El capítulo español de Cloud Security Alliance (CSA ES) celebró su Octavo Encuentro Anual de profesionales de la Seguridad Cloud, 8th Spanish Cloud Security Alliance Summit, el pasado 28 de noviembre, de 09.00 a 15.00hs, en el Auditorio Principal de CaixaForum Madrid. Esta nueva edición contó con más de 200 asistentes y ya se constituye como el mayor foro de seguridad en la Nube en España.

En ella se abordó la manera de gestionar un ciber incidente cuando incluye servicios en la Nube. A este respecto, se analizó concretamente el impacto de un Data Breach desde la prevención y detección de incidentes en la Nube, hasta la gestión del incidente y su respuesta, forénsica y compliance. Además, el encuentro contó con la intervención especial de organismos y expertos que destacaron la importancia de la seguridad en la Nube como catalizador de la economía digital. 

La bienvenida corrió a cargo de Roberto Baratta (Global Executive VP and Director of Loss Prevention, Business Continuity and Security en Abanca y miembro de la junta directiva de  ISMS Forum), quién inauguró la jornada con estas palabras: “Esta iniciativa de ISMS Forum se configura como un foro de debate que promueve el uso de buenas prácticas y que garantiza la seguridad y privacidad del Cloud Computing, algo que, evidentemente, no es solo del interés de todos los que nos dedicamos a este campo, sino que es de suma relevancia dentro de la estructura de nuestras compañías, así como el uso que le estamos dando a la tecnología en este momento”.

La primera conferencia del encuentro se basó en una entrevista conjunta, por parte del presidente de ISMS Forum, Gianluca D’Antonio, a Isabel Guillem (CISO del IE Business School) y Gonzalo Asensio (CISO de Bankinter). Este interesante formato rodeó en todo momento una de las cuestiones más difíciles de responder: ¿Cuál es el rol del CISO en la adopción Cloud?

Isabel Guillem, Gianluca D’Antonio y Gonzalo Asensio, de izquierda a derecha.

“Los CISOs hacemos aquí el trabajo de un psicólogo cuando escuchamos los beneficios de cada solución Cloud y, luego, un trabajo operativo con el equipo. Al final nos dedicamos a asesorar entre la parte técnica y puramente tecnológica”, comentó el CISO de Bankinter. Además, Asensio añadió: “Hoy en día, si tuviera toda mi información en la Nube, dormiría menos de lo que duermo hoy”. Por su parte, Guillem afirma que actualmente no hay nada estrictamente definido y que el rol ideal del CISO “sería tener la capacidad de decisión de qué tipo de Cloud se adapta mejor a nuestras necesidades, pero hoy esto no ocurre”.

Abhijit Chakravorty (Associated Partner & Cloud Security Competency Leader, IBM Center of Competence), fue el siguiente en intervenir durante la primera parte de esta octava edición, quién puso encima de la mesa algunos de los desafíos que debemos tener en cuenta a la hora de asegurar la Nube híbrida. Estos retos van desde cómo mantenerse al día con los cambios en el cumplimiento normativo, pasando por el tipo de Shadow IT que se está empleando en la organización en cuestión, hasta cómo administrar las políticas de los entornos locales y en la Nube.

    

Abhijit Chakravorty durante su ponencia.

La siguiente intervención consistió en una mesa redonda que responde al título “Security Cloud Ecosystem From Ever-changing Threats” y contó con la participación de Raúl Tejeda (System Engineer de Fortinet), José de la Cruz (Director Técnico de Trend Micro), José María Cayuela (Security Specialist Senior de Akamai), Iván Robles (Sales Engineer Manager de Prosegur Ciberseguridad), Eusebio Nieva (Director Técnico para España y Portugal de Check Point) y Roberto Baratta como moderador.

“No podemos permitir, en este mundo tan dinámico, que nuestro departamento de seguridad tenga que pelearse por tener unas herramientas para la nube, otras para el Data Center, etc. Hasta que no logremos simplificar este proceso, las empresas van a seguir sintiendo miedo de pasarse a la Nube” comentó Raúl Tejeda. Por eso, Eusebio Nieva explicó que desde Check Point intentan “avisar a sus clientes de todas las posibilidades de sus tecnologías, pero también de los riesgos que entrañan ciertas decisiones por falta de conocimiento”.

