En A3Sec siempre hemos tratado de estar muy cerca de los responsables de la seguridad en las empresas, que son los que día a día están realmente al frente de la batalla, buscando entender bien sus necesidades.
En relación a este motivo, hemos promovido una serie de eventos llamados “Café con CISOs” donde preguntábamos a CISOS por sus retos, necesidades y preocupaciones. El resultado no solo ha sido siempre muy interesante sino también muy útil para desarrollar nuevos servicios innovadores y alineados a las necesidades del mercado actual.
Primera edición organizada por A3Sec
Este año dimos un paso adicional y nos aventuramos a probar una nueva versión, en esta ocasión logramos reunir en un mismo evento a varios responsables de seguridad (tanto técnicos como de negocio), en un formato más abierto con el objetivo de hablar de una de los puntos que identificamos como no cubiertos en su totalidad en el área de la ciberseguridad, y que podrían dar lugar a una falta de comprensión completa de la postura de seguridad de la empresa.
¿De qué trató Talking About Cybersecurity?
A finales de abril organizamos el evento en una de las salas del reconocido Restaurante Ramsés de Madrid.
En esos días el clima de la capital estaba entre nublado y lluvioso, pero por suerte a las 19:30 había dejado de llover y la temperatura era agradable. El sitio y el entorno eran propicios para relajarse y charlar un rato de ciberseguridad mientras se disfrutaba de buena compañía, bebida y comida.
El tema que propusimos para arrancar la conversación fue la dificultad que existe en la gestión completa de las vulnerabilidades, haciendo hincapié en “completa”, ya que esta gestión no es sólo sacar un informe con la agrupación por criticidad entre las miles de vulnerabilidades que, incluso, la mayoría de las veces se repiten mes a mes aún sin entender bien el objetivo lo que en realidad no representa bien el riesgo al que se enfrenta la empresa, ni se entiende a nivel de comité de dirección.
¿Es posible cambiar la forma de gestionar esta información?
¿Qué os parecería tener un servicio que analizara la situación de la empresa utilizando todas las fuentes de información sea cual sea el origen y expusiera el riesgo de seguridad de la empresa en función de las amenazas existentes, tanto por la exposición de sus activos como por las amenazas existentes sobre las empresas del sector, país, etc?.
Con una solución así se lograría tener la visibilidad total, desde el detalle hasta un único indicador de riesgo que se pueda presentar en el comité de dirección. Además este servicio se podría encargar de la gestión de la resolución de las vulnerabilidades hasta el final…¿Interesante?
Después de esta declaración de intenciones, que fue muy bien aceptada, llegaron las evidentes dudas y preguntas, ¿todas las fuentes?, ¿también los informes de pentesting, etc? ¿gestionaría el cierre de las vulnerabilidades? ¿hablaríamos de amenazas y no de vulnerabilidades?
En efecto, la respuesta a todas estas dudas es sí, y un punto importante es poner el foco principal en las amenazas, ya que varias vulnerabilidades clasificadas como medias o bajas, pueden resultar en una amenaza directa en las empresas del sector, mientras que su resolución estaría al final de la lista por no ser declaradas como críticas.
Después de un rato de debate y explicaciones, la solución presentada fue muy bien aceptada, y fue cuando revelamos que este desarrollo viene de escucharlos a ellos estos últimos años y que A3Sec pone este servicio a disposición de las empresas, llamándolo Kaos Data Threat Service. Con este producto buscamos responder a todas esas necesidades y retos que nos han ido transmitiendo en los últimos meses, esperando con él facilitarles el día a día de su difícil labor en el mundo de la protección de los activos digitales.
Después de esta conversación, hablamos de más necesidades que inevitablemente no paran de surgir en la medida que los ciberdelincuentes evolucionan, pero también de nuevas soluciones que están surgiendo en el mercado igual de sofisticadas y que tratan de parar los nuevos ataques.
Estar al día es necesario en este sector de constante cambio.
La jornada finalizó con una agradable conversación en un ambiente relajado en donde tuvimos tiempo hasta para hablar de temas más actuales como la situación global, la guerra, Pegasus, etc.
Al dejar el restaurante hacía una espléndida noche y la plaza estaba en ebullición, qué ganas de quedarse un poco más, pero había que coger fuerzas para continuar en la batalla el día siguiente, así que así se terminó esta amena velada.
