especial seg2 encuentro de la seguridad integral La normativa y la situación económica invitan a dar el paso Ahora más que nunca es necesario poner EL ACENTO EN LO QUE NOS UNE, MÁS QUE SOBRE LO QUE NOS SEPARA. La Seguridad Integral, más madura en Estados Unidos, encuentra en la optimización de costes una de sus principales motivaciones. ADEMÁS, EN ESPAÑA, UNA ESTRATEGIA DE CIBERSEGURIDAD EN CIERNES y la 'Ley PIC' tiran del carro del modelo convergente, que ha dejado de ser una opción, como ha quedado patente en el IV ENCUENTRO DE LA SEGURIDAD INTEGRAL. Tx: Ángel Gallego de Nova, Enrique González Herrero y Almudena Ruiz Sevilla. Ft: Miguel Ángel Benedicto. colaboración red seguridad junio 2012 7 especial seg2 encuentro de la seguridad integral Distintos enfoques y una única meta: Protección Global Corporativa El Seg2 se ha convertido en el encuentro de referencia para la convergencia de la Seguridad en nuestro país, y es testigo de los aspectos que van avanzando. El apoyo público del Gobierno a la gestión total de los riesgos se produce en un momento en el que aumenta el número de organizaciones que han iniciado el viaje hacia el despliegue de la Seguridad Integral como fundamento estratégico de presente y futuro. El IV Encuentro de la Seguridad Integral ha destacado en esta edición por congregar al porcentaje más elevado de usuarios finales en su historia. Un salón abarrotado por más de 160 asistentes aguardaba el pasado 10 de mayo el comienzo del IV Encuentro de la Seguridad Integral (Seg2), reflejo fidedigno del interés que despierta la convergencia en las organizaciones. Ha calado hondo un mensaje, una filosofía a la que Borrmart pone voz desde hace más cuatro años: "Estamos convencidos de que seguridad lógica y seguridad física deben ir unidas", recordó Javier Borredá, presidente de esta editorial, que publica las dos cabeceras organizadoras del evento: RED SEGURIDAD y SEGURITECNIA. Esta edición del Seg2 siempre será recordada por diferentes cuestiones, pero sobre todo por haber conseguido registrar el porcentaje más elevado de usuarios en el aforo -a la postre decisores en el organigrama de sus compañías-. Asimismo, quedó meridianamente claro que la profunda crisis económica que asola Europa no puede servir de impedimento al desarrollo de iniciativas de Seguridad Integral, que, por otra parte, están recibiendo el aval de la Administración a todos los niveles, como hemos venido contando en estas páginas. 8 red seguridad En este sentido, Javier Borredá, en sus palabras de bienvenida, puso en valor el compromiso con el Seg2 de cuatro empresas españolas: Deloitte, Eulen Seguridad, GMV y Telefónica Ingeniería de Seguridad (TIS), que dan vida a un congreso al que han dado muestras de su fidelidad en repetidas ocasiones. En este apartado, cabe mencionar al Instituto Nacional de Tecnologías de la Comunicación (Inteco), que ha vuelto a participar como entidad colaboradora, junto a la recién nacida Fundación Borredá. "La mayor recompensa a nuestro esfuerzo es ver un salón repleto de profesionales de altísimo nivel", comentó la directora de SEGURITECNIA, Ana Borredá, que junto a su homóloga en RED SEGURIDAD, Mercedes Oriol, desarrollaron la primera ponencia de la jornada: "Visión de la Seguridad Integral: realidad y avances". Borredá incidió en los pasos importantes que se están dando a favor de la Seguridad Integral, "una idea que al principio contaba con numerosos detractores y que hoy está presente en todos sitios". El germen de la convergencia y el primer paso para que este encuentro junio 2012 fuera posible tuvo lugar en 2002, con el nacimiento de la revista que tienen en sus manos en el seno de una editorial profundamente conocedora de la Seguridad Privada: "Esto nos permitió acercarnos a los profesionales de la Seguridad de la Información y rápido observamos que debían trabajar junto a los profesionales de la seguridad física –continuó-, porque en muchos casos no se conocían y mantenían posturas antagónicas. Era necesario crear un foro donde ambos sectores compartieran sus experiencias y, por esto, en 2008 impulsamos el Seg2 como dinamizador de la convergencia". La directora de SEGURITECNIA no quiso olvidar que Mapfre y Prisa ya compartían esa visión en aquella época: "Sin ellos -nuestros padrinos-, no hubiese sido posible arrancar". Ambas firmas presentaron su experiencia práctica en el I Encuentro de la Seguridad Integral, que se celebró en 2009, tal y como recordó Mercedes Oriol, "cuando eran pocos los que defendían la idea de la Seguridad Integral". Aquella edición logró sentar por primera vez en la misma mesa a las asociaciones más representativas de la seguridad informática y de la seguridad tradicional. Como parte de este recorrido histórico, la directora de esta cabecera trajo a colación la aparición del Esquema Nacional de Interoperabilidad (ENI), del Esquema Nacional de Seguridad (ENS) y del Real Decreto que dio lugar a la actual Ley de Protección de las Infraestructuras Críticas (Ley PIC) como vertebradores de la segunda edición del Seg2, que también fue testigo de la primera aparición pública de Fernando Sánchez, director del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC). En esta travesía, además de Mapfre y Prisa, usuarios como Ono, Iberdrola, el Ayuntamiento de Madrid o Novagalicia Banco (Novacaixagalicia en aquellas fechas), el Ministerio de Industria o Colt han nutrido de experiencias prácticas un colaboración especial seg2 encuentro de la seguridad integral encuentro que el pasado año celebró su tercera convocatoria, en la que la relevancia y el dinamismo de sus mesas redondas fue la nota dominante. El papel del CISO (Chief Information Security Officer) y del CSO (Chief Security Officer), la importancia de la continuidad global del negocio y la inteligencia competitiva fueron los ejes de tres apasionantes debates, como rememoró Mercedes Oriol. Con el respaldo de la ley Ana Borredá hizo hincapié en que las diferentes legislaciones y normativas han supuesto un espaldarazo definitivo para que las organizaciones contemplen la Seguridad Integral en sus consejos de administración: La Ley Orgánica de Protección de Datos (LOPD) y la Ley PIC, pasando por los ENI y ENS, han contribuido indudablemente a ese empuje. Asimismo, la directiva acentuó unas recientes declaraciones en una comparecencia pública del ministro del Interior, Jorge Fernández Díaz, en las que decía que: "Las amenazas han dejado de ser únicamente de carácter físico. En 2012 la amenaza cibernética se configura como el principal riesgo potencial contra los servicios esenciales de cualquier sociedad". Por su parte, Mercedes Oriol recalcó otras iniciativas que se han desarrollado alrededor de la convergencia de seguridades, como las promovidas por asociaciones profesionales como ASIS Internacional, que desde su Consejo Asesor Europeo creó, en junio de 2011, la Comisión Especializada en Convergencia de Seguridad, con el fin de difundir esta disciplina en Europa. "En esta línea, y junto con el Information Security Awareness Forum (ISAF), ambas organizaciones realizaron un estudio mundial que nos acerca a la realidad del asunto, entre 216 profesionales de ambos sectores: hablamos del informe que realizaron, entre agosto y septiembre de 2011, y en el que podemos ver cómo la estrategia de la convergencia de seguridad está más asumida e implantada en Norte América (en un 48%), seguida por Reino Unido e Irlanda (en un 44%) y el resto de Europa (en un 30%)", resumió la periodista. Por sectores de actividad industrial, el que se lleva la palma, según este estudio, es el Aeroespacial y Defensa (en un 100%), junto con el de Tecnologías de la Información y Servicios relacionados con la Seguridad y el de las Telecomunicaciones (ambos en más de un 70%); estando muy por detrás el sector farmacéutico (0%), detrás del de la Alimentación y colaboración De izquierda a derecha, Mercedes Oriol, Ana Borredá y Javier Borredá, durante la ponencia inaugural, que puso foco en los avances de la convergencia. Manufactura y el de Servicios (que no llegan al 20%). Asimismo, otro dato clave que extrajo de la investigación es que los profesionales consultados aprecian la convergencia de ataques, de tecnologías y el ahorro de costes como motivos principales que justifican una apuesta por la seguridad global. Mercedes Oriol también tuvo palabras para Gartner, que destacó a Mapfre en 2010 como un caso de éxito a nivel mundial en el plano de la convergencia. En este informe la prestigiosa consultora ya auguraba que el CSO se convertiría, presumiblemente, en un director de Riesgos (Chief Risk Officer -CRO-). La directora de RED SEGURIDAD tampoco pasó por alto las conclusiones del Estudio de la Seguridad Privada 2012, de la Fundación ESYS y el ejercicio de ciberseguridad desarrollado por Isdefe y el CNPIC -que implicó a 18 operadores críticos-, como ejemplos de apoyo explícito a las tesis de la convergencia. Además, Oriol destacó la implicación personal del ministro Fernández Díaz en dicho simulacro, muestra fehaciente del primer compromiso adoptado por un Ejecutivo español a favor de la ciberseguridad. "Es el momento de tomarse en serio la formación del profesional de la Seguridad del futuro -reflexionó Ana Borredá-. El directivo debe ser gestor, consultor, interlocutor hacia fuera y dentro de la organización, estratega..., en definitiva, un supermán. Hay grandes profesionales Ana Borredá, flanqueada por los dos "padrinos" del congreso, Guillermo Llorente, director de Seguridad y Medio Ambiente de Mapfre (izquierda) y Enrique Polanco, experto en Seguridad y ex director de Seguridad Corporativa de Grupo Prisa. red seguridad junio 2012 9 especial seg2 encuentro de la seguridad integral De izquierda a derecha, José María Cortés, Jacinto Muñoz y Andrés Peral, que desvelaron la aproximación de Mapfre a un análisis de riesgos integral. hoy día, pero se echa de menos una formación completa, un grado especializado en Seguridad, bajo una perspectiva integral y con conocimientos profundos en las disciplinas necesarias". En esta línea, Borredá considera que la futura reforma de la Ley de Seguridad Privada será una oportunidad de oro para conseguirlo, además de ayudar a solventar los distintos problemas del momento: "Desde las dos revistas, nuestro compromiso será tratar de influir y convencer a todos los implicados, incluidos los legisladores, para defender este concepto", incidió. La directora de SEGURITECNIA anunció nes que hemos aprendido tratando de aproximarnos a la gestión integral de los riesgos de Seguridad dentro de nuestra compañía", anunció Andrés Peral, subdirector de Seguridad en Infraestructuras Tecnológicas de la DISMA. El primero de los portavoces de la aseguradora esgrimió que el enfoque basado en análisis de riesgos no dista mucho del que cada ciudadano hace en su día a día -en la calle o en el trabajo- para evitar riesgos: "Cada vez que tomamos una medida de seguridad es para hacer frente a un riesgo y lo mismo da un firewall que un control volumétrico", aseveró. "En nues- "Una visión integral de los riesgos nos ayuda a ser más eficientes al implantar medidas de seguridad. La satisfacción es mayor cuando refuerzan tu estrategia desde el exterior", declaró Andrés Peral, de Mapfre que la Fundación Borredá nace para estar "al servicio de la Seguridad", como reza su lema. "Una de sus líneas será la Seguridad Integral y defenderá que la nueva Ley incorpore este concepto". Mapfre, evolución constante Mapfre, un referente internacional en la convergencia de Seguridad, como se ha reseñado anteriormente, ha desgranado en esta edición del Seg2 cómo continúa afrontando la concepción de la Seguridad desde una perspectiva global. "Una aproximación al análisis de riesgos integral. Luces y sombras" fue el atractivo título elegido para una ponencia a cargo de tres representantes de la Subdirección General de Seguridad y Medio Ambiente (DISMA) de la multinacional. "Venimos a contar nuestra experiencia y las leccio10 red seguridad tro sector nos afectan normativas financieras como Basilea II o Solvencia II, en las que se habla de tres tipos de riesgos: financieros, de mercado y operacionales. Dichas normativas 'premian' la correcta gestión de riesgos con la relajación de los requisitos de capital". En virtud de este marco, los supervisores instan a las compañías a gestionar bien los riesgos, de forma integral, siendo el asociado a la Seguridad un elemento relevante de estos riesgos. El enfoque integral lleva a la necesidad de proteger también de forma integral los activos en todas las capas que los 'envuelven': instalaciones, personas, infraestructura tecnológica y, por último, aplicaciones y procesos. "Una visión integral del análisis de riesgos nos ayuda a ser más eficientes a la hora de implantar medidas de seguridad junio 2012 -sostuvo Peral-. A menudo, es frecuente la aparición de dudas cuando se despliega un modelo y, por este motivo, la satisfacción