Por su parte, Iván Robles cree que la prevención y el análisis de las amenazas que conlleva irse a Cloud hay que tenerlo en cuenta. “Como acaba de decir Eusebio, hay que establecer un modelo de colaboración con el cliente que le pueda permitir madurar, no solo a ellos sino también al proveedor”. A continuación, José de la Cruz reconoció que, con respecto a los clientes, “los fabricantes de seguridad debemos dar una respuesta simplificada, de manera que podamos ser una herramienta sencilla para ellos”.

Finalmente, José María aclaró que cuando el negocio indica que necesitamos este tipo de soluciones de ciberseguridad, el CISO y otros roles están implicados y son los que deben tomar las decisiones, que en muchos casos determinan que hay que ir hacia la Nube. “Al final la Nube es la tendencia hacia la que debemos caminar”, concluye.

          

De izquierda a derecha, Roberto Baratta, Raúl Tejeda, José de la Cruz, José María Cayuela, Iván Robles y Eusebio Nieva.

Posteriormente, Avishag Daniely, Director of Product Management de Guardicore, protagonizó la ponencia “Transforming Data Centre Security With Zero-Trust Micro-segmentation”. La experta explicó que si queremos implementar la micro-segmentación al modelo “Zero-Trust”, es importante ir más allá del concepto de “Defense in Depth”. Debemos cuestionar el antiguo paradigma del firewally avanzar hacia la creación de micro-perímetros alrededor de los servidores, aplicaciones y repositorios de datos sensibles de la empresa, y obtener visibilidad sobre cómo se están utilizando los datos, así como aislamiento de los mismo. Además, la micro-segmentación se constituye como una de las soluciones más destacables de 2018, siendo muchos los CISOs que se plantean integrarla.

                

Avishag Daniely durante su intervención.

La segunda mesa redonda del día, “Data Breach in the Cloud: Incident Response”, contó con Gonzalo Erro (Cybersecurity & Privacy Officer en Huawei), Miguel Ángel Arroyo (Responsable de negocio de seguridad en SEMIC), Alejandro Fernández (Identity and Access Management Specialist en Sailpoint), Luis Suárez (Presales Manager en Kaspersky) y, como moderador, Daniel Largacha (Global Security Assistant Director en Mapfre y Director del Centro de Estudios en Ciberseguridad de ISMS Forum Spain).

Durante el debate, los profesionales hablaron de las estrategias que deben concretar las empresas en lo que respecta a brechas de seguridad en la Nube. Entre ellas, se explicó que la propuesta debería basarse en la visibilidad, es decir, qué está ocurriendo en cada momento. Por ejemplo, aplicar inteligencia o la puesta en marcha de alertas, es el camino a seguir para que las empresas puedan dar una mejor respuesta. Por otra parte, saber quién tiene acceso a qué en cada momento es fundamental a través de un sistema de gestión de identidades.

                  

Gonzalo Erro, Miguel Ángel Arroyo, Daniel Largacha, Alejandro Fernández y Luis Suárez, respectivamente.

Ignasi Riera, Territory Manager de OneTrust, participó a continuación como ponente con una intervención que abordó la relación entre el Reglamento General de Protección de Datos (RGPD) y la gestión del riesgo con respecto a los proveedores de servicios en la nube. El experto explicó cómo aplicar procesos eficaces para gestionar los riesgos relativos a proveedores y agilizar su incorporación, así como los consejos prácticos a tener en cuenta para automatizar esa gestión con una plataforma de software.

A medida que las organizaciones continúan mejorando sus programas de privacidad y seguridad, la optimización de la gestión de riesgos de proveedores externos se ha convertido en una prioridad. Este proceso es exhaustivo, y abarca completar evaluaciones sobre proveedores, como el cuestionario CAIQ de la CSA, obtener garantías suficientes de los proveedores para lograr una colaboración óptima durante una auditoría o incidente, entre otros múltiples factores.

                      

Ignasi Riera durante su charla.

Asimismo, se presentaron dos nuevos documentos. Uno de ellos es el VI Estudio sobre el Estado de la Seguridad en la Nube, cuya presentación estuvo al mando de Mariano J. Benito, Coordinador del Comité Técnico Operativo de CSA ES, y Juan García Galera, Analista de seguridad de la información en el Centro Municipal de Informática del Ayuntamiento de Málaga, que pone a disposición de las entidades interesadas en la seguridad en la Nube una perspectiva histórica singular para entender los factores que están facilitando o dificultando la evolución de los modelos de computación hacia este escenario, y la evolución de dichos factores.

