XI Jornada Internacional de la Seguridad de la Información.ISMS FORUM SPAIN

Miniatura noticia

 Hoy 6 de junio he tenido la oportunidad de asistir a la  XI JORNADA INTERNACIONAL DE SEGURIDAD DE LA INFORMACIÓN organizada en Madrid por el ISMS FORUM SPAIN para tratar de “Riesgos tecnológicos, regulación y responsabilidad en un mundo globalizado e hiperconectado”.

Dado el interés del tema, y como viene siendo costumbre de la casa, he preparado mi particular crónica  del evento para todos aquellos que no han podido asistir al mismo. Espero que resulte de su agrado. 

Tras las palabras de bienvenida de Gianluca D’Antonio, D. VICTOR CALVO SOTELO, Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información, una vez expresado su agradecimiento por la invitación, resaltó que a pesar de algunos datos que indican un nivel aceptable en el uso seguro por parte de lo usuarios de nuevas tecnologías, la Agenda Digital contempla esfuerzos para mejorar el uso seguro de estas.

Si bien la responsabilidad última de la seguridad nacional es del gobierno, invitó a aportar su esfuerzo y colaboración de expertos en la materia.

Destacó la importancia de la presencia de representantes de la Comisión Europea y declara inaugurada la jornada

Tras él, Mr. ANDREA SERVIDA, Jefe de la Unidad para la Sociedad de la Información de la Comisión Europea, nos habló de ciberseguridad en la UE, de la importancia de la gestión de riesgos, y de la influencia económica de éstos, de la necesidad de colaboración internacional.

El objetivo final de la estrategia europea de ciberseguridad es incrementar la resistencia de estados y empresas a las ciberamenazas  junto con el refuerzo de los valores de seguridad y de los propios valores europeos.

En la Agenda existen multitud de componentes pero todos enfocados a incrementar la confianza, la interoperabilidad tanto entre países de la UE como con países terceros (firma electrónica, atenticación, sellos…).

Esta intervención, dio paso a una mesa redonda en la que participaron Mr. PETER HUSTINXS, Supervisor Europeo de Protección de Datos, y Mr.GEORGE THOMPSON, Director de SI de KPMG, moderada por  CARLOS A. SAIZ.

Mr. Hustinxs destacó la obsolescencia de la normativa vigente y la necesidad de armonización entre estados para justificar el nuevo reglamento, que supondrá reforzar los principios básicos y conceptos en PD, la simplificación y reducción de costes… Como novedades introducidas resaltó la ampliación de derechos del usuario (olvido, portabilidad), la necesidad de consentimiento explícito, el refuerzo del derecho a objetar por el usuario y la mejora de la transparencia. Además, enfatizó en la responsabilidad que se le impone al responsable (valga la redundancia), a través del principio de la accountability, de la creación de la figura del Data Privacy Officer, de la realización de evaluaciones de impacto, de la obligación de notificación de brechas… Y todo ello, a través de una supervisión efectiva más fuerte, uniforme y coherente entre los distintos Estados a través del Consejo.

En cuanto a la “globalidad” de la privacidad, el reglamento, según Hustinxs, clarificará el ámbito de aplicación, haciéndolo aplicable a todo tratamiento de datos de ciudadanos de la Unión, al tiempo que potencia la cooperación internacional con terceros países.

Por su parte, Mr. Thompson resaltó la complejidad que supone para operadores globales el cumplimiento de diferentes normativas en diversas partes del mundo. Comparativamente, en Europa, el desarrollo de estas normativas es bastante mayor que en otras parte del mundo, por lo que él cree que puede tomarse estas normativas como estándares mínimos… También reflexionó sobre cómo compatibilizar las necesidades actuales de información de las organizaciones sobre los usuarios y la defensa de los derechos de éstos, sobre los escasos plazos que tienen éstas para la satisfacción de esos derechos de los usuarios…

Ya en el turno de debate, Mr. Hustinx, aventuró una pronta aprobación de la nueva normativa. En relación al coste de la “transición”, defendió que este será menor si se va  asumiendo gradualmente desde ya mismo, y sobre todo si contemplamos la protección de datos como “parte del propio negocio” sin olvidar la necesidad de implicación de toda la organización, no solo de departamentos técnicos y jurídicos…

Mr. Thompson vaticinó un alineamiento futuro entre normativa europea y norteamericana, y Mr. Hustinx manifestó su acuerdo con esta predicción basándose en las propuestas al respecto de la administración Obama.

