Espacio TiSEC congregó a grandes referentes del mercado en la externalización de la operación de ciberseguridad
Los límites de la compartición de información, la automatización y la necesidad de métricas de madurez marcan el futuro de los MSSP y SOCs
Con alrededor de 40 ponentes, seis mesas redondas y casi 600 asistentes, en formato presencial y virtual, Espacio TiSEC, de Revista SIC, se ha convertido en el pionero en acometer en un congreso los grandes retos de los, cada vez más numerosos, Centros de Operaciones de Ciberseguridad (SOC). Durante dos jornadas, el 15 y el 16 de marzo, en Madrid, en horario y de mañana y tarde, bajo el título ‘SOCorrro, Centros de Operaciones de Ciberseguridad: Automatización, compartición y otros desafíos’, los ponentes mostraron sus preocupaciones, soluciones, tecnologías, así como las inquietudes de su trabajo en el día a día, en muchas ocasiones preguntados por los asistentes, de alto nivel profesional, entre los que se encontraban, por ejemplo, ejecutivos del ámbito público directamente concernidos, desde la Subdirectora General de Ciberseguridad, Protección de Datos y Privacidad en Madrid Digital, Esther Muñoz o el jefe de área Responsable de Seguridad del Gobierno de La Rioja, Tomás Gómez.
Abrió las jornadas el Director en BSS de PwC, Jesús Urién, con una conferencia sobre el futuro de los SOCs en la que mostró de forma ilustrativa los datos en torno a estas infraestructuras. “El 49% de las empresas ya despliegan un centro interno y un 34% cuentan con apoyo de servicios externos para reforzar sus capacidades. De hecho, sólo un 17% no considera obligatorio tener uno propio”. Urién también destacó que actualmente se está apostando por un SOC único central, pero la tendencia “nos llevará a otros modelos en los que haya más colaboración con unas configuraciones mixtas”.
Así, avanzó que la tendencia pasa por servicios cada vez más apoyados en la nube, con una arquitectura clara y formalizada desde el inicio, para ir ganando en capacidades. Para ello, “habrá que incorporar una alta automatización, en todo lo que sea posible”. Finalizó destacando que, de momento, se está haciendo foco en la detección e integración de las diversas fuentes de datos. De cualquier forma, también lamentó que en este tipo de infraestructuras, “en muchas ocasiones, la tecnología genera expectativas superiores a lo que realmente puede hacer”.
CATEGORIZACIÓN DE LOS SOC
A continuación, el CEO de Aiuken (hoy parte de la recién creada paneuropea Allurity), Juan Miguel Velasco, destacó “los efectos de las tecnologías nativas de la nube en la ciberseguridad, los servicios gestionados y los SOCs”. Así, entre sus reflexiones resaltó que, “en contra de lo que muchos piensan, los SOCs no son un conjunto de tecnologías: son plataformas”, poniendo en valor que sus centros trabajan de forma eficaz y coordinada bajo, precisamente, esa premisa. “Porque están en la cloud y de ahí la parte de la automatización y la orquestación”, puntualizó. Especialmente llamativa fue su clasificación de los SOCs en cuatro categorías, según sus capacidades, recordando que sólo se es maduro si se consigue estar entre las dos de mayor nivel, “aunque, ahora, desgraciadamente, el 70% no pasa de la primera”. También, habló de la oferta en este ámbito de los grandes referentes en la nube, como Amazon, Google y Microsoft, finalizando con la propuesta que hacen desde Aiuken con un modelo de ‘SOC Cloud’ y recordando la gran utilidad que ya tienen tecnologías como el machine learning y la IA, “aunque aún estamos muy al principio”.
Indicó también que, “para apostar por la ciberseguridad en la nube, hay que gozar de un nivel avanzado de madurez en los SOCs”. No faltaron opiniones, no siempre compartidas por los asistentes, como su augurio de que, en dos o tres años, todo ”el mundo tendrá que tener nivel de SOC 3 y 4” para disponer de una ciberprotección eficaz. “La actual evolución exige darle una vuelta a lo que se tiene para no quedarse atrás”, concluyó.
SERVICIOS GESTIONADOS EN EL ÁMBITO SECTORIAL
Acto seguido, comenzó el ‘Módulo 1’, dedicado a servicios gestionados y la sectorización que se vive y que abrió con una interesante disertación José María Legido, director de Internacional de GMV Secure eSolutions, sobre los servicios en Espacio y Defensa. Así, destacó que “la ciberseguridad en este sector es casi inexistente, aunque todo el mundo considera que sí la tiene. Y aquí no hay botón de reset, una vez lanzado el satélite no hay vuelta atrás”. Por eso, “en el entorno espacial, el concepto de alta disponibilidad adquiere su dimensión más amplia”. En este sentido, indicó que en el sector se apuesta por un enfoque de “ciberseguridad por aislamiento”, aunque se están dando pasos importantes en nuevas áreas de negocio como la denominada ‘Newspace’, integrada por las empresas centradas en nuevos satélites de pequeño tamaño.
