25 referentes y cinco debates convirtieron esta edición de Espacio TiSEC en la gran cita anual sobre los centros de operaciones de seguridad
Sectorización, regulación y certificación, ejes de la pujanza actual de los SOC y MSSP con la IA como pasajera innovadora hacia su futuro
Con casi 500 inscritos asistentes -en formato presencial y en remoto-, la segunda edición de Espacio TiSEC dedicada a los SOC y los MSSP mostró, en primicia, lo crucial de estos actores estelares de la ciberprotección actual. Notables iniciativas sectoriales, públicas y privadas, e internacionales -Red Nacional de SOC, las acciones acometidas en Europa y normativas como NIS2, DORA, CSA y la CRA, la innovación y apuesta por la IA y la especialización, por sectores…- junto con las solventes aportaciones de expertos del ámbito privado y público y de las entidades copatrocinadoras (de un lado, prestadores de servicio como Advens, Aiuken Cybersecurity, DXC Technology, EY, GMV, Innotec part of Accenture, S2 Grupo, SIA an Indra company y Telefónica Tech; y de otro, proveedores tecnológicos con foco en el tema como CrowdStrike, Eset, Sophos y WatchGuard) confirieron a este multitutinario congreso el rango de cita ineludible para desentrañar los nada triviales retos de la cibeprotección hoy.
En menos de un año, el transcurrido entre la anterior edición de TiSEC y ésta, con foco en los Centros de Operaciones de Ciberseguridad (SOC) y prestadores de servicios gestionados de ciberprotección (MSSP) se tiene la impresión, a la luz de las ponencias, de que ha transcurrido una década. El impacto de nuevas tecnologías como la Inteligencia Artificial generativa, la inminente llegada de las primeras certificaciones para este ámbito, tanto por parte del CCN, como de Enisa, y de otros agentes europeos, los cambios en la Red Nacional de SOC (RNS) o el impacto que tendrá la Ley de Ciberresiliencia, aprobada a finales de año, y la cada vez mayor exigencia sectorial por contar con una protección ‘a medida’ que entienda el negocio, entre otros muchos aspectos, han marcado las más de 25 intervenciones de esta edición bajo el sugerente lema ‘A pleno SOC’.
Durante dos jornadas, el 12 y 13 de marzo, el público más especializado -se superaron los 500 inscritos agotándose las plazas en presencial- también planteó grandes retos e inquietudes que generaron varios debates de interés. Además, en remoto, se contó con una más que notable presencia de profesionales de Iberoamérica que también están trabajando en desarrollar SOCs públicos y privados y avanzar decididamente en la materia.
Abrió las jornadas el experto Francisco Pérez Bes, Socio de Derecho Digital de Ecix, quien en su exposición, destacó lo que supone la evolución que exige NIS2, tanto en la gobernanza empresarial como pública, que se aplica “en un momento de estabilidad en Europa” y que permite “incorporar nuevas obligaciones de seguridad y resiliencia, contemplar la ciberseguridad como un buen gobierno corporativo, imponer una responsabilidad personal del órgano de gobierno y garantizar la protección de la cadena de suministro, así como apostar por la colaboración público privada e intercambio de información”.
Además, puso en valor los esfuerzos públicos por crear un ciberescudo europeo, legitimar las figuras del CSIRT/SOC (“qué no tiene una figura legal como tal, pero sí mucha importancia en NIS2”), fomentar el rol proactivo de los equipos de respuestas sumando su trabajo a la infraestructura de los SOC (European Cybershield), así como reforzar la transparencia en la notificación de incidentes y el intercambio de información.
En cuanto a los prestadores de servicios de seguridad gestionada recordó que la normativa “los considera entidades esenciales o importantes pertenecientes a un sector de alta criticidad”, entre otros aspectos, haciendo más complejos los procesos de contratación. Asimismo, destacó que la Ley de Cibersolidaridad pretende “reforzar las capacidades de la UE a través de CSIRT para responder a incidentes, a través de una infraestructura paneuropea para fomentar capacidades comunes”, con SOCs nacionales y transfronterizos.
A modo de conclusión recordó que la ciberseguridad camina hacia su conversión en “un aspecto menos técnico para imbricarse en los aspectos de RSE-ESG de las organizaciones”.
