La importancia de no frenar el desarrollo de la seguridad de la información y la difícil labor de continuar innovando en tiempos de crisis

La necesidad de generar confianza en la nube y de promover la innovación, la formación y la colaboración global como gran motor para el desarrollo en materia de seguridad, fueron los principales mensajes de la VII Jornada internacional de la Asociación Española para el Fomento la Seguridad (ISMS Forum) en la que más de 280 profesionales del sector debatieron sobre la “Seguridad de la Información: ¿Cómo innovar en tiempos de crisis?”. Una jornada que contó con un prestigioso panel de expertos nacionales e internacionales.

Soluciones globales

“Los desafíos para la seguridad de la información hoy también son globales. Todos sabemos que no hay fronteras para las amenazas y estas pueden llegar desde cualquier punto del planeta”, destacó Gianluca D’Antonio, para inaugurar un evento en el que se analizó la innovación como factor clave para garantizar la seguridad de la información.

¿Cómo innovar si estamos en crisis?

Udo Helmbrecht, director general de la Agencia Europea  de Seguridad de las Redes y de la Información (ENISA) fue el encargado de hablar sobre “Cómo innovar en Seguridad de la Información en tiempos de crisis”. La técnica de Enisa: innovar a través de la investigación.

Helmbrecht repasó las iniciativas y estudios puestos en marcha por ENISA con el fin de combatir la inseguridad desde la prevención y la preparación. Por ello, han realizado estudios sobre el tratamiento de datos. Entre los más reciente citó “Procent” sobre las prioridades de estudio en seguridad de las tecnologías de la información y cuyas líneas de investigación son el “cloud computing” la detección y diagnosis en tiempo real, los futuros canales de comunicación wireless, los sensores de canales y la integridad de la cadena de suministro.

Otro de las investigaciones de ENISA es “Flying 2.0” sobre los problemas de seguridad y privacidad asociados al tráfico aéreo, y “Cloud Computing” que analiza los riesgos de los servicios que ofrece la “nube”.

Para Helmbrecht Internet ofrece muchas oportunidades para desarrollar negocios en tiempos de crisis, pero también tiene riesgos como el robo bancario “por eso innovar en seguridad será siempre un buen negocio”. Además, no se debe olvidar que los “atacantes” siempre están buscando nuevas vías para penetrar los sistemas de seguridad. Respecto a la tarea pendiente de las empresas e instituciones destacó la necesidad de armonizar las normas de seguridad.

Alto coste del acceso a las tecnologías de la información

Irene Mía, representante del Foro Económico Mundial, habló del posicionamiento de España según el Informe Global de Tecnologías de la Información. Para establecer el índice de preparación tecnológica de los países, o “Networked Readiness Index”, el Foro evalúa 68 variables, que combinan datos y la percepción que tienen los altos cargos de empresas del país sobre la innovación tecnológica. Estas variables analizan aspectos del entorno como puede ser la existencia de capital semilla o la eficacia del marco legal, aspectos relacionados con la preparación como la calidad de la educación en ciencias y matemáticas o las tarifas de la conexión telefónica. También estudia aspectos ligados al uso como el número de personas con teléfonos móviles, el número de internautas o la capacidad para la innovación.

Respecto a los factores más problemáticos del ambiente de negocios para los empresarios españoles, de acuerdo con el estudio del Foro Económico Mundial, son “la dificultad del acceso a la financiación, lo restringido de las leyes en materia laboral y la ineficiencia de la burocracia gubernamental”.

Según este índice España se ha mantenido en la posición número 34 en los últimos años (se analizan 133 países). “Lo más problemático es la preparación individual y el coste del acceso a las tecnologías de la información” explicó Mia, que entre las ventajas competitivas de nuestro país incluyó el desarrollo de la infraestructura, la preparación empresarial y el marco legal.

Cloud Computing

Christopher Coggrave, director de EMEA de Cloud Services de HP, habló del “Cloud computing como método para innovar y mejorar la eficiencia”.

Coggrave empezó por definir la nube, pues considera que hay mucha confusión sobre qué es y qué no es la nube. “Los servicios de la nube son altamente escalables y con tecnología que se puede adaptar a las necesidades del demandante. Se consume en Internet y sólo se paga por los servicios que se usan”. Las tres principales nubes: La pública como pueden ser Google o Amazon, la privada a la que se accede solo a través de invitación, y la interna o establecida por las organizaciones.