Después, Oscar Navarro, director de Área Industrial de S2 Grupo comentó que, en estos entornos de fabricación, “cuando se pierde la visión global es cuando aparecen los problemas”. “Llevamos muchos años trabajando en el sector industrial y los errores más comunes de los SOCs en este ámbito van desde la definición de los objetivos y la planificación inadecuada, hasta la aproximación basada únicamente en la tecnología, desconocer la infraestructura, tener un foco excesivo en la gestión de activos, contar con una visión de silo y, sobre todo, el riesgo de no obtener todo el retorno de la inversión, abandonando los sistemas desplegados”. Por ello, puso en valor la necesidad de contar con los objetivos estratégicos de forma clara.
¿Por dónde empezar? Navarro recomendó hacerlo por las seis ‘W’ que se usan en periodismo -Qué, Quién, Cómo, Cuándo, Dónde y Por qué-, aplicada a este ámbito. En definitiva, resaltó la necesidad de contar con una estrategia de servicio poniendo en el centro el proceso y que la operativa funcione en todo momento.
Finalizó este bloque Javier Pérez, responsable de Ciberseguridad de Fujitsu, para hablar de cómo se implementan los SOCs en Salud. “Somos una empresa muy especializada en este ámbito y nos da un conocimiento muy relevante”. La multinacional, que este año celebra 50 años en España -el primer país donde abrió filial en su expansión internacional-, es un referente en el sector salud de España, “que es el tercero más atacado del mundo, con una ciberdelincuencia muy especializada”. Frente a ello, recordó que los pilares de la ciberseguridad en este sector son la gestión de la identidad, la respuesta a incidentes, la protección de redes y la gestión de vulnerabilidades. Además, destacó la aproximación a este aspecto por parte de la compañía, “no como un catálogo de servicios sino como centro de excelencia en tanto generador de un ecosistema de cocreación, con empresas y hospitales, que generen valor”. También mostró diferentes servicios de detección y protección IoMT que ofrece la multinacional que permiten ver, conocer, actuar y anticipar, y mejorar a través de implementar procesos y tecnologías que hacen posible contar con un inventario de activos y evitar vulnerabilidades, entre otros aspectos.
TECNOLOGÍAS DE FABRICANTE ORIENTADAS A MSSP - 1
El segundo módulo del día estuvo dedicado a conocer de primera mano cómo el auge de los servicios gestionados está cambiando el modelo de negocio de los fabricantes, evolucionando sus portafolios para poder ofrecer servicios y soluciones de seguridad que ayuden a los SOC y a los equipos de operaciones a cumplir con sus objetivos. Para ello, la capacidad de automatizar, el ‘hacer más con menos’ y poder descargar a los equipos de las alertas para centrarse más en los incidentes, fueron algunas de las claves más valoradas durante las exposiciones de este bloque, que comenzó Ángel Ortiz, director de Ciberseguridad para España de Cisco. El directivo empezó la jornada vespertina destacando la apuesta de la compañía en este campo con la creación de la marca Cisco+, “que permite consumir todas sus soluciones en modo suscripción y en modo servicio”. Dentro de esta propuesta, resaltó la más reciente, Cisco+ Secure Connect, “el primer servicio gestionado de extremo a extremo SASE del mercado”. También, recordó, entre otras, sus Cisco Managed Security Services. En definitiva, la compañía espera que, para 2025, el 45% de los productos que vendamos sean bajo la forma de algún tipo de gestión y que el 50% de los ingresos vengan puramente por los modelos de suscripción”, concluía Ortiz.
Eficacia, eficiencia e inteligencia
Acto seguido, tomó el testigo Álvaro García, ingeniero de sistemas de CrowdStrike, quién comenzó su intervención con una famosa frase de Albert Einstein: “si quieres obtener cosas diferentes, haz cosas diferentes” para pasar a experto analizó el día a día en un SOC que, generalmente, “están marcados por trabajos cuyos objetivos no son realistas”, necesitándose “súper humanos”, para llevarlos a cabo. Para dar respuesta a esta problemática destacó cinco áreas de trabajo de la compañía: eficacia y eficiencia, atribución, visibilidad, respuesta y reporting. En cada una de ellas, CrowdStrike ofrece una serie de soluciones, como Falcon Fusion, incluida en su plataforma Falcon, para ayudar a los SOC a “poner todos los recursos en el centro del incidente”.
Tras esta exposición, fue el turno de Raül Albuixech, director de Soporte Técnico y Servicios de Eset, quien profundizó en las claves de esta compañía para ayudar a los MSSP y que resumió en dos términos: proteger (los puntos finales, los servidores y la nube), y proveer de inteligencia para que tanto clientes, como el personal del SOC, “nutran otras soluciones de seguridad y para evitar que se vean afectados por algún tipo de amenaza futura”. En este último sentido, entre otras, resaltó el servicio Eset Threat Intelligence para ofrecer dicha inteligencia en forma de feeds (botnets, dominios, archivos maliciosos, URLs e IPs). En general, destacó que el portafolio de la compañía se compone de productos basados en tres pilares: robustez, alto grado de detección y facilidad de uso. Eso sí, “nuestra visión -indicó- es que sean multicapa y que puedan trabajar entre ellas de forma coral para ofrecer la máxima ciberprotección posible”, puntualizó.
