XIII Jornada Internacional de ISMS Forum Spain

Miniatura noticia

Responsabilidad y Compromiso de los actores de la Ciberseguridad

Una vez más, el ISMS como viene haciendo dos veces al año –y ésta ya es la XIII-, nos convocó a todos los asociados a una de las dos grandes jornadas internacionales que organiza cada ejercicio, y una vez más, debemos descubrirnos ante la capacidad de organización y convocatoria de esta asociación. Otra gran oportunidad para conocer de primera mano aspectos relacionados con la seguridad de la información desde la perspectiva de grandes y relevantes ponentes del sector.

El acto de apertura de la jornada corrió a cargo de GIANLUCA D´ANTONIO Presidente del ISMS Fórum Spain. Resaltó el papel que juegan los actores de la ciberseguridad nacional, ante un escenario en que amenazas como el ciberespionaje o el ciberterrorismo y en el que cada vez somos más dependientes de los recursos tecnológicos (infraestructuras críticas). Destacó que estos actores van adquiriendo todo lo necesario para el desarrollo de nuevas estrategias, pero falta coordinar a todos ellos… Se hace necesaria una buena dosis de liderazgo para alinear a todos los que tienen algo que ver en ello.

Tras su intervención, D´ANTONIO dio paso a la primera intervención del día. En esta ocasión, TROELS OERTING, Adjunto al Director del Centro Europeo contra el Cibercrimen disertó alrededor del tema “La lucha europea contra la delincuencia”. En su intervención, repasó algunos datos en relación al despliegue, evolución y en el uso de tecnologías de la información, lo cual si bien es cierto que supone grandes ventajas, en la medida en que son adoptadas por los criminales se convierten en peligrosas amenazas que realmente facilitan sobremanera las actuaciones de aquellos. La respuesta a todo ello ha de pasar por la educación y concienciación de los usuarios, sin dejar de lado la ciberprotección.  La Unión Europea despliega un programa de actuaciones al respecto asentado sobre varias patas, como ENISA, Europol, Centros de formación y adiestramiento de fuerzas de seguridad… Y dentro de este despliegue europeo, está el Centro Europeo de lucha contra el Cibercrimen, el cual, trata de coordinar y alentar también, la participación de grandes empresas del sector privado. Otro aspecto, a mi juicio interesante es que no sólo tratan de formar a los cuerpos de seguridad, sino también a jueces, fiscales y abogados.

A continuación, disfrutamos de la primera de las mesas redondas que nos traería la jornada y  que versó sobre “Ciberseguridad de próxima generación”. En ella, se dieron cita RIK FERGUSON, Responsable Global de Investigación de Seguridad (Trend Micro), RAJ SAMANI, VP & Chief Technology Officer EMEA (McAfee), DARREN THOMSON, Chief Technology Officer for the EMEA (Symantec) y AYMAN AL-ISSA, Asesor de Ciberseguridad en campos petrolíferos (ADMA-OPCO). La mesa fue presidida por  JUAN MIGUEL VELASCO, Miembro de la Junta del ISMS Forum Spain. Rik Ferguson recordó como la evolución de las tecnologías hace evolucionar las tipologías de ataques. Hasta hace relativamente poco tiempo, los ataques se basaban en el  volumen de éstos. Ahora, se selecciona mucho más a la víctima, los ataques son mucho más dirigidos. A través de técnicas de ingeniería social y de redes sociales, se pueden descubrir verdaderas vulnerabilidades que permitan a los atacantes “abrir puertas” para acceder a sus objetivos. Esto, hace que un esquema de seguridad basado en el modelo de determinación de perímetros no resulte suficientemente seguro. Parece más recomendable adoptar arquitecturas basadas en nuevos modelos que nos permiten “no construir mejores castillos, sino mejores sótanos”, es decir, basarnos en que si un atacante consigue entrar en nuestro perímetro, no consiga sacar lo que busca. Darren Thomson, en su intervención reveló algunos datos muy interesantes: no debemos pensar que todos estos ataques dirigidos van solo contra gobiernos o grandes corporaciones… en esto, las pymes también cuentan. Los terminales móviles y les redes sociales se constituyen en vectores de ataque muy aprovechados por los atacantes. Por ello, recomienda una visión más holística de nuestros sistemas de seguridad. Debemos preguntarnos cuál es el “apetito de riesgo” de nuestra organización antes de abordar el diseño de nuestras estrategias. Raj Samani recalcó la amenaza que supone que en la actualidad, ante un conjunto de infraestructuras críticas intertconectadas, estemos a un solo click de los ciberatacantes.  Además, nuestros hogares van estando cada vez más conectados y monitorizados… el internet de las cosas… Y en este escenario, es preciso contemplar la intimidad y la privacidad de las personas. Por su parte, Ayman Al-Issa habló sobre ciberseguridad industrial desde el diseño… En su opinión se debe limitar el número de proveedores de ciberseguridad y lo ideal sería que estos, estuvieran aliados con los proveedores de automatización. Hay que tener una previsión del problema antes de abordarlo para asegurarnos de que estamos haciendo lo correcto.

