OB[1]: Bienvenido Alejandro, y gracias por compartir este espacio con nosotros. Quisiera comenzar con unas preguntas: desde tu responsabilidad de mantener la integridad, disponibilidad y confidencialidad de la información, ¿cómo ha sido este año?, ¿qué ha cambiado después de la pandemia y qué amenazas o incidentes han visto?

AT[2]: Como contexto, creo que el objetivo de la función de seguridad es mantener el riesgo en un nivel aceptable para la organización. Es importante mencionarlo porque evidentemente hay que proteger la confidencialidad, integridad, disponibilidad e incluso asegurar el no-repudio, pero al final es cómo puedes medir y mantener la organización en un nivel de aceptación de riesgo.

Entrando un poco más en la pregunta, primero hago un paréntesis y comento que yo venía trabajando en un modelo remoto desde seis años antes de entrar a esta compañía, y cuando entré estuve alrededor de ocho meses en la oficina. Ahora, ya llevamos casi cuatro años de este cambio que de manera global podemos verlo como disruptivo, aunque en el caso de esta organización ya se estaba definiendo una estrategia digital dentro de la que se consideraba la necesidad de establecer esquemas digitales y habilitar formas de trabajo más ágiles.

No puedo compartir detalles de los objetivos estratégicos, pero una cosa que ya estaba en uso, específicamente por áreas como la de Tecnologías de la Información, era el uso de VPN (redes virtuales privadas) para poder realizar tareas de soporte más ágilmente y responder ante incidentes, aunque no fuera la forma habitual de trabajar.

Recuerdo muy bien que, en mis primeras interacciones con mi jefe, que es el CIO de la compañía, él era muy renuente al trabajo en casa, ni siquiera de forma híbrida. No había espacio para ese modelo de trabajo, aunque la tecnología con la que contábamos ya nos permitía soportar algunos procesos que no estaban oficialmente implementados. Otro aspecto importante es que, en el caso de nosotros, creo que podrás comprender que nunca dejamos de estar físicamente porque las farmacias tienen que abrir y atiende, al menos hasta ahora, una persona, no un dispositivo; entonces nunca dejamos de estar físicamente en nuestras unidades de negocio, pero el trabajo administrativo sí cambió.

Otro aspecto relevante fue por ejemplo el Call Center, que no está cara a cara con los clientes, pero debían estar en un espacio más o menos confinado y era un número importante de personas (entre 60 y 80). Ahí fue donde comenzó el trabajo: en idear una manera diferente de trabajar. Hoy puede sonar como historia antigua, pero en el momento uno de los principales focos de contagio podía ser reunir a muchas personas en el mismo espacio cerrado. Para nosotros el primer caso de uso fue movernos hacia una plataforma que soportara trabajo no solamente híbrido sino completamente remoto, y que cumpliera ciertos requisitos regulatorios en los que había que tener cuidado porque podían modificar tu postura de cumplimiento con PCI o algunas otras regulaciones como podría ser la Ley Federal de Protección de Datos Personales en Posesión de Particulares.

En el fondo creo que ya estábamos preparados tecnológicamente para ese cambio. Creo que el tema es más bien cómo alguien que está acostumbrado a tener un espacio de cierta forma, que interactúa con ciertos individuos que ahora no están en esta situación, tiene que modificar su comportamiento. Al principio, por ejemplo, nadie prendía su cámara, hasta que la gente se dio cuenta de que no iba a cambiar la situación en el corto plazo, entonces algunos directivos comenzaron a pedir que se prendiera la cámara para ver si los empleados ponían atención, o para observar el lenguaje corporal. Poco a poco se fueron definiendo reglas y fue haciéndose evidente un cambio, la gente era más fluida para conversar en las herramientas como Zoom o Teams.

Desde mi perspectiva, aunque sabemos utilizar el teléfono para conversaciones de voz, la interacción ha ido migrando más a servicios de mensajería que no necesariamente implican una conversación síncrona y fluida como lo haríamos en una videoconferencia. Entonces creo que estábamos moderadamente preparados para ese cambio disruptivo pero tuvimos que comenzar a analizar ciertos elementos que no estaban considerados, aunque no fue algo que nos afectara de forma dramática, pero culturalmente sí hubo un impacto y aún hay gente que le funciona más regresar a las oficinas.

OB: En este sentido hay dos grandes posturas por parte de la fuerza laboral: los que prefieren o necesitan estar físicamente en las oficinas, y aquellos a los cuales si la oferta de trabajo no incluye teletrabajo, o por lo menos trabajo híbrido, entonces no la consideran, como si se hubiera convertido en una prestación adquirida, lo que me lleva a las siguientes preguntas: ¿qué cambios viste en tu día a día?, ¿qué tuviste que ajustar?, ¿fue necesario incrementar tu capacidad para gestionar equipos aunque no fueran de la compañía? Porque la superficie de ataque cambió definitivamente.

