Red Seguridad 091

red seguridad cuarto trimestre 2020 17 evento corporativo hay que saber cómo está organizado el atacante. "Últimamente, la tendencia que vemos es que no son personas aisladas, sino organizaciones crimi- nales bien estructuradas que hacen ransomware-as-service . Se trata de un modelo de negocio con más retorno de beneficios", afirmó. Es más, esa "pro- fesionalización" de los atacantes está haciendo que las empresas cada vez tengan que emplear mayores recursos para hacerlos frente. Además, se están encontrando con otro hándicap. Y es que los ataques cada vez se prolongan más en el tiempo. "Pueden durar menos de una hora o, incluso, seis meses. Y una vez dentro, los atacantes quieren ir un paso más allá y se centran en la persistencia, el movimiento lateral y el escalado de privilegios", reveló Portabales. En este punto, el repre- sentante de everis contó que lo nor- mal es que vayan escalando capas dentro de una organización. Finalmente, mencionó algunas lec- ciones aprendidas que se pueden extraer de estos ataques: "es impor- tante mejorar la gestión de usuarios privilegiados y el control de acceso; conviene instalar sistemas antima- lware EDR; realizar backups y revi- sar las políticas de seguridad; contar con una estrategia de afectación de malware ; y disponer de una cultura de ciberseguridad y formación continua". Operadores Para finalizar la jornada y el Congreso, se llevó a cabo el panel "Impactos sobrevenidos y repercusión a futu- ro", en el que se celebró una mesa redonda que contó con la presencia de Eduardo di Monte , coordina- dor de CISO en la mesa coordina- ción PIC para el sector del agua; Elena Matilla , CISO de Red Eléctrica de España (REE); y Jordi Leandro , CSO de BASF; bajo la moderación de César Álvarez, de la Fundación Borredá. En ella, cada ponente expu- so su visión sobre el actual modelo de protección de infraestructuras críticas y servicios esenciales. Matilla hizo un repaso de dónde viene la Ley PIC y la necesidad que había de proteger las infraestructuras críticas, sobre todo a raíz del ataque a las Torres Gemelas de 2001. Sin embargo, en los últimos años se ha acelerado la digitalización de proce- sos, con los consiguientes riesgos cibernéticos. De ahí la aprobación de la Directiva NIS y su transposición al ordenamiento jurídico español, donde ahora convive con la Ley PIC. "Creo en la complementariedad de ambas", señaló Matilla, quien añadió que "tie- nen que entenderse las dos y no fago- citarse una a otra". Esta idea también fue comparti- da por los otros dos ponentes. No obstante, cada uno realizó su propia aportación. Di Monte señaló que "las empresas tienen que adoptar ambas legislaciones como otra palanca más para elevar las iniciativas de protec- ción". Por su parte, Leandro confir- mó la excelente labor realizada hasta ahora por el CNPIC, aunque "todavía hay que modernizar ciertos aspectos". Sin embargo, añadió, "si miramos cómo estábamos antes y cómo esta- mos ahora, hay una gran diferencia". Y esta situación todavía cobra una mayor importancia con la crisis actual existente provocada por la pandemia. De hecho, según matizó Matilla, de REE, "los operadores de servicios esenciales hemos sido blanco de estos ciberataques. Lo bueno es que esto ha servido para sensibilizar a los CEO sobre la importancia de la ciber- seguridad y que pongan en marcha planes específicos de actuación en este sentido". Es más, las empresas que así lo han hecho han salido refor- zadas de esta situación. Por su parte, Di Monte subrayó cómo la industria se ha visto afectada durante este tiempo. "El 70-80 por ciento de las empresas industriales no tenían establecidas estrategias de ciberseguridad o no las tenían bien desarrolladas para estas situaciones. Esto ha hecho que se pongan en marcha; y también ha reforzado a los que sí contaban con esas medidas". Precisamente, para que no se repi- ta esta situación, según Leandro, de BASF, es necesario "asimilar lo ocu- rrido y sacar conclusiones". Además, las áreas de ciberseguridad tienen que “alinearse con el negocio” para seguir siendo útiles y “aportar un valor añadido a las organizaciones”. Al menos, eso sí, los ponentes con- firmaron que esta situación está sir- viendo para que el área de cibersegu- ridad y los CISO tengan una mayor presencia en los ámbitos de dirección de las empresas. Elena Matilla (REE). Jordi Leandro (BASF). Si quieres leer la crónica completa del Congreso PISE visita este enla- ce: https://www.seguritecnia.es/ revistas/seg/481/18/index.html Lee la crónica completa en la web de SEGURITECNIA Eduardo di Monte (Oylo).