Servicios de ciberseguridad gestionada

25
* Es posible obtener una versión en pdf de este especial rellenando el formulario disponible en www.revistasic.com La ciberseguridad gestionada en la encrucijada de la transformación El mundo de hoy está sumido en una transformación en la que las amenazas y los ataques con componente parcial o total de ciberseguridad empiezan a pesar y justifican sobradamente la existencia de un pujante sector pro- fesional dedicado a la defensa y a la respuesta. Y en ese sector, ocupan un lugar relevante los proveedores de servicios de ciberseguridad gestionada (MSSPs). Los hay de distintos tamaños, con distinto alcance, generalistas, muy especializados, con tradición, oportunistas… En las siguientes páginas, e imbricado en el espacio de conocimiento Ágora SIC, esta publicación ha realizado un trabajo acerca del estado del arte y futuro de este tipo de servicios de externalización, pulsando la opinión de CISOs, proveedores y especialistas muy destacados. Centro de Conocimiento en Ciberseguridad SUMARIO La analítica avanzada y la sectorización definirán a los MSSPs 2.0 que reinen en un negocio pendiente de regulación específica. Situación y evolución de los servicios gestionados de ciberseguridad: hacia el 3.0 y más allá…, por JUAN MIGUEL VELASCO Tu proveedor (de seguridad gestionada) no es seguro, por ANTONIO RAMOS Los MSSPs opinan: Proveedores de Servicios de Ciberseguridad Gestionada: tiempos de transformación. Los CISOs opinan: Servicios de ciberseguridad gestionada: ¿hay espacio para la mejora?

Transcript of Servicios de ciberseguridad gestionada

Page 1: Servicios de ciberseguridad gestionada

* Es posible obtener una versión en pdf de este especial rellenando el formulario disponible en www.revistasic.com

La ciberseguridad gestionada en la encrucijada de la transformación

El mundo de hoy está sumido en una transformación en la que las amenazas y los ataques con componente parcial o total de ciberseguridad empiezan a pesar y justifi can sobradamente la existencia de un pujante sector pro-fesional dedicado a la defensa y a la respuesta. Y en ese sector, ocupan un lugar relevante los proveedores de servicios de ciberseguridad gestionada (MSSPs). Los hay de distintos tamaños, con distinto alcance, generalistas, muy especializados, con tradición, oportunistas…

En las siguientes páginas, e imbricado en el espacio de conocimiento Ágora SIC, esta publicación ha realizado un trabajo acerca del estado del arte y futuro de este tipo de servicios de externalización, pulsando la opinión de CISOs, proveedores y especialistas muy destacados.

Centro de Conocimiento en Ciberseguridad

SUMARIO

• La analítica avanzada y la sectorización defi nirán a los MSSPs 2.0 que reinen en un negocio pendiente de regulación específi ca.

• Situación y evolución de los servicios gestionados de ciberseguridad: hacia el 3.0 y más allá…, por JUAN MIGUEL VELASCO

• Tu proveedor (de seguridad gestionada) no es seguro, por ANTONIO RAMOS

• Los MSSPs opinan: Proveedores de Servicios de Ciberseguridad Gestionada: tiempos de transformación.

• Los CISOs opinan: Servicios de ciberseguridad gestionada: ¿hay espacio para la mejora?

08_ARTICULOESTELAR con telvent.i71 7108_ARTICULOESTELAR con telvent.i71 71 03/09/2015 14:11:2003/09/2015 14:11:20

Page 2: Servicios de ciberseguridad gestionada

72 SEPT I EMBR E 2 0 1 5 / N º 1 1 6 / S iC

Cuando un mercado consi-derado maduro experimenta una nueva evolución que ha de catapultarlo a una mayor previ-sión de ingresos, cabe pregun-tarse el por qué de tal suceso y evaluar aspectos como su posición con respecto a otros segmentos de negocio, princi-pales actores que conforman y protagonizan tal impulso o nuevas tecnologías que hacen un panorama a todas luces ha-lagüeño para quienes desem-barquen en él con garantías y una buena proposición.

Los servicios de ciberseguri-dad gestionada se han venido ofreciendo durante una déca-da. De un modo u otro, la ges-tión de la navegación web, del servicio de correo electrónico o el análisis antivirus ya se han convertido en productos suma-mente solicitados por las em-presas, llevando a los provee-dores (MSSPs – Managed Se-curity Service Provider) a con-formar una oferta consolidada sobre esa creciente demanda e incluso proporcionándoselos

a los clientes como parte de servicios globales.

Sin embargo, la evolu-ción mencionada no llega por un repunte de estos ser-vicios, sino por la aparición de otros más avanzados que por diversas razones están experimentando tal auge que ha llevado a numerosas organizaciones a sumarse a este mercado con una ofer-ta más o menos cuidada y diferencial.

Estos servicios, que para la consultora Frost & Su-llivan son los relacionados con la inteligencia frente a amenazas, la investigación, la detección y el remedio, están creciendo el doble, por ejemplo, que la gestión y monitorización de elementos de seguridad. No obstante, también es cierto que, hasta la fecha, las soluciones más estándarizadas representan aproximadamente el 80% de la cifra de negocio total en la región EMEA (Europa, Oriente Medio y África).

El mercado corporativo de servicios de ciberseguridad gestionada no parará de crecer durante el próximo lustro

La analítica avanzada y la sectorización defi nirán a los MSSPs 2.0 que reinen en un negocio

pendiente de regulación específi caLa proliferación de ciberamenazas cada vez más complejas, la difi cultad de las organizaciones de contar con cen-tros y equipos de expertos propios, completos y sostenibles para hacerlas frente y la diversidad de los entornos informáticos, de red y dispositivos en los que se desarrollan los negocios y actividades han acelerado durante estos años la adopción de servicios de ciberseguridad gestionada por terceros. Este aumento de la demanda de este tipo de externalización, con previsiones de crecimientos anuales en torno al 20%, no solo ha conllevado un incremento en el número de proveedores, sino también en su tipología, desde aquellos que prestan desde Centros de Operaciones de Ciberseguridad únicamente servicios generales básicos o parciales, a los que, una ver cubiertos estos servicios básicos por el mercado, se centran en los de nuevo cuño, defi nidos por la correlación avanzada, el análisis de inteligencia y la prospectiva como piezas clave, o los que lo aplican a ámbitos específi cos, como los entornos industriales y las infraestructuras críticas, o la lucha contra el fraude en sus diversas manifestaciones. Y todo ello, al menos en España, a la espera de un reglamento (el que se prevé en la Ley de Seguridad Privada) que defi na los actores de un mercado en el que aún queda mucho por hacer… y por repartir.

SOC de BT

SOC de Deloitte

SOC de Accenture

08_ARTICULOESTELAR con telvent.i72 7208_ARTICULOESTELAR con telvent.i72 72 03/09/2015 14:11:2803/09/2015 14:11:28

Page 3: Servicios de ciberseguridad gestionada

73S iC / N º116 / SEP T I EMBRE 2015

Eso sí, numerosos provee-dores están creando grupos de especialistas capaces de anali-zar vulnerabilidades y peligros, correlacionar eventos, compa-rar alertas e intervenir una vez que se presenta el ataque. Esto hace que todo esté encamina-do hacia una seguridad basada en la correlación avanzada, el análisis de grandes cantidades de datos (big data), que son esenciales en la prevención, detección y respuesta.

Tendencia imparable

La prestación de servicios de ciberseguridad no parará de crecer en los próximos años y las causas podrían tildarse de obvias. Por ejemplo, para ABI Research, el motivo principal de este crecimiento radica en que la implementación y la gestión de un programa de seguridad exitoso dentro de una empresa se ha convertido en un asunto complejo, dado que la mayoría de las organiza-ciones carece de la experiencia necesaria para gestionar solu-ciones de seguridad TIC de una amplia variedad de proveedo-res.

A este factor se une el he-cho de que se sufre un conti-nuo incremento de las ame-nazas y de la perpetración de “ciberdelitos”, la necesidad de cumplir con las regulaciones, estándares y leyes de protec-ción de datos (incluidos los personales), la escasez de ex-pertos en ciberseguridad y la constricción de los presupues-tos de TI.

Por su parte, Gartner tam-bién señala cuatro factores de crecimiento, en línea con los que se acaban de citar:

• Menores presupuestos y personal especializado.

• Adopción de tecnologías de seguridad y herramientas analíticas para prevenir, iden-tificar y responder a ataques

Nuestro país ha sido pionero en la pro-visión de algunos servicios específi cos de seguridad TIC gestionada desde SOC (principalmente básicos de red), un mercado que se inició hace bastante más de una déca-da de la mano de compañías como la española GMV Soluciones Globa-les Internet, SIA, S21Sec (hoy en manos del grupo portugués Sonae) y algo posteriormen-te Ecija y Telefóni-ca. A ellos se fueron sumando actores como Accenture, IBM, Iecisa o Atos, que jugaban en el terreno más general de la externalización total o parcial de la función de TIC y que, por tanto, prestaban a tenor de esta circuns-tancia atención a la ciberseguridad en el marco de sus contratos.

Casi simultáneamente aparecieron otros proveedores con SOC como Innotec System (Grupo Entelgy), las antaño competitivas Unitronics y Oesía, algunos integradores clásicos de tecnologías que ofrecían gestión de dispositivos de red, ciertos fabricantes con línea de servicios, como Symantec, y algún signifi cado mayorista cuya iniciativa para pymes no prosperó.

Ya desde hace tiempo han entrado en este mercado actores muy relevantes, desde el gigante de servicios tecnológicos Indra, la big four Deloitte –que cuenta con ciberSOC en España–, HP Enterprise Security Servicies y BT –ambas con SOC en nuestro país integrados en sus redes mundiales de SOCs–, hasta compañías como la española S2 Grupo –pionera en

la ciberseguridad orientada a los entornos industriales, aunque atienda también a otros ámbitos más generales–, Telvent –igualmente enfocada a los entornos in-dustriales–, Mnemo –que intenta abrirse

camino en este seg-mento en el merca-do ibérico–, Aiuken –un proveedor muy especializado que va ganando mercado–, MDtel o Prosegur –que dispone de SOC, aunque su estrategia de penetración en el mercado sea dubi-tativa–.

También otras empresas están sopesando dar el paso y desembarcar al fi n en este mercado. Entre estos posibles new pla-yers no resulta difícil imaginar la llegada de operadores competidores, decididos a importar los exitosos y jugosos ‘savoir faire’ de sus nodrizas británicas, francesas y norteamericanas en estas materias. Con todo no será tarea sencilla posicionarse tras una miopía mercantil de lustros para con el mercado español.

Sin duda, las bazas de sus estrategias pasan por ofrecer los obligados servicios básicos, pero realmente hacer hincapié en otros muy exclusivos y completamente sectorizados, a la espera de que el creci-miento en el uso de la nube y cambios en la legislación pueda ampliar el caladero de clientes. Mientras tanto, los proveedores de proveedores de MSSPs (correlación avanzada, vigilancia digital e incluso fabricantes de productos de seguridad para red y nube…), estudian el impacto en sus negocios de ir directamente o no a proveer servicios al usuario fi nal.

El mercado de MSSPs en España

Principales MSSPs en España

A continuación se listan las principales compañías –españolas o que operan en España– con centros de operaciones de seguridad y/o prestación de servicios de seguridad gestionados, avanzados y a medida.

• Accenture • Innotec System (Grupo Entelgy)• BT • Telvent• Deloitte • Mnemo• GMV • S2 Grupo• HP • S21Sec• IBM • SIA• Indra • Telefónica

08_ARTICULOESTELAR con telvent.i73 7308_ARTICULOESTELAR con telvent.i73 73 03/09/2015 14:11:3303/09/2015 14:11:33

Page 4: Servicios de ciberseguridad gestionada

74 SEPT I EMBR E 2 0 1 5 / N º 1 1 6 / S iC

avanzados.• Incremento en la adop-

ción de servicios basados en la nube.

• Evolución de los informes de cumplimiento de regulacio-nes.

Todo ello ha llevado a que las compañías opten por sis-

• Filtro de correo electrónico• Antivirus en el puesto de trabajo• Gestión de cortafuegos• Firewall multifunción (UTM)• Consultoría de cumplimiento, riesgo y gobierno• Gestión de sistemas de protección/detección de intrusiones (IDS)• Anti DoS y DDoS• Servicios de gestión de acceso e identidades• Gestión de logs, monitorización y archivado• SIEM• WAF• Inteligencia ante amenazas• Detección y remediación de APTs• Monitorización de aplicaciones web• Gateways (mensajes y tráfi co web)• Pentesting

Principales servicios estándar que ofrecen los MSSPs

Al igual que en el resto de sectores, las empresas fi nancieras están optando por servicios de ciberseguridad atendien-do a las mismas razones: la sofi sticación creciente de las amenazas, la necesidad de reducir los costes y la falta de personal experto.

Sin embargo, la particular idiosincra-sia de este segmento de mercado con-lleva un factor clave para una correcta relación entre el MSSP y el cliente: los riesgos adicionales a que se ven expuestas las instituciones fi nancieras cuando optan por servicios externalizados.

De acuerdo con el Consejo Federal de Instituciones Financieras de Estados Unidos (FFIEC), en su Manual de Sistemas de Información – Apéndice de Servicios de Seguridad Gestionada, una gestión exitosa en este cam-po ha de incluir un contrato con un acuerdo mutuo de SLAs, así como estrategias para asegurar la transparencia (comunicación regular entre la institución y el MSSP en materias como el cambio de control, la resolución de pro-blemas, las evaluaciones de amenazas; y descripciones de procesos para controles físicos y lógicos de los datos de la institución fi nanciera). A esto hay que añadir una revisión periódica de los procesos del MSSP, la infraestructura y

el entorno de control.

En dicho documento, el FFIEC asume como clave la evalua-ción de riesgo en los sistemas de información, las aplica-ciones y los datos más críticos, de modo que los procesos han de estar mucho más controlados que en cualquier

otro tipo de organización. Asimismo, la infraestructura de seguridad de la infor-mación ha de contar con herramientas para el control y la gestión de accesos, la protección contra malware, el ma-nejo de datos y medios, el desarrollo

de aplicaciones e integración de sistemas, la continuidad del negocio y la recuperación ante desastres, así como la gestión de la respuesta frente a incidentes.

Y por supuesto, las obligaciones deben quedar bien defi ni-das en el contrato, que debería incluir: responsabilidades explícitas de MSSP y la propia institución fi nanciera en cuanto a servicios proporcionados y tiempos de implemen-tación; derecho a modifi car los servicios existentes, tipo y frecuencia del reporte disponible, actividades a las que el MSSP puede conducir cuando está operando una red de un cliente, pertenencia de los datos generados por la seguri-dad de los propietarios y por la monitorización de terceras partes, y derechos de acceso garantizados al MSSP.