AT: Yo no creo en la seguridad como un estado, sino como un proceso. De pronto se usan clichés o términos de la industria como que la superficie de ataque ha cambiado, ¡pero claro que siempre cambia!, porque las tecnologías migran y tienes que ajustarte, pero lo que debes hacer es esa evaluación de en dónde estás parado para ir hacia adelante.

Claro que tuvimos que adaptarnos a nuevos espacios y monitorear aspectos que antes no tomábamos en cuenta, pero tampoco es algo que pase de la noche a la mañana, porque por más que seas ágil para comprar una tecnología, el proceso de adopción toma tiempo y sobre todo para que esa tecnología produzca resultados.

Yo añadiría que los cambios a nivel de preocupación iban por otros temas, por ejemplo, nosotros contamos con un seguro de ciberincidentes, y lo que notamos es que el seguro después de unos meses costaba el doble y era precisamente porque el número de incidentes de phishing, ransomware y robo de credenciales se incrementó dramáticamente, entonces las primas de los seguros fueron al alza. Lo enuncio como ejemplo porque hay situaciones que no resuelves con tecnología, sino que tienen que ver con cómo mis procesos y las responsabilidades de las personas pueden responder ante este tipo de posibles ataques y cómo mi arquitectura de seguridad contempla dichos procesos.

OB: ¿Y tuvo que ir modificándose con respecto al tiempo?

AT: Siempre que hablamos de seguridad es importante considerar el apetito al riesgo, esto que te decía de mantenerlo en ciertos niveles aceptables. Las cosas han movido la aguja, y si antes estabas más preocupado por componentes de protección o controles, hoy estás más preocupado por monitoreo, y se ha ido moviendo hacia la respuesta a incidentes.

Llevamos muchos años dedicados a la seguridad y no me gusta cómo muchos jugadores en el mercado trabajan con el miedo, hablan de brechas de seguridad con millones de datos divulgados y hasta en chats especializados ves la postura de varios profesionales que caen en ese juego. Para mí es parte de contar con una arquitectura que te permita mantener un esquema como el que indica el marco de ciberseguridad de NIST, en el cual identifiques, protejas, detectes, respondas y te recuperes; y cada vez ser más conscientes de que tenemos que estar listos para al final recuperarnos de cualquier evento.

OB: Gracias por las perspectivas, y hago una pequeña reflexión, entonces estamos viendo el mantener el cumplimiento y también la postura dentro de nuestro rango de apetito por el riesgo como la filosofía, porque no hay seguridad absoluta en este transitar de un estado anterior en el que la rutina era ir a la oficina y proteger esto que ya venía evolucionando, pero le llamábamos el perímetro y eventualmente era más difuso porque estábamos migrando a nubes empresariales.

En este viaje empresarial que tenemos que hacer con el cinturón de seguridad puesto, los niveles de aceite revisados y sintiéndonos confortables con el nivel de riesgo, ahora que ya regresamos, ¿cómo lo viven?, ¿es un entorno híbrido o ya están completamente en oficinas?

AT: Hay dos puntos importantes aquí: los cambios a la legislación sobre el trabajo en México que vinieron a impactar, porque no es lo mismo trabajar en casa que trabajar en la oficina desde el punto de vista estrictamente fiscal y laboral ya que las implicaciones son diferentes;. el otro punto  se refiere a la cultura de la organización, pues actualmente ya vemos una postura hacia los empleados que deberían hacer más presencia en la oficina. Contractualmente, el lugar de trabajo es en la mayoría de los casos, dentro de nuestras instalaciones. Nosotros debemos proporcionar todos los elementos para que los empleados estén al menos 60% del tiempo en la oficina, que es lo que establece la ley, y el resto del tiempo, como lo permitan las necesidades del puesto y los mecanismos disponibles, para trabajar de forma remota. Esta es la postura de la compañía y principalmente cumplir con los niveles de servicio requeridos por la organización; tenemos una visión y valores muy arraigados que se relacionan con el hacer el trabajo más que con el número de horas que estemos en la oficina, aunque si quisiéramos ofrecer completamente teletrabajo, tendríamos que modificar varias situaciones para cumplir con la ley.

OB: Y es interesante lo que mencionas no solamente por la parte de los beneficios que recibe el empleado o el colaborador, si fuera un esquema totalmente remoto sería necesario proporcionar una serie de apoyos como una silla ergonómica, apoyo para la conexión a Internet y establecer controles porque es responsabilidad del empleador el medir que el empleado esté trabajando sus ocho horas, medir cómo las trabaja y respetar el derecho a la desconexión; yo he visto en otras legislaciones, como en la francesa, por ejemplo, que es obligatorio que al correo se le configure una regla para  que después de las 5:00 de la tarde no se entregue correos al cliente final, independientemente de si trabajas desde la oficina o de forma remota.

