Crónica marzo 2025

Espacio TiSEC puso en valor este enfoque por el que ya están optando todo tipo de empresas, gracias a las capacidades de la IA

La apuesta por la plataformización y una mayor observabilidad congrega al sector más maduro que ve el camino a seguir por costes, eficiencia y eficacia

Con cerca de 400 asistentes y dos jornadas en formato presencial y en línea, Espacio TiSEC congregó los pasados 12 y 13 de marzo, bajo el título ‘Plataformización y observabilidad: la ciberseguridad se consolida’, a los grandes referentes en este crucial y complejo ámbito. Casi dos decenas de ponentes del sector privado, público y la industria analizaron las diferentes propuestas que se están aplicando y cómo sacarles el mayor partido, además de profundizar en sus retos y su evolución. Incluso, se presentó en primicia el futuro SOC de Telecomunicaciones, heredero del SOC 5G, el primero del mundo, puesto en marcha por España, así como una de las nuevas startups que están centrando más atención en nuestro país en los segmentos de la visibilidad, Zynap por su propuesta de ‘sacar valor’ a las innovaciones del cibercrimen y aplicarlas en ciberprotección con IA.

La primera edición de Espacio TiSEC de este año volvió a reunir durante dos jornadas, el 12 y 13 de marzo, a lo más granado del sector, tanto del ámbito público como del privado, para poner en valor y debatir sobre los desafíos de una de las grandes tendencias que está marcando el mercado: la apuesta de las empresas por la plataformización en busca de una mayor observabilidad como camino para reducir costes, incrementar su eficiencia y, también, reducir el riesgo de amenazas ante un panorama cada vez más incierto y complejo, con la inteligencia artificial y la automatización en el centro de la innovación tanto para defensores como ciberatacantes, y la presión que suponen normativas como NIS2, DORA, CRA o ENS, entre otras.

Caos frente a eficiencia

Luis Fernández, editor de Revista SIC, fue el encargado de dar comienzo al encuentro para dar paso a Julio San José, managing director de Alvarez & Marsal España, quien abrió el congreso con una intervención sobre ‘Convergencia digital: la nueva era de las plataformas y la observabilidad en ciberseguridad’, en la que intentó vislumbrar el futuro mostrando su apuesta por hacia dónde tiene que ir la ciberprotección, si hay que unificar, recortar y cómo hacerlo a la luz de las iniciativas más innovadoras y madrugadoras. En este sentido, recordó que, según sus datos, actualmente cada vez hay más herramientas de ciberseguridad en las empresas: hasta 76 distintas en las compañías más grandes y entre 15 y 45 en las más pequeñas, generándose además muchos silos de trabajo que impiden actuar de forma coordinada y unificada. Frente a ello, recordó que la plataformización permite eliminar “este gigantesco puzle” y actuar con una “visión estratégica alineada con el negocio”, a través de un enfoque más sencillo y fácil de gestionar. Así, puso en valor que este enfoque permite disponer de una mayor “eficiencia operativa, mejorar en detección, más rapidez de respuesta, optimización de costes y aprovechamiento de habilidades”. No faltó en su intervención la necesidad de implementar la auditoría de procesos para conseguir el resultado esperado. Además, recordó que la observabilidad va más allá de la simple monitorización como “capacidad para entender el porqué detrás de lo que pasa a través de métricas, logs, trazas y contexto”, mostrando lo que considera la “pirámide de la observabilidad” y lo que aporta. ¿Su apuesta de futuro? “Una plataforma cognitiva basada en redes neuronales que permitan tomar decisiones, de bajo nivel, de forma automática”. Además, advirtió que “o Europa se da prisa en la aplicación e innovación de la IA o perderá el tren”.

Julio San José

Denis Ontiveros

Le siguió una intervención también muy aplaudida del vicepresidente de Enterprises Platforms de BP, Denis Ontiveros, sobre ‘Evolución, integración y consolidación de las plataformas y arquitecturas de ciberseguridad’. “Gracias a ellas, este ámbito se consolida” y destacó que el secreto para hacerlo con éxito es “entender cómo nos organizamos y centrarse más en las personas que en la tecnología”. Asimismo, destacó que como componentes esenciales de una plataforma es tener claros los “límites y responsabilidades, el autoservicio y la automatización, su flexibilidad evolutiva…” y, también, “su capacidad para adaptarse a las nuevas amenazas y necesidades de cada empresa”. Y todo pasando por “ser centralizada para ser descentralizada: teniendo claro donde tienes que poner el control, contando con una arquitectura basada en componentes y haciendo que sea modular, desacoplada y evitando fricciones en la toma de decisiones”. Además, consideró importante que esté “basada en estándares y sea abierta”. De cualquier forma, sí destacó el objetivo de ser más proactivos, “no ya sólo detectando vulnerabilidades sino además resolviéndolas rápido”, entre otros aspectos, y eficientes, “buscando dar respuesta no solo a los problemas de hoy sino también del mañana”.