es mayor cuando desde el exterior ves señales de que tu estrategia no anda desencaminada". El World Economic Forum (WEF) -más conocido como Foro de Davos- analiza los riesgos sistémicos a escala mundial y este año ha sido el primero que señala los riesgos de ciberseguridad como tales. Existe una enorme interrelación entre los diferentes riesgos porque un ataque terrorista puede suponer un fallo crítico en los sistemas que soportan un proceso o servicio críticos, explicó Andrés Peral, que manifestó que para su organización fue muy grato comprobar que 12 de los 50 riesgos sistémicos globales identificados por el WEF se encuentran dentro del ámbito de gestión de la DISMA, entre ellos el 40 por cien de los catalogados en el 'top 5' de mayor probabilidad. "Lo que tenemos que conseguir es vender la importancia del trabajo que hacemos a nuestra organización y creemos que contamos con argumentos para ser tenidos en cuenta al más alto nivel dentro de la compañía", concluyó. Paso a paso Por su parte, Jacinto Muñoz, subdirector de Seguridad en Aplicaciones de la DISMA en Mapfre, se propuso -durante los minutos de su intervención- ayudar a encontrar la salida al laberinto de cómo llevar a cabo un análisis integral de riesgos en la compañía: "Al no disponer de soluciones mágicas, aplicamos aproximaciones sucesivas para solucionar los problemas que José María Cortés ha puesto sobre la mesa [despiece de la página 12]. Para conseguirlo, la primera iteración que hemos realizado pasa por incluir el análisis integral de riesgos dentro de nuestro marco estratégico, consiguiendo de este modo el apoyo de la alta Dirección, aplicar el pragmatismo, buscando aplicaciones con alcance limitado pero que tengan un rápido retorno y llevar el análisis a la capa de procesos, con objeto de tener una visión realmente integral". La multinacional española creó un marco estratégico de Seguridad Integral en el que el análisis integral de riesgos ocupaba un lugar primordial, atendiendo a Muñoz, todo ello plasmado en el Plan Director de Seguridad y Medio Ambiente (PDSMA), para cuya elaboración: "fue necesaria una tarde solo para ponernos de acuerdo sobre terminología en el ámbito del análisis global de riesgos". Una vez colaboración especial seg2 encuentro de la seguridad integral Ni modelos de análisis poco ajustados a la realidad, ni alejados de un enfoque integral José María Cortés, subdireCtor de Análisis de Riesgos de la DISMA, interpretó el papel menos amable de la exposición de Mapfre, al poner sobre la mesa las dificultades que entraña un proceso de Análisis de Riesgos Integral, comenzando por el "caos terminológico": "Todos creemos saber lo que es vulnerabilidad, amenaza, riesgo, peligro, pero no tenemos unos criterios comunes… Por ejemplo, en el sector asegurador, cuando se habla de riesgo tecnológico, se incluye el incendio". Cortés prosiguió argumentando que "las organizaciones suelen contar, en su áreas de riesgos, con modelos de análisis, provenientes del ámbito financiero, difíciles de ajustar a la práctica de seguridad y bajar a la realidad, cuando lo que interesa a Seguridad es el detalle". A su vez, expuso lo enormemente complejo y costoso que era para los equipos de seguridad, tratar de aplicar los métodos de análisis de riesgos específicos en el campo de la llamada Seguridad de la Información, y que tan de moda estuvieron hace unos años. También explicó el desacuerdo conceptual con los modelos matemáticos como el método Mosler: "¿Es un modelo científico solo porque aplicamos una fórmula? -Riesgo (R) = probabilidad (P) x impacto (I)-. Nos llevó mucho tiempo saber de dónde venía esta fórmula y conocer su fundamento -esgrimió Cortés-. Se entiende el riesgo establecido el lenguaje común y definidos el resto de elementos del marco estratégico (visión, misión, principios, pilares, etc.), se definió un Modelo de Actuación, basado en análisis y gestión integral de riesgos, que identificaba los activos a proteger, las fases del proceso y las diferentes tipologías de riesgos del ámbito de la Seguridad y el Medio Ambiente. La primera aproximación práctica al análisis integral de riesgos, alineada con el pragmatismo que defiende Mapfre, fue la creación de un algoritmo para el análisis del entorno físico. Esto se plasmó en una herramienta de trabajo (checklist) que incluye un formulario con casi 600 elementos que establecen en torno a 2.000 relaciones con los diferentes 'riesgos tipo' definidos. La siguiente estación en este viaje hacia el análisis integral fue lanzar una base de datos de incidentes, donde además de la propia experiencia, se recopilan los incidentes publicados en los diferentes medios, como indicó Jacinto Muñoz. Otra aplicación fue la realizada en el ámbito de la Continuidad de Negocio, "Diseñamos una métrica para evaluar el impacto de la interrupción de las diferentes actividades de los procesos analizados, partiendo de los escenarios de crisis identificados -razonó-. Después se analiza, el valor obtenido y se incorpo12 red seguridad como la esperanza matemática de que algo no suceda, un valor medio esperado, pero no sabemos pasar de ahí… ¿Cómo lo aplicamos al riesgo de que se queme la oficina?". En este recorrido por la espinosa senda esbozada por Cortés, la cuantificación de la probabilidad y del impacto se convierten en piedras en el camino de un análisis de riesgos fiable: "¿Se pueden determinar casos posibles o probables de que alguien entre y te robe? Si lo ajustamos al número de veces que ha ocurrido, estaremos confundiendo probabilidad con frecuencia", apostilló. Profundizando en esta cuestión, y para engrosar aún más la lista de dificultades, Cortés citó la carencia de bases de datos de incidentes y las correlaciones entre riesgos que, unidas a un gran volumen de información, evidencian la complejidad de culminar un verdadero análisis de riesgos integral. A pesar de la oscuridad del horizonte dibujado por Cortés, el experto se mostró optimista: "A veces no se entiende la gestión integral de riesgos de Seguridad como algo factible y aplicable, y esto tiene que cambiar porque, al menos, hemos identificado un amplio número de caminos que no llevan a ninguna parte, lo cual es una buena noticia". José María Cortés ha recopilado en un libro el análisis realizado, y que ha alumbrado la metodología de gestión global de riesgos que están aplicando en Mapfre. ra al proceso de toma de decisiones. en cuanto a tiempo de recuperación". Otro hito en el camino que Mapfre se ha marcado, es el de elevar las revisiones y análisis a la capa de procesos: "Estamos poniendo en marcha una herramienta que nos permitirá relacionar todos los activos, unos con otros, así como con los procesos a los que soportan, de modo que podamos hablar de una visión global de las interrelaciones entre los distintos elementos, imprescindible para el análisis y gestión integral del riesgo". En palabras del propio Muñoz, para el equipo de la DISMA es una obsesión "pasar de una Seguridad Integral a una seguridad integrada en el negocio", que es la manera más fácil de “tener la casa ordenada” y de comunicar al resto de la organización el valor que aporta la Seguridad. Para concluir, Muñoz aconsejó a los asistentes disfrutar del camino, sin perder de vista el objetivo principal. Con esta mentalidad se multiplican las opciones de hallar algo que no esperabas durante el trayecto: "Recordemos que América se descubrió buscando una ruta alternativa hacia las Indias", reflexionó. Un viaje que empezó ayer Vodafone España nació a partir de Airtel, primera compañía telefónica alternativa, que se mantuvo independiente hasta junio 2012 2001, fecha en que el operador británico se hizo con la totalidad de la compañía española. Más de una década ha transcurrido desde entonces, un tiempo en el que la Seguridad ha experimentado un viaje que José Damián García Medina, Head of Corporate Security de Vodafone España, compartió con los asistentes a este Seg2. "En los últimos 30 años, la tecnología ha cambiado el comportamiento del ciudadano más que en el resto de la historia de la humanidad, pero: ¿la Seguridad ha evolucionado?", inquirió. Para el portavoz de Vodafone, sí que ha avanzado, aunque a un ritmo inferior que las TI: "La petición típica para el departamento de TI ha sido: quiero escribir, calcular, almacenar…, tareas para las que se ha experimentado una evolución enorme desde los 80 hasta las actuales tablets -especificó García Medina-. Sin embargo, la petición para Seguridad ha sido: quiero detectar intrusiones, controlar accesos, monitorizar la actividad…, un escenario donde se ha evolucionado menos". El ejecutivo ilustró su tesis con un vigilante y un torno, como escenarios menos adelantados y todavía presentes en la seguridad física: "Perdonadme que sea crítico; todos sabemos que esto no es cierto, pero ésta es la imagen que los directivos de la compañía tienen sobre Seguridad -apuntó-. colaboración especial seg2 encuentro de la seguridad integral unió a nuestra responsabilidad Seguridad TI, que empieza a relacionarse con la tradicional seguridad física". Según el directivo, siguiendo la moda de cambiar nombres, impuesta por el mundo anglosajón, Vodafone designa a esta área otra nueva, la de Fraude, Riesgo y Seguridad (FRS) para el periodo 20052008. Las múltiples adquisiciones de la quieran, sino porque entran en conflicto con prioridades que ellos tienen establecidas para el negocio". La solución a este dilema fue que una persona de Seguridad de la Información (perteneciente a Seguridad Corporativa) pasase con su equipo al departamento de TI, de manera que mantuviese un contacto directo con el CIO (Chief Information El área de Seguridad Corporativa de Vodafone fue incorporando paulatinamente más responsabilidades, aunque permanecía latente un conflicto con TI José García Medina, de Vodafone España, habló de la estrecha relación entre Seguridad y Fraude. Queremos que nos acepten como gestores de riesgos y avanzar mucho más, pero es difícil si no nos ponemos de acuerdo en la imagen que queremos dar", comentó, haciéndose eco del caos terminológico citado por Mapfre. Asimismo, el ponente sostuvo que los bailes de siglas (CSO, CISO, CRO...) pueden acabar interpretados por la Dirección como disputas internas por cuotas de poder, lo que conlleva una pérdida de atención hacia la causa común de la Seguridad, que es "salvar los revenues y proteger los activos, incluidas las personas", según García Medina. De vuelta al periplo que inició Vodafone, su portavoz se remontó a 1996, cuando Airtel implantó su área de Seguridad: "Añoro esos tiempos en los que nacimos para competir contra una de las mejores operadoras de telecomunicaciones, logrando crecimientos de doble dígito y con dinero para lo que pidiésemos -expresó-. Pero estábamos alejados de los objetivos empresariales y con un enfoque reactivo de la Seguridad". Hasta 2001, dicho departamento estaba centrado en la protección de las instalaciones, en el fraude interno y en la protección contra incendios (PCI). "A partir de ese año, nos comenzamos a llamar Seguridad Corporativa (2001-2004), a pesar de que, básicamente, nos dedicábamos a lo mismo -aseveró García Medina-. La principal diferencia es que se colaboración firma por todo el mundo elevaron el rango de responsabilidad del departamento, que pasó a contemplar el cumplimiento normativo, la gestión de crisis y la concienciación sobre Seguridad como nuevas dependencias. En 2009, el hecho de que apareciese la palabra 'fraude' -que no el del área de Fraude Financiero de la operadora- en este departamento hizo reflexionar a la alta Dirección de Vodafone, que recuperó de nuevo la denominación de Seguridad Corporativa FRS hasta 2011, dejando en segundo plano el controvertido vocablo detrás de las siglas FRS. "Nos hizo sentirnos con más responsabilidades, pero no éramos capaces de hacer todo lo que deseábamos -reconoció-. No logramos presionar lo suficiente a TI para implementar medidas de Seguridad que consideramos necesarias, pero no porque no Officer) y diseñasen conjuntamente las hojas de ruta desde el punto de vista de Seguridad, aclaró el ponente, para quien esta acción no significó para él ninguna pérdida de cuota de poder. "Tenemos que responder a los riesgos de manera profesional y eso no significa que tengamos que gestionarlos de manera directa". Situación actual La evocación de García Medina por los presupuestos de antaño, encuentra aquí su explicación: "Nos hemos adaptado a los tiempos de crisis -como todas las empresas-, con recursos escasos, lo que nos obliga a disponer de una 'bolsa común' de recursos y a priorizar unas acciones sobre otras -aceptó-. Pero no es una riña de gatos entre responsables de área, porque los objetivos son comunes para todos. Si hay que rebajar en dos Seguridad y crisis Ha cambiado de denominación en repetidas ocasiones, pero el departamento de Seguridad Corporativa de Vodafone España tiene la virtud de saber