Este artículo está basado en las intervenciones que tuvieron lugar durante el último encuentro del Programa Quest, que se llevó a cabo el pasado miércoles 10 de abril de 2024 en Madrid. Durante este encuentro, con la Ciberseguridad como temática, más de 100 líderes digitales tuvieron la oportunidad de explorar cómo desarrollar una visión crítica, una comprensión profunda y obtener aprendizajes enriquecedores sobre los mayores desafíos de ciberseguridad a los que se enfrentan las organizaciones hoy en día, cómo construir una estrategia de ciberseguridad sólida y segura, el papel crucial de la IA y el ML en la mejora de la ciberseguridad y cómo promover una cultura de seguridad informada y educativa dentro de las organizaciones. El encuentro se desarrolló en el espacio Co-Studio de Prosegur, gracias a la colaboración imprescindible de Cipher como anfitrión y co-organizador.

Securing the Digital Frontier: Cybersecurity and Risk Management for Tomorrow’s Challenges

IA aplicada al SOC

Jorge González de León, VP EMEA en Cipher, enfatizó la necesidad de que el CEO participe activamente en la transformación digital y empresarial. Destacó que el CEO de CE Consulting, Luis Martín Lara, posee un amplio conocimiento de las operaciones internas y comprende la importancia crítica de la ciberseguridad para el desarrollo sostenible de la empresa. Por su parte, Luis resaltó el impacto vital de la ciberseguridad en una organización como CE Consulting, donde la gestión y protección de datos sensibles de los clientes, particularmente de pequeñas y medianas empresas (PYMES), implica una gran responsabilidad.

CE Consulting en cifras

• 35 años en el sector
  
• 29 oficinas
  
• +470 profesionales
  
• +21M en facturación en 2023
  
• +14k clientes en 2023
  
• +500k nóminas
  

Retos

• Custodia y tratamiento de datos: Manejo integral de los datos de clientes, que en su mayoría son sensibles y confidenciales. Estos datos son esenciales en el proceso que asegura que las PYMES logren una gestión administrativa efectiva.
  
• Transformación y gestión mediante ERP: Los datos crudos son procesados utilizando sistemas ERP profesionales, convirtiéndolos en registros contables, gestión de nóminas, declaraciones fiscales, entre otros.
  
• Securización de las infraestructuras: Los sistemas ERP están alojados en infraestructuras seguras que garantizan su disponibilidad, integridad y confidencialidad.
  
• Detección y protección: Las infraestructuras están auditadas y equipadas con protecciones avanzadas contra vulnerabilidades, ataques o incidentes cibernéticos.
  
• Continuidad del negocio: Incidentes adversos pueden tener consecuencias significativas en la reputación, continuidad operativa y rentabilidad de la empresa, afectando también la satisfacción y lealtad de los clientes.
  
• Concienciación y formación: Fomento de medidas preventivas contra incidentes que pueden originarse de fuentes externas o internas, con potencial de afectar cualquier punto de acceso en la organización.
  

Soluciones implementadas

• Infraestructura Cloud: elección de una infraestructura de alojamiento de los ERP en la nube, que ofrece mayor escalabilidad, flexibilidad y seguridad que una infraestructura propia.
  
• Auditoría: contratación de un servicio de auditoría externa que verifica periódicamente el cumplimiento de las normas y los estándares de seguridad en la nube.
  
• EDR: implementación de un EDR (Endpoint Detection and Response) que monitoriza y registra todos los eventos que ocurren en los endpoints, y que alerta de posibles anomalías o comportamientos sospechosos.
  
• SOC: Contratación de un SOC (Security Operations Center) que analiza con inteligencia artificial los eventos del
  EDR, y que ofrece una respuesta rápida y eficaz ante cualquier incidente cibernético.
  
• Formación: Impartición de formación continua al equipo humano, para concienciar de la importancia de la ciberseguridad y de las buenas prácticas para evitar descuidos o errores que puedan facilitar los ataques cibernéticos.
  

Beneficios obtenidos

• Mayor seguridad de los datos: Se ha fortalecido la protección de los datos de los clientes, asegurando el cumplimiento de las normativas vigentes y superando las expectativas de calidad y confianza.
  
• Mejor experiencia del empleado: La apuesta por la flexibilidad y el trabajo a distancia ha mejorado significativamente la experiencia del equipo, proporcionando accesos seguros a los entornos de trabajo y fomentando un ambiente laboral más adaptable.
  
• Optimización del rendimiento: Se ha mejorado la eficiencia de los sistemas ERP, lo que se traduce en un aumento de la productividad y competitividad de la empresa, optimizando procesos y resultados.
  
• Minimización del riesgo: Las estrategias proactivas han reducido significativamente los riesgos de ataques o incidentes cibernéticos, minimizando así el impacto negativo en la reputación, continuidad y rentabilidad de la empresa.
  
• Satisfacción del cliente: Se ha logrado incrementar la satisfacción y fidelidad de los clientes a través de un servicio seguro, profesional y de alta calidad, fortaleciendo las relaciones comerciales.
  
• Certificación ISO 27001: El compromiso con la seguridad de la información ha sido reconocido mediante la obtención de la certificación ISO 27001, validando las prácticas y procesos de seguridad implementados.
  

Del SOC tradicional el SOC basado en AI

La plataforma xMDR ofrece un incremento significativo en la visibilidad, con una mejora de hasta cinco veces más que antes. Además, proporciona un servicio dedicado 24/7 enfocado en atender incidencias de manera proactiva, en lugar de limitarse a analizarlas. Cabe destacar que el despliegue del servicio de producción se completó exitosamente en apenas 20 días.

La importancia de GenAI en el SOC

Perspectivas críticas

• Según un estudio realizado por Gartner más del 50% de los proveedores de seguridad entrevistados han estado utilizando IA basada en ML, supervisada para mejorar sus capacidades de detección de amenazas. 
  
• Más del 80% de los proveedores de seguridad están activamente desarrollando o tienen planes de integrar LLMs en sus plataformas de seguridad.
  
• Las capacidades de IA han suscitado preocupaciones sobre la exposición de datos de clientes, la corrección del contenido generado por IA y el impacto en las acciones de remediación.
  
• El uso de IA por parte de agentes maliciosos está acelerando sus capacidades de ataques y está obligando a los líderes de productos de seguridad a implementar capacidades de IA para responder con capacidades TDIR mejoradas.
  

