ISMS Forum, junto con el Centro de Estudios en Movilidad e Internet de las Cosas (CEMIoT), celebró el IV Foro de la Movilidad e Internet de las Cosas el pasado miércoles 27 de noviembre de 2019 en el Círculo de Bellas Artes de Madrid. Más de 200 profesionales del sector se dieron cita en este evento que ha tratado temas tan controvertidos como el ciber-armamento, los retos de la I+D+i en ciberseguridad, la problemática de los coches conectados y los nuevos dilemas de gobernanza.

Gianluca D’Antonio, presidente de ISMS Forum, e Ignacio González, Subdirector de Tecnologías de Ciberseguridad en INCIBE fueron los encargados de inaugurar el acto. “El IoT es una gran oportunidad para desarrollar productos y servicios, y en gran parte depende de la movilidad. Nos presenta un cambio de paradigma para la economía y las empresas, ya que se podrá pasar de medir la conformidad de sus procesos de producción a medir el resultado, y cómo esos productos y servicios se comportan cuando están en manos del cliente, lo que les permitirá actuar en base a lo que se detecte”, comentó Ignacio González.

La ponencia que inauguró el encuentro fue impartida por Camino Kavanagh, UN OEWG and UN GGE on ICT and International Security, United Nations. La experta se centró en las nuevas tecnologías, amenazas y dilemas de gobernanza destacando la preocupación relacionada con la regulación en ciberseguridad y privacidad. La Unión Europea ya ha implantado medidas regulatorias como la Directiva NIS o la Cybersecurity Act. Sin embargo, a nivel transfronterizo, cada país se autorregula de forma diferente, por lo que se tienen que formular políticas comunes e incentivar la cooperación para llegar a un acuerdo común, aunque comenta que esto es bastante complejo.

Camino Kavanagh durante su ponencia en el IV Foro de la Movilidad e Internet de las Cosas.

Transparencia y regulación internacional

Uno de los grandes problemas que presentan las empresas es la falta de transparencia junto con la reticencia a aceptar una regulación por parte del gobierno. “Se trata de ser transparentes para poder saber dónde progresamos y también dónde retrocedemos en la seguridad de nuestros productos”, explicó la experta.

“Conseguir un marco común global lo veo mucho más complicado y no sé si funcionaría debido a las divisiones políticas existentes, pero sí se pueden llegar a acuerdos internacionales, por ejemplo, en el marco de seguridad internacional sobre las normas que deben regir el comportamiento de los gobiernos en el uso de las TICs”, añadió Kavanagh.

Una de las soluciones que se presentan desde la Unión Europea son los marcos de certificación voluntarios, pues “ayudan a fomentar la innovación, la inversión y la investigación”, en palabras de Camino. Sin embargo, el hecho de que no sean obligatorios denota una falta de regulación y, sobre todo, de concienciación social. “Estamos ante un futuro muy interesante, revolucionario, pero aún falta debate público, no solo hay que definir y regular, también hay que participar y poder tener voz en todo este tipo de cuestiones”.

La Cybersecurity Act: cumplimiento y regulación

La siguiente intervención la protagonizó Ayman Khalil, Founder and member of IoT Security Foundation, ECSO and Eurosmart, que habló sobre cómo conseguir una Transformación Digital segura a través de la nueva Cybersecurity Act (CSA) implantada por el Marco Europeo de Certificación de Seguridad para IoT.

La Cybersecurity Act abarca productos, servicios y procesos a diferentes niveles de seguridad tratando de minimizar los riesgos básicos conocidos de incidentes y ciberataques básicos, así como los llevados a cabo por actores con capacidades y recursos limitados, y ya en última instancia, aquellos de última generación suscitados por actores con habilidades y recursos significativos.

