CyberSecurity
Cyber Security News / Cyber Security News
1
NEWS
Revista especializada en ciberseguridad. Ejemplar gratuito.
Nยบ2 Noviembre 2019
Multicloud: Un entorno prometedor que hay que defender
Juan Luis Cruz, Hospital Puerta de Hierro
Mar Lรณpez, Departamento Seguridad Nacional
Alberto Lรณpez, Grupo Comar CyberSecuritynews | Noviembre 2019
3
Editorial
E
La nube: el cambio de paradigma que hay que proteger
l cloud o multicloud es cada vez más relevante en la sociedad, una tecnología usada tanto a nivel empresarial como a nivel personal por millones de usuarios en la red. Con esta tecnología ganamos en comodidad, eficiencia, rapidez e incluso beneficios económicos en las empresas. Pero para llevar nuestros activos personales y profesionales como los datos de nuestros clientes a entornos cloud o multicloud debemos de tener igualmente una apuesta clara por la seguridad de dichos activos, una seguridad que debe de ir mucho más allá de la propia ofrecida por los proveedores cloud. Por ello, por la relevancia que ya tiene y que tendrá la seguridad cloud, creamos este especial de CyberSecurity News. Y en este texto introductorio hacemos un rápido repaso sobre los contenidos tan interesantes y curiosos que trataremos sobre esta tecnología y desde muchos puntos de vista diferentes. • En el sector de la educación, el 76% almacenan datos sensibles en el cloud. • Los servicios en la nube representan en la actualidad el 85% del total del tráfico web empresarial. • España está entre los 10 países mejor preparados para la adopción y crecimiento en la nube. ¿Queréis saber qué posición ocupa en este ranking? ¡Os invitamos a leer la revista! CYBERSECURITY NEWS Edita: Digital Tech Communications Group S.L. C/ Núñez Morgado, 5 (local) 28036 MADRID CIF: B87917563 Depósito legal: M-11022-2018 www.cybersecuritynews.es info@cybersecuritynews.es
• En la primera mitad del año 2019 se habrían producido
más de 15 millones de intentos de acceso no autorizados a los cuales también se les podría considerar como ciberataques, en la nube. • “Si usamos un servicio de almacenamiento hemos de ser conscientes de que la información estará almacenada en los servidores del proveedor y si sufre un incidente, nos veremos afectados”. Marco Lozano, responsable de Servicios de Ciberseguridad para Empresas y Profesionales de INCIBE nos lo cuenta en un interesante artículo que podéis leer en esta revista. • La principal preocupación de los profesionales de la ciberseguridad en relación a la seguridad en entornos cloud es la fuga y pérdida de datos. • “Si no puedes con tu enemigo, únete a él: el cloud ha llegado para quedarse”. El CISO de una empresa pública nos deja esta llamativa frase. ¡Lee su entrevista completa en esta revista! Estas son unas pequeñas pinceladas del contenido que encontraréis en esta revista Especial Seguridad Cloud. Igualmente, en las últimas páginas de la misma, incluiremos un sub-especial de ciberseguridad en el mundo eCommerce, un sector cada vez más concienciado en esta materia. Nos vemos en cybersecuritynews.es día a día, en todas nuestras redes sociales y eventos varios del sector.
.
Socios directores: Pedro Pablo Merino y Samuel Rodríguez. Redactor Jefe: Vicente Ramírez. Redactores: Alicia Burrueco. Georgina Ortíz y Laura Quelle. Relaciones Públicas: Angie Parra. Director Comercial: Luis Rincón. Publicidad: luisrincon@cybersecuritynews.es
CyberSecuritynews | Noviembre 2019
4
Sumario 06. Infografía Reporte 2019: Cloud en la
educación
30
24
08. Eventos 10. Podcast Cybercoffee 12. Seguridad & Cloud Ciber consejos 13. Security & Cloud The 2018 BSA Global
Computing Scorecard
14. Seguridad & Cloud Nicolás Bruna
32
15. Ciberseguridad en la nube para pymes
INCIBE
16. Smartfense Estrategia enfocada al public
cloud
18. Seguridad Cloud Claves 2019 19. Caso de éxito Codere
20
46
20. WhiteBearSolutions Ignacio Gilart 22. Volotea Paco Marín 24. Ironchip José Fernando Gómez 26. Entrevista CISOs Israel Nadal 28. Grupo Comar Alberto López 30. Hosp. Puerta de Hierro Juan Luis Cruz 32. Aragonesa de Servicios Telemáticos
34
16 37
Ignacio Pérez
34. Cofares Pedro Iván Montes Andrade 36. Dep. Nac. de Ciberseguridad Mar López 38. Eventos CISO Day 2019, Sedian Day 2019,
CyberTech Europe 2019 y 13ENISE
42. La amenaza gamer: Grooming 44. Ciberataques en el ecommerce 46. CyberWine Viticultura Digital 48. Cumplimiento normativo Susana
26 36 CyberSecuritynews | Noviembre 2019
González
50. Movilok María Elena Calavia
Otras empresas ya invierten en concienciaciĂłn. Los ciberdelincuentes preďŹ eren pescar en la tuya.
www.smartfense.com info@smartfense.com
6 Infografía
Reporte 2019: Cloud en la educación
E
l 98% de las instituciones educativas no contrata personal especializado para mejorar su seguridad en la nube. Pese a que las tecnologías cloud están ganando en importancia dentro del sector educativo, el área de dirección sigue siendo reacia a invertir en iniciativas de seguridad de datos en la nube, según dicho estudio. Netwrix, proveedor de software de seguridad de la información y gobierno de datos, acaba de publicar esta infografía basada en los resultados de su estudio de seguridad de datos en la nube, 2019 Netwrix Cloud Data Security Report, para el sector de la educación. Dicha representación gráfica ofrece una perspectiva para la industria sobre los datos que las instituciones educativas almacenan en la nube, el estado de su seguridad de datos y sus planes en cuanto a una mayor adopción de la tecnología cloud. Como principales conclusiones, el informe Netwrix Cloud Data Security 2019 revela que el 53% de las organizaciones educativas están preparadas para comenzar a desplegar una estrategia “cloud first” para todos los nuevos servicios y tecnologías, en comparación con el 40% del año pasado. Sin embargo, una de cada tres instituciones de este sector experimentó algún contratiempo relacionado con la nube el año anterior. Un factor crítico en este sentido es el hecho de que los equipos de TI del 70% de las organizaciones educativas no cuentan con los fondos necesarios para liderar una adecuada estrategia de seguridad cloud: solo el 12% vio aumentar sus partidas de seguridad en 2019, y el 98% afirmó que desde el área de administración no se está invirtiendo en la contratación de personal de seguridad para TI a fin de proteger la nube.
.
Fuente: Netwrix
CyberSecuritynews | Noviembre 2019
8
Eventos
11 y 12 de diciembre de 2019 XIII Jornadas STIC CCN-CERT
Febrero 2020 Día de Internet Segura 2020
Marzo de 2020. Madrid. Cyber Insurance Day
Abril de 2020 (aún por confirmar). Zaragoza. ConPilar 2020
Abril de 2020 Mundo Hacker Day
Junio de 2020. Madrid. CISO Day 2020
Las Jornadas STIC CCN-CERT, organizadas por el Departamento de Ciberseguridad del Centro Criptológico Nacional, se celebran ininterrumpidamente desde el año 2007. Desde sus orígenes hace 13 años, este encuentro ha sido el principal evento en materia de ciberseguridad celebrado en España, tanto por el número de asistentes, como por la calidad de sus ponencias.
El mayor congreso nacional especializado en ciberseguros tendrá lugar en el mes de marzo de 2020 en Madrid. Cyber Insurance Day tendrá como objetivo aunar a dos sectores tan diferentes como son la ciberseguridad y el sector seguros para debatir y esclarecer los retos que plantea en la actualidad.
Expertos en ciberseguridad enseñarán en directo demos técnicas de seguridad informática y hacking donde ver las amenazas que esconde el mundo digital. El evento contará con diversos tracks y mesas redondas con las grandes empresas del sector TIC donde abordarán los temas de mayor actualidad del sector de la seguridad digital.
CyberSecuritynews | Noviembre 2019
El Día de Internet Segura está promovido por la Comisión Europea a través de la Red INSAFE y se celebra en más de 100 países del mundo con el objetivo de promover un uso seguro y positivo de las tecnologías digitales entre niños y jóvenes. En España, el INCIBE, entidad dependiente del Ministerio de Economía y Empresa, organiza un completo programa de conferencias y actividades.
CONPilar afrontó en 2019 su cuarta edición como Congreso de Ciberseguridad, siendo el tercer año para Hack&Kids. El Congreso de Ciberseguridad de Zaragoza CONPilar engloba tres eventos en uno solo: El Congreso de Ciberseguridad CONPilar, Hack & Kids y Hack&Beers.
CISO Day organizó su primera edición el 12 de junio de 2019 aglutinando en el Palacio de la Prensa de Madrid a más de 300 profesionales del sector de la ciberseguridad y a más de 700 usuarios vía streaming. Organizado por CyberSecurity News tiene como objetivo dar a conocer la relevancia y el trabajo del director de seguridad de la información en las organizaciones españolas, sus retos y necesidades.
Cartelería digital interactiva con el móvil Da protagonismo a tus clientes conectando su móvil con tus pantallas.
DESCUENTO
Panél táctil para controlar la pantalla Descarga de contenidos Envía sugerencias
Escanéa el QR para controlar este expositor con tu móvil ... descarga descuentos y mucho más.
DESCUENTOS
showcases Interacción pantalla-móvil sin descargar aplicación Válido con cualquier pantalla digital/LED/proyector/TV Detección automática del idioma Generación de cupones descuento y otros descargables Contacta con nosotros y descubre todas sus posibilidades: mshowcases.com 918046105
info@movilok.com
10 Podcast
CyberCoffee ANDRÉS NARANJO, ANALISTA EN CIBERINTELIGENCIA Y CSE DE ELEVENPATHS
ALFONSO LINARES, CEO DE CORREDUIDEA Y CO-FUNDADOR DE CIBERENRED
JUAN MIGUEL ROSA MONDRAGÓN, OFICIAL MILITAR DE LAS FUERZAS ARMADAS Y CEO EN JAYMON SECURITY
JOSÉ MANUEL ÁVALOS, SECURITY BUSINESS MANAGER EN ELEVENPATHS
RAÚL GUILLEN, STRATEGIC ALLIANCES & PARTNERSHIPS MANAGER EN TREND MICRO
Siguenos en:
CyberSecuritynews | Noviembre 2019
Especial Seguridad en entornos Cloud
12 Seguridad & Cloud / Ciber consejos
Hablando de seguridad en entornos cloud… Llevamos años hablando de cloud y a dia de hoy nos resultan muy familiares palabras como nube pública, privada, híbrida, multi cloud… y la importancia de estos términos seguirá aumentando en los próximos años.
Y
Texto: Vicente
Ramírez
es que tomando como ejemplo un reciente informe de la empresa Netskope, elaborado a partir de datos agregados y anónimos procedentes de millones de usuarios globales, el informe refleja, como principal conclusión, que los servicios en
la nube representan en la actualidad el 85% del total del tráfico web empresarial, lo que evidencia la
necesidad de que las empresas adopten un enfoque holístico para proteger la nube y la web. Por otro lado, muchos expertos prometen como el 5G llegará por fin a finales del próximo año 2020 a nuestro país, algo que de ser cierto y en toda su realidad, podría significar grandes beneficios para la gestión en la nube, en relación a la velocidad que el usuario experimentaría sobre todo. El IoT, otra de las palabras más sonadas en los ámbitos profesionales durante los últimos años, también tendrá mucho que decir al futuro de la nube. Hablamos de millones de dispositivos generando datos y conectados a la red, CyberSecuritynews | Noviembre 2019
muchos de ellos, dispositivos que a día de hoy ni siquiera podemos llegar a imaginar pero que recopilarán información que podrá ser enviada a nuestro servicio de nube. Así que hablando de seguridad en entornos cloud…¿Son y serán los nuevos dispositivos seguros desde el diseño? La respuesta en la actualidad por muchos expertos es que no, pero tendremos que esperar a que realmente llegue ese auge IoT a lo grande para poder comprobar el compromiso real de los fabricantes con la seguridad y cuál será la respuesta de las empresas de seguridad en entornos cloud ante ello y al igual de cuál será nuestra respuesta como usuarios. ¿Estaremos para ese entonces concienciados realmente con nuestra seguridad y privacidad en la red? Por tanto hablando de seguridad en entornos cloud...debemos de tener en cuenta algunas medidas básicas de seguridad como por ejemplo, tener claras qué medidas de seguridad cumple nuestro proveedor de esta tecnología y cuáles les debemos de exigir. También debemos de asegurarnos de que nuestra información será totalmente eliminada
una vez finalicemos el contrato con ellos. Por otra parte, ¿qué empresas externas al proveedor cloud tienen acceso a mis datos? ¿Cuáles son las medidas de seguridad que tienen esas empresas? Al final, debemos de recordar y poner sobre la mesa la historia, que para mejorar el presente está. Y es que han sido muchos los escándalos por fuga de datos en grandes compañías que han sido robados a un tercero y no a la propia compañía. Es decir, mira muy bien con quién vas a colaborar y los colaboradores de tu colaborador. A partir de ahí, hablando de seguridad en entornos cloud...y si tienes una empresa, deberás de investigar en el actual mercado, qué solución de seguridad para entornos cloud es la que mejor se adapta a tu situación. Y es que existen muchas soluciones que darán una capa de seguridad extra y mucha más tranquilidad a la organización. Hablar de ciberseguridad en la nube..no es un gasto sino una buena inversión. Además de lo mencionado, expertos recomiendan entre otras cosas, cifrar los datos antes de almacenarlos o activar la verificación en dos pasos.
.
13
Security & Cloud / The 2018 BSA Global Computing Scorecard
Los 10 países mejor preparados para la adopción y crecimiento en la nube El cloud tiene un futuro muy prometedor y por ello, todos los proveedores de nube están de enhorabuena.
S
Texto: Vicente
Ramírez
i hablamos del mercado de cloud en nuestro país, en España, el crecimiento anual pronosticado por IDC es de más del 17%, pasando de los 1.514 millones de euros alcanzados en 2018 a los más de 2.790 millones de euros en 2020.
Aún así, no todos los países tienen la misma capacidad de adopción sobre esta tecnología. Atendiendo al último reporte publicado por BSA, “The 2018 BSA Global Cloud Computing Scorecard”, existirían grandes diferencias en la adopción entre los diferentes países del mundo. El BSA Global Cloud Computing Scorecard 2018, la versión más reciente del único informe global que clasifica la preparación de los países para la adopción y el crecimiento de los servicios de computación en la nube, presenta una metodología
actualizada para reflejar mejor el crecimiento exponencial de la computación en la nube en los últimos cinco años, lo que agrega énfasis en áreas de políticas, incluidas leyes de privacidad, leyes de ciberseguridad e infraestructura de
banda ancha. La mayoría de los países continúan haciendo mejoras, según el estudio, pero algunos mercados se están quedando atrás. Para llevar a cabo este informe, se tuvieron en cuenta factores como la privacidad de los datos, la seguridad, el cibercrimen, los derechos de propiedad intelectual, armonización internacional de normas, el libre comercio o la disponibilidad IT y la implementación de la banda ancha. Los países mejor preparados para la adopción del cloud
Por tanto, según el BSA Global Computing Scorecard 2018, estos serían los 10 países mejor preparados para la adopción del cloud y su puntuación. ¿Estará España? • Alemania: 84.0 • Japón: 82.1 • EEUU: 82.0 • Reino Unido: 81.8 • Australia: 80.6 • Singapur: 80.2 • Canadá: 80.0 • Francia: 79.6 • Italia: 79.0 • España: 78.4
En el caso de España, el estudio hace el siguiente resumen: “España tiene una legislación de privacidad integral, aunque depende en gran medida de los requisitos de registro que podrían actuar como una barrera para los servicios de computación en la nube. También cuenta con una legislación actualizada sobre delitos informáticos y ha ratificado la Convención sobre delitos informáticos. Igual ocurre con su legislación integral sobre comercio electrónico y firma electrónica, y los proveedores de servicios de Internet (ISP) están libres de cualquier filtro o censura de Internet. Existen algunas brechas menores en la protección de la propiedad intelectual, España es un participante muy activo en foros internacionales y apoya el desarrollo de estándares internacionales y la interoperabilidad. España registró ganancias significativas en infraestructura de tecnología de la información y los puntos generales de España se mantuvieron bastante estables. La posición del país en las clasificaciones de Scorecard mejoró ligeramente pasando a la décima posición en 2018. y estando en 2017 en la undécima posición”.
.
CyberSecuritynews | Noviembre 2019
14 Seguridad & Cloud / Sectores más vulnerables
Aumentan los ciberataques en entornos cloud En la misma medida que crece la popularidad y la adopción de la tecnología cloud a nivel mundial, también lo hacen los ciberataques dirigidos a estos entornos.
E
Texto: Redacción
n este sentido y tal y como indicaba un informe publicado este año por la compañía Proofpoint, en la primera mitad del año 2019 se habrían producido más de 15 millones de intentos de acceso no autorizados a los cuales también se les podría considerar como ciberataques, en la nube. Aunque 15 millones es una cifra muy alta, no dejan de ser intentos de acceso no autorizados. ¿Pero cuántos de estos intentos se completaron con éxito? Según dicho estudio, fueron más de 400.000 los intentos que pasaron a completarse. ¿Qué sectores fueron los más afectados? El estudio que tuvo en cuenta en torno a 20 millones de cuentas de usuario en más de 1.000 despliegues de servicios cloud, reflejó como se registraron ataques dirigidos a entornos cloud en la mayoría de sectores aunque de manera destacada resaltaron los sectores de la educación, alimentación y bebidas pues se constituyen como los más vulnerables o menos preparados para hacer frente a este tipo de incidentes mientras que el sector sanitario y financiero registraron índices más bajos de ataques exitosos. CyberSecuritynews | Noviembre 2019
Además, dicho informe de Proofpoint reflejó las siguientes conclusiones de interés: • El 85% de las organizaciones fueron atacadas por los actores de amenazas en alguna ocasión. • El 45% de las organizaciones vieron comprometida al menos una de sus cuentas en la nube. • El 6% de las organizaciones detectaron un acceso no autorizado a una cuenta ejecutiva. • En organizaciones atacadas se alcanzó un promedio de 13 cuentas activas por empresa con inicios de sesión no autorizados exitosos. • El 0,6% de las cuentas de usuario activas fueron atacadas al menos una vez. Volumen y eficacia de intentos de acceso no autorizados
Los investigadores de Proofpoint observaron que en el primer trimestre de 2019 hubo un aumento sustancial de intentos de acceso no autorizados a servicios cloud. No obstante, tanto el volumen como la eficacia de estos ataques se moderaron en el siguiente trimestre. En el primer trimestre, el 0,5% de las cuentas de usuario activas fueron atacadas alguna vez, mientras que en el segundo trimestre este porcentaje bajó hasta el 0,3%.
El 50% de las organizaciones analizadas tuvo al menos una cuenta en la nube comprometida por accesos no autorizados durante el primer trimestre, mientras que en los siguientes tres meses esto afectó únicamente al 42% de las compañías analizadas en el estudio. Principales amenazas y nuevos vectores de ataque en entornos ‘cloud’ Los dos mayores vectores de ataque para entornos cloud son la fuerza bruta y las campañas de phishing. Otro método es el uso de aplicaciones de terceros para acceder a datos de Office 365 y G Suite, mediante phishing, ingeniería social, cebos o malware. Se trata de una metodología de exfiltración de información silenciosa y persistente, con un riesgo potencial importante en cuestiones de cumplimiento. Para combatir este tipo de ataques, se requiere conocimiento sobre las aplicaciones de terceros utilizadas, además de alertas y soluciones con capacidades para suspender estas aplicaciones de manera automática. Muchas organizaciones están recurriendo a la autenticación multifactor como solución. Aun así, los actores de amenazas emplean distintas técnicas para eludir o evitar este sistema de seguridad como el phishing en tiempo real, que consigue suplantar al primer y segundo factor durante la autenticación.
.
15
Ciberseguridad en la nube para pymes / INCIBE
Ciberseguridad en la nube para pymes La necesidad irreversible del uso de la tecnología en los procesos de negocio ha ido provocando la necesidad e incluso dependencia, de los servicios digitales en la empresa.