adaptarse a las necesidades del negocio y a la constricción presupuestaria sin perder el norte de la Seguridad Global. Las amenazas externas como el hacktivismo y, sobre todo, el fraude suponen un desafío preocupante para el responsable de esta división. Al concluir su intervención, José Damián García Medina fue preguntado desde la audiencia acerca del futuro de Vodafone. En el terreno económico, el ponente reconoció que la filial española está sufriendo la crisis, y que es necesario que las inversiones lleguen con urgencia a nuestro país para que éste sea más fuerte y la marca España vuelva a ser atractiva. Al margen de las perspectivas económicas, cada vez más estrechamente ligadas a la lucha contra el Fraude y la Seguridad, el directivo reflexionó sobre un hipotético futuro para el departamento que él dirige: "Seguridad Corporativa es un área vinculada al impacto del fraude en el negocio y desconocemos lo que sucederá en un futuro: si al final resulta que está tan relacionada con el fraude financiero, no hay que ser egoístas en este sentido". En definitiva, García Medina abogó por una Seguridad Corporativa siempre al servicio del negocio y sin miedo a compartir responsabilidades o cuotas de poder. red seguridad junio 2012 13 especial seg2 encuentro de la seguridad integral puntos la cifra de fraude, es un objetivo idéntico para el director de seguridad física, de riesgos, etc.". Este experto se mostró satisfecho con la receptividad que la Dirección de Vodafone España muestra hacia Seguridad y asegura que "todos los objetivos empresariales están integrados en virtud de una visión donde no hay distintos mundos, sino diferentes especialidades, y donde la gestión está orientada a la prevención". Respecto al profesional de Seguridad Corporativa, aseguró que se tiende hacia "un perfil generalista”. El directivo entiende que no es necesario saber de todo, pero sí conocer las preocupaciones del compañero de al lado y conocer cómo puede afectarle cada decisión de su competencia. En un modelo integral de Seguridad, los riesgos afectan a todos los niveles. Rapidez, simplicidad y credibilidad son los principales valores que defiende el área que dirige José García Medina. "No sirve eso de 'yo ya lo dije'. Tienes que colaborar con todos y si es necesario, subcontratar especialistas para los flancos que lo requieran, especialmente los que no sean el core de nuestro negocio". No obstante, este profesional invita a tener cuidado con este tipo de relaciones contractuales, por muy bien atadas que puedan estar en base a un acuerdo de nivel de servicio firmado (Service Level Agreement -SLA-) porque: "de nada sirven las multas si te ocasionan un gran daño reputacional". Manuel Rodríguez Vico impregnó de naturalidad la difícil tarea de exponer cómo organiza su Seguridad una organización del calibre del Parlamento Europeo. El público asistente conoció por boca del portavoz de Vodafone que a la operadora le preocupa el hacktivismo; el robo de información confidencial, alentado por la competencia salvaje en algunos mercados; y la ingeniería social. Respecto al fraude de operaciones, a la filial española de la operadora le preocupan los canales online, el robo de identidad, las operaciones de comercio móvil y el crimen organizado. "No hay una foto fija del ideal del departamento de Seguridad, que cambiará al ritmo de las necesidades de la compañía". El Parlamento, de par en par La madurez de un evento no se mide exclusivamente por la respuesta del público, aunque ciertamente pueda ser lo más importante. Contar con profesionales de prestigio que deseen compartir su experiencia generosamente también es un excelente indicador del interés que suscita La información, principal activo ¿Es posiblE quE una institución como el Parlamento Europeo no entendiese la información como un activo susceptible de proteger? Aunque pueda parecer increíble, así era, por lo menos hasta hace un par de años, cuando la institución europea comenzó a plantearse una estrategia de Seguridad Global, gracias a la implicación de una Unidad de Gestión de Riesgos liderada por el español Manuel Rodríguez Vico. ¿Cómo se abordó el necesario cambio de mentalidad que precisaba el Parlamento? "Incorporando a la estrategia no solo personas y activos (físicos), sino también la información -matizó el ponente-. Defendimos también una Seguridad integrada, que respaldase los planes de contingencia de la organización. Es cierto que en otros sitios hay empresas externas que son las responsables del plan de continuidad, pero aquí no se optó por ese modelo". Como piedra angular de un proyecto de este tipo, la cultura de seguridad es clave: "La Seguridad se debe entender basándose en el riesgo, pues no es lógico implementar las mismas medidas preventivas en todos los rincones del globo, como hacía Naciones Unidas en todas sus sedes", aclaró. Además, se establecieron 14 red seguridad junio 2012 diferentes niveles de acceso a dependencias e información y se inició un proceso de profesionalización de las tareas de seguridad que todavía continúa. A partir de ese momento, se establecieron cuatro niveles distintos de intervención, siempre en función del nivel de riesgo: gestión del Centro de Control, gestión de eventos de seguridad, gestión de incidentes de seguridad y gestión de crisis. El siguiente paso fue el de la creación de perfiles de usuario y "zonificación" (segmentación por áreas y usuarios), obedeciendo a las distintas necesidades de seguridad: "Crear zonas separadas no es fácil en el PE, porque existen diferentes niveles físicos conectados y virtualmente también está todo conectado". Por último, el portavoz del Parlamento puso el acento sobre una cuestión deseable, pero que no ha logrado convertirse aún en una realidad generalizada: "Toda la Seguridad pasa por el intercambio de información. Como institución, tenemos comunicación formal -no intercambio informativo- con las autoridades de cada país, pero si de algo me sirve la invitación a este evento es para compartir, hablar y que pregunten lo que consideren oportuno", concluyó Rodríguez. colaboración especial seg2 encuentro de la seguridad integral A lo largo de toda la jornada, el público concurrente se mantuvo expectante ante la nueva deriva que adopta su ocupación profesional. Se precisan perfiles pluridisciplinares, dispuestos a compartir más información entre departamentos. un tema, concretamente la convergencia en el caso que nos ocupa. Así sucedió con Manuel Rodríguez Vico, jefe de la Unidad de Gestión de Riesgos del Parlamento Europeo (PE), que expuso de un modo claro y conciso la problemática de esta institución europea y su nueva estrategia en la materia, que han bautizado como Concepto de Seguridad Global. El ponente quiso agradecer a la organización el hecho de que pudieran convencer a instancias superiores de que "hay que abrirse" y dar a conocer el funcionamiento del Parlamento porque "en Seguridad, comunicar es lo más difícil". En primer lugar, el experto tuvo a bien explicar aspectos sobre esta institución que son desconocidos para el gran público, como su ubicación en tres sedes diferentes -Bruselas (Bélgica), Estrasburgo (Francia) y Luxemburgo-. Según explicó Rodríguez Vico, la mayoría de los empleados trabaja tres semanas al mes en Bruselas y una en Estrasburgo, quedando destinada la sede luxemburguesa para la Secretaría General (servicios de traducción y gestión, entre otros). El complejo de edificios pertenecientes al Parlamento en Bruselas es "inmenso", unos 500.000 metros cuadrados, donde está todo conectado, del mismo modo que en Estrasburgo, aunque la sede gala está mucho mejor diseñada desde el punto de vista de seguridad, de acuerdo con el jefe de unidad, que facilitó algunas cifras para ilustrar el volumen de una organización supranacional: 750 diputados de 28 países, 2.000 empleados de los diferentes grupos políticos, 3.000 funcionarios de la Secretaría General y 7.000 trabajadores externos. A su vez, el 16 red seguridad PE recibe medio millón de visitas al año y organiza una media de 300 eventos oficiales a la semana. Según Rodríguez, apesar de estas magnitudes, su reto y el de todos los profesionales que trabajan en su área es que "la Seguridad sea invisible", ya que las distintas culturas de los países que allí trabajan y se dan cita no tienen la misma visión, historia y tradición respecto a lo El Parlamento Europeo, después de iniciar su estrategia de Seguridad Global, se plantea estrechar lazos de colaboración con la seguridad privada y la policía belga que es la Seguridad. Por otra parte, este experto enumeró las preocupaciones o inquietudes más relevantes en la unidad que él rige: manifestaciones, terrorismo, ataques de personas perturbadas, incidentes, ataques TI, espionaje... Objetivos 2012 El reto de mantener a salvo un espacio lógico y físico de esta dimensión es hercúleo. Organizativamente, "la Seguridad está vista como parte de la Secretaría General del Parlamento, más allá de ser considerada únicamente como un área de Recursos Humanos (que es como la entiende la Comisión Europea)”, explicó Rodríguez, quien desempeñó los cargos junio 2012 de jefe de la Sección Contra Terrorismo en la Dirección de la Seguridad de la Comisión Europea y responsable de la Seguridad de la Dirección General de Ayuda Humanitaria de la Unión Europea, antes de ocupar su puesto actual. Entre los diferentes objetivos que la institución se ha marcado para el presente ejercicio está la creación de la Unidad de Acreditación y la Unidad de Seguridad Técnica para las tres sedes al mismo tiempo. "Nuestros planes de contingencia son fáciles, en el sentido de que absolutamente todo está duplicado, y si ocurriese algo en Bruselas, se podría seguir trabajando desde Estrasburgo. Es un modelo carísimo, pero así está concebido". Además de profesionales de la 'casa', como Manuel Rodríguez Vico, dentro de Seguridad cabe incluir a los empleados de compañías privadas, que son adjudicatarias de consursos públicos, entre los que, curiosamente, según alarmó este especialista, no se suelen presentar empresas españolas. "El Parlamento Europeo no pertenece a Bélgica y por eso necesita más seguridad privada -aclaró-. Esos 600 empleados forman parte integral de la Seguridad". Por otra parte, Manuel Rodríguez dio a conocer cómo se organiza el PE en virtud de la joven estrategia de Seguridad Integral -el Concepto de Seguridad Global, que empezó a dibujarse en abril de 2009-. El objetivo era combatir las inquietudes y prepararse de la mejor forma posible para afrontar cuestiones que debían cambiar, como por ejemplo la inexistencia de perímetros o áreas de seguridad ("zonificación"): "Antes podías ir desde una de las seis entradas principales colaboración especial seg2 hasta el hemiciclo sin pasar por ningún control. Está todo conectado y lo único cerrado con llave eran los despachos privados. La Seguridad es muy importante en un complejo con peluquerías, bancos, oficinas de correos, etc. como si de una ciudad se tratase", comentó. Resulta curioso que antes de la creación de la Unidad de Gestión de Riesgos, la propia empresa privada se encargara de la gestión de la Seguridad y fue después de tres atracos y algún que otro episodio desagradable cuando comenzó a replantearse el modelo. En palabras de Rodríguez Vico, otro aspecto a mejorar en Bruselas es la colaboración entre la seguridad privada y la policía belga, que no es suficiente, a diferencia de lo que ocurre en Estrasburgo. Posteriormente, llegó el turno de preguntas y tomó la palabra Javier Osuna García-Malo de Molina, jefe de División de Consultoría de Seguridad y Procesos de GMV, que se interesó por los ataques sufridos por la Comisión Europea y el Parlamento en sus servidores: "¿Con qué frecuencia actualizáis el catálogo de amenazas? ¿Estaban contemplados en él estos ataques hace un año y medio o dos años?". Manuel Rodríguez matizó que durante su intervención no hacía alusión a un catálogo de amenazas -que, además, no se puede compartir-, sino a un listado de preocupaciones. Respecto a los ataques "bastante serios" a los que hacía referencia Osuna, el ponente respondió en estos términos: "Participé en la mesa de crisis creada a tal efecto y puedo decir claramente que el Parlamento no sufrió ese tipo de ataques, al no tener la información clasificada que se buscaba; los ataques incidieron en la Comisión y en el Servicio Exterior Europeo. Según los expertos, fueron hostiles, muy políticos, orientados a conocer relaciones entre países, porque hay potencias a las que puede interesar información geopolítica o sobre tratados de pesca, por ejemplo", relató. Abundando en esta cuestión, el jefe de unidad manifestó que el objetivo final de esas acciones delictivas era conseguir las contraseñas de acceso al servicio de webmail, que permiten conectarse en remoto al correo corporativo: "Se trataba de un ataque bien diseñado y personalizado, dirigido a funcionarios de departamentos