“El Eurosmart IoT Security Certification Scheme pretende orientarse a todos los retos que presenta el IoT a nivel de negocio y ciberseguridad. Se trata de cumplir con la labor de regulación en ciberseguridad establecida”, comentó Ayman. El objetivo es garantizar la certificación de los dispositivos IoT para que cumplan los requisitos especificados definidos en un planteamiento basado en el riesgo y respaldados por la industria, con el fin de proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados, transmitidos, procesados o de las funciones y servicios ofrecidos por los dispositivos de IoT, así como accesibles a través de ellos a lo largo de su ciclo de vida.

La Cybersecurity Act garantiza la confianza a través del traspaso de información de manera transparente sobre el nivel de seguridad de los productos, servicios y procesos de las TIC. De la misma manera, "el aumento de la confianza puede verse facilitado por una certificación a escala de la Unión Europea que establezca requisitos y criterios de evaluación comunes en materia de ciberseguridad en todos los mercados y sectores nacionales", señala la Sección 7 de la EU Cybersecurity Act.

Los beneficios son muy amplios, desde la consecución de una automatización y metodología más ágil, el reconocimiento de la metodología de evaluación existente, la reducción de costes, la comparación de dispositivos y requisitos adaptados al uso previsto, hasta mantener una certificación rentable creando incentivos para los proveedores, así como involucrándolos en los servicios IoT y en el cumplimiento de la ley de ciberseguridad.

Ayman Khalil durante su ponencia en el IV Foro de la Movilidad e Internet de las Cosas.

Programa Marco Horizonte 2020

A continuación, Maite Boyero, miembro del Centro de desarrollo tecnológico industrial (CDTI) y principal enlace para el programa de Sociedades Seguras,integrado en el Programa Marco de la Unión Europea – Horizonte 2020, como representante de los intereses de España en dicho Comité, expuso los retos de la I+D+i en ciberseguridad en el contexto europeo.

El Programa Marco Horizonte 2020 es el principal medio de financiación a la I+D+i dentro de la Unión Europea. Dentro de este programa existe un apartado dedicado a la ciberseguridad. “Desde el año 2013 la UE ha tomado conciencia de la importancia de este campo y ha tratado de reforzarlo a través de una serie de respuestas políticas, reglamentos y regulaciones”, comentó la ponente. España es el país que más socios tiene en la European Cyber Security Organisation (ECSO).

En cuanto a la inversión en I+D+i, la comisión se basa en unos temas muy definidos para su financiación. En el programa marco participan los 28 Estados Miembros y unos 9 asociados. Estos proyectos se organizan en un periodo a lo largo de los años y tienen que soportar las políticas regulatorias y las de I+D+i. Su objetivo es contribuir a los estándares, las mejoras de comunicación y la colaboración, tratando de integrar los aspectos sociales y humanos de la innovación.

La comisión rechaza rotundamente las propuestas que no entren dentro de los marcos definidos. Los proyectos que se financian suelen ser de temas recurrentes que encajan en el marco. No se financian propuestas pobres, no innovadoras, no disruptivas o interesantes, al igual que no se retomarán temas que se hayan financiado en el pasado.

Hay una convocatoria anual que se abre el 12 de marzo de 2020 y cierra el 27 de agosto del mismo, sin embargo, los cuatro proyectos piloto a través de los cuales conseguir una financiación ya están publicados y son los siguientes:

• Intelligent Security and Privacy management: basado en las herramientas de gestión de la privacidad y la seguridad, cómo compartir ciberamenazas en el contexto nacional y europeo, y la gestión de identidades digitales.

• Digital Security and Privacy for citizens and Small and Medium Enterprises and Micro Enterprises:es el tema más abierto de todos los que participan en 2020, ya que se trata de herramientas customizables, fáciles de entender e integrar, para ciudadanos, pymes y micro pymes.

• Cybersecurity in the Electrical Power and Energy System (EPES):an armour against cyber and privacy attacks and data breaches: una propuesta que pretende desarrollar soluciones para detectar y protegerse de ciberataques tanto en entornos IoT como en redes eléctricas. Buscan soluciones innovadoras y en colaboración con operadores de energía eléctrica.

