Revista especializada en Seguridad de la Información
Nº 66 Septiembre 2014 Época II
LA ESTRATEGIA DE CIBERSEGURIDAD NACIONAL A EXAMEN
OCTAVO ENCUENTRO INTERNACIONAL DE SEGURIDAD DE LA INFORMACIÓN
LEÓN / 28-29 DE OCTUBRE, 2014 http://enise.inteco.es
www.redseguridad.com
editorial
El auge de la ciberdefensa Hace tan solo unas semanas, durante la clausura de la Cumbre de jefes de Estado y de Gobierno de la OTAN en Cardiff (Gales), su secretario general, Anders Fogh Rasmussen, anunció que la ciberdefensa pasaba a considerarse un elemento central en la estrategia aliada. El argumento es que un ataque cibernético contra cualquiera de los miembros de la Alianza podría tener una respuesta colectiva de carácter militar. La estrategia “ciber”, por tanto, ocupa ya un lugar destacado en los planes de defensa de los países que componen la Alianza, aunque no se trata de algo totalmente nuevo. La primera experiencia relevante se produjo durante las guerras de los Balcanes, cuando en 1999 piratas informáticos serbios dejaron sin servicio el sitio web de la OTAN. Desde entonces, la Alianza ha venido avanzando en su articulación a través de sucesivas cumbres en las que ha ido perfilando su estrategia hasta desembocar en la creación del Centro de Excelencia de Ciberdefensa de la OTAN a finales de 2008 en Tallinn (Estonia), en cuya puesta en marcha participó España; y en la aprobación en 2011 de la política de la OTAN en materia de ciberdefensa, incluyendo objetivos, prioridades y un ambi cioso plan de acción. Además, tras la reunión en Bruselas de los ministros de Defensa de los Estados miembros en octubre del año pasado para preparar los temas de la agenda de la recién celebrada Cumbre de jefes de Estado y de Gobierno, se instó a que todas las naciones aliadas desarrollaran sus propias capacidades de ciberdefensa. Afortunadamente, España hace ya bastantes meses que decidió dar un paso al frente en esta materia poniendo en marcha en febrero de 2013 el Mando Conjunto de Ciberdefensa (MCCD), como bien explica su comandan te, Carlos Gómez López de Medina, en la entrevista que encontrará en páginas interiores. No obstante, el trabajo en este ámbito no era algo nuevo, puesto que tanto los tres ejércitos como el Estado Mayor de la Defensa (EMAD) y el Órgano Central del ministerio ya trabajaban en desarro llar sistemas de defensa cibernéticos para evitar posibles ataques ante la proliferación del uso de las nuevas tecno logías y los sistemas de telecomunicaciones. En todos los casos, el objetivo está muy claro: garantizar la integridad, la confidencialidad y la disponibilidad de los sistemas de información, así como la de las propias infraestructuras que soportan la prestación de servicios ampliamente utilizados o que manejan información clasificada o sensible para los intereses nacionales. Todo ello constituye uno de los ámbi tos de actuación prioritarios de la Seguridad Nacional. Por eso, podemos felicitarnos de tener actualmente un equipo de cerca de 70 profesionales, que componen el Mando Conjunto de Ciberdefensa, dedicados a velar por
la integridad de nuestras "fronteras cibernéticas"; y que en tan solo unos meses hayan conseguido alcanzar una mayor eficiencia en este ámbito, con una mejor y más efectiva ges tión de los recursos. Aunque, eso sí, todavía les quedan muchos retos por delante, entre ellos el más importante es conseguir una capacidad operativa completa, algo que se ha de articular en tres ejes: defensa, inteligencia y respuesta, y sobre los cuales ya se desarrolla. Hay otro aspecto sobre el que también este organismo está haciendo mucho hincapié y que ayuda al trabajo del MCCD. Se trata de la celebración de ejercicios de ciberdefensa, en colaboración con otros estados. De hecho, el pasado mes de mayo se realizó el ciberejercicio “Locked Shields 14”, organizado por el Centro de Excelencia de Ciberdefensa de la OTAN, en el cual participó España con 30 expertos en ciberseguridad procedentes de distintos organismos de cuatro ministerios. El objetivo fundamentel es reforzar las capacidades nacionales de respuesta ante ciberataques y mejorar la coordinación en el caso de una respuesta con junta multinacional. Por eso, se desarrolla en tiempo real, en un escenario ficticio y sobre unas infraestructuras contro ladas que simulan las redes y servicios estratégicos de los países participantes. Sin duda, constituye un buen punto de partida para evaluar el grado de preparación frente a este tipo de amenazas. Pero a pesar del trabajo que España ha estado haciendo en términos de ciberdefensa durante los últimos meses, no nos podemos quedar ahí. Hay que continuar explorando nuevas fórmulas eficaces para asegurar la integridad cibernética del Estado. Incluso, desarrollando propuestas ima ginativas y atrevidas como recientemente ha hecho Estonia. Este país es uno de los más avanzados del mundo en ciber defensa, después de que en 2007 sufriera un ataque de piratas informáticos que puso en jaque las páginas web de sus principales organismos públicos y empresas. Estos ciberataques motivaron que su Ejecutivo fuera uno de los principales interesados en promover la defensa en la Red como uno de los ámbitos cruciales de la Seguridad Na cional. Su última propuesta ha sido la creación de un sistema que permita una verdadera "nube estatal", que haga posible gobernar el país desde ella, incluso en situaciones críticas. Es decir, la idea es poder seguir fun cionando como un estado, incluso si su territorio ha sido invadido. Para ello están trabajando en la creación de una red de centros de datos en países amigos en los que se replicarían los sistemas electrónicos y los datos críticos que permitan el correcto funcionamiento del país en caso de contingencia grave. Habrá que esperar cómo evoluciona el proyecto, pero es posible que el futuro siga ese camino.
red seguridad
septiembre 2014
3
sumario 32
3
editorial
6
entrevista Carlos Gómez López de Medina
El auge de la ciberdefensa
ciberseguridad internacional Artículos de Marcos Gómez, Carles Solé y Adolfo Hernández, y Samuel Linares
42
entrevista asociación Ramsés Gallego Vicepresidente Internacional de ISACA
Comandante Jefe del Mando Conjunto de Ciberdefensa
Especial Seg2 10
VI Encuentro de la Seguridad Integral Resilencia, un paso más alla de la convergencia
48
actualidad 8ENISE: La Estrategia de Ciberseguridad Nacional a examen
58
entrevista empresa Emmanuel Roeseller Director de Sistemas y Tecnología de Seguridad de IBM
22
patrocinadores S21sec, Eulen Seguridad, GMV y Deloitte
CONSEJO TÉCNICO ASESOR PRESIDENTE Arjan Sundardas Mirchandani Colegio Registradores
Joaquín González Casal Asociación de Ingenieros e Ingenieros Técnicos en Informática (ALI)
VOCALES José Luis Rodríguez Álvarez Agencia Española de Protección de Datos (AEPD)
Vicente Aceituno Canal Asociación Española para la Seguridad de los Sistemas de Información (ISSA España)
José Manuel de Riva Ametic
Juan Muñoz ASIS España
Guillermo Martínez Díaz Asociación de Empresarios de TIC de Andalucía (ETICOM)
Ignacio Gisbert Gómez Confederación Española de Cajas de Ahorros (CECA)
Fermín Montero Gómez Dirección General de Economía, Estadística e Innovación Tecnológica de la Comunidad de Madrid Miguel Manzanas Unidad de Investigación Tecnológica (UIT) del Cuerpo Nacional de Policía Óscar de la Cruz Yagüe Grupo de Delitos Telemáticos (GDT) de la Guardia Civil
Miguel Rego Fernández Instituto Nacional de Tecnologías de la Comunicación (INTECO) Antonio Ramos García ISACA Capítulo de Madrid Gianluca D'Antonio ISMS Forum Spain Vicente Aguilera Díaz Open Web Application Security Project (OWASP) Jorge Ramió Aguirre Universidad Politécnica Madrid (UPM)
CONSEJEROS INDEPENDIENTES Emilio Aced Félez Tomás Arroyo Javier Moreno Montón Javier Pagès Olof Sandstrom PRESIDENTE DE HONOR Alfonso Mur Bohigas
de
STAFF
Suscripción anual: 50 euros (España), 110 euros (Europa, zona euro), 150 euros (resto países) Depósito Legal: M-46198-2002 ISSN: 1695-3991
Borrmart: Presidente: Francisco Javier Borredá Martín. Presidente de Honor: José Ramón Borredá. Directora general: Ana Borredá. Adjunto a la Presidencia y a la Dirección General: Antonio Caballero Borredá. Publicidad: Marisa Laguna, Pedro Jose Pleguezuelos y Paloma Melendo. Gestión y Control: Carmen Granados. Directora de Relaciones Institucionales: Mª Victoria Gómez. Red Seguridad: Directora: Ana Borredá. Redactor Jefe: Enrique González Herrero. Colaboradores: Bernardo Valadés, David Marchal, Laura Borredá, Leticia Duque Guerrero y Jaime Sáez de la Llave. Maquetación: Macarena Fernández López y Jesús Vicente Ocaña. Fotografía: Banco de imágenes Thinkstock/GettyImages. Diseño: Escriña Diseño Gráfico. Suscripciones: Mª Isabel Melchor y Elena Sarriá. Dirección Financiera: Javier Pascual Bermejo. Redacción, Administración y Publicidad: C/ Don Ramón de la Cruz, 68. 28001 Madrid Tel.: +34 91 402 96 07 Fax: +34 91 401 88 74 www.borrmart.es www.redseguridad.com red@borrmart.es. Fotomecánica e impresión: Reyper.
RED SEGURIDAD no se responsabiliza necesariamente de las opiniones o trabajos firmados, no autoriza la reproducción de textos e ilustraciones sin autorización escrita. Usted manifiesta conocer que los datos personales que facilite pasarán a formar parte de un fichero automatizado titularidad de BORRMART, S.A. y podrán ser objeto de tratamiento, en los términos previstos en la Ley Orgánica 15/1999, de 13 de Diciembre y normativa al respecto. Para el cumplimiento de los derechos de acceso, rectificación y cancelación previstos en dicha ley diríjase a BORRMART, S.A. C/ Don Ramón de la cruz, 68. 28001 Madrid.
thalesgroup.com
Soluciones de Seguridad En cualquier lugar, cumplimos con lo importante
CONTROL DE FRONTERAS Autenticación de ciudadanos, e-fronteras y vigilancia del territorio
CIUDADES INTELIGENTES Infraestructura de información centrada en el ciudadano SEGURIDAD AEROPORTUARIA Optimización de las operaciones de seguridad cumpliendo con los estándares OACI SEGURIDAD URBANA Detección inteligente combinada con respuestas de las agencias de seguridad CIBERSEGURIDAD Protección activa de los sistemas de información contra ataques PROTECCIÓN DE INFRAESTRUCTURAS Desde gestión de alarmas a supervisión multiemplazamiento
A diario se toman millones de decisiones críticas en seguridad. En Thales desarrollamos soluciones resilientes que ayudan a gobiernos, autoridades locales y operadores civiles a proteger a ciudadanos, datos sensibles e infraestructuras de amenazas complejas. Todo ello aporta la información, los servicios, equipos y controles necesarios permitiendo a nuestros clientes y a los usuarios finales obtener respuestas más eficaces en entornos críticos. Juntos, en cualquier lugar marcamos la diferencia con nuestros clientes.
ciberdefensa entrevista
Carlos Gómez López de Medina Comandante Jefe del Mando Conjunto de Ciberdefensa
Con una dilatada trayectoria en el Ejército del Aire, el general de brigada
"El Mando Conjunto tiene como fin lograr los propósitos de la Estrategia de Ciberseguridad Nacional”
Carlos Gómez López de Medina es el primer responsable del Mando Conjunto de Ciberdefensa. Durante su encuentro con Red Seguridad, el militar granadino abordó diversas cuestiones, desde la puesta en marcha de la unidad que dirige hasta las ciberamenazas actuales; para combatir a estas últimas, considera vital la concienciación y la formación.
6
red seguridad
Tx: E. González y B. Valadés Ft: E.G.H.
- ¿Cómo se estructuraba la ciberdefensa en España antes de la creación del Mando Conjunto? ¿Qué motivos propiciaron su puesta en marcha? Las competencias relativas a la ciberdefensa están distribuidas entre el Centro Criptológico Nacional (CCN) y los ministerios de Industria –a través del Instituto Nacional de Tecnologías de la Comunicación (Inteco)–, del Interior y de Defensa. En el caso de este último, el Mando Conjunto de Ciberdefensa se creó en febrero del año pasado. Pero, con anterioridad, tanto los tres ejércitos como el Estado Mayor de la Defensa (EMAD) y el Órgano Central del ministerio trabajan en dicha materia. Algo lógico si se tiene en cuenta que en las Fuerzas Armadas se vienen utilizando sistemas de información y telecomunicaciones
septiembre 2014
desde hace muchos años; por lo tanto, ya había una preocupación por la fragilidad de los mismos ante las nuevas amenazas. Todas las partes implicadas destinaron recursos económicos y humanos para tal fin, pero se echaba en falta un uso más eficiente de los medios disponibles y, sobre todo, una mayor coordinación. Esos fueron los motivos que propiciaron la puesta en marcha del Mando Conjunto de Ciberdefensa. - Actualmente, ¿cuántas personas operan en la unidad? ¿Contemplan ampliar la plantilla a corto plazo? El objetivo es finalizar el año con un equipo integrado por 70 personas entre militares y civiles. A partir de ahí, nos gustaría seguir contando con más profesionales, claro; pero, de momento, la ampliación de la plantilla la estamos realizando desde una perspectiva progresiva, razonable y realista. Hasta que se produz-
ciberdefensa
entrevista
“En la Administración Pública existe numerosa información ‘apetecible’ para los ciberdelincuentes”
can más incorporaciones, estoy muy satisfecho con quienes trabajan en el Mando Conjunto de Ciberdefensa, ya que poseen un elevado grado de formación. - ¿Qué objetivos han logrado desde que está operativo el Mando Conjunto de Ciberdefensa? Sobre todo, una mejor gestión de los recursos, ya que antes existían numerosas duplicidades. También destacaría que se ha alcanzado la capacidad operativa inicial, lo cual significa que desde el principio teníamos medios, personal, instalaciones, etc. Y por lo que respecta a nuestra actividad, entre las tareas más relevantes que llevamos a cabo se encuentran la evaluación y acreditación de sistemas de información, los análisis forenses y los ciberejercicios, muy importantes para hacer frente a posibles ciberataques. En este apartado, hemos progresado mucho en los últimos meses. - Una vez alcanzada la capacidad operativa inicial, ¿existe una hoja de ruta definida? Lógicamente, deseamos llegar a lo que denominamos full operational capability: capacidad operativa completa. Y para lograrlo, nos centramos en tres líneas o capacidades: la defensa, lo que se conoce como ciberseguridad; la explotación, más relacionada con la inteligencia, saber qué hace el adversario; y la respuesta, basada en el ataque al enemigo mediante distintos enfoques. En cuanto a los plazos para alcanzar esa capacidad operativa completa, tenemos definidos los niveles y las fechas para cumplir nuestros objetivos, pero, lógicamente, no pueden ser de dominio público. - ¿Cuáles son las principales líneas estratégicas que se han marcado para lograr sus objetivos? Al hilo de la respuesta anterior, hemos fraccionado nuestros objeti-
vos a corto, medio y largo plazo. De manera inmediata, consideramos muy importante colaborar con el Mando de Operaciones del EMAD y el Centro de Inteligencia de las Fuerzas Armadas (CIFAS). Y también mejorar el concepto de ciberseguridad entre los miembros del Ministerio de Defensa; para ello, es necesario concienciar, formar y adiestrar al personal, algo que estamos realizando en los tres ejércitos junto al Órgano Central del ministerio. Respecto a esto último, consideramos que la colaboración es vital. Así, más allá del ámbito militar, trabajamos con los ministerios del Interior y de Industria, así como con el Centro Nacional de Inteligencia (CNI). Podría decirse que son nuestros partners más cercanos y, de hecho, participamos conjuntamente en jornadas específicas, mesas redondas, etc.
de la UE, si bien no se destinan muchos recursos económicos a la materia que nos ocupa, estamos involucrados en algunas iniciativas y proyectos. - ¿También prestan atención a la colaboración público-privada? Por supuesto. Colaboramos con la industria nacional solicitando soluciones que satisfagan nuestras necesidades. Valoro mucho a las empresas españolas que se dedican a la ciberseguridad, creo que desarrollan productos propios de una gran calidad y hacemos todo lo posible para potenciar su capacidad porque, lógicamente, nos interesa a ambas partes. Y también me merecen mucho respeto las universidades por su labor de I+D.
- Ya que se refiere a la colaboración, ¿la unidad coopera con otros países u organizaciones internacionales en materia de ciberdefensa? Sí. Esta es una actividad que, a su vez, se divide en dos: por un lado, las relaciones bilaterales, que son muchas y estrechas, con las fuerzas armadas de naciones aliadas y, por otro, las que mantenemos con la OTAN y la Unión Europea (UE). Por ejemplo, el Mando Conjunto es socio fundador del Centro de Excelencia de Ciberdefensa de la OTAN, ubicado en Tallin (Estonia) y del que obtenemos muchos beneficios gracias a los ciberejercicios, cursos de formación, trabajos de investigación, etc. Y en el caso
El general de brigada Carlos Gómez, dirige el Mando Conjunto de Ciberdefensa desde enero del año pasado. Este órgano ha alcanzado ya la capacidad operativa inicial.
red seguridad
septiembre 2014
7
ciberdefensa entrevista
- En nuestro país, ¿cuáles son las principales ciberamenazas actuales a tener en cuenta? En la Administración Pública existe numerosa información apetecible para ciberdelincuentes que pueden ser contratados por terceros, algo, por otra parte, bastante habitual. Debemos hacer frente a ese peligro e incrementar el tipo de respuesta si los ataques provienen de grupos organizados de ciberterroristas e incluso de un estado. En el ámbito corporativo, la principal preocupación es, sin duda, el robo de propiedad intelectual. Y si nos referimos a la sociedad en general, el ciberdelito, qué duda cabe, está cada vez más extendido. En este sentido, creo que se debe fomentar la cultura de la ciberseguridad entre los ciudadanos y concienciarlos de los riesgos que conlleva el uso de un ordenador o dispositivo móvil. - ¿Qué opinión le merece la Estrategia de Ciberseguridad Nacional? Creo que es un documento tan relevante como la Constitución española. Marca una serie de líneas muy importantes y refleja un principio fundamental: mejorar la ciberse-
guridad en nuestro país. Todos los objetivos del Mando Conjunto, a los que he hecho referencia anteriormente, persiguen alcanzar los propósitos de la Estrategia y responden a algunas de las ocho líneas de acción contempladas en el documento. Una de ellas, como ha quedado expuesto, es la relativa a la cooperación internacional: colaboración con la OTAN, forta-
lecer las relaciones con naciones aliadas, etc. - Hay quienes manifiestan que la III Guerra Mundial se está librando ya y que la misma es de carácter cibernético. ¿Está de acuerdo? Me cuesta pensar en guerras exclusivamente cibernéticas. Otra cosa es que haya conflictos en los que exista dicho componente. Les expongo un ejemplo muy gráfico y clarificador: cuando en el siglo pasado entró en combate la aviación, ¿significaba que, a partir de entonces, las tropas terrestres carecerían de utilidad? Obviamente, no. El tiempo demostró que las dos divisiones tienen misiones distintas pero complementarias. Ahora sucede lo mismo. Ninguna fuerza es imprescindible y se actúa conjuntamente, pero hay un invitado más: la ciberdefensa. Y esta última se debe tener muy en cuenta para no ser débil y vulnerable en dicho ámbito.
El jefe del Mando Conjunto de Ciberdefensa dialoga con Ana Borredá, directora de Red Seguridad, en uno de los momentos de la entrevista.
8
red seguridad
septiembre 2014
especial seg2
encuentro de la seguridad integral
Resilencia, un paso más allá de la convergencia
Tx: B. Valadés/ D. Marchal/ E. González. Ft: Francisco Lorente.
Desde hace algún tiempo se ha instalado un nuevo término entre los profesionales de la seguridad: “resiliencia”. Pero, ¿qué significa esta palabra? ¿Cómo se aplica a las organizaciones? ¿Se trata de una novedad o siempre ha estado presente? Preguntas como estas se fueron despejando desde el minuto uno de la sexta edición del Encuentro de la Seguridad Integral (Seg2) –organizado el 12 de junio, en Madrid–, gracias a ponentes de excepción, que trasladaron opiniones y planteamientos de todo tipo en torno a este concepto y otros muchos asuntos relacionados con la convergencia en la seguridad. Parece que fue ayer y, sin embargo, ya han pasado seis años desde que Editorial Borrmart, a través de las revistas Red Seguridad y Seguritecnia, decidiese poner en marcha el Encuentro de la Seguridad Integral (Seg2). Más de un lustro que ha permitido conso-
10
red seguridad
lidar el evento y, no menos relevante, convertirlo, como pretende su denominación, en punto de encuentro anual de unos profesionales que, tal y como dejaron de manifiesto en su sexta convocatoria, tienen cada vez más claro que la seguridad del siglo XXI no se
septiembre 2014
puede concebir sin la convergencia. Al igual que en la edición anterior, el Seg2 contó con el apoyo de los patrocinadores Deloitte, Eulen Seguridad, GMV y S21sec, además del respaldo de la Fundación Borredá y del Instituto Nacional de Tecnologías de
resiliencia
especial seg2
encuentro de la seguridad integral
La editorial Borrmart, a la que pertenecen Red Seguridad y Seguritecnia, agradeció a Gas Natural Fenosa su colaboración en el VI Encuentro de Seguridad Integral (Seg2) y su compromiso con la seguridad. Ana Borredá, directora de la editorial, entregó una placa a Antonio Mojonero, responsable de Security EMEA, y José Luis Moya, responsable de gobierno de Security de la compañía.
la Comunicación (Inteco). Y, como novedad, en esta ocasión se celebró en la sede madrileña de Gas Natural Fenosa, en cuyo salón de actos se dieron cita cerca de 200 expertos del ámbito de la seguridad. Un proyecto compartido En su alocución de bienvenida a los asistentes, Ana Borredá, directora general de Borrmart, hizo hincapié en el “momento tan interesante y apasionante” que vivimos: “las estrategias nacionales de Seguridad y Ciberseguridad, el Esquema Nacional o la Ley de Protección de Infraestructuras Críticas se han elaborado en el idioma de la convergencia y de la seguridad integral”, ensalzó. Además, aprovechó la ocasión para, una vez publicada la nueva Ley de Seguridad Privada, “animar al mundo TIC a realizar propuestas al Ministerio del Interior” con el fin de contribuir a elaborar y definir el reglamento del recién aprobado texto. “Desde la Fundación Borredá esta-
resiliencia
mos trabajando en ello, pero creemos que hacen falta muchas más iniciativas para ayudar a que ese desarrollo reglamentario sea lo más positivo posible para el sector de la seguridad informática”. A continuación, en calidad de anfitrión y en representación de José Luis Bolaños, Director de Security de Gas Natural Fenosa, tomó la palabra José Luis Moya, quien, brevemente, resaltó el trabajo que lleva a cabo el departamento de Seguridad de la compañía, para erradicar la siniestralidad laboral. “Para ello, es vital la participación de todos, desde aquellos que forman parte del ámbito jerárquico hasta los propios trabajadores”, apuntó. El turno de intervenciones de la inauguración del encuentro lo cerró Joaquín Castellón. El director operativo del Departamento de Seguridad Nacional comenzó destacando el lema elegido para la Estrategia aprobada en 2013, Un proyecto compartido, nada casual teniendo en cuenta
que en la protección del país todos los actores “juegan un papel muy importante”. En este sentido, precisó: “la ciberseguridad es una prioridad para el Gobierno. Cada día somos más dependientes de las nuevas tecnologías y de un ciberespacio vulnerable. Por ello, en un año se han realizado grandes avances: el impulso de la Estrategia y de su correspondiente Consejo de Ciberseguridad Nacional, la creación del Mando Conjunto de Ciberdefensa, el acuerdo entre los ministerios del Interior e Industria para que el Inteco atienda los incidentes relacionados con las infraestructuras críticas, la aprobación de la Agenda Digital…”. En cuanto a los retos por afrontar, Castellón explicó que, bajo su punto de vista, se debe incrementar la cultura de la ciberseguridad, enriquecer la colaboración público-privada y mejorar la coordinación operativa, ya que “en España somos pocos para afrontar grandes problemas”.
red seguridad
septiembre 2014
11
especial seg2
encuentro de la seguridad integral
Guillermo Llorente, director de Seguridad y Medio Ambiente de Mapfre.
