Conoce al Director de Seguridad de eWON

Publicado: 01/09/2017

Garantizar la seguridad en un mundo tecnológico en constante evolución significa un trabajo constante y mejora continua.

¿Y sabes qué? En cada planta del edificio eWON se trabaja continuamente para asegurar el acceso seguro a los Sistemas de Control Industrial (SCI).

Este esfuerzo de equipo requiere un súper maestro que lo coordine todo meticulosamente: conoce al Director de Seguridad de eWON, Geoffrey Gobert, y así saber algo más sobre la seguridad global de eWON.

 

¿Quién eres?

Soy un chico amable de 35 años, casado con una mujer maravillosa. De hecho, ¡acabamos de casarnos hace unos días! De momento no hay niños, pero quizás algún día...

Soy accesible y creo que eso es muy importante en mi papel: no puedo ayudar a nadie si la gente tiene miedo a hablar conmigo. Por otro lado, soy riguroso y concienzudo, lo que encaja absolutamente bien con tal posición de seguridad.

Director de seguridad de ewon Geoffrey Gobert

Cuéntanos sobre tus antecedentes

Tengo un Master en Informática junto con varias certificaciones conocidas como CISSP, GPEN, ISO27032 lead cybersecurity manager, implementador líder ISO27001...

Trabajé alrededor de 10 años para el operador de telecomunicaciones Orange Bélgica: primero como ingeniero de sistemas de seguridad web y luego como especialista en seguridad informática.

Luego cambié a TechMahindra, una empresa de servicios informáticos, donde trabajé como Director de Seguridad durante 2 años.

Finalmente, en mayo de 2016, empecé a trabajar para HMS como Security Manager.

 

¿Te despertaste un día y decidiste "voy a ser un experto en Ciberseguridad"?

No. Cuando empecé a estudiar informática, me di cuenta de que la seguridad era un asunto muy importante y sensible, e intuí que lo sería aún más en un futuro muy cercano. Eso fue hace 15 años.

Cuando los ISP (proveedores de internet) comenzaron a proporcionar conexiones de banda ancha asequible a los usuarios fue el amanecer del internet accesible a todos. Y las empresas comenzaron a prestar servicios en Internet... ¡Una revolución!

Esto también se convirtió rápidamente en una oportunidad para el cibercrimen. Los malos comenzaron a ganar dinero hackeando servidores, robando números de tarjetas de crédito, contraseñas, datos privados, etc. Naturalmente, la seguridad se convirtió en el próximo gran reto y yo estaba muy interesado en investigar el tema: ¿cómo lo estaban haciendo los hackers? ¿hasta dónde pueden ir? Y aunque la tentación de cruzar la línea se presentó, me quedé en el lado bueno... [risas]

 

¿Qué te gusta de tu trabajo?

La seguridad es una actividad desafiante y transversal, ¡y hay tantas cosas que hacer!

Tengo que hacer cumplir la seguridad en todos los niveles, por lo que tengo que conocer y colaborar con un montón de gente interesante.

Estoy haciendo mitad de gestión, mitad de actividades técnicas. Por lo tanto, es muy diversificado y me gusta. Por último, pero no menos importante, ¡puedo hackear cosas sin ser enviado a la cárcel! [risas]

 

¿Cuáles son los mayores retos de tu posición?

Son muchos. Pero si tuviera que elegir dos, yo diría primero, concienciar a los usuarios y segundo como hacer reglas de seguridad más robustas sin ser “inaplicables”.

Todo reside en el equilibrio: hacer la seguridad más fuerte y más difícil de vulnerar, pero sin grandes procedimientos que provoque a los usuarios una imagen negativa de la seguridad y que les impida hacer rápidamente lo que quieren. De lo contrario, incluso tratarán de pasar por alto las reglas de seguridad sólo para facilitar su trabajo. Esto es también donde la conciencia entra de nuevo en juego.