“Estas tres nubes tienes implicaciones diferentes en términos de seguridad y el intercambio de información.  En la pública te diriges al mercado masivo; la eficiencia, efectividad y el coste son críticos. En las nubes privadas e internas hay más interés en los servicios específicos y por poder controlar las tecnologías de la información”. De hecho, por ello “actualmente muchas organizaciones desconfían del área de la nube pública y están mirando hacia el área privada e interna”.

Coggrave destacó los beneficios que ofrece la nube como el hecho de disponer de muchos servicios y solo pagar por los activos que se usan, la facilidad de manejo, la reducción de costes, la flexibilidad y que se trata de servicios escalables y con alto grado de adaptación, así como la posibilidad de seleccionar las fuentes de manera selectiva. En este sentido, “la organización tiene que saber qué servicios debe y puede dar y cuáles se pueden obtener externamente teniendo en cuenta los riesgos”.

Entre los aspectos negativos del Cloud Computing para Coggrave está la longevidad ¿Qué pasa si el operador cierra? Pero el riesgo más importante, sin duda, la seguridad, puesto que cualquier problema en este sentido “puede dañar la imagen y disminuir la eficiencia de una organización”.

En definitiva “todo se reduce a tener un buen entendimiento sobre lo que el proveedor de servicios puede ofrecer, pero tiene que haber un cierto grado de confianza y hacer un ajuste en términos de cuánto riesgo se está dispuesto a asumir”.

Siete amenazas

El director de EMEA de Cloud Services de HP, citó los siete aspectos que pueden convertirse en amenazas para la nube y que fueron identificados en un trabajo conjunto realizado  por la CSA y HP. Estos son: los criminales (mal uso de los servicios de la nube), interfaces (debilidad de la programación de las interfaces), los ataques por parte de empleados, la vulnerabilidad de las tecnologías compartidas, la pérdida o filtración de datos, la suplantación de credenciales o cuentas, y desde el punto de vista de los procesos, las amenazas pueden venir por el desconocimiento del perfil de riesgo del servicio recibido.

Las recomendaciones generales de Cogggrave para operar con confianza y seguridad en la nube (las recomendaciones particulares para cada amenaza se pueden consultar en la presentación): “Revisar las leyes y reglamentos, pues cambian dependiendo del país y la industria en la que estés; realizar una evaluación de la seguridad. Tener en cuenta los parámetros establecidos por organizaciones como la CSA y tratar de que cumplan o sean acordes con el Service level agreement. Pedir auditorías y tener en cuenta la opinión de organizaciones independientes e implementar controles que compensen los posibles riesgos”.

Costes de la seguridad Vs. Inseguridad

Fred Piper, director del Information Security Group del Royal Holloway London University, inició su exposición en tono irónico y aclaró que había que ser conscientes de un hecho desafortunado “en teoría no hay diferencia entre la teoría y la práctica, pero en la práctica sí la hay”. Por esta razón hay un profundo hueco entre idealismo y realismo “pero no sobrevives si solo haces eso. Tenemos que entender el negocio y cuándo entra el realismo”.

Piper destacó que el reto actual no es diferente al de hace 30 años, todos saben que la seguridad es importante y es un acto de responsabilidad. “Si quieres seguridad tienes que pagarla”, pero la inseguridad también tiene un precio pues “genera pérdidas y consecuencias directas como la mala reputación que adquiere la empresa. Por tanto, no se trata de que el coste de la seguridad sea cero, sino de minimizar el coste de la suma de la seguridad y la inseguridad”.

No es protegerse de todos, es compartir la información sólo con quien quieres

Piper definió la seguridad de la información con tres palabras: Confidencialidad, Integridad y Disponibilidad. “La confidencialidad porque nadie puede tener acceso sin autorización. Integridad porque los datos no pueden ser manipulados o modificados  por extraños y disponibilidad para que los usuarios autorizados puedan acceder cuando la necesiten”. En pocas palabras “compartir la información sólo con quien quieres”.