Y es que recordó que, en los últimos años, la identidad se ha convertido también en uno de los grandes retos de la ciberprotección, acentuados por la necesidad de proteger también las que no son humanas (NHI).

El segundo bloque de la primera jornada, presentado por el director de Revista SIC, José de la Peña, fue dedicado a las alternativas, en el sector público y privado, para “simplificar la gestión y ampliar la visibilidad”. Para ello, contó como primer ponente con el director del Centro de Ciberseguridad del Ayuntamiento de Madrid (CCMAD), José Ángel Álvarez, que dio el punto de vista en este ámbito de la Administración Pública. En su intervención, dio a conocer las capacidades del consistorio y el buen trabajo del equipo que ayuda a proteger cibernéticamente los sistemas públicos de la ciudad y que supone un “copiloto para conocer dónde están los riesgos, cómo hacer las cosas y, para ello, se ha apostado por actuar como una plataforma única de ciberseguridad para responder de forma eficiente a todo lo que hay que proteger”. Así, mostró cómo se ha evolucionado hacia un enfoque más resiliente y proactivo, “trabajando también con las empresas públicas de forma coordinada”.

José Ángel Álvarez

En este sentido, reconoció que “simplificar la gestión y mejorar la visibilidad ha sido clave” y puso como ejemplo que se ha pasado de un “CISO en la playa a un CISO en las trincheras”, unificando diferentes aspectos, adoptando incluso en ciberseguridad la gestión de las identidades y apostando por la eficiencia. “Queda mucho por hacer, por ejemplo, por lo que supone la apuesta por la nube, pero hemos pasado de ser prescriptores de cómo hacer las cosas a ser responsables de cómo realizarlas y eso nos da mucha fuerza. Es muy estresante a veces, pero también apasionante por lo que supone de integrar a cada empleado, de los más de 27.000 que tiene el Ayuntamiento, en la ciberseguridad”. Terminó recordando que para tener éxito hacen falta “menos héroes y más industrialización”, sin olvidar la importancia de atraer talento.

Le siguió, como parte del sector financiero y la banca, el CISO de Sabadell Digital y director de Operaciones de Banco Sabadell, Adolfo Hernández, quien habló “de la necesidad de ‘unir puntos’ para conseguir ser más proactivos, a través de capacidades basadas en datos evitando que la información, de la que hace una década se carecía, ahora suponga lo contrario: saturación e imposibilidad para extraer de ella el valor necesario para disponer de la ciberseguridad que se precisa”. Así, explicó que actualmente su organización dispone de unas 34 herramientas de ciberseguridad, con más de 90 capacidades para proteger, detectar y responder, de forma centralizada, cuando salta una alarma. Además, recordó las peculiaridades de su sector y las normativas que tiene que cumplir para, por ejemplo, “evitar el riesgo de concentración” y de “la cadena de suministro”, apostando por modelos “flexibles y escalables” basados en “entornos abiertos”. “En definitiva, buscamos consolidar, mejorar la protección, la detección y respuesta con tecnologías que se hablen, que permitan la automatización y sacar el máximo valor a lo humano para orquestar una respuesta que permita tener la mejor respuesta, y la plataformización es parte de ello: nos da la observabilidad necesaria para tomar las mejores decisiones, basadas en una visión extremo a extremo”.

Adolfo Hernández

Daniel Largacha

Le siguió el director del Security Operation Center (SOC) de Mapfre, Daniel Largacha, que recordó de forma muy ilustrativa la evolución de la aseguradora en este ámbito, “que pensó hace tiempo que apostando por la centralización en ciberseguridad se podrían proteger todos los activos de forma global y con la misma madurez, sin importar su lugar”. Además, puso en valor el trabajo del SOC “para dar respuesta a toda la organización y resolver los retos en ciberprotección a los que se enfrentan todas las áreas tanto gestionando aspectos como la identidad, hasta la monitorización de la red y la respuesta a incidentes, sacando el máximo partido a las tecnologías de ciberprotección”. Además, destacó la importancia de contar con observabilidad para, entre otros, el equipo de negocio y en seguridad de la información. “Se buscan fines diferentes pero con el mismo enfoque”. Así, destacó que ahora “tras más de 20 años trabajando en este sector, veo un cambio de paradigma”, ya que “nos enfrentamos a más ‘ruido’, más información y tenemos que ser más efectivos sin perder eficacia”.