Recomendaciones para líderes de producto

• Incluir modelos de IA que puedan aprender eficazmente de grandes conjuntos de datos y estén entrenados para detectar métodos de ataque avanzados.
  
• Desarrollar un plan para cómo utilizar GenAI para ayudar a los clientes con su clasificación de amenazas, investigación y respuesta.
  
• Planificar el uso  de GenAI en políticas comprobadas para asegurar que las salidas no expongan datos sensibles y que las acciones recomendadas por la IA sean validadas por expertos humanos.
  
• Determinar qué áreas del proceso TDIR requieren la integración más inmediata de IA para combatir la adopción de IA por parte de los actores de amenazas.
  

Los clientes a menudo dedican más tiempo a clasificar amenazas e investigar alertas que a responder o buscar amenazas y mejorar procesos. También invierten tiempo investigando alertas que más tarde resultan ser falsos positivos. Gartner predice que para el año 2026, el proceso de clasificación de alertas será casi enteramente procesado por máquinas bajo supervisión humana.

Visibilidad del dato

Cipher proporciona un cuadro de mando que de una manera rápida, sin tener que ahondar en los datos, dice lo que está ocurriendo. Con este Dashboard, la dirección tiene al alcance de la mano respuesta a preguntas fundamentales:

• ¿Cómo de apetecible soy para los atacantes? Basado en el perfilado de la compañía y las campañas indica cómo de preocupado se debe estar.
  
• ¿Estoy viendo lo que están haciendo los atacantes en mi organización? Refleja el match entre las reglas desplegadas en la organización y versus los TTPs de los atacantes, reglas que se disparan, generación de investigaciones…
  
• ¿Cómo estoy de protegido con mis tecnologías? Analizando las campañas versus la cobertura de reglas usando MITRE y el despliegue de estas reglas en las tecnologías del cliente.
  
  

La ciberseguridad en la transformación digital

Carlos Asún, CISO en Food Delivery Brands, y Acacio Martín, VP Sales Iberia en Fortinet, comenzaron destacando la relevancia de la figura del CISO en un contexto como el actual en el que la ciberseguridad es un aspecto clave para las organizaciones.

Qué es Food Delivery Brands

• Sus marcas: Telepizza, Pizza Hut, Jeno’s Pizza y Apache Pizza
  
• 7 países
  
• 1800 tiendas
  
• 3 fábricas
  
• 500 millones de euros de facturación
  
• 350 millones de euros en mercado potencial
  
• 25000 empleados
  
• 100 millones de unidades al año
  

La transformación digital de Food Delivery Brands y sus retos

• Transformación digital con ciberseguridad
  
• Fabricantes de confianza
  
• Proveedores experimentados
  

Su transformación digital comenzó hace 6 años con retos de sistemas muy críticos. Necesitaban mejorar sistemas muy importantes de la organización que llevaban muchos años utilizando. Se trataba de un proceso que debía ser muy cuidadoso y con la ciberseguridad como elemento fundamental. El primer reto consistía en poner la capa de seguridad sin parar la producción ni las operaciones. Necesitaban proveedores flexibles, con entendimiento de negocio y que conocieran los niveles de criticidad de la organización con la que estaban trabajando.

El abordaje de su estrategia de ciberseguridad
 
La estrategia de ciberseguridad de FDB comienza con un plan de seguridad. Para llevar a cabo este plan, es necesario seguir los siguientes pasos: tener claro en qué situación se encuentra la organización, qué demanda la misma, la alineación con la estrategia general de la organización (realizar un análisis de riesgos), definir los proyectos e iniciativas en base al análisis de riesgos, clasificar y priorizar los proyectos a realizar, aprobar el plan director de seguridad y su puesta en marcha. 

Una vez aprobado el plan director de seguridad, se establece un plan de proyectos que incluye una serie de herramientas con diversos fabricantes y proveedores: Virtual Patching, Seguridad 0365, Protección 0365, NAC, PAM, MDM, FIM, AV-EDR-MDR, DEV-CODE Security…

Con Fortinet, están trabajando en tres proyectos con las siguientes herramientas de seguridad:

• SIEM
• Firewalls NG
• WAF

Proyecto SIEM

Las necesidades para este proyecto eran tener visibilidad, monitorización y alertado de comportamientos maliciosos. El proceso comenzó primero con la elección del fabricante, y una vez elegido este, se elige el proveedor para así minimizar posibles riesgos que puede atraer la elección en primer lugar del proveedor. Una vez elegido Fortinet, implementaron el SIEM con las herramientas involucradas en su transformación digital y con otras del propio entorno de tecnología.

Proyecto SD-WAN

A nivel de infraestructura, desarrollan el Proyecto SD-WAN, que planteaba la necesidad de una mejor comunicación global entre sedes y una mayor seguridad. Al principio del proyecto, contaban con una infraestructura de MPLS conformada por los Datacenters, las tiendas, oficinas y fábricas en los diferentes países. Esta infraestructura planteaba algunos contras (costes elevados y comunicación complicada) y optaron por la tecnología SD-WAN. Las ventajas de este proyecto en comparación con las que ofrecía la MPLS son superiores. Con SD-WAN la organización tiene sus oficinas distribuidas por los diferentes países con los dispositivos Core colocados en los lugares estratégicos para una buena comunicación y seguridad y solo hace falta que cada sede tenga su propio dispositivo SD-WAN. Solamente hay que implantar los requisitos y políticas de seguridad que quieres desplegar en todas tus sedes a nivel global y en minutos está operativo. 

Proyecto Web Application Firewall (WAF)

Este es un proyecto con un sistema muy crítico, encargado de la facturación de 200 millones de euros anuales. La planificación de este proyecto es recomendable que no tenga fecha límite para que los resultados no se vean alterados como consecuencia de la obligación del cumplimiento de esa fecha. Además de la criticidad, el impacto era absoluto. Las necesidades de este proyecto eran el cambio de WAF actual (el cuál lo tenían desde hace 10 años), el ahorro sustancial de costes, la mejora del servicio gestionado, no perder la seguridad WAF anterior y que el proveedor entienda las necesidades de su negocio.