En este sentido Piper destacó el desarrollo de políticas de seguridad, pero aclaró que estas sólo pueden ser efectivas si se desarrollan conforme a las leyes y son entendidas y aplicables por los empleados.

El reto

“La seguridad es importante y hay que actuar de manera global”. Si bien no es un reto fácil, ha habido algunos pasos importantes. Entre los avances desarrollados hasta ahora, Piper citó los diferentes títulos que reconocen a los profsionales especializados en temas de seguridad de la información como el IISP (Institute of Information Security Professionals) de Reino Unido y centros similares en Malasia, Singapur, Holanda y Corea, así como la labor de las instituciones IMPACT (International Multilateral Programme against Cyber Threats) y ENISA (European Network and Information Security Agency).

Avances en materia de seguridad en España

Carlos Alberto Sáiz, vicepresidente de ISMS Forum Spain, fue el encargado de informar los planes de la asociación para los próximos meses. Sáiz anunció el nacimiento del Capítulo español del Cloud Security Alliance (CSA) que promoverá las mejores prácticas y estándares para garantizar la seguridad de la información que se trata en la Nube y cuya área de interés será el cumplimiento normativo. Se trata del primer capítulo constituido por un país, ya que hasta ahora en el mundo sólo existían capítulos regionales de esta organización. En su desarrollo han participado activamente tanto la Asociación como Barcelona Digital.

Al frente del CSA Español estará Luis Buezo, responsable de EMEA para Seguridad de HP, quien detalló las “tres líneas de trabajo que seguirá la organización: Privacidad y cumplimiento normativo; sistemas de gestión de seguridad de la información y gestión de riesgos; y contratación, evidencias electrónicas y auditoría en la Nube”.

Respecto a las novedades para el segundo semestre de 2010, se adelantaron los primeros detalles de la web www.protegetuinformacion.com, un portal que se lanzará a finales de este año y que formará e informará al ciudadano sobre distintos aspectos relacionados con la seguridad de la información. Este proyecto está siendo posible gracias al apoyo del Plan Avanza2 del Ministerio de Industria, Turismo y Comercio.

Además, Antoni Bosch, director del Data Privacy Institute de ISMS Forum, entregó las primeras certificaciones del Certified Data Privacy Professional (CDPP) bajo el programa de grandfathering a las personas que acreditaron una experiencia cualificada en materia de Privacidad y Protección de datos de carácter personal. CDPP es la certificación de referencia, apoyada por los diferentes stakeholders en España para los profesionales de la Privacidad.

Gestionar los riesgos

En la primera mesa redonda de la jornada se debatió sobre “La visión del CIO acerca de la gestión de riesgos”, y contó con la participación de Joaquín Cidoncha, Chief Information Officer (CIO) de Grupo Telefónica, José María Boixeda, Director de Planificación Tecnológica de Gas Natural Fenosa, Francisco Javier López Costa, CIO de Grupo FCC, Idoia Maguregui, Directora de Tecnología de Bankinter y con José de la Peña, director de la revista SIC, como moderador.

Cada participante expuso su posición sobre cómo implicar a la empresa en la seguridad de la información. En estas grandes empresas las unidades de seguridad de la información tienen una gran importancia dentro del organigrama corporativo. No obstante, los debatientes estuvieron de acuerdo en que, sin importar el lugar que ocupen en la estructura de la empresa deben ser capaces de hablar el lenguaje del negocio.

Para Joaquín Cidoncha (Telefónica) hay que “contextualizar la gestión del riesgo en la empresa. Se trata de capitalizarlo desde el punto de vista del negocio, no puedes hablarle de tecnología. Que el riesgo pueda ser entendido por la pérdida de imagen y financiera que pueda representar para el negocio”.

En Bankinter el departamento de seguridad trabaja por el cometido de la compañía. “El negocio no entiende de seguridad, ni de protocolo, pero entiende perfectamente de riesgos, clientes atacados y clientes bloqueados. Entiende siempre y cuando sea en términos de negocio”.

En el caso de FCC, que cuentan con proveedores de seguridad, consideran a los proveedores de tecnología una parte sustancial de la cadena de valor y hasta ahora las experiencias piloto que han desarrollado son satisfactorias. “Muchas veces los peligros están dentro y los servicios externos en la nube están mejor protegidos”, aclaró asimismo Boixeda de Gas Natural Fenosa, empresa que tampoco cuenta con tecnología propia.

