seguimos avanzando

Revista especializada en Seguridad de la Información
Nº 67 Diciembre 2014 Época II
al servicio de la seguridad
Socios Protectores:
www.fundacionborreda.org
www.redseguridad.com
Information Security Connect :
CiberProtección y Resiliencia para la continuidad del negocio.
¿Preparado para la nueva era de la seguridad?
Lanzamientos que podrá descubrir el 19 de Febrero 2015,
¡vaya preparándose!
Evento presencial y online en Madrid.
Fecha: 19 de febrero
Hora: 14:00 a 18:30: Cierre
INSCRÍBASE AHORA EN: http://bit.ly/symred
Reserve la fecha y descubra entre otras novedades lo mas actual en protección de EndPoints: Es hora de
obtener más que una protección antivirus. Los ataques dirigidos y las amenazas avanzadas persistentes no
pueden detenerse solo con un antivirus. Estas amenazas distintas requieren protección en capas y seguridad
inteligente en el Endpoint y esto gracias a la red de inteligencia global más grande del mundo. En Symantec
Connect le presentaremos todas estas novedades:
Symantec Endpoint Protection 12.1.5 brinda la seguridad que necesita mediante un único agente puede
identificar archivos en riesgo y detener las amenazas de día cero sin ralentizar el rendimiento.
Symantec Data Loss Prevention 12.5 : protege sus datos contra pérdida y robo, para cumplir con las leyes
de privacidad y a proteger su reputación. Detecta, supervisa, protege y administra sus datos confidenciales
dondequiera que se almacenen o utilicen en sistemas de endpoints, dispositivos móviles, almacenamiento
o red.
Soluciones de cifrado Symantec Endpoint Encryption 11 brinda protección flexible de datos por medio de
una serie de soluciones que incluyen cifrado de endpoints, archivos, carpetas y correo electrónico.
El Equipo de SYMANTEC y Expertos y Usuarios en cada uno de estos campos le presentarán en
Symantec Information Security Connect 2015 lo mas innovador en protección de usuarios, empresas y
gobiernos.
editorial
Objetivo: frenar
los ciberataques
Los últimos meses del año 2014 se han caracterizado por
ser tremendamente activos tanto en amenazas informáticas
a escala mundial, como en aprobación de medidas para
intentar frenar las acometidas y minimizar sus consecuencias.
En este complejo panorama, uno de los ciberataques que
más daño ha hecho, sobre todo porque a estas alturas no
se saben las consecuencias políticas que puede tener, es el
perpetrado el pasado 24 de noviembre por el grupo autodenominado Guardians of the Peace contra Sony Pictures.
Los atacantes se llevaron cientos de terabytes de
información de la distribuidora cinematográfica que
han ido publicando en Internet con cuentagotas, incluidos los números de identificación fiscal y los partes médicos
de más de 3.000 empleados de la compañía y conocidos
actores y actrices de Hollywood. Estados Unidos, por medio
del Buró Federal de Investigaciones (FBI), ya ha acusado formalmente al Gobierno de Corea del Norte de estar detrás de
este ataque como una forma de protesta contra el filme The
Interview, una comedia sobre un complot de Estados Unidos
para asesinar al dictador norcoreano, Kim Jong-un, que Sony
tenía pensado estrenar el 25 de diciembre. Es más, en su última rueda de prensa del año en la Casa Blanca, el presidente
de Estados Unidos, Barack Obama, afirmó que su Gobierno
responderá "de forma proporcionada" en el lugar, el
momento y la manera que elijan, lo que da a entender
que esta agresión no se quedará sin respuesta. De momento,
los atacantes han conseguido parar el estreno de la película.
En España, recientemente se ha conocido que varios
ministros y secretarios de Estado del Gobierno han sufrido
ataques frustrados de grupos coordinados de hasta veinte
hackers radicados en Rusia y China. La ofensiva, que se dirigió contra los móviles y ordenadores personales de los altos
cargos, tenía la finalidad de rastrear sus datos e interceptar
sus comunicaciones. En esta ocasión, y al contrario que el
caso anterior, resulta complejo saber quién costeó y amparó
estas ofensivas, pues los atacantes recurrieron al uso de servidores ubicados en terceros países. Pero éste no es un caso
aislado. Durante 2014 el Centro Nacional de Inteligencia
(CNI) ha detectado unos 13.000 incidentes de seguridad,
un 80 por ciento más que en 2013. El 11,6 por ciento de
estos ataques alcanzaron un nivel de riesgo entre “muy alto”
y “crítico”; es decir, que fueron concebidos para extraer información. El propio servicio de inteligencia ha sufrido en 2014
hasta cien intentos de agresión, el doble que en 2009. Y cada
día, según datos de este organismo, se producen 200.000
ciberataques de una intensidad muy baja. Es más, toda esta
ciberdelincuencia mueve cada año más dinero que el tráfico
de drogas en todo el mundo, en torno a los 575.000 millones
de dólares, que es el PIB que tiene cualquier país medio.
No resulta extraño afirmar, por tanto, que frenar este
tipo de ataques se ha convirtiendo en una prioridad para
cualquier Estado, incluido el nuestro. En este sentido, la
aprobación de la Estrategia de Ciberseguridad Nacional
ha constituido un paso decisivo a la hora de unir fuerzas
por parte de toda la Administración para luchar contra los
ataques cibernéticos, y la creación de un organismo como
el Mando Conjunto de Ciberdefensa (MCCD) no puede ser
calificado de otra forma que como un gran acierto. Sin
embargo, cualquier precaución es poca, y es de agradecer
la reciente decisión del CNI de fichar a cincuenta nuevos
expertos de seguridad externos para reforzar la plantilla de uno de sus organismos, el Centro Criptológico
Nacional (CCN), y también la celebración de distintos
eventos y jornadas de trabajo que no sólo impulsan la
colaboración público-privada en el sector, sino también
sirven para concienciar a toda la sociedad en general.
El más destacado de todo ellos es el ENISE, organizado
por el Instituto de Ciberseguridad (Incibe, antes Inteco), que
este año ha cumplido su octava edición. Estas jornadas,
celebradas en León a finales de octubre y de las cuales
encontrará en páginas interiores un detallado reportaje con
todo lo que allí se debatió, representaron una oportunidad única para exponer entre los más de 600 asistentes el estado de la Estrategia de Ciberseguridad
Nacional, conocer sus objetivos, analizar sus retos y debatir sobre su futuro.
Pero tampoco hay que olvidar la celebración de otros
eventos significativos durante el mes de diciembre, de los que
también nos hacemos eco. En primer lugar, las VIII Jornadas
del CCN-CERT, que han reunido a más de mil profesionales
para analizar desde un punto de vista técnico las amenazas
que pueden afectar a la Administración Pública y a las organizaciones de interés estratégico para el país y ver cuáles pueden ser sus soluciones. En segundo término, CyberCamp,
un punto de encuentro para promover y captar el talento en
ciberseguridad y que resultó un tremendo éxito. Organizado
por la Secretaría de Estado de Telecomunicaciones y para la
Sociedad de la Información (SETSI) y el Incibe, esta primera
edición reunió a más de 4.300 asistentes, entre familias, estudiantes, profesionales y emprendedores, los cuales pudieron
participar en decenas de actividades y talleres.
Por todo ello es importante destacar la labor y el esfuerzo
no sólo de los organizadores de estos eventos que hacen
avanzar la ciberseguridad en España, sino también la de
todos aquellos profesionales que cada día se levantan
con el objetivo de hacer de la nuestra una sociedad
más protegida frente a cualquier clase de ciberamenazas
que puedan poner en riesgo la seguridad del país.
red seguridad
diciembre 2014
3
sumario
3
Corporativo
Guillermo Llorente,
nuevo presidente del
CTA de RED SEGURIDAD
6
editorial
Objetivo: frenar
los ciberataques
8ENISE
10
8ENISE analiza
la Estrategia de
Ciberseguridad Nacional
Sobre la mesa
De la prevención al
análisis y detección
de ciberataques en
entidades financieras
Amplia cobertura del evento anual
organizado por Incibe
Organizaciones invitadas: CaixaBank,
Cecabank y Bankinter.
30
Desayuno patrocinado por Blue Coat.
40
entrevista empresa
44
opinión
Gil Shwed
Conservación de datos
personales
Fundador y CEO de de Check Point
Software Technologies
Rafael Velázquez, consultor legal TIC, CDPP
50
opinión
62
Los nuevos desafíos del CISO
Emmanuel Roeseler, director de Sistemas de
Seguridad de IBM España, Portugal, Grecia e Israel
opinión
Incentivando la adopción de la
ciberseguridad
Gianluca D’Antonio, presidente de ISMS Forum Spain
CONSEJO TÉCNICO ASESOR
PRESIDENTE
Guillermo Llorente Ballesteros
Mapfre
Joaquín González Casal
Asociación de Ingenieros
e Ingenieros Técnicos en
Informática (ALI)
VOCALES
José Luis Rodríguez Álvarez
Agencia Española de
Protección de Datos (AEPD)
Vicente Aceituno Canal
Asociación Española para la
Seguridad de los Sistemas de
Información (ISSA España)
José Manuel de Riva
Ametic
Juan Muñoz
ASIS España
Guillermo Martínez Díaz
Asociación de Empresarios de
TIC de Andalucía (ETICOM)
Ricardo López Lázaro
Confederación Española de
Cajas de Ahorros (CECA)
Fermín Montero Gómez
Dirección General de
Economía, Estadística e
Innovación Tecnológica de
la Comunidad de Madrid
Miguel Rego Fernández
Instituto Nacional de
Ciberseguridad (INCIBE)
Miguel Manzanas
Unidad de Investigación
Tecnológica (UIT) del Cuerpo
Nacional de Policía
Gianluca D'Antonio
ISMS Forum Spain
Óscar de la Cruz Yagüe
Grupo de Delitos Telemáticos
(GDT) de la Guardia Civil
Ricardo Barrasa
ISACA Capítulo de Madrid
Vicente Aguilera Díaz
Open Web Application
Security Project (OWASP)
Jorge Ramió Aguirre
Universidad Politécnica
Madrid (UPM)
CONSEJEROS
INDEPENDIENTES
Emilio Aced Félez
Tomás Arroyo
Javier Moreno Montón
Javier Pagès
Olof Sandstrom
PRESIDENTE DE HONOR
Alfonso Mur Bohigas
de
STAFF
Suscripción anual:
50 euros (España), 110 euros (Europa,
zona euro), 150 euros (resto países)
Depósito Legal: M-46198-2002
ISSN: 1695-3991
Borrmart: Presidente: Francisco Javier Borredá Martín. Presidente de Honor: José Ramón Borredá. Directora general: Ana Borredá.
Adjunto a la Presidencia y a la Dirección General: Antonio Caballero Borredá. Publicidad: Marisa Laguna, Pedro José Pleguezuelos
y Paloma Melendo. Gestión y Control: Carmen Granados. Directora de Relaciones Institucionales: Mª Victoria Gómez.
Red Seguridad: Directora: Ana Borredá. Redactor Jefe: Enrique González Herrero. Colaboradores: Bernardo Valadés, David
Marchal, Laura Borredá, Leticia Duque Guerrero y Jaime Sáez de la Llave. Maquetación: Macarena Fernández López y
Jesús Vicente Ocaña. Fotografía: Banco de imágenes Thinkstock/GettyImages. Diseño: Escriña Diseño Gráfico.
Suscripciones: Mª Isabel Melchor y Elena Sarriá. Dirección Financiera: Javier Pascual Bermejo. Redacción, Administración y
Publicidad: C/ Don Ramón de la Cruz, 68. 28001 Madrid Tel.: +34 91 402 96 07 Fax: +34 91 401 88 74
www.borrmart.es www.redseguridad.com [email protected]. Fotomecánica e impresión: Reyper.
RED SEGURIDAD no se responsabiliza necesariamente de las opiniones o trabajos firmados, no autoriza la reproducción de textos e ilustraciones sin autorización escrita.
Usted manifiesta conocer que los datos personales que facilite pasarán a formar parte de un fichero automatizado titularidad de BORRMART, S.A. y podrán ser objeto de tratamiento, en los términos previstos en la Ley Orgánica 15/1999, de 13
de Diciembre y normativa al respecto. Para el cumplimiento de los derechos de acceso, rectificación y cancelación previstos en dicha ley diríjase a BORRMART, S.A. C/ Don Ramón de la cruz, 68. 28001 Madrid.
Les desea Feliz Navidad
y Próspero Año Nuevo
Valorar la paz y la generosidad es comprender
el verdadero significado de la Navidad
Consejo Técnico Asesor
noticias
Guillermo Llorente, nuevo presidente
del CTA de RED SEGURIDAD
Guillermo Llorente Ballesteros, subdirector general de Seguridad y Medio Ambiente
de Mapfre, sustituirá a partir de 2015 a Arjan Sundardas como presidente del Consejo
Técnico Asesor de RED SEGURIDAD. Es uno de los profesionales más reconocidos
del sector de la seguridad y uno de los más firmes defensores de la necesidad de
aplicar la integración como modelo de protección corporativa.
Después de cuatro años al frente del Consejo Técnico Asesor
(CTA) de RED SEGURIDAD, Arjan
Sundardas cederá el testigo al
nuevo presidente de este órgano a
partir de 2015. Guillermo Llorente
Ballesteros, subdirector general de
Seguridad y Medio Ambiente de
Mapfre, ha aceptado la propuesta
de esta publicación para asumir esa
responsabilidad y pasará a encabezar, hasta el año 2018, el grupo de
expertos que aportan su conocimiento a esta revista. La publicación
tendrá así el privilegio de contar con
uno de los profesionales de la seguridad más reconocidos del país, al
que acompañará el resto del CTA
compuesto por presidentes de las
principales asociaciones del sector y
profesionales independientes.
Profesional reflexivo y pausado,
Llorente posee una extensa trayectoria a sus espaldas, primero
en las Fuerzas Armadas y después en el sector privado como
responsable de Seguridad y Medio
Ambiente de Mapfre. Es teniente coronel de Infantería, diplomado del Estado Mayor y del Estado
Mayor Conjunto en situación de
excedencia. Durante su etapa como
militar ocupó el mando de diferentes unidades y llegó a ser jefe de
la Unidad de Contrainteligencia y
Seguridad Interior en el Centro de
Inteligencia y Seguridad del Ejército
de Tierra. Posee además experiencia en misiones internacionales y
una amplia formación en diferentes
especialidades de la seguridad.
Defensor de la integración
En el año 2006 se incorporó a
Mapfre, donde ha conseguido
implantar un modelo integral en
la gestión de la seguridad, dando
6
red seguridad
Guillermo LLorente, profesional de
la seguridad con gran liderazgo.
continuidad al Plan Director de
Seguridad iniciado en la compañía
en 1996. Como él mismo señaló a
esta publicación hace más de cinco
años para un reportaje, ese enfoque
es “seña de identidad y un orgullo”
de la empresa aseguradora. "Desde
Seguridad, miramos la organización
como un todo, pues ésta afecta a
todos los procesos y actividades,
a todos los medios e instalaciones
y a todo el personal, con una definición vertical y central, pero con
una aplicación transversal", explicó
entonces a RED SEGURIDAD.
Otra de las declaraciones de
entonces que dan muestra de su
idea sobre la seguridad corporativa
fue que "la seguridad de un activo
debe entenderse como la resultante
de las medidas (físicas y lógicas)
destinadas a protegerlo; en la que
las medidas de seguridad son más
diciembre 2014
eficaces y eficientes cuando se aplican de forma complementaria y en
forma escalonada".
A lo largo de su carrera, Llorente
ha participado en múltiples foros
donde ha defendido con meridiana
claridad su concepción de la protección de las organizaciones desde un
punto de vista que abarca todas las
vertientes posibles de la seguridad.
Así ha quedado patente en las seis
ediciones que se han organizado
hasta el momento del Encuentro de
la Seguridad Integral (Seg2), donde
Llorente siempre ha explicado con
sencillez y huyendo de definiciones
abstractas esa filosofía integradora que, en el caso de Mapfre, ha
recibido múltiples reconocimientos.
Igualmente, su labor al frente de la
subdirección general de Seguridad
y Medio Ambiente de Mapfre le han
valido distinciones como la Cruz de
la Orden del Mérito de la Guardia
Civil, entre otras.
Por su visión convergente de la
seguridad, así como por su constante apoyo a esta publicación, RED
SEGURIDAD considera a Llorente
el mejor profesional posible para
sustituir a Arjan Sundardas en la
presidencia del CTA. Éste último ha
desarrollado una encomiable labor
como presidente del órgano asesor
a través de su asesoramiento y
ayuda en la puesta en marcha de
nuevas iniciativas, así como en la
continuidad de otras que aportan
valor a la revista.
El relevo se llevará a cabo de
manera oficial durante la próxima
edición de los Trofeos de la
Seguridad TIC, que tendrá lugar el
próximo 29 de enero. Allí se escenificará el cambio de presidencia entre
dos magníficos profesionales de la
seguridad.
toda la información de
seguridad TIC
a un clic
apúntate
gratis
http://www.redseguridad.com
:::Información especializada sobre seguridad TIC
:::Accede GRATIS a la revista digital
:::Navegación fácil e intuitiva
:::Servicios GRATUITOS: newsletter, alertas
:::Accede GRATIS a la revista desde tu Tablet y Smartphone
en España
estrategia editorial
noticias
SEGUIMOS AVANZANDO
+
RED SEGURIDAD y SEGURITECNIA
Porque la Segurida d i N t e g r a l e s u n a n e c e s i da d
se distribuirán
conjuntamente
2015
Las revistas RED SEGURIDAD y SEGURITECNIA, ambas pertenecientes a la editorial
Borrmart, inician una nuevaDistribución
estrategia editorial.
A partir de 2015, los cuatro números
conjunta
trimestrales de la primera se distribuirán conjuntamente con la segunda con el objetivo
de aprovechar
sinergias
y aportar una visión global de la seguridad a sus lectores.
Estrategia
conjunta
Sinergias conjuntas
Durante más de un lustro, RED
SEGURIDAD ha apostado firmemente por la convergencia de todas las
medidas y procesos de seguridad
como modelo de protección de las
organizaciones. Como muestra de
ese convencimiento, la revista organizó en 2009 la primera edición del
Encuentro
de la Seguridad
Integral
CALENDARIO EDITORIAL.indd
3
(SEG2), que a lo largo de las seis ediciones convocadas hasta el momento
ha trasladado esa concepción de la
protección corporativa tanto a los
profesionales del ámbito físico como
a los del lógico. La realidad refleja
hoy en día que cada vez son más las
corporaciones que apuestan por este
enfoque para proteger sus activos.
Con ese mismo espíritu, la editorial
Borrmart iniciará a partir de 2015 una
nueva estrategia que pretende acercar a los profesionales del ámbito
físico la información y conocimientos
relacionados con la seguridad TIC,
y viceversa. Así, los cuatro números
trimestrales de RED SEGURIDAD se
distribuirán de manera conjunta con
los números correspondientes de
SEGURITECNIA, revista decana del
sector de la seguridad privada.
Ambas publicaciones, mantendrán, no obstante, su formato y
contenidos actuales, ya que el objetivo es que sean complementarias
y aporten valor tanto a los profesionales del ámbito TIC como a los de
la esfera física. De esta forma, las
revistas aprovecharán además las
muchas sinergias informativas que
pueden generarse entre esos dos
ámbitos, en materias como la protección de infraestructuras críticas,
dirección de la seguridad o nuevas
amenazas, entre otras.
rentes parcelas. El responsable de
Seguridad actual, y más si cabe del
futuro, necesitan herramientas para
la toma de decisiones que no se
limiten a un solo enfoque sino que
abarquen todos los aspectos de la
seguridad. La información, qué duda
cabe, es una de ellas.
Al mismo tiempo, la legislación
23/12/14 en
11:27la
materia parece avanzar en esa misma
dirección, como demuestra la Ley de
Protección de Infraestructuras Críticas
o la nueva Ley de Seguridad Privada.
Ambas contemplan, en mayor o
menor grado, la integración de las
medidas de seguridad en las organizaciones como una exigencia para
hacer frente a las amenazas actuales,
que tienen a la tecnología como principal vía para conseguir sus objetivos.
Es por ello que la revista ha decidido ir en consonancia con la realidad
actual y las necesidades de los profesionales. Porque la información,
como la seguridad de las empresas,
también ha de ser convergente.
35 Años de experiencia y conocimiento
A tu disposición
8
red seguridad
Realidad actual
Cada vez son más los departamentos de seguridad corporativa que
apuestan por la integración de todo
tipo de medidas de protección en
una sola área, dejando atrás el concepto obsoleto de establecer dife-
diciembre 2014
monográfico
noticias
8ENISE analiza la Estrategia de
Ciberseguridad Nacional
Entre los días 28 y 29 de octubre el Parador de San Marcos de León acogió la
celebración de la VIII edición de ENISE, en la que se desgranó la actual estrategia
española de ciberseguridad. Para ello se dieron cita más de una treintena de ponentes
y cerca de 600 asistentes en lo que ya es la mayor cita anual sobre esta materia que
se celebra en nuestro país. RED SEGURIDAD colaboró en la organización de este
encuentro con el sector de la seguridad TIC.
Tx: David Marchal y Enrique
González - León.
Ft: INCIBE y RED SEGURIDAD.
Por octavo año consecutivo, el
Instituto Nacional de Ciberseguridad
(Incibe), antes Inteco, dependiente
del Ministerio de Industria, Energía
y Turismo (MINETUR), organizó una
nueva edición del ENISE, el mayor
encuentro del sector de la seguridad
de la información y “una cita ineludible
para expertos y profesionales”, según
Miguel Rego, director del organismo.
El evento se centró en analizar cómo
se está desarrollando la Estrategia de
Ciberseguridad Nacional, un documento que, según explicó durante la
inauguración Félix Sanz Roldán, director del Centro Nacional de Inteligencia
(CNI), supone “la principal orientación
y guía” para la actividad de todos los
que tienen encomendada la seguridad de los ciudadanos. A pesar de
ello, matizó, “esta estrategia no está
10
red seguridad
escrita en piedra, sino que debe seguir
la evolución natural de las cosas”. El
objetivo es “cerrar las vulnerabilidades
entre todos: Administración, empresas
estratégicas, sector, profesionales y
ciudadanos”.
Sobre esta idea también incidió el
almirante general Fernando García
Sánchez, jefe del Estado Mayor de
la Defensa: “Los que pertenecemos
a la Administración presentamos esa
necesidad de cooperación, pero ésta
no puede centrarse sólo en nosotros,
sino también en el mundo académico,
la industria y la sociedad civil”.
Ahora bien, en palabras de Fran­
cisco Martínez Vázquez, secretario
de Estado de Seguridad, “el reto es
conseguir que los ciudadanos se conviertan en colaboradores activos de
su propia ciberseguridad”. De hecho,
esta idea es la que debe presidir la
Estrategia de Ciberseguridad Nacional,
trabajando tanto en la prevención
como en la reacción. De esta forma,
será posible hacer frente a amenazas, como el denominado Crime as a
diciembre 2014
Service (crimen a la carta), “el motor
de la economía digital sumergida”, y
avanzar en fenómenos como el de
la anonimización, que “obligará a la
Administración a ser más minuciosa”.
Para todo ello, Víctor Calvo Sotelo,
secretario de Estado de Telecomu­
nicaciones, insistió en la necesidad
de que “el sector público y privado vayan de la mano”. De hecho,
ya se están produciendo avances
significativos en la Agenda Digital
para España, que incluye el Foro
Nacional para la Confianza Digital,
los ciberejercicios o el Cybercamp.
Para Calvo Sotelo, una pieza clave de
este engranaje lo constituye Incibe.
“Entre sus fortalezas técnicas está su
plataforma tecnológica, los servicios
de respuesta y la difusión, la investigación, el desarrollo y la innovación”.
Desarrollo de la ECN
A continuación, se dio paso a la primera sesión, en la que se analizaron
los principales avances que se han
realizado en la puesta en marcha
monográfico
y desarrollo de la Estrategia de
Ciberseguridad Nacional. Para ello,
Carlos López, comandante jefe del
Mando Conjunto de Ciberdefensa
(MCCD), hizo un repaso de cómo se
ha llegado hasta ella, con una atención destacada a la creación en 2013
del MCCD, cuya misión engloba tres
componentes básicos: “Defensa
de sistemas propios, explotación
(ciberinteligencia) y respuesta (ataque)”, precisó. En esa línea, el Plan
Nacional de Ciberdefensa recoge
las acciones que se han de llevar a
cabo, y destaca la importancia del
apoyo entre los sectores público,
privado, académico e internacional.
En este sentido, el comandante destacó “la implicación de la industria
nacional y la universidad”, la necesidad de “concienciar a los componentes del Ministerio de Defensa y
apoyar al resto de la Administración
en esta experiencia”, y “la colaboración con organismos internacionales y Fuerzas Armadas mediante el intercambio de experiencias,
la coordinación de esfuerzos y el
aumento de las capacidades”.
Miguel Rego
Director general del Incibe
"ENISE se ha convertido
en una cita ineludible para
todos los expertos y profesionales de la seguridad de
nuestro país"
Por su parte, Juan Corro, jefe del
Gabinete de la Secretaría de Estado
de Telecomunicaciones y para
la Sociedad de la Información del
MINETUR, centró su intervención en
la Agenda Digital y el Plan para la
Confianza en el Ámbito Digital, los
cuales han sido el marco bajo el
cual se han desarrollado actividades
de carácter industrial, situando en el
centro a la ciberseguridad. Pero para
ello "no se puede hacer un trabajo aislado", puntualizó. Por eso abogó por
que los diferentes ministerios trabajen
integrados y coordinados: “Uno de
los grandes logros de esta estrategia
es precisamente el fomento indus-
noticias
trial y la mejora de las cibercapaciinteligencia extranjeros...”. Finalmente,
dades. En este último punto, somos
ensalzó el papel del CCN-CERT, el cual
un gran apoyo, poniendo nuestras
durante 2013 gestionó más de 7.000
capacidades al servicio de las Fuerzas
incidentes en las Administraciones
de Seguridad, y colaborando con el
Públicas, 38 de ellos de nivel crítico.
Ministerio de Defensa para compartir y
trabajar en red”, comentó.
El papel de la colaboración
Después tomó la palabra Diego
Seguidamente, se dio paso a la
Pérez de los Cobos, responsasiguiente mesa redonda para analible del gabinete de Coordinación y
zar la importancia del sector privado
Estudios de la Secretaría de Estado de
en la Estrategia de Ciberseguridad
Seguridad del Ministerio del Interior, el
Nacional. Para ello contó con la precual se refirió a la Red como un “ecosencia de Michael Kaiser, Head of
sistema con ausencia de fronteras,
National Cybersecurity Alliance, quien
que requiere un cambio de enfoque a
explicó cómo se establece esta colala hora de afrontar los escenarios que
boración en Estados Unidos. “Nuestra
se presentan, porque los tradicionales
infraestructura se sostiene en el sector
ya no son válidos”. Pérez de los Cobos
privado, ya que el público tiene poca
recordó también que, dentro de la
maniobrabilidad”, indicó. Sin embarEstrategia de Seguridad Nacional, las
go, también precisó que una empresa
ciberamenazas ocupan el tercer puespor sí misma no puede afrontar un
to. “Los ciberataques son unas de las
problema de ciberseguridad, sino que
amenazas más peligrosas y de mayor
necesita compartir información. Para
desarrollo contra los intereses nacioKaiser, es importante que el sector
nales. Todas están relacionadas, unas
privado y público colaboren. “Cuando
influyen sobre otras y las condicionan”,
hablamos de ciberseguridad, hablaafirmó. Por eso, dentro de la Estrategia
mos de defender nuestras propias
Española de Seguridad se establecen
redes. Es importante que se haga,
ocho líneas de acción, en las que el
pero no tendremos ciberseguridad
Ministerio del Interior lidera la tercera y
completa hasta que no compartamos
la quinta y participa en el resto.
de forma segura. De ahí la importancia
La sesión concluyó con la presencia
trabajar todos juntos”, indicó.
Titular blanco titular titular de
blanco
titular
del asesor del Secretario de Estado del
Tras él, intervino Juan Carlos Bata­
CNI, quien abordó los pasos a seguir
nero, presidente de la Comisión de
tras la aprobación de la Estrategia
Seguridad de AMETIC, para hacer un
Nacional de Ciberseguridad. Según
repaso de las principales ocupaciones
explicó, el Consejo Nacional de
de esta asociación, que engloba a
Ciberseguridad se reunió por primera
más de 3.000 empresas de un sector
vez en febrero. Desde entonces, se ha
que concentra el 20 por ciento de
llevado a cabo la creación de un Plan
la inversión privada de España. Sus
Nacional de Ciberseguridad, que ha
actividades están dirigidas a consoPrimer párrafo despiece
sido una
tarea
compleja.