AT: Hace rato comentaba sobre la perspectiva cultural, y en general hablando de nuestro país, si antes no se respetaban los horarios de trabajo, no veo que esto cambie. Como un ejemplo, si un empleado entraba a las 8:00 horas, lo veías llegar tranquilamente a las 9:30, y su punto era que nunca salía antes de las 20:00 horas. Entonces si esa cultura o mentalidad no cambia, el hecho de trabajar de forma remota difícilmente lo modificará. Mi perspectiva es que debe existir comunicación y acuerdo entre los objetivos y las fechas de entrega y eso es mucho más funcional que estar cazando si la gente inicia a laborar a cierta hora o termina a otra.

OB: Hay dos temas que quiero preguntarte específicamente: el primero, ¿qué avizoras para el 2024?, y en términos de las principales amenazas, ¿cuáles son tus principales preocupaciones para el año que viene?

AT: Fíjate que hace unas semanas estuve en un congreso de Gartner sobre seguridad y gestión de riesgos. Es interesante, Gartner siempre hace sus predicciones a tres o cuatro años, o corto, mediano y largo plazo; pero mi perspectiva personal es que las amenazas van a estar, evidentemente en la seguridad de la nube. Tal vez sea muy empujado por el mercado, porque se observa mucho movimiento comercial alrededor, y hoy en día hay una gran cantidad de estadísticas y reportes que indican que la seguridad en la nube no está embebida; hay capacidades de seguridad en la nube, pero no significa que estarán activadas y configuradas de acuerdo con el entorno y necesidades de cada organización. Y regreso a mi punto anterior, si tienes una buena arquitectura definida, entonces puedes trabajar ordenadamente en integrar servicios en la nube o servicios de nube de una forma controlada, y gestionar tus riesgos. Y si cuentas con la arquitectura de seguridad y un plan de desarrollo tecnológico alineado al negocio, entonces ya puedes organizar tus esfuerzos hacia el 2024, 2025, etc., e ir adaptándolos conforme surjan nuevas amenazas.

Ahora, aterrizando un poco sobre amenazas para el 2024, lo primero es phishing, que sigue siendo una técnica muy utilizada por los atacantes y se ha detectado una evolución en lo mucho que se asemejan a los mensajes originales, y además diversifican los medios ya que aprovechan mensajes SMS, WhatsApp, mensajería instantánea de redes sociales, etcétera.

Otra técnica que es preocupante es lo que sucedió con LinkedIn, por ejemplo, que no fue una brecha directa de sus datos, sino que un actor se dedicó a relacionar datos de diferentes fuentes que eran públicas y logró, con un nivel interesante de precisión, agrupar los datos de los afiliados a LinkedIn. Por ello, el robo de datos a través de diferentes medios y técnicas, incluyendo la tan famosa ingeniería social, será la segunda amenaza real.

Y en mi percepción, la tercera amenaza será el ransomware. Probablemente seguirá habiendo muchas noticias al respecto. Tengo noción de que con mayores controles sobre criptoactivos se tratará de tener trazabilidad y lograr así combatir a los grupos que están lucrando con estas herramientas, por lo que algunos analistas piensan que el ransomware tendría ya sus días contados.

OB: Tratando de complementar y redondear las perspectivas que nos compartes, entonces el phishing por distintos canales (smishing, vishing, etc.) seguirá siendo algo en lo que debemos trabajar.

El enriquecimiento de datos para conjuntar información de diferentes fuentes, agruparla y obtener un perfil muy completo de las personas seguirá sucediendo y evolucionarán las técnicas, y aquí hago un comentario: cuando una agencia de investigación utiliza técnicas de inteligencia de fuentes abiertas (OSINT) para ubicar delincuentes se escucha espectacular, pero ahora que los ciberdelincuentes lo hacen, se convierten en una amenaza contra la confidencialidad y los datos personales.

Finalmente, el ransomware seguirá siendo una tendencia, y posibles medidas en los criptoactivos podrían reducir, o por lo menos permitir establecer atribución sobre estos delitos. Pienso que es aventurado decir que tiene los días contados; simplemente hago este comentario, ¿cuántos años llevamos combatiendo virus? Yo recuerdo que en los 80 pensaba en mi cerebro adolescente sobre los virus “esto no puede continuar a largo plazo, los programadores finalmente lo harán mejor y no habrá gaps que explotar”. Décadas después seguimos instalando antivirus y antimalware.

AT: Y bueno, también tenemos que estos fenómenos se convierten en una industria. Por ejemplo, ransomware as a service, y también supuestos consultores y negociadores especializados en ransomware que hasta podrían tener nexos con los grupos y obtener comisión por los dos lados; hay una industria que posiblemente va a perpetuar ese negocio y tratará de adaptarse.