¿Resiliencia? Llegado el turno de las ponencias, la primera de ellas corrió a cargo de Guillermo Llorente Ballesteros. Comprometido con el Seg2 desde sus inicios, el director de Seguridad y Medio Ambiente de Mapfre bromeó al citar el lema de la presente edición – Nuevas convergencias. Resiliencia–, considerando a este último término, tan de moda en el ámbito de la seguridad, un nuevo “palabro”. “¿Por qué utilizar expresiones tan extrañas para decir cosas que se podrían explicar de forma más simple? Sin duda, se trata de un nuevo arcano. Antes teníamos otros: la gerencia de riesgos, la inteligencia competitiva… Ahora es la resiliencia”, reflexionó. Continuando con un tono crítico, Llorente incidió en que “la resiliencia no es el Santo Grial, la pócima mágica que va a permitir a una empresa solucionar todo lo relacionado con la seguridad. Es más: la Real Academia Española (RAE) todavía no ha definido qué es la resiliencia. Hay quien habla de ella y se refiere a la flexibilidad y a la resistencia. ¿Y esto es algo nuevo? Protección, detección, contención, respuesta… Es lo que hemos hecho siempre, con diferentes métodos, pero ahora lo denominan resiliencia”. Al hacer mención a los métodos, el ponente puso como ejemplo de caso práctico el simulacro de incendio de
12
red seguridad
uno de los edificios de la compañía. Un ejercicio que, como suele suceder, sirvió para extraer numerosas conclusiones. En el caso de las nuevas tecnologías, el responsable de Mapfre desveló que aprendieron a saber gestionar “servicios esenciales como el correo electrónico, vital para garantizar la comunicación”. “No se trata de una cuestión baladí, ya que, en situaciones así, al repasar los contratos, te das cuenta de que quien te presta ese servicio lo garantiza salvo en caso de fuerza mayor, que es, precisamente, cuando es más necesario”, ironizó. Tras una didáctica exposición, Guillermo Llorente enlazó con el inicio de su ponencia –titulada, por cierto, ¿Resi… qué?– para volver a referirse a la resiliencia. “Insisto: no es algo novedoso, sino una palabra que, probablemente, define mejor lo que veníamos haciendo y que muchos de los asistentes a este Encuentro de la Seguridad Integral llevan muchos años poniendo en práctica para garantizar el buen funcionamiento de sus organizaciones. En definitiva: proteger, detectar, minimizar, contener…”. Ya en un turno de preguntas, consultado sobre cómo se lidera la integración de la seguridad en una empresa como la suya, el representante de Mapfre fue rotundo al explicar que “el primer requisito es creer en lo que hay que hacer y querer asumir esa responsabilidad y ese riesgo. Sí, se ha de ser especialista en algo, en este caso de la seguridad, pero, además, también hay que poseer una visión global de la compañía. Igualmente, se debe tener la voluntad de adaptarse, saber aprovechar las oportunidades que se presentan, porque el entorno es cambiante. Y ya puestos, un poco de fortuna no viene mal, porque por mucho que tú quieras vender seguridad, si tu interlocutor no desea comprar… En definitiva, se ha de mostrar que se puede aportar valor añadido”. El CSO del futuro Este fue el tema elegido por Juan Muñoz, Chief Security Officer (CSO) de ENCE, para la siguiente ponencia. Con su habitual discurso directo, y las influencias anglosajonas que le caracterizan, el también presidente de ASIS España dibujó una evolución de la figura del CSO, “cuya traducción
septiembre 2014
Juan Muñoz, Chief Security Officer (CSO) de ENCE y presidente se ASIS International-España.
al español no es equivalente a director de seguridad. Eso es un gravísimo error. El término chief (jefe) se aplica a los responsables de máximo nivel de una organización, esto es, del Consejo de Dirección. Así pues, lo de CSO no lo inventaron cuatro graciosos, ya que se trata de un estándar escrito y publicado”. Respecto a la complejidad de dicho cargo en el mundo corporativo, Muñoz reprodujo el párrafo de un artículo publicado recientemente en Security Management: “Al mismo tiempo que la seguridad continúa transformándose, pasando de ser una función de apoyo a un elemento crítico en la empresa, los profesionales de dicha función están preparándose para adquirir conocimientos relacionados con las finanzas, la dirección, el liderazgo, el trabajo en equipo y la mentalidad estratégica”. Queda claro, pues, que los profesionales de la seguridad han de estar cada vez más preparados en un contexto en el que la conocida convergencia ha dado paso a una segunda fase que obliga a saber gestionar no sólo la seguridad integral, sino también “los riesgos, la crisis y la continuidad. Sencillamente, porque las empresas no están dispuestas a pagar a varios empleados cuyas funciones son convergentes”. Ante una situación así, el CSO del siglo XXI, según Muñoz, ha de atesorar habilidades como “ética y valo-
resiliencia
especial seg2
encuentro de la seguridad integral res, el lenguaje de los altos ejecutivos, visión de negocio, capacidad de crear equipos y de trabajar conjuntamente, habilidad política…”. Al respecto, recordó la celebración de un reciente curso en el que participaron cualificados profesionales; uno de ellos le comentó que en el mismo no había aprendido nada de seguridad. “De eso se trataba. Para enterarte de cómo funcionan los extintores ya hay otros foros”, respondió el representante de ASIS en nuestro país. Y es que, de manera especial, para Juan Muñoz el CSO del futuro –¿o mejor, del presente?– ha de estar muy preparado desde el punto de vista de la formación y la certificación. “En el caso de España, más allá de los Pirineos se sabe lo que es el Certificado de Protección Profesional (CPP), pero aquí parece que la gente todavía no se quiere enterar”. Algo que, entre otras cuestiones, ha dado lugar a que “los headhunters tengan problemas para encontrar personas con el perfil del CSO”. Además, al igual que Guillermo Llorente, Muñoz se refirió al término resiliencia, nada nuevo, por otra parte, en ASIS International –Marc Siegel, experto en estándares de la entidad, aludió al mismo en repetidas ocasiones durante su intervención en el V Congreso de Directores de Seguridad organizado por Seguritecnia–. Así, el CSO de ENCE definió el “palabro” como “la claudicación de Occidente. Lo que sucede con la resiliencia es que la sociedad y la cultura de nuestros días son incapaces de hacer frente y gestionar los riesgos a los que se enfrentan”. Sin distinciones A continuación, le llegó el turno a Andreu Bravo, Chief Information Security Officer (CISO) de Gas Natural Fenosa, con una ponencia titulada Seguridad integral. La evolución de las especies. Durante su intervención, el directivo hizo un repaso del concepto de seguridad integral y su evolución en tres fases: pasado, presente y futuro. En el primer caso, la seguridad se diseñó con el fin de combatir amenazas cuyo éxito dependía del conocimiento del objetivo y del entorno, de la preparación de los atacantes, de la oportunidad y, sobre todo, de las po-
14
red seguridad
Andreu Bravo, Chief Information Security Officer (CISO) de Gas Natural Fenosa.
sibilidades de huida. Por eso, “el objetivo de las defensas era proteger el perímetro, detectar amenazas, investigar y capturar y corregir y mejorar”, comentó. Sin embargo, en el presente las técnicas de ataque han evolucionado, sobre todo debido al papel cada vez más importante de las Tecnologías de la información, las cuales, en palabras de Bravo, “han eliminado el factor geográfico”. Por tanto, la huida ya no preocupa tanto. De hecho, ni siquiera se planifica. El resultado de usar las TI es que los ataques han cambiado y se han multiplicado. “Se reducen los costes, se incrementan los actores involucrados, se apuntan a los eslabones más débiles, que son las personas, y son dirigidos, coordinados, complejos y profesionalizados”, afirmó Bravo. Pero, al fin y al cabo, para el directivo siguen siendo ataques contra la integridad de las empresas o las personas. Por tanto, no debería haber distinciones entre seguridad física y lógica, sino que tendríamos que hablar de seguridad integral. “El lenguaje no tiene que ser una barrera para integrarnos. Podemos hablar distintos lenguajes, pero la realidad sigue siendo la misma. Por eso hay que aunar esfuerzos, y más en estos tiempos de crisis”, comentó. Esto es, por ejemplo, lo que ya está haciendo Gas Natural Fenosa, en donde se han dado cuenta de
septiembre 2014
que ya no es suficiente con una conexión entre seguridad física y lógica. “Si queremos ser eficientes tenemos que trabajar unidos”, puntualizó. De hecho, la organización ha creado una nueva área, que depende directamente de la dirección general, denominada Security, y cuyo fin es la protección de las personas, los activos y los procesos de la compañía. “A través de ella establecemos toda la estrategia y táctica de seguridad de la empresa y llevamos a cabo las funciones operativas críticas”, desveló el directivo. Por este motivo, han estructurado la división en áreas transversales, con grupos de trabajo mixtos e interlocutores únicos: Protección de infraestructuras críticas, Crisis resilience, Prevención e investigación del fraude y Security intelligence. Éste es el camino que, según Bravo, las empresas deben seguir en el futuro, unificando la seguridad bajo un mismo paraguas, puesto que las amenazas seguirán avanzando y perfeccionándose, tanto en el mundo físico como en el lógico. De ahí que sea imprescindible compartir información y cooperar entre todos en las investigaciones y en los incidentes. En este sentido, el CERT debe actuar de forma unificada y coordinada para tal fin. Papel del CERT Precisamente, para tratar la función y misión del CERT de Seguridad e Industria (CERT SI), asistió a la jornada Miguel Rego, director del Instituto Nacional de Tecnologías de la Comunicación (INTECO). En concreto, el CERT SI es “la marca a través de la cual se facilitan los servicios de ciberseguridad para contribuir a la resiliencia nacional”, afirmó. Nació fruto de la colaboración pública-pública a través del convenio entre las Secretarías de Estado de Seguridad (SES) y de Telecomunicaciones y para la Sociedad de la Información (SETSI), y es operado por INTECO. Entre sus cometidos se encuentra la prevención, la alerta temprana y la sensibilización tanto de empresas como de los ciudadanos. Sin duda, se trata de una tarea fundamental, porque, según Rego, los incidentes continúan aumentando. Aportó un dato importante en esa línea: de todos los pro-
resiliencia
especial seg2
Miguel Rego, director del Instituto Nacional de Tecnologías de la Comunicación (INTECO).
ducidos entre enero y mayo de 2014 el mayor porcentaje (32%) corresponde al malware, mientras que el 31% equivale a las vulnerabilidades. A continuación, el directivo se detuvo en explicar algunas de las acciones que están llevando a cabo a través del CERT de Seguridad e Industria tanto en el ámbito empresarial como de los ciudadanos. En el primer caso, “estamos poniendo el foco en las pymes con el objetivo de que los servicios del CERT sean generadores de demanda”, explicó. Para ello realizan una labor de sensibilización y diagnóstico mediante servicios gratuitos para las empresas. En el ámbito de los ciudadanos, van a poner en marcha el portal de la Oficina de Seguridad del Internauta. “Queremos desarrollar una labor de alerta y concienciación para los ciudadanos que no tienen formación ni conocimientos”, afirmó. Lo harán mediante la integración de servicios como Conan Mobile, una herramienta gratuita para Android que hace recomendaciones sobre la configuración de seguridad y riesgo de los móviles y tabletas; o un servicio antibotnet con kits de desinfección e información sobre cómo evitar las redes de ordenadores usados de forma remota para lanzar ataques. Por otra parte, este organismo también pondrá al alcance de las Fuerzas de Seguridad del Estado la herramienta Evidence Detector, que facilita el análisis automati-
resiliencia
encuentro de la seguridad integral
zado en investigaciones de ciberdelitos, especialmente de la pedofilia. Para finalizar su intervención, Rego se refirió a cómo el CERT de Seguridad e Industria ayuda a la ciberresiliencia a través de un catálogo de servicios como la respuesta a incidentes, la detección proactiva o la alerta temprana. Asimismo, hizo hincapié en la importancia de la celebración de los Ciberejercicios 2014, que se celebrarán en septiembre y octubre, en los que se realizan simulacros de incidentes y que ya cuentan con 18 operadores estratégicos involucrados. Por último, el directivo mencionó la propuesta de realizar un primer estudio sobre “la construcción de un marco integral de indicadores de resiliencia para empresas y administraciones”, lo que permitiría “medir el grado de madurez nacional”. Estándares de gestión Con la ponencia titulada Estándares de gestión en seguridad integral se dio paso al director de Seguridad y presidente de la Asociación de Directivos de Seguridad de Cantabria (ADISCAN), José Manuel García Diego, para hablar de la seguridad como concepto. En primer lugar, el directivo quiso reivindicar el papel de los legisladores en este entorno. Y es que, como afirmó durante su intervención, “los empresarios no tienen una cultura de la seguridad ni de los riesgos”. “Eso nos ha obligado a los profesionales a apoyarnos fuertemente en los legisladores. Ellos han sido los mejores aliados de la seguridad”, comentó para después pasar a hablar de la Ley 5/2014 de Seguridad Privada. En ella se introducen conceptos importantes como el de la seguridad integral, la eficacia, la organización, la planificación, la seguridad organizativa y la informática, y se menciona la imposición reglamentaria de la garantía de calidad de los servicios. “Si bien antes la seguridad era considerada un producto, similar a ‘hombre/pistola’, y con la entrada de las TIC empezó a considerarse un departamento, dependiente de la evolución tecnológica, hoy hablamos de seguridad como proceso, como parte de la dirección estratégica de una empresa, que se gestiona con unos objetivos, estándares, etc.”, explicó el
José Manuel García Diego, presidente de la Asociación de Directivos de Seguridad de Cantabria (ADISCAN).
directivo. Ahora bien, las organizaciones deben mejorar el modelo de madurez de la seguridad, que se puede estandarizar a través de cinco supuestos: medidas de seguridad, departamento de seguridad, plan de seguridad, sistema de gestión estandarizada y modelos de excelencia. Cada empresa se puede situar en cada una de estas etapas; pero, para García Diego, lo ideal sería estar entre el cuarto y el quinto supuesto. Durante su ponencia, el directivo también mencionó los dos puntos de vista sobre los cuales se ha de contemplar la seguridad: estratégico y complementario. El primero pretende preservar la indemnidad de las personas y la continuidad del negocio siendo respetuosa con los stakeholders. Por su parte, el segundo, que se conoce como 3G (Gate, Gun and Guard), es una seguridad de cumplimiento. “Aquí la seguridad no se gestiona, sólo se administra, está basada en medidas y es ajena al riesgo”. Las organizaciones deben tender hacia un modelo como el primero. “Es esencial una visión estratégica de la seguridad, afrontar de manera integral la gestión del riesgo y utilizar para ello metodología”, apuntó. A continuación, el directivo se centró en analizar qué son los sistemas de gestión de la seguridad, clave para aplicar el primer modelo, y que se definen como “la parte de sistema de gestión general basado en un en-
red seguridad
septiembre 2014
15
especial seg2
encuentro de la seguridad integral foque de riesgo empresarial que se establece para la creación, implementación, control y revisión de la seguridad”. Incluye la estructura organizativa, las políticas, las actividades, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos. Y dentro de los sistemas de gestión de la seguridad hay varias familias y estándares, que, aunque no son la panacea, “sí son un compañero imprescindible para saber qué es lo que hay que hacer en cada caso”, añadió. Seguridad en puertos Durante la siguiente conferencia también se abordó el tema de la seguridad integral. En esta ocasión, Enrique Polanco, socio director de Global Technology 4E, se refirió al hecho de que, ante situaciones excepcionales, las autoridades deben activar el plan de alerta de ciberseguridad de forma paralela a la seguridad física, puesto que no se pueden separar ambos cuando es preciso enfrentarse a amenazas reales y globales. Así, de hecho, sucedió con la proclamación de Felipe VI, lo que a ojos de Polanco es un hecho “altamente loable”. Por desgracia, continuó, “es muy difícil encontrar en los planes de seguridad de cualquier empresa que, ante un evento de especial relevancia (como junta de accionistas, previsión de huelgas o manifestaciones, etc.), se incluya entre los procedimientos de seguridad habituales algunos como cambiar las contraseñas de los dispositivos de seguridad y comunicaciones, comprobar el estado de aplicación de las políticas de seguridad informática, reforzar la seguridad de las VPN de trabajo o restringir temporalmente el uso de determinados dispositivos altamente vulnerables. Eso sí sería una verdadera convergencia”, puntualizó. Y es que, para el directivo, todos los elementos críticos de seguridad física reposan sobre tecnologías IP conocidas y con herramientas al alcance de todos para vulnerarlas. “Me gustaría que se generara una simbiosis; es decir, se unieran fuerzas para conseguir una meta de intereses comunes. Hay que pensar en procesos de inicio a fin”. Precisamente, esta afirmación sirvió para dar paso a David González, director de Sistemas
16
red seguridad
Enrique Polanco, socio director de Global Technology 4E.
de Información de la Autoridad Portuaria de Tarragona, quien ya está llevando a cabo esta simbiosis entre la policía portuaria y el departamento de Sistemas. “En la Autoridad Portuaria de Tarragona estamos totalmente convencidos de la absoluta necesidad de actuar de modo convergente en materia de seguridad, al igual que sabemos que así lo hará cualquier posible atacante”, afirmó durante su intervención. De hecho, el Sistema de Monitorización Avanzado (SIMA) instalado en el puerto, que actúa sobre los sistemas de información (incluidos todos los dispositivos de seguridad conectados por IP), detecta las amenazas que se materializan y demuestra su utilidad de forma simbiótica para todos los departamentos de la organización. Y esta forma de actuar es extrapolable a todas las empresas, que deben crear un equipo multidisciplinar en el que tanto el departamento de TI como los CIO tienen mucho que aportar. “Los CIO deben aprovechar la oportunidad actual de ‘co-creación’ de los nuevos sistemas de gestión de la seguridad y participar activamente junto con los directores de seguridad integral”. Ahora bien, para González, no se trata de quitar competencias de un departamento y dárselas a otro, sino de organizarse para aportar lo mejor de cada uno. “Se puede delegar parte de la gestión de la seguridad lógica en el director de
septiembre 2014
David González, director de Sistemas de Información de la Autoridad Portuaria de Tarragona
Seguridad Integral, aunque sin perder el control sobre esa seguridad, que obviamente deben ejercer los dueños de cualquier tipo de activo”, manifestó. Durante su intervención, el invitado también advirtió de que la consumerización (la aparición de nuevas tecnologías de la información que llegan primero al mercado generalista y luego se propagan a las organizaciones) de las herramientas de explotación de vulnerabilidades “es un problema candente”. Cooperación e interacción Para que las compañías sean capaces de alcanzar capacidad de resiliencia es fundamental que exista una cooperación global y multidisciplinar entre los actores, no sólo de una organización sino de todo un sector. Esa es la idea que defendió en su ponencia Pedro Pablo López, gerente de GRC & PIC (Gobierno, Riesgos y Compliace & Protección, Infraestructuras y Continuidad) de Rural Servicios Informáticos (RSI). “Internet ha hecho el mundo pequeño y, por ende, aporta valor y eficiencia; pero nos dice que el riesgo es también mucho más grande, exponencial”, razón por la cual “la apuesta por la interoperabilidad es esencial en la continuidad, las emergencias, la gestión de crisis y la resiliencia organizacional”, advirtió el ponente. Según explicó López, la resiliencia de
resiliencia
especial seg2
encuentro de la seguridad integral
Ana Borredá, directora general de la editorial Borrmart, escucha la ponencia de Pedro Pablo López, gerente de GRC & PIC de Rural Servicios Informáticos (RSI).
los negocios y los servicios debe estar apoyada básicamente en la capacidad de recuperación de “las infraestructuras, las tecnologías, la información y las personas”. Pero, sobre todo, desde su punto de vista la principal herramienta para que una organización alcance esa capacidad es la cooperación, incluso con otros actores que forman parte de su competencia. Tomando como referencia la resiliencia aplicada a las personas, definió el concepto como “la capacidad de los sujetos a sobreponerse a periodos de dolor emocional, situaciones adversas, incluso saliendo fortalecido de los mismos”. Esta explicación se puede extrapolar a las organizaciones, afirmó. Razón por la cual López considera al individuo como el centro de la resiliencia, porque el concepto “parte mucho del sentido común de las personas que gestionan cada una de las labores que se les encomienda cada día”. El representante de RSI apuntó algunas claves para que una compañía tenga capacidad de resiliencia. Señaló que “es necesario” que exista una relación entre los grupos de interés de la empresa, “es aconsejable” definir un proceso global de protección y asignar responsables, “es vital” definir un Plan de Comunicación y un protocolo de respuesta ante sucesos, y “es una buena práctica” crear una cultura de resiliencia mediante la concienciación, divulgación, formación y entrenamiento en la materia. Además indicó la necesidad de compar-
18
red seguridad
tir una terminología, conceptos definidos claramente y poner los riesgos en un orden, desde los más frecuentes hasta los más remotos. López se detuvo también en “dos factores fundamentales en relación con las preocupaciones de las organizaciones: la dimensión y el tiempo”. En contra del concepto de “hace un siglo”, cuando las amenazas estaban más acotadas espacialmente y existía más tiempo de respuesta, hoy “es importante que las compañías cambien de paradigma en sus procesos y protocolos”, adaptándolos a la realidad actual de amenazas globales e inmediatas. Como conclusión, el representante de RSI consideró que las organizaciones necesitan aplicar medidas estratégicas (legales, divulgativas, informativas, formativas, organizativas, operativas) y otras de tiempo (preventivas, de detección, respuesta, investigación y forenses) para conseguir alcanzar la resiliencia. A lo que se añade el liderazgo, la coordinación y la gestión de los riesgos. También se refirió a la conveniencia de aplicar la regla de “las cinco C”: cooperar, coordinar, comunicar, colaborar y compartir. A las que él sumó la necesidad de controlar, aceptar el cambio y tener un compromiso con la protección de la organización. Infraestructuras críticas Uno de los ámbitos en el que la resiliencia cobra su mayor expresión de necesidad es el de las infraestructuras críticas de un país, aquellos servicios
septiembre 2014
José Ignacio Carabias, jefe del Servicio de Seguridad Física del CNPIC.
esenciales para el funcionamiento de la sociedad. En España, la Comisión Nacional para la Protección de las Infraestructuras Críticas acaba de aprobar los cinco primeros Planes Estratégicos Sectoriales (PES), que abarcan los sectores de la energía (que se ha dividido en electricidad, gas y petróleo), el nuclear y el financiero. José Ignacio Carabias, jefe del Servicio de Seguridad Física del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), explicó a los asistentes al Seg2 algunas de las claves de estos planes, que han tardado dos años en ver la luz desde la aprobación de la Ley para la Protección de las Infraestructuras Críticas (Ley PIC) y su Reglamento de desarrollo. Ese tiempo no ha sido más corto debido a la complejidad para coordinar las 180 reuniones que se han llevado a cabo con la participación de unas 80 personas en cada una, entre representantes de ministerios, organismos reguladores y operadores, según explicó el representante del CNPIC. Los cinco primeros PES son la avanzadilla de los otros siete que tendrán que ver la luz en adelante, hasta completar los 12sectores estratégicos que establece la ‘Ley PIC’. Los próximos, cuyos trabajos comenzarán “después del verano”, serán los del transporte –que se dividirá en aéreo, marítimo, carretera y ferroviario–, agua y tecnologías de la información y las comunicaciones, según anticipó Carabias. El jefe del Servicio de Seguridad
resiliencia
especial seg2
Física del CNPIC explicó que los PES son: “un instrumento de estudio y planificación que nos debe permitir conocer cuáles son los servicios esenciales de un sector, cuál es el funcionamiento de los mismos, cuáles son las vulnerabilidades y amenazas del sistema, y calcular las posibles consecuencias potenciales de la inactividad de alguno de ellos”. A partir de esa base se plantean “medidas de carácter estratégico importantes y necesarias para el mantenimiento de dicho sector”, añadió. Estos planes son de carácter confidencial y serán revisados cada dos años, o de manera puntual si se considera necesario. Tal y como explicó Carabias, los PES están estructurados en cuatro capítulos. El primero de ellos es el de normativa, cuyo objetivo es “establecer una base normativa y legal, determinar cuál es la principal normativa de aplicación en el sector, y evitar incompatibilidades y duplicidades”. El segundo aborda la estructura y funcionamiento del sector. En él se “ayuda a identificar cuáles son los servicios esenciales en cada uno de los sectores, cómo se organizan y funcionan, y se ha establecido una segmentación en cuanto a la tipología de infraestructura”. Además se han identificado los principales operadores estratégicos y se ha creado un mapa de interdependeicncias, ya que muchas de las infraestructuras de un sector dependen de otros. El tercer capítulo se central en el análisis de riesgos, donde “se identifican los activos que deben tener una especial atención”. Sobre ellos se han indicado las amenazas, las vulnerabilidades y recomendaciones para la gestión de los riesgos. Finalmente, el capítulo cuarto recoge las medidas a adoptar desde el punto de vista organizativo y técnico. Como explicó el representante del CNPIC, “están dirigidas a gestionar las capacidades operativas de respuesta dirigidas a la prevención y la reacción y mitigar las consecuencias en caso de que se pudieran producir los diferentes escenarios identificado”. Carabias aportó también algunas conclusiones de carácter general en torno a cada uno de los PES apro-
resiliencia
encuentro de la seguridad integral
bados en junio. Sobre el de Electricidad, destacó la importancia de “contar con un sistema mallado de la red dado que la electricidad no se puede almacenar”. Los trabajos en este plan se han basado en la generación, el transporte, la distribución, y operación y el control del sistema. Acerca de este último punto, aseguró que “es uno de los ámbitos más importantes, dado que desde ahí se gestiona todo el sistema de electricidad”. En cuanto al PES del Gas, “el principal objetivo es que se garantice la continuidad del servicio, por eso se ha determinado la obligatoriedad de la asistencia mínima del suministro durante 20 días y la diversificación para optar y hacer llegar el gas a todo el territorio nacional”, aseguró el representante del CNPIC. Uno de los principales aspectos que destacó en torno a esta fuente de energía es la enorme dependencia de España respecto al extranjero. Por ello subraya la importancia del almacenamiento, especialmente el subterráneo, y el proceso de regasificación. En tercer lugar, el PES del Petróleo pone énfasis igualmente en el suministro y el almacenamiento por la dependencia española del exterior. Los depósitos y reservas de petróleo “tienen que estar en todo momento disponibles para el Estado”, advirtió Carabias, por si se repiten casos como la Guerra del Golfo en el que el país tuvo que recurrir a ellas. También destacó la criticidad de la descarga de los buques en las bocanas de los puertos españoles. El PES Nuclear se ha dividido en dos subsectores, el nuclear y el radiológico. El primero está enfocado a la protección de los ciudadanos ante la posibilidad de emisiones contaminantes o la extracción y fabricación de elementos combustibles procedentes del uranio. Igualmente, una de las amenazas identificadas será la utilización de materiales radiactivos para la comisión de atentados terroristas. En cuanto al subsector radiológico, Carabias indicó que se refiere a las instalaciones que albergan fuentes de categoría 1, en las que se ha identificado la posibilidad de sustracciones como principal vulnerabilidad. El jefe del Servicio de Seguridad
Física del CNPIC finalizó su intervención con el quinto PES, el Financiero, que se ha dividido en cuatro ámbitos: servicios y sistemas de pago, crédito y liquidez, ahorro e inversión y seguros. Entre las vulnerabilidades identificadas, relacionada con el primero de estos ámbitos, se encuentra el fallo del sistema de pagos al por menor, que “podría producir efectos en la economía real y tener repercusión en la confianza de los ciudadanos”. Nueva ley La nueva Ley de Seguridad Privada (5/2014) ha incluido a la “seguridad informática” como una “actividad compatible” de este sector. Esto ha suscitado opiniones de todo tipo respecto a al alcance de la ley en torno a la protección de las tecnologías de la información y las comunicaciones. Antonio Ramos, presidente de ISACA Madrid, analizó los principales puntos de la nueva norma que afectan a la seguridad de la información y formuló algunas propuestas de cara al nuevo Reglamento de Seguridad Privada, que afectará también a empresas tecnológicas y organizaciones usuarias de servicios y soluciones de este tipo. El primer artículo en cuestión fue el 6.6 que afecta “a las empresas, sean o no de seguridad privada, que se dediquen a las actividades de seguridad informática, entendida como el conjunto de medidas encaminadas […] para garantizar la calidad de los servicios que presten”. El ponente se preguntó a qué servicios se refiere este precepto, ya que, para él, en este caso, en el entorno físico y el lógico “lo único que cambian son las herramientas”. Como propuesta para garantizar la calidad de las medidas de seguridad informática, Ramos planteó la verificación por parte de terceros del sector privado. “Hasta ahora tenemos un escenario en el que la verificación de las medidas la hace la propia Administración. Pero si hay un sector [privado] que se dedica a ello, ¿por qué no les confiamos que hagan auditorías?”, expresó. Por otro lado, indicó que, aunque la ley impone medidas a los proveedores de seguridad informática,
red seguridad
septiembre 2014
19
especial seg2
encuentro de la seguridad integral
Antonio Ramos, presidente de ISACA Madrid.
habría que exigir también este tipo de protección a los proveedores de servicios de seguridad tradicional, como por ejemplo, a los transportes de fondos. “No sigamos separando lo que no es separable, estamos en un mundo tecnificado”, defendió Ramos. En relación con el mencionado ar tículo, el presidente de ISACA Madrid se mostró reacio a la verificación de las medidas y niveles de seguridad a través de las certificaciones. Él apuesta más por las calificaciones de seguridad que evalúen esas medidas distinguiendo el tipo de usuario y nivel de riesgo. Ramón se detuvo también en el artículo 47.3, que indica que las señales de alarmas deben ser puestas en conocimiento del órgano competente. Sobre este asunto, matizó que en el entorno cibernético no existen las alarmas como tal sino los incidentes. En esa línea se preguntó: “¿Qué se notifica entonces?”, a lo que añadió otras pregunta: “¿Quién va a venir cuando yo envíe una alarma de mi SOC?”. El ponente propuso que se notifiquen los intentos de entrar en los sistemas como solución al primer problema, y la creación de una “ventanilla única” en la Administración a la que puedan recurrir los usuarios cuanto sufren un incidente para la segunda cuestión. “Luego que sea la Administración la que decida la responsabilidad de hacerse cargo de ello”, añadió.