Asimismo,
lidarse como interlocutor frente a la
Cuerpo base despiece
destacó la labor del CNI en el desarroAdministración. De ahí que tenga una
llo de la Estrategia de Ciberseguridad
incidencia directa sobre la colaboraNacional: “Somos mucho más que un
ción público-privada. Tras hacer una
servicio secreto. Poseemos capacidadefensa de los intereses particulares,
des especiales que permiten colaboque “no sólo son lícitos sino necerar, organizar fuentes humanas, intersarios”; consideró que “deben existir
cambiar información con servicios de
figuras que faciliten los acuerdos entre
red seguridad
diciembre 2014
11
especial
monográfico
noticias
Titular
Víctor Calvo-Sotelo
Titular
Secretario de Estado de
Telecomunicaciones
"El reto de la Estrategia de
Entradilla
Ciberseguridad Nacional
Entradilla
implica que tanto actores
Entradilla
públicos como privados
Entradilla
vayamos de la mano hacia
un mismo objetivo"
Tx:
Ft:
las partes de este sector”, apuntó.
A continuación, le llegó el turno a
Primer párrafo
Gemma
Campillos, representante del
Cuerpo
basede Confianza Digital del
Foro
Nacional
Último párrafo
MINETUR,
que centró su intervención
en la Ley de Servicios de la Sociedad
Ladillo
de
la Información, que establece un
sistema de cooperación público-privada para la gestión de incidentes de
ciberseguridad. Explicó que la norma
establece obligaciones de colaboración para los prestadores de servicios
de la seguridad de la información
como la detección, la prevención, la
reacción y la recuperación cuando ha
habido un incidente de ciberseguridad. “Son sus obligaciones, pero su
desarrollo se confía a un esquema
de cooperación público-privada. La
Administración ha preferido que eso
se realice con acuerdo entre las distintas partes implicadas”. Precisamente,
en el esquema que configura la Ley,
destacan como actores los sujetos de
la industria, los prestadores de servicios y los proveedores de acceso a
Internet. Por otro lado, se encuentran
los equipos de respuesta a incidentes
(CERT). Y en el centro de todo ello
están los usuarios industriales y particulares, que pueden verse afectados
por diversas amenazas.
La sesión concluyó con la intervención de Alberto Hernández Moreno,
director de Operaciones del Incibe,
el cual explicó los tres ámbitos de
actuación de este organismo: “Somos
los prestadores de servicios públicos de ciberseguridad para pymes,
ciudadanos y sectores estratégicos;
desarrollamos tecnología para la lucha
contra los ciberdelitos; y apoyamos la
generación de demanda, facilitando el
crecimiento del número de profesionales en ciberseguridad”. En relación
con la colaboración público-privada,
12
red seguridad
señaló que “lo esencial para establecer un mecanismo de colaboración
es la confianza y tener un fin común”.
Y como conclusión, ofreció algunos
ejemplos reales de colaboración en los
que participa Incibe, como el servicio
antibotnet, "en el que hay 28 agentes
implicados de 14 países para tratar
de establecer una plataforma de colaboración"; o el motor de inteligencia,
"que analiza la información agregada
de muchas fuentes, en el marco de
la colaboración público-privada con
distintas empresas".
ciberdelitos se deben a factores como
el fácil acceso, la falta de control o el
aumento del número de dispositivos
móviles. “Hay un desarrollo tecnológico incesante, se han multiplicado los
puntos de acceso a los ciberdelitos y
nuevas vulnerabilidades”. El principal
desafío, por tanto, es que la ciberdelincuencia es global, y no se sabe
dónde se comete el delito. Además, el
desarrollo tecnológico genera brechas
entre las medidas de protección y las
oportunidades para cometer nuevos
ciberdelitos. Las soluciones, según
apuntó, pasan por concienciar a la
Capacidades contra ciberdelitos
población desde las escuelas y la perEn la siguiente mesa redonda se
secución de los ciberdelitos.
abordaron cuatro aspectos principaDe la misma forma opinó Luis A.
les: la integración en el marco legal
Rivera Santana, agregado jurídico
español de la soluciones a los propara Crímenes Cibernéticos del FBI,
blemas derivados del mal uso de la
para quien se ha de partir de la
tecnología, la mejora de las capacipremisa de que “el crimen cibernédades de los organismos que tienen
tico no tiene fronteras” cuando se
responsabilidad en los ciberdelitos,
aborda la cooperación internacional
el fortalecimiento de la cooperación
en materia de ciberseguridad. “Una
internacional y ciudadana, y que los
persona con un portátil puede atacar
profesionales del derecho tengan
un ordenador de cualquier país”,
acceso a los recursos, la información
matizó. Por eso, el FBI ha enfocado
y la formación de aquellas soluciones
sus esfuerzos al fomento de la relaque contrarresten las amenazas del
ción con otras agencias. En España,
ciberespacio.
concretamente, ha establecido una
Pie
Pie estas bases intervino en priSobre
colaboración con presencia física de
mer lugar Manuel Álvarez, jefe de
un enlace durante seis meses para
Implementación del Centro Europeo
colaborar con la Policía y la Guardia
del Ciberdelito de Europol, quien
Civil. “Hemos descubierto que tener
definió la ciberdelincuencia como
una persona física en los distintos
“la piratería de nuestro siglo”. Según
países no sólo provee un intercambio
Álvarez, el coste estimado que mueve
de comunicación fluida, sino también
la ciberdelincuencia es de “un trillón
nos aporta datos sobre el sistema
de dólares", pero además supone
judicial local de cada país, los mecala pérdida de oportunidades y daño
nismos legales disponibles y muestra
a la reputación de las empresas, "lo
al país anfitrión cómo funcionamos
que hace que muchas no quieran
nosotros”, confirmó.
denunciar”, alertó. Por otro lado, expliPoco después intervino el comisacó que Europol realiza un informe,
rio Juan Miguel Manzanas, jefe de la
Titular blanco titular titular blanco titular
denominado iOCTA, sobre amenazas
Brigada de Investigación Tecnológica
del crimen en Internet, el cual señala
(BIT) del Cuerpo Nacional de Policía,
que las razones de la expansión de los
que desveló que para incrementar y
Primer párrafo despiece
Cuerpo base despiece
diciembre 2014
especial
monográfico
noticias
Titular
Titular
desarrollar las capacidades de respuesta a este tipo de delitos, la
BIT se ha incorporado dentro de la
Comisaría General de Policía Judicial.
Asimismo, añadió, “la ciberseguridad
ha supuesto también un cambio en
las formas de actuación y de cómo
Entradilla
recibimos
la información para poder
actuar”.
Uno de los principales se ha
Entradilla
producido en las fuentes de informaEntradilla
ción. “Tenemos que proceder a busEntradilla
car
nuevas fuentes. Esto pasa por un
intercambio de datos con otras policías internacionales, la colaboración
Tx:
público-privada,
los CERT y otras
Ft:
fuentes
humanas”. Con esto, agregó,
“intentamos reconstruir un escenario
donde podamos identificar esos riesPrimer
párrafo generales para ver
gos
y amenazas
porCuerpo
dónde base
nos podemos mover”.
Último
párrafo
Esa
forma
de actuar coincide con la
de la Guardia Civil, tal y como expuso
Ladillo el comandante Óscar de la
después
Cruz Yagüe, jefe del Grupo de Delitos
Telemáticos de este organismo. De
hecho, esta área puede aportar sus
conocimientos y experiencia a la
Estrategia de Seguridad Nacional en
cinco líneas: la prevención, clave
en la lucha contra el ciberdelito; la
formación; el desarrollo de capacidades técnicas con herramientas
básicas y avanzadas, cibervigilancia
e inteligencia; el impulso de cambios y desarrollos normativos; y la
cooperación nacional e internacional.
En cuanto a los retos, De la Cruz
identificó “muchas amenazas y vulnerabilidades en cajeros, en cámaras remotas, semáforos, centrales
hidroeléctricas, datos médicos…”, y
añadió: “Ahora con el Internet de
las Cosas va a ir de mal en peor. La
mínima brecha de eguridad la van a
aprovechar como beneficio económico”, constató.
Tras su intervención tomó la palabra
Rafael Pedrera, jefe de la Oficina de
Coordinación Cibernética del Centro
Nacional para la Protección de las
Infraestructuras
Críticas (CNPIC), el
Pie
Pie
cual explicó
que el ciberespacio está
compuesto por diferentes capas:
física, lógica y social. En el ecosistema de la ciberseguridad nacional,
España “ha desarrollado estrategias
para luchar contra los que se mueven
impunemente por ellas: la Estrategia
de Ciberseguridad Nacional”. Pedrera
señaló que antes había varios CERT,
pero esta estrategia ha hecho que
se unifiquen en el de Seguridad e
Industria. Después habló de la Oficina
de Coordinación Cibernética, que se
encarga de hacer que toda la información fluya entre las diferentes entidades, con la misión de “centralizar
las actividades relacionadas con el
ciberterrorismo”. De hecho, sus objetivos son implementar mecanismos de
coordinación ante un ciberincidente,
establecer un canal de alerta temprana
e intercambio de información en cuanto a vulnerabilidades y ciberamenazas,
y crear consciencia fidedigna del estado de la ciberseguridad nacional.
Ciberejercicios Cyber-EX 2014
La última sesión de la primera jornada estuvo dedicada a los
En el panel intervino en primer lugar Abel González, responciberejercicios Cyber-EX 2014, organizados por ISMS Forum y
sable de operaciones de Seguridad de Incibe, que comentó que
que por primera vez han contado con la participación de CNPIC
el futuro de estos ciberejercicios pasa por la sectorización: “En
e Incibe. De hecho, según Gianluca D’Antonio, presidente de
2015 vamos a centrarnos en infraestructuras críticas, proponiendo
ISMS Forum, es una iniciativa que nació con el objetivo de
ejercicios más sectorizados”. A continuación, pasó a detallar la
“aumentar la conciencia de las empresas en materia
de ciberseorganización
los Cyber-EX
2014, cuyo
proceso se estableció
Titular
blanco
titulardetitular
blanco
titular
guridad”. En la edición 2014 han participado quince empresas, el
en tres fases: una primera de ingeniería social, una segunda con
85% de las cuales pertenece al IBEX35, por lo que, en palabras
un test de intrusión interna y la última la simulación del incidente.
de D’Antonio, ha supuesto “un gran éxito de la colaboración
Dos de los operadores participantes fueron Endesa y La Caixa,
público-privada”.
cuyos representantes dieron su punto de vista. Joaquín Álvarez,
coordinador Funcional de Seguridad de Endesa, valoró positivamente la evolución que están teniendo los ciberjercicios
a lo largo de los últimos años; mientras que Carles Solé,
director de Seguridad de la Información de La Caixa, dio su
visión de la celebración de los ciberejercicios. “Nos ayuda a
conocer cómo están nuestras defensas tecnológicas, por
Primer párrafo despiece lo que es algo que vamos a seguir haciendo en el futuro”. A
Cuerpo base despiececontinuación, intervino Miguel Ángel Abad, jefe de servicio
de Ciberseguridad de CNPIC, que realizó una exposición
sobre por qué ha participado este organismo en los ciberejercicios Cyber-EX 2014; y por último, cerró la sesión María
del Mar López, jefa de la oficina de Seguridad de Defensa de
Seguridad Nacional (DSN), que puso de manifiesto “la importancia de los ciberejercicios para favorecer el intercambio de
información, la confianza, la colaboración y la coordinación”.
red seguridad
diciembre 2014
13
especial
monográfico
noticias
Titular
Titular
Entradilla
Entradilla
Entradilla
Entradilla
Tx:
Ft:
La última ponente de esta sesión
Primer
párrafo
fue
Elvira
Tejada, fiscal de la Sala
Cuerpo
base
contra
la Criminalidad
Informática del
Último párrafo
Ministerio
de Justicia, quien ve un
“acierto extraordinario” de la Estrategia
Ladillo
de
Ciberseguridad Nacional abordar
el ámbito judicial y policial mejorando las capacidades de prevención,
detención, respuesta o investigación
de delincuencia. En ese sentido, consideró que hay que utilizar las mismas
herramientas que los delincuentes
para poder investigarles. “No se puede
luchar contra la ciberdelincuencia con
las técnicas tradicionales, hay que
saber cuáles son las herramientas
que utilizan, cómo funcionan y cómo
adaptarlas”, confirmó. Por todo ello,
dentro del Ministerio de Justicia se ha
creado un área de especialización en
criminalidad informática, compuesta
por una unidad central y una red de
servicios. “El año pasado intervinimos
en más de 11.900 procedimientos
relacionados con las TIC, y formulamos 1.262 escritos de acusación por
hechos relacionados con su uso”.
Lucha contra el ciberespionaje
La cuarta mesa redonda estuvo dedicada a exponer los últimos avances
para combatir los ciberdelitos de la
mano de representantes de cuatro
empresas privadas, a los que precedió
en su intervención Javier Candau, jefe
de área de Ciberseguridad del CNI,
que alertó de que las capacidades de
ataque superan a las de defensa. “Lo
que se tarda en infectar son horas. En
cambio, lo que el defensor tarda en
darse cuenta de que ha sido atacado
a veces se prolonga años”, aseguró.
Después tomó la palabra Jason
Steer, director de Technology Strategy
de FireEye, que expuso los resultados
14
red seguridad
Vicente Díaz, analista de Kaspersky
Labs, fue el siguiente ponente en
hablar y se focalizó en la evolución
del ciberespionaje, cuya última vuelta
de tuerca es la cibervigilancia masiva.
Precisamente, al respecto enumeró
varios ejemplos como Careto, una
ciberamenaza de habla hispana activa
desde 2007, o Epic Snake, que se distribuía a partir de sitios web, incluida
la Administración Pública. Por último,
Díaz también destacó el papel de
compañías como Facebook, Yahoo!,
Google o Microsoft en la colaboración
con el Gobierno estadounidense en
materia de espionaje.
A continuación, inició su ponencia
de un estudio que su compañía reaYuri Gubanov, CEO de Belkasoft, la
lizó con KPMG con 14 organizaciocual giró en torno a la aplicación de
nes de distintos sectores y gobiernos
las ciencias forenses en el mundo
de 5.000 empleados de media. Los
digital, lo que permite ayudar a las
resultados del informe arrojaron como
empresas a investigar los delitos. Sin
conclusiones que 13 de las 14 organiembargo, según el directivo, “a las
zaciones habían sido atacadas, y del
organizaciones no les gusta mucho
80 por ciento estaban extrayendo de
hablar de esto, y tienen una tendencia
manera activa datos de su organizaa atomizar los asuntos referidos al
ción y el 49 por ciento del malware era
ciberespionaje”, afirmó. En su exposidesconocido e indetectable. Según
ción, Gubanov recordó los tiempos en
explicó, los ataques dirigidos forman
los que sólo había pequeños ordenaparte de un plan maduro con muchas
dores personales difíciles de investigar
fases,Pie
por lo que “necesitamos tener
y los comparó con los actuales, en los
Pie
las habilidades
adecuadas para transque predominan una gran variedad de
ferir la información a las personas
dispositivos, y en los que resulta complicado hacer análisis forense porque
hay mucha información almacenada.
Todo ello, en palabras del directivo,
“dificulta la labor de los investigadores
Félix Sanz Roldán
forenses”. A pesar de eso, comentó,
“el análisis forense es fundamental
Director general del CNI
para que los tribunales de justicia pue"Nuestro trabajo y esfuerdan aceptar las pruebas para implicar
a los delincuentes”.
zo no ha con­cluido dando
El último ponente de la sesión fue
forma a la Estrategia de
Nader Henein, director regional de
Ciberseguridad Nacional.
en Seguridad de Producto de
blanco
titular titular Dubai
blanco
titular
HayTitular
que seguir
adelante"
Blackberry. El directivo comenzó su
presentación recordando que, aunque cualquier empresa piense que
en su actividad diaria no hace nada
interesante para que alguien les esté
correctas para que respondan a esas
escuchando, esto no es así. “Hay que
amenazas. Tenemos que ser capaces
pensar que siempre nos pueden estar
de conocer y entender todas las partes
escuchando”, comentó. Es más, si en
claves”. Frente a esta amenaza, ¿qué
los años 80 robar un gigabyte de inforPrimer párrafo despiece
se puede
hacer?
Implementar
mejores
mación costaba un millón de dólares,
Cuerpo base despiece
sistemas de detección que permitan
ahora vale diez céntimos. Esto, según
validar si ha habido algún problema.
Henein, “ha abierto los ojos a los
“Si el ataque ha tenido éxito, hay que
investigadores para almacenar y anacontenerlo y luego ir al consejo de
lizar la información y ver qué es lo que
dirección para ver el plan que querepasa en ella”. A continuación, expuso
mos establecer, ponerle remedio y fijar
cómo todos los ataques están basamétricas sobre los ataques”.
dos en la naturaleza humana, y esta-
diciembre 2014
especial
Ongoing
Operations
Investigate &
Remediate Breach
Threat Profiling
& Eradication
e
ti v
ec n
R etro s platio
Esca
GLOBAL
INTELLIGENCE
NETWORK
Detect & Protect
Block All Known
Threats
ca w n
la E v
tio e n t
n
Incident
Resolution
Fortify &
rationaliz
e
Op
e
o
kn
U n Es
Incident
Containment
Analyze & Mitigate
Novel Threat
Interpretation
monográfico
noticias
bleció distintos tipos de profesionales
de TI a la hora de abordar la seguridad
de sus empresas: el administrador de
TI paranoico, que le preocupa todo e
integra todas las medidas de seguridad
posibles; el “ciberhippy”, que piensa
nadie les va a robar, todo está bien,
no hay peligro…; y el que construye
la seguridad de una empresa como
si fuera una fortaleza, con una gran
inversión en sistemas, normas, reglas y
procedimientos.
Nuevas amenazas de ciberseguridad
En este panel varios expertos analizaron el estado del arte de las nuevas y
sofisticadas amenazas en el panorama
de la ciberseguridad. La primera en
intervenir fue Virginia Aguilar, responsable del National Criminal Intelligence
Resource Center (NCIRC) de la OTAN.
Durante su intervención, Aguilar realizó
una aproximación a las principales funciones del departamento que representaba, cuya principal responsabilidad es defender las propias redes de
la organización. La directiva confirmó
que la OTAN es un objetivo habitual
entre los ciberdelicuentes, los cuales
se mueven por motivaciones políticas,
económicas, personales e ideológicas para efectuar sus ataques. “Todas
Fernando García Sánchez
Jefe del Estado Mayor Defensa
"En el ámbito de las operaciones militares españolas
actualmente la ciberdefensa
ya se encuenta totalmente
integrada"
estos motivos dan lugar a 200 millones
de eventos de seguridad al día en
todos los sensores de la OTAN. Pero
gracias a nuestras tecnologías y a
los equipos de analistas con los que
contamos, podemos reducir esa cifra
a doce incidentes diarios, que son los
que se investigan”.
A continuación, Aguilar describió
los cuatro ataques fundamentales que
recibe este organismo: spear phishing,
watering house, DDoS y explotación
de vulnerabilidades. Para detenerlos,
explicó, es necesario combatirlos en
16
red seguridad
diferentes grados, que van desde la
prevención hasta la detección aplicando medidas básicas de ciberhigiene.
Después intervino Mark Sherman,
director técnico de Cyber Security
Foundations CERT. Su ponencia analizó qué puede pasar en el entorno
de la ciberseguridad en los próximos años. Fundamentalmente se está
produciendo un fenómeno de surgimiento de nuevas superficies de
ataques. “Está apareciendo un nuevo
tipo de malware, de tal forma que el
software se está convirtiendo en el
nuevo hardware”, afirmó. En otras
palabras, las tecnologías de la información están cambiando el punto
de vista del hardware al software,
por ejemplo, mediante la proliferación
de las unidades virtuales cloud. En
este punto es preciso que “el software tenga la misma seguridad que
habitualmente se aplica al hardware”,
afirmó el directivo. Después enumeró
algunos casos donde se pueden dar
vulnerabilidades como los dispositivos
móviles, los pagos a través del móvil o
incluso los automóviles equipados con
ordenadores integrados.
Tomó la palabra a continuación
Douglas Clifton, director global de
Seguridad de Schneider Electric, para
quien resulta importante distinguir
entre Tecnologías de la Información y
Tecnologías Operativas, que son las
que se utilizan en el sector industrial.
“Es fundamental porque nos estamos
refiriendo a las empresas que producen
electricidad o fabrican un producto y
que, por tanto, no pueden interrumpir
sus procesos”, explicó. Ahora bien,
eso no significa que no necesiten compartir información de forma segura.
“Se trata de automatizar los procesos, para lo cual necesitamos que la
ciberseguridad asegure el buen funcio-
diciembre 2014
namiento de éstos”, confirmó. Claro
que para muchas empresas del sector
industrial y de infraestructuras críticas
esto puede sonarles extraño. “Cuando
hablamos con ellos de ciberseguridad,
nos dicen que no tienen recursos para
ello, porque realmente no saben qué
es lo que deben proteger ni por dónde
empezar a hacerlo”, comentó el directivo. En estos casos, Clifton aseguró que
ellos anteponen el programa a la tecnología. “Intentamos definir con ellos qué
quieren proteger exactamente, pero
abordándolo desde un punto de vista
de un programa y realizando una evaluación de los dispositivos”.
El punto final a la sesión lo puso
Pedro Candel, cyberSOC Academy
de Deloitte, quien recordó el enorme
aumento que desde 2008 están tenido
las APT. “Han ido creciendo de forma
progresiva a lo largo de los años y
cada vez es más fácil lanzar ataques
dirigidos, incluso por personas que no
tienen unos grandes conocimientos
tecnológicos”, afirmó. Para comprobarlo, el directivo realizó una pequeña
demostración al auditorio de cómo
se puede poner en marcha una APT
sencilla, modificando determinados
parámetros, a través del comando
“system” de cualquier equipo.
Catalizador de la innovación
El último panel de las jornadas estuvo dedicado al ciberespacio como el
escenario en donde todo se desarrolla.
Como explicó Rafael Tesoro, director
general de Connect Unit H4 de la
Comisión Europea, “estamos conectados permanentemente en el ciberespacio sin fronteras”. De modo que “si la
sociedad digital no se protege adecuadamente, la sociedad europea dejará
de confiar en navegar por el ciberespacio”. La UE ya ha dado un paso en este
monográfico
sentido con la aprobación en 2013 de
la Estrategia de Ciberseguridad, cuyos
principales valores son “proteger los
derechos fundamentales, la libertad
de expresión y la privacidad”, ratificó.
Entre las iniciativas de la UE está la
concienciación y trabajar en la valo­
ración del talento. Precisamente, en
2015 ENISA llevará a cabo un ciber­
campeonato europeo entre varios
países, y ya está disponible, según
Tesoro, “el Programa Marco 2020 en
el que hay muchos proyectos en mar­
cha con los que se busca potenciar
la innovación en ciberseguridad, entre
los que España está incluida”, precisó.
Tras su ponencia, intervino Nissan
Maskil, CTO de IAI Cyber Programs
Directorate de Israel Aerospace In­dus­
tries, quien planteó la necesidad de
comunicar e intercambiar informa­
ción para luchar contra las amenazas
emergentes. “Si carezco de los nuevos
métodos para hacer frente al malware,
cómo voy a ser capaz de defender a
mi organización”, manifestó. Por eso,
para el directivo resulta fundamental
que los países caminen conjuntamen­
te en la resolución de esos problemas.
“Proteger los puntos finales no basta,
es preciso analizar la situación y cam­
biarla; e incluso tampoco es suficiente
una visión holística. La defensa es la
solución posible, pero cada uno debe
comprender cuál necesita aplicar en
este contexto”, explicó. De ahí que sea
muy importante identificar correcta­
mente las amenazas, aunque a veces
sea difícil definirlas.
Sobre el hecho de que los atacantes
cada vez tienen más formas de salirse
de la normalidad y entrar en los siste­
mas empresariales giró la ponencia de
Carles Solé, director de Seguridad de
la Información de La Caixa. “Tenemos
que tener en cuenta que nuestros sis­
temas van a ser infiltrados y desde ese
convencimiento tenemos que cons­
truir nuestras defensas”, confirmó. Por
tanto, cada vez son más necesarias
las herramientas predictivas que per­
mitan evaluar las variantes y detectar
los ataques.
En la presentación de Rafael Ortega,
director general de Innovation 4
Security, también estuvo presente la
noticias
idea de que los sistemas de detec­
ción de ciberamenazas siempre van
por detrás de los atacantes. “Esto
nos obliga a trabajar en el aspecto
preventivo. Es preciso analizar los inci­
dentes que hay y trabajar sobre ellos”,
explicó. Es algo que ya hacen en su
empresa aplicando la tecnología para
pensar cómo actúan los atacantes
y cómo ejecutan sus herramientas.
“Esto hace que trabajemos de manera
ágil, no buscando grandes solucio­
nes”, matizó.
Por su parte, Pedro Pablo Pérez,
director de Ciberseguridad de Tele­
fónica Global, explicó cómo han evo­
lucionado los ataques en los últimos
veinte años, cuando simplemente
buscaban divertirse o la fama, hasta el
año 2000 con la aparición de mafias
El proyecto ASASEC
vos y visualizarlos. En desarrollar esta utilidad contaron con la
Paralelamente a la celebración del ENISE, se realizó una sesión
colaboración de la Universidad de León, que fueron los artífices
específica sobre el proyecto ASASEC, que parte de un convenio
del módulo de visión artificial; la Universidad Politécnica, cuyo
de colaboración entre varios ministerios cuyo fin, en palabras de
Miguel Rego, director general del Incibe, es “mejorar los recursos
trabajo fue la extracción de metadatos para aportar información
de las imágenes; la Asociación ALI, que, aunque no participaron
de las Fuerzas y Cuerpos de Seguridad en la detección y lucha
directamente
el proyecto,
sí desarrollaron
una guía donde se
contra los cibercriminales”. Dentro de este contexto,
según
Titular
blanco
titularentitular
blanco
titular
explica el proceso de análisis forense; y la Unidad Tecnológica
Tomás Vicente, jefe de la Brigada de Seguridad Informática de
de Policía, cuyo representante trabajó como jefe del grupo de
la Unidad de Investigación Tecnológica del Cuerpo Nacional
de Policía, "nosotros tenemos que defender los derechos y
protección del menor con medios tecnológicos.
libertades de los ciudadanos, especialmente los
más débiles, que son los niños”. Por eso, una de
sus principales prioridades ha sido la lucha contra
la pornografía infantil, “una lacra social", apuntó
Vicente. Por eso pusieron en marcha el proyecto
ASASEC, cuyo objetivo es “desarrollar una herramienta que ayudara a la policía a aflorar ese tipo de
prácticas”, explicó Antonio Sepúlveda, responsablePrimer párrafo despiece
del proyecto. La necesidad que detectaron fue la Cuerpo base despiece
de “centralizar toda la información de los datos en
una sola herramienta, con interoperabilidad con
bases de datos de policías de todo el mundo”,
añadió. Por ello desarrollaron una opción forense a
la que se aplica una capa de inteligencia para que
con un simple vistazo puedan acceder a los archi-
red seguridad
diciembre 2014
17
especial
monográfico
noticias
Titular
Francisco Martínez
Titular
Vázquez
Secretario de Estado de
Entradilla
Seguridad
Entradilla
"La ciberseguridad del
Entradilla
ciberespacio es el gran
Entradilla
desafío del siglo XXI"
Tx:
organizadas.
Para las empresas, el
Ft:
principal riesgo actual es el ciberriesgo. “Estamos en una tormenta perPrimer
fecta
enpárrafo
la que los ciberriesgos están
ya Cuerpo
en la base
mente de los CEO”. Por
Último
párrafo
eso,
muchas
organizaciones, como
Telefónica, están realizando importanLadillo
tes
inversiones poniendo la ciberseguridad en el centro de todo. “Hay un
cambio de paradigma que pasa de
proteger la empresa a utilizar métodos
de detección y defensa”, confirmó.
Finalmente, Mónica Díaz Zubiaur,
directora de Investigación de Panda
Security, fue la última en intervenir en el
panel. La directiva habló sobre los actores que están presentes en la innovación
de Panda: el malware, el mercado y las
personas. “Para innovar es importante
el conocimiento y la experiencia, pero
sobre todo el trabajo y la persistencia y
estos ingredientes sólo pueden aportarlo el equipo humano”. Además, hizo un
repaso de la evolución del malware en
los últimos años, hasta llegar a la actualidad, que es "realmente complejo y
polimorfe"; es decir, con múltiples variaciones. “Para protegernos, en Panda
Premios ENISE
RED SEGURIDAD participó en la organización del 8ENISE como colaborador del Incibe.
Durante el encuentro, la revista desplazó a León a parte de su equipo para dar cobertura
al evento y apoyar las necesidades de organizadores, ponentes y medios de comunicación que se interesaron por esta cita.
desarrollamos un nuevo modelo que
hemos llamado Inteligencia colectiva,
cuya base es la tecnología proactiva,
que consiste en detectar el problema
incluso antes de tenerlo”, desveló.