El papel de Enisa
A continuación, Vicente González, experto de la Unidad de Mercado, Certificación y Estandarización de Enisa (agencia que este año cumple 20 años), habló del ‘Programa de trabajo evolutivo de la UE para la certificación de la ciberseguridad (URPW): MSSPs y Reserva de Ciberseguridad’. En su intervención, puso en valor la reciente modificación de la Ley de Ciberseguridad (CSA) que permitirá a la Agencia poner en marcha una certificación y esquema para MSSPs, “aunque va a llevar un tiempo” y, posiblemente, tenga mínimos y, también, varios niveles.
Además, repasó las últimas iniciativas del organismo, con importantes partidas dedicadas a la innovación en este ámbito, como la de 23 millones de euros, aprobada en 2022, para impulsar capacidades europeas de gestión y respuesta a incidentes, el esquema europeo de certificación basado en Common Criteria (EUCC), que entrará en vigor en 2025, -y que se estudia aplicar en todo tipo de entornos, desde la cartera digital a las eSIM-, hasta el valor de contar con unos perfiles definidos por Enisa en 2023 que buscan facilitar la contratación de los profesionales, con las capacidades adecuadas en este ámbito.
Terminó el primer bloque Miguel Ángel Cañada, del Incibe, responsable del Centro de Coordinación Nacional de España (NCC-ES) en el Centro Europeo de Competencia en Ciberseguridad (ECCC) qué habló del ‘Programa Europa Digital: financiación para SOC con aplicaciones novedosas’. Tras mostrar el esquema de gobernanza de ciberseguridad en España, descentralizada, recordó que, entre otras misiones, el Incibe está centrado en apoyar la transformación digital, a partir de lo marcado por la ‘Agenda España digital 2026’, para generar y fortalecer capacidades de ciberprotección e impulsar el ecosistema en este ámbito, también, de cara a su internacionalización.
Además, mostró de forma pormenorizada las diferentes inversiones en innovación en SOC y MSSP que se están llevando en Europa a través de la Estrategia para la ‘Década Digital’ y en las que cobrará mucho peso el ECCC, en coordinación con todos los países.
“El Centro es una oportunidad para la I+D+i en ciberseguridad, ya que se prevé dedicar, hasta 2027, a través de Europa Digital, 1.650 millones para ciberprotección, además de estar incluido este aspecto en el Cluster III, con otros 1.600 millones y haber una partida importante de los 8.000 millones de los que invertirá el Fondo Europeo de Defensa. No faltó una referencia importante a la aplicación de nuevas tecnologías, como la IA, a los SOC que ya está plasmándose en los concursos convocados.
Exigencias de la sectorización
Le siguió un potente bloque focalziado en los ‘Servicios gestionados: sectorización y entorno tecnológico’. Moderado por el director de Revista SIC, José de la Peña, se inició con dos destacados socios de EY en la materia, Javier Ferre, Responsable Europeo de Servicios Gestionados de Ciberseguridad de la firma, y José Luis Rojo, al frente del Área de Ciberseguridad, realizaron una exposición en la que mostraron los retos de la movilidad en ciberprotección y la apuesta por servicios gestionados que hacen desde la firma que cuente con más de 200 profesionales dedicados y 10 SOCs. “Apostamos por un modelo de SOC adaptado a cada cliente, con IA y automatización -para conseguir escalar- y constantemente actualizada”, destacó el primero, quien subrayó la importancia de conocer al cliente y su sector específico para ofrecer el servicio que necesita.
Además, Rojo expuso que desde EY se considera clave contar con este tipo de centros “para poder transformar la organización, ya que permite ver todo lo que sucede a nivel operativo”. En definitiva, es un “modelo de transformación a través de la operación y focalizado en el valor del negocio”, añadió, sin olvidar la importancia de “garantizar la resiliencia de procesos críticos con tres pilares como son poner a la persona en el centro, apostando por la tecnología y la innovación”.
El valor de la Inteligencia
A continuación, intervinieron el responsable del CERT de la multinacional española GMV -que cumple 40 años-, Oscar Riaño, y Raquel García Laguna, Jefa de Proyecto de la compañía, para hablar de los retos en ciberprotección de los SOC en entornos portuarios. La segunda destacó, de forma especial, los principales ciberriesgos como son los ataques de denegación de servicio, así como los que buscan “el acceso a información crítica, a través de la cadena de suministro, y los que aprovechan vulnerabilidades en dispositivos y en un ámbito donde IT y OT están interrelacionados”.