Recordemos lo que sucedió en el NIST, el instituto estadounidense de estándares y tecnología. En 2003 recomendaban el uso de contraseñas complejas, fuertes y renovarlas con frecuencia. Con el tiempo, lamentaron este consejo: se dieron cuenta de que no era eficiente en absoluto ya que los usuarios al hacer contraseñas más difíciles empezaron a anotarlas en papeles…

El NIST acaba de adaptar su estándar. Ahora recomiendan usar una contraseña larga fácil de recordar (pero difícil de adivinar, por supuesto), usar un administrador de contraseñas para almacenarlo de forma segura y renovarlo sólo si se sospecha. ¡Esto cambia drásticamente las cosas!

 

¿Puedes describir un típico día de trabajo para ti?

La seguridad es transversal y de rápida evolución, por lo que podéis imaginar que cada día es diferente.

Cuando me conecto al PC por la mañana, compruebo primero en internet las posibles vulnerabilidades en el software que utilizamos, navego por las noticias de seguridad para detectar cualquier posible problema o amenaza que pueda evolucionar.

Luego verifico diferentes controles de seguridad y registros para comprobar que todo va bien.

El resto del día depende de proyectos y eventos: puedo trabajar en la seguridad del edificio, una hora más tarde en nuestra seguridad de firmware y luego en mejoras en los procesos de contratación de recursos humanos. Es muy diversificado.

 

¿3 consejos en materia de Ciberseguridad industrial?

El número uno sería C O N C I E N C I A. Alrededor del 85% de los hackeos comienzan con un ataque de phishing o de ingeniería social. El usuario es la primera capa de protección, pero también el eslabón más débil. Por lo tanto, asegúrate de que los empleados conozcan los trucos más comunes. Si no tienes un jefe de seguridad para entrenarlos, recomiendo encarecidamente contratar a un consultor para ayudar a organizar tales actividades. ¡Vale la pena!

Mi segundo consejo es usar contraseñas difíciles de adivinar pero fáciles de recordar. También utilizar el mecanismo de autentificación de 2 factores, si es posible, ya que las contraseñas son a menudo la primera y única defensa contra los hackers. ¡Es el 70% de su trabajo! Es por eso que los operadores y administradores deben elegir su contraseña con mucho cuidado. Nunca utilices el mismo que utilizas para tus cuentas privadas o correo electrónico personal en el trabajo. No es raro ver esos sitios web hackeados, las contraseñas divulgadas en el internet profundo y siendo utilizadas para tener acceso a la fábrica o empresa. El sistema de doble factor de autenticación hace la vida imposible a los hackers y se debería usar siempre que esté disponible. Además, hay que mantener y comprobar los registros de un sistema para detectar cualquier intrusión.

Se suponía que había tres, ¿verdad?, porque podría dar cientos… Pero por qué no resumirlo así: ¡prepárate para lo peor! El ser humano evita naturalmente de pensar en lo peor, lo mantenemos en una distancia. Pero bueno, hay que hacer un esfuerzo ya que podrías salvar vidas, tiempo y dinero.

Comienza con lo que harías en caso de un ataque: ¿qué pasa si mi cadena de producción se detiene? ¿Cuál es el activo más importante para mí? Este tipo de preguntas se pueden abordar en un plan de continuidad de negocios incluyendo respuestas y procedimientos de recuperación que ayudarán a reaccionar rápidamente sin entrar en pánico.

 

¿Qué hace que los productos y soluciones eWON sean seguros? ¿Qué hace que el enfoque eWON sea especial?

Bueno, si la gente quiere saber más sobre nuestro enfoque de seguridad, los invito a revisar nuestra sección de seguridad de nuestra web. Una cosa que me gustaría destacar aquí es que eWON desarrolla y fabrica sus productos en su propio edificio. Por tanto, los conocemos “al dedillo” y podemos reaccionar rápidamente sin importar cuál es el problema.

Además, cuando llegué a la empresa, me sorprendió lo bien entrenados y conscientes que estaban todos los trabajadores, y la seguridad ya estaba profundamente integrada. Es bueno tomar una posición e inmediatamente comenzar a discutir temáticas en los niveles más altos.

 

Bueno, Geoffrey, muchas gracias por tu tiempo. Te dejaremos volver al trabajo. ¿Cuál es tu agenda hoy?

¡De nada! Justo ahora haré una introducción a la seguridad para un empleado recién contratado.