Con esa mesa llegamos a la pausa del café, y tras el mismo, comenzó la siguiente mesa redonda, en este caso, presidida por LUIS CARRO, Enterprise Risk Services IT (Deloitte) y versó sobre “Big Data en la Estrategia de Ciberseguridad”. Participaron en ella ROY KATMOR, Director for Security (Akamai Technologies), JEFFRY PADDOCK, Global Technical Sales Professionals Executive and Security Intelligence (IBM), y MIGUEL ÁNGEL PANTOJA, Big Data Business Developer (HP). Roy Katmor nos habló sobre detección de fraude ayudados por Big Data. Parece claro que la identidad del usuario cobra especial importancia. Todo cambia en base al entorno en el que trabajamos o el lugar desde el que nos conectamos. Los dispositivos son variados. Big Data, a través de la recopilación de información, puede representar una ayuda a la identificación de un usuario. Cada conexión a un mismo servicio genera diferentes cabeceras de acuerdo a las variables comentadas. Al recoger todos esos registros podremos construir un historial de accesos y podremos analizar los sucesos que puedan tener lugar. Analizando el comportamiento de cada usuario podremos incorporar estos patrones en una segunda capa y medir las desviaciones de cada usuario en relación a esos patrones “medios”. Jeffry Paddock resaltó la importancia de la modelización de los datos recabados frente al volumen de los mismos, de la analítica frente a la recopilación… El valor que aporta el Big Data es el conocimiento del entorno. Además, será necesario identificar usuarios de alto riesgo, así como seleccionar los vectores de los que nos debemos proteger, y a esta tarea, también puede contribuir el uso de Big Data. Al hablar del freno que podría suponer la normativa sobre privacidad en relación a la información recopilada, Katmor se mostró convencido de que será el valor que aporte al usuario esta recopilación de información la que haga que existan o no estas barreras (o sean más o menos difíciles de franquear) interpuestas por los propios usuarios o por la normativa que protege sus derechos.

Finalizada esta, y bajo el título “Bring Your Own Device / Bring Your Own Malware”, ROMÁN RAMÍREZ, Fundador y presidente de Rooted, condujo la última mesa de la mañana. En esta ocasión, los participantes fueron GABRIEL AGATIELLO, Security Business Developer Manager (Cisco), CARLES SOLÉ, Chief Information Security Officer (La Caixa) y ANTONIO ABELLÁN (Check Point). Carles Solé nos comentó la experiencia vivida en su empresa, en la cual, cuando sus usuarios querían emplear dispositivos propios, adoptaron tecnologías SSL/VPN. Las dos mayores preocupaciones de su empresa se encuentran en la navegación libre y en el control de aplicaciones. Actualmente trabajan en virtualización de aplicaciones y en sistemas duales (parte privada y parte corporativa perfectamente delimitadas). Gabriel Agatiello, mostró la visión de Cisco, según la cual, estamos en escenarios distintos en función del sector de negocio, pero también del país en que el que se trabaja. BYOD no es algo aislado del resto de TICs en la organización. Destaca la importancia que tiene la responsabilidad del usuario en el éxito del despliegue de una estrategia BYOD. Antonio Abellán defendió la solución de Check Point basada en cuatro pilares básicos: el uso de la conexión cifrada, la segunda capa de autententicación, la trazabilidad que permita una buena monitorización y el “botón del pánico”, que en caso de emergencia permita salvaguardar la información corporativa.  Todos los intervinientes se mostraron a favor de la separación de entornos, pero, ¿realmente sirve de algo en relación a la seguridad? Pues a día de hoy, con el actual desarrollo tecnológico, parece que esta medida contribuye, sin duda, pero desde luego, no es definitiva. Hablaron también de los problemas que pueden darse cuando los usuarios viajan a zonas con legislaciones “especiales”, como por ejemplo cuando entras en USA y has de revelar las claves de cifrado si te es solicitado. Algunas de las soluciones representadas en la mesa, emplean  en estos casos la geolocalización para parchear esta situación: cuando se detecta que vas a zona complicada, tras respaldar la información corporativa, eliminan la misma del dispositivo. Otra reflexión, a mi juicio muy acertada, y esta vez surgida desde el público, es si antes de desplegar una estrategia BYOD para todos los empleados de una organización sería necesario un análisis previo de cuáles de ellos realmente precisan trabajar con sus propios dispositivos.