A
Texto: Marco
Lozano
día de hoy es casi impensable el que una organización, por pequeña que sea, no utilice algún ordenador o servicio tecnológico sobre el que esté apoyado su negocio. Si a lo anterior, le sumamos la evolución tecnológica y el cambio en los hábitos de consumo, encontraremos modelos de negocio que necesitan sustentarse de manera esencial sobre distintos tipos de arquitecturas tecnológicas. En este sentido, hasta hace apenas unos años, las empresas y sobre todo las pymes o microempresas, para contar por ejemplo con un servidor de ficheros, necesitaban un dispositivo dedicado para esta función, el cual no era un componente precisamente barato. La aparición de la nube o el “Cloud Computing” ha permitido eliminar esta barrera asociada sobre todo, a la adquisición de elementos de hardware, dando la capacidad a este colectivo de obtener las últimas tecnologías a un coste reducido, otorgando de ese modo mayor productividad con menor inversión. Los servicios en la nube cuentan, además con gran capacidad de escalado, lo que significa que si nuestra empresa necesita de manera puntual más espacio, más capacidad de proceso, etc., se puede contratar para dicha ocasión. Aunque a priori, todo parecen ventajas, también existen inconvenientes. Por enumerar los más relevantes, podemos considerar: • La disponibilidad del servicio: es posible que en algún momento no tengamos acceso al servicio contratado. • Confidencialidad de los datos: si usamos un servicio de almacenamiento hemos de ser conscientes de que la información estará almacenada en los servidores del proveedor y si sufre un incidente, nos veremos afectados.
Marco Lozano, responsable de Servicios de Ciberseguridad para Empresas y Profesionales de INCIBE • Pérdida del control: dejamos “todo”
en manos de nuestro proveedor (datos, aplicaciones, etc.), por ello es importante conocer con detalle los términos del contrato para pedir responsabilidades en caso de incidentes. Mencionar que los servicios en la nube también están sujetos a numerosas amenazas y riesgos. A continuación enumeramos los más relevantes: • Amenazas internas: por parte de empleados o exempleados descontentos que aún mantienen el acceso al servicio y que podrían provocar situaciones de riesgo. Para evitar esto se han de restringir los accesos cuando se rescinda el contrato. • Problemas derivados del uso de las tecnologías compartidas: si contamos con una infraestructura compartida se corre el riesgo de que otros usuarios puedan acceder a nuestra información a causa de un fallo de seguridad. • Desconocimiento del entorno: si el personal no conoce la tecnología
que está configurando, podría derivar en un problema que pusiera en riesgo nuestra información o servicio. • Falta de cumplimiento normativo: es posible que el proveedor que ofrece el servicio cloud no cumpla las obligaciones legales, provocando que nos enfrentemos a una sanción administrativa. • Ataques: nuestros empleados pueden ser objeto de ataques de ingeniería social, infectarse con malware, etc., lo que permitiría a los ciberdelincuentes acceder a nuestra información. El modo más adecuado de mitigar o reducir estos riesgos, pasaría por trasladar la seguridad que exigiríamos en nuestras instalaciones físicas, a la nube. Sin olvidar que los activos de información, con independencia del entorno en el que se encuentre, siguen siendo igual de confidenciales, han de mantenerse íntegros y estar disponibles cuando se necesiten.
.
CyberSecuritynews | Noviembre 2019
16 Concienciación / Smartfense
Consejos útiles para concienciar sobre compras en Internet Como siempre predicamos en SMARTFENSE, la Seguridad de la Información debe ser implementada en capas, y no existe una solución mágica que nos permita estar completamente seguros.
D
Texto: Nicolás
Bruna
icho esto, y teniendo en cuenta la temática especial sobre e-commerce de esta edición, queremos brindar nuestro aporte con lo que mejor sabemos hacer: fortalecer la capa de seguridad más importante, el usuario.
Para cumplir este objetivo, es necesario programar planes de concienCyberSecuritynews | Noviembre 2019
ciación constantes que apunten a generar un uso seguro de la información tanto dentro como fuera de nuestra organización.
SMARTFENSE se propone como aliado de los CISOs, y está comprometido en la generación y entrega de contenidos de formación valiosos que puedan contribuir en todo aspecto a miembros de la organización. Estamos convencidos que esto redunda en mejorar
la imagen del área de Seguridad de la Información, en tanto se percibe
como útil y más cercana. Nuestros materiales tienen como objetivo construir un ambiente más seguro en general, incluyendo tópicos sobre privacidad, cuidado de los menores, fortaleza de claves de acceso, entre otros. En este sentido, hoy queremos brindar un listado de consejos y advertencias
17
Nicolás Bruna, Product Manager de Smartfense sobre las compras en Internet, que usted podrá utilizar para concienciar internamente. Algunos consejos para comprar seguros en Internet Realizar compras en línea es hoy una práctica bastante extendida, y puede ser una experiencia realmente satisfactoria. Cada vez son más las empresas que ofrecen sus productos en Internet, y más las personas que los adquieren. Desde cualquier dispositivo conectado, se pueden comparar los precios de diferentes productos en distintas tiendas, y llevar a cabo un proceso de compra completo en sencillos pasos. Pero de la misma manera, una
compra en línea puede convertirse en una pesadilla. Como es sabido,
existen personas malintencionadas que buscan aprovecharse de los avances tecnológicos y de la inocencia de otros para obtener dinero de manera ilegal: los ciberdelincuentes. Hay quienes realizaron una compra en Internet pero nunca recibieron el producto. Algunos no pudieron finalizar el proceso de compra, pero aún así se debitaron diferentes montos en su cuenta bancaria. Otros recibieron una caja vacía en lugar del producto comprado. Todo esto y más sucede porque los ciberdelincuentes, a través de engaños, dirigen a las personas a tiendas falsas que pueden ser iguales o similares a las tiendas reales y de confianza. Allí, ellos tienen el poder, y su principal objetivo es que dejemos en sus manos nuestra información financiera para luego poder robar nuestro dinero. La buena noticia frente a este problema es que la solución está en manos de los mismos usuarios de Internet. Basta con concienciar de qué
manera los delincuentes intentan engañarnos, para así prevenir que ello suceda. Tip #1: Utilizar conexiones a Internet confiables Para realizar compras en línea, el primer paso es acceder a una conexión
La solución está en manos de los mismos usuarios de Internet. Basta con concienciar de qué manera los delincuentes intentan engañarnos, para así prevenir que ello suceda. de Internet. Pero no a cualquiera. Debemos utilizar una conexión privada de un lugar de extrema confianza, o bien utilizar nuestra conexión de datos del móvil. Bajo ninguna circunstancia debemos hacer transacciones en una conexión pública como la de un bar o centro comercial, ya que nuestra información personal - como los datos de la tarjeta de crédito - podría verse comprometida.
no cometer ningún error. Si se trata de una URL de uso frecuente, podemos
o ciberdelincuentes.
Tip #4: Evitar hacer clic en enlaces Si podemos cometer un error al escribir la dirección de una tienda, ¿por qué no hacer simplemente clic en enlaces que lleven a ella? Debemos prestar atención ya que un enlace puede dirigir a tiendas falsas, muchas veces idénticas a las originales y con URLs casi iguales (como por ejemplo “www.arnazon. com”) donde nuevamente, intentarán robar nuestro dinero. Es muy común por ejemplo, recibir ofertas por correo electrónico, mensajería instantánea o redes sociales, o bien encontrarlas mientras navegamos por diferentes sitios web. Si nos interesa una promoción, lo aconsejable es
Los paquetes de información transmitidos a través de las conexiones públicas pueden ser capturados fácilmente por hackers
Tip #2: Comprar en tiendas de confianza
A la hora de realizar una compra en línea debemos elegir una
tienda conocida, con una buena reputación y de amplia trayectoria.
Siempre es bueno preguntar a familiares y amigos su experiencia con determinadas tiendas. También es recomendable buscar opiniones sobre ellas en Internet. De todas formas, hay que tener especial cuidado con los comentarios en línea, ya que muchas veces, los mismos ciberdelincuentes que crean tiendas falsas en Internet, ¡crean también comentarios falsos hablando bien de sus sitios! Tip #3: Verificar con atención la URL Cuando ingresamos a una tienda, lo más recomendable es escribir su URL en la barra de direcciones del navegador, teniendo especial cuidado en
Los ciberdelincuentes suelen crear “clones” de tiendas muy conocidas y alojarlas en direcciones web similares a la original.
guardarla en los marcadores o favoritos de nuestro navegador y así,
acceder directamente en ocasiones sucesivas. Los ciberdelincuentes suelen crear “clones” de tiendas muy conocidas y alojarlas en direcciones web similares a la original. Por ejemplo, es posible que un ciberdelincuente cree una tienda idéntica a Amazon en la URL “www. amazin.com”, a la cual se puede llegar mediante un simple error de tipeo.
ingresar directamente al sitio web de la empresa que la ofrece, para
verificar que la oferta sea cierta. Muchas publicidades y ofertas son falsas, y al hacerles clic nos dirigen a tiendas falsas. Para concluir Realizar compras seguras en Internet es posible, y solo depende del conocimiento acerca de los engaños que podemos enfrentar.
La concienciación es siempre necesaria para informar y generar hábitos seguros. Como beneficio
adicional, los usuarios dejan de considerar el área de Seguridad de la Información como un ente que solo imparte directivas y restricciones, para empezar a percibirla como una entidad aliada y confiable dentro de la organización.
.
CyberSecuritynews | Noviembre 2019
18 Seguridad Cloud / Claves 2019
2019 finaliza pero los retos en la seguridad cloud se intensifican Finalizando este año 2019, repasamos a vista de pájaro cómo se ha intensificado los retos en los entornos cloud a medida que las empresas confían cada vez más en esta tecnología y los ciberdelincuentes también.
H
Texto: Vicente
Ramírez
ace tiempo que dejamos de hablar exclusivamente de cloud para hablar de multicloud, una estrategia cada vez más seguida por los directivos técnicos de las empresas. A día de hoy, la evolución hacia una maduración de esta tecnología y la de sus proveedores es clara, contando con la fuerte apuesta que están haciendo tanto Amazon como Microsoft o Google. A día de hoy y como comentan a CyberSecurity News expertos como Juan Rodríguez, Country Manager de F5 Networks en España, más del
65% de las empresas se mueven ya en entornos cloud de más de un proveedor. Incluso, desde dicha compañía, aseguran que tienen varios clientes cuya apuesta es 100% cloud y los distingue de aquellos que comienzan a tener una apuesta parcial, migrando algunas de sus aplicaciones y también los diferencia de aquellas otras empresas que no saben muy bien como comenzar a moverse en estos entornos. CyberSecuritynews | Noviembre 2019
Principales preocupaciones en entornos cloud
Teniendo en cuenta esta apuesta y rápida evolución que está experimentando la tecnología cloud, debemos de mencionar algunos retos en la seguridad que a día de hoy y durante este 2019 han preocupado a los responsables de dicha estrategia. Y es que, tal y como viene recogido en el Global Cloud Security Report generado por Cybersecurity Insiders, las empresas tienen claro los grandes beneficios del cloud para mejorar la eficiencia y la escalabilidad pero deben de tener en cuenta que aunque sea requisito indispensable que el proveedor cloud mejore continuamente la seguridad de sus servicios, es en última instancia, responsabilidad de los clientes (empresas), el proteger sus activos principales, los datos en dichos entornos. En este sentido y tal y como recoge el Global Cloud Security Report de CyberSecurity Insiders, la principal preocupación de los profesionales de la ciber-
seguridad en relación a la seguridad en entornos cloud es la fuga y pérdida de datos. El peso de este miedo representa el 64% en dicho estudio hecho público durante este año. Seguidamente y tal y como comenta Holger Schulze, CEO de Cybersecurity Insiders en la introducción del
Global Cloud Security Report, es el acceso no autorizado por un mal uso en las credenciales de los empleados, el segundo gran miedo para los entornos cloud por parte de los profesionales de ciberseguridad con un porcentaje del 42%. Muy de cerca está la preocupación por la desconfiguración de la plataforma cloud (40%). Muy probablemente durante este año próximo 2020, estas seguirán siendo preocupaciones habituales en la medida que nuevas empresas se vayan incorporando al entorno multi cloud. Pero sin duda alguna, aparecerán nuevos retos en la seguridad de esta tecnología y la clave y lo más difícil, será prevenirlos, adelantarnos. No dejar que actuemos tras el rastro de los ciberdelincuentes.
.
19
Caso de éxito / Codere
Codere confía en SealPath para la protección y control de su información sensible
C
Texto: Vicente
Ramírez
odere es una Compañía multinacional española, referente en el sector del juego privado, con presencia en ocho países de Europa y América. Fundada en 1980, es la única empresa española del sector del juego que cotiza en Bolsa, desde el año 2007. Codere gestiona más de 55.060 terminales de juego, 144 salas de Juegos, 4 hipódromos, y 3.984 puntos de apuestas. Con más de 10.000 empleados, Codere ha experimentado un sólido crecimiento y ha alcanzado una posición relevante en el sector del juego privado, incluido el juego online. El reto La actividad desarrollada por Codere está sometida a una amplia y diversa regulación, que varía en función de cada país. La gestión de sus operaciones se ajusta a las peculiaridades de los ocho mercados locales en los que opera. Además de las regulaciones específicas relacionadas con el sector de las apuestas o juego privado, Codere, al operar en Europa, está sujeta al cumplimiento de regulaciones como EU-GDPR que pone su foco en la protección y control de los datos personales de terceros que las compañías almacenan. Codere gestiona información sensible relacionada con datos de clientes, que debe mantener protegida y bajo control para evitar el incumplimiento de regulaciones. Gran parte de esta información está en diferentes formatos de ficheros que se mueven a través de las diferentes sedes y localizaciones de la compañía. Esta información debe mantenerse segura independiente de la ubicación, incluso fuera del control del perímetro de la empresa. Por otro lado, era necesario disponer de una completa auditoría de accesos a información sensible y regulada: Quién accede, cuándo o si alguien está intentando acceder y no
dispone de los permisos adecuados. “En el proceso de transformación digital, crítico hoy en día para ser competitivos, resulta fundamental proteger los datos de carácter personal y otros datos de negocio. El uso del cloud, o la movilidad ayudan a ser más ágiles en los procesos de negocio, pero en este contexto, es necesario que los datos sensibles de la compañía se mantengan protegidos, no sólo dentro de la organización sino en cualquier ubicación y dispositivo” destaca Luis Miguel Brejano, CISO de Codere.
sido intentado acceder por usuarios sin permisos, o haya intentado ser desprotegido. Para Luis Miguel Brejano, Uno de los puntos claves para decidirnos por la solución de SealPath es su sencillez de uso. Necesitábamos incorporar el cifrado y la trazabilidad en el acceso a información sensible de la compañía, pero sin interrumpir o modificar en gran medida nuestros procesos de negocio, utilizando nuestras herramientas habituales y sistemas de información corporativos.
La solución Tras la realización de diferentes pruebas de concepto, Codere ha implementado la solución SealPath Enterprise internamente para proteger la información sensible y sujeta a regulaciones que se encuentra almacenada en diferentes ubicaciones de la compañía: Servidores de ficheros, gestores documentales, o equipos de usuario. La solución se ofrece como un servicio gestionado por parte de Deloitte en las diferentes regiones geográficas de la compañía. Los usuarios disponen en sus equipos de SealPath Desktop para proteger la información sensible de diferentes áreas de la compañía donde se gestionan datos de clientes, datos de negocio, y otros datos de carácter confidencial. Se establecen políticas de seguridad donde se limita quién puede acceder a la documentación y con qué permisos. Es posible asignar fechas de expiración a determinada información sensible y establecer marcas de agua dinámicas para mitigar el riesgo de fuga de información por medios impresos, por ejemplo. No sólo es posible proteger ficheros, sino emails con datos confidenciales adjuntos a través de una integración con Microsoft Outlook. SealPath permite monitorizar el uso de los ficheros con información sensible. También permite generar avisos en caso de que un fichero haya
Los beneficios Gracias a SealPath la información sensible de la compañía almacenada en ficheros se encuentra protegida y bajo control, no sólo dentro del perímetro de la empresa, sino en cualquier ubicación, incluso si debe ser compartida con un tercero. Es posible almacenar esta documentación en los equipos de los usuarios, en servidores de ficheros o en la nube, pero siempre bajo el control de Codere. Desde Codere es posible revocar el acceso a la información protegida si se decide que determinadas personas no deben acceder más a la información. La protección es dinámica y es posible cambiar el acceso a la documentación en tiempo real. Según Luis Miguel Brejano, “Con SealPath podemos mantener seguros los datos personales de terceras personas que se encuentran en ficheros y documentos de la compañía. Auditamos su uso y tenemos monitorizados posibles accesos indebidos. De esta forma mitigamos la posibilidad de fugas, y ponemos los medios para garantizar el cumplimiento regulatorio tan crítico en un sector como el nuestro. Además, estamos ayudando a extender internamente una cultura de seguridad, haciendo conscientes a los usuarios de mantener la seguridad sobre los datos sensibles que gestionamos a diario.”
.
CyberSecuritynews | Noviembre 2019
20 Soluciones de ciberseguridad / WhiteBearSolutions
La autenticación adaptativa, clave en la seguridad empresarial Ataques como el phishing o el baiting permiten a los delincuentes hacerse con credenciales de acceso de los usuarios y realizar una violación de seguridad de forma más inadvertida.
C
Texto: Ignacio
Gilart
uando se habla de seguridad IT, se suele hacer hincapié en las vulnerabilidades generadas por la puerta trasera de las aplicaciones y sistemas de la infraestructura de una organización. Sin embargo, gran parte de los ataques y brechas de seguridad tienen lugar por la puerta ‘delantera’ y sin escribir una sola línea de código. La utilización de técnicas como phishing o baiting permiten a los delincuentes hacerse con las credenciales de acceso de los usuarios de una organización y llevar a cabo una violación CyberSecuritynews | Noviembre 2019
de seguridad de una forma mucho más inadvertida. En este sentido, es importante disponer de un sistema de autenticación adaptativa, que aplique nuevas capas de seguridad y control de acceso, especialmente, cuando la infraestructura IT se encuentra en la nube. La autenticación adaptativa se basa, por tanto, en el uso combinado de sistemas de autenticación para proporcionar la mejor relación entre seguridad, costes y usabilidad, según las diferentes casuísticas. En el momento en que las aplicaciones, sistemas de control de acceso y el resto de la infraestructura IT se
trasladan a la nube, el perímetro de seguridad se abre de forma exponencial. Hasta ahora, dicho perímetro podía mantenerse relativamente cerrado y bajo control mediante, por ejemplo, un firewall del sistema. Sin embargo, con el traslado a la nube, el panorama cambia por completo. Mediante la autenticación adaptativa es posible que, en un momento dado, un empleado acceda a unas determinadas aplicaciones o servicios en la nube desde un conjunto de IPs seguras, como pueden ser las correspondientes a la oficina. Si el usuario utiliza los mismos mecanismos de acceso en casa, el
21
Ignacio Gilart, CEO de WhiteBearSolutions sistema es capaz de detectar que no está operando en una red segura y toma las medidas oportunas, las cuales han sido definidas previamente. Por ejemplo, es posible restringir el acceso o aplicar mecanismos de seguridad complementarios como el doble factor de autenticación con un código de único uso. Integración con Machine Learning La autenticación adaptativa puede beneficiarse de soluciones de Machine Learning, que permiten analizar la actividad de los usuarios, calcular los riesgos y determinar si éstos se han excedido del nivel de tolerancia definido por una organización. En el caso de que el sistema detecte alguna vulnerabilidad o algún comportamiento atípico del usuario, se adoptan medidas de seguridad complementarias como la activación de alertas o los controles extras de autenticación. Además, las soluciones de Machine Learning pueden crear modelos de comportamiento muy precisos respecto a la diversidad de usuarios que se conectan a la nube y están continuamente aprendiendo, gracias al registro y análisis de nuevos datos. El resultado es un análisis muy refinado de los posibles riesgos y la consiguiente optimización de las medidas de seguridad en los procesos de autenticación. La clave de la autenticación adaptativa radica en que el sistema no se basa en reglas de carácter estático, sino que es capaz de determinar los posibles riesgos en el comportamiento de los usuarios y aplicar medidas adicionales en cada caso.