Clausura
El congreso finalizó con la clausura por
parte de Alicia Moral Revilla, embajadora en misión especial para la ciberseguridad
Pie del Ministerio de Asuntos
Pie y de Cooperación (MAEC),
Exteriores
quien centro su intervención en la
idea de que la ciberseguridad, por
su carácter global y transfronterizo,
“tiene importantes implicaciones en
el ámbito de la cooperación internacional”, explicó. Países como Estados
Unidos, Reino Unido, Francia, Israel o
Corea del Sur han desarrollado capacidades de ciberseguridad y están
contribuyendo a crear una conciencia
internacional de la importancia de un
ciberespacio libre y seguro. De hecho,
en la actualidad, apuntó, “hay más de
40 estados con estrategias nacionales
de ciberseguridad, 20 de ellos en la
UE”. Sin embargo, alertó, no todos tienen la misma visión estratégica de los
problemas y de las soluciones, “por
lo que es difícil que se pueda llegar a
alcanzar un consenso global”. A pesar
de ello, sigue siendo “absolutamente
necesaria” la cooperación internacional “para afrontar este fenómeno y
minimizar su impacto en la paz y la
estabilidad internacional”, sentenció.
Finamente, Miguel Rego, director
general del Incibe, cerró las jornadas
agradeciendo a los presentes su asistencia y poniendo una vez más sobre
la mesa el compromiso mutuo adquirido a lo largo de todas las sesiones de
impulsar la colaboración entre el sector público y privado y potenciar las
oportunidades para la industria.
Titular blanco titular titular blanco titular
Coincidiendo con la celebración del Congreso, Incibe entregó los
premios a la “Mejor iniciativa innovadora en ciberseguridad”, a los
que se presentaron trece proyectos. El ganador de este año fue
el proyecto “Youth and Elder Care” (YAECARE), desarrollado por
Enrique Polanco Abarca (en la izquierda de la foto).
Se trata de una aplicación destinada a ayudar a los segmentos de
población más vulnerable, los niños y los ancianos.
En segunda posición quedó el trabajo “Enigmedia
Crypto
Primer
párrafo despiece
System (ECS)”, de Gerard Vidal, que consiste en una plataforma
Cuerpo base despiece
de comunicaciones para la protección de datos que cuenta
con una técnica de cifrado veinte veces más rápida que los
estándares actuales.
Esta edición, que también premiaba el carácter emprendedor de
los proyectos y la posibilidad de que se pudieran llevar a cabo
de manera efectiva, ha contado con una dotación económica de
10.000 euros para el primero y 7.000 para el segundo.
18
red seguridad
diciembre 2014
especial
GLOBALTECHNOLOGY
Consultoría de Seguridad Global e Inteligencia
Monitorización
Seguridad
Hacking
Inteligencia
Seguridad Global
frente a la Amenaza Global
Protección
Conocer sus propias vulnerabilidades antes
que el enemigo, es la única forma de
preparar una defensa eficiente.
Hacking ético. Test de intrusión. Caja negra - Caja blanca
Monitorización. Detecta las amenazas antes de que materialicen
Inteligencia empresarial. Information Superiority - Decision Superiority
Fuga de Datos (DLP). La tecnología como problema y solución
Seguridad Global
Análisis Forense
Análisis de Riesgos
Seguridad en la nube
Hacking ético
Integración Seguridad Lógica y Física
Auditoría de vulnerabilidades
Comunicaciones Seguras
Monitorización
Consultoría Internacional
Ingeniería de Sistemas
Inteligencia Empresarial
Consultoría Tecnológica
Cumplimiento Legal
Seguridad de la Información
Protección de Infraestructuras Críticas
Prevención de Fuga de Datos
Protección del Patrimonio Histórico
Planes de Seguridad Integral
Plan de Continuidad del Negocio
Formación Personalizada según Roles
Sistemas de Gestión de Crisis
Plaza Rodriguez Marín, 3 · 1C. Alcalá de Henares · 28801 Madrid
(+34) 91 882 13 09
[email protected]
www.globalt4e.com
actualidad tecnológica
noticias
CCI celebra en Madrid el III Congreso
Iberoamericano de Ciberseguridad Industrial
Tx: David Marchal
Tras el éxito de la segunda edición del Congreso Iberoamericano de
Ciber­se­guridad Industrial, celebrado el
Bogotá (Colombia) en mayo, los días 7
y 8 de octubre tuvo lugar en Madrid la
tercera edición, que congregó a más
de 200 personas para debatir sobre el
presente y futuro de esta industria.
Una de las principales conclusiones
del evento es que resulta imprescindible la concienciación, la colaboración
y la inclusión de la Ciberseguridad
Industrial en los planes estratégicos
de las organizaciones, tratando de
hacer visible lo invisible. Además,
se puso sobre la mesa el concepto
de seguridad integral, que abarca la
seguridad de TI, operacional y física.
Y es que, según explicó Richard
Stiennon, director de IT Harvest, “toda
organización e individuo es susceptible
de ser atacado”. Ese mensaje se repitió
a lo largo de las siguientes ponencias,
como la de Chris Blask, presidente de
ICS-ISAC, quien hizo una llamada a la
concienciación y colaboración en esta
tarea como “elemento esencial de la
protección y la seguridad”; o la de Joel
Langill, de Scadahacker.com, que hizo
ver a los asistentes que, para plantar
cara a la gran cantidad de información
con la que nos enfrentamos y los distintos tipos de incidentes, “es imprescindible añadir métodos innovadores
que nos ayuden a entender el funcionamiento de los posibles ataques para
prevenirlos”, afirmó.
Otro de los ponentes, Marc Blackmer,
director de Soluciones Industriales de
Cisco, alertó de la necesidad de contar
con más profesionales en este campo,
ya que según los últimos estudios
hacen falta alrededor de un millón de
trabajadores en distintas áreas. Por su
parte, Evgeny Goncharov, responsable
de Soluciones de Seguridad ICS en
Kaspersky Lab, comentó que la principal diferencia en este ámbito es conocer la naturaleza de lo que se quiere
proteger, alertando de las dificultades
de sacrificar funcionalidades importantes en beneficio de la seguridad.
Por otro lado, el Congreso también contó con la participación de las
20
red seguridad
Administraciones Públicas, representadas entre otras por INCIBE y por
el Centro Nacional de Protección de
Infraestructuras Críticas (CNPIC). Miguel
Rego, director del primero, presentó las
actividades de este organismo y analizó
la colaboración en este terreno a través
de iniciativas como Scada Lab, cuyo
objetivo es medir la resiliencia de los
sistemas de control. Además, comentó
que han establecido un sistema de
Servicios de Alerta Temprana orientados al sector industrial, que hasta la
fecha ha gestionado en torno a mil incidentes al año. Por su parte, Fernando
Sánchez, director del CNPIC, puso de
manifiesto que “no hay sector estanco
ni aislado, ya que cualquiera de ellos tienen incidencia y efecto sobre los otros”.
Y anunció que, con el fin de garantizar
la colaboración entre los distintos actores que pueden intervenir en la detección de un incidente, se ha creado la
Oficina de Coordinación Cibernética,
que ha gestionado 70 incidentes de
Ciberseguridad desde agosto.
Diseño seguro
Otro de los temas más importantes debatidos fue el llamado “Diseño
seguro desde el principio”, que
presentó David Grout, director de
Preventa SEUR en Intel SecurityMcAfee, quien hizo hincapié en la
necesidad de la colaboración para
abordar la complejidad actual. Por su
parte, Filippo Cassani, vicepresidente
de Ingeniería de Sistemas EMEA y
APAC de Fortinet, anunció sus soluciones y las tendencias detectadas
diciembre 2014
por su amplia red extendida por todo
el mundo. Según esta, con un número
incontrolado de dispositivos enlazados
de alguna forma con la red, las amenazas están en claro aumento, “por lo
que es imprescindible la colaboración
entre todos los implicados en el tema”.
Las consultoras también tuvieron una
representación importante en el evento. Por ejemplo, Maria Pilar Torres, de
Everis, presentó su proyecto CAMINO
con una visión a largo plazo, ya que
planteó una serie de medidas sobre
cómo hacer frente a los que pueden ser
los riesgos en ciberseguridad industrial
en el año 2020. Igualmente, Jorge
Pasamón, Senior Manager del departamento de Riesgos Tecnológicos de
PWC, habló de estrategía presentando
su relación con la operación y un detallado ciclo de vida de la ciberseguridad
industrial. Por otra parte, Javier Zubieta,
responsable de Desarrollo de soluciones de seguridad en GMV, habló
sobre Faro Corporativo, un sistema de
gestión de seguridad, implantado en
BBVA, donde se registra la información
de incidentes producidos.
Todas estas ponencias estuvieron
acompañadas de talleres sobre diversos temas de interés como ISA99 para
proteger las infraestructuras industriales
o la seguridad en SmartGrid. El mensaje final lo puso Samuel Linares, director
del CCI, quien afirmó que “la ciberseguridad pasa por una comunicación responsable de los incidentes y una involucración estrecha de la dirección, pues
sólo así es posible proteger los más
preciados activos”.
actualidad tecnológica
noticias
Empresas e infraestructuras han
sufrido 125 ataques críticos este año
Deloitte y la APD organizan una jornada sobre ciberseguridad dirigida a los altos
ejecutivos, en la que se ofrecieron cifras como los 54 incidentes que han sufrido
diversas infraestructuras críticas del país durante los 10 primeros meses del año.
El secretario de Estado de Seguridad clausuró la jornada dedicada a la
ciberseguridad para directivos.
España es el tercer país que más
ciberataques recibe al año. Aunque
la mayoría se centran en lo económico, fundamentalmente en el fraude
bancario, lo cierto es que en la actualidad la naturaleza de los criminales
abarca diversos perfiles. En lo que
va de año, el Área de Ciberseguridad
del Centro Criptológico Nacional
(CCN) ha registrado 125 ataques
críticos contra empresas e infraestructuras españolas. Fueron algunos
de los datos que se ofrecieron el
pasado 2 de diciembre en la primera jornada de Ciberseguridad para
Directivos, que organizaron Deloitte y
la Asociación para el Progreso de la
Dirección (APD). Un encuentro en el
que se reunieron numerosos expertos en diferentes áreas, que dieron
a conocer las principales amenazas
a las que se enfrentan hoy en día las
empresas y los particulares.
Alfonso Mur, socio responsable de
Riesgos Tecnológicos de Deloitte,
mencionó la necesidad de introducir los ciberriesgos en la agenda
del Chief Executive Officer (CEO).
El socio de la consultora destacó el
cambio de naturaleza de los ataques
en los últimos años, que han pasado
de tratarse de una cuestión de notoriedad a ser un problema con escala
industrial que se explota económicamente. Además, recalcó el carácter
global y continuo de estos ataques
y la necesidad de que las empresas
realicen un seguimiento constante
de las amenazas, así como de la
implantación de un plan de gestión de riesgos tecnológicos que
contemple simulacros y se actualice
continuamente.
También participó en el encuentro Javier Candau, jefe del Área de
Ciberseguridad del CCN, quien centró su discurso en los casos de
ciberespionaje, mostrando algunos
de los ataques más importantes ocurridos en los últimos años y explicando algunas de las herramientas
y reglas necesarias para combatirlos. Además, ofreció cifras que dan
dimensión al problema que suponen
los ciberataques para las empresas
españolas: en lo que va de año,
se han registrado cerca de 10.500
incidentes, de los que más de mil se
califican de muy importantes y 125
como críticos. Señaló también que
en la actualidad se tienen contabilizadas más de 60.000 familias de
malware.
A lo largo del encuentro hubo otras
ponencias interesantes, como la de
Pedro Candel, miembro del claustro
de CyberSOC Academy, que realizó
una demostración en vivo del ataque
a un sistema operativo, aprovechando
los agujeros de seguridad que presentan. Por su parte, María Vidal y Borja
Almodóvar, asociados senior de Legal
en Deloitte, dedicaron su exposición
al marco legal en el que se mueven
estas amenazas, con referencias a los
delitos contra la propiedad intelectual,
la privacidad y la responsabilidad de
las personas jurídicas ante casos de
fraude o similares.
Abel González, senior manager de
Riesgos Tecnológicos de Deloitte,
indicó durante su exposición sobre
Ataques Persistentes Dirigidos que
las empresas han de actuar como
si esa amenaza fuera una realidad
cotidiana, para defenderse de ellas.
El secretario de Estado de
Seguridad, Francisco Martínez
Vázquez, clausuró la jornada aportando la visión de las Fuerzas de
Seguridad sobre los ciberataques que
se producen cada año. El secretario
de Estado destacó la labor de respuesta del CCN-CERT, que ha detectado más de 13.000 incidentes contra
ciudadanos y empresas, así como
más de 54 contra infraestructuras
críticas en los 10 primeros meses del
año. Mencionó también la relevancia
de los ciberataques en el día a día de
empresas y organismos públicos, y
destacó la necesidad de que empresas, organismos y particulares trabajen juntos "para construir un escudo
firme contra las amenazas".
red seguridad
diciembre 2014
21
actualidad tecnológica
noticias
Propuestas para el futuro
Reglamento de Seguridad Privada
El III Congreso Nacional de Seguridad Privada, organizado por Seguritecnia congregó
a más de 600 profesionales en Madrid. El evento estuvo marcado por el desarrollo
del texto reglamentario que armonizará la nueva Ley de Seguridad Privada.
Javier Borredá, presidente de esta
editorial junto con el Ministro del Interior
El pasado mes de noviembre, el
Auditorio Sur de Ifema acogió el
III Congreso Nacional de Seguridad
Privada, organizado por la revista
Seguritecnia junto a las principales
asociaciones del sector y con la colaboración del Ministerio del Interior y
SICUR. El evento fue todo un éxito,
ya que congregó a más de 600 profesionales pertenecientes tanto a la
seguridad privada como a la pública
y a representantes de las administraciones central –entre ellos, Jorge
Fernández Díaz, titular de Interior– y
autonómica.
El encargado de dar la bienvenida a los asistentes, en calidad
de presidente del congreso, fue
Ángel Córdoba, quien alabó el trabajo realizado desde el Ministerio del
Interior para impulsar la nueva Ley de
Seguridad Privada. Una norma a la
que contribuyeron “los interlocutores
sectoriales que participaron de forma
activa” en su elaboración.
En cuanto al futuro reglamento,
Córdoba se mostró convencido de
que “llegará con vocación de quedarse un largo periodo de tiempo” y que
en él “se establecerán unas nuevas
reglas de juego”. “Esperamos que las
mismas, tal y como ha sucedido con
la propia ley, cuenten con el máximo
consenso posible”, concluyó.
Un sector relevante
A continuación tomó la palabra
Jorge Fernández Díaz. En la primera
22
red seguridad
parte de su intervención, ensalzó
que España es un país seguro gracias al buen hacer de “las distintas
Fuerzas y Cuerpos que operan en el
territorio nacional”. Y también “a los
integrantes de la seguridad privada”,
cuyo sector, recordó el ministro del
Interior, es puntero a nivel europeo
y mundial, aglutinando “a profesionales muy cualificados que prestan
servicios en instalaciones complejas,
con un uso expansivo de las nuevas
tecnologías”.
Tras confirmar que las relaciones
de las administraciones públicas y las
Fuerzas y Cuerpos de Seguridad con
el sector privado son “prometedoras”, Fernández Díaz se refirió a la ley
aprobada en abril, un proyecto compartido “que ahora debe afianzarse
con el desarrollo reglamentario”. Para
ello “ha habido decenas de reuniones
con el sector y se han recibido más
de 50 documentos con aportaciones
y propuestas”.
La jornada prosiguió con una serie
de ponencias basadas en las propuestas consensuadas por las principales asociaciones con el objetivo
de enriquecer el reglamento que articulará la Ley de Seguridad Privada y
plasmadas en un documento entregado a los asistentes al congreso.
Así, durante la mañana se expusieron demandas relacionadas con
la actividad de las empresas del
sector y los servicios que prestan,
el personal de la seguridad privada,
diciembre 2014
la formación, las medidas de seguridad –física, informática, electrónica
y organizativa–, las relaciones con la
Administración o los denominados
“sujetos obligados”: establecimientos
e instalaciones industriales, comerciales y de servicios, así como eventos, que, según la nueva ley, deberán adoptar medidas de seguridad.
Dicho tema fue abordado por Ana
Borredá, directora de Seguritecnia
y Red Seguridad, e Ignacio Gisbert,
director de Seguridad de la
Confederación Española de Cajas de
Ahorros (CECA).
Ya por la tarde, una vez expuestas las propuestas del sector, tuvo
lugar un panel protagonizado por
representantes de la Administración.
El primero en intervenir fue Antonio
Cerrolaza, vicesecretario general técnico del Ministerio del Interior, quien
precisó que el futuro reglamento “es
un proyecto para 2015, pero tiene
que durar 20 años”. Por ello, advirtió,
es importante elaborar un documento de largo recorrido y válido para
todas las partes implicadas.
Además, intervinieron Esteban
Gándara, comisario jefe de la
Unidad Central de Seguridad
Privada del Cuerpo Nacional de
Policía, y César Álvarez, coronel jefe
del Servicio de Protección y
Seguridad (SEPROSE) de la Guardia
Civil, activos impulsores de la nueva
Ley de Seguridad Privada y también
de su futuro reglamento.
actualidad tecnológica
noticias
Jornadas de análisis de la seguridad aeroportuaria
y portuaria
En la recta final del año, la Fundación
Borredá ha llevado a cabo dos exitosos
encuentros con el objetivo de analizar
los retos de protección de dos sectores
estratégicos claves para el normal desarrollo de cualquier estado. Por un lado, la
III Jornada de Seguridad Aeroportuaria,
organizada con la colaboración de la
revista Seguritecnia y la Agencia Estatal
de Seguridad Aérea (AESA), congregó
a más de 350 profesionales en el hotel
Auditórium de Madrid. El evento (en la
imagen) contó, entre otros ponentes,
con Isabel Maestre, directora de AESA,
quien, durante su discurso inaugural,
indicó que “la seguridad de la aviación
civil se enfrenta a nuevos y grandes
retos a nivel global, consecuencia, en
parte, de la actividad sociopolítica y
económica en la que estamos inmersos”. Mientras que antes las amenazas
se abordaban desde un punto de vista
nacional, hoy en día exigen
una “perspectiva internacional”, precisó.
El resto de ponentes abordaron temas desde la seguridad en la carga aérea hasta
el análisis del comportamiento
de los individuos que transitan
por un aeropuerto, pasando
por la detección de trazas de
explosivos y narcóticos o la
inspección de personas.
Por lo que respecta a la I Conferencia
Sectorial de Seguridad en Puertos,
celebrada en el hotel Meliá Castilla,
superó con creces las expectativas de
asistencia. En este caso, las intervenciones inaugurales corrieron a cargo
de Álvaro Rodríguez y Celia Tamarit de
Castro, director técnico y responsable
del Área de Seguridad de Puertos del
Estado, respectivamente, colaborador,
junto a Seguritecnia, en la organización
de la jornada.
Un evento que, además, contó con
profesionales de excepción, como los
directores de Seguridad de los puertos de Algeciras, Barcelona, Bilbao,
Tarragona y Valencia, y en el que
salieron a la palestra cuestiones como
la normativa, las competencias de la
seguridad pública en el ámbito portuario o las innovaciones tecnológicas
destinadas a su protección.
Dictamen europeo
sobre el Internet de
las Cosas
Las autoridades europeas
en materia de protección de
datos han aprobado el primer dictamen conjunto sobre
el Internet de las Cosas,
documento que analiza tres
escenarios: los aparatos electrónicos que se incorporan
en alguna parte del cuerpo
humano, los dispositivos
capaces de registrar información relacionada con la actividad física de las personas y la
domótica.
El documento, cuya elaboración ha sido liderada
por la Agencia Española de
Protección de Datos junto a
su equivalente francesa, la
CNIL, acoge con satisfacción
las perspectivas de beneficios
económicos y sociales que
puede suponer el Internet de
las Cosas, pero también identifica y alerta de los riesgos
que los productos y servicios
emergentes pueden plantear
para la privacidad de las personas, definiendo un marco
de responsabilidades.
BITS
24
Un fallo informático
causa el caos en
Heathrow
Criterios comunes
para el ‘derecho al
olvido’
‘Caso Sony Pictures’:
EEUU acusa a Corea
del Norte
El aeropuerto londinense de
Heathrow, uno de los de mayor tránsito del mundo, quedó paralizado a
mediados de diciembre debido a un
fallo informático “sin precedentes”,
informó el Servicio Nacional de Tráfico
Aéreo (NATS, por sus siglas en inglés)
de Reino Unido. Tras descartarse
que dicho contratiempo fuese provocado por un ciberataque, el ministro británico de Transporte, Patrick
McLoughlin, instó a los responsables
del NATS a informarle sobre las medidas que se han de adoptar en el
futuro para evitar una situación.
El Grupo de Autoridades Europeas
de Protección de Datos (GT29) ha
aprobado un documento sobre
la aplicación de la sentencia del
Tribunal de Justicia de la Unión
Europea, del pasado 13 de mayo,
relativa al denominado derecho al
olvido. El texto, del que ha sido
ponente la Agencia Española de
Protección de Datos, desarrolla a
lo largo de 25 puntos los criterios
interpretativos comunes que van a
presidir la aplicación de la sentencia
por parte de los distintos estados
europeos.
Un ciberataque obligó a Sony
Pictures a cancelar el estreno de
la película The Interview, una parodia cuyo argumento se basa en el
supuesto asesinato del líder de Corea
del Norte, Kim Jong-Un. En comparecencia pública, Barak Obama,
presidente de EEUU, anunció que el
organismo de investigación criminal
FBI ha confirmado que el gobierno
de Pyongyang está involucrado en el
considerado “ataque terrorista internacional”, al que la Administración
estadounidense dará una respuesta
“proporcionada”.
red seguridad
diciembre 2014
actualidad tecnológica
noticias
El gobierno de los accesos preocupa cada
vez más a las organizaciones españolas
El Casino de Madrid se convirtió en el
escenario del almuerzo ejecutivo organizado por IDC, en colaboración con
la empresa NetIQ, sobre el gobierno
de los accesos en las organizaciones. En él participaron algunos de
los responsables de Seguridad de las
principales empresas españolas. Y es
que, según Antonio Flores, analista de
IDC, “cada vez más las áreas de TI de
las compañías son conscientes de la
importancia de regular adecuadamente los accesos a la información. Ahora
bien, el problema surge cuando deben
involucrar al negocio”.
Precisamente, esta cuestión fue una
de las más debatidas durante el evento. En este sentido, la gestión de accesos favorece, según Flores, “la relación
entre ambas partes, en tanto en cuanto permite realizar auditorías, saber en
cada momento quién está accediendo
a qué, obtener informes en tiempo
real, delegar responsabilidades... Esto
hace que la relación entre ambos se
estreche”, comentó. De igual forma
opinó Carlos Barbero, ingeniero de
Ventas de NetIQ Iberia: “El gobierno
de los accesos es un punto que preocupa a las empresas. Por desgracia,
no siempre se consigue la financiación
necesaria. Por eso, es imprescindible
que el área de gestión
se involucre y lidere
estas iniciativas”.
A tenor de las opiniones de los asistentes, esto es algo
que ya se está produciendo, aunque de
forma lenta y paulatina. “Hasta 2012 el
mercado
requería
herramientas
que
automatizasen procesos, de forma que
A la izquierda, Carlos Barnero, ingeniero de Ventas de
cuando se daba de
NetIQ, junto a Antonio Flores, analista de IDC.
alta un usuario nuevo,
las peticiones quedaban reflejadas en
área de TI? En otras palabras, si bajo
sistemas auditables y de administraeste sistema hubiera una pérdida de
ción delegada. Ahora esta tendencia
información, ¿TI se debe lavar las
de mercado ha evolucionado hacia
manos, puesto que lo gestiona el
la involucración de la capa de negonegocio? “Es importante destacar el
cio”, explicó Barbero. Por su parte,
papel que debe desempeñar TI a la
Flores consideró que “la delegación
hora de hacer ver a la unidad de negoque puede hacer el área de TI con una
cio los riesgos que tiene llevar a cabo
herramienta de este tipo a la unidad de
determinadas acciones. Su responsanegocio es fundamental. Uno mismo
bilidad es informar y educar para que
puede dar acceso y quitárselo en tiemno suceda”, matizó Flores.
po real, sin que el departamento de TI
En este sentido, Barbero comentó
esté de intermediario”, afirmó.
que soluciones como las de NetIQ
Ahora bien, a partir de aquí surpermiten, mediante una interfaz sencigió otro debate durante el almuerzo:
lla, “certificar los accesos y humanizar
¿hasta dónde debe llegar al papel del
todo el proceso”.
CyberCamp ayuda a encontrar el talento
en el ámbito de la ciberseguridad
El Pabellón Multiusos I de la Casa de Campo de Madrid acogió
la celebración de la primera edición de la CyberCamp. Se trata
de un encuentro organizado por la Secretaría de Estado de
Telecomunicaciones y para la Sociedad de la Información (SETSI)
y el Instituto Nacional de Ciberseguridad (Incibe) que reunió a más
de 4.300 asistentes, como familias, estudiantes, profesionales y
emprendedores, los cuales pudieron participar en decenas de
actividades y talleres relacionados con la ciberseguridad.
En este contexto también se celebró el Foro de Empleo, en el que participaron cerca de 20 empresas, que estuvieron
realizando entrevistas personalizadas de coaching y ofreciendo charlas motivacionales y de formación a los candidatos.
Todo ello con el objetivo de buscar talento en un mercado como el de la ciberseguridad que, según Miguel Rego, director general del Incibe, “demanda un millón de profesionales en todo el mundo”, y actualmente “mueve más de 72.500
millones de dólares al año”. Por eso, se mostró satisfecho por la acogida del evento.
Las cifras obtenidas “demuestran el éxito de CyberCamp 2014 al conjugar mensajes, talleres y actividades sobre
ciberseguridad para todo tipo de públicos”. Por su parte, el secretario de Estado de Telecomunicaciones y para la
Sociedad de la Información, Víctor Calvo-Sotelo, explicó que “es muy importante haber desarrollado con éxito un
evento de estas características como un punto de encuentro” para toda la sociedad. De hecho, se enmarca dentro del
Plan de Confianza de SETSI, que cuenta con un presupuesto de seis millones de euros para promover la investigación,
la formación y el estímulo de jóvenes profesionales por la ciberseguridad.
red seguridad
diciembre 2014
25
actualidad tecnológica
noticias
El CCN-CERT defiende el patrimonio
tecnológico español en sus jornadas
El Centro Criptológico Nacional (CCN) celebró los días 10 y 11 de diciembre la octava
edición de sus jornadas de ciberseguridad, en las que se dieron cita expertos del
sector para debatir sobre los riesgos y amenazas cibernéticas a las que se enfrentan
las Administraciones Públicas y las empresas de interés estratégico.
Tras la inauguración, el evento se dividió en varias sesiones simultáneas en las que se
abordaron distintos temas relacionados con la ciberseguridad.
Tx: David Marchal
Ft: CCN-CERT
El ciberespionaje político e industrial, los ataques dirigidos, las nuevas amenazas o las distintas tecnologías que habitualmente emplean
los atacantes fueron algunos de
los aspectos que se abordaron en
las VIII Jornadas STIC CCN-CERT,
celebradas en el Ilustre Colegio de
Médicos de Madrid los pasados 10
y 11 de diciembre. El evento, organizado por el CCN-CERT, del Centro
Criptológico Nacional (CCN), organismo adscrito al Centro Nacional de
Inteligencia (CNI), se desarrolló con el
lema La defensa del patrimonio tecnológico frente a los ciberataques,
y fue inaugurado por el director del
CNI-CCN, Félix Sanz Roldán, junto
con el jefe del Estado Mayor de la
Defensa, Fernando García Sánchez.
Durante su intervención, Sanz
Roldán explicó la necesidad de construir una sólida cultura de la ciberseguridad en España. Para ello es preciso "llegar al usuario final", confirmó,
y hay que hacerlo con algo más que
26
red seguridad
"quitarle la preocupación". "Hay que
conseguir que tenga confianza". Y es
que, como aseguró Sanz Roldán, "la
seguridad se puede lograr, pero la
confianza hay que ganarla".
Precisamente, conseguir esto es
la labor del CCN-CERT, para lo cual
debe seguir estando a la vanguardia
en esta materia y liderar un gran
sector profesional defensivo en el
ámbito de la ciberseguridad. De ahí
la importancia de estas Jornadas,
señaló, que permiten compartir el
conocimiento y facilitan "tomar decisiones adecuadas confiando en los
datos de los que saben", añadió.
Actividad del CCN-CERT
Tras la inauguración, los responsables de ciberseguridad del CCN realizaron un resumen de las funciones
del organismo y su actividad en
2014. En sus exposiciones pusieron
de manifiesto el alto nivel de conocimiento existente en nuestro país
en materia de ciberseguridad y la
necesaria actuación del CCN en la
defensa del patrimonio tecnológico
español, no sólo por las ingentes
diciembre 2014
pérdidas económicas que pueden
acarrear los ciberataques, sino por
el prestigio que se juega España en
este campo.