muy concretos". Respecto a la estrategia de divulgación sobre políticas seguridad, otro de los asistentes -el consultor Tomás Arroyo- preguntó a Rodríguez Vico acerca de la formación y entrenamientos que se llevan a colaboración encuentro de la seguridad integral Dudas en el aire y voluntad de aunar esfuerzos entre el público Como algún ponente sugirió durante la jornada, algunos de los temas abordados en el Seg2 servirían para exponer conceptos y debatir ideas en otro evento especializado al margen, debido al interés y la importancia de los mismos. Al igual que en ocasiones precedentes, la participación del público fue activa y enriquecedora, consiguiendo así que el número de dudas en el aire fuese el mínimo posible. La convergencia como concepto al que todavía presentan reticencias en algunos modelos organizativos, las famosas y recurridas "parcelas de poder" y la preocupación por los daños reputacionales que puede suponer un ataque lógico y físico combinado fueron algunas de las inquietudes manifestadas por los asistentes. Mención destacada merecieron las Infraestructuras Críticas (IC), en boca de todos como una suerte de 'Estrella Polar' que guía a la convergencia. En torno dichos operadores críticos no se ha marcado una metodología común de análisis de riesgos que facilite obtener resultados en un mismo idioma, el que hablan las IC. La situación deseable, como manifestó un profesional, es lograr un mapa de riesgos global, un supuesto que todavía parece lejano, según pudimos deducir. Como adelantó el equipo de la DISMA de Mapfre, uno de los grandes problemas es no contar con reglas comunes y partir en casi todas las situaciones de una carga subjetiva que impide determinar para todos los ámbitos qué es un riesgo medio, bajo o alto. La unidad de criterio se antoja básica en una tesitura sin reglas para cuantificarlo. cabo en el PE: "¿Cómo lo hacéis ante un colectivo tan extenso?". El ponente respondió que, efectivamente, se realizan tres tipos de comunicaciones, dependiendo de los roles y perfiles. Además, "se efectúa una entrevista personal a los diputados con objeto de sensibilizarlos, y para el personal en general, se suelen hacer campañas de concienciación con pósters, mensajes en la web, etc. Todo ello se encuadra dentro de la nueva estrategia de Seguridad Integral, aprobada por esta institución europea en junio de 2011", puntualizó. red seguridad junio 2012 17 especial seg2 encuentro de la seguridad integral INTERVENCIÓN FIRMAS PATROCINADORAS Más allá de la teroría, nuevas soluciones para nuevas necesidades Eulen Seguridad trasciende el papel de patrocinador del Seg2. La compañía española puede presumir de ser una adelantada a su tiempo y de haber defendido en este foro la filosofía ‘convergente’ desde el año 2009. En esta edición, el público ha sido testigo de la evolución de esta organización como prestadora de servicios de Seguridad Integral. RicaRdo cañizaRes, director de Consultoría de Eulen Seguridad, es un fiel seguidor de este encuentro, del que no se ha perdido ni una convocatoria: “En 2009 fuimos los primeros en ofrecer servicios de convergencia y en 2010 ya anunciamos que la Protección de Infraestructuras Críticas (PIC) iba a convertirse en un elemento dinámico de este camino”. Cañizares insistió en que algunos de los posicionamientos defendidos durante el I Seg2 están vigentes hoy en las organizaciones: “El futuro es presente y la sociedad exige a las empresas de seguridad que sean ágiles y flexibles en sus planteamientos para adaptarse a las nuevas amenazas”. Eulen ejemplificó la evolución de las amenazas actuales con las del ámbito naval, desde que un barco solo podía verse amenazado por otro barco, hasta que apareció el submarino y, posteriormente, los cazas aéreos. “La respuesta fue un trabajo coordinado por un mando común. Cada especialista tenía su cometido con la tecnología disponible en el momento –subrayó Cañizares-. Éste es el modelo que hemos aplicado en Eulen desde que apareció el ciberespacio como un vector de riesgo”. Demanda más exigente Manuel Sansegundo, consultor de Seguridad de la firma española prestadora de servicios, ha constatado que los clientes tienden a elevar el nivel de exigencia de su demanda, solicitando una gran variedad de servicios que requieren a su vez un desarrollo integral de los mismos. Para dar respuesta, este experto asegura: "Nuestro catálogo es un reflejo de esa demanda, al disponer de todos los servicios dentro de nuestra apuesta por la Seguridad Integral”. 18 red seguridad En el atril, el veterano experto, Ricardo Cañizares, durante la ponencia de Eulen Seguridad. En la mesa, sentados, Mercedes Oriol y Manuel Sansegundo. En el plano de PIC, la compañía cubre ambas parcelas -consultoría e implantación de servicios- para el Plan de Seguridad del Operador (PSO), metodología de análisis de riesgos, Planes de Protección Específicos (PPE) e implantación de las medidas de protección. “Utilizamos la metodología Magerit, internacionalmente reconocida, para el análisis de riesgos, y la plasmamos en una herramienta propia”, declaró Sansegundo. “Nuestro modelo de gestión es el plan de mejora continua (Plan, Do, Check, Act –PDCA-) y facilitamos en todo momento un soporte experto para todo lo que precise el operador de principio a fin”. Toda planificación teórica ha de plasmarse en la práctica, que en el caso de Eulen adquiere el nombre de Centro de Control de Seguridad Integral (CCSI), donde confluyen una Central Receptora de Alarmas (CRA), un Centro de Operaciones de Seguridad de la Información, un Centro de Control de Seguridad Patrimonial y un Centro de Control de Seguridad en Sistemas Industriales, que se haría responsable junio 2012 de los sistemas SCADA. Para convertir esta propuesta en un traje a la medida de cada cliente, se torna esencial la labor de consultoría de la que hablaba Sansegundo: “Les ayudamos a mejorar el nivel de seguridad y a alinearla con el objetivo del negocio. Aquí vemos las necesidades específicas del interesado y le ayudamos a conseguir la madurez”. Más concretamente, la compañía completará la implantación de un plan de continuidad de negocio, de un Sistema de Gestión de la Seguridad de la Información (SGSI), y comprobará de manera fehaciente el nivel de cumplimiento normativo en áreas como la protección de datos (LOPD) o medios de pago (estándar PCI DSS). A los escépticos que ven a Eulen alejada de la Seguridad TIC, fundamentándose en sus orígenes, Manuel Sansegundo dirigió este mensaje: “Contamos con aliados estratégicos y venimos haciéndolo desde hace tiempo. Ofrecemos servicios como test de intrusión, securización de redes, puestos de trabajo y configuración segura de servidores, entre otros”. colaboración especial seg2 encuentro de la seguridad integral INTERVENCIÓN FIRMAS PATROCINADORAS Las redes IP, objetivo 'top' de los ataques convergentes Deloitte hizo suyo el dicho de que una imagen vale más que mil palabras y se ganó a los asistentes con dos demostraciones prácticas que revelaron de manera cristalina hasta dónde llega el límite de fragilidad de los sistemas de videovigilancia basados en redes IP y a qué riesgos se exponen quienes no adoptan prácticas de Seguridad Global. Ver para creer. Como si la audiencia se caracterizase por tener la misma fe que Santo Tomás, que necesitaba poner el dedo en la llaga para creer lo que tenía ante sus ojos, Deloitte demostró que la integridad de una organización puede ser vulnerada con extrema facilidad. En primer lugar, Miguel Rego, director del Grupo de Riesgos Tecnológicos (ERS-IT) de la consultora, incidió sobre el cambio de naturaleza de las amenazas: “Los vectores de ataque son cada vez más complejos y el nivel de sofisticación es más alto. Aumenta el grado de inteligencia detrás de las actividades de 'los malos'. Muchos se preguntarán qué hace Deloitte en convergencia”, reflexionó en voz alta. El directivo disipó las dudas al exponer la relación directa entre los departamentos de TI de las organizaciones y la auditoría financiera. “No queremos quedarnos en la consultoría sin más, tenemos vocación de pisar suelo y, por este motivo, impulsamos laboratorios muy técnicos, con perfiles muy hacker, como nuestro CyberSOC”. Para Rego, una realidad tangible es que los ataques al ámbito de la seguridad física se dirigen cada vez más a redes IP, provocando un aumento de los riesgos: “Aunque sigan existiendo cámaras analógicas, la tecnología IP va a seguir creciendo por la calidad de imagen, la capacidad de integración y la escalabilidad de estos sistemas”. En Deloitte interpretan que los riesgos de seguridad lógica no van a ser muy diferentes a los de seguridad física: “Para los sistemas de grabación será necesario establecer planes de evaluación periódica, realizar una configuración segura, etc. igual que sucede en los sistemas informáticos. ¿Se está haciendo?”, preguntó Miguel Rego antes de dar paso a las demos20 red seguridad De izquierda a derecha, Víctor Lucas, Mercedes Oriol, Miguel Rego y Javier Espasa, gerente de ERS-IT de Deloitte, que colaboró durante las demostraciones. traciones. Como adelantábamos, dentro de la intervención de la consultora, lo más impactante fue la oportunidad que brindó de visualizar en vivo las consecuencias de ser hackeado, a manos de Víctor Lucas, experto técnico del departamento ERS-IT de Deloitte. En el primer ejercicio, Lucas trabajó sobre un sistema de red con un switch local y una cámara IP activada, semejante al entorno que se podría encontrar en una joyería o en un banco. “Vamos a demostrar que el control de acceso definido en la cámara no es seguro y que -a través de Internet- nos lo podemos saltar y entrar en la cámara sin problema -reveló-. Podemos hacerlo sin necesidad de saber usuario y contraseña, pero algo tendremos que conocer para adentrarnos en la parte autenticada”. Para conseguirlo, Víctor Lucas utilizó un buscador público de cámaras IP, routers, móviles o sistemas industriales: Shodan, capaz de identificar un dispositivo expuesto. “Los token de acceso -nada que ver con los token de los bancos, que cambian periódicamente de contraseña- son muy débiles junio 2012 y predecibles”. Posteriormente, Lucas introdujo en un programa de creación propia los resultados de direcciones IP obtenidas en Shodan, demostrando lo fácil que es no sólo ver qué ocurre al otro lado, sino hacerse con el control completo de la cámara. En la segunda demo, Víctor Lucas simuló un escenario en el que un ladrón deseaba robar los activos de una compañía. El objetivo final era suplantar la imagen grabada por otra, logrando dejar la cámara ciega a efectos de videovigilancia. El mero acceso a un switch conecta al atacante al sistema de grabación. La imagen (un pequeño cofre de juguete) fue copiada para utilizarla después como foto fija. “Hemos conseguido engañar al sistema con un pequeño programa al que hemos suministrado las direcciones IP de la cámara que queríamos atacar", comentó Lucas. En definitiva, Deloitte aboga por que la gestión del ciclo de vida de la Seguridad de los sistemas se traslade a la seguridad física, tal y como sugirió Miguel Rego en su conclusión. colaboración especial seg2 encuentro de la seguridad integral MESA REDONDA SOBRE INTERNACIONALIZACIÓN La mesa redonda "Internacionalización de la Seguridad", que estuvo moderada por José Luis de la Fuente O´Connor (en el centro), contó con interesantes intervenciones por parte (de izquierda a derecha) de: Juan Gros, de Ferrovial; José Luis Nieto, de Aena; José Luis Soria, de Telefónica Ingeniería de Seguridad; Guillermo Llorente, de Mapfre; Luis Pérez, de Acciona; y Enrique Polanco, consultor y experto en Seguridad. Los usuarios exigen más apoyos para la internacionalización Cada vez más organizaciones buscan nuevas oportunidades en el extranjero. Esta aventura entraña riesgos sobre su seguridad, por lo que necesitan contar con gestores capacitados en la materia, así como con proveedores que les apoyen en su proyecto. Sin embargo, esto último no siempre sucede, lamentan algunos responsables de Seguridad de compañías internacionalizadas. La diversidad normativa y la falta de soporte del Estado añaden piedras a este camino, ya de por sí complicado. Hace tiempo que los mercados nacionales se quedaron cortos para las empresas que quieren ser competitivas. Ni siquiera el ámbito regional es a veces suficiente, ahora la aspiración es ser global. Eso sí, este modelo implica asumir riesgos en todos los sentidos, entre ellos los relacionados con la protección de los activos. Es en este aspecto donde las compañías de seguridad tienen la oportunidad de aumentar su actividad más allá de las fronteras patrias, acompañando a sus socios en la travesía de la internacionalización. Sin embargo, parece que este enfoque no ha calado aún lo suficiente entre las firmas españolas que se dedican a estos servicios. Por el momento, muy pocas de ellas son 22 red seguridad capaces de proporcionar un