Mercado Financiero

temas de seguridad TIC inte-grales, una constante que se está reflejando incluso en el ámbito de los consumidores y del sector público. Es más, organismos gubernamentales de nuestro país como el CCN CERT ya recomiendan optar por protección avanzada, así

como por aumentar la capaci-dad de vigilancia con equipos externos de ciberseguridad.

El resultado de este ince-sante movimiento no se está haciendo esperar y la tenden-cia alcista actual tendrá conti-nuación los próximos años, a tenor de lo que prevén algunas de las principales consultoras a nivel mundial. Por ejemplo, la mentada ABI Research estima que el mercado mundial de ser-vicios de seguridad gestionada tendrá un valor de 15.400 mi-llones de dólares a fi nales del presente año, llegando a al-canzar los 32.900 millones en el año 2020.

Por su parte, Infonetics Re-search apunta que el merca-do de la seguridad gestionada superará los 9.000 millones de dólares en 2017; mientras que la anteriormente citada Frost & Sullivan predice que el mercado de MSSPs en la región EMEA moverá 5.000 millones de dólares en 2018. Asimis-

08_ARTICULOESTELAR con telvent.i74 7408_ARTICULOESTELAR con telvent.i74 74 03/09/2015 14:11:3503/09/2015 14:11:35

Page 5: Servicios de ciberseguridad gestionada

75S iC / N º116 / SEP T I EMBRE 2015

mo, prevé que estos servicios conseguirán 3.500 millones de dólares en ese mismo año en Norteamérica.

Research and Markets, en cambio, asegura que este segmento subirá desde los 14.300 millones de dólares de 2014 hasta los 31.900 millones en 2019, con un crecimiento anual del 17,3%.

Finalmente, también de cara a 2018, Gartner considera que más de la mitad de las orga-nizaciones utilizarán servicios de seguridad especializada en protección de datos, gestión del riesgo en la seguridad y gestión de infraestructuras de seguridad. Además, desvela que en 2015 un 10% de las ca-pacidades de protección para grandes empresas estarán en la nube, siendo del 30% si se habla de pequeña y mediana empresa.

Ventajas… y desventajas

Como se ha señalado, las causas de la mayor oferta y demanda de servicios de segu-ridad externalizados son diver-sas, tantas como las ventajas que pueden suponer para el usuario su contratación.

En este punto, el propio IN-CIBE (Instituto Nacional de Ci-berseguridad) pone nombre a esas ventajas. Y es que, además de que los servicios de gestión de la ciberseguridad son claves de cara a afrontar los requeri-mientos regulatorios y de cum-plimiento (compliance), aportan especialización y calidad, una clara reducción de costes (no existe necesidad de invertir en software, hardware o recursos humanos, ni en llevar a cabo una constante actualización de los productos instalados), un menor impacto por la obsoles-cencia; una mayor atención a los procesos de negocio, pues no se pierde tiempo en el as-

inconvenientes de subcontratar servicios de ciberseguridad, en-tre los que destacan aspectos nada triviales: dependencia de terceros que puede tener im-plicaciones negativas desde el punto de vista de la seguridad de la información; acceso de estos a la información corpo-rativa, y poner el know-how

en manos del proveedor. En estos casos, durante la provisión del servicio se genera conocimiento. Si se externaliza la pres-tación del servicio de ci-berseguridad se corre el riesgo de perder dicho conocimiento e incluso de que salgan a la luz vul-nerabilidades de los siste-mas de información. Hay que tener en cuenta que la subcontratación conlle-va el acceso de terceros a la información de la em-presa, por lo que hay que protegerla de accesos o tratamientos no adecua-dos, al tiempo que han de adoptarse las medidas de seguridad que marca la LOPD y otras legislacio-nes generales y sectoriales concernidas.

Proveedores de toda condición

Así pues, teniendo en cuenta el hecho de que la mayoría de las empre-sas ya no puede defender solas con garantías sus infraestructuras y su in-formación por razones de efi ciencia y rentabilidad y de que la externalización de la ciberseguridad se ha convertido en un elemen-to común, se está vivien-do una cierta proliferación de la oferta que ha lleva-do a la aparición de nu-merosos proveedores de servicio, los cuales se han sumado a esta tendencia,

SOC de Indra

pecto de la ciberseguridad; y fl exibilidad, ya que es más sen-cillo adaptar un servicio exter-nalizado ampliando su alcance, funcionalidad, incrementando la capacidad, etc., que reorga-nizar la propia empresa.

Eso sí, esta empresa pública estatal también se refi ere a los

SOC de Innotec System (Grupo Entelgy)

SOC de GMV

SOC de HP

08_ARTICULOESTELAR con telvent.i75 7508_ARTICULOESTELAR con telvent.i75 75 03/09/2015 14:11:3703/09/2015 14:11:37

Page 6: Servicios de ciberseguridad gestionada

76 SEPT I EMBR E 2 0 1 5 / N º 1 1 6 / S iC

detectándola como la más pro-vechosa y, en parte, como el único camino para seguir evo-lucionando en un mercado que cada día se ha de enfrentar a nuevos retos.

Pero no todos han cruzado las –cada vez más– amplias puertas que llevan a la condi-ción de MSSP del mismo modo. Las capacidades, la experiencia, la situación geográfi ca e inclu-so la naturaleza de los servicios que prestan les diferencian, puesto que no es lo mismo una operadora con presencia internacional y propietaria de infraestructura de red, que un integrador que haya aunado las tecnologías de algunos fa-bricantes para ofrecer servicios a su cartera de clientes o una big four.

Por lo tanto, se antoja casi necesaria una división que ayude a las empresas, como potenciales clientes que son, a optar por aquellos servicios que realmente necesitan. Al observar las diferenciaciones que realizan algunas consulto-ras internacionales, la opción de Gartner pasa por dividir a los MSSPs de un modo muy genérico, al catalogarlos como “jugadores puros”, integrado-res de sistemas y operadores y proveedores de servicios de red.

Sobre los “jugadores pu-ros”, la consultora apunta que suelen ser pequeños y com-pletamente enfocados en los servicios de seguridad, incluso únicamente en mercados ver-ticales, en el cumplimiento de regulaciones o en amenazas avanzadas. Por su tamaño, mu-chos de ellos son susceptibles de ser adquiridos por compa-ñías mayores, que buscan la capacidad y especialización de este tipo de proveedores.

Respecto a los integradores de sistemas u outsoucers de procesos de negocio, se carac-terizan por gestionar disposi-

Una de las variantes dentro de los servicios gestionados de ciberseguridad que está desper-tando un mayor interés y, por lo tanto, mayores crecimientos, es su modalidad como servicio en la nube.

Y aunque no está claro qué porcentaje de estos servicios cloud serán ofrecidos por MSSPs, Gart-ner tiene muy claro que la seguridad en la nube se está expandiendo hacia la forensía de la red, la detección de fraude y APTs. Es más, según una encuesta que esta consultora ha llevado a cabo, el 70% de los que respondieron a la mis-ma tiene un gran interés en la ciberseguridad cloud, mientras que un 37% está interesado en aumentar la inversión por encima del 10%.

Esto hará que la seguridad como servicio cloud crezca durante los próximos cuatro años, aumentando el tipo de servicios que se ofrecerán a todo tipo de empresas: desde la seguridad del correo electrónico y de la pasarela web, la gestión de iden-tidades y accesos, o SIEM (gestión de eventos e información de seguridad), hasta la gestión de intrusiones, el cifrado, la recuperación ante desastres, la continuidad del negocio y la seguridad de red.

Seguridad como servicio en la nube

La identifi cación, la verifi cación de credenciales y la gestión de las identidades y de los accesos se han convertido en herramientas esenciales para evitar la pérdida de oportunidades, el incumplimiento de normas o una exposición a riesgos no controlada. La necesidad de contar con sistemas de gestión de identidades (IaM) bien construidos, fl exibles y adaptables es una realidad de mercado que tiene su refl ejo en el aumento de la demanda de servicios que los proporcionen.

De acuerdo con un reciente informe publicado por Gartner, las compañías dedicadas a IDaaS (gestión de identidad y acceso como servicio)

ofrecen un servicio basado en la nube en un modelo multitenant, dedicado y alo-jado que se centra en IGA (administración y gobernanza de identidades), funciones de acceso e inteligencia para sistemas concretos tanto en la nube como en los sistemas del usuario. Se trata de un mercado que está en sus primeros días y que se ha incrementado debido al aumento de la competitividad entre lo proveedores de PaaS (Plataforma como servicio).

En este sentido, los proveedores de IDaaS pueden crear conexiones con los de SaaS (Software como Servicio) para propuestas de autenticación, entrada única (SSO-single sign-on) y gestión de cuentas. Además pueden construir puentes entre la identidad on-premise de los clientes y los servicios de autenticación.

Gartner también estima que en 2014 este mercado movió 260 millones de euros y prevé que termine 2015 con 367 millones. Además, considera que los proveedo-res proporcionan una mayor ciberseguridad para servicios de IAM que la que los propios clientes podrían tener por sí mismos.

Gestión de accesos e identidades como servicio

08_ARTICULOESTELAR con telvent.i76 7608_ARTICULOESTELAR con telvent.i76 76 03/09/2015 14:11:4303/09/2015 14:11:43

Page 7: Servicios de ciberseguridad gestionada

77S iC / N º116 / SEP T I EMBRE 2015

tivos de seguridad como parte de una oferta mayor, de ahí que tiendan a adquirir “juga-dores puros”.

Finalmente, los operadores y proveedores de servicios de red gestionan productos de se-guridad de red y habitualmente proporcionan monitorización remota y servicios basados en la nube.

Forrester, en cambio, divi-de a los proveedores por su tamaño, aunque le presta ma-yor atención a los emergen-tes, es decir, a aquellos que se caracterizan por ofrecer unas capacidades tecnológicas de seguridad competentes, unos precios efectivos, un excelente servicio al cliente, una plantilla experimentada y fl exibilidad.

No obstante, las divisiones que estas dos compañías rea-lizan están simplifi cadas si se tienen en cuenta las diversas naturalezas de los proveedores de servicios gestionados de ci-berseguridad que pueblan ac-tualmente el mercado y que, con toda certeza, seguirán

Forrester analizó durante el último trimestre del pasado 2014 un merca-do que afecta directamente al tema que aquí se trata: los servicios de plataforma cloud, cuyo crecimiento en el mercado está siendo imparable y que, al ser servicios en la nube, han de contar con unos mínimos (o máximos) requisitos de seguridad.

En el estudio, Forrester entra de lle-no en las medidas de protección que compañías como IBM, Amazon o Microsoft proporcionan en sus respectivas plataformas y que, como es evidente, podrían restar negocio a proveedores de seguridad en la nube que estén centrados en las áreas más básicas.

La primera conclusión a la que la consultora llega es que estas plataformas ofrecen seguridad física y lógica efectivas, aunque también es cierto que de trece compañías a las que invitó a formar parte, sólo cuatro aceptaron el reto. Esto podría deberse a dos razones: la certeza de que si se habla sobre su ciberseguridad, se abren las puertas a más ataques o simplemente por una falta de confi anza en sus controles.

En el estudio, Forrester evalúa las aproximaciones de los proveedores al control de acceso (soluciones IAM de terceros, Directorio Activo, seguri-dad en el entorno de computación, seguridad física del centro de datos, seguridad efectiva en la red, certifi caciones y soporte profesional).

Nubes públicas y sus políticas de seguridad

SOC de S21sec SOC de SIA

SOC de S2 GrupoSOC de Mnemo

08_ARTICULOESTELAR con telvent.i77 7708_ARTICULOESTELAR con telvent.i77 77 03/09/2015 14:11:4803/09/2015 14:11:48

Page 8: Servicios de ciberseguridad gestionada

78 SEPT I EMBR E 2 0 1 5 / N º 1 1 6 / S iC

haciéndolo los próximos años. Operadores de telecomunica-ciones, fabricantes de TIC que han decidido ofrecer servicios, integradores clásicos que au-mentan su cartera de solucio-nes para afrontar una realidad de la que podrían quedarse fuera en caso de seguir op-tando por ofrecer únicamente productos ligados a proyecto, proveedores de tecnología de correlación, análisis e inteli-gencia en la nube, proveedores tradicionales de servicios de TI que han ampliado su oferta tradicional –en la que solían

ofrecer una parte integrada de seguridad en red–, provee-dores que ponen servicios (de marca blanca) a disposición de los demás MSSPs…

La tipología es, por lo tanto, abundante y recoge muy dife-rentes idiosincrasias, a lo que hay que añadir la diversidad de los servicios que se pres-tan: desde los más típicos de protección del perímetro, del correo-e o del tráfi co en Inter-net, hasta los de inteligencia frente a amenazas avanzadas. Las opciones son muy nume-rosas y variadas. Pero ¿hacia

dónde ha de encaminarse un MSSP si desea acaparar buena parte del pastel que se presu-pone para los próximos años? ¿Cómo diferenciarse en un mercado donde la oferta se ha multiplicado ante las necesi-dades del tejido empresarial? ¿Qué debe exigir el cliente como una correcta prestación de servicios de ciberseguridad? ¿Están todos los proveedores preparados para atender las peticiones de una organización que pone en sus manos infor-mación vital para el negocio siendo competitivo también en la relación calidad/precio?

A ello se viene a sumar el estudio, sin necesidad de sa-lir de España, de una futura y polémica regulación de los proveedores de servicios de ci-berseguridad gestionada que siente las bases en las que los actores de un mercado cre-ciente (y cada vez más global), ofrece servicios en los que se manejan datos críticos tanto de compañías como de perso-nas, y que tienen interés para las investigaciones estatales de presuntos ciberdelitos.

Precisamente, uno de los asuntos más problemáticos al que se enfrentan y enfrenta-rán los MSSPs habrá de estar presente en el texto que se promulgue. Se trata de la re-gulación de la actividad de los analistas que tienen acceso a información “delicada” y que posteriormente pueden fi char por otras empresas, llevándo-se inevitablemente un conoci-miento muy preciso de datos críticos de terceros.

Hacia el MSSP 2.0

En este escenario y aten-diendo a lo que apuntan los analistas, las grandes compa-ñías están buscando lo que se ha venido a denominar como MSSP 2.0, es decir, un provee-dor que ofrezca un conjunto

Aunque, tal y como sucede con el mercado de-dicado a la seguridad de sistemas industriales, aún hay mucho terreno que recorrer, los servicios de ciberseguridad industrial tienen ante sí un amplio campo que abonar.

Por ello, el Centro de Ciberseguridad In-dustrial (CCI) ha publicado recientemente el “Catálogo de Proveedores de Servicios y Soluciones de Ciberseguridad Industrial”, en el que recoge un completo inventario que refl eja la creciente oferta existente, organizándola en diez categorías de servicios (Análisis e investiga-ción de mercado, Concienciación, Formación,

Técnico, Consultoría, Auditoría, Certifi cación, CERT, SOC e Inteligencia) y ocho de soluciones (Control de acceso, Cumplimiento, Monitorización de red, Monitori-zación de sistemas, Protección de red, Protección de sistemas, Ciberresiliencia y Protección Integral).