20
red seguridad
O tro a r tícu l o d e stac ad o pa ra Ramos es el 52.1, que señala, en torno a las medidas de seguridad informática, que “las características, elementos y finalidades de las medidas de seguridad de cualquier tipo, quien quiera que los utilice, se regularán reglamentariamente […], en cuanto a sus grados y características”. Sobre este precepto advirtió: “como digamos que el control de accesos es una medida de seguridad informática, toda empresa que tenga usuario y contraseña pasa a estar regulada por la Ley de Seguridad Privada”, advirtió. De ahí que, desde su punto de vista, “en función del riesgo, habrá que adoptar unas medidas de seguridad u otras”. Ciberseguridad industrial Antes del cierre de una nueva edición del Seg 2, Javier Larrañeta, s e c re t a r i o g e n e r a l d e l a Pl at afor ma Te cnológic a Espa ñola de S e gu r id ad Industr ia l (PESI), exp l i c ó l o s p roye c to s e n l o s q u e par ticipa su organización. Según explicó antes, la razón de ser de la Plataforma es crear “un foro de colaboración fundamentalmente privado como órgano consultivo para la innovación y desarrollo en la seguridad”, en cuatro áreas de despliegue: seguridad de procesos e instalaciones, seguridad y salud en el trabajo, seguridad ambiental y seguridad corporativa de la empresa. Larrañeta considera que uno de los aspectos importantes dentro de este campo en lo que a I+D se refiere es trabajar de manera “cooperativa”. “La Comisión Europea ha planteado desde esa perspectiva el nuevo programa marco Horizonte 20+20 y ha definido un área de trabajo distinta que no existía como tal, llamada ‘Sociedades Seguras’”, apuntó. El se cretar io ge ne ral de PESI señaló algunos de los proyectos puestos en marcha en los dos últimos años dentro de Europa, en los que ha par ticipado la Plataforma, relacionados con la ciberseguridad industrial. Destacó dos programas sobre la innovación de los servicios de seguridad (INNOSEC e INSEC), tanto de los ope-
septiembre 2014
Javier Larrañeta, secretario general de la Plataforma Tecnológica Española de Seguridad Industrial (PESI).
radores como de las empresas de seguridad, que “se han promovido desde España”. Asimismo, puso el acento en el trabajo de los laboratorios INGRID, pertenecientes a Tecnalia, que son “los más avanzados de Europa” y “el segundo del mundo en ciberseguridad en Smart grid y Smart meters”. También mencionó la creación del Centro de Ciberseguridad Indrustrial (CCI) y el Proyecto PSOPHIA “sobre el factor humano de la seguridad de los operadores de infraestructuras críticas”. Para finalizar, Larrañeta trasladó el interés de la PESI en que haya más representantes españoles en el grupo de trabajo sobre seguridad integral creado en el entorno de la Unión Europea, que está liderado por España. Invitó a los asistentes a “marcar las pautas y desarrollar proyectos con otros socios europeos en temas de innovación y desarrollo tecnológico en el ámbito de la seguridad” a través de la participación en ese foro. No hubo tiempo para más en el VI Encuentro de la Seguridad Integral, que abordó la protección de las organizaciones desde diferentes perspectivas. Todas ellas con una palabra que cada día está cobrando más importancia para las organizaciones, “resiliencia”, sin la que la seguridad no cobraría todo su sentido.
resiliencia
especial seg2
encuentro de la seguridad integral INTERVENCIÓN FIRMAS PATROCINADORAS
Resiliencia y ciberseguridad Juan Antonio Gómez Bule, presidente del Consejo Asesor de S21sec, expuso su particular visión del término de moda en el mundo de la seguridad y, en relación con el ciberespacio, alertó de que va más allá de lo tecnológico.
Para Juan Antonio Gómez Bule, presidente del Consejo Asesor de S21sec, el término resiliencia es comparable a la expresión ancestral “si caes siete veces, levántate ocho”. O, interpretando cierto refrán japonés, por muchas veces que te caigas, levántate y nunca te rindas. Gómez Bule alertó de la necesidad de generar “una sociedad resiliente, con valores, que tenga capacidad de prevención, de reacción, de poder identificar dónde está y hacia dónde va. Y eso no es excluyente de las personas, las empresas o los estados. Es una forma de pensamiento y de estar en el mundo. Resiliente es ser capaz de identificar los riesgos, qué nos sucede, y de pilotar el destino”. Una vez expuesta su particular visión de la resiliencia, alabó la Estrategia de Ciberseguridad Nacional como “elemento vertebrador”, si bien advirtió que la ciberseguridad va más allá de lo tecnológico: “si nos ocupamos sólo de la tecnología, eliminaremos una determinada capacidad de acción”.
22
red seguridad
Al hilo de esta argumentación, el representante de S21sec diseccionó lo que él denomina “elasticidad de pensamiento”, esencial para gestionar las transformaciones permanentes que se producen en un entorno que precisa “cambios, resistencia y, sobre todo, recuperación. Tenemos que ser capaces de realizar un diagnóstico concreto y claro. Y además, tener la capacidad de prevenir, de hacer prospectiva. Eso es elastici-
septiembre 2014
dad de pensamiento, esencial para poder abordar las evangelizaciones que hemos de desarrollar en los segmentos de los procesos de convergencia”. Como ejemplo práctico, teniendo en cuenta dónde se celebraba el encuentro, Juan Antonio Gómez Bule se refirió a Gas Natural, compañía cuyas instalaciones, por su especialidad, pueden considerarse infraestructuras críticas. “La geopolítica y la ciberseguridad implican que debemos de ser capaces de identificar cómo la seguridad se convierte en un elemento fundamental. No hay pozos petrolíferos en Berna ni en Zúrich. Normalmente, se encuentran en enclaves más complicados. Por eso, es necesario disponer de un concepto de aseguramiento global que permita la continuidad del negocio, tener una conciencia de la seguridad y de la gestión”. A modo de conclusión, Gómez Bule comentó que “la ciberdefensa no funciona si no hay un elemento de análisis. El pensamiento es la mejor herramienta, un instrumento sustentado por la tecnología. Pero no es un fin, sino un medio. Hemos de afrontar riegos y amenazas. ¿Quién está detrás de ellos? ¿Lo sabemos? ¿Nos interesa? ¿Somos capaces de disuadir? ¿La proporcionalidad de la respuesta es la adecuada? Todos esos elementos que ocupaban un pensamiento militar, tradicional, se han traducido en otro global”. Retomando el inicio de su intervención, el presidente del Consejo Asesor de S21sec matizó: “la resiliencia es la capacidad de recuperarte. Pero tienes que identificar qué es lo que te puede llegar a hacer daño. Y si caes siete veces, levantarte ocho”.
resiliencia
especial seg2
encuentro de la seguridad integral
INTERVENCIÓN FIRMAS PATROCINADORAS
“Hay que añadir inteligencia a la defensa” La ponencia de Ricardo Cañizares, director de Consultoría de Eulen Seguridad, titulada “De la prevención a la anticipación”, abordó la necesidad de reducir los tiempos de respuesta ante los ataques y de aplicar inteligencia para anticiparse a ellos, incluso antes de que se produzcan.
Desde sus orígenes, Eulen Seguridad siempre ha tratado de convertirse en un aliado fiel de las empresas. Para ello ha tenido que adaptarse a las circunstancias y necesidades de las organizaciones en materia de protección. Así lo puso de manifiesto Ricardo Cañizares, director de Consultoría de Eulen Seguridad, durante su intervención, en la que expuso un problema que, a su juicio, se plantea actualmente, el de los tiempos. “En el centro de todo se sitúa el activo que hay que proteger y en torno a él se articulan las líneas de defensa con diferentes grados de seguridad”, explicó. En un momento determinado (tiempo cero) comienza el ataque. En el tiempo uno atraviesa la primera línea, en el tiempo dos, la segunda, y así sucesivamente. El atacante sabe perfectamente lo que necesita para dar cada paso y conseguirlo. En cambio, continúa, “el defensor se encuentra en reposo y hasta que no le llega el aviso de que se ha detectado una intrusión, no pone sus medios en alerta. De tal forma que cuando el defensor llega a la primera línea a ver qué ha pasado, el atacante ya se ha ido”, aseguró. Ahí es donde radica el problema, puesto que el tiempo de respuesta del defensor ha de ser menor que el que necesita el atacante. “Lo que tiene que hacer el defensor es disminuir los tiempos de respuesta y, consecuentemente, aumentar los del atacante”, afirmó. Esa forma de actuar es la que se viene haciendo habitualmente tanto en el mundo físico (levantando más muros, más controles y prácticas) como en el ciberespacio (invirtiendo más en TI y en personal). Sin embargo, para Cañizares esto no está resul-
resiliencia
“Es preciso conocer dónde está el ataque para pararlo antes de que entre en la primera línea de defensa” tando eficaz, porque se siguen produciendo ataques. “De ahí la importancia de la resiliencia, nuestra capacidad de aguantar los golpes y volver a levantarnos, aunque siempre vamos a remolque de los malos”, comentó. Por eso hay que buscar otras soluciones, y qué mejor que comprobar lo que se ha hecho en el pasado para adaptarlo al presente. “Es preciso conocer dónde está el ataque para pararlo antes de que entre en la primera línea de defensa”. Y eso se consigue utilizando la inteligencia, entendiendo ésta como “el producto obtenido tras aplicar información y técnicas de análisis de forma que resulte útil al defensor a la hora de tomar sus decisiones”. En otras pala-
bras, es imprescindible recopilar mucha información de diferentes tipos de fuentes para analizarlas y explotarlas. Y en esto precisamente es en lo que lleva trabajando Eulen Seguridad durante los últimos años, porque ya no es suficiente con la prevención, con la que “siempre se irá tarde”. Debe haber un tiempo de anticipación que permita reaccionar, y “eso se consigue aplicando la inteligencia”, añadió. De hecho, para Cañizares es fundamental que las empresas no sólo inviertan en personas, tecnologías y procedimientos; sino también en inteligencia, porque “va a proporcionar el tiempo de anticipación que no va a dar ningún otro sistema”, finalizó.
red seguridad
septiembre 2014
23
especial seg2
encuentro de la seguridad integral INTERVENCIÓN FIRMAS PATROCINADORAS
Contexto y necesidades de la ciberseguridad en la industria Javier Osuna, jefe de la División de Seguridad y Procesos de GMV, dedicó su ponencia a poner de manifiesto los retos y necesidades de seguridad que tienen por delante los entornos críticos e industriales en el mundo cibernético. Una de las bases de la seguridad nacional en el entorno cibernético es la protección de los entornos críticos e industriales. Aunque hasta hace unos años no se insistía de manera tan decidida como ahora en asegurar las tecnologías de información de estas instalaciones o servicios, lo cierto es que han estado en el punto de mira desde hace tiempo. La resiliencia en estos espacios es hoy por hoy una prioridad, una necesidad obligada por la importancia que tienen para el desarrollo de la sociedad. Javier Osuna, jefe de División de Seguridad y Procesos de GMV, abordó este tema durante el encuentro equiparando resiliencia a continuidad del negocio. “Tradicionalmente, resiliencia ha sido igual a disponibilidad y disponibilidad ha sido igual a respaldo”, afirmó. Desde su punto de vista, a lo largo de las dos últimas décadas han sucedido “cosas que han marcado la diferencia” en lo concerniente a la continuidad de negocio de las organizaciones. El primer ejemplo de ello apareció con el llamado Efecto 2000, pero después se han sucedido otros como el 11 de septiembre, la aparición de los “gusanos precursores” Slammer y Mydoom, el ataque cibernético a Estonia y así hasta llegar a la reunión del G20 en la que Estados Unidos espió a sus socios. Para Osuna, el entorno de las amenazas y las vulnerabilidades se caracterizan hoy en día por la práctica desaparición de los perímetros, la profesionalización e industrialización “tanto de los buenos como de los malos”, la sofisticación de los ataques, la mundialización, la externalización de los servicios, la crisis, la guerra de patentes, el espionaje o la diferencia
24
red seguridad
de legislaciones; pero advirtió de que “lo peor está por llegar”. De ahí la importancia de contar con una industria preparada para hacer frente a los nuevos retos a su seguridad. Según el representante de GMV, estos entornos “han estado históricamente aislados del exterior”, “tremendamente procedimentados”, cuentan con sistemas de monitorización funcional avanzada y son capaces de hacer valoraciones de impacto precisas. Pero, sin embargo, son estáticos y obsoletos en muchos casos, y cuentan con un exceso de permisos. Los retos en los entornos industriales pasan por la “conexión al cibermundo”, ya que los sistemas en entornos industriales son estáticos “frente a algo que va a un ritmo vertiginoso”, a lo que se suma “una mentalidad diferente” en los entornos industriales, donde sus responsables son más reacios al cambio, o “la utilización de soluciones para sistemas propietarios heterogéneos”. Osuna opina que frente a los desafíos que tienen por delante los entornos críticos e industriales sería “interesantísimo aplicar la experiencia de sectores
septiembre 2014
que están muchísimo más maduros”. Ejemplos son el de la banca o las telecomunicaciones, que “están muy avanzados en seguridad”. Para el jefe de División de Seguridad y Procesos de GMV, también es importante “la confiabilidad y el compromiso de los suministradores y otros compañeros de viaje”. “Está muy bien llevar servicios fuera, salen mucho más barato, pero si luego no puedes confiar…”, observó. Un tercer aspecto que mencionó en esta línea es la conveniencia de crear medidas de seguridad ad hoc. Antes de despedirse, Osuna concluyó que las amenazas cambian tan rápido y evolucionan de tal manera que “los análisis de impacto y de riesgos se quedan obsoletos antes de acabarlos”. La industria, pero también el Gobierno e incluso los ciudadanos, han de “admitir el alcance y la gravedad de lo que está sucediendo”. Cree que la regulación es positiva, pero la industria no debe asumirla como un mero cumplimiento. “Tenemos que tener un fondo, no limitarnos al hecho de que te pongan una multa”, mencionó a este respecto.
resiliencia
especial seg2
encuentro de la seguridad integral
INTERVENCIÓN FIRMAS PATROCINADORAS
Anticiparse, la mejor solución Pablo de la Riva Ferrezuelo, especialista en desarrollo de soluciones de seguridad de Buguroo, empresa estrechamente vinculada a Deloitte, dio a conocer bugThreats, una herramienta de búsqueda inteligente y prevención de amenazas en la Red.
A unque el programa del VI Encuentro de la Seguridad Integral contemplaba una ponencia matinal de Fernando Picatoste –bajo el título de Ciberinteligencia aplicada–, su intensa agenda le impidió estar presente en el Seg2. La ausencia del socio de Deloitte –fiel patrocinador del evento desde sus inicios, tal y como recordó Ana Borredá a modo de agradecimiento–, fue cubierta por Pablo de la Riva Ferrezuelo, fundador y especialista en desarrollo de soluciones de seguridad de Buguroo, empresa que atesora una experiencia de más de una década en el sector de la ciberseguridad y estrechamente vinculada a Deloitte. Sobre la situación actual del ciberespacio, De la Riva explicó que “se calcula que el 4 por ciento de Internet es visible; por ejemplo, todo aquello que aparece cuando se busca en Google. El 96 por ciento restante es donde hemos focalizado los esfuerzos de nuestras investigaciones y herramientas para intentar adelantarnos a posibles fraudes, robos, atentados…”. Además, precisó que, según un reciente estudio, “se estima que el impacto económico del cibercrimen a nivel mundial puede llegar a ser de hasta 500.000 millones de dólares” en un marco en el que los malos “suelen estar un paso por delante de quienes nos dedicamos a combatirlos”. Con el deseo de lograr este objetivo, en Buguroo han desarrollado una solución denominada bugThreats, “que pretende automatizar la recolección, indexación, análisis, reporte, etc., de nuevas amenazas en Internet con el fin de anticiparnos a los riesgos”. Respecto a los ataques que se están localizando con dicha solución, el Chief Technology Officer
resiliencia
(CTO) de Buguroo explicó que los mismos representan un amplio abanico, “desde phising hasta malware, pasando por robos de credenciales o datos personales, productos falsificados... Peligros que se comba-
ten gracias a servidores dedicados, sandboxes, etc. En el caso de estos últimos, recuperamos hasta 39.000 binarios únicos e intentamos averiguar, en el mismo momento en que son distribuidos, hacia dónde se dirigen. Y cada día procesamos también en torno a cinco millones de nuevas URLs en la Red, si bien ello no significa que todas supongan una amenaza”. Asimismo, el catálogo de productos de Buguroo, empresa de la que Deloitte es inversor, contempla bugScout, una herramienta especialmente concebida para automatizar el análisis estático del código fuente en aplicaciones, y bugBlast, un multiescáner de vulnerabilidades en infraestructuras. Además, la empresa ha diseñado un programa para ayudar a sus partners a recibir o comercializar formación en cuatro áreas de conocimiento: desarrollo, hacking, forense y reversing
red seguridad
septiembre 2014
25
actualidad tecnológica
noticias
13ª Encuesta Global sobre el Fraude 2014 El informe, elaborado por EY, recoge la percepción de los directivos de grandes compañías de todo el mundo, entre ellas 50 españolas, sobre cibercrimen, fraude, corrupción corporativa y procedimientos antifraude.
De los 59 países analizados en la 13ª Encuesta Global sobre el Fraude 2014 de la consultora EY, denominada Overcoming compliance fatigue: reinforcing the commitment to ethical growth, España ocupa la decimoquinta posición entre los más preocupados por el cibercrimen. De hecho, un 58% de los preguntados considera esta cuestión como un riesgo considerable o muy elevado. En lo referido a los principales autores de ciberdelitos que más quebraderos de cabeza generan a los directivos, a la cabeza se sitúan los hackers o hacktivistas (un 58%), le siguen los propios empleados o colaboradores (40%), los ciberdelincuentes procedentes de la competencia (un 38%), el crimen organizado (16%) y el proveniente de otros estados (4%). Pero ésta no ha sido la única materia analizada en el documento elaborado por la consultora. En términos generales, la encuesta refleja que la percepción de los directivos españoles sobre la generalización del fraude ha descendido, pasando del 34% al 28% entre 2012 y 2014. Sin embargo, sigue poniendo de manifiesto la buena aceptación de ciertas prebendas y comportamientos comprometedores para conseguir un negocio. 26
red seguridad
Además, y aunque los directivos españoles parecen estar cada vez menos dispuestos a justificar comportamientos poco éticos en sus empresas, un 36% aceptaría alguna propuesta de este estilo para ganar o salvaguardar su negocio. Este porcentaje resulta ser inferior al registrado en el conjunto de los países analizados, que se sitúa en el 42%. “Bien sea por las consecuencias de la crisis, bien sea por una progresiva instauración de una cierta ética en los negocios, parece que la preocupación de los ejecutivos españoles antes la generalización de las prácticas corruptas se ha relajado en los dos últimos años”, afirma Ricardo Noreña, socio responsable de Forensic de EY. Finalmente, otra de las cuestiones que en estos últimos años ha perdido impulso entre las organizaciones es la instauración de procedimientos y políticas antifraude y corrupción y de cumplimiento, incluyendo códigos de conducta. Hoy por hoy, un 54% de los consultados las tiene en cuenta frente al 74% de los sondeados hace dos años, a la vez que nuestro país ocupa las últimas posiciones en contar con estas medidas sobre el conjunto de los estados analizados.
septiembre 2014
Crece el uso profesional de las redes sociales El Ministerio de Industria, Energía y Turismo ha presentado la séptima edición del informe anual La Sociedad en Red, correspondiente al año 2013, que elabora el Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI). Entre las aspectos más importantes, destaca el incremento en el uso profesional de las redes sociales por parte de las empresas, que se ha traducido en una subida de 11,7 puntos porcentuales en el caso de las pymes y grandes empresas, y de 17,6 puntos porcentuales en las microempresas, con un porcentaje de uso del 29,1% y del 26,6%, respectivamente. Asimismo, la banda ancha móvil también crece de forma importante por tercer año consecutivo y registra un índice de penetración entre las organizaciones con conexión a Internet del 73,6% en pymes y grandes empresas, y del 56,8% en las microempresas. Por otro lado, el documento hace hincapié en el crecimiento de tabletas y smartphones en los hogares y en la población española. En el primer caso se ha incrementado en 16,7 puntos porcentuales, con un índice de penetración del 28,5% en los hogares; mientras que en el segundo ha sido de 12,2 puntos porcentuales y ya alcanza al 53,7% de los individuos. Sobre la administración electrónica, el informe del ONTSI destaca que el 98% de los servicios públicos digitales básicos de la Administración General del Estado (AGE) son totalmente accesibles en Internet, de este modo España supera en 24 puntos porcentuales la media europea situada en el 74%. Su usabilidad, asimismo, es del 100%, frente al 76% de media de la UE27. Por último, el documento realiza un análisis de las Tecnologías de la Información en el ámbito global. En total, el mercado mundial TIC movió 3.479 miles de millones de euros en 2013, que se distribuyen de la siguiente manera: Norteamérica (30,9%), Asia y Pacífico (29,9%), Europa (25,1%) y América Latina, África y Oriente Medio (14,1%).
toda la información de
seguridad TIC a un clic
apúntate gratis
http://www.redseguridad.com :::Información especializada sobre seguridad TIC :::Accede GRATIS a la revista digital :::Navegación fácil e intuitiva :::Servicios GRATUITOS: newsletter, alertas :::Accede GRATIS a la revista desde tu Tablet y Smartphone
actualidad tecnológica
noticias
El Consejo de Ciberseguridad dará un impulso a la colaboración Tx. y Ft.: E.G.H.