servicio realmente integral en cualquier punto del planeta, a tenor de lo que piensan algunos grandes usuarios. Esta cuestión fue objeto de análisis en la mesa titulada “Internacionalización de la Seguridad”, en la que varios expertos opinaron sobre la capacidad del sector español de la Seguridad Privada para ‘exportar’ sus servicios. José Luis de la Fuente O´Connor, presidente de la Asociación Española para la Promoción de la Inteligencia Competitiva (ASEPIC), llevó las riendas de un debate en el que participaron Juan Gros, director de Seguridad de Ferrovial; José Luis Nieto, jefe de la División de Seguridad Operativa de la Dirección de Seguridad Aeroportuaria de Aena; José Luis Soria, director Técnico de junio 2012 Telefónica Ingeniería de Seguridad (TIS); Guillermo Llorente Ballesteros, director de Seguridad y Medio Ambiente de Mapfre; Luis Pérez Dávila, gerente de Protección en la Dirección de Seguridad de Acciona; y Enrique Polanco, consultor y experto en Seguridad Integral. El moderador puso de manifiesto el escaso interés que, a su parecer, han mostrado hasta hace poco los proveedores de seguridad hacia los mercados exteriores. Estas compañías no han atendido, criticó O´Connor, “al océano de la oportunidad” que representa la expansión geográfica. “La internacionalización se ha convertido en un componente esencial para la cuenta de resultados y también para consolidar los resultados anteriores”, apuntó. colaboración especial seg2 encuentro de la seguridad integral MESA REDONDA SOBRE INTERNACIONALIZACIÓN Juan Gros (a la izquierda) destacó los problemas que plantea la diversidad normativa, algo compartido por el resto de invitados. Por su parte, Enrique Polanco (a la derecha) calificó la internacionalización como “un verdadero nuevo acicate para la convergencia”. Ferrovial es una de las compañías españolas que desarrollan proyectos en el exterior. Hasta la creación de una Dirección de Seguridad, hace aproximadamente dos años y medio, la gestora de infraestructuras confiaba en la consultoría externa para resolver sus necesidades de protección, según explicó el responsable de dicha área. A partir de entonces, Juan Gros ha encontrado que una de las principales complicaciones que se presentan para el encargado de Seguridad cuando se mueve en el ámbito internacional es la disparidad legal entre países; una cuestión que preocupa de manera generalizada, como pusieron de manifiesto el resto de los componentes de la mesa en sus intervenciones. Otra de las dificultades es la diferencia del nivel de capacitación de sus colegas extranjeros, que, bajo el parecer de Gros, suscita dudas en ocasiones: “Es difícil entender a veces cuál es tu nivel de competencias, tu nivel de formación. Para ello, la homogeneización de los procesos de formación puede ser una herramienta muy importante para ayudar a que los criterios de seguridad sean lo más unificados posible, estés donde estés”. La inteligencia competitiva, uno de los principales temas a debate, es una función clave en la internacionalización. Sobre esta cuestión, el director de Seguridad de Ferrovial sostuvo que las empresas “viven en la medida en la que son capaces de analizar el entorno colaboración mercantil que les rodea y los riesgos que tienen que afrontar”. El departamento de Seguridad debe aportar su experiencia en el análisis de riesgos, siendo “absolutamente abierto” a las consideraciones del resto de áreas de la organización, defendió Gros. Normas comunes Uno de los sectores industriales donde más se ha profundizado para establecer normas internacionales comunes de Seguridad es la aviación. José Luis Nieto recordó que los atentados del 11-S marcaron el cambio de las medidas de protección en este ámbito. Según explicó el invitado, a raíz de aquellos fatídicos atentados, la industria marcó las pautas de seguri- reguló, en 2002, el primer reglamento que legislaba la seguridad aeroportuaria (Reglamento 2320/2002)”, explicó el representante de Aena. Diez años después de los ataques, hoy día todos los aeropuertos del mundo cuentan con “un umbral mínimo” de seguridad común. Para cumplir con ese estándar, los operadores necesitan “empresas preparadas y competitivas de servicios de seguridad privada, que colaboren con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y que tengan unas exigencias de formación”, apuntó. Pero los usuarios no son los únicos que encuentran escollos a la hora de desarrollar sus actividades lejos de su país de origen. José Luis Soria, que La capacidad de los proveedores españoles para prestar servicios globales de Seguridad fue el asunto que suscitó mayor controversia entre los invitados dad, que hasta ese momento tenían como única referencia el anexo 17 de la Organización de Aviación Civil Internacional (Seguridad: protección de la aviación civil internacional contra los actos de interferencia ilícita, que fue incluido en 1974 entre los anexos del Convenio de Chicago, celebrado en 1944), un documento que recogía normas y métodos recomendados sobre seguridad. “Hubo que indagar mucho más del anexo 17 y la Unión Europea acudió en calidad de representante de una empresa proveedora, defendió la existencia en el mercado de algunas empresas globales proveedoras de servicios de Seguridad Integral, pero advirtió de la dificultad que tienen estas compañías para llegar al cliente, y no solo por la distancia geográfica. “Tenemos problemas serios para encontrar unificados en los clientes las diferentes disciplinas de Seguridad; si encima tenemos instalaciones fuera, red seguridad junio 2012 23 especial seg2 encuentro de la seguridad integral MESA REDONDA SOBRE INTERNACIONALIZACIÓN veo realmente complicada la gestión”, lamentó el director Técnico de TIS. Soria considera que la capacidad de las compañías de Seguridad para desarrollar sus servicios en el extranjero viene determinada por la propia deman- Por otro lado, para este invitado no existe una figura -en la mayoría de las empresas- que aglutine todos los conocimientos de las diferentes especialidades de la seguridad (lógica, física, protección contra incendios…). Si a esto se añade el desplazamiento a otras latitudes “con otras políticas y otras normativas”, el trabajo del proveedor “se hace complicado”. Guillermo Llorente salió al paso para rebatir esta idea. Para el representante de Mapfre, sí existen profesionales con esa suficiencia (haciendo alusión directa a parte de los profesionales de la DISMA presentes en el salón). Desde su punto de vista, José Luis Nieto (en primer plano) se refirió a la necesidad el responsable de de contar con empresas de seguridad preparadas. Seguridad ha de saber gestionar los da. “Si el cliente demanda unos serviriesgos y rodearse de un equipo multicios globales, integrales, las empresas disciplinar capaz de ejecutar las tareas. tendremos que estar preparadas; pero “Conforme se van aglutinando funciosi por el contrario los proyectos se nes, la persona que asume ese cargo hacen ‘en local’, sin criterios técnicos, va, lógicamente, careciendo de expertise poco evolucionados y se ven como inmediato o de bajo nivel y va necesiun problema económico, al final los tando dotarse y poner en practica otras proveedores nunca llegaremos a tener capacidades más orientadas a la gestión la calidad que se demande”, defendió directiva”, sostuvo. Por lo tanto, la función el representante de TIS. de este profesional pasa por su capaci- TIS, un proveedor de seguridad con vocación internacional Desde la primera edición del Encuentro de la Seguridad Integral (Seg2), Telefónica Ingeniería de Seguridad (TIS) ha apostado por este evento, defendiendo la convergencia como un modelo inexorable para la protección de las empresas. Más si cabe de aquellas con grandes aspiraciones tanto en los mercados regionales como en el escenario global. La estrategia internacional de la multinacional española se focaliza actualmente en Latinoamérica, donde ha desarrollado proyectos integrales en países como Perú, Brasil, Chile, Argentina o México. En todos esos lugares ha demostrado su potencial para implementar medidas de seguridad tan diversas como el monitoreo urbano, seguridad contra incendios, seguimiento centralizado vía IP, control de flujo de transportes, gestión de riesgos en Internet, sistemas electrónicos de seguridad o cumplimiento normativo de Seguridad de la Información. 24 red seguridad junio 2012 dad de organizar la estructura, funciones y objetivos del departamento, asi como alinear estos con los de la compañía”. Por otro lado, Llorente lamentó la dificultad de encontrar prestadores de servicios de seguridad globales para firmas como Mapfre, con implantación en 46 países. Cuando una multinacional trata de abrir una oficina en una localización lejana "no se encuentran" proveedores españoles de este tipo, manifestó. Ante esto, reiteró que las compañías que operan en el ámbito internacional requieren proveedores que lleguen allí donde se les necesite, al igual que sucede con los de telecomunicaciones o del ámbito de la seguridad de los Sistemas de Información. A modo de conclusión, Llorente indicó que es imprescindible que exista “flexibilidad y una capacidad de gestión importante para administrar y saber adaptarse al entorno” cuando una compañía trabaja en el ámbito internacional. Enrique Polanco, por su parte, rompió una lanza a favor de los proveedores de servicios: “Si se coge el mapa de los lugares en los que están las grandes empresas [de seguridad], se puede ver que están allí, donde hay compañías internacionalizadas”, observó. El problema para este profesional se encuentra en la “dualidad” que se genera cuando el cliente y el prestatario “no saben qué pedirse el uno al otro”. Según este invitado, los proveedores deben ajustar sus ofertas a las necesidades del cliente, ya que éstos últimos demandan básicamente protección. Las compañías de seguridad son las que han de proporcionarle los medios y recursos para conseguir ese objetivo. Polanco, que considera la internacionalización como “un verdadero nuevo acicate para la convergencia”, señaló que han de tenerse en cuenta dos factores importantes cuando una empresa se implanta en el extranjero: “se internacionaliza la amenaza y se internacionalizan las vulnerabilidades, porque hemos internacionalizado nuestros activos”. El consultor sostuvo que conocer estos últimos es fundamental para contextualizar el análisis de riesgos y así advertir las amenazas y las vulnerabilidades del negocio. “El liderazgo” es una pieza fundamental para que la gestión sea eficaz. Por último, se refirió a la inteligencia, que para él supone “la base de la seguri- colaboración especial seg2 encuentro de la seguridad integral MESA REDONDA SOBRE INTERNACIONALIZACIÓN dad”. En ese sentido demandó un mayor apoyo por parte de la Administración en este tipo de labores. “Las empresas necesitan apoyarse en los sistemas de seguridad del Estado y de inteligencia de los países”. El consultor solicitó más generosidad y atención al respecto por parte de los organismos públicos, de manera que se ayude a las compañías internacionalizadas. Expatriados Al margen de los escollos mencionados, surgió otro tema de enorme interés para las multinacionales con presencia extranjera: los expatriados. La protección de estos trabajadores es un asunto de vital importancia para compañías como Acciona cuando se habla de seguridad en el ámbito internacional. “Nuestra prioridad es prestarles el máximo apoyo para que ellos tengan total tranquilidad; pero no solo ellos, sino también sus familias, porque el ingeniero tiene que estar centrado en su proyecto y tener una estabilidad emocional”, indicó Luis Pérez. Para conservar la integridad de sus empleados cuando se encuentran a miles de kilómetros de sus casas, el grupo cuenta con múltiples recursos de Guillermo Llorente (a la derecha) defendió la flexibilidad y la capacidad de gestión como claves para la internacionalización. A la izquierda, José Luis de la Fuente. prevención y protección, como estudios previos, contactos institucionales, guías del país, recomendaciones, protección personal, contravigilancia o el Centro Nacional de Seguridad de respuesta frente a crisis, entre otros apoyos. En estos casos, la compañía adopta un “perfil bajo” a la hora de proteger a los expatriados. “Para nosotros, la fase de prevención es esencial, pero hay un condicionante fundamental, que es que bajo ninguna circunstancia alguien puede identificar ese servicio de seguridad con nuestros empleados”, explicó el gerente de Protección de la Dirección de Seguridad Corporativa de la compañía de construcción e infraestructuras. “Eso daría a entender que detrás de esa persona hay una gran multinacional, y aumenta el riesgo”, argumentó. Antes de finalizar dejó un aviso a navegantes al afirmar que hay proveedores globales “que no funcionan como debieran en determinados países”. Otras claves para comprender el mercado global El debate acerca de las dificultades