• Prevention, detection, response and mitigation of combined physical and cyber threats to critical infrastructure in Europe: busca desarrollar soluciones y herramientas para la prevención, retención, respuesta y mitigación ante ataques combinados y físicos a infraestructuras críticas. Son proyectos de duración corta (dos años aproximadamente) que cubren sectores muy diversos (agua, energía, sector financiero, comunicaciones…). Se va a ahondar en el área de los efectos cascada a otras infraestructuras cercanas (transporte, comunicación…) planificando escenarios en campos reales haciendo una taxonomía de amenazas tanto ciber como físicas.

Se invertirán alrededor de 90 millones de euros en 2020. Se busca coordinar en materia de ciberseguridad, investigación, desarrollo e innovación, ver cuáles son las barreras y dificultades para la creación de empresas, ver qué laboratorios testing facilities existen en el ámbito de la Unión Europea, identificarlos e implicarlos para poder intercambiar experiencias y, en definitiva, coordinar este sector en el que están incluidas muchas grandes y pequeñas empresas.

Maite Boyero durante su ponencia en el IV Foro de la Movilidad e Internet de las Cosas.

“Por 99 dólares puedes conseguir el listado de todos los empleados de cualquier compañía en 72hs”, declaró Daniel González, Senior Key Account Manager de Mobileiron en su ponencia “Gestión y Certificación de la seguridad en movilidad”. El experto expuso varios ejemplos para demostrar la facilidad con la que los hackers pueden entrar en un dispositivo IoT y robar información sin dejar rastro. Una de las maneras más fáciles de conseguirlo es a través de los juegos online. “Los hackers saben que no comprobamos lo que instalan unos niños”, afirmó el ponente. Asimismo, Daniel recomendó desmarcar la casilla de conectarse automáticamente a cualquier red WIFI puesto que “todas las conexiones WIFI tienen una vulnerabilidad conocida desde hace 2 años que los ciberdelincuentes llevan explotando mucho más tiempo para acceder a nuestros dispositivos”.

“Debemos pensar por defecto que todo es inseguro”. A lo que añadió “en el centro de la transformación digital debe estar el usuario, teniendo en cuenta 6 pilares: sistema operativo, dispositivo, comunicaciones, aplicaciones, contexto y el propio usuario”. También habló de la implantación del Zero Password, una plataforma por la que el usuario está protegido sin necesidad de login y password. El mensaje global es proteger los datos corporativos al mismo nivel que los privados y para ello es recomendable pasar por una serie de certificaciones y mantener una buena estrategia de movilidad empresarial contando con soluciones BYOD, COPE, COSU o COBO.

La siguiente ponencia corrió a cargo de Juan Pablo Gallardo, Head of Enterprise, Samsung Electronics Iberia, que habló sobre “5G-IoT-AI: Securing the hiper-connected enterprise”. El experto explicó las nuevas funcionalidades y soluciones de seguridad que Samsung Electronics Iberia está introduciendo en el mercado.

Los dispositivos están cada vez más hiperconectados entre sí, por lo que las posibles brechas son más peligrosas, ya que consiguiendo acceder a uno es más fácil hacerlo con los demás. “En 2020 habrá más de 22.000 millones de dispositivos conectados a la red y se duplicarán en cinco años”, comentó Juan Pablo. La seguridad empieza en el hardware y termina en el usuario final.

Vehículos inteligentes y tunning

Ángel Pérez,responsable de seguridad informática de Autopistas, y Álex Palazón, Car Security Team Lead en SEAT fueron los encargados de presentar la ponencia “El mundo que viene: retos en el diálogo infraestructura-vehículo”.

Naciones Unidas tiene previsto aprobar en el próximo año 2020 una regulación que obligará al fabricante a demostrar el nivel de control de seguridad que tiene del vehículo, y si no se puede certificar en todas sus fases de desarrollo, los vehículos no podrán salir al mercado.