Por otra parte, dentro de los sistemas industriales se hallan la mayoría de las infraestructuras críticas, es decir, aquellas que proporcionan servicios esenciales y cuyo funcionamiento según la Ley 8/2011, de 28 de abril, por la que se esta-blecen medidas para la protección de las infraestructuras críticas (LPIC) “es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”.

Por lo tanto, los proveedores que proporcionan servicios de ciberseguridad a los operadores críticos, han de atenerse a unos requisitos y unas necesidades que conllevan una formación y una capacitación diferenciadas del resto. De ahí que la propia ENISA (European Union Agency for Network and Information Secu-rity) publicara un informe en el que ofrecía recomendaciones para el desarrollo de programas de certifi cación de las aptitudes de los expertos que trabajan en Sistemas de Control Industrial (ICS) y en Sistemas de Supervisión para el Control y la Obtención de Datos (SCADA) en Europa. Esto se debe a que en la actualidad, los conocimientos sobre los programas de certifi cación disponibles son limitados, lo cual conlleva un número reducido de profesionales cualifi cados.

Servicios de ciberseguridad industrial

08_ARTICULOESTELAR con telvent.i78 7808_ARTICULOESTELAR con telvent.i78 78 03/09/2015 14:11:5403/09/2015 14:11:54

Page 9: Servicios de ciberseguridad gestionada

79S iC / N º116 / SEP T I EMBRE 2015

de servicios capaces de afron-tar las amenazas y el constan-te fl ujo de ataques (de mayor o menor importancia) que la mayoría de organizaciones su-fre cada día –buena parte de ellos sin siquiera percatarse–. Por ello es necesario que di-cho proveedor desarrolle co-nocimientos, que sea capaz de recolectar información de atacantes, métodos y motivos, que utilice analítica avanzada y que proporcione capacida-des de protección y detección adaptativas. Es decir, que sume inteligencia a sus servicios tra-dicionales.

Y es que, la inteligencia y el análisis comienzan a antojarse esenciales para proporcionar el conjunto de servicios más com-pleto o, al menos, aquel que pueda afrontar un tipo de ame-nazas que se multiplica y que, a fi n de cuentas, está movien-do al sector. Los analistas se refi eren a una visión holística, con servicios complementarios, inteligencia frente a amenazas y el desarrollo de talento hu-mano para ofrecer seguridad preventiva y proactiva y en un entorno multilegislativo.

En relación con esta visión, una constante que está ob-servándose en los MSSPs más avanzados, según IDC, es la combinación de servicios con SOCs. En esa idea abundan en ABI Research, para quienes dichos SOCs, aunque no son requeridos, añaden valor a la proposición del proveedor por-que suman no solo un centro de investigación, sino labora-torios de desarrollo y profesio-nales de la seguridad enfoca-dos únicamente en soluciones contra amenazas. Este aspecto ayuda en la citada inteligencia de seguridad y en soluciones analíticas, así como en la crea-ción de automatismos frente a ataques, lo que, a la postre, su-pone una ventaja competitiva para el MSSP.

que se mueve a una velocidad vertiginosa ante la constante actividad delictiva.

Como se ha señalado, esa diferenciación se basa en ca-pacidades, que van desde la oferta de avanzados modelos de entrega de soluciones de software y hardware como servicio, hasta la reventa de servicios de marca blanca, pa-sando por un catálogo extenso o basado en alguna tecnología concreta. Eso sí, según ABI Re-search, conviene precisar que las áreas de mayor crecimiento

durante los dos próximos años serán las de IAM (gestión de accesos e identidades), gestión de eventos y seguridad de la información (SIEM) y monito-rización de la seguridad. Claro que al referirse al tipo de MSSP que va a conseguir un mayor negocio, en esta entidad ana-lista se decantan por los que ofrecen seguridad como servi-cio en modo “hosteado”, pues supondrá la mayor oportuni-dad de crecimiento en el mer-cado en los próximos años.

Global vs. local

Finalmente, cabe re-señar que el factor geo-gráfico también será un aspecto a tener en cuenta para los proveedores, tan-to en lo que se refi ere al área geográfi ca en la que se enfoquen, como, pre-cisamente, en el hecho de tener presencia local que asegure una mejor com-prensión de las necesida-des de sus clientes y de la reglamentación de cada zona.

Respecto a geografías, el mercado norteamerica-no será el que aporte ma-yores benefi cios, seguido por Europa, aunque se prevé crecimiento en Asia Pacífico, Latinoamérica y Oriente Medio y África. Asi-

mismo, en el ámbito europeo, la adopción de servicios de alta gama será rápida en los países nórdicos

En cuanto al segundo factor citado, Frost & Sullivan asegu-ra que la presencia física en el país es un elemento diferencia-dor, ya que señala que tener una presencia global no siem-pre es una ventaja en la región EMEA. Es más, muchos de los proveedores radicados en estos países destacan su nula afi lia-ción con Estados Unidos como ventaja competitiva. ■ SIC

SOC de Telvent

SOC de Telefónica

No obstante, aún queda ca-mino por recorrer, pues, como se ha apuntado con anteriori-dad, la especialización en servi-cios de nicho o que responden a necesidades muy puntuales podría ocupar un espectro de negocio que ofrecería impor-tantes benefi cios a quienes la ofrecieran. Y será la capacidad de diferenciarse la que lleve a unos proveedores a salir ai-rosos frente a competidores menos preparados o que no sepan interpretar un mercado

08_ARTICULOESTELAR con telvent.i79 7908_ARTICULOESTELAR con telvent.i79 79 03/09/2015 14:11:5603/09/2015 14:11:56

Page 10: Servicios de ciberseguridad gestionada

80 SEPT I EMBR E 2 0 1 5 / N º 1 1 6 / S iC

SERVICIOS DE GENERACIÓN 1.0: DE LA MEDIOCRIDAD AL TAXÍMETRO

Después de casi más de 25 años en TI y los últimos 17 en Seguridad en Grandes Corporaciones, se hace uno a la idea de cómo está el panorama de los servicios gestionados. En la actualidad “disfruta-mos” de una suerte de proveedores de “seguridad gestionada”, donde desafor-tunadamente la mayoría de ellos son realmente empresas de body-shopping como decimos aquí, bastante mal dicho por cierto, ya que es un vocablo con el que uno debe ser cuidadoso y no usar nunca en EE.UU. o Reino Uni-do, porque tiene otras conno-taciones más relacionadas con la trata de personas que con las TI, aunque me temo que muchas veces es fi el refl ejo de la realidad del servicio que des-cribe...

En defi nitiva la mayor parte de proveedores grandes, con grandes nombres y enormes capacidades sobre el papel, juntan de aquella manera téc-nicos dispares, bastante poco formados, para que vayan al cliente a “administrar” seguri-dad, y muchas veces no sabe-mos si es técnicamente o en la acepción de Clint Eastwood, de la muerte tenía un precio, para ajusticiar los sistemas y pla-taformas.

Eso, apreciado lector, no es gestionar la seguridad, es lucrarse con la adminis-tración de sistemas de seguridad con ele-gancia y con mucha suerte de no tener incidentes, ya que al no gestionar la se-guridad, se intenta que no haya ataques o que nadie rompa nada intencionada-

mente o no...Estos servicios de outsourcing no son

Seguridad Gestionada, y si bien su pre-cio puede ser competitivo, sólo ofrecen manos de operación al Cliente para ad-ministrar sin un gobierno de la seguri-dad, ni preocuparse de la estrategia de Ciberseguridad, ni políticas, ni POS en producción –en resumen, sin Seguridad Gestionada–, y para nada implementan una buena política de mejora continua (PADC). Son servicios que tienen todos los grandes proveedores de TI, Integra-

personalizado a el/los Clientes. En la Fi-gura 1 se pueden observar los elementos de plataforma de proveedor de servicios de seguridad comunes que se deberían contar como base mínima; estos elemen-tos son esenciales para proveer como el conocimiento compartido y una plata-forma de gestión. Sin ellos es imposible proveer una gestión de seguridad, que no una administración de los sistemas de seguridad.

La diferencia es muy muy relevante, ya que un buen proveedor de Servicios

Gestionados de Seguridad debe cumplir unos mínimos para poder denominarse así, que al menos son:

1. Debe soportar TODAS las tecnologías de seguridad que tenga el cliente.

2. Debe respetar la libertad del Cliente de elegir las tecno-logías de seguridad que deci-da según sus propios criterios (presupuesto, fi abilidad, cerca-nía, etc.).

3. Debe ser proactivo en la gestión, crítico y analítico en la administración (no vale con aplicar las reglas que te indi-quen sin control ni raciocinio).

4. Debe conocer el entorno y disponer de información de vulnerabilidades y del contexto

de las tecnologías gestionadas de forma aislada y en su conjunto.

5. Debe disponer de herramientas propias de gestión, monitorización y ad-ministración.

A los proveedores que mezclan servi-cios de body-shopping con administra-ción de TI, los denominaremos Provee-dores 1.0. Estos proveedores 1.0 ofrecen su paquete básico de servicios (ver Figura 2), que son siempre de relación directa

Situación y evolución de los servicios gestionados de ciberseguridad: hacia el 3.0 y más allá…

La evolución del mundo a digital y la entrada en escena de la Cloud, la Internet Of Things (IoT), las aplicaciones móviles y el Big Data, entre otros, exigen a los proveedores de programas y servicios de seguridad una evolución urgente. Es la

nueva ciberseguridad 3.0, servicios sin fronteras digitales ni geográfi cas, sin perímetro a ‘securizar’ y con alcance en todos los ámbitos tecnológicos y analógicos, una evolución que muchos usuarios (CSO y CISOs) no han sabido ver aún. De la evolución de los servicios 1.0 a la ciberseguridad 3.0, este artículo recorre los tipos de servicios y las características que deben tener para anticipar y proveer soluciones efi caces en los nuevos entornos.

Juan Miguel Velasco

Figura 1.- Ejemplo de servicios de seguridad de un proveedor MSSP básico 1.0

dores, proveedores de TeleComunicacio-nes y consultoría o auditoría. Pero, ¿son servicios? En realidad son proyectos de-dicados, muy bien armados, y que basan su efi cacia y éxito en las personas que se dediquen a él, en muchos casos recomen-dadas o subcontratadas por indicación del propio cliente.

La realidad es que un servicio, como su defi nición de R.A.E. indica, es algo co-mún, replicable, escalable y orientado o

08_ARTICULOESTELAR con telvent.i80 8008_ARTICULOESTELAR con telvent.i80 80 03/09/2015 14:11:5903/09/2015 14:11:59

Page 11: Servicios de ciberseguridad gestionada

81S iC / N º116 / SEP T I EMBRE 2015

con la administración TI. Como se apre-cia en el gráfi co 2, tenemos la gestión y administración de cualquier elemento de seguridad: FW gestionado, IPS gestio-nado, Proxy gestionado, etc. Realmente no mienten al decir que son proveedo-res de Seguridad Gestionada, porque lo que hacen es gestionar, que en el argot del SOC 1.0 es que las cosas funcionen, no den ruido y no se caigan; eso sí, si existen 20 reglas en el firewall con ANY ANY *.* eso es cosa del Cliente o de otros, porque ellos gestionar gestionan, lo que no dejan de ser servicios de operador nivel 1 ilustrado, algo así como un robot administrador. Lo que aportan es bajo coste para el Cliente, en modo OPEX (gas-to), que normalmente ayuda a mejorar la cuenta de resulta-dos. Cuando hay un incidente, lo cual es inevitable, se ponen en modo taxi y se disparan las horas extras y acciones de apaga-fuegos exprés, con un importante impacto de precio para el Cliente afectado, ya que suelen ser incidentes, como suelen decir, “fuera de línea base contratada”.

Esto nos ha llevado de la mediocridad de los inicios de hace 10 ó 12 años, en los que la administración de seguridad se separaba de la administración de sistemas con apenas unas políticas y procedimien-tos iniciales, al modelo taxímetro en el que los proveedores de seguridad cobran por personas, dispositivos y años, igual que un taxista que te lleva de Aluche a Pla-za de Castilla sin más que conducir, sin preocuparse del trayecto, elementos de la ruta, datos previos de conducción, tráfi co o incidentes, así como el conocimiento del pasajero. Además muchos integrado-res están más preocupados por vender los amortiguadores y las ruedas que el servi-cio de transporte del taxi en sí, es decir, se focalizan en una u otra tecnología sin ana-lizar las necesidades del clientes, y la nece-saria multitecnología y multicapa esencial en la elaboración de una buena estrategia de seguridad, basada en redundancia y se-gregación de riesgos y funciones.

Caracterizan estos servicios el despre-cio absoluto por la innovación o la mejo-ra de nuevas tecnologías, son SOCs (SOC: Centros de Operación de Seguridad) con cero nivel de innovación o mejora, no se plantean renovaciones de plataforma o tecnología, ni existen laboratorios de prueba y pre-producción para promover mejoras y sugerencias en la estrategia de

ciberseguridad de el/los Clientes.Ese es el futuro de ese taxi y de la Ci-

berseguridad 1.0, avanzar hasta ser cons-cientes que servicio no es “guiar un auto por la carretera” y reaccionar a lo que ocurra, sino planifi car, prevenir, conocer y anticipar. Eso es la Seguridad Gestiona-da que necesitan los clientes hoy y para mañana.

mos 2.0 avanzados ofrecen servicios de CiberSeguridad 2.0. Vamos a ver cómo lo hacen, y por qué esos servicios están a años luz de sus colegas Ciber 1.0.

Igual que el taxi que sólo conoce el destino y arranca y conduce, la Ciberse-guridad 2.0. es más como el avión, que conoce el destino pero planifi ca la ruta, los elementos climatológicos (viento,

presión, nubes, lluvia, etc.), los elementos del servicio como el número de pasajeros, su criti-cidad, la mercancía, el peso de la aeronave, y la combinación de todos, y además mientras va en ruta sigue ese análisis continuo del contexto para actuar y adelantarse a los ele-mentos adversos (climatolo-gía, ruta, etc.).

Los proveedores de Servi-cios de Seguridad 2.0 CiberSe-guridad se caracterizan por la diferenciación en dos elemen-tos claves: la estrategia y la inteligencia.

CiberSeguridad 2.0 Es-trategia. La estrategia en un conjunto de elementos de an-

ticipación relativos a la seguridad, que deben complementar los servicios del ca-tálogo de seguridad del proveedor. Una buena estrategia debe incluir, al menos, los siguientes elementos característicos para reforzar los servicios de Seguridad:

1. Conocimiento continuo del merca-do de fabricantes nacional y global.

2. Gestión de confi guraciones y polí-ticas compartida para todos los clientes (nada de islas por cliente), y en el contex-to más amplio del fabricante/s.