Gestión de identidad: los errores más frecuentes La gestión de accesos e identidades es uno de los pilares fundamentales de la seguridad de la información de cualquier organización. Sin embargo, a menudo se cometen errores: 1. Gestión inadecuada de credenciales: a día de hoy los empleados se apuntan las contraseñas y credenciales en post-it. El problema es que éstas no dejan de acumularse conforme se multiplican las aplicaciones corporativas. Soluciones como la unificación y normalización de usuario/contraseña, la autenticación multifactor o de SSO contribuyen a liberar a los empleados de este tipo de problemas e incrementan la seguridad y eficacia en la gestión de accesos e identidades. 2. Formación insuficiente: los usuarios pueden ser los eslabones más débiles por lo que deben estar lo suficientemente formados y preparados para utilizar soluciones de gestión de identidad, así como conocer los protocolos de seguridad. 3. Desaprovisionamiento de cuentas: cuando un usuario entra a trabajar a una organización necesita las autorizaciones y accesos pertinentes. Sin embargo, cuando éstos abandonan la empresa o cambian su rol esas
Ventajas de la autenticación adaptativa
Cuando la infraestructura IT de las organizaciones se encuentra en la nube, la seguridad de las contraseñas de acceso queda cuestionada. Por un lado, la autenticación adaptativa aplica mecanismos de seguridad –como una llamada telefónica, una notificación in-app o un mensaje SMS–. Asimismo, implanta los protocolos adecuados para ese tipo de acceso en la nube como SAML 2.0 y OCA (Open Control Arquitecture), entre otros. De hecho, en los casos en los que el comportamiento del usuario llegue a ser muy sospechoso o presente un elevado riesgo –como el acceso a información sensible–, el sistema puede determinar el cierre completo de la sesión. La autenti-
cación adaptativa aporta numerosas ventajas, siempre y cuando se disponga de suficientes datos, ya que posibilita un elevado nivel de automatización, minimizando la intervención humana y liberando de una considerable carga de trabajo al personal de IT. En este sentido, WhiteBearSolutions cuenta con la plataforma de gestión y control de acceso, SmarLogin, que permite a las organizaciones centralizar la seguridad y controlar el acceso a los servicios corporativos tanto en la nube (SaaS) como on premise desde cualquier lugar y dispositivo. La plataforma refuerza la seguridad a través de la vigilancia de las sesiones en tiempo real y ofrece un sistema de
alertas y políticas de seguridad para los usuarios y dispositivos móviles (BYOD, Bring Your Own Device). De este modo, es capaz de controlar el inicio de sesión, ofreciendo una nueva generación de sistemas de control de acceso multiprotocolo (SAML, CAS, entre otros), federación de identidad y SingleSing-On (SSO). De esta forma, se elimina la necesidad del uso de contraseñas, permitiendo incluso la utilización de MFA (Multi Factor Authentication) para todo el entorno corporativo: tanto on premise como en la nube. WhiteBearSolutions se distribuye en España a través de Ingecom, mayorista de valor especializado en soluciones de seguridad IT y ciberseguridad.
.
CyberSecuritynews | Noviembre 2019
22 Infraestructuras críticas / Volotea
Ciberseguridad en el sector aéreo La importancia de la ciberseguridad en las denominadas infraestructuras críticas es de sobra conocida. En este sentido, el 80% de los operadores de infraestructuras críticas mencionó la falta de visibilidad en la superficie de ataque como el mayor problema para evitar los ataques, según el estudio “Ciberseguridad en Tecnología Operativa: 7 perspectivas que necesitas conocer”, publicado por Tenable durante el 2019.
S
Texto: Vicente
Ramírez
i nos centramos en el sector aéreo, igual nos podemos imaginar las consecuencias que podría llegar a tener un ciberataque exitoso. Pero antes de mencionar los problemas principales que conllevaría, mencionemos algunos de los datos aportados por AENA con respecto al año 2018 y sólo y exclusivamente en el Aeropuerto Adolfo Suárez Madrid Barajas. • El Aeropuerto de Madrid cerró 2018 con 57,8 millones de pasajeros, el mejor dato de su historia. • De enero a diciembre de 2018 se registraron 409.832 operaciones y se transportaron 518.858 toneladas de carga, alrededor del 51% de toda la red. • En el mes de diciembre del 2018 el Aeropuerto Adolfo Suárez Madrid-Barajas registró 4.569.991 pasajeros (+7,5%), 33.050 operaCyberSecuritynews | Noviembre 2019
ciones (+5,6%) y 46.148 toneladas de mercancía (+9,5%) Estas son algunas de las cifras que nos pueden hacer llegar a entender el caos que podría generar un ciberataque en una infraestructura crítica como la del sector aéreo: dejar de recibir vuelos, imposibilidad de realizar operaciones...o llegar incluso a afectar a un determinado vuelo. Ejemplos de ciberataques en el sector aéreo
¿Qué buscan los ciberdelincuentes? La principal motivación en cualquier sector es el móvil financiero. En este sentido, es remarcable la famosa frase que resuena en cada congreso de ciberseguridad a nivel mundial. La seguridad o ciberseguridad plena no existe y por muchas medidas que una empresa del sector que sea, integre, no estará protegida al 100%. La incertidumbre aquí es y será indefinida.
Es por ello por lo que el sector aéreo a nivel mundial ya tiene experiencia en ciberataques y son varias empresas y aeropuertos los que se han visto afectados. Quizás, un caso remarcable pues fue muy difundido en medios generalistas hace algo más de un año fue el de la aerolínea British Airways, la cual sufrió un ciberataque que afectó a los datos personales de más de 185.000 usuarios de la compañía
que habrían realizado una compra con tarjeta de crédito durante un determinado periodo de ese año, según informaba el grupo International Airline Group (IAG), matriz de British Airways (BA). Ese mismo año y en Reino Unido también, se hacía público el fallo de los monitores de una determinada terminal aérea, algo que se tradujo en la necesidad de que el personal del aeropuerto escribiera la información de los vuelos
23
Paco Marín, CISO de Volotea en hojas de papel. Confusión y Caos y pérdidas de vuelos llegan a verse logrados tan solo apagando dichos monitores. Como estos dos ejemplos, podríamos mencionar muchos más, como los numerosos aeropuertos de EEUU que se han visto afectados por ciberataques provocando largas colas en las terminales por la imposibilidad de operar. Según el último informe mundial impulsado por SITA sobre las Perspectivas en Ciberseguridad del Transporte Aéreo de 2018, queda
reflejado que las principales amenazas para la industria de la aviación son el ransomware y el phishing. ¿Qué opinan los expertos? Tras ofrecer algunos datos de la relevancia hoy en día de la ciberseguridad en el sector aéreo, contemos con la perspectiva que nos puede aportar un profesional con gran experiencia en el sector aéreo y en ciberseguridad. En este caso, planteamos una serie de preguntas a Paco Marín, CISO de Volotea, aerolínea española. CyberSecurity News (CsN): ¿Cómo valora el incremento en la inversión en ciberseguridad por parte del sector aéreo en los últimos años? ¿Se ha convertido en un tema prioritario? Paco Marín (PM): Considero que es
algo inevitable, especialmente a medida que aumenta la concienciación en materia de ciberseguridad en el entorno ATI (Air Transport Industry). Hay mucho trabajo por realizar y, como se suele decir, los ciberdelincuentes siempre van por delante. Creo que varios son los factores que están haciendo incrementar esta concienciación: El aumento de los ciberincidentes en el sector aéreo (tanto en
aeropuertos como en aerolíneas de todo el planeta) con la consiguiente pérdida económica y reputacional que ellos conllevan. La entrada en vigor de nuevas reglamentaciones, como RGPD
en materia de protección de datos, que traen consigo una serie de medidas a implementar en todas las organizaciones para así evitar, en la medida de lo posible, brechas de seguridad de datos personales que podrían acarrear importantes sanciones económicas por parte de las Autoridades.
La alerta que emana desde diferentes fuentes autorizadas, como puede ser el World Economic
Forum, donde en su último informe anual, Global Risks Report 2019, sitúa a los ciberataques como los riesgos más probables y de mayor impacto tan solo por detrás de los medioambientales. Estos factores concienciadores también están llegando a los Consejos de Administración de las organizaciones. Este hecho hace que empecemos a ver, con mayor asiduidad, un aumento en las inversiones de ciberseguridad promovidas por los propios directivos. Cuando asisto a ciertos eventos de ciberseguridad específicos del sector aéreo, percibo como la ciberseguridad y el presupuesto destinado a invertir en ella se está convirtiendo en un tema prioritario para muchas aerolíneas/ aeropuertos. Creo que vamos por el buen camino pero, por supuesto, con margen de mejora por delante ya que las amenazas cambian constantemente y tenemos que protegernos de ellas en el menor tiempo posible para minimizar al máximo el tiempo de exposición. CsN: Sabemos que el empleado de una compañía puede ser la puerta de entrada del ciberdelincuente. ¿Cómo se define una estrategia de concienciación en ciberseguridad para los empleados de una compañía aérea? PM: Como siempre se acostumbra a
decir, y los datos así lo demuestran, el ser humano (en este caso el empleado) es el eslabón más débil de la cadena. Para poder mitigar ese riesgo inherente en el propio ser humano, creo que no hay mejor solución que diseñar un plan de concienciación continua en materia de ciberseguridad. Hay diferentes aproximaciones que se pueden realizar pero, en nuestro caso, optamos por trabajarlo con varias iniciativas complementarias entre sí. Desde un 1er momento, los nuevos empleados deben recibir una bienvenida al área de ciberseguridad donde se les expliquen las amenazas más comunes y cómo protegernos ante ellas. Posteriormente, y de forma recurrente, se realizan envíos de pequeñas píldoras haciendo foco en temas muy concretos y jornadas de concienciación tanto presenciales como on-line. Evidentemente, hay usuarios más críticos que otros en función de su poder decisional en la organización o de los datos que pueda manejar.
Creo que esto último es muy importante tenerlo en cuenta a la hora de diseñar la estrategia a seguir. Por último, y no menos importante,
debemos comprobar que nuestros empleados han entendido todo lo que les hemos ido explicando. Para
ello, se realizan ejercicios simulados de ataques concretos para ver el grado de concienciación de nuestros empleados y, por consiguiente, tomar las medidas que estimemos oportunas para fortalecer aquellos equipos que consideremos necesario.
CsN: ¿Cómo ve el futuro de la ciberseguridad en un sector como el aéreo? PM: Pregunta complicada de responder
en un sector tan cambiante e intenso como es el aéreo. De todas maneras, haciendo una fusión entre realidad y optimismo, considero que nos
encontraremos con un sector cada vez más presente en el punto de mira de los ciberdelincuentes
pero que, en contrapartida, se encontrará cada vez más protegido debido al aumento considerable del presupuesto destinado a la ciberseguridad (palanca necesaria para incrementar nuestra seguridad). Por otro lado, IoT está consiguiendo que el número de dispositivos conectados a Internet sea cada vez mayor y el sector aéreo no va a ser menos. El alto número de iniciativas y proyectos IoT tanto para aeropuertos como para aerolíneas no hará sino multiplicar exponencialmente el número de dispositivos expuestos en la red sino se securizan de manera correcta. Este aspecto será, sin duda, todo un desafío para los departamentos de ciberseguridad de las compañías de esta industria. Otro factor importante a tener en cuenta será la falta de personal cualificado. De hecho, ya es un problema latente y, según el estudio de la consultora Frost & Sullivan, se estima que entre 1,5 y 2 millones de empleos de ciberseguridad estarán sin cubrir en 2022 en todo el mundo. Este dato se puede entender como algo negativo, que lo es, pero también como una oportunidad para todos los jóvenes indecisos que no tienen clara su carrera profesional. Desde aquí, les animo a que se acerquen a esta rama tecnológica y a las escuelas y universidades a que sigan promoviendo el estudio de la ciberseguridad. Concienciando desde los inicios conseguiremos un mundo más seguro.
.
CyberSecuritynews | Noviembre 2019
24 Innovación en ciberseguridad / Ironchip
“Todo lo que nos importa se esconde ahora mismo detrás de un password, que probablemente ya esté filtrado” La ciberseguridad constituye uno de los sectores más atractivos para los amantes del emprendimiento tecnológico. Y es que hablar de ciberseguridad es hablar de una evolución constante, de retos y desafíos que van evolucionando a la misma velocidad que avanza la tecnología y la sociedad y de soluciones necesarias que aún están por llegar. En definitiva, hablar de ciberseguridad es hablar de oportunidad e innovación.
Y
Texto: Vicente
Ramírez
precisamente sobre innovación vamos a hablar en esta entrevista con José Fernando Gómez, CEO de Ironchip, una de las startups de ciberseguridad españolas más innovadoras y con potencial de crecimiento que ha sido además finalista del prestigioso programa de emprendimiento de INCIBE, CyberSecurity Ventures. ¿Quieres conocer la pequeña gran revolución que plantea Irochip en la ciberseguridad de todas las compañías? CyberSecurity News (CsN): El sector de la ciberseguridad
CyberSecuritynews | Noviembre 2019
ofrece una gran oportunidad para emprender. Ironchip es una de esas startups innovadoras que llegó a ser finalista del prestigioso programa de emprendimiento en ciberseguridad de INCIBE, CyberSecurity Ventures, ¿cómo fue esta experiencia? José F. Gómez (JG): Muy enriquece-
dora. No solo conseguimos incrementar nuestra visibilidad online y en medios, sino que creamos alrededor de Ironchip un tejido de inversores y clientes con los que hoy en día seguimos teniendo relación. Lo mejor de toda la experiencia, fue sin duda la interacción con otras Startups. Conocimos a gente
genial tanto técnica como personalmente, con una visión de negocio diferente, y muchos de ellos se han convertido en amigos y compañeros de aventura.
CsN: Ironchip ha llegado incluso a los EEUU, obteniendo la oportunidad y experiencia de participar en la reconocida conferencia RSA. ¿Cómo fue esta experiencia? JG: Realmente impresionante. Nunca
habíamos estado exponiendo en una conferencia tan grande y tan reconocida a nivel mundial. Para nosotros, con solo 26 años, fue la oportunidad de hablar con el mayor mercado mundial de tecnología, testear nuestro producto con
25
José Fernando Gómez, CEO de Ironchip clientes y aprender cómo se hacen los negocios en los Estados Unidos. Obtuvimos un feedback muy positivo de nuestro producto, y además ahora tenemos un representante de ventas que desarrolla las labores comerciales en Estados Unidos. CsN: Hablamos del poder de la innovación en ciberseguridad. ¿Cuál es el valor diferencial de Ironchip? JG: Hasta ahora, la seguridad de
muchos sitios dependía del usuario y la contraseña. Esto ha suscitado que un gran número de personas utilice la misma contraseña, y en consecuencia, algunas empresas han sido hackeadas al filtrarse estos códigos de acceso. Los factores biométricos son susceptibles de robo, y si esto pasa, la seguridad de tus usuarios estará comprometida para siempre, ya que uno no se puede cambiar de cara o de huella dactilar a su antojo. Otra alternativa es la protección por geolocalización, que ya existe en algunas soluciones. Sin embargo, se puede averiguar la latitud y la longitud del lugar donde estés, simplemente usando de Google Maps. Por eso IRONCHIP ha desarrollado un proyecto más innovador que da una vuelta de 180 grados a la tecnología actual para ofrecer la mayor seguridad y confidencialidad al cliente. Hemos desarrollado nuestra propia inteligencia artificial. Su
función es analizar las ondas de radio del ambiente, como pueden ser las señales WiFi o todo tipo de señales móviles, y a partir de ellas, dicha inteligencia artificial aprende que se encuentra en un lugar determinado. Imagínese que un país asiático, China quiere atacar una central nuclear de España. Conocer la latitud y la longitud es sencillo. Sacar una contraseña también. Pero ¿Cómo sería capaz de conocer cuáles son las señales de radio? No podría. Esta es la manera de acabar de golpe con todo tipo de ataques remotos.
CsN: Suena interesante. Y ¿Alguien podría robar esas zonas del servidor como pasa con las contraseñas en los famosos “data leak”? JG: No, eso es imposible. Nos dife-
renciamos de otras soluciones porque la información de la localización no es guardada ni en el dispositivo del usuario ni en nuestros servidores. Lo que hacemos es entrenar un algoritmo con los datos de ubicación y, una vez
José Fernando Gómez, CEO de Ironchip
ha aprendido, borramos los datos. Así guardamos solo la caja matemática que determina si son correctos o no. De esta manera, aunque alguien consiga comprometer nuestros servidores, nunca podrá obtener las claves de acceso de tus usuarios, algo que sí pasa con cualquier solución actual. CsN: ¿Cómo está siendo la acogida entre todas las empresas que conocen ya Ironchip? JG: Muy positiva. Estamos trabajando
duro para llevar nuestra solución al mundo de la banca, donde aportamos un diferencial enorme. La normativa PSD2 actual, dicta que los usuarios de banca deben utilizar autenticación fuerte. Sin embargo, los bancos están utilizando los inseguros y molestos para los usuarios SMS. Además de ser una solución cara, no aporta más seguridad que la contraseña actual. Actualmente estamos ejecutando nuestros primeros pilotos en los sectores industria y ciberseguridad, sectores más cercanos para nosotros por conocimiento y situación geográfica, con dos de las compañías IT más grandes de Europa. CsN: Desde su nacimiento, Ironchip no ha parado de crecer, ¿en qué momento estáis ahora y cuáles son vuestros objetivos para final de año y próximo año? JG: Comenzamos siendo dos, y ahora
tenemos un equipo formado por 7 expertos. Hemos cerrado nuestra primera ronda de inversión semilla con EASO Ventures, y tenemos grandes mentores y asesores en nuestro equipo, como Floren Molina, cofundador de S21sec. Este final de año está siendo muy intenso en eventos y negociaciones, estamos centrados en ventas y para el año que viene queremos hacer crecer nuestros pilotos actuales, transformán-
dolos en casos de éxito en producción. Esto nos permitirá crear una red de resellers basada en grandes compañias IT, que generará la confianza necesaria para entrar en el sector bancario y elevará por encima de nuestras posibilidades nuestra tracción en mercado. Otra de las misiones del año que viene es buscar inversión en una ronda serie A, para que una vez demostrado nuestro éxito en banca, podamos llevar nuestra solución a mercados tan grandes e interesantes como LATAM y EEUU.
CsN: Como sabes, el sector de la ciberseguridad está evolucionando muy rápido, ¿dónde crees que estarán los principales retos? JG: Uno de los principales retos es
verificar la identidad sin necesidad de usar passwords. Los passwords se reutilizan, se olvidan y son inseguros por su naturaleza o su método de recuperación. Admitámoslo, todo lo que nos importa se esconde ahora mismo detrás de un password, que probablemente ya esté filtrado por internet. Las aplicaciones de inteligencia artificial para la detección de fraude online son otro de los campos más prometedores en el futuro. Nosotros hemos hecho nuestras primeras pruebas aplicando redes neuronales a la detección de intrusos en industria, y los resultados prometen. ¡Seguro que os contamos algo interesante el año que viene!
CsN: A todas las personas que tienen inquietudes pero que aún no se han decidido por ir un paso más allá en la seguridad de su compañía utilizando por ejemplo soluciones como Kydom, vuestra solución de autenticación de alta seguridad y sin claves, ¿qué les dirías? JG: Que se darán cuenta desde el primer
día que la utilicen de todos los quebraderos de cabeza y altos costes que les supone las contraseñas. Además, aporta más seguridad al usuario de manera transparente y elimina de golpe los ataques de suplantación de identidad, los ataques de phishing y las filtraciones de contraseñas, algo que según Forbes cuesta de media 5 millones de dólares a las empresas. Y por último, que no confíen tanto en las soluciones biométricas. El riesgo de guardar datos que los usuarios no podrán cambiar en su vida en soluciones no lo “suficientemente maduras” es demasiado alto a cambio de la seguridad que aporta.
.
CyberSecuritynews | Noviembre 2019
26 Entrevista CISOs / Israel Nadal
“Un trabajador incluso sin privilegios administrativos puede llegar a comprometer la empresa entera” Sin lugar a dudas, uno de los grandes retos y deberes de un CISO está en hacer ver y comprender a la alta dirección la importancia de la inversión en ciberseguridad más allá del retorno económico visible y palpable cuando un ciberataque les afecta en menor medida que a otra compañía.
P
Texto: Vicente
Ramírez
ara profundizar más en la trayectoria y experiencia de este rol, hablamos con José Nadal (más conocido como Israel), actual CISO de un importante grupo empresarial.
