Towards prevention with resilience… and beyond! (Hacia la prevención de la resistencia … y más allá!)
Fue Gianluca D´Antonio como Director del ISMS Fórum Spain el encargado de darnos la bienvenida a la XVI Jornada y, de paso, presentarnos a la nueva Directora General del ISMS, Sara Degli Esposti… mucha suerte desde aquí a Sara en su nueva etapa. Agradeció la colaboración de todos los patrocinadores e hizo una breve introducción de los contenidos que se tratarían a lo largo de la jornada.
La ponencia inaugural corrió a cargo de Benoit Godart, Responsable del Ec3 Outreach, de Europol, bajo el título “Internet Organised Crime Threat Assessment (IOCTA)”. Presentó el estudio recién publicado en base a las informaciones de las principales policías europeas. En la actualidad hay infinidad de dispositivos conectados a internet… el uso de internet cada vez es más y más extendido y esto también es aprovechado como campo de actuación para los delincuentes, con el añadido de que en internet no hay fronteras, por lo que el reto para nosotros es mejorar la resistencia y conseguir la suficiente información para saber cómo actúan estos ciberdelincuentes y generar las pruebas oportunas para que estos ciberdelitos no queden impunes. Aunque el uso de internet es ya habitual, el conocimiento de cómo funciona no está tan extendido entre el público que lo usa, y esto también es aprovechado por los delincuentes. Por ello EC3 ha de trabajar en cooperación con policía y autoridades de diversos países.
Recorrió las principales figuras empleadas por los ciberdelincuentes y se refirió a la “internet profunda” y a los “mercados oscuros” en los que se puede acceder prácticamente a todo tipo de conocimientos, herramientas e incluso servicios para la comisión de delitos, y en estos medios, las actuaciones policiales son muchísimo más lentas –legalidad y burocracia- que las de los delincuentes. Por ello la colaboración internacional es imprescindible, y no solo a nivel de estado o policial, sino contando con ámbitos académicos, empresariales… en definitiva, la tan manida colaboración público-privada llevada al ámbito internacional.
A continuación se celebró la primera de las mesas redondas titulada “Building a resilient defence against cyber attacks”, moderada por D´Antonio y en la que participaron Michael Kaiser, Director Ejecutivo de la Alianza Nacional para la Ciberseguridad de los Estados Unidos, David Van Duren, Coordinador de la Política de Ciberseguridad del Ministerio de Seguridad y Justicia holandés, Taylor Roberts, del Centro Global de Ciberseguridad de la Universidad de Oxford y el propio Benoit Godart.
El representante holandés destacó la importancia de la ciberseguridad en la agenda política y también apeló a la colaboración de gobiernos y empresas reseñando las obligaciones en este campo de unos y otros. La preocupación por la ciberseguridad cada vez es más internacional, y por ello, también recalcó la necesidad de colaboración internacional.
A continuación fue Michael Kaiser el que tomó la palabra, resaltando el interés que todo el mundo debe tener por la ciberseguridad y la necesidad de coordinación de esfuerzos para evitar duplicidades. El objetivo final ha de ser la creación de un ecosistema seguro. Al ser un problema global, la solución debe ser global. Hay muchas empresas que se centran mucho en la prevención, pero cuando algún incidente ocurre ven como sus negocios no son capaces de sobrevivir por falta de resilencia, de capacidad de reacción… En temas de seguridad no debe existir competencia entre empresas, sino colaboración.
Taylor Roberts, desde un enfoque académico, destacó aspectos menos tangibles que la tecnología: coordinación, compromiso, esfuerzo… Trabajan en una herramienta que próximamente testearán para medir estos factores y en un portal para facilitar recursos para trabajar en la búsqueda la construcción de esta necesaria resilencia.
También se trató el debate seguridad vs privacidad: Benoit Godart opinó que las autoridades deben de ser capaces de identificar a los delincuentes sin necesidad de crear un “gran hermano” que vigile absolutamente a todo el mundo que actúa en internet. Y recalcó la necesidad de confianza.