Asimismo, los representantes del
CCN desvelaron algunas de las cifras
que están detrás del trabajo que han
realizado durante 2014. Por ejemplo,
en materia de formación han recibido más de 4.800 solicitudes y han
participado en sus cursos cerca de
500 alumnos, a los que en total les
han ofrecido más de 1.100 horas
lectivas. A todo esto se unen los
más de 46.000 accesos online a sus
formaciones virtuales y la publicación
de guías, actualizaciones y reglas.
Por otro lado, este organismo
ha gestionado durante 2014 cerca
de 13.000 ciberincidentes, lo que
representa un incremento del 80 por
ciento con respecto al año anterior.
Y de ellos, el 82 por ciento son de
código dañino. A continuación, los
representantes del CCN abordaron
cuáles fueron las campañas de APT
que más daño causaron durante los
últimos meses y cuyo posible origen
hay que buscarlo en Rusia y China.
De esta forma, hablaron sobre el
malware, como Careto y Machete, o
los troyanos, como Snake o Regin.
Por este motivo, destacaron la
importancia de la labor de la entidad, no sólo para proteger a la
Administración Pública y las empresas de interés estratégico para el
país, sino también para ayudar al
resto de las organizaciones a evitar
los ciberataques. En este sentido, el
CCN-CERT cuenta con más de 80
compañías inscritas a sus servicios
de ayuda, a través de los cuales
les facilita información actualizada,
reglas, alertas, guías de buenas
prácticas y el acceso a la parte privada de su portal web, entre otras
acciones de apoyo.
actualidad tecnológica
Además, en muchos casos, pone
a su disposición algunas de las
herramientas tecnológicas con las
que cuenta la entidad. Unos buenos
ejemplos son CARMEN, que es su
centro de análisis de registro y minería
de eventos; o LUCIA, un listado unificado de coordinación de incidentes
y amenazas. Sin embargo, éstas no
son las únicas utilidades con nombre de mujer con las que cuenta el
CCN. Dispone de otras que también
detallaron durante su intervención los
representantes de la institución como
INES, que hace referencia al informe
nacional del estado de la seguridad;
PILAR, que se centra en el análisis y la
gestión de riesgos; MARIA, que es un
multiantivirus integrado; MARTA, que
engloba un motor de análisis remoto
de troyanos avanzado; y CLARA, una
herramienta personalizada de análisis
local y remoto.
La jornada continuó con una sesión
dedicada a analizar las infecciones en
las BIOS y derivados impartida por
David Barroso, Chief Technical Officer
de Eleven Paths. El directivo explicó
cuáles son las capas en las que se
puede ocultar código dañino, para
a continuación pasar a describir qué
es la BIOS, para qué funciona, cómo
evolucionó a lo largo de los años y
cuál es su predecesora, denominada
UEFI. Por último, Barroso también
hizo un repaso por los principales
virus más dañinos que infectaron la
BIOS en los últimos treinta años.
Distintos módulos
Tras estas sesiones iniciales, los asistentes tuvieron la oportunidad de elegir
uno de los tres módulos simultáneos
que se celebraron a continuación. El
primero estuvo dedicado al ciberespionaje y APT (Advanced Persistent
Threat), aquellos ataques dirigidos a
un objetivo específico, con una preparación minuciosa y persistente en
el tiempo, que suelen ser muy difíciles de detectar y de erradicar. El
segundo módulo giró en torno a las
herramietnas y tecnologías disponibles para hacer frente a las nuevas
amenazas como las que se producen
a través de los dispositivos móviles,
las redes sociales, el cloud o el Big
Data. Finalmente, en el tercer módulo se habló del Esquema Nacional
de Seguridad (ENS), así como de la
Estrategia Nacional de Ciberseguridad
y su cumplimiento normativo.
noticias
A la izquierda, Félix Sanz Roldán, secretario de Estado Director del CNI-CCN, junto a
Fernando García Sánchez, jefe del Estado Mayor de la Defensa.
Coincidiendo con los contenidos
de cada uno de estos módulos se
celebraron también tres talleres prácticos, en los que se hicieron distintas
demostraciones de las herramientas
del CNI para la detección de ATP
(CARMEN, MISP, MARTA y MARIA)
y para el cumplimiento normativo
(PILAR, LUCIA y CLARA); así como
sobre cuáles son las mejores formas
de conocer a los atacantes.
Aparte de todo esto, durante las
jornadas también se desarrollaron
tres mesas redondas en las que se
trató la formación y las certificaciones
profesionales en ciberseguridad, la
ciberresilencia sectorial en los sectores público y privado, y las aportaciones de los proveedores de servicios a
la ciberseguridad nacional.
Para concluir, el director TIC de la
Administración General del Estado,
Domingo Molina, junto con el director
de Recursos del CNI, clausuraron las
jornadas y agradecieron a los ponentes el haber compartido con todos
los presentes sus conocimientos y a
las empresas patrocinadoras su
apoyo. En ese sentido, ambos calificaron de éxito las jornadas. "Es un
éxito de todos: organizadores,
ponentes, asistentes, patrocinadores, medios de comunicación…",
afirmó el director de Recursos del
CNI. "Todos ellos ocupan un puesto
irreemplazable en la ciberseguridad
nacional y en la difícil tarea de defender y mantener el patrimonio tecnológico español frente a los ciberataques", puntualizó.
El CCN-CERT gestiona más de 13.000 incidentes
de seguridad en 2014
El CCN-CERT ha gestionado a lo largo de
2014 cerca de 13.000 ciberincidentes, lo que
representa un incremento del 80 por ciento
con respecto al año anterior. De todos ellos,
el 11,6 por ciento fueron catalogados por el
equipo de expertos del organismo con un
nivel de riesgo entre muy alto y crítico; es
decir, se tiene constancia de que el ataque ha
afectado a los sistemas de la organización y a
su información sensible. Paralelamente, esta entidad ha constatado un incremento
en la intensidad y sofisticación de dichos ataques, tanto a las Administraciones
Públicas como a las empresas y organizaciones de interés estratégico para el país,
fundamentalmente de los sectores energético, de defensa, químico, aeroespacial
y farmacéutico.
Ante este tipo de amenazas, el CCN-CERT ha ido adecuándose a las necesidades y adelantándose a esta realidad donde ciberdelincuentes, crimen organizado,
terroristas, hack­tivistas o los propios estados son capaces de explotar las vulnerabilidades tecnológicas de cualquier empresa o institución con el fin de recabar
información, sustraer activos de gran valor y amenazar servicios básicos para el
normal funcionamiento del país.
red seguridad
diciembre 2014
27
actualidad tecnológica
noticias
Ataque masivo a través de CryptoLocker
Un reciente post de Panda Security
ha informado de una masiva infección
producida a través de CryptoLocker,
una familia de ransoms cuyo modelo
de negocio se basa en la extorsión.
El ataque se produce mediante un
e-mail que simula ser de Correos y
avisa al usuario de que no se le ha
podido entregar una carta certificada. Para saber más acerca de dicho
envío, se ha de entrar en un enlace. Al
hacerlo, un site comunica que, para
conocer los detalles de la carta, es
preciso introducir un código Captcha.
Si se realiza la operación, se descarga
un troyano que encripta todos los
archivos del ordenador.
Para evitar el CryptoLocker, se
aconseja extremar las precauciones
ante e-mails de remitentes no esperados, especialmente en los que incluyen ficheros adjuntos o con enlaces
externos. Asimismo, desactivar la
política de Windows que oculta las
extensiones conocidas también ayuda
a reconocer un ataque de este tipo.
Cl@ve: nueva
plataforma para
agilizar los trámites
electrónicos
También es muy importante contar con un sistema de backup de
los ficheros críticos, herramienta que
garantiza poder mitigar el daño causado por el malware y cubrir el terminal
ante problemas del hardware. Si no se
dispone de backup y el equipo acaba
siendo infectado, no es recomendable
el pago del rescate. Esta nunca debería ser la solución para recuperar los
ficheros, ya que convierte el malware
en un modelo de negocio rentable,
impulsando el crecimiento y la expansión de este tipo de ataque.
El Consejo de Ministros ha
aprobado la creación de
Cl@ve, una plataforma común
del sector público administrativo estatal para la identificación,
autenticación y firma electrónica. Con esta decisión, se
sustituirá el actual sistema de
acceso electrónico en la Red,
basado en la obtención de un
certificado de firma electrónica, por otro nuevo de claves
concertadas, más ágil y de
fácil obtención y utilización.
Habrá dos tipos de identificación para los usuarios: uno
ocasional y otro permanente.
El órgano responsable de
Cl@ve será la Dirección de
Tecnologías de la Información
y de las Comunicaciones de
la Administración General
del Estado. Asimismo, en
la construcción e implantación de la plataforma participarán la Secretaría de
Estado de Administraciones
Públicas, la Agencia Estatal
de Administración Tributaria,
la Gerencia de Informática de
la Seguridad Social y demás
entidades gestoras y servicios
comunes, la Dirección General
de la Policía y la Fábrica
Nacional de Moneda y TimbreReal Casa de la Moneda.
El sector público administrativo estatal deberá habilitar
el sistema antes del 1 de
octubre de 2015.
El Centro Nacional de Inteligencia contrata a 50
‘hackers’
El Centro Nacional de Inteligencia
(CNI) ha contratado a 50 hackers con
el objetivo de reforzar la plantilla del
Centro Criptológico Nacional (CCN).
Estos talentos en ciberseguridad suelen ser captados en foros patrocinados por el propio organismo y, por
lo general, prestan su labor externamente. En cuanto a sus funciones, se
les solicita desde crear antídotos para
contrarrestar virus hasta desarrollar
análisis forenses, informa El País.
Durante 2014, el CNI ha detectado
13.000 incidentes, un 80 por ciento
más que el año pasado; de ellos,
el 11,6 por ciento tenían un nivel de
riesgo muy alto o crítico y estaban
destinados a extraer información. De
manera especial, el Gobierno señala
a hackers de Rusia y China, encargados de enviar correos maliciosos
a altos cargos del Ejecutivo con el fin
de rastrear sus datos e interceptar
comunicaciones. Los ministerios de
Asuntos Exteriores, Defensa, Interior
y de la Presidencia fueron los que
registraron las amenazas persistentes avanzadas (APT) más complejas.
Los ciberataques pueden provocar una respuesta militar
El pasado mes de septiembre, la
Organización del Tratado del Atlántico
Norte (OTAN) acordó que un ciberataque a gran escala dirigido a un país
miembro podría ser considerado un
ataque contra la totalidad de la alianza
y provocar una respuesta militar.
Esta postura marca una expansión
en la jurisdicción de la OTAN y pone de
28
red seguridad
manifiesto que las nuevas amenazas
pueden llegar a deshabilitar infraestructuras críticas, sistemas financieros
e incluso un gobierno sin necesidad
de utilizar armas físicas. Según Anders
Fogh Rasmussen, ex secretario general
de la alianza, “la ciberdefensa es parte
de la tarea central de la OTAN para
garantizar la defensa colectiva”.
diciembre 2014
Entre los casos de ciberataques a
miembros de la organización, destaca
el que paralizó gran parte de Estonia
en el año 2007, presumiblemente por
el desplazamiento de un monumento
de la era soviética. Los expertos occidentales señalaron al Kremlin, pero, oficialmente, desde Rusia negaron haber
atacado a la república báltica.
seguridad financiera
sobre la mesa
De izq. a dcha., Miguel Ángel Martos, director general para el Sur de Europa de Blue Coat; Fernando Vega, director de Seguridad
de la Información de Gneis-Bankinter; Carles Solé, director de Seguridad de la Información de CaixaBank; Ricardo López, jefe de
Auditoría Interna y Seguridad de la Información de Cecabank; Rubén Ceacero, gerente de Seguridad Informática de Gneis-Bankinter;
Ana Borredá, directora de RED SEGURIDAD; y Enrique González, redactor jefe de la revista.
De la prevención al análisis y
detección de los ciberataques
El ámbito de la seguridad en el sector financiero ha evolucionado mucho en los últimos años
para intentar adaptarse a las necesidades. Ahora se tiene la certeza de que la prevención
no es suficiente para detener las nuevas amenazas. Para ello es preciso conocer qué ocurre
en los sistemas de información de las entidades para poder hacer frente a cualquier ataque.
Tx: David Marchal
Ft: RED SEGURIDAD
A principios del pasado mes de
octubre, la entidad bancaria JP
Morgan Chase reconoció ante la
Comisión del Mercado de Valores
de Estados Unidos (SEC) que 76
millones de sus cuentas corrientes y
siete millones de pequeñas empresas se vieron afectadas por un ataque informático a las páginas web y
aplicaciones móviles de la institución
durante el mes de agosto. Entre
la información a la que accedieron los ciberdelincuentes figuraban
nombres, direcciones, números de
teléfono y correos electrónicos de
sus clientes, así como información
interna de la institución.
Este hecho reciente fue el punto
de partida con el que arrancó el
30
red seguridad
desayuno de trabajo organizado por
RED SEGURIDAD, con la colaboración de Blue Coat, para intentar
poner sobre la mesa los retos y
tendencias en materia de seguridad
que actualmente tienen las entidades
financieras, en general, y sus CISO,
en particular.
Precisamente, los participantes
comenzaron valorando este ciberataque, del cual reconocieron que ninguna entidad financiera está a salvo.
En palabras de Carlos Solé, director de Seguridad de la Información
de CaixaBank, “es algo que nos
puede pasar a todos”, afirmó. “Lo
que hay que hacer es contar con un
ecosistema completo de seguridad
para defenderse de este tipo de ataques”, añadió. De la misma opinión
se mostró Fernando Vega, director
de Seguridad de la Información de
diciembre 2014
Gneis-Bankinter (Grupo Bankinter)
quien realizó un par de lecturas del
incidente: "la primera es que ha
incrementado la concienciación de
todos; mientras que la segunda es
que han tardado unos dos meses en
descubrirlo, cuando ya habían salido de la entidad muchos gigabytes
de información". De hecho, para el
directivo, la preocupación actual de
las entidades financieras ya no es
que los atacantes se adentren en sus
sistemas tecnológicos, sino más bien
dónde exactamente están dentro.
Este aspecto también lo puso
de relieve en su primera intervención Rubén Ceacero, gerente de
Seguridad Informática de GneisBankinter: "Hay que hacer los controles de seguridad necesarios no
para eliminar los riesgos, sino para
mitigarlos lo máximo posible y tener
especial
seguridad financiera
un mayor control de lo que está ocurriendo en tu red", afirmó el directivo.
A juicio de Ricardo López, jefe de
Auditoría interna y Seguridad de la
Información de Cecabank, en este
punto es donde precisamente deben
ponerse a trabajar. "Hemos pasado
de utilizar herramientas fundamentalmente preventivas a otras que tratan
de esclarecer cuándo y cómo se ha
producido el ataque y cómo se puede
reaccionar a él", comentó. Según el
directivo, este tipo de utilidades son
mucho más avanzadas, dinámicas y
proactivas que las anteriores, y se
basan "en modelos 'detectivos', en
vez de predictivos", añadió.
Éste es un hecho en el que también coincidió Miguel Ángel Martos,
director general para el sur de Europa
de Blue Coat. "En el sector financiero
hemos pasado de una no percepción
del riesgo real que existía a entender lo
que está ocurriendo". Por eso, añadió,
desde su organización están trabajando en proveer de tecnologías a las
entidades financieras "para minimizar
en la medida de los posible esa ventana atacante", así como "racionalizar
el flujo de información que tradicionalmente se ha venido recibiendo de los
diferentes dispositivos de seguridad",
agregó el representante de Blue Coat.
Ahora bien, a la hora de establecer
este tipo de medidas tecnológicas
cuentan con dos handicap importantes. El primero son las nuevas normativas, a las que han tenido que irse
adaptando las infraestructuras tecnológicas de las entidades financieras
para poder hacer frente a su cumplimiento, y que, de forma positiva, como
apuntó Ceacero, de Gneis-Bankinter,
sobre la mesa
este sentido, es importante realizar
una labor de formación tanto a los
empleados como a los colaboradores
para indicarles "qué pueden hacer y
qué no, y en qué consiste un comportamiento sospechoso o anómalo",
añadió el directivo.
Ahora bien, en este sentido, el
problema que aprecia López, de
Cecabank, es que en general "la gente
asimila seguridad informática con tecnología y programas, y automáticamente despliegan un velo y dicen que
no es asunto suyo". En estos casos
hay que hacerles ver que el tema de la
seguridad también va con ellos.
Fernando Vega
Director de Seguridad de la
Información de Gneis-Bankinter
"Nos preocupamos por
proteger el core bancario,
pero realmente en el big
data tenemos información
muy parecida, mucho más
jugosa y exportable, por
lo que se puede convertir
en un nuevo objetivo de
ataque"
ha permitido que el área de Seguridad
incremente sus presupuestos. El
segundo handicap es el empleado,
puesto que se le considera el eslabón
más débil de la cadena dentro de
cualquier sistema de seguridad. Por
eso, para Vega, de Gneis-Bankinter,
"la principal vía de entrada de este tipo
de ataques es la ingeniería social". En
El papel del CISO
En este nuevo escenario resulta fundamental el rol que debe desempeñar
el CISO en cada entidad financiera.
"Él es el que debe conseguir que la
seguridad sea parte del ADN de una
organización, y no algo en lo que se
piensa cuando ha habido evidencia de
riesgo", opinó Martos, de Blue Coat.
De esta forma, para el directivo, pasa
de ser una figura responsable de la
seguridad informática a "ser el responsable de la seguridad en general o de
la seguridad de los datos".
López, de Cecabank, también aprecia ese cambio y, para él, este profesional ha de convertirse en "un analista
de riesgos", que debe ir directamente
a donde están los riesgos de seguridad, para lo cual no hace falta ser
informático. Pero, eso sí, tiene que
"conocer con detalle cuáles son sus
procesos de negocio y tener claramente identificadas las competencias
de las primeras y segundas líneas
de seguridad". Aparte de esta labor,
Blue Coat, fortaleciendo la seguridad
La compañía Blue Coat Systems cuenta con un largo historial en la protección de las organizaciones, en general, y
de sus datos, en particular. De hecho, trabaja para más de 15.000 clientes en todo el mundo, incluyendo el 78 por
ciento de la lista de Fortune Global 500. Esto es posible, según sus responsables, gracias a una sólida cartera de
propiedad intelectual con más de 200 patentes que le permiten seguir impulsando innovaciones que aseguren la
continuidad del negocio, la agilidad y la gobernanza. Prueba de ello es que la compañía ha
sido calificada recientemente por Gartner como líder de su cuadrante mágico en la categoría de gateways de seguridad web. Sin embargo, ésa es sólo un área sobre la que gira
toda su "propuesta de seguridad empresarial". Gracias a este planteamiento, el fabricante
no sólo ofrece una avanzada y sofisticada tecnología, sino que la presenta desde una perspectiva totalmente innovadora que permite aportar valor empresarial a cada organización,
independientemente del sector en el que ésta opere. Todo ello, además, trabajando desde
cualquier clase de dispositivo y con aquellas aplicaciones de escritorio, web o móviles que
una compañía necesite utilizar en cada momento.
especial
red seguridad
diciembre 2014
31
seguridad financiera
sobre la mesa
función es intentar sacar información
de la entidad mediante la infección
de una máquina y su propagación
por el resto hasta dar con la información relevante que se busca. Para
frenarlas, Solé considera fundamental
separar las fases en las que se divide
una ATP. "En cada una de ellas habrá
que aplicar tecnologías que hasta
ahora no tenías, y pueden servir otras
más tradicionales que ya se estuvieran utilizando como la categorización, el control o los privilegios en el
puesto de trabajo", comentó. Claro
Los asistentes a la mesa redonda coincidieron en señalar cómo las precupaciones de las
áreas de Seguridad han pasado de la prevención a la detección de los ataques.
el CISO también ha de contar con el
apoyo en su gestión de los empleados y del consejo de dirección, para
lo cual, según matizó Ceacero, de
Bankinter, "es necesario que explique
perfectamente sus decisiones y que
reciba el visto bueno de todos ellos
para que pueda llevarlas a cabo".
Asimismo, resulta fundamental que
se establezca una comunicación fluida
entre los distintos profesionales de la
seguridad para compartir información
sobre ataques y técnicas de defensa.
De hecho, este tema también generó
cierto debate entre los asistentes. En
general, todos estuvieron de acuerdo
en que es necesaria esta cooperación
por el bien de las empresas del sector financiero. Sin embargo, en este
punto pueden surgir algunos inconvenientes. Para Solé, de CaixaBank,
el problema de la compartición de
la información es que siempre es
necesario comunicar aquello que le
vaya a ser útil al otro, pero comunicar por comunicar no tiene sentido.
"Imaginemos que entran en alguna
de nuestras entidades, pero el ataque no afecta a la información, ni a
ningún cliente o empleado. ¿Es lícito
comunicar eso cuándo no se ha visto
nadie involucrado? En el momento
en el que afecta a un proveedor, un
cliente o un empleado, sí sería preciso comunicarlo y tomar las acciones
necesarias", comentó. Además, para
cooperar también es necesario que
exista un mecanismo ágil que permita poder compartir esos delitos. De
momento, eso todavía no existe, y lo
que se viene haciendo es apoyarse
en algunos foros de seguridad de TI y
en determinadas reuniones con la fis32
red seguridad
calía, la Policía y la Guardia Civil. Por
eso, para Ceacero, de Bankinter, se
echa de menos "alguna herramienta
gubernamental" que mejore la posibilidad de compartir información.
En este punto, Martos, de Blue
Coat, ensalzó la labor que están
haciendo los fabricantes del sector,
que se constata en tres tendencias
principales. La primera es compartir
con otros fabricantes, "siempre con
un equilibrio en cuanto a que no sea
un competidor, y esa información esté
orientada a la identificación temprana
de malware". En segundo lugar, compartir información de los usuarios de
un determinado tipo de tecnología.
"Ahora cada vez que un fabricante
identifica un rastro de malware en
cualquier lugar de su red, esa muestra
puede ser de una inteligencia colectiva que automáticamente alimenta un
dispositivo de seguridad en cualquier
lugar del mundo", explicó. Y la tercera
vía tiene que ver con el cambio de
operativa de seguridad. "Cada día
se intenta hacer más análisis forense
de qué ha ocurrido, ver las brechas
de seguridad e identificar el código
dañino". Para el directivo, todo ese
conocimiento retroalimenta sistemas
como los de Blue Coat y fomenta la
inteligencia colectiva.
Tendencias en amenazas
A continuación, el tema de debate de
la mesa de trabajo se centró en exponer cuáles son actualmente las principales tendencias en ataques tecnológicos a los que se deben enfrentar las
entidades financieras. La respuesta
mayoritaria fue las amenazas avanzadas persistentes (APT), cuya principal
diciembre 2014
Carles Solé
Director de Seguridad de la
Información de CaixaBank
"Una entidad
financiera debe contar
con un ecosistema
completo de seguridad
para defenderse de los
ataques informáticos"
que, matizó, todas estas herramientas están muy bien, pero "es preciso
realizar un análisis inteligente y poder
hacer saltar la alarma para investigar
posteriormente".
Vega, de Gneis-Bankinter, estableció otros tres tipos de amenazas también importantes para las entidades
financieras en función de los intereses
que tengan. Una primera más asociada al ciberterrorismo, que incluso tiene
por detrás a gobiernos que quieren
afectar a las infraestructuras críticas de
un país. La segunda está más vinculada al robo de la propiedad industrial; y
especial
seguridad financiera
sobre la mesa
la tercera va asociada a la parte monetaria, a querer sacar dinero", expuso.
Para el directivo, lo que caracteriza
al sector financiero es que se puede
ver afectado por estas tres variantes.
Ahora bien, el que más preocupa a
las entidades financieras es el tercer
tipo. Dicho esto, también puso sobre
la mesa otro elemento al que él considera puede llegar a ser una amenaza:
la regulación. "El no cumplimiento o las
sanciones regulatorias debemos considerarlas también como una amenaza
porque afectan a la reputación de las
entidades", confirmó.
Finalmente, otra amenaza a la que
también se hizo referencia durante el
desayuno de trabajo fue el atacante
interno, el que está en la propia entidad. En este sentido, las organizaciones financieras han ido poniendo
trabas y restricciones de seguridad
para acotar sus áreas de actuación.
Sin embargo, según los asistentes a la
mesa redonda, ahora aparecen otras
opciones como el cloud, en las que
se debería aplicar el mismo tipo de
protección que en una infraestructura
interna de la empresa. Según López,
de Cecabank, "la nube se ha vendido a
los usuarios como la solución a todos
sus problemas, y que vale para todo.
Yo creo que primero tiene que haber
una racionalización de esta clase de
proveedores y también en cuanto a
las medidas de seguridad que están
dispuestos a implantar, y hasta qué
punto puede haber convergencia entre
mis propias políticas y las de la nube".
Además, el directivo abogó por que las
medidas de seguridad que se aplican
a las entidades financieras no tienen
por qué ser las mismas que se exijan
a otras organizaciones. "Esto se debe
poder ajustar en términos contractuales", añadió. Y tampoco observa que,
desde un punto de vista proactivo, los
proveedores cloud pongan la seguridad por delante, "en el sentido de confidencialidad y protección de acceso".
Esto también puede provocar otro
problema, tal y como expuso Ceacero,
de Gneis-Bankinter. Evidentemente,
la nube tiene un coste inferior para
las áreas de negocio porque se paga
por uso del servicio. Sin embargo, el
departamento de Seguridad les puede
advertir del problema de sacar datos
de clientes fuera, de la necesidad de
conocer dónde están localizados esos
datos y de la importancia de utilizar
herramienta de cifrado. En esos casos,
34
red seguridad
Uno de los temas que más comentarios generó fue la importancia que el big data supone
para las entidades financieras a la hora de analizar los datos que manejan.
comentó el directivo, "es posible que el
coste empiece a subir para las áreas
de negocio y prefieran seguir como
estaban hasta entonces".
Big Data
Para atajar todas estas amenazas que
se están produciendo ya, especialmente las APT, es decisivo, según los
asistentes, que las entidades financieras tengan en cuenta las nuevas herramientas de big data, puesto que facilitan esa labor. En palabras de Martos,
de Blue Coat, "las APT requieren un
procesamiento diferencial. Ya no basta
con hacer un análisis básico, sino que
es preciso encontrar indicadores de
compromiso. Eso, desde mi punto de
vista, requiere de dos factores: alguien
que sea capaz de interpretar la información y algún tipo de mecanismo
que pueda ayudarnos a poner en contexto las alarmas". En este punto es
donde entra en juego el big data. "La
única manera que tienes de guardar
esos datos y procesarlos es haciendo
uso de tecnologías de big data. Y
eso precisamente es lo que estamos
haciendo muchos fabricantes", afirmó el directivo. De hecho, Martos
considera que se trata de "un avance
tecnológico importante para, sobre
ese flujo ingente de información que
se ha capturado de la Red, impulsar
mecanismos de análisis automáticos
que ya no requieren de la aplicación de
un interventor físico".
En este sentido, es importante
encontrar la correlación adecuada
entre la capacidad de gestionar la
información y sacar conclusiones de
ella, y lo que quiere el negocio y lo que
se puede hacer, tal y como comentó
Veda, de Gneis-Bankinter. "El big data
diciembre 2014
permite un perfilado muy fino de clientes, empleados, comportamientos...;
y por tanto, habrá que tener muy en
cuenta su finalidad: para qué es, quién
lo usa y cómo se usa". Y es que todo
ello puede aportar mucha información
a los atacantes y se convierte en un
nuevo objetivo de ellos. "Generalmente
nos preocupamos por proteger el core
bancario y realmente en el big data
tenemos información muy parecida,
pero mucho más jugosa y exportable,
Miguel Ángel Martos
Director general para el Sur
de Europa de Blue Coat
"El CISO debe conseguir
que la seguridad sea parte
del ADN de una
organización, y no algo en
lo que se piensa cuando
hay riesgo"
especial
seguridad móvil
por lo que se puede convertir en un
nuevo objetivo de ataque", añadió el
directivo. Además, esto tiene otra consecuencia. Si hay una brecha en los
sistemas, el impacto que puede tener
en la cantidad de información que es
posible robar sería mucho mayor. De
ahí que sea conveniente protegerlo
tanto o más que donde se encuentran
los datos operacionales.
El resto de asistentes también se
mostró de acuerdo con estas afirmaciones y con la importancia de asegurar la protección del big data. De
hecho, Ceacero, de Gneis-Bankinter,
explicó que con estas tecnologías
existen varios niveles, dentro de los
cuales hay uno de correlación de
eventos e información, que puede
dar una pista de que algo raro está
pasando. A partir de ahí, comentó,
"vas subiendo niveles hasta conseguir
información más o menos estructurada que pueda aportar si eso es un
falso positivo". Esto es algo que sin el
big data no sería posible, porque no
se podrían estar procesando absolutamente todos los datos existentes. Por
eso estas tecnologías son "un buen
habilitador" para detectar todo ese
tipo de situaciones comprometedoras.
Al fin y al cabo, lo que se pretende
con todo esto es ser capaces de
analizar las diferentes acciones que
se producen en el día a día en una
organización financiera, tanto internamente como por parte de los clientes,
para elaborar un mapa de comportamientos habituales. Vega, de GneisBankinter, apuntó en ese sentido: "eso
es lo que nos va a ayudar a ver
las inconsistencias cuando realmente
ocurra algo fuera de lo normal".
