Espacio TiSEC, tomó el pulso a una tendencia imparable que, si aún no se ha emprendido, “ya se hace tarde”, según los grandes expertos que participaron
La IA revoluciona los objetivos de observabilidad y la concepción de la ciberseguridad basada en plataforma
Con cerca de 400 asistentes, en formato presencial y en remoto, Espacio TiSEC congregó, el 17 y 18 de marzo, bajo el título ‘Plataformización, observabilidad e IA’, a grandes expertos en estos ámbitos. Durante dos jornadas se dieron a conocer los servicios, tecnologías e iniciativas más maduros en este ámbito, muchos de ellos en primicia. Una edición que contó con el apoyo de Alvarez&Marsal, Aiuken Cybersecurity, aizoON, CrowdStrike, Palo Alto Networks, V-Valley y Zynap. ¿La conclusión? Queda mucho por hacer, sobre todo, por la incertidumbre y riesgos que ha traído la IA.
La primera edición de Espacio TiSEC de 2026 reunió durante dos jornadas, el 17 y 18 de marzo, a lo más granado del sector, tanto del ámbito público como del privado, para poner en valor y debatir sobre los desafíos de dos tendencias imparables, como son la plataformización y la ampliación de observabilidad, con las capacidades (y también riesgos) que está introduciendo la IA como catalizadora de una mayor eficiencia, rapidez de respuesta y, también, ahorro de costes, factores determinantes en un momento en los que acometer estos retos, según los participantes, “es cuestión de supervivencia”, en un contexto de gran incertidumbre geopolítica, tecnológica y con una presión regulatoria nada desdeñable.
Caos frente a eficiencia
El director de Revista SIC, José de la Peña, fue el encargado de dar comienzo al encuentro para dar paso a un destacado profesional como es el cofundador de RootedCON, y consultor, Román Ramírez. En su intervención, bajo el título ‘Dark web en el campo de la observabilidad y la IA’, planteó que la corrupción y la evolución de muchos cibercriminales “es fruto de un proceso, no un tema de un día a otro".
Ramírez profundizó en la necesidad de conocer más a fondo qué pasa en la dark web y en los grupos criminales que están en ella. “Las empresas muchas veces venden que están al tanto y no es así: sólo están en el 1% de lo que hay”. Por eso, planteó “¿Todas las compañías tienen claro que la información que reciben viene de contar con observabilidad en los grupos criminales, de verdad?”. “Porque, si no tienes la información que manejan los criminales, te enfrentas al mito de Sísifo”, alertó destacando que “los proveedores no pueden tener peor información que el cliente”. Por eso pidió más ejercicios de responsabilidad y “mejorar la observabilidad en todo tipo de ámbitos, también en la Dark web”. “La IA de Anthropic, Claude, dice que la observabilidad permite investigar preguntas que no habías previsto. Esa es la clave: lo que había antes era simplemente una inventarización, vivíamos engañados pensando que teníamos visibilidad pero hay que ir más allá”. Terminó pidiendo más esfuerzo “para hacer frente a problemas nuevos y desconocidos, basándote en procesos bien hechos que permitan prepararse para lo que no sabes que va a ocurrir”. Además, planteó la necesidad de contar con un marco legislativo más flexible para obtener la información que, realmente, manejan los criminales y anticiparse.
Román Ramírez
¿Sueño o realidad?
Julio San José
A continuación, Julio San José, Managing Director de Alvarez & Marsal España profundizó en la ‘Creación y puesta en servicio de plataformas TIC empresariales con la ciberseguridad por diseño, ¿sueño o realidad?’. El experto comenzó recordando que no “estamos ante una evolución gradual sino ante una transformación fundamental de estado. Estas no son tendencias aisladas. Son hilos que se están entrelazando para crear un tejido completamente nuevo". Así mostró tres revoluciones convergentes como son la analítica avanzada e IA, la plataformizacion y la observabilidad y el actual 'tsunami regulatorio con normas como DORA, NIS2, AI Act o GDPR”.
Frente a ello planteó tres preguntas clave: ¿es posible diseñar y poner en servicio plataformas TIC empresariales con ciberseguridad por diseño?, ¿o es un sueño imposible, una utopía técnica?, ¿estamos condenados a elegir entre velocidad, seguridad o compliance, pero nunca las tres al mismo tiempo?, recordando que “la seguridad que se añade al final es seguridad que nunca funciona”.