Tiempo y recursos
Bajo un título muy revelador, ‘Tiempo y recurSOC, esos bienes tan preciados’, David García Cano, gerente especialista en Ventas de Fortinet, terminaba este turno de exposiciones centrándose en la importancia de dichos elementos para que sean “lo más eficientes y eficaces posibles”. Coincidiendo con los anteriores intervinientes, señaló que “las limitaciones de los SOC y la tensión de los equipos se debe a las alertas y sobrecargas de los procesos manuales, la complejidad de los productos puntuales y la carencia de skills”, lo que hace que “no se pueda mantener el ritmo de la evolución de los ciberataques y se reaccione tarde y mal”. En este sentido, recordó que desde Fortinet ofrecen diferentes soluciones, destacando su SOC as a Service, “basado en la nube, para hacer un Centro de Operaciones más eficiente a través del canal e, incluso, con los propios clientes”.
INNOVACIÓN Y VISIBILIDAD
La apertura de la segunda jornada (16 de marzo) de Espacio TiSEC correspondió a Montserrat Valdés, experta destacada en la Jefatura de Sistemas de Ciberdefensa del Mando Conjunto del Ciberespacio (MCCE), de Defensa, que habló del “SCOMCE, el Sistema de Combate en el Ciberespacio, una oportunidad para el I+D+i y la industria española de ciberseguridad”. “El ciberespacio requiere de unas acciones concretas y sistemas de armas específicos”, destacó adelantando que el SCOMCE permitirá el planteamiento, dirección, control, coordinación y ejecución, además de recordar que será conjunto, escalable y acreditable, además de distribuido en niveles pudiendo ser interoperable para poderlo usar tanto en España, como en operaciones con aliados. Finalizó destacando que este proyecto busca “aunar tecnología puntera adaptada a nuestras necesidades, invitando a la industria y las universidades españolas tractoras para la autonomía estratégica”.
RNS: RETOS Y OPORTUNIDADES
A continuación, el jefe del Departamento de Ciberseguridad del CCN, Javier Candau, y el Responsable de SOCs del CCN-CERT, Ignacio Briones, hablaron de la ‘Red Nacional de SOC (RNS): la vertebración de la ciberseguridad de las Administraciones Públicas con el apoyo de los MSSP’. “No compartir es una mala aproximación”, comentó Candau, poniendo en valor la importancia de compartir información de un incidente para evitar que impacte en otras organizaciones. “Contar con una respuesta integrada es lo que llamamos Red Nacional de SOC”. “Si España consigue tener una plataforma sólida donde haya un intercambio continuo, la transposición que viene de la NIS2 será fácil”, dijo.
Briones, durante su exposición, destacó por su parte la necesidad de facilitar información de un incidente durante su primera fase para poderlo parar en otras infraestructuras. “Entiendo” que “compartir gratis no es viable”, sí puede resultar de gran utilidad “una IP o TTP genérico que se pueden compartir de forma anonimizada o los IOAs”, que permiten ver si varias entidades perciben ese comportamiento anómalo.
“La RNS va de personas y de compartir en los minutos iniciales de los posibles ataques para que los cibercriminales no consigan su objetivo”, añadió recordando que la RNS, que ya cuenta con más de 130 participantes, también contempla que “quien no comparta será expulsado”. Finalizó su intervención presentando el proyecto europeo en el que participan Austria, Rumanía, Portugal, Países Bajos... Y que permitirá que los diferentes SOCs de los países compartan información para sumar fuerzas.
VISIÓN DEL SOC Y LOS SERVICIOS EN EL ÁMBITO AUTONÓMICO
También se trató en este Espacio TiSEC la ‘Centralización de la gestión de la ciberseguridad a escala autonómica y el papel de los MSSP’, un asunto en el que algunos de sus protagonistas, como el director de la Agencia de Ciberseguridad de Cataluña, Tomás Roy; el jefe de Subárea de Seguridad de la Agencia para la Modernización Tecnológica de Galicia, Gustavo Herva; el responsable del CERT del Centro Vasco de Ciberseguridad, Asier Martínez; y la subdirectora general de Ciberseguridad de la Generalitat Valenciana, Carmen Serrano, dieron su visión, alcance y retos en intervenciones con profundidad y muy ilustrativas.
Roy comenzó poniendo en valor la RNS, ya que considera que “tiene una lógica aplastante y la adhesión al proyecto es total. Es ambicioso y dará muchos frutos”. Además, destacó el trabajo de las agencias de ciberseguridad, como la que dirige, “porque tienen como objetivo garantizar la protección cibernética de la administración pública”, y generar “innovación y talento”. También, resaltó que el buen trabajo de la institución se basa en varios ejes: capacitación, propia pero integrando capacidades externas, alineados con el CCN, la escalabilidad de los proveedores y propia, así como dando valor a la sectorialidad, la colaboración y la innovación.
Asimismo, recordó que el organismo ha reforzado sus responsabilidades, ya que Cataluña le ha encomendado recientemente la ciberprotección de los entornos sanitarios públicos, así como el de educación y el de administración local. Frente a estos retos, Roy consideró clave la colaboración entre organismos y reclamó al CCN que apueste por la especialización de los SOCs de las agencias autonómicas para optimizar capacidades y recursos.