que encuentran las empresas que salen al extranjero cuando de seguridad se trata se extendió a los asistentes al encuentro. Entre el público, Manuel Rodríguez, jefe de la Unidad de Gestión de Riesgos del Parlamento Europeo, destacó la importancia del informe de seguridad antes de llevar a cabo una operación en mercados exteriores. Es "la clave", consideró, en países de alto riesgo. Al respecto, Juan Gros señaló que dicho documento no siempre es vinculante para la compañía. “Desde la Dirección de Seguridad debemos facilitar la actividad y solo en circunstancias excepcionales poner trabas de máximos”, apuntó el responsable de Seguridad de Ferrovial. Eduardo González, director general de Securitas Transport Aviation Security, quiso apuntar que el debate sobre la seguridad en la internacionalización no debe limitarse únicamente a una cuestión de oferta y demanda. “El mercado, además de los proveedores y los consumidores, está formado por una serie de entornos, como el legal, económico, social, demográfico y cultural”. La compañías han de analizar previamente todos esos aspectos para decidir correctamente, sostuvo este profesional. Finalmente intervino Carlos Blanco, director Nacional de Eulen Seguridad, para defender la capacidad de los proveedores españoles. "El ser global no es que seamos capaces de poner a un vigilante en cualquier parte del mundo", matizó. Para este profesional, la globalización "es una tendencia" que siguen las empresas para atender a sus clientes. Por ello, Blanco pidió que se tenga en cuenta a los proveedores españoles y se mostró convencido de que éstos podrán atender las necesidades de los clientes que se implanten en el extranjero. colaboración red seguridad junio 2012 25 especial seg2 encuentro de la seguridad integral MESA REDONDA SOBRE CIBERSEGURIDAD Y PIC Las amenazas TIC exigen una actuación nacional y convergente Los ataques cibernéticos contra infraestructuras críticas han demostrado que las amenazas lógicas pueden comprometer la seguridad de las instalaciones físicas. Los gobiernos –el español, entre ellos– han tomado conciencia de la magnitud de este fenómeno y se han puesto manos a la obra para elaborar planes que definan la actuación del Estado en materia de seguridad y defensa del ciberespacio. Marcos Gómez Hidalgo, representante de Inteco (en el centro), moderó el debate, en el que participaron (de izquierda a derecha): Óscar Pastor, de Isdefe; Óscar de la Cruz, del Grupo de Delitos Telemáticos de la Guardia Civil; Javier Zubieta, de GMV; Pablo Alonso, de la Brigada de Investigación Tecnológica de la Policía Nacional; Rafael Pedrera, del CNPIC; y Javier García Carmona, de Iberdrola. Stuxnet ha paSado a la historia por ser el primer malware conocido capaz de espiar y reprogramar aplicaciones de control industrial. En el verano de 2010, el 'gusano' había infectado casi 100.000 ordenadores en países como Irán, Indonesia, India, Estados Unidos, Australia, Gran Bretaña, Malasia, Pakistán y Alemania. Pero su fama se debió sobre todo a la sospecha de que se trataba en realidad de un arma cibernética dirigida contra los sistemas SCADA (Supervisory Control and Data Acquisition) que monitorizaban los procesos de varias plantas nucleares iraníes. Algunos medios de comunicación acusaron a los servicios secretos norteamericanos e israelíes de estar detrás de esa posible agresión contra el régimen de los ayatolás. Con Stuxnet, por tanto, saltó a la palestra la vulnerabilidad de las infraestructuras críticas ante las ciberamenazas. De nada servían ya las medidas de seguridad física para garantizar la 28 red seguridad salvaguarda y el correcto funcionamiento de esos entornos si no se contemplaba también la seguridad de las Tecnologías de la Información y la Comunicación (TIC). La legislación que regula la protección de este tipo de infraestructuras -Ley PIC- ha supuesto un avance sin precedentes al establecer la necesidad de partir de un enfoque en el que converjan ambos aspectos para gestionar su seguridad. El propio ministro del Interior, Jorge Fernández Díaz, fue un paso más allá al señalar, durante las I Jornadas Técnicas de Protección de Sistemas de Control en Infraestructuras Críticas (PSCIC), que "en el año 2012 la amenaza cibernética se configura como el principal riesgo potencial contra los servicios esenciales de cualquier sociedad". Sin embargo, ¿son verdaderamente conscientes los distintos agentes implicados de la importancia que tienen la ciberseguridad y dicha perspectiva integral para hacer frente a los ataques? Para tratar de resolver esta duda, RED junio 2012 SEGURIDAD y SEGURITECNIA sentaron en torno a una misma mesa a representantes de cada uno de esos actores: del lado de los operadores, Javier García Carmona, director de Seguridad de la Información y las Comunicaciones de Iberdrola; como fabricante, Javier Zubieta Moreno, responsable de Desarrollo de Negocio de Seguridad de GMV Soluciones Globales Internet; en nombre de las Fuerzas y Cuerpos de Seguridad del Estado (FCSE), el comandante Óscar de la Cruz Yagüe, jefe del Grupo de Delitos Telemáticos (GDT) de la Guardia Civil, y Pablo Alonso Fernández, jefe del Grupo de Seguridad Lógica de la Brigada de Investigación Tecnológica (BIT) del Cuerpo Nacional de Policía; y por parte de la Administración, Rafael Pedrera Macías, del servicio de Seguridad Lógica del Centro para la Protección de las Infraestructuras Críticas (CNPIC), y Óscar Pastor Acosta, Security Manager en la Dirección de Defensa y Seguridad colaboración especial seg2 encuentro de la seguridad integral MESA REDONDA SOBRE CIBERSEGURIDAD Y PIC de Ingeniería de Sistemas para la Defensa de España (Isdefe). Ejerciendo como excepcional 'maestro de ceremonias', Marcos Gómez Hidalgo, subdirector de Programas del Instituto Nacional de Tecnologías de la Comunicación (Inteco), empezó diciendo que se han realizado ya varios simulacros destinados a entrenar a los operadores en la prevención y el control de las amenazas TIC. España ha sido pionera en este terreno con el desarrollo entre abril y mayo de un ejercicio en el que han participado 18 compañías gestoras de infraestructuras críticas pertenecientes a los sectores del transporte, la energía y el nuclear. La prueba, que fue promovida y dirigida por el equipo de Óscar Pastor, con la colaboración del CNPIC, simuló una ofensiva informática que consiguió llegar a la red SCADA de una planta energética ficticia y detener el suministro de gas. Fuera de nuestras fronteras, se han llevado a cabo también diferentes ensayos de ataques TIC a entornos críticos. Así por ejemplo, el Cyber Atlantic 2011, el primer ejercicio de ciberseguridad en el que han intervenido conjuntamente la Unión Europea y Estados Unidos, recreó un posible escenario de crisis en una instalación eólica –española precisamente–. "Todo hace pensar que se va a continuar en esa línea de intentar testar el grado de madurez de los sistemas de protección y de respuesta o recuperación frente a incidentes", indicó Gómez, que informó de que se realizará otro Cyber Atlantic este año. Estrategias nacionales Varios son igualmente los países que han definido su plan de seguridad y defensa online. En Estados Unidos, Barak Obama ha dado un decidido impulso a este asunto al promover lo que se ha denominado la Estrategia Internacional para el Ciberespacio, que busca elevar al máximo rango la respuesta del Gobierno ante los delitos TIC. "Y siempre desde un punto de vista integral", recalca el portavoz de Inteco, uniendo la seguridad lógica y la ciberdefensa con la seguridad física, la protección de fronteras y la lucha contra el terrorismo. En Europa, naciones como Reino Unido, Alemania, Francia, Países Bajos o República Checa han presentado ya colaboración A pesar de lo intensa que había sido la jornada, los asistentes no quisieron perderse el debate y volvieron a abarrotar el salón del Hotel Husa Princesa. sus planes que, a diferencia del norteamericano, "son documentos muy ligeros, bastante estratégicos", según explica Gómez, pues en ellos se fijan la misión a perseguir, los valores en los que se fundamentan y, especialmente, los ejes de actuación. Tal como declara el experto, todos esos programas hacen hincapié en las infraestructuras críticas y se apoyan en dos patas principales: la legislación (que sirve "como punta de lanza") y el establecimiento de un organigrama y de un liderazgo claro. En España, el ministro del Interior anunció en febrero que el Gobierno tiene previsto aprobar -previsiblemente en junio- la Estrategia Española de pues está claro que la ciberseguridad no puede abordarse solamente desde el ámbito público. Para Óscar de la Cruz, el principal problema que existe aún hoy es la falta de concienciación. "Es necesario ver la amenaza cibernética como un problema real y del presente", afirmó. "La seguridad no es ni fácil ni cómoda", subrayó el comandante de la Benemérita, y de ahí que haya todavía tantas organizaciones que no tienen debidamente cubierta la protección de sus activos lógicos. En contraposición a esa percepción "pesimista" –tal como la calificó el propio De la Cruz–, el otro miembro de las FCSE, Pablo Alonso, considera que "Para implementar la Estrategia Española de Ciberseguridad hay que buscar la colaboración entre los actores, públicos y privados", según Óscar Pastor Ciberseguridad. Aunque podría parecer que caminamos con retraso respecto a esos otros estados, Óscar Pastor espetó que antes que "ser los primeros" es preferible partir de "un mensaje bien acotado". La Agencia Europea para la Seguridad de Redes y de la Información (ENISA, por sus siglas en inglés) ha publicado un informe sobre los planes de ciberseguridad que están desarrollándose a lo largo del continente y ha constatado que existe "una gran dispersión" en esas iniciativas, según el responsable de Seguridad de Isdefe. El paper, que incluye una guía para la redacción de esas estrategias, insiste en la colaboración público-privada: "Hay que tener en cuenta al sector privado para su elaboración –sostiene Pastor–, el hecho de que se haya confeccionado un borrador de la estrategia de ciberseguridad significa que existe esa sensibilización. Javier Zubieta, por su parte, defendió que España ha alcanzado bastante madurez en el terreno de la "práctica de ciberseguridad", sobre todo en lo que se refiere a la prevención de incidentes y la minimización de los riesgos y del impacto de los ataques. El directivo de GMV subrayó asimismo que los departamentos de Seguridad Lógica llevan varios años trabajando en la profesionalización de la actividad. En opinión de Rafael Pedrera, las organizaciones están ya acometiendo medidas para garantizar la ciberseguridad, por lo que el plan nacional va a servir para red seguridad junio 2012 29 especial seg2 encuentro de la seguridad integral MESA REDONDA SOBRE CIBERSEGURIDAD Y PIC "reforzar esas actuaciones individuales y marcar una única dirección; de lo que se trata es de compartir información y coordinar esfuerzos", apostilló. Javier García Carmona piensa que aún queda mucho camino por recorrer hasta que las compañías adquieran esa de Seguridad (ENS) o la futura reforma de la Ley de Seguridad Privada. "¿Pero son suficientes para continuar armando la estrategia de ciberseguridad?", preguntó el moderador. Pastor declaró que España posee un marco regulatorio bastante amplio en este terreno, que en todo caso habría que simplificar para evitar solapamientos, y alabó nuestra 'Ley PIC', que es "más ambiciosa y pormenorizada que la directiva europea de la que emana". No obstante, para este profesional, "la herramienta para implementar la estrategia no debe ser un excesivo Javier Zubieta sostuvo que nuestro país cuenta con una gran experiencia en seguridad TIC. desarrollo normativo, sino buscar la visión de 360 grados de la Seguridad. colaboración entre todos los actoAdemás, entiende que es prácticamenres, públicos y privados". Al respecto, te imposible establecer el nivel de ciberPedrera afirmó que desde el CNPIC seguridad que tienen las compañías, ya se ha intentado contar con el sector que "no hay un marco de referencia". privado para que "la legislación no les suponga una piedra en el zapato". Marco regulatorio El representante de Iberdrola recoEn nuestro país hay diferentes textos noció que, de no haber sido por las normativos que afectan a la seguriexigencias normativas, los operadores dad lógica, como la Ley Orgánica de no tendrían el grado de seguridad que Protección de Datos (LOPD), la Ley para han alcanzado actualmente. Eso sí, la Protección de las Infraestructuras cree que el marco regulatorio es "malo", Críticas ('Ley PIC'), el Esquema Nacional ya que resulta demasiado extenso, hay GMV apuesta por la integración Es ya un clásico la colaboración de GMV en el Seg2. Desde la segunda edición del Encuentro de la Seguridad Integral, la multinacional tecnológica ha participado con su patrocinio en la consolidación del simposio. Este año, lo ha hecho a través de GMV Soluciones Globales Internet, su sociedad filial especializada en los mercados de telecomunicaciones y el negocio en la Red, que ha copatrocinado el evento y ha aportado a los asistentes, a través de Javier Zubieta, el punto de vista del proveedor de soluciones de seguridad. Un socio tecnológico especializado en las tecnologías más avanzadas, los productos y servicios especializados y, sobre todo, los sistemas integrados. Fundado en 1984, el grupo dirige sus soluciones al sector de la aeronáutica, el espacio, la defensa, la seguridad, la banca y las finanzas, la sanidad, el transporte, las telecomunicaciones y las TIC para las administraciones públicas y la gran empresa. 