Riaño mostró cómo está actuando ya su compañía ofreciendo protección a través de servicios gestionados en varias infraestructuras de este tipo, primando mucho el aspecto preventivo a través de herramientas como Zeek, para monitorización, o Yara, para evaluar posibles fallos y anticiparse a ellos. Además, destacó la necesidad de contar con “inteligencia de amenazas, un marco que permite monitorizar, como DETT&CT, adaptado a cada cliente.
En el turno del sector ferroviario, el director del Área Industrial de S2 Grupo, Óscar Navarro, mostró la dificultad de proteger las diferentes infraestructuras que conforman este tipo de entornos -integrados por sistemas de distribución de energía, de gestión y, por supuesto, de los propios trenes-, aunque con muchos elementos compartidos con otros ámbitos OT e IT. De cualquier forma, centró su exposición en SOCs que permitan proteger el “material rodante”, donde el reto es “definir los casos de uso”, además de tener clara “la interpretación del contexto, una monitorización a través de sistemas embarcados, así como actuar a en el ciclo de operación”, siendo necesario contar con “inteligencia y actuando de forma integrada a lo largo de la evolución de los vehículos”, primando que los trenes no dejen de funcionar. A modo de conclusión destacó, como clave, la “unificación de la supervisión de todas las infraestructuras”. Una ponencia que despertó gran interés por las dificultades técnicas para ofrecer una ciberseguridad gestionada adecuada.
Gestión continua de amenazas
También la ciberprotección a través de servicios gestionados de las ciudades ocupó un lugar destacado en TiSEC. De la mano de Roberto Pérez, Head of Cybersecurity Services & Solutions Business de SIA, an Indra company, los asistentes conocieron las implicaciones en urbes conectadas de normativas como ENS 2.0 o NIS2, así como la recientemente aprobada Ley de IA.
En su conferencia, recordó que el reto para las grandes poblaciones de pasar del SOC IT, a uno para protección OT e IoT y que permita relacionar ambos mundos. Un reto complicado por cuanto sus infraestructuras digitales son objetivo en 2024 de “ciberataques potenciados por IA generativa, robo de identidad, incidentes que usan la cadena de suministro como potenciador y el ransomware”. No faltó en su exposición un análisis a lo que supone la IA en detección y respuesta para maximizar la protección en los servicios gestionados.
Además de apostar por enfoques como el programa de Gestión Continua de la Exposición a Amenazas (CTEM), a modo de conclusión comentó la necesidad de que las administraciones públicas mejoren sus capacidades de prevención, protección, detección y respuesta a incidentes. Y todo ello teniendo claro que “la ciberseguridad no es un producto, es una solución que hay que gestionar y saber sacar partido, evolucionándola del modelo tradicional a uno multicapa en varios niveles”.
Cuarta revolución
A continuación, Vicente Segura, Gerente de Producto de Ciberseguridad OT&IoT de Telefónica Tech abordó las “Infraestructuras OT modernizadas mediante convergencia IT/OT e infraestructuras OT ciberfísicas de nuevo diseño”, con gran interés por parte de los asistentes por cuanto analizó las diferentes revoluciones tecnológicas, destacando que, la cuarta, la que ya vivimos, dependerá de los “sistemas ciber-físicos, materializado en fábricas y entornos inteligentes que toman decisiones de forma autónoma, utilizando diferentes tecnologías que se apoyan en la conectividad”.
Así, destacó que es vital contar “con una matriz de ciberdefensa, como marco de referencia para identificar y planificar la construcción de contramedidas”, además de establecer “una clara separación entre las funciones de seguridad que actúan antes y después de un incidente”. Unos retos para los que propuso contar con lo que denominó ‘Mission Critical SOC’, ya que “para aumentar significativamente la resiliencia de los sistemas ciberfísicos” es vital “coordinar las diferentes contramedidas para que el conjunto actúe como un sistema con visión y capacidad E2E (automatización y orquestación de soluciones y servicios de ciberseguridad)”, para mantener un conocimiento actualizado del entorno y de la postura de seguridad y reaccionar satisfactoriamente”.