Por ello, abogó por la revolución que supone la plataformización y la que conlleva la observabilidad, “que va más allá de la 'monitorización mejorada' y permite contar con cinco capacidades como son la respuesta automática, pasando de horas a minutos, una inteligencia continua, minimizando falsos positivos, prevención predictiva y resiliencia adaptativa, con una reconfiguración automática”. Además, mostró, paso a paso, cómo se diseña una plataforma TIC segura por diseño.
Asimismo, indicó que “la observabilidad para hacer un sistema inmune y la automatización, ya no es el futuro, es supervivencia operativa en 2026”, y mostró cómo acometer las CyberOps aumentadas, poniendo en valor que “ya contamos con tecnología para acometer estos retos que pasan por la plataformización la observabilidad, la IA y la automatización… que deben aplicarse hoy. Con frameworks probados, confianza cero, Security as Code y Compliance as Code”. Eso sí, también lamentó que esto “exige cambio cultural, tecnológico y metodológico”, porque “la seguridad por diseño no es un destino, es una disciplina continua”.
Una IA llamada Delfos
Le siguió, presentado por el editor de SIC, Luis Fernández, el fundador y CEO de Aiuken Solutions y miembro de la Junta Directiva del Grupo Allurity, Juan Miguel Velasco. En su intervención sobre ‘el impacto de los sistemas de IA en los MSSPs agnósticos y sus clientes’, comenzó destacando los tres pilares de la observabilidad: las métricas, los logs estructurados y los eventos necesarios -que son un tipo de datos más complejos-. En esta línea, explicó que la IA lo está cambiando todo y es "una herramienta imprescindible". Y la puso en valor como multiplicadora de capacidades. “Yo me paso las noches hablando con mis agentes de AI, curro yo, curran ellos… y me dedico a otras cosas pasando de multiplicarme por cinco a por 10”, resaltó. Además, recordó que en este ámbito “la clave son los prompts. En Aiuken tenemos una librería impresionante con los que realmente funcionan” y contar con el mejor sistema de IA. En nuestro caso lo hemos bautizado como ‘Delfos’, como el oráculo”. Asimismo, mostró su plataforma ‘Aiuken ASIP’ que cuenta con orquestación, agentes, IA, ciberseguridad, enriquecimiento continuo, datos estructurados”, entre otros, y permite anticiparte a las amenazas. Además, enseñó cómo han apostado por un dashboard que facilita, de un vistazo, ver la situación y tener claro que “los datos sin contexto aportan ruido”. “La observabilidad nos da el 'qué' y el 'dónde', la ciberseguridad nos da el 'por qué' y el 'riesgo': sólo juntas nos dan la verdad”, explicó a modo de conclusión, recordando que “la IA ya no es una ventaja competitiva, es supervivencia. Quien intente monitorizar y defender infraestructuras modernas solo con fuerza bruta humana, ya ha perdido la guerra”.
Juan Miguel Velasco
Por eso, pidió acometer un enfoque de “ciberseguridad como habilitador del negocio: dejemos de hablar de defender cables y firewalls. Monitoricemos y defendamos para que el negocio siga facturando, la reputación siga intacta y las operaciones no se detenga”.
Plataformas y tecnologías
A continuación, se dio paso a las propuestas de cuatro compañías referentes en este ámbito. El primero, en subir al estrado fue Rafael Ortega, director general de AizoOn España, una compañía de origen italiano que aterrizó recientemente en nuestro país y que está en fase de expansión, reflejando su apuesta por este mercado, y en la que la ciberseguridad juega un papel clave, contando con producto propio y una propuesta que gira en torno a un modelo de análisis y gestión continua del riesgo.
En este contexto, Ortega destacó uno de los productos clave de la compañía, ESRA. Se trata de “una plataforma integrada y automatizada, basada en datos y aprendizaje de máquina para tener un nivel de riesgo, cerca del real time, de cómo está mi organización”. La solución cuantifica el riesgo, presenta los datos y la organización en un modelo de gemelo digital y hace una “película continua” de cómo está variando el nivel de riesgo, facilitando la toma de decisiones. Entre sus capacidades destacan también la simulación de remediaciones, la identificación del impacto de vulnerabilidades y la comprensión de la propagación de amenazas, entre otros aspectos destacados, permitiendo responder a cuestiones clave sobre el estado real de la organización y saber dónde actuar. En definitiva, “cierra la brecha entre el análisis estático y la monitorización continua”, subrayó.