3. Laboratorio de innovación de plata-formas de Clientes (pre-producción real)

4. Laboratorio de estrés tests y cibere-jercicios de cada Cliente (democenter de pruebas por cliente).

5. Network Knowledge Exchange (FIRST, CERT Network, APWG, iSMS, Euro-Cloud, ISACA, etc) y foros de seguridad Rooted, BlackHat, Navajas Negras, Def-Con (hay que hablar inglés y ruso como mínimo…).

6. Certifi caciones de Terceros (de se-guridad): 27.001, LEET Security, 25999, etc.

7. Globalidad (SOC Multiterritorio co-nectado).

Desarrollaremos brevemente cada punto para no alargarnos, que si no el artículo dará para una serie y no es cues-tión de aburrir.

En el punto 1, las relaciones globa-les con fabricantes locales, pruebas, de-

Figura 2.- Ejemplo de servicios de seguridad avanzados MSSP 2.0

No es de extrañar que muchos clientes aún tengan miedo de subir al taxi (pasan más miedo que en su coche propio), es decir, que no quieran externalizar o apo-yar una parte de sus servicios en externos, ya que no ven que el “taxi” les aporte nada, y además no siguen las pautas de conducción que ellos quieren, y es impor-tante guiar al Cliente, pero mucho más escucharle y darle el servicio para que se sienta cómodo con él. Por no decir, además, que los precios muchas veces no invitan a usar servicios, sino a usar el pro-pio vehículo, ya que la seguridad implica tres parámetros íntimamente unidos, las tres Cs (CCC): confi dencialidad, confi anza y coste, pero defi nitivamente si avanza-mos del taxi a un servicio de más valor veremos las ventajas de la CiberSeguridad 2.0, habremos llegado al siguiente nivel, el 2.0, al avión.

SERVICIOS DE GENERACIÓN 2.0: DEL TAXI AL AVIÓN

Las opciones de proveedores de se-guridad en nuestro mercado no son sólo opciones mediocres de modelo “body-shopping”, ya que existen un grupo de proveedores serios y pioneros, profesio-nales en nuestro mercado, que enfocan la seguridad a nivel global, como un sis-tema de inteligencia, anticipación y cono-cimiento. Estos proveedores que llamare-

08_ARTICULOESTELAR con telvent.i81 8108_ARTICULOESTELAR con telvent.i81 81 03/09/2015 14:12:0403/09/2015 14:12:04

Page 12: Servicios de ciberseguridad gestionada

82 SEPT I EMBR E 2 0 1 5 / N º 1 1 6 / S iC

mos, análisis de innovación, congresos y maquetas son esenciales; en seguridad TI y Seguridad Física todo conocimien-to de innovación es poco siempre. Ser conservador es bueno en la ejecución y operación pero no en la estrategia y las organizaciones están demasiado ocupa-das para innovar, para eso nos pagan a los proveedores de seguridad, para ir por delante siempre.

Los puntos 2 y 3 están unidos al 1 de forma que el Cliente tenga siempre un entorno de pruebas e innovación, y pueda ver en el caso más avanzado el impacto de esas tecnologías y políticas en su entorno como un avance en el tiempo, igual que los siste-mas predictivos de rutas aé-reas, que dan la mejor ruta en base a las condiciones climá-ticas estimadas para ser más efi cientes sin miedo a innovar de forma controlada.

El punto 5 es un pilar bá-sico para evaluar un servicio local, ya que la conexión glo-bal es fundamental, las ame-nazas, los Z-Days, los rootkits, botnets, etc. Son globales y la comunidad dark-side (oscura) es cooperativa, por lo que hay que estar conectados a las redes de conocimiento nacionales e internacionales para com-partir, aprovechar y enriquecer el cono-cimiento de las amenazas.

Los fabricantes juegan un papel fun-damental en este punto, ya que habitual-mente hacen de introducción y mueven partners y clientes entre regiones donde exponen a sus mejores expertos y de terceros. Los fabricantes de vanguardia y que quieren que sus productos sigan siendo líderes mueven toda una serie de expertos y retos a los hackers, para probar continuamente su hardware y software y así diferenciarse del resto del mercado.

El punto 6 es muy saludable porque obliga a la evolución, no basta con un mero body shopping para estar up-to-date y certifi carse. Más allá de las certi-fi caciones clásicas, como la ISO 27001, que aplica en la fase de CiberSeguridad 1.0, pero dice bastante poco de un pro-veedor de seguridad 2.0, ya que la 27001 es demasiado dependiente del alcance y de la forma de implementarse del eva-luado. Por eso están surgiendo nuevos actores en el mundo de la certifi cación de proveedores de seguridad y seguridad gestionada, como en el mercado nacional la compañía LEET que ofrece una certi-

fi cación específi ca sobre la calidad del proveedor de seguridad gestionada, su excelencia en la prestación de servicios de seguridad y su solvencia y garantía en los servicios que ofrece. Estos nuevos actores aparecen en el mercado para ayudar a renovar las certifi caciones y excelencia de los proveedores de seguridad, y separar los proveedores 1.0 de los 2.0. Informarse y analizarlo es muy recomendable, fresh air que dicen los ingleses, un poco de aire fresco en lo relativo a las certifi caciones de MSSP y de SOCs, que exigen mucho

continuamente; el primer atacante y ana-lizador de tus servicios debes ser tú mis-mo. Un buen proveedor 2.0 somete a sus fabricantes, proveedores y arquitecturas a análisis, crítica y ataque continuo, lo que le provee de la inteligencia para prevenir y anticipar los vectores de ataques antes de que se les ocurran a los “malos”.

Adicionalmente la red de inteligen-cia es necesario crearla desde fuera de forma anónima por lo que los llamados Tiger-Teams de los equipos dotados de consultores avanzados de seguridad,

interactúan con hackers, crac-kers y curiosos varios externos, gente inquieta que enriquece con su curiosidad y dedicación a destacar como invasor el co-nocimiento de los centros de servicios que lo que quieren es adelantar esos conocimientos a sus clientes para mejorar su seguridad. La diversidad de amenazas, su diversidad de orígenes, los ataques dirigidos y las APTs son elementos en los que las características de inte-ligencia o CiberInteligencia del proveedor 2.0 nos marcarán la diferencia entre la defensa proactiva o ser objetos de ata-

ques sin siquiera saberlo. Como se recoge en el documento del NIST (National In-stitute of Standards and Technology of the United States of America), titulado “Preliminary Cybersecurity Framework”, en palabras del Subsecretario de Defensa de EE.UU. (Feb. 2011): “It was our worst fear: a rogue program operating silently on our system, poised to deliver opera-tion plans in to the hands of an enemy”. (Nuestro peor temor: un programa mali-cioso (malware) operando silenciosamen-te en nuestro sistema, teledirigido para llevar a cabo un plan de daños en manos del enemigo).

Estas palabras del Secretario de De-fensa estadounidense refl ejan perfecta-mente la realidad de la transformación de la CiberSeguridad en nuestros días y el futuro: amenazas silenciosas diseñadas y ejecutadas a medida contra nuestros sistemas, diseñadas para esquivar nues-tras barreras de seguridad perimetrales e internas, de manera lenta pero fi rme.

Estas nuevas amenazas se utilizan para el fraude, el robo de activos, el robo de dinero, el sabotaje, el terrorismo y la intrusión en la privacidad. Hay ejemplos tales como:

1. Stuxnet (2010). Es el primer gu-sano conocido que espía y reprograma sistemas industriales, en concreto siste-

Figura 3.- De la carreta cuadrada por la NO innovación.

más que un certifi cado de ser un CERT o una ISO 27001.

Por último, el punto 7 es algo man-datorio para ser proveedor de servicios 2.0, ya que las oleadas de amenazas, ata-ques y vulnerabilidades se van generando como decimos en TI, following the sun, alrededor del mundo y la ventaja compe-titiva y de operación que ofrece el tener equipos y centros de servicios en 2 ó 3 continentes es la diferencia de tener el 100 % de los servicios down o tener sólo el 50%, porque una región lo sufre y ad-vierte a la otra, así que la multiterritoria-lidad es una característica que deben te-ner obligatoriamente los proveedores de CiberSeguridad 2.0. Lo debemos poner como un must-have para ser proveedor de servicios 2.0.

CiberSeguridad 2.0 Inteligencia. Esta cualidad de los servicios 2.0 se basa en la anticipación, el conocimiento, la experiencia y la infi ltración. Es imposible dar servicios avanzados sin cierto nivel de comunicación con el lado oscuro, bien porque cuentes con un Tiger-Team de primer nivel, bien porque cuentes con las redes de contactos en el Deep-Internet para esa transferencia de conocimiento.

La inteligencia en los servicios viene defi nida por varios elementos, el primero el de atacar y probar tus propios servicios

08_ARTICULOESTELAR con telvent.i82 8208_ARTICULOESTELAR con telvent.i82 82 03/09/2015 14:12:0603/09/2015 14:12:06

Page 13: Servicios de ciberseguridad gestionada

83S iC / N º116 / SEP T I EMBRE 2015

mas SCADA de control y monitorización de procesos, pudiendo afectar a infraes-tructuras críticas como centrales nuclea-res, refi nerías, etc.

2. Flame (2012). Es un motor de malware derivado de Stuxnet. Flame pue-de propagarse a otros sistemas a través de la red de área local (LAN) y mediante memorias USB. Puede grabar audio, cap-turas de pantalla, pulsaciones de teclado y tráfico de red. El programa también graba conversaciones de Skype y pue-de controlar el Bluetooth para intentar obtener información de los dispositivos Bluetooth cercanos. Estos datos, junto con los documentos almacenados en el or-denador, son enviados a uno o varios servido-res dispersos alrededor del mundo. Cuando termina, el programa se mantiene a la espera hasta que recibe nuevas instrucciones de esos servidores.

3. Operación Au-rora (2009 – 2010): conjunto de CiberAta-ques basados en APTs a medida, emitidos supuestamente desde China contra grandes compañías americanas como objetivo principal Google.

4. Red October (octubre 2012): ca-ballo de Troya descubierto por Kaspersky en octubre de 2012 y que espió los móvi-les de una gran cantidad de diplomáticos europeos entre 2008 y 2012.

Este tipo de nuevo malware (progra-mas maliciosos que combinan distintas técnicas de infección, ataque y distribu-ción), algunos los defi nen como APT (Ad-vanced Persistent Threats), requieren un nuevo tipo de servicios de protección. En muchos casos son sólo la punta del iceberg de las miles de APTs que están en producción y que todavía no han sido descubiertas.

SERVICIOS DE GENERACIÓN 3.0: CIBERSEGURIDAD E INTELIGENCIA, ESTRATEGIA, VIRTUALIZACIÓN Y CLOUD

Hemos llegado a nuestro entorno actual, el mundo de los servicios avanza-dos Cloud, de los móviles, del Internet Of Things, de las SmartCities, de los sistemas de control industrial SCADA, en defi nitiva el “mundo internizado” y digital que tan-tas ventajas aporta al usuario fi nal. Pero

este nuevo entorno requiere de un nuevo tipo de proveedor de seguridad y nuevos servicios, además de un cambio funda-mental en la mentalidad de los respon-sables de seguridad de las empresas (CSO o CISOS), la seguridad no se puede dar de forma individual o aislada, hay que usar recursos externos, bien de proveedo-res, de fabricantes o de fuentes libres de terceros; es imposible ofrecer seguridad en una gran compañía en nuestros días con recursos propios únicamente. Y ¿por qué? Veámoslo.

El mundo de la Ciberseguridad 3.0 es un escenario nuevo que toda compa-

proyecto, frente a otros objetivos más normales para el negocio como el au-mento de clientes, fi delización, aumento de mercados o crecimientos de negocio en general.

La Ciberseguridad 3.0 nacida de este nuevo mundo ultradigitalizado, combina 7 factores determinantes que lo defi nen y nos dan las claves para sobrevivir en el nuevo ecosistema; son los siguientes:

1. El elemento atacante es dinámi-co y dispone de inteligencia, se adapta a las medidas de seguridad del cliente y a los cambios del entorno, para perma-necer oculto y operativo en el máximo

número de sistemas, durante el máximo tiempo posible.

2. Se combinan elementos de natu-raleza tecnológica dispar que interac-túan autónomamen-te y en tiempo real, como sistemas SCADA y sistemas industriales (navegación área, sis-temas de control satéli-te, drones, sistemas de conducción de coches), M2M e Internet Of Things (IoT) millones de equipos comuni-cándose y actuando sin absolutamente ninguna intervención humana y

en tiempo real o SmartCities (ciudades que interactúan con los sistemas de los ciudadanos de forma independiente y automática).

3. Se desarrollan nuevas aplicacio-nes por millones diariamente, el ele-mento código de programas se convierte en un elemento clave en el nuevo campo de seguridad, ya que tanto en el mundo móvil como en el fi jo, las Mobile Apps generan millones de nuevos programas, apareciendo y combinándose diariamen-te e instalándose instantáneamente en miles de millones de dispositivos. Este fenómeno ha disparado el número de programas en los que la seguridad no es una prioridad.

4. El Cloud y el IoT, eliminan los pe-rímetros de seguridad, no hay fronteras entre sistemas, empresas y usuarios, y el campo de actuación, impacto y ataque de las nuevas amenazas es prácticamen-te infinito, todo un “greenfield” para los ataques. La adopción de la nube por departamentos no tecnológicos, como marketing, RR.HH., fi nanciero, compras, etc. genera exposición de áreas a las que

Figura 4.- Catálogo de Servicios de CiberSeguridad 2.0 Avanzado. Estructura de SOC 2.0

ñía debería sentarse a valorar de cara a su estrategia y reescribir su Plan Direc-tor de los próximos 2 ó 3 años; en los tiempos actuales no se me ocurriría hacer un Plan Director a más de 3 años. Con la variabilidad y evolución de tecnologías y amenazas sería una locura. De hecho muchas compañías con buen sentido de la estrategia están desarrollando un Li-bro Blanco de Seguridad 3.0, ya que han entendido que muchos ámbitos de las compañías van a necesitar una guía de seguridad que les ayude a tener cri-terio, y ¿por qué? O ¿para qué puede el departamento de Marketing de una gran compañía de seguros, o hidrocarburos o de venta de productos alimenticios o textiles necesitar un libro blanco de guía de seguridad? Pues sencillamente porque no hay ni una sola compañía de ningún sector que no esté ya o vendiendo por Internet, o desarrollando sus Apps de pago y fidelización u obligando a sus proveedores a interactuar para facturas y pedidos vía Internet, y le aseguro, lec-tor, que ninguna de ellas se ha planteado la Seguridad como la prioridad para ese

08_ARTICULOESTELAR con telvent.i83 8308_ARTICULOESTELAR con telvent.i83 83 03/09/2015 14:12:0803/09/2015 14:12:08

Page 14: Servicios de ciberseguridad gestionada

84 SEPT I EMBR E 2 0 1 5 / N º 1 1 6 / S iC

JUAN MIGUEL VELASCO LÓPEZ-URDA

Partner & Managing DirectorAIUKEN SOLUTIONS

los departamentos de seguridad no están habituados a enfrentar, ni existen medi-das tecnológicas físicas (on premise) a desplegar. Sólo con servicios de seguridad Cloud, se pueden proteger y monitorizar servicios Cloud.