Según Álex Palazón, “los coches son un conjunto conectado con la infraestructura que hay que securizar”, para ello es necesario que los procesos con la cadena de suministro estén unificados. Ya son varios los casos en los que los sensores de los vehículos han confundido señalizaciones en la carretera llevando a acelerar en lugar de frenar. Es por esto que se presta más atención a la seguridad que ofrece la propia tecnología ante un posible accidente que al hackeo de esta.

Ángel Pérez criticó el problema del tunning, y es que cuando los propios usuarios son los que realizan las modificaciones en el vehículo el control de la seguridad se convierte en un reto. “¿Cómo protegemos ese diálogo fiable entre vehículo e infraestructura?”, preguntó el experto. Los marcos de certificación que se pretenden implantar servirán como salvaguarda a todas estas alteraciones estableciendo un control sobre los posibles ciberataques que se produzcan en el sistema.

Posteriormente, tuvo lugar una mesa redonda bajo el título “La ciberseguridad como piedra angular en la gestión de la movilidad”, protagonizada por Francisco Lázaro, ISO y DPO en Renfe; Board member, ISMS Forum; y Director del Centro de Estudios en Movilidad e IoT de ISMS Forum; Álex Palazón, Car Security Team Lead en SEAT; Juan Román Martínez, Responsable de Desarrollo de Negocio; Ciberseguridad, IoT & Smart Cities y Defensa, FCC Industrial; Board member, IE Cybersecurity Club; Antonio Fontiveros, Responsable de Ciberseguridad, Autopistas; Board member en ISMS Forum Barcelona; Cándido Arregui, CISO en AENA; y como moderador Roberto Baratta, Global Executive VP and Director of Loss Prevention, Business Continuity and Security, and DPO, Abanca; y Board member en ISMS Forum.

Uno de los problemas que está a la orden del día es el conocido phishing. Empresas como Everis, PRISA o recientemente Prosegur se han visto afectadas por este tipo de ataques, y es que infectando un solo dispositivo se puede paralizar una empresa entera. Los expertos apelaron a la responsabilidad, la formación y la concienciación en seguridad. Otro de los temas recurrentes, como ya se mencionó en la ponencia anterior, es la conexión entre vehículo e infraestructura, saber cuál es el límite en esta comunicación y cómo reconocer las nuevas vulnerabilidades a las que los usuarios se exponen frente al avance tecnológico.

De izquierda a derecha, Francisco Lázaro, Álex Palazón, Juan Román Martínez, Antonio Fontiveros, Cándido Arregui y Roberto Baratta.

Por su parte, Oliver Surgenor, Account Executive en OneTrust PreferenceChoice, habló sobre regulación y compliance en el control de datos. La preocupación por el control de las cookies y aquello a lo que el usuario accede casi sin rendir cuentas a los avisos es cada vez mayor. Contamos con más de 8 millones de cookies registradas. En España ya es posible dar consentimiento implícito a la hora de aceptar las cookies. La parte positiva es que se podrán descargar de manera más fácil, esto nos lleva a tener un mayor control sobre su comportamiento. Aun así, el experto nos recomienda “guardar todos los escaneos que hacemos periódicamente en nuestra website para ver cómo han evolucionado nuestras cookies, crackers, etc.”.

Judith Medina, Solutions Engineer en Akamai Technologies, fue la encargada de la siguiente ponencia titulada “IoT from the Edge” en la que habló sobre las nuevas amenazas derivadas de las nuevas oportunidades tecnológicas. “En el año 2020 tendremos 30 billones de dispositivos conectados a la red”, comentó la ponente, “nos interesa ver si los dispositivos están o no conectados a la red y ver cuántos son”, añadió. La experta presentó su solución de duplicado y almacenamiento de contenido del servidor de una empresa en sus propios servidores con el objetivo de mantener la seguridad.

