¿Cómo se gestiona la ciberseguridad de challenges en una start-up industrial?

Lea la entrevista con Yohann BAUZIL, ex-CISO (Chief Information Security Officer) de Airbus OneWeb Satellites. Para una start-up industrial que fabrica satélites, la cuestión de la ciberseguridad no es una pregunta, es una obviedad. Yohann BAUZIL se incorporó a Airbus OneWeb Satellites para estructurar y gestionar la ciberseguridad. En esta apasionante entrevista, descubrirá su enfoque global de la seguridad de las herramientas de producción, ya sean informáticas o industriales.

El papel del Director de Seguridad de la Información (CISO)

Para empezar, tiene el título de CISO, ¿es diferente de CISO o es una traducción de la misma función?

Hay un debate. Para mí, no es lo mismo. Normalmente, hay puestos de responsable de seguridad del sistema de información, que están mucho más cerca de la noción de CISO. Cuando eres CISO, te interesa la seguridad de la información en el sentido más amplio. La reciente aparición del puesto de "Director de Ciberseguridad" muestra cómo están evolucionando estas funciones. Aquí nos acercamos a la noción de CISO, porque será responsable de la seguridad de la información. Y esto en el sentido de la ISO 27001, seguridad de la información frente a seguridad de los sistemas de información.

La challenges del CISO se amplía con la "seguridad industrial": gestión de identidades y accesos, protección de recursos y edificios, etc. Cuando se gestionan las tarjetas de identificación y la videovigilancia, el CISO puede convertirse de hecho en el CISO.

¿Así que su trabajo tiene varios aspectos relacionados con la seguridad?

Sí, así es. Estoy a cargo de la División de Seguridad y del equipo. Esta división cubre no sólo IS, sino también la seguridad de nuestros sitios industriales, gestión de identidad y acceso, y también se puede añadir el RGPD con un sombrero DPO en el pasado. Así que es seguridad digital y no digital.

La organización de la división de (ciber)seguridad en Airbus Oneweb Satellites

¿Qué papel desempeña la seguridad en Airbus Oneweb Satellites?

El Departamento de Seguridad cuenta con un equipo especializado. Sin embargo, yo diría que en el mejor de los mundos posibles, no debería haber ningún equipo de seguridad, simplemente porque se aplican los procesos. Pero el factor humano sigue siendo un punto de vigilancia. Aunque, tengo que admitirlo, nuestros empleados tienen una verdadera conciencia y cultura de aplicación de los principios de seguridad.

En 2017, ¿cuáles fueron sus primeras medidas tras el nombramiento?

Había que hacerlo todo. Y yo tenía un enfoque muy técnico: 50% técnico / 50% funcional. Como estábamos en proceso de crear una nueva empresa, teníamos una gran necesidad de arquitectura, que era el vínculo con mis anteriores responsabilidades.

También pude recurrir a un análisis de riesgos que sentó las bases de la hoja de ruta de seguridad 2017-2020.

¿Cómo surgió la idea de un centro de seguridad?

La división de seguridad surgió con bastante rapidez. La SI (en TI) se convierte rápidamente en un techo de cristal cuando no tienes un legado y la arquitectura está en su sitio. Uno de los motores de este desarrollo fue el RGPD. El Departamento de TI inició el proceso en mayo de 2017, con el objetivo de aplicarlo a partir de mayo de 2018. Esto me llevó a convertirme en responsable de protección de datos y después, lógicamente, en RPD. Mi función de adjunto al jefe de la planta de Toulouse, encargado de la seguridad industrial, se ha ampliado a tres funciones:

• CISO,
• Oficial de seguridad
• y DPO,

Hemos creado un "CISO" encargado de la seguridad.

Hay que señalar que este enfoque es posible dentro de una estructura pequeña como la del A.M. SAS (nota del editor: unas 150 personas). No nos enfrentamos al tipo de enfoque en silos que se ve en organizaciones más grandes.

En cuanto a la organización, ¿el departamento de seguridad depende del departamento informático?

En el lanzamiento en 2017, sí (nota del editor: la empresa se creó en 2016). A partir de 2019, hemos creado una División de Seguridad específica para integrar mejor la seguridad industrial y el RGPD. Naturalmente, la División de Seguridad se ha adscrito a la Dirección General. Es el lugar adecuado, sobre todo para evitar cualquier posible sesgo de juicio por parte de TI. Cuando un CISO gestiona la seguridad industrial, es cualquier cosa menos una cuestión de TI. La misión es interfuncional. Lógicamente, depende de la Dirección General.