Inteligencia en seguridad
Claro que, toda esta información que
las entidades financieras van recopilando también se puede convertir en
inteligencia para prevenir situaciones
futuras no deseadas. Precisamente,
éste fue otro de los asuntos que se
plantearon a continuación en la mesa
de trabajo. Por ejemplo, en el caso de
CaixaBank, esto resulta "vital" para
ellos, aunque siempre es necesario
andar con prudencia, según Solé: "Si
hablamos de predicción, podemos
predecir que se están dando unas
ciertas acciones digamos ilícitas y que
pueden conducir a un fraude; incluso
intentar buscar tendencias y alimentarnos de la inteligencia con lo que está
especial
pasando en el mundo. Sin embargo,
hay que ser prudentes y realistas para
saber lo que se puede conseguir y lo
que no".
Para López, de Cecabank, en este
sentido el reto que tienen por delante
las entidades financieras es el poder
integrar adecuadamente todos los
recursos disponibles en materia de
inteligencia. "Por ejemplo, todas las
entidades tenemos sistemas de analíticas de red social, contamos con una
fuente de información para las pérdidas por fraude que es nítida, conocemos los riesgos implícitos dentro de
la propia operativa transaccional... El
tema es poner todas estas herramientas a trabajar juntas y a la vez".
En este punto, Martos, de Blue
Coat, quiso detallar cómo es el modelo que los fabricantes de tecnología de
seguridad como el suyo están siguiendo para la implantación de una inteligencia real en las empresas, partiendo
de dos niveles: aquel en el que se
conocen las amenazas y se comparte
información, y la inteligencia enfocada a amenazas más sofisticadas. A
partir de ahí se establecen diferentes
escalones, siempre orientados a minimizar la brecha de oportunidad de un
atacante. "Los escalones siempre son
los mismos. En primer lugar, proveer
de una herramienta para que el propio
usuario sea capaz de identificar esos
patrones de compromiso, la situación
de riesgo, el daño que ha hecho y
cómo se ha generado. A partir de
ahí, esa información se comparte con
sobre la mesa
Ricardo López
Jefe de Auditoría interna y
Seguridad de la Información
de Cecabank
"Hemos pasado
de utilizar herramientas
preventivas a otras
que tratan de esclarecer
cuándo se ha producido el
ataque y cómo reaccionar
ante él"
el fabricante que desarrolla la tecnología y el cual intenta automatizar
este proceso para conseguir que la
siguiente vez que ocurra algo así la
detección sea automática, y que se
pase de detectar en semanas o meses
Los representantes de las entidades Bankinter, CaixaBank y Cecabank charlaron durante
un par de horas sobre los desafíos de seguridad a los que se enfrentan sus empresas.
red seguridad
diciembre 2014
35
seguridad financiera
sobre la mesa
La mesa de trabajo organizada por RED SEGURIDAD, en colaboración con Blue Coat, fue
una buena oportunidad para que los expertos invitados pudieran compartir experiencias.
a días", argumentó. A continuación,
esa información se sube al sistema
de inteligencia colectiva, y se desarrollan herramientas para automatizar
esos procesos. Gracias a esto, según
el directivo, se están consiguiendo
"logros importantes", aunque para ello
se incurran en determinados costes, y
"se requiera de un proceso de aprendizaje y puesta en marcha".
Alineamiento con el negocio
El último bloque de la mesa de trabajo estuvo dedicado a debatir sobre
cómo es posible alinear todo lo dicho
hasta ese momento en materia de
seguridad tecnológica en las entidades bancarias con el propio negocio,
una tarea que no resulta fácil, según
los asistentes. "Los proyectos hay
que venderlos muy bien y explicarlos
de manera transparente", opinó Solé,
de CaixaBank. Y después hay que
dejar claro a la dirección que "esas
iniciativas deberán seguir evolucionando en el tiempo y habrá que ir
añadiendo nuevas funciones". Para lo
cual es importante, según el directivo,
encontrar "aliados internos" dentro de
las empresas como, por ejemplo, las
áreas de auditoría.
Por tanto, en estos procesos también resulta fundamental la figura del
CISO, que se puede convertir en una
fuente de apoyo real para la empresa,
especialmente a la hora de valorar los
riesgos de negocio. Según López,
de Cecabank, "es la regla del 80-20.
Deberíamos dedicar el 80 por ciento
de nuestros esfuerzos a ese 20 por
ciento del proceso de negocio que
es donde están la mayor parte de los
riesgos". Y el CISO es el que se debe
36
red seguridad
encargar de hacer ese análisis de una
manera concienzuda, porque, en palabras del directivo, "el negocio le preocupa relativamente poco a la seguridad. Todo lo que no sea eso, tiene
que ser análisis de coste-beneficio,
renunciar a proteger determinados
Rubén Ceacero
Gerente de Seguridad
Informática de GneisBankinter
"Hay que hacer los
controles de seguridad
necesarios no para
eliminar los riesgos, sino
para mitigarlos lo máximo
posible y tener un mayor
control de lo que está
ocurriendo en tu red"
diciembre 2014
aspectos del negocio que son menos
relevantes desde el punto de vista de
la seguridad, y hacer más hincapié en
otros que sí que lo son", afirmó.
A continuación, Ceacero expuso el
caso concreto de Bankinter, que hace
unos años decidió desarrollar tecnología propia para el negocio. "Todo surgió
porque nosotros, como departamento
de Seguridad, teníamos una necesidad y decidimos crear nuestra propia
herramienta", explica. A partir de ahí
fue como una bola de nieve. La vio un
compañero de otro departamento que
le venía bien, y después otro y otro y
se fue agrandando". Al final, la entidad
decidió poner a trabajar en ello a un
equipo de profesionales y crear una
nueva compañía, denominada Gneis,
con el fin de ofrecer esa tecnología a
otro tipo de entidades, siempre enfocándose a los ámbitos de negocio.
Precisamente, parecido a esto también es el caso que expuso López, de
Cecabank. "Nosotros no somos una
entidad financiera al uso, sino que
aportamos servicios financieros para
otras entidades. Lo que pasa es que
cuando estás ofreciendo esos servicios, esas mismas entidades te dicen
'ya que me estás dando la capa de
negocio, dame también la de control,
e incluso la de supervisión'. Por tanto,
sí que se pueden hacer determinados
trabajos de supervisión acompañando
al negocio y eso nos ayuda mucho a
adquirir determinadas herramientas o
recursos", aseguró.
En cualquier caso, para todos los
asistentes se trata de un proceso
paulatino donde es preciso ganarse
la confianza de la dirección a base
de resultados. "Durante muchos años
hemos vendido proyectos, muchos de
los cuales han sido de automatización
que permitían reducir costes en servicios externos. Y hemos demostrado
que éramos capaces de reducir los
presupuestos y hacer muchas más
cosas. Nos hemos ganado esa confianza, con lo cual ahora, cuando
vamos a explicar nuevos proyectos,
nos creen, y ahí no podemos fallar",
expuso Ceacero, de Gneis-Bankinter.
No en vano, todos los asistentes
estuvieron de acuerdo en la necesidad
de justificar siempre a los responsables de las entidades financieras los
proyectos que se proponen abordar
desde las áreas de Seguridad para
poder ponerlos en marcha en sus respectivas organizaciones.
especial
Gestión de seguridad TIC
opinión
Los nuevos desafíos del CISO
Emmanuel Roeseler
Director de Sistemas de Seguridad de
IBM España, Portugal, Grecia e Israel
Como sucede en todo el mundo,
las organizaciones españolas también son golpeadas por las brechas
de datos y cada vez son más las
que están dando la bienvenida a
un nuevo miembro en el Comité
de Dirección: el Chief Information
Security Officer (CISO). El nuevo
integrante de este consejo (formado
por CEO, CFO, COO, CMO, etc.)
adquiere un papel determinante,
pues a él corresponde custodiar
la información corporativa como la
nueva joya de la corona.
Recientemente, IBM ha publicado su tercer estudio anual CISO
correspondiente a 2014, que refleja
el papel cada vez más determinante de este perfil. El 90 por ciento
de los responsables de seguridad
están totalmente de acuerdo con
la influencia de su trabajo en la
organización y más de tres cuartas
partes de los encuestados (76%)
asegura que en los últimos tres años
ha visto cómo ha aumentado significativamente su peso específico en
Dirección.
Profesionales con el perfil de un
CISO necesitan disponer de dicha
influencia, la cual es necesaria para
desempeñar su función. Mantener
a salvo la información de la organización no es una tarea sencilla
en un escenario donde aumentan
las amenazas constantemente ni
38
red seguridad
El CISO está preocupado porque la
adopción de la nube está ampliando el
perímetro tradicional de la empresa y
creando nuevas áreas de vulnerabilidad
es algo que pueda afrontarse en
solitario. No sorprende que una gran
mayoría perciba que la complejidad
del desafío que plantean los ciberataques ha crecido en este periodo
de tiempo. Pero lo más preocupante
es que el 60% coincide en subrayar que su organización no está
preparada para luchar en caso de
ciberguerra.
Es una prueba real proteger los
sistemas de TI frente a los ataques,
cada vez más sofisticados, bien
diseñados y difíciles de detectar.
Las brechas de seguridad pueden
permanecer ocultas durante semanas e incluso meses hasta que son
descubiertas, hecho que aumenta
el daño infligido y la probabilidad de
que algunos datos confidenciales
hayan sido sustraídos, lo que significa dejar a la compañía gravemente
comprometida.
diciembre 2014
Movilidad y ‘cloud’
Curiosamente, los directores de
Seguridad, los CISO, se están enfrentando a una paradoja: la misma
tecnología –movilidad y cloud– que
están utilizando para innovar y ofrecer
a sus empleados tecnologías colaborativas está abriendo nuevas puertas
Gestión de seguridad TIC
opinión
Los CISO se están enfrentando a una paradoja: la misma
tecnología que utilizan para innovar está abriendo nuevas
puertas a los cibercriminales y ‘hackers’
a los cibercriminales y hackers para
adentrarse en la organización. Por
este motivo, las organizaciones que
adoptan cloud desean el mismo nivel
de seguridad para su información en
la nube que del que disponen en sus
centros de datos. En consecuencia,
el CISO está preocupado porque la
adopción de la nube está ampliando
el perímetro tradicional de la empresa
y creando nuevas áreas de vulnerabilidad. En este sentido, los profesionales que han participado en el estudio
de IBM se mostraron preocupados
sobre la gestión de la seguridad en
dispositivos móviles, aunque también
son conscientes de que este avance
no se puede obviar.
Casi el 90 por ciento de los
encuestados sostiene haber adoptado cloud o estar inmerso en el despliegue de algún proyecto en la nube.
Cada vez son más las organizaciones que están viendo que no es
suficiente con actualizar ligeramente
su visión cada pocos años. No son
pocos quienes están ‘reconstruyendo’ sus sistemas desde la base
debido a la magnitud del desafío que
supone la seguridad. La demanda de
inteligencia aplicada a la seguridad
en tiempo real es paralela al concurrente riesgo de pérdida de información, a la expansión de cloud y a la
necesidad de proteger los datos que
se han subido a ella. Estos factores, junto a los cambios normativos,
contribuyen a la necesidad del nego-
cio de actualizarse con los últimos
desarrollos y prestar soporte a sus
equipos mediante la securización de
datos y sistemas.
Nadie dijo que fuese sencillo, pero
existen diferentes recomendaciones
que los responsables de seguridad
pueden poner en marcha si desean
reforzar la seguridad de sus organizaciones de cara al futuro:
▪ Mejorar su formación y capacidades
de liderazgo, lo que permitirá que
un CISO continúe aumentando su
influencia y optimizando el soporte
a los responsables de negocio en
todas las áreas de la compañía.
▪ Continuar buscando aproximaciones y tecnologías que sirvan para
apuntalar la nube, la movilidad y la
seguridad de los datos en la organización.
▪ Colaborar externamente con ecosistemas relevantes, con instituciones públicas y privadas. Desde que
el nivel de riesgo se sitúa en lo más
alto es preciso interactuar y establecer relaciones más sólidas con
clientes, partners y proveedores.
▪ Planificación para múltiples escenarios de gobierno. Ante la incertidumbre sobre si las nuevas normativas en términos de ciberseguridad
serán lideradas por instituciones
internacionales a nivel global u
organismos nacionales a nivel local,
las organizaciones deben estar preparadas para adaptarse a la transparencia y al cumplimiento.
La comprensión e interiorización
del nuevo reto que plantea la seguridad, en qué medida afectan los
factores externos y cómo gestionarlos nunca había sido tan importante.
Para la mayoría de las compañías,
y todos los CISO, el desafío no es
solamente gestionar el presente, es
adaptar la protección de sus sistemas a un futuro desconocido.
Qué piensan los CISO
1. Amenazas al alza. Para el 83 por
ciento de los directores de seguridad, el problema de las amenazas
externas está aumentando. Hace
tres años sólo opinaba lo mismo
el 42 por ciento.
2. La analítica es la clave. El 72 por
ciento de los CISO considera que
la seguridad inteligente en tiempo
real es cada vez más importante
para una empresa.
3. Los ciberdelincuentes van por
delante. El 60 por ciento de los
directivos de seguridad coincide
en indicar que sus organizaciones
se verían sobrepasadas en caso
de verse envueltas en una guerra
cibernética.
4. Desafíos presentes. El 40 por
ciento considera las amenazas
externas más sofisticadas como
el principal reto de las empresas.
En segundo lugar, los CISO están
preocupados por adaptarse a las
normativas de ciberseguridad que
aprueben los gobiernos (15%).
red seguridad
diciembre 2014
39
protección de datos
opinión
Conservación de datos personales: el
necesario equilibrio entre seguridad
pública, privacidad y libertad (I)
Rafael
Velázquez
Consultor legal TIC. Certified
Data Privacy Professional, CDPP
El tratamiento de datos relativos a
personas físicas ha sido una actividad habitual durante muchos periodos históricos. El salto cualitativo
está estrechamente vinculado con
la evolución de las tecnologías de
la información (TI). Éstas facilitan
actualmente la posibilidad de: tratar
grandes cantidades de datos relativos a personas físicas y jurídicas,
procesarlos a gran velocidad, almacenarlos con un coste muy bajo,
etc.; tratamientos que se realizan en
cualquier entorno público o privado,
y se utilizan con múltiples fines.
La conservación y cesión de los
datos personales generados por los
ciudadanos (en este caso, usuarios
de servicios de telefonía fija, telefonía
móvil, telefonía por Internet, etc.),
con el objeto de detectar, investigar
y enjuiciar delitos graves ha hecho
aflorar la tensión entre el derecho a
la protección de datos personales/
privacidad, el derecho al respeto de
la vida privada y familiar, y la seguridad pública. Esta última justifica la
conservación y la cesión de los datos
personales a los agentes facultados
en la protección del interés general.
Esta tensión, inserta en el complejo pero necesario equilibrio entre
derechos y libertades y seguridad
pública, la ha abordado recientemente el Tribunal de Justicia de la
Unión Europea (TJUE). Se preguntó
40
red seguridad
al mismo si la Directiva 2006/24/CE,
sobre conservación de datos por los
operadores de servicios de comunicaciones electrónicas, era compatible con la protección de datos de
carácter personal y el derecho a la
vida privada y familiar. A esta cuestión, el TJUE respondió mediante
sentencia, el 8 de abril de 2014,
anulando la Directiva 2006/24/CE.
La declaración de nulidad también
afecta a las normas que el legislador
español aprobó para transponer la
Directiva UE al derecho interno.
Monitorización permanente
Uno de los efectos de los atentados del 11 de septiembre de 2001,
en Nueva York, del 11 de marzo
de 2004, en Madrid, y del 7 de
julio del 2005, en Londres, fue que
todos asumimos, más o menos, que
el escenario donde el terror opera
es global, y que cualquier persona
puede verse afectada al ser un objetivo principal o como expresión de un
daño colateral. Para muchos, la “contienda” había traspasado los medios
de comunicación para trasladarse a
nuestras calles, plazas, medios de
transporte, etc. En paralelo, el crimen
y el terrorismo podían operar desde
cualquier lugar del mundo con una
cierta impunidad, apoyándose en el
ciberespacio. Éste se define como:
“una red independiente de infraes-
diciembre 2014
tructuras de información y comunicaciones, que incluye Internet, redes
de sistemas informáticos y procesos
y controles embebidos”1.
Esta dolorosa realidad contribuyó
a que adquiriera relevancia la actividad de obtener, procesar, conservar,
ceder, etcétera, ingentes volúmenes
de información y datos concernientes a personas físicas, así como
procedentes de personas jurídicas.
Éstos se mantienen, ceden y procesan con el objeto de investigar,
detectar y enjuiciar delitos graves,
expresión cuya definición corresponde a la legislación de cada Estado
miembro de la Unión Europea (UE).
La realidad descrita ha permitido la
consolidación de la “sociedad vigilada”, donde multitud de personas,
originarias de países variados, con
diferente raza, religión, cultura, etc.
se convierten en mujeres u hombres
de “cristal”, que es lo mismo que
tener una vida “transparente”.
Eso sin haber conocido la privacidad por defecto y desde el diseño,
concepto planteado y promovido
por Ann Cavoukian, comisaria de
Información y Privacidad de Ontario,
Canadá. Asunto que en esencia
supone que la privacidad debe estar
embebida en el diseño y la arquitectura de los sistemas de TI; ha de formar parte de los procesos de negocio; representar un elemento más de
protección de datos
la funcionalidad; entenderse como
un activo más del negocio, que hay
que configurar por defecto; y abarcar
el ciclo total de vida de los datos
suministrados, lo que implica una
concepción de la seguridad ‘punto a
punto’2. Concepción que si estuviera
implementada de manera general,
dulcificaría la actual situación. Nos
encontramos inmersos en la monitorización o vigilancia por defecto, apoyada en razones de interés general,
como son la seguridad nacional y la
seguridad pública.
La actividad consistente en obtener, conservar, ceder, analizar, etcétera información y datos concernientes
a personas físicas para adelantarse
a la materialización de un tipo penal
(es decir, con carácter preventivo)
o para investigarlo, enjuiciarlo, sancionarlo, etcétera cuando éste se
concreta, también ha enervado la
interacción derechos y libertadesseguridad pública. Contexto en el
que cobra gran relevancia el derecho
a la intimidad personal y familiar, el
secreto de las comunicaciones y el
derecho a la protección de datos
de carácter personal, fundamentalmente. Derechos que el legislador
debe tener muy presentes cuando,
por motivos de seguridad pública,
concibe una norma que represente
una injerencia que afecta gravemente a los anteriores. Pues sólo así
se pacificará el conflictivo equilibrio
entre la seguridad pública, entendida
como un bien de carácter general y
los derechos y libertades de todos,
cumpliéndose también el ordenamiento jurídico.
apartado 3; el artículo 10 relacionado
con las Infracciones y sanciones; y el
apartado 5 de la disposición adicional única, al que da nueva redacción.
Esta conservación y cesión de
datos de tráfico y de localización
relativos a personas físicas, así como
los relacionados que sean necesarios
para identificar al abonado o usuario registrado, tiene como antecedente principal la Directiva 2006/24/
CE, del Parlamento Europeo y del
Consejo, sobre la conservación de
datos generados o tratados en relación con la prestación de servicios
de comunicaciones electrónicas de
acceso público o de redes públicas
de comunicaciones y por la que se
modifica la Directiva 2002/58/CE5.
Mientras, la Ley 25/2007 es la fórmula con la que España transpone la
Directiva al derecho interno. Norma
comunitaria que el TJUE declaró nula
en la sentencia de 8 de abril de 2014.
La obligación de conservar los
datos de tráfico y de localización
obtenidos en el marco de servicios (como telefonía móvil, acceso
a Internet, telefonía fija, correo electrónico por Internet y telefonía por
Internet) por parte de los operadores
de comunicaciones electrónicas disponibles al público o que exploten
opinión
redes de comunicaciones electrónicas, así como el deber de cederlos
a los agentes facultados –cesión que
debe contar con la correspondiente
resolución judicial, que tiene como
fines: la detección, investigación
y enjuiciamiento de delitos graves
contemplados en el Código Penal
o en las leyes penales especiales,
que debe considerarse como delito
grave– corresponde a la legislación
de cada Estado miembro, pues la
regulación de los tratamientos de
datos que tengan por objeto la seguridad del Estado, o la seguridad pública, es competencia de los mismos.
Aunque, también puede armonizarse
la legislación transponiendo el contenido de una Directiva al derecho
interno mediante la elaboración de
una norma, como así se hizo.
Conociendo quiénes son los destinatarios de la obligación de conservar
los datos, para qué se mantienen, el
entorno de servicios de donde proceden u obtienen, etcétera, es necesario responder a cuestiones como:
¿Qué tipo de datos hay que conservar? ¿Cuáles son los requerimientos
para mantener la confidencialidad,
integridad y disponibilidad de los mismos? ¿A quiénes deben cederse
los datos conservados? Si la cesión
Cesión por operadores
La obligación de conservar y ceder
datos concernientes a personas físicas, aunque está también afecta
a los datos de las personas jurídicas, la regula nuestro ordenamiento mediante la Ley 25/2007, sobre
conservación de datos relativos a
las comunicaciones electrónicas y a
las redes públicas de comunicaciones”3. Esta norma la ha modificado recientemente la disposición final
cuarta de la Ley 9/2014, General de
Telecomunicaciones4, que cambia el
artículo 6 apartado 2; el artículo 7
La conservación y cesión de los
datos personales genera tensión
entre el derecho a la protección
de datos,el respeto de la vida
privada y la seguridad pública.
red seguridad
diciembre 2014
41
protección de datos
opinión
está amparada por algún requisito
establecido en la legislación. Si el
ejercicio de los derechos de acceso y
cancelación, reconocidos al titular del
derecho fundamental a la protección
de datos personales es de aplicación
en estos casos. ¿Qué normas pueden emplearse para sancionar los
incumplimientos de las obligaciones
que establece la Ley 25/2007, de
conservación de datos relativos a las
comunicaciones electrónicas y a las
redes públicas de comunicaciones?
Sobre el tipo de datos que deben
conservarse o mantenerse, el artículo 3 de la Ley 25/2007, específica
que éstos son: (a) Los necesarios
para rastrear e identificar el origen
de una comunicación, (b) los que
permitan identificar el destino de una
comunicación, (c) los necesarios que
permitan determinar la fecha, hora
y duración de una comunicación,
(d) aquellos necesarios para identificar el tipo de comunicación, (e) los
necesarios para conocer el equipo
de comunicación de los usuarios o
lo que se considera ser el equipo de
comunicación.
Ello sin agotar el tipo de datos que
los operadores de comunicaciones
electrónicas deben conservar, en el
contexto de los servicios que prestan, entre los que están: número de
teléfono de llamada, nombre y dirección del abonado o usuario registrado, el número o números de teléfono
de destino, el nombre y dirección del
abonado o del usuario registrado al
que se le ha asignado en el momento
de la comunicación una dirección del
Protocolo de Internet (IP), la identificación de usuario o el número de
teléfono del destinatario o de los
destinatarios de una llamada telefónica por Internet, el servicio telefónico y/o el de Internet empleado, la
identidad internacional del abonado
móvil (IMSI) de la parte que realiza la
llamada y de quién la recibe, la línea
digital de abonado (DSL) u otro punto
terminal identificador del autor de la
comunicación, etcétera.
En lo que se refiere a los requerimientos para garantizar la confidencialidad, integridad y disponibilidad
de los datos, es de aplicación lo que
plantea la Ley Orgánica 15/1999,
42
red seguridad
de Protección de Datos de Carácter
Personal6 y la normativa que la desarrolla. Los anteriores conectan con la
Obligación de Seguridad que establece el artículo 9.1 de la primera, que
plantea: “El responsable del fichero
deberá adoptar las medidas de índole técnica y organizativas necesarias
que garanticen la seguridad de los
datos de carácter personal y eviten
su alteración, pérdida, tratamiento o
acceso no autorizado, habida cuenta
del estado de la tecnología, la naturaleza de los datos almacenados y
los riesgos a que están expuestos,
ya provengan de la acción humana
o del medio físico o natural”. Esta
Obligación de Seguridad la concreta el Real Decreto 1720/2007, por
el que se aprueba el Reglamento
de desarrollo de la Ley Orgánica
15/1999, de 13 de diciembre, de
protección de datos de carácter
personal7 .
También, en nuestro caso, la
Agencia Española de Protección
de Datos (AEPD), de acuerdo con
el artículo 41.1 de la Ley General
de Telecomunicaciones, señala: “en
el ejercicio de su competencia de
garantía de la seguridad en el tratamiento de datos de carácter personal, podrá examinar las medidas
adoptadas por los operadores que
exploten redes públicas de comunicaciones electrónicas o que presten
servicios de comunicaciones electrónicas disponibles al público y podrá
formular recomendaciones sobre las
mejores prácticas con respecto al
nivel de seguridad que debería conseguirse con estas medidas”.
En cuanto a quiénes deben cederse los datos conservados y si existe
algún requisito que ampara la cesión,
el artículo 6.2 de la Ley 52/2007
plantea: “la cesión de la información
se efectuará mediante formato electrónico únicamente a los agentes
facultados, y deberá limitarse a la
información que resulte imprescindible para la consecución de los fines
indicados en el artículo 1,” que ya se
mencionaron anteriormente.
Los agentes facultados, o destinarios de los datos, son: los miembros de las Fuerzas y Cuerpos de
Seguridad del Estado, cuando des-
diciembre 2014
empeñen funciones de policía judicial; el personal del Centro Nacional
de Inteligencia en el curso de las
investigaciones de seguridad sobre
personas o entidades; o los funcionarios de la Dirección Adjunta de
Vigilancia Aduanera, en el desarrollo
de sus competencias como policía
judicial. Los anteriores, ejecutarán
sus funciones de acuerdo con lo que
prevé la normativa específica o de
tipo general que las regula.
(El artículo continuará en el
próximo número)
Referencias
1. US-CERT NICCS Cyber Glossary,
disponible en http:// niccs.us-cert.
gov/glossary.
2. Reflexiones sobre el futuro de
la privacidad en Europa, II Edición
del Estudio de la propuesta del
Reglamento de Protección de Datos
de la UE, Capítulo 2. Privacy Impact
Assesstment y Privacy by desing,
ISMS Forum Spain, DPI Data Privacy
Institute, Madrid 2013.
3. Ley 25/2007, de 18 de octubre, sobre conservación de datos
relativos a las comunicaciones electrónicas y a las redes públicas de
comunicaciones, BOE de 19 octubre
de 2007.
4. Ley 9/2014, de 9 de mayo, General
de Telecomunicaciones, BOE de 10
de mayo de 2014.
5. Directiva 2006/24/CE del
Parlamento Europeo y del Consejo,
de 15 de marzo de 2006, sobre la
conservación de datos generados o
tratados en relación con la prestación de servicios de comunicaciones
electrónicas de acceso público o de
redes públicas de comunicaciones
y por la que se modifica la Directiva
2002/58/CE, DOUE de 13 de abril
de 2006.
6. Ley Orgánica 15/1999, de 13 de
diciembre, de protección de datos
de carácter personal, BOE de 14 de
diciembre de 1999.
7. Real Decreto 1720/2007, de 21 de
diciembre, por el que se aprueba el
Reglamento de desarrollo de la Ley
Orgánica 15/1999, de 13 de diciembre de Protección de datos de carácter personal, BOE de 19 enero de
2008.
empresa
entrevista
Gil Shwed
Fundador y CEO de de
Check Point Software
Technologies
En 1994, la compañía
israelí Check Point
lanzó el primer
firewall al mercado.
El fundador de la
compañía, Gil Shwed,
“El 'firewall' continúa siendo la
piedra angular para la seguridad
de la información de las
organizaciones”
recuerda aquel hito
como el inicio de
la “seguridad real y
el control para las
corporaciones”. A
pesar de la evolución
y sofisticación que
han experimentado las
amenazas TIC desde
entonces, así como
los nuevos modelos
de protección de las
organizaciones, Shwed
defiende la validez de
esta tecnología en la
actualidad.
44
red seguridad
Tx.: Enrique González Herrero
Ft.: Check Point
- Se cumplen 20 años desde que
lanzó al mercado el primer firewall,
¿qué supuso la aparición de esta
tecnología para el desarrollo de la
seguridad TIC?
La llegada del primer Firewall-1 al
mercado, en el año 1994, supuso un
antes y un después para la seguridad
de las corporaciones en todos los
sentidos. Fue la primera interfaz gráfica de seguridad que se presentaba al
mercado, una interfaz intuitiva desde
la que se podía permitir, limitar o autorizar el tráfico de la red sobre la base
de un conjunto de normas y criterios
establecidos, algo de lo que no existían precedentes. Fue una verdadera
revolución que además llegó acompañada, al poco tiempo, en 1996,
de la comercialización de Stateful
diciembre 2014
Inspection, una tecnología rompedora
que permitía, por primera vez, monitorear el estado de las conexiones activas y utilizar dicha información para
realizar un ‘filtrado’ de los paquetes.