Enfoque global
Como colofón a este apartado, se celebró un debate entre los ponentes en el que Rojo destacó la importancia de “no perder de vista la amenaza, ya que los cibercriminales no entienden de si la red IT y OT está segregada, por lo que hay que aprovechar sinergias y protegerlo todo”, a lo que Pérez también añadió “la necesidad de identificar riesgos y medidas en función del entorno”. Por su parte, García Laguna puso en valor las normativas sectoriales, como elemento de mejora, sumándose Segura en cuanto a que “son esenciales, pero no son el único aspecto que tener en cuenta”. Navarro también recordó que, en los últimos dos o tres años, cada vez hay más demanda de servicios de ciberseguridad y más concienciación en las empresas.
Todos destacaron la necesidad de adecuar el grado de ciberprotección a la madurez de cada organización, aprender de lo hecho y ganar madurez, incluso, a partir de errores, apostando por una mayor monitorización en la que se prime lo crítico y relevante. Igualmente destacaron la necesidad de mejorar la compartición de información, aunque “aún hay camino por recorrer”, ya consideran que muchas situaciones se basan “en la confianza de las partes”, que sigue siendo determinante.
DEBATE
Evitar la comoditización del SOC, mostrando su valor al cliente
La sesión matinal terminó con un debate conducido y moderado por el Editor de Revista SIC, Luis Fernández, sobre ‘Los retos en la relación cliente/proveedor de servicios para mejorar la respuesta ante incidentes’, en el que participaron dos reconocidos profesionales como el SecArch & SOC Manager de Admiral Europe Tech-Admiral Group, Jorge Hurtado, e Iván Sánchez, CISO Global de BUPA.
Entre otros aspectos, Sánchez destacó la necesidad de que las empresas “entiendan y perciban el valor del SOC, midiendo lo que aporta, respondiendo a incidentes y entendiendo el modelo de negocio, “ya que no se puede vivir sin él”. “Y si cuenta con un sello de certificación, mejor que mejor”. Hurtado también consideró en este tipo de Centros que es fundamental contar con la empatía entre el cliente y proveedor, ya que “los ‘SOC enlatados’ no me gustan”. De hecho, adelantó que está trabajado “en un modelo de SOC con IA generativa que permite ganar eficiencia a la hora de responder, generar casos de uso y reducir falsos positivos”.
También, destacaron la importancia del cambio de la Ley de Ciberseguridad que recientemente ha incluido los servicios gestionados y de las nuevas certificaciones que llegarán para SOCs, “aunque no es lo vital”, añadió Hurtado, porque “hay que desterrar el ‘concepto de centro de operaciones de ciberseguridad de talla única”, dijo Sánchez. Ambos apostaron por disponer de este tipo de servicios “creando un valor tangible” y huyendo de la “industrialización”, evitando “la comoditización”, recordando que “cada vez se pide más con el mismo presupuesto”.
La visión de los fabricantes
La sesión vespertina se centró en las tecnologías orientadas a la ciberseguridad gestionada, de mano de algunas de los fabricantes de referencia, como es CrowdStrike. Su Senior Sales Engineer para Iberia, Álvaro García, subió al estrado para explicar la propuesta de la compañía a través de dos ‘olas’ de innovación. La primera llegó con un cambio de visión en un momento en el que “se diseñaban las cosas por silos”, para pasar a una estrategia fundamental: “el incidente es lo primero”, explicó. Para ello, se pusieron todas las herramientas funcionales para poder entender y responder al incidente. Esto se tradujo, entre otros aspectos, en el desarrollo de su reconocida plataforma CrowdStrike Falcon, “que representa muy bien el mantra de la empresa: si tienes un incidente tienes que ser capaz de detectarlo en un minuto, de entenderlo y responderlo en 10 minutos y de procesarlo en 60”, destacó.
Para hacer eso posible, en 2013, se dio paso a una segunda ola (2nd Wave), que consistió en hacer una plataforma abierta, abarcando todo el contexto que pueda proporcionar, también, el ecosistema del cliente e industrializarlo. Es decir, “coger esa telemetría e incorporarla al ciclo de la detección que nosotros ya hacíamos muy bien con el endpoint”.
Terminó resumiendo, entre otros aspectos que “al final, hay veces que hay que trabajar e innovar mucho para seguir mantenido constante tu objetivo, y el nuestro es y siempre ha sido el mismo: detectar lo antes posible un incidente y gestionarlo lo mejor posible: el mantra 1-10-60”, concluyó.
