Entrevista con José Luis Peciña, nuevo CISO de Grupo Tinsa

¿Cuáles han sido los principales desafíos de Tinsa para incrementar su ciberseguridad interna?

Hemos solucionado un flujo constante de desafíos de diversa índole en un entorno donde las barreras entre lo interno y lo externo son muy difusas y en el que la movilidad, la conectividad B2B y el acceso a Internet 24/7 son un requisito del negocio y una realidad. Es imprescindible que el dato esté accesible en cualquier momento, desde cualquier lugar y con cualquier dispositivo, pero al mismo tiempo debe estarlo de forma segura y cumpliendo con las normativas en materia de seguridad vigentes, a las que estamos sujetos.

En estos últimos 3 años todos los empleados del Grupo Tinsa sin excepción nos hemos enfrentado a numerosos retos en esta evolución continua que nos requiere la ciberseguridad, en todo lo referente a cómo accedemos a la red, a las aplicaciones, a los recursos corporativos, a Internet, cómo nos autenticamos y de qué forma colaboramos e interactuamos con nuestros clientes.

Como usuario final, soy consciente de que la adopción de algunas de estas medidas de ciberdefensa, que el equipo de Ciberseguridad de Tinsa implementa para minimizar los riesgos de los ataques de los ciberdelincuentes, pueden no ser cómodas. Sobre todo, cuando requieren cambios en nuestra forma de trabajar. Ahora bien, os aseguro que recuperarse de un ciberataque es mucho más incómodo que prevenirlo.

Aún faltan muchas cosas por hacer, el cibercrimen no descansa, para que podamos hacernos una idea más clara del escenario al que nos enfrentamos, actualmente supone el segundo negocio más lucrativo del mundo por encima que el narcotráfico en ingresos.

¿Qué medidas o acciones ha emprendido Grupo Tinsa en materia de ciberseguridad? ¿Cuál destacarías como principal logro?

El grupo Tinsa emprende constantemente nuevas iniciativas para garantizar la integridad, confidencialidad y disponibilidad de los datos de nuestros clientes e infraestructuras de IT. Si tuviese que destacar uno en particular, en función de su relevancia tecnológica, extensión geográfica, número de países involucrados, departamentos de IT que han colaborado y empleados participantes, sin duda destacaría el proyecto de renovación tecnología de las infraestructuras de seguridad perimetral de todas las empresas del grupo en LATAM (México, Colombia, Perú, Chile, Argentina, Ecuador, Argentina). A través de este proyecto, hemos apostado por la implementación de infraestructuras del fabricante Palo Alto Networks, líder en soluciones de ciberseguridad y en el mercado Enterprise de Firewalls de nueva generación.

Por la actividad regulada que desarrolla Tinsa ¿tiene requerimientos especiales o específicos de seguridad en comparación con compañías de otro sector?

Tinsa no deja de redoblar esfuerzos en materia de ciberseguridad y, una vez más, va un paso más allá implantando los estándares más exigentes en materia de ciberseguridad (GPDR, ENS, ISO 27000, PCI DSS, NIST, etc). Así conseguimos allanar el camino para las exigencias que en un futuro cercano nos puedan trasladar nuestros clientes del sector financiero, con los que ya hemos conseguido hablar un mismo lenguaje (algo que nos enorgullece).

¿Existe alguna normativa europea que regule la actividad de las compañías en este ámbito?

La Comisión Europea, en su estrategia para el mercado único digital, no deja de fortificar sus normas sobre ciberseguridad. La reciente entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD), de obligado cumplimiento para todas las empresas de la UE desde mayo de 2018 otorga un mayor control y seguridad a los ciudadanos sobre su información personal, e impone medidas tecnológicas para garantizar la privacidad desde el diseño y por defecto. Asimismo, ha establecido la obligación de demostrar que se han puesto en marcha todas las medidas necesarias para eliminar o mitigar los riesgos a los que puedan quedar expuestos los ciudadanos o aquellos que amenacen la seguridad de los sistemas que utilizamos para la prestación de nuestros servicios. En el Grupo Tinsa esta nueva normativa ha requerido de la actualización de mucha documentación y la adopción de nuevas medidas organizativas y técnicas, que se ha realizado exitosamente gracias al buen trabajo realizado junto al departamento legal.

¿Qué retos quedan por delante en Tinsa para mejorar todavía más la seguridad?

Las amenazas cibernéticas están en continua evolución y nosotros avanzamos a la par. La desaparición del perímetro de la red corporativo, el puesto de trabajo más móvil que nunca y los servicios en la nube han ocasionado que nos tengamos que adaptar a una nueva forma de trabajar. Maximizar la efectividad de la estrategia de ciberseguridad corporativa requiere de la participación de todos los empleados, ya que cada puesto de trabajo es una vía de acceso para las ciberamenazas. Es un hecho universal, constatado por los laboratorios más prestigiosos de ciberseguridad mundial, que la mayoría de los ataques entran a través de un correo basura (phishing), que un empleado abrió por error. Por poner un ejemplo, el último Ransomware que mandó a casa a gran parte de la plantilla de Telefónica, entró por un mail de phishing. Hoy en día es la técnica más sencilla, que sin requerir muchos recursos, usan los ciberdelincuentes.

Es vital concienciar, sensibilizar y hacer partícipes a todos los empleados de la compañía de los riesgos derivados del ciberespacio y de la necesidad de implementar las medidas de protección oportunas. En la actualidad las líneas de trabajo se centran en potenciar nuestra capacidad de prevención, anticipación, detección, reacción, análisis, recuperación y respuesta frente a un ciberataque.

¿Las acciones de ciberseguridad se aplican por igual en todos los países de la compañía? ¿hay alguna filial de Grupo Tinsa que destaque por encima del resto?

Los “cibermalos” son cada vez más y no conocen fronteras. Es un problema global. Como pudimos comprobar el 17 de mayo de 2018, cuando se produjo un ciberataque a escala mundial que afectó a más de 150 países y tuvo un grave  impacto en innumerables empresas y administraciones públicas, mercados financieros, redes de trasporte e incluso servicios sanitarios.

A medida que crece la compañía, crece la superficie de ataque. La interoperabilidad de las infraestructuras de las diferentes empresas que conforman el Grupo Tinsa posibilita la propagación y ampliación de los efectos de un ciberataque, así como las vías de acceso de entrada de amenazas. Por ello, es tan necesario establecer una estrategia de ciberdefensa global y unificada, capaz de responder a los ataques informáticos a nivel global.

Hasta hace bien poco cada empresa del grupo era independiente del resto, con diferentes departamentos de IT, diferentes visiones acerca de qué hardware, software y políticas de seguridad implementar. Bajo la premisa de que ha llegado el momento de coordinar nuestras acciones, hemos pasado a gestionar la ciberseguridad de una forma global y corporativa. En la actualidad, estamos muy cerca de disponer de una estrategia de seguridad integral en todos los países en los que operamos.

¿Qué acciones se realizan en las compañías para frenar posibles ataques?

Más del 75% de los problemas de seguridad en las empresas y organizaciones se originan por un e-mail en el que un empleado “pica”.  A pesar de todos los esfuerzos que podamos hacer desde las compañías, el software tiene ‘bugs’ por naturaleza y todo es vulnerable. Desde cualquier compañía, es importante que debamos conocer la política de ciberseguridad que se siga en nuestra empresa, evitando malos hábitos como compartir credenciales y accesos remotos; enviar usuarios y contraseñas a través de un mismo medio de comunicación; y mantener una política de creación de contraseñas robusta (no podemos olvidar que la contraseña más utilizada mundialmente año tras año sigue siendo 123456).