Desde un punto de vista operativo, ¿se trata de un enfoque matricial?

De hecho, tengo doble dependencia, algo inaudito en mi carrera. Reporto al CIO, para las cuestiones informáticas, y al COO - Chief Operation Officer - que es el número 2 de la empresa para las cuestiones de seguridad. Y tengo un vínculo funcional con el Presidente de la entidad francesa, porque en última instancia es él quien tiene la responsabilidad de la empresa.

¿Qué ocurre con la seguridad de los satélites fabricados por Airbus Oneweb Satellites?

En nuestra organización, esto no forma parte de nuestras competencias. Lo gestiona directamente el equipo de producto. Además, en los últimos años hemos asistido a la aparición de una nueva variante del puesto de CISO, el CPSO (Chief Product Security Officer). Se trata de otro puesto que puede encontrarse en grandes organizaciones. Mi misión es principalmente interna. Estoy ahí para garantizar la seguridad de la arquitectura de la información necesaria para construir el satélite, pero no la seguridad del propio satélite.

¿Tiene un enfoque de la seguridad muy matricial, con múltiples líneas jerárquicas?

Sí, porque nuestro papel es sobre todo unir a la gente. El RGPD, por ejemplo, es ante todo una cuestión jurídica. La seguridad industrial está muy imbuida de la noción de sitio. La seguridad de la SI debe integrarse estructuralmente en el trabajo de un departamento de TI. Así que este triple enfoque es inherente a la función de seguridad, y su misión es unir a las personas.

Como suelo decir al Presidente: "Tú eres el responsable penal, así que es normal que opines sobre mis actos. Porque al final, eres tú quien irá a la cárcel".

Elaborar la hoja de ruta de la seguridad

La hoja de ruta proporciona a los responsables de seguridad y gestión de riesgos :

• una visión general de las principales etapas e hitos del programa
• recursos clave para ahorrar tiempo y garantizar el éxito de la ejecución
• información sobre el equipo interfuncional responsable de llevar a cabo el programa

¿Cómo surgió su Hoja de ruta para la seguridad 2017-2020?

Utilicé el análisis de riesgos para estructurar las principales medidas:

• Medidas organizativas con la introducción de tres responsabilidades (seguridad de los sistemas de información, protección de datos, seguridad industrial).
• Medidas técnicas con la aplicación de soluciones técnicas, aprovechando en particular los recursos que ofrece el hecho de ser una filial de Airbus.
• Estar siempre alerta : La dificultad no está en hacer... sino en saber qué quieres hacer y qué necesitas hacer. Nuestras competencias se quedan obsoletas muy rápidamente. En dos meses perdemos nuestra pericia. Es vital desarrollar una mentalidad "qui-vive".

¿Se ha prorrogado la hoja de ruta inicial de seguridad 2017-2020?

A partir de 2020, por diversas razones (valor adquirido, cambios en el accionariado, covid, etc.) hemos pasado a una base anual.

Tengo un enfoque piramidal de la seguridad: las materias que forman la base son obligatorias, y cuanto más se asciende, más se interviene en la mejora continua o en materias complementarias. La hoja de ruta inicial nos permitió construir la base. A partir de ahora, estoy más en una dinámica de oportunismo propiciada por nuevas herramientas que arrojan nueva luz sobre la vigilancia, la explicación de sucesos, etc.

Por eso solemos trabajar con planes formalizados de un año de duración. Mediante el intercambio y el desafío mutuo con los equipos, establecemos las prioridades del año, que sirven de pauta y se modifican a lo largo del año. El enfoque trienal es una visión que tengo, pero que no comparto explícitamente. Es más mi hoja de ruta personal que una herramienta para trabajar con mis equipos. Los retos técnicos de la seguridad varían demasiado deprisa para una proyección a tres años.

Si los cimientos son sólidos, ¿cuál es el reto ahora?

Tengo la suerte de trabajar en una organización cuya cultura se basa en las normas de "defensa". Esto nos ha proporcionado un marco técnico y un equipo de personas que comprenden los principios fundamentales de la seguridad. Puedo concentrarme en optimizar la seguridad.

Para mí, los nervios de la guerra son la visibilidad. Pongamos lo que pongamos, nunca evitaremos que la gente sea atacada. Lo que cuenta es saber, tener las herramientas para alertarnos si hemos sido atacados.

