JOSÉ RAMÓN MONLEÓN MARTÍNEZ
Manager Seguridad Información Corporativa
Corporate CISO (Chief Information Security Officer) en Orange España
Ingeniero Superior de Telecomunicación por la Universidad Politécnica de Valencia
¿Cómo se inició en el mundo de la seguridad de la información?, ¿qué es lo que le atrajo de este campo?
Fue en el año 2006 cuando se creó el Grupo Orange en España tal y como ahora lo conocemos, englobando todas las empresas del grupo en España bajo una única marca “Orange”.
Fue entonces cuando se creó la figura de responsable de Seguridad Global, era una forma diferente de ver la seguridad, hasta ese momento la Seguridad de la Información era una disciplina que se trataba solo dentro del área de IT.
La visión global de la Seguridad de la Información, transversal a toda la organización y desde un punto de vista global era un concepto muy novedoso para aquella época, sin embargo el Grupo Orange lo tenía como modelo que aplicaba a todos los países.
Era una disciplina que siempre me había atraído, sobre todo la capacidad de poder analizar los sistemas informáticos y encontrarles defectos o vulnerabilidades para poder protegerlos. Entonces se hablaba muy poco del tema y, además, el proyecto que me propusieron para crear todo el departamento desde cero, con una visión transversal a toda la organización me resultó muy atractivo y con un gran futuro. Suponía todo un reto, sin embargo contaba con la ayuda de todo un grupo en Francia.
Ahora, al verlo con cierta perspectiva, y con el camino recorrido, puedo confirmar que fue una decisión muy acertada.
¿Cómo se le presenta la oportunidad de comenzar a trabajar en la multinacional Orange?
Fue en el año 2000, tras el famoso “efecto 2000” y que finalmente no fue para tanto, durante el año anterior estuve como consultor en una entidad financiera adaptando los medios de pago para que llegada esa fecha los sistemas siguieran funcionando como siempre.
Me contrataron en Amena (una de las empresas que formaron Orange en España) como consultor para el Área de Sistemas de Información y al año siguiente me propusieron formar parte de la plantilla.
¿Qué tipo de obstáculos se ha encontrado en su trayectoria profesional hasta llegar a ser Corporate CISO en Orange España?
Como he comentado anteriormente, la creación de una figura de Seguridad de la Información a nivel corporativo, transversal a toda la Organización era un concepto muy novedoso, las organizaciones y las personas que lo componían no estaban preparadas para esta figura, entonces los modelos eran muy jerárquicos, se trabajaba mucho por silos. Para poder avanzar en la función había que romper esas barreras.
Por otro lado la función de la Seguridad de la Información ha cambiado mucho, entonces el ámbito de aplicación era mucho más reducido, las aplicaciones apenas se externalizaban y todo estaba mucho menos interconectado.
Sin embargo, el hecho de que el Grupo aplicara la misma estructura en todos los países facilitó mucho el trabajo, además de todo el apoyo en normativas y proyectos.
Vela por la seguridad de la información corporativa de un gran gigante como es Orange España. ¿Se considera un “ciberhéroe”?
No, para nada, lo que sí me considero es uno de los afortunados que empezaron hace muchos años en esta disciplina. Durante estos años he tenido la fortuna de conocer a muchos colegas que empezaron a finales de los 90 – principios del 2000, ellos fueron unos pioneros, nos sirvieron de ejemplo a los demás, entonces el tema era mucho más reducido y la figura de CISO en España se reducía a una docena de profesionales. Ahora me siento orgulloso de estar a su lado.
Dedicándose al mundo de la seguridad de la información, ¿cómo sentirse seguro en Internet?
Buena pregunta, como todo en la vida, no hay nada seguro al 100%. Internet es como la calle de nuestras ciudades, la calle de la mayoría del mundo, por lo que tienes que tener las mismas precauciones o cuidados.
Lo más importante es dejarse guiar por el sentido común, “que es el menos común de los sentidos”, aplicar las mismas reglas del mundo físico, desconfiar de aquello que no vemos claro.
Sin embargo, con la aparición de las redes sociales, las personas se han relajado, ponen toda la información en público en manos de terceros, sin darse cuenta que se están desnudando en público.
Algunos consejos que se pueden dar:
- Desconfía de los correos que no has solicitado y que tienen remitentes o enlaces desconocidos.
- No des a nadie tus contraseñas, ni por teléfono ni contestando a un correo.
- Navega por sitios confiables.
- …
¿Cómo se mantiene al día Orange de posibles ataques de los cibercriminales?
Disponemos de un Centro de Operaciones de Seguridad: es un equipo organizado y altamente cualificado cuya misión es proteger y defender los activos de la compañía y mejorar continuamente la situación de seguridad de Orange. Trabajamos en diferentes vías: prevención, protección y detección.