Cooperación y concienciación. Son los dos principales ejes del plan de acción en el que trabaja el Consejo Nacional de Ciberseguridad para trasladarlo a las instituciones del Estado. El plan se centra en potenciar la colaboración público-privada en materia de seguridad de la información, la cooperación operativa dentro de la Administración y la creación de una “cultura de ciberseguridad” que se extienda a toda la sociedad. El director operativo del Consejo de Seguridad Nacional, Joaquín Castellón, avanzó estas líneas a largo plazo sobre las que trabaja el órgano interministerial en una jornada organizada por la Embajada Británica en Madrid, el 11 de junio. “Tenemos que empezar a cambiar ya las estructuras al frente de la ciberseguridad”, afirmó Castellón en el encuentro, donde también destacó las iniciativas relacionadas con esta materia impulsadas por el Gobierno durante 2013. Entre otras, la aprobación de la Estrategia de Ciberseguridad Nacional, la constitución del Mando Conjunto de Ciberdefensa o la creación del CERT conjunto de Inteco y el CNPIC. Castellón coincidió en el encuentro con el director de Políticas de Ciberseguridad del Ministerio Británico de Asuntos Exteriores, Jamie Saunders, quien también explicó las prioridades del Ejecutivo británico en relación con la ciberseguridad. Éstas son fortalecer la red del Gobierno y de los “sectores vitales”, aumentar la protección intelectual y la formación en esta materia. “La amenaza en Internet sigue aumentando y el gobierno tiene una estrategia que sólo se podrá llevar a cabo si tenemos colaboración con empresas, escuelas y otros países”, indicó. Según informó Saunder, el gobierno británico ha invertido 860 millones de libras (más de 1.000 millones de euros) en cinco años en el sector privado y en el académico para 28
red seguridad
Joaquín Castellón, director operativo del Consejo de Seguridad Nacional, durante su intervención en la Embajada Británica.
mejorar la ciberseguridad del país. Londres ha puesto en marcha proyectos como una plataforma de intercambio de información compuesta por 400 empresas o un nuevo CERT nacional. La jornada organizada por la Embajada Británica, que llevó por título “Ciberseguridad en el sector
financiero”, contó también con la participación del embajador británico en España, Simon Manley, así como los expertos en la materia Matt Allen, director del Área de Delitos Financieros de la Asociación Británica de la Banca, o Carlos Solé, director del Instituto Español de Ciberseguridad del ISMS Forum Spain.
ENISA y Europol firman un acuerdo estratégico de cooperación contra la ciberdelincuencia Representantes de ENISA y Europol suscribieron en junio un acuerdo estratégico con el objetivo de facilitar la cooperación y el intercambio de conocimientos en la lucha contra la ciberdelincuencia. El propósito del acuerdo, firmado en la sede de Europol en la Haya, es mejorar la cooperación entre Europol, su Centro Europeo de Ciberdelincuencia (EC3) y ENISA, con el fin de apoyar a los Estados miembros y a las instituciones de la Unión Europea en la prevención y la lucha contra la ciberdelincuencia. El acuerdo no cubre el intercambio de datos personales. En concreto, la cooperación podrá consistir en el intercambio de conocimientos y competencias específicos; la elaboración de informes situacio-
septiembre 2014
nales generales; informes resultantes de análisis estratégicos y mejores prácticas; y el refuerzo del desarrollo de capacidades a través de la formación y la sensibilización, con el fin de salvaguardar la seguridad de la red y la información a nivel europeo. Udo Helmbrecht, director ejecutivo de ENISA, y Rob Wainwright, director de Europol, emitieron una declaración conjunta en la que destacan el "paso importante" que supone el acuerdo para luchar "contra los cada vez más habilidosos ciberdelincuentes, que están invirtiendo cada vez más tiempo, más dinero y más medios humanos en ataques selectivos". Según indican en su carta, se calcula que la ciberdelincuencia cuesta a la economía mundial más de 400.000 millones de dólares anuales.
actualidad tecnológica
entrevista
Xabier Mitxelena: "Nuestra ambición es llegar a ser la mejor empresa del mundo en ciberseguridad" Hace un año y medio, Xabier Mitxelena, fundador y director general de S21sec, ya nos adelantó en estas mismas páginas el comienzo de un proceso de transformación de la compañía que, precisamente, culmina ahora con la incorporación de SSI Software and Technology en la estructura accionarial de la organización. En esta entrevista, el directivo desvela cuáles serán los ejes de esta nueva etapa. Yo lo resumiría en cuatro puntos fundamentales: aumentar la cuota de mercado en España, focalizarnos en llevar las soluciones tecnológicas de S21sec y Lookwise a muchos más países del mundo, lograr la excelen cia operativa y formar y desarrollar un gran equipo de expertos en ciber seguridad. Se necesitan recursos y nuestra vocación es seguir generan do la mejor "cantera". En definitiva, la prioridad de la com pañía es la creación de una cultura global de la seguridad, con la ambi ción de llegar a ser la mejor empresa del mundo en ciberseguridad. La entrada de SSI nos ayuda a fortale cer la compañía en un momento de mayor madurez del mercado.
Texto: David Marchal ¿Qué significa para S21sec la entrada de la compañía portuguesa SSI en su accionariado? SSI Software and Technology forma parte del grupo SONAE, la mayor organización económica no financie ra de Portugal, que cuenta con una destacada presencia internacional y con cerca de 40.000 empleados. Por este motivo, estamos encan tados de poder contar con ellos como socios estratégicos, porque nos va a permitir tener una estructura sólida para seguir creciendo, mien tras potenciamos nuestro modelo de internacionalización y consolidamos nuestro liderazgo en el mundo de la ciberseguridad. En concreto, ¿cómo va a mejorar esta incorporación su apuesta por la ciberseguridad? S21sec cuenta con una larga tra yectoria como especialista en ciber seguridad. Por tanto, en esta nueva etapa continuaremos apostando por la innovación tecnológica en el desa rrollo proactivo de novedosas solu ciones para hacer frente a las nuevas amenazas y desafíos que se plan teen. Asimismo, vamos a potenciar la formación de expertos en ciberse guridad, porque queremos continuar creando cantera. Es más, la entrada de SSI nos permitirá apostar fuerte mente por el know-how, el expertise y los profesionales especializados. Confiamos plenamente en el equipo de personas que forman parte de S21sec y queremos potenciar las diferentes áreas de la compañía con profesionales que aporten valor y experiencia.
¿Podría detallar con qué equipo cuentan ahora mismo? Tenemos el mayor grupo de profe sionales de seguridad de España, con más de 200 especialistas que mantienen una atención muy cer cana con nuestros clientes a través de las oficinas de España, México y Brasil. Es más, nuestra plantilla de expertos certificados opera con el 90% del sector financiero, el 75% de las grandes empresas que cotizan en el Ibex35, el 20% de las compa ñías que cotizan en el Dow Jones EURO STOXX 50 y el 50% de las comunidades autónomas. De he cho, nos gusta decir que la base de la innovación y del modelo empresa rial de la compañía son las personas con energía, pasión e ilusión, que es lo que tenemos. Y respecto al nuevo equipo directivo, ¿cuál será su labor a partir de ahora?
Sin embargo, y a pesar de que se trata de un mercado maduro, como comenta, la compañía ha sabido situarse en posiciones de liderazgo en todo el mundo... Así es. Trabajamos para las principa les compañías españolas de sectores como el financiero, las telecomunica ciones, la sanidad, el comercio elec trónico, el mercado aeroespacial o la defensa y las fuerzas de seguridad del Estado. No sólo trabajamos con compañías cotizadas, sino que en estos momentos estamos dando ser vicio en más de 26 países de forma satisfactoria. Asimismo, seguiremos apostando por la investigación y el desarrollo. Prueba de ello es que en su momento creamos el Primer Centro Europeo de I+D+i especializa do en Ciberseguridad, y nos converti mos en CERT con el objetivo de dar valor añadido desde la Inteligencia de Seguridad y proteger a nuestros clientes las 24 horas del día.
red seguridad
septiembre 2014
29
actualidad tecnológica
noticias
El Sistema PIC español, “uno de los más avanzados del mundo”
El ministro del Interior inauguró las jornadas en Santander. En la imagen, junto al rector de la UIMP y el director del CNPIC.
El ministro del Interior, Jorge Fernández Díaz, inauguró en julio las Jornadas sobre Protección de Infraestructuras Críticas, en el marco de los cursos avanzados de verano de la Universidad Internacional Menéndez Pelayo (UIMP), que se celebraron en Santander. Durante su intervención, Fernández Díaz destacó que el Sistema de Protección de Infraestructuras Críticas de España “es uno de los más avanzados del mundo” y “un elemento puntero de nuestra seguridad que ha asumido la responsabilidad de desarrollar medidas preventivas y reactivas ante incidencias de seguridad”. Asimismo, afirmó que la protección de infraestructuras críticas “constituye una responsabilidad de primer orden”. Fernández Díaz subrayó también que los riesgos que pueden amenazar la integridad de las infraestructuras críticas, además de los factores naturales, pueden deberse a situaciones de carácter accidental o a errores y a fallos humanos; “pero también, y esa es la hipótesis más peligrosa, a acciones deliberadas causadas por ataques físicos o por ataques cibernéticos”. Sistema preventivo El pasado 30 de junio se constituyó la Comisión Nacional para la Protección de las Infraestructuras Críticas, que 30
red seguridad
aglutina a todos los departamentos, organismos y administraciones con responsabilidades en la materia. Este órgano celebró su primera sesión con la aprobación de cinco Planes Estratégicos Sectoriales (PES) –electricidad, gas, petróleo, nuclear y financiero– y la designación de 37 operadores para la gestión de las 150 infraestructu-
ras críticas que hay en España. En este sentido, durante el marco de la jornada, el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) dio a conocer la designación de los siguientes operadores críticos: - PES financiero: se han designado 10 operadores críticos y 24 infraestructuras críticas de esos operadores. - PES petrolero: se han designado cuatro operadores críticos y 15 infraestructuras críticas. - PES nuclear: estará formado por cinco operadores críticos. - PES del gas: se han designado cinco operadores críticos y 31 infraestructuras críticas. - PES electricidad: designados 17 operadores críticos y 67 infraestructuras críticas. A los ya mencionados PES, le seguirán “a partir de septiembre, los que se ocupen del transporte (aéreo, marítimo, ferroviario y terrestre), de las tecnologías de la información y comunicaciones y el agua”, adelantó el ministro del Interior durante la jornada.
Fundación Borredá, galardonada con el premio Dintel al ‘networking’ profesional y directivo La Fundación Dintel celebró, el pasado 24 de junio, la “Gran Fiesta Dintel 2014”, que este año tuvo lugar en el auditorio del Hotel Meliá Castilla de Madrid. En el encuentro, Dintel aprovechó la ocasión para celebrar el XV aniversario de su constitución y conceder sus Premios Dintel 2014 en sus diferentes categorías. Una de ellas es la distinción de “Caballeros/Damas Gran Placa Dintel” que la asociación concede a altos cargos del sector público y privado, que han participado activamente en estos últimos años en las actividades fundacionales, como ha sido Cristina Cifuentes, delegada del Gobierno en Madrid, entre otras personalidades. Otro de los premios que entregó Dintel fue a “La tenacidad de la persona” y “Al networking profesional y directivo”, siendo una de las galardonadas de esta última categoría la Fundación Borredá, que recogió el premio de la mano de su
septiembre 20104
presidenta, Ana Borredá (en la imagen con Jesús Rivero, predidente ejecutivo de la Fundación Dintel). En el transcurso de la Gran Fiesta Dintel, la fundación también dio a conocer su nuevo proyecto educativo, “Red CEDE”, que consiste en el establecimiento de una “Red de Centros Universidad-Dintel”, con formación presencial y online en diferentes universidades para fomentar la formación y el emprendimiento.
actualidad tecnológica
noticias
Tercer Congreso Iberoamericano de Ciberseguridad Industrial Con el objetivo de intercambiar conocimientos y experiencias en el ámbito de la ciberseguridad industrial, los próximos 7 y 8 de octubre se celebrará en Madrid la tercera edición de este congreso que ya se ha convertido en una referencia en el sector. Tras el éxito de las dos primeras convocatorias del Congreso Iberoamericano de Ciberseguridad Industrial, celebradas en Madrid los días 2 y 3 de octubre de 2013, y en Bogotá los pasados 27 y 28 de mayo de 2014, el Centro de Ciberseguridad Industrial (CCI) organiza ahora la tercera edición. Concretamente, este evento, que ya se ha convertido en una referencia para el sector y un punto de intercambio de conocimiento y experiencias, se celebrará los próximos 7 y 8 de octubre en el hotel Meliá Avenida de América de Madrid. En las jornadas estarán representados todos los actores del mercado: desde fabricantes industriales y de ciberseguridad, hasta ingenierías, consultoras, integradores o usuarios. Además, contará con la presencia de ponentes internacionales que repasarán las experiencias desarrolladas en todo el mundo, desde Estados Unidos y Latinoamérica hasta Europa, Oriente Medio o Asia. Por ejemplo, Richard Stiennon, analista Jefe de Investigación de IT-Harvest, hablará sobre la posibilidad de que cualquier empresa sea víctima de un cibera-
taque; Joel Langill, fundador de la web SCADAhacker.com, tratará el tema de las ciberdefensas aplicadas a los sistemas de control industrial; Marc Blackmer, director de Servicios de Seguridad Industrial de CiscoSourcefire, abordará cómo se puede defender el 'Internet de las cosas'; o Colin Blou, vicepresidente de Ventas para Estados Unidos y la UE de Warterfall, analizará las vulnerabilidades de los sistemas industriales. En el Congreso también intervendrán destacados directivos nacionales, tanto del sector privado como público. En este sentido, participará Miguel Rego, director general de INTECO; Pedro Sánchez, director general del CNPIC; o Samuel Linares, director del Centro de Ciberseguridad Industrial. En total, tomarán la palabra más de una veintena de profesionales del sector. De hecho, desde el CCI aseguran que el Congreso supone "la mejor oportunidad para conocer el estado del arte de esta disciplina de la mano de los líderes internacionales en cada uno de sus ámbitos", y sirve para "establecer valiosas relaciones
que favorezcan la colaboración en distintos ámbitos a escala nacional e internacional". Además, este evento tiene la peculiaridad de que no empieza y acaba con la celebración de las ponencias. La organización ha preparado una serie de "talleres pre y post congreso" para que pueda asistir toda aquella persona interesada. Así, por ejemplo, el día 6 de octubre habrá dos sesiones: Aplicando ISA99 para proteger las Infraestructuras Industriales, du rante la mañana, y Más allá del cortafuegos del sistema de control: daños físicos y explotación de procesos, du rante la tarde. El formato se repetirá el día 9 de octubre, esta vez con dos sesiones de mañana y tarde. Las primeras son: La aproximación efectiva a la protección de infraestructuras críticas de gas y petróleo contra ciberamenazas emergentes e Introducción a los sistemas de control industrial para profesionales TIC. Y las de la tarde son: Seguridad en Smart Grid. Estado y Avances Internacionales e Introducción a la Ciberseguridad para profesionales de la Automatización e Instrumentación.
Sesiones destacadas Día 7 de octubre: 9:00-9:15.- Bienvenida y presentación. Samuel Linares, director del Centro de Ciberseguridad Industrial. 9:15-10:00.- ¿Que no eres un objetivo? Déjame demostrarte por qué te equivocas. Richard Stiennon, analista jefe de investigación de IT-Harvest. 11:30-12:00.- Los comienzos de la conciencia compartida de la situación. Chris Blask, CEO de ICS Cybersecurity. 12.30-13.00.- Defendiendo la Internet de las Cosas. Marc Blackmer, director de Servicios de Seguridad Industrial de Cisco-Sourcefire. 13:00-13:45.- Mesa redonda: Evolución de la Ciberseguridad Industrial. 16:35-17:05.- La protección de infraestructuras críticas hoy. Andrey Nikishin, director de Seguridad Industrial de Kaspersky. 17:05-17:35.- Elige tu propia aventura: La carrera interminable. Claudio Caracciolo, CSA de Eleven Paths. 17:35-18.20.- Mesa redonda. Amenazas y vulnerabilidades en el mundo industrial.
Día 8 de octubre: 9:00-9:30.- La aproximación práctica a la protección de infraestructuras críticas de las ciberamenazas emergentes. Ayman Al-Issa, CTA del CCI en Oriente Medio y Asia. 11:40-12:05.- Abordando la ciberseguridad industrial en Latinoamérica. Belisario Contreras, director del Programa de Ciberseguridad en el Secretariado del Comité Interamericano contra el Terrorismo de la Organización de Estados Americanos. 12:05-12:30.- El CERT de Seguridad e Industria y la protección de los sistemas de control industrial. Miguel Rego, director de INTECO. 12.30-12.55.- La protección de infraetructuras críticas y la ciberseguridad industrial en España. Fernando Sánchez, director del CNPIC. 17:10-17:50.- Mesa redonda: Vulnerabilidades en el mundo industrial y tecnologías de protección. 17:50-18.30.- Mesa redonda. Las organizaciones industriales opinan: ¿Y ahora qué? (Conclusiones, lecciones aprendidas y siguientes pasos).
red seguridad
septiembre 2014
31
ciberseguridad internacional opinión
Trabajando de forma optimista y coordinada hacia un bien común llamado ciberseguridad
Marcos Gómez Hidalgo Subdirector de Operaciones de INTECO. Miembro del Permanent Stakeholders Group de la ENISA
Si 2013 fue un año de expectativas, 2014 está siendo un año de confirmaciones. Hace tan solo un poco más de un año, nos enfrentábamos a una serie de importantes desafíos y retos. Ante nosotros aparecía en el horizonte un nuevo plan del Gobierno en varios frentes: el diseño y elaboración de un Plan Nacional de Seguridad, del que iba a colgar un plan asociado de ciberseguridad; una renovación de la estrategia de confianza en la Sociedad de la Información, a través de la Agenda Digital de España y su Plan de Confianza en el Ámbito Digital; una fuerte revisión de la seguridad cibernética en el ámbito de las infraestructuras críticas o de la lucha contra la cibercriminalidad y el ciberterrorismo; la armonización de todos los agentes responsables y competentes; la alineación de estos planes y actividades con sus homólogas europeas, tales como la Agenda Digital Europea, la Directiva NIS o el Horizonte 2020. Ante todo ello y en un año en el que la crisis económica golpeaba duramente nuestro país, podíamos ser pesimistas y escondernos, o ser optimistas y aplicar nuevos esfuerzos a estos retos tan complicados. Desde la visión un poco más abierta de éste que les escribe, con la suerte de participar como experto en el Permanent Stakeholders Group de la
32
red seguridad
ENISA, o de tener también la visión cercana de la Plataforma NIS que la Comisión Europea creó a finales de 2013, o de disponer de un contacto cercano y aventajado con países punteros como EEUU, Japón, Gran Bretaña o Alemania, les puedo expresar que hay que seguir siendo optimistas y aplicar aún con más decisión esfuerzos e ilusión. En resumen, lo trazado y desarrollado hasta ahora en el último año y medio debe ser una razón de orgullo, porque estos pasos desafiantes se han ido dando, con peor o mejor suerte, con menor o mayor éxito, pero, en definitiva, se han dado. Todos los agentes, de una u otra manera, han puesto de su parte para romper con un estancamiento que nos hubiera dejado en mal lugar en el mapa internacional de la seguridad. Sólo hay que leer detenidamente la Agenda Digital para España, promovida por el Ministerio de Industria, Energía y Turismo con el apoyo del Ministerio de Hacienda y Administraciones Públicas; la Estrategia de Seguridad Nacional, con su Estrategia de Ciberseguridad Nacional, impulsada desde el Departamento de Seguridad Nacional de Presidencia de Gobierno; el diseño y elaboración de la nueva normativa y legislación en el ámbito de la protección de infraestructuras críticas, promovida por el CNPIC del
septiembre 2014
Ministerio del Interior; o la revisión de la legislación vigente en materia de cibercrimen y ciberterrorismo con la adhesión de España, impulsada por el Ministerio del Interior y sus diversas unidades de lucha contra la ciberdelincuencia. En todos estos documentos estratégicos, normativos o situacionales se encuentran acciones ya emprendidas, algunas aún incipientes y otras ya en pleno desarrollo, como el Plan de Confianza en el Ámbito Digital, vigente desde 2013 a 2015 y con un presupuesto de más de 59 millones de euros, en el que también tengo la suerte de participar a través de una de las entidades de referencia del Ministerio de Industria, Energía y Turismo, INTECO. Es por todo ello, como citaba, que debemos estar orgullosos, ser optimistas y redoblar esfuerzos para seguir poniéndonos a la altura de nuestros países de referencia, e intentar ser punteros en aquello que podamos, aprovechando la coyuntura de que en este mundo de la ciberseguridad aún caben muchos nichos que cubrir. También que año tras año aparecen nuevas amenazas, riesgos, agentes, oportunidades, y que hace tan solo dos o tres años hablábamos de seguridad de la información, seguridad informática, seguridad lógica, etc., y ahora quizás podamos
especial
ciberseguridad internacional
opinión
Debemos estar orgullosos, ser optimistas y redoblar esfuerzos para seguir poniéndonos en ciberseguridad a la altura de nuestros países de referencia
englobarlo todo en ciberseguridad, con el permiso de la ciberesiliencia, que aún andamos por terminar de acuñar, entender y aplicar. Seguir creciendo Estos retos y desafíos nos plantean muchas cuestiones. Por un lado, qué ocurre en el campo de las amenazas, qué está por llegar y qué de lo que está presente puede condicionar pasos futuros. Entre las amenazas podemos destacar desde 2010 las que se focalizan en el importante ámbito de las infraestructuras críticas y que según muchos expertos ha significado un cambio de paradigma, siendo incorporadas como elemento de riesgo importantísimo en las estrategias y acciones gubernamentales de las principales potencias. Aunque seguimos hablando de ingeniería social, de ciberestafas o de troyanos, convivimos ya con riesgos que curiosamente llevaban con nosotros en el silencio sigiloso de su actividad oculta: las amenazas persistentes avanzadas (APT), o riesgos y ataques más socializados y conocidos como el hacktivismo social, o el más preocupante ciberespionaje, con blancos gubernamentales o empresariales, o el más terrorífico: la ciberguerra. Las nuevas tendencias tecnológicas, como el uso cada vez más generalizado del cloud, o el bring your own technology (con sus diferentes variantes BYOD, BYOId, etc.), el Internet de las cosas (IoT) y las smartcities, y su aplicación a todos los sectores, hacen que tanto gobiernos, como empresas y ciudadanos se estén replanteando todo de nuevo, pero afortunadamente partiendo de una base más o menos adquirida de seguridad sobre la que debemos seguir creciendo y construyendo. Además, ciertas tecnologías, no solo las móviles, están adquiriendo una fuerza muy importante en los ámbitos de gestión y tecnológico, como son la
especial
ciberinteligencia, con las disciplinas de la correlación o el uso de big data. Saber más o tener más información y saber más rápido parecen hoy las prioridades más acuciantes de todos los que vivimos en y de la Red. El viejo lema de “la información es poder” y que Julian Assange manejó como un concepto global en una época más global, ha vuelto con fuerza a nuestras vidas. Otros han seguido su camino de distinta forma, como Snowden o Manning, como más pruebas de este cambio de forma de actuar que, unido a casos más empresariales (o no) de ciberespionaje, está dando lugar a constantes noticiones o nuevas leyendas urbanas en la Red. Coordinar e investigar Ante todo este universo, o mejor dicho, ante toda esta cosmología del ciberuniverso o ciberespacio (primera cita de este término en el artículo), unos nos quedamos atónitos, otros pasmados, otros semiparalizados y otros interesados en conocer más, en seguir investigando qué hay detrás, qué podemos hacer y cómo podemos coordinarnos mejor. Y quizás la clave vuelve a ser la misma, coordinarnos e investigar. Coordinarnos es una tarea dura pero factible después de ver el esfuerzo que hay detrás de tantos agentes en el Consejo de Seguridad Nacional, o ya, para temas más específicos, en el acuerdo que suscribieron hace un año y medio el Ministerio del Interior y el Ministerio de Industria. Cabe coordinarse mejor en el ámbito públicoprivado y se están empezando a dar
pasos y sentar más bases. Y cabe fortalecer los mecanismos de investigación, para hacer que nuestra industria y tejido empresarial sean más sólidos y potentes, tanto en la oferta como en la demanda. Revisar la forma en que la Administración puede invertir en dicha investigación y engrosar la musculatura y materia gris de las empresas es vital para hacer que las mismas cubran de mejor manera y más ágilmente las necesidades que nos sobrevienen continuamente. Además es también crítico disponer de mejores profesionales, con mayor formación y experiencia, y seguir trabajando en itinerarios dentro de las empresas que potencien cada vez más las carreras técnicas. Nos queda también darle una vuelta de tuerca a saber qué impacto están teniendo todas nuestras acciones, medir que esos esfuerzos llegan a buen puerto y que lo hacen con el nivel óptimo en tiempo y recursos. Por todo ello, me reafirmo y creo que el camino es seguir trabajando de forma optimista, de forma aplicada, pero cada vez más coordinados y dirigidos hacia un bien común, el bien de la ciberseguridad, que tantas expectativas genera y tantas ilusiones puede cubrir.
red seguridad
septiembre 2014
33
ciberciberseguridad internacional opinión
Estrategias nacionales de ciberseguridad en el mundo
Carles Solé Pascual Director del Spanish Cyber Security Institute de ISMS Forum
Adolfo Hernández Miembro del Spanish Cyber Security Institute de ISMS Forum Subdirector y cofundador de THIBER
L a creciente conectividad y el uso masivo del ciberespacio, un nuevo entorno totalmente transversal e imbricado en todos los estamentos de una sociedad moderna, es una constatación más de la necesidad de fijar una base común que pueda hacer frente a un ataque o una acción delictiva sobre ciudadanos, empresas o estados, perpetrada parcialmente o en su totalidad por medios digitales. Si bien es cierto que este nuevo entorno conlleva ciertas dificultades inherentes jurídico-técnicas, la aparente despreocupación política internacional no puede obviar esta realidad que aglutina en la actualidad la variedad delictiva de mayor crecimiento: el cibercrimen, habiéndose datado el volumen total de las pérdidas asociadas al mismo en 87.000 millones de euros en el mundo en 2013. Este hecho ejemplifica a la perfección la vulnerabilidad sistémica del ciberespacio: el crecimiento, ubicuidad y grado de penetración de las nuevas tecnologías supera con creces la velocidad de los procesos legislativos existentes. Pero el problema se ha multiplicado y se ha establecido como un riesgo real que trasciende el mero
34
red seguridad
daño económico a una empresa. Ahora ya se sitúa en el ámbito nacional, supranacional y global, afectando por igual a ciudadanos, gobiernos y empresas. Sólo hay que comparar los últimos informes del World Economic Forum de Davos [1] para ver cómo los riesgos relacionados con los ciberataques han ido adquiriendo relevancia paulatina con el tiempo. Ciberestrategias De esta forma, a fin de evitar impactos no previstos derivados de la falta de madurez regulatoria y procedimental y del creciente número de amenazas ciber, los estados soberanos comienzan a disponer de estrategias integrales de ciberseguridad a través de una hibridación jurídico-técnica, tanto en el entorno empresarial como sectorial. Con más de 27 ciberestrategias a escala mundial, 18 de ellas europeas –plaza que además cuenta con una directiva comunitaria de ciberseguridad–, la gestación de dichos documentos ha estado rodeada de una creciente expectación ya que otorgan, de forma general, tanto el reconocimiento estratégico que tiene el ciberespacio para los diversos países como el
septiembre 2014
posicionamiento en este nuevo entorno vir tual. Si bien el contexto sociopolítico natal de muchas de ellas dista de ser el óptimo (pensemos en el caso estonio, creado menos de un año después de los ciberataques que paralizaron el país), igual de ineficaz resulta la ausencia de una estrategia de ciberseguridad nacional como aquellas que han sido alumbradas sobre situaciones demasiado generalistas, fuera de contexto presupuestario y sin un plan de aterrizaje delimitado por prioridades, plazos e hitos temporales. Así, se observa que las diferentes realidades socioeconómicas y tecnológicas existentes en el mundo definen y delimitan en gran medida los diversos grados de desarrollo de dichas estrategias. En áreas como el Sahel y el Magreb, debido al bajo índice de penetración de Internet, existe un grado de concienciación muy bajo respecto al valor estratégico del ciberespacio. Sin embargo, en el polo opuesto encontramos a los países que forman parte de los Five Eyes (Canadá, Estados Unidos, Reino Unido, Nueva Zelanda y Australia), los países europeos estratégicos miembros de la Alianza Atlántica
especial
GLOBALTECHNOLOGY Consultoría de Seguridad Global e Inteligencia
Monitorización Seguridad Hacking Inteligencia
Seguridad Global frente a la Amenaza Global
Protección
Conocer sus propias vulnerabilidades antes que el enemigo, es la única forma de preparar una defensa eficiente.