Preocupación por la seguridad

Respecto a la pregunta de De la Peña sobre la valoración que hacen los CIOs de la gestión de riesgo de seguridad de la información en sus instituciones, Cidoncha explicó que “por ser una empresa eminentemente tecnológica, sabemos la importancia que tiene la seguridad de la información, por ello todo sistema o servicio tiene unas medidas de análisis proceso de evaluación”. Respecto a la importancia de la gestión el riesgo destacó que para Telefónica el cliente y la seguridad del cliente son lo principal y por eso es de máxima importancia. En el caso de FCC, López Costa señaló que con la internacionalización de la empresa comenzó a darse importancia a la seguridad de sus sistemas de información. “Actualmente el 50% de su negocio es internacional y cuenta con empleados por todo el mundo”, explicó. En el caso de Bankinter es “crucial y la apuesta por la seguridad es clara, decidida y constante”, según Maguregui. Por ello, aparte de la presencia en las principales unidades de la organización, cuentan con un sistema propio desarrollado por la entidad: Bitácora.

En el caso de Gas Natural Fenosa, los riesgos principales están ligados a la naturaleza de su negocio pero con el inicio de operaciones a través de internet y la existencia de oficinas virtuales, la seguridad de la información ha ganado un puesto muy importante dentro de la organización lo que les ha llevado a crear figuras como el security manager.

En cuanto al futuro de la profesión, todos se mostraron convencidos de las posibilidades de crecimiento que ofrece, ya que, en un mundo cada vez más abierto, la seguridad de la información juega un papel cada vez más importante.   

Vías para la innovación

La segunda mesa redonda trató de “Innovación e Investigación en Seguridad de la Información: Retos y Desafíos” y contó con la participación. Mark Bregman, Chief Technology Officer (CTO) de Symantec, Nikolay Grebennikov, CTO de Kaspersky Lab, Simon Hunt, Vicepresidente y CTO de McAfee. Juan Miguel Velasco, Director asociado de Servicios de Seguridad y Plataformas Comunes de Telefónica Empresas, actuó como moderador.

Para iniciar el debate entre los CTOs de tres de los fabricantes más importantes del mundo de la seguridad, Juan Miguel Velasco les preguntó sobre el desarrollo de los distintos procesos de innovación dentro de sus empresas.

Desarrollo interno + adquisición

En el caso de Symantec “la innovación forma parte de todas las unidades de negocio. Para nosotros hay dos elementos claves para la innovación, primero es la invención, la idea, pero no lo consideramos innovación hasta que la idea no tiene un impacto positivo en el mercado no lo consideramos innovación”. Mark Bregman resumió las cuatro vías que usa su empresa para llegar a la innovación “la orgánica (desarrollo interno); a través de adquisiciones; colaboraciones o joint-ventures y el `harvest innovation’, que es el valor añadido que aporta el uso y combinación del resto de tecnologías que no formaban parte de la decisión de compra de una compañía”.

En el caso de Kaspersky Lab, la vía principal es el desarrollo interno a través de sus ingenieros expertos. “Afortunada o desafortunadamente, no podemos comprar muchas compañías. Para elaborar nuestros sistemas pensamos siempre en el triángulo de protección, desempeño y de fácil uso. Y, en el ámbito corporativo, tenemos en cuenta que sea fácil de administrar”. Asimismo, destacó el hecho de que en su empresa cualquier trabajador puede enviar su idea al Consejo de Innovación.

En el caso de McAfee, Simon Hunt explicó que en su empresa se aplican ambas vías: desarrollo interno y por adquisición. Para fomentar la innovación dentro de la propia empresa mencionó la existencia de un programa para premiar a quienes envíen ideas al Consejo de Innovación si estas salen al mercado.

Innovar y educar

Una de las principales vías para innovar, sin duda es la colaboración con instituciones educativas. Symantec cuenta con programas en distintas universidades del mundo para patrocinar las investigaciones. Además la empresa practica la investigación y desarrollo realizando pruebas con grupos de consumidores. Bregman señalo que “los ingenieros tienen buenas ideas pero no siempre entienden las prioridades del cliente. De esta forma, trabajando juntos desde el principio, garantizan que conocen las necesidades del consumidor.”