A continuación, Carlos Tortosa, director de Grandes Cuentas de Eset España, cogió el testigo para profundizar en la propuesta de la firma dirigida a los SOC. El directivo recordó que, en 1992, la multinacional lanzó la primera solución de ciberseguridad y, que, en la actualidad, posee 13 centros de I+D, “consiguiendo una red neuronal que nos provee de mucha información y que gestionamos de cara al cliente final, en este caso, también como servicio dentro de cualquier SOC, a nivel de inteligencia”, puntualizó.
Entre otros aspectos, resaltó que el enfoque de seguridad de la compañía se basa en varios niveles y en cuatro principios: confianza, alta detección, bajo impacto en el rendimiento y facilidad de uso. Con todo esto, “fabricamos Eset LiveSense, que se nutre de tres partes principales; Eset LiveGrid, el machine learning y la experiencia de nuestros expertos”. Y, precisamente, basada en LiveSense destacó la herramienta Eset Threat Intelligence, en la que Tortosa centró su ponencia, ya que, con ella, “generamos una serie de feeds (botnets, dominios, URLs, archivos maliciosos, IPs y APTs) que facilitamos a los SOC en un formato servicio para ser proactivo frente a las amenazas.
También, puso en valor las capacidades de gestión y terminó subrayando que “lo más importante, no es sólo contar con herramientas potentes con alto ratio de detección y de protección, sino también, contar con el talento necesario”.
Acto seguido, Alberto Ruiz, director de Ingeniería Preventa para España y Portugal de Sophos, ahondó en la visión de la compañía, indicando que “está bien tener un sistema XDR, pero de nada sirve si los pilares fundamentales no son fuertes, si no tenemos un buen sistema que reduzca la superficie de exposición, si no podemos bloquear la actividad maliciosa o que el propio endpoint, de forma autónoma, pueda realizar acciones de mitigación adaptando el nivel de severidad en relación a lo que el endpoint interpreta que está sucediendo”. “Es importante hacer la distinción de que detección no es protección”, resaltó poniendo en valor el marketplace de la compañía, “con el que recibimos telemetría de terceros”.
No se quiso olvidar del “Notebook para que en los SOC puedan escribir sus notas, enriquecer los datos y, sobre todo, para que también puedan contar con una visión que les permita entender qué está sucediendo para realizar una acción”. Además, “estamos añadiendo IA para detectar, por ejemplo, líneas en PowerShell que puedan ser maliciosas, entre otras funcionalidades”. Y, “por supuesto, un SOC necesita automatizaciones y tenemos una API muy potente para automatizar lo máximo posible ese día a día en el SOC”, puntualizó.
Para finalizar este bloque, Miguel Carrero, vicepresidente Secure Service Providers and Strategic Accounts de WatchGuard, expuso su propuesta de valor a través de la reflexión sobre las cosas que cambian y las que no, en este ámbito. Para ello, empezó por lo segundo, “lo que no ha variado es la función del SOC”. Para el directivo, lo que sí ha cambiado son “las capacidades de ciertas tecnologías de habilitar y facilitar la labor de los profesionales”. En este sentido, destacó el concepto de NDR (Network Detection and Response). Y es que, para la compañía, “la red no ha desaparecido, sino que ha cambiado, y es donde sigue habiendo mucha riqueza en esa telemetría”.
Así, y para potenciar sus capacidades, WatchGuard compró la firma CyGlass en septiembre pasado, que amplía la detección y respuesta de red basadas en IA y Open XDR. Esta operación permitió el impulso de la solución WatchGuard NDR.
Junto a ello, recordó la importancia de la Plataforma de Seguridad Unificada de la compañía, “donde la adquisición aporta elementos en la parte de gestión, seguridad de red, en la que no solo es protección sino también telemetría para detección y respuesta, y, además, nos permite abrimos a terceros ya se basa en protocolos de red conocidos”.
Carrero también destacó la propuesta de la compañía en XDR, girando especialmente en torno a la red, identidad y el Endpoint.
DEBATE
La importancia del conocimiento experto, la cercanía al cliente y al entorno que se protege en un SOC
La primera jornada del evento se completó con un postrer y dinámico debate, moderado por José Manuel Vera, redactor de SIC, que contó con los cuatro representantes de las empresas fabricantes. Una de las preguntas que generó más interés fue conocer cuál es la fórmula secreta que marca la diferencia entre un SOC que funciona y uno que vende humo. El primero en contestar fue Álvaro García (CrowdStrike), quien señaló que “la eficiencia de un SOC se demuestra, especialmente, cuando tienes un incidente”, añadiendo, tras una reflexión, que “quizá reside en hacer un paquete de tecnologías y capital humano con gran conocimiento”.