Hacking ético. Test de intrusión. Caja negra - Caja blanca Monitorización. Detecta las amenazas antes de que materialicen Inteligencia empresarial. Information Superiority - Decision Superiority Fuga de Datos (DLP). La tecnología como problema y solución Seguridad Global
Análisis Forense
Análisis de Riesgos
Seguridad en la nube
Hacking ético
Integración Seguridad Lógica y Física
Auditoría de vulnerabilidades
Comunicaciones Seguras
Monitorización
Consultoría Internacional
Ingeniería de Sistemas
Inteligencia Empresarial
Consultoría Tecnológica
Cumplimiento Legal
Seguridad de la Información
Protección de Infraestructuras Críticas
Prevención de Fuga de Datos
Protección del Patrimonio Histórico
Planes de Seguridad Integral Plan de Continuidad del Negocio Formación Personalizada según Roles Sistemas de Gestión de Crisis
Plaza Rodriguez Marín, 3 · 1C. Alcalá de Henares · 28801 Madrid (+34) 91 882 13 09
info@globalt4e.com
www.globalt4e.com
ciberseguridad internacional opinión
Timeline de las Estrategias de Ciberseguridad Nacional. Fuente: THIBER, the cybersecurity think tank [2].
en términos ciber (como Estonia) o la emergente América Latina, con Brasil a la cabeza. Es importante remarcar que los países asiáticos con aproximaciones intervencionistas sobre su ciberespacio, como China o Irán, no han hecho pública sus correspondientes aproximaciones, lo cual no significa que no tengan
una hoja de ruta claramente definida. En este escenario nacieron las primeras estrategias nacionales de ciberseguridad, con un alto desarrollo entre el bienio 2011-2013. La antigüedad no es relevante de cara a su grado de implantación y madurez. Algunas de las naciones europeas, como Estonia y la República Checa, están realizando la segunda iteración y revisión de su estrategia. Del mismo modo, durante este año, se espera la aprobación de las estrategias de países como Abu Dhabi, Tailandia, Ghana y Nigeria.
Puntos comunes Como principal objetivo, estas estrategias vertebran la ciberseguridad como materia prioritaria en la agenda de los respectivos gobiernos. Y promulgan, con más o menos éxito, establecer un liderazgo único para coordinar las acciones y los actores involucrados en la lucha contra los riesgos derivados del ciberespacio. Asimismo, ponen de manifiesto la gravedad y complejidad de las ciberamenazas, así como el grado de organización alcanzado por los grupos delincuentes o terroristas que están detrás de ellas. Y enfatizan la dimensión social del problema, trascendiendo la mera pérdida económica o el daño individual que puedan causar. También identifican la necesidad de coordinación entre los estamentos públicos dedicados a la ciberseguridad y la de éstos con los actores privados, una de las principales barreras a la hora de luchar contra el cibercrimen. Destacan, por supuesto, la necesidad de cooperación internacional, otra gran asignatura pendiente en la batalla contra un riesgo que, por naturaleza, es global. Así pues, podemos afirmar que la gran mayoría de las estrategias presentan una estructura común, pivotando sobre tres conceptos básicos: 1 Qué preocupa, identificando claramente qué tipo de ciberamenazas son las más probables, identificando los nuevos actores y sus motivaciones. 2 Quién tiene responsabilidades, delimitando roles y órganos
Países con estrategia nacional de ciberseguridad (verde) y en vías de desarrollo (amarillo). Fuente: Enisa 2014.
36
red seguridad
septiembre 2014
especial
ciberseguridad internacional
opinión
Las diferentes realidades socioeconómicas y tecnológicas existentes en el mundo definen los diversos grados de desarrollo de las estrategias nacionales de ciberseguridad
de gestión para la puesta en marcha de las respectivas iniciativas. 3 Cómo se responde a esa preocupación, con líneas de actuación y medidas concretas que marquen una firme determinación política en la consecución de los objetivos marcados. Divergencias Sin embargo, tras un análisis algo más detallado, se encuentran diferencias sustanciales, no tanto en el reconocimiento del valor del ciberespacio, sino en las líneas de acción y el down-to-earth de las tareas concretas. 1 Organización de la ciberseguridad. a La alta fragmentación entre los actores estatales con competencias en el plano ciber varía notablemente entre las diversas naciones. Este hecho dificulta la efectividad de las acciones que se deben desarrollar en la lucha global contra la ciberdelincuencia. No se encuentran referencias explícitas a este hecho en las estrategias el ámbito internacional. b En las estrategias, de forma general, no se hace mención a los medios tradicionales de cooperación internacional formal en cibercrimen y ciberamenazas, pudiendo no encontrarse habilitados para garantizar la obtención de, por ejemplo, pruebas electrónicas, por lo general, de difícil acceso, volátiles y ubicuas. 2 Dotación presupuestaria. a En casos como Estados Unidos, Reino Unido u
especial
Holanda se dota de forma expresa a la estrategia de ciberseguridad de un presupuesto definido y aprobado, algo que no ocurre, por ejemplo, en España. Esta dotación es relevante de cara a asegurar recursos exclusivos para este terreno y dar un mensaje de compromiso a la sociedad en general. 3 Definición de amenazas y persecución del cibercrimen. a La divergencia, o ausencia en algunos casos, de una tipificación formal internacional de los actos considerados como delictivos en el ciberespacio supone un serio problema, pudiendo crear lagunas jurídicas y dando lugar a regiones opacas o “paraísos de cibercrimen”. Si bien en determinadas regiones existe un cada vez más nutrido grupo de normas nacionales en materia de ciberdelito, se hace notar la falta de tipificaciones comunes. 4 Vínculos territoriales y acuerdos de colaboración. a La potencial ubicuidad de
las actuaciones en el ciberespacio y sus amenazas pone de manifiesto la fragmentación jurídica existente en el plano internacional, si bien existen acuerdos multilaterales que agrupan determinadas regiones de extensión variable (como sucede en la UE). De esta forma, pocas estrategias de ciberseguriad nacionales reflejan esta realidad. Conclusión Durante años las empresas han tenido que luchar, prácticamente solas, contra las amenazas inherentes al uso de la red. En ello les iba su viabilidad económica: fraude, daños reputacionales, propiedad intelectual, indisponibilidad de sus servicios, etc. Y los gobiernos apenas han dedicado recursos para apoyarlas. Pero ahora está en juego el propio desarrollo económico nacional y las libertades de los ciudadanos, y han empezado a reaccionar. Sin duda, queda mucho trabajo por hacer y muchos entresijos políticos por limar, pero comenzamos la andadura por el buen camino.
Referencias [1] The global risks landscape 2014. World Economic Forum. http://www3.weforum.org/docs/WEF_GlobalRisks_Report_2014.pdf Estrategias nacionales de seguridad en el mundo. THIBER. http://www.thiber.org/?page_id=242 [2]
Cybersecurity policy making a turning point. OECD. http://www.oecd.org/sti/ieconomy/cybersecurity%20policy%20making.pdf
red seguridad
septiembre 2014
37
ciberseguridad internacional opinión
Donde dije digo, digo Diego
Samuel Linares Director del Centro de Ciberseguridad Industrial (CCI)
Los que me conocen o han asistido a alguna de mis presentaciones sobre ciberseguridad industrial en los últimos años saben que tradicionalmente, basándome en las referencias públicas existentes, análisis, documentos e informes, venía siendo bastante pesimista en cuanto al estado de nuestro país en este ámbito respecto a otros países de nuestro entorno (Europa) o a grandes potencias como Estados Unidos, Japón o determinados estados de Oriente Medio. Muchos recordarán alguna presentación argumentando cómo nos quedaba un mínimo de cinco años para estar a la altura de algunos países de Europa como Holanda o Reino Unido y probablemente más de una década para ponernos al nivel de Estados Unidos. En los últimos tiempos he tenido la fortuna de poder compartir impresiones, proyectos y experiencias con organizaciones industriales, infraestructuras críticas, organismos públicos y gobiernos de prácticamente todas las regiones del mundo, y por tanto conocer de primera mano el estado real de avance de la ciberseguridad industrial internacional. Por ello, hace tiempo que tenía en mi “debe” el escribir un artículo como éste retomando el discurso que tantas veces esgrimí en mis presenta-
38
red seguridad
ciones, basado en las referencias públicas existentes, análisis, documentos, informes, etcétera, incluyendo además información y percepciones procedentes de la observación directa de la realidad en todas estas regiones y en la fulgurosa evolución que nacional e internacionalmente ha tenido esta disciplina. Debo adelantar para tranquilidad de todos (nuestra especialmente), que el escenario real no es tan pesimista como el que inicialmente defendía, llegando en algunos casos incluso a ser el totalmente opuesto; es decir: sí, en algunos ámbitos estamos por delante (¡!). La primera justificación de este cambio viene de que tradicionalmente siempre nos hemos comparado con otros países de forma general, cuando realmente los avances, madurez, ritmo y características son muy diferentes entre dos entornos muy distintos: tan diferentes como el público y el privado. Incluyo en el entorno público, a los efectos de este artículo, a las iniciativas gubernamentales, organismos públicos, programas, estrategias, regulaciones y marcos de trabajo que marcan la línea que hay que seguir en los mercados nacionales. Es aquí donde nos encontramos, desgraciadamente a una mayor dis-
septiembre 2014
tancia de otros países más avanzados en el ámbito de la ciberseguridad en general, y la industrial de forma más concreta. En este entorno nos encontramos internacionalmente con sistemas de ciberseguridad nacional maduros, dotados de un respaldo político y económico indiscutible y con definiciones de roles y responsabilidades claras en países como Estados Unidos, Reino Unido o Holanda, entre otros, que llevan más de una década trabajando y colaborando activamente en estos temas. Esto en algunos casos se traduce en estrategias de ciberseguridad nacionales también maduras que van avanzando incluso en distintas versiones con distintos objetivos, indicadores de seguimiento y asignación de recursos, como es el caso por ejemplo de la versión 2 de la estrategia de Ciberseguridad Nacional de Holanda, con el lema “De la concienciación a la capacidad” (“From awareness to capability”). Estos avances suelen evidenciarse también ante la existencia de iniciativas y organismos gubernamentales totalmente focalizados en la materia (como podría ser el caso los ICSCERT, US-CERT o el Idaho National Laboratory de Estados Unidos), que en muchos casos desarrollan como
especial
ciberseguridad internacional opinión
parte de su actividad marcos de trabajo de referencia común (sectoriales o no) para el mercado, hojas de ruta que marcan el camino que hay que seguir con indicadores claros de control y seguimiento o regulaciones que buscan conseguir unas líneas base de cumplimiento de medidas de seguridad que garanticen la adecuada protección de infraestructuras y organizaciones, habitualmente focalizadas inicialmente en la protección de infraestructuras críticas, pero extendidas posteriormente a otros ámbitos de actividad. Cambio de ritmo En el entorno público de nuestro país ha habido un cambio de ritmo importante en lo que a la ciberseguridad se refiere en los dos últimos años. Basta con revisar el panorama que tenemos en la actualidad respecto al que teníamos hace tiempo. Contamos ya con una Estrategia de Seguridad Nacional que identifica el ciberespacio como un ámbito más de actuación, una Estrategia de Ciberseguridad Nacional que define el sistema nacional de ciberseguridad, objetivos y sus actores, además de organismos con un foco de actividad importante en estos ámbitos (CNPIC, INTECO, CCN, Mando Conjunto de Ciberdefensa, Departamento de Seguridad Nacional…). No debemos dejar de mencionar la existencia de una regulación en el ámbito de la privacidad que es referente internacional (nuestra famosa LOPD) o de la Ley de Protección de Infraestructuras Críticas, también referente para la mayoría de los países latinoamericanos. Y sin duda esa gran oportunidad que en estos momentos está abierta en el área de la ciberseguridad, que es la nueva Ley de Seguridad Privada (y su futuro reglamento). Es un hecho que el ritmo y los tiempos de cambio en cualquier país en lo que a aspectos regulatorios, iniciativas y organismos gubernamentales o estrategias se refiere son mucho más lentos que en el ámbito privado y, por tanto, cualquier creación o modificación de estos puntos supone ya no meses, sino años de
40
red seguridad
Hay un aspecto del que estamos especialmente orgullosos: la colaboración, compartición y análisis de información en el ámbito industrial desarrollo en la parte pública, y otro tanto en la adopción y maduración de la parte privada. En definitiva, concluiría la comparativa en el entorno público confirmando las sospechas que enunciaba en algunas presentaciones: estamos a varios años de distancia (entre cinco y diez, al menos) de otros países líderes en este ámbito. Nos queda mucho por hacer y mucho esfuerzo, trabajo y respaldo por delante. Sin embargo, mi opinión es que la tendencia ha cambiado en los últimos dos años y creo que estamos en el camino adecuado. Las bases están sentadas, comienza a existir interés y respaldo (económico, político, etc.), y si seguimos así deberíamos ver cómo mes a mes y año a año, esa distancia con los líderes internacionales irá disminuyendo. Y en cualquier caso no debemos olvidar ni desaprovechar la oportunidad que supone el que de forma general seamos una referencia para otra (gran) parte del escenario internacional: Latinoamérica. Haríamos un flaco favor a nuestro tejido industrial y empresarial si no aprovechásemos esa oportunidad (el mundo no sólo es Estados Unidos, Reino Unido, Alemania u Holanda…).
finales en el ámbito de la ciberseguridad industrial.) Aquí es donde vienen noticias aún más satisfactorias. He de decir que me he sorprendido muy gratamente en estos dos últimos años a medida que he ido conociendo de forma directa el estado de la protección, proyectos e iniciativas en ciberseguridad industrial de estas organizaciones internacionalmente. Puedo adelantar que la conclusión general es que las organizaciones españolas no tienen nada que envidiar en cuanto a su madurez en ciberseguridad, protección, tecnologías y proyectos a otras organizaciones similares en los países ya mencionados anteriormente en el ámbito público, e incluso en algunos casos el nivel es aún mejor. Pero de nuevo, no generalicemos y distingamos básicamente entre las grandes organizaciones industriales
Entorno privado ¿Y qué hay del entorno privado? (entendiendo por entorno privado a las organizaciones industriales, infraestructuras críticas o usuarios
septiembre 2014
especial
ciberseguridad internacional
opinión
Tenemos capacidades, valores diferenciales, oportunidades por delante y una buena línea marcada para avanzar en el posicionamiento internacional en la ciberseguridad industrial
e infraestructuras críticas y las organizaciones industriales medianas y pequeñas. En este último caso (las más pequeñas), la realidad es que el estado de protección y grado de madurez en estos temas es realmente bajo (y claramente insuficiente), pero no distinto del nivel que este mismo tipo de organizaciones tiene en otros países como Estados Unidos, Alemania, Francia, Holanda o Reino Unido, entre otros (recordemos aquí el refrán “mal de muchos, consuelo de tontos”, y no caigamos en esa tentación: debemos impulsar e incentivar de forma enérgica el avance en este ámbito). En cuanto al otro grupo, las grandes organizaciones e infraestructuras críticas, podemos asegurar que su estado de protección, avances tecnológicos y grado de madurez es similar al de cualquier organización internacional de ese tipo. Incluso contamos con ejemplos premiados internacionalmente (sin ir más lejos, el prestigioso SANS Institute estadounidense premió el año pasado a Iberdrola por su actividad en el ámbito de la ciberseguridad industrial) y otros de referencia en algunos sectores (especialmente en el energético). Aquí no hay distancia alguna con el sector privado en otros países (no nos acomodemos, e intentemos continuar avanzando y superarlos).
Latinoamérica, Oriente Medio o Asia. La pregunta a la que más veces debemos responder es si somos una iniciativa gubernamental. El hecho de no serlo, y de haber surgido del propio sector privado con una representación total de todos los actores involucrados, hace que todos y cada uno de los países con los que colaboramos vean la iniciativa como una referencia a seguir de forma local, lo que sinceramente nos enorgullece: hay al menos un ámbito de actividad en el que estamos siendo líderes internacionales y eso no es gracias únicamente al propio CCI, sino precisamente al soporte, participación y avance de todo el ecosistema de actores involucrados (en este caso, privados y públicos). Debo, por tanto, retractarme: no estamos tan atrás, al menos no en todos los ámbitos. Tenemos capacidades, valores diferenciales, oportunidades por delante y una buena línea de avance marcada, que
debemos aprovechar como país (y como industria) para avanzar en el posicionamiento internacional en la ciberseguridad (industrial). En cualquier caso, no caigamos en la autocomplacencia. Tenemos en común con el resto de países la falta de solución aún a grandes retos no conseguidos internacionalmente: la compartición de información entre organizaciones (públicas y privadas), la estructuración del reporte de incidentes de ciberseguridad, los modelos de gobierno de la ciberseguridad de la Smart Grid, la llegada de las tecnologías inteligentes (Smart Grid, Smart Cities, Smart Homes…) y la Internet de las Cosas. Retos que, a su vez, son oportunidades. Tenemos dos opciones: continuar lamentándonos de nuestra situación en algunos ámbitos, o emplear ese tiempo y esfuerzo en avanzar y posicionarnos en esos ámbitos donde aún no hay líderes claros. Yo tengo clara cuál es la opción que he elegido, ¿y tú?
No tan atrás Pero hay un aspecto del que, por la parte que nos toca, estamos especialmente orgullosos: la colaboración, compartición y análisis de información en el ámbito industrial. En este ámbito, debo dejar de lado, por unas líneas, la humildad obligada, y compartir de qué manera el Centro de Ciberseguridad Industrial (CCI) y sus actividades se han convertido en un referente internacional, no sólo en Europa, sino en Estados Unidos,
especial
red seguridad
septiembre 2014
41
asociación entrevista
Ramsés Gallego
Vicepresidente internacional de ISACA
El pasado mes de junio, ISACA constituyó su nueva junta directiva, en la que Ramsés Gallego volverá a ejercer el cargo de vicepresidente internacional. Durante
“Afortunadamente, la conciencia es cada vez mayor y la ciberseguridad llega a los consejos de administración” Tx: E. González y B. Valadés Ft: E.G.H.
la entrevista, el también especialista en estrategia de seguridad y experto tecnológico de Dell Software aborda cuestiones como el programa CSX para el desarrollo profesional, la crisis de talento o los retos que deben afrontar las empresas en un mundo “caótico y disperso”.
42
red seguridad
¿Qué supone para usted haber sido reelegido vicepresidente internacional de una de las asociaciones de mayor relevancia en el sector de las Tecnologías de la Información (TI)? Sin duda, es un orgullo y un privilegio. Y, al mismo tiempo, una responsabilidad. Tenga en cuenta que ISACA brinda servicio a más de 115.000 profesionales de todo el mundo. De manera especial, me satisface representar a los chapters de España y, por extensión, a toda la comunidad hispana vinculada a la asociación. Este será mi tercer y último ejercicio como vicepresidente internacional y espero cerrarlo como los anteriores: realizando un buen trabajo.
septiembre 20104
¿Cómo valora su paso por la vicepresidencia internacional de ISACA y qué objetivos se ha marcado para este nuevo periodo? La valoración es muy positiva. Además, es un privilegio. Sólo en el primer semestre del año he viajado a casi veinte países. Y eso es muy enriquecedor tanto a nivel profesional como cultural. He tenido la oportunidad de conocer cómo se trabaja en Latinoamérica y también de qué manera se afronta, por ejemplo, una brecha de seguridad en Asia. En cuanto a los objetivos, el más inmediato es continuar materializando la estrategia S22, que, como revela su denominación, concluirá en el horizonte de 2022. La misma se desarrollará en tres horizontes o fases y la aplicaremos en programas, certificaciones, entregables, etc., que contribuyan a hacer frente a los ries-
asociación
entrevista
“El programa CSX es un lugar central donde los profesionales pueden encontrar todo tipo de recursos relacionados con la ciberseguridad”
gos de un mundo que cambia vertiginosamente. Entre los últimos proyectos de ISACA destaca el programa Cybersecurity Nexus (CSX). ¿Cuál es su objetivo? Desgraciadamente, no todo el mundo es consciente de los ataques de hackers, del ciberespionaje, etc., así que con CSX damos la bienvenida a todos aquellos que un buen día deciden interesarse por la ciberseguridad. El programa se ha convertido en un nexo, un lugar central donde los profesionales, desde un licenciado en Telecomunicaciones hasta un auditor, pueden encontrar todo tipo de recursos relacionados con la materia: guías, certificados, acreditaciones… Sobre CSX, me gustaría apuntar que es un proyecto propio de ISACA, aunque en el mismo tienen cabida organizaciones como la Cloud Security Alliance (CSA), el Instituto Nacional de Estándares y Tecnología (NIST) de EEUU, la Agencia Europea para la Seguridad de las Redes y la Información (ENISA), universidades, empresas, etc. De hecho, la colaboración es uno de los pilares en los que se asienta la estrategia S22. El estudio ISACA 2014 APT Survey revela que uno de cada cinco profesionales de seguridad informática ha sido blanco de una amenaza persistente avanzada (APT). Cuando se hace referencia a una crisis de habilidades o talento, ¿debemos interpretar que la misma es global o existen países donde el riesgo es mayor? Yo diría que es global, si bien es cierto que, desde un punto de vista estratégico, hay países más preparados que otros. En el caso de España, y Red Seguridad ha ofrecido cumplida información sobre el
tema, se está avanzando mucho en materia de ciberseguridad y hay un proyecto definido: se ha aprobado una Estrategia Nacional específica, contamos con centros de respuesta a incidentes informáticos –los denominados CERT–, también se está prestando especial atención a la protección de las infraestructuras críticas, etc. Pero cuando hablamos de crisis de talento, nos referimos, además, al empeño de focalizar todos los riesgos en la tecnología, algo lógico por otra parte. Sin embargo, se suele olvidar el factor humano, se deja de hacer hincapié en cuestiones tan relevantes como la cultura, la ética, las capacidades… En una organización deberían preguntarse: ¿Contamos con el personal adecuado para gestionar nuestra infraestructura de firewall o desarrollar una app? Los profesionales, además de estar preparados desde una perspectiva operacional, también lo han de estar éticamente en aras de reforzar la seguridad.
delegado hasta el trabajador que atiende al público en un mostrador. El programa CSX ofrecerá un certificado relacionado con la ciberseguridad. ¿En qué consiste? A diferencia de los otros cuatro certificados de la asociación, el denominado Cybersecurity Fundamentals Certificate está basado, únicamente, en conocimiento. Los solicitantes deben superar un examen y demostrar el dominio de la materia en distintas áreas, desde los principios de la arquitectura de ciberseguridad hasta la adaptación a las tecnologías emergentes. Para finales de este año, esperamos que el mismo también esté disponible online. ¿A qué retos se enfrentan las empresas y los desarrolladores de soluciones de seguridad?