Podríamos decir, en conclusión,
que de la mano del primer firewall
llegó la primera seguridad real y el
control de la misma para las corporaciones.
- Desde 1994, las amenazas en la
Red han cambiado tremendamente. Son mucho más sofisticadas,
más numerosas, más peligrosas…
¿Intuía por aquellos años lo que ha
venido después?
Intuíamos parte de lo que ha sucedido. Sabíamos que siempre habría
tipos malos que idearían el modo de
entrar en las redes, pero por aquellos años todo estaba despegando y
tecnologías como el Internet de las
Cosas eran mera ciencia ficción. Si en
empresa
entrevista
“Soluciones como la emulación y las redes de
colaboración mundial son algunos focos a los que deben
dirigirse las organizaciones que quieran salvaguardar su
información”
el año 1994 hubiéramos sabido que
un virus llamado Stuxnet iba a atacar
directamente el programa nuclear iraní
o que fuera posible que se interceptasen y robasen datos bancarios de
más de cien millones de usuarios
atacando directamente los terminales
de punto de venta de los comercios
(TPV) nos hubiéramos asombrado,
ciertamente. La magnitud de los ataques y sus consecuencias no dejan
de sorprender día a día, por su sofisticación y su constante mejora. Por
eso es importante no bajar la guardia
nunca e intentar ir siempre un paso
por delante.
- A lo largo de estas dos décadas,
¿cree que se ha desarrollado una
tecnología cuyo impacto sea comparable al que representó el firewall
en 1994?
Mi opinión es que no. El firewall fue y
continúa siendo la piedra angular para
las organizaciones cuando hablamos
de seguridad de la información, y su
impacto por tanto no ha podido ser
igualado en ese sentido.
Es cierto que a lo largo de estas
dos décadas su evolución ha sido
sorprendente y la seguridad se ha
abordado desde muchos frentes y
tecnologías. El SSL VPN Web Portal
en 2005, el lanzamiento del primer
UTM en 2007, los software blades
en 2009… Es un progreso constante.
Tecnologías como DLP llegaron en
2010, anti-bot en 2011 y la primera
red global de colaboración de tecnología de seguridad en 2013. En
los últimos años, la tecnología de
prevención de intrusiones (IPS) ha
sido sin duda uno de los hitos más
importantes y una capa de seguridad
clave para la industria.
Podríamos decir que, como resultado de toda la evolución, actualmente
la mayoría de las funcionalidades de
detección y prevención de intrusiones
están incorporadas al firewall. Éste
puede ser definido en la actualidad
como una plataforma completa para
analizar y asegurar el flujo de tráfico
de la red, utilizando múltiples capas y
diferentes tecnologías integradas.
En cuanto a la evolución concreta
del firewall, en la misma década de
los noventa llegó la introducción de
las funcionalidades de la Red Privada
Virtual (VPN), que permitieron cifrar el
tráfico que va de un sitio a otro, con
lo que el firewall se convirtió en un
componente estándar de las plataformas empresariales. En los siguientes
años se fueron incorporando nuevos
niveles de seguridad (escaneado de
tráfico malicioso y URL para prevenir
accesos) hasta llegar a la que considero una evolución clave, la inclusión
de capacidades de prevención de
intrusiones.
- La tecnología de firewall forma
actualmente una parte más de las
capacidades de seguridad, pero
hoy las redes se fragmentan, existen soluciones externalizadas o en
la nube… Teniendo esto en cuenta,
¿hasta qué punto continúa siendo
un elemento importante el firewall
en comparación con el resto de
soluciones de protección?
Es cierto que algunos críticos han
señalado que el firewall tiene ahora
menos sentido debido a la fragmentación de los perímetros de las redes
(los datos de las empresas no se
hallan sólo dentro de la red, sino que
se encuentran externos a la misma,
en data centers en la nube o en los
dispositivos móviles, por ejemplo). Sin
embargo, mi opinión es que los perímetros de seguridad se mantienen
vigentes y que existe una clara separación entre la infraestructura interna,
de confianza, y las redes externas y
en las que no se puede confiar. Si
bien las organizaciones usan múltiples modos de acceder a sus datos
corporativos (VPN, aplicaciones en
la nube, diversos dispositivos…) las
fronteras como tal se mantienen y los
firewall se pueden implementar para
controlar el tráfico de cada segmento
de la red.
- Desde su punto de vista, ¿dónde
han de poner el foco las empresas
en la actualidad a la hora de proteger sus tecnologías de la información y las comunicaciones?
Es evidente que partimos de un escenario en el que todo se está moviendo
hacia Internet y a la disponibilidad 24
por siete. Esto hace que los ataques
sean mayores y que su alcance sea
cada vez más masivo, lo que, ligado
a la complejidad y a la sofisticación
de sus armas, obliga sin duda a que
las empresas tengan que mantenerse
siempre a la vanguardia en seguridad
y con la guardia bien alta. Las últimas
red seguridad
diciembre 2014
45
empresa
entrevista
tecnologías de prevención de intrusiones, y en concreto de soluciones
como la emulación y las redes de
colaboración mundial frente a amenazas, son algunos de los focos a los
que deben dirigirse las organizaciones
que quieran garantizar una verdadera
salvaguarda de su información.
Por otra parte, el reto de la movilidad es también un aspecto destacable y las políticas de seguridad móvil
han de aplicarse correctamente.
- Una tendencia de pensamiento
actual es la de quienes afirman
que, tarde o temprano, por muchas
medidas de seguridad que implemente una compañía, los malos
van a entrar en la Red. ¿Está usted
de acuerdo con ese enfoque?
En cierto modo, eso es cierto; pero
tenemos que seguir luchando y tratar
de estar por delante de los malos. La
capacidad de actuar en tiempo real
será un elemento importante de esto.
Poder identificar y responder rápidamente a las amenazas –y adaptarse
a las nuevas– será cada vez más un
factor diferenciador importante entre
las empresas. Y, sobre todo, la colaboración entre todos los actores involucrados: usuarios, proveedores de
seguridad, universidades, autoridades… Esa será la clave.
- En ese sentido, las APT (Advanced
Persistent Threat) parecen uno de
los principales peligros para las
grandes corporaciones. ¿Cuál es la
propuesta de seguridad de Check
Point frente a este tipo de ataques?
Estamos hablando de ataques dirigidos y específicos, sumamente sofisticados y perpetrados por personas
muy cualificadas. No obstante, existen soluciones que pueden ayudarnos en la tarea de prevenir este tipo
de amenazas. Este año, por ejemplo, hemos lanzado SmartEvent, una
nueva y potente solución de monitorización de eventos para procesamiento y almacenamiento en tiempo real
de datos acerca de amenazas.
También es esencial la tecnología
de emulación. En este sentido, un
reciente estudio demuestra que con
las soluciones Threat Emulation es
posible lograr un ratio de captura
46
red seguridad
ofrece prevención frente a amenazas,
controles de seguridad de los datos
a nivel de documento y desgrana los
controles de acceso para mitigar los
riesgos, y asegurar que los procesos
de los empleados o del negocio no se
vean afectados.
del 99,83 por ciento de los archivos
maliciosos, por lo que la consideramos una tecnología esencial. Por
ello, hemos presentado ThreatCloud
IntellliStore, el primer Marketplace de
ciberinteligencia de la industria, que
permite a las organizaciones seleccionar datos para prevenir automáticamente ciberataques, basada en
la infraestructura de inteligencia de
seguridad ThreatCloud, la mayor plataforma de big data de seguridad en
tiempo real de la industria, que ofrece
datos sobre amenazas provenientes
de una red mundial de sensores.
- Entre las tendencias para el año
que viene, muchos desarrolladores
de seguridad coinciden en que el
BYOD (Bring Your Own Device)
será uno de los principales puntos
débiles de las compañías. ¿Cómo
puede una organización asegurar
su información cuando la seguridad tiene que pasar por la implicación de los empleados, algo muy
difícil de conseguir?
BYOD es, sin lugar a dudas, uno de
los principales desafíos para la seguridad a día de hoy, pero creo que esto
es algo para lo que Check Point tiene
una respuesta eficaz y adecuada.
Contamos con una nueva solución,
Capsule, que permite separar en los
dispositivos móviles la información
empresarial de la parte personal, asegurando ambas. Es un producto que
diciembre 2014
- ¿Qué otras tendencias relacionadas con la seguridad prevén para
el año 2015?
El malware desconocido seguirá siendo uno de los retos principales y la
emulación, como antes mencionaba,
será una tecnología en la que necesariamente seguiremos apoyándonos para combatir los ciberataques.
Asimismo, consideramos que seguirán creciendo los ataques hacia las
infraestructuras críticas (una reciente
encuesta del Instituto Ponemon reveló que casi el 70 por ciento de las
empresas de infraestructuras críticas
sufrió un fallo de seguridad en el último año).
También considero reseñable el
aumento que se espera en el ámbito
del código abierto, donde las vulnerabilidades críticas van en aumento y, al
tratarse de sistemas de uso común,
cada vez representan un objetivo más
apreciado por los atacantes.
- En cuanto a su estrategia de
negocio y desarrollo de aplicaciones, ¿dónde van a poner el foco de
manera especial el próximo año?
Nuestros esfuerzos se están centrando en diversas áreas, como la capacidad de emulación de amenazas y las
capas de inteligencia que alimentan a
todas las demás capas con información en tiempo real. También estamos
trabajando sobre la forma de prevenir
y neutralizar amenazas en dispositivos
móviles, con lanzamientos recientes
como Capsule.
Pero hay muchas más áreas, por
ejemplo, nuevas capacidades para
poder cambiar rápidamente en respuesta a la inteligencia de amenazas,
y que las organizaciones pueda
defenderse contra ataques dirigidos
previstos. En el futuro, los sistemas de
seguridad serán capaces de responder de forma dinámica a la inteligencia
externa de amenaza, así como su
propio análisis de amenazas.
% Visitas redseguridad
160%
140%
120%
100%
080%
060%
040%
020%
000%
NOVIEMBRE
DICIEMBRE
ENERO
FEBRERO
MARZO
ABRIL
Ilustración 4. % Visitas Red Seguridad. Fuente: Google Analytics
LLEGAMOS
+ LEJOS
+ VISIBLES
APORTAMOS + VALOR
SOMOS
200 NUEVOS SEGUIDORES CADA MES
movilidad
opinión
Pago a través de dispositivos
móviles: cómo comprar con seguridad
Tomás Lara
Director general de Trend Micro
para España y Portugal
Dicen que las fiestas navideñas,
la temporada de vacaciones o los
días de descanso sacan lo mejor
de las personas. Sin embargo, en
un mundo donde la evolución de
las tácticas y métodos del cibercrimen está a otro nivel para obtener
información, las vacaciones también
pueden convertirse en causa de
malas experiencias en la vida digital
de las personas.
Fechas como Black Friday, Cyber
Monday, Papá Noel, Reyes Magos,
San Valentín, el Día del Padre o cualquier otra celebración, pueden animarnos a comprar y, por supuesto,
motivar a muchos a decantarse por
la compra online para aprovechar
ventajas y posibles descuentos de las
ventas que marcan el inicio de la temporada de compras, rebajas, etc. De
cualquier manera, ya sea en tiendas
físicas o por Internet, es probable que
cualquiera compre algo.
La adquisición de artículos por
Internet se ha convertido en una
práctica cada vez más habitual
que sigue sumando adeptos por
la comodidad que supone para el
consumidor y el ahorro respecto a
las tiendas físicas. Básicamente, los
pagos a través del móvil son más
rápidos y seguros que los convencionales. Para iniciar la transacción
sólo se necesita una aplicación de
pago y, como no hay necesidad de
usar la tarjeta, el riesgo de que se
produzcan ataques en los puntos de
48
red seguridad
venta (PoS), como los llamados “card
skimmers”, está eliminado.
Por otro lado, los pagos móviles
están también protegidos por medidas de seguridad. Sin embargo, se
han convertido en una alternativa muy
común de pago, y los delincuentes
empiezan a utilizar ataques Man-inthe-middle (MitM) a través de aplicaciones maliciosas y brechas de
datos que aprovechan estos nuevos
métodos de pago. La aplicación en sí
también podría tener una codificación
que conduciría a la información bancaria. Además, si se pierde o se roba
el dispositivo, los datos financieros
podrían ser almacenados con fines
maliciosos. Por tanto, si el usuario
no es cuidadoso, sus datos y credenciales podrían terminar en manos
equivocadas y provocar más de un
quebradero de cabeza.
A pesar de los riesgos, los negocios
se van apuntando a esta moda y, por
tanto, invierten en proporcionar mayor
seguridad a los usuarios. Aunque en
general podemos hablar de medio
seguro, debemos ser conscientes de
que los pagos online son un ámbito
atractivo para ciberdelincuentes, además de insistir en que hay prácticas
que podrían mejorarse.
Independientemente de todo esto,
si realiza compras online utilizando
su dispositivo móvil en fechas muy
señaladas, como pueden ser las anteriormente citadas, tenga en cuenta
que no está solo. Simplemente para
diciembre 2014
tratar de imaginar a qué nos estamos
refiriendo, según los datos aportados
por expertos analistas sólo en relación con el Día de Acción de Gracias
se estimaba que más de la mitad
de las transacciones de compra por
Internet, aproximadamente el 53 por
ciento, se iba a realizar a través de
un dispositivo móvil, porcentaje que
supone un incremento anual del 23
por ciento.
Sin duda los pagos móviles pueden
ser más cómodos, especialmente para
las personas que los realizan a través de smartphones, y más teniendo
en cuenta la ajetreada temporada de
compras navideñas y rebajas. El problema con el uso de las tecnologías
más populares es que las amenazas
siempre las van a seguir, de la misma
manera que hicieron con el cloud computing y la plataforma Android.
Evolución continua
Es posible afirmar con un margen de
error muy pequeño, muy a nuestro
pesar, que los nuevos métodos de
pago por móvil abrirán la puerta a
nuevas amenazas, lo que vaticina
que en 2015 esto cobre protagonismo. La transformación masiva es un
fenómeno que ya está aquí y vamos a
seguir viendo; al igual que ocurre con
los agentes de amenazas que están
intentando manipular la tecnología
Near Field Communications (NFC),
lo mismo sucederá con ciertas plataformas que están ganando impulso
movilidad
debido al seguimiento significativo y a
la tendencia que el usuario tiene para
adoptar los últimos avances y las
tecnologías de vanguardia, como son
Apple Pay o Google Wallet.
Por esto, antes de que las amenazas azoten sus dispositivos móviles
y causen estragos en la información
que contienen o a la que acceden a
través de ellos, incluidas sus cuentas
bancarias, sería conveniente refrescar la memoria con algunos de los
incidentes relacionados con el pago
móvil que se han encontrado hasta el
momento:
▪ Apple Pay: incluso antes de que
viera la luz, el nuevo sistema de pago
móvil de Apple generó mucha expectación entre el público pese a los
constantes informes de compañías
con sistemas de pago competidores
para rechazarla. Apple Pay se autopresenta como la opción de pago
más segura: “Apple no sabe lo que
compra, dónde lo compra y cuánto
paga por un artículo. La transacción
es una operación entre el comprador,
el comerciante y su banco”.
Su lanzamiento fue el pasado
octubre, por lo que todavía tenemos
que ver las amenazas dirigidas a la
tecnología de Apple Pay. Sin embargo, no se puede obviar el hecho
de que los cibercriminales seguirán pendientes para aprovechar
su popularidad. En cualquier caso,
debemos estar atentos a los ataques de ingeniería social que mencionan Apple Pay, ya sea mediante
anuncios relacionados o mensajes
que pueden contener links o descargas maliciosas.
▪ Google Wallet: la aplicación Google
Wallet ha pasado por una mala
racha en su primera versión, pues
una prueba de concepto del software expuso una vulnerabilidad en
una App de Google Wallet que podía
ser utilizada para revelar el código
PIN de los usuarios en segundos.
Este defecto fue parcheado por
Google y, en respuesta a ello, la
compañía lanzó una nueva versión
de la aplicación basada en la nube.
Google Wallet almacena ahora sus
tarjetas de pago en los servidores de
alta seguridad de Google, en lugar
de en el área de almacenamiento
seguro del teléfono del usuario.
▪ NFC/RFID: en el caso de NFC y
RFID, dos tecnologías muy similares con diferentes usos y capacidades de lectura/escritura de etiquetas inteligentes, los problemas
de seguridad son un riesgo bien
conocido, aunque no todavía en los
dispositivos móviles.
Sin embargo, existe la posibilidad
de que las tecnologías NFC y RFID
que se encuentran en los dispositivos móviles sean atacadas a fin de
robar los datos.
Comprar con seguridad
Merece la pena ser inteligente y disfrutar de las facilidades que ofrece esta
modalidad de compra sin tener que
preocuparse de las fugas de privaci-
opinión
dad o del robo de datos. Para realizar
compras online de forma segura a través del móvil es recomendable seguir
los siguientes consejos:
▪ Bloquear el dispositivo móvil.
Normalmente, los dispositivos tienen que estar encendidos o desbloqueados antes de que puedan leer
las etiquetas NFC.
▪ Apagar NFC cuando no se esté
utilizando, por seguridad y también
para ahorrar batería en el móvil.
▪ Para las etiquetas pasivas, se aconseja utilizar un dispositivo de bloqueo RFID/NFC (como una cartera). Las etiquetas pasivas emiten
información fija en presencia de un
campo NFC, lo que significa que hay
un riesgo leve de privacidad alrededor de estos dispositivos (si no se
utiliza un dispositivo de bloqueo).
▪ Utilizar una aplicación de lector de
NFC en el dispositivo móvil. Por
defecto, la mayoría de los dispositivos móviles abrirán una URL si se
detecta uno en una etiqueta NFC.
Las aplicaciones serán capaces de
decir qué información contiene la
etiqueta, lo que permite tomar una
decisión más informada sobre si se
desea escanear o no.
▪ Tener cuidado con las estafas de
ingeniería social que utilizan el gancho de populares opciones de pago
móvil para conseguir que el usuario
haga ‘clic’. Esto podría llevar a sitios
maliciosos que descargan malware
en el dispositivo.
▪ Equipar el dispositivo móvil con software de seguridad adecuado para
bloquear Apps maliciosas, spyware
u otras amenazas que puedan capturar información de las aplicaciones
de pago móvil.
▪ Optar por el uso de conexiones WiFi
públicas, utilizar contraseñas únicas,
obtener una tarjeta específica para la
compra de artículos online y monitorizar con regularidad los cargos a
la tarjeta que usemos para compras
online.
Los datos son más vulnerables que
nunca a los ataques de los cibercriminales, pues se traducen en beneficios.
Como en cualquier otro entorno, en el
móvil vale la pena ser precavidos y
adoptar las medidas de seguridad
oportunas.
red seguridad
diciembre 2014
49
empresa
opinión
LAS AMENAZAS AVANZADAS Y LOS ATAQUES DE ‘MALWARE’ SIGUEN EN AUMENTO
¿Puede hacer frente a una vulneración
de datos? Con Symantec sí
▪
Tx: SYMANTEC
Los ciberataques contra individuos y organizaciones continúan
creciendo de forma desproporcionada. Al mismo tiempo, los criminales
cuentan con mayor financiación y
se están convirtiendo en entes más
sofisticados que buscan infiltrarse en
las empresas y robar su información
más vulnerable. La mayoría de los
atacantes lo conseguirán, pues saben
dónde y cuándo llevar a cabo sus
actividades, y se centran en el punto
de defensa más débil. Por ello, una
planificación inteligente contra una
vulneración es esencial. Ésta consiste
generalmente en los siguientes cinco
pasos básicos:
▪ La preparación. Se emplea la
inteligencia global para entender
el panorama de las amenazas,
de modo que pueda desarrollar
su postura frente a los riesgos y
la línea de base en términos de
seguridad.
▪ La protección. Debe preguntarse
“¿cuáles son los puntos de ataque
y qué controles se aplican sobre
ellos?”, para así centrar su defensa
donde más se necesita.
La detección. Hay que saber
cuándo ha ocurrido la vulneración
y dónde es preciso tener la total
seguridad de que cuenta con las
soluciones adecuadas para poner
a salvo sus valiosos datos.
▪ La respuesta. Consiste en entender el impacto de un ataque y su
repercusión en la empresa para
priorizar la respuesta.
▪ La recuperación. Se centra en
restaurar las operaciones en el
negocio rápidamente y ejecutar
un análisis de la causa de la crisis
derivada del ataque.
¿Cómo puede ayudarle Symantec?
Con nuestras soluciones de seguridad maximizadas por nuestra Global
Intelligence Network, que le permite
identificar los ataques antes de que
ocurran. Posteriormente, nuestros
servicios darán a su equipo acceso a
nuestra experiencia técnica en materia de seguridad, e igualmente podemos complementar sus inversiones
actuales en seguridad con múltiples
proveedores, lo cual le permitirá reducir los costes a la vez que cumple con
la legislación en vigor.
Igualmente, Symantec permite que
los clientes dejen de depender de una
simple protección de su entorno con
una planificación de detección proactiva y una respuesta efectiva frente a
nuevas y avanzadas amenazas. Esto
le permitirá adelantarse a los cibercriminales y asegurarse de que su
negocio está totalmente seguro.
Symantec cuenta con soluciones
punteras y líderes de mercado en
los ámbitos críticos de la ciberseguridad. Dichas soluciones agrupadas
de forma inteligente permiten aplicar
mecanismos de protección avanzada, tanto con controles primarios (en
las áreas de prevención y protección)
como de controles compensatorios
(detección y respuesta).
Según Miguel Suárez, director de
Seguridad de Symantec, nuestros
clientes, además de adaptarse a la
evolución e incremento de amenazas
y ciberataques, deben considerar la
aplicación de controles de seguridad
en entornos más distribuidos, y en los
que la movilidad y la integración de
sistemas en nube privada o pública
es ya una realidad. En este entorno,
la monitorización y protección de su
información, así como la protección
global de sus sistemas de información, es cada vez más compleja.
El objetivo de Symantec se centra
en ayudar a sus clientes a afrontar
estos nuevos retos de protección, de
manera que innovación y seguridad
contribuyan de forma efectiva a su
productividad y eficiencia.
Novedades
Symantec le permite afrontar este
nuevo desafío reforzando las capacidades de sus productos para proteger su información durante todo
su ciclo vital, sin importar dónde se
encuentre. De esta forma, Symantec
ha añadido a su completo porfolio de soluciones para endpoint,
gateways y data centers de la compañía las siguientes novedades destacadas:
50
red seguridad
diciembre 2014
empresa
La nueva versión de Symantec
Endpoint Protection (SEP) 12.1.5
incluye muchas mejoras en términos de gestión y rendimiento, con la
posibilidad de bloqueo de amenazas
existentes y sus variantes, así como
el empleo de la tecnología insight de
reputación de ficheros para examinar
sólo aquellos que son desconocidos.
En la parte de amenazas móviles,
cumpliendo con el compromiso de
Symantec de protección de la información donde quiera que resida, la
nueva versión de Symantec Mobility
Suite permite la integración sencilla
de la gestión de terminales (MDM), la
securización y gestión de aplicaciones
corporativas, incluyendo el email y la
navegación web (MAM), y la adición
del antimalware para móviles más
famoso del mundo (AM). Todo ello
centralizado en una única consola.
En cuanto a la parte de cifrado, la
nueva versión Symantec Endpoint
Encryption v11 aúna las mejores partes de la tecnología en una única consola que simplifica la gestión del cifrado de discos y dispositivos removibles
(USB), así como nuevas funcionalidades de reporting y gestión empresarial.
En el apartado de protección
avanzada del data center, la solución Symantec DataCenter Security
Server Advanced aporta de forma
revolucionaria la posibilidad de realizar
estratificación y bastionado del sistema operativo empleando sandbox
en el servidor y regulando su funcionamiento con políticas. Olvídese de
mantener listas.
La nueva versión del laureado
Symantec Data Loss Prevention
(DLP) ahora permite la interoperación con entornos colaborativos en
cloud, lo que hace posible asegurar
el correcto uso y movimiento de su
información más confidencial, incluso
si emplea la nube como su proveedor
de correo, web o aplicaciones.
Por la parte de inteligencia de
seguridad, próximamente se liberará Deepsight Matching Adversary
Threat Intelligence (MATI), que informa en función de un malware detectado quiénes son los actores, lugares
e intenciones de una determinada
campaña, proporcionando asimismo
indicadores de compromiso que permitan a los equipos de seguridad la
investigación y el bloqueo de amenazas emergentes.
Con el objetivo de reducir el tiempo
entre la detección de una brecha y la
respuesta de los equipos de seguridad, Symantec presenta su nuevo
Managed Security Services ATP,
un servicio que permite enlazar las
nuevas capacidades de virtualización
y análisis de las nuevas tecnologías
con nuestro conocimiento inigualable
del endpoint. El servicio MSS-ATP
hace por usted la correlación entre las
amenazas detectadas en el perímetro,
viendo si éstas llegaron al endpoint, si
fueron bloqueadas o si, por el contrario, necesitan de su actuación. Ésta
información dada a los equipos de
respuesta proporciona el “qué hacer”
y “dónde hacerlo” minimizando así los
esfuerzos en remediación y poniendo
opinión
en valor soluciones de análisis de
gateways.
Sabiendo que el eslabón más débil
es aquel que con frecuencia es atacado, Symantec lanza su Simulation
Platform, un entorno completo para
entrenar a los equipos de la compañías, poniéndoles en la situación
de ser atacantes, entendiendo los
patrones de ataque para así poder
defenderse de manera más efectiva.
Pensado como una herramienta de
desafíos en formato de juego, los
participantes se ven inmersos en un
escenario real de ataque cubriendo
todas las fases del hacking ético,
desde realizar un reconocimiento para
identificar las potenciales víctimas y
huecos del sistema hasta la exfiltración de datos fuera de la compañía.
Todos estos servicios reducen de
forma significativa los riesgos a los que
se puede enfrentar. Nuestro concepto de “protección dinámica de datos”
ayuda a los equipos de seguridad a educar a los usuarios, mejorar los procesos
y apoyar la innovación empresarial.
El compromiso de Symantec como
primera compañía independiente de
software de seguridad del mundo con
los usuarios, corporaciones y gobierno es la protección de la información
donde quiera que ésta resida. Para
conocer más sobre la aproximación
de Symantec a la defensa en profundidad puede asistir a la presentación
de todas estas novedades en nuestro
evento
“Information
Security
Connect”, que tendrá lugar 19 de
febrero 2015 bit.ly/symred
red seguridad
diciembre 2014
51
empresa
noticias
NOMBRAMIENTOS
Rosa Díaz
Directora general de Panda Security España
Licenciada en Ciencias Exactas por la Universidad
Autónoma de Madrid, Díaz se encargará de la estrategia
de ventas para el negocio corporativo de la compañía y de
definir e implementar los planes de acción con el canal de
distribución en nuestro país. Antes de incorporarse a este
puesto, ha desempeñado cargos de responsabilidad en
empresas como Santander, Elavon o Sage.
Alfonso Ramírez
Director general de Kaspersky Labs Iberia
Tras la promoción de Ovanes Mikhailov a director general de Kaspersky Lab para Oriente Medio, Ramírez toma
el relevo al frente de la dirección de la compañía en la
península Ibérica. Bajo su cargo, tendrá la responsabilidad de continuar con la tasa de crecimiento del negocio
establecido por su antecesor. El directivo, que se incorporó a la compañía en 2008, ha conseguido impulsar
las ventas de soluciones para usuario doméstico, tanto
en España como en Portugal.
Michael Fey
Presidente y COO de Blue Coat Systems
En su nuevo cargo, Fey trabajará para que las soluciones
de la compañía en seguridad web, gestión de cifrado,
herramientas para la nube y de protección se alineen con
las necesidades de los clientes y del mercado. Hasta su
nombramiento en Blue Coat, estuvo desempeñando las
responsabilidades de CTO (Chief Technology Officer) en
Intel Security Group, y anteriormente fue vicepresidente y
director general de productos corporativos en McAfee.
Luis López
Responsable de la línea de negocio de
Ciberseguridad de Trend Micro
Con este nombramiento López se encargará de liderar
y coordinar las necesidades técnicas y de negocio de la
compañía en materia de ciberseguridad, además de dar
soporte a los partners y trabajar de cerca con los clientes para garantizar el éxito y la calidad de los proyectos.
Proviene del área de Seguridad y Red de Fujitsu, donde
desempeñó diferentes tareas durante siete años.
Soledad Romero
Gerente de Seguridad Estratégica y
Consultoría TI de INGENIA
Licenciada en Derecho por la Universidad de Málaga y Máster
en Mediación y Resolución de Conflictos por la UNED, Romero
ha trabajado como consultora jurídica en seguridad en organizaciones públicas y privadas, cuenta con el título Certified Data
Privacy Professional (CDPP), es miembro del Data Privacy
Institute del ISMS Fórum Spain, y forma parte del profesorado
que imparte la formación presencial de la CDPP en Madrid.