Para la parte de prevención trabajamos en colaboración con el desarrollo de aplicaciones y servicios para que estos tenga la definición de la seguridad por defecto. Disponemos también de elementos de protección de activos, en especial los que están expuestos a internet.
¿Qué soluciones ofrece Orange en materia de ciberserguridad?, ¿es una de sus prioridades estratégicas?
Actualmente nuestros servicios de seguridad se engloban bajo la marca Orange Security Suite.
Orange Security Suite, se trata de una solución de Seguridad Perimetral, compuesta por los siguientes servicios, disponibles de forma independiente:
- IPS/IDS
- Web Filtering
- Antivirus
Se trata de un Servicio Seguridad ofrecido directamente desde la red dedicada a Empresas que no requiere despliegue de dispositivos en las dependencias de cliente, ni la instalación de SW en los PCs del cliente, ni un equipo especializado de seguridad IT.
Además es una oferta modular, ya que permite cubrir los servicios de Seguridad que necesitan los negocios de los clientes, sin ser necesaria la contratación de funcionalidades que no aportan valor.
También es flexible, y permite proteger caudales con una capacidad de 2 hasta 200Mbps garantizados, sin la necesidad de adquisición de costoso Hardware ni cambio de equipamiento. Todo ello con una Plataforma de Seguridad actualizada diariamente con las últimas firmas de Seguridad, mantenida y operada por nuestros expertos Orange y con la posibilidad de Gestión delegada en Orange o de Autogestión.
Es evidente que se trata de una prioridad estratégica para nosotros, por lo que estamos trabajando en ampliar nuestro porfolio para los clientes, apoyados en el SOC interno (Centro de Operaciones de Seguridad) ofrecer servicios con un SOC para clientes.
Háblenos de iSec4IoT (Intelligent Security for IoT – Orange Lab) y en qué medida promueve la excelencia en cuanto a desarrollo e implementación de soluciones de ciberseguridad.
El centro de excelencia de Routers e IoT nace como respuesta a las amenazas que comenzaron a surgir en este ámbito en el año 2016, con el objetivo inicial de proteger los routers que suministramos a nuestros clientes, detectar incidentes de seguridad y realizar pruebas de seguridad de routers en un entorno controlado, idéntico al de un cliente.
En el caso de los routers, se trata del elemento que une a los clientes con internet expuesto a las amenazas de la red. Hay que tener en cuenta que, en la mayoría de los casos, se encuentra encendido las 24 horas del día y “expuesto”, siendo la diana potencial de ataques informáticos, bien sean puntuales o como parte de campañas elaboradas con diferentes propósitos, como puede ser dejar sin servicio al usuario, robar la identidad o credenciales. Hay numerosos ejemplos recientes de ataques masivos a routers, en algún caso con gran repercusión.
Desde el laboratorio de seguridad de Orange España se replican los escenarios “tipo” de clientes de Orange en los que se monitoriza la actividad que ese router recibe desde internet.
Por otro lado, están los dispositivos IoT que están entrando en nuestro hogar y empresas. Cada vez es más frecuente encontrarse con nuevos dispositivos capaces de conectarse a Internet y permitir al usuario un control y manejo de forma remota desde cualquier parte del mundo, pero esto no ha hecho más que comenzar.
Por eso, en 2017, ampliamos el Centro a estos dispositivos con el fin de adelantarnos a las amenazas del futuro. El mayor riesgo que tiene un dispositivo IoT es que en la mayoría de los casos ha sido diseñado sin seguridad, por lo que resultan muy vulnerables y apetecibles para los ciberdelincuentes. Una vez analizado y vulnerado un dispositivo, el ciberdelincuente, tiene miles o millones de dispositivos idénticos conectados a internet a los que puede atacar.
Desde el laboratorio pretendemos certificar los dispositivos IoT para que cumplan con un mínimo de nivel de seguridad, elaborar medidas de protección y de detección que eviten los ataques y ser capaces de detectar cualquier amenaza que pueda afectarlos.
¿Cuál es su misión principal como miembro de GSMA IoT Security?, ¿qué tipo de iniciativas lleva a cabo?
La GSMA es la asociación que engloba a todas las empresas del sector de la telefonía móvil, Orange como operador forma parte de ella. Entendemos que para poder diseñar y proteger dispositivos IoT debemos trabajar en colaboración con el sector, compartiendo conocimiento y definiendo reglas y normas comunes que se apliquen por defecto en los dispositivos. Nuestra misión es la de apoyar y colaborar en este equipo de trabajo para que las diferentes líneas avancen hacia el objetivo de protección de los dispositivos.
