conocido por ser la tecnología que está detrás del Bitcoin, sin embargo, sus capacidades relacionadas con la privacidad de los datos están ampliando sus posibilidades de uso. Así, el concepto de las nuevas dApps -aplicaciones descentralizadas- se basa en el uso de smart contracts que, a su vez, hacen posible nuevos modelos de negocio o de economía colaborativa.
Las dApps son un signo de la creciente demanda que hay en el mercado de consumo de soluciones peer-to-peer, y que ha sido impulsada por una combinación de desconfianza en las instituciones tradicionales y el deseo de obtener acuerdos más ventajosos. Según un estudio de F5, casi un tercio de los consumidores (32%) de EMEA han utilizado o estarían interesados en utilizar un sitio web de préstamos entre iguales, llegando al 37% entre los millennials.
Esto no quiere decir que los enfoques más tradicionales de las operaciones financieras no puedan formar parte de la nueva economía digital, más que nada, porque propuestas como Blockchain también presenta algunas limitaciones. Sin embargo, a medida que crece el conocimiento y la comprensión de esta nueva tecnología, los consumidores valoran, sobre todo, las posibilidades que les ofrece para mantener sus datos bajo control, por lo que las organizaciones financieras deben prepararse para afrontar el impacto de los nuevos jugadores en el mercado y de los nuevos servicios que vayan surgiendo.
"Las empresas deberían haber aprendido que los ciberdelincuentes se están encontrando con muchas puertas abiertas que les facilitan su actividad", comenta Álex López.
¿Cómo está afectando la falta de personal experto en ciberseguridad? ¿Cuál cree que es la solución?
Uno de los grandes desafíos a los que tenemos que enfrentarnos en estos momentos es la escasez de talento especializado en ciberseguridad. La forma en la que las organizaciones afrontan su seguridad ha cambiado muy rápidamente, y esto hace que el perfil de los profesionales cambie también. Por una parte, se hace necesario contar con expertos en seguridad con un perfil diferente, que sean capaces de entender la forma de pensar y de actuar de los hackers. Por otra, a nivel más estratégico, se van a incorporar nuevos perfiles, como el Chief Risk Officer, CRO, que junto al CISO o al CSO, van a ir ganando peso dentro de la estructura de las organizaciones. Finalmente, habrá que contar también con profesionales que sean capaces de implementar nuevas soluciones basadas en, por ejemplo, inteligencia artificial, que hasta el momento no se contemplaban en el ámbito de la seguridad.
Es necesario dirigir hacia la seguridad a profesionales que ya cuentan con experiencia y unas competencias determinadas, así como formar a otros más jóvenes con poca experiencia profesional, pero con potencial y conocimientos en diferentes áreas de la tecnología.
Es necesario también un compromiso por parte de todas las instancias: gobiernos, universidades y empresas. Todas ellas deben colaborar y responsabilizarse de la formación de los nuevos expertos en ciberseguridad. Lo normal es que sean las empresas especializadas en seguridad las que formen a sus profesionales y a los de sus clientes, aunque esto no es suficiente. Por otra parte, la formación tradicional no es adecuada. Se necesitan unas certificaciones mucho más especializadas, se necesita más investigación, inversión, profesores especializados…
¿En 10 años cree que el mundo será más o menos seguro?
Ante nosotros se abre un futuro tan apasionante como incierto. La tecnología va a convertirse en una extensión del cuerpo humano y al mundo físico se va a unir el mundo virtual… tenemos que estar preparados para ver ataques a vehículos autónomos, la utilización de las cosas como armas o ciberataques capaces de hackear un cerebro humano. Está claro que si hasta ahora bastaba con asegurar un perímetro bien definido, basándose en la implementación de un grupo de productos concretos, en estos momentos, esta aproximación reactiva a la seguridad ya no va a ser suficiente. La industria de TI va a tener que ser capaz de dar respuestas a nuevas inquietudes, por lo que cualquier propuesta que se lance al mercado deberá abordar el aspecto de la seguridad, pero no de forma parcial, dando solución a problemas específicos, sino en su globalidad, teniendo en cuenta los múltiples factores que pueden estar relacionados con el concepto de seguridad. Esto supone claramente un cambio de paradigma en relación a la forma en la que se venía procediendo hasta hace relativamente muy poco tiempo.