Rafael Ortega
La propuesta incorpora además automatización en la gestión del riesgo. Todo ello apoyado en dos elementos clave: el análisis de impacto y un inventario completo con un módulo de descubrimiento que tiene el propio producto, que permiten avanzar hacia una gestión más ágil y precisa.
Junto a todo ello, Ortega explicó que, además, la solución ofrece un nivel de madurez normativo, y se complementa con COSMO (Compliance System Monitoring), una herramienta orientada a la gobernanza, el cumplimiento y la auditoría. “No es solamente un GRC, sino también es un ERP, porque te permite medir y te permite tener todo unificado en un único punto, incluso la documentación y los workflows”, comentó.
Dato vs información
Le siguió Álvaro García, Ingeniero de Sistemas Senior de CrowdStrike, quien explicó al detalle qué se entiende por observabilidad y destacó en la necesidad de replantear el enfoque en un contexto donde la gestión del dato se ha convertido en un elemento estratégico. Desde una aproximación directa y basada en su experiencia con clientes, señaló que, en la actualidad, “hablamos en un 90% de tecnología”, pero apenas se profundiza en el propósito real del dato dentro de la organización, es decir, “qué datos tenéis, para qué los tienes, quién va a usarlos…”, resaltó.
En este sentido, subrayó que “la parte tecnológica no tiene que ser una finalidad en sí misma, sino el vehículo”, alertando, además, del riesgo de reducir la conversación a una cuestión meramente de eficiencia económica. Frente a ello, puso de relieve que la observabilidad es una necesidad estratégica en un contexto de crecimiento exponencial del dato, “hay un crecimiento anual del 23% de datos en las empresas y hay que discernir”, poniendo en valor la necesidad de saber diferenciar entre información y datos: “el primero es algo no contextualizado y la información es lo que necesitamos”.
Para abordar este reto, planteó la adopción de una capa de observabilidad capaz de integrar, clasificar y transformar los datos, incorporando conceptos como la telemetría sintetizada, con una combinación de diferentes fuentes.
Finalmente, presentó la capa de observabilidad como un elemento clave, capaz de generar flujos con formatos diferentes según qué profesional dentro de la empresa los vaya a requerir. El experto explicó que los datos críticos se destinan, por ejemplo, a SOCs y SIEMs, mientras que otros pueden ser de respaldo, con menor prioridad y coste. Finalmente, resaltó la importancia de definir quién consumirá los datos y cómo, y que “lamentablemente no existe un manual, un modelo ‘universal’, sino que es algo propio de cada empresa”.
Álvaro García
Transformación del SOC
Pablo Estevan
Seguidamente, en su intervención bajo el título ‘Del caos a la consolidación: ¡ojo al dato en el SOC!’, Pablo Estevan, Solutions Consulting Manager en Palo Alto Networks, contextualizó el impacto de la IA y la aceleración de los ataques “qué son cuatro veces más rápidos, con escaneos de CVE que se hacen en 15 minutos”, señaló, entre otros datos.
El experto resaltó la necesidad de transformar el SOC tradicional superando arquitecturas fragmentadas y procesos en silos. En este sentido, “hablamos de tener todos los datos posibles, así como IA para ayudar a analizar todo y automatización para una respuesta en tiempo de máquina”, indicó. El resultado es una solución como Cortex XSIAM, una plataforma de datos abierta que mejora la detección y la automatización con cuatro veces menos de trabajo y más de 1.100 integraciones nativas, entre otras características, integrada sin esfuerzo en un data lake extensible (Cortex XDL).
Dentro de este contexto, Estevan subrayó el papel clave que adquiere la parte de observabilidad que la compañía ha obtenido gracias a la compra de Chronosphere, cuya solución ya está integrada de forma nativa con Cortex XSIAM. La tecnología de Chronosphere, entre otras, permite escalar la gestión del dato donde otras soluciones similares se quedaban cortas, proporcionando un único plano de control, una única interfaz para gestionar cientos de colectores. Recoge datos de la nube, de Kubernetes, de sistemas on-premise, etc., y los filtra, los normaliza, los enriquece y, lo más importante, los enruta de forma inteligente. Así pues, una de las claves de esta arquitectura de tres capas es que el control se ejerce en el origen. Además, explicó que las ventajas de controlar el dato también permiten eficiencia y el cumplimiento normativo.
