Vienen tiempos tan convulsos como apasionantes en el universo tecnológico. Que es también el universo social. El aterrizaje masivo del 5G en el segundo semestre de 2020, la expansión sin límite del IoT o la incursión de la inteligencia artificial en cualquier terreno que exija analítica son apenas tres de las tecnologías que marcarán el paso de una sociedad hiperconectada y “movilizada”, en la que la seguridad deberá aplicar su ley de manera implacable. Como rey de la movilidad, Samsung la hizo protagonista de su Samsung Business Mobile Summit que reunió en Madrid a más de 200 profesionales que representaban a clientes y partners. “En el entorno de la transformación digital la seguridad nos debe preocupar y, además, nos debería ocupar un poco más”, resumió David Alonso, director del área B2B de Samsung en España.
Movilidad y seguridad
“Nunca la seguridad fue en el área de la movilidad una preocupación tan urgente como ahora”, alertó Nick Dawson, director global de negocios para empresas en Samsung. Una movilidad en la que, recordó, convergen las nuevas tecnologías que marcarán el paso de la innovación en los próximos años: el IoT, el 5G y la inteligencia artificial. “Asistiremos a un incremento en la superficie de los ataques”, pronosticó. No en vano, recordó que el año que viene estarán conectados más de 25 billones de dispositivos, en los que “la seguridad deberá ser inherente en cada uno de ellos”.
La respuesta a la seguridad en Samsung lleva el nombre de Knox, la plataforma en la que llevan trabajando desde 2011. Dawson reiteró lo importante que es diseñar una seguridad basada en el hardware. “Debe estar presente en todas y cada una de las capas de los dispositivos, lo que supone la protección de las aplicaciones, del sistema operativo y del propio hardware”. Una filosofía que ejerce gracias a que Samsung cuenta con una casi completa autonomía fabril. “Fabricamos nuestros dispositivos, con los componentes que se requieren para ello (como es el caso del chip o la placa), en nuestras fábricas”, recordó. “Y auditamos a todos los partners que participan en estos procesos”.
El director global del negocio de empresa de la multinacional aseguró que Knox exhibe una protección “en tiempo real y en todo momento, no solo cuándo el dispositivo esté encendido”. Una prestación que “no tienen todas las plataformas de seguridad que hay en el mercado”. Aunque reconoció que no todos los dispositivos Android son iguales, aprovechó para defender el grado de seguridad que exhibe este sistema operativo, similar al de iOS, “y así lo han asegurado los informes de Gartner”.
Tras más de ocho años de desarrollo, Knox se despliega en una suite de soluciones empresariales de movilidad pensadas para proteger, gestionar y hacer más productivos los dispositivos. En el nivel más superior se ubica Knox Platform for Enterprise que incluye la administración integral de los dispositivos, un control detallado de los mismos y la gestión de credenciales y certificados. Entre otras funcionalidades cuenta con protección de kernel en tiempo real lo que asegura la protección del sistema operativo de ataques de kernel mediante la supervisión y prevención de modificaciones no autorizadas y ataques.
Sensibilización
Enrique Serrano, ethical hacker, insistió en los riesgos que acarrea esta hiperconectividad para la seguridad. “Todo puede ser atacado”, recordó. “Cualquier dispositivo con una dirección IP es susceptible de sufrir un ataque”.
Entre los ataques que más proliferan en España se encuentra el robo de identidades. “Es el país de la UE en el que se producen más ataques con estas características”, desveló. Los ataques, además, han perdido su carácter masivo. “Están dirigidos a empresas y personas concretas”. El correo sigue siendo uno de los vectores de ataque preferidos para difundir el malware. “Las redes sociales y la solicitud de pagos son las fórmulas preferidas”. Serrano recomendó el uso del doble factor de autenticación y “no solo en la fase de inicio sino también en todo el proceso”.
El despliegue de una adecuada política de seguridad en la empresa debe incluir los datos, las personas, las infraestructuras y las aplicaciones. “Es muy importante introducir una capa de inteligencia, con una analítica muy potente”, recomendó.
CISO, CIO y CEO
En la mesa que cerró el evento, en el que estuvieron presentes los CISO de Ferrovial y Airbus, junto a representantes de INCIBE, Symantec e Indra, quedó claro que hay mucho camino por recorrer en el campo de la seguridad; sobre todo en el tema de la concienciación. “Las grandes empresas sí que presentan un mayor grado de protección y concienciación; no así las pymes”, explicó Juan Cobo, CISO de Ferrovial.
En el binomio movilidad y seguridad, Roberto Casado, project leader de Indra, aseguró que las empresas empiezan a ser más conscientes de que el móvil es un riesgo. “Hay un mayor uso de las plataformas de MDM y se separa el entorno profesional del personal en los dispositivos”. Casado recordó que además del dispositivo es básico la protección de la voz. “Y muchas empresas aún no lo contemplan”.
No faltó la recurrente polémica de la relación entre el CIO y el CISO. Y la “vigilancia” que debe ejercer el CEO. “La ciberseguridad puede y deber ser gestionada”, recordó Ignacio González Ubierna, subdirector de tecnologías de ciberseguridad en INCIBE. “Es un asunto que es responsabilidad del CEO; aunque delegue su gestión”.
Pedro Díaz, CISO de Airbus, que apostó por la presencia del CISO en los consejos de dirección, recomendó su independencia respecto al CIO. Por su parte, Cobo apeló a que más que “dónde debe estar”, lo importante es “lo qué debe ser”. “No hay una fórmula mágica para organizar a los CISO”, reconoció. “En cada empresa sus competencias son distintas, ocupándose de tareas distintas dependiendo de la estrategia de cada una de ellas”.