En el caso de Kaspersky Lab colaboran con universidades en Rusia, Alemania, Polonia, Reino Unido y Francia y desarrollan “programas especiales con ellas sobre seguridad de la información, tecnología antivirus, spam, etc, también hacemos competiciones entre equipos y diferentes instituciones”, expuso Grebennikov.

En McAfee se da una mezcla y además de patrocinar programas en universidades contribuyen a través de planes para que la juventud sea consciente de la existencia del cibercrimen.

Respecto a la incorporación de la tecnología de las compañías adquiridas, todos estuvieron de acuerdo en la dificultad de esos procesos, pero destacaron la necesidad de lograr una integración que simplifique su uso para el usuario y que se dé en cada nivel de la solución.

Asimismo, sobre la adquisición de competidores hubo unanimidad al señalar que la compra de pequeñas empresas locales aporta más beneficio a su desarrollo que la adquisición de grandes competidores.

¿Las próximas innovaciones?

Para Symantec la innovación vendrá marcada por la importancia del gobierno de la información y de la identidad o autenticación del usuario. “Tienes que saber quién accede a la información adentro y fuera. Centrarnos en la información y la gente y no en la infraestructura. Cómo hacer negocio en Internet y saber que la persona con la que estamos tratando es quien dice ser”, según Bregman.

Desde Kaspersky Lab el futuro está en satisfacer las necesidades reales de los clientes teniendo en cuenta el entorno actual de las tecnologías de la información. “Hoy día un notebook o smartphone por la mañana es de uso corporativo y por la tarde es de consumo de entretenimiento y aquí hay aspectos de seguridad que se deben gestionar y trabajar”, comentó Grebennikov. Asimismo, los riesgos de las redes sociales y corporativas tanto desde el punto de vista del consumidor particular como corporativo es una vía a trabajar.

Entre las vías de desarrollo seguidas por McAfee está el objetivo de evitar que “salga” el spam, más que limitarse a frenar la entrada del mismo. Hunt especificó que “ante la proliferación de Ipads, Iphone y de otras tecnologías cada vez más accesibles, necesitamos saber que los datos están protegidos cuando se usan estos equipos. El usuario final no está especializado en tecnología por lo que queremos hacer que esa innovación le ayude a protegerse”.

Seguridad para no expertos

La última mesa redonda de la jornada trató de “I+D y la seguridad como servicio a la ciudadanía” con Miguel Ángel García, de Departamento de Promoción de la Innovación del Centro para el Desarrollo Tecnológico Industrial (CDTI), Xabier Mitxelena, Director General del Grupo S21sec y Presidente del Consejo Nacional Consultor sobre CyberSeguridad (CNCCS), Carlos Marcos Martín, Subdirector General de Coordinación y Estudios  del Ministerio de la Presidencia, Pilar Santamaría, Directora de Ciberseguridad para la Región Mediterránea de CISCO, Juan de Dios Llorens Consejero de Servicios de la Sociedad de la Información Ministerio de Industria, Turismo y Comercio (MITYC). Completando este panel, Ana Borredá, directora de Red Seguridad, actuó como moderadora.

Lograr que el ciudadano pueda navegar por la red sintiéndose seguro y respetando también las normas sin necesidad de ser un experto fue uno de los principales mensajes de esta mesa redonda.

¿Cómo conseguir que el ciudadano se sienta seguro en la nube?

Desde el CDTI se destacó la necesidad de hacer un esfuerzo para adaptar los procesos al entorno y simplificarlos. “A veces la infracción de seguridad no viene por las herramientas sino por el uso que se hace de ellas”, dijo García. Xabier Mitxelena, actual presidente del CNCCS comparó la navegación en Internet con la conducción. “Yo voy por una autopista y hago uso de ella, pero antes he hecho un curso de automoción. Los británicos ya lo están haciendo y educan sobre seguridad de la información desde la escuela”. El representante del Ministerio de la Presidencia añadió que “como ciudadanos no tenemos que ser expertos. No hace falta ser mecánicos, pero sí tenemos que confiar en la máquina”. De allí que la administración deba promover la confianza. En este sentido, a juicio de Carlos Marcos, “la ley en España está muy avanzada”.

