XV Jornada Internacional de ISMS Forum: La Sociedad Digital, entre Confianza y Ciber-riesgos
Una vez más, esta vez en la sede de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, el ISMS Fórum Spain convocó a sus asociados a una de sus Jornadas Internacionales. En esta ocasión, bajo el título de “La Sociedad Digital, entre Confianza y Ciber-riesgos”
Tras las palabras de bienvenida de su presidente, Gianluca D´Antonio, el discurso inaugural corrió a cargo de Víctor Calvo-Sotelo, Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información. D´Antonio agradeció a la SETSI “su hospitalidad” y colaboración y cedió la palabra al Sr. Secretario, que a su vez agradeció la promoción de la seguridad de la información que el ISMS realiza, refiriéndose a la necesidad que la Sociedad de la Información necesita que exista confianza entre los usuarios de la misma. Así mismo, Calvo-Sotelo se refirió a los principales y retos de la Agenda Digital Española, y a los compromisos que el Estado Español ha contraído en relación a los mismos. Retomó la palabra D´Antonio para recorrer la trayectoria del ISMS Fórum Spain, tanto en la organización de este tipo de eventos, en un gran número de actividades promovidas por la organización así como en la realización de ejercicios de ciberseguridad, en los cuales cada año, van participando más y más actores privados, estando prevista la participación para este año de 18 empresas, muchas de ellas del IBEX 35, y coordinadas magníficamente por INTECO, cuya labor fue alabada tanto por el Presidente de ISMS como previamente por el Sr. Secretario de Estado.
La primera de las ponencias, a través de videoconferencia, versó sobre la Cooperación Internacional en el Ciberespacio y fue desarrollada por Martin Libicki, de la Academia Naval de Estados Unidos. Realizó un recorrido por los principales riesgos que acechan a los usuarios en el ciberespacio así como la importancia de los mismos teniendo en cuenta el grado de digitalización e interconexión de la sociedad actual. Hoy en día todo está construido sobre lo que en su día consideraba “un juguetito”… los ordenadores. Subrayó “el arte de lo posible” diferenciando a modo de ejemplo la arquitectura de IOS frente a la de Android… Resaltó que cada vez es más necesaria la colaboración entre los diferentes países para que la Seguridad Nacional de un país no se vea afectado por lo que otro hace o no hace. Así mismo resaltó que es necesaria la colaboración entre diferentes países cuando se producen incidentes de seguridad.
La segunda intervención, bajo el título “Estrategia de Ciberseguridad Europea y protección de la Europa interconectada” fue desarrollada por Dimitri Liveri, de ENISA; realizó una breve presentación de ENISA y, concretamente de la Unidad de Seguridad y Resistencia en la cual ella trabaja. Destacó la posición de ENISA como pilar de la arquitectura de seguridad de la UE. La estrategia de ciberseguridad de la UE formulada en 2013, implicó el apoyo de ENISA en algunos de los hitos fijados por la misma. La evolución de centros de respuesta a incidentes de ciberseguridad ha sido enorme desde 2005, y ENISA ha dado soporte e impulso a la creación de los mismos. En definitiva, describió la actividad desarrollada por ENISA para hacer más seguro el ciberespacio europeo, y finalizó su intervención haciendo una llamada a la participación público-privada en este tipo de actividades.