52
red seguridad
diciembre 2014
BREVES
Sophos y Abanlex avanzan
la necesidad legal de cifrar
los datos
Sophos y el despacho de abogados
especializado en protección de la información, la privacidad y la innovación jurídica,
Abanlex, han presentado un informe sobre
la necesidad legal de cifrar información y
datos personales. Se trata del primero de
estas características en España y su objetivo es aclarar los vacíos de conocimiento
que existen y que las empresas e instituciones sepan a qué atenerse; así como
desmitificar el cifrado, democratizándolo y
demostrando que es una tecnología fácil
de instalar y manejar, con un impacto en el
rendimiento mínimo. En palabras de Pablo
Teijeira, director general de Sophos Iberia,
"el cifrado es la mejor forma de protección
de datos, incluso si sufrimos un ataque
tanto externo como interno".
Las cifras de malware
baten récords, según
PandaLabs
La compañía española Panda Security ha
presentado los datos del Informe Trimestral
de PandaLabs correspondientes a los tres
últimos meses del año, en el que destaca
el aumento de la creación de malware con
respecto al trimestre anterior, con un total
de veinte millones de nuevos ejemplares
generados en el mundo, y una media de
227.747 nuevas muestras al día. De hecho,
el ratio global de infecciones ha sido de un
37,93%, frente al 36,87% del periodo anterior. De entre todas las infecciones, los troyanos continúan siendo el tipo de malware
más común (78,08%), y su creación ha
aumentado con respecto al segundo trimestre del año (58,20%). A continuación,
pero a gran distancia, se sitúan los virus
(8,89%) y los gusanos (3,92%).
Avnet comercializará en
EMEA las soluciones de
seguridad de Cisco
El distribuidor de soluciones de TI, Avnet
Technology Solutions, ha hecho público el
acuerdo suscrito con Cisco para comenzar a distribuir la gama de productos de
seguridad del fabricante. De esta forma,
Avnet refuerza su oferta en productos de
su recientemente presentada división de
Soluciones de Networking y Seguridad en
EMEA. En palabras de Miriam Murphy, vicepresidente del área de empresa en Avnet
Technology Solutions EMEA, “la seguridad
es cada vez más un elemento decisivo en
las estrategias globales del centro de datos.
Nuestra intención es ofrecer oportunidades
de crecimiento a nuestros clientes y socios,
en un mercado como el actual, que cambia
con una gran rapidez”.
empresa
noticias
Telefónica muestra su estrategia en el Security
Innovation Day con Path5 como protagonista
En el marco del Security Innovation Day
organizado por Telefónica, la compañía
ha presentado sus principales líneas
estratégicas, productos y servicios en
materia de ciberseguridad. En primer
lugar, apuesta por la innovación en la
seguridad a través de ElevenPaths y
lanza “Path5”, un nuevo producto de
ciberinteligencia para luchar contra las
amenazas del mundo móvil mediante
su tecnología patentada de big data y
motor de correlación.
En segundo término, la multinacional incorpora la tecnología de
SmartAccess, una empresa de seguridad española de desarrollo de soluciones de
firma digital y biometría
en dispositivos móviles, que incluye herramientas que crean
un entorno seguro,
reduciendo los costes
asociados al uso del
papel. Finalmente, la
empresa anunció que
colaborará a escala
mundial con la Unidad contra el Crimen
Digital de Microsoft.
En el plano estratégico, Telefónica ha
revelado en su evento que trabaja para
desarrollar nuevos servicios con nuevas
capacidades en materia de seguridad
que contribuyan a que los negocios
de sus clientes estén más protegidos
frente a las amenazas en los entornos
en los que operan. En este último año la
compañía ha abordado un proceso de
transformación basado en la innovación
a través de la tecnología.
Desde el punto de vista comercial,
Telefónica ha señalado que continúa la
senda de la inversión y
las alianzas con importantes socios. Este año
ha alcanzado acuerdos estratégicos con
Google, Microsoft y
Facebook. Igualmente
ha firmado un acuerdo
con PwC para que su
oferta tenga las mejores capacidades en la
auditoría y consultoría
Mantener las organizaciones protegidas, cada
vez resulta más complicado
Según el estudio Fortinet Security Census 2014, elaborado por la consultora
Lightspeed GMI para Fortinet a partir de las opiniones de 1.600 profesionales de
las Tecnologías de la Información y la Comunicación, el 88% de los CIO (Chief
Information Officer) y CTO (Chief Technology Officer) considera que mantener su
empresa protegida es cada vez más complicado. De manera especial, este escenario se debe a la mayor presión que reciben por parte de sus juntas directivas para
garantizar la protección de la compañía. Al respecto, el 76% de quienes afirman
sentirse muy presionados admite haber abandonado o retrasado alguna iniciativa de
negocio por motivos de ciberseguridad. En cuanto a los principales retos a los que
han de enfrentarse para blindar a sus organizaciones, los encuestados aluden en su
mayoría al Internet de las Cosas y la biometría (90%), preocupación seguida por el
BYOD (89%) –dispositivos personales de los empleados– y la creciente frecuencia y
complejidad de las amenazas (85%).
Check Point presenta Capsule, una herramienta que
potencia la seguridad en los dispositivos móviles
Check Point Software Technologies ha anunciado la disponibilidad de Check
Point Capsule, una solución de movilidad que ofrece protección tanto para los
dispositivos móviles como para los datos empresariales, sea cual sea su ubicación.
Básicamente, esta tecnología crea una cápsula en donde se aísla la información
relevante para el usuario contenida en el dispositivo, impidiendo la salida o la entrada
de datos. En palabras de Mario García, responsable de Check Point para España y
Portugal, “con esta solución móvil multicapa, que es a la vez segura e imperceptible
para el usuario, la idea es proteger la información, independientemente del dispositivo que se utilice o de la ubicación”.
Entre sus principales características, se incluye la protección de los datos empresariales en los dispositivos móviles, sin necesidad de administrar el terminal completo.
No en vano, esta herramienta crea un entorno empresarial seguro y separa los datos
corporativos de la información personal y las aplicaciones.
54
red seguridad
diciembre 2014
IBM anuncia
sus soluciones
de seguridad
en la nube
IBM ha lanzado su oferta
de soluciones de seguridad
inteligente en la nube para
proteger a los profesionales,
la información y las aplicaciones, denominada Dynamic
Cloud Security.
Fruto del trabajo de más
de 200 ingenieros de la compañía, esta solución utiliza
tecnologías analíticas para
ofrecer a las empresas una
visión completa del estado de
la seguridad en toda su organización, desde el centro de
datos privados hasta la nube e
incluso el dispositivo móvil de
un empleado. De esta forma,
proporciona a las empresas
una visión global integrada que
muestra exactamente quién
está usando la nube, a qué
información se está accediendo y desde dónde.
Además, estas soluciones
permiten autenticar los accesos, controlar la información,
mejorar la visibilidad y optimizar las operaciones de seguridad para cloud; y se pueden implantar tanto en la nube
como en las propias instalaciones de los clientes según los
entornos TI híbridos que están
gestionando. Asimismo, pueden centralizar la concesión de
los privilegios apropiados a los
usuarios y proporcionar una
seguridad adicional en torno
a aquellos que tienen acceso
a la información confidencial,
como los administradores.
Por último, la compañía ofrece la posibilidad de que sus
clientes aprovechen la información de los más de 20.000
millones de eventos diarios de
seguridad que supervisa IBM
en más de 130 países. Así,
gracias a esta experiencia, es
mucho más fácil identificar las
amenazas en tiempo real y
proteger a la organización de
cualquier riesgo.
empresa
noticias
Symantec fracciona su negocio en dos empresas
La compañía de seguridad informática
Symantec ha hecho pública su decisión de dividir la organizaciones en dos
empresas: una enfocada a la seguridad y otra al manejo de la información. Según Michael Brown, CEO del
fabricante, ambas operarán de forma
independiente, lo que la dotará de una
mayor flexibilidad y facilitará que su
facturación continúe aumentando. “A
medida que la industria de seguridad
y almacenamiento viven un cambio
acelerado, los negocios de Symantec
se enfrentan a retos y oportunidades
únicos para su mercado. Nos queda
claro que ganar en ambos mundos
requiere de estrategias, inversiones y
enfoques diferentes”, explica.
Los dos mercados que atacarán las
nuevas firmas cuentan con gran potencial. Sin embargo, los desarrollos de
seguridad no crecerán de manera tan
rápida como el manejo de seguridad
de información, el cual se estima que
lo haga a un ritmo de 30% para 2018 y
alcance los 10.000 millones de dólares.
Su división de seguridad, que
en­globa las áreas de cifrado, detección de códigos maliciosos y la línea de
antivirus Norton, facturó 4.200 millones
de dólares en el año fiscal 2014; mientras que el segmento de administración de datos, que incluye servicios de
almacenamiento y resguardo de archivos, ingresó 2.500 millones de dólares
en el mismo periodo.
Los ataques dirigidos aumentarán en 2015, según
Trend Micro
Las llamadas APT, es decir, los ataques
diseñados específicamente para una
organización, se pondrán a partir del
año que viene a la altura del cibercrimen, al menos en cantidad. A medida
que esa práctica maliciosa se extienda
desde países como China, Rusia o
Estados Unidos, veremos como en
otros aumenta su actividad en ese sentido. Al menos así lo predice el informe
anual de Trend Micro para 2015, que
señala a Reino Unido, Corea del Norte,
Vietnam o India como las latitudes
donde más se notará ese incremento.
“Tras el éxito de los ataques dirigidos
de los grupos cibercriminales chinos y
rusos, muchos hackers de otros países
están considerando los ciberataques
como uno de los métodos más prácticos y efectivos para obtener presencia
en una organización”, destaca Loïc
Guézo, evangelista en Seguridad de la
Información de Trend Micro para el Sur
de Europa, que presentó el informe en
Madrid en noviembre.
El amento de las APT no es la
única previsión que recoge el informe
Predicciones de Seguridad de Trend
Micro para 2015: lo invisible se hace
visible. Destaca también el aumento de
ataques que tratarán de aprovechar las
vulnerabilidades del sistema operativo
Android o los métodos de pago con
móvil que utilizan la tecnología Near
Field Communications (NFC).
La compañía prevé, por otro lado,
que la banca online se refuerce, pero
a la vez aparezcan nuevas amenazas
financieras. Por ejemplo, los ciberdelincuentes desarrollaran aplicaciones
falsas para la banca móvil y aprovecharán los cambiadores del Sistema de
Nombre de Dominio (DNS) para lanzar
ataques de phishing móvil.
Las APT, entre
las principales
preocupaciones de
las empresas
Intel Security ha presentado
un nuevo informe denominado Cuando los minutos
cuentan, que valora la capacidad de las organizaciones
para detectar y detener ataques dirigidos. De hecho, el
74% de los participantes en
la escuesta indicó que estos
son una de las principales
preocupaciones para sus
organizaciones. A pesar de
ello, sólo el 24% de las compañías confían en su capacidad para detectar un ataque
en cuestión de minutos; mientras que algo menos de la
mitad reconoció que podrían
pasar días, semanas o incluso
meses antes de encontrar un
comportamiento malicioso.
Con estos y otros datos
sobre la mesa, el informe
revela los ocho indicadores
más críticos de ataques, y
examina las mejores prácticas para una respuesta
proactiva ante cualquier incidente. Asimismo, demuestra
cómo las empresas pueden
ser mucho más efectivas
cuando realizan análisis de
múltiples variables en tiempo real de cualquier tipo de
ataque, y cómo la inteligencia de amenazas y el factor
tiempo son una prioridad a la
hora de valorar los riesgos y
responder a los ataques de
forma eficaz.
Algunas predicciones de seguridad para 2015, según Blue Coat Systems
La compañía Blue Coat Systems ha elaborado una serie de predicciones de cara al año 2015 en materia de seguridad. En primer
lugar, aseguran, habrá un incremento del uso del cifrado para proteger la privacidad del consumidor. A pesar de ello, el malware
también aprovechará el encriptado de las comunicaciones para evitar la detección por parte de las empresas, que se verán
obligadas a hacer equilibrios con la privacidad de los empleados en los ataques escondidos detrás de la encriptación. Por otro
lado, advierte la compañía, el software potencialmente no deseado (PUS en sus siglas en inglés) está creciendo fuertemente en
los dispositivos móviles oculto dentro de los acuerdos y condiciones de uso. De modo que el aumento del PUS como software
gratuito, ofrecido por los desarrolladores en su intento de monetizar sus creaciones, supondrá una ralentización, y en muchos
casos una desestabilización, de los dispositivos infectados. Asimismo, las herramientas utilizadas en los ataques utilizarán más
información obtenida de las redes sociales, lo que permitirá personalizar esos ataques de la manera más útil para ellos. Finalmente,
el ransomware, que ha afectado a un importante número de personas en 2014, evolucionará, según Blue Coat, hacia objetivos
como las pequeñas empresas y organizaciones.
red seguridad
diciembre 2014
55
empresa
noticias
Las pérdidas de datos y los tiempos de inactividad
cuestan a las empresas 1,7 billones de dólares al año
BITS
Acuerdo entre
Telefónica e Incibe
El Instituto de Ciberseguridad
(Incibe) y Telefónica han llegado
a un acuerdo en el ámbito de la
lucha contra las redes zombi (botnets), gracias al cual Telefónica
podrá informar sobre estas amenazas a los usuarios que hayan
sido afectados y ofrecerles información y ayuda a la desinfección
a través del Servicio AntiBotnet
de la Oficina de Seguridad del
Internauta (OSI).
Check Point
continúa reforzando
su estructura
Tras la inauguración de sus
nuevas oficinas en el Parque
Empresarial Ática de Pozuelo de
Alarcón (Madrid), Check Point ha
anunciado la incorporación de
Alfredo de Bonis como ingeniero
de Seguridad, quien se encargará de dar soporte técnico a los
partners del fabricante, así como
de ejecutar diferentes actividades formativas para el canal.
Uno de cada seis
usuarios no cree
en ciberamenazas
Según una encuesta realizada
por Kaspersky Lab junto a B2B
Internacional, el 17 por ciento de
los internautas no cree que las
ciberamenzas sean reales, y piensa que las empresas de seguridad en Internet exageran. De
hecho, sólo el 37 por ciento de
los encuestados cree que puede
ser blanco de los cibercriminales.
InnoTec colabora
con el CCN para
frenar ciberataques
La división de ciberseguridad del
Grupo Entelgy, InnoTec System,
colabora con el CCN-CERT en la
detección proactiva, protección y
contención de las ciberamenazas
sufridas por las Administraciones
Públicas y las empresas de interés estratégico. El ciberespionaje
y el robo de propiedad industrial son las principales amenazas
detectadas a lo largo de 2014.
56
red seguridad
EMC ha presentado las conclusiones del Estudio Data Protection Index
sobre protección de datos a escala
mundial que revela algunos datos interesantes. En primer lugar, la pérdida
de información y los tiempos de inactividad han costado a las empresas
1,7 billones de dólares en los últimos
doce meses, una cifra que se ha incrementado un 400 por ciento desde
2012. Además, el 71 por ciento de las
organizaciones no confían plenamente
en su capacidad para recuperarse tras
una interrupción de sus sistemas.
El estudio, en el que han participado
3.300 responsables de TI de medianas y grandes empresas de 24 países,
alerta de que el volumen de datos
perdidos por cada incidente crece de
forma exponencial. De hecho, el 64
por ciento de las empresas analiza-
das ha sufrido pérdidas de datos o
períodos de tiempo de inactividad en
el último año. Todo ello en un entorno
en el que las tendencias empresariales, como el Big Data, movilidad y la
nube híbrida, están generando nuevos
desafíos para la protección de datos.
Es más, el 62 por ciento considera
que son difíciles de proteger.
Por tanto, no resulta extraño que
el 51 por ciento de las empresas no
cuenten con un plan de recuperación
ante desastres para ninguno de estos
entornos, y sólo el seis por ciento tengan uno para los tres. Así las cosas,
según el estudio, las empresas que
no han implementado una estrategia
de disponibilidad continúa tienen el
doble de probabilidades de sufrir pérdidas de datos que aquellas que sí la
utilizan.
Rockwell muestra
cómo fortalecer la
seguridad de las
máquinas
HP y la Universidad
de León apuestan por
impulsar las redes SDN
HP y la Universidad de León han
suscrito un acuerdo de colaboración
tecnológico para el desarrollo de
Aplicaciones para Redes Definidas
por Software (SDN). A través de este
convenio, se formarán a los alumnos y
a los profesores para que lo conozcan
de primera mano y a través de experiencias reales. Fruto de este acuerdo,
la Universidad de León albergará un
Centro de Innovación con las últimas
tecnologías proporcionadas por HP,
lo que la convierte en un referente
nacional para desarrollar aplicaciones
en este entorno. Además, incluirá
nuevas ofertas formativas sobre este
campo para sus alumnos. HP, por su
parte, establecerá una dotación económica de 3.000 dólares para premiar
la mejor aplicación desarrollada por
alumnos de la Universidad.
diciembre 2014
Con la idea de que la protección de los activos industriales requiere un enfoque por
capas para mitigar los tipos
de amenazas de seguridad
in­ter­nas y externas, Rockwell
Automation ha presentado
tres recomendaciones. La
primera es lo que denomina
“defensa en profundidad” y
se centra en la seguridad física, de la red, del ordenador,
de la aplicación y del dispositivo. La segunda tiene que ver
con la creación de políticas
que controlan la interacción
humana con los sistemas de
los usuarios finales, con el fin
de ayudar a prevenir el robo
de información. Finalmente,
la tercera hace referencia a la
monitorización remota a través de redes de estándares
abiertos con el fin de supervisar las operaciones, realizar
diagnósticos en tiempo real y
reducir los costes de mantenimiento.
ALGUNAS VECES
SU RED
ESTÁ LLENA DE
SORPRESAS...
Descubra los riesgos que puede encontrar en su
red corporativa mediante un
¿Puede garantizar que no hay “sorpresas” que amenacen la información crítica de su compañía?
Esa información nunca debe de caer en manos equivocadas,
Malware sigiloso, puertas traseras, fugas de datos u otras vulnerabilidades de la seguridad.
¡Qué no le coja por sorpresa!
LE OFRECEMOS LO SIGUIENTE
Check Point le ofrece una evaluación de seguridad gratuita que le proporcionará un
informe completo de análisis de amenazas que identifica:
Accesos a
aplicaciones y
páginas web de
alto riesgo
Equipos
infectados con
malware
Vulnerabilidades
utilizadas y
ataques a su red
Incidentes
de fuga de
datos
Recomendaciones
para proteger
su red de estos
riesgos
Adelántese y garantice que su organización está asegurada
Contacte con nosotros para realizar un Security CheckUp:
[email protected]
cifrado de datos
opinión
La importancia del cifrado de datos
para las empresas
Pablo Teijeira
Director general de Sophos Iberia
Cifrar datos de forma correcta es
una de las obligaciones que impone la
normativa española para una inmensa cantidad de empresas. Muchas
de ellas no cifran por miedo o desconocimiento. Cifrar no es complicado,
el coste es asequible y los beneficios
se muestran desde el inicio.
Hoy en día es más sencillo cifrar
que hace años. Las herramientas
de cifrado son cada vez más comunes, así como los fabricantes que
desarrollan soluciones profesionales personalizadas para corporaciones y empresas de todos los
tamaños. Cifrar de forma correcta y
respaldados por las autoridades
nacionales por el cual se garantiza
la protección del derecho fundamental a la protección de datos,
además de respaldar la seguridad
de los valores de la empresa y otorgar confianza a los operadores del
mercado.
El Gabinete Jurídico de la Agencia
Española de Protección de Datos
recuerda en su Informe 494/2009
cuál es la importancia del cifrado
correcto, de manera que sea legal y
suficiente: "La seguridad en el intercambio de información de carácter
personal en la que hay que adoptar
medidas de seguridad de nivel alto,
en particular los requisitos de cifrado
de datos, no es un tema baladí, ni un
mero trámite administrativo, ni una
cuestión de comodidad. Es el medio
técnico por el cual se garantiza la
protección de un derecho fundamental y al que hay que dedicar el tiempo
y los recursos que sean necesarios
para su correcta implementación".
Obligados a cifrar
Pero, ¿quién debe cifrar la información en España? Ha de cifrar la información un gran número de empresas.
Podríamos decir que deben hacerlo
todos los sujetos que traten datos
personales contenidos en ficheros a
los que se deban aplicar medidas de
Únicamente son válidos los sistemas
de cifrado que garantizan que la
información no sea inteligible
siguiendo los parámetros indicados
en la normativa española vigente
es uno de los medios técnicos
58
red seguridad
seguridad de nivel alto. Sin embargo,
el número es un poco más generoso,
ya que debemos incluir también a
diciembre 2014
otro tipo de sujetos que llevan a cabo
actividades como el tratamiento de
datos de carácter personal referidos
a ideología, afiliación sindical, religión, creencias, origen racial, salud o
vida sexual; los que contengan o se
refieran a datos recabados para fines
policiales sin consentimiento de las
personas afectadas; abogados en el
ejercicio de su profesión; empresas
que aceptan el BYOD; empresas que
deseen adoptar medidas de seguridad que superen el mínimo exigido…
Cuando la normativa española
exige cifrado, otorga a las empresas
dos posibilidades: un sistema de cifrado o cualquier otro mecanismo que
garantice que la información no sea
inteligible ni manipulada por terceros. Únicamente son válidos los sistemas de cifrado que garantizan que la
información no se entienda ni pueda
manipularse por terceros. Cualquier
sistema no es suficiente. Pero ¿cuáles
son éstos? ¿Quién los ha auditado?
¿Hay alguna lista de los que permiten
cumplir la Ley y los que no?
A la Agencia Española de Protección
de Datos (AEPD) se le consultó si los
sistemas de cifrado de ciertas herramientas, como las de compresión de
archivos (ZIP) y los sistemas de claves
de los PDF, eran suficientes para cumplir la normativa. El Gabinete Jurídico
de la Agencia Española de Protección
de Datos, en su Informe 0494/2009,
respondió: no son suficientes.
Existen técnicas, dice la AEPD,
que actualmente se pueden emplear
como alternativa al cifrado de datos,
como son la esteganografía para
el caso de ocultación de mensajes
a nivel de aplicación o la transmisión mediante espectro ensanchado
(spread-spectrum) para el caso inalámbrico a nivel físico. Todas ellas con
una implementación y una gestión
mucho más compleja y problemática
que la que ofrecen los actuales sistemas de cifrado. En 2009 la Agencia
afirmó que aún no se disponía de
cifrado de datos
tecnologías más ágiles para preservar
la confidencialidad de la información
que emplear herramientas de cifrado,
aunque en un futuro puedan aparecer.
No sólo cifrar
Pero no sólo es necesario cifrar, sino
hacerlo de manera que la información
no sea inteligible ni manipulada por
terceros. Sin esta última condición, no
se cumplirá lo estipulado en el citado
artículo 104. Esto implica dos cosas:
# Por un lado, que el sistema de
cifrado a emplear no esté comprometido, es decir, que no se
conozca forma de romperlo.
# Por otro lado, que se cuente con
un sistema de gestión de claves,
en particular, y con un procedimiento de administración de
material criptográfico, en general.
Ante la pregunta de si los sistemas de cifrado de WinZip y PDF
son suficientes, la AEPD contestó lo
siguiente: "Los productos que generan archivos PDF o el realizado por
WinZip tienen vulnerabilidades conocidas y disponen de herramientas
de libre distribución que aprovechan
dichas vulnerabilidades. Más concretamente, no sólo se pueden obtener
en Internet fácilmente utilidades que
rompen las protecciones de los archivos PDF o ZIP, sino que el propio
algoritmo en el que descansa la cifra
de documentos PDF, el algoritmo
RC4, es manifiestamente vulnerable".
La Agencia concluye lo siguiente:
# Para un uso particular, los sistemas generales de cifrado (ZIP,
PDF, etc.) podrían considerarse
adecuados, según el caso.
# Para un uso profesional, los
sistemas generales de cifrado
son insuficientes para el intercambio de información con las
garantías que se precisan en el
Reglamento.
La respuesta para cumplir la normativa se encuentra en las herramientas profesionales pensadas,
diseñadas y probadas para cumplir
al detalle la normativa vigente en
España en materia de cifrado.
En caso de que el cifrado no se
realice de forma correcta y los datos
quedaran expuestos a terceras personas sin autorización para observarlos, se estaría llevando a cabo una
cesión o comunicación pública de
datos, definida en la Ley Orgánica de
Protección de Datos (LOPD) como
"toda revelación de datos realizada a
una persona distinta del interesado"
(Artículo 3).
La repercusión económica de la
imposición de la sanción, de 40.001
a 300.000 euros, es considerable.
Sin embargo, este importe no será
el único que haya que pagar, ya que
será complementado con el propio
de la indemnización que, en su caso,
haya que abonar a los damnificados
por la fuga de datos y su exposición
indebida. Cuando la norma obliga
a cifrar datos, el cifrado se debe
realizar. Hay que dedicar el tiempo
y los recursos que sean necesarios
para su correcta implementación,
como nos recuerda la Agencia en su
Informe 494/2009 y como nos indica
la propia LOPD en su articulado.
Seguridad y confidencialidad
Cifrar siempre es conveniente, aunque no haya ninguna ley que obligue a ello. Un número elevado de
sujetos están obligados a cifrar por
opinión
las ventajas que conlleva en materia
de seguridad y confidencialidad. En
el resto de casos, cifrar es de utilidad extraordinaria ya que refuerza la
seguridad, genera confianza y evita
situaciones comprometidas en los tribunales. Determinadas empresas que
no tienen la obligación de cifrar eligen
hacerlo para trabajar bajo el amparo
de su seguridad. Estas empresas protegen su información frente a terceros
bajo un velo de opacidad, lo que hace
el manejo y la transmisión de información sea más ágil y sencilla.
Las empresas pueden elegir cumplir los "mínimos exigibles" que marca
la normativa de protección de datos
o pueden dotar a sus procesos de
mayor seguridad y confidencialidad.
Cuando una corporación usa datos
y realiza tratamientos de nivel bajo y
medio puede optar por asegurar la
información por medio del cifrado.
El Gabinete Jurídico de la Agencia
Española de Protección de Datos
afirma, en el Informe 0477/2009,
que, aun cuando no sea imperativa,
"la medida de cifrado de los datos
puede ser adoptada voluntariamente
por el responsable del fichero" para
superar los mínimos exigibles marcados por la norma.
Más información, en el Primer
Informe sobre la necesidad legal de
cifrar información y datos personales
realizado por Abanlex, con la colaboración de Sophos.
Un número elevado de sujetos están
obligados a cifrar por las ventajas
que conlleva en materia de seguridad
y confidencialidad.
red seguridad
diciembre 2014
59
novedades
noticias
Extreme Networks refuerza su portfolio “Unified Edge” con
dos nuevos equipos de alto rendimiento
El fabricante de soluciones de red Extreme Networks amplía su oferta para la capa de acceso de la red, denominada "Unified Edge", con el lanzamiento de dos nuevos equipos: el switch
Summit X460-G2 y los puntos de acceso wireless IdentiFi 3805. Ambos, según la compañía,
incrementan el rendimiento en el nivel de acceso, mejoran las capacidades de gestión de la
red y facilitan la gestión de la seguridad y de las iniciativas BYOD. El primero, en
concreto, es un switch Gigabit de alto rendimiento que proporciona una solución
de conmutación para la capa de acceso rápida y versatil, capaz de escalar y
satisfacer las necesidades de las aplicaciones corporativas y de la convergencia.
Por su parte, el punto de acceso proporciona rendimiento 802.11ac 2x2:2 en
un formato reducido, lo que lo permite su despliegue en todo tipo de entornos.
Finalmente, ambos modelos están optimizados para operar con la consola de
gestión NetSight y con la solución de analitica de aplicaciones Purview.
www.extremenetworks.com
Red Hat ayuda a las administraciones a construir
estrategias para afrontar los desafíos del 'cloud'
Red Hat ha anunciado el lanzamiento de “Red Hat Cloud for Government”, una
plataforma de consultoría que ayuda a las administraciones públicas a desplegar
una estrategia y una infraestructura cloud seguras. La solución incluye un conjunto de procesos y herramientas que ayudan a gestionar y ejecutar servicios
cloud en sus propios centros de datos, y contribuye a cumplir con sus objetivos
de modernización y necesidades en la nube.
“El programa Red Hat Cloud for Government ayuda a las administraciones
a ahorrar tiempo y dinero, haciéndolas más ágiles y, sobre todo, haciendo que
aprovechen más fácilmente las fuerzas del open source empresarial y cloud
que están cambiando el mercado”, asegura Paul
Smith, director general y vicepresidente de Red
Hat para el sector público.