CyberSecurity News (CsN): Tanto si un profesional viene del mundo técnico como si no, ¿cómo de importante es que un CISO hable tanto el lenguaje técnico como el de negocio? ¿Te resulta más complicado comunicarte con tu equipo técnico o con los directivos del grupo? Israel Nadal (IN): El CISO precisa-
mente es la figura intermedia, es la pieza clave que une el departamento técnico con la directiva; por lo que
debe de conocer el lenguaje técnico, ya que si no lo conoce parte de la información transmitida por el departamento técnico se pierde en el camino, a la directiva.
Como anécdota os puedo contar que en una auditoría que hice a una gran empresa, perdí más tiempo explicándole al CISO, lo que era una vulnerabilidad que en descubrirla. Actualmente, no me resulta difícil la comunicación con ningún departamento, ya que suelo simplificar cada información que me llega, tanto de un departamento como de otro. CsN: Ahora que hemos mencionado la alta dirección de una compañía. Uno de los grandes retos que siguen afrontando por lástima este rol dentro de una compañía es la comunicación con la dirección en el sentido que aún cuesta al CISO hacer ver a ella, la importancia de la ciberseguridad CyberSecuritynews | Noviembre 2019
para por ejemplo conseguir más recursos. Desde tu propia experiencia o bien desde tus conocimientos por la situación de otros colegas, ¿qué opinas al respecto? IN: Es muy difícil para alguien que no
está puesto en ciberseguridad, hacerle ver que la inversión en ciberseguridad, es rentable a la vez que aporta un valor añadido a la empresa. El problema es que no nos damos cuenta de la seguridad hasta que la ponemos a prueba. Hay estudios que demuestran que la inversión en ciberseguridad es y debe de ser una pieza clave para el crecimiento y madurez de una empresa. La ciberseguridad puede llegar a ser una gran ventaja competitiva, y precisamente el trabajo del CISO es hacer ver esto a la directiva. CsN: Actualmente, los ciberdelincuentes son tan ingeniosos que el despiste inconsciente de un empleado (engañando a un empleado de la compañía), puede llevar a la empresa a una situación de crisis. ¿Cómo trabajáis la concienciación y formación base en ciberseguridad? ¿Colaboras con el DPO del grupo, por ejemplo, en crear una cultura en torno a la protección de los datos dentro de la compañía? IN: Aunque no se habla mucho del término APT (Advanced Persistent Threat), o la mayoría de campañas de
espionaje industrial, casi todas coinciden en lo mismo: que empiezan por un trabajador despistado o inseguro. Esto nos lleva a un escenario en el que podemos tener la empresa entera comprometida, por lo que necesitamos profesionales capacitados para detectar estas amenazas. Precisamente llevo años estudiando las campañas APT, y el
vector principal de entrada suele ser la parte humana.
Un trabajador incluso sin privilegios administrativos dentro de la red interna, puede llegar a comprometer la empresa entera y
que nuestros sistemas de seguridad no funcionen, porque se trata precisamente de una campaña diseñada para nosotros, lo que llamamos ataque dirigido. ¿Qué quiero decir con esto? Pues que la capa humana de la ciberseguridad es vital, por lo que a diario pongo particular énfasis en la concienciación en ciberseguridad. He trabajado como DPO, por lo que la cultura en protección de datos es algo que llevo muy al tanto en mis actuaciones. Colaboro con el DPO e impartimos entre los dos las charlas de concienciación, yo trabajo un poco más la parte de medidas proactivas, y el DPO la parte legislativa.
CsN: Existen casi tantas soluciones y productos de ciberseguridad como ciberataques. En un mercado aparentemente tan “saturado” de empresas de ciberseguridad, ¿cuáles son tus requisitos a la hora de elegir un partner en este sector? ¿Qué filtros debe de pasar? ¿Piensas desde el primer momento en ir directamente a empresas líderes muy conocidas o estás dispuesto a valorar nuevas soluciones e innovaciones de startups? IN: No tengo un partner del que sea fiel
seguidor, pero me gusta Trend Micro por su sencillez, soy muy perfeccionista por lo que siempre estoy probando y probando… Para mí los requisitos que deben de pasar las soluciones de ciberseguridad son:
27
Israel Nadal, CISO en un importante grupo empresarial -Economía, se debe de ajustar a los presupuestos de la empresa. Hemos de tener en cuenta el gasto con la criticidad de los servicios a proteger. -Sencillez, el manejo debe de ser sencillo, con lo que cualquiera sin grandes conocimientos pueda operar el sistema. -Seguridad, parece algo obvio, pero he visto soluciones de ciberseguridad inseguras. Otra opción es desarrollar tu mismo las herramientas, en mi caso y junto con el equipo de desarrollo, estamos trabajando en una herramienta de prevención del fraude online. No puedo decir mucho, porque precisamente está en desarrollo, pero es una herramienta que usará inteligencia artificial, para saber si una operación bancaria puede ser fraudulenta o no. CsN: El número de ciberataques no para de crecer. ¿Cuál crees que es la principal carencia del sector? IN: El número de ataques crece, porque
al fin y al cabo todo se ha reducido prácticamente al tema económico. Quitando un porcentaje bajo, la mayoría de ataques a las empresas vienen porque hay un móvil económico detrás. La principal carencia del sector es la poca inversión que se hace
tanto en equipos como en personal especializado. Escucho mucho lo de: “falta talento en ciberseguridad”, pero creo que lo que realmente falta son inversiones y concienciación. Normalmente no se suele apreciar los años de dedicación y el gran esfuerzo, tanto personal como económico, que hace un profesional de la ciberseguridad, y eso se traduce en los sueldos y en descontento de los profesionales del sector. CsN: Uno de los nuevos productos en ciberseguridad que más popularidad está teniendo en este momento, es el llamado ciberseguro para empresas. Ya existen muchos ciberseguros lanzados por los principales fabricantes o aseguradoras que dan una amplia cobertura reactiva. ¿Has planteado o planteas incluir este producto en tu empresa? ¿Cómo lo valoras? IN: Sí, creo que el ciberseguro es algo
necesario y creo que debería de hacerse obligatorio en algunos casos. El problema viene en que, hay que leer bien las pólizas, y con detenimiento. En muchos de los casos, tendremos que llegar a una negociación con el seguro, para la inclusión de ciertas cláusulas.
Israel Nadal, CISO en un importante grupo empresarial CsN: Y finalmente Israel, ¿cómo ves el futuro próximo de la ciberseguridad? IN: El futuro de la ciberseguridad lo veo
muy unido a la inteligencia artificial y el machine learnig. La automatización de la ciberseguridad será clave en el futuro; la automatización como método de mitigación de amenazas, pero esto también tendrá su doble cara, porque los
cibercriminales lo usarán en su favor. Al fin y al cabo, es un poco como el juego del ratón y el gato. Otra rama de la ciberseguridad que tendrá mucho auge será la parte forense, pues cada día aumentan las filtraciones de datos de las empresas a causa de trabajadores descontentos, o despistados. En el futuro la ciberseguridad formará parte activa en nuestras vidas.
.
CyberSecuritynews | Noviembre 2019
28 Cyber Security News / Grupo Comar
“Jamás se logrará en la seguridad informática un estado de seguridad pleno y sostenido en el tiempo” La ciberseguridad avanza a un ritmo casi vertiginoso, al mismo ritmo que la tecnología avanza. Trabajar en este sector supone por tanto estar en constante formación y enfrentarse a numerosos retos y desafíos que siempre se intentan prevenir. Para conocer mejor cómo trabaja un experto en ciberseguridad, hablamos con Alberto López, Director de Sistemas y Ciberseguridad para Casino Gran Vía y Gran Casino de Aranjuez, dentro del Grupo Comar. Texto: Vicente
Ramírez
CyberSecurity News (CsN): La mayoría de CISOs actuales vienen de la parte técnica, del mundo hacking, pero no todos y cada vez encontramos más excepciones. ¿Cómo ha sido tu trayectoria profesional? Alberto López (AL): Mi historia en el
mundo de la (in)seguridad informática, comenzó hace ya 24 años, cuando tan sólo tenía 15. Todo empezó cuando mis padres me compraron mi primer PC, un Intel Pentium 100. A pesar de estar en plena adolescencia, no me sentía especialmente atraído por los videojuegos; sin embargo, mi curiosidad por investigar y averiguar qué podía hacerse con un ordenador crecía cada día. Mi primer contacto fue con la programación, desde ensamblador 8086, hasta lenguajes de más alto nivel tales como Java, C/C++, etc. Transcurrido un año aproximadamente, compaginé la programación con todo lo que también me brindaba internet por aquella época, finales de los 90, con mi primer modem, un U.S. Robotics de 33.6 kbps. A partir de ese momento, mis ganas por saber más y saciar mi curiosidad se incrementaron exponencialmente. En mi cabeza siempre rondaban preguntas del CyberSecuritynews | Noviembre 2019
estilo “y por qué esto funciona así, y por qué no de esta manera”, “y si modifico esto y aquello”, “y si hago esto, da error… y qué significa este error… “, etc. Curiosamente y contra todo pronóstico, mi formación universitaria no fue tan especializada como corresponde a la ingeniería informática, sino que me volqué más hacia el área de electrónica, microprocesadores, redes, infraestructuras e ingeniería, y especializándome durante 2 años más en la Escuela Superior de Tecnologías Avanzadas de Biarritz, en Francia. Y si bien es cierto que en los comienzos de trayectoria profesional he tenido una fase donde me he desarrollado como responsable de producción en el área industrial, he estado donde más me gusta y me motivaba, y donde mayor valor aporto, en departamentos de sistemas y seguridad, o como docente de informática, siempre desarrollando labores técnicas y de gestión en el área de sistemas, infraestructuras y seguridad, reportando a la alta dirección de la empresa a la que pertenecía en cada momento. La función de responsable o consultor de seguridad siempre había estado integrada, hasta ahora, en estas áreas, como “algo más”, siendo en todo momento
competencias inherentes a mí puesto de trabajo. CsN: Podríamos mencionar muchos retos a los que os enfrentáis. ¿Cuáles destacarías? AL: El mayor reto, reiterado y amplia-
mente comentado siempre en todos los foros, congresos y reuniones en las que he tenido la oportunidad de participar, es sin lugar a dudas la concienciación de las personas. El segundo reto más importante que veo y al que me he enfrentado en no pocas ocasiones es que, con ánimo de dar agilidad a todo, y no caer en la perfección, se dificulta poder dedicar el tiempo que realmente requiere cada proyecto, siendo otra tarea el afinar o calibrar debidamente lo implantado o desplegado. Sabemos que lo perfecto es enemigo de lo bueno, pero debe adquirirse un compromiso suficiente para que exista un equilibrio o acercamiento entre lo perfecto y lo bueno. Esto puede verse en la materialización de un despliegue y configuración de un CPD, de servidores, en programación, etc. Como consecuencia de lo anterior, habría que dirigir también parte de los esfuerzos de las empresas en mejorar el departamento o los servicios contratados en seguridad informática, para lo
29
Alberto López, Dir. de Sist. y Ciberseguridad, en Grupo Comar para Casino de Gran Vía y de Aranjuez. cual, es inevitable que se adquiera el compromiso, desde la alta dirección, y se apueste por esto tanto insuflando los recursos humanos (externalizados o no) como apostando por la especialización y formación continua de estos. En este mundo en el que vivimos y al ritmo que avanza la ciberseguridad, jamás se logrará en la seguridad informática un estado de seguridad pleno y sostenido en el tiempo. Eso es algo que, tenemos que aceptar y entender de cara a realizar una eficiente distribución de recursos y esfuerzos, en cada momento. No puede ser algo inamovible. Estos esfuerzos deben ser dinámicos y adaptables, todo ello con la máxima agilidad posible y disponiendo de una visión transversal de la empresa, así como del poder de gestión correcto. Esto no sólo debe mantenerse en la teoría, sino también en la práctica, donde por experiencia propia y así como homólogos míos han compartido en ocasiones, pocas veces es así. CsN: Siguiendo con la pregunta anterior, a la hora de seleccionar una empresa proveedora, un partner, ¿qué valora más, un buen producto o un buen servicio? ¿Qué esperarías de ese partner? AL: Espero un buen servicio (SLAs,
agilidad en la materialización y ejecución de lo solicitado), que disponga de personal variado y cualificado (por poner un ejemplo, me generaría desconfianza que un proveedor me traslade que tenga a una persona que sabe de todo, en este mundo de la ciberseguridad, para una gran empresa), que genere confianza, que exista proactividad y una correcta comunicación (que no sólo reporten cuando se solicite algo al proveedor), etc. CsN: El CISO por un lado podríamos decir que hace de intermediario y traductor entre la parte de negocio de la compañía y la parte técnica. ¿Consigues que ambas partes se entiendan? AL: Son partes que están destinadas
(y no condenadas) a un buen entendimiento, si bien es cierto que he tenido y tengo que trabajar mucho para que la parte de negocio (entendiéndose como todos/as los/as empleados/as) ajena al área de TI comprendan los múltiples peligros, ataques internos y ataques externos a los que estamos expuestos continuamente. Lamentablemente, esta concienciación, en muchos casos, ha venido por sí
sola cuando alguien ha sido víctima de un ataque que ha afectado seriamente al desarrollo de su labor, o ha hecho algo indebido (aunque no ha propósito), etc. Por otra parte, el área técnica también ha tenido que hacer una labor de “acercamiento”, interactuando y exponiendo su punto de vista con la máxima empatía y abstracción posible. Considero que aún queda mucho camino por delante, pues a medida que más nos digitalizamos, más de cerca vemos las consecuencias de la inseguridad existente por un mal uso o abuso de los elementos que se ponen a nuestra disposición. Evidentemente, no por ello dejaremos el mundo digital de lado, como si fuera una moda, al igual que no dejamos la conducción en coche, el montar en bici, etc. Sino que deberemos ir adaptando y avanzando en el sector de la seguridad informática al igual que lo hace el mundo digital en el que hoy vivimos y se nos está poniendo frente a nosotros.
CsN: Sabemos que el flujo de comunicación en el sector de la ciberseguridad es muy importante para mejorar la protección global de todos. ¿Cree que queda mucho que hacer aún para obtener el flujo de comunicación deseado? ¿Crees que se podría mejorar mucho más incluso el propio flujo de comunicación entre diferentes CISOs? AL: En el mundo de la cibersegu-
ridad hay que estar constantemente actualizado, tanto a nivel de noticias, formación, como de colaboración entre homólogos. Los congresos, desayunos y eventos de networking, casi siempre se producen deprisa y corriendo, y efectivamente, creo yo, debería mejorarse la comunicación entre CISOs (¿jornadas técnicas y de gestión?) dentro de un mundo tan cambiante y nutrido de variables e infinidad de escenarios como es el de la seguridad de la información. Es totalmente mejorable. No debemos obviar ni olvidar el flujo de información que se genera también en contacto con la capa técnica de nuestro departamento, partners y otros proveedores/fabricantes. CsN: ¿Cree que la tecnología cloud y multcloud está ya lo suficientemente madura desde el punto de vista de la ciberseguridad? ¿Cómo usa su compañía la tecnología cloud? ¿Pública, privada o mixta?
Alberto López, Chief Information Security Officer AL: Estamos en un mercado donde el cloud y multicloud, desde el punto de vista de ciberseguridad, está maduro, y como todo sistema e infraestructura, mejorable, donde se pueden y deben introducir muchas más innovaciones, tanto a nivel de funcionalidades como de ciberseguridad, por supuesto. Los grandes jugadores/oferentes (Amazon, Microsoft, Google, etc.), y a la zaga los no tan grandes, disponen de personal muy especializado, certificados, en continua formación, dedicados exclusivamente al despliegue y mantenimiento de las infraestructuras, así como a su segurización. Este tipo de plantillas de especialistas, tanto por el número como por su formación y experiencia, es algo de lo que no podemos disponer la gran mayoría de PYMEs y grandes empresas, para con sus infraestructuras on-premise. Madurez, por tanto, ya existe a nivel de ciberseguridad del cloud. Tanto en Casino Gran Vía, como en Gran Casino de Aranjuez, donde desarrollo mi labor como Director de Sistemas de Información y Ciberseguridad, hacemos uso intensivo de nube mixta, tanto de la pública como de la privada, algo habitual ya en toda empresa con centros de trabajo dispersos geográficamente, con ánimo de consolidación de servicios. Para un negocio tan crítico, en el que la alta disponibilidad y ciberseguridad de los sistemas y las comunicaciones es clave, el uso de nubes públicas y privadas se hace esencial; más aún sabiendo que detrás hay personal muy cualificado, desplegando y manteniendo todo ello. Esto, por tanto, logra que podamos eficientar mucho los procesos de negocio, la gestión de TI, la gestión de la ciberseguridad, etc.
.
CyberSecuritynews | Noviembre 2019
30 Ciberseguridad en el sector público sanitario / Hospital Universitario Puerta de Hierro
“Una brecha en nuestro ámbito compromete la seguridad (la salud) del paciente y su privacidad” Cuando hablamos de ciberseguridad, existen grandes diferencias con respecto a sectores diferentes. Y es que como sabemos, existen una serie de sectores que por los datos que manejan, son a veces mucho más atractivos para los ciberdelincuentes. Podemos mencionar el sector asegurador, el bancario o el sanitario.
P
Texto: Vicente
Ramírez
ero, ¿existen diferencias entre el sector público y privado en materia de ciberseguridad? ¿Cómo es la gestión de la ciberseguridad en un gran Hospital? Para intentar dar respuesta a algunas de estas preguntas, entrevistamos a Juan Luis Cruz Bermúdez, Técnico Superior de Sistemas y Tecnologías de la Información y Responsable de Seguridad del Hospital Universitario Puerta de Hierro. CyberSecurity News (CsN): Me gustaría comenzar la entrevista preguntándote sobre tu trayectoria profesional Juan Luis. Y es que, a día de hoy, eres el responsable del área de la seguridad de la información y tecnología de la información de uno de los principales hospitales de nuestro país. ¿Cómo ha sido tu camino hasta aquí? Juan Luis Cruz Bermúdez (JLC):
Pues un tanto accidental, y accidentado. Soy Ingeniero de Telecomunicación de formación, y comencé mi carrera en el ámbito de la Consultoría, y en concreto de la Seguridad Informática. Sin embargo, siempre tuve una orientación sanitaria (cursé la intensificación de Bioingeniería en la carrera) y comencé con distintos proyectos de desarrollo y estrategia de sistemas en el ámbito sanitario. En 2009 di el salto al sector úblico, como Jefe de Servicio de Informática del Hospital (CIO), puesto que mantuve hasta el año 2017. En este tiempo, asumía las tareas relativas a la seguridad y protección de datos personales (CISO) dado que la estructura del hospital no contempla este puesto. Cesé como CIO en 2017, pero continué CyberSecuritynews | Noviembre 2019
“En lo relativo al sector público sanitario, creo que en general es una apuesta muy limitada, a remolque de los acontecimientos” en el Hospital con las labores de CISO. Quizás porque nadie las quería…
CsN: Cuando hablamos de ciberseguridad, hablamos de un sector en auge que ha llegado a la totalidad de sectores, del sanitario al bancario pasando por las aseguradoras o los grandes retailers. Pero, ¿Crees que existen algunas diferencias con respecto a otros sectores en materia de ciberseguridad? JLC: Veo dos diferencias fundamentales:
presupuesto e impacto. En primer lugar, el presupuesto. Aunque la percepción de que la seguridad no está adecuadamente financiada es común en una mayoría de empresas, en el ámbito sanitario, y específicamente en la Comunidad de Madrid, nos falta mucho camino por recorrer. Estamos órdenes de magnitud por debajo de lo que invierten muchas compañías en otros sectores productivos. Y en segundo lugar, el impacto que tiene una brecha de seguridad en nuestro ámbito (y que paradójicamente no implique un presupuesto adecuado en esta materia). Una brecha en
nuestro ámbito compromete la seguridad (la salud) del paciente y su privacidad. Además pone en manos
de terceros información especialmente protegida que no pierde en general su vigencia, sino que es perdurable en el tiempo (un antecedente psiquiátrico, por
ejemplo, es algo que no puede cancelarse y dejar de tener vigencia, como un número de tarjeta de crédito). Y por supuesto, supone un daño reputacional, amplificado especialmente por los medios de comunicación, y una pérdida de confianza de los ciudadanos de muy difícil cuantificación y reparación.
