Jornada de aprendizaje sobre "Ciberseguridad en MONDRAGON"

Tanto la tecnología como la habilidad de engaño de los ciberdelincuentes progresa muy rápido y en esta ocasión el foro se centró en conocer los avances en el sector de la banca. Laboral Kutxa, de la mano de su CISO (Chief Information Security Officer, responsable de velar por la ciberseguridad de una empresa) Gaizka Aralucea, presentó los riesgos a los que se están enfrentando y cómo los están abordando.

Laboral Kutxa

Gaizka hizo un recorrido histórico de la evolución de los riesgos y las tecnologías que han ido adoptando, fuertemente empujados por las normativas del sector como GDPR, NIS2 y otras. Sin embargo, aunque la tecnología sea importante, destaca dos aspectos fundamentales: por una parte, la necesidad de tener una dirección definida para varios años, es decir, un Plan Director de Seguridad en la que estén bien identificados los riesgos, situación de partida de la empresa y los objetivos a conseguir con su lista de iniciativas y priorización. Y, por otra, como dice Gaizka "todo esto funciona si somos capaces de gestionarlo, lo que nos lleva a tener una buena gobernanza con una responsabilidad compartida en la que Ciberseguridad lidera, pero cada área de la organización es responsable de estas iniciativas".

Mondragon Unibertsitatea

A continuación, Jesús Lizarraga, coordinador del área de Telemática y Ciberseguridad de Mondragon Unibertsitatea, expuso la experiencia vivida en el reciente incidente de ransomware que han sufrido y que han logrado neutralizar con rapidez. Jesús es el formador de los talleres sobre el decálogo de ciberseguridad de MONDRAGON y los protocolos de respuesta a incidentes que se están impartiendo en las cooperativas.

Las herramientas y técnicas utilizadas en estos ataques son complejos, pero Jesús explicó de forma muy didáctica los entresijos del modus operandi utilizado. "Con unos 800 trabajadores, más de 7.000 alumnos, 4 facultades y distintas ubicaciones geográficas, hay mucha superficie expuesta que puede ser analizada por los hackers. Es cuestión de tiempo que encuentren alguna vulnerabilidad para acceder a nuestra red, encriptar todo lo posible, con mucho énfasis en las copias de seguridad, y dejar un mensaje de rescate. Además, siempre intentan llevarse información para una segunda extorsión con la posible divulgación de la misma". En estos casos, como señala Jesús, es muy importante el tiempo de reacción ante el incidente. "En poco más de una hora desde el aviso del SOC (Security Operations Center, centro de monitorización de eventos y alertas) se había puesto en marcha el protocolo y cortado las comunicaciones (internet, vlan, wifi), deteniendo la propagación del ataque y minimizando así su impacto y evitando exfiltración de datos, aunque eso no evite varios días de trabajo de verificación uno a uno de todos los equipos".

Todas las organizaciones corren el riesgo de este tipo de incidentes y estar preparados es un factor clave

Todas las organizaciones corren el riesgo de este tipo de incidentes y estar preparados es un factor clave. En este caso, gracias al trabajo realizado en los últimos años, con el desarrollo del decálogo de ciberseguridad, las formaciones sobre ransomware para usuarios y equipos de intervención y principalmente con la implantación del servicio SOC, se ha podido resolver el incidente de una manera diligente y evitar que se vean afectadas la confidencialidad y la integridad de los datos.