La GSMA, junto con la industria móvil, ha diseñado una gama de recursos que puedan dar una orientación en Seguridad a las empresas con el desafío de asegurar el futuro conectado.
Se ha elaborado una guía con las directrices de seguridad. Basándose en esta amplia experiencia en seguridad, la GSMA, junto con la industria móvil, ha creado un conjunto de Pautas de Seguridad para IoT, respaldadas por un esquema de evaluación de seguridad IoT, para proporcionar un enfoque probado y robusto para disponer de seguridad de extremo a extremo. Esta guía es gratuita y está disponible en internet: https://www.gsma.com/iot/future-iot-networks/iot-security-guidelines/
¿Qué perfiles se necesitan en el sector de la seguridad de la información?
Actualmente existe una carencia de perfiles en el ámbito de la Ciberseguridad, en todas sus ramas. El aumento de ciberataques, y la proliferación de nuevas amenazas con un grado de sofisticación elevado y creciente, conducen a la necesidad de incorporar profesionales expertos en Ciberseguridad para cubrir puestos de trabajo especializados en distintos tipos de organizaciones.
Los perfiles más demandados son los que tienen conocimientos técnicos o provienen de carreras técnicas. La característica más difícil de encontrar es la experiencia, el número de profesionales con años de experiencia en el sector es muy reducido.
¿Qué le diría a una persona joven que, por desconocimiento, no se plantea una trayectoria laboral en el sector de la Ciberseguridad?, ¿qué experiencia se requiere?
Si le gusta el tema, este es su momento. Si lo desconoce, lo primero es acercarse a las diferentes asociaciones que hay en todo el territorio nacional que trabajan en la materia de Ciberseguridad, ellas le podrán asesorar e iniciar en este sector. Además de asistir a los diferentes congresos que se celebran durante todo el año, seguro que hay uno cerca de su lugar de residencia. De esa forma podrá conocer más en detalle este sector y plantearse una trayectoria profesional en él.
Sobre todo se requieren personas con conocimientos técnicos y mucha creatividad. En Ciberseguridad, estamos obligados a ser creativos, es la mejor forma de poder encontrar soluciones a los problemas complejos de nuestro sector. Las habilidades de pensamiento lateral y pensamiento “out of the box” resultan muy importantes.
Es difícil encontrar profesionales con experiencia en Ciberseguridad, por lo que cualquier profesional que sea experto en sistemas y comunicaciones, con las habilidades de creatividad, puede unirse a este sector, nosotros nos encargamos de formarle para que conozca las particularidades de la Ciberseguridad en entornos que ya conoce.
¿Cuál es su visión sobre el estado de la ciberseguridad empresarial en 2018?, ¿cómo cree que evolucionará en un futuro próximo?
Se encuentra en un estado inicial. Si lo comparamos con otros sectores, los sistemas industriales carecían de las medidas de seguridad necesarias, que sí se estaban aplicando a los sistemas informáticos. El principal riesgo viene a interconectarlos a las redes internas de las empresas o incluso a internet. Afortunadamente es un sector en el que se empezó a trabajar hace unos años.
En ese aspecto destacar la labor del INCIBE con la creación de la Red de Laboratorios industriales, es una plataforma que reúne a los laboratorios industriales con capacidad para la experimentación e investigación de soluciones que aumenten los niveles de seguridad de las infraestructuras industriales nacionales.
Nosotros nos hemos incorporado este año aportando un factor complementario y diferencial, proteger las comunicaciones y el perímetro de las empresas dando una protección que, unida a las medidas de protección internas, aumentan los niveles de seguridad.
La evolución va a ser muy rápida, ya que las empresas van a comenzar a adoptar estas medidas de seguridad y protección, por lo que van a necesitar productos y servicios que les protejan de las amenazas de internet. Los próximos años van a ser de evolución constante, sobre todo con la aparición de los dispositivos IoT tanto dentro de los procesos industriales como dentro de la vida diaria de cualquier proceso de la compañía: climatización, limpieza, logística, …
¿Las empresas están realmente concienciadas de la importancia de la seguridad de su información corporativa?, ¿se le presta suficiente atención a este campo?
Actualmente sí, todas son conscientes del valor de la información que posee y que cualquier amenaza que pueda afectar a la misma supone un riesgo para la organización. En especial si hablamos de datos personales, para lo cual hay dedicada una legislación completa que entra en vigor este mes.
El reto es el cambio a la ciberseguridad: ya no es solo proteger la información sino el dispositivo que la contiene y que está interconectado. Las amenazas a las que nos enfrentamos tratan de tomar el control del dispositivo, no de la información, que posteriormente nos pueden conducir a la obtención de la información o a comprometer otro dispositivo, esto lo tienen en cuenta los ciberdelincuentes que ven la forma de monetizar sus ataques con o sin acceso a información.