Red Hat trabajará con administraciones públicas para estandarizar y automatizar su infraestructura ya existente y posteriormente identificar
oportunidades para simplificar las prestación de
servicios con IaaS (infraestructura como servicio)
basada en Red Hat Enterprise Linux OpenStack
Platform y herramientas PaaS (plataforma como
servicio) basadas en OpenShift de Red Hat.
www.redhat.com
ESET presenta sus nuevos antivirus
Smart Security y NOD32 Antivirus
La compañía ESET ha anunciado el lanzamiento de su nueva gama de antivirus de consumo:
ESET Smart Security Edición 2015 y ESET NOD32
Antivirus Edición 2015. Ambos presentan como
novedad la incorporación de módulos específicos de protección contra el aprovechamiento de
exploits o de vulnerabilidades del sistema a través
de navegadores web, lectores de documentos y otras aplicaciones,
incluyendo las basadas en Java. Además, el primero de ellos incorpora
también una nueva tecnología de protección contra botnets para evitar
que el equipo pueda formar parte de una red de ordenadores infectados
y que se utilice para actividades sin el conocimiento del usuario.
www.eset.es
60
red seguridad
diciembre 2014
Nuevo servidor de
protección de datos
Diseñado especialmente para
cubrir las necesidades de protección de datos de las pymes,
WD ha presentado el servidor ultracompacto Sentinel
DX4200. Este modelo combina
el sistema operativo Windows
Storage Server 2012 R2 y la
CPU Intel Atom C2338 Dual
Core, con una capacidad máxima de hasta 16TB. Además,
permite configurar el volumen
de la unidad de almacenamiento en Simple, Mirror y Parity
para garantizar la protección
de datos y la velocidad; e integra el sistema SmartWar Pro
Backup, un software de copia
de seguridad y recuperación
de datos con backup para
hasta 25 dispositivos en red.
Finalmente, cuenta con conectividad redundante y software
opcional para almacenar los
datos en la nube.
www.wd.com/sp
noticias
McAfee apuesta por la seguridad multidispositivo
Con la idea de proteger la identidad y los
datos de los usuarios tanto en PC y Mac,
como en teléfonos inteligentes o tabletas,
McAfee ha presentado la suite LiveSafe 2015.
Como novedad, esta solución incluye autenticación biométrica facial y de voz, lo que
permite a los usuarios gestionarlo de forma
sencilla, asegurar sus contraseñas y acceder
a su información desde cualquier dispositivo,
especialmente a aquellos documentos confidenciales como copias de pasaportes, datos
de tarjetas de crédito, extractos bancarios, etc.
Paralelamente a este lanzamiento, la compañía ha actualizado sus
otros productos: AntiVirus Plus 2015, Internet Security 2015 y Total
Protection 2015. Toda esta nueva gama incluye protección contra
malware mejorada y una optimizada experiencia de usuario. De hecho,
la empresa ha actualizado recientemente su motor de localización de
software malicioso para perfeccionar aún más los niveles de detección
y el rendimiento de los equipos, al tiempo que protege a los usuarios.
www.mcafee.com/es
Fortinet anuncia un 'firewall' con interfaces de 100 GbE
FortiGate-3810D. Así se llama el nuevo lanzamiento del fabricante especializado
en seguridad de red Fortinet. La peculiaridad de este modelo es que cuenta con
interfaces de 100 GbE y un rendimiento de 300 Gbps, tanto en IPv4 como en
IPv6, lo que permite cumplir con los requerimientos de los centros de datos de
nueva generación. Para ello, se presenta en un appliance de 3U, lo que ahorra
espacio y energía, y está equipado con los nuevos procesadores FortiASIC NP6
escalables, que eliminan los cuellos de botella que provocan latencia y lentitud.
Por último, incorpora funcionalidades avanzadas como
filtrado web, prevención de
intrusiones y un modo transparente, lo cual facilita la segmentación de las redes sin
necesidad de hacer grandes
modificaciones en ellas.
www.fortinet.com
CryptoKIT LECTOR
La Fábrica Nacional de Moneda
y Timbre-Real Casa de la Moneda
(FNMT-RCM), en colaboración con
la empresa Bit4id, ha presentado la
solución CryptoKIT LECTOR, compuesta por un miniLector EVO, con
una velocidad de hasta 412.000
bps, y una tarjeta criptográfica
CERES funciones RSA de hasta
2048 bits. Esta combinación de
hardware permite el uso de los certificados digitales de manera sencilla en cualquier momento y lugar.
www.fnmt.es
novedades
Sophos refuerza
sus soluciones de
seguridad de red
Los nuevos appliances UTM
Firewall SG Series y la disponibilidad de la herramienta
de reporte virtual iView son
las principales novedades que
Sophos acaba de presentar
en el mercado.
Concretamente, los primeros son seis nuevos appliances firewall de la serie SG
con tecnología multi-core. De
ellos, cuatro son de escritorio, idóneos para implementaciones en pequeñas oficinas con conectividad inalámbrica integrada, y dos de
2U con amplias funciones de
personalización.
Respecto a Sophos iView,
se trata de una aplicación virtual que permite generar informes de todo tipo y cuadros
de mandos personalizados,
centrándose en las áreas problemáticas de una red o en
determinados usuarios.
Por último, además de SG
Series e iView, la compañía también ha anunciado el
AP 100, el primero de una
nueva generación de puntos
de acceso inalámbricos que
soportan los últimos protocolos de 802.11ac, y un punto
de acceso de nivel de entrada, el AP 15.
www.sophos.com/es-es
Nueva versión de
CONAN mobile
FiberNet potencia la
solución FiberGuard
El
I nstituto
N acional
de
Ciberseguridad (Incibe) ha lanzado la nueva versión de CONAN
mobile, que evalúa el grado de
seguridad en el que se encuentran
los dispositivos móviles. Entre sus
principales novedades se encuentra la detección de conexiones
potencialmente peligrosas realizadas por las aplicaciones instaladas
en el dispositivo y su notificación a
los usuarios.
www.incibe.es
La compañía especializada en el
desarrollo y fabricación de soluciones de fibra óptica Fibernet,
está impulsando FiberGuard. Se
trata de una solución que permite
detectar posibles manipulaciones
externas de la fibra óptica y analiza de forma continuada posibles
extracciones de la información que
se transmite a través de la fibra,
permitiendo una medición precisa
en tiempo real y no intrusiva.
www.fibernet.es
red seguridad
diciembre 2014
61
estudio
opinión
Incentivando la adopción de la
ciberseguridad
Gianluca
D’Antonio
Presidente de ISMS Forum Spain
En los últimos años, el World
Economic Forum ha introducido en
su mapa de riesgos globales los
posibles incidentes relacionados
con el ciberespacio y el uso de las
tecnologías de la información y las
comunicaciones. En las últimas dos
décadas, Internet ha pasado de ser
una herramienta útil de comunicación
para individuos y organizaciones, a
convertirse en una infraestructura
digital esencial para el desarrollo económico y el bienestar de la sociedad
en su conjunto.
La situación actual en la que nos
encontramos pone de relieve nuestra
dependencia en el uso de las tecnologías de la información y las comunicaciones, lo que constituye un factor
de riesgo que no podemos ignorar.
La sociedad de la información,
como la conocemos hoy en día, ha
desarrollado muchas dependencias
en este ecosistema digital, reconociéndole como un interés legítimo
de la ciudadanía sin llegar todavía a
reconocerle el estatus de un pleno
derecho. En este sentido, hay ya
interesantes aproximaciones, como
la Doctrina de la Ciberseguridad
como un Bien Público1, que ponen
de relieve la necesidad de una tutela
plena de estas situaciones de hecho.
Si nuestra sociedad no puede
entenderse sin la disponibilidad y el
uso de estas “infraestructuras digitales”, la evolución natural supone la
necesidad de contar con un marco
62
red seguridad
normativo y organizativo de promoción, protección y tutela.
Por ello, desde organizaciones
como ISMS Forum Spain se promueven iniciativas para estimular la
reflexión y el debate acerca de las
posibles medidas de carácter legal y
organizativo para generar un ecosistema digital seguro y resiliente. Con este
objetivo, ISMS Forum Spain y Thiber
han publicado un estudio conjunto
titulado Incentivando la Adopción de
la Ciberseguridad.
Numerosos países han desarrollado
estrategias nacionales de ciberseguridad con el objetivo de organizar
y mejorar los recursos disponibles
para hacer frente a las crecientes
amenazas que incumben sobre el
ciberespacio por obra de organizaciones criminales, grupos activistas y
estados antagónicos. El ciberespacio
se considera ya como el quinto dominio después de la tierra, el mar, el aire
y el espacio en el cual dos estados
pueden llegar a un enfrentamiento
armado.
Un aspecto relevante en muchas
estrategias nacionales de ciberseguridad está representado por las políticas orientadas a estimular la creación
y desarrollo de un mercado de ciberseguridad entendido como punto de
encuentro entre demanda y oferta de
productos y servicios para proteger
las operaciones de individuos, organizaciones y estados que acontecen en
el ciberespacio.
diciembre 2014
El fortalecimiento de un mercado de
la ciberseguridad es fundamental para
desarrollar las capacidades necesarias para hacer frente a los desafíos y
amenazas del ciberespacio.
En junio de 2012, ISMS Forum
Spain publicó su primer estudio
sobre ciberseguridad bajo el título La
Ciberseguridad Nacional, un compromiso de todos en el cual proponía
una visión de estado acerca de los
riesgos relacionados con el uso de las
nuevas tecnologías. Con esta segunda publicación, el objetivo es dar un
paso más en la dirección marcada
en el anterior documento, a través de
una propuesta orgánica acerca de los
posibles incentivos que los gobiernos
de las naciones pueden poner en
práctica para estimular la inversión
y el desarrollo de capacidades en
ciberseguridad.
Castigar ‘vs’ premiar
Sin duda, este enfoque propositivo
e incentivador con que se ha elaborado el estudio es el más eficaz para
alcanzar los fines que se proponen:
el desarrollo de una sociedad capaz
de proteger sus intereses, sus ciudadanos y sus empresas frente a las
amenazas que el uso de las nuevas
tecnologías implica.
Y parte de la convicción de eficacia
por las siguientes razones:
▪ Distribuye los costes de la ciberseguridad sobre todos los actores
involucrados, es decir, la ciudada-
estudio
nía, las empresas y las administraciones públicas.
▪ Premia a las organizaciones comprometidas con la protección de
los sistemas de información.
▪ Desarrolla el mercado de productos y servicios de ciberseguridad a
través del impulso de la oferta.
▪ Fomenta la investigación y el desarrollo en soluciones y productos de
ciberseguridad.
▪ Estimula la resiliencia de todo el
ecosistema que compone el ciberespacio.
En definitiva, impulsa la cultura de
la seguridad y de la defensa del ciberespacio como una responsabilidad
común y compartida entre todos los
estamentos de la sociedad.
La tradición continental europea
nos ha acostumbrado al paradigma
sancionador y punitivo como método
para conseguir los objetivos prefijados. También en los ámbitos relacionados con el ciberespacio hemos
asistido, en los últimos años, a la proliferación de regulaciones comunitarias
y nacionales centradas en la parte
impositiva y sancionadora más que en
la vertiente propositiva y de estímulo.
Las diferencias entre los dos paradigmas no son sólo filosóficas, sino
determinantes en la eficaz consecución de los objetivos establecidos.
Los autores del estudio creemos que
es necesario generar las condiciones favorables para que las organizaciones consideren la seguridad y
la protección del ciberespacio como
un valor y una inversión en lugar de
como un coste. Una sociedad que
premie las empresas que operan en
su territorio y que demuestren el compromiso con la protección de la información de los ciudadanos en calidad
de clientes y usuarios es más eficaz.
Prueba de ello son los datos ofrecidos por las autoridades de control como la Agencia Española de
Protección de Datos (AEPD), que ha
relevado cómo aproximadamente
sólo un 30 por ciento de las empresas
españolas cumplen con la normativa
de protección de datos después de
más de 20 años desde la entrada en
vigor de la primera Ley Orgánica en
esta materia.1
opinión
Con este firme convencimiento se formulan una serie
de propuestas para materializar distintas líneas de acción
que incentiven la adopción de
buenas prácticas en ciberseguridad.
Necesidad de ayudas
En el contexto macro y micro
económico actual, donde se
atisban los primeros síntomas
de recuperación en los consumos y en la producción industrial, una política de incentivos
permitiría apoyar la iniciativa
privada en la misión de proteger clientes, usuarios y activos
de información. La española
es una economía basada en
los sectores servicios, energía e industria. Estos sectores constituyen casi el 90 por
ciento del PIB nacional.2 Una
característica común a estos
sectores está representada por
la fuerte dependencia de las
Tecnologías de la Información
y
la
Comunicaciones.
Precisamente esta dependencia de los nuevos canales telemáticos
requiere ser tratada como un factor
de inversión en la perspectiva de
mejorar la experiencia de los consumidores y la confianza de los usuarios en la seguridad de los sistemas
que utilizan para contratar servicios y
comprar productos.
Según una reciente encuesta realizada por una consultora en varios
países desarrollados, la mitad de las
empresas españolas encuestadas fue
víctima de un ciberdelito en los últimos dos años.3
Este dato pone de manifiesto la
necesidad de un cambio en las políticas públicas sin el cual seguirá incrementándose el déficit de medios y
profesionales necesarios para garantizar la seguridad de los sectores
arriba mencionados.
Partiendo de estas premisas,
el estudio propone y desarrolla un Programa de Incentivos en
Ciberseguridad Español (PICE) “como
aproximación orientada a mejorar el
nivel de ciberresilencia de la industria
española así como a potenciar un
mercado emergente de productos y
servicios de ciberprotección”.
La Estrategia Nacional de
Ciberseguridad, como declaración
de principios y documento programático para la consecución de los
objetivos de seguridad fijados por
el Estado Español, hubiera sido el
lugar ideal desde donde impulsar una
nueva política de apoyo e impulso a
las organizaciones comprometidas
con la protección de los sistemas de
información.
Referencias
1. http://www.abogacia.es/2013/11/11/
el-cumplimiento-de-la-normativa-de-proteccion-de-datos-en-iberoamerica
2. http://economy.blogs.ie.edu/archives/2014/02/estructura-de-la-economiaespanola-por-sectores-economicos-y-elempleo-1970-2013.php
3.
http://www.delitosinformaticos.
com/06/2014/delitos/fraudes-y-estafas/lamitad-de-las-empresas-espanolas-sufrieron-ciberdelitos-en-los-ultimos-dos-anos
4. K. Mulligan, Deirdre. Doctrine for
Cybersecurity. https://www.cs.cornell.edu/
fbs/publications/publicCybersecDaed.pdf
red seguridad
diciembre 2014
63
asociaciones
noticias
Internet de las Cosas, protagonista
del congreso EuroCACS/ISRM
La acociación ISACA celebró entre el
29 de semptiembre y el 1 de octubre,
en Barcelona, su conferencia europea
EuroCACS/ISRM 2014, con un gran
éxito de asistencia. No en vano, reunió
a más de 600 asistentes procedentes
de 60 países. En palabras de Ramsés
Gallego, presidente del capítulo de
Barcelona, “partners, socios, clientes,
esponsors y medios de comunicación
han sido testigos de la labor de ISACA
en la divulgación y formación en estas
áreas de las tecnologías de la información, hoy en día consideradas clave en
los procesos de toma de decisión de
las organizaciones”.
El tema estrella de esta edición fue
Internet de las Cosas. En su conferencia Cómo adaptarse al Internet de
las Cosas, Ole Svenningsen, CISA
y Senior Audit Manager en Nordea
Bank, afirmó que esta tendencia
está creciendo de
forma exponencial
y busca conectar
todos los objetos
conocidos por el
ser humano a la
red. “Actualmente
hay alrededor de
mil millones de
personas conectadas a Internet
y se espera que
en un par de años
más esta cifra se duplique,” aseguró.
“Como consecuencia, las sociedades
se enfrentan a cantidades de datos
que crecen exponencialmente y que
necesitan ser monitorizados, gestionados y almacenados de forma eficiente
para poder generar conocimiento que
permita utilizar mejor los recursos de
ciudades y países”.
Ahora bien, esto también se traduce en un crecimiento exponencial de
las vulnerabilidades. En este sentido,
el papel del auditor de la seguridad
de Internet va a cambiar de forma
significativa. En no mucho tiempo, se
enfrentará a una serie de retos como el
encontrar una nueva perspectiva para
monitorizar los flujos de datos y dar
"Somos una asociación de profesionales
preocupados por nuestras necesidades"
¿Cuáles son los objetivos de ISACA
con la celebración de este congreso?
R.G.: En primer lugar, divulgar, informar y compartir ideas en las áreas
de seguridad, privacidad y gestión
de riesgos entre todos los asociados.
Por otra parte, dar a la comunidad la
posibilidad de entrar en contacto con
gente de toda Europa y África que
tienen tus mismas inquietudes y hacer
networking con ellos. De hecho, esta
edición ha acogido a más de 600 personas de 60 países, la mayor afluencia
de asistentes desde el año 2007. No
han quedado plazas libres.
¿Qué contenidos han sido los más
destacados del evento?
A.R.: Hay un tema que ha estado en
boca de todos, que es la ciberseguridad. Y aunque en ISACA venimos del
campo de la auditoría y el control, y sin
dejar eso de lado, entendemos que este
tema es lo sufucientemente importante
como para hablar sobre ello.
R.G.: Siempre nos hemos caracterizado por estar muy pendientes de las
nuevas amenazas tecnológicas. Somos
una asociación de profesionales que
nos preocupamos de nuestras necesi-
64
red seguridad
Antonio Ramos
Ramsés Gallego
Presidente de ISACA Madrid
(cuando se realizó la entrevista)
Presidente del Capítulo de
Barcelona de ISACA
dades. No hay que olvidar que tenemos
115.000 asociados en todo el mundo.
no con palabras técnicas, sino de negocio. Eso lo entiende todo el mundo, y es
importante para que cualquier compañía pueda cumplir sus objetivos.
A.R.: Además, hay otra cosa muy buena,
y es que la asociación sabe localizarse
en cada región. Por ejemplo, en este
evento no hemos hablado de las leyes
norteamericanas, sino de la Estategia
Europea de Ciberseguridad, una información pensada exclusivamente para
los profesionales de este continente. Es
una bondad que tenemos.
¿Y las empresas perciben la importancia de la ciberseguridad?
R.G.: Sí, sin duda. Aquí han venido
representantes tanto del ámbito privado
como público, y poco a poco vamos
siendo capaces de transmitir el impacto
que puede tener en las organizaciones.
Precisamente nosotros lo que hacemos
es poner en contexto la seguridad con
el valor que aporta a las organizaciones,
diciembre 2014
asociaciones
respuesta ante incidentes, desarrollar
una nueva visión de gestión y almacenamiento de la información y asumir el
cambio del concepto de privacidad, ya
que esta tendencia podrá recabar cada
vez más datos de usuarios y empresas.
Sin embargo, éste no ha sido el
único tema tratado. “ISACA está muy
pendiente del cambiante panorama
de la seguridad TI y de la constante
evolución de las amenazas informáticas. A través de conferencias como
EuroCACS/ISRM, nuestros socios y
partners se mantienen al día sobre las
últimas tendencias, sin olvidarnos de
aspectos prácticos como la auditoría,
el aseguramiento y el buen gobierno
de TI”, señala Antonio Ramos, en
aquel momento presidente del capítulo
de Madrid.
Para ello es preciso, como explicó Robert Stroud, presidente internacional de la asociación, “colaborar
para resolver problemas y contribuir
al desarrollo de profesionales que
puedan implementar soluciones”.
Precisamente, con el objetivo de preparar a los mejores técnicos de segu-
Otro tema del que también se ha
hablado bastante es de Internet de
las Cosas, ¿no es así?
R.G.: Efectivamente. Nuestra pretensión es estar siempre a la última.
Si te fijas, ahora no hemos hablado
de cloud computing, porque eso ya
no es lo último. Nuestro discurso se
centra en Internet de las Cosas, que
va a hacer que los objetos estén
todos conectados entre sí. Por tanto,
tenemos que informar a los asociados
de los riesgos de seguridad que esto
puede suponer para ellos.
¿De qué manera adaptan esos contenidos a los profesionales españoles?
A.R.: La verdad es que lo hacemos con
mucho esfuerzo por parte de todos los
miembros de los capítulos que hay en
España. Pero los socios lo agradecen,
porque prefieren que los entregables
que les damos estén en español, puesto que van a poder asimilarlos mejor.
R.G.: No hay que olvidar que en nuestro país ISACA cuenta con más de
1.600 miembros y es una de las asociaciones más grandes de España. Por
tanto, tener ese cuerpo de voluntarios
que saben que lo que hacen es para
ellos nos da un potencial tremendo.
Además, es importante recordar que
todos los que formamos parte de
ISACA estamos aquí por vocación.
ridad, ISACA cuenta con marcos de
trabajo, como COBIT 5, que incluyen programas, estándares y buenas prácticas y que constituyen un
buen punto de partida para abordar
áreas como amenazas persistentes,
privacidad, big data, cloud computing,
Internet de las Cosas o movilidad.
Asimismo, en esta cita los asistentes
participaron en sesiones de formación y
pudieron prepararse para los próximos
exámenes de certificación. Además,
aprovecharon la oportunidad para
compartir conocimientos y experiencias con la red de miembros de ISACA,
así como para establecer sinergias de
primera mano con líderes del sector.
Por último, durante la celebración
del congreso tuvo lugar la fase final de
Global Cyberlympics, una competición
en la que equipos de todo el mundo se
disputaron el primer premio en hacking
ético, defensa de redes informáticas e
informática forense. El equipo ganador
fue Cyber Padawans 1, de Maryland
(Estados Unidos), que se impuso a
oponentes de Brasil, Perú, Holanda,
Sudán, India, Indonesia y Australia.
Precisamente, hace poco han presentado COBIT 5 totalmente adaptado al español. ¿En qué consiste
exactamente?
Se trata de una serie de herramientas
que nos ayudan a poner la seguridad
en el centro de la empresa para convertirla en ventaja competitiva. Eso
aporta confianza a las organizaciones.
Por ejemplo, si un profesional de la
seguridad quiere acercarse a su CEO
a proponerle un proyecto, COBIT 5 le
ayuda a evaluar las necesidades que
tiene, a formular los objetivos empresariales, los riesgos de negocio, y a
trazarle el camino para que sea capaz
de llevar el mensaje de forma correcta.
Y todo ello no lo dice con palabras
técnicas, sino de negocio.
Y después de la celebración en
Barcelona de EuroCACS/ISRM,
¿cuáles son los siguientes pasos?
Este evento se repite todos los años,
por lo tanto en cuanto termine, empezaremos a pensar en el siguiente. Pero
entre medias, no nos paramos. Nuestra
intención, como decíamos, es seguir
educando, divulgando e informando a
los socios. Para ello contamos con distintos eventos como la celebración de
webinars, sesiones mensuales, jornadas técnicas anuales y, por supuesto,
seguiremos publicando todo tipo de
entregables para los asociados.
noticias
Ricardo Barrasa,
nuevo presidente
de ISACA Madrid
Los asociados de ISACA
Madrid eligieron en asamblea ordinaria, el pasado
20 de noviembre, la composición de la nueva junta
directiva hasta 2016. Ricardo
Barrasa salió elegido como
nuevo presidente de la organización, en sustitución de
Antonio Ramos, que pasa a
ocupar la vicepresidencia.
El resto de la junta estará compuesta por Nuria
Domínguez, como secretaria;
Joaquín Castillón, tesorero;
y los vocales Óscar Martín
(relación con los asociados),
Israel Hernández (coordinador de certificaciones y formación), Enrique Turrillo (programas), José A. Rubio (relaciones académicas), Mª José
Carmona (webmaster), Pablo
Blanco (comunicaciones y
marketing) y Erik de Pablo
(director de investigación).
Según explica la asociación, la junta directiva se plantea nuevos retos "para seguir
manteniendo una asociación
fuerte y sólida que siga divulgando y fomentando la práctica de la auditoría de los
sistemas de información, y
continúe promoviendo en la
sociedad el reconocimiento
de los profesionales que la
realizan. Para ello, se va a
apostar por incrementar la
cercanía con sus asociados,
fomentar el desarrollo de grupos de trabajo que ayuden al
intercambio de experiencias
y a la mejora de las prácticas
de auditoría de TI".
red seguridad
diciembre 2014
65
asociaciones
noticias
Hacia la prevención con resiliencia…
¡y más allá!
Ese fue el lema elegido por ISMS Forum Spain para celebrar la XVI Jornada Internacional
de la Seguridad de la Información, en la que tomaron parte destacados ponentes, caso de
Benoit Godart (Europol), Miguel Rego (INCIBE) o Fernando Sánchez (CNPIC).
Tx: Bernardo Valadés
El auditorio de Mutua Madrileña albergó la XVI Jornada Internacional de
la Seguridad de la Información, que,
organizada por ISMS Forum Spain,
congregó a cerca de 300 expertos y
profesionales de la seguridad TIC. Bajo
el lema "Towards prevention with resilience… and beyond!" (Hacia la prevención con resiliencia… ¡y más allá!),
el encuentro puso el foco en la capacidad de resistir las nuevas amenazas y
en la flexibilidad de las infraestructuras
TI para rehacerse tras un ataque del
cibercrimen organizado.
La ponencia inaugural corrió a cargo
de un invitado de excepción: Benoit
Godart. El responsable del departamento EC3 Outreach de la Oficina
Europea de Policía (Europol) presentó
las principales conclusiones del informe Internet Organised Crime Threat
Assessment, documento que insta a
las instituciones privadas a colaborar
con las administraciones en la lucha
contra el ciberterrorismo. “La coordinación entre países europeos es
importante, pero también lo es la colaboración internacional con Australia,
Canadá, Colombia o EEUU”, recalcó.
Sobre el escenario actual, Godart
señaló que “hay 2.800 millones de
personas conectadas a Internet. Sin
duda, es un gran logro de la tecnología y ello supone una oportunidad
de negocio”, pero también, advirtió,
“representa una situación ventajosa
para los cibercriminales contra los que
estamos luchando”.
Otro de los ponentes destacados
fue Miguel Rego, director general del
Instituto Nacional de Ciberseguridad
(Incibe), quien esclareció que “en
España existen unas 20.000 personas dedicadas a la ciberseguridad
y se estima un crecimiento del 20
por ciento en la demanda. En Incibe
66
red seguridad
estamos trabajando para fomentar el
desarrollo de 125 empresas dedicadas a la ciberseguridad y contribuir a
potenciar la demanda interna y externa de esta industria”.
Igualmente, entre las iniciativas de
Incibe destaca el estimular el interés
de los jóvenes por la ciberseguridad
con becas para realizar prácticas en
empresas y programas de formación tanto en institutos de Educación
Secundaria como a distancia.
En cuanto al resto de intervenciones, las mesas redondas de la jornada
contemplaron temas como las estrategias para una efectiva defensa contra las amenazas avanzadas persistentes (APT, por sus siglas en inglés),
la pérdida de información sensible o
la seguridad en las infraestructuras
críticas, esta última con la presencia
de Fernando Sánchez, director del
Centro Nacional de Protección para
las Infraestructuras Críticas (CNPIC).
Además, Gianluca D’Antonio, presidente de ISMS Forum Spain, presentó el estudio Incentivando la
adopción de la ciberseguridad, en el
que se pone de manifiesto el papel
de España en dicha materia en relación a otros países de su entorno,
mientras que la periodista Mercè
Molist hizo lo propio con el libro virtual Hackstory, la historia nunca contada del underground hacker en la
Península Ibérica.
Sara Degli-Esposti, nueva directora general de
ISMS Forum Spain
ISMS Forum Spain ha nombrado a Sara Degli-Esposti como nueva directora
general de la organización. Degli-Esposti compagina la dirección de la asociación
con su actual cargo como investigadora del Center for Research into Information
Surveillance and Privacy de la Open University Business School (Reino Unido).
Cuenta con amplia experiencia en el área de investigación, destacando como uno
de sus proyectos más recientes Surprise, que investiga la relación entre privacidad y seguridad, así como la percepción de los ciudadanos ante las tecnologías
de seguridad.
diciembre 2014
La tecnología Turbo HD de Hikvision marca un hito en la evolución de la era analógica. Los usuarios de CCTV
analógico van a poder disfrutar de una resolución Full HD sin necesidad de cambiar el cableado de las instalaciones
analógicas ya existentes. Permite la transmisión de vídeo sin retardo en 1080P a través de cable coaxial y es
compatible con cámaras analógicas tradicionales, cámaras IP de Hikvision y dispositivos con el estándar HDTVI.
¡ABROCHÉNSE LOS CINTURONES, EL HÍBRIDO ANALÓGICO HD HA PUESTO EL TURBO!
- C/ Almazara, 9 - 28760 Tres Cantos (Madrid). Tel. +34 91 7371655 - Fax +34 91 8058717
[email protected] - www.hikvision.com
Distribuidores Oficiales
España
www.es-eshop.adiglobal.com
www.casmar.es
www.hommaxsistemas.com
Portugal
www.bernardodacosta.pt
Impulsores de la
Seguridad Integral
en España
SEGUIMOS AVANZANDO
+
P o r q ue la Seguridad iNtegral es una necesida d
2015
Distribución conjunta
Estrategia conjunta
Sinergias conjuntas
35 Años de experiencia y conocimiento
A tu disposición