A continuación se desarrolló la primera de las mesas redondas (La lucha contra las ciberamenazas emergentes), moderada por Carles Solé, Director del Instituto Español de Ciberseguridad, una iniciativa de ISMS Forum Spain. Contó con la participación de Vicente Pastor, Responsable de ciberseguridad de la OTAN, Dimitra Liveri, de ENISA, Paolo Passeri, creador del Cyber Attacks Timelines en Hackmageddon.com e Ilias Chantzos, de Symantec. Solé introdujo la mesa con su reflexión personal sobre la importancia de la seguridad de la información debido a la cada vez mayor dependencia que la sociedad tiene de las nuevas tecnologías y de los dispositivos que cada vez se ven más y más amenazados. Passeri hizo una presentación de la web http://www.hackmaggedon.com/ que recopila estadísticas sobre ataques de hackers vinculadas a sus motivaciones. Si bien hace algunos años en muchos casos estos ataques eran de activistas (hacktivistas) cada vez más, según reflejan las tendencias, esta motivación va cediendo lugar a otras “más lucrativas” y menos reivindicativas o políticas. La intervención de Passeri fue seguida por Chantzos, que coincidió con la definición de ciberguerra que ofreció el italiano y vaticinó que en el futuro próximo, veremos como el ciberespacio toma más y más importancia en las prioridades de defensa de las naciones. Esta afirmación dio paso a la intervención del representante de la OTAN que nos habló de los ejercicios de ciberseguridad que realizan en el marco de la Alianza (estos ejercicios no son participados por la industria privada). Liveri hizo hincapié en la diferenciación entre los mandatos de la OTAN y de ENISA, lo cual, evidentemente condiciona los contenidos de las acciones desarrolladas por una y otra. Chantzos resaltó la importancia en su criterio de la formación que suponen para todos los actores (sector privado y público) estos tipos de ejercicios de ciberseguridad y alabó lo que en España se está realizando. Destacó también que compartir información en esta lucha es fundamental. En definitiva, todos los participantes coincidieron en que los ejercicios de ciberseguridad son necesarios y que por tanto, vamos en el buen camino.
Tras la pausa para el café, dio comienzo la segunda de las mesas redondas: “Ciber-tendencias de seguridad que afectarán a tu negocio”. Conducida por Juan Miguel Velasco (ISMS Forum Spain) contó con la participación de Greg Day, de Fire Eye, Maurice Cashman, de McAfee y Loic Guezo, de Trend Micro. Greg Day comenzó su participación recalcando que es más importante el impacto de las amenazas que realmente nos afectan que el número de ataques que sufrimos en una empresa. Los ataques cada vez son más precisos, por lo que las respuestas tienen que adecuarse y ser mucho más eficientes. Resulta imprescindible, en la respuesta, conocer realmente quién nos ataca y en todos estos aspectos, parece que también el Big Data va a tener su importancia. Maurice Cashman resaltó como factores imprescindibles en la respuesta a incidentes la agilidad, la velocidad y la colaboración, el intercambio de información relevante… El principal problema es la identificación temprana del ataque. Guezo, por su parte, se centró en las conclusiones de un informe elaborado por su compañía que pone de manifiesto el incremento de ataques dirigidos, aplicaciones maliciosas, y la importancia que los impactos de esta inseguridad acarrea para los negocios, poniendo como ejemplo la destitución de varios responsables de Target Corporate como consecuencia de la brecha de seguridad que sufrió hace unas semanas.
La siguiente de las mesas, versó sobre “Seguridad de la Información en el Internet de las cosas”. Moderada por Ramsés Gallego, de Dell Software (e ISACA), congregó a José Francisco Pereiro, de BT, a David Francis, de Huawei, a Sean Newman, de Cisco y a Martin Borrett, de IBM. Abrió fuego el representante de IBM reflexionando, a modo de ejemplo, sobre la transmisión de datos desde marcapasos inteligentes, lo cual le hacía concluir la necesidad de que este tipo de transacciones sea totalmente segura… en este campo, realmente hay mucho camino para recorrer. David Francis recalcó la necesidad de confianza para el desarrollo de la economía digital, y esta confianza tiene que ver con el liderazgo de altos ejecutivos de las empresas, no sólo con los departamentos de sistemas. Newman, por su parte, recalcó el concepto de Seguridad desde el diseño, ya que en un gran número de ocasiones no se puede imbuir después. En este sentido, es vital conocer quién es el atacante y como va a dirigir su ataque; las cosas han cambiado mucho, los perímetros han desaparecido. Preguntado sobre la privacidad, reclamó la existencia de una norma global que sea aplicada localmente, ya que resulta francamente difícil trabajar con 150 definiciones de “privacidad”. Pereiro, puso el acento en la disponibilidad: cuando la vida de una persona depende de la conexión entre dos dispositivos, la conexión no puede fallar y esto va a ser un verdadero reto para las operadoras. También incidió en la seguridad de las aplicaciones que manejen dichas conexiones M2M. Por último, recalcó como no menos importante, la privacidad en este tránsito de información. En este sentido, llamó la atención sobre la finalidad para la que las máquinas traten la información que recaben.