En conjunto, la propuesta pone el foco en la gestión inteligente del dato como elemento central para la ciberseguridad moderna. “El dato es la parte importante y necesitamos controlarlo”, concluyó Estevan, incidiendo en la necesidad de combinar observabilidad, plataformización e IA para construir SOCs más eficientes, automatizados y preparados para un entorno de amenazas dinámico.
Servicios proactivos
Posteriormente, Dámaso Ramos, Business Unit Manager Cybersecurity Services de V-Valley, del Grupo Esprinet, destacó la apuesta sostenida de su compañía por la ciberseguridad, desde 2018, con un enfoque claro hacia un modelo de servicios gestionados (MSSP) y el desarrollo de una propuesta capaz de conectar fabricantes, partners y servicios: Lidera Cloud. Se trata de una plataforma concebida como eje integrador de su oferta, facilitando tanto la adopción tecnológica como la prestación de servicios asociados. “La presentamos como un conjunto de servicios que los partners pueden llevar a sus clientes, y que debajo hay una serie de marcas que dan cobertura a cada uno de esos servicios”, destacó.
Lidera Cloud se presenta así como una propuesta integral de ciberseguridad, con un modelo completamente automatizado para fabricantes y un acceso guiado para partners, facilitando su onboarding y operación, además de ofrecer apoyo a través de servicios postventa. En cuanto a los pilares de la plataforma, Ramos explicó que se apoya en un modelo flexible, con alta gratuita, modelo pay as you go sin permanencia, soporte 12x7, formación continua y crecimiento de márgenes en función del volumen, entre otros. Además, permite a los partners ampliar su alcance y acceder a nuevos mercados mediante una oferta estructurada en tres niveles: Básico, Avanzado y Premium.
Dámaso Ramos
En cuanto su evolución, la compañía está avanzando hacia servicios más proactivos, como un MDR orientado a “ayudar a los clientes a entender los datos que tienen en sus organizaciones y ayudar en la detección y respuesta, con monitorización continua, protección empresarial, así como cumplimiento”. Además, adelantó que también se trabaja “en un nuevo servicio, un WAF gestionado”, basado en la automatización sobre tecnología de Cloudflare. El directivo terminó recordando que todo ello se complementa con servicios tradicionales de implementación, soporte y formación, reforzando una oferta end to end alineada con las necesidades del mercado.
Si no es información, es ruido
Como colofón a este bloque, Daniel Solís, CEO de Zynap, subió al estrado para abordar los retos actuales en un entorno marcado por la fragmentación tecnológica, la saturación de alertas y la creciente sofisticación de los atacantes. En su análisis también puso el foco en el papel de la IA y la observabilidad “más allá de la monitorización y con el dato como epicentro”, destacó, como habilitadores claves. “Es muy importante extraer los datos, enriquecerlos y dar contexto alrededor”, puntualizó, además de señalar que “la IA, de momento, no va a reemplazar personas, sino que las va a empoderar”. Además, matizó que “somos una empresa de ciberseguridad que utiliza la IA, pero no una empresa de IA y ofrecemos una plataforma de nueva generación, preventiva, unificadora, automatizadora y anticipativa”.
Además, defendió el contexto como elemento diferencial -“el contexto es el rey”-, pero “hay que saber cómo dar contexto a esos datos y cómo utilizarlo para tener modelos predictivos”-. En este sentido, destacó la importancia de los datos y su análisis, ya que “si no es información, es ruido”.
Daniel Solís
Sobre esta base, Solís destacó uno de sus valores diferenciales y es la capacidad de “integrar información de distintos fabricantes, correlacionarla y utilizarla para dar contexto sobre todo el stack tecnológico mediante nuestra tecnología”, con la ayuda de la IA. Este enfoque permite automatizar procesos, reducir falsos positivos y mejorar la gestión del triaje, así como avanzar hacia capacidades preventivas de vulnerabilidades, entre otros. Además, destacó como otra diferencia competitiva que “somos una compañía con base de threat intelligence”, a través de su Zynia Labs, con inteligencia propia desde la dark web, foros underground y actores de amenazas y sandbox de malware propietario, entre otros. Y puso en valor también la integración del cumplimiento normativo.