5. El volumen de información y datos a controlar crece exponencial-mente. Se multiplica el volumen de datos generados por los ataques y se extienden en el tiempo días o meses. La enorme cantidad de aplicaciones y sistemas nuevos provoca una avalancha de datos generados y las compañías ven inviable una recogida eficiente de información. Además muchas de las apps no generan logs, por no hablar de que muchos servicios en nube no tienen logs o no permiten el acce-so a los mismos. Recoger y apreciar toda esa informa-ción es clave en los servicios de Ciberseguridad 3.0.

6. El valor de la infor-mación y la virtualización de la moneda y las tran-sacciones económicas, combinado con las mo-nedas digitales virtuales, favorece el cibercrimen y el ciberfraude, ya que se pueden capitalizar los éxitos de forma inmediata, anónima e impune, y además la infor-mación es dinero, con lo que no hace falta robar dinero en sí mismo para que el fraude o el ataque sea exitoso. Hábi-tos, información personal, localización, gustos, relaciones y en general cualquier información de usuarios y empresas sig-nifi can dinero.

7. La inteligencia, la colaboración, la anticipación y la actuación en tiem-po real son las claves para una pro-tección efi ciente. Estas son las carac-terísticas que deben tener los sistemas ofrecidos por los MSSP (Proveedores de seguridad gestionada), y fabricantes de software y hardware de seguridad 3.0, de la combinación de todos o alguno de ellos depende la efi cacia de nuestra protección y de la seguridad de nues-tros activos y personas y su información. Es fundamental pertenecer a redes de inteligencia común, compartir conoci-mientos y amenazas y de igual forma desplegar.

Estos factores se deben tener en cuen-ta y combinar en los servicios y productos 3.0, y afectan de forma separada pero combinada el despliegue de seguridad.

Además nos da una guía sencilla para identifi car la estructura del portafolio de CiberSeguridad 3.0, que debe incluir al menos:

– Grupo 1.- Servicios de seguridad Cloud (¡Ojo! Son servicios de seguridad Cloud no servicios Cloud con seguridad, no confundir).

– Grupo 2.- Servicios de protección y análisis de aplicaciones y código.

– Grupo 3.- Servicios SIEM y Big Data.

– Grupo 4.- Servicios de Ciberinteli-gencia.

dad sin vuelta atrás. Lamentablemente la mayor parte de la empresas (grandes y pymes), ignoran o menosprecian esta evolución, lo que ya está costando mi-les de millones en daños de imagen, ro-bos, fraude y pérdidas de información; basta recordar los casos de Sony o el más reciente de Ashley Madison, o el último ataque de XSS sobre Salesforce (http://www.cio-today.com/article/in-dex.php?story_id=101003937V84), si bien en España y LATAM ocurre tam-bién a menudo.

La adopción del Cloud en los pro-cesos de negocio está ace-lerando la desaparición de los perímetros y las empre-sas requieren de nuevos servicios y productos ca-paces de adaptase a este nuevo entorno dinámico y virtual.

Se dan casos en los que grandes corporaciones están desarrollando capacidades avanzadas para protegerse a sí mismas y se podría dar el caso de que incluso en un futuro cercano pudiéramos ver cómo estas corporacio-nes especializadas en SCA-DA o servicios financieros se conviertan también, por qué no, en proveedores de Ciberseguridad 3.0 para

terceros aprovechando sus capacidades y tecnologías internas.

El futuro está abierto, y lo único cier-to es que la multiplicación exponencial del Cloud, el Internet of Things y las aplicaciones móviles, nos obligan a los proveedores y fabricantes de seguridad a avanzar igual o más rápido. No nos va a salvar el “security by design” que mu-chos desarrolladores no aplican, porque el crecimiento de los nuevos entornos es exponencial, así que necesitamos que los servicios, productos y proveedores de Ciberseguridad evolucionen a la misma velocidad, porque el mundo del perí-metro controlado y localizado no va a volver. ■

* Fuentes: Incapsula-Imperva, Arbor Networks, Corero Networks, NIST, SANS Institute, LEET.

Figura 5.- Deep-Internet.

Por supuesto los tradicionales ser-vicios de integración y despliegue de tecnologías pueden estar incluidos en el portafolio, y los servicios gestionados de tecnología on premise, pero al ser de sobra conocidos y estar incluidos en las generaciones 1.0 y 2.0, no los conside-ramos. Si bien la complejidad y profun-didad de las nuevas familias de servicios 3.0 está generando proveedores espe-cífi cos especialistas y cada vez es más difícil ser un proveedor generalista que pueda cubrir los cuatro grupos de nue-vos servicios. Los nuevos proveedores de ciberseguridad (MSSP) combinan solu-ciones propias y de terceros para cubrir los cuatro campos de forma integral y coherente, y además logran integrar dis-tintos servicios y tecnologías de forma sencilla. Este es el futuro que los MSSP 3.0 van a jugar.

TO CIBERSEGURIDAD 3.0 AND BEYOND

Los 7 factores que hemos descrito en el apartado anterior confi guran un pre-sente que nos encamina a un futuro de cambio de los entornos de Ciberseguri-

08_ARTICULOESTELAR con telvent.i84 8408_ARTICULOESTELAR con telvent.i84 84 03/09/2015 14:12:1003/09/2015 14:12:10

Page 15: Servicios de ciberseguridad gestionada

86 SEPT I EMBR E 2 0 1 5 / N º 1 1 6 / S iC

Seguridad absoluta o relativa

No quisiera insultar al lector o a la lectora habitual de esta revista dedicando mucho tiempo a justifi car por qué no podemos afi rmar si un determinado servicio o proveedor o si, nosotros mis-mos, estamos seguros. De hecho, creo que de lo único de lo que cualquiera de nosotros está seguro es de que no esta-mos/somos seguros (perdón por el juego de palabras), hecho que se debe a que el califi cativo de seguro hace referencia, según el diccionario de la lengua espa-ñola 1, a algo que es: (i) libre y exento de todo peligro, daño o riesgo; (ii) cierto, indubitable y en cierta manera infalible; o (iii) fi rme, constante y que no está en peligro de faltar o caerse.

Como somos conscientes de que la seguridad al cien por cien no existe, la siguiente pregunta que debemos res-ponder entonces es, ¿cuánto de seguro es mi proveedor? O más en concreto, ¿cuánto de seguro es este servicio que utilizo o quiero utilizar?

Es decir, estamos hablando de medir la seguridad, algo sobre lo cual se ha escrito y dicho tanto, que no merece la pena dedicarle aquí más tiempo. Pero sí refl exionar sobre un componente de la seguridad, la subjetividad. Según el perfi l de riesgo que tengamos, bien como personas, bien como organizaciones, nos sentiremos cómodos con un mayor o menor nivel de riesgo, y, por ende, con un mayor o menor nivel de seguridad.

Por tanto, el reto al que nos enfren-tamos es cómo medir la seguridad de un servicio de forma general, objetivamente y que nos sirva para comparar entre servicios. Mi respuesta es utilizar una califi cación de la seguridad específi ca para los servicios TIC.

En suma, que necesitamos disponer

de un método que, de manera sencilla, permita conocer las características de seguridad de un servicio y poder valorar así si se adecúa a las necesidades estable-cidas 2. En particular, para los servicios de seguridad gestionada, por muy amante al riesgo que sea la organización, será de esperar que se requieran del servicio unos niveles de robustez y madurez de las medidas de seguridad superiores a la media.

Características de un servicio de califi cación específi co para servicios TIC

En un informe publicado por Penteo sobre vendor risk management se resaltan las características principales que debe reunir una califi cación como la propuesta, en términos formales; a saber:

• Escala de califi cación claramente establecida.

Antonio Ramos

Tu proveedor (de seguridad gestionada) no es seguro

Los servicios de seguridad gestionada implican unos altos requisitos de seguridad. Cómo co-nocer las medidas que implementa el proveedor es algo relativamente sencillo si se acude a un sistema de califi cación diseñado específi camente para medir la efectividad de las medidas de seguridad de un servicio TIC, en este caso, de seguridad gestionada.

• Publicidad del algoritmo de califi ca-ción y de las califi caciones asignadas.

• Criterios de asignación objetivos y actualizados.

• Defi nición del alcance orientado a servicios, no a organizaciones.

• Independencia y cualifi cación téc-nica del califi cador / auditor.

• Existencia de un mecanismo de supervisión para garantizar la validez de las etiquetas asignadas a un servicio.

• Existencia de un sistema de garan-tías por parte del califi cador.

• Consideración de la cadena de suministros.

Por otro lado, en cuanto a los aspec-tos que debe revisar una califi cación de seguridad, debería estar alineada con las mejores prácticas internacionales, es decir, contar con una taxonomía

El reto al que nos enfrentamos es cómo medir la seguridad de un servicio de forma general, objetivamente, y que nos sirva para comparar entre servicios. Mi respuesta es utilizar una califi cación de la seguridad específi ca para los servicios TIC.

Incluso aunque fuéramos muy aman-tes del riesgo, es bastante probable que los servicios de seguridad gestionada pa-sen a estar regulados por la normativa de Seguridad Privada 3 y que el reglamento que debe publicarse establezca condi-ciones de seguridad mínima de dichos servicios (esperemos que en función del tipo de cliente al que se preste servicio, básicamente porque no es lo mismo gestionar, digamos un cortafuegos de una tienda online, que de una infra-estructura crítica, o de un organismo ofi cial). De nuevo, vemos la necesidad de evaluar la robustez y efectividad de las medidas de seguridad del servicio para ver si las medidas implantadas son sufi cientes para cumplir las expectativas de los usuarios.

1 Véase defi nición en el enlace http://lema.rae.es/drae/?val=seguro2 Recomendación realizada por la Comisión Europea a la industria TIC en la Directiva Europea de Ciberseguridad en

febrero de 20133 Véase normativa aplicable en la web del Ministerio del Interior, http://www.interior.gob.es/web/servicios-al-ciuda-

dano/personal-de-seguridad-privada/normativa-basica-reguladora

08_ARTICULOESTELAR con telvent.i86 8608_ARTICULOESTELAR con telvent.i86 86 03/09/2015 14:12:1403/09/2015 14:12:14

Page 16: Servicios de ciberseguridad gestionada

87S iC / N º116 / SEP T I EMBRE 2015

ANTONIO RAMOS

CEOLEET Security

de controles lo más amplia posible. (Como ejemplo, se incluyen las áreas contempladas en la metodología de LEET Security. Ver fi gura 1).

Estos aspectos son especialmente relevantes en el caso de los servicios de seguridad gestionada en los que, dado su ámbito de utilización, las medidas de seguridad que incorpora el propio servicio cobran especial relevancia.

Está bien preguntar a nuestro proveedor de servicios de seguridad gestionada si dispone de un SGSI certifi cado; pero lo que verdade-ramente nos va a ayudar a tomar una decisión es conocer aspectos concretos de seguridad como, por ejemplo:

• ¿Cómo de protegido está el ac-ceso físico al Centro de Operaciones de Seguridad? ¿Control biométrico o un simple PIN?

• ¿Cómo de robustos son los controles de acceso lógico para evitar accesos de personal no autorizado?

• ¿Cómo se controla el uso de las credenciales de administración?

• ¿Qué nivel de preparación tie-nen los operadores y los analistas? ¿Conocen las tecnologías que ges-tionan? ¿Cuentan con algún tipo de cualifi cación?

• ¿Qué medios técnicos y capaci-dades personales tiene para detectar incidentes, analizarlos para saber qué está pasando y responder en caso de ataques?

• ¿Hasta qué punto puede garantizar la continuidad del servicio? ¿Dispone de centros alternativos de procesa-miento?

conocer cuan robustas son las medidas de seguridad (en función del nivel de califi cación) y, no solo en el momento inicial, sino durante toda la vida del servicio, puesto que una agencias de califi cación supervisa (o debería) que

Figura 1.- Medidas de seguridad evaluadas por LEET Security.

miento existen dos formas, o revisar al proveedor de manera exhaustiva, o utilizar la califi cación de un tercero independiente, que aporte el mismo nivel de transparencia pero que, ade-más, incorpore mecanismos de moni-torización y supervisión que permitan asegurar que el nivel de seguridad se mantiene a lo largo del ciclo de vida del servicio.

Por igual motivo, los proveedores que califi can sus servicios de seguridad gestionada muestran su voluntad de transparencia y de someterse a un con-trol de un tercero independiente que demuestra que no tienen qué ocultar y que prefi eren la seguridad por claridad que la seguridad por oscuridad, ¿qué tipo de proveedor prefi ere? ■

Los proveedores que califi can sus servicios de seguridad gestionada muestran su voluntad de transparencia y de someterse a un control de un tercero independiente que demuestra que no tienen qué ocultar y que prefi eren la seguridad por claridad a la seguridad por oscuridad.

Es bastante probable que los servicios de seguridad gestionada pasen a estar regulados por la normativa de Seguridad Privada y que el reglamento que debe publicarse establezca condiciones de seguridad mínima de dichos servicios (esperemos que en función del tipo de cliente al que se preste servicio, básicamente porque no es lo mismo gestionar, digamos un cortafuegos de una tienda online, que de una infraestructura crítica, o de un organismo ofi cial).

• ¿Cómo de probada tiene su ope-rativa de contingencia?

• ¿Hasta qué punto un ataque APT dirigido al proveedor puede terminar afectando a mi infraestructura?

• ¿Qué mecanismos de segregación existen?

• ¿Se han establecido ANSs para los servicios? ¿Se revisan periódicamente?

Todos estos controles y muchos otros son los que se evalúan para asig-nar un nivel de califi cación y permiten

el nivel asignado es correcto en todo momento.

