24 jul 2019

El intrusismo laboral (empresarial) en España en el sector de la ciberseguridad


Buenas a todos, hoy os voy a contar una historia (breve, no os preocupéis), sobre una realidad que llevamos algunos años observando en nuestro sector, el de la ciberseguridad, dentro de España. Lo que os voy a contar es una situación muy concreta, pero que se ha repetido en varias ocasiones en estos últimos 3-4 años, y que por desgracia comienza a ser habitual. Me estoy refiriendo al intrusismo laboral en nuestro sector. Pero no al intrusismo de químicos, industriales y otros expertos que trabajan en informática. Para mí, al menos, esto no es un problema, mientras sus capacidades técnicas sean las adecuadas para desempeñar las funciones que requieran sus respectivos puestos de trabajo. De hecho alabo a todos estos profesionales, ya que su esfuerzo tiene que ser aún mayor que el de muchos informáticos, al menos, durante el inicio de su actividad. A lo que me refiero, es a aquellas compañías que ofertan servicios de ciberseguridad, sin dedicarse ni haberse dedicado nunca a una materia similar, y sin tener ningún conocimiento, ni técnico, ni en la venta de los mismos, lo cual si cabe es aún más grave.

Hace cosa de 6 meses, una compañía de unos 250 empleados, que nada tiene que ver con la ciberseguridad, ni la seguridad, ni tan siquiera, la informática, nos llamó para subcontratarnos un servicio de ciberseguridad para uno de sus clientes. Esta empresa que pongamos que se dedica al ámbito textil (no es así, pero la verdad que da igual el sector real al que se dedica), contaba con 8 personas dentro de su CAU. No eran grandes expertos, pero se defendían lo suficiente como para sobrellevar su día a día, gestionar una red Windows pequeña, un pequeño grupo de impresoras, un par de servidores, el wordpress de la web corporativa... lo típico. Ese servicio nunca nos lo llegaron a subcontratar, porque, como nos enteramos más adelante, lo acabaron ejecutando con dos de los técnicos de su CAU. Sin ánimo de entrar en aspectos legales, CNAEs, etc., ni en temas de seguros de responsabilidad profesional, lo que hicieron fue una barbaridad. Se trataba de un pentest muy complejo, interno y externo, a un parque muy grande de servidores y puestos de trabajo (varios miles) a uno de sus clientes estrella. Su cliente no era una Ibex 35, pero sí una empresa que todos conoceréis de sobra y que mueve varios millones de euros, la cual además, había sufrido recientemente algunas estafas del CEO y varios casos de ransomware, y que por tanto, era un potencial objetivo para seguir siendo atacada.

Un importante cargo de esta empresa que realizó el pentest (no daré más detalles para evitar alusiones), se informó por Internet de qué iba esto de la ciberseguridad, y asesorado, más o menos, por uno de los informáticos de su CAU, se aventuraron a realizar ellos mismos el servicio, porque era "muy rentable". Sí, lamentable, lo sé. No entraré en porqué era tan rentable para ellos este trabajo, aunque las razones son obvias. Solo diré que tras aprovecharse de nuestro esfuerzo en la estimación y cotización del servicio, les fue fácil "ganar este contrato", ya que tenían una oferta top (la nuestra), que competía con otras ofertas que su cliente había solicitado a otras empresas que sí eran del ámbito de la ciberseguridad. El resultado del proyecto lo desconocemos, porque no nos brindaron más detalles diferentes a que el proyecto ya lo habían comenzado con dos personas de su CAU, y que estaban a mitad del mismo. 

Aunque no es una historia de muchas moralejas, podemos aprender de ella que siempre hay comerciales encantadores de serpientes, que lo mismo te venden un palet de toallas, que un pentest :), que nunca hay que fiarse de los trileros, y lo más importante, que ante la explosión de la ciberseguridad que llevamos viviendo varios años, el número de vende humos está aumentando considerablemente, y es algo con lo que tenemos que convivir. Es difícil convencer a muchas empresas, sin cultura de ciberseguridad, de lo difícil que es hacer un proyecto de seguridad, y la importancia de que lo realicen profesionales experimentados, pero es un esfuerzo que es importante que hagamos entre todos. Muchos me diréis que el tiempo pone las cosas en su lugar, y aunque no siempre pasa, ya hemos tenido casos de clientes que en un caso similar, han vuelto a confiar en nosotros para que resolviésemos algún problema, en varias ocasiones, grave.

Antes de despedirme, y como remate a la historieta, esta empresa nos volvió a contactar meses más tarde para que formásemos a su CAU "en esto del hacking". Quizás, las cosas no iban tan bien cómo esperaban en un inicio...

Saludos!

3 comentarios:

  1. Increíble, si es que la gente oiensa que esto es tirsr cuatro herramiantas y listo...

    ResponderEliminar
  2. Increíble, gracias por compartirlo.

    ResponderEliminar
  3. No necesitáis a nadie en vuestra empresa? Si es así. contad conmigo y si impartis cursos de ciberseguridad, me gustaría mucho que me avisarás. Gracias. Por cierto, el intrusismo laboral está penado por la ley. Lo mejor, si se detecta es denunciarlo, sino la simple queja no tiene trascendencia alguna. Q

    ResponderEliminar