Siguió la ponencia de Miguel Rego, Director General de INCIBE bajo el título “Identificando y gestionando el talento en ciberseguridad”. Comenzó presentando y justificando el cambio de denominación de la institución que dirige (“ex-INTECO”) y entró de lleno en el tema principal de su ponencia… presentó cifras, a priori muy prometedoras, del sector profesional de la ciberseguridad a nivel mundial, europeo y, cómo no, español. El talento y la innovación son imprescindibles en una buena estrategia de ciberseguridad. Presentó algunas de las iniciativas que Incibe está realizando para la detección y desarrollo de este talento, entre la que se encuentra la creación de un inventario de centros de excelencia en investigación de la ciberseguridad o la inclusión del propio Incibe en un equipo de investigación tutelado por la Universidad de León. Han desarrollado también unas jornadas en institutos para acercar la ciberseguridad a los usuarios más jóvenes, tratando de estimular en cierta forma el interés por este campo de los futuros estudiantes de tecnologías. Otra de las iniciativas ha sido la ceración de un Mooc que a día de hoy parece que marcha francamente bien, pero además, están desarrollando otros cuatro más. Han trabajado también en el desarrollo de un máster con la Universidad de León, y relacionado con ello, está también el nivel de becas de ayuda para la realización de estos estudios, pero no sólo con la Universidad de León, sino con todos los másteres identificados en el panorama nacional, y pretenden no quedarse solo en la ayuda a másteres, sino extenderlo a la facilitación de prácticas a estudiantes de grado. Por último, nos habló del Cybercamp (que se desarrollará los próximos 5 al 7 de diciembre en Madrid) como iniciativa que pretende acercar el “cibertalento” a empresas y organizaciones.
La siguiente mesa redonda moderada por Fernando Picatoste, de Deloitte, titulada “Estrategias para una defensa efectiva contra amenazas persistentes avanzadas” en la que participaron Darren Thomson, CISO EMEA de Symantec, Loic Guezo, Director para Europa Sur de Trend Micro y Vicente Díaz, Analista de Malware de Kaspersky Lab. Los tres participantes coincidieron en que una estrategia efectiva de defensa contra APT´s es cuestión de personas, no solo de tecnologías… No basta con que las empresas se gasten lo no escrito en aplicaciones antimalware, sino que el éxito debe situarse en la recolección de información, en la compartición de esta información y en un buen análisis de esta información. Por ello, por ejemplo, para Vicente Díaz, el acento ha de ponerse en las personas, no en la tecnología (sólo).
Darren Thomson indicó que en Estados Unidos hay mayor conciencia de esta necesidad de compartir información que aquí. Y eso hace que la lucha contra este tipo de amenazas sea mucho más efectiva. Loic Guezo, por su parte, nos contaba su experiencia de colaboración en EC3 de Europol.
Tangencialmente se habló de privacidad, y en concreto, de Privacy by Design, puesto que tanto para Darren Thomson como para Loic Guezo, es una herramienta imprescindible para protegerse de estas ATP´s, por ejemplo cuando se habla de IoT (Internet de las Cosas).
A continuación tocó el turno de las brechas de seguridad- “Gestionando brechas de seguridad de la información”, fue el título de la siguiente mesa moderada por Álvaro Torres, Director de Consultoría y Desarrollo de IDC Research Spain y en la que tomaron parte David Grout, Director de Preventa de McAfee, Michael Hartmann, VP EMEA de Blue Coat y Emmanuel Roeseler, Manager de Seguridad de Sistemas en IBM. Para Hartmann hay que estar preparado para reaccionar, hay que ser resilente, hay que tratar de reducir todo lo posible el intervalo que transcurre desde que se produce un incidente hasta que la compañía realmente se entera, y hay que “conocer al enemigo” para poder acabar con él. Emmanuel Roeseler, al igual que otros ponentes de la mañana, también centraba su atención en las personas y en la compartición –de forma anónima- de la información, y para ello, la nube es el medio idóneo.
Y para finalizar la mañana, turno del Cloud: “Asegurando la próxima generación de Cloud”, moderada por Mariano J. Benito, Coordinador del Grupo de Trabajo del Capítulo Español de la Cloud Security Alliance y en la que intervinieron Félix Martín, de HP, Mark Armitage, Director de Productos Seguridad para la Nube de Akamai, Josep Bardallo, de SVT Cloud y Eutimio Fernández, Security Account Manager en Cisco.
Benito compartió con los participantes y la audiencia la publicación de la segunda edición del Estudio sobre el Estado de la Seguridad en la nube en España y este informe sirvió, de alguna forma, de guía para el desarrollo de la mesa. Según algunos de los ponentes, la mayoría de la gente está satisfecha con las prestaciones que ofrece la nube. Los “desencantos”, según Bardallo, suelen venir porque cuando alguien adopta cloud, cree que la forma de trabajar es la que hasta ese momento desempeñaban, y esto no es así. Otras preocupaciones del público, y así lo demuestra también el estudio, vienen de la mano de la privacidad, de la seguridad o del compliance.