A la pregunta de Carlos Alberto Saiz sobre su opinión acerca de la certificación de profesionales Mr. Hustinx avanzó la necesidad de desarrollarlas, pero también precisó la necesidad de homologación de las mismas.

En cuánto a la notificación de brechas, el Supervisor Europeo resaltó que habrá que tratar de compaginar esta nueva obligación con la prescripción por parte de las autoridades de control de buenas prácticas que mejoren la seguridad de las organizaciones y no exclusivamente con la aplicación del estricto régimen sancionador.

W. LEE HOWEL, del World Economic Forum, nos habló de los riesgos tecnológicos y de su potencial impacto en los próximos 10 años. Presentó la metodología empleada en la elaboración del informe anual que publica WEF, en cuya edición de 2012 refleja que los ciberataques se sitúan entre los cinco de mayor importancia. En una sociedad hiperconectada no debe olvidarse que esta conectividad también tiene un lado oscuro…

El informe trata de, a partir de estas tipologías de riesgos, analizar los valores en riesgo y, a partir de este análisis, propone algunas recomendaciones para prevenirlos.

JEREMY BERGSMAN, del Corporate Executive Board, intervino con una ponencia que versó sobre la necesidad de concienciar a los empleados. La sensibilización de empleados es importantísima para mitigar muchos de los riesgos a los que las organizaciones están expuestas.

Para el diseño de planes de actuación es preciso analizar factores psicológicos de los trabajadores, así como el grado de implicación y comprensión con y de los planes trazados por la organización. El establecimiento de programas de incentivos al cumplimiento, en su opinión, da excelentes resultados… Por supuesto, todo ello tras la pertinente formación y comunicación (qué hacer y cómo, y qué no).

A continuación tuvieron lugar dos mesas redondas antes de la pausa de la comida. La primera de ellas, sobre Protección de Infraestructuras Críticas en Europa. Puesto que de forma individual para las organizaciones resulta materialmente imposible, es de destacar la necesidad de compartir la información entre organizaciones, entre sectores, entre países para lograr avances en este sentido, destacaba en su intervención ANNE MARIE ZIELSTRA, Directora del CPNI.NL. STEPHAN GERHAGER, de ICB, quien hizo una interesante, pero debido a lo apretado del programa, muy breve presentación sobre smart grids.

La segunda, sobre Protección de datos en la nube, moderada por el Director de la Cloud Security Alliance, JIM REAVIS, que en la introducción se refirió a la encuesta realizada sobre mejores prácticas llevada a cabo por el CSA Singapore. El descubrimiento de datos, la localización, la posibilidad de agregación de datos para inferir consecuencias, la posibilidad de permeabilidad de datos entre diferentes clientes de una misma nube, los controles sobre la seguridad en el uso de datos, el cifrado de datos, el respaldo y restauración de estos respaldos y la eliminación o preservación de los datos, son algunos de los aspectos manejados en dicha encuesta. A continuación, los participantes en la mesa fueron dando sus opiniones sobre estos aspectos.

Tras la correspondiente pausa para el almuerzo, dos nuevas mesas redondas, esta vez, dedicadas a la evaluación del nuevo panorama de riesgos tecnológicos en primer lugar y tras la intervención de NATHALY REY sobre las actividades y proyectos del ISMS Forum Spain (acompañada de algunos miembros del Comité Operativo de ISMS), la última dedicada a la convergencia entre seguridad física y lógica.

De la primera de ellas, moderada por MARCOS GOMEZ HIDALGO, de INTECO, ALEJANDRO VILLAR, CISO de Repsol, colocó en primer lugar la ignorancia de los usuarios, seguido del espionaje industrial, la movilidad, las infraestructuras críticas y el cloud. DAVID BARROSO, de Telefónica Digital, citó el derrumbe de los pilares clásicos de seguridad, los nuevos jugadores que han entrado en escena (Anonymous & Cia), la ingeniería social, la evolución de grandes mafias en internet, y la privacidad (o la falta de ella). VICENTE DIAZ de Kaspersky, habló de la velocidad de implementación de nuevas tecnologías de forma previa a su completo testeo y conocimiento, de las personas (falta de conocimiento y/o concienciación), del activismo y ciberespionaje. JOAQUIN REIXA, de Check Point, coincidió en lo ya aportado por sus compañeros de mesa…

No mostraron el mismo acuerdo al evaluar si la técnica es capaz de defender realmente al usuario: mientras que algunos de los ponentes dejaban claro que no, que siempre la seguridad va por detrás de los atacantes, parcheando las vulnerabilidades que se van detectando, Alejandro Villar defendió su idea: “No está muerto quien pelea”…

En relación a la capacitación profesional requerida por la empresa para el desempeño de su función de seguridad, el CISO de Repsol volvió a acudir al problema que supone la transmisión de los planes de seguridad a las personas.