A continuación, Herva mostró la labor realizada en los últimos años por la Agencia para la Modernización de Galicia, que cuenta con un área de ciberseguridad en infraestructuras, “que supone ir poco a poco logrando hitos”. Así, repasó algunos como la formación del Csirt.gal, en 2018, y el trabajo realizado “para sacar adelante la Estrategia de Ciberseguridad de Galicia que sirva hasta 2030”. También, dio a conocer diferentes iniciativas donde se está haciendo foco, en especial en la concienciación, además de dinamizar el cumplimiento de la normativa de protección de datos en la Xunta, “que también es de nuestra responsabilidad, junto a la ciberseguridad”. Para lograrlo, puso en valor que cada vez se intenta automatizar más, integrando más fuentes de inteligencia para preservar la seguridad y la información y el respeto a la privacidad, entre otros aspectos clave, como realizar muchas auditorías. No dejó de lado el valor que les aporta certificarse en el ENS y el uso de las herramientas del CCN como Inés, Lucía, Micro Claudia y Reyes, entre otros aspectos.
Por su parte, Asier Martínez, responsable del CERT del Centro Vasco de Ciberseguridad, (el Centro no tiene entidad jurídica propia, sino que es un área del departamento de innovación, SPRI, aunque explicó que se va a evolucionar hacia una Agencia Vasca de Ciberseguridad, que absorberá lo hecho hasta ahora y que se constituirá en breve como ente público de derecho privado, pero ya dependiente del Departamento de Seguridad).
Resaltó el buen trabajo hecho hasta ahora, plasmado en el Libro Blanco de la ciberprotección en Euskadi y de los diferentes proyectos y ayudas ofrecidas, sobre todo, en el sector industrial, para mejorar la monitorización y contar con alertas tempranas eficaces. Además, comentó que se están definiendo “la estrategia vasca de ciberseguridad, estableciendo un modelo de relación entre entidades incorporando a más y evaluando de forma continua el estado de la ciberprotección”.
Finalizó este bloque con la intervención de la la subdirectora general de Ciberseguridad de la Generalitat Valenciana, Carmen Serrano, que resaltó su modelo centralizado de la ciberprotección. “Se trata de una entidad fruto de muchas decisiones estratégicas en la región, como la creación de una red corporativa con salida unificada, la creación de servicios corporativos, de forma horizontal y transversal, la creación en 2007 del CSIRT CV, el primero en el ámbito autonómico, y la centralización de las TIC en momentos de crisis”, dijo. “Todo con mucha vocación de servicio público y buscando la máxima colaboración”.
Además, destacó la estrategia ‘TIC GVA GENDigital 2025’ con diferentes líneas de trabajo para el diseño conceptual del Centro de excelencia de ciberseguridad industrial, un Observatorio, un Laboratorio de Ciberseguridad y la red de sensores ICS Honeynet, además de estar en el proyecto RETECH, con fondos europeos, para impulsar estas iniciativas.
CLASES DE SOCs
También despertó gran expectación la ponencia del CEO de Leet Security, Antonio Ramos, sobre los ‘Criterios para clasificar y calificar SOC’. Así, destacó que es necesario que estos centros tengan unos “requisitos mínimos, según a quién vayan orientados: “no es lo mismo proteger una pyme que una gran compañía del sector energía”. De cualquier forma, sí enfatizó la necesidad de tener claro qué se ofrece cuando se apuesta por un servicio de SOC, ya que, según su experiencia, “hay muchas calificaciones y variopintas” bajo esta denominación. Así, recordó que su compañía otorga diferentes puntuaciones en función de las capacidades reconocidas de cada Centro identificadas con letras -las mejores con A y las peores con D-.
De hecho, recordó que actualmente hay varios proveedores que se han sometido y tienen la ‘calificación de Leet Security’ pero que las diferencias en muchos aspectos son más que notables, incluso “preocupantemente insuficientes”, repasando los 14 aspectos mejor y peor valorados de los proveedores de centros de operaciones que actualmente han sido valorados por la compañía, aunque de forma anonimizada.
De hecho, comentó que, tarde o temprano, se va a un mundo en el que se exija estar certificado porque, a día de hoy, “esto es el salvaje oeste". Como ejemplo, recordó la iniciativa ‘Cybersecurity Service Provider Licence’, de Singapur, que exigirá obtener este tipo de licencia para ser proveedor de SOC en el país u ofrecer servicios de intrusión.
TECNOLOGÍAS DE FABRICANTES ORIENTADAS A MSSP - 2
Una plataforma, una consola y un único cliente
Samuel Bonete, responsable regional de Ventas para España y Portugal de Netskope, fue el encargado de comenzar la sesión vespertina de esta segunda jornada ahondando en la importancia de los MSSP para ayudar a este reconocido actor en el mercado SASE (en SSE y en SD-WAN) a cubrir otras áreas como EDR, IDP, SIEM/SOAR, etc. En este contexto, “el MSSP hace que todas las piezas puedan hablar entre sí”, además, “es el aglutinador de todos los componentes en el modelo de transformación del puesto de trabajo”, explicó. Para el directivo, “dentro de los proveedores de servicios es muy importante la parte de la integración”, destacando Netskope Cloud Exchange, que brinda a los clientes potentes herramientas de integración. Terminó, recordando que los MSSP eligen a Netskope, “por la tecnología, la escalabilidad, por ser nube nativa y por poder trabajar con una plataforma, una consola y un único cliente”.