CsN: Sabemos el carácter sensible de los datos que manejan los centros sanitarios. ¿Cuál es el principal reto en el que has estado sumergido o lo estás actualmente dentro de tu puesto en el Hospital Puerta de Hierro? JLC: Somos una organización con más
de 3000 profesionales que manejan diariamente datos de salud, inmersos en un ritmo de trabajo frenético. La adecuada concienciación del personal, facilitarles soluciones que les permitan avanzar en sus proyectos cumpliendo con la normativa, y dotarles de medios que faciliten la ciberseguridad de una forma transparente, sin añadir trabajo extra, son retos fundamentales en nuestro trabajo diario. CsN: Antes te he preguntado por las posibles diferencias en materia de ciberseguridad que pudiera existir entre el sector sanitarios y otros sectores pero si ahora hacemos la diferencia entre el sector público y privado, dentro del sector sanitario. ¿Nos
31
Juan Luis Cruz, Técnico Sup. de Sist. y Tecn. de la Inform. y Resp. de Seguridad del Puerta de Hierro podrías comentar más acerca de la apuesta que el sector público está haciendo por la ciberseguridad? ¿Crees que existe alguna diferencia con respecto al sector privado? JLC: Desconozco la apuesta que esté
realizando el sector privado. Asumo que será importante, puesto que su negocio depende en gran medida de la seguridad de sus datos. En lo relativo al sector público sanitario, creo que en general es una apuesta muy limitada, a remolque de los aconte-
cimientos y la evolución de la opinión pública, y muy centrada en la contratación de servicios externos y poco en la creación de plantillas propias expertas. Es paradigmático el incidente de altísimo impacto que sufrió el sistema público sanitario inglés (NHS) en mayo de 2017. Ha servido para concienciarnos, pero no para incrementar el presupuesto ni las plantillas en los servicios de informática de los hospitales. CsN: El cloud aunque para muchos es una tecnología lo suficientemente madura y se habla de multi cloud, la realidad es que esta tecnología debe ser utilizada bajo una capa de protección alta para prevenir posibles fugas de información o ciberataques. ¿Cuál es vuestra apuesta por esta tecnología? JLC: Por el momento, muy limitada
en lo relativo a la nube pública. La infraestructura se está gestionando cada vez más de forma centralizada, pero con equipamiento en CPDs locales. Sin embargo, en mi opinión los
esquemas híbridos son el presente y el futuro próximo, y no podremos
mantenernos ajenos a ello mucho más tiempo.
CsN: Del 0 al 10, ¿cómo valorarías la importancia de la concienciación en materia de ciberseguridad? Del mismo modo, ¿cómo puntuarías la apuesta por la concienciación en las empresas españolas? En este caso, según tu experiencia sin distinción por sector. JLC: En mi opinión, la concienciación sería un 10. Los ataques siempre
buscan el elemento más débil de la cadena, de forma que de poco sirve disponer de los últimos sistemas informáticos de detección de intrusiones si los trabajadores no tienen conciencia de los riesgos que existen y de cómo deben
Juan Luis Cruz Bermúdez, Técnico Superior de Sistemas y Tecnologías de la Información y Responsable de Seguridad del Hospital Universitario Puerta de Hierro.
afrontarlos. Sin embargo, en el sector sanitario la mayoría de las acciones de concienciación son puntuales y adolecen de falta de continuidad y profundidad. CsN: A la hora de valorar una empresa de ciberseguridad para aplicar una nueva solución, ¿qué es lo que más valoras de la compañía? JLC: Siempre se tiende a valorar un
conjunto de factores, pero en mi opinión la base instalada o de clientes, la disponibilidad de evaluaciones externas de sus tecnologías, y la disponibilidad de expertos locales del proveedor que
hayan afrontado situaciones reales de crisis son factores que distinguen claramente a unas compañías de otras.
CsN: Finalmente Juan Luis, ¿cómo ves el futuro de la ciberseguridad? JLC: Lamentablemente, le auguro
un futuro prometedor, con un gran desarrollo por delante. Y digo lamentablemente porque los informes del CCN-CERT nos muestran año tras año un crecimiento anual de dos dígitos en el número de incidentes gestionados. Las ciberamenazas crecen, y los negocios se transforman digitalmente, así que hay futuro para la ciberseguridad.
.
CyberSecuritynews | Noviembre 2019
32 Ciberseguridad en el sector público / Aragonesa de Servicios Telemáticos
“Los CISOs somos como los autores de novela negra...” “...nunca hemos matado a nadie, pero nos pasamos el día imaginando cómo matar a nuestras organizaciones” (en relación a comprender cómo podrían actuar los ciberdelincuentes).
E
Texto: Vicente
Ramírez
l responsable de la seguridad digital de una compañía es un perfil imprescindible en medianas y grandes empresas hoy en día. Asumir el rol de gestión de la ciberseguridad y estar en constante comunicación con su equipo técnico y la alta dirección es fundamental pero…¿sigue costando hacer ver a la alta dirección de las organizaciones la necesidad de invertir en ciberseguridad? Ignacio
Pérez, CISO de Aragonesa de Servicios Telemáticos, nos diferencia
claramente 3 tipos de empresas según su voluntad y predisposición a la ciberseguridad... CyberSecurity News (CsN): En los últimos años, se ha hablado mucho de cloud, cloud pública, privada, híbrida, multi cloud… ¿cómo se trabaja esta tecnología en una organización como la vuestra y qué medidas de seguridad hay que tener en cuenta? CyberSecuritynews | Noviembre 2019
Ignacio Pérez (IP): A nivel personal,
lo que más me gusta de la nube es el cambio de paradigma que ha traído entre la interacción de las aplicaciones y los servidores. El funcionamiento de docker, Kubernetes es algo que hay que replicar en los CPD internos de una organización. Como en su momento fue la virtualización de servidores. Con ello evitamos los dramas de las actualizaciones del sistema operativo, las aplicaciones mastodónticas que nos anclan a tecnologías obsoletas y por tanto vulnerables. E incluso, hay que dar una vuelta a como traer a casa el paradigma «serverless», al estilo del de Azure o el de AWS lambda. Pero con todo, pese a mis preferencias, no puedo impedir al cloud. Así que, si no puedes con tu enemigo, únete a él: el cloud ha llegado para quedarse.
Siendo conscientes de que tampoco es la panacea. Lo primero que hay que asumir es que no se puede garantizar la confidencialidad a nivel alto. Es decir,
si tus activos de información son lo suficientemente interesantes como para que un actor global tan poderoso se fije en ti. Estoy pensando en las denuncias que surgieron en el 2013 de que la NSA espiaba a Petrobras. ¿No ocurrirá eso ahora? ¿Quién me garantiza que el proveedor cloud no indaga en mi contenido? Lo que ocurre es que, en algunos casos, esta vulneración de la confidencialidad no es tan importante. Me explico, si yo tengo una pyme, es muy probable que me afecte muy poco al negocio que un gran actor pueda indagar en mis contenidos. Salvo que te de diques a un I+D+i muy específico, pero si yo tengo una pequeña fábrica de tornillos, que mi correo este en la nube no parece un problema relevante. Y por el contrario puede dotarme de una disponibilidad que en el caso de una pyme es muy difícil de alcanzar por medios propios. En seguridad no hay una solución que sea perfecta, sino un compromiso entre
33
Ignacio Pérez, CISO de Aragonesa de Servicios Telemáticos tus recursos y los riesgos residuales que tienes que asumir. Conclusión: en AST apostamos por el Cloud Hibrido, donde combinamos nuestro Cloud privado con Cloud público donde veamos la conveniencia. Nuestra licitación de Transformación digital de Datacenters ya refleja esta filosofía. Y en cualquier caso hay centrarse en las medidas de protección clásicas: cifrado de las comunicaciones, cifrado del almacenamiento, establecimiento de DMZ, entornos de gestión no accesibles directamente, servidores bastionados, aplicar programación por capas (vamos guardar las BBD en «backend» no accesibles desde fuera), monitorizar las aplicaciones cloud y los flujos de comunicación… Puede que no tengas el hierro en casa, pero tienes una gran cantidad de tareas que acometer. Y si no le aplicas seguridad pagaras para que otros minen criptomonedas en tus servidores. Por último, la agilidad en el despliegue de aplicaciones aumenta los requerimientos en la securizacion de las mismas. DevSECOps. Es más fácil que nunca dejarte una puerta abierta, lo bueno es que también es más fácil cerrarla sin que afecte al servicio.
CsN: El CISO nunca tuvo tanta importancia como tiene hoy día. ¿Has notado cómo en general, tanto compañías públicas y privadas, están apostando más por la ciberseguridad en nuestro país? IP: ¿Te refieres a que me llaman más
a menudo y me ofrecen puestos mejor remunerados? Siendo cierto, no puedo discernir si es derivado de una mayor inversión en ciberseguridad o si mi currículo se ha vuelto más interesante. De media, las empresas se diferencian entre las le han visto las orejas al lobo, las que no y las que aun sin sustos invierten para no tenerlos. ¡Ojala todas fueran del
último grupo! Pero mucho me temo que la mayoría invierte según los dos primeros. Pero es una impresión sin datos. En mi pasado como consultor de seguridad hice una PoC de hacking ético demostré a un cliente que dándome únicamente un cable de red fui capaz de obtener información sobre las deudas de la empresa, cuánto debían a cada banco. Uno podría pensar que esa empresa espabilo e invirtió mucho en ciberseguridad… yo solo sé que no participe en ningún proyecto más para ese cliente. Era un momento en que la
seguridad todavía no estaba tan madura. Hoy, en lo que me toca que es el sector público, el cambio sí que se ha dado. Invertimos más en ciberseguridad. El reto del sector público es que es enorme, para su tamaño y complejidad la inversión en seguridad TIC es relativamente pequeña si lo comparamos con otros departamentos. Optimizamos mucho las inversiones. Hacemos mucho con muy poco… y si nos dieran más haríamos mucho más. CsN: Un CISO debe de estar rodeado de profesionales multidisciplinares en ciberseguridad. ¿qué habilidades, capacidades o aptitudes valorarías a la hora de tener en cuenta en un profesional de esta materia? IP: En ciberseguridad hay cuatro
competencias fundamentales: • Curiosidad: es una profesión en la que hay que estudiar toda la vida. Lo que se aprendido en los estudios formales se queda desfasado en muchos aspectos. Hay que ponerse al día continuamente. El saber, como la seguridad, es un proceso no un estado. • Autonomía: hay que ser capaz de sacarse las castañas del fuego. Que uno no se quede de brazos cruzados ante la primera dificultad, si no que le de mil vueltas sin darse por vencido. • Trabajo en equipo: Aquí entra en juego desde ser capaz de pedir ayuda, cuando el impacto del retraso de resolución de un reto excede lo admisible. Y la otra cara de la moneda: ser capaz de enseñar a los demás, darles esas líneas que permitan hacerles volar solos. La estrategia de intentar ser el único con determinado conocimiento en una organización, no te vuelve imprescindible: te vuelve un riesgo. Por último, trabajo en equipo es colaborar en el buen ambiente de trabajo. En informática los problemas deberían de venir de una pantalla, no del estado de humor de la persona que tengas al lado. • Resistencia a la tensión: Como técnico he tenido que lidiar desde una empresa parada hasta un hospital con las comunicaciones internas caídas. Son situaciones de mucho estrés, en donde lo prioritario es recuperar el servicio. Y eso mientras tienes gente alrededor que te grita… ¿te imaginas a un
cirujano al que le gritan en plena operación? ¿O a un bombero al que todo el mundo le mira mal, como si fuera el responsable del incendio en lugar de la persona que viene a apagarlo? Pues en ciberseguridad, y en general en las TIC nos ocurren esas cosas. Cuando de chico caminaba por desfiladeros y acantilados, mi padre me decía que hay sitios en los que no puedes caerte. En ciberseguridad hay momentos en los que no puedes bloquearte o quebrarte. Y el cerebro es muy traicionero, en los estudios deberían de explicarnos que hace nuestra cabeza, conocer mecanismos como la indefensión aprendida te ayuda a mitigar su impacto.
CsN: Finalmente, ¿sigue siendo complejo hacerle ver a la alta dirección que la inversión en ciberseguridad no es un gasto? IP: Poner dinero en algo que no sean
dividendos siempre produce “alergia” a las organizaciones. Y además uno va y les dice que hay que poner dinero para evitar situaciones que nunca les han ocurrido… Los CISOs somos como
los autores de novela negra: nunca hemos matado a nadie, pero nos pasamos el día imaginando cómo matar a nuestras organizaciones.
Aquí lo que ayuda es un análisis de riesgo consistente: las matemáticas en nuestra ayuda. Hay que objetivar el riesgo, definirlo y parametrizarlo. Y por último recordar a la alta dirección que son los responsables de lo que pase: el CISO no es el responsable del sistema. Con todo, el ser humano no es solo racional: hay que buscar ejemplos que permitan a la alta dirección comprender que hay detrás de sus números. Desde el «Wanna Cry», todos saben que es un «ransomware». O inviertes en protegerte o te puede destruir como organización. A veces, el limitante ni siquiera es el dinero. ¿Cuántas empresas hay que bastionan el ordenador del almacén, pero permiten una contraseña lamentable – y que no caduque – a las credenciales del CEO? Me viene a la memoria la noticia del acceso al correo de un importante juez: el problema es que nadie tuvo los arrestos de decirle que su contraseña tenía que caducar. En mi caso particular tengo la suerte de tener a la dirección concienciada, y se están haciendo esfuerzos muy serios para mejorar la ciberseguridad.
.
CyberSecuritynews | Noviembre 2019
34 Entrevista ciberseguridad / Cofares
“La mayor preocupación siempre es el eslabón más débil, la persona” Hablar de ciberseguridad es hablar de retos permanentes y constantes y más cuando se trata de empresas cuya actividad en un sector crítico como la salud.
H
Texto: Vicente
Ramírez
ablamos sobre aspectos generales de la ciberseguridad en nuestro país con Pedro
Iván Montes Andrade, CISO de COFARES, empresa líder en la distribu-
ción de medicamentos en España.
CyberSecuritynews | Noviembre 2019
CyberSecurity News (CsN): En mi camino, me he encontrado diferentes CISOs que para mi sorpresa, no se formaron en ninguna especialidad técnica o tal y como se dice aquí, “no vienen del mundillo técnico”. ¿Cuál es tu caso? Nos gustaría que nos contaras tu
trayectoria profesional hasta llegar a ser el responsable de la seguridad de la información de un importante grupo empresarial. Pedro Iván (PI): Recibí formación
técnica en mi juventud en telecomunicaciones y sistemas, y a partir de ahí mi desarrollo ha sido continuo,
35
Pedro Iván Montes Andrade, CISO de Cofares pues he tenido la suerte de trabajar en empresas que siempre han exigido un nivel máximo de ciberseguridad. Destacaría entre ellas mi paso por Telefónica Investigación y Desarrollo, cantera en España de grandes profesionales en ciberseguridad. También en otras como Coca-Cola Iberian Partners, y diferentes instituciones gubernamentales, realizando tareas de ingeniería de sistemas y seguridad.
“Creo que mi responsabilidad como CISO en una empresa de salud es máxima, pues somos un sector crítico que garantiza la disponibilidad de las medicinas en las farmacias”
CsN: Trabajas como CISO en una compañía líder en distribución de medicamentos. ¿Dirías que por el tipo de empresa, te enfrentas a retos diferentes de los que se pueden enfrentar otros CISOs de otras compañías, o crees que los retos son similares? PI: En todas las empresas la ciber-
seguridad es un reto enorme y con características muy parecidas. No obstante, creo que mi responsabilidad como CISO en una empresa de salud es máxima, pues somos un sector crítico que garantiza la disponibilidad de las medicinas en las farmacias. CsN: ¿Cómo trabajáis la formación y concienciación en ciberseguridad? PI: Tenemos un plan de formación
continua, donde formamos tanto a las nuevas incorporaciones como al personal, en materia de Ciberseguridad y Privacidad de la Información, así como otros planes específicos para posiciones con responsabilidad sobre la custodia y el manejo de esta información. Finalmente disponemos de un plan de formación y refresco de obligado cumplimiento para todos los empleados. CsN: Si hablamos de sector público y privado ¿Crees que existe una gran distancia aún en concienciación entre las empresas públicas y privadas? PI: Desconozco los actuales planes de
formación y concienciación de la administración pública. En cuanto al sector privado, hay madurez, sobre todo tras las experiencias sufridas en el pasado por incidentes de Ciberseguridad, también ha madurado el marco regulatorio Europeo y por ende el nuestro en cuanto a la protección de la privacidad. La Formación y la concienciación es indispensable, debe ser continua y estar actualizada, ya que entre las herramientas utilizadas por los ciberdelincuentes para vulnerar un sistema, se encuentran las personas.
Pedro Iván Montes Andrade, CISO de COFARES. CsN: ¿Nos puedes contar cuál ha sido el mayor reto al que te has enfrentado en tu puesto de director de la seguridad de la información en tu compañía? Como CISO, ¿cuál es tu mayor preocupación? PI: La ciberseguridad es un reto perma-
nente, que puntualmente en el pasado me ha llevado a situaciones extremas como bloqueo totales de las operaciones o ataques dirigidos a personas, que han requerido de acciones de defensa y reacción muy coordinadas. La mayor preocupación siempre es el eslabón más débil, la persona. CsN: Cloud pública, privada o híbrida, ¿cuál recomiendas? ¿Está esta tecnología lo suficientemente madura como para poder confiar en ella en materia de ciberseguridad? ¿Qué valoras más de un partner de ciberseguridad para la nube? PI: Respecto a esto no te puedo dar una
respuesta única. Afortunadamente a día de hoy disponemos de muchas alterna-
tivas y podemos elegir, pues la tecnología está madura. La clave es entender tu negocio, el nivel de servicio que requiere, las ventajas e inconvenientes que aporta cada modelo en tu caso, y elegir bien y en consecuencia. De un partner de ciberseguridad espero confianza técnica y personal plena, y flexibilidad para adaptarse a nuestro modelo
CsN: Finalmente, me gustaría que nos dieras tu visión global del sector de la ciberseguridad nacional. ¿Destacarías alguna carencia? Si hablamos de la fluidez en comunicación entre los diferentes perfiles o profesionales del sector con el objetivo de mejorar nuestra protección, ¿qué puntuación le darías del 0 al 10? PI: En este aspecto, como en tantos
otros, nos valoran mejor desde fuera que dentro. El nivel de ciberseguridad en España es muy alto, tanto en empresas como en profesionales en el sector. Le daría un 6.
.
CyberSecuritynews | Noviembre 2019
36 Entrevista ciberseguridad / Departamento Nacional de Ciberseguridad
“No se trata de mejorar las estadísticas de paridad en el sector, se trata de que se reconozca el talento” La colaboración público - privada en materia de ciberseguridad es fundamental para la evolución de nuestra seguridad nacional. También lo es por supuesto, la concienciación de nuestra población, del usuario final expuesto Cada vez más en el mundo digital. Sobre la apuesta del gobierno por la ciberseguridad nacional hablamos con Maria del Mar López, Jefa de la Oficina de Ciberseguridad del Departamento de Seguridad Nacional. Texto: Vicente
Ramírez
CyberSecurity News (CsN): Muchos en el sector de la ciberseguridad nacional, Mar, te tienen ubicada. Acudes a numerosos eventos y eres una de las caras visibles de un importante organismo público. Pero para contextualizar, ¿nos puedes contar cómo ha sido tu camino profesional hasta llegar a ser la Jefa de la Oficina de Ciberseguridad del Departamento de Seguridad Nacional? Mar López (ML): Nunca lo imaginé.