Hablaron después de aspectos regulatorios. Joaquín Reixo, afirmó que aunque, sobre todo en Europa, se están dando pasos, la regulación resulta claramente insuficiente. El resto de participantes mostraron su total acuerdo, pero Alejandro Villar, manifestó, no sin razón en mi humilde opinión, que lo deseable es que esta legislación fuera global, ya que los operadores globales muchas veces se ven forzados a asumir diferentes legislaciones y ello, se hace francamente complicado.

Se habló también de seguridad embebida en los servicios, de la seguridad y de la privacidad desde el diseño…

Su Directora General, hizo una presentación del ISMS Fórum Spain, y de la actividad de cada una de las iniciativas que desarrolla: Jornadas Internacionales, Data Privacy Institute, Cloud Security Alliance, Spanish Cibersecurity Institute, Protegetuinformacion.com…

Carlos A. Saiz habló sobre el estudio -en fase de desarrollo- del impacto previsto de la nueva regulación europea en materia de protección de datos y prevé su publicación para finales del mes de junio.

Miguel Rego, presentó el Instituto Español de la Ciberseguridad, cuya actuación se basará sobre todo en la formación, en la certificación de profesionales, elaboración de estudios, y las relaciones institucionales, principalmente…

Y de la mesa previa al acto de clausura de la jornada, lamento no poder contarles nada, ya que por motivos que no vienen al caso, me ví obligado a perdérmela…

Eso sí, no quiero dar por finalizado este resumen sin antes agradecer al ISMS Fórum Spain el esfuerzo realizado en la organización de este gran evento, felicitar a todas las personas involucradas en el desarrollo del mismo, y desde ya, a esperar la celebración de la XIII jornada el próximo año, ya que la XII se celebrará en otoño en Barcelona, lo cual me temo, que hará imposible mi asistencia.

Muy buenos días…


4 comentarios

  1. Mayte Sánchez
    5 de julio de 2012 @ 16:56

    Muchas gracias por el resumen, es muy revelador.

    Con respecto a la seguridad, y viéndolo desde la vertiente que ofrecen los Contact Center que muchas AAPP están utilizando como canal para acercar la ciudanía a la administración (alternativa más cercana que internet), hay alguna normativa de seguridad que ayude a asegurar el servicio que se presta por parte de la AAPP?

    Existe alguna legislación para que, por ejemplo como hacen las operadores de telefonía, se graben las llamadas para garantizar que el servicio prestado se ajusta a lo indicado y tramitado después en los sistemas de información? Tanto para “defender” a la AAPP como al ciudadano que realiza el trámite vía telefónica.

    Muchas gracias

    Responder

    • Alfonso Pacheco
      5 de julio de 2012 @ 17:52

      Mayte, buenas tardes. Luís está hoy en modo “off”, así que te contesto yo, que me toca “guardia”.
      No tengo yo conocimiento de legislación específica para lo que comentas. Entiendo que debe aplicarse la normativa general, es decir, LOPD, RDLOPD la Ley 11/20007. Precisamente en el blog tenemos una entrada relativa a grabación de llamadas realizadas a centralita de policía local
      Te dejo el enlace por si te puede interesar su lectura
      http://wp.me/p17ceA-9b

      Saludos cordiales, y muchas gracias por entrar en nuestro blog

      Alfonso

      Responder

      • Mayte Sánchez
        10 de julio de 2012 @ 15:51

        Muchas gracias Alfonso
        Tengo claro que si me llaman, deben cumplir con la LOPD en cuanto a informarme de ello y a dar cumplimiento a todo aquello que deriva del hecho de grabarme.
        Pero la cuestión me surgía porque entiendo que una administración publica, al dar servicios al teléfono, no sé si debería realizar grabaciones de las conversaciones que se mantienen al realizar determinados trámites, como una medida de protección para ambos (administrado y administrador)

        Muchas gracias

        Responder

        • Mayte Sánchez
          10 de julio de 2012 @ 15:54

          En mi anterior comentario quería decir “Tengo claro que si me *graban” 🙂

          Muchas gracias

          Responder

Enviar una respuesta

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*