Ciberseguridad presente y futuro
Fernando Ramos, es director general de BeOneSec empresa referente de ciberseguridad a nivel nacional. Ingeniero informático, y desde sus inicios muy relacionado con el emprendimiento tecnológico.
BeOneSec nace en 2018 como respuesta a la crisis que se desató por el virus ransomware WannaCryattack, y el impacto que tuvo para Telefónica en el 2017. Fernando y sus socios ya venían prestando servicios de ciberseguridad en otra de sus empresas, pero tras aquella crisis, el mercado reclamaba empresas nicho de ciberseguridad, por lo que decidieron fundar BeOneSec y concentrar todos los servicios de seguridad en ella creando de esta manera una empresa nicho de ciberseguridad de alta especialización.
¿A qué se dedica BeOneSec?
BeOneSec es una empresa de servicios, no son «resellers» ni partners de fabricantes ni realizan tareas de subcontratación. Se puede decir que desde éste punto de vista, quieren ser honestos y que sus clientes sepan con claridad qué pueden esperar de BeOneSec.
Como empresa de servicios, tienen cuatro lineas basadas en el concepto de InfoSec Colour Wheel, que categoriza los servicios en base a el tipo de acciones y tareas de ciberseguridad dentro de la organización a la que sirve.
Ésta visión estructura en cuatro verticales la activad y los servicios que presta BeOneSec:
- Servicios de ataque (Red-team): Servicios que implican la simulación de ataques sofisticados y realistas, con el fin de identificar posibles vulnerabilidades, evaluar la seguridad y probar la capacidad de respuesta ante amenazas de ciberseguridad. Se utiliza una combinación de técnicas de hacking, ingeniería social y pruebas de estrés.
- Servicios de defensa (Blue-team): Servicios para defender y proteger servicios, sistemas y redes de amenazas de ciberseguridad a través de la implantación de estrategias de defensa, el fortalecimiento de infraestructuras y la monitorización, detección y respuesta a dichas amenazas.
- Desarrollo seguro (Yellow-team): Servicios para potenciar la cooperación y el intercambio de conocimientos entre equipos de desarrollo y equipos de seguridad a través de la implantación de modelos de madurez de desarrollo seguro de software (OWASP – SAMM).
- Cumplimiento normativo (White-team): Servicios para coordinar los equipos de seguridad, establecer estrategias, asegurar el cumplimiento normativo y de las regulaciones y estándares aplicables y alinear los requisitos de gobierno y políticas con el negocio.
¿Cuál es la situación de la ciberseguridad en España?
Noto que hay mucha concienciación, pero que no saben por dónde empezar. A veces comienzan a realizar labores ‘por oídas’ o consejos y ejecutan acciones inconexas sin una estrategia clara. El problema es que, si no se sigue una estrategia, cabe el riesgo de no conseguir los objetivos planteados o de que estas acciones estén desalineadas con el negocio de tu empresa.
¿La preocupación por la ciberseguridad es para todas las empresas?
Sí, no hay ninguna empresa que no tenga un activo digital que pueda ser vulnerable a un ataque.
¿Existen soluciones o productos para cualquier tipo de empresa?
Es importante la concienciación, hay muchos productos o soluciones, pero todo depende de cómo quieras enfocar la seguridad en la empresa. Lo básico es contar con software antimalware y antivirus que te ayuda a evitar parte de los riesgos en una pequeña empresa.
¿BeOneSec trabaja para empresas pequeñas?
Depende de la definición de pequeña empresa, en nuestro caso trabajamos con empresas que facturan desde 20MM en adelante. Es el segmento al que la compañía se quiso centrar y especializar su oferta de servicios.
La programación te garantiza el empleo, la especialización en ciberseguridad… ¿te proporciona un empleo para toda la vida?.
España es una potencia en ciberseguridad, es un sector en auge y en este país tenemos excelentes profesionales. Además, a nivel institucional, tenemos el INCIBE y el CCN-CERT, que son referentes.