Resultados y aprendizajes

• Proyectos realizados satisfactoriamente
  
• Fabricante y proveedor entendieron su negocio
  
• Fabricante flexible e involucrado constantemente
  
• Proveedor entendió las necesidades
  
• Buena colaboración entre proveedores nuevos y existentes
  
• Resultados inmediatos y mejoras de seguridad
  
• Mejores niveles de riesgos y resiliencia
  
  
• Revisar globalmente todos los sistemas por posibles conflictos
  
• Siempre hacer PoC de larga duración y lo más real posible
  
• Controlar los tiempos con una buena planificación
  
  

Viaje a la modernización de la identidad. De 0 a 100.

Meliá Hotels International en 30 segundos

María Baeza, CISO en Meliá Hotels International, resaltó la colaboración esencial con Avanade en la detección y mejora de diversos aspectos clave para transformar la infraestructura de identidad de la empresa. Este proceso de transformación está diseñado para satisfacer los requisitos de un puesto de trabajo moderno, adaptándose a entornos de nube híbrida y ofreciendo mayor flexibilidad para todos los usuarios. Por otro lado, Ana González, IT Security Identity Management Specialist en Meliá Hotels International, y Álvaro Lancho, Security Manager en Avanade, se encargaron de detallar el proyecto, describiendo sus diferentes fases y compartiendo los aprendizajes clave adquiridos a lo largo del proceso.

Planteamiento de la oportunidad

En Meliá se encontraban con el reto de una infraestructura de identidad compleja y sus riesgos para la seguridad de la organización. La identidad es considerada como la piedra angular de la seguridad moderna. Esto es debido a que otros sistemas de contención o perímetro de seguridad tradicional están desapareciendo en la transición a modelos más flexibles como la nube híbrida, donde se aprovechan las capacidades de movilidad y usabilidad que nos aporta este nuevo paradigma y nuestra postura de seguridad en identidad tenía bastante potencial de mejora para adecuarse al nuevo contexto.

Oportunidades de mejora:

• Roles privilegiados: Elevado número de usuarios con roles privilegiados, lo cual podría suponer un aumento de la superficie de ataque para un posible atacante. Después de un año trabajando con su proveedor de outsourcing para disminuir ese número de usuarios han conseguido reducir las cifras iniciales, pero el hecho de trabajar con un proveedor con equipos de grandes dimensiones que operan los entornos, todos ellos con roles privilegiados, dificulta disminuir notablemente estos roles. El segundo reto es mantener la lista de usuarios actualizada.
  
• Modelo de mínimo privilegio: La estructura de control no permitía perfilar y adaptar un modelo de mínimo privilegio. Los retos en este aspecto vienen debido a la acumulación de permisos de los usuarios debido a la rotación interna dentro de la propia organización, a no otorgar los roles privilegiados el tiempo estrictamente necesario. Las revisiones periódicas son fundamentales. Otro reto es conseguir que los usuarios y equipos expliquen detalladamente qué tareas realizan para poder otorgar los privilegios adecuadamente.
  
• Protección de la identidad digital: Necesidad de controles adicionales que permitieran proteger la identidad digital de los usuarios para evitar y/o detectar inicios de sesión no habituales, movimientos laterales, accesos no autorizados a recursos, escalada de privilegios, etc…
  
• Securización de contraseñas: Controles con potencial de mejora en la securización de las contraseñas.
  
• Control de usuarios externos: Necesidad de mecanismos de control y monitorización del ciclo de vida de los usuarios externos. Hasta ahora, los usuarios externos eran tratados como si fueran usuarios internos, lo cual conlleva un riesgo. 
  
  
  

Solución propuesta

La solución elaborada por Meliá y Avanade consta de tres fases, priorizadas en función de los quick wins más importantes. 

Movimiento lateral

Esta fase está enfocada a mejorar la protección en su entorno on premise, ya que cuentan con un entorno híbrido con DCS locales y Microsoft Entra ID. 

• Estrategia de protección de la Identidad: Configuraciones y cambios a implementar en los controladores de dominio para mejorar la seguridad en los accesos.
  
• Protección de cuentas administrativas locales: Local Administrator Password Solutions (LAPS) para mejorar la seguridad en la administración local de las máquinas y mitigar el riesgo de movimientos laterales. Cualquier equipo de soporte que realiza una intervención en los equipos consulta una contraseña que inmediatamente después de haber sido utilizada rota e impide que los atacantes la puedan utilizar.
  
• Monitorización de la identidad: Defender for Identity para disponer de mecanismos operativos para la protección de la identidad digital de los usuarios. Esta herramienta la tienen desplegada en 26 DCS alrededor del mundo y permite tener una visión muy clara y monitorizar lo que está ocurriendo en los entornos locales. 
  

Protección de la identidad

La segunda fase consistió en proteger la identidad en el Cloud a través del despliegue de una serie de herramientas: 

• Gestión de privilegios administrativos: Azure AD Privilege Identity Management (PIM) para el control y la gestión eficiente de los usuarios con roles privilegiados. Lo que consiguen con PIM es no tener ningún usuario nominal interactivo que tenga el rol de forma permanente, todos son elegibles. 
  
• Procedimiento para la revisión de permisos de usuarios: Access Review de Azure AD PIM & Identity Governance para la revisión periódica de usuarios con roles privilegiados. 
  
• Protección de Identidad en el entorno Cloud: Azure AD Identity Protection para monitorizar y analizar la identidad digital de los usuarios. Con esta herramienta consiguen mitigar el riesgo tanto de usuarios como de inicios de sesión mediante una gestión proactiva. De esta manera, evitan bloqueos por fraude y reducen el número de incidencias.
  
• Mecanismo de control para el uso de contraseñas seguras: Azure AD Password Protection para implementar mecanismos de uso y protección de contraseñas seguras por parte de los usuarios. Para ello, han definido un listado de palabras prohibidas para que los usuarios no puedan utilizar ciertas contraseñas. 
  

Modernización 

• Procedimiento para la gestión de usuarios invitados (B2B): Azure AD Entitlement Management (Azure AD EM) para implementar mecanismos de control,  monitorización del ciclo de vida de los usuarios externos y optimización de costes. A través de esta herramienta han creado paquetes de acceso para usuarios invitados, lo que supone un ahorro en licencias de Office 365, en mantenimiento de su outsourcer para on premise, etc. A nivel de configuración es una tarea sencilla, el factor complicado es la gestión del cambio. Los paquetes de acceso permiten controlar quién solicita permisos, si es necesario un aprobador de permisos y establecer una fecha de expiración del acceso, pasada la cual, si no se renueva, se pierde el acceso y el usuario invitado.  
  