Y para finalizar la mañana, la Directora Ejecutiva del ISMS Fórum Spain, NATHALY REY, acompañada en la mesa por Gianluca D´Antonio y Carlos A. Saiz, hizo un repaso por los diferentes proyectos e iniciativas que la asociación viene desarrollando. Anunció el inicio de estudios que pretenden poner de manifiesto la concienciación de las organizaciones con la Ciberseguridad, así como concienciar e incentivar esta. Anunciaron también el esfuerzo que la Asociación va a realizar para poner a disposición de todos los asociados los recursos formativos e informativos on-line, tanto en el caso de seminarios, desayunos, jornadas, y cómo no, los cursos de formación. El Data Privacy Institute sigue adelante en su transición hacia la Fundación de la Privacidad, y en ese camino sigue fortaleciendo su certificación (CDPP), desarrollará una segunda versión del Estudio de la Propuesta de Nuevo Reglamento y celebrará el VI Foro del DPI para finales de octubre de este año. También sigue con fuerza la Cloud Security Alliance, tanto con su certificación, como con diversos estudios que están en desarrollo. El Spanish Cyber Security Institute, también sigue madurando, y en los próximos meses, dará que hablar en materia de certificaciones, de estudios de investigación y de celebración del foro (previsiblemente, en octubre). Antes de finalizar su intervención, se otorgaron los Premios ISMS Fórum, que tratan de premiar la labor y el compromiso mostrado con la Asociación, y que este año recayeron en McAfee, Symantec,  Trend Micro, Miguel Ángel Ballesteros, Mariano Benito, y Enrique Fojón.

Tras la pausa del almuerzo y con energías renovadas, volvimos a las mesas redondas. Era el turno para el tema que dio nombre a la jornada: “El compromiso de los actores de la Ciberseguridad”. PEDRO PABLO PEREZ (Telefónica), ÓSCAR DE LA CRUZ, Comandante Jefe del Grupo de Delitos Telemáticos (Guardia Civil), ANTONIO ALCOLEA, Vocal Asesor en la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI) y ELVIRA TEJADA, Fiscal Delegada para la lucha contra la Delincuencia Informática (Fiscalía General del Estado), fueron los participantes conducidos por JAVIER URTIAGA, Socio responsable de Riesgos Tecnológicos (PwC). Elvira Tejada destacó los papeles de la fiscalía en relación a la investigación, a llevar a juicio y a la defensa de los intereses de las víctimas de ciberdelitos. Para ello, se ha creado –ya hace más de un año y medio- un grupo de algo más de cincuenta fiscales especializados (uno por provincia) coordinado por ella misma desde Madrid. Como principales problemas con los que se encuentran están la falta de legislación específica en determinados casos, así como la falta de jurisprudencia en la inmensa mayoría. Contra estos problemas tratan de luchar con la unidad de acción por parte de todos los miembros de este grupo de fiscales. No se encuentran ante actuaciones que se puedan investigar y perseguir por medios tradicionales. En su opinión, se hace necesaria una buena dosis de colaboración por parte de todo el mundo para tratar de facilitar sus actuaciones. La Fiscalía optó, con la creación de este grupo, por la especialización, pero la colaboración es imprescindible para la construcción de los elementos necesarios para combatir el Cibercrimen. La inmensa mayoría de denuncias que llegan a la fiscalía provienen de particulares, de empresas apenas llega nada… Antonio Alcolea, mostró la visión del Ministerio de Industria sobre la Ciberseguridad. Desde la SETSI han incorporado la problemática de la Ciberseguridad dentro de la Agenda Digital. Mantiene una visión mucho más optimista y defiende que además, esto representará una serie de oportunidades para el desarrollo de nuevas infraestructuras y creación de nuevas, pondrá en marcha programas de especialización para profesionales, y servirá, en definitiva, para colaborar a la concienciación general. Oscar de la Cruz, nos comentó el problema que para ellos representa la atribución de estos delitos y la importancia que le dan a la formación e información como medio para luchar contra los mismos. Afirmó que en muchos de los incidentes, hay implicados datos de carácter personal, y que las empresas, si es cierto que tienen “respeto” a la Guardia Civil, cuando les hablas de Inspección de la AEPD, lo que sienten es pánico, y que esto puede ser lo que motive la falta de denuncias por parte de estas a la que se refería Elvira Tejada. Espera ver qué es lo que ocurre cuando las empresas estén obligadas a reportar las brechas de seguridad en sus sistemas… Y Pedro Pablo Pérez ve este problema realmente como una oportunidad para protegerse contra amenazas que ya existían desde hace tiempo y que ahora se meten en el “saco” de la Ciberseguridad. En relación a esa necesidad de compartir información, se quejó (de alguna forma), del excesivo número de foros que existen para ello…