Conclusión

Los servicios de seguridad gestio-nada son, normalmente, de elevada criticidad para las empresas que los usan. Por tanto, conocer la fi abilidad de las medidas de seguridad que el proveedor del mismo implementa es crítico. Y para adquirir este conoci-

08_ARTICULOESTELAR con telvent.i87 8708_ARTICULOESTELAR con telvent.i87 87 03/09/2015 14:12:1803/09/2015 14:12:18

Page 17: Servicios de ciberseguridad gestionada

88 SEPT I EMBR E 2 0 1 5 / N º 1 1 6 / S iC

Al igual que las organizaciones usuarias, las proveedoras de servicios de ciberseguridad gestionada (MSSPs) buscan los estados de mayor efi ciencia en la explotación de su negocio, que no es otro que proteger los de sus clientes. Son los primeros interesados en saber lo que pasa, lo que puede pasar y en pronosticar lo que hay que esperar para poder adaptar su oferta, incorporar nuevas disciplinas y aplicar nuevos métodos, técnicas y tecnologías para evolucionar los servicios en consonancia con los derroteros que están tomando las TIC usadas por sus clientes y por los atacantes. Y casi lo más importante: deben disponer de equipos de analistas bien entrenados y siempre a la última.

Los MSSPs opinan

“Accenture está haciendo un importante esfuerzo de adaptación de sus propuestas de seguridad para cubrir y dar soluciones al problema de las APTs y a los ataques que se están produciendo y que se prevé que crezcan en los próximos meses”

Juan Carlos Torres CañeteSpain Infrastructure Delivery Center Security LeadACCENTURE

Actualmente, Accenture está haciendo un importante esfuerzo de adaptación de sus propuestas de seguridad para cubrir y dar soluciones a nuestros clientes ante las nuevas amenazas y ataques que se están produciendo y que se prevé que crezcan en los próxi-mos meses (como, por ejemplo, en el área de APTs).

Como parte de estas medidas de actualización, estamos cola-borando estrechamente con los fabricantes para ajustar nuestro catálogo de servicios tecnológicos a estas nuevas necesidades, tanto con los “grandes” fabricantes a través de programas de in-versión conjunta en nuestros laboratorios de Innovación de Ciber-

seguridad alrededor del mundo, como a nivel local con empresas españolas que están despuntando en este ámbito.

Al mismo tiempo, seguimos trabajando con nuestros clientes para entender sus nuevas necesidades donde estamos apreciando un mayor interés de sus áreas de negocio en el impacto que las amenazas de seguridad tienen sobre el mismo. Esto se traduce en la necesidad de implantación de Cuadros de Mando de Negocio donde la Seguridad es pieza clave y un mayor interés de nuestros clientes en colaborar con empresas especializadas del sector para ayudarles en la gestión de incidentes de seguridad.

Desde nuestro Centro de Servicios de Madrid, integrado en la Red de Centros de Seguridad de Accenture, apostamos por el desarrollo de estos productos para dar respuesta a las nuevas ne-cesidades de nuestros clientes.

“El catálogo de servicios de BT Security ha evolucionado para incorporar soluciones de ciberinteligencia y correlación de eventos de varias compañías del mismo sector, com-plementando con servicios ERS en escenarios de actuación previamente entrenados”

José PereiroDirector para España y PortugalBT SECURITY

Las organizaciones demandan soluciones que sean específi cas a su sector, precisas y en tiempo real. El disponer de cantidades ingen-tes de alertas genéricas y desagregadas que tardan horas o incluso días en ser analizadas ya no es sufi ciente para contener y mitigar los ataques que con mayor frecuencia se ejecutan en ventanas más reducidas en tiempo. Por ello el catálogo de servicios ha evolucio-nado para incorporar soluciones de ciberinteligencia y correlación de eventos de varias compañías del mismo sector, complementando con servicios ERS en escenarios de actuación previamente entre-

nados. Sin duda esto afectará positivamente a los riesgos empre-sariales, especialmente en lo relativo a las amenazas, al igual que en algunos escenarios como los ataques DDoS, en los que hemos visto que el hecho de disponer de contramedidas solventes ya es sufi ciente en muchos casos para actuar como medida disuasoria y evitar un ataque contra la empresa; aquellas empresas que dispon-gan de mejores servicios de ciberinteligencia y SOC tendrán un nivel de riesgo menor por el simple hecho de tenerlas.

La superfi cie de ataque en Internet es inmensa, los ciberdelin-cuentes no quieren perder el tiempo ni asumir el riesgo de ser de-tectados atacando empresas adecuadamente protegidas cuando tienen otras miles en las que pueden conseguir sus objetivos de forma rápida y anónima.

Proveedores de Servicios de Ciberseguridad

08_ARTICULOESTELAR con telvent.i88 8808_ARTICULOESTELAR con telvent.i88 88 03/09/2015 14:12:2003/09/2015 14:12:20

Page 18: Servicios de ciberseguridad gestionada

89S iC / N º116 / SEP T I EMBRE 2015

Los MSSPs opinan

“El CyberSOC de Deloitte siempre tiene presente la evolución de las amenazas y los ataques a medio plazo desde una perspectiva ligada a la situación específi ca de cada sector y cada organización para poder ofrecer servicios avanzados, globales y altamente especializados”

Abel González LanzaroteDirectorDELOITTE (CyberSOC)

El CyberSOC de Deloitte siempre tiene presente la evolución de las amenazas y los ataques a medio plazo desde una perspectiva ligada a la situación específi ca de cada sector y de cada organización. La constante ampliación de nuestro catálogo es para prevenir, responder más rápido y trabajar de manera más efi ciente para proteger el corazón del negocio de nuestros clientes. Deloitte mantiene una serie de iniciativas a nivel global con la colaboración de todas las Firmas Miembro de Deloitte en el mundo, para el análisis y gestión de ciberamenazas mediante el desarro-llo e implementación de una plataforma de capacidad global y unifi cada. Esto se plasma en nuestro Centro de Excelencia de CyberIntelligence y Análisis Avanzado de Malware (eCIC) incluido en el CyberSOC con sedes en Barcelona y Madrid.

Otras iniciativas globales como nuestra biblioteca compuesta por más de 4.500 casos de uso defi nidos para distintas tecnologías SIEM, la plataforma GAST (Global Application Security Testing) y nuevos cursos de nuestra CyberSOC Academy persiguen anticiparse a la imparable progre-sión de las ciberamenazas y los ciberataques a medio y largo plazo.

Finalmente, dado que la seguridad total es imposible, en caso de que el ciberataque tenga éxito, es esencial contar en nuestro catálogo con un servicio mundial CIR (CyberIncident Response) con capacidad de respuesta en 38 países que de forma organizada gestiona la situación de manera que se limite el daño y permita al negocio retomar su operativa normal tan pronto como sea posible.

En defi nitiva, servicios avanzados, globales y altamente especializa-dos con el objetivo de lograr que las organizaciones puedan fortalecer sus capacidades de prevención, detección, defensa y respuesta a las amenazas y ciberataques.

“Ante la evolución prevista de las amenazas, los ataques y su tratamiento, Mnemo ha renovado su SOC incorporando nuevas herramientas y tecnologías para que nuestro CERT gestione de un modo más efi caz los Laboratorios de Malware, Forense Digital, Fraude y de Dispositivos Electrónicos”

Inmaculada Parras PastorGerente de Desarrollo de Negocio, Tecnología y SeguridadMNEMO

En Mnemo llevamos varios años trabajando en proyectos de I+D+i en Ciberseguridad e incorporando servicios asociados a nuestro catá-logo, desde los tradicionales de Gobierno de la Seguridad, Auditorías de Vulnerabilidades, Respuesta a Incidentes, Hacking Ético y servicios de SOC, hasta los últimos servicios para hacer frente a la evolución de los grandes grupos organizados, con servicios de Threat Intelligence, para poder determinar las características de los atacantes y defi nir estrategias para prevenir y anticipar los ataques.

De hecho, la toma de conciencia sobre la evolución de las ame-nazas, los ataques y su tratamiento ha hecho que renovemos nuestro SOC que se presentará el próximo mes de octubre; a él se han incor-porado nuevas herramientas y tecnología para que nuestro Equipo

de Respuesta a Emergencias Informáticas (CERT) gestione los Labo-ratorios de Malware, Forense Digital, Fraude y de Dispositivos Electró-nicos, para dar respuesta de forma más rápida y aún más fi able a las acciones de prevención, al análisis detallado de los datos y de forma signifi cativa a la presentación de resultados.

Estamos desarrollando herramientas propias dirigidas a los servi-cios de seguridad sistemas SCADA para la protección de infraestruc-turas críticas y en Threat Intelligence. El refuerzo de nuestro catálogo se está concentrando también en la ampliación del equipo de Ci-berseguridad y en el área de Formación, aspecto clave para que las organizaciones tengan un punto de partida en la toma de conciencia del cambio tan profundo al que asistimos en la forma de atender los requerimientos de seguridad de la organización y los empleados.

Es nuestro objetivo proporcionar servicios de seguridad con alcan-ce global y ámbito 360º. La estructura de Mnemo da cobertura global con Centros en tres países de Europa, Sudamérica y Arabia Saudita.

La revista SIC ha formulado a trece MSSPs que tienen SOC la siguiente pregunta:

¿Cómo va a afectar a la ampliación del actual catálogo de servicios de ciberseguridad gestionada la evolución de las amenazas y los ataques prevista a medio plazo?

Aquí están sus respuestas.

Gestionada: tiempos de transformación

08_ARTICULOESTELAR con telvent.i89 8908_ARTICULOESTELAR con telvent.i89 89 03/09/2015 14:12:2703/09/2015 14:12:27

Page 19: Servicios de ciberseguridad gestionada

90 SEPT I EMBR E 2 0 1 5 / N º 1 1 6 / S iC

Los MSSPs opinan

“En base a la evolución de las amenazas y los ataques, HP ESS se ha centrado en aumentar las capacidades para enfrentarse a APTs, reforzar el equipo de respuesta a incidentes, reciclar constantemente los equipos de gestión de alertas y vigilancia digital y consolidar el grupo de Gestión de Vulnerabilidades y Amenazas”.

Karen Gaines CorderoDirectora GeneralHP ENTERPRISE SECURITY SERVICES PARA IBERIA

Siendo el proveedor de confi anza para nuestros clientes en el mercado de la seguridad, estamos en continuo desarrollo de meto-dologías y avances técnicos, dando ese grado de especialización en multitud de tecnologías y adelantándonos con nuestros sistemas de alertas para evitar fugas de información y brechas de seguridad.

La evolución de las amenazas y los ataques a medio plazo impli-can que nuestros servicios gestionados deben evolucionar a su vez en los siguientes frentes:

• Aumentar su capacidad de enfrentarse a APTs. En esto aprove-chamos la estrategia global de HP en su alianza con FireEye.

• Reforzar nuestro equipo específi co de respuesta a incidentes

de seguridad con expertos en múltiples materias que puedan dar respuesta rápida, con capacidad para desplegarse en cualquier mo-mento y en cualquier cliente.

• Reciclar constantemente los equipos de gestión de alertas de seguridad y vigilancia digital para que estén totalmente informados de los últimos focos de amenazas y mejorar así su detección y anti-cipación.

• Consolidar nuestro grupo de Gestión de Vulnerabilidades y Ame-nazas, equipo que engloba servicios como hacking ético y revisión de código, entre otros) para dar el nivel de exigencia en seguridad que necesitan las empresas.

Todas estas medidas se complementan mejorando los fl ujos in-ternos, para que las sinergias entre los distintos equipos aumenten signifi cativamente la efi ciencia y el valor aportado por nuestro servicio gestionado de seguridad basado en Madrid.

“Indra está comprometida en acompañar a sus clientes en sus necesidades de ciberseguridad para ayudarles tanto a estar al día de la situación de riesgo y de las novedades tecnológicas, normativas y en procedimientos de mitigación, como a responder ante situaciones de materialización de amenazas concretas y propias de su negocio”

Marta OlivánGerente de Desarrollo de Negocio - CybersecurityINDRA DIGITAL

Para dar cobertura a las necesidades en Ciberseguridad, las gran-des empresas e instituciones han necesitado pasar de tener un grupo de personas en asistencia técnica (incluso de diferentes proveedo-res) coordinadas por ellos mismos, a necesitar un partner (no un pro-veedor) que sea capaz de dar un servicio integral de ciberseguridad (tanto en amplitud por la diversidad, como en profundidad por las necesidades de especialización), personalizado a sus necesidades, que sea capaz de cubrir el día a día mediante un Centro de Servicios de Ciberseguridad, pero que, además cuente con un grupo competente

de especialistas en las, cada vez más, específi cas y dirigidas técnicas de ataque y amenazas.

Un socio como siempre ha sido Indra, comprometido en acom-pañarle en sus necesidades, y que le permita tanto estar al día de la situación de riesgo y de las novedades en cuanto a tecnologías, normativas y procedimientos de mitigación, como responder con la máxima rapidez y efi cacia ante situaciones de materialización de ame-nazas concretas y propias de su negocio: no son lo mismo los sistemas embarcados en aeronaves, que los sistemas de banca online, que las redes de control de una central nuclear, el acceso a Internet de los empleados de una gran compañía o el portal de clientes de una ope-radora de móviles. Todos son necesarios para sus negocios, y cada uno tiene su complejidad, particularidad y puntos de vulnerabilidad.

“Los servicios de seguridad gestionada deberán ampliar su catálogo actual para dar cobertura a las nuevas necesidades de protección. Para S2 Grupo va a ser especialmente relevante la capacidad de los SOC para hacer frente a APT cuyos objetivos no sean únicamente el robo de información –que también–, sino adicionalmente el sabotaje”.

José Miguel RosellSocio DirectorS2 GRUPO

En nuestra opinión, los servicios de seguridad gestionada deberán, a medio plazo, cubrir no sólo el catálogo actual, sino ampliar éste para dar cobertura a las nuevas necesidades de protección que sin duda van a surgir; para nosotros va a ser especialmente relevante la capacidad de los SOC para hacer frente a APT cuyos objetivos no sean únicamente el

robo de información –que también–, sino adicionalmente el sabotaje. En este sentido, el del sabotaje, es muy preocupante la seguridad

en el Internet de las Cosas, sobre todo cuando esas “cosas” son críticas: desde suministros esenciales para una nación hasta elementos no tan críticos pero especialmente relevantes incluso para la vida humana, como sistemas industriales de todo tipo o sistemas de control médico. O por qué no, automóviles –todos hablamos estos días del incidente de Jeep–, acuarios o espejos... elementos conectados a Internet que requerirán una adecuada protección y servicios de vigilancia desde un SOC.