En este sentido, recordó que entornos como el de “una central nuclear no juega con probabilidades” y a lo mismo hay que aspirar en ciberseguridad, destacando que en Mapfre se ha pasado de 500 millones de alertas cada día a más de 4.000 en 2024, atendidas gracias a la escalabilidad del equipo y sus tecnologías, “con mucha automatización, orquestación y sistematización”, para que las personas participen “lo mínimo e imprescindible” centrándose en donde más valor pueden aportar. “Por eso, actualmente, el 60% de las acciones se hacen de forma automática”, además de haber reducido “el 35% de falsos positivos en protección y detección”.

El viaje hacía las plataformas

Álvaro García

A continuación, se dio paso a la voz de la industria con la participación de tres compañías referentes en sus distintos enfoques de desarrollo de plataformas. El primero en subir al estrado fue Álvaro García, Senior System Engineer de CrowdStrike, que dio a conocer su experiencia sobre cómo ha vivido la transformación hacia las plataformas, tanto antes como después de formar parte de su actual compañía. En su explicación, puso de relieve varios hechos clave como, por ejemplo, que hace unos nueve años “nos ocupábamos básicamente de las alertas y se hablaba mucho de silos donde la información no se podía compartir”. Además, como los incidentes son cada vez más complejos, “las cosas ya no son blanco o negro, y ahora ya tenemos el threat hunting, con un grado de inspección y análisis que no te va dar nunca una detección”, indicó García, que seguidamente destacó que, aquí, donde la telemetría está compuesta por cientos y miles de datos, toma especial importancia la IA, para la prevención y la defensa. En esta evolución, el experto destacó también la introducción de otros elementos, como los datos de terceros, lo que llevó a un hecho clave en el camino de la plataformización, tal cual es la consolidación. Con ello, “ya se empezó a hablar de plataforma hace unos años, cuando no era tan habitual”.

A continuación, puso un ejemplo sobre por qué una plataforma funciona mejor que algo que no está ‘plataformado’ en cuanto a protección, tras el cual, se preguntó: “cómo sigue todo esto”. “He vivido el inicio de estas plataformas y cómo se han ido incorporando módulos, procesos de trabajo, necesidades, etc. Ahora, estamos viviendo con los SIEM, delegando la capacidad de detección, algo muy complejo porque las reglas cambian a la vez que el ecosistema cambia… Por eso, “nuestro paso siguiente es absorber el SIEM”. “Lo que proponemos es reducir la capa lógica del SIEM únicamente a los casos específicos de cada cliente, es decir, solo a lo que necesitan contextualizar porque cada empresa es diferente”, concluyó.

Destino: la ciberresiliencia

Marc Sarrias

Acto seguido, Marc Sarrías, country manager de España de Palo Alto Networks, otra de las compañías con gran experiencia y una estrategia bien marcada en este ámbito, profundizó en cómo mejorar la ciberresiliencia a través de la plataformización. Para ello, empezó poniendo sobre la mesa aspectos a tener en cuenta, como “el entorno cambiante en el que operamos, impulsado, entre otros, por la transformación de la industria (DevOps, multinube, IoT, cadena de suministro, fusiones y adquisiciones…)”. Junto a ello, “hay que añadir que, para cada problema de seguridad hemos comprado prácticamente un producto y, al final, tenemos muchas tecnologías y, además, inconexas”. Asimismo, destacó la IA como el futuro, pero también, con nuevos retos que van a tensionar el ecosistema. Sin olvidar “el contexto cambiante de las amenazas, ‘turboalimentado’ por la IA”, así como el incremento del coste de un incidente de seguridad.

Tras describir este marco en el que estamos inmersos, desgranó las seis grandes prioridades de los CISO en 2025: “la reducción de esa complejidad y tener más interacción con el comité ejecutivo, la gestión de los recursos y el talento, la ‘securización’ de la IA por diseño, el cumplimiento regulatorio y el bienestar personal de la gente que se dedica a la ciberseguridad, ya que la posición del CISO es una de las más complejas en esta industria”.

Por todo ello, entre otros aspectos, señaló que, desde Palo Alto Networks, apuestan por un concepto de plataformización que necesita incorporar la IA para automatizar y eliminar trabajo y que sea capaz de detectar cosas que de otra forma no sería posible. En general, entre los beneficios del modelo de plataforma destacó la integración nativa, así como la visibilidad completa, la eficacia y la efectividad en costes.