30 red seguridad junio 2012 contradicciones entre las diferentes reglas y no está actualizado a los problemas de hoy. Por otro lado, De la Cruz y Alonso alegaron que existen carencias, especialmente en el ámbito penal y procesal. Las leyes se han quedado anticuadas (la de Enjuiciamiento Criminal, por ejemplo, data de 1882) y, además, no se tiene en cuenta que ahora la mayoría de los delitos son trasnacionales y se necesitan mecanismos que agilicen las investigaciones. Según el jefe de Seguridad Lógica de la BIT del Cuerpo Nacional de Policía, se está produciendo algún avance en este sentido, como la creación del Fiscal de Sala Delegado en materia de Delitos Informáticos, "pero el ritmo es demasiado lento para la rápida evolución de las nuevas tecnologías". Zubieta señaló que las organizaciones no se encuentran verdaderamente protegidas contra las agresiones cibernéticas desde el punto de vista legislativo: "Si alguien quiere atacarnos desde el extranjero, no se va a echar atrás porque se le vaya a sancionar en España", aseguró. Es más, el portavoz de GMV duda de que las leyes pudieran servir para disuadir a los criminales. Intercambio de información Para que cualquier plan nacional de ciberseguridad funcione es clave que se dé un fluido intercambio de información entre todos los actores implicados. Sin embargo, actualmente la normativa de protección de datos dificulta –si no impide– que tal colaboración se lleve a cabo. "En Inteco tenemos un centro de respuesta ante incidentes de seguridad informática (CERT, por sus iniciales inglesas) –explica Gómez– y para enviar o recibir datos de otras entidades necesitamos firmar acuerdos de confidencialidad impresionantes, comunicarlo a la Agencia Española de Protección de Datos (AEPD), encriptarlos... ¿Es una utopía que llegue a producirse un intercambio eficaz?". El directivo de Isdefe destacó que esa cooperación no puede acotarse al ámbito nacional. Puesto que "el ciberespacio no tiene fronteras", es necesario firmar acuerdos con otros países para hacer posible la colaboración. "La vía para conseguir esto es la concienciación y el fomento de los ejercicios prácticos" –como el Cyber Atlantic–, colaboración especial seg2 encuentro de la seguridad integral MESA REDONDA SOBRE CIBERSEGURIDAD Y PIC que están enfocados a detectar esos problemas de interoperabilidad. De la Cruz admitió que es fundamental compartir información, tanto para la investigación como para la elaboración de inteligencia. El jefe del GDT de la Guardia Civil se quejó de que en su operativa diaria encuentran obstáculos no solo a la hora de intercambiar datos con el sector privado a causa de la LOPD, sino también con la propia policía, debidos en este caso a la obligatoriedad de garantizar los derechos de las personas investigadas. En el terreno europeo, aunque se han hecho importantes avances a nivel de cooperación policial y judicial, falta todavía "la visión global". Y mayor aún es el problema con los llamados "paraísos tecnológicos", países que no comparten información sobre delitos cibernéticos. Alonso anunció que la Interpol tiene prevista para 2014 la apertura en Singapur de un centro de colaboración internacional, al igual que Europol pretende crear en 2013 en La Haya (Países Bajos) una oficina para la cooperación en materia de ciberdelincuencia. La idea es que en estos centros se encuentre un representante policial de cada país, lo que agilizará los trámites. En el entorno privado, no se está produciendo tampoco un intercambio de información profesional, según el portavoz de GMV, "a no ser que exista un interés económico", matizó. Para el director de Seguridad de la Información y de las Comunicaciones de Iberdrola, el principal escollo radica en que no se ha realizado un análisis funcional de la estrategia de ciberseguridad en el que hayan participado todos los agentes involucrados. "Primero hay que pensar qué queremos hacer y luego cómo hacerlo", resaltó García Carmona. En su opinión, la interoperabilidad no se da ni siquiera entre los departamentos de seguridad física y lógica de una misma empresa, al tiempo que las organizaciones no se sienten cómodas en su relación con las FCS. En el caso del CNPIC, el intercambio de información se vuelve más complicado, puesto que los datos que manejan son secretos. Pedrera expuso que se pretende contar con los operadores y la Seguridad Pública a la hora de desarrollar la futura herramienta que permita ese intercambio, la cual constará de un foro colaboración ¿Debe Inteligencia liderar la Estrategia de Ciberseguridad? CoinCidiendo Con el Día Internacional de Internet Seguro, el ministro del Interior, Jorge Fernández Díaz, informó en febrero de que el Gobierno estaba trabajando en la redacción de una estrategia española de ciberseguridad. El texto está actualmente en fase de borrador y va a partir, según avanzó Fernández Díaz, de dos puntos principales: el refuerzo de las unidades del Cuerpo Nacional de Policía y la Guardia Civil especializadas en delitos telemáticos, así como del CNPIC; y el impulso de la colaboración entre la Seguridad pública y la privada. Aunque el borrador no ha salido a la luz a cierre de este número, parece ser que es el Centro Criptológico Nacional (CCN) el organismo que se ha ocupado de la confección del documento, por lo que es previsible que sea esta institución, dependiente del Centro Nacional de Inteligencia (CNI), la que lidere el plan. En este sentido, la directora de RED SEGURIDAD, Mercedes Oriol, se interesó por la opinión que merecía a los integrantes de la mesa redonda esa noticia: que una estrategia nacional de ciberseguridad la lidere Inteligencia, en vez de Interior o Defensa. Óscar Pastor defendió que inteligencia y seguridad "deben vivir muy juntas, pues el resultado de una alimenta a la otra", pero matizó que tienen focos distintos. En cuanto a sobre en qué organismo debería recaer el liderazgo de la estrategia, Rafael Pedrera recalcó que lo importante no es quién la encabece, sino que en ella se incluya a todos los agentes que trabajan en el negocio de la seguridad. Por su parte, para Pablo Alonso lo fundamental es que se defina claramente a quién se debe informar de los hechos conocidos, así como que los elementos de comunicación sean ágiles. Óscar de la Cruz declaró que no le parece inadecuado que sea el CNI quien lidere el plan, "porque alguien tiene que hacerlo", pero piensa que podrían encargarse también otras instituciones; una idea con la que coincidió Javier Zubieta. Finalmente, Javier García Carmona remarcó que la inteligencia es actualmente "el elemento diferenciador" de las grandes organizaciones. y una 'wiki'. Eso sí, la información compartida debe convertirse previamente en confidencial y, aunque pueden manejarse datos de IP atacantes, habrá que proteger siempre la identidad de las víctimas. Para cerrar el panel, el moderador preguntó a los tertulianos si creían que algunas agencias gubernamentales podían estar utilizando las TIC para llevar a cabo ofensivas contra otros países. Hubo en la mesa un acuerdo casi unánimo en que así era. Pastor opinó que detrás de esas agresiones hay, además de criminales y activistas, agencias de inteligencia y ciberejércitos. De la Cruz aseguró que la delincuencia organizada y el terrorismo se encuentran cada vez más entremezclados, mientras que Alonso cree que, debido a la complejidad de muchos de esos ataques, posiblemente sean obra de servicios de inteligencia. Pedrera afirmó que, en el ámbito de la defensa, el ciberespacio se considera ya comúnmente el quinto dominio en los que se desarrollan conflictos –junto al de tierra, mar, aire y espacio– y, en consecuencia, es uno de los escenarios donde se podrían llegar a poner en marcha acciones bélicas. García Carmona apuntó que la guerra tecnológica siempre ha existido, solo que ahora se llama cibernética, y que es ahí donde reside el verdadero potencial bélico hoy en día. Únicamente discrepó con estos planteamientos Zubieta, que señaló que esa "leyenda negra" se ha creado por la admiración que provocó Stuxnet, la cual llevó a pensar que debía de haber sido lanzado por una gran organización. red seguridad junio 2012 31 especial seg2 encuentro de la seguridad integral MESA REDONDA SOBRE FUTURA LEY DE SEGURIDAD PRIVADA Ana Borredá, directora de SEGURITECNIA (en el centro), orquestó el debate, que reunió a presidentes de asociaciones de profesionales y empresas tanto de la seguridad física como de la lógica. De izquierda a derecha, Gianluca d'Antonio, de ISMS Forum Spain; Carlos Blanco, de APROSER; Antonio Ramos, de ISACA Madrid; y Álvaro Martín, de ASIS España. Una oportunidad clave para redefinir la actividad del sector Tras la anunciada revisión de la Ley de Seguridad Privada, se abre un escenario más que favorable para incluir en el marco regulador de estos servicios el área de la protección TIC, un ámbito aún sin legislar. Las asociaciones del sector vislumbran ahí una vía para determinar cómo será –y cómo debería ser– la actividad en el futuro, en el que se espera asistir a la verdadera unión de la seguridad física y la lógica bajo la responsabilidad de un directivo con visión integral. En 1992 sE aprobó la Ley de Seguridad Privada para ordenar los servicios de protección que, de forma paralela a los realizados por las Fuerzas y Cuerpos de Seguridad (FCS), venían prestando los particulares. Por aquella época, había un elevado número de vigilantes y empresas que ejercían esa actividad, pero no existía una normativa unitaria y adecuada a los tiempos que fuera capaz de establecer un control eficaz sobre esos servicios. La Ley 23/1992 sirvió por tanto para regular el sector tal y como se concebía entonces, pero qué duda cabe de que los numerosos y profundos cambios 32 red seguridad que ha experimentado la Seguridad Privada en las dos últimas décadas obligan a verla desde una perspectiva bien distinta. Primero, porque su creciente papel –y su potencial– dentro del mantenimiento de la seguridad ciudadana aconseja trascender el rol de mero complemento de la pública que le otorgaba la norma de 1992. Y segundo, porque la evolución de las amenazas convierte en prioritario incorporar la seguridad lógica a la regulación del sector. En estos términos se expresó Ana Borredá, directora de SEGURITECNIA y directora general de Borrmart –empresa editora de las dos publi- junio 2012 caciones organizadoras–, durante la mesa redonda con la que se cerró esta cuarta edición del Seg2. Tal como explicó la moderadora, el pasado 31 de enero el ministro del Interior, Jorge Fernández Díaz, planteó una “más que posible” reforma de la Ley de Seguridad Privada. El problema es que esa revisión de la norma podría quedarse en la superficie y limitarse a “solucionar problemas puntuales” relacionados con la crisis económica, en lugar de aprovechar esta oportunidad para llegar hasta el meollo de la cuestión: “Sería un momento excepcional para sentarnos y definir qué es la Seguridad Privada y qué colaboración especial seg2 encuentro de la seguridad integral MESA REDONDA SOBRE FUTURA LEY DE SEGURIDAD PRIVADA pretendemos que sea de aquí al futuro -declaró Borredá-. Y mi sueño es que en esa nueva ley tenga cabida el concepto de seguridad integral y se contemple a ese directivo superhombre que se requiere para estar al frente de esa área en las organizaciones”, apostilló. Para debatir acerca de este tema, RED SEGURIDAD y SEGURITECNIA convocaron a cuatro presidentes de sendas asociaciones del sector: del lado de la seguridad física, Carlos Blanco, de la Asociación Profesional de Compañías Privadas de Servicios de Seguridad (APROSER), y Álvaro Martín, del Capítulo 143 de ASIS International (ASIS España); y procedentes del mundo de las tecnologías de la información y la comunicación (TIC), Gianluca d'Antonio, de la Asociación Española para el Fomento de la Seguridad de la Información (ISMS Forum Spain), y Antonio Ramos, de la sección madrileña de la Asociación para la Auditoría y el Control de los Sistemas de la Información (ISACA Madrid). Reforma en profundidad Tomó la palabra en primer lugar D'Antonio, como representante de los profesionales de la seguridad lógica, para coincidir con Borredá en que, ya que se va a modificar la ley vigente, debería