08_ARTICULOESTELAR con telvent.i90 9008_ARTICULOESTELAR con telvent.i90 90 03/09/2015 14:12:3303/09/2015 14:12:33

Page 20: Servicios de ciberseguridad gestionada

91S iC / N º116 / SEP T I EMBRE 2015

Los MSSPs opinan

“La difi cultad de detectar y gestionar estos riesgos sólo es posible con un equipo de profesionales muy especializado, que se adapte continuamente a las nuevas amenazas y ofrezca soluciones ágiles y fl exibles, en función de las necesidades de cada cliente”

Félix Muñoz AstillerosDirector GeneralINNOTEC SYSTEM (Grupo ENTELGY)

Inteligencia y apuesta decidida por personal cualifi cado son las bases por la que estamos apostando desde InnoTec System (Grupo En-telgy). Nuestra larga experiencia en la gestión de incidentes y amena-zas, en todo tipo de organizaciones, nos ha dejado clara la necesidad de adaptación continua e, incluso, de anticipación a cualquier riesgo. Máxime en un momento como el actual, en el que el número de ame-nazas, su grado de sofi sticación y su peligrosidad crecen de un modo constante. La difi cultad de detectar y gestionar estos riesgos sólo es

posible con un equipo de profesionales muy especializado, que se adapte continuamente a las nuevas amenazas y ofrezca soluciones ágiles y fl exibles, en función de las necesidades de cada cliente.

Por ello, en nuestra compañía se crearon hace ya más de tres años dos departamentos encargados de adaptar nuestros servicios a las nuevas amenazas: IRTLABS e ILABS. El primero es el responsable de buscar y defi nir soluciones, mejorando todos los procesos y automa-tizando en la medida de lo posible los servicios. Por su parte, ILABS es el encargado de poner en producción estas nuevas soluciones, realizando, si es necesario, nuevos desarrollos para llevar a cabo las mejoras. Ampos departamentos están conformados por profesionales con amplia experiencia en la materia.

“Es necesario suplementar los servicios de inteligencia con capacidades de respuesta que garanticen una contención y mitigación de los (ciertos) incidentes de seguridad. Este es un ámbito más de desarrollo de servicios que hay que complementar con un mayor nivel de especialización en las capacidades de la organización”

Roberto López NavarroJefe de División Servicios Gestionados GMV SOLUCIONES GLOBALES INTERNET

Si algo caracteriza el panorama de amenazas a medio largo plazo es la continua innovación y adaptabilidad. En consecuencia, tanto los consumidores como proveedores de servicios de ciberseguridad deben dotarse de las capacidades necesarias para poder identifi car y responder a estas nuevas estrategias. En esta continua batalla, cobran especial importancia los servicios de inteligencia y la capacidad de

actuar sobre la misma para desarrollar estrategias efi caces y efi cientes. Al mismo tiempo, es evidente que la prevención, basada en el cono-cimiento de estas amenazas, no es sufi ciente, pues no se trata tanto del cómo si no del cuándo.

Estos servicios de inteligencia es necesario suplementarlos con capacidades de respuesta que garanticen una contención y mitiga-ción de los (ciertos) incidentes de seguridad. Este es otro ámbito de desarrollo de servicios para los proveedores de seguridad, comple-mentado con un mayor nivel de especialización en las capacidades de la organización.

“La necesidad de contar con información fi able acerca de las amenazas va a ser cada vez mayor. En IBM contamos con diez SOC interconectados a nivel mundial que nos permiten conocer ataques en algunos casos antes de que lleguen a España y anticiparnos para minimizar el impacto en nuestros clientes”.

Susana del PozoResponsable de Servicios de Seguridad IBM España, Portugal, Grecia e Israel

El incremento constante en la complejidad y sofi sticación de los ataques se une a la adopción de modelos cloud y entornos colabo-rativos en los que los servicios de seguridad tradicionales pierden efi cacia. Los catálogos de servicios están en continua evolución para asegurar la protección extremo a extremo, tanto en entornos TI tra-dicionales como cloud. Entre las últimas incorporaciones a nuestro portafolio de servicios cabe destacar los servicios de seguridad para

cloud, o el servicio de protección de ejecutivos para gestionar la se-guridad de sus actividades en redes sociales.

La necesidad de contar con información fi able acerca de las ame-nazas va a ser cada vez mayor. En IBM contamos con 10 centros de operación de seguridad interconectados a nivel mundial que nos per-miten conocer ataques en algunos casos antes de que lleguen a Espa-ña y anticiparnos para minimizar el impacto en nuestros clientes.

El volumen de información a considerar (tanto interna como exter-na) y las necesidades de correlación van a seguir creciendo, lo que va a hacer que se intensifi que el uso de herramientas analíticas avanzadas aplicadas a los servicios de seguridad.

08_ARTICULOESTELAR con telvent.i91 9108_ARTICULOESTELAR con telvent.i91 91 03/09/2015 14:12:4503/09/2015 14:12:45

Page 21: Servicios de ciberseguridad gestionada

92 SEPT I EMBR E 2 0 1 5 / N º 1 1 6 / S iC

Los MSSPs opinan

“Los servicios de ciberseguridad gestionada deben ser más multidisciplinares y estar totalmente interconectados. En este sentido S21sec, bajo el concepto Security as a Service (SecaaS), ofrece soluciones globales, una visión 360º de los eventos y acontecimientos de las organizaciones a las que protege”

Andoni ValverdeHead of Cybersecurity Managed ServicesS21SEC

Existen dos pilares principales para hacer frente a la especializa-ción y masifi cación de las ciberamenazas. Por un lado, la formación del usuario fi nal, donde seguimos viendo que por más medidas tec-nológicas que se implementen, continúa siendo el eslabón más débil de la cadena. Asimismo, los servicios de ciberseguridad gestionada deben avanzar en ser más multidisciplinares y estar totalmente in-terconectados. En este sentido, S21sec, bajo el concepto Security as a Service (SecaaS), ofrece soluciones globales, una visión 360º de los eventos y acontecimientos de las organizaciones a las que protege.

No sólo se trata de una metodología, sino que además juega un pa-pel fundamental nuestra plataforma de inteligencia, que provee en cada instante la información precisa contextualizada a cada equipo de trabajo.

La evolución de los servicios de S21sec en ciberseguridad ges-tionada seguirá estas líneas y nuestro catalogo se nutrirá de solucio-nes integrales, servicios avanzados que mejoran sustancialmente la gestión y la inmediatez en la respuesta a los incidentes, así como la detección de las nuevas amenazas. Todo ello con un modelo tecno-lógico más integrable con las infraestructuras propias de los clientes sin necesidad de grandes despliegues. La agilidad y la simplicidad son las claves para conseguir una efectividad mayor en los servicios gestionados.

“Lo que en el año 2002 eran los Servicios Gestionados de Seguridad (SIA Tiger Team), que luego se convirtieron en SOCs y en Centros Expertos de Ciberseguridad (CEC), han evolucionado hacia nuestro Centro Experto de Ciber Inteligencia, en el que se defi nen y gestionan los nuevos servicios de forma holística”.

Enrique PalomaresConsejero DelegadoSIA

Cuando hace ya 27 años en SIA comenzamos a especializarnos en el incipiente mercado de la seguridad de la información, hay que re-conocer que nadie divisaba lo que actualmente llamamos cibersegu-ridad. Hemos asistido a múltiples oleadas y modas de mayor o menor intensidad, pero siempre con el mismo método de trabajo: entender la problemática y colaborar estrechamente con nuestros clientes, contar con los mejores profesionales, tecnologías y metodologías para ade-lantarnos a la exponencial evolución de las amenazas.

Es cierto que ahora nos enfrentamos a otra dimensión de ataques, donde los conceptos clásicos ya no sirven, y vamos a asistir a una autén-tica “guerra fría” durante la próxima década. Por ello, para continuar sien-

do pioneros en la prestación de los nuevos servicios de ciberseguridad, desde SIA estamos incorporando expertos y aplicando metodologías del sector militar y policial: sistemas de inteligencia, equipos Red Team (seguridad física, lógica y social) y otros sistemas inteligentes, que nos permiten prepararnos para los ataques avanzados y personalizados para cada sector y cada organización que se nos avecinan.

Lo que en el año 2002 eran Servicios Gestionados de Seguridad (SIA Tiger Team), que luego se convirtieron en SOCs y en la última generación en Centros Expertos de Ciberseguridad (CEC), han evo-lucionado ahora hacia nuestro Centro Experto de Ciber Inteligencia, quien defi ne y gestiona los nuevos servicios, aplicando técnicas de inteligencia de forma holística, para anticiparnos a las amenazas y ataques que están por venir, manteniendo siempre nuestros princi-pios y método de trabajo.

“La apuesta de Telefónica pasa por potenciar la proactividad en los servicios para permitir a nuestros clientes entender el comportamiento y motivaciones de los atacantes, disponer de información para anticiparse y hacer frente a las amenazas y los ataques combatiéndolos en la propia Red”.

Juan Hernández Orea Gerente de Desarrollo de Negocio Dirección de Defensa y SeguridadTELEFÓNICA ESPAÑA

Los ataques son cada día más sofi sticados, las motivaciones se han transformado, ya no son retos de jóvenes apasionados sino orga-nizaciones criminales con ánimo de lucro o gobiernos con objetivos políticos, hasta el punto de que una de las expresiones de moda que ofrece titulares en prensa cada día es “ciberwar”. No hablamos de ten-dencias sino de hechos constatados.

Se ha demostrado que los enfoques tradicionales, diseñados para proteger la información de una forma reactiva, resultan inadecua-dos, siendo necesario un nuevo enfoque sobre ciberseguridad que

sea proactiva, lo que implica una investigación constante, dinámica y adaptativa.

En este sentido nuestra apuesta pasa por potenciar la proactivi-dad en nuestros servicios, de tal forma que permita a nuestros clientes entender el comportamiento y motivaciones de los atacantes y así disponer de la información sufi ciente para anticiparse y hacer frente a las amenazas y los ataques combatiéndolos en la propia Red, antes de que lleguen a afectar infraestructuras o activos críticos de nuestros clientes.

Para llegar a ese punto de entendimiento es imprescindible con-tar con una organización y unos recursos altamente preparados que garanticen una detección temprana y una contención y respuesta con garantías.

08_ARTICULOESTELAR con telvent.i92 9208_ARTICULOESTELAR con telvent.i92 92 03/09/2015 14:12:5203/09/2015 14:12:52

Page 22: Servicios de ciberseguridad gestionada

93S iC / N º116 / SEP T I EMBRE 2015

“La diferencia la va a marcar el conocimiento que tenga el proveedor del entorno en que se mueve su cliente, cuáles son sus amenazas y el impacto que tiene en su negocio la materialización de un riesgo”.

“Un servicio maduro, y es lo primero que, en caso de no existir, se debe demandar a los proveedores de ciberseguridad gestionada como mejora… invierte, y no repercute al cliente, en los elementos que lo integran”.

Ángel Campillo del RíoCISOCARREFOUR GROUP ESPAÑA

Como en cualquier servicio gestionado, tanto el proveedor como el cliente debemos mejorar en la correcta defi nición de los Niveles de Servicio y la medición de los mismos, para que ambos nos sintamos confortables durante la vigencia de la prestación de este servicio, in-cluida la revocación o fi nalización del mismo.

Pero dada la naturaleza de la seguridad y lo cambiante de los servicios que se pueden demandar, creo que el proveedor debe en-

contrar la manera de adaptar estos servicios a las necesidades del cliente y saber gestionar la excepción y la necesidad puntual ante posibles incidentes. Esto les obliga a conocer el negocio de su cliente y ofrecer soluciones quizás sectorizadas por industria.

Las soluciones técnicas y la madurez en la prestación de los servi-cios básicos de seguridad serán características obligadas de cualquier proveedor que quiera jugar un rol importante; pero a mi entender la diferencia la va a marcar el conocimiento que tenga el proveedor del entorno en que se mueve su cliente, cuáles son sus amenazas y el impacto que tiene en su negocio la materialización de un riesgo.

Juan Cobo PáezCISOFERROVIAL

Antes de hablar de mejorar servicios, deberíamos dejar claro qué es un servicio y qué no es un servicio, porque, al menos en mi opi-nión, sigue habiendo en el mercado muchos servicios que, habiendo sido concebidos y denominados como tales, no dan la talla para ser considerados servicios gestionados o, al menos, servicios maduros gestionados.

Un servicio maduro, y es sólo mi opinión, debe ser algo más que em-paquetar algo de hardware, algunas licencias de software, unas cuantas horas hombre, ponerle un lazo y ofrecérselo al cliente repercutiéndole el coste total de la inversión, inversión que, por otro lado, tendrá los días contados en la medida en que la obsolescencia tecnológica haga su aparición. Y de esto, más orientado a proyecto que a servicio real, sigue habiendo mucho en el mercado.

Un servicio maduro, y es lo primero que, en caso de no existir, se debe demandar a los proveedores de ciberseguridad gestionada como mejora… invierte, y no repercute al cliente, en los elementos que lo

integran, y vive de tener muchos clientes contentos y satisfechos. Con-templa modelos de pago por uso... está diseñado de forma horizontal para todos sus clientes, que consumen un mismo servicio y que se apro-vechan de las mejoras y actualizaciones incorporadas al servicio como consecuencia del feedback dado por clientes o de las amenazadas e incidentes sufridos por éstos (lo que “amenaza” a un cliente, mejora la defensa de los demás)… no requiere de integraciones complejas a la hora de desplegarlo en el entorno del cliente… es escalable y fl exible, y abstrae al cliente de la tecnología y de su obsolescencia… tiene claro y formalizado cómo medir el nivel de servicio.

Con respecto a los servicios que ya siguen esta aproximación, y en base a mi experiencia, me permito enumerar algunas áreas susceptibles de mejora tales como la existencia de certifi caciones conforme a mar-cos internacionales de referencia, la capacidad de revisión y auditoría por parte del cliente, la existencia de informes de auditoría públicos alineados con modelos reconocidos (SSAE 16…), el cumplimiento de los marcos regulatorios de aplicación, la coordinación / integración con organismos públicos con competencias en materia de Ciberseguridad o el alcance global / internacional de los mismos.

Servicios de ciberseguridad gestionada: ¿hay espacio para la mejora?

La urgente búsqueda de la efi ciencia por las organizaciones usuarias llegó hace algunos años a la ciberseguridad, provo-cando la aparición de proveedores de servicios de seguridad TIC gestionada (MSSPs). Hoy, ha crecido ostensiblemente el número y tipologías de MSSPs, y por la presión de las amenazas y los ataques, y el avance de la transformación digital de la mano de la virtualización, la movilidad, la nube y el análisis de grandes cantidades de datos, empiezan a surgir, conviviendo con servicios ya básicos, otros de gran valor, algunos de los cuales, además, se van adaptando a las parti-cularidades de cada sector económico de actividad.

Con estos condicionantes, la revista SIC ha formulado a once CISOs de otras tantas compañías la siguiente pregunta: ¿En qué deberían mejorar sus servicios los proveedores de ciberseguridad gestionada? Sus contestaciones, realmente interesantes, empiezan a continuación.

Los CISOs opinan

08_ARTICULOESTELAR con telvent.i93 9308_ARTICULOESTELAR con telvent.i93 93 03/09/2015 14:12:5803/09/2015 14:12:58

Page 23: Servicios de ciberseguridad gestionada

94 SEPT I EMBR E 2 0 1 5 / N º 1 1 6 / S iC

“Salvo puntuales excepciones los proveedores tienen pocos ‘servicios para clientes’ y sí muchos proyectos para clientes”.