Pilar Santamaría destacó los esfuerzos de CISCO para trabajar en esta línea. La alta proliferación de la banda ancha y el crecimiento que se espera de la misma pone en evidencia la necesidad de brindar cada vez más protección al ciudadano y a las empresas.

Para Juan de Dios Llorens del MITYC el ciudadano tiene que asimilar la seguridad de la información como la del automóvil. A su juicio y varios factores a tener en cuenta: “la complejidad debido al gran volumen de información, la virtualidad, la invisibilidad –un gran porcentaje de ordenadores de hogar están afectados, pero el 60% de sus dueños no es consciente de ello- y el fishing”. Y aun más importante “incluso aunque no nos preocupe nuestro ordenador, nuestro PC puede estar dañando a otros”. Por ello Llorens destacó lo positivo de iniciativas como el Plan Avanza, la oficina de seguridad del Internauta y la implantación del DNI electrónico.

Cómo aprovechar la inversión en seguridad

Los expertos ofrecieron cinco puntos de vista sobre un mismo aspecto. “No se trata de hacer cosas bonitas, sino rentables. En España hemos estado más preocupados por vender que por desarrollar tecnología en innovación”, dijo Miguel Ángel García, quien también destacó que hay que pensar en el largo plazo: “la innovación es un estado mental. Hay que pensar constantemente “qué puedo desarrollar””.

Xabier Mitxelena explicó que la inversión en seguridad actualmente es alta pero que hay que ayudar a que no se pierdan las nuevas ideas y ahí es donde cobra un papel importante la Administración y su capacidad para comprar innovación. “Hay sector y es un sector capaz de generar PIB (Producto Interior Bruto)”.  

Para Carlos Marcos el desarrollo internacional es una vía. “Una vez que una empresa satisface los requisitos de una compañía en España, su producto se posiciona y esto le sirve de puente para entrar en Europa y Latinoamérica”, especificó.

Santamaría habló de la pérdida de límites. “El trabajo ya no es un lugar es una actividad. Cada vez hay más oportunidad de externalizar y por tanto hay más riesgo (…) La seguridad trabaja cada vez más en la vía de la prevención y esa es la mejor forma de aprovechar la inversión hecha”.

El aprovechamiento de la seguridad, a juicio de Llorens “depende de la empresa, por eso es fundamental que haya un seguimiento” dentro de cada entidad. 

Respecto al futuro de la innovación en seguridad en tiempos de crisis, si bien puede verse tocada, no se detendrá a juzgar por la apuesta que hicieron los participantes de la mesa redonda sobre la necesidad de continuar los desarrollos en esta materia debido a que, como recordó Llorens, “el atacante hace I+D todo el tiempo”.

Transparencia y evolución ante los nuevos retos

Joshua Pennell, cofundador de Cloud Security Alliance (CSA) y Consejero Delegado de IOActive, habló sobre el “Cumplimiento normativo en la Nube”. Destacó la labor del CSA como organismo que construye y promueve las mejores prácticas dentro del cloud computing. Entre las claves para lograr una armonización de la seguridad en la “nube” destacó la necesidad de “adaptar los controles de seguridad a todos los mundos virtuales; resolver los retos que representan las distintas jurisdicciones y localizaciones geográficas, que los proveedores sean transparentes y que las herramientas evolucionen en línea con la nube”.

Por ello CSA ha desarrollado una serie de herramientas y cuestionarios disponibles, sin cargo, en su web con el fin de orientar y guiar a quienes quieran evaluar la seguridad de sus proveedores en la nube. 

Aprender de los que innovan

Joaquím Vilà, Profesor de dirección Estratégica y responsable de programas de formación para directivos sobre innovación de IESE, puso la guinda a la jornada identificando buenas prácticas de las compañías más innovadoras del mundo. Lo hizo analizando los casos de empresas como Ikea, Apple y Virgin, entre otras. Vilà ofreció sus cápsulas dinamizadoras de la innovación: diagnóstico de la salud de la compañía e identificar las claves para la innovación; definir el alcance del proyecto –Plan director-, formación para desarrollar habilidades, generación de ideas y resolución de problemas, valorización y priorización de proyectos detectando las oportunidades y, por último, realizar una implantación enfocada y una aplicación acotada.