Al hilo de la pregunta anterior, ¿las compañías invierten lo suficiente en ciberseguridad o en esta materia también hay carencias? Intentar garantizar la seguridad al cien por cien requeriría un coste inasumible, casi podría decirse que hablamos de algo imposible o utópico. Pero, afortunadamente, la conciencia es cada vez mayor y el tema de la ciberseguridad llega a los consejos de administración a través de los reportes anuales. En cualquier caso, al margen de lo que invierta cada compañía, creo que falta visión: se protege el correo electrónico o la nube pero no los terminales móviles. En el concepto de protección se han de tener en cuenta todos los vectores. Y esa cultura holística debe calar en la organización, desde el consejero
red seguridad
septiembre 20104
43
asociación entrevista
Sobre todo, a la globalización, aunque, por temas de legislación y regulación, hay que pensar en local. En el caso de España, entre otras, existe la Ley Orgánica de Protección de Datos. Uno de los grandes retos es la privacidad: garantizar los datos de las personas, preservar la propiedad intelectual, etc. Volviendo al inicio de mi respuesta, las empresas de nuestro país tienen una gran oportunidad de expansión en los países de habla hispana. En definitiva, la seguridad es universal y en cualquier lugar se deben afrontar riesgos similares: preservar la identidad de una marca, proteger información, evitar que se robe un diseño industrial… De todas formas, no debemos olvidar que, como escribió Alvin Toffler, vivimos en un permanente estado de futuro. Así que se debe abrir la mente, ya que todo cambia a la velocidad de la luz. Haciendo alusión a otra frase célebre, no deberíamos preguntarnos si vamos a ser atacados, sino cuándo. No quiero parecer pesimista, pero es la realidad… Cada cierto tiempo sale a la palestra un nuevo escándalo relacionado con la ciberseguridad que acapara las portadas de los medios de comunicación. Uno de los más
“No deberíamos preguntarnos si vamos a ser atacados, sino cuándo. No quiero parecer pesimista, pero es la realidad…” recientes ha sido el de la vulnerabilidad Heartbleed. ¿Qué opina de este caso? Me ha parecido terrible, porque ha impactado en un listado de empresas brutal. Y eso me lleva a pensar: ¿qué tipo de auditorías de ciberseguridad llevaban a cabo? Luego, la respuesta que se dio creo que fue la adecuada. ¿Se aprende de este tipo de casos? Sí, claro. Se aprende a base de palos. Sucedió con el robo de información confidencial de tarjetas de crédito de Target. Entonces, hubo quien levantó el teléfono y preguntó: ¿Eso nos puede pasar a nosotros? Es un ejemplo de que debemos estar preparados continuamente, esperar lo inesperado. Si no es mañana será
el mes que viene, pero aparecerá un titular que refleje que una gran compañía, banco, asociación, etc., ha sido objeto de un ciberataque. No queda más remedio que aprender en un mundo caótico y disperso repleto de tecnologías, servidores, nubes, sistemas operativos, aplicaciones… ¿Qué grado de colaboración existe entre las empresas para intentar ordenar ese mundo tan caótico y reforzar su seguridad? La colaboración es necesaria y debe ser público-privada. Y se ha de compartir toda la información disponible sin poner en riesgo, obviamente, los niveles de confidencialidad de cada parte. Y en ISACA nos orgullecemos de organizar foros en los que se promueve la cooperación, vital, por ejemplo, en sectores como el de la sanidad. Mi opinión es que empieza a surgir una conciencia al respecto y que se colabora cada vez más. Al fin y al cabo, debemos protegernos no sólo empresarialmente, sino como sociedad. Durante la entrevista se ha referido a la Estrategia de Ciberseguridad Nacional. ¿Qué importancia le concede a la misma? Es fundamental. Como ciudadano, no puedo sino agradecer que el Estado vele por la seguridad de la sociedad, protegiendo, por ejemplo, las consideradas infraestructuras críticas, ya que un ataque a las mismas podría perjudicar gravemente a los intereses de los ciudadanos. No será una tarea fácil porque hay muchos actores en juego, pero, indudablemente, había que hacer algo, ya que, como a veces digo en mis conferencias, la esperanza no es una buena estrategia. Por lo tanto, es una iniciativa necesaria, impensable hace unos años, que aplaudo.
44
red seguridad
septiembre 20104
caso de éxito
Centros de enseñanza utilizan tecnología IRM para proteger la ventaja competitiva de su innovación La red de centros educativos The New Kids Club utiliza Prot-On como solución IRM (Information Rights Management) para controlar el uso de todas las copias de sus documentos, independientemente de dónde estén, pudiendo decidir en tiempo real quién, cuándo y para qué acceden a ellos.
Tx. y Ft.: Prot-On The New Kids Club (TNCK) es una red de centros de enseñanza franquiciados que, con un enorme esfuerzo tras de sí en innovación de metodología pedagógica, tecnología y procedimientos, está posicionándose como un referente en el desarrollo de servicios de enseñanza de inglés. Su método, “The New Kids Club Method” integra facetas como el refuerzo académico, la ludoteca, las actividades vacacionales durante todo el año, la psicopedagogía, etc., todo ello destinado a niños y niñas de uno a dieciséis años. TNKC nace en Figueres (Girona) en el año 2002 y desde entonces ha logrado que sus alumnos alcancen un nivel de inglés B2 o First Certificate al finalizar la escolarización obligatoria, siendo centros autorizados por la Univ. de Cambridge. Después de haber implantado con éxito durante 2013 su exclusivo modelo educativo en sus primeras franquicias de Zaragoza, Castelldefels (Barcelona), San Cristóbal de la Laguna y Adeje en Tenerife, TNKC duplican su red de centros a partir de septiembre de 2014 con aperturas en San Sebastián de los Reyes (Madrid), Santander, Sevilla y los centros de Badalona y Santa Perpètua de Mogoda en Barcelona. Desde el pasado curso, TNKC está utilizando la solución Prot-On para gestionar la seguridad de toda su documentación, tanto de las funciones administrativas como del material docente utilizado. Dado el alto grado de digitalización de toda su información y de la dispersión inherente al modelo de franquicias, TNKC requiere no sólo una robusta protección de los documentos que comparte en la red, sino también el seguimiento y control de todos sus movimientos.
46
red seguridad
Contribución de Prot-On Prot-On permite a TNKC proteger su documentación estratégica mediante el cifrado de la misma y gestionar en todo momento quién tiene acceso a estos documentos. De modo que, incluso después de haber compartido un archivo, se puede impedir que se vuelva a acceder al mismo o decidir durante qué periodo de tiempo puede utilizarlo. Podrá dar o quitar permiso para modificarlo, imprimirlo, copiarlo, etc., en tiempo real, esté donde esté el documento. Así, la empresa es en todo momento propietaria de la información que comparte: cada vez que un usuario (alumno, profesor, trabajador…) intenta acceder a un documento protegido, Prot-On comprueba si está autorizado para ello y, en ese caso, le da acceso para hacer con ese documento estrictamente lo que está autorizado a hacer. Asimismo, se guardará también un registro de actividad de cada documento quién accedió a él, cuándo, desde dónde y para qué. Los documentos protegidos pueden estar almacenados en los propios dispositivos del usuario (Windows, Mac, Android o iOS) o en la nube, ya que ProtOn es compatible con Dropbox, Box, Google Drive, OwnCloud o SharePoint. Este tipo de soluciones son muy demandados en el ámbito empresarial
septiembre 2014
por compañías como The New Kids Club que quieren proteger la información crítica o estratégica para su negocio respecto a prácticas desleales de empleados, ex empleados, alumnos, etc., que tienen acceso a la información de la compañía desde sus propios dispositivos y que podrían utilizarla ilegítimamente. Prot-On se impone como el estándar entre las soluciones IRM por su excelente combinación de robustez en la protección, su facilidad de uso y gran asequibilidad. Prot-On es gratuito para usuarios particulares que usen funcionalidades básicas. Ésta es también una enorme ventaja cuando las compañías quieren compartir información protegida con usuarios externos, en este caso alumnos. Las empresas pueden utilizar ProtOn en la modalidad SaaS (el servidor es el público de Prot-On) o en on-premises (el servidor es del cliente), y su importe depende del número de usuarios. Así pues, sin implantar costosas herramientas y sin alterar los procesos de trabajo de empleados, las empresas pueden protegerse ante posibles fugas de información que ponen en peligro su propia supervivencia. Las tecnologías IRM de nueva generación ya lo permiten. Y Prot-On es su principal referente.
actualidad tecnológica
evento
8ENISE: La Estrategia de Ciberseguridad Nacional a examen Un año más, y ya son ocho, Inteco cumple con su cita anual reuniendo a los diferentes agentes del sector de la ciberseguridad en torno a la octava edición de ENISE, el Encuentro Internacional de Seguridad de la Información.
Elena Carrera Murciego Departamento de Comunicación del Instituto Nacional de Tecnologías de la Comunicación (Inteco)
Durante los días 28 y 29 de octubre, León acogerá de nuevo a las principales figuras del ámbito de la ciberseguridad, en un espacio para el análisis y la reflexión, en el marco del histórico e incomparable Parador Hostal San Marcos de León. En 2014 hemos contemplado la constitución del Consejo de Ciberseguridad Nacional, liderado por el Consejo de Seguridad Nacional, el cual se creaba a su vez en 2013 y aprobaba la Estrategia de Ciberseguridad Nacional, el 5 de diciembre, con el objetivo principal de responder y prevenir las amenazas, agresiones y riesgos que puedan afectar en el ciberespacio a la seguridad nacional. Por ello este año, sin duda, ha sido muy importante para el mundo de la ciberseguridad en España y el eje central de 8ENISE tenía que ser indiscutiblemente el análisis de la Estrategia, sus implicaciones, pero también sus primeros pasos. Bajo el lema "La Estrategia de Ciberseguridad Nacional a Examen", ENISE promoverá el análisis y reflexión sobre los retos y los avances afrontados por dicha estrategia, incidiendo 48
red seguridad
especialmente en la cooperación público-privada y las oportunidades que ésta representa para el desarrollo de la industria de ciberseguridad en España. Asimismo se revisarán los resultados
el logro de la ciberseguridad nacional, y define el marco de coordinación de la política de ciberseguridad. Su papel vertebrador pretende facilitar la mejor coordinación de todos los agentes e instrumentos relacionados con la ciberseguridad, recogiendo numerosas medidas para ello. En este contexto, se abordarán las implicaciones del decidido impulso a la cooperación entre agentes públicos, y también entre éstos y el sector privado, con el fin de cubrir las necesidades de prevención, defensa, detección, respuesta y recuperación frente a las ciberamenazas. En este sentido, el debate permitirá poner de relevancia la percepción y las necesidades del sector privado, a efectos de facilitar fórmulas de cooperación público-privada eficaces y que resultan esenciales para que la Estrategia de Ciberseguridad Nacional alcance los objetivos previstos. El principal come-
El 8ENISE permitirá poner de relevancia las necesidades del sector privado, a efectos de facilitar fórmulas de cooperación público-privada eficaces del Acuerdo de colaboración entre el Ministerio del Interior y el Ministerio de Industria, Energía y Turismo para la mejora de la lucha contra la ciberdelincuencia y el ciberterrorismo, suscrito en octubre de 2012; las perspectivas generadas por la creación del Mando Conjunto de Ciberdefensa, en febrero de 2013, y los avances en la ejecución de la Agenda Digital para España y su Plan de Confianza en el ámbito digital. La Estrategia no sólo delimita el entorno del ciberespacio, fija principios, objetivos y líneas de acción para
septiembre 2014
tido no es otro que garantizar la adecuada protección del ciberespacio, un entorno que forma parte de nuestra vida cotidiana y que requiere, por tanto, del establecimiento de un clima de confianza. El octavo ENISE pretende además revisar y profundizar en la adecuación de tales líneas de acción ante la aparición de amenazas cada vez más complejas y sofisticadas, así como identificar los aspectos más destacables relativos a la organización y coordinación de las estrategias
actualidad tecnológica
El secretario de Estado de Seguridad, Francisco Martínez Vázquez, y el de Telecomunicaciones y para la Sociedad de la información, Víctor Calvo-Sotelo, durante la inauguración del 7ENISE.
y capacidades disponibles por parte de los diferentes agentes involucrados en la ciberseguridad. 8ENISE arrancará con una sesión inaugural de elevado nivel que pone de manifiesto la apuesta del Gobierno por la ciberseguridad, con la presencia un año más de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información y la Secretaría de Estado de Seguridad. A continuación tendrán lugar las sesiones específicas de trabajo, abordándose en primer lugar los principales avances en la puesta en marcha y desarrollo de la Estrategia de Ciberseguridad Nacional. Las capacidades para la persecución de los ciberdelitos pondrán fin a la primera jornada. La ciberdelincuencia es uno de los ámbitos delictivos de mayor crecimiento durante los últimos años, apoyándose en la facilidad, anonimato y rapidez con el que se pueden realizar los mismos a través de Internet. Diferentes agentes responsables de su investigación y su persecución detallarán de qué modo trabajan y cómo prevén su evolución en su futuro más cercano. Durante el segundo día serán objeto de debate los instrumentos de lucha contra el ciberespionaje, las nuevas amenazas y los riesgos emergentes en la ciberseguridad, así como el ciberespacio como un elemento catalizador de la innovación tecnológica. Desde INTECO se ha conformado para esta nueva edición un programa de carácter eminentemente práctico y profesional, en el que estarán pre-
sentes los organismos e instituciones nacionales e internacionales clave en el desarrollo de la ciberseguridad y en el que se contará con expertos de referencia y a la vanguardia de la innovación en este sector. Estas sesiones profesionales serán completadas en paralelo con otras iniciativas transversales de interés. Así, se ha organizado junto al CNPIC (Centro Nacional de Protección de Infraestructuras Críticas), por segundo año consecutivo, el encuentro de trabajo de operadores de infraestructuras críticas, se realizará también una presentación de los ciberejercicios 2014 y tendrá lugar la conferencia final del proyecto europeo ASASEC. CyberCamp Permítannos que aprovechemos además esta ocasión que nos brinda
evento
la editorial Borrmart para hablarles del evento CyberCamp, que tendrá lugar del 5 al 7 de diciembre en Madrid y que nace con el objetivo de promover el talento y el interés en la ciberseguridad entre los jóvenes, así como acercar este ámbito a las familias. La organización del evento se enmarca en el eje 5 del Plan de Confianza en el ámbito Digital “Programa de Excelencia en Ciberseguridad”, dentro de la Agenda Digital de España. CyberCamp es un evento complementario que se construye sobre el ecosistema actual de eventos de confianza digital, y en un modelo de colaboración público-privada con los principales agentes en ciberseguridad. Se ha diseñado a través de un proceso abierto y transparente considerando los intereses y motivaciones de los jóvenes con perfil técnico. Diversos incentivos tales como oportunidades laborales e itinerarios formativos, motivarán a los participantes a través de conferencias internacionales, encuentros con expertos, retos, talleres técnicos y de habilidades emprendedoras o pruebas prácticas, entre otros, sin olvidar que todo se desarrollará en un entorno de encuentro para compartir experiencias entre estudiantes, profesionales y gurús de la ciberseguridad. La captación de talento para CyberCamp se llevará a cabo previamente mediante diferentes pruebas técnicas y retos online, con el fin de conseguir a los mejores participantes en materia de ciberseguridad. Y como no hay esfuerzo sin recompensa, los mejores serán premiados.
red seguridad
septiembre 2014
49
infraestructuras críticas opinión
SCADA LAB, promoviendo la ciberseguridad en sistemas de control industrial
Servicio de Ciberseguridad del CNPIC
El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), entre las funciones que tiene encomendadas, tiene como misión impulsar la investigación, el desarrollo y la innovación de aquellas iniciativas que pudieran resultar en un beneficio directo o indirecto a los operadores que gestionan infraestructuras que proporcionen servicios esenciales. Entre estas iniciativas, se encuentra la participación en proyectos cofinanciados dentro de los programas marco nacionales y europeos en curso. Uno de los programas europeos más directamente relacionados con la protección de las infraestructuras críticas es el conocido como Programa CIPS (formalmente The Prevention, Preparedness and Consequence Management of Terrorism and other Security-related Risks Program), en el que el CNPIC participa activamente en las figuras de “advisory boar” y “partne” en proyectos en curso como SCADA LAB (www.scadalab.eu) y CIISC-T2 (www.ciisct2), y otros proyectos ya finalizados, como CloudCERT (cloudcert. european-project.eu). Como bien es conocido, los sistemas encargados de monitorizar y/o controlar de forma centralizada y en tiempo real un determinado proceso industrial es lo que definimos como sistemas SCADA. Un sistema de este tipo podría ser el que controla, por ejemplo, la gestión de la distribución de energía eléctrica en una determinada región.
50
red seguridad
Estos sistemas, diseñados en origen para trabajar en entornos aislados, toman datos de múltiples sensores y actúan sobre equipos remotos como válvulas o bombas, por lo que son muy utilizados en la industria para controlar los procesos. Inicialmente diseñados para mejorar la funcionalidad, son equipos altamente redundados y muy robustos. Los SCADA contienen servidores y aplicaciones que realizan funciones clave en los procesos industriales, y, por tanto, están presentes en las Infraestructuras Críticas y estratégicas en cuanto a que potencialmente controlan la manera en que se prestan algunos de los servicios esenciales que la sociedad demanda. Al basarse estos sistemas en las tecnologías de la información y las comunicaciones, se requiere una especial atención en su protección, dada la variedad de amenazas existentes en el ciberespacio. Por otro lado, y debido a los largos plazos de amortización de las infraestructuras que proporcionan estos servicios esenciales, hacen que las tecnologías sobre las que descansa el control de los procesos de producción estén potencialmente basadas en sistemas propietarios y obsoletos. Cuando los operadores de estas infraestructuras desarrollan sistemas complementarios y más avanzados de supervisión de los procesos de
septiembre 2014
producción, en ocasiones este hecho se sustancia mediante una conexión física entre las redes corporativas y las redes industriales. Si esta conexión no lleva asociada una adecuada implementación de sistemas de seguridad de la información que impidan de manera razonable la intrusión en esos sistemas, la continuidad de los servicios que prestan estos operadores podría verse comprometida. SCADA más seguros Al objeto de definir y aumentar las medidas de protección de este tipo de sistemas, que tradicionalmente han priorizado garantizar la disponibilidad del servicio frente a la seguridad, se está llevando a cabo una iniciativa de gran impacto, SCADA LAB (SCADA Laboratory and test bed as a service for Critical Infrastructure Protection), el cual es un proyecto cuyo consorcio está liderado por el Instituto Nacional de Tecnologías de la Comunicación (Inteco) y formado por entidades como AEI Seguridad, Everis, Europe For Business, Telvent Energía, Telvent Global Services, Zanasi & Partners, NISZ y el CNPIC. El objetivo principal del proyecto es la realización, de forma remota, de evaluaciones de seguridad en entornos basados en sistemas de control industrial, pudiéndose llevar a cabo tanto en entornos en producción como simulados, y teniendo en
infraestructuras críticas
opinión
El objetivo principal del proyecto SCADA LAb es la realización de evaluaciones de seguridad en entornos basados en sistemas de control industrial
cuenta que una evaluación de este tipo en un entorno real podría resultar en una interrupción del servicio prestado. Las actividades principales del proyecto son: a) Diseño de una metodología de pruebas que recoja todos los pasos necesarios para llevar a cabo una evaluación remota de seguridad sobre entornos industriales. b) Implementación de un laboratorio que proporcione la arquitectura necesaria para lanzar pruebas de seguridad y genere informes con los resultados obtenidos de forma automática. c) Implementación de un banco de pruebas (test bed) que albergue un sistema de control industrial objeto de evaluación, tipo SCADA, incluyendo aplicaciones de control, automatización y supervisión, así como, dispositivos de campo, PLC, etc. d) Desarrollo de un asistente que permita guiar al operador de la infraestructura crítica a lo largo de todo el proceso de evaluación. Esta iniciativa va más allá del mero análisis de funcionalidades de las soluciones de seguridad específicas de las tecnologías industriales, ya que permite probarlas en un modelo realista análogo a un entorno en producción. Esto permite conocer las limitaciones de un producto antes de considerarlo como una posible solución, o garantizar que proporciona determinadas funcionalidades de seguridad. El diseño del SCADA LAB se divide técnicamente en dos áreas: el laboratorio (Laboratory Area) y el banco de pruebas (Test Bed Area). El área de laboratorio gestiona la planificación de las pruebas y el banco de pruebas es el entorno que se evalúa y el contexto donde se llevan a cabo las pruebas. Además, en la implementación de la arquitectura se utiliza un agente, de manera que las pruebas de seguridad
se puedan lanzar sobre los bancos de pruebas tanto en un entorno local como remoto, a través de redes tuneladas. Tres niveles Por otro lado, el área del banco de pruebas se ha diseñado con el objetivo de buscar una fiel aproximación a los entornos reales que serán el objetivo de la evaluación. Por este motivo, el banco de pruebas incluye los tres niveles que conforman la arquitectura básica de un sistema de control industrial, desde las entidades de más alto nivel en la jerarquía SCADA, hasta los elementos más básicos en la zona de camp): a) Nivel de Campo y Control: Este primer nivel contiene, por un lado, los dispositivos que gestionan los sensores y actuadores finales, tales como PLC, IED o RTU. Estos dispositivos permiten a los sensores y actuadores operar juntos para llevar a cabo el proceso de fabricación definido. Por otro lado, contiene los sensores (elementos de medición) y actuadores (elementos de acción) finales. b) Nivel de Comunicación: El segundo nivel se refiere a la interfaz de comunicación entre los dispositivos de campo y control y el nivel de supervisión.
c) Nivel de Supervisión: Este último nivel abarca todos los elementos que permiten el control y la monitorización de los dispositivos del nivel de campo y control. Este nivel incluy: servidores SCADA, estaciones de trabajo de monitorización, servidores OPC, servidores de datos, etc. De esta manera, el laboratorio permite a proveedores de soluciones de seguridad y a fabricantes de sistemas de control, automatización y supervisión industrial, validar conjuntamente la correcta integración e interoperabilidad de las soluciones de seguridad TIC con aplicativos y soluciones concretas de informática industrial. Por último, destacar que la utilización de esta arquitectura permite disponer de un modelo realista de trabajo, y la garantía de que no habrá daños colaterales sobre la infraestructura original. Del mismo modo, se facilita el correcto proceso de una evaluación de seguridad, ya que se reducen los elementos de riesgo propios de una infraestructura original pudiendo probar de forma empírica y en tiempo real las distintas configuraciones para obtener diferentes valoraciones de seguridad.
red seguridad
septiembre 2014
51
caso de éxito
Telefónica Global Technology consolida la seguridad de sus CPD europeos con Fortinet En abril de 2013, Telefónica inauguró en el Parque Científico y Tecnológico de Alcalá de Henares (TecnoAlcalá), el mayor centro de datos del mundo con la calificación Tier IV Gold del Uptime Institute que le posiciona como el primer CPD de Europa en eficiencia TI. Desde esta instalación, la compañía ofrece servicios de computación en la nube y de procesamiento masivo para todo tipo de empresas, aloja las plataformas de los clientes de la firma y otros sistemas e infraestructuras TI internas, éstas propiedad de Telefónica Global Technology (TGT), la división global de Telefónica encargada de los sistemas y comunicaciones internos entre las compañías del grupo. Tx: y Ft: Fortinet. Como consecuencia de un proceso de optimización operativa y de costes, la compañía decidió consolidar sus principales cuatro Data Centers de Europa (España, Reino Unido, Alemania y, en aquel entonces, República Checa) y el Data Center de Telefónica Corporativo, en un único espacio, el nuevo Data Center de Alcalá. Se trataba de un ambicioso proyecto que comprendía networking, servidores, almacenamiento, etc., y también seguridad, que incluía a su vez una completa solución de firewall. Para llevar a cabo la selección de esta última, la compañía evaluó diferentes opciones de fabricantes de firewall, quedando en la shorlist Fortinet y CheckPoint. Tras un exigente proceso de selección, Telefónica adjudicó el proyecto de firewall de su nuevo Data Center a Fortinet. Para la toma de esta decisión, TGT valoró que, además de cumplir con todos los requisitos de alto rendimiento, escalabilidad, virtualización, facilidad de uso y reporting, la oferta de Fortinet ofrecía una inmejorable relación precio-rendimiento. La ejecución del proyecto fue adjudicada a Telefónica Soluciones, compañía perteneciente al Grupo Telefónica y partner Gold de Fortinet. Se ha contemplado una compleja arquitectura lógica para la que se hace muy apropiado el uso de las capacidades de virtualización de FortiGate (VDOM),
52
red seguridad
ya que uno de los requisitos era separar y proteger las diferentes zonas de seguridad dentro del centro de datos. Gracias a ella, sobre una misma plataforma física se pueden habilitar de manera muy sencilla y rápida entornos virtuales, completamente independientes unos de otros, que proporcionen funciones de seguridad totalmente configurables por separado. El alcance del proyecto se resume en cinco Data Center equipados cada uno con cuatro chasis FortiGate5060DC para formar dos clústeres geográficamente separados entre el Alcalá Data Center (Clúster principal) y el Data Center de Julián Camarillo en Madrid (Clúster de respaldo), cada uno de los chasis equipados inicialmente con un blade FortiGate-5001B y con la posibilidad de incrementar varias veces su capacidad inicial mediante la simple adición de nuevas tarjetas. Internamente, en cada clúster se han configurado Virtual Domains para dar servicio a firewalls virtuales de Front End, Back End, Intranet y otros. En total, Fortinet ha equipado 18 clústeres con chasis FortiGate-5060DC y 18 blades FortiGate-5001B. Así, Telefónica se asegura que en cualquier momento podrá incorporar nuevas funcionalidades de seguridad en el proyecto. Para la administración y el reporting centralizado se han implementado dos FortiManager-3000C y dos FortiAnalyzer-4000B. La compañía tiene previsto aumentar la infraestruc-
septiembre 2014
tura física (blades) y lógica (VDOM) en sucesivas fases del proyecto. El FortiManager permite simplificar drásticamente las tareas de administración de los numerosos firewalls físicos y virtuales configurados en la solución, al centralizar en una sola consola todas las tareas de gestión de políticas y configuraciones. FortiAnalyzer, por su parte, no sólo permite recoger y almacenar logs de los eventos que TGT desee, sino que además proporciona capacidades de generación de informes de todo tipo, de manera flexible y sencilla. Ambas plataformas permiten la creación de entornos virtualizados de administración y de gestión de informes, con los que poder formar, por ejemplo, jerarquías de administración o delegar funciones de administración o capacidades de visualización o generación de informes. El alto nivel de satisfacción de TGT con el rendimiento ofrecido por los equipos Fortinet ha llevado a la compañía a planificar la ampliación de su capacidad en cuanto al número de entornos virtuales en funcionamiento y a plantearse la posibilidad de activar alguna de las funcionalidades adicionales disponibles en las plataformas. “Este proyecto demuestra la confianza depositada por Telefónica en la tecnología Fortinet. Es el primer paso en el desarrollo de una plataforma que seguirá creciendo a medida que se aprovechen las capacidades de los dispositivos Fortinet”, señaló Acacio Martín, director general de Fortinet Iberia.
al servicio de la seguridad Socios Protectores:
www.fundacionborreda.org
empresa
noticias Everis participa en el proyecto CAMINO para definir la hoja de ruta contra el cibercrimen y el ciberterrorismo La
Everis aeroespacial y forma parte del consorcio de empresas europeas que trabajan en el proyecto CAMINO (por sus siglas en inglés, Comprehensive Approach to cyber roadMap coordINation and develOpment), que contribuirá a definir las líneas de investigación en ciberseguridad y ciberterrorismo en Europa en los próximos dos años. Con un presupuesto de 1,2 millones de euros, la iniciativa tiene dos propósitos principales: desarrollar una agenda exhaustiva de investigación en cibercrimen y ciberterrorismo, e iniciar actividades a largo plazo para proveer una plataforma estable que cuente con expertos y organizaciones de investigación en ciberseguridad. Para ello, el proyecto, liderado por ITTI (Polonia), se apoya en un consorcio de diez empresas europeas con diferentes perfiles que responden a cuatro pilares principales: éticos, tecnológicos, organizativos y legales. división
defensa
Por su parte, la labor de Everis Aeroespacial y Defensa será identificar posibles carencias y desafíos a partir del análisis de las directrices, hojas de ruta y estrategias de ciberseguridad existentes con el fin de completarlas; así como seleccionar soluciones prometedoras de la investigación actual para potenciar su ejecución. Además, realizará un análisis de riesgos sobre activos que se han de proteger en Europa identificando amenazas, vulnerabilidades y una revisión del estado del arte de capacidades tecnológicas que deben ser potenciadas. Por último, llevará a cabo una serie de entrevistas con expertos para completar los estudios y análisis realizados sobre la situación de la ciberseguridad en Europa; y completará el estudio de tecnologías con un análisis de los aspectos éticoshumanos, organizacionales y regulatorios actuales que se aplican en el campo de la ciberseguridad.