Con todo, el directivo finalizó con las tres grandes plataformas por cuyos enfoques apuesta la compañía: Zero Trust Network Security, AI-Driven Security Operations e End-to-End Cloud Security. Y luego unos servicios asociados que lo acompañen.

El papel del mayorista

Dámaso Ramos

Para concluir este bloque, el encuentro contó también con el punto de vista de un mayorista de referencia en el sector como es V-Valley. Su responsable de la Unidad de Negocio de Servicios de Ciberseguridad, Dámaso Ramos, profundizó en el papel que juega la compañía que, básicamente, tiene dos clientes: el fabricante y el partner, “a los que tememos que aportar servicios”.

Así pues, centró su exposición en su solución estrella, como es la plataforma Lidera Cloud, heredada de la compañía adquirida Lidera pero que “cambiará de nombre en un futuro no muy lejano”, indicó. El directivo desgranó su historia y recordó los principales hitos que marcaron la evolución hacía dicha solución y que, a día de hoy, se ha convertido en “una plataforma MSSP diseñada para el partner que nace para complementar los servicios qué éstos ofrecen”, subrayó. Así, “la ofrecemos como una plataforma vitaminada; también podemos utilizarla como herramienta para complementar la oferta del partner y llevar otros servicios a sus clientes; y, a través de ella, podemos ayudar a los fabricantes y grandes partners a alcanzar nuevos mercados”.

Para ello, los pilares donde la compañía pone foco y aporta diferencial es “en todo el acceso a la consola, que es gratuito, además de ser un modelo de pago por uso puro, sin ningún tipo de permanencia, y en todos los casos ofrecemos servicio de soporte 24x7”. Además, “organizamos formaciones continuamente para mantener a los partners actualizados de los servicios que puede consumir, proporcionando un margen que crece con el volumen, flexibilidad de modelos de negocio, hacemos un proceso de onboarding completamente guiado y dispone de API para la integración con diferentes escenarios”.

Ramos terminó comentando que la plataforma se puede consumir a partir de tres opciones: Básico, Avanzado y Premium, “en el que estamos trabajando este año para incorporar elementos más proactivos”, concluía.

Novedad mundial

Andrés Ruiz

Abrió la segunda jornada, el subdirector general de Seguridad Digital de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales del Ministerio para la Transformación Digital, Andrés Ruiz, que habló sobre ‘El SOC público español 5G: servicios, asesoramiento y capacitación’. Tras explicar varios casos de uso de esta tecnología, “que nos va a cambiar la vida” en entornos como la conducción o la cirugía en remoto, también destacó que, por ello, es imprescindible “generar la máxima confianza en que su infraestructura es segura”. Por ello, España ha puesto en marcha una iniciativa, pionera en todo el mundo, como es el primer Centro de Operaciones de Ciberseguridad en 5G, basado en la normativa publicada por nuestro país en 2022, que también fue la primera de este tipo en la UE, marcando los perfiles de riesgo de los suministradores de equipos, entre otros aspectos, y buscando que sean “confiables desde un punto de vista técnico y geopolítico”. Además, repasó los aspectos más notables del Esquema Nacional de Seguridad en 5G, de 2024, a partir del que se ha creado “el SOC que, con 15 millones de presupuesto, se pondrá totalmente en funcionamiento este este año, pudiendo alcanzar una plantilla final de 150 profesionales”, y trabajando junto con el Centro Criptológico Nacional (CCN), del CNI. Con él se pretende dar seguridad “a los operadores de esta tecnología como Telefónica, MasOrange, Digi y Vodafone, también con capacidades de protección, detección y respuesta frente a amenazas en este entorno y ofreciendo capacitación y asesoramiento específico”, destacó.

Entre otras iniciativas, este SOC está desarrollando “un catálogo de 30 servicios dirigidos a operadores, centrados en cinco áreas: cumplimento, prevención, protección, detección y respuesta y adecuándose a las necesidades reales de los operadores”. También puso en valor su trabajo con organismos como el Incibe, con el que se trabaja a través de su laboratorio 5G, para hacer pruebas en plataformas de diferentes fabricantes. Además, “se ofrece vigilancia e inteligencia de amenazas, así como otras iniciativas para, por ejemplo, contar con detección pasiva de vulnerabilidades en 5G”, comentó recordado que estas “capacidades se mostrarán en breve con la presentación en primavera del SOC 5G de forma oficial, que actuará integrado en la estructura nacional de ciberseguridad”.