Ambos publican guías de buenas prácticas para equipos, servidores, etc., ayudando a la concienciación y al aprendizaje en esta materia. Además, hay jornadas como las que se harán del 28 al 30 de noviembre en Madrid, ‘XVII Jornadas STIC CCN-CERT – V Jornadas de Ciberdefensa: ESPDEF-CERT‘, donde se reúnen lo más potente a nivel nacional y europeo.
Pensemos que el cibercrimen mueve más dinero que drogas y armas juntas. Además, tengo la sensación de que ‘los malos son muchos más que los buenos‘. Con este escenario, tener profesionales especializados en este mundo se hace vital. España debe aprovechar esta situación, tiene una situación geoestratégica envidiable, sus infraestructuras son muy buenas y cuenta con unas relaciones con países LATAM hacen que el escenario sea ideal para que este país pueda aprovecharlas.
¿Cómo ves la IA en éste sector de la ciberseguridad?
Nosotros ya usamos soluciones basadas en IAs como apoyo al servicio de inteligencia que monitoriza la superficie web y la deepface en búsqueda de información que cruzamos con las matrices MITRE ATT&CK (framework de código abierto desarrollado por Mitre Corporation que cumple con la función de detectar y describir el comportamiento de una amenaza cibernética desde la perspectiva de las intenciones de un atacante).
Otro de los impactos interesantes para usar la IA es que te facilita escenarios o perspectivas no contempladas a la hora de anticiparte a ataques, lo que la hace una herramienta muy interesante.
¿Haciendo ciertas preguntas a la IA, se consigue obtener información privada de una empresa? ¿Ves en esto un riesgo?
Cuando le haces preguntas a ChatGPT, esa información se la queda y qué uso puede hacer de esta información no se sabe. Aquí es importante la concienciación.
Muchas veces no se es consciente de la información que vuelca en internet. Como ejemplo, me viene a la mente el caso en el que detectaron una base militar secreta por la información facilitada por una APP de running.
Pero hackear un sistema, o al menos intentarlo, puede no ser algo malo en sí. ¿Qué opinión tienes sobre la cultura hacker?
La cultura hacker tiene su propio código ético. Esta cultura emplea su conocimiento para hacer el bien, pero evidentemente, el lado oscuro está ahí. Por ejemplo, BeOneSec tiene hackers en la empresa, aunque le damos mucho valor a que el capital humano de la empresa sean buenas personas.
Para trabajar en Ciberseguridad, ¿qué se necesita?
Se necesita PASIÓN… es una profesión muy vocacional y muy apasionada. Sus equipos siempre están en continuo aprendizaje, y les mueven los retos de este sector. Es una profesión donde el autodidacta es habitual. Para Fernando, que sea apasionado y buena persona.
¿Es el trabajo algo de lo que hablas en reuniones informales?
Suelo evitar hablar de ciberseguridad, esta profesión te obliga a seguir unas estrictas normas de confidencialidad. Pero es algo con lo que se aprende a vivir con normalidad.
En esta fase de cierre, le pedimos a Fernando que nos proporcione algunas fuentes de conocimiento:
- El sentido común, es la principal fuente de conocimiento al que acude.
- Historia y novela histórica: Fernando le apasiona la historia, y le ayuda a reflexionar este tipo de lecturas, principalmente el Siglo de oro Español y la segunda guerra mundial. Le ayuda a entender las consencuencias de las decisiones que se tomaron en diversas situaciones, y a obtener interesantes aprendizajes.
- INCIBE-CERT y CNN-CERT tienen documentación TOP a la que poder acudir.
- Si eres programador, y quieres profundizar en el conocimiento en la materia recomendaría «Ciclo de vida de desarrollo seguro (OWASP – SAMM)«. En la página de ellos está muy completa y práctica, para que puedas hacer incluso ejercicios de autoevaluación.
¿Qué consejo darías tú a las personas que están comenzando en su carrera profesional?
Fernando lo tiene claro, divertirse más. Tomarse menos en serio las cosas, divertirse trabajando no está reñido con ser un excelente profesional. Éste sector es muy divertido, y estamos en la mejor profesión del mundo.
Os vemos en las siguientes entregas de Tech from the Trenches, y como siempre nos puedes seguir en los canales de nuestras redes sociales: