www.redseguridad.com

Transcripción

Revista especializada en Seguridad de la Información
Nº 66 Septiembre 2014 Época II
LA ESTRATEGIA DE CIBERSEGURIDAD NACIONAL A EXAMEN
OCTAVO ENCUENTRO INTERNACIONAL DE SEGURIDAD DE LA INFORMACIÓN
LEÓN / 28-29 DE OCTUBRE, 2014
http://enise.inteco.es
www.redseguridad.com
editorial
El auge de la
ciberdefensa
Hace tan solo unas semanas, durante la clausura de la
Cumbre de jefes de Estado y de Gobierno de la OTAN
en Cardiff (Gales), su secretario general, Anders Fogh
Rasmussen, anunció que la ciberdefensa pasaba a considerarse un elemento central en la estrategia aliada. El
argumento es que un ataque cibernético contra cualquiera
de los miembros de la Alianza podría tener una respuesta
colectiva de carácter militar.
La estrategia “ciber”, por tanto, ocupa ya un lugar destacado
en los planes de defensa de los países que componen la
Alianza, aunque no se trata de algo totalmente nuevo. La
primera experiencia relevante se produjo durante las guerras
de los Balcanes, cuando en 1999 piratas informáticos serbios
dejaron sin servicio el sitio web de la OTAN. Desde entonces,
la Alianza ha venido avanzando en su articulación a través de
sucesivas cumbres en las que ha ido perfilando su estrategia
hasta desembocar en la creación del Centro de Excelencia
de Ciberdefensa de la OTAN a finales de 2008 en Tallinn
(Estonia), en cuya puesta en marcha participó España; y en
la aprobación en 2011 de la política de la OTAN en materia
de ciberdefensa, incluyendo objetivos, prioridades y un ambi
cioso plan de acción. Además, tras la reunión en Bruselas de
los ministros de Defensa de los Estados miembros en octubre
del año pasado para preparar los temas de la agenda de la
recién celebrada Cumbre de jefes de Estado y de Gobierno,
se instó a que todas las naciones aliadas desarrollaran sus
propias capacidades de ciberdefensa.
Afortunadamente, España hace ya bastantes meses que
decidió dar un paso al frente en esta materia poniendo
en marcha en febrero de 2013 el Mando Conjunto de
Ciberdefensa (MCCD), como bien explica su comandan
te, Carlos Gómez López de Medina, en la entrevista que
encontrará en páginas interiores. No obstante, el trabajo en
este ámbito no era algo nuevo, puesto que tanto los tres
ejércitos como el Estado Mayor de la Defensa (EMAD) y
el Órgano Central del ministerio ya trabajaban en desarro
llar sistemas de defensa cibernéticos para evitar posibles
ataques ante la proliferación del uso de las nuevas tecno
logías y los sistemas de telecomunicaciones. En todos los
casos, el objetivo está muy claro: garantizar la integridad,
la confidencialidad y la disponibilidad de los sistemas de
información, así como la de las propias infraestructuras que
soportan la prestación de servicios ampliamente utilizados
o que manejan información clasificada o sensible para los
intereses nacionales. Todo ello constituye uno de los ámbi
tos de actuación prioritarios de la Seguridad Nacional.
Por eso, podemos felicitarnos de tener actualmente un
equipo de cerca de 70 profesionales, que componen el
Mando Conjunto de Ciberdefensa, dedicados a velar por
la integridad de nuestras "fronteras cibernéticas"; y que en
tan solo unos meses hayan conseguido alcanzar una mayor
eficiencia en este ámbito, con una mejor y más efectiva ges
tión de los recursos. Aunque, eso sí, todavía les quedan
muchos retos por delante, entre ellos el más importante
es conseguir una capacidad operativa completa, algo
que se ha de articular en tres ejes: defensa, inteligencia y
respuesta, y sobre los cuales ya se desarrolla.
Hay otro aspecto sobre el que también este organismo está
haciendo mucho hincapié y que ayuda al trabajo del MCCD.
Se trata de la celebración de ejercicios de ciberdefensa, en
colaboración con otros estados. De hecho, el pasado mes
de mayo se realizó el ciberejercicio “Locked Shields 14”,
organizado por el Centro de Excelencia de Ciberdefensa
de la OTAN, en el cual participó España con 30 expertos
en ciberseguridad procedentes de distintos organismos de
cuatro ministerios. El objetivo fundamentel es reforzar las
capacidades nacionales de respuesta ante ciberataques y
mejorar la coordinación en el caso de una respuesta con
junta multinacional. Por eso, se desarrolla en tiempo real, en
un escenario ficticio y sobre unas infraestructuras contro
ladas que simulan las redes y servicios estratégicos de los
países participantes. Sin duda, constituye un buen punto de
partida para evaluar el grado de preparación frente a este
tipo de amenazas.
Pero a pesar del trabajo que España ha estado haciendo en
términos de ciberdefensa durante los últimos meses, no nos
podemos quedar ahí. Hay que continuar explorando nuevas fórmulas eficaces para asegurar la integridad cibernética del Estado. Incluso, desarrollando propuestas ima
ginativas y atrevidas como recientemente ha hecho Estonia.
Este país es uno de los más avanzados del mundo en ciber
defensa, después de que en 2007 sufriera un ataque de
piratas informáticos que puso en jaque las páginas web de
sus principales organismos públicos y empresas. Estos
ciberataques motivaron que su Ejecutivo fuera uno de los
principales interesados en promover la defensa en la Red
como uno de los ámbitos cruciales de la Seguridad Na
cional. Su última propuesta ha sido la creación de un
sistema que permita una verdadera "nube estatal", que
haga posible gobernar el país desde ella, incluso en
situaciones críticas. Es decir, la idea es poder seguir fun
cionando como un estado, incluso si su territorio ha sido
invadido. Para ello están trabajando en la creación de una
red de centros de datos en países amigos en los que se
replicarían los sistemas electrónicos y los datos críticos que
permitan el correcto funcionamiento del país en caso de
contingencia grave. Habrá que esperar cómo evoluciona el
proyecto, pero es posible que el futuro siga ese camino.
red seguridad
septiembre 2014
3
sumario
32
3
editorial
6
entrevista
Carlos Gómez López de
Medina
El auge de la
ciberdefensa
ciberseguridad internacional
Artículos de Marcos Gómez,
Carles Solé y Adolfo
Hernández, y Samuel Linares
42
entrevista asociación
Ramsés Gallego
Vicepresidente Internacional de
ISACA
Comandante Jefe del Mando
Conjunto de Ciberdefensa
Especial Seg2
10
VI Encuentro de la
Seguridad Integral
Resilencia, un paso más
alla de la convergencia
48
actualidad
8ENISE: La Estrategia
de Ciberseguridad
Nacional a examen
58
entrevista empresa
Emmanuel Roeseller
Director de Sistemas y
Tecnología de Seguridad de IBM
22
patrocinadores
S21sec, Eulen
Seguridad, GMV y
Deloitte
CONSEJO TÉCNICO ASESOR
PRESIDENTE
Arjan Sundardas Mirchandani
Colegio Registradores
Joaquín González Casal
Asociación de Ingenieros
e Ingenieros Técnicos en
Informática (ALI)
VOCALES
José Luis Rodríguez Álvarez
Agencia Española de
Protección de Datos (AEPD)
Vicente Aceituno Canal
Asociación Española para la
Seguridad de los Sistemas de
Información (ISSA España)
José Manuel de Riva
Ametic
Juan Muñoz
ASIS España
Guillermo Martínez Díaz
Asociación de Empresarios de
TIC de Andalucía (ETICOM)
Ignacio Gisbert Gómez
Confederación Española de
Cajas de Ahorros (CECA)
Fermín Montero Gómez
Dirección General de
Economía, Estadística e
Innovación Tecnológica de
la Comunidad de Madrid
Miguel Manzanas
Unidad de Investigación
Tecnológica (UIT) del Cuerpo
Nacional de Policía
Óscar de la Cruz Yagüe
Grupo de Delitos Telemáticos
(GDT) de la Guardia Civil
Miguel Rego Fernández
Instituto Nacional
de Tecnologías de la
Comunicación (INTECO)
Antonio Ramos García
ISACA Capítulo de Madrid
Gianluca D'Antonio
ISMS Forum Spain
Vicente Aguilera Díaz
Open Web Application
Security Project (OWASP)
Jorge Ramió Aguirre
Universidad Politécnica
Madrid (UPM)
CONSEJEROS
INDEPENDIENTES
Emilio Aced Félez
Tomás Arroyo
Javier Moreno Montón
Javier Pagès
Olof Sandstrom
PRESIDENTE DE HONOR
Alfonso Mur Bohigas
de
STAFF
Suscripción anual:
50 euros (España), 110 euros (Europa,
zona euro), 150 euros (resto países)
Depósito Legal: M-46198-2002
ISSN: 1695-3991
Borrmart: Presidente: Francisco Javier Borredá Martín. Presidente de Honor: José Ramón Borredá. Directora general: Ana Borredá.
Adjunto a la Presidencia y a la Dirección General: Antonio Caballero Borredá. Publicidad: Marisa Laguna, Pedro Jose Pleguezuelos y
Paloma Melendo. Gestión y Control: Carmen Granados. Directora de Relaciones Institucionales: Mª Victoria Gómez.
Red Seguridad: Directora: Ana Borredá. Redactor Jefe: Enrique González Herrero. Colaboradores: Bernardo Valadés,
David Marchal, Laura Borredá, Leticia Duque Guerrero y Jaime Sáez de la Llave. Maquetación: Macarena Fernández
López y Jesús Vicente Ocaña. Fotografía: Banco de imágenes Thinkstock/GettyImages. Diseño: Escriña Diseño Gráfico.
Suscripciones: Mª Isabel Melchor y Elena Sarriá. Dirección Financiera: Javier Pascual Bermejo. Redacción, Administración
y Publicidad: C/ Don Ramón de la Cruz, 68. 28001 Madrid Tel.: +34 91 402 96 07 Fax: +34 91 401 88 74
www.borrmart.es www.redseguridad.com [email protected]. Fotomecánica e impresión: Reyper.
RED SEGURIDAD no se responsabiliza necesariamente de las opiniones o trabajos firmados, no autoriza la reproducción de textos e ilustraciones sin autorización escrita.
Usted manifiesta conocer que los datos personales que facilite pasarán a formar parte de un fichero automatizado titularidad de BORRMART, S.A. y podrán ser objeto de tratamiento, en los términos previstos en la Ley Orgánica 15/1999, de 13
de Diciembre y normativa al respecto. Para el cumplimiento de los derechos de acceso, rectificación y cancelación previstos en dicha ley diríjase a BORRMART, S.A. C/ Don Ramón de la cruz, 68. 28001 Madrid.
thalesgroup.com
Soluciones de Seguridad
En cualquier lugar, cumplimos con lo importante
CONTROL DE FRONTERAS
Autenticación de ciudadanos,
e-fronteras y vigilancia del territorio
CIUDADES INTELIGENTES
Infraestructura de información
centrada en el ciudadano
SEGURIDAD AEROPORTUARIA
Optimización de las operaciones
de seguridad cumpliendo con
los estándares OACI
SEGURIDAD URBANA
Detección inteligente combinada con
respuestas de las agencias de seguridad
CIBERSEGURIDAD
Protección activa de los sistemas
de información contra ataques
PROTECCIÓN DE INFRAESTRUCTURAS
Desde gestión de alarmas a
supervisión multiemplazamiento
A diario se toman millones de decisiones críticas en seguridad. En
Thales desarrollamos soluciones resilientes que ayudan a gobiernos,
autoridades locales y operadores civiles a proteger a ciudadanos,
datos sensibles e infraestructuras de amenazas complejas. Todo ello
aporta la información, los servicios, equipos y
controles necesarios permitiendo a nuestros clientes y
a los usuarios finales obtener respuestas más eficaces
en entornos críticos. Juntos, en cualquier lugar
marcamos la diferencia con nuestros clientes.
ciberdefensa
entrevista
Carlos Gómez
López de
Medina
Comandante Jefe del Mando
Conjunto de Ciberdefensa
Con una dilatada
trayectoria en el
Ejército del Aire, el
general de brigada
"El Mando Conjunto tiene como fin
lograr los propósitos de la Estrategia
de Ciberseguridad Nacional”
Carlos Gómez López
de Medina es el
primer responsable del
Mando Conjunto de
Ciberdefensa. Durante
su encuentro con Red
Seguridad, el militar
granadino abordó
diversas cuestiones,
desde la puesta en
marcha de la unidad
que dirige hasta
las ciberamenazas
actuales; para
combatir a estas
últimas, considera vital
la concienciación y la
formación.
6
red seguridad
Tx: E. González y B. Valadés
Ft: E.G.H.
- ¿Cómo se estructuraba la ciberdefensa en España antes de la
creación del Mando Conjunto?
¿Qué motivos propiciaron su
puesta en marcha?
Las competencias relativas a la
ciberdefensa están distribuidas
entre el Centro Criptológico Nacional
(CCN) y los ministerios de Industria
–a través del Instituto Nacional de
Tecnologías de la Comunicación
(Inteco)–, del Interior y de Defensa.
En el caso de este último, el
Mando Conjunto de Ciberdefensa
se creó en febrero del año pasado.
Pero, con anterioridad, tanto los tres
ejércitos como el Estado Mayor de la
Defensa (EMAD) y el Órgano Central
del ministerio trabajan en dicha
materia. Algo lógico si se tiene en
cuenta que en las Fuerzas Armadas
se vienen utilizando sistemas de
información y telecomunicaciones
septiembre 2014
desde hace muchos años; por lo
tanto, ya había una preocupación
por la fragilidad de los mismos ante
las nuevas amenazas.
Todas las partes implicadas destinaron recursos económicos y humanos para tal fin, pero se echaba en
falta un uso más eficiente de los
medios disponibles y, sobre todo,
una mayor coordinación. Esos fueron los motivos que propiciaron
la puesta en marcha del Mando
Conjunto de Ciberdefensa.
- Actualmente, ¿cuántas personas operan en la unidad?
¿Contemplan ampliar la plantilla a
corto plazo?
El objetivo es finalizar el año con un
equipo integrado por 70 personas
entre militares y civiles. A partir de
ahí, nos gustaría seguir contando
con más profesionales, claro; pero,
de momento, la ampliación de la
plantilla la estamos realizando desde
una perspectiva progresiva, razonable y realista. Hasta que se produz-
ciberdefensa
entrevista
“En la Administración Pública existe numerosa
información ‘apetecible’ para los ciberdelincuentes”
can más incorporaciones, estoy muy
satisfecho con quienes trabajan en
el Mando Conjunto de Ciberdefensa,
ya que poseen un elevado grado de
formación.
- ¿Qué objetivos han logrado
desde que está operativo el Mando
Conjunto de Ciberdefensa?
Sobre todo, una mejor gestión de
los recursos, ya que antes existían
numerosas duplicidades. También
destacaría que se ha alcanzado la
capacidad operativa inicial, lo cual
significa que desde el principio
teníamos medios, personal, instalaciones, etc. Y por lo que respecta
a nuestra actividad, entre las tareas
más relevantes que llevamos a cabo
se encuentran la evaluación y acreditación de sistemas de información,
los análisis forenses y los ciberejercicios, muy importantes para hacer
frente a posibles ciberataques. En
este apartado, hemos progresado
mucho en los últimos meses.
- Una vez alcanzada la capacidad
operativa inicial, ¿existe una hoja
de ruta definida?
Lógicamente, deseamos llegar a
lo que denominamos full operational capability: capacidad operativa
completa. Y para lograrlo, nos centramos en tres líneas o capacidades:
la defensa, lo que se conoce como
ciberseguridad; la explotación, más
relacionada con la inteligencia, saber
qué hace el adversario; y la respuesta, basada en el ataque al enemigo mediante distintos enfoques. En
cuanto a los plazos para alcanzar
esa capacidad operativa completa,
tenemos definidos los niveles y las
fechas para cumplir nuestros objetivos, pero, lógicamente, no pueden
ser de dominio público.
- ¿Cuáles son las principales líneas
estratégicas que se han marcado
para lograr sus objetivos?
Al hilo de la respuesta anterior,
hemos fraccionado nuestros objeti-
vos a corto, medio y largo plazo. De
manera inmediata, consideramos
muy importante colaborar con el
Mando de Operaciones del EMAD
y el Centro de Inteligencia de las
Fuerzas Armadas (CIFAS). Y también mejorar el concepto de ciberseguridad entre los miembros del
Ministerio de Defensa; para ello,
es necesario concienciar, formar
y adiestrar al personal, algo que
estamos realizando en los tres ejércitos junto al Órgano Central del
ministerio.
Respecto a esto último, consideramos que la colaboración es
vital. Así, más allá del ámbito militar,
trabajamos con los ministerios del
Interior y de Industria, así como con
el Centro Nacional de Inteligencia
(CNI). Podría decirse que son nuestros partners más cercanos y, de
hecho, participamos conjuntamente en jornadas específicas, mesas
redondas, etc.
de la UE, si bien no se destinan
muchos recursos económicos a la
materia que nos ocupa, estamos
involucrados en algunas iniciativas
y proyectos.
- ¿También prestan atención a la
colaboración público-privada?
Por supuesto. Colaboramos con la
industria nacional solicitando soluciones que satisfagan nuestras
necesidades. Valoro mucho a las
empresas españolas que se dedican a la ciberseguridad, creo que
desarrollan productos propios de
una gran calidad y hacemos todo lo
posible para potenciar su capacidad
porque, lógicamente, nos interesa a
ambas partes. Y también me merecen mucho respeto las universidades por su labor de I+D.
- Ya que se refiere a la colaboración, ¿la unidad coopera con
otros países u organizaciones
internacionales en materia de
ciberdefensa?
Sí. Esta es una actividad que, a su
vez, se divide en dos: por un lado,
las relaciones bilaterales, que son
muchas y estrechas, con las fuerzas armadas de naciones aliadas y,
por otro, las que mantenemos con
la OTAN y la Unión Europea (UE).
Por ejemplo, el Mando Conjunto
es socio fundador del Centro de
Excelencia de Ciberdefensa de la
OTAN, ubicado en Tallin (Estonia) y
del que obtenemos muchos beneficios gracias a los ciberejercicios,
cursos de formación, trabajos de
investigación, etc. Y en el caso
El general de brigada Carlos Gómez,
dirige el Mando Conjunto de
Ciberdefensa desde enero del año
pasado. Este órgano ha alcanzado ya
la capacidad operativa inicial.
red seguridad
septiembre 2014
7
ciberdefensa
entrevista
- En nuestro país, ¿cuáles son las
principales ciberamenazas actuales a tener en cuenta?
En la Administración Pública existe
numerosa información apetecible
para ciberdelincuentes que pueden ser contratados por terceros, algo, por otra parte, bastante
habitual. Debemos hacer frente a
ese peligro e incrementar el tipo
de respuesta si los ataques provienen de grupos organizados de
ciberterroristas e incluso de un
estado.
En el ámbito corporativo, la principal preocupación es, sin duda,
el robo de propiedad intelectual. Y
si nos referimos a la sociedad en
general, el ciberdelito, qué duda
cabe, está cada vez más extendido.
En este sentido, creo que se debe
fomentar la cultura de la ciberseguridad entre los ciudadanos y
concienciarlos de los riesgos que
conlleva el uso de un ordenador o
dispositivo móvil.
- ¿Qué opinión le merece la
Estrategia de Ciberseguridad
Nacional?
Creo que es un documento tan relevante como la Constitución española. Marca una serie de líneas muy
importantes y refleja un principio
fundamental: mejorar la ciberse-
guridad en nuestro país. Todos los
objetivos del Mando Conjunto, a
los que he hecho referencia anteriormente, persiguen alcanzar los
propósitos de la Estrategia y responden a algunas de las ocho
líneas de acción contempladas en
el documento. Una de ellas, como
ha quedado expuesto, es la relativa a la cooperación internacional:
colaboración con la OTAN, forta-
lecer las relaciones con naciones
aliadas, etc.
- Hay quienes manifiestan que la
III Guerra Mundial se está librando
ya y que la misma es de carácter
cibernético. ¿Está de acuerdo?
Me cuesta pensar en guerras exclusivamente cibernéticas. Otra cosa es
que haya conflictos en los que exista
dicho componente. Les expongo un
ejemplo muy gráfico y clarificador:
cuando en el siglo pasado entró en
combate la aviación, ¿significaba
que, a partir de entonces, las tropas
terrestres carecerían de utilidad?
Obviamente, no. El tiempo demostró
que las dos divisiones tienen misiones distintas pero complementarias.
Ahora sucede lo mismo. Ninguna
fuerza es imprescindible y se actúa
conjuntamente, pero hay un invitado
más: la ciberdefensa. Y esta última
se debe tener muy en cuenta para
no ser débil y vulnerable en dicho
ámbito.
El jefe del Mando Conjunto de
Ciberdefensa dialoga con Ana
Borredá, directora de Red Seguridad,
en uno de los momentos de la
entrevista.
8
red seguridad
septiembre 2014
especial seg2
encuentro de la seguridad integral
Resilencia, un paso más
allá de la convergencia
Tx: B. Valadés/ D. Marchal/ E. González. Ft: Francisco Lorente.
Desde hace algún tiempo se ha instalado un nuevo término entre
los profesionales de la seguridad: “resiliencia”. Pero, ¿qué significa
esta palabra? ¿Cómo se aplica a las organizaciones? ¿Se trata de
una novedad o siempre ha estado presente? Preguntas como estas
se fueron despejando desde el minuto uno de la sexta edición del
Encuentro de la Seguridad Integral (Seg2) –organizado el 12 de junio, en
Madrid–, gracias a ponentes de excepción, que trasladaron opiniones y
planteamientos de todo tipo en torno a este concepto y otros muchos
asuntos relacionados con la convergencia en la seguridad.
Parece que fue ayer y, sin embargo,
ya han pasado seis años desde que
Editorial Borrmart, a través de las revistas Red Seguridad y Seguritecnia, decidiese poner en marcha el Encuentro
de la Seguridad Integral (Seg2). Más
de un lustro que ha permitido conso-
10
red seguridad
lidar el evento y, no menos relevante,
convertirlo, como pretende su denominación, en punto de encuentro anual
de unos profesionales que, tal y como
dejaron de manifiesto en su sexta convocatoria, tienen cada vez más claro
que la seguridad del siglo XXI no se
septiembre 2014
puede concebir sin la convergencia.
Al igual que en la edición anterior, el
Seg2 contó con el apoyo de los patrocinadores Deloitte, Eulen Seguridad,
GMV y S21sec, además del respaldo de la Fundación Borredá y del
Instituto Nacional de Tecnologías de
resiliencia
especial seg2
La editorial Borrmart, a la que pertenecen Red Seguridad
y Seguritecnia, agradeció a Gas Natural Fenosa su
colaboración en el VI Encuentro de Seguridad Integral (Seg2) y
su compromiso con la seguridad. Ana Borredá, directora de la
editorial, entregó una placa a Antonio Mojonero, responsable
de Security EMEA, y José Luis Moya, responsable de gobierno
de Security de la compañía.
la Comunicación (Inteco). Y, como
novedad, en esta ocasión se celebró
en la sede madrileña de Gas Natural
Fenosa, en cuyo salón de actos se
dieron cita cerca de 200 expertos del
ámbito de la seguridad.
Un proyecto compartido
En su alocución de bienvenida a los
asistentes, Ana Borredá, directora general de Borrmart, hizo hincapié en el
“momento tan interesante y apasionante” que vivimos: “las estrategias
nacionales de Seguridad y Ciberseguridad, el Esquema Nacional o la Ley
de Protección de Infraestructuras Críticas se han elaborado en el idioma de
la convergencia y de la seguridad integral”, ensalzó.
Además, aprovechó la ocasión
para, una vez publicada la nueva
Ley de Seguridad Privada, “animar
al mundo TIC a realizar propuestas
al Ministerio del Interior” con el fin de
contribuir a elaborar y definir el reglamento del recién aprobado texto.
“Desde la Fundación Borredá esta-
resiliencia
mos trabajando en ello, pero creemos
que hacen falta muchas más iniciativas para ayudar a que ese desarrollo reglamentario sea lo más positivo
posible para el sector de la seguridad
informática”.
A continuación, en calidad de anfitrión y en representación de José
Luis Bolaños, Director de Security
de Gas Natural Fenosa, tomó la palabra José Luis Moya, quien, brevemente, resaltó el trabajo que lleva a
cabo el departamento de Seguridad
de la compañía, para erradicar la siniestralidad laboral. “Para ello, es vital la participación de todos, desde
aquellos que forman parte del ámbito
jerárquico hasta los propios trabajadores”, apuntó.
El turno de intervenciones de la inauguración del encuentro lo cerró
Joaquín Castellón. El director operativo del Departamento de Seguridad Nacional comenzó destacando el
lema elegido para la Estrategia aprobada en 2013, Un proyecto compartido, nada casual teniendo en cuenta
que en la protección del país todos
los actores “juegan un papel muy importante”.
En este sentido, precisó: “la ciberseguridad es una prioridad para el
Gobierno. Cada día somos más dependientes de las nuevas tecnologías y de un ciberespacio vulnerable. Por ello, en un año se han realizado grandes avances: el impulso de
la Estrategia y de su correspondiente
Consejo de Ciberseguridad Nacional, la creación del Mando Conjunto
de Ciberdefensa, el acuerdo entre
los ministerios del Interior e Industria
para que el Inteco atienda los incidentes relacionados con las infraestructuras críticas, la aprobación de la
Agenda Digital…”.
En cuanto a los retos por afrontar,
Castellón explicó que, bajo su punto
de vista, se debe incrementar la cultura de la ciberseguridad, enriquecer la colaboración público-privada y
mejorar la coordinación operativa, ya
que “en España somos pocos para
afrontar grandes problemas”.
red seguridad
septiembre 2014
11
especial seg2
Guillermo Llorente, director de
Seguridad y Medio Ambiente de
Mapfre.
¿Resiliencia?
Llegado el turno de las ponencias,
la primera de ellas corrió a cargo
de Guillermo Llorente Ballesteros.
Comprometido con el Seg2 desde sus
inicios, el director de Seguridad y Medio Ambiente de Mapfre bromeó al citar el lema de la presente edición –
Nuevas convergencias. Resiliencia–,
considerando a este último término,
tan de moda en el ámbito de la seguridad, un nuevo “palabro”.
“¿Por qué utilizar expresiones tan
extrañas para decir cosas que se podrían explicar de forma más simple?
Sin duda, se trata de un nuevo arcano. Antes teníamos otros: la gerencia de riesgos, la inteligencia competitiva… Ahora es la resiliencia”, reflexionó.
Continuando con un tono crítico,
Llorente incidió en que “la resiliencia
no es el Santo Grial, la pócima mágica que va a permitir a una empresa
solucionar todo lo relacionado con la
seguridad. Es más: la Real Academia
Española (RAE) todavía no ha definido qué es la resiliencia. Hay quien
habla de ella y se refiere a la flexibilidad y a la resistencia. ¿Y esto es
algo nuevo? Protección, detección,
contención, respuesta… Es lo que
hemos hecho siempre, con diferentes métodos, pero ahora lo denominan resiliencia”.
Al hacer mención a los métodos, el
ponente puso como ejemplo de caso
práctico el simulacro de incendio de
12
red seguridad
uno de los edificios de la compañía.
Un ejercicio que, como suele suceder,
sirvió para extraer numerosas conclusiones. En el caso de las nuevas tecnologías, el responsable de Mapfre
desveló que aprendieron a saber gestionar “servicios esenciales como el
correo electrónico, vital para garantizar la comunicación”. “No se trata de
una cuestión baladí, ya que, en situaciones así, al repasar los contratos, te
das cuenta de que quien te presta ese
servicio lo garantiza salvo en caso de
fuerza mayor, que es, precisamente,
cuando es más necesario”, ironizó.
Tras una didáctica exposición, Guillermo Llorente enlazó con el inicio
de su ponencia –titulada, por cierto,
¿Resi… qué?– para volver a referirse
a la resiliencia. “Insisto: no es algo novedoso, sino una palabra que, probablemente, define mejor lo que veníamos haciendo y que muchos de los
asistentes a este Encuentro de la Seguridad Integral llevan muchos años
poniendo en práctica para garantizar
el buen funcionamiento de sus organizaciones. En definitiva: proteger, detectar, minimizar, contener…”.
Ya en un turno de preguntas, consultado sobre cómo se lidera la integración de la seguridad en una empresa como la suya, el representante
de Mapfre fue rotundo al explicar
que “el primer requisito es creer en
lo que hay que hacer y querer asumir esa responsabilidad y ese riesgo.
Sí, se ha de ser especialista en algo,
en este caso de la seguridad, pero,
además, también hay que poseer
una visión global de la compañía.
Igualmente, se debe tener la voluntad de adaptarse, saber aprovechar
las oportunidades que se presentan, porque el entorno es cambiante.
Y ya puestos, un poco de fortuna no
viene mal, porque por mucho que tú
quieras vender seguridad, si tu interlocutor no desea comprar… En
definitiva, se ha de mostrar que se
puede aportar valor añadido”.
El CSO del futuro
Este fue el tema elegido por Juan
Muñoz, Chief Security Officer (CSO)
de ENCE, para la siguiente ponencia.
Con su habitual discurso directo, y las
influencias anglosajonas que le caracterizan, el también presidente de
ASIS España dibujó una evolución de
la figura del CSO, “cuya traducción
septiembre 2014
Juan Muñoz, Chief Security Officer
(CSO) de ENCE y presidente se ASIS
International-España.
al español no es equivalente a director de seguridad. Eso es un gravísimo
error. El término chief (jefe) se aplica
a los responsables de máximo nivel de una organización, esto es, del
Consejo de Dirección. Así pues, lo de
CSO no lo inventaron cuatro graciosos, ya que se trata de un estándar
escrito y publicado”.
Respecto a la complejidad de dicho cargo en el mundo corporativo, Muñoz reprodujo el párrafo de
un artículo publicado recientemente
en Security Management: “Al mismo
tiempo que la seguridad continúa
transformándose, pasando de ser
una función de apoyo a un elemento
crítico en la empresa, los profesionales de dicha función están preparándose para adquirir conocimientos relacionados con las finanzas, la dirección, el liderazgo, el trabajo en equipo
y la mentalidad estratégica”.
Queda claro, pues, que los profesionales de la seguridad han de estar
cada vez más preparados en un contexto en el que la conocida convergencia ha dado paso a una segunda
fase que obliga a saber gestionar no
sólo la seguridad integral, sino también “los riesgos, la crisis y la continuidad. Sencillamente, porque las
empresas no están dispuestas a pagar a varios empleados cuyas funciones son convergentes”.
Ante una situación así, el CSO del
siglo XXI, según Muñoz, ha de atesorar habilidades como “ética y valo-
resiliencia
especial seg2
res, el lenguaje de los altos ejecutivos, visión de negocio, capacidad de
crear equipos y de trabajar conjuntamente, habilidad política…”. Al respecto, recordó la celebración de un
reciente curso en el que participaron cualificados profesionales; uno de
ellos le comentó que en el mismo no
había aprendido nada de seguridad.
“De eso se trataba. Para enterarte de
cómo funcionan los extintores ya hay
otros foros”, respondió el representante de ASIS en nuestro país.
Y es que, de manera especial, para
Juan Muñoz el CSO del futuro –¿o
mejor, del presente?– ha de estar
muy preparado desde el punto de
vista de la formación y la certificación. “En el caso de España, más allá
de los Pirineos se sabe lo que es el
Certificado de Protección Profesional
(CPP), pero aquí parece que la gente
todavía no se quiere enterar”. Algo
que, entre otras cuestiones, ha dado
lugar a que “los headhunters tengan
problemas para encontrar personas
con el perfil del CSO”.
Además, al igual que Guillermo Llorente, Muñoz se refirió al término resiliencia, nada nuevo, por otra parte,
en ASIS International –Marc Siegel,
experto en estándares de la entidad,
aludió al mismo en repetidas ocasiones durante su intervención en el V
Congreso de Directores de Seguridad organizado por Seguritecnia–.
Así, el CSO de ENCE definió el “palabro” como “la claudicación de Occidente. Lo que sucede con la resiliencia es que la sociedad y la cultura de
nuestros días son incapaces de hacer frente y gestionar los riesgos a los
que se enfrentan”.
Sin distinciones
A continuación, le llegó el turno a
Andreu Bravo, Chief Information Security Officer (CISO) de Gas Natural Fenosa, con una ponencia titulada Seguridad integral. La evolución
de las especies. Durante su intervención, el directivo hizo un repaso del
concepto de seguridad integral y su
evolución en tres fases: pasado, presente y futuro.
En el primer caso, la seguridad se
diseñó con el fin de combatir amenazas cuyo éxito dependía del conocimiento del objetivo y del entorno, de
la preparación de los atacantes, de la
oportunidad y, sobre todo, de las po-
14
red seguridad
Andreu Bravo, Chief Information
Security Officer (CISO) de Gas
Natural Fenosa.
sibilidades de huida. Por eso, “el objetivo de las defensas era proteger el
perímetro, detectar amenazas, investigar y capturar y corregir y mejorar”,
comentó.
Sin embargo, en el presente las
técnicas de ataque han evolucionado, sobre todo debido al papel
cada vez más importante de las Tecnologías de la información, las cuales, en palabras de Bravo, “han eliminado el factor geográfico”. Por tanto,
la huida ya no preocupa tanto. De hecho, ni siquiera se planifica. El resultado de usar las TI es que los ataques han cambiado y se han multiplicado. “Se reducen los costes, se
incrementan los actores involucrados, se apuntan a los eslabones más
débiles, que son las personas, y son
dirigidos, coordinados, complejos y
profesionalizados”, afirmó Bravo.
Pero, al fin y al cabo, para el directivo siguen siendo ataques contra la
integridad de las empresas o las personas. Por tanto, no debería haber
distinciones entre seguridad física y
lógica, sino que tendríamos que hablar de seguridad integral. “El lenguaje no tiene que ser una barrera
para integrarnos. Podemos hablar
distintos lenguajes, pero la realidad
sigue siendo la misma. Por eso hay
que aunar esfuerzos, y más en estos
tiempos de crisis”, comentó.
Esto es, por ejemplo, lo que ya
está haciendo Gas Natural Fenosa,
en donde se han dado cuenta de
septiembre 2014
que ya no es suficiente con una conexión entre seguridad física y lógica. “Si queremos ser eficientes tenemos que trabajar unidos”, puntualizó. De hecho, la organización ha
creado una nueva área, que depende
directamente de la dirección general, denominada Security, y cuyo fin
es la protección de las personas, los
activos y los procesos de la compañía. “A través de ella establecemos toda la estrategia y táctica de
seguridad de la empresa y llevamos
a cabo las funciones operativas críticas”, desveló el directivo. Por este
motivo, han estructurado la división
en áreas transversales, con grupos
de trabajo mixtos e interlocutores únicos: Protección de infraestructuras
críticas, Crisis resilience, Prevención
e investigación del fraude y Security
intelligence.
Éste es el camino que, según
Bravo, las empresas deben seguir en
el futuro, unificando la seguridad bajo
un mismo paraguas, puesto que las
amenazas seguirán avanzando y perfeccionándose, tanto en el mundo físico como en el lógico. De ahí que
sea imprescindible compartir información y cooperar entre todos en las
investigaciones y en los incidentes.
En este sentido, el CERT debe actuar de forma unificada y coordinada
para tal fin.
Papel del CERT
Precisamente, para tratar la función y
misión del CERT de Seguridad e Industria (CERT SI), asistió a la jornada
Miguel Rego, director del Instituto
Nacional de Tecnologías de la Comunicación (INTECO). En concreto,
el CERT SI es “la marca a través de
la cual se facilitan los servicios de ciberseguridad para contribuir a la resiliencia nacional”, afirmó. Nació fruto
de la colaboración pública-pública a
través del convenio entre las Secretarías de Estado de Seguridad (SES)
y de Telecomunicaciones y para la
Sociedad de la Información (SETSI),
y es operado por INTECO. Entre sus
cometidos se encuentra la prevención, la alerta temprana y la sensibilización tanto de empresas como de
los ciudadanos. Sin duda, se trata de
una tarea fundamental, porque, según Rego, los incidentes continúan
aumentando. Aportó un dato importante en esa línea: de todos los pro-
resiliencia
especial seg2
Miguel Rego, director del Instituto
Nacional de Tecnologías de la
Comunicación (INTECO).
ducidos entre enero y mayo de 2014
el mayor porcentaje (32%) corresponde al malware, mientras que el
31% equivale a las vulnerabilidades.
A continuación, el directivo se detuvo en explicar algunas de las acciones que están llevando a cabo a través del CERT de Seguridad e Industria tanto en el ámbito empresarial
como de los ciudadanos. En el primer caso, “estamos poniendo el foco
en las pymes con el objetivo de que
los servicios del CERT sean generadores de demanda”, explicó. Para ello
realizan una labor de sensibilización y
diagnóstico mediante servicios gratuitos para las empresas. En el ámbito de los ciudadanos, van a poner en marcha el portal de la Oficina
de Seguridad del Internauta. “Queremos desarrollar una labor de alerta y
concienciación para los ciudadanos
que no tienen formación ni conocimientos”, afirmó. Lo harán mediante
la integración de servicios como Conan Mobile, una herramienta gratuita
para Android que hace recomendaciones sobre la configuración de seguridad y riesgo de los móviles y tabletas; o un servicio antibotnet con
kits de desinfección e información sobre cómo evitar las redes de ordenadores usados de forma remota para
lanzar ataques. Por otra parte, este
organismo también pondrá al alcance
de las Fuerzas de Seguridad del Estado la herramienta Evidence Detector, que facilita el análisis automati-
resiliencia
zado en investigaciones de ciberdelitos, especialmente de la pedofilia.
Para finalizar su intervención, Rego
se refirió a cómo el CERT de Seguridad e Industria ayuda a la ciberresiliencia a través de un catálogo de
servicios como la respuesta a incidentes, la detección proactiva o la
alerta temprana. Asimismo, hizo hincapié en la importancia de la celebración de los Ciberejercicios 2014, que
se celebrarán en septiembre y octubre, en los que se realizan simulacros de incidentes y que ya cuentan
con 18 operadores estratégicos involucrados. Por último, el directivo mencionó la propuesta de realizar un primer estudio sobre “la construcción
de un marco integral de indicadores
de resiliencia para empresas y administraciones”, lo que permitiría “medir
el grado de madurez nacional”.
Estándares de gestión
Con la ponencia titulada Estándares de gestión en seguridad integral
se dio paso al director de Seguridad y presidente de la Asociación
de Directivos de Seguridad de Cantabria (ADISCAN), José Manuel García Diego, para hablar de la seguridad como concepto. En primer lugar,
el directivo quiso reivindicar el papel
de los legisladores en este entorno.
Y es que, como afirmó durante su intervención, “los empresarios no tienen una cultura de la seguridad ni de
los riesgos”. “Eso nos ha obligado a
los profesionales a apoyarnos fuertemente en los legisladores. Ellos han
sido los mejores aliados de la seguridad”, comentó para después pasar a hablar de la Ley 5/2014 de Seguridad Privada. En ella se introducen
conceptos importantes como el de la
seguridad integral, la eficacia, la organización, la planificación, la seguridad organizativa y la informática, y
se menciona la imposición reglamentaria de la garantía de calidad de los
servicios.
“Si bien antes la seguridad era considerada un producto, similar a ‘hombre/pistola’, y con la entrada de las
TIC empezó a considerarse un departamento, dependiente de la evolución tecnológica, hoy hablamos de
seguridad como proceso, como parte
de la dirección estratégica de una
empresa, que se gestiona con unos
objetivos, estándares, etc.”, explicó el
José Manuel García Diego, presidente
de la Asociación de Directivos de
Seguridad de Cantabria (ADISCAN).
directivo. Ahora bien, las organizaciones deben mejorar el modelo de madurez de la seguridad, que se puede
estandarizar a través de cinco supuestos: medidas de seguridad, departamento de seguridad, plan de seguridad, sistema de gestión estandarizada y modelos de excelencia. Cada
empresa se puede situar en cada
una de estas etapas; pero, para García Diego, lo ideal sería estar entre el
cuarto y el quinto supuesto.
Durante su ponencia, el directivo
también mencionó los dos puntos de
vista sobre los cuales se ha de contemplar la seguridad: estratégico y
complementario. El primero pretende
preservar la indemnidad de las personas y la continuidad del negocio
siendo respetuosa con los stakeholders. Por su parte, el segundo, que
se conoce como 3G (Gate, Gun and
Guard), es una seguridad de cumplimiento. “Aquí la seguridad no se gestiona, sólo se administra, está basada
en medidas y es ajena al riesgo”. Las
organizaciones deben tender hacia un modelo como el primero. “Es
esencial una visión estratégica de
la seguridad, afrontar de manera integral la gestión del riesgo y utilizar
para ello metodología”, apuntó.
A continuación, el directivo se centró en analizar qué son los sistemas
de gestión de la seguridad, clave para
aplicar el primer modelo, y que se definen como “la parte de sistema de
gestión general basado en un en-
red seguridad
septiembre 2014
15
especial seg2
foque de riesgo empresarial que se
establece para la creación, implementación, control y revisión de la
seguridad”. Incluye la estructura organizativa, las políticas, las actividades, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos. Y dentro de los
sistemas de gestión de la seguridad
hay varias familias y estándares, que,
aunque no son la panacea, “sí son un
compañero imprescindible para saber
qué es lo que hay que hacer en cada
caso”, añadió.
Seguridad en puertos
Durante la siguiente conferencia también se abordó el tema de la seguridad integral. En esta ocasión, Enrique Polanco, socio director de Global Technology 4E, se refirió al hecho
de que, ante situaciones excepcionales, las autoridades deben activar el
plan de alerta de ciberseguridad de
forma paralela a la seguridad física,
puesto que no se pueden separar
ambos cuando es preciso enfrentarse
a amenazas reales y globales. Así, de
hecho, sucedió con la proclamación
de Felipe VI, lo que a ojos de Polanco
es un hecho “altamente loable”.
Por desgracia, continuó, “es muy
difícil encontrar en los planes de seguridad de cualquier empresa que,
ante un evento de especial relevancia (como junta de accionistas, previsión de huelgas o manifestaciones,
etc.), se incluya entre los procedimientos de seguridad habituales algunos como cambiar las contraseñas de los dispositivos de seguridad
y comunicaciones, comprobar el estado de aplicación de las políticas de
seguridad informática, reforzar la seguridad de las VPN de trabajo o restringir temporalmente el uso de determinados dispositivos altamente vulnerables. Eso sí sería una verdadera
convergencia”, puntualizó.
Y es que, para el directivo, todos
los elementos críticos de seguridad
física reposan sobre tecnologías IP
conocidas y con herramientas al alcance de todos para vulnerarlas. “Me
gustaría que se generara una simbiosis; es decir, se unieran fuerzas para
conseguir una meta de intereses comunes. Hay que pensar en procesos
de inicio a fin”. Precisamente, esta
afirmación sirvió para dar paso a David González, director de Sistemas
16
red seguridad
Enrique Polanco, socio director de
Global Technology 4E.
de Información de la Autoridad Portuaria de Tarragona, quien ya está llevando a cabo esta simbiosis entre la
policía portuaria y el departamento
de Sistemas. “En la Autoridad Portuaria de Tarragona estamos totalmente
convencidos de la absoluta necesidad de actuar de modo convergente
en materia de seguridad, al igual que
sabemos que así lo hará cualquier
posible atacante”, afirmó durante su
intervención. De hecho, el Sistema de
Monitorización Avanzado (SIMA) instalado en el puerto, que actúa sobre
los sistemas de información (incluidos todos los dispositivos de seguridad conectados por IP), detecta las
amenazas que se materializan y demuestra su utilidad de forma simbiótica para todos los departamentos de
la organización.
Y esta forma de actuar es extrapolable a todas las empresas, que deben crear un equipo multidisciplinar
en el que tanto el departamento de
TI como los CIO tienen mucho que
aportar. “Los CIO deben aprovechar
la oportunidad actual de ‘co-creación’ de los nuevos sistemas de gestión de la seguridad y participar activamente junto con los directores de
seguridad integral”. Ahora bien, para
González, no se trata de quitar competencias de un departamento y dárselas a otro, sino de organizarse para
aportar lo mejor de cada uno. “Se
puede delegar parte de la gestión de
la seguridad lógica en el director de
septiembre 2014
David González, director de Sistemas
de Información de la Autoridad
Portuaria de Tarragona
Seguridad Integral, aunque sin perder
el control sobre esa seguridad, que
obviamente deben ejercer los dueños de cualquier tipo de activo”, manifestó.
Durante su intervención, el invitado
también advirtió de que la consumerización (la aparición de nuevas tecnologías de la información que llegan primero al mercado generalista y
luego se propagan a las organizaciones) de las herramientas de explotación de vulnerabilidades “es un problema candente”.
Cooperación e interacción
Para que las compañías sean capaces de alcanzar capacidad de resiliencia es fundamental que exista una
cooperación global y multidisciplinar
entre los actores, no sólo de una organización sino de todo un sector.
Esa es la idea que defendió en su
ponencia Pedro Pablo López, gerente de GRC & PIC (Gobierno, Riesgos y Compliace & Protección, Infraestructuras y Continuidad) de Rural
Servicios Informáticos (RSI). “Internet
ha hecho el mundo pequeño y, por
ende, aporta valor y eficiencia; pero
nos dice que el riesgo es también
mucho más grande, exponencial”, razón por la cual “la apuesta por la interoperabilidad es esencial en la continuidad, las emergencias, la gestión
de crisis y la resiliencia organizacional”, advirtió el ponente.
Según explicó López, la resiliencia de
resiliencia
especial seg2
Ana Borredá, directora general de la editorial Borrmart, escucha la ponencia de
Pedro Pablo López, gerente de GRC & PIC de Rural Servicios Informáticos (RSI).
los negocios y los servicios debe estar
apoyada básicamente en la capacidad
de recuperación de “las infraestructuras, las tecnologías, la información y las
personas”. Pero, sobre todo, desde su
punto de vista la principal herramienta
para que una organización alcance esa
capacidad es la cooperación, incluso
con otros actores que forman parte de
su competencia.
Tomando como referencia la resiliencia aplicada a las personas, definió el concepto como “la capacidad de los sujetos a sobreponerse
a periodos de dolor emocional, situaciones adversas, incluso saliendo
fortalecido de los mismos”. Esta explicación se puede extrapolar a las
organizaciones, afirmó. Razón por
la cual López considera al individuo
como el centro de la resiliencia, porque el concepto “parte mucho del
sentido común de las personas que
gestionan cada una de las labores
que se les encomienda cada día”.
El representante de RSI apuntó algunas claves para que una compañía tenga capacidad de resiliencia.
Señaló que “es necesario” que exista
una relación entre los grupos de interés de la empresa, “es aconsejable”
definir un proceso global de protección y asignar responsables, “es vital”
definir un Plan de Comunicación y un
protocolo de respuesta ante sucesos,
y “es una buena práctica” crear una
cultura de resiliencia mediante la concienciación, divulgación, formación
y entrenamiento en la materia. Además indicó la necesidad de compar-
18
red seguridad
tir una terminología, conceptos definidos claramente y poner los riesgos
en un orden, desde los más frecuentes hasta los más remotos.
López se detuvo también en “dos
factores fundamentales en relación con
las preocupaciones de las organizaciones: la dimensión y el tiempo”. En contra del concepto de “hace un siglo”,
cuando las amenazas estaban más
acotadas espacialmente y existía más
tiempo de respuesta, hoy “es importante que las compañías cambien de
paradigma en sus procesos y protocolos”, adaptándolos a la realidad actual
de amenazas globales e inmediatas.
Como conclusión, el representante
de RSI consideró que las organizaciones necesitan aplicar medidas estratégicas (legales, divulgativas, informativas, formativas, organizativas,
operativas) y otras de tiempo (preventivas, de detección, respuesta, investigación y forenses) para conseguir
alcanzar la resiliencia. A lo que se
añade el liderazgo, la coordinación y
la gestión de los riesgos. También se
refirió a la conveniencia de aplicar la
regla de “las cinco C”: cooperar, coordinar, comunicar, colaborar y compartir. A las que él sumó la necesidad
de controlar, aceptar el cambio y tener un compromiso con la protección
de la organización.
Infraestructuras críticas
Uno de los ámbitos en el que la resiliencia cobra su mayor expresión de
necesidad es el de las infraestructuras
críticas de un país, aquellos servicios
septiembre 2014
José Ignacio Carabias, jefe del Servicio
de Seguridad Física del CNPIC.
esenciales para el funcionamiento de
la sociedad. En España, la Comisión
Nacional para la Protección de las Infraestructuras Críticas acaba de aprobar los cinco primeros Planes Estratégicos Sectoriales (PES), que abarcan
los sectores de la energía (que se ha
dividido en electricidad, gas y petróleo), el nuclear y el financiero.
José Ignacio Carabias, jefe del Servicio de Seguridad Física del Centro
Nacional para la Protección de las Infraestructuras Críticas (CNPIC), explicó
a los asistentes al Seg2 algunas de las
claves de estos planes, que han tardado dos años en ver la luz desde la
aprobación de la Ley para la Protección de las Infraestructuras Críticas
(Ley PIC) y su Reglamento de desarrollo. Ese tiempo no ha sido más corto
debido a la complejidad para coordinar
las 180 reuniones que se han llevado a
cabo con la participación de unas 80
personas en cada una, entre representantes de ministerios, organismos reguladores y operadores, según explicó el
representante del CNPIC.
Los cinco primeros PES son la
avanzadilla de los otros siete que tendrán que ver la luz en adelante, hasta
completar los 12sectores estratégicos que establece la ‘Ley PIC’. Los
próximos, cuyos trabajos comenzarán “después del verano”, serán los
del transporte –que se dividirá en aéreo, marítimo, carretera y ferroviario–,
agua y tecnologías de la información
y las comunicaciones, según anticipó
Carabias.
El jefe del Servicio de Seguridad
resiliencia
especial seg2
Física del CNPIC explicó que los PES
son: “un instrumento de estudio y
planificación que nos debe permitir conocer cuáles son los servicios
esenciales de un sector, cuál es el
funcionamiento de los mismos, cuáles son las vulnerabilidades y amenazas del sistema, y calcular las posibles consecuencias potenciales de
la inactividad de alguno de ellos”. A
partir de esa base se plantean “medidas de carácter estratégico importantes y necesarias para el mantenimiento de dicho sector”, añadió. Estos planes son de carácter
confidencial y serán revisados cada
dos años, o de manera puntual si se
considera necesario.
Tal y como explicó Carabias, los
PES están estructurados en cuatro
capítulos. El primero de ellos es el
de normativa, cuyo objetivo es “establecer una base normativa y legal, determinar cuál es la principal
normativa de aplicación en el sector, y evitar incompatibilidades y
duplicidades”.
El segundo aborda la estructura y
funcionamiento del sector. En él se
“ayuda a identificar cuáles son los
servicios esenciales en cada uno de
los sectores, cómo se organizan y
funcionan, y se ha establecido una
segmentación en cuanto a la tipología de infraestructura”. Además se
han identificado los principales operadores estratégicos y se ha creado
un mapa de interdependeicncias, ya
que muchas de las infraestructuras
de un sector dependen de otros.
El tercer capítulo se central en el
análisis de riesgos, donde “se identifican los activos que deben tener
una especial atención”. Sobre ellos
se han indicado las amenazas, las
vulnerabilidades y recomendaciones
para la gestión de los riesgos.
Finalmente, el capítulo cuarto recoge las medidas a adoptar desde
el punto de vista organizativo y técnico. Como explicó el representante
del CNPIC, “están dirigidas a gestionar las capacidades operativas
de respuesta dirigidas a la prevención y la reacción y mitigar las consecuencias en caso de que se pudieran producir los diferentes escenarios identificado”.
Carabias aportó también algunas
conclusiones de carácter general en
torno a cada uno de los PES apro-
resiliencia
bados en junio. Sobre el de Electricidad, destacó la importancia de
“contar con un sistema mallado de
la red dado que la electricidad no se
puede almacenar”. Los trabajos en
este plan se han basado en la generación, el transporte, la distribución, y operación y el control del sistema. Acerca de este último punto,
aseguró que “es uno de los ámbitos
más importantes, dado que desde
ahí se gestiona todo el sistema de
electricidad”.
En cuanto al PES del Gas, “el principal objetivo es que se garantice la
continuidad del servicio, por eso se
ha determinado la obligatoriedad de
la asistencia mínima del suministro
durante 20 días y la diversificación
para optar y hacer llegar el gas a
todo el territorio nacional”, aseguró el
representante del CNPIC. Uno de los
principales aspectos que destacó en
torno a esta fuente de energía es la
enorme dependencia de España respecto al extranjero. Por ello subraya
la importancia del almacenamiento,
especialmente el subterráneo, y el
proceso de regasificación.
En tercer lugar, el PES del Petróleo pone énfasis igualmente en el suministro y el almacenamiento por la
dependencia española del exterior.
Los depósitos y reservas de petróleo
“tienen que estar en todo momento
disponibles para el Estado”, advirtió Carabias, por si se repiten casos
como la Guerra del Golfo en el que
el país tuvo que recurrir a ellas. También destacó la criticidad de la descarga de los buques en las bocanas
de los puertos españoles.
El PES Nuclear se ha dividido en
dos subsectores, el nuclear y el radiológico. El primero está enfocado a la protección de los ciudadanos ante la posibilidad de emisiones contaminantes o la extracción
y fabricación de elementos combustibles procedentes del uranio.
Igualmente, una de las amenazas
identificadas será la utilización de
materiales radiactivos para la comisión de atentados terroristas. En
cuanto al subsector radiológico, Carabias indicó que se refiere a las instalaciones que albergan fuentes de
categoría 1, en las que se ha identificado la posibilidad de sustracciones
como principal vulnerabilidad.
El jefe del Servicio de Seguridad
Física del CNPIC finalizó su intervención con el quinto PES, el Financiero, que se ha dividido en cuatro ámbitos: servicios y sistemas de
pago, crédito y liquidez, ahorro e inversión y seguros. Entre las vulnerabilidades identificadas, relacionada
con el primero de estos ámbitos, se
encuentra el fallo del sistema de pagos al por menor, que “podría producir efectos en la economía real y
tener repercusión en la confianza de
los ciudadanos”.
Nueva ley
La nueva Ley de Seguridad Privada
(5/2014) ha incluido a la “seguridad
informática” como una “actividad
compatible” de este sector. Esto ha
suscitado opiniones de todo tipo
respecto a al alcance de la ley en
torno a la protección de las tecnologías de la información y las comunicaciones. Antonio Ramos, presidente de ISACA Madrid, analizó
los principales puntos de la nueva
norma que afectan a la seguridad
de la información y formuló algunas
propuestas de cara al nuevo Reglamento de Seguridad Privada, que
afectará también a empresas tecnológicas y organizaciones usuarias de servicios y soluciones de
este tipo.
El primer artículo en cuestión fue
el 6.6 que afecta “a las empresas,
sean o no de seguridad privada, que
se dediquen a las actividades de seguridad informática, entendida como
el conjunto de medidas encaminadas […] para garantizar la calidad de
los servicios que presten”. El ponente
se preguntó a qué servicios se refiere este precepto, ya que, para él,
en este caso, en el entorno físico y el
lógico “lo único que cambian son las
herramientas”.
Como propuesta para garantizar la
calidad de las medidas de seguridad
informática, Ramos planteó la verificación por parte de terceros del sector privado. “Hasta ahora tenemos un
escenario en el que la verificación de
las medidas la hace la propia Administración. Pero si hay un sector [privado] que se dedica a ello, ¿por qué
no les confiamos que hagan auditorías?”, expresó.
Por otro lado, indicó que, aunque
la ley impone medidas a los proveedores de seguridad informática,
red seguridad
septiembre 2014
19
especial seg2
Antonio Ramos, presidente de ISACA
Madrid.
habría que exigir también este tipo
de protección a los proveedores de
servicios de seguridad tradicional,
como por ejemplo, a los transportes de fondos. “No sigamos separando lo que no es separable, estamos en un mundo tecnificado”, defendió Ramos.
En relación con el mencionado
ar tículo, el presidente de ISACA
Madrid se mostró reacio a la verificación de las medidas y niveles de
seguridad a través de las certificaciones. Él apuesta más por las calificaciones de seguridad que evalúen esas medidas distinguiendo el
tipo de usuario y nivel de riesgo.
Ramón se detuvo también en el
artículo 47.3, que indica que las señales de alarmas deben ser puestas en conocimiento del órgano
competente. Sobre este asunto,
matizó que en el entorno cibernético no existen las alarmas como
tal sino los incidentes. En esa línea se preguntó: “¿Qué se notifica entonces?”, a lo que añadió
otras pregunta: “¿Quién va a venir
cuando yo envíe una alarma de mi
SOC?”.
El ponente propuso que se notifiquen los intentos de entrar en los sistemas como solución al primer problema, y la creación de una “ventanilla única” en la Administración a la que
puedan recurrir los usuarios cuanto
sufren un incidente para la segunda
cuestión. “Luego que sea la Administración la que decida la responsabilidad de hacerse cargo de ello”, añadió.
20
red seguridad
O tro a r tícu l o d e stac ad o pa ra
Ramos es el 52.1, que señala, en
torno a las medidas de seguridad
informática, que “las características, elementos y finalidades de las
medidas de seguridad de cualquier
tipo, quien quiera que los utilice, se
regularán reglamentariamente […],
en cuanto a sus grados y características”. Sobre este precepto advirtió: “como digamos que el control de accesos es una medida de
seguridad informática, toda empresa que tenga usuario y contraseña pasa a estar regulada por la
Ley de Seguridad Privada”, advirtió. De ahí que, desde su punto de
vista, “en función del riesgo, habrá
que adoptar unas medidas de seguridad u otras”.
Ciberseguridad industrial
Antes del cierre de una nueva edición del Seg 2, Javier Larrañeta,
s e c re t a r i o g e n e r a l d e l a Pl at afor ma Te cnológic a Espa ñola de
S e gu r id ad Industr ia l (PESI), exp l i c ó l o s p roye c to s e n l o s q u e
par ticipa su organización. Según
explicó antes, la razón de ser de
la Plataforma es crear “un foro de
colaboración fundamentalmente
privado como órgano consultivo
para la innovación y desarrollo en
la seguridad”, en cuatro áreas de
despliegue: seguridad de procesos e instalaciones, seguridad y
salud en el trabajo, seguridad ambiental y seguridad corporativa de
la empresa.
Larrañeta considera que uno de
los aspectos importantes dentro de
este campo en lo que a I+D se refiere es trabajar de manera “cooperativa”. “La Comisión Europea ha
planteado desde esa perspectiva el
nuevo programa marco Horizonte
20+20 y ha definido un área de trabajo distinta que no existía como
tal, llamada ‘Sociedades Seguras’”,
apuntó.
El se cretar io ge ne ral de PESI
señaló algunos de los proyectos
puestos en marcha en los dos últimos años dentro de Europa, en
los que ha par ticipado la Plataforma, relacionados con la ciberseguridad industrial. Destacó dos
programas sobre la innovación de
los servicios de seguridad (INNOSEC e INSEC), tanto de los ope-
septiembre 2014
Javier Larrañeta, secretario general de
la Plataforma Tecnológica Española de
Seguridad Industrial (PESI).
radores como de las empresas de
seguridad, que “se han promovido
desde España”.
Asimismo, puso el acento en el
trabajo de los laboratorios INGRID,
pertenecientes a Tecnalia, que son
“los más avanzados de Europa” y “el
segundo del mundo en ciberseguridad en Smart grid y Smart meters”.
También mencionó la creación del
Centro de Ciberseguridad Indrustrial
(CCI) y el Proyecto PSOPHIA “sobre
el factor humano de la seguridad de
los operadores de infraestructuras
críticas”.
Para finalizar, Larrañeta trasladó
el interés de la PESI en que haya
más representantes españoles en
el grupo de trabajo sobre seguridad integral creado en el entorno
de la Unión Europea, que está liderado por España. Invitó a los
asistentes a “marcar las pautas
y desarrollar proyectos con otros
socios europeos en temas de innovación y desarrollo tecnológico
en el ámbito de la seguridad” a
través de la participación en ese
foro.
No hubo tiempo para más en el
VI Encuentro de la Seguridad Integral, que abordó la protección de
las organizaciones desde diferentes perspectivas. Todas ellas con
una palabra que cada día está cobrando más importancia para las
organizaciones, “resiliencia”, sin la
que la seguridad no cobraría todo
su sentido.
resiliencia
especial seg2
INTERVENCIÓN FIRMAS PATROCINADORAS
Resiliencia y ciberseguridad
Juan Antonio Gómez Bule, presidente del Consejo Asesor de S21sec, expuso su
particular visión del término de moda en el mundo de la seguridad y, en relación con
el ciberespacio, alertó de que va más allá de lo tecnológico.
Para Juan Antonio Gómez Bule,
presidente del Consejo Asesor de
S21sec, el término resiliencia es comparable a la expresión ancestral “si
caes siete veces, levántate ocho”. O,
interpretando cierto refrán japonés,
por muchas veces que te caigas,
levántate y nunca te rindas.
Gómez Bule alertó de la necesidad de generar “una sociedad
resiliente, con valores, que tenga
capacidad de prevención, de reacción, de poder identificar dónde
está y hacia dónde va. Y eso no
es excluyente de las personas, las
empresas o los estados. Es una
forma de pensamiento y de estar en
el mundo. Resiliente es ser capaz
de identificar los riesgos, qué nos
sucede, y de pilotar el destino”.
Una vez expuesta su particular visión de la resiliencia, alabó
la Estrategia de Ciberseguridad
Nacional como “elemento vertebrador”, si bien advirtió que la ciberseguridad va más allá de lo tecnológico: “si nos ocupamos sólo de la
tecnología, eliminaremos una determinada capacidad de acción”.
22
red seguridad
Al hilo de esta argumentación, el
representante de S21sec diseccionó
lo que él denomina “elasticidad de
pensamiento”, esencial para gestionar las transformaciones permanentes que se producen en un entorno
que precisa “cambios, resistencia y,
sobre todo, recuperación. Tenemos
que ser capaces de realizar un diagnóstico concreto y claro. Y además,
tener la capacidad de prevenir, de
hacer prospectiva. Eso es elastici-
septiembre 2014
dad de pensamiento, esencial para
poder abordar las evangelizaciones
que hemos de desarrollar en los
segmentos de los procesos de convergencia”.
Como ejemplo práctico, teniendo en cuenta dónde se celebraba
el encuentro, Juan Antonio Gómez
Bule se refirió a Gas Natural, compañía cuyas instalaciones, por su
especialidad, pueden considerarse
infraestructuras críticas. “La geopolítica y la ciberseguridad implican que
debemos de ser capaces de identificar cómo la seguridad se convierte
en un elemento fundamental. No hay
pozos petrolíferos en Berna ni en
Zúrich. Normalmente, se encuentran
en enclaves más complicados. Por
eso, es necesario disponer de un
concepto de aseguramiento global
que permita la continuidad del negocio, tener una conciencia de la seguridad y de la gestión”.
A modo de conclusión, Gómez
Bule comentó que “la ciberdefensa
no funciona si no hay un elemento
de análisis. El pensamiento es la
mejor herramienta, un instrumento
sustentado por la tecnología. Pero
no es un fin, sino un medio. Hemos
de afrontar riegos y amenazas.
¿Quién está detrás de ellos? ¿Lo
sabemos? ¿Nos interesa? ¿Somos
capaces de disuadir? ¿La proporcionalidad de la respuesta es la
adecuada? Todos esos elementos
que ocupaban un pensamiento militar, tradicional, se han traducido en
otro global”.
Retomando el inicio de su intervención, el presidente del Consejo
Asesor de S21sec matizó: “la resiliencia es la capacidad de recuperarte. Pero tienes que identificar qué
es lo que te puede llegar a hacer
daño. Y si caes siete veces, levantarte ocho”.
resiliencia
especial seg2
“Hay que añadir inteligencia a la
defensa”
La ponencia de Ricardo Cañizares, director de Consultoría de Eulen Seguridad, titulada
“De la prevención a la anticipación”, abordó la necesidad de reducir los tiempos de
respuesta ante los ataques y de aplicar inteligencia para anticiparse a ellos, incluso
antes de que se produzcan.
Desde sus orígenes, Eulen Seguridad
siempre ha tratado de convertirse en
un aliado fiel de las empresas. Para
ello ha tenido que adaptarse a las
circunstancias y necesidades de las
organizaciones en materia de protección. Así lo puso de manifiesto Ricardo
Cañizares, director de Consultoría de
Eulen Seguridad, durante su intervención, en la que expuso un problema
que, a su juicio, se plantea actualmente, el de los tiempos. “En el centro de
todo se sitúa el activo que hay que
proteger y en torno a él se articulan
las líneas de defensa con diferentes
grados de seguridad”, explicó. En un
momento determinado (tiempo cero)
comienza el ataque. En el tiempo uno
atraviesa la primera línea, en el tiempo
dos, la segunda, y así sucesivamente. El atacante sabe perfectamente
lo que necesita para dar cada paso
y conseguirlo. En cambio, continúa,
“el defensor se encuentra en reposo
y hasta que no le llega el aviso de
que se ha detectado una intrusión,
no pone sus medios en alerta. De tal
forma que cuando el defensor llega a
la primera línea a ver qué ha pasado, el
atacante ya se ha ido”, aseguró. Ahí es
donde radica el problema, puesto que
el tiempo de respuesta del defensor
ha de ser menor que el que necesita
el atacante. “Lo que tiene que hacer
el defensor es disminuir los tiempos
de respuesta y, consecuentemente,
aumentar los del atacante”, afirmó.
Esa forma de actuar es la que se
viene haciendo habitualmente tanto
en el mundo físico (levantando más
muros, más controles y prácticas)
como en el ciberespacio (invirtiendo
más en TI y en personal). Sin embargo, para Cañizares esto no está resul-
resiliencia
“Es preciso conocer dónde está el ataque para
pararlo antes de que entre en la primera línea
de defensa”
tando eficaz, porque se siguen produciendo ataques. “De ahí la importancia
de la resiliencia, nuestra capacidad de
aguantar los golpes y volver a levantarnos, aunque siempre vamos a remolque de los malos”, comentó.
Por eso hay que buscar otras soluciones, y qué mejor que comprobar
lo que se ha hecho en el pasado para
adaptarlo al presente. “Es preciso
conocer dónde está el ataque para
pararlo antes de que entre en la primera línea de defensa”. Y eso se
consigue utilizando la inteligencia,
entendiendo ésta como “el producto
obtenido tras aplicar información y
técnicas de análisis de forma que
resulte útil al defensor a la hora de
tomar sus decisiones”. En otras pala-
bras, es imprescindible recopilar
mucha información de diferentes
tipos de fuentes para analizarlas y
explotarlas. Y en esto precisamente
es en lo que lleva trabajando Eulen
Seguridad durante los últimos años,
porque ya no es suficiente con la
prevención, con la que “siempre se
irá tarde”. Debe haber un tiempo de
anticipación que permita reaccionar,
y “eso se consigue aplicando la inteligencia”, añadió. De hecho, para
Cañizares es fundamental que las
empresas no sólo inviertan en personas, tecnologías y procedimientos;
sino también en inteligencia, porque
“va a proporcionar el tiempo de anticipación que no va a dar ningún otro
sistema”, finalizó.
red seguridad
septiembre 2014
23
especial seg2
Contexto y necesidades de la
ciberseguridad en la industria
Javier Osuna, jefe de la División de Seguridad y Procesos de GMV, dedicó su ponencia
a poner de manifiesto los retos y necesidades de seguridad que tienen por delante los
entornos críticos e industriales en el mundo cibernético.
Una de las bases de la seguridad
nacional en el entorno cibernético es
la protección de los entornos críticos e
industriales. Aunque hasta hace unos
años no se insistía de manera tan
decidida como ahora en asegurar las
tecnologías de información de estas
instalaciones o servicios, lo cierto es
que han estado en el punto de mira
desde hace tiempo. La resiliencia en
estos espacios es hoy por hoy una
prioridad, una necesidad obligada
por la importancia que tienen para el
desarrollo de la sociedad.
Javier Osuna, jefe de División de
Seguridad y Procesos de GMV, abordó este tema durante el encuentro
equiparando resiliencia a continuidad
del negocio. “Tradicionalmente, resiliencia ha sido igual a disponibilidad y
disponibilidad ha sido igual a respaldo”, afirmó.
Desde su punto de vista, a lo largo
de las dos últimas décadas han sucedido “cosas que han marcado la diferencia” en lo concerniente a la continuidad de negocio de las organizaciones. El primer ejemplo de ello apareció
con el llamado Efecto 2000, pero
después se han sucedido otros como
el 11 de septiembre, la aparición de
los “gusanos precursores” Slammer
y Mydoom, el ataque cibernético a
Estonia y así hasta llegar a la reunión
del G20 en la que Estados Unidos
espió a sus socios.
Para Osuna, el entorno de las
amenazas y las vulnerabilidades se
caracterizan hoy en día por la práctica desaparición de los perímetros, la
profesionalización e industrialización
“tanto de los buenos como de los
malos”, la sofisticación de los ataques,
la mundialización, la externalización
de los servicios, la crisis, la guerra de
patentes, el espionaje o la diferencia
24
red seguridad
de legislaciones; pero advirtió de que
“lo peor está por llegar”.
De ahí la importancia de contar con
una industria preparada para hacer
frente a los nuevos retos a su seguridad. Según el representante de GMV,
estos entornos “han estado históricamente aislados del exterior”, “tremendamente procedimentados”, cuentan
con sistemas de monitorización funcional avanzada y son capaces de
hacer valoraciones de impacto precisas. Pero, sin embargo, son estáticos y
obsoletos en muchos casos, y cuentan
con un exceso de permisos.
Los retos en los entornos industriales
pasan por la “conexión al cibermundo”,
ya que los sistemas en entornos industriales son estáticos “frente a algo que
va a un ritmo vertiginoso”, a lo que se
suma “una mentalidad diferente” en
los entornos industriales, donde sus
responsables son más reacios al cambio, o “la utilización de soluciones para
sistemas propietarios heterogéneos”.
Osuna opina que frente a los desafíos que tienen por delante los entornos
críticos e industriales sería “interesantísimo aplicar la experiencia de sectores
septiembre 2014
que están muchísimo más maduros”.
Ejemplos son el de la banca o las
telecomunicaciones, que “están muy
avanzados en seguridad”. Para el jefe
de División de Seguridad y Procesos
de GMV, también es importante “la
confiabilidad y el compromiso de los
suministradores y otros compañeros
de viaje”. “Está muy bien llevar servicios
fuera, salen mucho más barato, pero si
luego no puedes confiar…”, observó.
Un tercer aspecto que mencionó en
esta línea es la conveniencia de crear
medidas de seguridad ad hoc.
Antes de despedirse, Osuna concluyó que las amenazas cambian tan
rápido y evolucionan de tal manera
que “los análisis de impacto y de riesgos se quedan obsoletos antes de
acabarlos”. La industria, pero también
el Gobierno e incluso los ciudadanos,
han de “admitir el alcance y la gravedad de lo que está sucediendo”. Cree
que la regulación es positiva, pero la
industria no debe asumirla como un
mero cumplimiento. “Tenemos que
tener un fondo, no limitarnos al hecho
de que te pongan una multa”, mencionó a este respecto.
resiliencia
especial seg2
Anticiparse, la mejor solución
Pablo de la Riva Ferrezuelo, especialista en desarrollo de soluciones de seguridad de
Buguroo, empresa estrechamente vinculada a Deloitte, dio a conocer bugThreats, una
herramienta de búsqueda inteligente y prevención de amenazas en la Red.
A unque el programa del VI
Encuentro de la Seguridad Integral
contemplaba una ponencia matinal
de Fernando Picatoste –bajo el título
de Ciberinteligencia aplicada–, su
intensa agenda le impidió estar presente en el Seg2. La ausencia del
socio de Deloitte –fiel patrocinador
del evento desde sus inicios, tal y
como recordó Ana Borredá a modo
de agradecimiento–, fue cubierta
por Pablo de la Riva Ferrezuelo,
fundador y especialista en desarrollo de soluciones de seguridad de
Buguroo, empresa que atesora una
experiencia de más de una década
en el sector de la ciberseguridad y
estrechamente vinculada a Deloitte.
Sobre la situación actual del ciberespacio, De la Riva explicó que
“se calcula que el 4 por ciento de
Internet es visible; por ejemplo, todo
aquello que aparece cuando se
busca en Google. El 96 por ciento
restante es donde hemos focalizado
los esfuerzos de nuestras investigaciones y herramientas para intentar adelantarnos a posibles fraudes,
robos, atentados…”.
Además, precisó que, según un
reciente estudio, “se estima que el
impacto económico del cibercrimen
a nivel mundial puede llegar a ser de
hasta 500.000 millones de dólares” en
un marco en el que los malos “suelen
estar un paso por delante de quienes
nos dedicamos a combatirlos”. Con
el deseo de lograr este objetivo, en
Buguroo han desarrollado una solución denominada bugThreats, “que
pretende automatizar la recolección,
indexación, análisis, reporte, etc., de
nuevas amenazas en Internet con el
fin de anticiparnos a los riesgos”.
Respecto a los ataques que se
están localizando con dicha solución, el Chief Technology Officer
resiliencia
(CTO) de Buguroo explicó que los
mismos representan un amplio abanico, “desde phising hasta malware,
pasando por robos de credenciales
o datos personales, productos falsificados... Peligros que se comba-
ten gracias a servidores dedicados,
sandboxes, etc. En el caso de estos
últimos, recuperamos hasta 39.000
binarios únicos e intentamos averiguar, en el mismo momento en
que son distribuidos, hacia dónde
se dirigen. Y cada día procesamos
también en torno a cinco millones
de nuevas URLs en la Red, si bien
ello no significa que todas supongan una amenaza”.
Asimismo, el catálogo de productos de Buguroo, empresa de la
que Deloitte es inversor, contempla
bugScout, una herramienta especialmente concebida para automatizar el análisis estático del código
fuente en aplicaciones, y bugBlast,
un multiescáner de vulnerabilidades
en infraestructuras.
Además, la empresa ha diseñado
un programa para ayudar a sus partners a recibir o comercializar formación en cuatro áreas de conocimiento: desarrollo, hacking, forense y
reversing
red seguridad
septiembre 2014
25
actualidad tecnológica
noticias
13ª Encuesta Global
sobre el Fraude 2014
El informe, elaborado por EY, recoge la percepción de
los directivos de grandes compañías de todo el mundo,
entre ellas 50 españolas, sobre cibercrimen, fraude,
corrupción corporativa y procedimientos antifraude.
De los 59 países analizados en la
13ª Encuesta Global sobre el Fraude
2014 de la consultora EY, denominada Overcoming compliance fatigue:
reinforcing the commitment to ethical growth, España ocupa la decimoquinta posición entre los más
preocupados por el cibercrimen. De
hecho, un 58% de los preguntados
considera esta cuestión como un
riesgo considerable o muy elevado.
En lo referido a los principales autores de ciberdelitos que más quebraderos de cabeza generan a los directivos, a la cabeza se sitúan los hackers
o hacktivistas (un 58%), le siguen los
propios empleados o colaboradores
(40%), los ciberdelincuentes procedentes de la competencia (un 38%),
el crimen organizado (16%) y el proveniente de otros estados (4%).
Pero ésta no ha sido la única materia analizada en el documento elaborado por la consultora. En términos
generales, la encuesta refleja que la
percepción de los directivos españoles sobre la generalización del fraude
ha descendido, pasando del 34% al
28% entre 2012 y 2014. Sin embargo, sigue poniendo de manifiesto la
buena aceptación de ciertas prebendas y comportamientos comprometedores para conseguir un negocio.
26
red seguridad
Además, y aunque los directivos
españoles parecen estar cada vez
menos dispuestos a justificar comportamientos poco éticos en sus
empresas, un 36% aceptaría alguna
propuesta de este estilo para ganar
o salvaguardar su negocio. Este porcentaje resulta ser inferior al registrado en el conjunto de los países
analizados, que se sitúa en el 42%.
“Bien sea por las consecuencias
de la crisis, bien sea por una progresiva instauración de una cierta
ética en los negocios, parece que
la preocupación de los ejecutivos
españoles antes la generalización de
las prácticas corruptas se ha relajado en los dos últimos años”, afirma
Ricardo Noreña, socio responsable
de Forensic de EY.
Finalmente, otra de las cuestiones
que en estos últimos años ha perdido
impulso entre las organizaciones es
la instauración de procedimientos y
políticas antifraude y corrupción y de
cumplimiento, incluyendo códigos de
conducta. Hoy por hoy, un 54% de
los consultados las tiene en cuenta
frente al 74% de los sondeados hace
dos años, a la vez que nuestro país
ocupa las últimas posiciones en contar con estas medidas sobre el conjunto de los estados analizados.
septiembre 2014
Crece el uso
profesional de las
redes sociales
El Ministerio de Industria, Energía
y Turismo ha presentado la séptima edición del informe anual
La Sociedad en Red, correspondiente al año 2013, que elabora el Observatorio Nacional
de las Telecomunicaciones y de
la Sociedad de la Información
(ONTSI). Entre las aspectos más
importantes, destaca el incremento en el uso profesional de
las redes sociales por parte de
las empresas, que se ha traducido en una subida de 11,7 puntos porcentuales en el caso de
las pymes y grandes empresas,
y de 17,6 puntos porcentuales
en las microempresas, con un
porcentaje de uso del 29,1% y
del 26,6%, respectivamente.
Asimismo, la banda ancha
móvil también crece de forma
importante por tercer año consecutivo y registra un índice de
penetración entre las organizaciones con conexión a Internet
del 73,6% en pymes y grandes
empresas, y del 56,8% en las
microempresas.
Por otro lado, el documento
hace hincapié en el crecimiento
de tabletas y smartphones en
los hogares y en la población
española. En el primer caso se
ha incrementado en 16,7 puntos porcentuales, con un índice
de penetración del 28,5% en
los hogares; mientras que en el
segundo ha sido de 12,2 puntos
porcentuales y ya alcanza al
53,7% de los individuos.
Sobre la administración electrónica, el informe del ONTSI
destaca que el 98% de los servicios públicos digitales básicos
de la Administración General del
Estado (AGE) son totalmente
accesibles en Internet, de este
modo España supera en 24
puntos porcentuales la media
europea situada en el 74%. Su
usabilidad, asimismo, es del
100%, frente al 76% de media
de la UE27.
Por último, el documento realiza un análisis de las Tecnologías
de la Información en el ámbito
global. En total, el mercado mundial TIC movió 3.479 miles de
millones de euros en 2013, que
se distribuyen de la siguiente
manera: Norteamérica (30,9%),
Asia y Pacífico (29,9%), Europa
(25,1%) y América Latina, África
y Oriente Medio (14,1%).
toda la información de
seguridad TIC
a un clic
apúntate
gratis
http://www.redseguridad.com
:::Información especializada sobre seguridad TIC
:::Accede GRATIS a la revista digital
:::Navegación fácil e intuitiva
:::Servicios GRATUITOS: newsletter, alertas
:::Accede GRATIS a la revista desde tu Tablet y Smartphone
noticias
El Consejo de Ciberseguridad dará
un impulso a la colaboración
Tx. y Ft.: E.G.H.
Cooperación y concienciación. Son
los dos principales ejes del plan de
acción en el que trabaja el Consejo
Nacional de Ciberseguridad para
trasladarlo a las instituciones del
Estado. El plan se centra en potenciar
la colaboración público-privada en
materia de seguridad de la información, la cooperación operativa dentro
de la Administración y la creación de
una “cultura de ciberseguridad” que
se extienda a toda la sociedad.
El director operativo del Consejo
de Seguridad Nacional, Joaquín
Castellón, avanzó estas líneas a largo
plazo sobre las que trabaja el órgano
interministerial en una jornada organizada por la Embajada Británica en
Madrid, el 11 de junio. “Tenemos que
empezar a cambiar ya las estructuras al frente de la ciberseguridad”,
afirmó Castellón en el encuentro,
donde también destacó las iniciativas relacionadas con esta materia
impulsadas por el Gobierno durante 2013. Entre otras, la aprobación
de la Estrategia de Ciberseguridad
Nacional, la constitución del Mando
Conjunto de Ciberdefensa o la creación del CERT conjunto de Inteco y
el CNPIC.
Castellón coincidió en el encuentro con el director de Políticas de
Ciberseguridad
del
Ministerio
Británico de Asuntos Exteriores,
Jamie Saunders, quien también explicó las prioridades del Ejecutivo británico en relación con la ciberseguridad. Éstas son fortalecer la red del
Gobierno y de los “sectores vitales”,
aumentar la protección intelectual y la
formación en esta materia. “La amenaza en Internet sigue aumentando y
el gobierno tiene una estrategia que
sólo se podrá llevar a cabo si tenemos
colaboración con empresas, escuelas
y otros países”, indicó.
Según informó Saunder, el gobierno británico ha invertido 860 millones
de libras (más de 1.000 millones
de euros) en cinco años en el sector privado y en el académico para
28
red seguridad
Joaquín Castellón, director operativo del Consejo de Seguridad Nacional, durante
su intervención en la Embajada Británica.
mejorar la ciberseguridad del país.
Londres ha puesto en marcha proyectos como una plataforma de intercambio de información compuesta
por 400 empresas o un nuevo CERT
nacional.
La jornada organizada por la
Embajada Británica, que llevó por
título “Ciberseguridad en el sector
financiero”, contó también con la participación del embajador británico en
España, Simon Manley, así como los
expertos en la materia Matt Allen,
director del Área de Delitos Financieros
de la Asociación Británica de la
Banca, o Carlos Solé, director del
Instituto Español de Ciberseguridad
del ISMS Forum Spain.
ENISA y Europol firman un acuerdo estratégico
de cooperación contra la ciberdelincuencia
Representantes de ENISA y Europol
suscribieron en junio un acuerdo
estratégico con el objetivo de facilitar
la cooperación y el intercambio de
conocimientos en la lucha contra la
ciberdelincuencia.
El propósito del acuerdo, firmado en la sede de Europol en la
Haya, es mejorar la cooperación
entre Europol, su Centro Europeo
de Ciberdelincuencia (EC3) y ENISA,
con el fin de apoyar a los Estados
miembros y a las instituciones de la
Unión Europea en la prevención y la
lucha contra la ciberdelincuencia. El
acuerdo no cubre el intercambio de
datos personales.
En concreto, la cooperación podrá
consistir en el intercambio de conocimientos y competencias específicos;
la elaboración de informes situacio-
septiembre 2014
nales generales; informes resultantes
de análisis estratégicos y mejores
prácticas; y el refuerzo del desarrollo
de capacidades a través de la formación y la sensibilización, con el fin de
salvaguardar la seguridad de la red y
la información a nivel europeo.
Udo Helmbrecht, director ejecutivo
de ENISA, y Rob Wainwright, director
de Europol, emitieron una declaración
conjunta en la que destacan el "paso
importante" que supone el acuerdo
para luchar "contra los cada vez
más habilidosos ciberdelincuentes,
que están invirtiendo cada vez más
tiempo, más dinero y más medios
humanos en ataques selectivos".
Según indican en su carta, se calcula
que la ciberdelincuencia cuesta a la
economía mundial más de 400.000
millones de dólares anuales.
entrevista
Xabier Mitxelena: "Nuestra ambición
es llegar a ser la mejor empresa del
mundo en ciberseguridad"
Hace un año y medio, Xabier Mitxelena, fundador y director general de S21sec, ya nos
adelantó en estas mismas páginas el comienzo de un proceso de transformación de
la compañía que, precisamente, culmina ahora con la incorporación de SSI Software
and Technology en la estructura accionarial de la organización. En esta entrevista, el
directivo desvela cuáles serán los ejes de esta nueva etapa.
Yo lo resumiría en cuatro puntos
fundamentales: aumentar la cuota de
mercado en España, focalizarnos en
llevar las soluciones tecnológicas de
S21sec y Lookwise a muchos más
países del mundo, lograr la excelen
cia operativa y formar y desarrollar
un gran equipo de expertos en ciber
seguridad. Se necesitan recursos y
nuestra vocación es seguir generan
do la mejor "cantera".
En definitiva, la prioridad de la com
pañía es la creación de una cultura
global de la seguridad, con la ambi
ción de llegar a ser la mejor empresa
del mundo en ciberseguridad. La
entrada de SSI nos ayuda a fortale
cer la compañía en un momento de
mayor madurez del mercado.
Texto: David Marchal
¿Qué significa para S21sec la
entrada de la compañía portuguesa SSI en su accionariado?
SSI Software and Technology forma
parte del grupo SONAE, la mayor
organización económica no financie
ra de Portugal, que cuenta con una
destacada presencia internacional y
con cerca de 40.000 empleados.
Por este motivo, estamos encan
tados de poder contar con ellos
como socios estratégicos, porque
nos va a permitir tener una estructura
sólida para seguir creciendo, mien
tras potenciamos nuestro modelo de
internacionalización y consolidamos
nuestro liderazgo en el mundo de la
ciberseguridad.
En concreto, ¿cómo va a mejorar
esta incorporación su apuesta
por la ciberseguridad?
S21sec cuenta con una larga tra
yectoria como especialista en ciber
seguridad. Por tanto, en esta nueva
etapa continuaremos apostando por
la innovación tecnológica en el desa
rrollo proactivo de novedosas solu
ciones para hacer frente a las nuevas
amenazas y desafíos que se plan
teen. Asimismo, vamos a potenciar
la formación de expertos en ciberse
guridad, porque queremos continuar
creando cantera. Es más, la entrada
de SSI nos permitirá apostar fuerte
mente por el know-how, el expertise
y los profesionales especializados.
Confiamos plenamente en el equipo
de personas que forman parte de
S21sec y queremos potenciar las
diferentes áreas de la compañía con
profesionales que aporten valor y
experiencia.
¿Podría detallar con qué equipo
cuentan ahora mismo?
Tenemos el mayor grupo de profe
sionales de seguridad de España,
con más de 200 especialistas que
mantienen una atención muy cer
cana con nuestros clientes a través
de las oficinas de España, México y
Brasil. Es más, nuestra plantilla de
expertos certificados opera con el
90% del sector financiero, el 75% de
las grandes empresas que cotizan
en el Ibex35, el 20% de las compa
ñías que cotizan en el Dow Jones
EURO STOXX 50 y el 50% de las
comunidades autónomas. De he
cho, nos gusta decir que la base de
la innovación y del modelo empresa
rial de la compañía son las personas
con energía, pasión e ilusión, que es
lo que tenemos.
Y respecto al nuevo equipo directivo, ¿cuál será su labor a partir
de ahora?
Sin embargo, y a pesar de que
se trata de un mercado maduro,
como comenta, la compañía ha
sabido situarse en posiciones de
liderazgo en todo el mundo...
Así es. Trabajamos para las principa
les compañías españolas de sectores
como el financiero, las telecomunica
ciones, la sanidad, el comercio elec
trónico, el mercado aeroespacial o la
defensa y las fuerzas de seguridad
del Estado. No sólo trabajamos con
compañías cotizadas, sino que en
estos momentos estamos dando ser
vicio en más de 26 países de forma
satisfactoria. Asimismo, seguiremos
apostando por la investigación y el
desarrollo. Prueba de ello es que en
su momento creamos el Primer
Centro Europeo de I+D+i especializa
do en Ciberseguridad, y nos converti
mos en CERT con el objetivo de dar
valor añadido desde la Inteligencia de
Seguridad y proteger a nuestros
clientes las 24 horas del día.
red seguridad
septiembre 2014
29
noticias
El Sistema PIC español, “uno de
los más avanzados del mundo”
El ministro del Interior inauguró las jornadas en Santander. En la imagen, junto al
rector de la UIMP y el director del CNPIC.
El ministro del Interior, Jorge
Fernández Díaz, inauguró en julio
las Jornadas sobre Protección de
Infraestructuras Críticas, en el marco
de los cursos avanzados de verano de la Universidad Internacional
Menéndez Pelayo (UIMP), que se
celebraron en Santander.
Durante su intervención, Fernández
Díaz destacó que el Sistema de
Protección de Infraestructuras Críticas
de España “es uno de los más avanzados del mundo” y “un elemento
puntero de nuestra seguridad que ha
asumido la responsabilidad de desarrollar medidas preventivas y reactivas ante incidencias de seguridad”.
Asimismo, afirmó que la protección
de infraestructuras críticas “constituye
una responsabilidad de primer orden”.
Fernández Díaz subrayó también
que los riesgos que pueden amenazar
la integridad de las infraestructuras
críticas, además de los factores naturales, pueden deberse a situaciones
de carácter accidental o a errores y a
fallos humanos; “pero también, y esa
es la hipótesis más peligrosa, a acciones deliberadas causadas por ataques
físicos o por ataques cibernéticos”.
Sistema preventivo
El pasado 30 de junio se constituyó la
Comisión Nacional para la Protección
de las Infraestructuras Críticas, que
30
red seguridad
aglutina a todos los departamentos,
organismos y administraciones con
responsabilidades en la materia. Este
órgano celebró su primera sesión
con la aprobación de cinco Planes
Estratégicos Sectoriales (PES) –electricidad, gas, petróleo, nuclear y financiero– y la designación de 37 operadores
para la gestión de las 150 infraestructu-
ras críticas que hay en España. En este
sentido, durante el marco de la jornada,
el Centro Nacional para la Protección
de las Infraestructuras Críticas (CNPIC)
dio a conocer la designación de los
siguientes operadores críticos:
- PES financiero: se han designado 10 operadores críticos y 24
infraestructuras críticas de esos
operadores.
- PES petrolero: se han designado
cuatro operadores críticos y 15
infraestructuras críticas.
- PES nuclear: estará formado por
cinco operadores críticos.
- PES del gas: se han designado
cinco operadores críticos y 31
infraestructuras críticas.
- PES electricidad: designados 17
operadores críticos y 67 infraestructuras críticas.
A los ya mencionados PES, le seguirán “a partir de septiembre, los que se
ocupen del transporte (aéreo, marítimo,
ferroviario y terrestre), de las tecnologías de la información y comunicaciones y el agua”, adelantó el ministro del
Interior durante la jornada.
Fundación Borredá, galardonada con el premio
Dintel al ‘networking’ profesional y directivo
La Fundación Dintel celebró, el pasado 24 de junio, la “Gran Fiesta Dintel
2014”, que este año tuvo lugar en
el auditorio del Hotel Meliá Castilla
de Madrid. En el encuentro, Dintel
aprovechó la ocasión para celebrar el
XV aniversario de su constitución y conceder sus Premios Dintel 2014 en sus
diferentes categorías. Una de ellas es la
distinción de “Caballeros/Damas Gran
Placa Dintel” que la asociación concede
a altos cargos del sector público y privado, que han participado activamente
en estos últimos años en las actividades
fundacionales, como ha sido Cristina
Cifuentes, delegada del Gobierno en
Madrid, entre otras personalidades.
Otro de los premios que entregó Dintel
fue a “La tenacidad de la persona” y
“Al networking profesional y directivo”,
siendo una de las galardonadas de esta
última categoría la Fundación Borredá,
que recogió el premio de la mano de su
septiembre 20104
presidenta, Ana Borredá (en la imagen
con Jesús Rivero, predidente ejecutivo
de la Fundación Dintel).
En el transcurso de la Gran Fiesta
Dintel, la fundación también dio a
conocer su nuevo proyecto educativo,
“Red CEDE”, que consiste en el establecimiento de una “Red de Centros
Universidad-Dintel”, con formación
presencial y online en diferentes universidades para fomentar la formación
y el emprendimiento.
noticias
Tercer Congreso Iberoamericano
de Ciberseguridad Industrial
Con el objetivo de intercambiar conocimientos y experiencias en el ámbito de la
ciberseguridad industrial, los próximos 7 y 8 de octubre se celebrará en Madrid la
tercera edición de este congreso que ya se ha convertido en una referencia en el sector.
Tras el éxito de las dos primeras convocatorias del Congreso
Iberoamericano de Ciberseguridad
Industrial, celebradas en Madrid los
días 2 y 3 de octubre de 2013, y en
Bogotá los pasados 27 y 28 de mayo
de 2014, el Centro de Ciberseguridad
Industrial (CCI) organiza ahora la tercera edición. Concretamente, este
evento, que ya se ha convertido en
una referencia para el sector y un
punto de intercambio de conocimiento y experiencias, se celebrará los
próximos 7 y 8 de octubre en el hotel
Meliá Avenida de América de Madrid.
En las jornadas estarán representados todos los actores del mercado: desde fabricantes industriales y
de ciberseguridad, hasta ingenierías,
consultoras, integradores o usuarios.
Además, contará con la presencia de ponentes internacionales que
repasarán las experiencias desarrolladas en todo el mundo, desde Estados
Unidos y Latinoamérica hasta Europa,
Oriente Medio o Asia. Por ejemplo,
Richard Stiennon, analista Jefe de
Investigación de IT-Harvest, hablará
sobre la posibilidad de que cualquier
empresa sea víctima de un cibera-
taque; Joel Langill, fundador de la
web SCADAhacker.com, tratará el
tema de las ciberdefensas aplicadas
a los sistemas de control industrial;
Marc Blackmer, director de Servicios
de Seguridad Industrial de CiscoSourcefire, abordará cómo se puede
defender el 'Internet de las cosas'; o
Colin Blou, vicepresidente de Ventas
para Estados Unidos y la UE de
Warterfall, analizará las vulnerabilidades de los sistemas industriales.
En el Congreso también intervendrán destacados directivos nacionales, tanto del sector privado como
público. En este sentido, participará
Miguel Rego, director general de
INTECO; Pedro Sánchez, director
general del CNPIC; o Samuel Linares,
director del Centro de Ciberseguridad
Industrial.
En total, tomarán la palabra más
de una veintena de profesionales del
sector. De hecho, desde el CCI aseguran que el Congreso supone "la
mejor oportunidad para conocer el
estado del arte de esta disciplina de
la mano de los líderes internacionales
en cada uno de sus ámbitos", y sirve
para "establecer valiosas relaciones
que favorezcan la colaboración en
distintos ámbitos a escala nacional e
internacional".
Además, este evento tiene la peculiaridad de que no empieza y acaba
con la celebración de las ponencias.
La organización ha preparado una
serie de "talleres pre y post congreso"
para que pueda asistir toda aquella
persona interesada. Así, por ejemplo,
el día 6 de octubre habrá dos sesiones: Aplicando ISA99 para proteger
las Infraestructuras Industriales, du
rante la mañana, y Más allá del cortafuegos del sistema de control: daños
físicos y explotación de procesos, du
rante la tarde. El formato se repetirá el
día 9 de octubre, esta vez con dos
sesiones de mañana y tarde. Las primeras son: La aproximación efectiva
a la protección de infraestructuras
críticas de gas y petróleo contra ciberamenazas emergentes e Introducción
a los sistemas de control industrial
para profesionales TIC. Y las de la
tarde son: Seguridad en Smart Grid.
Estado y Avances Internacionales e
Introducción a la Ciberseguridad para
profesionales de la Automatización e
Instrumentación.
Sesiones destacadas
Día 7 de octubre:
9:00-9:15.- Bienvenida y presentación. Samuel Linares, director
del Centro de Ciberseguridad Industrial.
9:15-10:00.- ¿Que no eres un objetivo? Déjame demostrarte
por qué te equivocas. Richard Stiennon, analista jefe de investigación de IT-Harvest.
11:30-12:00.- Los comienzos de la conciencia compartida de la
situación. Chris Blask, CEO de ICS Cybersecurity.
12.30-13.00.- Defendiendo la Internet de las Cosas. Marc
Blackmer, director de Servicios de Seguridad Industrial de
Cisco-Sourcefire.
13:00-13:45.- Mesa redonda: Evolución de la Ciberseguridad
Industrial.
16:35-17:05.- La protección de infraestructuras críticas hoy.
Andrey Nikishin, director de Seguridad Industrial de Kaspersky.
17:05-17:35.- Elige tu propia aventura: La carrera interminable.
Claudio Caracciolo, CSA de Eleven Paths.
17:35-18.20.- Mesa redonda. Amenazas y vulnerabilidades en
el mundo industrial.
Día 8 de octubre:
9:00-9:30.- La aproximación práctica a la protección de infraestructuras críticas de las ciberamenazas emergentes. Ayman
Al-Issa, CTA del CCI en Oriente Medio y Asia.
11:40-12:05.- Abordando la ciberseguridad industrial en
Latinoamérica. Belisario Contreras, director del Programa de
Ciberseguridad en el Secretariado del Comité Interamericano
contra el Terrorismo de la Organización de Estados Americanos.
12:05-12:30.- El CERT de Seguridad e Industria y la protección
de los sistemas de control industrial. Miguel Rego, director de
INTECO.
12.30-12.55.- La protección de infraetructuras críticas y la
ciberseguridad industrial en España. Fernando Sánchez, director
del CNPIC.
17:10-17:50.- Mesa redonda: Vulnerabilidades en el mundo
industrial y tecnologías de protección.
17:50-18.30.- Mesa redonda. Las organizaciones industriales
opinan: ¿Y ahora qué? (Conclusiones, lecciones aprendidas y
siguientes pasos).
red seguridad
septiembre 2014
31
opinión
Trabajando de forma optimista y coordinada
hacia un bien común llamado ciberseguridad
Marcos Gómez Hidalgo
Subdirector de Operaciones de INTECO. Miembro del
Permanent Stakeholders Group de la ENISA
Si 2013 fue un año de expectativas,
2014 está siendo un año de confirmaciones. Hace tan solo un poco más
de un año, nos enfrentábamos a una
serie de importantes desafíos y retos.
Ante nosotros aparecía en el horizonte un nuevo plan del Gobierno en
varios frentes: el diseño y elaboración
de un Plan Nacional de Seguridad,
del que iba a colgar un plan asociado de ciberseguridad; una renovación
de la estrategia de confianza en la
Sociedad de la Información, a través
de la Agenda Digital de España y
su Plan de Confianza en el Ámbito
Digital; una fuerte revisión de la seguridad cibernética en el ámbito de las
infraestructuras críticas o de la lucha
contra la cibercriminalidad y el ciberterrorismo; la armonización de todos los
agentes responsables y competentes;
la alineación de estos planes y actividades con sus homólogas europeas,
tales como la Agenda Digital Europea,
la Directiva NIS o el Horizonte 2020.
Ante todo ello y en un año en el que la
crisis económica golpeaba duramente
nuestro país, podíamos ser pesimistas
y escondernos, o ser optimistas y aplicar nuevos esfuerzos a estos retos tan
complicados.
Desde la visión un poco más abierta
de éste que les escribe, con la suerte de participar como experto en el
Permanent Stakeholders Group de la
32
red seguridad
ENISA, o de tener también la visión
cercana de la Plataforma NIS que la
Comisión Europea creó a finales de
2013, o de disponer de un contacto cercano y aventajado con países
punteros como EEUU, Japón, Gran
Bretaña o Alemania, les puedo expresar que hay que seguir siendo optimistas y aplicar aún con más decisión
esfuerzos e ilusión. En resumen, lo trazado y desarrollado hasta ahora en el
último año y medio debe ser una razón
de orgullo, porque estos pasos desafiantes se han ido dando, con peor o
mejor suerte, con menor o mayor éxito,
pero, en definitiva, se han dado. Todos
los agentes, de una u otra manera, han
puesto de su parte para romper con un
estancamiento que nos hubiera dejado
en mal lugar en el mapa internacional
de la seguridad.
Sólo hay que leer detenidamente la
Agenda Digital para España, promovida por el Ministerio de Industria, Energía
y Turismo con el apoyo del Ministerio
de Hacienda y Administraciones
Públicas; la Estrategia de Seguridad
Nacional, con su Estrategia de
Ciberseguridad Nacional, impulsada
desde el Departamento de Seguridad
Nacional de Presidencia de Gobierno;
el diseño y elaboración de la nueva
normativa y legislación en el ámbito
de la protección de infraestructuras
críticas, promovida por el CNPIC del
septiembre 2014
Ministerio del Interior; o la revisión de
la legislación vigente en materia de
cibercrimen y ciberterrorismo con la
adhesión de España, impulsada por
el Ministerio del Interior y sus diversas
unidades de lucha contra la ciberdelincuencia. En todos estos documentos estratégicos, normativos o situacionales se encuentran acciones ya
emprendidas, algunas aún incipientes
y otras ya en pleno desarrollo, como
el Plan de Confianza en el Ámbito
Digital, vigente desde 2013 a 2015 y
con un presupuesto de más de 59
millones de euros, en el que también
tengo la suerte de participar a través
de una de las entidades de referencia
del Ministerio de Industria, Energía y
Turismo, INTECO.
Es por todo ello, como citaba,
que debemos estar orgullosos, ser
optimistas y redoblar esfuerzos para
seguir poniéndonos a la altura de
nuestros países de referencia, e
intentar ser punteros en aquello que
podamos, aprovechando la coyuntura de que en este mundo de la ciberseguridad aún caben muchos nichos
que cubrir. También que año tras año
aparecen nuevas amenazas, riesgos,
agentes, oportunidades, y que hace
tan solo dos o tres años hablábamos de seguridad de la información,
seguridad informática, seguridad
lógica, etc., y ahora quizás podamos
especial
opinión
Debemos estar orgullosos, ser optimistas y
redoblar esfuerzos para seguir poniéndonos en
ciberseguridad a la altura de nuestros países de
referencia
englobarlo todo en ciberseguridad,
con el permiso de la ciberesiliencia,
que aún andamos por terminar de
acuñar, entender y aplicar.
Seguir creciendo
Estos retos y desafíos nos plantean
muchas cuestiones. Por un lado, qué
ocurre en el campo de las amenazas, qué está por llegar y qué de lo
que está presente puede condicionar
pasos futuros. Entre las amenazas
podemos destacar desde 2010 las
que se focalizan en el importante
ámbito de las infraestructuras críticas
y que según muchos expertos ha
significado un cambio de paradigma,
siendo incorporadas como elemento
de riesgo importantísimo en las estrategias y acciones gubernamentales
de las principales potencias. Aunque
seguimos hablando de ingeniería
social, de ciberestafas o de troyanos,
convivimos ya con riesgos que curiosamente llevaban con nosotros en el
silencio sigiloso de su actividad oculta: las amenazas persistentes avanzadas (APT), o riesgos y ataques más
socializados y conocidos como el
hacktivismo social, o el más preocupante ciberespionaje, con blancos
gubernamentales o empresariales, o
el más terrorífico: la ciberguerra.
Las nuevas tendencias tecnológicas,
como el uso cada vez más generalizado del cloud, o el bring your own
technology (con sus diferentes variantes BYOD, BYOId, etc.), el Internet de
las cosas (IoT) y las smartcities, y su
aplicación a todos los sectores, hacen
que tanto gobiernos, como empresas
y ciudadanos se estén replanteando
todo de nuevo, pero afortunadamente
partiendo de una base más o menos
adquirida de seguridad sobre la que
debemos seguir creciendo y construyendo. Además, ciertas tecnologías, no
solo las móviles, están adquiriendo una
fuerza muy importante en los ámbitos
de gestión y tecnológico, como son la
especial
ciberinteligencia, con
las disciplinas de la
correlación o el uso
de big data. Saber
más o tener más
información y saber
más rápido parecen
hoy las prioridades
más acuciantes de
todos los que vivimos
en y de la Red. El
viejo lema de “la información es poder” y
que Julian Assange
manejó como un concepto global en una
época más global, ha
vuelto con fuerza a
nuestras vidas. Otros
han seguido su camino de distinta
forma, como Snowden o Manning,
como más pruebas de este cambio
de forma de actuar que, unido a casos
más empresariales (o no) de ciberespionaje, está dando lugar a constantes
noticiones o nuevas leyendas urbanas
en la Red.
Coordinar e investigar
Ante todo este universo, o mejor dicho,
ante toda esta cosmología del ciberuniverso o ciberespacio (primera cita de
este término en el artículo), unos nos
quedamos atónitos, otros pasmados,
otros semiparalizados y otros interesados en conocer más, en seguir investigando qué hay detrás, qué podemos
hacer y cómo podemos coordinarnos
mejor. Y quizás la clave vuelve a ser
la misma, coordinarnos e investigar.
Coordinarnos es una tarea dura pero
factible después de ver el esfuerzo
que hay detrás de tantos agentes en
el Consejo de Seguridad Nacional, o
ya, para temas más específicos, en
el acuerdo que suscribieron hace un
año y medio el Ministerio del Interior y
el Ministerio de Industria. Cabe coordinarse mejor en el ámbito públicoprivado y se están empezando a dar
pasos y sentar más bases. Y cabe fortalecer los mecanismos de investigación, para hacer que nuestra industria
y tejido empresarial sean más sólidos
y potentes, tanto en la oferta como en
la demanda. Revisar la forma en que la
Administración puede invertir en dicha
investigación y engrosar la musculatura
y materia gris de las empresas es vital
para hacer que las mismas cubran
de mejor manera y más ágilmente
las necesidades que nos sobrevienen
continuamente. Además es también
crítico disponer de mejores profesionales, con mayor formación y experiencia, y seguir trabajando en itinerarios
dentro de las empresas que potencien
cada vez más las carreras técnicas.
Nos queda también darle una vuelta
de tuerca a saber qué impacto están
teniendo todas nuestras acciones,
medir que esos esfuerzos llegan a
buen puerto y que lo hacen con el nivel
óptimo en tiempo y recursos.
Por todo ello, me reafirmo y creo
que el camino es seguir trabajando
de forma optimista, de forma aplicada, pero cada vez más coordinados
y dirigidos hacia un bien común, el
bien de la ciberseguridad, que tantas
expectativas genera y tantas ilusiones puede cubrir.
red seguridad
septiembre 2014
33
ciberciberseguridad internacional
opinión
Estrategias nacionales de ciberseguridad
en el mundo
Carles Solé
Pascual
Director del Spanish Cyber Security
Institute de ISMS Forum
Adolfo Hernández
Miembro del Spanish Cyber Security
Institute de ISMS Forum
Subdirector y cofundador de THIBER
L a creciente conectividad y el
uso masivo del ciberespacio, un
nuevo entorno totalmente transversal e imbricado en todos los
estamentos de una sociedad
moderna, es una constatación
más de la necesidad de fijar una
base común que pueda hacer
frente a un ataque o una acción
delictiva
sobre
ciudadanos,
empresas o estados, perpetrada
parcialmente o en su totalidad por
medios digitales.
Si bien es cierto que este nuevo
entorno conlleva ciertas dificultades inherentes jurídico-técnicas,
la aparente despreocupación política internacional no puede obviar
esta realidad que aglutina en la
actualidad la variedad delictiva de
mayor crecimiento: el cibercrimen,
habiéndose datado el volumen
total de las pérdidas asociadas
al mismo en 87.000 millones de
euros en el mundo en 2013.
Este hecho ejemplifica a la perfección la vulnerabilidad sistémica
del ciberespacio: el crecimiento,
ubicuidad y grado de penetración
de las nuevas tecnologías supera
con creces la velocidad de los
procesos legislativos existentes.
Pero el problema se ha multiplicado y se ha establecido como un
riesgo real que trasciende el mero
34
red seguridad
daño económico a una empresa.
Ahora ya se sitúa en el ámbito
nacional, supranacional y global,
afectando por igual a ciudadanos,
gobiernos y empresas. Sólo hay
que comparar los últimos informes del World Economic Forum
de Davos [1] para ver cómo los
riesgos relacionados con los ciberataques han ido adquiriendo relevancia paulatina con el tiempo.
Ciberestrategias
De esta forma, a fin de evitar impactos no previstos derivados de la
falta de madurez regulatoria y procedimental y del creciente número
de amenazas ciber, los estados
soberanos comienzan a disponer
de estrategias integrales de ciberseguridad a través de una hibridación jurídico-técnica, tanto en el
entorno empresarial como sectorial.
Con más de 27 ciberestrategias a escala mundial, 18 de
ellas europeas –plaza que además cuenta con una directiva
comunitaria de ciberseguridad–,
la gestación de dichos documentos ha estado rodeada de
una creciente expectación ya
que otorgan, de forma general,
tanto el reconocimiento estratégico que tiene el ciberespacio
para los diversos países como el
septiembre 2014
posicionamiento en este nuevo
entorno vir tual.
Si bien el contexto sociopolítico
natal de muchas de ellas dista de
ser el óptimo (pensemos en el caso
estonio, creado menos de un año
después de los ciberataques que
paralizaron el país), igual de ineficaz
resulta la ausencia de una estrategia de ciberseguridad nacional
como aquellas que han sido alumbradas sobre situaciones demasiado generalistas, fuera de contexto
presupuestario y sin un plan de aterrizaje delimitado por prioridades,
plazos e hitos temporales.
Así, se observa que las diferentes
realidades socioeconómicas y tecnológicas existentes en el mundo
definen y delimitan en gran medida
los diversos grados de desarrollo
de dichas estrategias.
En áreas como el Sahel y el
Magreb, debido al bajo índice de
penetración de Internet, existe un
grado de concienciación muy bajo
respecto al valor estratégico del
ciberespacio.
Sin embargo, en el polo opuesto encontramos a los países que
forman parte de los Five Eyes
(Canadá, Estados Unidos, Reino
Unido, Nueva Zelanda y Australia),
los países europeos estratégicos
miembros de la Alianza Atlántica
especial
GLOBALTECHNOLOGY
Consultoría de Seguridad Global e Inteligencia
Monitorización
Seguridad
Hacking
Inteligencia
Seguridad Global
frente a la Amenaza Global
Protección
Conocer sus propias vulnerabilidades antes
que el enemigo, es la única forma de
preparar una defensa eficiente.
Hacking ético. Test de intrusión. Caja negra - Caja blanca
Monitorización. Detecta las amenazas antes de que materialicen
Inteligencia empresarial. Information Superiority - Decision Superiority
Fuga de Datos (DLP). La tecnología como problema y solución
Seguridad Global
Análisis Forense
Análisis de Riesgos
Seguridad en la nube
Hacking ético
Integración Seguridad Lógica y Física
Auditoría de vulnerabilidades
Comunicaciones Seguras
Monitorización
Consultoría Internacional
Ingeniería de Sistemas
Inteligencia Empresarial
Consultoría Tecnológica
Cumplimiento Legal
Seguridad de la Información
Protección de Infraestructuras Críticas
Prevención de Fuga de Datos
Protección del Patrimonio Histórico
Planes de Seguridad Integral
Plan de Continuidad del Negocio
Formación Personalizada según Roles
Sistemas de Gestión de Crisis
Plaza Rodriguez Marín, 3 · 1C. Alcalá de Henares · 28801 Madrid
(+34) 91 882 13 09
[email protected]
www.globalt4e.com
opinión
Timeline de las Estrategias de
Ciberseguridad Nacional. Fuente:
THIBER, the cybersecurity think
tank [2].
en términos ciber (como Estonia) o
la emergente América Latina, con
Brasil a la cabeza.
Es importante remarcar que los
países asiáticos con aproximaciones intervencionistas sobre su
ciberespacio, como China o Irán,
no han hecho pública sus correspondientes aproximaciones, lo
cual no significa que no tengan
una hoja de ruta claramente definida.
En este escenario nacieron las
primeras estrategias nacionales de
ciberseguridad, con un alto desarrollo entre el bienio 2011-2013. La
antigüedad no es relevante de cara
a su grado de implantación y madurez. Algunas de las naciones europeas, como Estonia y la República
Checa, están realizando la segunda
iteración y revisión de su estrategia.
Del mismo modo, durante este año,
se espera la aprobación de las
estrategias de países como Abu
Dhabi, Tailandia, Ghana y Nigeria.
Puntos comunes
Como principal objetivo, estas
estrategias vertebran la ciberseguridad como materia prioritaria
en la agenda de los respectivos gobiernos. Y promulgan, con
más o menos éxito, establecer
un liderazgo único para coordinar las acciones y los actores
involucrados en la lucha contra
los riesgos derivados del ciberespacio.
Asimismo, ponen de manifiesto
la gravedad y complejidad de las
ciberamenazas, así como el grado
de organización alcanzado por los
grupos delincuentes o terroristas
que están detrás de ellas. Y enfatizan la dimensión social del problema, trascendiendo la mera pérdida
económica o el daño individual que
puedan causar.
También identifican la necesidad de coordinación entre los
estamentos públicos dedicados a
la ciberseguridad y la de éstos
con los actores privados, una de
las principales barreras a la hora
de luchar contra el cibercrimen.
Destacan, por supuesto, la necesidad de cooperación internacional,
otra gran asignatura pendiente en
la batalla contra un riesgo que, por
naturaleza, es global.
Así pues, podemos afirmar que
la gran mayoría de las estrategias
presentan una estructura común,
pivotando sobre tres conceptos
básicos:
1 Qué preocupa, identificando claramente qué tipo de
ciberamenazas son las más
probables, identificando los
nuevos actores y sus motivaciones.
2 Quién tiene responsabilidades,
delimitando roles y órganos
Países con estrategia nacional de
ciberseguridad (verde) y en vías de
desarrollo (amarillo). Fuente: Enisa
2014.
36
red seguridad
septiembre 2014
especial
opinión
Las diferentes realidades socioeconómicas y
tecnológicas existentes en el mundo definen los
diversos grados de desarrollo de las estrategias
nacionales de ciberseguridad
de gestión para la puesta en
marcha de las respectivas iniciativas.
3 Cómo se responde a esa
preocupación, con líneas de
actuación y medidas concretas que marquen una firme
determinación política en la
consecución de los objetivos
marcados.
Divergencias
Sin embargo, tras un análisis algo
más detallado, se encuentran diferencias sustanciales, no tanto en
el reconocimiento del valor del
ciberespacio, sino en las líneas de
acción y el down-to-earth de las
tareas concretas.
1 Organización de la ciberseguridad.
a La alta fragmentación entre
los actores estatales con
competencias en el plano
ciber varía notablemente
entre las diversas naciones. Este hecho dificulta la
efectividad de las acciones
que se deben desarrollar
en la lucha global contra
la ciberdelincuencia. No
se encuentran referencias
explícitas a este hecho en
las estrategias el ámbito
internacional.
b En las estrategias, de forma
general, no se hace mención
a los medios tradicionales
de cooperación internacional formal en cibercrimen
y ciberamenazas, pudiendo
no encontrarse habilitados
para garantizar la obtención
de, por ejemplo, pruebas
electrónicas, por lo general,
de difícil acceso, volátiles y
ubicuas.
2 Dotación presupuestaria.
a En casos como Estados
Unidos, Reino Unido u
especial
Holanda se dota de forma
expresa a la estrategia de
ciberseguridad de un presupuesto definido y aprobado, algo que no ocurre,
por ejemplo, en España.
Esta dotación es relevante
de cara a asegurar recursos
exclusivos para este terreno
y dar un mensaje de compromiso a la sociedad en
general.
3 Definición de amenazas y persecución del cibercrimen.
a La divergencia, o ausencia
en algunos casos, de una
tipificación formal internacional de los actos considerados como delictivos
en el ciberespacio supone
un serio problema, pudiendo crear lagunas jurídicas y
dando lugar a regiones opacas o “paraísos de cibercrimen”. Si bien en determinadas regiones existe un
cada vez más nutrido grupo
de normas nacionales en
materia de ciberdelito, se
hace notar la falta de tipificaciones comunes.
4 Vínculos territoriales y acuerdos de colaboración.
a La potencial ubicuidad de
las actuaciones en el ciberespacio y sus amenazas
pone de manifiesto la fragmentación jurídica existente
en el plano internacional, si
bien existen acuerdos multilaterales que agrupan determinadas regiones de extensión variable (como sucede
en la UE). De esta forma,
pocas estrategias de ciberseguriad nacionales reflejan
esta realidad.
Conclusión
Durante años las empresas han
tenido que luchar, prácticamente
solas, contra
las amenazas
inherentes al uso de la red. En
ello les iba su viabilidad económica: fraude, daños reputacionales, propiedad intelectual, indisponibilidad de sus servicios, etc.
Y los gobiernos apenas han
dedicado recursos para apoyarlas. Pero ahora está en juego el
propio desarrollo económico
nacional y las libertades de los
ciudadanos, y han empezado a
reaccionar. Sin duda, queda
mucho trabajo por hacer y
muchos entresijos políticos por
limar, pero comenzamos la andadura por el buen camino.
Referencias
[1]
The global risks landscape 2014. World Economic Forum.
http://www3.weforum.org/docs/WEF_GlobalRisks_Report_2014.pdf
Estrategias nacionales de seguridad en el mundo. THIBER.
http://www.thiber.org/?page_id=242
[2]
Cybersecurity policy making a turning point. OECD.
http://www.oecd.org/sti/ieconomy/cybersecurity%20policy%20making.pdf
red seguridad
septiembre 2014
37
opinión
Donde dije digo, digo Diego
Samuel Linares
Director del Centro de Ciberseguridad
Industrial (CCI)
Los que me conocen o han asistido a alguna de mis presentaciones
sobre ciberseguridad industrial en
los últimos años saben que tradicionalmente, basándome en las referencias públicas existentes, análisis,
documentos e informes, venía siendo
bastante pesimista en cuanto al estado de nuestro país en este ámbito
respecto a otros países de nuestro
entorno (Europa) o a grandes potencias como Estados Unidos, Japón
o determinados estados de Oriente
Medio. Muchos recordarán alguna
presentación argumentando cómo
nos quedaba un mínimo de cinco
años para estar a la altura de algunos
países de Europa como Holanda o
Reino Unido y probablemente más
de una década para ponernos al nivel
de Estados Unidos.
En los últimos tiempos he tenido
la fortuna de poder compartir impresiones, proyectos y experiencias con
organizaciones industriales, infraestructuras críticas, organismos públicos y gobiernos de prácticamente
todas las regiones del mundo, y por
tanto conocer de primera mano el
estado real de avance de la ciberseguridad industrial internacional. Por
ello, hace tiempo que tenía en mi
“debe” el escribir un artículo como
éste retomando el discurso que tantas veces esgrimí en mis presenta-
38
red seguridad
ciones, basado en las referencias
públicas existentes, análisis, documentos, informes, etcétera, incluyendo además información y percepciones procedentes de la observación
directa de la realidad en todas estas
regiones y en la fulgurosa evolución
que nacional e internacionalmente ha
tenido esta disciplina.
Debo adelantar para tranquilidad
de todos (nuestra especialmente), que el escenario real no es tan
pesimista como el que inicialmente
defendía, llegando en algunos casos
incluso a ser el totalmente opuesto;
es decir: sí, en algunos ámbitos estamos por delante (¡!).
La primera justificación de este
cambio viene de que tradicionalmente siempre nos hemos comparado
con otros países de forma general, cuando realmente los avances,
madurez, ritmo y características son
muy diferentes entre dos entornos
muy distintos: tan diferentes como el
público y el privado.
Incluyo en el entorno público, a
los efectos de este artículo, a las
iniciativas gubernamentales, organismos públicos, programas, estrategias, regulaciones y marcos de
trabajo que marcan la línea que hay
que seguir en los mercados nacionales. Es aquí donde nos encontramos,
desgraciadamente a una mayor dis-
septiembre 2014
tancia de otros países más avanzados en el ámbito de la ciberseguridad
en general, y la industrial de forma
más concreta.
En este entorno nos encontramos
internacionalmente con sistemas de
ciberseguridad nacional maduros,
dotados de un respaldo político y
económico indiscutible y con definiciones de roles y responsabilidades claras en países como Estados
Unidos, Reino Unido o Holanda,
entre otros, que llevan más de una
década trabajando y colaborando
activamente en estos temas. Esto en
algunos casos se traduce en estrategias de ciberseguridad nacionales
también maduras que van avanzando incluso en distintas versiones
con distintos objetivos, indicadores de seguimiento y asignación
de recursos, como es el caso por
ejemplo de la versión 2 de la estrategia de Ciberseguridad Nacional
de Holanda, con el lema “De la concienciación a la capacidad” (“From
awareness to capability”). Estos
avances suelen evidenciarse también ante la existencia de iniciativas y organismos gubernamentales
totalmente focalizados en la materia
(como podría ser el caso los ICSCERT, US-CERT o el Idaho National
Laboratory de Estados Unidos), que
en muchos casos desarrollan como
especial
opinión
parte de su actividad marcos de trabajo de referencia común (sectoriales o no) para el mercado, hojas de
ruta que marcan el camino que hay
que seguir con indicadores claros de
control y seguimiento o regulaciones
que buscan conseguir unas líneas
base de cumplimiento de medidas
de seguridad que garanticen la adecuada protección de infraestructuras y organizaciones, habitualmente
focalizadas inicialmente en la protección de infraestructuras críticas,
pero extendidas posteriormente a
otros ámbitos de actividad.
Cambio de ritmo
En el entorno público de nuestro
país ha habido un cambio de ritmo
importante en lo que a la ciberseguridad se refiere en los dos últimos
años. Basta con revisar el panorama
que tenemos en la actualidad respecto al que teníamos hace tiempo.
Contamos ya con una Estrategia
de Seguridad Nacional que identifica el ciberespacio como un ámbito
más de actuación, una Estrategia de
Ciberseguridad Nacional que define el
sistema nacional de ciberseguridad,
objetivos y sus actores, además de
organismos con un foco de actividad
importante en estos ámbitos (CNPIC,
INTECO, CCN, Mando Conjunto de
Ciberdefensa, Departamento de
Seguridad Nacional…).
No debemos dejar de mencionar
la existencia de una regulación en el
ámbito de la privacidad que es referente internacional (nuestra famosa
LOPD) o de la Ley de Protección de
Infraestructuras Críticas, también referente para la mayoría de los países
latinoamericanos. Y sin duda esa gran
oportunidad que en estos momentos
está abierta en el área de la ciberseguridad, que es la nueva Ley de
Seguridad Privada (y su futuro reglamento).
Es un hecho que el ritmo y los
tiempos de cambio en cualquier país
en lo que a aspectos regulatorios,
iniciativas y organismos gubernamentales o estrategias se refiere son
mucho más lentos que en el ámbito
privado y, por tanto, cualquier creación o modificación de estos puntos
supone ya no meses, sino años de
40
red seguridad
Hay un aspecto del que estamos
especialmente orgullosos: la
colaboración, compartición y análisis
de información en el ámbito industrial
desarrollo en la parte pública, y otro
tanto en la adopción y maduración
de la parte privada.
En definitiva, concluiría la comparativa en el entorno público confirmando las sospechas que enunciaba en
algunas presentaciones: estamos a
varios años de distancia (entre cinco
y diez, al menos) de otros países
líderes en este ámbito. Nos queda
mucho por hacer y mucho esfuerzo,
trabajo y respaldo por delante. Sin
embargo, mi opinión es que la tendencia ha cambiado en los últimos
dos años y creo que estamos en el
camino adecuado. Las bases están
sentadas, comienza a existir interés y respaldo (económico, político,
etc.), y si seguimos así deberíamos
ver cómo mes a mes y año a año,
esa distancia con los líderes internacionales irá disminuyendo. Y en
cualquier caso no debemos olvidar ni
desaprovechar la oportunidad que supone el
que de forma general
seamos una referencia
para otra (gran) parte
del escenario internacional: Latinoamérica.
Haríamos un flaco favor
a nuestro tejido industrial y empresarial si no
aprovechásemos esa
oportunidad (el mundo
no sólo es Estados
Unidos, Reino Unido,
Alemania u Holanda…).
finales en el ámbito de la ciberseguridad industrial.) Aquí es donde vienen
noticias aún más satisfactorias. He
de decir que me he sorprendido muy
gratamente en estos dos últimos
años a medida que he ido conociendo de forma directa el estado de la
protección, proyectos e iniciativas
en ciberseguridad industrial de estas
organizaciones internacionalmente.
Puedo adelantar que la conclusión
general es que las organizaciones
españolas no tienen nada que envidiar en cuanto a su madurez en
ciberseguridad, protección, tecnologías y proyectos a otras organizaciones similares en los países ya
mencionados anteriormente en el
ámbito público, e incluso en algunos
casos el nivel es aún mejor.
Pero de nuevo, no generalicemos
y distingamos básicamente entre las
grandes organizaciones industriales
Entorno privado
¿Y qué hay del entorno
privado? (entendiendo
por entorno privado
a las organizaciones
industriales, infraestructuras críticas o usuarios
septiembre 2014
especial
opinión
Tenemos capacidades, valores diferenciales,
oportunidades por delante y una buena línea marcada
para avanzar en el posicionamiento internacional en la
ciberseguridad industrial
e infraestructuras críticas y las organizaciones industriales medianas y
pequeñas. En este último caso (las
más pequeñas), la realidad es que
el estado de protección y grado de
madurez en estos temas es realmente bajo (y claramente insuficiente), pero no distinto del nivel que
este mismo tipo de organizaciones
tiene en otros países como Estados
Unidos, Alemania, Francia, Holanda
o Reino Unido, entre otros (recordemos aquí el refrán “mal de muchos,
consuelo de tontos”, y no caigamos
en esa tentación: debemos impulsar
e incentivar de forma enérgica el
avance en este ámbito).
En cuanto al otro grupo, las grandes organizaciones e infraestructuras críticas, podemos asegurar que
su estado de protección, avances
tecnológicos y grado de madurez es
similar al de cualquier organización
internacional de ese tipo. Incluso
contamos con ejemplos premiados
internacionalmente (sin ir más lejos,
el prestigioso SANS Institute estadounidense premió el año pasado
a Iberdrola por su actividad en el
ámbito de la ciberseguridad industrial) y otros de referencia en algunos
sectores (especialmente en el energético). Aquí no hay distancia alguna
con el sector privado en otros países
(no nos acomodemos, e intentemos
continuar avanzando y superarlos).
Latinoamérica, Oriente Medio o Asia.
La pregunta a la que más veces
debemos responder es si somos una
iniciativa gubernamental. El hecho
de no serlo, y de haber surgido del
propio sector privado con una representación total de todos los actores
involucrados, hace que todos y cada
uno de los países con los que colaboramos vean la iniciativa como una
referencia a seguir de forma local, lo
que sinceramente nos enorgullece:
hay al menos un ámbito de actividad
en el que estamos siendo líderes
internacionales y eso no es gracias
únicamente al propio CCI, sino precisamente al soporte, participación
y avance de todo el ecosistema de
actores involucrados (en este caso,
privados y públicos).
Debo, por tanto, retractarme:
no estamos tan atrás, al menos
no en todos los ámbitos. Tenemos
capacidades, valores diferenciales,
oportunidades por delante y una
buena línea de avance marcada, que
debemos aprovechar como país (y
como industria) para avanzar en el
posicionamiento internacional en la
ciberseguridad (industrial).
En cualquier caso, no caigamos
en la autocomplacencia. Tenemos
en común con el resto de países la
falta de solución aún a grandes retos
no conseguidos internacionalmente:
la compartición de información entre
organizaciones (públicas y privadas),
la estructuración del reporte de incidentes de ciberseguridad, los modelos de gobierno de la ciberseguridad
de la Smart Grid, la llegada de las
tecnologías inteligentes (Smart Grid,
Smart Cities, Smart Homes…) y la
Internet de las Cosas. Retos que, a
su vez, son oportunidades. Tenemos
dos opciones: continuar lamentándonos de nuestra situación en algunos ámbitos, o emplear ese tiempo y
esfuerzo en avanzar y posicionarnos
en esos ámbitos donde aún no hay
líderes claros. Yo tengo clara cuál es
la opción que he elegido, ¿y tú?
No tan atrás
Pero hay un aspecto del que, por la
parte que nos toca, estamos especialmente orgullosos: la colaboración, compartición y análisis de información en el ámbito industrial. En
este ámbito, debo dejar de lado, por
unas líneas, la humildad obligada, y
compartir de qué manera el Centro
de Ciberseguridad Industrial (CCI) y
sus actividades se han convertido
en un referente internacional, no sólo
en Europa, sino en Estados Unidos,
especial
red seguridad
septiembre 2014
41
asociación
entrevista
Ramsés
Gallego
Vicepresidente
internacional
de ISACA
El pasado mes de
junio, ISACA constituyó
su nueva junta directiva,
en la que Ramsés
Gallego volverá a
ejercer el cargo
de vicepresidente
internacional. Durante
“Afortunadamente, la
conciencia es cada vez mayor
y la ciberseguridad llega a los
consejos de administración”
Tx: E. González y B. Valadés
Ft: E.G.H.
la entrevista, el
también especialista en
estrategia de seguridad
y experto tecnológico
de Dell Software
aborda cuestiones
como el programa
CSX para el desarrollo
profesional, la crisis
de talento o los retos
que deben afrontar
las empresas en un
mundo “caótico y
disperso”.
42
red seguridad
¿Qué supone para usted haber
sido reelegido vicepresidente
internacional de una de las asociaciones de mayor relevancia
en el sector de las Tecnologías
de la Información (TI)?
Sin duda, es un orgullo y un privilegio. Y, al mismo tiempo, una
responsabilidad. Tenga en cuenta
que ISACA brinda servicio a más
de 115.000 profesionales de todo
el mundo. De manera especial,
me satisface representar a los
chapters de España y, por extensión, a toda la comunidad hispana vinculada a la asociación. Este
será mi tercer y último ejercicio
como vicepresidente internacional y espero cerrarlo como los
anteriores: realizando un buen
trabajo.
septiembre 20104
¿Cómo valora su paso por la
vicepresidencia internacional de
ISACA y qué objetivos se ha marcado para este nuevo periodo?
La valoración es muy positiva.
Además, es un privilegio. Sólo en el
primer semestre del año he viajado
a casi veinte países. Y eso es muy
enriquecedor tanto a nivel profesional
como cultural. He tenido la oportunidad de conocer cómo se trabaja
en Latinoamérica y también de qué
manera se afronta, por ejemplo, una
brecha de seguridad en Asia.
En cuanto a los objetivos, el más
inmediato es continuar materializando la estrategia S22, que, como
revela su denominación, concluirá
en el horizonte de 2022. La misma
se desarrollará en tres horizontes o
fases y la aplicaremos en programas,
certificaciones, entregables, etc., que
contribuyan a hacer frente a los ries-
asociación
entrevista
“El programa CSX es un lugar central donde los
profesionales pueden encontrar todo tipo de
recursos relacionados con la ciberseguridad”
gos de un mundo que cambia vertiginosamente.
Entre los últimos proyectos de
ISACA destaca el programa
Cybersecurity Nexus (CSX). ¿Cuál
es su objetivo?
Desgraciadamente, no todo el
mundo es consciente de los ataques de hackers, del ciberespionaje,
etc., así que con CSX damos la
bienvenida a todos aquellos que un
buen día deciden interesarse por la
ciberseguridad. El programa se ha
convertido en un nexo, un lugar central donde los profesionales, desde
un licenciado en Telecomunicaciones
hasta un auditor, pueden encontrar
todo tipo de recursos relacionados
con la materia: guías, certificados,
acreditaciones…
Sobre CSX, me gustaría apuntar
que es un proyecto propio de ISACA,
aunque en el mismo tienen cabida organizaciones como la Cloud
Security Alliance (CSA), el Instituto
Nacional de Estándares y Tecnología
(NIST) de EEUU, la Agencia Europea
para la Seguridad de las Redes y la
Información (ENISA), universidades,
empresas, etc. De hecho, la colaboración es uno de los pilares en los
que se asienta la estrategia S22.
El estudio ISACA 2014 APT Survey
revela que uno de cada cinco
profesionales de seguridad informática ha sido blanco de una
amenaza persistente avanzada
(APT). Cuando se hace referencia
a una crisis de habilidades o talento, ¿debemos interpretar que la
misma es global o existen países
donde el riesgo es mayor?
Yo diría que es global, si bien es
cierto que, desde un punto de vista
estratégico, hay países más preparados que otros. En el caso de
España, y Red Seguridad ha ofrecido cumplida información sobre el
tema, se está avanzando mucho en
materia de ciberseguridad y hay un
proyecto definido: se ha aprobado
una Estrategia Nacional específica,
contamos con centros de respuesta a incidentes informáticos –los
denominados CERT–, también se
está prestando especial atención a
la protección de las infraestructuras
críticas, etc.
Pero cuando hablamos de crisis
de talento, nos referimos, además, al
empeño de focalizar todos los riesgos
en la tecnología, algo lógico por otra
parte. Sin embargo, se suele olvidar
el factor humano, se deja de hacer
hincapié en cuestiones tan relevantes
como la cultura, la ética, las capacidades… En una organización deberían preguntarse: ¿Contamos con el
personal adecuado para gestionar
nuestra infraestructura de firewall o
desarrollar una app? Los profesionales, además de estar preparados
desde una perspectiva operacional,
también lo han de estar éticamente
en aras de reforzar la seguridad.
delegado hasta el trabajador que
atiende al público en un mostrador.
El programa CSX ofrecerá un certificado relacionado con la ciberseguridad. ¿En qué consiste?
A diferencia de los otros cuatro certificados de la asociación, el denominado Cybersecurity Fundamentals
Certificate está basado, únicamente,
en conocimiento. Los solicitantes
deben superar un examen y demostrar el dominio de la materia en
distintas áreas, desde los principios
de la arquitectura de ciberseguridad
hasta la adaptación a las tecnologías
emergentes. Para finales de este
año, esperamos que el mismo también esté disponible online.
¿A qué retos se enfrentan las
empresas y los desarrolladores de
soluciones de seguridad?
Al hilo de la pregunta anterior, ¿las
compañías invierten lo suficiente
en ciberseguridad o en esta materia también hay carencias?
Intentar garantizar la seguridad al
cien por cien requeriría un coste
inasumible, casi podría decirse que
hablamos de algo imposible o utópico. Pero, afortunadamente, la conciencia es cada vez mayor y el
tema de la ciberseguridad llega a
los consejos de administración a
través de los reportes anuales. En
cualquier caso, al margen de lo que
invierta cada compañía, creo que
falta visión: se protege el correo
electrónico o la nube pero no los
terminales móviles. En el concepto
de protección se han de tener en
cuenta todos los vectores. Y esa
cultura holística debe calar en la
organización, desde el consejero
red seguridad
septiembre 20104
43
asociación
entrevista
Sobre todo, a la globalización, aunque,
por temas de legislación y regulación,
hay que pensar en local. En el caso
de España, entre otras, existe la Ley
Orgánica de Protección de Datos. Uno
de los grandes retos es la privacidad:
garantizar los datos de las personas,
preservar la propiedad intelectual, etc.
Volviendo al inicio de mi respuesta,
las empresas de nuestro país tienen
una gran oportunidad de expansión
en los países de habla hispana. En
definitiva, la seguridad es universal y en
cualquier lugar se deben afrontar riesgos similares: preservar la identidad de
una marca, proteger información, evitar
que se robe un diseño industrial…
De todas formas, no debemos olvidar que, como escribió Alvin Toffler,
vivimos en un permanente estado
de futuro. Así que se debe abrir la
mente, ya que todo cambia a la
velocidad de la luz. Haciendo alusión
a otra frase célebre, no deberíamos
preguntarnos si vamos a ser atacados, sino cuándo. No quiero parecer
pesimista, pero es la realidad…
Cada cierto tiempo sale a la palestra un nuevo escándalo relacionado con la ciberseguridad que acapara las portadas de los medios
de comunicación. Uno de los más
“No deberíamos preguntarnos si
vamos a ser atacados, sino cuándo.
No quiero parecer pesimista, pero
es la realidad…”
recientes ha sido el de la vulnerabilidad Heartbleed. ¿Qué opina de
este caso?
Me ha parecido terrible, porque ha
impactado en un listado de empresas brutal. Y eso me lleva a pensar:
¿qué tipo de auditorías de ciberseguridad llevaban a cabo? Luego, la
respuesta que se dio creo que fue la
adecuada.
¿Se aprende de este tipo de
casos?
Sí, claro. Se aprende a base de
palos. Sucedió con el robo de información confidencial de tarjetas de
crédito de Target. Entonces, hubo
quien levantó el teléfono y preguntó:
¿Eso nos puede pasar a nosotros?
Es un ejemplo de que debemos estar
preparados continuamente, esperar
lo inesperado. Si no es mañana será
el mes que viene, pero aparecerá
un titular que refleje que una gran
compañía, banco, asociación, etc.,
ha sido objeto de un ciberataque. No
queda más remedio que aprender en
un mundo caótico y disperso repleto
de tecnologías, servidores, nubes,
sistemas operativos, aplicaciones…
¿Qué grado de colaboración existe entre las empresas para intentar
ordenar ese mundo tan caótico y
reforzar su seguridad?
La colaboración es necesaria y debe
ser público-privada. Y se ha de compartir toda la información disponible
sin poner en riesgo, obviamente, los
niveles de confidencialidad de cada
parte. Y en ISACA nos orgullecemos
de organizar foros en los que se promueve la cooperación, vital, por ejemplo, en sectores como el de la sanidad.
Mi opinión es que empieza a surgir
una conciencia al respecto y que se
colabora cada vez más. Al fin y al cabo,
debemos protegernos no sólo empresarialmente, sino como sociedad.
Durante la entrevista se ha referido
a la Estrategia de Ciberseguridad
Nacional. ¿Qué importancia le
concede a la misma?
Es fundamental. Como ciudadano, no
puedo sino agradecer que el Estado
vele por la seguridad de la sociedad,
protegiendo, por ejemplo, las consideradas infraestructuras críticas, ya que
un ataque a las mismas podría perjudicar gravemente a los intereses de
los ciudadanos. No será una tarea fácil
porque hay muchos actores en juego,
pero, indudablemente, había que
hacer algo, ya que, como a veces digo
en mis conferencias, la esperanza no
es una buena estrategia. Por lo tanto,
es una iniciativa necesaria, impensable hace unos años, que aplaudo.
44
red seguridad
septiembre 20104
caso de éxito
Centros de enseñanza utilizan tecnología
IRM para proteger la ventaja competitiva
de su innovación
La red de centros educativos The New Kids Club utiliza Prot-On como solución IRM (Information Rights
Management) para controlar el uso de todas las copias de sus documentos, independientemente de
dónde estén, pudiendo decidir en tiempo real quién, cuándo y para qué acceden a ellos.
Tx. y Ft.: Prot-On
The New Kids Club (TNCK) es una red
de centros de enseñanza franquiciados
que, con un enorme esfuerzo tras de sí
en innovación de metodología pedagógica, tecnología y procedimientos, está
posicionándose como un referente en el
desarrollo de servicios de enseñanza de
inglés. Su método, “The New Kids Club
Method” integra facetas como el refuerzo
académico, la ludoteca, las actividades
vacacionales durante todo el año, la psicopedagogía, etc., todo ello destinado
a niños y niñas de uno a dieciséis años.
TNKC nace en Figueres (Girona) en el
año 2002 y desde entonces ha logrado
que sus alumnos alcancen un nivel de
inglés B2 o First Certificate al finalizar la
escolarización obligatoria, siendo centros
autorizados por la Univ. de Cambridge.
Después de haber implantado con
éxito durante 2013 su exclusivo modelo
educativo en sus primeras franquicias
de Zaragoza, Castelldefels (Barcelona),
San Cristóbal de la Laguna y Adeje en
Tenerife, TNKC duplican su red de centros a partir de septiembre de 2014 con
aperturas en San Sebastián de los Reyes
(Madrid), Santander, Sevilla y los centros de Badalona y Santa Perpètua de
Mogoda en Barcelona.
Desde el pasado curso, TNKC está
utilizando la solución Prot-On para gestionar la seguridad de toda su documentación, tanto de las funciones administrativas como del material docente utilizado.
Dado el alto grado de digitalización de
toda su información y de la dispersión
inherente al modelo de franquicias, TNKC
requiere no sólo una robusta protección
de los documentos que comparte en la
red, sino también el seguimiento y control
de todos sus movimientos.
46
red seguridad
Contribución de Prot-On
Prot-On permite a TNKC proteger su
documentación estratégica mediante el
cifrado de la misma y gestionar en todo
momento quién tiene acceso a estos
documentos. De modo que, incluso
después de haber compartido un archivo, se puede impedir que se vuelva a
acceder al mismo o decidir durante
qué periodo de tiempo puede utilizarlo.
Podrá dar o quitar permiso para modificarlo, imprimirlo, copiarlo, etc., en tiempo
real, esté donde esté el documento.
Así, la empresa es en todo momento
propietaria de la información que comparte: cada vez que un usuario (alumno,
profesor, trabajador…) intenta acceder a
un documento protegido, Prot-On comprueba si está autorizado para ello y, en
ese caso, le da acceso para hacer con
ese documento estrictamente lo que
está autorizado a hacer. Asimismo, se
guardará también un registro de actividad de cada documento quién accedió
a él, cuándo, desde dónde y para qué.
Los documentos protegidos pueden
estar almacenados en los propios dispositivos del usuario (Windows, Mac,
Android o iOS) o en la nube, ya que ProtOn es compatible con Dropbox, Box,
Google Drive, OwnCloud o SharePoint.
Este tipo de soluciones son muy
demandados en el ámbito empresarial
septiembre 2014
por compañías como The New Kids Club
que quieren proteger la información crítica o estratégica para su negocio respecto a prácticas desleales de empleados,
ex empleados, alumnos, etc., que tienen
acceso a la información de la compañía
desde sus propios dispositivos y que
podrían utilizarla ilegítimamente.
Prot-On se impone como el estándar
entre las soluciones IRM por su excelente combinación de robustez en la
protección, su facilidad de uso y gran
asequibilidad. Prot-On es gratuito para
usuarios particulares que usen funcionalidades básicas. Ésta es también una
enorme ventaja cuando las compañías
quieren compartir información protegida
con usuarios externos, en este caso
alumnos.
Las empresas pueden utilizar ProtOn en la modalidad SaaS (el servidor es
el público de Prot-On) o en on-premises
(el servidor es del cliente), y su importe
depende del número de usuarios.
Así pues, sin implantar costosas
herramientas y sin alterar los procesos
de trabajo de empleados, las empresas pueden protegerse ante posibles
fugas de información que ponen en
peligro su propia supervivencia. Las
tecnologías IRM de nueva generación
ya lo permiten. Y Prot-On es su principal referente.
evento
8ENISE: La Estrategia de
Ciberseguridad Nacional a examen
Un año más, y ya son ocho, Inteco cumple con su cita anual reuniendo a los
diferentes agentes del sector de la ciberseguridad en torno a la octava edición de
ENISE, el Encuentro Internacional de Seguridad de la Información.
Elena Carrera
Murciego
Departamento de Comunicación del
Instituto Nacional de Tecnologías de la
Comunicación (Inteco)
Durante los días 28 y 29 de octubre, León acogerá de nuevo a las
principales figuras del ámbito de la
ciberseguridad, en un espacio para
el análisis y la reflexión, en el marco
del histórico e incomparable Parador
Hostal San Marcos de León.
En 2014 hemos contemplado la constitución del Consejo de
Ciberseguridad Nacional, liderado por
el Consejo de Seguridad Nacional, el
cual se creaba a su vez en 2013 y aprobaba la Estrategia de Ciberseguridad
Nacional, el 5 de diciembre, con el
objetivo principal de responder y prevenir las amenazas, agresiones y riesgos que puedan afectar en el ciberespacio a la seguridad nacional. Por
ello este año, sin duda, ha sido muy
importante para el mundo de la ciberseguridad en España y el eje central
de 8ENISE tenía que ser indiscutiblemente el análisis de la Estrategia,
sus implicaciones, pero también sus
primeros pasos.
Bajo el lema "La Estrategia de
Ciberseguridad Nacional a Examen",
ENISE promoverá el análisis y reflexión
sobre los retos y los avances afrontados por dicha estrategia, incidiendo
48
red seguridad
especialmente en la cooperación público-privada y las oportunidades que
ésta representa para el desarrollo de la
industria de ciberseguridad en España.
Asimismo se revisarán los resultados
el logro de la ciberseguridad nacional,
y define el marco de coordinación de
la política de ciberseguridad. Su papel
vertebrador pretende facilitar la mejor
coordinación de todos los agentes
e instrumentos relacionados con la
ciberseguridad, recogiendo numerosas medidas para ello. En este contexto, se abordarán las implicaciones
del decidido impulso a la cooperación
entre agentes públicos, y también entre
éstos y el sector privado, con el fin de
cubrir las necesidades de prevención,
defensa, detección, respuesta y recuperación frente a las ciberamenazas.
En este sentido, el debate permitirá
poner de relevancia la percepción y las
necesidades del sector privado, a efectos de facilitar fórmulas de cooperación
público-privada eficaces y que resultan
esenciales para que la Estrategia de
Ciberseguridad Nacional alcance los
objetivos previstos. El principal come-
El 8ENISE permitirá poner de relevancia
las necesidades del sector privado,
a efectos de facilitar fórmulas de
cooperación público-privada eficaces
del Acuerdo de colaboración entre el
Ministerio del Interior y el Ministerio de
Industria, Energía y Turismo para la
mejora de la lucha contra la ciberdelincuencia y el ciberterrorismo, suscrito
en octubre de 2012; las perspectivas
generadas por la creación del Mando
Conjunto de Ciberdefensa, en febrero
de 2013, y los avances en la ejecución
de la Agenda Digital para España y su
Plan de Confianza en el ámbito digital.
La Estrategia no sólo delimita el
entorno del ciberespacio, fija principios, objetivos y líneas de acción para
septiembre 2014
tido no es otro que garantizar la adecuada protección del ciberespacio, un
entorno que forma parte de nuestra
vida cotidiana y que requiere, por tanto,
del establecimiento de un clima de
confianza.
El octavo ENISE pretende además
revisar y profundizar en la adecuación de tales líneas de acción ante
la aparición de amenazas cada vez
más complejas y sofisticadas, así
como identificar los aspectos más
destacables relativos a la organización y coordinación de las estrategias
El secretario de Estado de Seguridad, Francisco Martínez Vázquez, y el de
Telecomunicaciones y para la Sociedad de la información, Víctor Calvo-Sotelo,
durante la inauguración del 7ENISE.
y capacidades disponibles por parte
de los diferentes agentes involucrados en la ciberseguridad.
8ENISE arrancará con una sesión
inaugural de elevado nivel que pone
de manifiesto la apuesta del Gobierno
por la ciberseguridad, con la presencia un año más de la Secretaría
de Estado de Telecomunicaciones y
para la Sociedad de la Información y
la Secretaría de Estado de Seguridad.
A continuación tendrán lugar las
sesiones específicas de trabajo,
abordándose en primer lugar los
principales avances en la puesta en
marcha y desarrollo de la Estrategia
de Ciberseguridad Nacional.
Las capacidades para la persecución de los ciberdelitos pondrán fin
a la primera jornada. La ciberdelincuencia es uno de los ámbitos delictivos de mayor crecimiento durante
los últimos años, apoyándose en la
facilidad, anonimato y rapidez con el
que se pueden realizar los mismos a
través de Internet. Diferentes agentes
responsables de su investigación y
su persecución detallarán de qué
modo trabajan y cómo prevén su
evolución en su futuro más cercano.
Durante el segundo día serán objeto
de debate los instrumentos de lucha
contra el ciberespionaje, las nuevas
amenazas y los riesgos emergentes
en la ciberseguridad, así como el
ciberespacio como un elemento catalizador de la innovación tecnológica.
Desde INTECO se ha conformado
para esta nueva edición un programa
de carácter eminentemente práctico
y profesional, en el que estarán pre-
sentes los organismos e instituciones
nacionales e internacionales clave en
el desarrollo de la ciberseguridad y
en el que se contará con expertos
de referencia y a la vanguardia de la
innovación en este sector.
Estas sesiones profesionales serán
completadas en paralelo con otras
iniciativas transversales de interés.
Así, se ha organizado junto al CNPIC
(Centro Nacional de Protección de
Infraestructuras Críticas), por segundo año consecutivo, el encuentro de
trabajo de operadores de infraestructuras críticas, se realizará también
una presentación de los ciberejercicios 2014 y tendrá lugar la conferencia final del proyecto europeo
ASASEC.
CyberCamp
Permítannos que aprovechemos
además esta ocasión que nos brinda
evento
la editorial Borrmart para hablarles
del evento CyberCamp, que tendrá
lugar del 5 al 7 de diciembre en
Madrid y que nace con el objetivo
de promover el talento y el interés
en la ciberseguridad entre los jóvenes, así como acercar este ámbito a las familias. La organización
del evento se enmarca en el eje 5
del Plan de Confianza en el ámbito Digital “Programa de Excelencia
en Ciberseguridad”, dentro de la
Agenda Digital de España.
CyberCamp es un evento complementario que se construye sobre
el ecosistema actual de eventos de
confianza digital, y en un modelo de
colaboración público-privada con los
principales agentes en ciberseguridad. Se ha diseñado a través de
un proceso abierto y transparente
considerando los intereses y motivaciones de los jóvenes con perfil técnico. Diversos incentivos tales como
oportunidades laborales e itinerarios
formativos, motivarán a los participantes a través de conferencias internacionales, encuentros con expertos,
retos, talleres técnicos y de habilidades emprendedoras o pruebas
prácticas, entre otros, sin olvidar que
todo se desarrollará en un entorno de
encuentro para compartir experiencias entre estudiantes, profesionales
y gurús de la ciberseguridad.
La captación de talento para
CyberCamp se llevará a cabo previamente mediante diferentes pruebas técnicas y retos online, con el fin
de conseguir a los mejores participantes en materia de ciberseguridad. Y como no hay esfuerzo sin
recompensa, los mejores serán premiados.
red seguridad
septiembre 2014
49
infraestructuras críticas
opinión
SCADA LAB, promoviendo la ciberseguridad
en sistemas de control industrial
Servicio de
Ciberseguridad
del CNPIC
El Centro Nacional para la Protección
de las Infraestructuras Críticas (CNPIC),
entre las funciones que tiene encomendadas, tiene como misión impulsar la
investigación, el desarrollo y la innovación de aquellas iniciativas que pudieran
resultar en un beneficio directo o indirecto a los operadores que gestionan
infraestructuras que proporcionen servicios esenciales. Entre estas iniciativas,
se encuentra la participación en proyectos cofinanciados dentro de los programas marco nacionales y europeos en
curso. Uno de los programas europeos
más directamente relacionados con la
protección de las infraestructuras críticas es el conocido como Programa
CIPS (formalmente The Prevention,
Preparedness and Consequence
Management of Terrorism and other
Security-related Risks Program), en el
que el CNPIC participa activamente en
las figuras de “advisory boar” y “partne”
en proyectos en curso como SCADA
LAB (www.scadalab.eu) y CIISC-T2
(www.ciisct2), y otros proyectos ya finalizados, como CloudCERT (cloudcert.
european-project.eu).
Como bien es conocido, los sistemas encargados de monitorizar y/o
controlar de forma centralizada y en
tiempo real un determinado proceso
industrial es lo que definimos como sistemas SCADA. Un sistema de este tipo
podría ser el que controla, por ejemplo,
la gestión de la distribución de energía
eléctrica en una determinada región.
50
red seguridad
Estos sistemas, diseñados en origen para trabajar en entornos aislados, toman datos de múltiples sensores y actúan sobre equipos remotos
como válvulas o bombas, por lo que
son muy utilizados en la industria para
controlar los procesos. Inicialmente
diseñados para mejorar la funcionalidad, son equipos altamente redundados y muy robustos.
Los SCADA contienen servidores
y aplicaciones que realizan funciones
clave en los procesos industriales,
y, por tanto, están presentes en las
Infraestructuras Críticas y estratégicas
en cuanto a que potencialmente controlan la manera en que se prestan
algunos de los servicios esenciales
que la sociedad demanda. Al basarse
estos sistemas en las tecnologías de
la información y las comunicaciones,
se requiere una especial atención en
su protección, dada la variedad de
amenazas existentes en el ciberespacio.
Por otro lado, y debido a los largos
plazos de amortización de las infraestructuras que proporcionan estos
servicios esenciales, hacen que las
tecnologías sobre las que descansa
el control de los procesos de producción estén potencialmente basadas
en sistemas propietarios y obsoletos. Cuando los operadores de estas
infraestructuras desarrollan sistemas
complementarios y más avanzados
de supervisión de los procesos de
septiembre 2014
producción, en ocasiones este hecho
se sustancia mediante una conexión
física entre las redes corporativas y las
redes industriales. Si esta conexión no
lleva asociada una adecuada implementación de sistemas de seguridad
de la información que impidan de
manera razonable la intrusión en esos
sistemas, la continuidad de los servicios que prestan estos operadores
podría verse comprometida.
SCADA más seguros
Al objeto de definir y aumentar las
medidas de protección de este tipo
de sistemas, que tradicionalmente han
priorizado garantizar la disponibilidad
del servicio frente a la seguridad, se
está llevando a cabo una iniciativa de
gran impacto, SCADA LAB (SCADA
Laboratory and test bed as a service
for Critical Infrastructure Protection), el
cual es un proyecto cuyo consorcio
está liderado por el Instituto Nacional
de Tecnologías de la Comunicación
(Inteco) y formado por entidades
como AEI Seguridad, Everis, Europe
For Business, Telvent Energía, Telvent
Global Services, Zanasi & Partners,
NISZ y el CNPIC.
El objetivo principal del proyecto
es la realización, de forma remota,
de evaluaciones de seguridad en
entornos basados en sistemas de
control industrial, pudiéndose llevar a
cabo tanto en entornos en producción como simulados, y teniendo en
infraestructuras críticas
opinión
El objetivo principal del proyecto SCADA LAb es la
realización de evaluaciones de seguridad en entornos
basados en sistemas de control industrial
cuenta que una evaluación de este
tipo en un entorno real podría resultar en una interrupción del servicio
prestado.
Las actividades principales del proyecto son:
a) Diseño de una metodología de
pruebas que recoja todos los pasos
necesarios para llevar a cabo una
evaluación remota de seguridad sobre
entornos industriales.
b) Implementación de un laboratorio que proporcione la arquitectura necesaria para lanzar pruebas de
seguridad y genere informes con los
resultados obtenidos de forma automática.
c) Implementación de un banco de
pruebas (test bed) que albergue un
sistema de control industrial objeto de
evaluación, tipo SCADA, incluyendo
aplicaciones de control, automatización y supervisión, así como, dispositivos de campo, PLC, etc.
d) Desarrollo de un asistente que
permita guiar al operador de la infraestructura crítica a lo largo de todo el
proceso de evaluación.
Esta iniciativa va más allá del mero
análisis de funcionalidades de las
soluciones de seguridad específicas
de las tecnologías industriales, ya que
permite probarlas en un modelo realista análogo a un entorno en producción. Esto permite conocer las
limitaciones de un producto antes
de considerarlo como una posible
solución, o garantizar que proporciona determinadas funcionalidades de
seguridad.
El diseño del SCADA LAB se divide
técnicamente en dos áreas: el laboratorio (Laboratory Area) y el banco de
pruebas (Test Bed Area). El área de
laboratorio gestiona la planificación de
las pruebas y el banco de pruebas es
el entorno que se evalúa y el contexto
donde se llevan a cabo las pruebas.
Además, en la implementación de
la arquitectura se utiliza un agente, de
manera que las pruebas de seguridad
se puedan lanzar sobre los bancos
de pruebas tanto en un entorno local
como remoto, a través de redes tuneladas.
Tres niveles
Por otro lado, el área del banco de
pruebas se ha diseñado con el objetivo de buscar una fiel aproximación
a los entornos reales que serán el
objetivo de la evaluación. Por este
motivo, el banco de pruebas incluye
los tres niveles que conforman la
arquitectura básica de un sistema de
control industrial, desde las entidades de más alto nivel en la jerarquía
SCADA, hasta los elementos más
básicos en la zona de camp):
a) Nivel de Campo y Control: Este
primer nivel contiene, por un lado, los
dispositivos que gestionan los sensores y actuadores finales, tales como
PLC, IED o RTU. Estos dispositivos
permiten a los sensores y actuadores operar juntos para llevar a cabo
el proceso de fabricación definido.
Por otro lado, contiene los sensores
(elementos de medición) y actuadores
(elementos de acción) finales.
b) Nivel de Comunicación: El segundo nivel se refiere a la interfaz de comunicación entre los dispositivos de campo
y control y el nivel de supervisión.
c) Nivel de Supervisión: Este último nivel abarca todos los elementos
que permiten el control y la monitorización de los dispositivos del nivel
de campo y control. Este nivel incluy:
servidores SCADA, estaciones de
trabajo de monitorización, servidores OPC, servidores de datos, etc.
De esta manera, el laboratorio permite a proveedores de soluciones
de seguridad y a fabricantes de
sistemas de control, automatización
y supervisión industrial, validar conjuntamente la correcta integración e
interoperabilidad de las soluciones
de seguridad TIC con aplicativos y
soluciones concretas de informática
industrial.
Por último, destacar que la utilización de esta arquitectura permite
disponer de un modelo realista de
trabajo, y la garantía de que no habrá
daños colaterales sobre la infraestructura original. Del mismo modo, se
facilita el correcto proceso de una
evaluación de seguridad, ya que se
reducen los elementos de riesgo propios de una infraestructura original
pudiendo probar de forma empírica y
en tiempo real las distintas configuraciones para obtener diferentes valoraciones de seguridad.
red seguridad
septiembre 2014
51
caso de éxito
Telefónica Global Technology consolida la
seguridad de sus CPD europeos con Fortinet
En abril de 2013, Telefónica inauguró en el Parque
Científico y Tecnológico de Alcalá de Henares
(TecnoAlcalá), el mayor centro de datos del mundo con
la calificación Tier IV Gold del Uptime Institute que le
posiciona como el primer CPD de Europa en eficiencia TI.
Desde esta instalación, la compañía ofrece servicios de
computación en la nube y de procesamiento masivo para
todo tipo de empresas, aloja las plataformas de los clientes
de la firma y otros sistemas e infraestructuras TI internas,
éstas propiedad de Telefónica Global Technology (TGT), la
división global de Telefónica encargada de los sistemas y
comunicaciones internos entre las compañías del grupo.
Tx: y Ft: Fortinet.
Como consecuencia de un proceso de
optimización operativa y de costes, la
compañía decidió consolidar sus principales cuatro Data Centers de Europa
(España, Reino Unido, Alemania y, en
aquel entonces, República Checa) y el
Data Center de Telefónica Corporativo,
en un único espacio, el nuevo Data
Center de Alcalá. Se trataba de un
ambicioso proyecto que comprendía
networking, servidores, almacenamiento, etc., y también seguridad, que
incluía a su vez una completa solución
de firewall. Para llevar a cabo la selección de esta última, la compañía evaluó diferentes opciones de fabricantes
de firewall, quedando en la shorlist
Fortinet y CheckPoint.
Tras un exigente proceso de selección, Telefónica adjudicó el proyecto
de firewall de su nuevo Data Center a
Fortinet. Para la toma de esta decisión,
TGT valoró que, además de cumplir
con todos los requisitos de alto rendimiento, escalabilidad, virtualización,
facilidad de uso y reporting, la oferta
de Fortinet ofrecía una inmejorable
relación precio-rendimiento.
La ejecución del proyecto fue adjudicada a Telefónica Soluciones, compañía perteneciente al Grupo Telefónica
y partner Gold de Fortinet. Se ha
contemplado una compleja arquitectura lógica para la que se hace muy
apropiado el uso de las capacidades
de virtualización de FortiGate (VDOM),
52
red seguridad
ya que uno de los requisitos era separar y proteger las diferentes zonas de
seguridad dentro del centro de datos.
Gracias a ella, sobre una misma plataforma física se pueden habilitar de
manera muy sencilla y rápida entornos
virtuales, completamente independientes unos de otros, que proporcionen funciones de seguridad totalmente
configurables por separado.
El alcance del proyecto se resume en cinco Data Center equipados
cada uno con cuatro chasis FortiGate5060DC para formar dos clústeres
geográficamente separados entre el
Alcalá Data Center (Clúster principal) y
el Data Center de Julián Camarillo en
Madrid (Clúster de respaldo), cada uno
de los chasis equipados inicialmente
con un blade FortiGate-5001B y con
la posibilidad de incrementar varias
veces su capacidad inicial mediante la
simple adición de nuevas tarjetas.
Internamente, en cada clúster se han
configurado Virtual Domains para dar
servicio a firewalls virtuales de Front
End, Back End, Intranet y otros. En
total, Fortinet ha equipado 18 clústeres con chasis FortiGate-5060DC y 18
blades FortiGate-5001B. Así, Telefónica
se asegura que en cualquier momento
podrá incorporar nuevas funcionalidades de seguridad en el proyecto.
Para la administración y el reporting centralizado se han implementado dos FortiManager-3000C y dos
FortiAnalyzer-4000B. La compañía
tiene previsto aumentar la infraestruc-
septiembre 2014
tura física (blades) y lógica (VDOM) en
sucesivas fases del proyecto.
El FortiManager permite simplificar
drásticamente las tareas de administración de los numerosos firewalls físicos y
virtuales configurados en la solución, al
centralizar en una sola consola todas las
tareas de gestión de políticas y configuraciones. FortiAnalyzer, por su parte, no
sólo permite recoger y almacenar logs
de los eventos que TGT desee, sino que
además proporciona capacidades de
generación de informes de todo tipo,
de manera flexible y sencilla. Ambas
plataformas permiten la creación de
entornos virtualizados de administración
y de gestión de informes, con los que
poder formar, por ejemplo, jerarquías
de administración o delegar funciones
de administración o capacidades de
visualización o generación de informes.
El alto nivel de satisfacción de TGT
con el rendimiento ofrecido por los
equipos Fortinet ha llevado a la compañía a planificar la ampliación de su
capacidad en cuanto al número de
entornos virtuales en funcionamiento
y a plantearse la posibilidad de activar
alguna de las funcionalidades adicionales disponibles en las plataformas.
“Este proyecto demuestra la confianza depositada por Telefónica en la tecnología Fortinet. Es el primer paso en el
desarrollo de una plataforma que seguirá creciendo a medida que se aprovechen las capacidades de los dispositivos Fortinet”, señaló Acacio Martín,
director general de Fortinet Iberia.
al servicio de la seguridad
Socios Protectores:
www.fundacionborreda.org
empresa
noticias
Everis participa en el proyecto CAMINO para definir la
hoja de ruta contra el cibercrimen y el ciberterrorismo
La
Everis aeroespacial y
forma parte del consorcio de
empresas europeas que trabajan en
el proyecto CAMINO (por sus siglas
en inglés, Comprehensive Approach
to cyber roadMap coordINation and
develOpment), que contribuirá a definir las líneas de investigación en ciberseguridad y ciberterrorismo en Europa
en los próximos dos años.
Con un presupuesto de 1,2 millones de euros, la iniciativa tiene dos
propósitos principales: desarrollar una
agenda exhaustiva de investigación
en cibercrimen y ciberterrorismo, e
iniciar actividades a largo plazo para
proveer una plataforma estable que
cuente con expertos y organizaciones
de investigación en ciberseguridad.
Para ello, el proyecto, liderado por
ITTI (Polonia), se apoya en un consorcio de diez empresas
europeas con diferentes perfiles que responden a cuatro pilares principales: éticos,
tecnológicos, organizativos y legales.
división
defensa
Por su parte, la labor de Everis
Aeroespacial y Defensa será identificar
posibles carencias y desafíos a partir
del análisis de las directrices, hojas de
ruta y estrategias de ciberseguridad
existentes con el fin de completarlas;
así como seleccionar soluciones prometedoras de la investigación actual
para potenciar su ejecución.
Además, realizará un análisis de
riesgos sobre activos que se han
de proteger en Europa identificando amenazas, vulnerabilidades y
una revisión del estado del arte de
capacidades tecnológicas que deben
ser potenciadas. Por último, llevará
a cabo una serie de entrevistas con
expertos para completar los estudios
y análisis realizados sobre la situación
de la ciberseguridad en Europa; y
completará el estudio de tecnologías
con un análisis de
los aspectos éticoshumanos, organizacionales y regulatorios actuales que se
aplican en el campo
de la ciberseguridad.
Apple e IBM firman un acuerdo mundial para
transformar la movilidad empresarial
Redefinir el modo en que se trabaja
en las organizaciones, solucionando
los principales retos empresariales e
impulsando un cambio basado en la
movilidad. Con este objetivo Apple
e IBM ha anunciado la firma de un
acuerdo de colaboración mundial que
se sustenta en cuatro pilares principales: el desarrollo para iPhone e iPad de
más de un centenar de aplicaciones
específicamente orientadas al entorno
empresarial bajo la plataforma IBM
MobileFirst para iOS; la optimización
de los servicios cloud de IBM para
iOS, incluyendo gestión de dispositivos
a gran escala, seguridad, analítica e
integración móvil; la creación de un
nuevo servicio y soporte denominado
AppleCare y adaptado a las necesidades de cada empresa; y la comercialización de nuevas propuestas empaquetadas de IBM para la activación de
dispositivos, suministro y gestión.
Según Tim Cook, CEO de Apple,
“por primera vez estamos poniendo las
prestigiosas capacidades de big data
54
red seguridad
y analítica de IBM en las manos de los
usuarios de iOS, lo que abre una gran
oportunidad de negocio para Apple”.
Por su parte, Ginni Rometty, presidenta
y CEO de IBM, señala: "Esta alianza
impulsará de forma definitiva la introducción global de estas innovaciones
en nuestros clientes y aprovecha el
liderazgo de IBM en analítica, cloud,
software y servicios".
De esta forma, la alianza une las
capacidades tecnológicas de IBM,
con más de cien mil consultores en
distintas industrias, con la experiencia
de usuario e integración de Apple.
septiembre 2014
Red Hat adquiere la
empresa eNovance
La compañía Red Hat ha acordado la adquisición del proveedor
de servicios de cloud computing
open source eNovance por un
importe que ronda los 50 millones
de euros en efectivo y 20 millones
de euros en acciones ordinarias
de Red Hat.
La relación entre ambas empresas se remonta al año pasado,
cuando se asociaron para ofrecer servicios de implementación
e integración de OpenStack para
las organizaciones.
Ahora, con esta adquisición,
Red Hat quiere satisfacer la creciente demanda de consultoría,
diseño y despliegue empresarial
de OpenStack incorporando las
capacidades de integración de
sistemas y el talento técnico de
eNovance.
Trend Micro
presenta su nuevo
programa de canal
Trend Micro Partner Program
es el nombre del nuevo programa de canal que acaba
de anunciar la compañía y
cuyo objetivo es incrementar
aún más la productividad y
rentabilidad de sus más de
50.000 socios de canal en el
mundo. Tiene la particularidad de que combina los elementos clave de sus programas de partners regionales
con el de Norteamérica para
ofrecer ahora uno nuevo y
alineado en el ámbito global.
El programa, cuya implementación se completará
durante el primer trimestre
de 2015, incluye una estructura de compensación mejorada y una segmentación de
partners claramente definida;
una organización de los distribuidores estandarizada por
niveles; y equipos de consultores expertos dedicados a
identificar, desarrollar y asegurar nuevas oportunidades
de negocio con los socios.
empresa
noticias
Panda Security lanza un nuevo servicio que asegura todas las aplicaciones ejecutadas
Panda Security anunció en junio el lanzamiento de Panda Advanced Protection
Service (PAPS), un nuevo servicio de
la compañía española de ciberseguridad "que muestra el camino hacia el
que debería dirigirse la industria”. Así
lo transmitió Diego Navarrete, CEO de
la empresa, en un acto para la prensa
internacional celebrado en Madrid.
PASP es un servicio para el control
de aplicaciones enfocado a grandes
usuarios, que rompe con el tradicional sistema de detección de software maligno basado en listas negras.
Según explicó Navarrete, esta solución
plantea un modelo en el que se pasa
"de un modelo enfocado casi exclusivamente en técnicas de detección de
lo que es malo o sospechoso, a otro
centrado en asegurar la clasificación y
seguridad de todo lo que se ejecuta,
aunque no haya saltado ninguna alerta
en los algoritmos de detección". Este
servicio "reduce prácticamente a cero
la posibilidad de que el malware no sea
descubierto", afirmó el CEO de Panda,
y "clasifica todo lo que se intenta ejecutar y continúa monitorizando todas
mente toda la actividad de las aplicaciones en los endpoint y permite
obtener una trazabilidad completa de
dicha actividad". "En estos momentos,
ningún proveedor de la industria del
software de protección cuenta con una
herramienta similar", apostilló.
Diego Navarrete, CEO de
Panda Security.
las acciones realizadas por las aplicaciones para proteger también contra
posibles ataques a vulnerabilidades de
aplicaciones legítimas".
Por su parte, Josu Franco, vicepresidente de Desarrollo de Negocio
Corporativo de Panda, explicó que
PASP "clasifica y monitoriza continua-
Resultados probados
El nuevo servicio es el resultado de
dos años de trabajo de investigación,
desarrollo y ensayos de la compañía
española, que ya ha probado la eficacia
de esta herramienta en clientes como
Eulen o Mecalux. También ha complementado soluciones de partners, como
es el caso del Centro de Operaciones de
Ciberseguridad de Indra. "Los partners
son una pieza clave en la estrategia de
PASP, puesto que atienden a las necesidades de ciberseguridad global de los
clientes corporativos. Por ello, creemos
que PASP les ofrece una excelente
oportunidad para satisfacer las demandas de aquellos clientes preocupados
por el riesgo que corren sus datos y su
capital intelectual ante ataques dirigidos", aseguró Franco.
BREVES
Solución de F5 para
el APC de Cisco
ESET celebra el III
Security Forum
F5 Networks ha anunciado una solución para Cisco Application Policy
Infrastructure Controller (APIC) que
permite a los clientes con dispositivos de F5 desplegar servicios de
aplicación basados en políticas en
las capas 2-7 de red. De esta manera, quienes utilicen tecnologías de
Cisco y F5 de forma conjunta podrán
reducir los costes de operación manteniendo los mismos niveles de seguridad, disponibilidad y rendimiento.
El derecho al olvido, la ciberguerra, el
ciberacoso y las bitcoines han sido
los ejes principales sobre los que
giró el debate durante la III ESET
Security Forum, una jornada que
periódicamente celebra el fabricante
y que contó con representantes de
Inteco, la Guardia Civil o la Asociación
Nacional de Ciberseguridad y Pericia
Tecnológica (ANCITE), entre otros.
Nueva división de
seguridad de Avnet
Avnet Technology Solutions, mayorista global de soluciones TI y grupo
operativo de Avnet, ha anunciado
el lanzamiento de una división en
EMEA: Avnet Security & Networking
Solutions (ASNS). Su cometido será
ayudar a impulsar aún más su porfolio de soluciones y servicios de
seguridad y networking.
HP Atalla
HP ha lanzado las nuevas soluciones
HP Atalla, dirigidas a organizaciones
que necesitan proteger su información confidencial, como instituciones financieras, energéticas, distribuidores, proveedores de atención
sanitaria o gobiernos. Su finalidad
es proporcionar protección a la información almacenada de forma local
o en la nube, así como para datos
no estructurados como correos
confidenciales, facturas o historiales
médicos electrónicos.
'Malware' desconocido
Kaspersky Lab ha hecho pública una
investigación que revela la existencia
de una infraestructura internacional
utilizada para controlar de manera
remota implantaciones de malware y
que también ha permitido identificar
troyanos móviles para Android e iOS
hasta ahora desconocidos. Según
la compañía, estos módulos forman
parte de una solución “supuestamente legal”, llamada Remote Control
System (RSC), también conocida
como Galileo, y desarrollada por la
compañía italiana Hacking Team.
Las pérdidas causadas
por el cibercrimen
Sogeti, en colaboración con IBM, ha
publicado el libro Staying ahead in the
Cyber Security Game, en el que se
describen las amenazas, los cambios
y los desafíos en materia de seguridad a los que se enfrentan las empresas. En él se estima que el daño total
causado por el cibercrimen ronda los
500.000 millones de dólares.
red seguridad
septiembre 2014
55
empresa
noticias
nombramientos
Javier J. Corrales
Responsable de Desarrollo de Negocio de
S2 Grupo
Este ingeniero de Telecomunicaciones por la Universidad
Politécnica de Madrid se incorpora a la empresa española
especializada en ciberseguridad S2 Grupo proveniente de
Verizon, con el objetivo de reforzar el posicionamiento de la
compañía en España, Colombia, Rumanía y México.
Albert Puigsech
Gerente de la oficina de Barcelona de EY
La compañía refuerza su división de Seguridad de la
Información, dentro del Área de Consultoría, con la
incorporación de Puigsech como gerente de la oficina
de Barcelona. Su objetivo será impulsar en los clientes
los servicios de TI como proyectos de Penetration
Testing, Vulnerability Assessment Web Application
Security Analysis, Hacking Ético o servicios de análisis
forense en el entorno informático, entre otros.
Álvaro Barge
Director de TI de Brightstar 20:20 Mobile
El distribuidor especializado en telefonía móvil Brightstar
20:20 Mobile ha anunciado el nombramiento de Álvaro Barge
como nuevo director de Tecnología, en sustitución de César
Colado, que asume responsabilidades europeas. Barge,
ingeniero de telecomunicaciones, tendrá como objetivo
liderar los procesos de calidad y de desarrollo de soluciones
personalizadas para los clientes de la empresa.
ESTUDIOS
Ciberataques disruptivos
Según un estudio de BT presentado recientemente, los ciberataques disruptivos son
cada vez más eficaces a la hora de traspasar las defensas de seguridad, causando
graves trastornos y a veces dejando a las
empresas y organismos públicos inoperativos durante jornadas enteras. Esta investigación revela que el 41 por ciento de las
organizaciones de todo el mundo se vieron
afectadas por los ataques distribuidos de
denegación de servicio (DDoS) en el último
año, y tres cuartas partes de ellas (78 por
ciento) lo sufrieron dos o más veces en ese
mismo año. De ahí la inquietud a escala
global de las firmas consultadas, pues un
58 por ciento de las cuales considera esto
un asunto clave.
Razones por las que tienen
éxito los ciberataques
Check Point ha anunciado los resultados
de una encuesta que muestra que las razones del creciente número de ciberataques
exitosos estarían motivadas por el aumento
progresivo en la sofisticación del malware,
así como por la falta de inteligencia acerca
de las nuevas amenazas. El documento
también revela que el 31 por ciento de
los encuestados destacó que su empresa
había sufrido hasta 20 ataques con éxito
en los últimos doce meses, mientras que el
34 por ciento no pudo decir con exactitud
cuántos ataques habían sido realizados.
'Malware' para móviles
McAfee reorganiza su estructura interna en España
para integrar el porfolio y el equipo de StoneSoft
Coincidiendo con el aniversario de la
adquisición de Stonesoft por parte de
McAfee, María Campos, actual responsable en España del área Network de la
compañía, ha dado a conocer el estado
de la integración de ambas empresas.
Según la directiva, el proceso ha destacado por su rapidez. “Al principio era
una incógnita saber cómo se iba a llevar
a cabo, pero se ha producido a una
velocidad asombrosa. El primer día de
este año ya había finalizado”.
Fruto de este proceso, la compañía se estructura ahora en dos áreas:
Endpoint, que engloba la actividad tradicional de McAfee; y Network, que
desarrolla la estrategia de la compañía
en el entorno de la seguridad de red.
Es en esta última pata donde ha empezado a trabajar el equipo comercial
que provenía de Stonesoft. “El hecho
de presentarnos ahora como McAfee,
una marca de Intel Security, nos está
56
red seguridad
abriendo puertas”, comenta Campos.
“Además, tenemos más potencia de
cara al cliente, puesto que contamos
con la capacidad de vender bastantes
más productos que antes”, añade. La
directiva reconoce que tienen a su disposición más recursos que antes.
El objetivo ahora es, en palabras de
Campos, “ir a la base instalada de clientes de McAfee para presentar la nueva
división y sus soluciones”, cuyo núcleo
más importante dentro del entorno de
seguridad de red es Next Generation
Firewall (NGF). Es más, están empezando a observar una tendencia de
crecimiento positiva del área Network
durante el segundo trimestre del año,
con una distribución del 70 por ciento
en venta nueva y del 30 por ciento en
renovaciones, lo que, para la directiva,
supone un “crecimiento saludable”. El
objetivo es “crecer dos veces la media
de crecimiento del mercado”, concluye.
septiembre 2014
En su Informe de amenazas: junio de 2014,
McAfee Labs revela las nuevas tácticas de
malware para dispositivos móviles que se
basan en el abuso de la popularidad, características y vulnerabilidades de aplicaciones
y servicios legítimos para llevar a cabo sus
ataques. Por ejemplo, estos laboratorios
han descubierto que el 79 por ciento de
los clones del juego Flappy Birds contenían
malware, a través del cual los cibercriminales eran capaces de hacer llamadas sin el
permiso del usuario, instalar aplicaciones
adicionales, extraer información de la lista
de contactos, rastrear localizaciones, etc.
Más privacidad, pero
sin tomar medidas
EMC ha presentado el primer estudio mundial sobre las actitudes de los internautas
respecto a su privacidad en la Red, denominado Privacy Index, realizado a 15.000
usuarios de 15 países con resultados curiosos. Por ejemplo, el 73 por ciento de ellos
no está dispuesto a sacrificar su privacidad
a cambio de más beneficios en la red; sin
embargo, el 62 por ciento no cambia sus
contraseñas con asiduidad. Asimismo, más
de la mitad declara haber sufrido una brecha de seguridad, pero gran parte no está
tomando medidas para protegerse.
empresa
La UC3M potencia la
ciberseguridad
La institución, junto con Indra, crea una cátedra para
impulsar el desarrollo de proyectos conjuntos de I+D+i,
así como programas formativos en seguridad.
De izquierda a derecha, José Luis Angoso, director de Innovación y Alianzas
de Indra; Daniel Peña, rector de la Universidad Carlos III de Madrid; y Ascensio
Chazarra, director de Ciberseguridad de Indra, durante la firma del convenio.
La universidad Carlos III de Madrid
(UC3M) e Indra han creado la
Cátedra de Ciberseguridad, con la
idea de fomentar el desarrollo de proyectos y programas de investigación
e innovación científica y tecnológica
en el ámbito de la ciberseguridad
y la ciberinteligencia. En concreto,
ambas instituciones trabajarán conjuntamente en el desarrollo de nuevos conceptos, algoritmos y prototipos orientados a la detección y mitigación temprana de amenazas persistentes avanzadas (APT), las más
complejas y difíciles de detectar, así
como en la gestión de dinámica de
riesgos. También está previsto que
investiguen nuevos métodos para
compartir información de ciberseguridad y para mejorar el entrenamiento
y experimentación en esta materia a
través de la simulación.
Además de la actividad de I+D+i,
el acuerdo contempla el asesoramiento mutuo de ambas entidades,
así como el desarrollo de programas
formativos y de actividades de promoción y divulgación de la cultura
científica y los avances tecnológicos
en el ámbito objeto de la cátedra.
noticias
Bull y PrimeKey
fortalecen la
seguridad de los
datos corporativos
El fabricante de tecnología
Bull y el proveedor de infraestructura de clave pública
(PKI) PrimeKey se han unido
para mejorar la seguridad
de los datos mediante la
integración de la gestión de
claves del segundo con un
módulo criptográfico del primero. Así, gracias a este
acuerdo, la plataforma de
nueva generación TrustWay
Proteccio HSM (Hardware
Security Module) de Bull se
integra con EJBCA, la oferta
PKI de PrimeKey.
Esta solución garantiza la
generación y almacenamiento de claves en el módulo criptográfico TrustWay
Proteccio. Además, cumple
con los más altos estándares de certificación, incluyendo Common Criteria
EAL4 + y FIPS 140-2 Nivel 3.
Según Philippe Duluc,
vicepresidente de la División
de Seguridad de Bull, "este
acuerdo permitirá a las
organizaciones que utilizan
EJBCA PrimeKey responder
a las amenazas de seguridad y los requisitos de
cumplimiento de hoy y de
mañana". Así las empresas
pueden asegurar sus procesos críticos de forma transparente en sus operaciones.
CyberSource y Amadeus se asocian para optimizar las operaciones de
detección de fraude a través de los canales de reservas de viajes
El proveedor de sistemas de pago virtual perteneciente a Visa, CyberSource, y la compañía tecnológica especializada en la industria
de viajes, Amadeus, han formalizado una alianza estratégica internacional con el fin de ofrecer una solución de reserva de viajes integrada y de detección de fraude a las aerolíneas, las agencias de viajes y otras empresas del sector a escala mundial. Esta solución
incorpora un sistema de gestión contra el fraude, denominado Decision Manager, en la plataforma de pagos de viajes de Amadeus
(Amadeus Payment Platform, APP). De esta forma, Decision Manager puede ayudar a las compañías del sector a aceptar más
reservas legítimas, al tiempo que identifican las transacciones potencialmente fraudulentas y rebajan los costes operativos.
Según ambas compañías, esta solución combinada ayudará a las empresas de turismo de todo el mundo a maximizar sus ingresos, reducir costes y mejorar la experiencia de pago de los clientes a través de múltiples canales, como Internet, móvil, presencial o
centros de llamadas. En palabras de Celia Pereiro, Head of Travel Payments en Amadeus, este acuerdo ofrecerá a sus clientes "una
solución de pago de viajes con protección contra el fraude personalizada y mejorada, lo que les ayudará a optimizar sus operaciones
de negocio y a optimizar las tasas de aceptación, facilitando a los consumidores un proceso de pago más ágil".
red seguridad
septiembre 2014
57
empresa
entrevista
Emmanuel
Roeseler
Director de Sistemas y Tecnología
de Seguridad de IBM España,
Portugal, Grecia e Israel
Tras la creación de su
División de Sistemas
de Seguridad en 2011,
IBM ha desarrollado
“Actualmente, hace falta dar un
servicio prácticamente en tiempo
real para proteger al cliente”
un modelo propio de
protección para sus
clientes, en el que la
"seguridad inteligente"
es la "piedra angular".
Emmanuel Roeseler,
responsable de la
división, explica este
concepto enfocado
a mejorar la toma de
decisiones, así como la
aportación de Trusteer
-empresa adquirida
por IBM el año
pasado- para reforzar
las capacidades del
Gigante Azul frente al
fraude bancario.
58
red seguridad
Tx.: Enrique González Herrero.
Ft.: IBM.
En octubre de 2011, IBM puso en
marcha la División de Sistemas de
Seguridad. ¿Cómo ha evolucionado esta área desde que se creó?
Cuando arrancamos la división no
partimos de cero, sino que lo hicimos
sobre una tecnología ya existente, que
estaba probada en el mercado y que
procedía de los laboratorios de IBM o
de las empresas que hemos adquirido. Estamos hablando de tecnología
que existe desde hace entre cinco y
diez años. Esto ha sido clave para el
éxito de la división a nivel mundial.
El entramado se compone de seguridad de las personas, las aplicaciones,
los datos y la infraestructura. En IBM
pensamos que es importante ver esas
cuatro dimensiones ante cualquier reto
que se le plantee a un departamento
de seguridad. Pero la piedra angular
del arranque de la división fue una
capa nueva que está por encima de
estas dimensiones, la seguridad inteli-
septiembre 20104
gente. De lo que se trata con ella es de
contemplar esas cuatro dimensiones
al mismo tiempo y aprovechar todos
los datos que se generan para tomar
mejores decisiones.
Dentro de ese framework, hubo
un punto nuevo en agosto del año
pasado con la compra de Trusteer.
Con ella se abordó el llamado fraude
avanzado, que añadimos a la capa
de seguridad inteligente. Sirve en el
caso de una empresa con un sistema
maduro, que tiene en cuenta las cuatro dimensiones de las que hablaba
y una capa de seguridad inteligente,
pero aún así necesita proteger todavía más algunas puertas que no se
controlan; es decir, los clientes y los
empleados que acceden a las redes
corporativas desde sus propios dispositivos. Si habláramos, por ejemplo,
de la banca electrónica, hay que tener
en cuenta que, aunque un banco
tenga toda su seguridad controlada,
puede que el cliente tenga un malware
en su dispositivo y se cuele en la
red cuando accede a los servicios
de la entidad. En ese caso, primero
empresa
entrevista
“Nuestra idea es seguir desarrollando soluciones dentro
de IBM, pero también mirar en el mercado las empresas
que pueden añadir valor a nuestro porfolio”
avisamos al banco de que el usuario
tiene el dispositivo infectado y, como
servicio de valor, permitimos que el
cliente se descargue un antimalware
que limpie el dispositivo. Pensamos
aplicar este modelo también al comercio electrónico.
Con esta capa de protección ante el
fraude avanzado hemos conseguido
una mejor integración entre las distintas dimensiones que comentaba. Con
ello, nuestro departamento de X-Force
ha visto incrementado su potencial de
actuación, porque recordemos que
Trusteer posee más de 200 investigadores dedicados a ello.
¿En qué consiste el concepto de
"seguridad inteligente" que menciona y cómo ayuda a las empresas?
La forma tradicional de ver la seguridad consistía en detectar una vulnerabilidad y comprar una solución para
protegerse de ella. Pero esto ya no
es viable. Ahora hay oportunidades
de negocio que abren ventanas hacia
afuera, como por ejemplo las redes
sociales, por lo que el departamento
de seguridad necesita entender lo que
está haciendo la empresa.
La seguridad inteligente sirve para
tener visibilidad. Cuando un director
de seguridad ve que otras empresas
están siendo atacadas, se preguntará si eso mismo le puede pasar a
su compañía. Pero si no tiene una
herramienta que le permita comprobar si existe dicha vulnerabilidad,
tiene un problema. Es necesario
que pueda saber rápidamente si
su negocio está protegido o no.
La capa inteligente es el gestor de
seguridad que le permitirá despejar
esa duda.
En segundo lugar, esa visibilidad
permite tener el control e incluso conocer qué puede hacer un
malware si entra en el sistema, cuáles son los puntos de entrada y las
vulnerabilidades.
Lo tercero es que permite la automatización, porque el departamento
de seguridad no es ajeno a todo lo
que sucede fuera. Tener sistemas
de seguridad inteligente de primera generación reduce el número de
eventos que suceden en la compañía. Como cada vez se generan más
datos, hay empresas que registran
hasta mil eventos diarios. Controlar
eso es inviable, hay que reducir el
número de eventos a lo mínimo, a los
más importantes.
La división que dirige se conformó a través de la compra de
varias compañías, entre ellas
Trusteer. ¿Va a continuar IBM con
esa política de adquisiciones en
los próximos años?
No hay nada que indique que vayamos
a hacer las cosas de distinta manera.
La idea es seguir desarrollando soluciones dentro de IBM, pero también
mirar en el mercado las empresas que
pueden añadir valor a nuestro porfolio. Como la seguridad es un sector
que cambia continuamente, lo lógico
es pensar que seguiremos haciendo
exactamente lo mismo.
¿Qué tipo de soluciones está
desarrollando IBM en este
momento y a qué segmento del
mercado están dirigidas?
La banca será uno de los sectores a
los que vayan dirigidas, ya que era uno
de los caballos de batalla de Trusteer.
Mi opinión es que, teniendo en cuenta
que la seguridad se está sectorizando
porque hay grupos que atacan no
ya sólo a sectores sino a empresas
concretas, veremos soluciones más
específicas.
También es muy probable que haya
soluciones para defensa, teniendo en
cuenta que vamos a trabajar con el
Ministerio de Defensa israelí. El año
pasado fuimos la primera empresa
en invertir en la creación de un Silicon
Valley de compañías y soluciones de
seguridad en aquel país.
Y por último, está claro que el
comercio electrónico será otro de los
sectores a los que prestemos atención.
Es este caso estamos actuando ya.
¿Cuáles son las principales tendencias de malware actualmente? Uno de los últimos informes
del X-Force de IBM hablaba de
registros de identificación personales, pero hay otras amenazas…
El informe de X-Force saca un diagrama donde se pueden ver los ataques
del año, el impacto que han tenido y
de qué tipo han sido. En ese informe,
la tendencia que vemos es que cada
vez hay más ataques. Se puede ver
que la mitad son undisclosed [desconocidos], pero la otra mitad son
patrones de ataque contra vulnerabilidades conocidos, que detectamos en
IBM hace mucho tiempo y se podían
haber evitado.
Hay cada vez más malware desconocido que se prepara para una
empresa en concreto. Para hacerle frente, adquirimos la compañía
Trusteer, porque aunque estén
presentes las capas de inteligencia, ni siquiera así es suficiente.
Actualmente, hace falta dar un servicio prácticamente en tiempo real
para proteger al cliente.
Por otro lado, estamos viendo ataques a las aplicaciones móviles, que
son vulnerables porque quienes las
desarrollan no están pensando en
la seguridad. Antes sufrían más ataques los sistemas operativos, pero
ahora se dirigen sobre todo a las aplicaciones. Como cada vez hay más
aplicaciones y usuarios que acceden
a ellas, mucha gente malintencionada se ha movido hacia ese terreno.
En cuanto al tipo de ataque, ya no
vemos que se utilice un único patrón.
Ahora, por ejemplo, vemos un ataque de denegación de servicio y, una
red seguridad
septiembre 20104
59
empresa
entrevista
vez que el departamento de seguridad pone el foco en el problema, por
detrás se lanza otro ataque más sutil
que es el realmente importante.
También están los ataques Watering
Hole [abrevadero]. En la caza, los
cazadores se sitúan cerca del agua
donde paran a beber los animales.
La idea es la misma. Por ejemplo, si
el objetivo son los turistas que van a
viajar a Turquía, los malos saben que
probablemente visitarán las páginas
del tiempo del país. Por ello, sitúan
ahí el malware sabiendo que entrarán
muchos usuarios y alguno de ellos no
tendrá protegido su dispositivo.
El Cloud Computing también presenta muchos retos en materia de
seguridad. ¿Cómo afronta IBM la
protección de las empresas en
este entorno?
Cuando pensamos en asegurar un
entorno cloud, lo primero que hay
que tener en cuenta es que es un
entorno virtualizado. El problema es
que, cuando hay miles de máquinas
virtuales dependientes de una física,
si hay un problema con una de ellas
no se puede aislar fácilmente. Las
soluciones de seguridad de IBM permiten aislar esas máquinas y actuar
sobre ellas sin que afecte al resto de
aplicaciones que están corriendo en
la máquina física.
Hay que tener en cuenta que existen varios tipos de cloud. Si nos
referimos a empresas que tienen una
parte virtualizada de su infraestructura o de sus aplicaciones, tenemos
soluciones para todos los gustos.
Las compañías que se benefician del
cloud quieren que sus usuarios puedan acceder de manera transparente
a aplicaciones dentro de la compañía
y a otras que están fuera. Para ellas,
está la capa de gestión de control
de usuarios y accesos, que permite
al usuario entrar en las aplicaciones
y a la empresa conocer a cuáles
está accediendo y desde dónde. De
esa manera puede llevar un mayor
o menor control del acceso de esa
persona.
Y el Big Data, ¿qué presenta más
para las corporaciones, oportunidades o desafíos?
Ginni Rometty [presidenta de IBM]
ya dijo que el 80 por ciento de
los datos que tenemos hoy se han
generado en los últimos dos años.
Yo veo el Big Data como una oportunidad por la capa inteligente de
seguridad, porque lo que quiere
hacer es aprovechar toda la información que se está generando de
dispositivos cada vez más inteligentes para tomar mejores decisiones.
Rometty dice además que los datos
son la materia prima del siglo XXI,
por lo que es una oportunidad para
todos.
Pero hay otra faceta que es: si
se están generando cada vez más
datos y entre ellos los hay de carácter sensible, hay cada vez más datos
que proteger. Cualquier director de
seguridad tiene que pararse a pensar cuáles son sus datos sensibles
y dónde están. Porque si antes era
relativamente fácil conocer dónde
estaban los datos sensibles y protegerlos, porque estaban en un
sitio aislados, ahora hay que diferenciar entre datos estructurados y
no estructurados. Los primeros son
los que se pueden aislar fácilmente,
pero los no estructurados son los
que están en llamadas telefónicas,
correos, etcétera. Hay que saber
protegerlos.
Hemos de tener en cuenta que
hay personas que cometen errores
de forma no voluntaria. Además de
educar, es importante tener otros
mecanismos para proteger los datos.
Lo que más hay que mirar con cuidado son los individuos, que pueden
estar generando o compartiendo esa
información. Hay que ver cómo, sin
impedir el negocio, proteger a la
empresa.
¿Cómo cree que ha afectado la
crisis económica a la seguridad?
¿La reducción de las inversiones
ha supuesto que las empresas
estén hoy en día menos protegidas?
Hay empresas que para nada han
invertido menos, de hecho han invertido más. La reacción humana indica
que si has sufrido un ataque y sabes
lo grave que puede llega a ser, no te la
puedes jugar. Aunque algunas empresas se la estarán jugando, yo aprecio
se está invirtiendo en el área de seguridad. Eso sí, ahora hay que hacer
más con menos; es decir, ser más
eficientes.
Emmanuel Roeseler lleva al frente de
la División de Sistemas y Tecnología
de Seguridad de IBM desde enero de
2012.
60
red seguridad
septiembre 20104
Previnmen control parental en Internet es un proyecto creado por padres con la vocación de ayudar a
otros padres a supervisar y a orientar a nuestros hijos menores de edad en el uso de las nuevas tecnologías,
el entorno donde ellos desarrollan gran parte de su actividad y relaciones sociales.
El centro de nuestra actividad es el control parental en internet, para ello desarrollamos un software que
se descarga e instala en las plataformas donde su hijo suele acceder a internet: ordenadores personales,
teléfonos móviles y tablets. Nuestro software ha recibido varios premios tecnológicos en EEUU como el de la
prestigiosa revista PC Magazine.
El control parental en internet realizado a través de nuestro software graba, alerta y puede bloquear
determinadas actividades en la plataforma donde se instala, realizando una labor de prevención ante
determinadas situaciones de riesgo potencial para el menor como desordenes alimenticios, cyberacoso,
grooming o problemas con alcohol o drogas.
Te ayudamos a supervisar y orientar
a tus hijos en el uso de internet
www.controlparentalinternet.com
protección de datos
opinión
Evaluaciones de impacto en la
protección de datos personales
José Luis
Rodríguez Álvarez
Director de la Agencia Española de
Protección de Datos
En la sociedad de la información global
en la que vivimos, cada día se ponen
en circulación nuevos productos o se
ofrecen nuevos servicios que hacen
un uso intensivo de los datos personales. Baste señalar que, según las
previsiones de la consultora IDC, en
el año 2020 se habrán generado en el
mundo 40.000 millones de Exabytes
(un Exabyte equivale a 1018 bytes, un
trillón de bytes), que en gran parte provendrán de los 30.000 millones de dispositivos conectados que, de acuerdo
con las previsiones de Gartner Group,
habrá para esas fechas.
El tratamiento masivo de todos
estos datos genera un valor económico gigantesco, pero tiene un fuerte
impacto en la esfera de la vida privada
de las personas. Ejemplo de ello es
el análisis predictivo para caracterizar
consumidores, segmentar mercados
o definir hábitos de consumo, y realizar análisis de riesgos financieros o
luchar contra el fraude fiscal.
Por ello, aunque en modo alguno
hayan de abandonarse los actuales
mecanismos de supervisión y exigencia del cumplimiento de la norma, sí
que es necesario complementar esta
aproximación con la promoción de un
enfoque proactivo, de un compromiso
responsable, para evitar o minimizar
los riesgos para la privacidad de las
personas en el diseño de nuevos pro-
62
red seguridad
ductos y servicios. De esta manera, se
pondrán los medios necesarios para
atajarlos antes de que se materialicen.
Para llevarlo a cabo, resulta necesario
que, desde los primeros momentos
del desarrollo de un nuevo producto,
servicio o sistema de información y a lo
largo de todo su ciclo de vida, se tengan
en cuenta los principios y derechos de
protección de datos, y los requerimientos en materia de seguridad para que se
incorporen los controles, protocolos y
procedimientos necesarios para garantizar su aplicación.
Con ello se consigue no sólo una
mayor eficacia en la protección de los
derechos de los afectados, sino también evitar algo que, por desgracia,
sucede con demasiada frecuencia:
la reconvención a posteriori de la
norma a la tecnología. Esto es, una
vez que el producto o servicio ha sido
desarrollado, o incluso implantado, se
aprecia su ilegalidad, con todos los
costes que ello implica, económicos y
muchas veces también de reputación.
Evaluación de impacto
Esta incorporación temprana de los
requisitos de privacidad a un proyecto
es lo que se ha venido a denominar Privacidad y Seguridad desde el
diseño y, para su correcta implantación, las Evaluaciones de Impacto en
la Protección de Datos Personales
septiembre 2014
(EIPD) son una herramienta imprescindible que consiste, básicamente,
en un ejercicio de análisis y gestión de
riesgos para identificar aquéllos que
pudieran existir para la privacidad y la
protección de datos personales y para
adoptar las medidas y controles necesarios para eliminarlos o, al menos,
mitigarlos hasta un nivel aceptable.
Expresado en términos más técnicos,
como hacen Wright y De Hert en su
trabajo Privacy Impact Assessments,
“una metodología para evaluar el impacto en la privacidad de un proyecto,
política, programa, servicio, producto
o cualquier iniciativa que implique el
tratamiento de datos personales y, tras
haber consultado con todas las partes
implicadas, tomar las medidas necesarias para evitar o minimizar los impactos
negativos. Una evaluación de impacto
en la privacidad es un proceso que
debería comenzar en las etapas más
iniciales que sea posible, cuando todavía hay oportunidades de influir en el
resultado del proyecto”.
Las evaluaciones de impacto en
la protección de datos personales
son una herramienta nueva en nuestro país, pero que lleva ya décadas
utilizándose, fundamentalmente en
los países de habla inglesa como
Australia, Canadá, Estados Unidos,
Nueva Zelanda y, más recientemente, en Reino Unido. En la Agencia
protección de datos
opinión
Los responsables de tratamientos de datos personales
han de ser capaces de demostrar su compromiso con
los derechos de los ciudadanos y el cumplimiento de sus
obligaciones legales
Española de Protección de Datos
(AEPD) consideramos que ya es una
técnica madura y contrastada cuyo
uso puede reportar grandes beneficios, no sólo para preservar mejor
la privacidad de las personas sino
también para ahorrar a las organizaciones costes económicos, de imagen y reputacionales si se produce
un incidente que pudiera haber sido
previsto y atajado.
Por esta razón, a pesar de que
en España en estos momentos no
existe ninguna obligación legal de realizar evaluaciones de impacto de esta
naturaleza en ningún sector o ámbito específico (aunque podría existir en breve si se aprueba el nuevo
Reglamento General de Protección de
Datos de la UE en los términos en los
que se está discutiendo), la Agencia
ha querido proporcionar una guía para
facilitar el proceso de puesta en marcha de las EIPD.
Esta guía puede ayudar a aquellas organizaciones que apuesten por
mejorar sus políticas de protección de
datos y por identificar y mitigar los riesgos que para la privacidad tienen sus
tratamientos de datos personales, proporcionándoles un marco de referencia
para el ejercicio de ese compromiso
responsable que, a la vez, contribuya
a fortalecer la protección eficaz de los
derechos de las personas.
En el proceso de redacción de la
Guía para una Evaluación de Impacto
en la Protección de Datos Personales,
la Agencia ha publicado un primer
borrador y ha puesto en marcha una
consulta pública sobre el texto. Con
ello, ha querido contar con las contribuciones de todas aquellas personas
y organizaciones que han deseado
expresar su opinión, realizar comentarios o formular sugerencias sobre los
contenidos y estructura de la misma,
en el convencimiento de que serían
una valiosa aportación para conseguir
un documento más útil y práctico.
Resultados
Cuando se redacta este artículo, ha
finalizado dicho proceso de consulta
con un resultado que podemos considerar muy satisfactorio: un porcentaje
superior al 90 por ciento de quienes
han contestado a la encuesta consideran la estructura de la guía y sus
apartados adecuados, un 82 por ciento considera el lenguaje y los términos
en que está redactada correctos, y
un 86 por ciento cree que los criterios expuestos para decidir sobre la
necesidad de realizar una EIPD son
apropiados. Además, los comentarios
que hemos recibido nos han aportado
valiosas reflexiones que se están analizando para proceder a la redacción del
documento definitivo.
En cualquier caso, la guía está
concebida como un marco flexible,
que proporcione un modelo estructurado en el que apoyarse a la hora de
realizar las evaluaciones de impacto,
pero que no es invariable, sino que,
mientras se respeten sus aspectos
fundamentales, cada organización
podrá (e incluso deberá) adaptarlo
a su estructura, a su cultura y a sus
necesidades.
También hay que recalcar que cada
vez se abre paso con más fuerza la
idea de que los responsables de tratamientos de datos personales han de
ser capaces de demostrar su compromiso con los derechos de los ciudadanos y el cumplimiento de sus obligaciones legales (accountability). Para
ello, la realización de una evaluación
de impacto siguiendo las directrices
de la guía redactada por la AEPD, aunque no podrá ser considerada como
un criterio de exención de eventuales
responsabilidades en caso de que se
incurra en vulneración de la normativa
de protección de datos, sí va a ser tenida en cuenta por la Agencia como un
elemento relevante a la hora de valorar
si se ha adoptado la diligencia debida
en la implementación de las medidas
adecuadas para cumplir con las exigencias legales.
Por lo tanto, además del marco
de referencia configurado por la guía
que la Agencia pone a disposición de
las distintas organizaciones públicas
y privadas, siempre daremos la bienvenida a iniciativas sectoriales que,
manteniendo los elementos esenciales contenidos en ella, propongan las
modulaciones o especificaciones que
sean convenientes para adaptarlos a
las necesidades y características de
cada sector concreto.
Finalmente, les animo a todos ustedes a que hagan uso de la Guía para
una Evaluación de Impacto en la
Protección de Datos Personales que
la AEPD les propone, adaptándola a
sus necesidades e integrándola en los
procesos de gestión de proyectos de
su organización, con la seguridad de
que su implantación contribuirá en
gran medida a fomentar y extender la
cultura de la protección de datos personales en España.
red seguridad
septiembre 2014
63
novedades
noticias
Fujitsu presenta su solución de 'backup' Eternus
CS800 Data Protection Storage Appliance
Desarrollado para gestionar eficazmente el crecimiento exponencial
de los datos en las empresas de forma simple y transparente, Fujitsu ha
iniciado la comercialización de su quinta generación Eternus CS800 Data
Protection Storage Appliance. Se trata de un equipo que proporciona
copia de seguridad plena en disco, a lo que añade funciones de replicación y software path-to-tape en todas sus versiones.
Una de sus principales características es que ofrece almacenamiento
desde los 4 TB hasta 360. De esta forma, las empresas pueden empezar
con la configuración que mejor se adapte a sus necesidades de backup,
con la posibilidad de agregar capacidad adicional en el futuro si les hiciera
falta. Asimismo, integra de forma estándar una amplia protección frente a desastres, replicaciones
bidireccionales y de 1:2 entre
diferentes sistemas Eternus
CS800, tanto en centros de
datos como en modo cloud;
mientras que las copias adicionales también pueden darse en
cinta para los casos de recuperación ante desastres.
www.fujitsu.com
HP lanza un servicio
para reducir riesgos
de seguridad de TI
La compañía HP ha dado a
conocer sus nuevos servicios de consultoría para ayudar a los clientes a tomar
decisiones rápidas sobre los
riesgos de la seguridad de
la información en sus organizaciones. Con el nombre
HP Security Metrics Services
ofrece una metodología en
proceso de ser patentada y
un marco de trabajo especial
para demostrar más claramente el potencial que un
incidente de seguridad puede
tener en los objetivos de una
organización. Para ello utiliza los datos de seguridad
de fuentes existentes en las
organizaciones, así como
los parámetros establecidos,
para ofrecer una alerta clara
de cuándo los objetivos de
negocio empresariales están
en riesgo. De esta forma, los
usuarios pueden identificar
su origen y tomar medidas
oportunas para solucionarlo.
www.hp.es
64
red seguridad
Seagate Dashboard 2.0,
seguridad automatizada
para PC, Mac y móvil
Realizar copias de seguridad para los
ordenadores (PC y Mac), dispositivos
móviles (iOS y Android) y redes sociales. Ésa es la finalidad de la aplicación
Seagate Dashboard 2.0, un software
que protege los archivos digitales de
empresas y usuarios particulares de
manera muy sencilla. De hecho, incorpora dos opciones automáticas para
realizar copias de seguridad: programada o continua. A la vez, también
permite guardar fotos y vídeos generados por el usuario, incluso contenidos
etiquetados, directa y automáticamente desde las redes sociales. Por último, se integra perfectamente con la
aplicación Seagate Mobile Backup en
dispositivos tanto iOS como Android a
través de una red Wi-Fi, o usando servicios como Dropbox o Google Drive.
www.seagate.com
septiembre 2014
Quinta generación
de arquitectura de
red óptica basada
en SDN
Huawei ha anunciado el
lanzamiento de la quinta
generación de arquitectura de red óptica basada en
SDN (Redes Definidas por
Software), denominada Flex
Optical Network. Incluye
tuberías de resiliencia ultralargas con capacidad para
soportar capas ópticas y
eléctricas flexibles; sinergia
transversal de capas IP y
ópticas, gestión de grupos
NE intersectoriales y sinergia
para redes wavelength-OTNEthernet basada en NE; y
aperturas habilitadas para
redes SDN.
www.huawei.com/es
Nuevas soluciones
de protección de
red de Arkoon y
Netasq
Con el nombre Stormshield
Network Security, Arkoon
y Netasq, subsidiarias de
Airbus Defence y Space, han
puesto en marcha una nueva
generación de soluciones de
protección de red. Esta línea
de productos complementa a la gama Stormshield
Endpoint Security de protección para estaciones de
trabajo, incluso de amenazas
desconocidas Zero day, y a
la familia Stormshield Data
Security de protección de
datos, proporcionando seguridad de extremo a extremo
a las organizaciones frente a
las amenazas cibernéticas.
Básicamente, comprende
nueve appliances que cubren
todo el espectro de necesidades de seguridad, desde
la protección de los sistemas
frente a amenazas internas y
externas, hasta el control de
uso de estaciones de trabajo.
www.arkoon-netasq.com
noticias
Mayor protección para pymes con Worry-Free 9.0
Trend Micro ha optimizado su solución Worry-Free Business Security
con el lanzamiento de la versión 9.0, especialmente diseñada para ofrecer protección completa del usuario a la pequeña y mediana empresa,
incluidos sus dispositivos móviles. En palabras de Eric Skinner, vicepresidente de Marketing de Soluciones de la empresa, "Worry-Free Business
Security proporciona un enfoque completo de la seguridad, ya sea en
entornos de oficina o sobre la marcha”, explica.
Entre las principales novedades que incorpora esta nueva versión, se
encuentran la mejora de sus políticas de seguridad, incluyendo capacidades Remote Wipe y Devices Access Control, para eliminar de forma
segura todos los datos de los dispositivos
BYOD en caso de robo o de que se produzca una brecha de datos; la integración
con Microsoft Exchange ActiveSync para
la gestión simplificada de dispositivos
móviles; y el soporte para Windows 8.1,
Microsoft Exchange 2013 y plataformas
Mac. Por último, destaca tambén la optimización del rendimiento universal, lo que
disminuye el tiempo de escaneo e instalación de la aplicación
www.trendmicro.es
CaixaBank lanza una pulsera Visa que permite realizar
compras acercando la muñeca al datáfono
Por primera vez en europa una entidad bancaria, en este caso CaixaBank, ha
lanzado una pulsera Visa para realizar compras sin contacto en los comercios
adaptados a esta nueva forma de pago. De esta forma, sus clientes podrán llevar
la tarjeta en la muñeca y realizar pagos más cómodamente en más de 300.000
comercios en España. La pulsera, con cierre ajustable, materiales antialérgicos
y resistente al agua y a la humedad, lleva en su interior un microtag
con la información encriptada de
la tarjeta del cliente, protegida con
las mismas garantías de seguridad
que las tarjetas habituales (sistema
EMV). Este chip permite conectar la
pulsera con los datáfonos y realizar
transacciones como si fuera una
tarjeta contactless normal.
www.caixabank.com
novedades
Panda anuncia
GateDefender
eSeries 5.5
Panda Security mejora las
funcionalidades de su gama
de dispositivos de seguridad
perimetral integral Panda
GateDefender eSeries con el
lanzamiento de la versión 5.5.
Entre las novedades que presenta, sobresalen mejoras en
el asistente de configuración,
nuevas opciones de monitorización de la red en tiempo real y una VPN robusta y
escalable de última generación
que destaca por su capacidad de proporcionar múltiples
VPNs, permisos de acceso
muy granulares y una gran
escalabilidad. También incluye
un nuevo control de aplicaciones capaz de reconocer y
bloquear más de 170 utilidades como Facebook, Skype,
Spotify o WhatsApp para salvaguardar el negocio.
Por otro lado, ofrece la posibilidad de desplegarlo en
modo hardware, software o
virtual, en los tres casos con
conectividad flexible a través de una única y sencilla
interfaz, accesible en todo
momento gracias a la tecnología cloud.
Finalmente, incluye la opción
de monitorización en tiempo
real de la red, mediante una
intefaz intuitiva que permite
generar informes personalizados muy detallados.
www.pandasecurity.com
Synology presenta su nuevo 'software' de vigilancia
de cámaras IP Surveillance Station 6.3
Ya está disponible para la nueva versión de Surveillance Station 6.3, el sistema de grabación de vídeo en red (NVR) de Synology destinado a potenciar la
seguridad mediante la supervisión de cámaras IP. Esta edición mejora la experiencia de visualización, permitiendo a los usuarios ver en
directo y reproducir imágenes en hasta 64 canales a 720p al mismo
tiempo en una sola pantalla. También posibilita realizar transmisiones
en streaming en dispositivos móviles con un ajuste automatizado,
facilitando una monitorización fácil e inteligente desde cualquier
lugar. Es compatible con más de 2.700 modelos de cámaras IP.
www.synology.com
red seguridad
septiembre 2014
65
asociaciones
noticias
ISMS Forum organiza el IV Encuentro Cloud Security Alliance España
Las instalaciones de CaixaForum Madrid acogieron por
segundo año consecutivo el Encuentro anual de profesionales de la seguridad cloud organizado por el Capítulo Español
de Cloud Security Alliance (CSA-ES), iniciativa de ISMS
Forum. Bajo el título "Adoptando y Adaptando cloud en
un mundo global", medio centenar de expertos debatieron
sobre las últimas novedades en materia de seguridad en el
entorno cloud, y el valor de la certificación de proveedores
de servicios como primer paso para alcanzar la transparencia y la estandarización de metodologías y controles que
permitan una migración segura a la nube.
El comienzo de las intervenciones corrió a cargo de Luis
Buezo, presidente de CSA-ES, quien destacó la gran adopción que el entorno cloud está teniendo en nuestro país y
puso sobre la mesa la obligación por parte de la institución de
realizar anualmente un estudio del
estado del arte de esta tendencia.
A continuación, tomó la palabra
Daniele Catteddu, director general
de CSA-EMEA, quien anunció que
en Europa varios estados miembros ya están proponiendo esquemas de certificación para servicios
cloud, algo sobre lo que también
se está avanzando en otros países
como Estados Unidos, Singapur,
Tailandia o China.
Durante la jornada también intervino Carles Solé, director
del Spanish Cyber Security Institute, con una ponencia
sobre la seguridad en cloud y el papel que deben desempeñar los CISO a la hora de almacenar información corporativa
en la nube y elegir un proveedor para ello.
Asimismo, por parte de la Cloud Security Alliance participaron Agustín Lerma, lead assessor, que habló sobre
CSA STAR y sus beneficios; Mariano Benito, coordinador
del Comité Técnico Operativo, que puso sobre la mesa la
importancia de las certificaciones en el entorno cloud; y Jorge
Laredo, miembro del Comité Técnico Operativo, que anunció
a los asistentes la disponibilidad de la traducción al español
de la versión 3 del Cloud Controls Matrix (CCM) y su adaptación al Reglamento de la Ley Orgánica de Protección de
Datos (RLOPD) y al Esquema Nacional de Seguridad (ENS).
Finalmente, la jornada concluyó con una mesa redonda
sobre experiencias prácticas
en la adaptación de cloud
moderada
por
Gianluca
D'Antonio, presidente del ISMS
Forum, y en la que participaron
Josep Bardallo, de SVT Cloud;
Carles Solé, del Instituto
Español de Ciberseguridad; y
Roberto
Baratta,
de
Novagalicia Banco.
EuroCloud quiere difundir las ventajas de la
tecnología 'cloud' a pymes y particulares
El pasado mes de junio, la asociación de
tecnologías cloud y big data, EuroCloud
España, celebró en la Escuela de
Organización Industrial (EOI) de Madrid
su asamblea general anual, en la que,
por medio de su presidente, Pedro M.
Prestel, y vicepresidente, Francisco
J. González, presentaron el Proyecto
EuroCloud 2014-2015. Su objetivo,
en palabras del primero, es “difundir e
impulsar las ventajas de la tecnología
cloud a pymes y a particulares”.
Este plan supone la puesta en marcha
de una serie de novedades importantes.
En primer lugar, se van a llevar a cabo
distintos cambios internos en la asociación, pasando por una restructuración
de varias áreas funcionales, así como
por una actualización de la imagen corporativa y de la página web.
Otros dos ámbitos de actuación son la
formación y la información. En el primer
caso, en los próximos meses celebrará
varios talleres prácticos sobre cloud
para usuarios finales y profesionales; e
impartirá cursos MooC sobre cloud en
la plataforma “Actívate”, con la colaboración de EOI y Google.
66
red seguridad
Respecto al segundo aspecto, va a
poner en marcha dos boletines informativos, CloudNews y CloudBulletin, para
dar a conocer las novedades de la asociación y del sector a las empresas europeas; y organizará paneles de expertos
y estudios de mercado del sector, con
el fin de ofrecer datos a la comunidad
de usuarios y profesionales interesada
en la nube. Además, a esto se une
que en septiembre comienza a trabajar
la Comisión de Confianza Cloud, que
promocionará la importancia de la seguridad en la nube a través de distintas
acciones, con el fin de ofrecer confianza
a las organizaciones para animarlas a
que trabajen en este entorno.
Finalmente, y en el ámbito más institucional, Eurocloud ha suscrito un convenio de colaboración con Red.es para la
certificación de aplicaciones y soluciones cloud para empresas proveedoras;
y está impulsando la EuroCloud Star
Audit, la primera certificación europea de
Soluciones Cloud Computing dirigida a
empresas de servicios cloud (IaaS, Paas,
SaaS y Business Process). “Queremos
establecer un marco legal para asesorar
septiembre 2014
Pedro M. Prestel, presidente de
EuroCloud España.
a las empresas que lo requieran para
certificarse. Nuestra intención es que la
asociación sea el vehículo para acceder
a la certificación, lo que le dará una
garantía oficial”, explica Prestel.
Por último, durante la asamblea también se celebraron distintas presentaciones, conferencias y mesas redondas que trataron el futuro del cloud y
la transformación del negocio en las
pymes, y se entregaron los premios de
la edición nacional de Eurocloud 2014.
Situación actual y tendenciaS del
Facility Management & Services
16 octubre
Madrid
Hotel Husa
Princesa
c/ Princesa 40
Salón Rosales
(edificio el corte inglés)
Revista
Organiza
Patrocinan
copatrocinan
colabora
IIi S
C ongreSo n aCional
eguridad
P rivada
18 noviembre 2014
madrid. iFema
COLABORaN:
MINISTERIO
DEL INTERIOR
organizan:
GOBIERNO
DE ESPAÑA
de

www.redseguridad.com

Transcripción

Documentos relacionados

The Internet, IP, Everything and Everything Else