Como siempre digo, tengo una estrella que me acompaña y me impulsa a enfrentarme a retos y desafíos. Empecé dando mis primeros pasos en el mundo tecnológico allá por 1987 cuando trasladé a mis padres que quería estudiar informática. Ellos hicieron un gran esfuerzo para completar las clases de informática con un ordenador, un Amstrad 464 que aún conservo. No me preguntes porque, toda mi ilusión era seguir estudiando para ser ingeniera. En aquellos tiempos, ni la edad ni los referentes acompañaban a una niña de 10 años que quería conquistar la tecnología. Nunca la olvidé, pero el tiempo me llevó a estar indecisa y, sin dejar de aprender del mundo tecnológico, finalmente decidí orientar mis pasos a la Administración y Dirección de Empresas. Esto suponía que la tecnología me iba a acompañar toda la vida, aunque de una manera diferente. En ciberseguridad siempre aludimos a la necesidad de perfiles de todo tipo. Pues bien, sin tener un perfil puramente técnico, por mi experiencia en la gestión y la aplicación de metodologías de investigación, la aplicación de la tecnoCyberSecuritynews | Noviembre 2019
logía a los negocios, casarme con un informático y mi parte más “teki” he acabado dedicándome a una materia que engancha y me apasiona. Tras algunos años siendo responsable de la gestión y la dirección de proyectos de I+D+i, inversión y desarrollo tecnológico, en octubre de 2012 entré a formar parte del Departamento de Seguridad Nacional. Para completar mi formación, realicé el Master en Dirección y Gestión de Seguridad de la Información de la Universidad Politécnica de Madrid. No fue fácil adaptarme a Madrid, a un trabajo nuevo y sin fines de semana. Poco a poco y, tras participar en la Estrategia de Seguridad de 2013, donde la ciberseguridad es un objetivo para la Seguridad Nacional, me hice cargo de la parte tecnológica del Departamento. El trabajo fundamental bajo mi responsabilidad era materializar lo que es invisible para el usuario, el trabajo y las personas que dedican su esfuerzo y tiempo para que todo funcione, además de actuar de traductora. Entender a las dos partes, técnicos y gestores, es esencial para que todo funcione. CsN: Al igual que comentaba antes, aunque muchos conocen la labor de vuestra Oficina, ¿cuáles son los principales valores y motivaciones de dicho organismo? ML: Por una parte, el Departamento de
Seguridad Nacional (DSN) del Gabinete de la Presidencia del Gobierno nace con el objeto de ser el órgano de asesoramiento al Presidente del Gobierno en materia de Seguridad Nacional,
además de asegurar que las funciones de seguimiento y de gestión de crisis sean las correctas y estén coordinadas entre las distintas Administraciones Públicas
y con el sector privado, así como mantener las comunicaciones especiales de la Presidencia del Gobierno. Asimismo, el DSN es la Secretaría Técnica y órgano de trabajo permanente del Consejo de Seguridad Nacional, o lo que es lo mismo, su sala de máquinas. El Consejo es una Comisión Delegada del Gobierno especializada en seguridad y se apoya para materias específicas en otros consejos o comités especializados, como por ejemplo el Consejo Nacional de Ciberseguridad. Pero uno de los trabajos más importantes que realiza es asegurar la colaboración, cooperación y coordinación de los órganos competentes de la Seguridad Nacional, así como realizar estudios y propuestas para fomentar la
colaboración privada y la participación ciudadana en los asuntos de la Seguridad Nacional. CsN:Como bien sabes, la ciberseguridad va tomando cada vez más relevancia en la sociedad. En un futuro próximo, cuando la conducción autónoma, las smart cities, las smart homes, los hospitales inteligentes...cuando todas estas ramas de digitalización de la sociedad que a día de hoy ya han comenzado, sean unas realidades maduras y palpables, ¿crees que estaremos los ciudadanos capacitados y preparados para asumir los ciberriesgos que eso conlleva? ¿Crees que en ese futuro será obligatorio en los colegios, institutos y grados de todas las universidades públicas, una o más materias en ciberseguridad? ML: No creo que seamos conscientes de
lo que tenemos entre manos. Nuestras
37
Maria del Mar López, Jefa de la Oficina de Ciberseguridad del Dep. Nacional de Ciberseguridad emociones, la democratización tecnológica, la usabilidad nos ha llevado a poner nuestras vidas en un espacio intangible donde casi todo vale. Sinceramente, aún tenemos mucho que aprender. Aunque sea un tópico, al igual que cerramos la puerta de nuestra casa con llave, nos ponemos el cinturón cuando conducimos o no dejamos nuestra tarjeta de crédito a cualquiera, tendríamos que ser capaces de ser precavidos y cuidar tanto nuestra privacidad, como lo que compartimos en el ciberespacio. Incorporar la seguridad y el sentido común es primordial. Todos los ciudadanos debemos ser corresponsables y por ello la concienciación, la cultura del riesgo y la ciberseguridad debe ser una prioridad. Hasta que la ciudadanía no perciba la aportación de valor de estas medidas, la batalla no estará ganada. No debemos esperar al futuro, las situaciones que planteas y a las que nos estamos enfrentando ya están aquí. Son desafíos que no esperan, por lo que ya tendría que ser obligatorio el cursar materias específicas en ciberseguridad. CsN: Desde la Oficina de Ciberseguridad del DSN lleváis a cabo multitud de iniciativas para para mejorar nuestra ciberseguridad nacional. ¿Nos puedes contar algunas de ellas? ML: Me gustaría hacer referencia a
un proyecto innovador en el marco de la Seguridad Nacional que es el Foro Nacional de Ciberseguridad. Una nueva iniciativa liderada por el Consejo de Seguridad Nacional para aumentar las sinergias público-privadas en el Sistema de Seguridad Nacional para la ciberseguridad. Su objetivo es el de generar conocimiento sobre oportunidades, desafíos y amenazas a la seguridad en el ciberespacio y donde se le dé voz a representantes de la sociedad civil, expertos independientes, sector privado, academia, asociaciones, entidades sin fines de lucro. Estamos en fase de construcción, queremos que el Foro sea efectivo, posea las funciones necesarias y su constitución y formación sea adecuada, de manera que sus actuaciones perduren en el tiempo. Para ello necesitamos madurar cada una de las ideas que se nos transmiten y se nos plantean, sean consensuadas y así contemos con un mecanismo de colaboración eficaz que cumpla el objeto que perseguimos.
Maria del Mar López, Jefa de la Oficina de Ciberseguridad del Departamento de Seguridad Nacional. CsN: En la nueva edición del programa de incubación de startups de ciberseguridad, CiberEmprende de INCIBE, solo hay 3 proyectos de un total de 30 que están dirigidos por una mujer. Quizás este sencillo ejemplo puede ser un reflejo de la realidad del sector. ¿Por qué cree que ocurre esto y qué podemos hacer entre todos para mejorar las estadísticas de paridad en el sector? ML: Creo que no se trata de mejorar
lo importante es que está cambiando. Estamos avanzando en la buena dirección, hay mujeres excepcionales en el ámbito de la ciberseguridad, igual que hombres, pero han de ser más visibles. Reconocer los logros de las mujeres en la industria y desafiar lo que hasta ahora ha sido habitual, marca la diferencia.
las estadísticas de paridad en el sector,
CsN:Me gustaría terminar la entrevista con la siguiente pregunta…¿qué es lo que más te apasiona de tu trabajo actual? ML: La verdad, me apasionan muchas
existe, distingue a cada persona y nos distingue de las máquinas. Sólo hace falta preparación, esfuerzo y práctica para desarrollarlo. Por supuesto nada es fácil ni gratis, hace falta mucho sacrificio y que el entorno nos acompañe. Es cierto que en el ámbito de la Seguridad y el de la ciberseguridad la representación ha sido predominantemente masculina, pero esto sucede en otras muchas profesiones,
En el mundo de la ciberseguridad aún nos queda mucho por hacer y es esencial que cada vez estemos más preparados.
se trata de que se reconozca el talento, que lo hay y mucho, sin sesgos de ningún tipo. El talento
cosas pero sobre todo el pensar que todo lo que desde aquí se hace, tiene un objetivo y compromiso clave, el contribuir a mejorar la ciberseguridad nacional en un contexto global. Es algo en lo que creo y por lo que apuesto cada día, nuestra posición hace que nos sea más fácil desarrollar muchas actividades que, desde otro espacio, sería más difícil de ejecutar.
.
CyberSecuritynews | Noviembre 2019
38 Eventos de ciberseguridad / CISO Day 2019
CISO Day 2019 congrega a un millar espectadores en su 1ª edición El pasado 12 de junio tuvo lugar la primera edición de CISO Day, evento organizado por CyberSecurity News y que tenía como objetivo centrar el foco en las experiencias de los directivos de seguridad de la información de nuestras empresas, conocer sus principales retos, líneas de trabajo, necesidades, preocupaciones… Y unir las experiencias del CISO con las de otros perfiles importantísimos como el hacker o el experto en ciberinteligencia.
C
Texto: Vicente
Ramírez
ISO Day 2019 que se celebró en el Palacio de la Prensa (Plaza de Callao), contó con más de 300 asistentes y más de 700 usuarios que siguieron el evento a través del streaming además del apoyo de las principales instituciones del sector. Diferentes expertos a nivel técnico como Raúl Siles, fundador de Dinose, Eduardo Sánchez fundador de Hack&Beers, Carmen Torrano, Senior Researcher de Eleven Paths o Chema Alonso, CDO de Telefónica participaron
en una mesa redonda moderada por Build38 y en la que coincidieron en la importancia del buen entendimiento entre el Hacker y el CISO y la clara necesidad de contar en las empresas con estos perfiles técnicos. Como decía Raúl Siles en tu cuenta de Twitter durante el evento: “Un mensaje conCISO para los nuevos CISOs: Pon un hacker (o varios) en tu vida” #CISODay19” Dos directivos de ciberseguridad del sector financiero (uno de una startup y otro de una gran empresa), frente a frente se sentaron para debatir sobre los principales retos en el sector en materia de ciberseguridad. Samuel Bonete, Country Manager de Netskope moderó el encuentro entre Javier Tobal, CISO de Fintonic y Manuel Barrios, CISO del Grupo Oney.
“Como decía Manuel, nuestra característica prima es el dinero que es muy atractivo y luego tenemos otra derivada que es que estamos muy regulados. Otros sectores son más flexibles pero nosotros en nuestro caso, aun siendo una startup, cada vez que crecemos más nos encontramos con más y más restricciones”, comentó Javier Tobal. La jornada acogió una mesa redonda enfocada a conocer cómo se previenen los ataques cibernéticos a nivel corpoCyberSecuritynews | Noviembre 2019
rativo, moderada por Alejandro
Estrada Gamboa, Regional Sales Director Iberia at Sonatype y en la que participaron Carlos Seisdedos, Responsable de Ciberinteligencia de IsecAuditors, Alberto Francoso, Responsable en CNPIC, Vicente Aguilera, OWASP Spain Chapter Leader y Luis Jiménez, Subdirector General del CCN.
En este sentido, Francoso, habló sobre los avances para detectar patrones de los ciberdelincuentes: “Apostamos por la proactividad, realizando acciones de contrainteligencia. Esto nos permite adelantarnos a los indicadores”. Por supuesto, fuimos testigos del duro trabajo que realmente está detrás del responsable de la seguridad de la información de cualquier compañía, experiencias que fueron contadas en la CISO Round Table de la jornada, moderada por Fernando Anaya, Country Manager de Proofpoint España y en la que participaron Carlos Manchado, CISO de Naturgy, Fanny Y. Pérez, CISO de LiberBank, Juan Cobo, CISO de Ferrovial, Luis Miguel Brejano, CISO de Codere y José Ramón Monleón, CISO de Orange. Los expertos afir-
maron que preparar a la compañía para dar el paso al cloud y garantizar que la compañía vaya rápido, cumpla tiempos y que a su vez la seguridad y la priva-
¿Te gustaría revivir la jornada? ¡Vuelve a verlo ahora! Escanea el QR Code para
visualizar en tu dispositivo móvil el
CISO Day 2019
cidad se implemente desde el inicio de los proyectos es uno de los challenges más importantes a los que se enfrentan. Por otro lado, el eCommerce y el retail supone un sector cada vez más preocupado por la seguridad de sus activos digitales y es por ello por lo que tuvimos una última mesa redonda de ciberseguridad en retail moderada por José María Ochoa de m2i Formación y en la que participó Juan Manuel García, CISO de Cerealto Siro, Alberto López, actual CISO en Grupo Comar y Manuel García,
responsable cloud de un importante retail español. En esta primera edición de CISO Day se llegó a presentar también Chronicle, la nueva compañía de ciberseguridad de Google, se habló de la nueva era del pentesting por parte de Integrity, de ciberseguridad desde el punto de vista económico por parte de A3Sec, de la nube fácil para pymes por X By Orange mientras que desde McAfee nos presentaron una interesante exposición titulada “Mira lo que has hecho (en la nube)”. Por supuesto, culminamos la jornada con la exposición de 4 startups prometedoras en el mundo de la ciberseguridad. Un momento presentado por Ignacio Caño Luna, responsable de Innovación de INCIBE que dio
.
paso a Tixeo, Smartfense, Criptocert y CounterCraft.
39
Eventos de ciberseguridad / Sedian Day 2019
Más de 600 asistentes al Sedian Day 2019 convierten Sevilla en el epicentro de la Ciberseguridad El pasado 25 de septiembre tuvo lugar en el Teatro Central de Sevilla, el congreso anual de Ciberseguridad SEDIAN Day, organizado por la Consejería de Economía, Conocimiento, Empresas y Universidad, que reunió alrededor de 600 profesionales del sector de la ciberseguridad provenientes del sector público y de empresas de referencia de todo el país. Texto: Pedro
E
Pablo Merino
l evento contó con la participación de algunas de las caras más conocidas del panorama de la ciberseguridad en España como Ángel Gómez de Ágreda, del Ministerio de Defensa Español, Mar López, del Departamento de Seguridad Nacional, Bernardo Quintero, fundador de VirusTotal, o Sergio de los Santos, director del Área de Innovación y Laboratorio de ElevenPaths. El evento hizo un repaso al estado de la seguridad digital en la Junta de Andalucía, con la idea de definir una política integrada de seguridad y confianza digital en la comunidad, y se completó con ponencias, mesas redondas y diálogos entre profesionales del sector TIC y la Administración. Rogelio Velasco, Consejero de Economía, Conocimiento, Empresas y Universidad de la Junta de Andalucía, dio la bien-
venida a la jornada, destacando a #SedianDay19 como un referente en Andalucía, subrayando el papel que empieza a tener tanto a nivel nacional como internacional. Según Velasco, la
ciberseguridad está en el centro de prioridades para la Junta de Andalucía, y desde el comienzo de la
legislatura están preocupado por ello. En este sentido destacó el acuerdo al que han llegado con el Centro Criptológico Nacional, y el proyecto en el que la Junta de Andalucía “está trabajando para la elaboración de un nuevo decreto que reforzará la seguridad digital en la Administración autonómica ante los ciberataques.”
El dirigente andaluz añadió que, “si queremos ser una región competitiva, no podemos dejar pasar el tren de la ciberseguridad, y esto supone plantearse el objetivo de convertirse en un ‘Hub’ donde ‘startups’, instituciones y personas emprendedoras e innovadoras puedan crear y desarrollar oportunidades.” Siguió el bloque del Área Institucional la jornada Luis Hidalgo, Relaciones Institucionales del Instituto Nacional de Ciberseguridad (INCIBE), que dio a conocer
todos los servicios que ofrecen desde el organismo, y hacer un repaso a los incidentes ocurridos en España durante el pasado año y cómo han ayudado a solventarlos. Exactamente, y según datos del propio INCIBE, en España
ocurrieron 111.519 incidentes de seguridad en 2018. De ellos, 102.414
fueron a ciudadanos y empresas, 722 a operadores críticos y 8.383 a la Red Académica (RedIRIS). De todos los incidentes, un 50,15% de los mismos tuvieron que ver con fraudes, un 24,23% fueron ataques de malware, y un 24,23% incidentes de recolección de información. Para poder ayudar a todo ello, desde el INCIBE tienen un área de respuesta ante incidentes que funciona 24 horas el día los 365 días del año, lo que da una idea de la importancia de la entidad para el mundo de la ciberseguridad en España. Tendencias en ciberseguridad A la interesante charla de Luis Hidalgo le siguió otra de Ángel Gómez
de Ágreda, Coronel del Ejército del
Aire del Ejército español, y que fue jefe de cooperación del Mando Conjunto de Ciberdefensa y representante español en el Centro de Excelencia de Cooperación en Ciberseguridad de la OTAN.
Hace menos de un año escribió un libro, titulado al igual que su ponencia: “¿Hacia un mundo Orwell”?, en el que hace una reflexión sobre cómo la digitalización, las nuevas tecnologías, empresas y gobiernos, más que darnos más libertad, lo que hacen es limitarla hasta unos límites que muchos de nosotros no podríamos ni creer. “Nos dirigimos a un mundo donde la propiedad privada tendrá cada vez menos importancia. Estaremos todos cada vez más controlados.” Pero ojo, bajo nuestra aceptación: “Perdemos seguridad, cedemos nuestra información permanentemente, pero a cambio ganamos comodidad” sentenció Ángel. Puso como ejemplo el sistema de scoring que China ya está empezando a utilizar, en la que la vida de sus conciudadanos será monitoreada permanentemente y a partir de la cual podrá acceder a determinados posibilidades, financiación, servicios, viajes, etc. Tras Gómez de Ágreda escuchamos a Sebastián Dols, Experto en Ciber-Resiliencia, que habló sobre “La realidad del ciberriesgo. ¿Estamos preparados?”, en la que
habló sobre cómo prepararse ante un ciberataque. Porque de forma rotunda comentó: “Los ciber ataques ocurren a cualquiera, no depende del territorio o sector. Ya no hay que prepararse para frenar un ciberataque, hay que prepararse para cuando ocurra, porque va a ocurrir” comenzó sentenciando.
.
CyberSecuritynews | Noviembre 2019
40 Eventos de ciberseguridad / CyberTech Europe 2019
Claves de CyberTech Europe 2019 La ciberseguridad de un vistazo: más de un billón de dólares en daños a causa de sucesos relacionados con la ciberseguridad en 2018.
C
Texto: Vicente
Ramírez
ybertech Europe 2019 cerró sus puertas con éxito. Este encuentro de dos días de duración es la cita más importante en Europa dedicada a la ciberseguridad. Algunas cifras destacables de esta cuarta edición fueron los miles de visitantes de más de 50 países diferentes además de las más de 100 compañías, empresas de nueva creación (start-ups) y organizaciones que pudieron aprovechar este foro para hablar sobre el clima actual de la ciberseguridad y compartir sus mejores prácticas y estrategias para el futuro. El objetivo de esta última edición fue subrayar la idea de que no se debería percibir la ciberseguridad solo por su faceta negativa en cuanto al riesgo, sino que debería
verse como una oportunidad para fomentar la colaboración entre sectores, países y personas para prevenir, combatir y limitar los daños causados por los ciberataques. Es importante confiar en las nuevas tecnologías que ayudan a la protección, como la inteligencia artificial y las cadenas de bloques (blockchain), además de promover más cooperación y el intercambio de información entre el sector privado y el público.
“Ya que los ciberataques afectan a todos los aspectos de la vida, desde el trabajo y la cultura hasta nuestras vidas privadas, entre otras cosas, podemos hablar de un verdadero ciberespacio en el que la realidad física se fusiona con un espacio digital y en el que cada uno de nosotros está presente,” dijo Amir Rapaport, fundador y director de Cybertech. “Esto está íntimamente
relacionado con la expansión progresiva del internet de las cosas: se calcula que habrá 20.000 millones de objetos conectados en el mundo a principios de 2020. Es una gran oportunidad para la humanidad, pero tiene un coste asociado en términos de ciberataques, que son cada vez más personales e indetectables. Aunque la seguridad informática CyberSecuritynews | Noviembre 2019
cada vez está más presente en la cultura empresarial, no está calando en el usuario común. Por lo tanto, tenemos que formar a la gente en la ciberdefensa, empezando por nuestros sistemas educativos, para animarla a invertir tiempo y esfuerzo en reconocer y prevenir los riesgos que podrían afectar a su ciberespacio”. Por su parte, Gene Reznik, director ejecutivo de estrategia en Accenture dijo que “desde el IoT y la tecno-
logía blockchain hasta la inteligencia artificial, los altos directivos de las empresas reconocen que, aunque estas nuevas tecnologías pueden transformar sectores enteros, también crean nuevas incertidumbres en relación con la seguridad” El experto continuó explicando que “según la investigación de Accenture, el 79% de las organizaciones con las que hemos hablado ha indicado que están adoptando tecnologías emergentes a un ritmo más rápido que su capacidad para abordar los problemas de seguridad que implican. Y, cuando hablamos de invertir en la ciberseguridad para proteger el negocio, gastar más no siempre equivale a un mejor funcionamiento. Igualmente, con unos costes
de ciberseguridad que siguen aumentando, hay que hacer un mayor esfuerzo para demostrar que las inversiones son adecuadas. La disrupción tecnológica es una gran oportunidad para repensar, innovar y desarrollar ecosistemas por completo. Por eso las empresas tienen que implementar estrategias de seguridad eficaces que permitan innovar en un clima de seguridad y confianza”. “El pilar de la economía digital es la confianza. Los datos y las tecnologías son vulnerables ante los ciberataques y pueden llevar a la eliminación de puestos de trabajo humanos y a monopolizar la atención humana. Todo esto puede dar lugar a grandes retos sociales”, explicó Rohit Ghai, presidente de RSA Security. “ “Muchas organizaciones aún piensan solo en la detección, pero esto ya no vale en el ciberespacio porque en cuanto detectas un ataque ya has perdido. Todos tenemos que adoptar una mentalidad enfocada en la prevención, porque el reto más grande en el mundo de la ciberseguridad es lo desconocido. Tenemos que estar preparados para los ataques que aún no conocemos”, concluyó el CEO y Fundador de de Check Point, Gil Shwed.