• Modernización de la infraestructura: Azure AD, depreciación del ADFS. El objetivo es moverlo todo hacia Cloud, de manera que la parte on premise sea cada vez menor.
  

Lecciones aprendidas

El respaldo de la dirección es crucial en cualquier proyecto tecnológico. Aunque la implementación técnica y la configuración de los productos suelen ser procesos relativamente sencillos, la principal complejidad radica en la gestión del cambio. Esto implica establecer nuevos procedimientos y asegurar que sean adoptados y practicados efectivamente por el personal.

Uno de los desafíos más significativos es la diversidad de usuarios y los variados modelos de gestión hotelera. Es esencial que los modelos de gestión de identidades se personalicen para satisfacer las necesidades específicas de cada modelo de gestión hotelera. Además, la calidad de los datos es fundamental, especialmente para los usuarios externos, ya que sin datos de alta calidad, no es posible automatizar los procesos de identidad.

También es vital la relación de confianza entre el cliente y el partner, lo que facilita una colaboración efectiva y el éxito del proyecto. Por último, el aprovechamiento adecuado del licenciamiento puede significar una optimización significativa de costos.

Global Network Modernization at Radisson Hotel Group

Rodrigo Blanco, CISO, Senior Director & Head of Information Security en Radisson Hotel Group; y David López, VP Sales en GTT, fueron los encargados de presentar la que según Rodrigo es una oportunidad bien aprovechada. En este caso de uso, el objetivo de Rodrigo y David era explicar lo que para Radisson y GTT significa SASE y SD-WAN. 

Radisson Hotel Group Footprint

Radisson es un grupo hotelero multinacional que opera en dos contextos: EMEA y APAC. Con casi 800 hoteles en operación en 120 países y con una pipeline de unos 500 hoteles más, el segmento en el que operan es principalmente luxury. Por lo tanto, los requerimientos de conectividad, de fiabilidad de las infraestructuras, pero también de la seguridad y de la protección de los datos de los clientes deben cumplir con las expectativas de los mismos.

Contexto del proyecto

¿Por qué? El punto de partida

Radisson parte de una solución basada en conexiones VPN punto a punto, la cual es muy fiable y funciona correctamente. Se trataba de una organización ‘Hub and Spoke’, una sede central a la que se conectan todas las sedes remotas. El problema viene cuando comienzan a embarcar en esta solución cientos de hoteles más en su ámbito de aplicación, pero sobre todo más puntos de presencia globales, es decir, más Hubs. A medida que tienen más Hubs, tienen más conexiones de todos los hoteles con esos Hubs, lo que ocasiona una explosión de VPN, que da lugar a problemas de arquitectura y lleva a la solución a su límite. 

Además, el patrón del tráfico había cambiado notablemente. Históricamente la mayor parte del tráfico iba de los hoteles a los sistemas centrales. Sin embargo, en un momento en el que todo se basa en el Cloud y en Software as a service, la mayor parte del tráfico va a la nube, a Internet. La conexión directa de los hoteles a Internet era un punto que podrían proteger mucho mejor. 

Otra circunstancia que se tuvo en cuenta fue la relacionada con los dos sistemas principales con los que cuenta cualquier compañía hotelera: el CRS (Sistema Central de Reservas) y el PMS (Property Management System). Típicamente hay un solo CRS donde se concentra toda la información, y tantos PMS como hoteles. Históricamente, los hoteles solían tener los PMS en el propio hotel, por lo que si se caía la conexión con el sistema central, podían seguir dando servicio durante cierto tiempo. Sin embargo, para Radisson, al estar migrando el PMS a la nube, la fiabilidad de la red y su latencia se convierten en algo fundamental.

Por último, la solución basada en VPN, mezclaba la funcionalidad de routing con la funcionalidad de seguridad. Desacoplar esas dos capas es esencial si quieres escalar y poner en marcha ciertos casos de uso más innovadores, por lo que esta circunstancia del punto de partida también les estaba frenando.

¿Qué? Valor asequible para los hoteles

Radisson buscaba dotarse de una solución asequible, que permitiese acompañar a la compañía en su crecimiento, es decir, fácil y rápidamente escalable; que mejorase la ciberseguridad en ciertos puntos ciegos que antes no eran tan relevantes, pero que ahora sí. Era fundamental dotar a todos los hoteles de una capa única cohesionada de seguridad. La estabilidad y fiabilidad de las comunicaciones era otro aspecto esencial debido a la conexión a la nube. Para operar en 120 países, ofreciendo una experiencia y un rendimiento homogéneos para que los hoteles puedan operar con normalidad buscaban una cobertura 24x7 global con un partner que les acompañase en ese servicio de red. 

• Crecimiento y ampliación de la empresa
  
• Ciberseguridad mejorada y coherente
  
• Estabilidad y HA en los hoteles
  
• Mejor rendimiento de la red
  
• Partnership con cobertura 24x7 
  
• Permitir la innovación en el sector

La solución implementada

Radisson cuenta con Data Centers y puntos de presencia en la Cloud, oficinas corporativas y cientos de hoteles dispersos en diferentes partes del mundo. Todos ellos con las mismas necesidades: conexión 24x7, fiabilidad de la red, necesidades de un rendimiento correcto y seguridad. La primera capa de la solución que pusieron en marcha es una capa de seguridad en las comunicaciones, es decir, un cortafuegos que es capaz de conectarse a un Backbone global, en este caso de GTT, con un SDWAN. Esto implica que sólo existe una única conexión por cada propiedad al Backbone SDWAN, lo que supone una gran simplificación del modelo. 

La oportunidad aprovechada llega en la siguiente capa. Puesto que tienen un único punto de control del tráfico en la red, ¿por qué no poner un único punto de control de seguridad? Así es como deciden implementar SASE, lo que Radisson considera una capa única de servicios operados en la nube que se pueden consumir a escala, activar progresivamente y que son comunes para todas las entidades de la organización. De esta manera, la consistencia en las políticas, la consistencia en los controles y la capacidad para proteger a la compañía independientemente del punto de conexión está garantizada. 

Capacidades de una capa SASE:

• Zero Trust Network Access (ZTNA): la forma en la que la organización da la capacidad a terceros o externos de conectarse a los sistemas internos de forma segura. 
  