Apple e IBM firman un acuerdo mundial para transformar la movilidad empresarial Redefinir el modo en que se trabaja en las organizaciones, solucionando los principales retos empresariales e impulsando un cambio basado en la movilidad. Con este objetivo Apple e IBM ha anunciado la firma de un acuerdo de colaboración mundial que se sustenta en cuatro pilares principales: el desarrollo para iPhone e iPad de más de un centenar de aplicaciones específicamente orientadas al entorno empresarial bajo la plataforma IBM MobileFirst para iOS; la optimización de los servicios cloud de IBM para iOS, incluyendo gestión de dispositivos a gran escala, seguridad, analítica e integración móvil; la creación de un nuevo servicio y soporte denominado AppleCare y adaptado a las necesidades de cada empresa; y la comercialización de nuevas propuestas empaquetadas de IBM para la activación de dispositivos, suministro y gestión. Según Tim Cook, CEO de Apple, “por primera vez estamos poniendo las prestigiosas capacidades de big data 54
red seguridad
y analítica de IBM en las manos de los usuarios de iOS, lo que abre una gran oportunidad de negocio para Apple”. Por su parte, Ginni Rometty, presidenta y CEO de IBM, señala: "Esta alianza impulsará de forma definitiva la introducción global de estas innovaciones en nuestros clientes y aprovecha el liderazgo de IBM en analítica, cloud, software y servicios". De esta forma, la alianza une las capacidades tecnológicas de IBM, con más de cien mil consultores en distintas industrias, con la experiencia de usuario e integración de Apple.
septiembre 2014
Red Hat adquiere la empresa eNovance La compañía Red Hat ha acordado la adquisición del proveedor de servicios de cloud computing open source eNovance por un importe que ronda los 50 millones de euros en efectivo y 20 millones de euros en acciones ordinarias de Red Hat. La relación entre ambas empresas se remonta al año pasado, cuando se asociaron para ofrecer servicios de implementación e integración de OpenStack para las organizaciones. Ahora, con esta adquisición, Red Hat quiere satisfacer la creciente demanda de consultoría, diseño y despliegue empresarial de OpenStack incorporando las capacidades de integración de sistemas y el talento técnico de eNovance.
Trend Micro presenta su nuevo programa de canal Trend Micro Partner Program es el nombre del nuevo programa de canal que acaba de anunciar la compañía y cuyo objetivo es incrementar aún más la productividad y rentabilidad de sus más de 50.000 socios de canal en el mundo. Tiene la particularidad de que combina los elementos clave de sus programas de partners regionales con el de Norteamérica para ofrecer ahora uno nuevo y alineado en el ámbito global. El programa, cuya implementación se completará durante el primer trimestre de 2015, incluye una estructura de compensación mejorada y una segmentación de partners claramente definida; una organización de los distribuidores estandarizada por niveles; y equipos de consultores expertos dedicados a identificar, desarrollar y asegurar nuevas oportunidades de negocio con los socios.
empresa
noticias
Panda Security lanza un nuevo servicio que asegura todas las aplicaciones ejecutadas Panda Security anunció en junio el lanzamiento de Panda Advanced Protection Service (PAPS), un nuevo servicio de la compañía española de ciberseguridad "que muestra el camino hacia el que debería dirigirse la industria”. Así lo transmitió Diego Navarrete, CEO de la empresa, en un acto para la prensa internacional celebrado en Madrid. PASP es un servicio para el control de aplicaciones enfocado a grandes usuarios, que rompe con el tradicional sistema de detección de software maligno basado en listas negras. Según explicó Navarrete, esta solución plantea un modelo en el que se pasa "de un modelo enfocado casi exclusivamente en técnicas de detección de lo que es malo o sospechoso, a otro centrado en asegurar la clasificación y seguridad de todo lo que se ejecuta, aunque no haya saltado ninguna alerta en los algoritmos de detección". Este servicio "reduce prácticamente a cero la posibilidad de que el malware no sea descubierto", afirmó el CEO de Panda, y "clasifica todo lo que se intenta ejecutar y continúa monitorizando todas
mente toda la actividad de las aplicaciones en los endpoint y permite obtener una trazabilidad completa de dicha actividad". "En estos momentos, ningún proveedor de la industria del software de protección cuenta con una herramienta similar", apostilló.
Diego Navarrete, CEO de Panda Security.
las acciones realizadas por las aplicaciones para proteger también contra posibles ataques a vulnerabilidades de aplicaciones legítimas". Por su parte, Josu Franco, vicepresidente de Desarrollo de Negocio Corporativo de Panda, explicó que PASP "clasifica y monitoriza continua-
Resultados probados El nuevo servicio es el resultado de dos años de trabajo de investigación, desarrollo y ensayos de la compañía española, que ya ha probado la eficacia de esta herramienta en clientes como Eulen o Mecalux. También ha complementado soluciones de partners, como es el caso del Centro de Operaciones de Ciberseguridad de Indra. "Los partners son una pieza clave en la estrategia de PASP, puesto que atienden a las necesidades de ciberseguridad global de los clientes corporativos. Por ello, creemos que PASP les ofrece una excelente oportunidad para satisfacer las demandas de aquellos clientes preocupados por el riesgo que corren sus datos y su capital intelectual ante ataques dirigidos", aseguró Franco.
BREVES Solución de F5 para el APC de Cisco
ESET celebra el III Security Forum
F5 Networks ha anunciado una solución para Cisco Application Policy Infrastructure Controller (APIC) que permite a los clientes con dispositivos de F5 desplegar servicios de aplicación basados en políticas en las capas 2-7 de red. De esta manera, quienes utilicen tecnologías de Cisco y F5 de forma conjunta podrán reducir los costes de operación manteniendo los mismos niveles de seguridad, disponibilidad y rendimiento.
El derecho al olvido, la ciberguerra, el ciberacoso y las bitcoines han sido los ejes principales sobre los que giró el debate durante la III ESET Security Forum, una jornada que periódicamente celebra el fabricante y que contó con representantes de Inteco, la Guardia Civil o la Asociación Nacional de Ciberseguridad y Pericia Tecnológica (ANCITE), entre otros.
Nueva división de seguridad de Avnet Avnet Technology Solutions, mayorista global de soluciones TI y grupo operativo de Avnet, ha anunciado el lanzamiento de una división en EMEA: Avnet Security & Networking Solutions (ASNS). Su cometido será ayudar a impulsar aún más su porfolio de soluciones y servicios de seguridad y networking.
HP Atalla HP ha lanzado las nuevas soluciones HP Atalla, dirigidas a organizaciones que necesitan proteger su información confidencial, como instituciones financieras, energéticas, distribuidores, proveedores de atención sanitaria o gobiernos. Su finalidad es proporcionar protección a la información almacenada de forma local o en la nube, así como para datos no estructurados como correos confidenciales, facturas o historiales médicos electrónicos.
'Malware' desconocido Kaspersky Lab ha hecho pública una investigación que revela la existencia de una infraestructura internacional utilizada para controlar de manera remota implantaciones de malware y que también ha permitido identificar troyanos móviles para Android e iOS hasta ahora desconocidos. Según la compañía, estos módulos forman parte de una solución “supuestamente legal”, llamada Remote Control System (RSC), también conocida como Galileo, y desarrollada por la compañía italiana Hacking Team.
Las pérdidas causadas por el cibercrimen Sogeti, en colaboración con IBM, ha publicado el libro Staying ahead in the Cyber Security Game, en el que se describen las amenazas, los cambios y los desafíos en materia de seguridad a los que se enfrentan las empresas. En él se estima que el daño total causado por el cibercrimen ronda los 500.000 millones de dólares.
red seguridad
septiembre 2014
55
empresa
noticias
nombramientos Javier J. Corrales Responsable de Desarrollo de Negocio de S2 Grupo Este ingeniero de Telecomunicaciones por la Universidad Politécnica de Madrid se incorpora a la empresa española especializada en ciberseguridad S2 Grupo proveniente de Verizon, con el objetivo de reforzar el posicionamiento de la compañía en España, Colombia, Rumanía y México.
Albert Puigsech Gerente de la oficina de Barcelona de EY La compañía refuerza su división de Seguridad de la Información, dentro del Área de Consultoría, con la incorporación de Puigsech como gerente de la oficina de Barcelona. Su objetivo será impulsar en los clientes los servicios de TI como proyectos de Penetration Testing, Vulnerability Assessment Web Application Security Analysis, Hacking Ético o servicios de análisis forense en el entorno informático, entre otros.
Álvaro Barge Director de TI de Brightstar 20:20 Mobile El distribuidor especializado en telefonía móvil Brightstar 20:20 Mobile ha anunciado el nombramiento de Álvaro Barge como nuevo director de Tecnología, en sustitución de César Colado, que asume responsabilidades europeas. Barge, ingeniero de telecomunicaciones, tendrá como objetivo liderar los procesos de calidad y de desarrollo de soluciones personalizadas para los clientes de la empresa.
ESTUDIOS Ciberataques disruptivos Según un estudio de BT presentado recientemente, los ciberataques disruptivos son cada vez más eficaces a la hora de traspasar las defensas de seguridad, causando graves trastornos y a veces dejando a las empresas y organismos públicos inoperativos durante jornadas enteras. Esta investigación revela que el 41 por ciento de las organizaciones de todo el mundo se vieron afectadas por los ataques distribuidos de denegación de servicio (DDoS) en el último año, y tres cuartas partes de ellas (78 por ciento) lo sufrieron dos o más veces en ese mismo año. De ahí la inquietud a escala global de las firmas consultadas, pues un 58 por ciento de las cuales considera esto un asunto clave.
Razones por las que tienen éxito los ciberataques Check Point ha anunciado los resultados de una encuesta que muestra que las razones del creciente número de ciberataques exitosos estarían motivadas por el aumento progresivo en la sofisticación del malware, así como por la falta de inteligencia acerca de las nuevas amenazas. El documento también revela que el 31 por ciento de los encuestados destacó que su empresa había sufrido hasta 20 ataques con éxito en los últimos doce meses, mientras que el 34 por ciento no pudo decir con exactitud cuántos ataques habían sido realizados.
'Malware' para móviles McAfee reorganiza su estructura interna en España para integrar el porfolio y el equipo de StoneSoft Coincidiendo con el aniversario de la adquisición de Stonesoft por parte de McAfee, María Campos, actual responsable en España del área Network de la compañía, ha dado a conocer el estado de la integración de ambas empresas. Según la directiva, el proceso ha destacado por su rapidez. “Al principio era una incógnita saber cómo se iba a llevar a cabo, pero se ha producido a una velocidad asombrosa. El primer día de este año ya había finalizado”. Fruto de este proceso, la compañía se estructura ahora en dos áreas: Endpoint, que engloba la actividad tradicional de McAfee; y Network, que desarrolla la estrategia de la compañía en el entorno de la seguridad de red. Es en esta última pata donde ha empezado a trabajar el equipo comercial que provenía de Stonesoft. “El hecho de presentarnos ahora como McAfee, una marca de Intel Security, nos está 56
red seguridad
abriendo puertas”, comenta Campos. “Además, tenemos más potencia de cara al cliente, puesto que contamos con la capacidad de vender bastantes más productos que antes”, añade. La directiva reconoce que tienen a su disposición más recursos que antes. El objetivo ahora es, en palabras de Campos, “ir a la base instalada de clientes de McAfee para presentar la nueva división y sus soluciones”, cuyo núcleo más importante dentro del entorno de seguridad de red es Next Generation Firewall (NGF). Es más, están empezando a observar una tendencia de crecimiento positiva del área Network durante el segundo trimestre del año, con una distribución del 70 por ciento en venta nueva y del 30 por ciento en renovaciones, lo que, para la directiva, supone un “crecimiento saludable”. El objetivo es “crecer dos veces la media de crecimiento del mercado”, concluye.
septiembre 2014
En su Informe de amenazas: junio de 2014, McAfee Labs revela las nuevas tácticas de malware para dispositivos móviles que se basan en el abuso de la popularidad, características y vulnerabilidades de aplicaciones y servicios legítimos para llevar a cabo sus ataques. Por ejemplo, estos laboratorios han descubierto que el 79 por ciento de los clones del juego Flappy Birds contenían malware, a través del cual los cibercriminales eran capaces de hacer llamadas sin el permiso del usuario, instalar aplicaciones adicionales, extraer información de la lista de contactos, rastrear localizaciones, etc.
Más privacidad, pero sin tomar medidas EMC ha presentado el primer estudio mundial sobre las actitudes de los internautas respecto a su privacidad en la Red, denominado Privacy Index, realizado a 15.000 usuarios de 15 países con resultados curiosos. Por ejemplo, el 73 por ciento de ellos no está dispuesto a sacrificar su privacidad a cambio de más beneficios en la red; sin embargo, el 62 por ciento no cambia sus contraseñas con asiduidad. Asimismo, más de la mitad declara haber sufrido una brecha de seguridad, pero gran parte no está tomando medidas para protegerse.
empresa
La UC3M potencia la ciberseguridad La institución, junto con Indra, crea una cátedra para impulsar el desarrollo de proyectos conjuntos de I+D+i, así como programas formativos en seguridad.
De izquierda a derecha, José Luis Angoso, director de Innovación y Alianzas de Indra; Daniel Peña, rector de la Universidad Carlos III de Madrid; y Ascensio Chazarra, director de Ciberseguridad de Indra, durante la firma del convenio.
La universidad Carlos III de Madrid (UC3M) e Indra han creado la Cátedra de Ciberseguridad, con la idea de fomentar el desarrollo de proyectos y programas de investigación e innovación científica y tecnológica en el ámbito de la ciberseguridad y la ciberinteligencia. En concreto, ambas instituciones trabajarán conjuntamente en el desarrollo de nuevos conceptos, algoritmos y prototipos orientados a la detección y mitigación temprana de amenazas persistentes avanzadas (APT), las más complejas y difíciles de detectar, así
como en la gestión de dinámica de riesgos. También está previsto que investiguen nuevos métodos para compartir información de ciberseguridad y para mejorar el entrenamiento y experimentación en esta materia a través de la simulación. Además de la actividad de I+D+i, el acuerdo contempla el asesoramiento mutuo de ambas entidades, así como el desarrollo de programas formativos y de actividades de promoción y divulgación de la cultura científica y los avances tecnológicos en el ámbito objeto de la cátedra.
noticias
Bull y PrimeKey fortalecen la seguridad de los datos corporativos El fabricante de tecnología Bull y el proveedor de infraestructura de clave pública (PKI) PrimeKey se han unido para mejorar la seguridad de los datos mediante la integración de la gestión de claves del segundo con un módulo criptográfico del primero. Así, gracias a este acuerdo, la plataforma de nueva generación TrustWay Proteccio HSM (Hardware Security Module) de Bull se integra con EJBCA, la oferta PKI de PrimeKey. Esta solución garantiza la generación y almacenamiento de claves en el módulo criptográfico TrustWay Proteccio. Además, cumple con los más altos estándares de certificación, incluyendo Common Criteria EAL4 + y FIPS 140-2 Nivel 3. Según Philippe Duluc, vicepresidente de la División de Seguridad de Bull, "este acuerdo permitirá a las organizaciones que utilizan EJBCA PrimeKey responder a las amenazas de seguridad y los requisitos de cumplimiento de hoy y de mañana". Así las empresas pueden asegurar sus procesos críticos de forma transparente en sus operaciones.
CyberSource y Amadeus se asocian para optimizar las operaciones de detección de fraude a través de los canales de reservas de viajes El proveedor de sistemas de pago virtual perteneciente a Visa, CyberSource, y la compañía tecnológica especializada en la industria de viajes, Amadeus, han formalizado una alianza estratégica internacional con el fin de ofrecer una solución de reserva de viajes integrada y de detección de fraude a las aerolíneas, las agencias de viajes y otras empresas del sector a escala mundial. Esta solución incorpora un sistema de gestión contra el fraude, denominado Decision Manager, en la plataforma de pagos de viajes de Amadeus (Amadeus Payment Platform, APP). De esta forma, Decision Manager puede ayudar a las compañías del sector a aceptar más reservas legítimas, al tiempo que identifican las transacciones potencialmente fraudulentas y rebajan los costes operativos. Según ambas compañías, esta solución combinada ayudará a las empresas de turismo de todo el mundo a maximizar sus ingresos, reducir costes y mejorar la experiencia de pago de los clientes a través de múltiples canales, como Internet, móvil, presencial o centros de llamadas. En palabras de Celia Pereiro, Head of Travel Payments en Amadeus, este acuerdo ofrecerá a sus clientes "una solución de pago de viajes con protección contra el fraude personalizada y mejorada, lo que les ayudará a optimizar sus operaciones de negocio y a optimizar las tasas de aceptación, facilitando a los consumidores un proceso de pago más ágil".
red seguridad
septiembre 2014
57
empresa entrevista
Emmanuel Roeseler
Director de Sistemas y Tecnología de Seguridad de IBM España, Portugal, Grecia e Israel
Tras la creación de su División de Sistemas de Seguridad en 2011, IBM ha desarrollado
“Actualmente, hace falta dar un servicio prácticamente en tiempo real para proteger al cliente”
un modelo propio de protección para sus clientes, en el que la "seguridad inteligente" es la "piedra angular". Emmanuel Roeseler, responsable de la división, explica este concepto enfocado a mejorar la toma de decisiones, así como la aportación de Trusteer -empresa adquirida por IBM el año pasado- para reforzar las capacidades del Gigante Azul frente al fraude bancario.
58
red seguridad
Tx.: Enrique González Herrero. Ft.: IBM.
En octubre de 2011, IBM puso en marcha la División de Sistemas de Seguridad. ¿Cómo ha evolucionado esta área desde que se creó? Cuando arrancamos la división no partimos de cero, sino que lo hicimos sobre una tecnología ya existente, que estaba probada en el mercado y que procedía de los laboratorios de IBM o de las empresas que hemos adquirido. Estamos hablando de tecnología que existe desde hace entre cinco y diez años. Esto ha sido clave para el éxito de la división a nivel mundial. El entramado se compone de seguridad de las personas, las aplicaciones, los datos y la infraestructura. En IBM pensamos que es importante ver esas cuatro dimensiones ante cualquier reto que se le plantee a un departamento de seguridad. Pero la piedra angular del arranque de la división fue una capa nueva que está por encima de estas dimensiones, la seguridad inteli-
septiembre 20104
gente. De lo que se trata con ella es de contemplar esas cuatro dimensiones al mismo tiempo y aprovechar todos los datos que se generan para tomar mejores decisiones. Dentro de ese framework, hubo un punto nuevo en agosto del año pasado con la compra de Trusteer. Con ella se abordó el llamado fraude avanzado, que añadimos a la capa de seguridad inteligente. Sirve en el caso de una empresa con un sistema maduro, que tiene en cuenta las cuatro dimensiones de las que hablaba y una capa de seguridad inteligente, pero aún así necesita proteger todavía más algunas puertas que no se controlan; es decir, los clientes y los empleados que acceden a las redes corporativas desde sus propios dispositivos. Si habláramos, por ejemplo, de la banca electrónica, hay que tener en cuenta que, aunque un banco tenga toda su seguridad controlada, puede que el cliente tenga un malware en su dispositivo y se cuele en la red cuando accede a los servicios de la entidad. En ese caso, primero
empresa
entrevista
“Nuestra idea es seguir desarrollando soluciones dentro de IBM, pero también mirar en el mercado las empresas que pueden añadir valor a nuestro porfolio”
avisamos al banco de que el usuario tiene el dispositivo infectado y, como servicio de valor, permitimos que el cliente se descargue un antimalware que limpie el dispositivo. Pensamos aplicar este modelo también al comercio electrónico. Con esta capa de protección ante el fraude avanzado hemos conseguido una mejor integración entre las distintas dimensiones que comentaba. Con ello, nuestro departamento de X-Force ha visto incrementado su potencial de actuación, porque recordemos que Trusteer posee más de 200 investigadores dedicados a ello. ¿En qué consiste el concepto de "seguridad inteligente" que menciona y cómo ayuda a las empresas? La forma tradicional de ver la seguridad consistía en detectar una vulnerabilidad y comprar una solución para protegerse de ella. Pero esto ya no es viable. Ahora hay oportunidades de negocio que abren ventanas hacia afuera, como por ejemplo las redes sociales, por lo que el departamento de seguridad necesita entender lo que está haciendo la empresa. La seguridad inteligente sirve para tener visibilidad. Cuando un director de seguridad ve que otras empresas están siendo atacadas, se preguntará si eso mismo le puede pasar a su compañía. Pero si no tiene una herramienta que le permita comprobar si existe dicha vulnerabilidad, tiene un problema. Es necesario que pueda saber rápidamente si su negocio está protegido o no. La capa inteligente es el gestor de seguridad que le permitirá despejar esa duda. En segundo lugar, esa visibilidad permite tener el control e incluso conocer qué puede hacer un malware si entra en el sistema, cuáles son los puntos de entrada y las vulnerabilidades.
Lo tercero es que permite la automatización, porque el departamento de seguridad no es ajeno a todo lo que sucede fuera. Tener sistemas de seguridad inteligente de primera generación reduce el número de eventos que suceden en la compañía. Como cada vez se generan más datos, hay empresas que registran hasta mil eventos diarios. Controlar eso es inviable, hay que reducir el número de eventos a lo mínimo, a los más importantes. La división que dirige se conformó a través de la compra de varias compañías, entre ellas Trusteer. ¿Va a continuar IBM con esa política de adquisiciones en los próximos años? No hay nada que indique que vayamos a hacer las cosas de distinta manera. La idea es seguir desarrollando soluciones dentro de IBM, pero también mirar en el mercado las empresas que pueden añadir valor a nuestro porfolio. Como la seguridad es un sector que cambia continuamente, lo lógico es pensar que seguiremos haciendo exactamente lo mismo. ¿Qué tipo de soluciones está desarrollando IBM en este momento y a qué segmento del mercado están dirigidas? La banca será uno de los sectores a los que vayan dirigidas, ya que era uno de los caballos de batalla de Trusteer. Mi opinión es que, teniendo en cuenta que la seguridad se está sectorizando porque hay grupos que atacan no ya sólo a sectores sino a empresas concretas, veremos soluciones más específicas. También es muy probable que haya soluciones para defensa, teniendo en cuenta que vamos a trabajar con el Ministerio de Defensa israelí. El año pasado fuimos la primera empresa en invertir en la creación de un Silicon
Valley de compañías y soluciones de seguridad en aquel país. Y por último, está claro que el comercio electrónico será otro de los sectores a los que prestemos atención. Es este caso estamos actuando ya. ¿Cuáles son las principales tendencias de malware actualmente? Uno de los últimos informes del X-Force de IBM hablaba de registros de identificación personales, pero hay otras amenazas… El informe de X-Force saca un diagrama donde se pueden ver los ataques del año, el impacto que han tenido y de qué tipo han sido. En ese informe, la tendencia que vemos es que cada vez hay más ataques. Se puede ver que la mitad son undisclosed [desconocidos], pero la otra mitad son patrones de ataque contra vulnerabilidades conocidos, que detectamos en IBM hace mucho tiempo y se podían haber evitado. Hay cada vez más malware desconocido que se prepara para una empresa en concreto. Para hacerle frente, adquirimos la compañía Trusteer, porque aunque estén presentes las capas de inteligencia, ni siquiera así es suficiente. Actualmente, hace falta dar un servicio prácticamente en tiempo real para proteger al cliente. Por otro lado, estamos viendo ataques a las aplicaciones móviles, que son vulnerables porque quienes las desarrollan no están pensando en la seguridad. Antes sufrían más ataques los sistemas operativos, pero ahora se dirigen sobre todo a las aplicaciones. Como cada vez hay más aplicaciones y usuarios que acceden a ellas, mucha gente malintencionada se ha movido hacia ese terreno. En cuanto al tipo de ataque, ya no vemos que se utilice un único patrón. Ahora, por ejemplo, vemos un ataque de denegación de servicio y, una
red seguridad
septiembre 20104
59
empresa entrevista
vez que el departamento de seguridad pone el foco en el problema, por detrás se lanza otro ataque más sutil que es el realmente importante. También están los ataques Watering Hole [abrevadero]. En la caza, los cazadores se sitúan cerca del agua donde paran a beber los animales. La idea es la misma. Por ejemplo, si el objetivo son los turistas que van a viajar a Turquía, los malos saben que probablemente visitarán las páginas del tiempo del país. Por ello, sitúan ahí el malware sabiendo que entrarán muchos usuarios y alguno de ellos no tendrá protegido su dispositivo. El Cloud Computing también presenta muchos retos en materia de seguridad. ¿Cómo afronta IBM la protección de las empresas en este entorno? Cuando pensamos en asegurar un entorno cloud, lo primero que hay que tener en cuenta es que es un entorno virtualizado. El problema es que, cuando hay miles de máquinas virtuales dependientes de una física, si hay un problema con una de ellas no se puede aislar fácilmente. Las soluciones de seguridad de IBM permiten aislar esas máquinas y actuar sobre ellas sin que afecte al resto de aplicaciones que están corriendo en la máquina física.
