domingo, 29 de noviembre de 2015

"No podemos seguir escondiéndonos detrás de los análisis de riesgo"

Antonio Ramos. CEO de Leet Security.


Antonio Ramos tiene un sólido currículum en seguridad informática. No sólo destaca por los sitios donde ha trabajado o la cantidad de certificaciones que tiene (juraríamos que más incluso que José Selvi :), sino también por la cantidad y calidad de las organizaciones a las que pertenece, empezando por el capítulo español de la Cloud Security Alliance, del que es miembro fundador; ISACA Madrid, donde ha ejercido de presidente y ahora, de vicepresidente; el organismo de ciberseguridad europeo ENISA; ISMS Forum Spain o la Asociación Española de Normalización y Certificación (AENOR).

Pero, cuando le conoces en persona, todos estos títulos y bagajes pasan a un segundo plano y son su humanidad y simpatía los que quedan en el recuerdo. Y es que Antonio, 42 años, extremeño afincado en Madrid, además de ser experto en seguridad tiene alma de tendero y es de los pocos en este mundo feroz que se atreven a emprender sin morir en el intento. Miembro por derecho propio del sector negocios (el de verdad) de la seguridad informática española, es uno de sus miembros más cercanos.


- ¿Por qué meterse en el lío de emprender?

- Por mis padres. Ellos siempre tuvieron pequeños negocios y el hecho de que mi familia haya vivido en un ambiente de buscarse las habichuelas día tras día hace que no sea muy raro para mi. De hecho, siempre he tenido ese pequeño gusanillo que me ha llevado a ser lo que podría denominarse un intraemprendedor en las compañías en las que he trabajado (iniciando la línea de SGSIs en Ernst&Young, o la actividad como PCI QSA en S21sec).

- En enero de 2011 co-fundabas LEET Security, de la que eres CEO. ¿A qué os dedicáis?

- Es la primera agencia de calificación de seguridad en Europa. Hemos desarrollado una metodología propia que permite evaluar el nivel de robustez de las medidas de seguridad y resiliencia que implementa un servicio y, en función de la misma, asignamos una etiqueta que, de forma sencilla, permite a los usuarios de dicho servicio conocer dichas medidas. Para ello tenemos cinco niveles (de la D a la A) que asignamos a las tres dimensiones de confidencialidad, integridad y disponibilidad.

- Recientemente firmabais un acuerdo para las infraestructuras críticas españolas. ¿Qué conlleva eso? 

- Exactamente lo que hemos firmado es un convenio a tres años con el INCIBE para desarrollar un modelo de construcción de capacidades en ciberseguridad para sistemas de control industrial. Una vez esté terminado (para lo que quedan muy pocos días, por cierto) entiendo que el CNPIC lo utilizará, por ejemplo, para valorar el nivel de capacidad de los operadores críticos en la gestión de dichas infraestructuras críticas. Esto permitirá conocer el nivel de capacidad existente, valorar si es suficiente o no con una escala homogénea para todos y tratar rutas de mejora de esas capacidades en ciberseguridad.

- ¿A quién certificáis: a la infraestructura crítica, por ejemplo una central eléctrica, o al proveedor que se encarga de su seguridad?

- Al proveedor. En relación al operador crítico, el CNPIC tendrá que establecer el modelo y cómo quiere utilizar la metodología.

- ¿Sirve para algo que alguien certifique que algo es seguro? Me recuerda a algunas webs certificadas... y defaceadas días después.


- Efectivamente, coincido al ciento por ciento en que no se puede certificar que un servicio es seguro. De hecho, creo que es contraproducente. Por eso lo que hace LEET Security es valorar la robustez y madurez de las medidas de seguridad y resiliencia implantadas en un servicio y les asigna una calificación. ¿Significa eso que un servicio con la más alta calificación no se puede hackear? No, en absoluto. La calificación nos da una indicación sobre la capacidad técnica en seguridad del servicio y un indicativo sobre su vulnerabilidad. Es decir, cuánta más alta sea la calificación, menor será la probabilidad de un incidente y mejor preparado estará el proveedor para restablecer la normalidad en caso de incidente.

- ¿Y en tu otra empresa, Nplus1 Intelligence & Research, qué hacéis?

- Servicios de consultoría de alto valor añadido en materia de gobierno de (ciber)seguridad,. En particular, nos gusta aplicar teorías del ámbito de la gestión empresarial, como la Teoría de las Limitaciones o metodologías Lean, al ámbito de la ciberseguridad.

- De hecho, tu eres de formación economista.

- Sí, y auditor de cuentas. Yo llegué por casualidad al mundo de la seguridad informática. Había hecho algunos cursos de programación y algún Spectrum había por casa, y eso hizo que la firma auditora a la que me incorporé en 1998 me pidiera incorporarme a una unidad de riesgos tecnológicos, en aquellos momentos bastante incipiente. Algo que hice sin dudar y no me arrepiento en absoluto.