Cambio de paradigma
Acto seguido, Roberto Ramírez, Cortex sales manager para Iberia e Italia de Palo Alto Networks, volvió a poner encima de la mesa la sobrecarga que sufre el personal de los SOC, por lo que, “desde nuestar empresa entendemos que el SOC tiene que cambiar”, afirmó. Para ello, “hay que introducir a las máquinas, los robots, para que estén en la base y sean asistidos por humanos. Se debe automatizar todo lo que se pueda”. En este sentido, desde la compañía destacan su Cortex XSIAM, que añade esa capa de automatización y machine learning, además de ofrecer visibilidad. “La diferencia reside en nuestra arquitectura, a través de muchas fuentes de información, la procesamos y la automatizamos todo lo posible antes de que llegue al humano”. Con ello, la compañía consigue una solución diseñada alrededor de tres conceptos que considera claves: datos inteligentes y analítica, automatización y seguridad proactiva, ofreciendo una transformación en la detección y respuesta, mejora de la experiencia del analista y reducción del riesgo continuos.
Detección y respuesta
Tras esta intervención, Álvaro Fernández, sales manager para Iberia de Sophos, subió al estrado para incidir en otro de los temas candentes durante las jornadas. Y es que, “la ciberseguridad se ha vuelto demasiado compleja como para que la mayoría de las organizaciones la gestionen de forma efectiva”, afirmó. En este contexto, “nuestra propuesta es entregar la ciberprotección como un servicio, donde se combina eficientemente servicios, tecnología, conocimientos y herramientas en una única solución holística”, resaltó Fernández. Entre otras soluciones, destacó sus servicios de detección y respuesta gestionados 24/7 a través de Sophos MDR, que cuenta con más de 15.000 clientes y está soportado por seis centros de operaciones de seguridad en todo el mundo. “La compañía está tan segura del servicio de MDR que, en la versión completa, ofrece una garantía de protección contra brechas de seguridad por valor de hasta un millón de dólares”, concluía Fernández.
Funciones clave y beneficios del SOC moderno
Miguel Carrero, vicepresidente, Secure Service Providers & Strategic Account de WatchGuard, fue el encargado de cerrar este último bloque del encuentro. Centró su ponencia en las funciones clave y los beneficios del Modern SOC, que proporciona servicios de detección y respuesta a amenazas conocidas y desconocidas. “Esta función permite una respuesta más temprana minimizando daños y costes de los incidentes, además, opera y evoluciona en la intersección de personas, procesos y tecnología”, puntualizó.
En este sentido, destacó la propuesta WatchGuard for SOCs, que es la materialización de las soluciones de la compañía para hacer realidad dichos SOC. De todas las tecnologías, profundizó en su WatchGuard for SOCs Advanced Endpoint Security. Asimismo, destacó su plataforma WatchGuard Orion y sus Threat Hunting Services. Terminó su exposición recordando que WatchGuard for SOC se enmarca dentro de su Unified Security Platform, donde resaltó dos elementos críticos, la capa de XDR de ThreatSync y su Framework de Identidad, para configurar usuarios y dispositivos en función del riesgo, y que permiten obtener ese componente de automatización.
MESA DE DEBATE 1
En los SOC, la compartición de información pasa por más estandarización, más cultura y mayores incentivos públicos
La primera mesa de debate de este Espacio TiSEC, moderada por Luis Fernández, Editor de SIC, contó con Alejandro Aliaga, Co-Director General de BeDisruptive, Roberto Pérez, Head of Cyberscurity Services & Solutions Business de SIA y Xavi Pes, Security Services Manager de Wise Security Global.
En ella, Pérez comenzó explicando que “hay que compartir información y que no necesariamente se tiene que recompensar”, aunque también destacó que “sí puede haber otra forma como formar parte de una red o suponer un sello de calidad respecto a terceros”, añadió, por su parte, Pes. De hecho, todos los participantes destacaron que la colaboración con la Administración debería tenerse en cuenta en las licitaciones públicas, ya que “tiene que haber algún tipo de incentivo, para que no decaiga la compartición y se estimule a colaborar”.
En este sentido, Aliaga apostó por “compartir información, porque juntos somos más fuertes”. De cualquier forma, los participantes estuvieron de acuerdo en la necesidad de buscar un modelo más atractivo, ya que “la experiencia que hubo en Csirt.es no tuvo éxito: todo el mundo decía que había que compartir, pero no se hacía”.
Eso sí, durante el debate también se destacó la dificultad de hacerlo por los acuerdos de confidencialidad con los clientes –“y las malas experiencias que se han tenido” –, poniendo en valor la necesidad de crear más cultura en este ámbito en el que, según se dijo, hay sectores especialmente cautelosos, como el bancario. “Hay que empezar a evangelizar para intentar normalizar eso. Es un camino largo y no por eso hay que dejar de intentarlo”, comentaron.
En cuanto a la búsqueda de profesionales, coincidieron en hacer un mix entre formar a personal propio y captar externos para suplir el déficit del mercado, así como utilizar de forma intensiva la tecnología. “Vivimos en un periodo de cambio, la tecnología va muy rápido… he visto ya iniciativas de SOC GPT, hay que encontrar muchas fórmulas, capacitar profesionales, generar formación de profesionales y es clave gestionar este cambio de la mejor forma posible”, dijo Aliaga. “Hay que vivir aprendiendo a gestionar todo en todo momento”. Y tener claro que “la tecnología tiene que soportar como queremos trabajar”, comentó Perez García, aunque lo importante son los “procesos que montamos para gestionar la ciberseguridad y el reto está en automatizar y orquestar para lograr una gestión lo más eficiente posible”. El problema es que, “cuando hay varios fabricantes, tienen que tener algo por encima para que se usen bien todas. O se busca la interoperabilidad entre diferentes vendors o se está abocado al fracaso”. En este sentido, “es fundamental apostar por el buen gobierno”, dijo Pes. “Nosotros somos partners de Microsoft, pero nuestro SIEM es Sentinel. Hay que buscar la optimización”.
