Eduardo Sánchez es el CISO de Atrys Health. Lo es desde hace algo más de dos años y después de acumular experiencia en el mercado de ciberseguridad en BBVA, BT, Volkswagen Financial Services o BASF.
Ingeniero informático de carrera, los primeros pasos en el mundo de la ciberseguridad los daba en el mundo de la seguridad de red para adentrarse “en la parte de respuesta ante incidentes”; la oportunidad de trabajar con el CERT de un banco le llevaron al mundo del SOC y la analítica de datos “para capturar las desviaciones de comportamiento y detectar incidentes de seguridad en los entornos corporativos de diferentes empresas”. Eso fue, asegura, lo que le ayudó a tener una foto bastante técnica sobre cómo funcionaban los mecanismos internos de estos departamentos, hasta que le llega la oportunidad de trabajar en Volkswagen Financial Services como responsable de seguridad a nivel de España. A día de hoy, todo su background técnico y de estrategia de ciberseguridad lo pone al servicio de Atrys Health, una compañía del sector salud, donde ocupa el puesto de CISO.
“la tecnología, sin las personas, no vale mucho”
Preguntado por las cualidades que debe tener un buen CISO, responde que, aunque se dedica más tiempo a entender la estrategia y unidades de negocio de la compañía, así como la regulación, contar con un background técnico, “te ayuda a tener mayor sensibilidad, a entender realmente las herramientas que necesita tu organización, los proveedores, las métricas, que son necesarias para establecer este tipo de servicios”.
Toda amenaza que guarde relación con el tratamiento de un paciente es susceptible de quitarle el sueño a Eduardo Sánchez Cristóbal. Tiene claro que el sector salud es una industria altamente sensible, y que los riesgos de integridad, manipulación o no disponibilidad de la información “atentan directamente de manera negativa al tratamiento de un paciente”. Recuerda además que parar un HIS (Hospital Information System) durante un tiempo determinado no solo puede provocar un caos, sino afectar a la vida de los pacientes, y que, en estos casos, el riesgo es “una intersección entre ciberseguridad y la vida de los pacientes”
Menciona el CISO de Atrys Health algunas tecnologías, o herramientas de ciberseguridad claves, como el EDR para defender el punto final, SASE, Zero Trust, DDoS, WAF o navegación segura, para proteger los entornos sanitarios. No se olvida de los procedimientos que permiten, entre otras cosas, actuar frente a posibles amenazas, ni de las personas, porque “la tecnología, sin las personas, no vale mucho”. Asegura que “el mejor factor para defender es tener personas cualificadas que sepan cómo actuar a través de procedimientos y con una tecnología reconocida por los estándares”.
“Todo lo que conforma la identidad” es, en opinión de Eduardo Sánchez, algo que hay que tener muy presente para proteger la empresa. Habla de accesos condicionales y de autenticación multifactor, y asegura que es un tipo de amenaza que se puede mitigar con concienciación “porque creo que la identidad hay que protegerla de una manera bastante amplia, ya sea desde el mundo personal hasta el mundo profesional, porque a veces se interrelacionan”.
Relacionado con la cadena de suministro, menciona el SBOM (Software bill of materials) como segundo vector de ataque que hay que tener en cuenta. Comenta que es habitual que se adquieran productos, aplicaciones y sistemas que son altamente complejos y están conformados con muchas piezas y que, en ocasiones, no se tiene un inventario de todas las piezas del sistema. Asegurando que, “a nada que haya una vulnerabilidad, se pude tomar el control de la aplicación”, explica el directivo que, ahora más que nunca, “necesitamos tener inventariadas todas las piezas de todas nuestras aplicaciones que adquirimos a nivel de COTS (Commercial Off the Shelf), y tener visibilidad de cuándo hay una vulnerabilidad para, a través de un procedimiento, localizar esa pieza que conforma el sistema y parchearla de manera adecuada”.
La ciberseguridad se ha hecho cada vez más compleja en un segmento en el que hay una consistente falta de profesionales. En este entorno, los servicios gestionados se han convertido en el aliado perfecto. ¿Qué le pedirías a un servicio gestionado? “Le pediría métricas”, responde Eduardo Sánchez, explicando que son varias las métricas que pueden ponerse sobre la mesa, desde el MTTR (mean time to resolve) al MTTI (Mean Time to Identify), e incluso métricas de rotación; “no nos interesaría tener un SOC, por ejemplo, con un índice de rotación de más de un 20 por ciento” porque puede impactar en la calidad del servicio que se da, comenta el CISO de Atrys Health.
Preguntado por las tecnologías de seguridad que serán imprescindibles en un futuro, asegura que “es inevitable hablar de inteligencia artificial aplicada a los procesos de seguridad internos de las corporaciones”, y comenta que puede ayudar a automatizar ciertas tareas relacionadas con el Threat Hunting, incident response, e incluso “operaciones de ofensivas que puedas realizar dentro de tu organización para ver si tienes debilidades o vulnerabilidades dentro de tu entorno corporativo”.
Sobre la inteligencia artificial destaca que “es una tendencia que creo que va a surgir”, y que “abrazaremos en la medida de lo posible”.