Y para acabar la mañana, la última de las mesas fue dirigida por Fernando Picatoste, de Deloitte y bajo el título “El ciberespacio en la Defensa Nacional” agrupó las opiniones de Carlos Gómez López de Medina, de las Fuerzas Armadas Españolas, de Miguel Rego, de INTECO de Joaquín Castellón, del Departamento de Seguridad Nacional, de Fernando Sánchez, del CNPIC y de Gianluca D’Antonio, del ISMS Fórum Spain. Castellón partió de la Estrategia en Ciberdefensa y de la definición que de ésta contiene para relatar las actuaciones que en este campo ha ido realizando el departamento dirigido por él. Cada uno de los participantes narró las actuaciones que las organizaciones a las que representaban están realizando en sus respectivos ámbitos de actuación. En ese sentido, D´Antonio, esgrimió la actuación del ISMS Fórum Spain como punto de encuentro de empresas y profesionales.
Acabada la jornada de la mañana, intensa, como pueden hacerse una idea, y tras un merecido descanso para reponer fuerzas, dio comienzo la sesión de tarde, y lo hizo con una nueva mesa redonda, esta vez, bajo el título “Seguridad en las aplicaciones en la nube”. Congregó a Federico Dios, de Akamai, a Jesús Milán Lobo, de Telefónica España, y a Ángel Márquez, de Necsia. Esta mesa fue moderada por Luis Buezo, del CSA-Spanish Chapter (ISMS Fórum Spain) que introdujo el debate haciendo una revisión del “estado del arte” de la nube… Federico Dios aseguró que en la nube hay de todo: usuarios “buenos” y usuarios “malos”; en la nube también hay atacantes, por lo que hay que seleccionar servicios bien protegidos y proveedores de confianza. Milán opinó que teniendo claro el para qué, no hay duda sobre si ir a la nube o no: el 80% de las pymes tienen web y la tienen en la nube y lo mismo ocurre con el correo electrónico. Márquez vinculó nube a movilidad. Identificó como uno de los problemas de la adopción de un modelo de nube la información offline, y como otro el de securización de los servicios migrados. Introdujo Luis Buezo en el debate los principales inconvenientes que se pusieron de manifiesto en el estudio que el CSA-Spain realizó en 2013, y además de los ya vistos, habló de privacidad, de cumplimiento legal, de localización de la información, de nivel de servicio, para acabar en la reclamación de un estándar que consiga incrementar la confianza de los usuarios. Surgió también en la mesa el tema de la portabilidad de un proveedor a otro, y ello, llevó a tratar sobre la interoperabilidad…
A continuación, tocó (por fin 😉 ) turno a la privacidad… Llegó la hora de la última mesa de la jornada. Moderada por Carlos A. Saiz Peña (ISMS Fórum Spain) y bajo el título “La Privacidad como herramienta para la Confianza Digital” contó con la participación de Rafael García Gozalo de la Agencia Española de Protección de Datos, de Iñaki Pariente, de la Agencia Vasca de Protección de Datos y de María Àngels Barbará, de la Autoridad Catalana de Protección de Datos. Pidió el moderador a los participantes un ejercicio “de predicción” sobre el estado del nuevo reglamento a partir de las pasadas elecciones europeas… García Gozalo refirió la intensa incertidumbre existente debido a que será el nuevo Parlamento el que tenga que impulsarla, y, sin duda, también se notará la ausencia de la Comisaria Redding. Las previsiones más optimistas,según García Gozalo, hablan de tener el texto aprobado el año próximo. Los tres representantes de las autoridades, coincidieron que en espera de tener nuevo reglamento, el texto que circula ahora mismo contiene algunas previsiones que si bien, obviamente, no son obligatorias, su adopción sí que está siendo promovida por las autoridades (accountability, privacy by design,…)