- Te has dedicado básicamente a la gestión de la seguridad. ¿Desde esta atalaya, ves en qué nos estamos equivocando?

- El sistema capitalista hace que las decisiones estén gobernadas por un sistema de recompensas y por las conclusiones de los análisis coste-beneficio. Lamentablemente, las recompensas existentes no conducen a una mejor seguridad (los desarrolladores no cobran más por hacer desarrollos más seguros, los fabricantes no cobran más por software más seguro y así, suma y sigue) porque los análisis coste-beneficio no consideran la seguridad debidamente ya que, como externalidad, necesita mecanismos externos (legislación, por ejemplo) que hagan posible una correcta toma de decisiones que integren los verdaderos costes de no considerar adecuadamente la ciberseguridad.

- ¿Cómo deberíamos hacerlo? Porque lo de concienciar a la gente con las contraseñas es una batalla perdida.


-Estoy de acuerdo. La respuesta es una palabra que, por desgracia, en inglés dice más que en castellano: "accountability" (o lo que es lo mismo, responsabilidad). Hay que hacer que los actos que acaben en algún tipo de incidente tengan consecuencias. Es decir, que exista un marco de responsabilidad que haga que no sea gratuito adoptar actitudes inseguras para el resto de personas, organizaciones, en definitiva, para el resto de la sociedad.

Y, por otro lado, dejar la hipocresía de los análisis de riesgos. Hoy en día, demasiadas organizaciones se ocultan detrás de los análisis de riesgos para no abordar la introducción de mecanismos de seguridad adecuados, con la excusa de que la probabilidad de la amenaza es muy baja. Y aunque casi todo el mundo es consciente de que los análisis de riesgos solo son útiles en situaciones en las que lo desconocido es residual, siguen siendo utilizados para decidir qué medidas de seguridad implantar en un momento, como el actual, de total incertidumbre y de ataques intencionados (en absoluto aleatorios). En definitiva, no podemos seguir “escondiéndonos” detrás de los análisis de riesgo y debemos empezar a analizar qué impactos no nos podemos permitir en nuestro ámbito de responsabilidad.

- Y aún te queda tiempo para dedicarte a entidades como ISACA Madrid... ¿Por qué gastar energías en ser su presidente? 

- Los capítulos de ISACA son asociaciones profesionales, es decir, no hay intereses corporativos. Para mi, este tiempo en ISACA ha sido una forma de devolver todo lo que he aprendido de grandes profesionales, dedicando parte de mi tiempo y de mi esfuerzo, de manera altruista, a otros profesionales.

- Antonio, ¿a qué gurús (en el mejor sentido) de la seguridad respetas/haces caso/escuchas..?

- No soy muy de gurús o, mejor dicho, tengo el listón muy alto. He de reconocer que Bruce Schneier en algunos momentos pasados ha estado muy acertado ("Secret & Lies" y "Liars & Outliers" son fundamentales, desde mi punto de vista) y, ya más cercanos, he de reconocer que David Barroso y Alfredo Andrés son una referencia para mi.

- Es curioso que les menciones. Mi impresión es que hay un abismo entre tu generación, más orientada a empresa, menos "juguetones", y la de David o Alfredo, que formaron parte del "underground" en los 90. Mientras los tuyos se reunían y reúnen en Securmática, ellos lo hacían en UnderCon, NocONName, RootedCon.. 


- Me parece super interesante esta percepción y creo que en gran medida es real. Hay un grupo de profesionales que decidieron decantarse más por el hacking y han sido más "techies", mientras otros nos orientamos más hacia la gestión empresarial. En realidad, creo que son el yin y el yang de esto que llamamos ciberseguridad; es decir, por un lado hay que dotarse de capacidades técnicas que nos permitan conocer a bajo nivel que disponemos de medidas de seguridad efectivas y, por otro lado, hemos de ser capaces de asegurar que las organizaciones/personas tienen los mecanismos adecuados para tomar decisiones acertadas en materia de seguridad. En mi opinión, vivir de espaldas los unos a los otros solo nos debilita, y pensar que lo otro es inferior no nos ayuda a ofrecer lo mejor de nosotros como sector. Yo disfruto ante algunas exposiciones que se hacen en Securmática, igual que ante algunas que se hacen en las famosas CONs, igual como también hay algunas en ambos casos que me parece muy malas. No hay algo que sea mejor por definición, ni toda la ciberseguridad es hacking ni toda la ciberseguridad es gestión. Por eso disfruto de mis conversaciones con David Barroso y entender lo que hace me ayuda a ser un mejor profesional.

- ¿Tienes alguna frase relacionada con la seguridad informática que te acompañe?

- La mayor parte de los problemas relacionados con la (in)seguridad derivan de darle un tratamiento diferente a la ciberseguridad que al resto de ‘seguridades’.



Texto: Mercè Molist


0 comentarios:

Publicar un comentario