Asimismo, adelantó en primicia que pueda ser la base para un futuro ‘SOC de Telecomunicaciones’ que dará “seguridad a todos los elementos que forman parte de la comunicación, desde los satélites hasta los cables submarinos”, y con el que España podría ser también pionero. “Todo está conectado y un reto obligado darle protección trabajando, de forma conjunta, entre sector público y privado”.

Juan Carlos Gómez Castillo

Le siguió el director de Seguridad de Telefónica Tech, Juan Carlos Gómez Castillo, con su exposición sobre ‘Observar, conocer, contextualizar y actuar: los retos y frustaciones del CISO’, en la que comenzó con ironía recordando y parafraseando que “la ciberseguridad es eso que te va sucediendo mientras estás ocupado haciendo otros planes”. En este sentido, resaltó que “monitorizar no es lo mismo que observar”, ya que esto último permite conocer “el porqué y el cómo de cualquier problema”. Así destacó la importancia de analizar eventos, contar con logs y trazas, disponer de alertas y acometer las acciones oportunas a través del alcance, la profundidad y madurez que da la observabilidad. También, puso en valor las capacidades de las plataformas, a través de integraciones, con lo que permite la IA y, resaltó, con el reto de ser ‘no lock-in’, para poder incorporar y cambiar todo lo que se precise. Además, destacó la importancia de tener el máximo contexto. En sus conclusiones subrayó que, entre otros desafíos, los CISO deben afrontar marcar hasta dónde quieren poner el control, disponer de eventos y registros en un trabajo que puede llegar “hasta donde quieras” y usar todo lo que dispones de forma eficaz, “eso es la madurez”.

También despertó mucho interés la conferencia del actual director del Centro de Competencia e Innovación de la Agencia de Ciberseguridad de Cataluña, Tomás Roy, sobre la ‘Visibilidad del SOC de aplicaciones’, una propuesta en coautoría con Rafael Ortega, director de Desarrollo de Negocio, Consultoría y Cloud Security de Factum. En su intervención, recordó que “la observabilidad capacita a los equipos de TI y desarrollo para ir más allá de la monitorización básica, identificando no solo si un sistema funciona, sino las causas de su comportamiento mediante el análisis de datos contextuales”, por eso puso en valor que “las plataformas de observabilidad convierten la telemetría en conocimiento y acción usando análisis, visualización, automatización y, cada vez más, inteligencia artificial”. Junto a ello, desde su perspectiva, ofreció un interesante análisis de las capacidades en este ámbito de más de 20 soluciones de observabilidad y su efectividad en ciberseguridad, además de analizar y poner en valor marcos de trabajo como el SAMSS de OWASP.

A modo de conclusión, resaltó el valor de la ciberseguridad “como valor de negocio”, pero recordando que lo importante es “como protección del valor del negocio” en un mundo digital y planteando la necesidad de tener claro qué rol se quiere jugar en este ámbito para sacar partido de la tecnología en ciberprotección, poner la protección de las aplicaciones por defecto, en tiempo real, entre otros aspectos.

Tomás Roy

Hacia la automatización total

A continuación, comenzó el segundo bloque de la jornada con la exposición del CEO de Aiuken Cybersecurity, Juan Miguel Velasco, sobre ‘El impacto de la automatización en el negocio de la ciberseguridad gestionada’, en la que presentó su propuesta de SOC 5.0 como camino que seguir para “el futuro de la ciberseguridad”.

Durante su participación compartió cómo la compañía, integrada en una multinacional europea como Allurity, ha apostado por la automatización total en este concepto de Centro de Operaciones impulsado por su plataforma avanzada ASIP (Aiuken Security Intelligence Platform), mostrando nueve aspectos clave conseguidos, categorizando alertas de forma automática, la inteligencia de amenazas y creando casos de uso automáticos.

“Un modelo donde la detección, el triaje, la mitigación e, incluso, la respuesta se manejan de forma autónoma, sin necesidad de intervención humana”, destacó recordando que, “en un mundo donde las amenazas nunca duermen y el talento es escaso, la automatización no es un lujo, es la única forma escalable de defender a varias organizaciones a la vez”. Por ello, compartió que “la ciberseguridad debe evolucionar hacia algo autónomo, predictivo y orquestado por inteligencia artificial”.