Por ejemplo, hace 5 años, no era fácil para todo el mundo instalar un EDR (nota del editor: End-point Detection Response - una especie de antivirus 2.0). Ahora, en nuestro sector, es un componente obligatorio en función de la amenaza. Y cada año descubrimos nuevos componentes. También es un requisito de nuestro sector, la industria espacial, que está sujeta a numerosas normativas que hay que vigilar constantemente.

¿Sigue teniendo sentido una hoja de ruta trienal en el sector de la seguridad, dada la imprevisibilidad y rapidez de los cambios?

Muy buena pregunta. Antes trabajábamos con una hoja de ruta a tres años, y ahora lo hacemos a uno. Esto nos da flexibilidad y agilidad. Pero es posible porque somos una organización pequeña y con gran capacidad de respuesta. El compromiso adecuado quizá sea 2 años. En cualquier caso, cuando se trata de seguridad, 5 años no me parecen acordes con la realidad de la evolución de las amenazas.

Hablando de cambios forzados, ¿qué te parece la introducción generalizada del teletrabajo con Covid?

El trabajo nómada existe desde el principio del AM, es un legado de nuestra cultura inicial. Así que el episodio COVID no cambió gran cosa. Aparte de la compra de pantallas y teclados para facilitar el trabajo a distancia. Una demostración de las bases sólidas, y que juega a favor de la tranquilidad del CISO.

¿Cómo pueden mantenerse estos cimientos a lo largo del tiempo, sobre todo en lo que respecta al elemento humano que a menudo se describe como el eslabón débil de la cadena de seguridad?

Tenemos una formación anual obligatoria de concienciación sobre seguridad para cada empleado (con una firma de compromiso de responsabilidad). Además, más allá de lo que pueda parecer marketing, tengo un enfoque muy humano de la seguridad. En términos prácticos, mis requisitos de seguridad imponen una limitación a mi trabajo diario. A cambio, me pongo a su disposición. Por ejemplo, atiendo todos mis correos electrónicos en un plazo de 24 horas. Esto puede llegar hasta colegas que me envían correos personales de "phishing". Y siempre les contesto.

Sensibilizar y garantizar la disponibilidad del equipo de seguridad son las claves para reforzar el eslabón humano de la seguridad?

Hice un post sobre el tema de la concienciación en Linkedin. Pero la sofisticación de los ataques significa que no se pueden contrarrestar sólo con vigilancia. Depende de nosotros poner las herramientas para ayudarles. Por ejemplo, un nuevo tipo de ataque es formidable: el "browser in browser". Se trata de un ataque basado en el phishing que simula un falso navegador en otro navegador... Aunque hagamos campañas de sensibilización, cualquiera puede ser descubierto. Este tipo de ataque es prácticamente indetectable sin herramientas técnicas. La sensibilización es como mucho el 20% de la respuesta.

Volvamos a la hoja de ruta "personal", ¿algún objetivo en particular?

Tengo dos objetivos: el primero es aportar un enfoque transversal a la seguridad entre nuestras sedes estadounidense y francesa.

El segundo es finalizar una serie de POC (nota del editor: pruebas de concepto) sobre una serie de nuevas y prometedoras herramientas.

¿Algún consejo sobre cómo establecer una hoja de ruta de seguridad para quienes estén estructurando su enfoque?

El punto de partida es conocerse perfectamente a uno mismo. Es difícil estructurar tus acciones si no sabes a qué atenerte y dónde están las lagunas. Por eso es importante autoevaluar tu nivel de madurez o realizar una auditoría. Por ejemplo, he desarrollado un archivo Excel de autoanálisis basado en las recomendaciones de la ANSSI. Esto le permite, por ejemplo, autoevaluar la correcta aplicación de las "reglas de higiene de la seguridad".

Dirigir la gobernanza de los proyectos de seguridad

¿Cómo integrar la seguridad en la gobernanza de los proyectos?

Nos mantenemos en un estado mental de start-up, con la necesidad de construir rápido. Tenemos un enfoque triple:

• La empresa, a la que pedimos que piense en términos de necesidades (aunque cada dos por tres proponga soluciones técnicas en lugar de formular una necesidad).
• TI le propone una solución técnica adaptada a sus necesidades
• La seguridad validará la propuesta técnica. Esto se ve facilitado por nuestra proximidad original a TI. Así que es raro que haya soluciones que no cumplan nuestros requisitos.