 Y ya con olor a final de esta gran jornada, llegó la hora de la última mesa redonda:  “Ciberseguridad gestionada: Responsabilidad de los principales actores”. El encargado de coordinarla fue CARLOS A. SAIZ, Director General del ISMS Forum Spain, y sus participantes, JOSÉ MANUEL BUSTO, Catedrático de Derecho Civil (Universidad de A Coruña), FERNANDO J. SÁNCHEZ, Director del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), JOSÉ FRANCISCO PEREIRO, Head of Assure Iberia (BT) y ACACIO MARTÍN, Country Manager Spain and Portugal (Fortinet). Acacio Martín habló –entre otras cosas- de los acuerdos de nivel que incluyen los contratos de servicio, y que en base a estos SLAs, los fabricantes “rinden cuentas” ante sus clientes. José Manuel Busto diferenció entre responsabilidad civil o responsabilidad administrativa… en este contexto, parece claro que de la que hablamos es de la primera, aunque también podría existir una responsabilidad penal. En el ámbito puramente civil, cabría, en su opinión, derivar esa responsabilidad en el marco de un acuerdo contractual, aunque estos acuerdos no fueran oponibles ante terceros dañados por ese fallo de seguridad. José Francisco Pereiro opinó sobre las pólizas de seguros que últimamente se comercializan para cubrir estos tipos de contingencias vinculadas a fallos de seguridad y en su opinión, serían recomendables ante riesgos de probabilidad baja pero que en caso de materializarse suponen altos impactos, pero evidentemente, la garantía de seguridad al cliente no debería ofrecerse en términos indemnizatorios sino de prevención de materialización de estos riesgos. Fernando J. Sánchez, opinó que la forma de conseguir una colaboración público privada más estrecha, y con carácter previo a que se produzcan fallos tiene que pasar por la generación de confianza y esta puede tratar de crearse por diversos caminos, pero todos ellos han de perseguir el intercambio de información entre empresas y autoridades.

Y si Gianluca D´Antonio fue el encargado de abrir la jornada, el cierre de la misma corrió a cargo de ALFREDO SANTOS, Managing Director (Hudson Recruitment Solutions) que nos habló sobre qué es lo que está demandando el mercado en relación a profesionales y ejecutivos de la seguridad. Una entretenida intervención que cerró una magnífica agenda que hace que esperemos ansiosos la próxima Jornada Internacional del ISMS Fórum Spain, que se celebrará en otoño y que en breve, se hará público donde se organizará.

Muy buenos días.

 

Imagen: ® ISMS Forum Spain

 


5 comentarios

  1. María (@meryglezm)
    28 de mayo de 2013 @ 21:14

    GRANDE!!! Mil gracias por la crónica y resumen! Un abrazo

    Responder

  2. Jose Luis Colom
    30 de mayo de 2013 @ 11:46

    Muchas gracias por la información tan completa. Después de leerlo da la sensación de haber asistido. Enhorabuena por el resumen.
    Saludos:
    José Luis

    Responder

    • Luis Salvador
      30 de mayo de 2013 @ 13:51

      A tí por tu comentario, José Luis. Y, por supuesto, enormes gracias por los halagos, que viniendo de tí, saben TODAVÍA mejor ;))))

      Saludos.

      @LuisSalvadorMon

      Responder

Enviar una respuesta

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*