Usted entró a formar parte de Telefónica hace un par de años como CISO y hoy es Global Digital Security Officer. ¿Qué diferencia existe entre estos dos cargos?
En Telefónica, la seguridad de la información más tradicional, lo que llamamos medidas preventivas de seguridad, está separada de la anticipación y la respuesta ante amenazas. Por un lado está el departamento de Seguridad de la Información, que se encarga de las medidas preventivas, y por otro el de Ciberseguridad, que se dedica a la anticipación, detección y respuesta. La figura de Global Digital Security Officer agrupa ambas partes y el CISO, que está integrado en mi equipo, es una de ellas.
Aparte de esa división que comenta, ¿de qué manera está estructurado el departamento que dirige usted?
Seguimos el ciclo de vida de la amenaza. Tenemos una parte de anticipación, que analiza cuáles son las nuevas amenazas, dentro de un departamento que llamamos de Ciberinteligencia. Luego existe otra área centrada en la prevención, que aborda todo lo relacionado con la seguridad más tradicional: seguridad de la información, medidas técnicas, etcétera. Y además tenemos otros departamentos, como el de Gobierno, el de Arquitectura y el de Transformación de la Seguridad.
Para la detección de nuevas amenazas contamos con un Red Team y para la respuesta a incidentes con 14 CSIRT [equipos de respuesta ante emergencias informáticas], que están desplegados en cada uno de los países donde Telefónica tiene presencia. El objetivo de estos CSIRT es que, cuando se materializa una amenaza que no hemos podido prevenir ni anticipar, proporcione una respuesta lo antes posible.
Cuando llegó a la compañía como CISO, ¿a qué le dio prioridad?
Yo entré en Telefónica para dedicarme a la seguridad de la información, que es una de las áreas que ahora coordino. Entonces, estábamos más enfocados a la prevención y lo primero en lo que pusimos foco fue en fortalecer los procesos básicos de seguridad. Es decir, no se trataba de implantar la tecnología más moderna del mercado, sino de abordar lo más clásico dentro del entorno de seguridad, como mantener los sistemas actualizados, fortifícalos, hacer una auditoría de vulnerabilidades, etc. Desde entonces, hemos actualizado la normativa interna del Grupo Telefónica, cambiado todo el marco de control, las políticas normativas, los reglamentos y los procedimientos, hasta el proceso más básico de seguridad.
Una de las áreas que ha mencionado sobre la estructura de su departamento es la de ciberinteligencia. ¿De qué manera lleva a cabo Telefónica ese proceso y cuál es su concepto sobre esta especialidad?
En Telefónica la ciberinteligencia ya está implantada. Yo reporto al Global CSO [Chief Security Officer] de la compañía, cuya dirección se llama Dirección Global de Seguridad e Inteligencia. A su vez, también le reportan desde el departamento de Inteligencia, que proporciona una inteligencia más estratégica y con una perspectiva más amplia.
Los departamentos de Ciberinteligencia e Inteligencia interactúan mucho. Desde Inteligencia nos informan de cuál es la situación actual en el entorno de las telecomunicaciones en el que nos movemos y desde Ciberinteligencia apoyamos todo el proceso de recopilación de información para la toma de decisiones, con datos e información desde una perspectiva técnica.
Además, tenemos otra parte de indicadores de compromiso donde agrupamos y compartimos todas las huellas de los incidentes que vemos en el Grupo Telefónica. Hacemos de hub entre todas las operaciones del grupo para luego redistribuir estos indicadores de compromiso.
Hay una tercera parte formada por las técnicas de deception, que consiste poner trampas para ver qué actores nos están agrediendo desde una perspectiva tecnológica.
Lo que buscamos con todo esto es el contexto, el enriquecimiento y el análisis de la información.
Hace un año del ataque de WannaCry, que entre otras muchas compañías afectó a Telefónica. ¿Qué lecciones aprendieron de aquel incidente?
De aquel ataque aprendimos que somos resistentes, porque aunque fuimos afectados no tuvimos pérdida del servicio ni hubo un impacto en el negocio. Fue más una crisis de comunicación a través de los medios, que una crisis técnica como tal. A las empresas nos ha servido para reforzar el mensaje de la seguridad. Aquello fue concienciación con roce duro, porque cuando tienes un incidente de este tipo llega a todas las alturas y todo el mundo queda enterado de que la ciberseguridad es relevante.
¿Supuso aquel ataque un cambio importante en el gobierno de seguridad de Telefónica?
Realmente no hemos cambiado nada de lo que estábamos haciendo, porque era lo correcto; pero nos cogió en una fase temprana en la que el fortalecimiento de los procesos básicos a los que me refería antes tenía que haber llegado un poco antes. Es decir, no ha supuesto un cambio en la estrategia de seguridad, pero nos indicó la necesidad de acelerar ese fortalecimiento de procesos.
Tras el incidente sí que reforzamos nuestra red de CSIRT, para otorgarle más relevancia a estos equipos dentro de las organizaciones. Pero poco más, no ha habido ningún cambio drástico.
¡Sigue Leyendo!
Aquí te hemos mostrado tan solo una parte de este contenido.
¿Quieres leer el contenido completo?