En la vieja escuela en la que nosotros nos formamos, primero era definir la arquitectura, qué servicios de seguridad tienes que implementar de acuerdo con los diferentes tipos de información y datos y cuáles son tus principios y estándares para hacerlo. Con ello, ya puedes implementar cualquier aplicación, servicio o solución que requieras.

Me parece que hoy, no sé si por la necesidad de reducir el time-to-market o porque es más fácil, las organizaciones contratan un servicio en la nube, simplemente le ponen un usuario y contraseña y una base de datos y ya piensan que están listos para salir a producción. No todos, pero sí existen muchos casos. Claro que también hay otras organizaciones con más disciplina y sobre todo muy cuidadosas con las responsabilidades jurídicas de proteger ciertos datos.

Otro punto es que como hay tanta oferta de herramientas y tecnología, algunos profesionales piensan que con poner gadgets ya tienen una arquitectura de seguridad. Ni siquiera necesitas buscar en el mercado; los CISO recibimos muchas llamadas a la semana para ofrecernos alternativas tecnológicas con diferenciadores sobre su competencia, y es claro que hay toda una industria. Yo prefiero que haya competencia para que puedas seleccionar lo que más se adapte a tu operación y no verte forzado a implementar algo porque es lo único que tienes a la mano.

OB: Gracias, ya nos comentaste qué visualizas para el 2024, pero quiero hacer esta pregunta porque está creando mucha polémica: ¿qué pronosticas sobre big data e inteligencia artificial como apalancadoras de la función de seguridad?, ¿cómo pueden ser útiles para el CISO?

AT: Primero, es indispensable que pienses en contar con componentes que ya estén aprovechando de forma real y práctica estas capacidades, pensemos por ejemplo en el SIEM; mucha gente dice que no ha cumplido con la promesa, pero sigue la tecnología y se sigue utilizando. Ahora, tienes el XDR o cualquier otra herramienta más evolucionada y debes tomar todas las fuentes viables que tengan sentido.

Hace tiempo escribí un blog en el que trataba precisamente de que en el fondo la correlación es la base, debe ser la parte central de la inteligencia; es ahí donde pueden entrar los mecanismos que mencionas como big data e inteligencia artificial. Lo que necesitas es visibilidad sobre toda tu superficie de ataque (móviles, notebooks, servidores, equipos de comunicación, etc.) y también asegurarte de que toda cuenta con tu stack de seguridad de acuerdo con la política que hayas definido. Ahora la política debe ser flexible para contemplar excepciones, pero no debe ser laxa.

OB: Leí un libro en el que se menciona que, para lograr una conducta deseada, es necesario que el incumplir con la norma sea muy tortuoso y el cumplirla muy fácil y reconocido. Solicitar una excepción debería ser tan doloroso que el colaborador no quiera volver a pasar por ese proceso de nuevo y mejor encuentre la forma de cumplir con la política desde el inicio.

Estamos llegando al final de nuestro tiempo agendado, pero quiero preguntarte, en una palabra, una oración o un párrafo, ¿qué le recomiendas a tus compañeros CISO y a todos los profesionales de ciberseguridad?

AT: Yo creo que es complicado predecir cuál va a ser la moda en enero sobre amenazas o tipos de ataques, pero yo diría que hay varias acciones que es necesario llevar a cabo y creo que te tienes que enfocar como CISO. La primera es: no dejes de aprender, o sea, no dejes de profesionalizarte, no dejes de actualizarte. No que busques una credencial X, Y o Z; creo que va un poco más allá, que siempre estés buscando el cómo profundizar en ciertos tópicos, para eso es importante que te mantengas actualizado, que vayas a foros. Y lo otro es que la resiliencia es un componente fundamental hoy en las organizaciones: monitorear y estar listo para reaccionar.

Mi última recomendación es: comunica mejor y comunica más arriba. Eso es fundamental, si no lo haces, te vas a encontrar con sorpresas. Es decir, creo que el mantener la comunicación ni siquiera a nivel de dirección general, sino a nivel de consejo de administración, accionistas, es bueno y es necesario aprender ese lenguaje.

OB: Solamente como comentario, una vez trabajé con una persona que me dijo: “si puedes explicar toda tu jerga técnica en un lenguaje que tu mamá lo entienda, estás haciendo un gran trabajo”. Bueno, me ha dado mucho gusto haber platicado contigo y me parecen muy valiosas todas las reflexiones que nos compartes.

AT: Muchas gracias, y espero que sean de utilidad para las personas que las lean.

[1] Director de Transformación Digital en Scitum.

[2] CISO de Farmacias San Pablo, entrevista realizada el 10 de noviembre de 2023.