La velocidad de los ataques es tan rápida que el tiempo que requiere correlacionar la telemetría entre las diferentes herramientas hace que el cuando se obtienen los resultados el daño ya está hecho. Así lo asegura Deepen Desai, CISO Global de Zscaler, identificando de esta manera uno de los retos a los que se enfrentan los responsables de seguridad: la cantidad de herramientas a gestionar fruto de la tendencia del «best of breed». Por eso, asegura, “nos estamos moviendo hacia un enfoque de plataforma que nos permite integrar estas herramientas para resolver este desafío, porque no puedo tener cien productos y además un equipo tratando de hacer el trabajo manual de correlación, o estar comprando otro producto para realizar la correlación”.
Comparado con otros responsables de ciberseguridad, que tienen que hacer frente a aspectos presupuestarios para poder comprar tecnología o a la reticencia de una junta directiva que no considere la seguridad como una prioridad, ¿es usted un CISO afortunado? “Sí, porque puedo usar mi propia plataforma”, responde al tiempo que sonríe y explica que, independientemente de Zscaler, “hagas lo que hagas, necesitas estandarizar en una plataforma cuando intentas defenderte contra ataques de múltiples etapas”.
«las amenazas internet son muy difíciles de detectar»
Preguntado por las cualidades que debe tener un buen responsable de ciberseguridad, tiene claro Deepen Desai que “más que CISOs, debemos ser habilitadores de negocio. Así es como veo evolucionar nuestro papel”. Recuerda que existe la noción tradicional de que el CISO y el equipo de seguridad son el “señor o la señora No de la organización. Ahora estamos en la era, sobre todo después de la pandemia, de que los CISOs y los CIOs se están uniendo cada vez más para habilitar el negocio y hacerlo seguro; “por lo tanto, un buen CISO debe considerar el riesgo de manera integral y trabajar para permitir que diferentes negocios multifuncionales obtengan los resultados que la empresa desea”.
Una segunda cualidad es que los CISOs deben entender el panorama de las amenazas. Explica que puede que no todos los responsables de ciberseguridad tengan experiencia en investigaciones, “peropueden recibir informes de su equipo para que, una vez que comprendan el panorama de amenazas, estarán en una mejor posición para hacer recomendaciones sobre qué herramientas o qué área deben priorizar sobre las demás”.
¿Qué tipo de amenazas le quitan el sueño a Deepen Desai? “Debido a que estoy en una empresa proveedora de seguridad, tengo el privilegio de contar con 150 investigadores de primer nivel que rastrean la mayoría de las amenazas. Pero la que definitivamente me mantiene despierto por la noche es el ataque a la cadena de suministro”, no sólo procedente de uno de los proveedores de Zscaler, sino que sea la propia plataforma de la compañía la que se utilice para impactar contra los clientes; “es un área importante para mí y mi equipo garantizar que estamos seguros”, dice el directivo.
Menciona también como importantes las amenazas internas, sobre las que asegura que son muy difíciles de detectar porque se puede sobornar a un empleado para obtener su acceso, convirtiéndose el contexto en el elemento fundamental para detectar la actividad ilícita.
Para Deepen Desai casi todas las organizaciones comprenden la importancia de Zero Trust y están en diferentes etapas del viaje. Responde así cuando le preguntamos por la mayor innovación de seguridad de los últimos cinco o diez años. Añade un segunda: “si tuviera que mencionar también una innovación muy táctica, diría sandboxing, y mejor si ese sandbox es parte de una plataforma de confianza cero como la de Zscaler.
Las inversiones en ciberseguridad no dejan de crecer, a la par que la innovación tecnológica. ¿Qué es lo que está fallando? ¿Por qué hay cada vez más ataques con éxito? ¿Dónde está el problema? Utilizando el razonamiento del CEO de Zscaler, Jay Chaudhry, responde el CISO de la compañía que la tecnología no es problema, ni tampoco que las empresas entiendan que necesitan reducir y priorizar riesgos, o adoptar Zero Trust; “el problema es la capa ocho y capa nueve, las personas y la política”, asegura Deepen Desai, explicando que existe una inercia de seguir haciendo las cosas de la misma manera, de abrazar cajas, y que hay una resistencia al cambio, pero que ahora todo el mundo empieza a entender esta nueva forma de ciberseguridad.
¿Qué le haría fracasar como CISO? “No puedo nombrar una sola cosa. Una brecha puede hacer que falles”, responde el responsable de innovación e investigación de ciberseguridad de Zscaler. Menciona también que, aunque no es su caso, la falta de apoyo de la junta directivo podría hacer que un CISO fracasase, “pero también es responsabilidad de CISO comunicar el riesgo en un idioma que la junta y otros ejecutivos entiendan. Es responsabilidad del CISO obtener su apoyo”.
Como arquitecturas o modelos, tanto SASE como Zero Trust son objeto de interpretación, y cada empresa hace la suya. “Incluso antes de que Gartner los llamara SASE o SSE, nuestra plataforma se construyó con esos fundamentos”, asegura el directivo, añadiendo que la compañía tiene más de 150 centros de datos y miles de puntos emergentes que analizan el tráfico “en una arquitectura multitenant y basada en proxy, aplicando una política de seguridad coherente. Así que nuestra plataforma, por diseño, se construyó sobre esos principios”. El siguiente paso, dice Deepen Desai es “ir más allá de la definición de la arquitectura SASE”, incluyendo en la ecuación las cargas de trabajo, que también pueden filtrar datos, pueden descargar malware y, por tantop, deben tener el mismo nivel de inspección DLP; “por lo tanto nuestra plataforma ya está extendida para cargas de trabajo e IoT y OT, lo cual es importante para el sector de manufacturing y otras industrias verticales”.
«Es responsabilidad del CISO obtener el apoyo de la junta directiva”
Sobre el impacto de la IA Generativa, dice Desai que es un cuchillo de doble filo; “hace que las cosas sean más eficientes, pero debe hacerlo de forma segura”, y añade que Zscaler juega un papel importante “al permitir que las organizaciones aprovechen de forma segura la IA generativa. Los malos también aprovecharán la IA generativa. Al final, también puede ser una guerra de IA contra IA cuando se trata de defenderse contra ataques de varias etapas”.
A raíz de un informe sobre el ransomware publicado por la compañía, le preguntamos a su CISO si hay alguna novedad destacable. Nos cuenta que se está convirtiendo en tendencia que las bandas de ransomware opten por no cifrar los datos de los usuarios sino que “simplemente los están robando para luego amenazar a la organización con filtrar esos datos si no pagan rescate”.
Por último preguntamos a Deepen Desai por una tecnología que será relevante en un futuro a medio plazo. Menciona Zscaler Risk360, un marco integral de visualización y cuantificación de riesgos que ingiere datos reales de su entorno Zscaler y fuentes externas para generar información sobre posibles riesgos cibernéticos y su impacto financiero estimado. Asegura el directivo que “el proceso de cuantificación y mitigación de riesgos está roto”, que lo que mucha gente está utilizando es una hoja de Excel y que incluso el equipo de seguridad no tiene forma de medir la madurez de ese control que ha implementado. “Risk360 ayuda a los CISOs priorizar en qué riesgo deben enfocarse primero. Y, en segundo lugar, ayuda a comunicar el riesgo a los directores ejecutivos y miembros de la junta”.