Hay que tener en cuenta que existen varios tipos de cloud. Si nos referimos a empresas que tienen una parte virtualizada de su infraestructura o de sus aplicaciones, tenemos soluciones para todos los gustos. Las compañías que se benefician del cloud quieren que sus usuarios puedan acceder de manera transparente a aplicaciones dentro de la compañía y a otras que están fuera. Para ellas, está la capa de gestión de control de usuarios y accesos, que permite al usuario entrar en las aplicaciones y a la empresa conocer a cuáles está accediendo y desde dónde. De esa manera puede llevar un mayor o menor control del acceso de esa persona. Y el Big Data, ¿qué presenta más para las corporaciones, oportunidades o desafíos? Ginni Rometty [presidenta de IBM] ya dijo que el 80 por ciento de los datos que tenemos hoy se han generado en los últimos dos años. Yo veo el Big Data como una oportunidad por la capa inteligente de seguridad, porque lo que quiere hacer es aprovechar toda la información que se está generando de dispositivos cada vez más inteligentes para tomar mejores decisiones. Rometty dice además que los datos
son la materia prima del siglo XXI, por lo que es una oportunidad para todos. Pero hay otra faceta que es: si se están generando cada vez más datos y entre ellos los hay de carácter sensible, hay cada vez más datos que proteger. Cualquier director de seguridad tiene que pararse a pensar cuáles son sus datos sensibles y dónde están. Porque si antes era relativamente fácil conocer dónde estaban los datos sensibles y protegerlos, porque estaban en un sitio aislados, ahora hay que diferenciar entre datos estructurados y no estructurados. Los primeros son los que se pueden aislar fácilmente, pero los no estructurados son los que están en llamadas telefónicas, correos, etcétera. Hay que saber protegerlos. Hemos de tener en cuenta que hay personas que cometen errores de forma no voluntaria. Además de educar, es importante tener otros mecanismos para proteger los datos. Lo que más hay que mirar con cuidado son los individuos, que pueden estar generando o compartiendo esa información. Hay que ver cómo, sin impedir el negocio, proteger a la empresa. ¿Cómo cree que ha afectado la crisis económica a la seguridad? ¿La reducción de las inversiones ha supuesto que las empresas estén hoy en día menos protegidas? Hay empresas que para nada han invertido menos, de hecho han invertido más. La reacción humana indica que si has sufrido un ataque y sabes lo grave que puede llega a ser, no te la puedes jugar. Aunque algunas empresas se la estarán jugando, yo aprecio se está invirtiendo en el área de seguridad. Eso sí, ahora hay que hacer más con menos; es decir, ser más eficientes.
Emmanuel Roeseler lleva al frente de la División de Sistemas y Tecnología de Seguridad de IBM desde enero de 2012.
60
red seguridad
septiembre 20104
Previnmen control parental en Internet es un proyecto creado por padres con la vocación de ayudar a otros padres a supervisar y a orientar a nuestros hijos menores de edad en el uso de las nuevas tecnologías, el entorno donde ellos desarrollan gran parte de su actividad y relaciones sociales. El centro de nuestra actividad es el control parental en internet, para ello desarrollamos un software que se descarga e instala en las plataformas donde su hijo suele acceder a internet: ordenadores personales, teléfonos móviles y tablets. Nuestro software ha recibido varios premios tecnológicos en EEUU como el de la prestigiosa revista PC Magazine. El control parental en internet realizado a través de nuestro software graba, alerta y puede bloquear determinadas actividades en la plataforma donde se instala, realizando una labor de prevención ante determinadas situaciones de riesgo potencial para el menor como desordenes alimenticios, cyberacoso, grooming o problemas con alcohol o drogas.
Te ayudamos a supervisar y orientar a tus hijos en el uso de internet www.controlparentalinternet.com
protección de datos opinión
Evaluaciones de impacto en la protección de datos personales
José Luis Rodríguez Álvarez Director de la Agencia Española de Protección de Datos
En la sociedad de la información global en la que vivimos, cada día se ponen en circulación nuevos productos o se ofrecen nuevos servicios que hacen un uso intensivo de los datos personales. Baste señalar que, según las previsiones de la consultora IDC, en el año 2020 se habrán generado en el mundo 40.000 millones de Exabytes (un Exabyte equivale a 1018 bytes, un trillón de bytes), que en gran parte provendrán de los 30.000 millones de dispositivos conectados que, de acuerdo con las previsiones de Gartner Group, habrá para esas fechas. El tratamiento masivo de todos estos datos genera un valor económico gigantesco, pero tiene un fuerte impacto en la esfera de la vida privada de las personas. Ejemplo de ello es el análisis predictivo para caracterizar consumidores, segmentar mercados o definir hábitos de consumo, y realizar análisis de riesgos financieros o luchar contra el fraude fiscal. Por ello, aunque en modo alguno hayan de abandonarse los actuales mecanismos de supervisión y exigencia del cumplimiento de la norma, sí que es necesario complementar esta aproximación con la promoción de un enfoque proactivo, de un compromiso responsable, para evitar o minimizar los riesgos para la privacidad de las personas en el diseño de nuevos pro-
62
red seguridad
ductos y servicios. De esta manera, se pondrán los medios necesarios para atajarlos antes de que se materialicen. Para llevarlo a cabo, resulta necesario que, desde los primeros momentos del desarrollo de un nuevo producto, servicio o sistema de información y a lo largo de todo su ciclo de vida, se tengan en cuenta los principios y derechos de protección de datos, y los requerimientos en materia de seguridad para que se incorporen los controles, protocolos y procedimientos necesarios para garantizar su aplicación. Con ello se consigue no sólo una mayor eficacia en la protección de los derechos de los afectados, sino también evitar algo que, por desgracia, sucede con demasiada frecuencia: la reconvención a posteriori de la norma a la tecnología. Esto es, una vez que el producto o servicio ha sido desarrollado, o incluso implantado, se aprecia su ilegalidad, con todos los costes que ello implica, económicos y muchas veces también de reputación. Evaluación de impacto Esta incorporación temprana de los requisitos de privacidad a un proyecto es lo que se ha venido a denominar Privacidad y Seguridad desde el diseño y, para su correcta implantación, las Evaluaciones de Impacto en la Protección de Datos Personales
septiembre 2014
(EIPD) son una herramienta imprescindible que consiste, básicamente, en un ejercicio de análisis y gestión de riesgos para identificar aquéllos que pudieran existir para la privacidad y la protección de datos personales y para adoptar las medidas y controles necesarios para eliminarlos o, al menos, mitigarlos hasta un nivel aceptable. Expresado en términos más técnicos, como hacen Wright y De Hert en su trabajo Privacy Impact Assessments, “una metodología para evaluar el impacto en la privacidad de un proyecto, política, programa, servicio, producto o cualquier iniciativa que implique el tratamiento de datos personales y, tras haber consultado con todas las partes implicadas, tomar las medidas necesarias para evitar o minimizar los impactos negativos. Una evaluación de impacto en la privacidad es un proceso que debería comenzar en las etapas más iniciales que sea posible, cuando todavía hay oportunidades de influir en el resultado del proyecto”. Las evaluaciones de impacto en la protección de datos personales son una herramienta nueva en nuestro país, pero que lleva ya décadas utilizándose, fundamentalmente en los países de habla inglesa como Australia, Canadá, Estados Unidos, Nueva Zelanda y, más recientemente, en Reino Unido. En la Agencia
protección de datos
opinión
Los responsables de tratamientos de datos personales han de ser capaces de demostrar su compromiso con los derechos de los ciudadanos y el cumplimiento de sus obligaciones legales
Española de Protección de Datos (AEPD) consideramos que ya es una técnica madura y contrastada cuyo uso puede reportar grandes beneficios, no sólo para preservar mejor la privacidad de las personas sino también para ahorrar a las organizaciones costes económicos, de imagen y reputacionales si se produce un incidente que pudiera haber sido previsto y atajado. Por esta razón, a pesar de que en España en estos momentos no existe ninguna obligación legal de realizar evaluaciones de impacto de esta naturaleza en ningún sector o ámbito específico (aunque podría existir en breve si se aprueba el nuevo Reglamento General de Protección de Datos de la UE en los términos en los que se está discutiendo), la Agencia ha querido proporcionar una guía para facilitar el proceso de puesta en marcha de las EIPD. Esta guía puede ayudar a aquellas organizaciones que apuesten por mejorar sus políticas de protección de datos y por identificar y mitigar los riesgos que para la privacidad tienen sus tratamientos de datos personales, proporcionándoles un marco de referencia para el ejercicio de ese compromiso responsable que, a la vez, contribuya a fortalecer la protección eficaz de los derechos de las personas. En el proceso de redacción de la Guía para una Evaluación de Impacto en la Protección de Datos Personales, la Agencia ha publicado un primer borrador y ha puesto en marcha una consulta pública sobre el texto. Con ello, ha querido contar con las contribuciones de todas aquellas personas y organizaciones que han deseado expresar su opinión, realizar comentarios o formular sugerencias sobre los contenidos y estructura de la misma, en el convencimiento de que serían una valiosa aportación para conseguir un documento más útil y práctico.
Resultados Cuando se redacta este artículo, ha finalizado dicho proceso de consulta con un resultado que podemos considerar muy satisfactorio: un porcentaje superior al 90 por ciento de quienes han contestado a la encuesta consideran la estructura de la guía y sus apartados adecuados, un 82 por ciento considera el lenguaje y los términos en que está redactada correctos, y un 86 por ciento cree que los criterios expuestos para decidir sobre la necesidad de realizar una EIPD son apropiados. Además, los comentarios que hemos recibido nos han aportado valiosas reflexiones que se están analizando para proceder a la redacción del documento definitivo. En cualquier caso, la guía está concebida como un marco flexible, que proporcione un modelo estructurado en el que apoyarse a la hora de realizar las evaluaciones de impacto, pero que no es invariable, sino que, mientras se respeten sus aspectos fundamentales, cada organización podrá (e incluso deberá) adaptarlo a su estructura, a su cultura y a sus necesidades. También hay que recalcar que cada vez se abre paso con más fuerza la idea de que los responsables de tratamientos de datos personales han de ser capaces de demostrar su compromiso con los derechos de los ciudadanos y el cumplimiento de sus obligaciones legales (accountability). Para ello, la realización de una evaluación de impacto siguiendo las directrices de la guía redactada por la AEPD, aunque no podrá ser considerada como un criterio de exención de eventuales responsabilidades en caso de que se incurra en vulneración de la normativa de protección de datos, sí va a ser tenida en cuenta por la Agencia como un elemento relevante a la hora de valorar si se ha adoptado la diligencia debida en la implementación de las medidas
adecuadas para cumplir con las exigencias legales. Por lo tanto, además del marco de referencia configurado por la guía que la Agencia pone a disposición de las distintas organizaciones públicas y privadas, siempre daremos la bienvenida a iniciativas sectoriales que, manteniendo los elementos esenciales contenidos en ella, propongan las modulaciones o especificaciones que sean convenientes para adaptarlos a las necesidades y características de cada sector concreto. Finalmente, les animo a todos ustedes a que hagan uso de la Guía para una Evaluación de Impacto en la Protección de Datos Personales que la AEPD les propone, adaptándola a sus necesidades e integrándola en los procesos de gestión de proyectos de su organización, con la seguridad de que su implantación contribuirá en gran medida a fomentar y extender la cultura de la protección de datos personales en España.
red seguridad
septiembre 2014
63
novedades noticias Fujitsu presenta su solución de 'backup' Eternus CS800 Data Protection Storage Appliance Desarrollado para gestionar eficazmente el crecimiento exponencial de los datos en las empresas de forma simple y transparente, Fujitsu ha iniciado la comercialización de su quinta generación Eternus CS800 Data Protection Storage Appliance. Se trata de un equipo que proporciona copia de seguridad plena en disco, a lo que añade funciones de replicación y software path-to-tape en todas sus versiones. Una de sus principales características es que ofrece almacenamiento desde los 4 TB hasta 360. De esta forma, las empresas pueden empezar con la configuración que mejor se adapte a sus necesidades de backup, con la posibilidad de agregar capacidad adicional en el futuro si les hiciera falta. Asimismo, integra de forma estándar una amplia protección frente a desastres, replicaciones bidireccionales y de 1:2 entre diferentes sistemas Eternus CS800, tanto en centros de datos como en modo cloud; mientras que las copias adicionales también pueden darse en cinta para los casos de recuperación ante desastres. www.fujitsu.com
HP lanza un servicio para reducir riesgos de seguridad de TI La compañía HP ha dado a conocer sus nuevos servicios de consultoría para ayudar a los clientes a tomar decisiones rápidas sobre los riesgos de la seguridad de la información en sus organizaciones. Con el nombre HP Security Metrics Services ofrece una metodología en proceso de ser patentada y un marco de trabajo especial para demostrar más claramente el potencial que un incidente de seguridad puede tener en los objetivos de una organización. Para ello utiliza los datos de seguridad de fuentes existentes en las organizaciones, así como los parámetros establecidos, para ofrecer una alerta clara de cuándo los objetivos de negocio empresariales están en riesgo. De esta forma, los usuarios pueden identificar su origen y tomar medidas oportunas para solucionarlo. www.hp.es
64
red seguridad
Seagate Dashboard 2.0, seguridad automatizada para PC, Mac y móvil Realizar copias de seguridad para los ordenadores (PC y Mac), dispositivos móviles (iOS y Android) y redes sociales. Ésa es la finalidad de la aplicación Seagate Dashboard 2.0, un software que protege los archivos digitales de empresas y usuarios particulares de manera muy sencilla. De hecho, incorpora dos opciones automáticas para realizar copias de seguridad: programada o continua. A la vez, también permite guardar fotos y vídeos generados por el usuario, incluso contenidos etiquetados, directa y automáticamente desde las redes sociales. Por último, se integra perfectamente con la aplicación Seagate Mobile Backup en dispositivos tanto iOS como Android a través de una red Wi-Fi, o usando servicios como Dropbox o Google Drive. www.seagate.com
septiembre 2014
Quinta generación de arquitectura de red óptica basada en SDN Huawei ha anunciado el lanzamiento de la quinta generación de arquitectura de red óptica basada en SDN (Redes Definidas por Software), denominada Flex Optical Network. Incluye tuberías de resiliencia ultralargas con capacidad para soportar capas ópticas y eléctricas flexibles; sinergia transversal de capas IP y ópticas, gestión de grupos NE intersectoriales y sinergia para redes wavelength-OTNEthernet basada en NE; y aperturas habilitadas para redes SDN. www.huawei.com/es
Nuevas soluciones de protección de red de Arkoon y Netasq Con el nombre Stormshield Network Security, Arkoon y Netasq, subsidiarias de Airbus Defence y Space, han puesto en marcha una nueva generación de soluciones de protección de red. Esta línea de productos complementa a la gama Stormshield Endpoint Security de protección para estaciones de trabajo, incluso de amenazas desconocidas Zero day, y a la familia Stormshield Data Security de protección de datos, proporcionando seguridad de extremo a extremo a las organizaciones frente a las amenazas cibernéticas. Básicamente, comprende nueve appliances que cubren todo el espectro de necesidades de seguridad, desde la protección de los sistemas frente a amenazas internas y externas, hasta el control de uso de estaciones de trabajo. www.arkoon-netasq.com
noticias
Mayor protección para pymes con Worry-Free 9.0 Trend Micro ha optimizado su solución Worry-Free Business Security con el lanzamiento de la versión 9.0, especialmente diseñada para ofrecer protección completa del usuario a la pequeña y mediana empresa, incluidos sus dispositivos móviles. En palabras de Eric Skinner, vicepresidente de Marketing de Soluciones de la empresa, "Worry-Free Business Security proporciona un enfoque completo de la seguridad, ya sea en entornos de oficina o sobre la marcha”, explica. Entre las principales novedades que incorpora esta nueva versión, se encuentran la mejora de sus políticas de seguridad, incluyendo capacidades Remote Wipe y Devices Access Control, para eliminar de forma segura todos los datos de los dispositivos BYOD en caso de robo o de que se produzca una brecha de datos; la integración con Microsoft Exchange ActiveSync para la gestión simplificada de dispositivos móviles; y el soporte para Windows 8.1, Microsoft Exchange 2013 y plataformas Mac. Por último, destaca tambén la optimización del rendimiento universal, lo que disminuye el tiempo de escaneo e instalación de la aplicación www.trendmicro.es
CaixaBank lanza una pulsera Visa que permite realizar compras acercando la muñeca al datáfono Por primera vez en europa una entidad bancaria, en este caso CaixaBank, ha lanzado una pulsera Visa para realizar compras sin contacto en los comercios adaptados a esta nueva forma de pago. De esta forma, sus clientes podrán llevar la tarjeta en la muñeca y realizar pagos más cómodamente en más de 300.000 comercios en España. La pulsera, con cierre ajustable, materiales antialérgicos y resistente al agua y a la humedad, lleva en su interior un microtag con la información encriptada de la tarjeta del cliente, protegida con las mismas garantías de seguridad que las tarjetas habituales (sistema EMV). Este chip permite conectar la pulsera con los datáfonos y realizar transacciones como si fuera una tarjeta contactless normal. www.caixabank.com
novedades
Panda anuncia GateDefender eSeries 5.5 Panda Security mejora las funcionalidades de su gama de dispositivos de seguridad perimetral integral Panda GateDefender eSeries con el lanzamiento de la versión 5.5. Entre las novedades que presenta, sobresalen mejoras en el asistente de configuración, nuevas opciones de monitorización de la red en tiempo real y una VPN robusta y escalable de última generación que destaca por su capacidad de proporcionar múltiples VPNs, permisos de acceso muy granulares y una gran escalabilidad. También incluye un nuevo control de aplicaciones capaz de reconocer y bloquear más de 170 utilidades como Facebook, Skype, Spotify o WhatsApp para salvaguardar el negocio. Por otro lado, ofrece la posibilidad de desplegarlo en modo hardware, software o virtual, en los tres casos con conectividad flexible a través de una única y sencilla interfaz, accesible en todo momento gracias a la tecnología cloud. Finalmente, incluye la opción de monitorización en tiempo real de la red, mediante una intefaz intuitiva que permite generar informes personalizados muy detallados. www.pandasecurity.com
Synology presenta su nuevo 'software' de vigilancia de cámaras IP Surveillance Station 6.3 Ya está disponible para la nueva versión de Surveillance Station 6.3, el sistema de grabación de vídeo en red (NVR) de Synology destinado a potenciar la seguridad mediante la supervisión de cámaras IP. Esta edición mejora la experiencia de visualización, permitiendo a los usuarios ver en directo y reproducir imágenes en hasta 64 canales a 720p al mismo tiempo en una sola pantalla. También posibilita realizar transmisiones en streaming en dispositivos móviles con un ajuste automatizado, facilitando una monitorización fácil e inteligente desde cualquier lugar. Es compatible con más de 2.700 modelos de cámaras IP. www.synology.com
red seguridad
septiembre 2014
65
asociaciones
noticias ISMS Forum organiza el IV Encuentro Cloud Security Alliance España Las instalaciones de CaixaForum Madrid acogieron por segundo año consecutivo el Encuentro anual de profesionales de la seguridad cloud organizado por el Capítulo Español de Cloud Security Alliance (CSA-ES), iniciativa de ISMS Forum. Bajo el título "Adoptando y Adaptando cloud en un mundo global", medio centenar de expertos debatieron sobre las últimas novedades en materia de seguridad en el entorno cloud, y el valor de la certificación de proveedores de servicios como primer paso para alcanzar la transparencia y la estandarización de metodologías y controles que permitan una migración segura a la nube. El comienzo de las intervenciones corrió a cargo de Luis Buezo, presidente de CSA-ES, quien destacó la gran adopción que el entorno cloud está teniendo en nuestro país y puso sobre la mesa la obligación por parte de la institución de realizar anualmente un estudio del estado del arte de esta tendencia. A continuación, tomó la palabra Daniele Catteddu, director general de CSA-EMEA, quien anunció que en Europa varios estados miembros ya están proponiendo esquemas de certificación para servicios cloud, algo sobre lo que también se está avanzando en otros países como Estados Unidos, Singapur, Tailandia o China.
Durante la jornada también intervino Carles Solé, director del Spanish Cyber Security Institute, con una ponencia sobre la seguridad en cloud y el papel que deben desempeñar los CISO a la hora de almacenar información corporativa en la nube y elegir un proveedor para ello. Asimismo, por parte de la Cloud Security Alliance participaron Agustín Lerma, lead assessor, que habló sobre CSA STAR y sus beneficios; Mariano Benito, coordinador del Comité Técnico Operativo, que puso sobre la mesa la importancia de las certificaciones en el entorno cloud; y Jorge Laredo, miembro del Comité Técnico Operativo, que anunció a los asistentes la disponibilidad de la traducción al español de la versión 3 del Cloud Controls Matrix (CCM) y su adaptación al Reglamento de la Ley Orgánica de Protección de Datos (RLOPD) y al Esquema Nacional de Seguridad (ENS). Finalmente, la jornada concluyó con una mesa redonda sobre experiencias prácticas en la adaptación de cloud moderada por Gianluca D'Antonio, presidente del ISMS Forum, y en la que participaron Josep Bardallo, de SVT Cloud; Carles Solé, del Instituto Español de Ciberseguridad; y Roberto Baratta, de Novagalicia Banco.
EuroCloud quiere difundir las ventajas de la tecnología 'cloud' a pymes y particulares El pasado mes de junio, la asociación de tecnologías cloud y big data, EuroCloud España, celebró en la Escuela de Organización Industrial (EOI) de Madrid su asamblea general anual, en la que, por medio de su presidente, Pedro M. Prestel, y vicepresidente, Francisco J. González, presentaron el Proyecto EuroCloud 2014-2015. Su objetivo, en palabras del primero, es “difundir e impulsar las ventajas de la tecnología cloud a pymes y a particulares”. Este plan supone la puesta en marcha de una serie de novedades importantes. En primer lugar, se van a llevar a cabo distintos cambios internos en la asociación, pasando por una restructuración de varias áreas funcionales, así como por una actualización de la imagen corporativa y de la página web. Otros dos ámbitos de actuación son la formación y la información. En el primer caso, en los próximos meses celebrará varios talleres prácticos sobre cloud para usuarios finales y profesionales; e impartirá cursos MooC sobre cloud en la plataforma “Actívate”, con la colaboración de EOI y Google.
66
red seguridad
Respecto al segundo aspecto, va a poner en marcha dos boletines informativos, CloudNews y CloudBulletin, para dar a conocer las novedades de la asociación y del sector a las empresas europeas; y organizará paneles de expertos y estudios de mercado del sector, con el fin de ofrecer datos a la comunidad de usuarios y profesionales interesada en la nube. Además, a esto se une que en septiembre comienza a trabajar la Comisión de Confianza Cloud, que promocionará la importancia de la seguridad en la nube a través de distintas acciones, con el fin de ofrecer confianza a las organizaciones para animarlas a que trabajen en este entorno. Finalmente, y en el ámbito más institucional, Eurocloud ha suscrito un convenio de colaboración con Red.es para la certificación de aplicaciones y soluciones cloud para empresas proveedoras; y está impulsando la EuroCloud Star Audit, la primera certificación europea de Soluciones Cloud Computing dirigida a empresas de servicios cloud (IaaS, Paas, SaaS y Business Process). “Queremos establecer un marco legal para asesorar
septiembre 2014
Pedro M. Prestel, presidente de EuroCloud España. a las empresas que lo requieran para certificarse. Nuestra intención es que la asociación sea el vehículo para acceder a la certificación, lo que le dará una garantía oficial”, explica Prestel. Por último, durante la asamblea también se celebraron distintas presentaciones, conferencias y mesas redondas que trataron el futuro del cloud y la transformación del negocio en las pymes, y se entregaron los premios de la edición nacional de Eurocloud 2014.
Situaci贸n actual y tendenciaS del
Facility Management & Services
16 octubre Madrid
Hotel Husa Princesa c/ Princesa 40 Sal贸n Rosales (edificio el corte ingl茅s)
Revista
Organiza
Patrocinan
copatrocinan
colabora
IIi S
C ongreSo n aCional
eguridad
P rivada
18 noviembre 2014 madrid. iFema
COLABORaN:
MINISTERIO DEL INTERIOR
organizan:
GOBIERNO DE ESPAĂ‘A
de