“Es demasiado habitual que el equipo destinado en el cliente no mantenga un verdadero espíritu de equipo, bien porque no comparten información entre ellos o porque no es homogéneo ni está adecuadamente motivado”.

“El verdadero reto de las compañías que ofrecen este tipo de servicios es la capacidad de adaptación a las necesidades particulares de sus clientes sin perder la esencia de su servicio”.

Rafael Hernández GonzálezResponsable de Seguridad de la InformaciónCEPSA

Lo más signifi cativo al evaluar los servicios de proveedores de ciberseguridad gestionada es la propia pregunta; me explico: son los términos “Servicios” y “Ciberseguridad Gestionada”. Lo primero por-que después de 10 años de usar proveedores externos, Cepsa ha sido pionero en el uso de Servicios de Seguridad Gestionada, hemos de lamentar que salvo puntuales excepciones los proveedores tienen pocos “servicios para clientes” y sí muchos proyectos para clientes. Esto nos obliga a los responsables de las empresas a una supervisión constante y una falta de escalabilidad y a problemas de evolución, ya que son proyectos dedicados sin estandarización. Además, la gestión individual de los mismos no nos hace crecer hacia un modelo de se-

guridad integral. El concepto de “Ciberseguridad” ha venido para que-darse pero hay que explicarle dentro del global de las organizaciones pues ya no solo nos estamos refi riendo a la seguridad lógica o física, sino que la extendemos a las áreas de marketing, personal, imagen. Es necesario tener un nuevo marco de relación y un nuevo marco de gestión. Es decir: servicios normalizados, recurrentes, medibles y replicables y con SLA controlables, y gestionados. Por lo tanto sería deseable que nos encontrásemos muchos clientes dentro del mismo servicio y que el proveedor comparta, optimice y aporte mejores so-luciones y una mejora continua de nuestra ciberseguridad. Creo que en estos momentos están apareciendo nuevas empresas que con su aire fresco están renovando estos servicios, esperemos que esta línea crezca y avancemos hacia la mejora de la SEGURIDAD, bueno perdón: de la CIBERSEGURIDAD.

Jesús Mayor SendraResponsable de Seguridad de la InformaciónCORREOS

La provisión de servicios con una verdadera orientación al clien-te en la que hablamos de colaborador y no de proveedor, en la que mantenemos intereses y valores compartidos, en la que se instaura la mejora continua en el desarrollo de las prestaciones, supondría una deseable evolución que mejoraría radicalmente la calidad del servicio prestado.

Yendo a lo concreto de las prestaciones, la mayoría de las mejoras que me vienen a la cabeza giran a en torno al equipo de recursos humanos asignados al cliente:

• Habilidades insufi cientes para la función desempeñada, que obligan a desencadenar todo el proceso de cambio de recurso.

• Gestión del conocimiento (sustituciones) defi ciente, que pe-naliza el servicio en las ausencias y periodos vacacionales

• Trabajo en equipo parcial. El trabajo en equipo y la inteligencia compartida son fundamentales para enfrentarse a los problemas y nuevos desafíos. Es demasiado habitual que el equipo destinado en el cliente no mantenga un verdadero espíritu de equipo, bien porque no comparten información entre ellos o porque no es homogéneo ni está adecuadamente motivado.

Adicionalmente, en el caso de mi organización (sometida al régi-men de contratación pública) se produce otro fenómeno indeseable que resiente la calidad y fl exibilidad en los servicios, como son las “obligadas” contrataciones a precio. ¿Cómo romper esa dinámica? Tarea difícil que alguien deberá de empezar.

Mario TrottaIT Security ManagerSECURITAS DIRECT ESPAÑA

Actualmente la oferta existente en servicios de seguridad gestio-nada es muy amplia. Tenemos posibilidad de contratar estos servi-cios a grandes compañías con infraestructura muy importante, pero también existen empresas más pequeñas aunque con un grado de especialización elevado en esta materia.

Securitas Direct es una compañía con un alto componente tecno-lógico y con unas exigencias en materia de seguridad elevadas dada

la naturaleza de su negocio. Pero tal y como nos ocurre a nosotros, cada compañía tiene unas necesidades muy concretas, que además variarán a lo largo del tiempo y dependerán del grado de madurez en seguridad que tenga la empresa en cada momento.

Pienso que el verdadero reto de las compañías que ofrecen este tipo de servicios es la capacidad de adaptación a las necesidades particulares de sus clientes sin perder la esencia de su servicio. Los proveedores de seguridad gestionada deben tener siempre presen-te que ellos son los que deben adaptar su servicio al cliente y no la situación inversa.

Los CISOs opinan

08_ARTICULOESTELAR con telvent.i94 9408_ARTICULOESTELAR con telvent.i94 94 03/09/2015 14:13:0203/09/2015 14:13:02

Page 24: Servicios de ciberseguridad gestionada

95S iC / N º116 / SEP T I EMBRE 2015

“Una vez que el proveedor notifi ca al cliente que está siendo víctima de algún tipo de ataque o que se encuentra fehacientemente bajo amenaza, debe proponer un plan de actuación de forma inmediata”.

“El seguimiento y reporting periódico del servicio ofrecido sigue siendo el punto débil, así como la industrialización, es decir, la capacidad de proporcionar servicios personalizados en función de la demanda del cliente”.

“Las medidas y las métricas de un SLA no son sufi cientes cuando lo que se requiere es un servicio maduro y que proporcione valor a la seguridad de la compañía”.

Eduardo García MartínezCISOEQUIFAX IBÉRICA

Cualquier proveedor de estas características debe dejar muy claro como mínimo tres cosas en su propuesta de servicios de ciberseguri-dad gestionada. A día de hoy estos aspectos deben ser los mínimos y sin ellos es muy difícil encontrar el valor añadido de un proveedor de ciberseguridad frente a otro.

El primer elemento clave es un portafolio de servicios defi nidos y sumamente detallados. Esto puede parecer una obviedad para cual-quier producto, servicio o solución que se lanza al mercado, pero en este sector no lo es en absoluto. Mucho portfolios son generalistas y no aportar valor añadido, dado el grado de sofi sticación de las amenazas y la disparidad de modelos de negocio susceptibles de ser víctimas del cibercrimen o la ciberdelincuencia. Por lo tanto, una oferta de servicios específi cos marcará la primera gran diferencia.

El segundo aspecto a tener en cuenta es la frecuencia de actuali-

zación de ese portafolio, dado que el dinamismo de las amenazas es sencillamente sobrecogedor. Por ello, las empresas necesitan saber qué nuevas amenazas pueden gestionar con el proveedor, a qué coste y con la mayor brevedad posible, para no quedarse desprotegidas.

El tercero, y quizá el más importante, es que una vez que el provee-dor notifi ca al cliente que está siendo víctima de algún tipo de ataque o que se encuentra fehacientemente bajo amenaza, debe proponer un plan de actuación de forma inmediata: “ What’s the next step?“ ¿Qué asesoramiento dará el proveedor y qué acciones deberá llevar a cabo el cliente?

En este sentido la coordinación de los servicios de contramedidas y eliminación de la amenaza con la empresa son igual o más importantes que el propio servicio de detección en sí mismo, pues de nada vale un servicio que por ejemplo alerta o notifi ca de ataques de denegación de servicio, si la empresa no es experta en seguridad y no dispone del asesoramiento y medios adecuados para contrarrestar la amenaza y volver a un estado normal en la operación y dinámica de su negocio.

Santiago Minguito SantosDirector de Seguridad de la InformaciónBANCO SABADELL

Del mismo modo que las amenazas en materia de ciberseguri-dad han evolucionado de forma signifi cativa en el transcurso de los últimos años, también lo han hecho las contramedidas para mitigar la probabilidad e impacto de materialización de dichas amenazas. En este sentido, los proveedores de ciberseguridad gestionada juegan un papel fundamental para la aplicación de las contramedidas, debi-do a las capacidades globales que gran parte de ellos poseen. En el portafolio de servicios de estos proveedores seguimos encontrando servicios que se han convertido en comodities, que si bien siguen sien-do necesarios, aportan poco valor. Sin embargo, aparecen nuevos

servicios diferenciales en ciertos proveedores que aportan mucho más valor hoy en día con soluciones innovadoras. En general se sigue ofreciendo buen servicio, si bien en la mayoría de los casos se les reclama mayor capacidad de innovación y de reacción ante nuevas amenazas. El seguimiento y reporting periódico del servicio ofrecido sigue siendo el punto débil, así como la industrialización, es decir, la capacidad de proporcionar servicios personalizados en función de la demanda del cliente. En algunos casos para obtener ese servicio personalizado es necesario recurrir a servicios conjuntos de dos o más proveedores con capacidades complementarias. Asimismo la velo-cidad a la que evoluciona la tecnología de ciberseguridad hace que también sea complicado encontrar proveedores que sean expertos en las tecnologías utilizadas en nuestras organizaciones.

Javier SevillanoCTSO (Chief Technology Security Offi cer)VODAFONE

Los SLA (Service Level Agreement) son imprescindibles para medir la calidad y cantidad adecuadas de un servicio de seguridad gestionado. Y son adecuados para muchas de las tareas de un servicio de este tipo, p. ej. la gestión de reglas de fi rewall, o la gestión de certifi cados digitales. Pero las medidas y las métricas de un SLA no son sufi cientes cuando

lo que se requiere es un servicio maduro y que proporcione valor a la seguridad de la compañía. Por ejemplo, en el caso de las revisiones de vulnerabilidades o fallos de seguridad de una nueva aplicación antes de su implantación en un entorno real. No es mejor el que realiza más revisiones por unidad de tiempo, sino el que lo hace con mayor calidad para la misma velocidad. Para estas comprobaciones se hace necesaria la colaboración de un tercero de confi anza que actúe como garante de la calidad del proveedor de servicio principal.

Los CISOs opinan

08_ARTICULOESTELAR con telvent.i95 9508_ARTICULOESTELAR con telvent.i95 95 03/09/2015 14:13:1303/09/2015 14:13:13

Page 25: Servicios de ciberseguridad gestionada

96 SEPT I EMBR E 2 0 1 5 / N º 1 1 6 / S iC

“El proveedor debería anticiparse y ofrecer novedades inspiradas en incipientes cambios regulatorios o amenazas plausibles que puedan tener impacto en los clientes”.

“Hay varios puntos de medición de la calidad del servicio, y uno de ellos es la estabilidad del mismo. Ojo con la rotación de personal causada por la demanda infl acionista de profesionales de ciberseguridad”.

“Existe una necesidad común de servicios básicos de ciberseguridad, pero echamos de menos servicios específi cos que tengan en cuenta las particularidades de los modelos de negocio y de operaciones de cada sector”.

Ramón OrtizResponsable de Seguridad InformáticaMEDIASET ESPAÑA

El proveedor debería estar comprometido en la correcta defi ni-ción de las matrices de responsabilidades del servicio que gestiona; deberá por tanto hacer por conocer correcta y debidamente los que pueden llegar a ser sus interlocutores llegado el momento de un in-cidente determinado.

Disponer y utilizar herramientas que utilicen metodología de ges-tión de servicios de soporte; la supervisión debería detectar, escalar si fuera el caso y comunicar prontamente posibles incumplimientos de los niveles de servicio acordados en los contratos, sin olvidar aquellos servicios de valor añadido no facturables.

En cuanto a la comercialización, ofrecer los servicios requeridos por las empresas y además anticiparse a ofrecer novedades inspira-das más que en modas o tendencias procedentes del mercado, en incipientes cambios regulatorios o amenazas plausibles que puedan tener impacto en los clientes.

Los proveedores de servicios de Seguridad Gestionada podrían tener la capacidad de practicar fórmulas flexibles de facturación donde acomodar políticas de inversión y/o gasto según sea nece-sidad puntual de las organizaciones y en cuanto a reducción de costes, sobre una tarifa pactada, poder hacer repercutir dinámi-camente al cliente el concepto de economía de escalas, al ocurrir nuevas incorporaciones o bajas en el servicio, pudiendo volver a la tarifa base.

Francisco Lázaro AnguísCISORENFE

En mi opinión, a un proveedor de Ciberseguridad se le debe exigir: especialización, coordinación, capacidad, industrialización y estabilidad. Los servicios de Ciberseguridad que proporcione deben estar claramente diferenciados de la operación de la seguridad, con el foco puesto en el incidente y no en la incidencia de seguridad; así, la calidad de los servicios que suministra se medirá por:

1) El grado de coordinación que tenga con otros Centros de Res-puesta,

2) La capacidad para: a) generar información preventiva (avisos,

alertas temprana, inteligencia...); b) responder, asesorar y adaptarse a las amenazas, tecnologías y métodos de explotación de vulnerabilidades.

3) Su facultad para industrializar las actividades (generación y con-sumo de IOCs, procedimientos operativos o mecanización de análisis de tráfi co y equipos).

4) Y, fi nalmente, por la estabilidad en el servicio (ojo con la rotación de personal causada por la demanda infl acionista de profesionales de Ciberseguridad).

¿En qué deben mejorar? En todos y cada uno de los aspectos antes mencionados. Así lo requiere el incremento de incidentes, motivaciones, tecnologías o capacidades de los atacantes (individuos, grupos, empresas o naciones).

Carlos Pérez NavarroDirector de BBVA CERTGRUPO BBVA

La mayor oportunidad de mejora está en ofrecer servicios de ci-berseguridad especializados por sector. Ciertamente existe una nece-sidad común de servicios básicos de ciberseguridad. Pero echamos de menos servicios específi cos que tengan en cuenta las particularidades de los modelos de negocio y de operaciones de cada sector.

En ciberseguridad estas particularidades se traducen en que en cada sector tenemos adversarios con cadenas de valor, perfi les de atacantes y modus operandi específi cos. Y esto deriva en múltiples ne-

cesidades diferenciadas. Por ejemplo, cada sector necesita una inteli-gencia sobre amenazas a su medida. De igual forma, el malware afecta de formas diferentes a un banco que a una empresa de energía.

Una buena muestra de esta realidad diferenciada por sector es el fuerte impulso que están tomando las asociaciones privadas secto-riales y concretamente los ISAC (“Information Sharing and Analysis Center”). En el sector fi nanciero, el FS-ISAC es una comunidad muy ac-tiva con más de 4.400 empresas participantes. La colaboración con los ISAC es una clara oportunidad para los proveedores de ciberseguridad gestionada de conocer de primera mano las necesidades particulares de cada sector y personalizar su oferta de servicios.

Los CISOs opinan

08_ARTICULOESTELAR con telvent.i96 9608_ARTICULOESTELAR con telvent.i96 96 03/09/2015 14:13:2403/09/2015 14:13:24