En esta ocasión, el estudio se ha fijado por primera vez en IoT y en cómo las organizaciones están diseñando y/o soportando estos servicios, así como el rol que desempeña la Nube en este esquema. Un rol, sin duda, destacado, en tanto que la mayor parte de las empresas que están desplegando servicios IoT se están apoyando en la Nube y, en particular, en Nubes Públicas o en Nubes Privadas.

El 6º Estudio del Estado de la Seguridad en la Nube se ha realizado en 2018 en cooperación entre los capítulos Español, Peruano, Argentino, Chileno, Boliviano, Brasileño y Colombiano de Cloud Security Alliance, y el capítulo de Madrid de ISACA. Esta nueva edición continúa la serie de estudios realizados en 2013, 2014, 2015, 2016 y 2017.

                          

Juan García Galera y Mariano J. Benito durante la presentación.

Cloud Audit & Forensics es el nombre del segundo documento que se presentó durante la jornada de la mano de Pablo Castaño, auditor interno de sistemas en Sareb y miembro del Comité Técnico Operativo de CSA ES, y Beatriz Blanco, también miembro del Comité Técnico Operativo de CSA ES e IT Audit Manager de Amadeus IT Group.

A lo largo del documento, se presenta una estrategia de supervisión en la nube, tanto para las actividades de auditoría como de análisis forense, que considerará las particularidades de los entornos en la nube, y propondrá un nuevo enfoque de las fases dentro de cada actividad que se deban adaptar al entorno a supervisar.

                            

Pablo Castaño durante su intervención.

Asimismo, se habló también de la versión actualizada de la Guía de Seguridad de Áreas Críticas para la Computación en la Nube de Cloud Security Alliance (CSA). Esta nueva actualización se basa en iteraciones previas de la guía de seguridad, en investigación dedicada y participación pública de los miembros de Cloud Security Alliance, grupos de trabajo y expertos de la industria dentro de la comunidad. Esta versión incorpora avances en la nube, seguridad y tecnologías de soporte; refleja las prácticas de seguridad en la nube del mundo real; integra los últimos proyectos de investigación de Cloud Security Alliance; y ofrece orientación para tecnologías relacionadas.

A modo de cierre del VIII Encuentro de CSA ES, Juha Haaga (National Computer Security Incident Response Teams Advisor y Solutions Architect en Arctic Security), dedicó su discurso a la ciber-defensa y los fundamentos a tener en consideración en este terreno. Entre ellos, se encuentra, por ejemplo, la automatización del intercambio de inteligencia de amenazas y retroalimentación; asegurar que la solución sea fácilmente desplegable y sencilla de utilizar; distribuir los roles y las responsabilidades; y centralizar el uso de inteligencia únicamente en los campos necesarios.

                                

Juha Haaga durante su intervención.

El evento ha sido organizado por el capítulo español de Cloud Security Alliance (CSA-ES) e ISMS Forum, que cada año reúne a más miembros representativos de la industria del Cloud Computing en España y que, en esta ocasión, ha contado con más de 200 asistentes.

Sobre ISMS Forum Spain

La Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, es una organización sin ánimo de lucro fundada en enero de 2007 para promover el desarrollo, conocimiento y cultura de la Seguridad de la Información en España y actuar en beneficio de toda la comunidad implicada en el sector. Creada con una vocación plural y abierta, se configura como un foro especializado de debate para empresas, organizaciones públicas y privadas, investigadores y profesionales donde colaborar, compartir experiencias y conocer los últimos avances y desarrollos en materia de Seguridad de la Información. Toda su actividad se desarrolla en base a los valores de transparencia, independencia, objetividad y neutralidad. ISMS Forum Spain tiene ya a más de 230 empresas asociadas y más de 1000 profesionales asociados. La Asociación es ya, por tanto, la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.

Contacto

Cynthia Rica – Responsable de comunicación

crgomez@ismsforum.es

Twitter: @ISMSForumSpain

LinkedIn: ISMS Forum Spain

Teléfono: 91.563.50.62