Como colofón, cada participante dio su opinión para mejorar en la compartición de información, un aspecto en el que Aliaga consideró vital “apostar por la estandarización para que todo funcione”, para Pérez García, “concienciar más” y Pes resaltó la necesidad de “una mejora continua. Los tiempos cambian y es una necesidad”.
MESA DE DEBATE 2
Los responsables de la operación de ciberseguridad buscan mayor automatización en el SOC y demandan servicios más personalizados
Cerró la mañana una mesa de debate, moderada por el director de la Revista SIC, José de la Peña, sobre ‘Cliente final: Transformación de los servicios gestionados y SOC’, en la que participaron el CISO de Sabis, Adolfo Hernández, director de Operaciones de Ciberseguridad de Banco Sabadell, José Palacio, responsable global de Operaciones de Seguridad y Detección de Amenazas de Banco Santander y Daniel Largacha, director del Centro de Control Global-CERT de Mapfre, y Damián Ruiz, CISO de Singular Bank.
En este sentido, Hernández comenzó destacando que, para anticiparse a las futuras amenazas, “es importante hacer un ejercicio introspectivo de lo que vas a necesitar en tres o cuatro años y de las tecnologías que vas a precisar”. “Vivimos en continua transformación mirando cuál es el escenario de riesgo, qué tecnologías tenemos, cuáles hay, como ‘Chap GPT’, y cuáles son nuestros clientes”, comentó Palacio. “El SOC se tiene que basar en estos pilares y hay que tenerlos claro”.
“Ahora vemos un déficit en el SOC porque muchos usuarios no están contentos con él, hay cierto déficit de proveedores que ha motivado que se vaya a proveedores ‘boutique’, a medida, para tener ese dinamismo que se va a necesitar en ciertos sectores”, añadió Ruiz. “La gran batalla está en la detección y respuesta”, ya que “está muy verde. Y en esto los servicios gestionados tienen que espabilar”.
“Aquí no hay fórmulas mágicas”, dijo Largacha, “ya que el momento operativo de cada uno es diferente al del resto. Por eso, hemos apostado por un proceso de centralización de la seguridad, gestionada desde España, ya que nuestro core está aquí. Cada parte de la compañía tiene una estructura e ingresos, pero todas están conectadas a la red y por eso decidimos que los procesos de protección, detección y respuesta sean globales”. En este sentido, también resaltó que “al automatizar se gana en eficiencia y, además, consigues enfocar los recursos humanos donde realmente sea necesario”.
“No creemos en gestionar alertas individuales. Apostamos por la automatización en la respuesta, además de en la detección, muchas ya se pueden hacer, sobre todo, las relacionadas con la carga de trabajo. También, estamos usando mucho IA y aprendizaje automático en detección, para localizar qué es normal y lo que no”, dijo Palacio, que recordó que el Banco Santander ha apostado por el SOC centralizado.
Los participantes destacaron nichos de mercado que aún no tienen una amplia oferta pero sí sería de su interés. “Actualmente, buscamos más servicios que tecnologías… y muy personalizados”, añadió el CISO de Singular Bank. “Además, son interesantes, por ejemplo, la propuesta para testing automatizados, ya que con DORA y TIBER-EU no va a haber red teaming para cubrir todo lo necesario”. Largacha también destacó la necesidad de “contar con una herramienta que permita simplificar el trabajo en las nubes, ya que cada una tiene sus propias soluciones”, y tanto Hernández como Palacios demandaron más propuestas para contar con “automatismos en las pruebas”, así como para la “simplificación de la gestión”.
MESA DE DEBATE 3
La eficiencia, el capital humano y el foco en la detección y respuesta, claves del éxito de los SOC
Como colofón al primer día, el encuentro reunió en una mesa de debate, moderada por José Manuel Vera, redactor de SIC, a los cuatro ponentes de la tarde para reflexionar sobre lo expuesto hasta el momento y responder a las inquietudes de la audiencia. Una de las primeras cuestiones recayó en las principales capacidades y servicios que los clientes demandan de un SOC. David García Cano (Fortinet) no dudó en responder “la capacidad de orquestación y respuesta automatizadas y extendidas”. Álvaro García (CrowdStrike) añadió que, sobre todo, “se busca una solución de SOC externalizado end-to-end, que poco a poco se ha ido optimizando en costes”, eso sí, “lo que está claro es que el cliente no busca modelos intermedios”, puntualizaba.