Finalmente, insistió en que el modelo tradicional de detect and respond “está muriendo, ya que va a ser estático y poco dinámico”, y que “es necesario evolucionar hacia la prevención", además de apostar por la automatización, pero con contexto. La clave, dijo, es “conocer al enemigo y aplicar tecnología con sentido común”.
Segunda jornada
Francisco Pérez Bes
El segundo día comenzó presentado por el director de Revista SIC, José de la Peña, con la intervención del Adjunto de la Agencia Española de Protección de Datos, Francisco Pérez Bes, quién habló sobre ‘El DPD y el CISO ante el ajuste permanente entre la privacidad y la ciberseguridad: IA, observabilidad y la analítica de datos’. En su ponencia recordó que la NIS2 no tiene una figura concreta sobre la función del CISO, pero sí viene regulado el Delegado de Protección de Datos por el Reglamento de Protección de Datos (artículo 39), indicándose qué tipo de empresas tienen la obligación de contar con este perfil, que tiene que tener “independencia, autonomía y no estar sujeto a los resultados del negocio, además de reportar al más alto nivel ejecutivo”. Igualmente dijo que “es muy desaconsejable” que “el rol de la alta dirección, el CISO y el CDO, también el que lleva el canal del denunciante, sean la misma persona ya que esto no garantiza la independencia de este tipo de profesionales”. “Las empresas deben apostar por un DPD independiente, específicamente dedicado, para garantizar la calidad de su trabajo”.
Bes también puso en valor que el DPD debe trabajar “con el CISO, para realizar las evaluaciones de impacto en brechas de seguridad de la información. “Aunque el responsable de la decisión final no debe ser el DPD, siempre el responsable del tratamiento es quien toma la decisión final y si no está en la línea de lo que piensa el DPD debe justificarlo”. En cuanto al papel del CISO, Bes explicó que “debe garantizar que la empresa tiene la necesaria ciberseguridad para proteger su información y, cuando se trate de privacidad, tendrá que trabajar con el DPD."
No faltó en su exposición un repaso a incidentes que se han producido por fallos de seguridad relacionados con el uso de IA, “un ámbito en el que animó a CISOs y DPDs a trabajar juntos, cada uno con su responsabilidad, pero asumiendo competencias y de forma alineadas”.
Caja negra
José Francisco Pereiro
Le siguió, presentado por Luis Fernández, un profesional con amplia experiencia como José Francisco Pereiro, DPO Cash Management and Trade Finance de BNP Paribas que impartió una ponencia sobre ‘El reto de ir cumpliendo con el RGPD ante el aumento del campo de visión TIC y la analítica asistida por IA y hacia la IA’. “Nos viene encima la IA y nos gustará o no pero hay que trabajar con ella”, dijo a la vez que recalcó que “las tecnologías, la IA son un tratamiento de datos y tienen que hacerse conforme a la Ley. No es un tema trivial porque la IA es ‘una caja negra’. Eso sí, también es una buena herramienta para que el DPO cumpla su misión”.
En su intervención, explicó que la IA conlleva una “actividad de tratamiento” y “debe cumplir con principios de la protección de datos como la finalidad, la minimización, el derecho al olvido, la transparencia”. “No se puede admitir que haga cosas que no entiendes, porque la Ley te exige que puedas explicar cómo has realizado un tratamiento de datos y eso no está en concordancia”, lo que constituye un reto porque “la IA alucina y bastante. Yo he tenido muchos casos en los que se inventa artículos normativos y es un problema porque los seres humanos tomamos como verdaderos cualquier afirmación que supuestamente viene con datos”.
También, puso en valor cosas buenas que trae la IA como “la posibilidad de anonimizar mejor en muchos entornos en datos de producción y lo puedes hacer al momento, sin necesidad de un científico de datos” o lo que aporta “en la gestión de derechos como la portabilidad”.“ El problema es que la conjunción de pros y contras de la IA aplicada a la privacidad también hace que se precisen equipos muy especializados, tanto para la labor del CISO como para la del DPO”, aconsejando crear una práctica de ingenieros de privacidad que tienda puentes entre los profesionales de protección de datos y las áreas IT y Ciber, además de acometer la preparación de casos de uso soportados con datos sintéticos para la detección de incumplimiento de protección de datos.