¿Qué consejo imprescindible de Ciberseguridad le daría a una empresa?
Que contrate a un experto o contacte con una empresa especialidad para que le ayude a proteger sus activos. También que elabore un plan de protección que le garantice un nivel de seguridad que le proteja de las amenazas que están surgiendo.
Se trata de una inversión para evitar que su negocio pueda sufrir un ataque que afecte a su continuidad.
Suele decirse que la información es poder, ¿es la información el capital más importante de una empresa?
Es uno de los más importantes, dependiendo del tipo o sector de empresa. Con la aparición del “Big Data”, el dato se ha convertido en la nueva materia prima, se compra, se vende, se procesa, se transforma y se generan servicios alrededor, toda una nueva industria.
Muchas empresas se han dado cuenta de que poseen una materia prima que tiene valor. A partir de ahí cada uno ha seguido un camino distinto, los primeros la han monetizado rápidamente con su venta, otros la han convertido en un servicio que les da ingresos sin desprenderse de su activo.
¿Cuáles son las principales amenazas que pueden sufrir las empresas y cuáles son los retos principales de las compañías en materia de seguridad de su información corporativa?
Las principales amenazas vienen derivadas de la exposición de la empresa al exterior: sus comunicaciones, el correo electrónico, navegación por internet, son la vía de entrada desde el exterior.
Actualmente las principales amenazas son el malware (incluido el Ransomware), ataques a aplicaciones web, phishing, spam, denegación de servicio, botnets, … Todas estas amenazas pueden poner en riesgo la continuidad de la actividad, provocando pérdidas económicas.
Las compañías deben desarrollar capacidades de ciberinteligencia para conocer el entorno de amenazas al que están expuestas y anticipar, así, los riesgos correspondientes. El análisis de riesgo debe ser una herramienta fundamental en todos los procesos de negocio. Se debe realizar formación y concienciación de los empleados en Ciberseguridad.
Se debe definir un plan de seguridad que le permita proteger sus comunicaciones, su equipos informáticos, el correo, su navegación en internet y mitigar los ataques de denegación de servicio.
¿Algún sistema es invulnerable?
Al igual que en el mundo físico, no hay sistema invulnerable, todo depende del nivel de especialización del atacante y los medios con los que cuenta.
Lo que tenemos que hacer es subir el nivel de protección de nuestros activos en función de las amenazas a las que estamos expuestos y disponer de un sistema de detección en el caso que estos sean superados.
Con respecto al escándalo Facebook, ¿le peroocupa esa fuga de información personal?
Lo que me preocupa es la facilidad con que la gente le da sus datos a estas empresas. No tendrían esos datos si la gente no se los diera. Inicialmente tenemos una fuga voluntaria de la información de las personas hacia estas empresas que ofrecen sus servicios gratuitos.
Tenemos que concienciar a la sociedad de esta situación y explicar que cuando algo es gratis el producto eres tú. El problema lo genera al resto de empresas que hacen un uso responsable de la información.
El hecho de que una sociedad cada vez esté más interconectada, ¿la hace más vulnerable?
Obviamente, se ha perdido la definición de perímetro de protección, ya que hoy están interconectados todo tipo de redes y sistemas.
Por un lado, esto es bueno y necesario para mejorar las capacidades de comunicación y acceso a la información por parte de los usuarios y es un servicio que estamos potenciando.
Sin embargo, por otro lado, se están interconectando sistemas que no deberían estar accesibles desde otros puntos, solo a los sistemas o personas responsables de los mismos.
Deberíamos plantearnos la idea de disponer de redes independientes para procesos diferentes, segregar en función de los servicios y necesidades.
El concepto Internet of Things está cada vez más latente en la sociedad. ¿Nuestros datos corren peligro?, ¿cómo será nuestra vida cuando todo esté conectado a Internet?
A medida que vamos conectando más dispositivos en nuestro hogar vamos aumentando el nivel de riesgo, principalmente porque desconocemos las capacidades y riesgos asociados a estos dispositivos. Por otro lado está la privacidad, cómo las empresas hacen un uso responsable de los datos que pueden recoger de nosotros.
Para esto estamos impulsando la creación y aplicación de certificados de seguridad de productos y servicios, sobre todo los IoT, que garanticen al usuario un nivel de seguridad de forma que no se tenga que preocupar cuando instale uno de ellos, es lo que estamos haciendo en la GSMA, diseñar para que el futuro sea seguro. Va a ser un factor diferencial.
El futuro se presenta muy interesante, con nuevos servicios y capacidades, que nos facilitarán la vida. Y todos estos dispositivos estarán interconectados de forma segura. Es en lo que estamos trabajando ya para que esté disponible a nuestros clientes cuando lo necesiten.