• CASB: capacidad de controlar el uso de soluciones SaaS por parte de los usuarios y delimitar o detectar comportamientos que no se corresponden con las políticas de la compañía. 
  
• THRM: capacidad para detectar ataques, lo que daría un IPS, pero operado a escala en la nube para todos los hoteles y oficinas en un único punto.
  
• SWG-E: inspección de URLs, prevención de acceso a sitios maliciosos…
  
• DNS
  
• DLP
  

Desplegar todas estas capacidades en cada uno de los 800 hoteles de la compañía supondría un gran reto. Sin embargo, concentrarlas todas en un único punto, con políticas, monitorización y enforcement únicos es más factible. 

La tercera parte de la solución es la que tiene que ver con los servicios. En esta parte entra en juego GTT, cuyo partnership con Radisson ofrece una capa 24x7 de servicios que acompaña a la compañía en cualquier punto del mundo donde opera, con soporte para toda la solución y co-management, aspecto diferencial que implica que la organización sigue teniendo el control, pero apoyándose en el partner. 

Situación actual y lecciones aprendidas

Alcance inicial: +500 hoteles (en propiedad, arrendados, franquiciados) y 3 años de despliegue
Progreso: Primeros 100 hoteles migrados en sólo 4 meses. Después de 7 meses, +124% del año 1.

• Para una RFP a escala mundial, contar con un socio especializado es una inversión muy importante.
  
• Empezar siempre por los casos de uso, para definir y acordar qué significan SD-WAN y SASE en su contexto.
  
• Elegir un socio que hable de seguridad, no sólo de redes.
  
• No subestimar las dependencias.
  
• Se trata principalmente de un proyecto de red, y el equipo de ingeniería de red es clave.
  
• El aprovisionamiento de dispositivos, el soporte y la logística son un reto, especialmente en determinadas regiones.
  
• Diseñar un catálogo de servicios flexible y ser neutral en cuanto a costes.
  
• No dar nada por sentado, validar cada proceso a lo largo del camino.
  
• Ser progresista en el despliegue de las capacidades de seguridad.

Resultados empresariales: Valor para los hoteles

Transición de CAPEX a OPEX con un servicio más fiable a menor coste.

Zero Trust en Grupo Eulen

Pablo Vera, Regional Director Spain & Portugal en ZScaler, hizo hincapié en la importancia de conocer las necesidades y el contexto de cada organización para ser capaces de adaptar la estrategia. Alejandro las Heras, CISO y CTO en Grupo Eulen fue el responsable de presentar los retos y estrategia en ciberseguridad de su organización. 

Grupo Eulen en cifras

Con 80 unidades de negocio diferentes, que abarcan desde servicios de limpieza y mantenimiento hasta seguridad, la diferencia con los demás casos de uso es la superficie de ataque, ya que Grupo Eulen cuenta con 75.000 empleados. Esto supone un cambio de enfoque, ya que el por qué o para qué de la organización se focaliza principalmente en los usuarios y empleados. 

De SD-WAN a SASE

Reto de comunicaciones

En 2013, Grupo Eulen comienza a establecer una red híbrida, con el objetivo de llevar a cabo la sustitución de MPLS por arquitectura SD-WAN. Para ello, realizaron un análisis de riesgos y decidieron no tener un proxy. Fortificaron las aplicaciones, metieron WAF e invirtieron en un EDR avanzado con numerosas funcionalidades.

Reto de seguridad

El Grupo Eulen, ha enfrentado desafíos significativos en el ámbito de la seguridad cibernética, adaptándose a un entorno de amenazas en constante evolución. La estrategia de seguridad del grupo se ha centrado desde 2010 en la gestión de identidades y en la implementación de sistemas de detección y respuesta a amenazas en los endpoints (EDR), que han jugado un papel crucial en su infraestructura de seguridad.

Tradicionalmente, estas herramientas incluían una gestión avanzada del filtrado de navegación, aunque se detectaron debilidades, particularmente en el bloqueo que se realizaba directamente en el propio endpoint. Hasta el año 2021, Eulen asumió ciertos riesgos, utilizando el EDR como su única barrera de protección, y enfrentando una visibilidad casi nula del tráfico de internet. Casi el 95% de este tráfico era opaco bajo las políticas implementadas, confiando en que el filtrado en el endpoint sería suficiente, en línea con un modelo de Zero Trust.

Sin embargo, el aumento en los ataques de ransomware puso en relieve la necesidad de reevaluar y fortalecer estas estrategias. Esto llevó a un cambio de paradigma y una transformación cultural significativa en la gestión de la seguridad en Eulen. Con la llegada de la pandemia en 2020, las soluciones de comunicación existentes se mostraron ineficaces, lo que subrayó aún más la necesidad de una solución basada en la nube con suficiente ancho de banda.

Para 2021, Eulen reconoció la necesidad imperativa de evolucionar hacia una arquitectura SASE, que integrase seguridad y eficiencia de red de manera más cohesiva. Este enfoque representa un esfuerzo por mantenerse a la vanguardia en la protección contra ciberataques, asegurando tanto la integridad de su infraestructura como la confianza de sus clientes y usuarios.

¿Por qué SASE?

Reto de comunicaciones

El año 2021 marcó un punto de inflexión para la compañía con la integración de las tecnologías SASE y SD-WAN, una fusión diseñada para optimizar tanto la gestión de red como la seguridad a lo largo de sus operaciones globales. Esta transición hacia una arquitectura SASE complementada por las SD-WAN responde al creciente requerimiento de flexibilidad, escalabilidad y, sobre todo, seguridad en la transmisión de datos. SASE permite a Eulen fusionar capacidades de red y seguridad en una única plataforma integrada que se adapta de manera fluida a las necesidades cambiantes del entorno digital.

Reto de seguridad

• Gestión de Identidades (MFA): Se ha priorizado la autenticación multifactor (MFA) para asegurar que solo los usuarios autorizados puedan acceder a los recursos de la empresa.
• EDR muy fiable (no infalible): El sistema EDR implementado es altamente confiable, aunque reconociendo que no infalible, lo que impulsa una constante evolución y ajuste de las estrategias de seguridad.
• Filtrado de navegación inteligente: Con la intención de bloquear las amenazas antes de que lleguen al endpoint, Eulen ha reforzado su filtrado de navegación, buscando interceptar los ataques en las primeras etapas y reducir la carga en los endpoints.
• Visibilidad de la navegación: Al lograr visibilidad sobre el 95% del tráfico de navegación, la organización puede ahora monitorizar y gestionar más efectivamente cualquier actividad sospechosa o anomalía en la red.
  