Ya en la sesión de tarde, se realizó la presentación de dos estudios:
En la del primero de ellos (“Incentivando la adopción de la ciberseguridad”) participaron Gianluca D´Antonio y Manel Medina, Catedrático de la Universitat Politècnica de Catalunya
Y en la segunda de ellas (“La Responsabilidad Legal de las Empresas ante un Ciberataque”) participaron Carlos A. Saiz, Vicepresidente de ISMS Fórum Spain y Francisco Pérez Bes, Vicepresidente Segundo de ENATIC.
Tras la presentación de estos estudios, otra mesa redonda más: “Next big -Data- challenge to our privacy” dirigida por Carlos A. Saiz, esta vez como Director del Data Privacy Institute, del ISMS Fórum Spain, y con la participación de Emilio Aced, Jefe de Área en la AEPD, Asier Crespo, Director legal para España y Portugal en Microsoft y Marco Bressan, Presidente y CEO en BBVA Data & Analytics.
Emilio Aced, a pregunta del moderador de la mesa sobre los requerimientos legales para un tratamiento primario de datos en Big Data, dejó claro que la normativa vigente no distingue entre tratamientos primarios ni secundarios, por lo tanto, los requisitos son los que marca la normativa para cualquier tipo de tratamiento… incluso aunque exista anonimización… La finalidad no podrá ser incompatible a la principal para la que se recabaron los datos y la transparencia es vital… el ciudadano debe conocer en todo momento qué se hace con su información.
Asier Crespo, también hizo hincapié en la necesidad de esta transparencia y evitar la “búsqueda de artificios o recovecos legales” y nos contó que la experiencia de IBM pasa por la estrecha colaboración con las autoridades de control, y en concreto con la Agencia Española. Aprecia riesgos para los afectados por el empleo de tecnologías de Big Data puesto que estas técnicas pueden conseguir que a partir de determinadas informaciones no consideradas como datos de carácter personal pueda realmente llegar a identificarse a una persona. Por otra parte, para Crespo, no basta, en términos generales, con el binomio información-consentimiento, puesto que está más que demostrado que la información no siempre se lee, y por tanto estaríamos ante consentimientos no informados.
Para Marco Bressan, no hay diferencias en términos cuantitativos entre compañías a un lado y a otro del Atlántico… eso sí, ve Europa como un “campo de entrenamiento” para las empresas: a una empresa que ha operado cumpliendo la ley en Europa le resultará mucho más fácil operar en cualquier otro lugar del planeta, y más teniendo en cuenta que dados los escándalos acaecidos en Estados Unidos, la legislación de privacidad de aquél país sufra modificaciones que indudablemente la endurezcan. Además, preguntado sobre la existencia de información accesible pero que legalmente no puede ser considerada como accesible (por ejemplo, redes sociales) opinó que resulta imprescindible mejorar la formación en privacidad de todos los actores (gobiernos, empresas, ciudadanos…).
La última de las mesas redondas “La primera línea en las Infraestructuras Críticas” dirigida por Carles Solé, Director del Spanish Cyber Security Institute y con la participación de Fernando Sánchez, Director del Centro Nacional de Protección de Infraestructuras Críticas, Joaquín Reyes, Chief Information Officer de Cepsa y Eduardo Di Monte, Director de Coordinación y Continuidad de Negocio y Seguridad Corporativa en Aguas de Barcelona. Dedicaron la mayor parte del tiempo asignado a la mesa a contarnos como en sus respectivas empresas y organizaciones han coordinado la seguridad física y lógica para garantizar la seguridad de esas infraestructuras críticas que han de administrar, y que como concluyó Solé, al final significa la protección o el aseguramiento de servicios críticos. Resaltaron la importancia, evidentemente, de la continuidad de la actividad la cual implica una gestión global de la seguridad. Importancia, también, de la denuncia de incidentes a las autoridades (en este caso a CNPIC) para que estas puedan investigar, con la garantía de que estas denuncias no salgan del ámbito de la pertinente investigación. Importancia de la gestión de la crisis…
Y tras esta última mesa, turno para la ponencia de cierre, a cargo de Mercè Molist, Periodista y fundadora de Hackstory.net. “Érase una vez… una historia de hackers”
Como ya es habitual, tengo que despedir esta crónica agradeciendo a ISMS Fórum Spain por la organización del evento, y muy especialmente a todas las personas involucradas en la organización, que como también es ya habitual, resultó brillante.
Muy buenos días.
Imagen: ®ISMS Fórum Spain