Observabilidad contextual
César Tascón
A continuación, Cesar Tascón, Socio en el área de Ciberseguridad de PwC España profundizó en ‘La creación de centros de servicio con observabilidad avanzada y la IAM (humana, de máquinas y de agentes) integrada por diseño’. Comenzó explicando que para la consultora la “observabilidad es la capacidad para entender lo que está ocurriendo en un entorno” que no es un concepto tan sencillo “porque los entornos cada vez son más complejos y explicar cuando todo funciona bien es fácil pero cuando empieza a distar de lo esperado la cosa se complica bastante”.
En su disertación habló de “realidades incómodas” que se viven como cuando se sufre un incidente, el hecho de que “dediques a la identificación y correlación un 80% y un 20% en la actuación… eso lleva a improvisar”. Además, destacó que “la complejidad de nuestros sistemas ya supera nuestra capacidad para entenderlos. Y el gran problema es que lo que no puede entender no se puede explicar”. “El problema real de todo esto es que la complejidad del entorno se suma a que todo es superdinámico”. Frente a ello, planteó que la observabilidad tiene que facilitar el “tener las respuestas más obvias y luego ir escalando a lo más complejo”.
“Nosotros en PwC lo que introducimos es un concepto distinto, que es la observabilidad contextual, que tiene que ser el principal objetivo y tiene tres íes: intención, identidad e impacto”. Esto facilita “los equipos llegar al nivel optimizado de madurez”.
Terminó aconsejando ver el día a día como “un camino de evolución, con observabilidad contextual y óptima. El centro de servicio estratégico del futuro, ya sea interno o externo, pasa por ver el sistema completo, identificar quien actúa, tener una estrategia clara, modelar las operaciones y conectar actores, acciones y consecuencias”, destacó añadiendo que “a causa de la IA, hay un paso más que hay que dar, impulsado por la era de los agentes autónomos que te obliga a tener claro quién lo desencadenó, para entender la intencionalidad, trazar la identidad y medir el impacto de qué cambio y a quién afecta”, concluyó.
El SOC de la AGE
A continuación, comenzó el bloque de ‘Modelos y experiencias’, que abrieron Miguel Ángel Perchín, adjunto al Jefe del Departamento de Planificación de la Ciberseguridad de la Agencia Estatal de Administración Digital (AEAD) y Pablo, especialista del Centro de Operaciones de Ciberprotección del CCN con una ponencia sobre ‘El enfoque del SOC de la Administración General del Estado (AGE)’. Perchín comenzó explicando las funciones de dicho SOC que da servicio, protección, detección, respuesta, asesoría y gestión a 132 entidades de la Administración, con más de 200.000 usuarios, 4.000 IOCs compartidos con la Red nacional de SOC (RNSI) y 200.000 agentes EDR monitorizados.
En este sentido, planteó los retos y riesgos que ha supuesto poner en marcha este centro “con una complejidad altísima, multitud de actores y de culturas que tienen que confiar los unos en los otros”. Un reto que se ha llevado con éxito aportando “una visión de conjunto de la situación de la ciberseguridad de la AGE, mejorando notablemente su madurez, con más capacidad de coordinación, eficiencia en gastos, mayor concienciación ante amenazas y fomentando un uso seguro de los sistemas”.
Miguel Ángel Perchín
Por su parte, Pablo destacó que “todo este proyecto ha conllevado ‘sangre’, inventando muchos procesos y muchas formas de trabajar para homogeneizar y poner de acuerdo a 132 entidades, muchas de ellas ministerios, con muchos niveles de ciberprotección, diferentes enfoques, etc.”. “Ha costado mucho, pero actualmente no hay nada que se pueda comparar a él en todo el mundo”, poniendo en valor que, sólo en el último año, se han detenido 240 ataques con ransomware, además de gestionar 1.100 incidentes, y ofrecer 150 informes de asesoría para que las entidades mejoren notablemente”. “Estamos madurando mucho y muy rápido, aunque sea un ecosistema complejo y ya estamos en un nivel de madurez medio alto”, concluyeron recordando que el proyecto, “ya ha sido certificado, por Leet Security, en el ENS en categoría Alta.