Juan Miguel Velasco

Además, destacó la importancia de la observabilidad y contar con independencia tecnológica “mantra de Aiuken desde el principio”, explicando que para disponer de la máxima ciberseguridad “todo tiene que confluir”, recordando a Gartner y su concepto de “mesh” y resaltando el valor que ya aporta en su empresa la IA, mejorando el trabajo de los profesionales permitiendo que se centren en lo que realmente aporta valor a través de las personas. Así pidió apostar aún más por las capacidades que ofrece la IA y no tener miedo a implementarlas: “en una crisis convocar un comité lleva horas, pero una IA es capaz de actuar en minutos”, recordó destacando que su compañía ya está sacando partido de este enfoque de SOC autónomo hacia el que va. También vaticinó que estas tecnologías permitirán contar en este lustro con capacidades ‘precrimen’ y detección anticipada de eventos, así como recuperación inmediata de cualquier incidente, entre otros aspectos en los que trabaja la empresa.

SOCs híbridos

A continuación, José Luis Rojo, socio de Ciberseguridad de EY y Xavier Gatius, director en Consultoría Tecnológica, Ciberseguridad y Sector Público de la consultora, profundizaron en “la operación TIC y ciberprotección mediante SOCs híbridos en la gestión de crisis”. Una aportación que fue muy bien recibida y en la que resaltaron que “al reto de la adopción tecnológica se suma el de la gestión y el gobierno de la operación TIC y de la ciberseguridad”, lamentando que “los modelos que se aplican en ambos ámbitos continúan planteando los mismos dilemas del pasado” en un entorno “altamente complejo” y donde la “observabilidad es crítica para explicar lo que ha pasado”, comentó Gatius.

Frente a ello, propusieron “replantear cómo se resuelven los problemas de hace tiempo” y apostar por enfoques como los SOCs híbridos y la gestión de crisis, ya que permiten un “nexo de unión entre la gestión de las operaciones TIC y de ciberprotección”, a través de la “convergencia entre equipos, a la vez que se mejora su madurez”, destacó Rojo, quien explicó que en esta aproximación la plataformización “juega un rol clave”.

José Luis Rojo

Xavier Gatius

Así plantearon cómo la gestión de incidentes puede salir reforzada, con 11 ejemplos concretos, con este tipo de Centros de Operaciones por cuanto permiten aprovechar sinergias, mejorar los reportes a la alta dirección e incidir de manera efectiva en las acciones de los MSSPs, entre otros aspectos. Finalizaron, a modo de conclusión, destacando los beneficios de los SOCs híbridos que permite contar con un equilibrio entre capacidad y agilidad, reducir ineficiencias y redundancias en operaciones TIC y de ciberseguridad, así como disponer de mecanismos de gobierno y operación bajo un mismo propósito, simplificar arquitecturas tecnológicas, mejorar los costes y la sostenibilidad y tener más resiliencia y cumplimiento.

Pilares de la observabilidad

José Pedro Mayo

El arquitecto de ciberseguridad de GMV, José Pedro Mayo, ofreció la interesante propuesta de la multinacional española, centrada en ‘La racionalización de la maraña tecnológica de ciberprotección en el sistema de información empresarial’. Una ponencia en la que comenzó analizando la evolución de los perímetros de seguridad hacia el actual paradigma, donde son “difusos y dinámicos,” y donde es fundamental contar con enfoques de escalabilidad funcional, incorporando de forma “dinámica microservicios para ampliar capacidades sin interrupciones”, a través de la orquestación de contenedores y el escalado automático.

Asimismo, planteó los grandes desafíos a los que responde la plataformización como son la fragmentación de datos, la gestión de dependencias, los riesgos en plataformas low-code, así como el uso de IA generativa como vector de ataques y las tácticas usadas por los grupos APT, explotando fallos en la observabilidad. Frente ello, planteó la necesidad de contar con enfoques de confianza cero, gestión de identidades y accesos (IAM) en entornos distribuidos, más gobernanza de datos, seguridad en DevSecOps, gestión de riesgos de terceros y la necesidad de contar con capacidades de respuesta a incidentes en entornos distribuidos con SOAR, Plataformas de Inteligencia de Amenazas y análisis forense (DFIR) en entornos en nube.

Como conclusión destacó la necesidad de adaptar la ciberprotección a enfoques dinámicos, distribuidos y adaptativos, contar con una aproximación sistemática a arquitecturas complejas, con observabilidad, que permiten medir para gestionar mejor, y capacidades para detectar anomalías, así como integrar los tres pilares de la observabilidad: la correlación temporal, el análisis predictivo y el denominado ‘drill down’ -es decir, ver los datos con mayor nivel de detalle- para detectar anomalías y anticiparse a los incidentes antes de que sucedan.