De igual forma opinó Miguel Carrero (WatchGuard), quién apuntó que “lo complicado es el conocimiento profundo de las tecnologías, pero, también es la cercanía del entorno que estás protegiendo”. Carlos Tortosa (Eset España) manifestó, de igual forma, que “es necesario conocer muy bien las tecnologías que estamos manejando y conocer muy bien las necesidades del cliente”. “Hay que encontrar ese equilibrio”, matizó. Por su parte, Alberto Ruiz Rodas (Sophos) dijo “no sé la fórmula secreta, pero los ingredientes al menos están claros. En nuestro caso, la telemetría de Sophos que nutre nuestros sistemas, aderezada con IA, más nuestros expertos que nos permiten dar el apoyo que los SOC necesitan”.
Además, entre otras cuestiones se ahondó en lo que se puede automatizar o no se puede delegar a la IA, destacando que, a día de hoy, se sigue requiriendo la labor humana para ciertas tareas. Para concluir, se pidió a los cuatro que, desde su visión de fabricantes, dijeran cuáles son sus supersticiones que habría que desterrar. Para García claramente fue “no vas a conocerme como yo me conozco”. Para Tortosa, más que superstición, “sería más una cuestión de criterios, necesito conocer bien aquello que voy a contratar porque al final voy a dar mis datos”. Ruiz Rodas explicó que “más bien nuestra pata de conejo es que, en vez que nosotros tomemos acción, te decimos lo que tienes que hacer”. Carrero habló sobre si se está colaborando o no se está colaborando de verdad entre cliente y proveedor. Así, respondió que “es más bien un mito, ya que esa colaboración se ve -y es de verdad-, con muy buenos resultados… pero no se percibe tanto como se debería”.
Red Nacional de SOC y retos
El comienzo de la segunda jornada se inició con la aportación de Pablo Fernández, Experto del Área de Centro de Operaciones de Ciberseguridad del CCN, quien disertó sobre la ‘RNS: la herramienta de colaboración e intercambio del sector público y sus proveedores que no para de crecer”. En su intervención destacó que esta red de SOC ha supuesto un “cambio de enfoque” porque “hay tantos ataques que no damos abasto: sólo en 2023 se gestionaron más de 105.000 incidentes, siendo 120 críticos, aunque menos que los 139.000 de 2021”.
Fernández repasó las diferentes iniciativas del CCN en este ámbito y mostró, en primicia, los cambios que desde marzo experimentará la Red, permitiendo el acceso a entidades que no dan servicio al sector público, como es el caso de muchos SOCs de empresas del Ibex, ya que se apostará por integrar en ella a “cualquier compañía que proteja activos españoles”. También, se abrirá la participación a proveedores que no den este servicio como tal, “como Google o Microsoft”.
Además, se “ha creado una sección proveedores, divididos en categoría Oro y Plata”, según la cantidad de indicadores de calidad que compartan. Y, recordó el éxito de la RNS, que está siendo muy seguida en Europa, y que ya cuenta con 168 SOCs adheridos y con 57 proveedores (42 de oro y 11 de plata), aunque también hizo énfasis en que se va a echar a cuatro empresas -que denominó socios ‘inhabilitados’-. “Si no se comparte nada, es mejor irse de la RNS”.
Certificación de los MSSP y los SOCs
Fernández, también acometió la siguiente ponencia sobre el camino “hacia un esquema de certificación de Centros de Operaciones de Ciberseguridad”. “Esto va de ser o no ser: si ser un SOC o no”. En este sentido, recordó que “no es un SOC: no basta tener un EDR o un antivirus, ni con certificaciones como ISO 27001 o ENS; si no tienes personas a cargo de mirar los eventos y de hacerles frente, no tienes un SOC”. Por ello, el CCN está poniendo en marcha una certificación que, de momento, tendrá el carácter de validación -denominada CCN-STIC 896-, con dos niveles de reconocimiento ‘Básico’ y ‘Avanzado’, y que espera que sea admitida en toda Europa acorde a la que haga Enisa u otras entidades públicas. Eso sí: será, posiblemente, la primera en este ámbito (esperan que se pueda obtener desde abril), y permitirá “medir las capacidades básicas de los servicios gestionados”.