CCIC de Madrid Digital
A continuación, Espacio TiSEC tuvo el honor de contar también con uno de los profesionales de TIC que menos se prodiga en estos ámbitos: Luis Gómez, subdirector general de Operaciones de Madrid Digital. En su intervención, mostró ‘El enfoque del Centro de Control de Infraestructuras Críticas Digitales en la Comunidad de Madrid. AIOPS en acción de la teoría a la planificación’. Comenzó recordando que las “administraciones públicas nos hemos convertido en infraestructuras digitales y lo que nos obliga a anticipar amenazas”. Ello se ha cristalizado en la puesta en marcha del Centro de Control de Infraestructuras Críticas (CCIC), que “se ha concebido para reforzar y garantizar la continuidad, la seguridad y la calidad de los servicios digitales que la Comunidad”.
Un ámbito en el que se partió de considerar que “la monitorización clásica no basta, que se precisa más contexto y correlación”. Así se han apostado por cuatro casos de uso concretos: detección temprana de incidencias, autorremediaciones coordinadas desde el CCIC, correlación automática entre aplicación e infraestructura, y observabilidad de seguridad integrada en el ciclo de vida”.
Luis Gómez
Además, destacó que el concepto de “AIOps supone una transformación operativa del CCIC mediante IA aplicada, agentes cognitivos y AIOPS predictivo", a través de un proyecto “que incorpora capacidades de IA que refuerzan la disponibilidad y resiliencia de los servicios digitales y permite anticipar incidentes, automatizar procesos operativos y apoyar la toma de decisiones mediante datos contextualizados para mejorar la eficiencia y la calidad del servicio. Así se cuenta ya con un modelo de dependencias de negocio-IT, un mapa vivo de relaciones entre componentes tecnológicos y servicios de negocio, un agente cognitivo de operación, así como un ‘agente ejecutivo’, que permite traducir el lenguaje técnico al que entienden los directivos. sobre el impacto de incidentes”. Aspectos que desarrolló para los asistentes de Espacio TiSEC y que generó gran interés. “La complejidad actual exige cambiar el modelo operativo tradicional, alinear la tecnología, operación y negocio bajo una visión común y contar con una observabilidad integrada con IA, como habilitador estratégico”, concluyó.
ALS Group
Iván Sánchez
Finalizaron las intervenciones de la segunda jornada con la de Iván Sánchez, CISO Corporativo de la multinacional ALS Group, que mostró su camino recorrido y los retos de la plataformización en una compañía que apuesta por ella. Así, explicó que “el modelo operativo de una organización es un reflejo directo del de negocio y la cultura organizacional”. Destacó la evolución acometida en un gran grupo como ALS, a través de lo que se denominó OneALS, apostando por “un cambio en el modelo de negocio, más global e integrado entre sí, buscando y generando eficiencias operativas, financieras y de control” y con un “liderazgo decidido y cambio de mentalidad”.
También planteó que “un modelo de plataforma de ciberseguridad supone concentrar funciones esenciales de gobierno, protección, detección y respuesta en una o pocas plataformas integradas con consola unificada, datos compartidos y políticas comunes y elementos como EDR/XDR, CASB, IAM, gestión de vulnerabilidades, seguridad cloud, etc.”, además de recordar que “la complejidad es el peor enemigo de la seguridad”.
Así, se apostó por un plan en seis fases para la consolidación de herramientas, con un horizonte temporal de 18 a 24 meses para los dominios core.
Finalizó su exposición con las ventajas de la plataformización para reducir los puntos ciegos, ganar en velocidad de respuesta, eliminar silos, reduciendo la complejidad y, también, ganando eficiencia de costes y mejor gobierno y cumplimiento, además de consolidar proveedores y licencias”.
Eso sí, también detalló ‘los contras’ que supone esta evolución, ya que el cambio a un modelo de plataforma no es únicamente una transformación tecnológica, sino de paradigma de operación y organizativa, como todo proceso de transformación”. Su conclusión es que “el éxito de apostar por este concepto depende “de una buena gobernanza, diseño de casos de uso y madurez del equipo para explotar automatización e IA”.
DEBATE
La resistencia al cambio para ampliar observabilidad y construir plataformas
Rafael Ortega (AizoOn), Álvaro García (CrowdStrike), Pablo Estevan (Palo Alto Networks), Dámaso Ramos (V-Valley) y Daniel Solís (Zynap)
El primer día del encuentro terminó con un debate, moderado por el redactor de SIC, José Manuel Vera, que contó con los participantes del último módulo del día: Rafael Ortega (AizoOn), Álvaro García (CrowdStrike), Pablo Estevan (Palo Alto Networks), Dámaso Ramos (V-Valley) y Daniel Solís (Zynap).