¿Por qué ZScaler?

Requisitos

• Gestión de Identidades (MFA)
• Compatible con el EDR y SIEM
• Compatible con Windows, ChromeOS y android
• Fiabilidad del servicio
• Baja latencia en navegación
• Visibilidad de la navegación (95% de tráfico es internet)
• Red de partners solvente
• Roadmap de producto ambicioso
• Fabricante muy focalizado a este servicio
  

Siguientes pasos

Reto de comunicación 

Grupo Eulen se prepara para una transición significativa en su infraestructura de red, avanzando hacia la consolidación total de su arquitectura SASE y dejando atrás las soluciones SD-WAN. Este cambio representa un esfuerzo por integrar aún más las funciones de red y seguridad en una única solución gestionada en la nube, lo que promete mejorar la agilidad y eficacia de las respuestas a las demandas de seguridad y comunicaciones de la organización.

Reto de seguridad

• Sand-box: para combatir las amenazas avanzadas, Eulen implementará tecnología de sandboxing, que permite ejecutar y analizar el comportamiento de software sospechoso en un entorno controlado, evitando así posibles daños al sistema principal.
• DLP Avanzado: este sistema estará diseñado para detectar y bloquear cualquier intento de extracción no autorizada de información confidencial.
• Experiencia de Usuario: mejorar la experiencia del usuario, asegurando que las medidas de seguridad no interfieran con la productividad ni la usabilidad de los sistemas corporativos.
• CASB - SaaS: para controlar el uso de aplicaciones en internet, se implementará un agente de seguridad de acceso a la nube (CASB) específicamente para aplicaciones SaaS, lo que permitirá una mejor gestión y seguridad de las aplicaciones basadas en la nube utilizadas por la empresa.
• ZTNA: Eulen planea implementar soluciones de Acceso a la Red de Confianza Cero, que proporcionan visibilidad del 100% del tráfico de red, fortaleciendo así el control y la seguridad sobre todas las comunicaciones.

Generalitat Valenciana | Caso Ganador Premios CIONET 2023

Carmen Serrano Durbá, Subdirectora General de Ciberseguridad de la Generalitat Valenciana, como única participante en representación de una administración pública, hizo mención a los problemas compartidos con las organizaciones privadas, pero destacó algunas diferencias notables, como el hecho de poner en valor los riesgos que puede sufrir la administración para tener el apoyo para llevarlo a cabo.

Motivación

Las administraciones locales, que se encuentran en la primera línea de contacto con la ciudadanía y manejan una gran cantidad de sus datos, se enfrentan a una creciente vulnerabilidad debido a una acelerada digitalización que, a su vez, ha incrementado su exposición a riesgos. A pesar de la criticidad de sus funciones, estas administraciones sufren una notable falta de recursos especializados, convirtiéndolas en las más susceptibles a ciberataques.

En este contexto, y como respuesta directa a los ciberataques que sufrieron varios municipios de la Comunidad Valenciana en 2021, la Dirección General de Tecnologías de la Información y las Comunicaciones (DGTIC) lanzó un plan de choque gratuito. Este programa se implementa a través del Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV), en colaboración con las Diputaciones, el Centro Criptológico Nacional-CERT (CCN-CERT) y es ejecutado por la empresa S2 Grupo. La iniciativa busca fortalecer la seguridad de los servicios municipales y proteger la información que estos gestionan, mitigando así los riesgos de futuros ataques.

Retos y objetivos

• Proporcionar gratuitamente a las 584 entidades locales (EELL) de la Comunidad soluciones de ciberseguridad y vigilancia ante el creciente número de ciberataques (principalmente de ransomware) dirigidos contra ellas.
• Las EELL carecen de los recursos necesarios para abordar correctamente su ciberseguridad (escaso personal informático, diversidad de tareas, falta de especialización, etc.), lo que las convierte en objetivos “blandos”.
• Desafío que planteaba la heterogeneidad y el elevado número de interlocutores en las EELL y el desconocimiento de la tecnología de sus propios sistemas de información.
• Desplegar herramientas de protección para los municipios frente a ciberataques.
• Implementar sondas para la detección temprana de riesgos.
• Reducir al mínimo el impacto en los servicios esenciales de los ciberataques perpetrados con éxito.
• Ofrecer soporte técnico y capacitación en ciberseguridad y asistencia en el cumplimiento de las obligaciones derivadas del Esquema Nacional de Seguridad.
  

Modelo de solución

Desplegaron el modelo federado del CCN-CERT con sus herramientas. Para ello, tuvieron que llevar a cabo una ampliación y adaptación de las infraestructuras. El CCN-CERT delegó en CSIRT-CV la gestión de la ciberseguridad de las EELL, de forma que en los distintos ayuntamientos - según su tamaño - se desplegaron distintas herramientas que se integraron con los sistemas de monitorización del CSIRT-CV, reportando incidentes al CCN-CERT, adquiriendo la inteligencia de amenazas del mismo. El CCN-CERT es quien conoce y distribuye la información sobre lo que está ocurriendo en todas las administraciones a nivel nacional. Con esto, consiguieron integrar a los Ayuntamientos en la Red Nacional de SOC, que es una red pública y privada de compartición de inteligencia de amenazas y de información de incidentes creada por el CCN-CERT.

Principales iniciativas

• MicroClaudia: soporte al despliegue, operación, notificación de alertas y recomendaciones. Desplegada en casi el 80% de los Ayuntamientos.
• Políticas de backup: envío de instrucciones para las buenas prácticas en la realización de backups y consultoría en caso que lo necesiten.
• Formación: contenido de concienciación en ciberseguridad para técnicos IT, personal directivo y cargos electos y empleados.
• Análisis de visibilidad: realización de análisis automático de visibilidad de puertos expuestos en las LPS públicas notificadas e informe de recomendaciones a partir de los datos obtenidos en el análisis con su respectivo seguimiento. 
• Argos Collector: documento de configuración del entorno para el despliegue de la herramienta, apoyo técnico durante el despliegue y configuración, recolección y correlación de logs y operadores para la revisión de los eventos obtenidos.
• Carmen/Claudia: recogida de información para configuración del aplicativo, configuración y envío del appliance, apoyo a la instalación y puesta en marcha, operación de la plataforma e informes de actividad detectada y recomendaciones de seguridad.
• Vigilancia Digital: revisión en redes sociales de los dominios del ayuntamiento, búsqueda por palabras o términos de Leaks en redes e informe periódico de riesgos encontrados.
• Trillion: alta en el servicio de los dominios indicados, análisis de los informes de la herramienta y notificación agrupada de las cuentas comprometidas.