.
41
Eventos de ciberseguridad / 13ENISE
13ENISE reúne a más de 2.300 profesionales en León El Colegio de Educación Infantil y Primaria “La Gaviota”, de Torrejón de Ardoz (Madrid), resultó ganador del Premio 13ENISE a la mejor iniciativa escolar en materia de ciberseguridad y DirectDump se convirtió en la startup ganadora de la última edición de CyberSecurity Ventures.
M
Texto: Redacción
ás de 2.500 profesionales y emprendedores se dieron cita en León, un año más, en la decimotercera edición del Encuentro Internacional de Seguridad de la Información, 13ENISE, organizado
por el Instituto Nacional de Ciberseguridad (INCIBE), entidad dependiente del Ministerio de Economía y Empresa, a través de la Secretaría de Estado para el Avance Digital. Bajo el lema “Ciberseguridad en la industria conectada: de la amenaza a la oportunidad”, esta
decimotercera edición contó con 52 ponentes nacionales e internacionales; 9 inversores internacionales que han mantenido 190 encuentros bilaterales con emprendedores y compañías españolas y 85 empresas que participaron en diferentes espacios o en la zona expositiva (trade show). Sin duda, ENISE se convirtió ya en un punto de encuentro de referencia en el sector de la ciberseguridad. El secretario de Estado para el Avance Digital, Francisco Polo, fue el encargado de clausurar 13ENISE. En su discurso destacó la necesidad de esta-
blecer políticas públicas que permitan, entre otras cosas, impulsar la colaboración frente a las amenazas de ciberseguridad. “Necesitamos gobernar la digitalización y debemos hacerlo con un objetivo muy claro: el bienestar digital de las personas. En ese Gobierno de la digitalización, la ciberseguridad ocupa un lugar clave. El progreso que puede traer la digitalización será seguro o no será. Y para que eso ocurra, debemos seguir haciendo que los cimientos de la ciberseguridad sean aún más sólidos. La celebración de eventos como ENISE, y también el trabajo diario que realizan las empresas y organismos, contribuyen a ello”, apuntó. Durante la segunda jornada, se abordaron temas como la internacionalización de las empresas, la seguridad en los hogares españoles, la desinformación o la comunicación como oportunidad en el sector de la ciberseguridad. Además, en la zona de emprendimiento, los 30 mejores proyectos seleccionados en la primera fase de CiberEmprende, la incubadora de proyectos de ciberseguridad de INCIBE, tuvieron la oportunidad de defender ante un jurado sus ideas de negocio presentadas en la convocatoria.
Premio 13ENISE En el acto de clausura, también se entregó el “Premio ENISE a la mejor iniciativa en materia de ciberseguridad” implantada en centros educativos durante el curso escolar 2018-2019. El Centro de Educación Infantil y Primaria “La Gaviota”, de Torrejón de Ardoz (Madrid), consiguió este galardón gracias a su proyecto “I am not a target”. Representantes del centro educativo, que recibió un cheque regalo de 2.500 euros en material tecnológico, fueron los encargados de recoger el premio y de explicar este proyecto que ha servido para enseñar al alumnado a disfrutar de Internet de forma segura y responsable, además de contribuir a desarrollar y estimular el talento en ciberseguridad. A la convocatoria se presentaron un total de 17 proyectos procedentes de centros escolares de Madrid, Andalucía, Asturias, Galicia, Comunidad Valenciana y Castilla y León. Premios Cybersecurity Ventures Asimismo, se hizo entrega de los premios del programa de Aceleración Internacional en Ciberseguridad de INCIBE, Cybersecurity Ventures, que cuenta con la colaboración del Instituto para la Competitividad Empresarial de Castilla y León (ICE), ente adscrito a la consejería de Economía y Hacienda de la Junta de Comunidades de Castilla y León; y el Instituto Leonés de Desarrollo Económico, Formación y Empleo (ILDEFE), dependiente del Ayuntamiento de León. El secretario de Estado para el Avance Digital, Francisco Polo, entregó los premios a los tres ganadores: Direct Dump (34.000€); ClickDefense (24.000€) y AuthUSB (20.000€). El resto de los proyectos seleccionados recibieron premios por importe de 6.000€ cada uno.
.
CyberSecuritynews | Noviembre 2019
42 Ciberseguridad gaming / ElevenPaths
La amenaza gamer: Grooming “Nunca juegues con extraños” Que los videojuegos son una realidad masiva de la industria de ocio a nivel mundial no debería ser ya un secreto para nadie. Y que algo tan íntimamente ligado a la tecnología y a los datos, tiene que viajar en el asiento de al lado de potenciales amenazas de ciberseguridad, tampoco debería serlo. Es lógico pensar que los expertos en seguridad deberían siempre tener en el radar todas aquellas amenazas que se ciernen sobre el universo gamer. Texto: Andrés
A
Naranjo, @TheXXLMAN
menudo rechazo que se me tilde de experto a pesar de ser profesional, formador y conferenciante de la materia, ya que como decía un sabio “es mucho más lo que ignoro que lo que sé” acerca de ello. Por eso me gusta considerarme a mí mismo un eterno alumno de la ciberseguridad. CyberSecuritynews | Noviembre 2019
Los videojuegos son ya hoy en día, la primera industria de ocio, superando con creces la industria del cine y la música juntas (aproximadamente 130%). En palabras del propio CEO de Netflix, a sus accionistas, la industria del entretenimiento digital es un serio peligro para sus intereses, llegando a declarar: “Competimos (y perdemos) con Fortnite más que con HBO”. En
España, donde el mercado del videojuego goza de una salud excelente, esta cifra es aún más rotunda, doblando las cifras de ambas industrias juntas. Quiero llamar la atención al lector sobre un hecho bastante revelador para alguien profano a la escena del videojuego: Hoy en día, todos los videojuegos de éxito, son gratuitos. El modelo de financiación para las grandes
43
Andrés Naranjo, CSE y Analista en Ciberinteligencia en ElevenPaths superproducciones, no incluyen un pago por licencia, sino están basados en que el usuario quiera mejorar su aspecto, cuyas apariencias, si son de pago, voluntario, eso sí. Ejemplos de esto serían FORNITE, COUNTER-STRIKE, LEAGUE OF LEGENDS o DOTA2. O en ocasiones, este pago permite un más rápido “ascenso” en la habilidad, como HEARTHSTONE o CLASH ROYALE, modo que se tilda de “pay-to-win”. Quedémonos con el dato de que hoy en día los videojuegos gratuitos mueven el 80% del total de la industria de los videojuegos y e-Sports. Un engaño pederasta,1más conocido por el anglicismo grooming, es una serie de conductas y acciones deliberadamente emprendidas por un adulto, a través de Internet,con el objetivo de ganarse la amistad de un menor de edad, creando una conexión emocional con el mismo, con el fin de disminuir las preocupaciones del menor y poder abusar sexualmente de él. En algunos casos, se puede buscar la introducción del menor al mundo de la prostitución infantil o la producción de material pornográfico. (Fuente: Wikipedia) Bien y ¿en qué sentido esto enlaza con lo dicho hasta ahora? Pues fácil y sencillo, los ítems dentro de los videojuegos se han convertido en la nueva “bolsa de chuches” de los pedófilos. Vamos a resumir rápidamente las 5 fases que suelen desarrollar estos engaños pederastas: • CONTACTO: Es la fase por las que se produce un contacto inicial con el menor víctima. Desgraciadamente, los videojuegos son un campo ideal ya que por el mismo truco de “prestidigitación” de un mago, con la atención centrada en el juego en sí, un menor puede no estar alerta sobre las intenciones de quien lo contacta. • CONFIANZA: Teniendo ya un nexo común, la afición por un videojuego, pedófilo y víctima compartirán un espacio de tiempo lo suficientemente amplio para que la víctima se haga una idea de quien cree que está al otro lado. En este aspecto, la inteligencia artificial también puede suponer un factor clave, ya que desde hace años hay programas que permiten modular la voz para hacerse pasar por un adolescente o niño, en los juegos que permiten el chat de voz, acelerando así el proceso de confianza.
• SEDUCCIÓN: Aquí es donde el
valor de los ítems “in-game” cobra valor, donde se “soborna” a la víctima para conseguir algún fin, bien sea pedófilo o bien podría ser la extracción de cierta información personal, como decíamos antes en el pequeño spoiler, son las chuches con las que se atrae a la víctima. Ese skin raro que todo el mundo quiere de Fornite, o ese sombrero que siempre quisiste tener de Team Fortress 2, pueden ser la puerta abierta para un malhechor. • AMENAZAS Y COACCIONES: Una vez conseguido algún rédito de las técnicas anteriores, en las que los videojuegos pueden suponer un peligro potencial, con el primer “éxito” el agresor suele entrar en una espiral de amenazas solicitando más material o información. De modo que si se niega, lo ya facilitado se haría público. De este modo la víctima se ve forzada a acceder al chantaje para evitar la difusión, o que se entere su familia o amigos, algo que suele ser muy fácil de conseguir si se ha conseguido por ingeniería social algo de información de la víctima. • POST-EXPLOTACIÓN O DIFUSIÓN: Una vez rota esa
espiral, de la forma que sea, sólo queda para el pedófilo, sacar el mayor rendimiento a sus logros delictivos. De modo que en determinados foros de la “DeepWeb” (o DarkNet, para los más puristas) las imágenes suelen ser cromos de cambio con otros pedófilos y pederastas. O bien pueden ser vendidas particularmente o a sitios que publican este tipo de contenidos. O en el “mejor” de los casos, se queden en su colección privada…
¿Qué hacer para prevenir el Grooming? Como en casi todo lo que tiene que ver con construir el uso responsable de la tecnología, la primera piedra siempre es la educación digital. Debemos informar a nuestros menores, que un servidor también es padre, que no hay que fiarse de solicitudes de gente desconocida, y que hay que aplicar los mismos criterios de escepticismo, sea por la red que sea. Ser cauto a la hora de comunicar información personal, y no dejarse llevar por aquello que parezca demasiado bonito para ser verdad. Recordar siempre que
subir algo a internet es muy fácil y hacerlo desaparecer a menudo es imposible. También convendría establecer determinados límites para nuestros menores. En base al mundo gamer existe muchísima desinformación, pero para el autor, alguna de las cosas bien hecha es la clasificación PEGI. PEGI es una clasificación por edades para cada título de videojuegos, y nos puede servir de referencia a la hora de saber si un videojuego es apropiado o no. Aunque de momento, no considera la conectividad (como que haya chat o voz en vivo) como una potencial amenaza, sí que tiene en cuenta el tipo de juego y lo hace de forma acertada. Como curiosidad, recientemente también ha agregado la categoría de apuestas en videojuegos a sus clasificación, algo que puede usted leer en otro de mis artículos sobre este tema. La clasificación PEGI comienza desde 3 años, de modo que expertos de todos los ámbitos considera esta edad como válida para usar entretenimiento digital, y va hasta la mayoría de edad. Si quiere usted documentarse le recomiendo visitar su página oficial : www.pegi.info Si quiere un consejo adicional orientativo para esta pequeña carencia de PEGI, no lo considere una “respuesta mágica” de un videojugador que cuenta ya con unos cuantos lustros disfrutando de la escena gamer, el umbral de los 12 que establece PEGI lo aplicaría a todos los videojuegos cooperativos donde existiese chat, sea de voz o no, ya que a esas edades es más fácil entender que quien nos contacta puede tener segundas intenciones. Y por supuesto, no seamos alarmistas sobre este problema. No hay por qué alejar a nuestros jóvenes de la sana afición de los videojuegos. De hecho, hace unos meses una de las mejores empresas de ciberseguridad, famosa por sus soluciones de antivirus, determinó que los gamers están candidatos ideales para sus puestos, por su habilidad para resolver de forma ágil problemas sencillos con soluciones creativas. Sigamos educando y concienciando a las nuevas generaciones sobre las ventajas y los peligros de cada nueva tecnología emergente. Usemos y disfrutemos la tecnología, pero siempre de forma responsable. Y lo dice alguien, muy muy gamer… Nos vemos en los servers.
.
CyberSecuritynews | Noviembre 2019
44 Ciberataques en el ecommerce
Ciberamenazas: Qué son y cómo afectan a los ecommerce Las ciberamenazas están a la orden del día y se pueden encontrar desde un enlace que te llega en un correo electrónico o sms, hasta en la compra que se hace en un ecommerce. ¿Quieres saber cómo poder detectar algunos de estos engaños?
L
Texto: Alicia
Burrueco
Las amenazas online no discriminan a nadie a la hora de atacar. No tienen preferencia por nada a la hora de elegir su presa sino que atacan en el momento menos esperado para los usuarios. Las ciberamenazas no son algo a lo que no se le debe de quitar importancia, estas son ataques que pueden resultar muy perjudiciales: desde dejar a toda una ciudad sin luz, hasta que el equipamiento militar falle. ¿Qué son las ciberamenazas? Estos ataques se podrían definir como aquellas actividades “malignas” que tienen lugar en el ciberespacio. Su principal objetivo es conseguir captar la información que circula por el mismo y utilizar esta con fines lucrativos y no muy éticos, es decir, utilizan estos datos para manipular y controlar a los usuarios. Con la gran expansión que ha tenido el ciberespacio en los últimos tiempos, y ya no solo hablando del número de usuarios que tienen acceso a él, sino también de las aplicaciones y contenido, todo ello ha generado la creación de nuevas amenazas y problemas para los cuales los especialistas, para contraatacar, no tienen nada diseñado. Algunas de las ciberamenazas más importantes con las que podemos encontraros a día de hoy son: Phishing, Spyware y Ransomware. Esta última, es quizás una de las ciberamenazas más sonantes en la sociedad actual, CyberSecuritynews | Noviembre 2019
habiendo llegado a paralizar ciudades enteras. ¿Cómo afectan las ciberamenazas a los ecommerce? Una de las cosas que más se cuestiona la gente a la hora de comprar algo por internet es la seguridad que tendrá ese comercio electrónico, “¿Daré mi número de cuenta y me estafarán?”, “¿Se quedarán con mis datos personales y los utilizarán?”. El comercio electrónico va creciendo cada día y con él, el volumen de información ofrecida por los usuarios. Esto no solo tiene su parte buena sino que ese crecimiento también afecta a los problemas del espacio, crecen y surgen nuevas ciberamenazas. Aquí tenemos que tener en cuenta sobre todo, la necesidad de asegurarnos que la URL introducida es fiable, que la tienda online donde estamos comprando es de sobre conocida, que tiene buenas reseñas, que mantiene actividad en medios sociales o que los precios son creíbles. Estas podrían ser algunas medidas básicas para no caer en las miles de páginas web que suplantan en la actualidad la identidad de eCommerce similares. Phishing: Ciberamenaza dominante en eCommerce
Suplantación eCommerce: Un
clásico ya mencionado es la suplantación del propio ecommerce o tienda online. El ciberdelincuente, lleva el trabajo al milímetro y logra captar incluso la esencia de la marca en su
réplica. Al final, buscarán hacerse con nuestros datos personales, nuestros datos bancarios y nuestro dinero por lo que debemos de tener en cuenta algunos pasos previos como los anteriormente mencionados para llevar a cabo una compra online segura. Ofertas flash email: Desde hace ya bastante tiempo, el comercio electrónico se está, cada vez más, canalizando a través del móvil y los atacantes aprovechan el comercio electrónico para introducir virus en los smartphones e incluso a veces, consiguen entrar en esos dispositivos. Es muy común que los ciberdelincuentes, aprovechan y te manden al email ofertas flash con enlace directo al eCommerce suplantado por lo que atento al email y atento a la dirección desde la cual te mandan dicha oferta flash y random. Vishing: Este término es un tipo de phishing diferente y curioso. Y es que aquí, se utiliza el teléfono móvil o voz sobre IP. Esta ciberamenaza tiene el objetivo de conseguir información privada y personal de los usuarios. El Vishing es algo muy peligroso ya que un delincuente puede hacerse pasar por tu jefe, llamarte y solicitar que saques dinero de la cuenta de la empresa y hacer una transferencia a otro lado. Smishing: Esta amenaza consigue engañar a sus víctimas a través de un SMS, falso, que llegan a los móviles personales. Los mensajes que llegan anunciando al dueño del dispositivo de que ha ganado 6.000€ euros o un premio en especie y que para canjearlo, solo tiene que hacer click en la web.
.
45
Ciberseguridad en eCommerce
¿Has hecho un análisis exhaustivo de todas las casuísticas de uso que tiene tu eCommerce?
N
Texto: Pablo
F. Iglesias
o hace falta que me contestes. Ya sé la respuesta. Para muestra, un botón. Hace apenas unos días pedí por Aliexpress un reloj inteligente. Por si no lo sabes, Aliexpress, como Amazon y algunos otros grandes del retail, cuentan con un sistema de verificación propio que les permite, en según qué casos, saltarse el doble factor de seguridad que habitualmente tenemos a la hora de emitir un pago digital con nuestra tarjeta (el típico código que nos envían vía SMS o notificación app para continuar con la compra). El caso es que yo había activado, como es totalmente normal en Aliexpress, dos códigos de descuento que el sistema me permitió utilizar, ahorrándome en teoría cerca de 20 euros. Pero cuál es mi sorpresa cuando tres meter los datos de mi tarjeta, y como decía, sin pedir confirmación, la página dio un error y el proceso se terminó de golpe. Que bueno, te pasa algo así y lo que esperas es que tengas que volver a empezar. Pero la cosa es que ya me habían cobrado el pedido, y por supuesto el pedido no se había ejecutado. Esto, a priori, es una de esas casuísticas que antes te comentaba. Y sí, también es un problema de seguridad, ya que se debe a un error del
sistema que muy probablemente pueda ser explotado (yo he pagado un precio por un producto y tengo derecho legal a que me lo entreguen). Pero además afecta, y de qué manera, a nuestro negocio, habida cuenta de que por un lado la empresa tiene que invertir recursos en devolver el dinero (asumiendo de paso los costes de transferencia entre cuentas), y por otro está claro que mi experiencia no me incita precisamente a volver a utilizar dicho servicio. Mucho menos recomendarlo.
Pablo F. Iglesias, Experto en Reputación online y Ciberseguridad.
Tanto como para que, de hecho, esté escribiendo este artículo por aquí, y tenga preparado otro más extenso dirigido a la comunidad que me sigue en la web (www.pabloyglesias.com).
como ejemplo de mala gestión de crisis. Pero opinión tras opinión, tanto de aquellos que tenemos una exposición mediática media como de aquellos usuarios básicos de internet, es preci-
Todo porque en efecto el departamento encargado de verificar todos los posibles caminos que un usuario puede llegar a realizar en su sistema no ha tenido en cuenta que la gestión de cupones descuento que ellos mismos incitan a utilizar (a la hora de comprar incluso te sugieren que elijas entre alguno de ellos) puede causar incompatibilidades. Que Aliexpress no va a caer en bancarrota porque un servidor los ponga
Piensa en esto la próxima vez que un cliente, por la razón que sea, se ponga en contacto contigo para quejarse de tu servicio. Y sobre todo asegúrate de que estás haciendo todo lo posible para que algo así no vuelva a repetirse.
Que lo que a priori era un fallo del sistema, potencialmente es un fallo de seguridad que repercute económica y reputacionalmente a nuestro negocio.
samente lo que a la larga levanta o hace caer imperios. En una época tan sumamente dependiente de los vaivenes reputacionales, en un ecosistema donde las barreras de entrada a la producción de contenido (blogs, reseñas, comentarios…) están tan bajas, el no cuidar adecuadamente estos pequeños detalles te puede pasar muchísima factura.
.