¿Cómo es el diálogo con los equipos informáticos?

Casi todos venimos del "mismo mundo". Así que tenemos formas comunes de pensar y razonar sobre la aplicación. Tenemos un enfoque muy virtuoso. No recuerdo haber dicho nunca que no a una de sus propuestas.

¿Cómo va el diálogo con la empresa?

Mi única dificultad, y es extremadamente limitada y rara, es hacerle sombra. La empresa tiene las competencias para avanzar sin nosotros. Así que podrían aprovechar los huecos en el SI para implantar soluciones sin pasar por nosotros. Pero esto es extremadamente raro.

El trabajo del CISO es cualquier cosa menos técnico. Se trata más bien de ayudar a la empresa a expresar una necesidad. Un ejemplo típico: la empresa me pide que instale un servidor FTP. Lo cual es una solución. Pero la necesidad real es enviar archivos grandes de forma segura entre el sitio A y el sitio B.

Somos una función de apoyo. No tengo derecho a decir que no a una exigencia. Simplemente puedo pedir que se ajuste la solución o sugerir soluciones para el requisito.

¿Son invitados permanentes en los comités de dirección de los proyectos?

Estamos empezando. Los grandes proyectos estructurales, que duran más de decenas de días-hombre, son muy poco frecuentes en la empresa. Para proyectos más internos, funcionamos en "modo ágil plus plus". Al estar en la misma plataforma, todo se hace de forma directa y flexible.

Nos dedicamos más a "correr" que a "construir".

¿Cómo se secuencia la dirección, comitología?

Tenemos un equipo de seguimiento quincenal con supervisión operativa de los proyectos, incluida la priorización de acciones. Cabe señalar que al menos el 50% de los proyectos de seguridad son proyectos informáticos.

Se elaboran informes y KPI para los directores de la división de seguridad (Presidente AOS SAS y COO).

Además, tenemos un seguimiento quincenal con el Director de Operaciones y un seguimiento mensual con el Presidente de la entidad francesa. Esto se extiende también a la sucursal estadounidense. Estos órganos se dedican a la seguridad.

El futuro de la (ciber)seguridad

¿Alguna predicción para el futuro de los problemas de seguridad?

En primer lugar, creo que hay una discrepancia entre el efecto de marketing y la realidad. Está claro que los ataques aumentan. Pero me gustaría intentar explicar este aumento: puede explicarse por el hecho de que muchas estructuras han empezado recientemente desde cero. Así que cuando empiezas de cero, es más fácil que te ataquen. En cambio, cuando se tiene una cultura de seguridad sólida y los empleados no aplican una cultura personal de "barra libre" en sus puestos de trabajo, los riesgos son muy limitados. Necesitas una política de seguridad estricta, aunque eso signifique comprometer cierta libertad. Escribí un post sobre el tema de la violación de las libertades por las medidas de seguridad. Siempre estamos en esta delgada línea entre seguridad y libertad.

Usted es muy activo en una red como LinkedIn, ¿cuál es el siguiente paso en materia de seguridad y comunicación?

Cuando empecé en mi trabajo, me sentía sola en esta profesión. Por eso quiero transmitir lo que he aprendido. Una de las lecciones que he aprendido es el poder de compartir, trabajar en red e intercambiar. Enriquece la labor de supervisión. Hago publicaciones periódicas que generan muchos comentarios, sobre todo de jóvenes CISO. Esto me permite teorizar mis ideas, cuestionar mis opiniones y comprender las reacciones. Todos aprendemos de todos.

La seguridad es una actividad en la sombra dentro de la organización. Somos soldados en la sombra, y eso es buena señal, porque si estamos en el candelero es porque nos han atacado. Pero eso no significa que debamos permanecer en silencio. Si, por ejemplo, la disponibilidad de la guía de autodiagnóstico, que es una simple traducción de los principios de higiene de la ANSSI, permite a las PYME o a las SMI avanzar en su hoja de ruta de seguridad, ganamos todos.

Glosario de entrevistas

• CISO: Director de Seguridad de la Información
• COO : Director de Operaciones
• CISO: Director de Seguridad del Sistema de Información.
• ANSSI: Agencia Nacional de Seguridad de los Sistemas de Información
• AOS : Airbus Onweb Satellites
• EDR: Respuesta de detección de puntos finales
• SSI: Seguridad de los sistemas de información