Distribución demográfica y alcance de las iniciativas

Fases del proyecto

• Ruta crítica: se estableció una ruta crítica que destaca dos hitos fundamentales: el despliegue efectivo de las vacunas y el análisis meticuloso de información técnica y de madurez de los distintos Ayuntamientos.
• Despliegue y ejecución: implementación y ejecución de las demás iniciativas del proyecto. 
• Fase de servicio: metodología LEAN, con el objetivo de maximizar la eficiencia en el uso de recursos. Esta metodología es vital para combatir la dispersión tecnológica, que frecuentemente resulta en el desperdicio de recursos.
  

Indicadores de implantación

• El 82% de las EELL se ha dado de alta en el servicio Trillion (detección credenciales exfiltradas), con 499 dominios registrados. Se han notificado 8.875 cuentas afectadas a 626 organismos.
• En las 65 EELL de más de 20.000 habitantes, se han realizado 52.158 actuaciones de vigilancia digital, con 1.337 alertas notificadas.
• Sobre el análisis de visibilidad, en las 323 EELL de más de 5.000 habitantes, se han detectado 536 eventos relevantes y se han notificado 14.447 alertas a 169 ayuntamientos.
• El despliegue de ARGOS-EPC cuenta con 82% de adhesión y, solo en agosto, ha permitido gestionar 3.438 eventos de seguridad y resolver 3.380, con un saldo de 0 eventos críticos y 0 incidentes.
  
  

Conclusiones

Principales beneficios:

Los esfuerzos recientes para reforzar la seguridad informática en las Entidades Locales han comenzado a dar frutos, con un descenso drástico en las infecciones por ransomware, un tipo de software malicioso que restringe el acceso a los sistemas afectados y demanda un rescate para su desbloqueo. Este logro no solo representa un alivio operativo significativo, sino que también mejora la confianza en la infraestructura digital municipal.

Además, se ha observado una notable mejora en el cumplimiento del Esquema Nacional de Seguridad (ENS) por parte de las EELL. Este progreso es fundamental, ya que fortalece la protección de la ciudadanía y asegura la robustez de los servicios municipales. La implementación más estricta de las normas de seguridad ha generado un entorno más seguro para los datos y la privacidad de los ciudadanos, ofreciendo una base más sólida para el desarrollo de servicios públicos eficientes y confiables.

Estas mejoras en la ciberseguridad no solo protegen contra amenazas inmediatas, sino que también establecen un marco de operaciones más seguro y sostenible para las entidades locales, asegurando que los servicios críticos permanezcan operativos y accesibles en un entorno cada vez más digitalizado.

Logros:

• Las Administraciones locales de la Comunidad Valenciana son ahora más seguras.
• Alto grado de aceptación del proyecto a pesar del esfuerzo requerido por parte de las EELL e implicación de las 3 diputaciones provinciales con distintas aportaciones por su parte.
• Gran éxito del modelo de formación que ha habido que repetir en 3 ocasiones.
• Gran avance en las medidas de protección y detección temprana. Sistemas de protección y vigilancia que carecían y mayor preparación de los empleados.
• Integración en la RNS y cumplimiento de objetivos para fondos MRR.
• Modelo de coordinación y colaboración entre administraciones y optimización de recursos económicos, técnicos y talento, todos ellos escasos en el sector.
• La implementación a través de CSIRT-CV ha conseguido generar economías de escala y extender su experiencia y madurez hacia las EELL.

Lecciones aprendidas

En la reciente evaluación de los protocolos de emergencia y contratación rápida adoptados por las entidades locales, se ha evidenciado una dualidad de impactos. Si bien este tipo de contratación responde con efectividad a las necesidades urgentes, plantea interrogantes sobre la sostenibilidad contractual a largo plazo.

El análisis ha revelado ciertas omisiones críticas en la planificación inicial del proyecto. Entre ellas, la más significativa es la falta de fortalecimiento de los recursos técnicos de las entidades locales, lo cual subraya la necesidad imperativa de asignar más recursos para asegurar la robustez de los sistemas. Asimismo, se destaca la urgencia de establecer compromisos formales que garanticen la continuidad y la eficacia de los servicios.

Además, se ha identificado una necesidad crítica de adaptación por parte del Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV), especialmente en lo que respecta a sus procedimientos de gestión y relación. Otro punto crucial es la revalidación del apoyo institucional tras los cambios en los equipos de gobierno, un factor que podría influir significativamente en la continuidad de los proyectos.

A partir de estas observaciones, se han formulado varias recomendaciones. Es crucial realizar una evaluación meticulosa de la situación inicial antes de proceder. La elección de herramientas, especialmente aquellas provistas por el CCN-CERT, debe ser adecuada y pertinente. Además, se enfatiza la importancia de seleccionar empresas y equipos de trabajo que no solo posean la solvencia técnica requerida, sino también una experiencia demostrable y acreditada en la materia. Estas medidas pretenden mejorar no solo la respuesta inmediata a las emergencias, sino también asegurar la sostenibilidad y eficacia de las acciones a largo plazo. 

Learnings & Future Vision

En base a las intervenciones de la jornada, Maica Aguilar, Gerente de Seguridad en Ferrovial; Miguel Ángel Carretero, Global CISO en Prosegur; y Eduvigis Ortiz, Founder & President en Women4Cyber; fueron los participantes del panel de debate que se encargaron de cerrar el programa de este Quest, que contó con la moderación de Enrique Miranda Salado, CISO y Miembro del Consejo Asesor de CIONET Madrid.

¿Cuáles son las principales amenazas cibernéticas a las que se enfrentan las organizaciones actualmente y qué herramientas se están empleando para mitigar estos ataques?