El debate comenzó con una pregunta sobre lo que se está haciendo mal en el ámbito de la observabilidad y la plataformización por parte de las empresas, a lo que varios contestaron que “más que hacerse mal, se está yendo más lento que los adversarios”, y “tampoco se está alineado con la realidad de la empresa”. También indicaron que otro de los grandes problemas es “la resistencia al cambio”, ya que “la seguridad es asimétrica y tenemos que aprovechar todas las herramientas y energía que tenemos”. Además, se puso sobre la mesa la regulación, con la que “hay que cambiar la mentalidad como algo intrínseco y no como un castigo”. El impacto de la IA, como es lógico, no faltó en el debate y los participantes destacaron que, a pesar de su vigencia, la gran mayoría de los ciberincidentes se producen por fallos o vulnerabilidades conocidas. Así, se puso como ejemplo, la suplantación de la identidad y los incidentes por la cadena de suministro. “En ciberseguridad, necesitamos precisión y detectar esos ataques desconocidos, y pillar las anomalías e indicadores, los elementos que nos permiten detectar que un ataque se está produciendo. Y conseguir que la fidelidad sea la máxima”, comentaron.
Para terminar, se pidió a los ponentes que en una frase resumieran un consejo para los CISO, para que apuesten por la plataformización, la observabilidad y la IA. Solís consideró que “si no se ha apostado ya… se llega tarde”. Ramos se mostró en la misma línea ya que “debería estar ya implementado en las organizaciones a día de hoy”. Por su parte, Estevan comentó que es mejor ahora que mañana y “para ayudar con ello estamos”. Ortega resaltó que “si apuestan por una seguridad preventiva necesitan ERSA, así como si quieres tener compliance, etc.”. Por último, García indicó que la clave es “saber para qué estás haciendo las cosas y tener una estrategia de a más de una semana vista”.
DEBATE
La necesidad de transformar la ciberprotección y de hacer licitaciones con mayor presencia española
Miguel A. Perchín, de la AEAD, Pablo del CCN, Luis Gómez, de Madrid Digital e Ivan Sánchez, de ALS Group
Como colofón a esta edición de Espacio TiSEC, se contó con Miguel A. Perchín, de la AEAD, Pablo del CCN, Luis Gómez, de Madrid Digital e Ivan Sánchez, de ALS Group que debatieron sobre lo presentado y cómo mejorar en este ámbito, moderados por el director de Revista SIC, José de la Peña.
Todos destacaron la madurez de los proyectos presentados y los retos que supone apostar por la plataformización, aunque sus beneficios son mucho mayores para hacer frente la “actual complejidad” destacó el representante del CCN quién, también, recordó que actualmente se está desarrollando, tras conseguir poner en marcha el “SOC de la AGE, el SOC de entidades locales”. “El problema es que todo evoluciona muy rápido y tienes que hacer mucho esfuerzo para no quedarte atrás y sacar partido a lo que tienes”, añadió Perchín. Todos los que trabajan en el ámbito público lamentaron que, a pesar de lo hecho, “se trabaja con un presupuesto limitado y hace falta más inversión para contar con más capacidades”.
Además, Sánchez puso el foco en el riesgo que supone la cadena de suministro y contar, como es el caso de ALS Group, presente en 70 países y 450 emplazamientos, con proveedores locales con un nivel de ciberprotección muy diverso. “Tenemos un nivel de ciberseguridad… hasta un punto, bueno, pero uno concreto… y ello supone que ante algunos incidentes se produzcan verdaderos dramas”. Gómez añadió como reto hacer las evoluciones y mejoras, en el caso de la administración digital madrileña, “sin parar de ofrecer servicio”. “En cierto modo somos como un avión muy grande en vuelo que tiene que cambiar todo sin aterrizar, lo que supone, más allá de la inversión, un gran reto humano y de tecnología”.
También, se debatió sobre la necesidad de apostar más por ciberseguridad española y europea, algo sobre lo que todos destacaron que “es deseable, pero legalmente no se puede imponer con la actual ley de contratación, que no tiene en cuenta el origen de las empresas”. Eso sí, todos resaltaron que hay “muchos elementos de mejora”.