Julio Castilla

El director de Identity & Data Governance, del área de Business Security Solutions de PwC España, Julio Castilla y Daniel Álvarez García, Senior Manager de la consultora en este ámbito, ofrecieron una esclarecedora ponencia centrada en ‘La gestión de identidades en la operación de ciberseguridad’. En ella, destacaron la necesidad de convertir tecnologías como la IA generativa, que puede suponer un riesgo, en una oportunidad y destacaron la importancia de poner la identidad digital como epicentro de la ciberprotección a través del enfoque de ITDR (Detección y respuesta de amenazas de identidad), presentado por Gartner en 2022. “Hace falta la centralización de la gestión robusta de la identidad para facilitar la trazabilidad y su control, a través de la plataformizacion y consolidación”, dado que, a veces, “el IAM, el PAM y el CIAM van por su lado, con la complejidad de integrarlos en la operación de ciberprotección”, comentó destacando que “están obligados a converger” y eso es lo que permite ITDR, que permite la “sincronización de IAM, SOC y SIEM”, pudiendo monitorizar de forma continua cada acceso, con “un enfoque de confianza cero dentro de un modelo de gobierno y coordinación robusto” y lo que supone de desafío “la aplicación de estrategias dinámicas para la gestión de privilegios”. Álvarez apuntaló este enfoque recordando cómo la identidad ya es una pieza clave en la ciberprotección y cómo la llegada de ITDR “ha reforzado a la identidad dentro de la estrategia ciberseguridad”, mostrando también los diferentes componentes de monitorización de un sistema de este tipo.

Daniel Álvarez

Además, destacaron “la necesidad de la coordinación y el gobierno en la gestión de identidad y operaciones, con cimientos sólidos”. “Tiene que tener un sistema de comunión entre identidad y equipo de seguridad, de forma muy unificada, con una visión integral de las identidades de todo”, explicaron apostando por la centralización y modelos de “gobernanza y SOCs híbridos, para trabajar con más cohesión entre el ámbito de la identidad y la ciberprotección, aprovechando un equipo lo hecho por el otro”, entre otros aspectos.

Daniel Solís

Como colofón, cerró esta edición de TiSEC, Daniel Solís, CEO de Zynap, una nueva empresa española que mostró su propuesta de ‘Plataforma de validación de exposición a amenazas de ciberseguridad’. Se trató de una primicia en la que el responsable de la pujante startup mostró su tecnología y casos de uso a partir de la utilización intensiva de la IA, aprovechando la ciberinteligencia, que permite “entender en profundidad a los grupos de cibercriminales, así como sus tácticas y herramientas”. “Lo positivo de ‘los malos’ es que se puede aprender mucho de ellos” para defenderse. En este sentido, recordó que el concepto de plataformización ya se usa mucho por el cibercrimen a través de sus herramientas y tecnologías.

Además, recordó que la apuesta por este concepto con Zynap puede permitir a una empresa ahorrar hasta un 30%, de media, evitando “desviación de costes e ineficiencias”, así como hacer frente al déficit de profesionales. “Uno de los grandes problemas es que hay un ecosistema de ciberprotección muy fragmentado: todo el mundo tiene muchas soluciones, pero no conectadas. Ello da lugar a ineficiencias, incremento de gastos, además, bajo la presión del cumplimiento”.

En este sentido, puso en valor su innovación, que ha supuesto el trabajo de mucho tiempo, “porque automatizar es fácil con IA, pero que dé el valor esperado es otra cosa”. Precisamente, la puesta en marcha de esta compañía “permite que la IA sea más que inteligencia y funcione de forma segura y eficiente para los equipos de ciberprotección”. En definitiva, se trata de “empoderar a las personas, automatizando, potenciando equipos y permitiendo cumplir la regulación con una integración fluida”, de forma agnóstica y fluida, y mostró casos de uso concretos de su plataforma en inteligencia, operaciones de ciberseguridad e, incluso, en acciones ofensivas, “como si fuera un Lego”, además de contar con información de lo que “se está haciendo mal de forma automatizada”.

DEBATE
Mayor compartición de información, interoperatibilidad y eficiencia, los grandes retos de los sectores público, banca y seguros para avanzar

José de la Peña, Adolfo Hernández, Daniel Largacha y José Ángel Álvarez

Como colofón al segundo bloque de la primera jornada, los participantes debatieron en una mesa redonda, moderada por el director de SIC, José de la Peña, sobre los retos y desafíos que comparten entre sectores. “Nos une la inseguridad” comentó José Ángel Álvarez, del CCMAD. Igualmente, destacaron que cada vez hay más un compromiso de la alta dirección con la ciberseguridad, motivada, también, por el mayor número de normativas de ciberprotección que hay que cumplir “aunque las empresas más maduras en este ámbito ya las cumplían hace tiempo”, recordó Daniel Largacha de Mapfre. Asimismo, se destacó todo lo que está aportando la aplicación de la inteligencia artificial en este ámbito, “que nos da más capacidades y protección, aunque también está facilitando la labor de los cibercriminales”, dijo Adolfo Hernández, de Banco Sabadell.