Tras el tema reglamento, salió a la “pista central” el tema del mes: la sentencia Google vs AEPD… García Gozalo, resaltó la importancia del reconocimiento de los motores de búsqueda como responsables del tratamiento cuando ofrecen datos personales en sus resultados, aunque no la considera disruptiva, puesto que se entiende que bajo determinadas circunstancias debe aplicarse a un prestador extranjero la normativa europea (refiriéndose a la existencia de Google Spain, S.L.). Y en este punto, aprovechó para citar la sentencia que “tumbó” la directiva de retención de datos metiendo ambas como una clara muestra de la importancia que debe darse a este derecho fundamental. Barbará, se mostró también satisfecha por el reconocimiento que para ella supone la sentencia del TJUE. Pariente, hizo algunas previsiones sobre las dificultades técnicas que supondrá el cumplimiento de la sentencia (¿desaparecerán las sociedades nacionales de Google para la comercialización de su publicidad? ¿el buscador concederá de forma automática las solicitudes que reciba?, ¿las denegará obligando a resolver a la Autoridad de Control infinidad de tutelas de derechos?, ¿o valorará “caso a caso”?).
Puso a continuación Saiz sobre la mesa, la obligación contenida en la propuesta de Reglamento, sobre notificación de brechas a las Autoridades de Control, habida cuenta que éstas pueden no tener capacidad alguna para tratar de evitar (ni siquiera colaborar en ello) que las brechas se produzcan o repitan. García Gozalo manifestó que le parece lógico que no haya que notificar “todo”, puesto que eso colapsaría la gestión que las autoridades deberían realizar sobre estas notificaciones y defendió la postura llevada por la AEPD a Europa para que esta obligación se sustituyera por un registro a disposición de la Autoridad que las empresas debieran llevar con las brechas producidas y cómo fueron tratadas. Pariente se mostró de acuerdo con la postura expresada por el representante de la AEPD, el cual, también aprovechó para desligar estas notificaciones de la seguridad de apertura de un procedimiento sancionador.
Ya solo quedaba la ponencia de cierre: “El Arte de comunicar Seguridad”, a cargo de Gonzalo Álvarez Marañón, como decía el programa, “científico, escritor y orador”, gran conocedor de la seguridad de la información y de las técnicas de comunicación (http://www.elartedepresentar.com/). Tal y como me esperaba (llevo mucho tiempo siguiendo a Gonzalo, pero no había tenido la oportunidad de verlo “en directo”), fue francamente buena. Es un extraordinario comunicador. Nos habló de los pilares básicos de una presentación, de los tipos de memoria, de cómo mantener la atención del público, de… imposible de narrar… lo siento, pero cerré el portátil para disfrutar de una auténtica lección magistral. Solo puedo decirles que si tienen oportunidad de verlo no dejen de hacerlo. Si quieren saber más de lo que hace Gonzalo, pueden visitar su impecable web.
No pude quedarme a las palabras de despedida (ni a que me dedicara Gonzalo el libro que me regaló como me hubiera gustado hacer) porque tenía cerrado el regreso, así que no puedo decirlas nada de su contenido. Lo siento….
Y colorín colorado, esta entrada se ha acabado, no sin antes agradecer y felicitar a ISMS Fórum Spain por la organización de estas jornadas…
Muy buenos días.