Maica: “Podemos hablar de ransomware, de IA y de cómo esta ayuda no solo a los buenos, sino también a los malos. La Inteligencia Artificial, por desgracia, no es solo una herramienta para protegernos. Debido a su democratización, ya no solo está al alcance del crimen as a service, sino que también en el día a día, todo tipo de personas tienen la posibilidad de utilizarla para poder atacar a las organizaciones. También estamos experimentando un incremento de entrada de amenazas a través del correo electrónico. Este tipo de ataques representa más de un 85% del total de puntos de entrada a través de nuestros usuarios, empleados y proveedores. Hay tres aspectos que tenemos que trabajar en ciberseguridad: procesos, personas y tecnologías. Antes o después vamos a tener un incidente de ciberseguridad, pero es crucial no solamente tener los mecanismos para protegernos, sino tener capacidad de resiliencia y de respuesta en tiempo y forma para que el negocio se vea impactado el menor tiempo posible con la menor repercusión posible. Para ello es fundamental testear los productos para comprobar si se adecúan a tus necesidades. En Ferrovial siempre estamos probando nuevos servicios o productos que pueden cubrir un área que no teníamos identificada o mejorar alguna que ya tenemos”.

Miguel Ángel: “La IA nos está apoyando para poder protegernos, pero a la vez nos está alertando de que un mal uso de la misma nos condiciona. Nosotros estamos trabajando con nuestra empresa interna de ciberseguridad en utilizar la IA de tal forma que tengamos capacidad de protección ante esas amenazas. La IA nos está ayudando no solo a conocer el modelo de los ciberataques que sufrimos, sino que nos está educando en un buen uso de la misma para protegernos internamente.”

Eduvigis: “Las amenazas, aunque dispongamos de la Inteligencia Artificial, siguen siendo las mismas y nuestra mayor defensa sigue siendo la misma: nuestros empleados, las personas y su nivel de concienciación. Según un estudio de Microsoft, el 98% de todos los ataques que recibimos, tanto a nivel personal como laboral, se pueden mitigar y prevenir utilizando la concienciación y las herramientas básicas”.

Dado que los empleados a menudo son considerados el eslabón más débil, pero también actúan como la primera o última línea de defensa cuando la tecnología y los procesos fallan, la inversión en cultura organizacional es fundamental. ¿Qué estrategias deberían adoptar las organizaciones para fortalecer su cultura de ciberseguridad?

Miguel Ángel: “En Prosegur, una compañía con superficie de exposición en 31 países, la principal herramienta en la que nos estamos focalizando es concienciar a las capas más altas. Si ellos creen en la ciberseguridad, es mucho más sencillo trasladar el mensaje a las capas inferiores. Tenemos un departamento de formación que tiene un itinerario bastante potente dentro de la compañía. Hacemos eventos en streaming para poder llegar a todos los empleados y, además, utilizamos el espacio Co-Studio de Prosegur para encuentros como Cyber Quest a través de los que el mensaje cala mucho más”.

Eduvigis: “Adoptar esa cultura de ciberseguridad no es tarea fácil. Mantener el foco en que no podemos relajarnos en este aspecto es complicado. Por ello, funcionan muy bien los ataques dirigidos, las simulaciones donde las personas se dan cuenta de que cuando pinchan un enlace que no deberían, puede suponer un problema grave para la empresa. Es importante que estas acciones no sucedan de forma aislada, sino que deben realizarse recurrentemente para que el mensaje vaya calando. La cultura tiene que venir de arriba, pero la ciberseguridad es una responsabilidad compartida. Es necesaria la formación continua y que las personas se sientan no como el eslabón más débil, sino como la primera línea de defensa. Tener una cultura de apertura funciona. Somos humanos y nos podemos equivocar, lo importante es realizar un seguimiento para asegurarnos de que el empleado aprende de sus errores”.

Maica: “En Ferrovial llevamos haciendo planes de concienciación en ciberseguridad desde 2009. Ahora mismo estamos lanzando simulacros de phishing a todos los empleados cada dos semanas, dando formación segmentada por grupos y necesidades, en función del puesto de trabajo y del nivel de riesgo al que se ve expuesto cada empleado y reforzando determinados comportamientos con diferentes cursos. Además, contamos con un Dashboard en el que cada empleado puede ver su nivel de riesgo y sus resultados en los simulacros. Es importante que este tipo de acciones vengan reforzadas desde la dirección. Esto supone un aumento de la implicación de los empleados. Para la alta dirección contamos con Dashboards específicos en los que los directivos pueden ver a qué están expuestos de una forma mucho más cercana al negocio, de tal forma que puedan apreciar el impacto de un incidente en la cuenta de resultados o en una crisis reputacional. Lo diferencial es que empezamos haciendo campañas de concienciación iguales para todo el mundo, y actualmente realizamos monitorización continua adecuando la estrategia y las acciones a realizar dependiendo de las necesidades de cada colectivo”.

¿Cuáles son los beneficios concretos que la inteligencia artificial está aportando en términos de protección, detección y respuesta ante ciberataques?

Miguel Ángel: “La capacidad de hablar con una herramienta con un lenguaje cotidiano y que nos dé una respuesta instantánea”.

Eduvigis: “El aumento de la productividad”.

Maica: “Ayuda a mejorar la productividad, la eficiencia, a reducir tiempos y a automatizar. Esto es solo el principio, a lo largo de los próximos años veremos la evolución de la IA. Hay que aprovechar las herramientas que ya la utilizan para poder detectar incidentes cuanto antes, resolver situaciones y focalizar nuestros esfuerzos en concienciación”

En relación con el fortalecimiento de la cultura de ciberseguridad, ¿qué iniciativas efectivas de reskilling o upskilling se están implementando para capacitar tanto a personas con perfil tecnológico como a aquellas sin esta formación?

Maica: “La tecnología va muy rápido. El conocimiento de la misma requiere cada vez más especialización. Muchas veces es difícil proporcionar este conocimiento a nivel interno. Las capacidades que ofrece la organización están relacionadas con la capa de gestión y de gobierno. Sobre todo realizamos apoyo a través de servicios para permitir la adaptación rápida a las nuevas tecnologías que surgen. También existen recursos internos que permiten formaciones en diferentes áreas. Para la capa tecnológica y con carácter general, existe un plan en el que se analizan las capacidades actuales y las que se quiere tener a futuro para poder implementarlas. Nosotros, dentro de la dirección de ciberseguridad tenemos a compañeros que trabajaron en auditoría interna de IT. Dentro de la propia organización se potencia y promueve este tipo de movimientos porque enriquecen a la propia compañía”.