Todos destacaron el valor del dato y contar con telemetría para ser más proactivos, a través de tecnologías como el machine learning, que permite “apostar por enfoques menos deterministas que antes”, añadió Largacha. “Los avances de la IA van a cambiar la sociedad como la conocemos… pero nadie sabe cómo será el futuro”, resaltó Álvarez.

“Y es fundamental compartir más, porque los ‘malos lo hacen bien y sin restricciones’”, destacaron los participantes, que también reconocieron que queda mucho por hacer “ya que hay aún muchos silos y debería hacerse de forma más fluida”.

No faltó en el debate, a preguntas de los asistentes, la necesidad de acometer ya el riesgo que plantean las futuras tecnologías cuánticas. “Estamos trabajando en los riesgos que plantea, en su diagnóstico y en ver cómo las manejamos, sobre todo de las posibles amenazas a través de terceros”, dijo Hernández.

Como conclusión, el ejecutivo del Sabadell destacó la necesidad de apostar por la “interoperabilidad, más soberanía y mejor postura de seguridad del dato, del cloud, de la identidad, y apostar más por capacidades que por tecnología”. “Como sector debemos evolucionar más”, comentó Álvarez, y evitar la “fragmentación, apostando por mayor monitorización para detección y respuesta y la participación de todos los actores de la ciberseguridad para ser más eficaces”. De hecho, Largacha llamó la atención sobre la mejora de la ciberseguridad en las pymes, “es un deber” porque “todos formamos parte de ella”.

DEBATE
Las claves para la implementación del modelo de plataforma, los errores más comunes, su futuro y el reto de la IA

Álvaro García, Marc Sarrias y Dámaso Ramos

Como colofón a la primera jornada, se celebró un animado debate en el que participaron Álvaro García (CrowdStrike), Marc Sarrias (Palo Alto Networks) y Dámaso Ramos (V-Valley), bajo la moderación de José Manuel Vera, redactor de SIC. En él, se analizó en detalle el valor diferencial de las propuestas de las empresas representadas y que se expusieron durante el encuentro, a lo que García indicó sin dudar “la velocidad de respuesta”. Para Sarrias es “tener la capacidad de reducir los tiempos es fundamental, pero nosotros como fabricantes llevamos más de tres años empujando el concepto de plataforma y contamos ya con esa experiencia”. Ramos, por su parte, indicó la “capacidad de adaptación”. Los tres ponentes también destacaron que, para empezar a implementar un modelo de plataforma, lo más importante es ser consciente de que es una decisión más bien estratégica que conlleva un cambio de mentalidad y filosofía”. Junto a ello, afirmaron que la evolución de las plataformas pasa por “abrirse y entender que te tienes que adaptar al mundo y no al revés, algo que no todas cumplen”, además de ir hacia “una mayor consolidación”.

Fallos habituales

También, fue interesante conocer cuáles son los errores más comunes que cometen los clientes a la hora de implementar este tipo de soluciones. En este sentido, García destaco dos: “el primero, pensar que con tecnología puedes eliminar el capital humano; y el segundo, no tener un plan de lo que se necesita hacer, las capacidades a las que quiere llegar… lo que puede conllevar inversiones incorrectas, etc.”. Según Sarrias, “quizá, el principal error es tener una estrategia multinivel dentro de una organización, dentro de lo que la plataforma como concepto puede fracasar”.

Por lo que, “toda la compañía tiene que estar alineada con ese objetivo”, puntualizó. Ramos destacó que, “si la tecnología es correcta, al final, lo que fallan son las personas o los procesos… la estrategia”. Finalizando la mesa de debate, una de las cuestiones que más opiniones encontradas generó fue el tema de la IA. En este sentido, sobre lo que no se puede hacer con ella, García indicó “sustituir la capacitación humana”. “A día de hoy no, no es el momento para eso. La tecnología es el apoyo”, afirmó. Para Sarrias, en cambio, “el objetivo es llegar al SOC autónomo y en ese viaje tenemos que ser capaces de liberar a las personas del 98% de las cosas que se pueden decidir de forma rápida, llegando a un modelo en el que puedas confiar y no generar más problemas”. Por su parte, Ramos opinaba también que, en la actualidad, “la IA puede eliminar ruido y dotar velocidad, pero siempre bajo la supervisión humana”.