De acuerdo con lo dicho, Raül Albuixech (Eset), destacó que, “también, se demanda cada vez más un valor añadido en las herramientas a través de la automatización de tareas y poder hacer más con menos”. Ángel Ortiz (Cisco), coincidía con la automatización como un concepto clave dentro de un SOC. Además, “es importante centrarse en el incidente y no tanto en la alerta”, puntualizó afirmando a su vez que “lo que marca la diferencia es ser eficaces en la detección”. La audiencia también se interesó por conocer qué están haciendo estas empresas para competir con grandes tecnológicas como Google, Amazon o Microsoft. En este caso, Ortiz recordó uno de los anuncios estrella de la compañía, “la construcción de la Cisco Security Cloud, una plataforma que integrará las capacidades de comunicación y de red con la seguridad, ofreciéndose de forma unificada y que sirva de interconexión para estos tres grandes ‘hyperscalers’, así como las nubes privadas, híbridas, con las que pueda contar el cliente”. Albuixech, por su parte, opinaba que “quien mucho abarca poco aprieta, por ello, tenemos que especializarnos y hagamos lo que hagamos, hacerlo mejor que la competencia, para que eso sea nuestro valor”. García apuntó que, para las empresas más pequeñas, “la diferencia se encuentra en el capital humano”. Coincidiendo con esta opción, García de Cano añadió que, además, “el valor diferencial está en escuchar a los clientes y ser un partner de seguridad para ellos”. Otra de las preguntas que más interés generó fue la que daba título a esta mesa de debate: ¿Terminarán los fabricantes prestando servicios gestionados directamente al cliente final? García respondió de forma clara y concisa, “nosotros ya lo hacemos. Eso sí, es una opción, ya que no creemos en la canibalización”. “En el caso de Fortinet”, indicaba García Cano, “tenemos una oferta completa con la capacidad de dar al cliente todo tipo de servicios gestionados, siempre con la vocación de buscar el sabor adicional que pueda demandar el mercado”. Albuixech afirmaba que, por su parte, “estamos preparados para cubrir aquello que el canal no pueda o que el cliente nos demande directamente a nosotros”. Ortiz consideraba que los fabricantes ofrecerán “determinados servicios de SOC, pero no todos, por su propia naturaleza y porque también es difícil que un cliente tenga todo de un mismo fabricante”.
MESA DE DEBATE 4
En busca de un mercado más consolidado, precios más ajustados en los concursos públicos y la tecnología para suplir la fuga de profesionales
Durante la segunda jornada, abrió el apartado de debate la mesa dedicada a los ‘Requisitos que debería cumplir un SOC para ser considerado como tal para entidades esenciales, importantes y críticas’ que, por su temática, también fue una de los más seguidos, con las opiniones del COO de aDvens Iberia, David Marqués, el director técnico de A3Sec, Nacho García Egea, y el responsable de Cipher xMDR en Cipher a Prosegur Company, Carlos Fernández.
A preguntas del moderador, el director de Revista SIC, José de la Peña, Marqués consideró muy importante mirar fuera para mejorar, teniendo claras con qué capacidades contamos. Fernández dijo que lo importante para ofrecer un SOC con garantías es apostar por solucionar varios aspectos como “la visibilidad o la fragmentación de la tecnología. La gente piensa que está haciendolo mejor, pero está peor que ayer, tanto en la tecnología, como frente al adversario y al incremento de amenazas, que nos obliga a estar en mejora continua”. Por su parte, García Egea, planteó que actualmente en el mercado hay un problema de volumen. ¿Cuántos proveedores de SOC hay, por ejemplo, en Francia? Allí hay cinco y aquí 50”. Un dato que no todos compartieron por cuanto Fernández recordó que “en EE.UU. hay más de 4.000 MSSP y, también, muchos clientes que cambian de un año a otro porque la calidad anunciada no coincide con la percibida”.
Eso sí, todos destacaron que es vital ofrecer un nivel de respuesta adecuado, contar con certificaciones para el sector público y asegurar el servicio completo, además de apostar por la calidad. También, resaltaron la necesidad de profundidad en la catalogación de los tipos de SOC al igual que destacaron la necesidad de que las empresas tengan claras las fortalezas de los proveedores que contratan. “Al final, lo que busca el cliente es, en muchos casos, único para cada uno”, añadió García Egea, quien recordó que cada vez se apuesta más por la automatización de muchos servicios, pero, también, la experiencia del equipo humano que está tras un servicio.
En la última parte del debate, surgió la polémica por el precio con el que al final se adjudican muchos concursos públicos, muy por debajo del mercado, un fenómeno en el que se encuentra inmerso la demanda y la oferta. De hecho, ello motiva, según explicó Marqués a que, por ejemplo, su compañía no se presente en España a este tipo de concursos en ocasiones. Todos coincidieron, por su parte, en que la brecha salarial y la retención del talento obliga a hacer un uso intensivo de la tecnología para suplir capacidades.
MESA DE DEBATE 5
Los clientes de los MSSP demandan mejores métricas, apostando por centros multiglobales y alertan: “hay mucho margen de mejora”.
Terminó la segunda jornada matinal con un ilustrador y animado debate sobre ‘La tendencia hacia la verticalización de la ciberseguridad: Impacto en la selección de MSSP’. En él intervinieron una tríada de profesionales del máximo prestigio y trayectoria: los CISO de Cepsa (Rafael Hernández), Iberia (Jesús Mérida) y Renfe (Francisco Lázaro, también DPO).
Precisamente, comenzaron hablando de la necesidad de contar con lo que realmente necesitas. “Medir siempre está bien, pero el problema es contra qué mides. Es complicado encontrar una medida para todos”, comentó Lázaro. Hernández, por su parte, consideró que sí es necesario medir pero también, que “el término SOC está mal usado y ha llegado un momento en el que todos deberían ir asentando la base y dar una visión global de lo que es realmente un SOC, que no debe quedarse en monitorizar sino aportar más”. “Lo que me da miedo es la generalización de lo no generalizable. Cada cliente es único. Hay ciertos servicios, el SOC es uno de ellos, en los que hay que entrar a nivel de detalle conociendo muy bien al cliente”, comentó Mérida.