Su objetivo es que “cualquier administración que quiera contratar con un proveedor de servicios de ciberseguridad pueda tener la certeza de unos mínimos”. Además, adelantó que estará basada en disponer de 31 controles generales -que no habrá que demostrar si se tiene el ENS medio- y validar unos servicios concretos.
Le siguió el Director de la Agencia de Ciberseguridad de Cataluña, Tomás Roy, con una ponencia sobre las ‘Implicaciones de la observabilidad en los servicios de ciberseguridad gestionada’ que comenzó recordando que su organismo de ciberprotección autonómica anunció en marzo la convocatoria del nuevo modelo de aprovisionamiento y contratación pública de ciberseguridad, por 230 millones a cuatro años, para servicios externalizados. A continuación, centró su exposición en la importancia de disponer de un SOC de aplicaciones, basándose ya en una experiencia piloto que ha acometido junto con Factum, porque es “vital contar con capacidades de detección y respuesta a nivel de aplicación, que es uno de los principales vectores de ataque y cada vez será mayor”. Así, entre sus conclusiones, subrayó la importancia de acometer las “evidencias que tenemos de problemas en el código de la aplicación, que no se han podido reducir por su complejidad y apostar por la monitorización”. También, señaló la necesidad de ampliar el catálogo de amenazas de ciberseguridad, de acuerdo con los nuevos casos que se producen en la capa de aplicación y reducir el riesgo de uso de librerías vulnerables”, entre otros aspectos, apostando por implicar a todos los actores en “los procesos para implantar en el SOC de aplicaciones”.
DEBATE
La IA como potenciador, ante el déficit de profesionales y la necesidad de especialización
La segunda jornada de TiSEC también contó con un clarificador debate orbitando alrededor de la cuestión ‘Hacia dónde se dirige la especialización en ciberseguridad gestionada: personas, sistemas IA y SOCs’, en el que participaron David Marqués, Jefe de Operaciones de Advens Iberia -compañía que próximamente se sumará a la RNS-, Mikel Salazar, Director de Ciberseguridad de DXC Technology, y Javier Sevillano, SOC Director de Innotec Security part of Accenture.
Conducido por Luis Fernández, editor de SIC, en él, todos los participantes destacaron la importancia de la certificación en este ámbito “aunque también nos obsesiona poner al cliente en el centro para entender sus riesgos y que el SOC sea el brazo armado de los equipos de ciberseguridad, del CISO, de los clientes, para poder responder y proteger”, comentó Salazar. Sevillano sí quiso reconocer que los SOC viven ya en un “proceso de madurez”, coincidiendo con Marqués, “aunque hay que huir del concepto de comprar ‘SOC a kilos’, que citó Roy en la anterior intervención”.
Tras coincidir en que el sector público les supone en torno al 20% aproximadamente de su negocio todos destacaron la necesidad de apostar por la especialización. “Ya no hay ‘Leonardos da Vinci’ que saben hacer de todo porque cada sector exige saber de unas técnicas de trabajo, de monitorizar, de superficie de ataque”, dijo Sevillano reconociendo Salazar que, por esa variedad de profesionales, “los SOC son factorías increíbles de formar profesionales”. Además, destacaron a la IA como un potenciador de los diferentes roles que trabajan en estos Centros y, también, para paliar el déficit de profesionales que hay en el mercado.
Marqués, además, intervino poniendo en valor “la empatía con los empleados, cuidándoles para mantenerlos, además de facilitar su formación y crear vínculos basados en los valores de la empresa”, más allá del aspecto económico en el que coincidieron que “se debería pagar más”. Y también corroboraron todos que las certificaciones de los SOC no harán que se pueda pedir más por sus servicios y que la clave, en imparable crescendo “es la sectorialización, así como la cercanía con el cliente local”.
‘Autonomous SOC’
La jornada prtosiguió con una exposición del CEO de Aiuken Cybersecurity, Juan Miguel Velasco, sobre los ‘MSSP+SOCs y el ecosistema de ciberseguridad tecnológica: sinergias y fricciones’, en la que se mostró convencido de que la IA “no va a sustituirnos”, pero sí será un multiplicador. De hecho, su apuesta es por la verticalización en ciberseguridad, “huyendo de la tiranía de los fabricantes” y enfocándose en la denominada Cybersecurity Mesh Architecture (CSMA).