hacerse en profundidad: “Si estamos de acuerdo en que el panorama tecnológico se ha poblado de numerosos elementos nuevos, necesitamos empezar de cero en lugar de proponernos arreglar lo que tenemos”. Un punto que compartió Ramos, portavoz de los colectivos de auditores de sistemas, gestores de riesgo, expertos en gobierno TIC y responsables de seguridad de la información: “La realidad de 1992 y esta son diferentes, y espero que esa anunciada reforma no se desaproveche”. El presidente de ISACA Madrid añadió que no tiene sentido separar la seguridad física y la lógica y que, por tanto, no deberían regularse de forma distinta. “En la medida en que la legislación ha de reflejar la situación actual, necesita adecuarse al escenario de riesgos globales al que se enfrenta hoy en día un responsable de Seguridad”, matizó. Desde la perspectiva de los profe- colaboración sionales de la seguridad física, Martín subrayó que hay que empezar por precisar qué es Seguridad Privada. Admitió que se está produciendo un proceso de convergencia entre los dos tipos de la actividad, pero defendió que debe haber profesionales y especialistas de cada uno de ellos. "Tenemos que buscar maneras de interrelacionarnos –manifestó el ponente de ASIS España–, una colaboración física-lógica que muchas veces ni siquiera se da con las FCS ni tampoco dentro de una misma organización". Por su parte, Blanco, presidente de la única asociación exclusivamente de empresas participante en la mesa redonda, destacó que a pesar de que las compañías suelen preferir que haya el menor número de normas posible para operar con mayor libertad, piensa que lo que va a hacer la nueva ley del sector es potenciar la actividad de las firmas de seguridad. "Deseo que recoja específicamente las funciones que se enmarcan dentro de la protección de la información para que las empresas puedan desarrollar su labor en este ámbito sin ningún problema legal", apuntó. Esta es, según Blanco, la primera condición que ha de reunir la futura Ley de Seguridad Privada, ro" a las compañías, ya que exige a estas fuertes inversiones en seguridad, pero coincidió en que tiene como lado positivo que sirve para fijar el terreno en el que se mueve la protección física. Tras comprobar el acuerdo unánime que hubo en la mesa en torno a la necesidad de utilizar la posible reforma de la Ley de Seguridad Privada para regular la vertiente TIC e incluir la visión integral, la moderadora conminó a las asociaciones a "influir en el legislador para enfilar ese camino" o, al menos, "para cambiar mentalidades". Perfil del directivo integral A continuación, Borredá preguntó a los contertulios cuál creían que debería ser el perfil y la formación de la persona que se situara al frente de la seguridad integral de una organización. La 'Ley PIC' establece la obligación de que los operadores de infraestructuras críticas designen a un responsable de Seguridad y Enlace, que será el interlocutor entre la Administración y la organización, y exige que esa persona cuente con la habilitación de director de Seguridad. ¿Pero es suficiente esa certificación profesional para liderar de forma eficaz la protección de una Puesto que la regulación debe reflejar el panorama actual, necesita adecuarse al escenario de riesgos globales al que se enfrenta hoy en día el responsable de Seguridad de cualquier organización aunque reconoció que le "gustaría" que incluyera también ese planteamiento integral, pues "lo que están haciendo las compañías es proteger bienes, sea cual sea su naturaleza: un millón de euros o de bytes". En este sentido, D'Antonio comentó que existe un marco regulador para la seguridad física pero no para la lógica, lo que crea dudas acerca de hasta dónde pueden llevar su actuación las entidades privadas a la hora de repeler un ataque. "El hecho de no tener legislación no nos hace más libres, sino que nos expone más –aclaró el experto–, y esta sería una buena oportunidad para acabar con esa situación". Al respecto, Martín afirmó que ese marco regulador "cuesta mucho dine- empresa –ya sea prestataria de un servicio esencial o no– desde un punto de vista convergente? Para el presidente de ASIS España, el perfil del director de Seguridad dependerá de las necesidades de cada empresa: “Si hace falta una relación con la Administración o con las FCS, tendrá que tener unas características, y si no, tendrá que tener otras...”. Como señaló Martín, en términos generales, está figura deberá poseer capacidades de gestión y rodearse de los técnicos necesarios en cada área. En cuanto a la capacitación, el invitado sostuvo que la formación obligatoria que recibe el director de Seguridad es adecuada, aunque ve positivo que red seguridad junio 2012 33 especial seg2 encuentro de la seguridad integral MESA REDONDA SOBRE FUTURA LEY DE SEGURIDAD PRIVADA Los participantes de la mesa redonda debatieron sobre cómo ha de entenderse la Seguridad Privada del futuro y acerca del perfil y la formación que debe tener el directivo de Seguridad para abordar esta actividad desde un punto de vista convergente. se complemente con otras materias, como Prevención de Riesgos Laborales o Seguridad Lógica, “como la misma norma de Seguridad Privada recogió el año pasado”. “Un paso más sería analizar que hubiese un grado de seguridad”, añadió. Como conclusión argumentó: “Yo mismo me defino como ‘director comercial de la seguridad’; parte de mi trabajo es tratar de vender la seguridad a mi organización. Luego habrá técnicos que tengan que desarrollar el trabajo, bajo mi supervisión”. El representante de ISACA Madrid mantuvo que ese profesional ha de poseer el perfil de un "director de orquesta", pues su labor consiste en liderar a los técnicos de cada área para que el conjunto funcione con armonía. Según expuso Ramos, el acuerdo firmado recientemente entre ASIS España y la asociación encabezada por él va en esa línea: "Se trata de que empecemos a hablar todos de lo mismo, tanto los que venimos de la seguridad TIC como los que vienen de la física". El experto informó de que ambos colectivos están elaborando un documento sobre lo que entienden por Seguridad Integral para hacerlo llegar a las FCS. ¿Formación específica? En cuanto a la formación del directivo de Seguridad Integral, el interviniente entiende que la enseñanza universitaria aporta un background a ese profesional, pero piensa que los requisitos 34 red seguridad exigibles a ese trabajador no tienen por qué proceder necesariamente de esos estudios. "Lo importante es que cuente con unos conocimientos mínimos, experiencia y habilidades directivas", recalcó Ramos. D'Antonio discrepó con lo dicho por su compañero de mesa y afirmó que, si se va a modificar la Ley de Seguridad Privada y a introducir en ella nociones de seguridad lógica para llegar así a un planteamiento integral, es aconsejable establecer un mecanismo que garantice que los trabajadores de esa área acceso a la profesión, ya que todos los aspirantes partirían de la misma formación. Antonio Ramos continuó insistiendo en que lo primordial es tener los conocimientos apropiados, pero convino en que la instauración de un grado universitario podría servir para mejorar las capacidades en el terreno del análisis de riesgos. Finalmente, Carlos Blanco señaló que, bajo su punto de vista, existe en el área de la Seguridad Privada "una laguna" respecto a otras materias, ya Crear una formación superior de especialista en Seguridad Privada facilitaría la preparación de los directivos y simplificaría el acceso a la profesión disponen de las capacidades y aptitudes adecuadas para desempeñar su función. "Actualmente hay multitud de certificaciones, lo que indica que existe la necesidad de demostrar que se tienen esos conocimientos", alegó. Además, a juicio del presidente de ISMS Forum Spain, el hecho de crear una formación superior específica facilitaría enormemente la preparación de los futuros directivos de Seguridad y avalaría que esta se ha impartido "con calidad y rigor": "Yo por ejemplo estudié Derecho y, para adquirir las competencias necesarias para dedicarme a la protección TIC, he tenido que cursar cinco certificaciones", ilustró el tertuliano. Se simplificaría asimismo el junio 2012 que no hay un título superior y oficial de especialista en Seguridad. "Las ofertas formativas actuales se quedan cortas –agregó–. Hay que elevar el nivel". Para el portavoz de APROSER, está claro que "las personas que tengan responsabilidad en Seguridad dentro de una organización deben contar con preparación universitaria". Y es imprescindible que esa formación aúne todas las disciplinas pertinentes para conseguir que los profesionales adquieran las competencias necesarias para proteger a las compañías, organizaciones e instituciones, incluso gobiernos, "frente a ataques cada vez más integrados", concluyó Blanco. colaboración especial seg2 encuentro de la seguridad integral MESA REDONDA SOBRE FUTURA LEY DE SEGURIDAD PRIVADA El director de Seguridad requiere una capacitación que le equipare a los demás directivos y a las FCS "Ya no haY marcha atrás. En los Estados no hay dinero, y las Fuerzas y Cuerpos de Seguridad (FCS) van a disponer cada vez de menores recursos, por lo que tendrán que ir delegando tareas. Los funcionarios de estas instituciones, a los que tanto cuesta formar, deben reservarse para labores más importantes". Con esta alocución hizo referencia Roberto Hermida, director de Seguridad, a la necesidad de redefinir el concepto de Seguridad Privada, el cual según él, podría entenderse como aquella protección "no pública". Para este profesional, que se encontraba entre los asistentes que presenciaron el debate, es imprescindible mejorar la formación del director de Seguridad para que este pueda "hablar de tú a tú" con los responsables de los demás departamentos de la empresa y con el propio director general. Es urgente también incrementar la preparación de los vigilantes: "Es absurdo que una persona que tiene formación de electricista ¡esté protegiendo vidas! –resaltó Hermida–, al igual que lo es que un sistema de seguridad se venda en un supermercado y lo instale cualquiera". En relación a este asunto, el comisario Ángel Álvarez, jefe de la Brigada Operativa de Empresas de la Unidad Central de Seguridad Privada (UCSP) del Cuerpo Nacional de Policía, subrayó que las FCS creen que el director de Seguridad debe poseer conocimientos sobre legislación, medidas y sistemas físicos, TIC... "Pero no hay que olvidar que es un directivo, y por tanto no tiene que ser necesariamente especialista en las distintas materias", aclaró. En opinión del comisario, las funciones de esa figura van mucho más allá que las de un jefe de seguridad, por lo que convino con Hermida en que contar con una formación superior aporta a colaboración ese profesional "un plus" a la hora de relacionarse con la dirección de la compañía para la que trabaja. En cuanto a la preparación de los vigilantes, el representante de la UCSP admitió que era "insuficiente". Si el ámbito privado va a adquirir competencias hasta ahora vedadas a la Seguridad Pública, es primordial que la formación de los vigilantes se equipare con la de los miembros de las FCS. ción adecuada para tratar con los otros directivos", explicó. El jefe del SEPROSE concluyó que no concibe que pueda desarrollarse ningún marco regulador de la Seguridad Privada sin que se tenga en cuenta la protección TIC "y, por ende, la integral". La dificultad, según César Álvarez, estriba en que esa actividad se ha ido desenvolviendo sin ninguna normativa, "y a ver quién le pone ahora puertas al campo". Lo que no es Seguridad Pública Por su parte, el coronel César Álvarez, jefe del Servicio de Protección y Seguridad (SEPROSE) de la Guardia Civil, manifestó que para este Cuerpo la Seguridad Privada son "todas aquellas labores que realizan las personas físicas o jurídicas para protegerse". En este contexto, las leyes son fundamentales "para crear el marco de desarrollo de esas actividades y conseguir integrar los esfuerzos privados con los públicos". El coronel afirmó que la formación de los profesionales del sector debe aumentar "en todos los casos". En cuanto a la capacitación del director de Seguridad, César Álvarez señaló que el hecho de que debiera ser o no universitaria estaría en función de la labor que fuera a realizar dentro de la empresa: "Si va a tener un puesto dentro del organigrama, es evidente que ha de poseer la forma- Siendo así, y si nadie es capaz de acotar ese segmento: "¿Cómo vamos a controlar la seguridad lógica si ni siquiera sabemos lo que es?", interrogó Ignacio Vargas, director de Consultoría y Desarrollo de Securitas Seguridad España. Como respuesta, Miguel Rego, miembro de ISMS Forum Spain, que ocupó el lugar de Gianluca d'Antonio, reconoció que determinar el perfil del director de Seguridad es fácil. "Lo complicado es trasladar esa figura a la protección TIC", concluyó. red seguridad junio 2012 35