Además, cada uno aportó su enfoque y visión sobre lo que suponen estos centros en sus compañías. Hernández destacó que, desde 2011, se apostó por contar con un “SOC avanzado que no sólo monitoriza y detecta, sino que además es el core de mis servicios de seguridad. Yo creo que en el mundo global en el que estamos somos multipaises, con un comité de dirección diverso, y ello obliga a ir a un sistema global en el que el SOC tiene que formar parte de tu tronco interior o tendrás problemas”.
Lazaro explicó que, en el caso de Renfe, se depende mucho de “proveedores externos, porque se tiene una casuística concreta”, aunque también puso en valor que la empresa ferroviaria ha apostado por la tecnología. De cualquier forma, destacó que “se pide un compromiso mayor de la cadena de suministro y que el concepto de ciberseguridad ha pasado de estar alineado con el negocio a ser el objetivo del negocio y, en el futuro, estará integrada en el negocio”. También, resaltó el nuevo Centro de Ciberseguridad que la compañía ha abierto en Galicia.
Mérida comentó que, como parte del conglomerado áreo IAG, “se ha trabajado mucho en el de modelo de línea base de detección, con modelos como MITRE, para analizar los diferentes patrones de ataque contra infraestructuras y acercar el SOC al negocio”, buscando “casos de uso para ser más eficientes en detección y respuesta”. Además, señaló que, en aviación, hay mucha compartición de información entre compañías, “incluso a nivel de SOC”.
En este sentido, todos los participantes apostaron por intercambiar información, por ejemplo, a través de la RNS, como ya se hace entre CISOs de forma sectorial en muchos ámbitos, a través de organizaciones sectoriales, como R-ISAC para el ferrocarril en Europa o de foros como First o Trusted Introducer. Eso sí, algunos participantes echaron en falta mayor compartición y colaboración de “las administraciones públicas y organismos de control”. “Hay mucho margen de mejora”, destacó Hernández. Lázaro consideró que sería positivo crear, como en Francia o EE.UU., una Agencia o Centro Nacional de Ciberseguridad.
MESA DE DEBATE 6
La importancia de los MSSP para los fabricantes, los perfiles más especializados y la interoperabilidad, entre los aspectos más debatidos
El broche de oro al evento lo puso un debate final en el que participaron los representantes de los fabricantes de la jornada vespertina del último día. En este espacio, dedicado a conocer el interés de los asistentes, destacaron asuntos relevantes como la opinión de los proveedores tecnológicos a la hora de mejorar los SOC. En este sentido, Samuel Bonete (Netskope) resaltó “la automatización y la IA, claves para mejorar los procesos dentro de los SOC”. Roberto Ramírez (Palo Alto Netwoks) resaltó la importancia de que “los equipos hablen entre sí, que colaboren y una vez que se tienen claro los flujos de trabajo, que se proceda a la automatización usando machine learning, etc.”
Para Álvaro Fernández (Sophos) lo importante es “hacer un ejercicio de reflexión y pensar qué es lo importante y centrarse en cómo puedo llegar a ello de la manera más eficiente y eficaz posibles”. Por su parte, Miguel Carrero (WatchGuard) indicó “no perder el equilibrio entre personas, procesos y tecnología”. Otra de las cuestiones que suscitaron más curiosidad recayó en si debería de haber una formación específica para profesionales de SOC. En esta ocasión, comenzó Carrero indicando que, efectivamente, “sería necesario un tipo de perfil específico, ya que no hay un entrenamiento concreto para las personas que trabajan en un SOC, especialmente, que haga exitosa la detección y la respuesta”. Incluso, Bonete resaltó que “añadiría una asignatura en dicha formación: la integridad, porque la gente de los SOC trabaja con información muy sensible y de mucho valor”. Los asistentes también se interesaron por la importancia de los MSSP para los fabricantes. En este sentido, Ramirez resaltó que son necesarios porque, “aunque disponemos de servicios gestionados no es nuestro núcleo de negocio, sería muy complicado proveer servicios a los 17.000 clientes de Palo Alto, necesitaríamos mucha inversión”. De igual forma, Fernández indicó que “los necesitamos para seguir viviendo porque somos una empresa 100% canal. Tenemos más de medio millón de clientes a nivel mundial y el canal despliega y opera nuestra tecnología. Nosotros podemos ayudar a proveer esos servicios”.
Para finalizar se lanzó a una última cuestión acerca de la interoperabilidad entre los propios fabricantes. Carrero resumió la opinión general de los ponentes, “intelectualmente y conceptualmente queremos, pero existen limitaciones tecnológicas. Además, existen intereses de negocio, una realidad que tampoco podemos obviar”. Ramirez indicó que “hay ciertas cosas que compartimos, como en la Cyber Threat Alliance, donde no entra el negocio”. Para Bonete, “una cosa es interoperar y otra cosa es compartir inteligencia porque es nuestro valor, es nuestra forma de seguir vendiendo”, puntualizó. Fernández, asimismo, terminó indicando que “o te abres y colaboras con los demás, o los clientes no te eligen porque les están restringiendo”.