Así, también destacó cómo su compañía está probando diferentes aplicaciones de IA generativas comerciales, como Microsoft Copilot, “que si se entrenan van ganando calidad de respuesta”. Y recordó que ante el déficit de profesionales “hay que automatizar” e intensificar el uso de SOAR. Sí se mostró convencido de que ciertos roles en el SOC desaparecerán por la IA “como el 1”, y que esta tecnología, que permite ir ganando fiabilidad cuando se entrena, suple el problema de la “rotación de empleados”, los cuales, se llevan un know-how que de esta forma se queda. “La IA igual no reduce personas, pero sí nos hará más fácil y eficiente trabajar, por ejemplo, reduciendo, los falsos positivos”. En definitiva, mostró su apuesta por el ‘Autonomous SOC’, capaz de automatizar muchas tareas de detección, triaje, mitigación, escalabilidad, y todo desde la nube.
Respuesta autónoma
Continuó una exposición el repetidas veces empredendor y hoy fundador y CEO de Onum, Pedro Castillo sobre el ‘SOCless: Nube, automatización, IA y analítica avanzada. Verdades y mentiras’ quien comenzó destacando “lo que hay en común entre todas las aplicaciones: el dato”, recordando que ello hace que “la ciberseguridad tenga que estar en todo lo que rodea a los dispositivos”.
Con una divertida exposición, basada en la conocida película ‘El bueno, el feo y el malo’, mostró la necesidad de centrarse en los datos críticos, “los que realmente importan para el negocio” y alertó de que la IA vive un momento “de hype y luego puede llegar la decepción, porque lo que pasará es que estará integrada, de forma natural, en todo lo que nos rodea. Aunque falta tiempo”. Además, alertó de la cantidad de recursos para desarrollarla y entrenarla que está invirtiendo el cibercrimen en ella. También, de que puede “quitar profesionales de las ocupaciones más básicas, pero hará que se demanden otros de las más especializadas, por lo que la cuenta de resultados igual no cambie tanto”. Frente a todo ello, apostó por la concienciación, la formación y la colaboración para reforzar el trabajo de los SOC. Concluyó mostrando labores que la IA permitirá hacer mejor, tales como responder a las amenazas, y “contar con una mitigación y detección proactivas”.
DEBATE
Compartición de información, para hacer frente al cibercrimen, basada en la confianza y siempre condicionada al negocio
Como culminación final de esta edición, TiSEC albergó un debate -moderado por José de la Peña-, sobre las ‘Alternativas para aumentar la velocidad y la escala de intercambio de inteligencia de amenazas entre todos los actores concernidos’ a cargo de Julia Perea, Directora de Seguridad digital de Telefónica España, y Everson Nunes, Head of Cyber Threat Detection en Santander Digital Services.
En él, Perea comenzó explicando que para profundizar en el tema propuesto había hecho una ‘batida de preguntas’ a grandes expertos del sector, habiendo “unanimidad en la necesidad de colaboración”. Así puso en valor la Inteligencia en el ámbito cibernético “apostando por la automatización” para “favorecer la toma de decisiones”.
Nunes recordó que, sectorialmente, ya se hace de forma intensa “a través, por ejemplo, de nuestro ISAC financiero”, resaltando ambos la importancia de la calidad de lo que se intercambia “evitando que sea ‘a granel’. También, destacaron que frente a esta apuesta por compartir hay, en muchas ocasiones, limitaciones del negocio, legales, temor a multas por dar a conocer un incidente, etc. Además, se destacó que para muchas compañías y MSSP la inteligencia tiene un coste en fuentes, analistas, servicios para ofrecer el máximo valor a sus clientes y se mide lo que se da gratis como tal. “Se trata de un equilibrio que, a veces, es complicado”, destacaron.
Perea recordó iniciativas privadas como la Cyber Threat Alliance, de la que forma Telefónica “y en la que hay un ránking de quién comparte y quién no”. También se destacó que, en ciertos sectores, como banca y ‘telco’, sí hay un nivel alto de compartición para hacer frente a las ciberamenazas que afectan a varias empresas “porque toda la gente sabe que vamos en el mismo barco”, destacaron recordando que normativas como DORA incentivan este aspecto.