CyberSecuritynews | Noviembre 2019
46 CyberWine / Viticultura Digital
El vino en el mundo de las criptomonedas Openvino es un proyecto revolucionario en el mundo vitivinícola que tiene como objetivo crear la primera bodega open-source y la primera criptomoneda respaldada por vino en el mundo. Texto: Angie
M
Parra
ike Barrow un informatico
norteamericano se adentra en el mundo del vino. Afincado desde 2003 en Mendoza sin conocimiento de la vitivinicultura y vinicultura, decidió unir dos mundos al parecer antagónicos, el BlockChain y el Vino, con su empresa Costaflores a través del proyecto OpenVino. ¿Que es Openvino? Hace tan sólo 3 años, aplicando la filosofía open-source conocida en el mundo del software y las nuevas tecnologías Blockchain, Mike Barrow transformó su empresa Costaflores en la primera bodega, el primer microemprendimiento en el mundo en compartir toda su información, desde los datos de cultivo de uvas y vinificación, mediante dispositivos IoT, hasta la completa contabilidad y logística de venta. “Openvino pone al alcance de todos la extrema transparencia y la extrema trazabilidad, desnudando todas sus prácticas y compartiendo su propiedad intelectual para cualquier CyberSecuritynews | Noviembre 2019
observador, aficionado o experto” afirma. Criptomonedas y vino El 6 de mayo del 2018, Costaflores lanzó su ICO (Initial Coin Offering), donde mostró al mundo la primera criptomoneda ligada a la producción del vino. La producción durante este año ascendió a 16.384 botellas “Mike Tango Bravo” justo la misma cantidad de token’s. Una vez finalizada la ICO se pueden comprar los token’s en el exchange Ripio.com allí se pueden intercambiar y/o vender y así ese ciclo se reproduce cada año en la misma fecha. Para este año, están terminado la MKT2019, la única forma de comprar es a alguien que tiene criptomonedas, así que el precio varía dependiendo de la oferta y la demanda del token, un token siempre es equivalente a una botella de vino y la única manera de obtener los vinos es a través de los tokens, así que el precio de adquirir ese token/vino es diferente en euro, peso,
dólar, bitcoins, etc. “El objetivo aquí es que sea el mercado quién termina definiendo el precio del producto” ha señalado Mike. Para el 2021 a partir del 6 de mayo ya se puede conseguir la botella para el consumo o para revender, pero no sólo tendrán acceso los consumidores directos, sino también las tiendas, los importadores, los distribuidores etc. Cualquiera que quiera adquirir el vino MKT2018 desde compradores tradicionales hasta el mercado de venta directa, tendrá que conseguirlo en la bodega de token’s y los token’s en este momento, sólo mediante Exchange. “La idea es buscar que la fuerza del mercado, con el uso del Blockchain y las Criptomonedas logre encontrar el equilibrio del precio del vino en todo momento”. “El vino es una de nuestras mejores metáforas para explicar el mundo de las criptomonedas. Una botella de vino tiene una elasticidad muy grande de precio y una botella de vino es similar a un billete de 100 euros en el sentido que el billete no tiene ningún valor intrín-
47
CyberWine / Viticultura Digital
seco, es un pedazo de papel y la botella es un pedazo de vidrio, sin embargo, ambas tienen un precio, un valor correspondiente a nuestra imaginación colectiva, nuestra ficción compartida del valor de esas dos cosas y ambas representan una experiencia a futuro” Sin embargo, cuando descorcho la botella y entrego el billete, dejan de tener valor para mí y mientras tanto representan un valor potencial a futuro. “El valor a las cosas se lo damos nosotros colectivamente”, señala. ¿Por qué usar BlockChain? El BlockChain tiene la ventaja que cuando escribes un dato es para siempre, no lo puedes modificar, al publicar todos los datos permite hacer una autocertificación orgánica de comercio justo de cualquier tipo calificativo y no
necesitaría pagar a una empresa tercera para certificar y auditar los procesos porque los datos son públicos y accesibles a todos. “Mi reputación ya está basada en la extrema transparencia, pero a su vez permite que los consumidores académicos o la competencia observen las prácticas y podrían alabarnos, criticarnos e incluso copiarnos, esta última parte no me preocupa”. ¿Qué tipo de vino produce? En su finca en Mendoza se cultivan tres tipos de uva Malbec, Petit Verdot y Cabernet Sauvignon, de estas cepas hacen un blend que se llama MTB “Mike Tango Bravo” vino de un solo viñedo orgánico que acompaña bien comidas aromáticas, especiadas, picantes, etc. “Estoy intentado transmitirles el amor y tradición del proyecto, sólo cosechamos las uvas que están en su punto o mejor momento, igual tiramos el 40% de la producción si no es apta, ayudamos no solamente con el cuidado del medio ambiente, sino también con la gente que está trabajando en el proyecto, bajo filosofías de ética, sostenibilidad y transparencia”. ¿Qué es Vino Phonics? En el festival Sonar en Barcelona, presentó vino phonics, un sintetizador analógico hecho a mano en la misma ciudad, que lee la información de los sensores del viñedo y transforma esos datos en frecuencias e impulsos que generan música, que se podría hacer un streaming y performances, la idea consistía “como crear algo artístico de la información que sale del viñedo”.
.
“You drink it, you own it” En mayo de 2021, las primeras botellas MTB18 ya podrán consumirse y entrará en vigor lo que Mike llama «You drink it, you own it». Queremos que el consumidor pase a ser socio. Luego de descorcharlo, la contraetiqueta te invita a escanearlo con el télefono, que te lleva a cargar una App. Y desde esa aplicación se solicitan varios datos, como el nombre, apellido, dirección, DNI, información de perfil y edad. Luego deberás tomarte una selfie con la botella y contestar algunas preguntas sobre la experiencia tomando esa botella de vino. “Y así podremos saber bien quiénes son los consumidores, qué piensan y qué opinan. Ahí si estoy pidiendo información valiosa para mí, estoy sabiendo quién bebe mi vino, que piensas de él, a cambio de ese esfuerzo intelectual que yo te pido, yo te entrego un security token que te da el derecho de una acción de la empresa - Una acción legal de la sociedad”. Entonces, el consumidor pasa a ser dueño de la compañía. La filosofía detrás de esto es que, si estás tomando su vino te estás comprometiendo con el producto y si lo estás ingiriendo dentro de tu cuerpo, surge el interrogante ¿por qué no hacer parte de la empresa? Además también cambiará la percepción como partner y socio ¿qué tal te parece tu vino? Esta dinámica abre una serie de roles y juegos diferentes a nivel de usos de smart contracts: para hacer reparto de dividendos, votaciones, decisiones, etc., en donde los consumidores se convierten en participantes activos, si así lo desean. Periódicamente van a recibir test con preguntas hipotéticas, tipo trivia, si contestan correctamente ganan puntos y al final del año un 10% de los tokens los repartirán entre los jugadores, así que el inversor no sólo está ganando dinero con los token’s sino también haciendo de la inversión un juego “lo interesante es que en la medida posible las preguntas que realizamos son derivadas de los datos que vamos publicando, de esa manera hacemos una viticultura descentralizada y poder utilizar la sabiduría del grupo para tomar decisiones, además que me permite validar la eficacia de mis dispositivos y sensores”.
“La idea tiene un elemento altruista de tomar las ideas que sirven para pequeños productores incluso de otros sectores como el café, después que negocios podrían salir de esto, está por verse, lo que si podemos es avanzar en el financiamiento de la tokenización, de crear herramientas de trazabilidad y transparencia para poder tener mejor analítica sobre el proceso de vinificación, que da herramientas muy potentes para diseñar los primeros viñedos en nuestra próxima colonia”.
CyberSecuritynews | Noviembre 2019
48 Cumplimiento normativo / Susana González
“Los eCommerce están más concienciados en el cumplimiento normativo” La protección de los datos es un must para cualquier empresa. Si nos centramos en el sector eCommerce, los datos de los clientes se convierte en un activo principal importante de proteger.
P
Texto: Vicente
Ramírez
ara abordar el cumplimiento normativo en el sector del eCommerce y la realidad española tras la entrada en vigor de la GDPR hace ya más de un año y medio, hablamos con Susana González, reconocida Experta en Derecho Tecnológico y Ciberseguridad en nuestro país quien
nos descubre el trasfondo normativo en el que se mueven los eCommerce y marketplaces.
CyberSecurity News (CsN): Me gustaría Susana comenzar la entrevista con una pregunta general para que nos puedas dar tu percepción personal y profesional sobre la concienciación en materia de protección de datos que ha habido en las empresas de nuestro país tras la entrada en vigor de la GDPR. ¿Están por otro lado mucho más preparadas hoy día o aún queda mucho que hacer en este sentido? Susana Gonzáles (SG): Me temo que
aún queda camino por andar. Excepto las empresas que verdaderamente saben que su foco de negocio son los datos personales y que están en el punto de mira de reclamaciones e inspecciones (actividad sanitaria, tecnológicas y comunicaciones, registros de morosidad, etc), el resto – generalizando – mantiene cultura de hand made o de carpeta en papel cogiendo polvo en un cajón, desoyendo las directrices de implantación eficaz y responsabilidad proactiva que impulsa la nueva normativa. Ha habido mucho curso, mucha jornada pero también mucha confusión. A menudo clientes pymes o autónomos con actividad poco relacionada con el tratamiento de datos personales más allá de los trabajadores, clientes y proveeCyberSecuritynews | Noviembre 2019
dores con legitimación contractual o legal, nos dicen que reciben llamadas comerciales asustándoles porque les dicen que les van a sancionar por no tener DPO, e incluso por no registrar sus ficheros o hacer una auditoría anual, cuando estas dos últimas cuestiones han desaparecido del escenario actual. En definitiva, mucho oportunismo, confusión y desinformación en el sector todavía, lo que no ayuda a que la empresa vea claramente qué responsabilidades tiene, en qué riesgos incurre y cómo poder minimizarlos y controlarlos con su planificación y recursos. CsN: Centrándonos en el mundo del retail o del comercio electrónico, ¿dirías que existe alguna diferencia en concienciación con respecto a otros sectores? SG: Las empresas que gestionan ecom-
merce, al igual que la mayor parte de las start ups independientemente de su actividad y número de trabajadores, están más concienciadas en el cumplimiento normativo en general y en asegurar la protección de datos en particular. Su foco de negocio es generalmente una web y/o app o plataforma online que son escaparates también para visualizar que no cumplen y, por tanto, se juegan la confianza del usuario y las ventas. Suelen tener el inconveniente de que muchas start ups nacen creyendo que montar un negocio online requiere poco recurso, olvidando que es un negocio al fin y debe cumplir la normativa relativa al sector de que se trate y esto les impide en muchos casos pasar rondas de financiación e incluso tirar la toalla con el proyecto. No obstante, cada vez más el planteamiento del cumplimiento es desde el diseño (uno de los principios del GDPR y de prácticamente toda la normativa y estándares de prevención de riesgos de cumplimiento y seguridad de la información) y, ni que decir tiene
cuando el ecommerce es la vertiente online de una empresa ya existente offline. Ahí lo tienen clarísimo.
CsN: Imagino que como experta en derecho tecnológico, una de las más reconocidas expertas en nuestro país, habrás ayudado a muchas empresas y entre ellas a varios eCommerce o tiendas online. ¿Qué es lo que más les preocupa a este tipo de empresas en materia de derecho tecnológico? ¿Hay más preocupaciones a parte de los avisos legales de las tiendas? SG: La primera preocupación es efec-
tivamente poner en órbita sus textos legales (aviso legal y condiciones de uso, política de privacidad y de cookies, términos y condiciones de contratación y todas las primeras capas informativas de formularios y registros), de hecho, suelen venir a buscar asesoramiento solo para esto. Es tras iniciar el asesoramiento personalizado cuando descubren que precisan una regulación de la propiedad intelectual del software mediante contrato de desarrollo con el informático freelance amigo que les está haciendo la app; cuando descubren que quizás precisen un pacto de socios en el que se regulen acuerdos parasociales que les permitan mantenerse estables frente a determinadas acciones de inversores; cuando descubren que el chiste de una buena gestión de los datos es disponer de un registro de tratamiento de datos que siga de forma actualizada el ciclo de vida de los datos y de su legitimación (consentimiento, contrato, cumplimiento legal, interés legítimo) y poder probarlo; o que deben articular pruebas electrónicas e incluso contratación electrónica mediante prestador de servicios de confianza cualificado; cuando visualizan cómo nutrirse de contenidos
49
Cumplimiento normativo / Susana González SG: Os listo algunos de los más eficaces
e imágenes sin incurrir en riesgos de propiedad intelectual en su portal web, aplicación y redes sociales; y sin duda, cuando se detienen a pensar en las medidas técnicas de seguridad de la información para minimizar el riesgo de fuga de secretos empresariales y datos personales, así como las organizativas necesarias (normativa interna, políticas y formación, entre otras). CsN: Grandes marketplaces como Amazon, tienen una gran cantidad de información sobre nosotros, nuestros gustos, preferencias, ubicación...en caso de que un consumidor un usuario, quisiera desempeñar su “derecho al olvido”, ¿cómo lo podría realizar? SG: Muchos marketplaces tienen
demasiados datos personales sobre nosotros y sobre nuestras preferencias porque los titulares de las aplicaciones recogen muchos más datos de los que necesitan para operar o dar el servicio, no cumpliendo el principio de minimización del tratamiento de datos GDPR, cediéndoselos además al marketplace. Son los casos de permisos de acceso a los contactos o a la geolocalización que en aplicaciones que no precisan para la prestación del servicio. Los datos personales son una “pata” de la información que toda empresa debe asegurar técnica y organizativamente. Con la normativa en la mano, debe minimizarse y limitarse el tratamiento de datos personales a los estrictamente necesarios para el servicio que se realiza; aunque por otra parte, si se informa correctamente al usuario y éste consiente (aunque no se suela leer), la empresa que gestiona esos datos (responsable del tratamiento) puede estar cumpliendo, ya que la normativa traspasa la decisión y control al usuario. Insisto, siempre que la información sobre el tratamiento de datos sea transparente. Es decir, si el usuario quiere utilizar la app de Amazon, como cualquier otra, dispone no solo de una información previa a prestar su consentimiento, sino la novedosa posibilidad de configurar esos permisos en función de lo que requiramos. Lo que ocurre es que el usuario es el menos concienciado al respecto todavía, como para quitar el permiso al micrófono a la app de Amazon para que no le “escuche”. El derecho de supresión o derecho al olvido no es lo mismo que el derecho de oposición al tratamiento de datos perso-
Susana González.
nales exactamente. Uno puede ejercer el derecho de darse de baja en una aplicación y solicitar que cese el tratamiento de esos datos a partir de ese momento; sin embargo, solicitar la supresión de los datos o el derecho al olvido requiere cumplir determinados requisitos tasados previstos en la normativa de protección de datos para conseguir que los enlaces a nuestros datos en Internet sean eliminados de forma permanente de las búsquedas en Internet (cuando la información es obsoleta o ya no tiene relevancia ni interés público, aunque la publicación original sea legítima). Este derecho se puede ejercer directamente ante los motores de búsqueda y los editores originales y, si estos no dan la debida respuesta, el usuario puede dirigir su reclamación a la Agencia de Protección de Datos. Lo que debemos tener muy claro es que el ejercicio de este derecho y su resolución favorable implica la desaparición de la información en el enlace; sin embargo, no garantiza la desaparición de la información en otras fuentes de Internet. CsN: Como decía, vivimos en el mundo online y en él, realizamos muchas acciones y cada vez compramos más aquí. Pero nunca está de más poder tener unos consejos para proteger en cierta medida nuestra privacidad. ¿Qué consejos nos darías Susana?
para proteger nuestra privacidad e identidad digital, a la par que refuerzan la seguridad de nuestras cuentas e información: • Practicar a menudo googlesurfing para conocer qué información tiene la red sobre nosotros y poder minimizar nuestra sobreexposición, lo que minimizará el riesgo incluso de ataques basados en técnicas de ingeniería social. • Configurar adecuadamente las opciones de privacidad en redes, navegadores, dispositivos móviles, aplicaciones, etc • Proteger nuestro ordenador, smartphone, tablets… con patrones de seguridad que limiten el acceso no autorizado de terceros. • Disponer de antivirus en todos los dispositivos • Actualizar siempre actualizados el software, el sistema operativo, las aplicaciones, los navegadores y el antivirus. • Conectarse solo a páginas seguras (https) y mediante red de acceso a Internet segura, evitando la conexión en wifi pública para realizar transacciones, o para acceder o enviar información sensible y datos personales. • Tener y mantener copia de seguridad de la información contenida en todos los equipos y dispositivos evitando el uso de discos duros y pendrives, siendo más aconsejable informarse bien de la seguridad de determinados servicios en la nube o backups remoto. • Desconfiar de correos electrónicos no habituales que contengan enlaces o adjuntos. • Prevenirnos frente a las fake news, desconfiando de información escandalosa, titulares excesivamente llamativos o morbosos. CsN: ¿Qué nos puedes contar sobre CONPilar 2020? SG: Poco de momento. Ahora en
diciembre cerraremos fecha con la sede en la que la celebraremos y comenzaremos a poner en marcha toda la maquinaria para su organización, esperando cumplir las expectativas cada vez más altas del listón puesto en el año anterior, tanto en cuanto a ponentes, temáticas, retos y, desde luego el apoyo de patrocinios sin lo que no sería posible. Si tenéis alguna buena idea o sugerencia es el momento (sonrisa).
.
CyberSecuritynews | Noviembre 2019
50 María Elena Calavia, Responsable de Marketing de Movilok
El móvil facilita la interactividad en el sector retail El sector del retail se enfrenta a un reto importante y es mejorar la experiencia del cliente. Para mejorar esta experiencia, ya existen soluciones de Cartelería Digital. Sin embargo, nos encontramos que las personas siguen teniendo el papel de espectadores pasivos de los contenidos difundidos por las pantallas de nuestro entorno. Texto: María
M
Elena Calavia
ovilok quiere ir más allá y ofrecer una solución de Digital Signage interactiva y bidireccional que enriquece la experiencia del consumidor ya que le permite interactuar con los contenidos de las pantallas digitales. Esta tecnología denominada Movilok Showcases ofrece la posibilidad de que los usuarios interactúen con la Cartelería Digital mediante su móvil. Cambios en la experiencia de compra La frontera entre el mundo real y el online se está haciendo cada vez más difusa en muchos aspectos. Una consecuencia de esto ha sido cómo ha cambiado de forma drástica la experiencia de compra: ya es casi
impensable desligar a los consumidores de la información online y de su móvil. El reto principal de los comercios es también su gran oportunidad: incorporar en la tienda las tecnologías que utiliza el comercio online, aprovecharlas para entender mejor a sus consumidores y así poder ayudarles en el
momento de decisión de compra. Una de las respuestas a este reto, es la cartelería digital. Sin embargo, sigue siendo un cartel, un medio publicitario que en su concepción actual desaprovecha los pocos segundos de atención que un cliente puede poner en esa pantalla. Comunicación bidireccional Esos instantes de atención podrían aprovecharse para mejorar la experiencia de compra. Movilok Showcases se replantea este problema. ¿Cómo conseguir una experiencia enriquecida? ¿Cómo conseguir una comunicación bidireccional, en la que el potencial cliente deje de ser un receptor pasivo de información y se convierta en agente activo? La clave de Movilok está en el teléfono móvil. Incluso sin necesidad de CyberSecuritynews | Noviembre 2019
instalar una app y mediante un servicio seguro en la nube que hace que sea posible incorporarla también en cualquier solución ya existente. Esta interactividad aporta un factor clave que convierte a Movilok Showcases en una herramienta muy versátil para complementar la experiencia de cliente. Los contenidos promocionados pasan de mostrarse esperando al cliente adecuado en el momento justo, a permitir que los consumidores se conecten y descubran por ellos mismos qué sorpresa puede estar escondiendo el expositor digital. Supone un paso hacia el “Inbound marketing”, atraemos al cliente hacia nosotros
en lugar de bombardearle con reclamos. Apoyando las ventas Showcases puede mejorar la percepción del cliente en más momentos de su
viaje. Si el establecimiento dispone de una propuesta onmicanal, un expositor digital con Movilok Showcases puede actuar como punto central para
dirigir al cliente hacia el establecimiento físico, derivarlo hacia la web
móvil o hacia una app, en función de la acción que el cliente vaya a realizar o de si la tienda está cerrada. Utilizado dentro de un comercio, Movilok Showcases puede apoyar al personal de ventas ofreciendo información de ubicación y precios, instrucciones de uso en el idioma del cliente, que pueden descargarse en el móvil, apoyando en la decisión de compra. Los beneficios para el sector retail son variados: promoción de productos, ofertas y descuentos, descarga en el móvil de cupones, agente comercial abierto 24h al día, integración con la tienda online.
.