Más tarde,José Ramón Monleón, CISO de Orange y Board member de ISMS Forum, se centró en la re-evolución de la arquitectura de seguridad en IoT. “Las tecnologías del futuro requieren una baja latencia, en mini segundos se produce la conexión del servidor con el dispositivo, un buen ejemplo es el coche dirigido autónomo, donde alguien es quien conduce por nosotros y una reacción ante un obstáculo requiere décimas de segundo, al introducir elementos de seguridad (firewales, IPS…) también introducimos problemas de solución, por eso tratamos de diseñar soluciones que permitan evitar esto”. Monleón abogó por una certificación que garantice que los productos de terceros que están comprando son seguros “ahora mismo la responsabilidad está en el que ofrece el servicio al cliente no en el que fabrica el producto”.

José Ramón Monleón durante su ponencia en el IV Foro de la Movilidad e Internet de las Cosas.

“Tenemos que acercar el procesamiento de información a la recogida de la información, alejarnos totalmente del perímetro de seguridad de las organizaciones, donde tenemos monitorización, un acceso combinado físico y lógico, una serie de medios sofisticados que nos permitan garantizar o tener una visión continua de lo que está sucediendo”, comentó Andreu Bravo, socio de Risk Advisory y responsable de Cyberseguridad industrial e IoT en Deloitte en su ponencia “IoT as part of IoH”, donde habló sobre los cuatro grandes escenarios en cuanto a infraestructuras que están abordando las distintas compañías en función de su madurez y su cultura de oportunidad del momento de transformación digital: las infraestructuras asociadas a los entornos industriales clásicos (Smart factories), los edificios conectados, los productos inteligentes y los servicios para gestionar estos productos inteligentes o sensores que recogen o interactúan con la información y los usuarios. “Estos escenarios son muestras claras de que lo que hacemos tiene un impacto directo en la sociedad”, añadió el experto.

Ciber-armamento y tecnología conectada

El broche final del IV Foro de la Movilidad e Internet de las Cosas lo puso Adolfo Hernández, Co-founder member de THIBER, hablando de ciber-armamento y tecnología conectada. El IoT presenta una gran preocupación en la sociedad puesto que hay muchos dispositivos IoT y tienen un crecimiento exponencial cada año. La tecnología conectada lleva a gobiernos, empresas y ciudadanos a aumentar la superficie de ataque que aún no se suele tener identificada como un objeto o activo al que hay que asegurar con controles mínimos y, en la gran mayoría de ocasiones, las tecnologías conectadas están siendo desarrolladas sin ningún tipo de seguridad desde el inicio. Esto, unido a una mayor interconectividad con el 5G y con las nuevas tecnologías y paradigmas de comunicación, lleva a muchos objetos, poco seguros y muy bien conectados, con un alcance global.

“En el mundo de la tecnología conectada varía la preocupación a través del entorno, es relevante saber que en el ámbito militar la tecnología conectada se está viendo como una oportunidad de desarrollo de nuevas capacidades (enjambres de drones autónomos, next generation soldier, aplicaciones multidominio, etc.)  y, al mismo tiempo, como un riesgo de una superficie de ataque creciente, que también tiene un impacto directo sobre los ciudadanos sumándoles riesgos.

“Tenemos que empezar a activar en los consumidores una conciencia de ciber-higiene relativa a la tecnología conectada o IoT, no solo podemos exigir que se regule, normalice y estandarice la seguridad en IoT, tenemos que estar dispuestos como consumidores a que sea un criterio a la hora de comprar ese tipo de tecnologías considerando no solo la funcionalidad sino también la seguridad de un mecanismo de defensa de todo el ecosistema de tecnologías conectadas”.

Adolfo Hernández durante su ponencia en el IV Foro de la Movilidad e Internet de las Cosas.

Un año más, el IV Foro de la Movilidad e Internet de las Cosas de ISMS Forum se consolidó como uno de los mayores foros nacionales en el que más de 200 asistentes disfrutaron de debates de alto rango en materia de Movilidad e Internet de las Cosas.

Esta jornada ha sido posible gracias al apoyo de Akamai, Kaspersky, Mobileiron, OneTrust PreferenceChoice, Orange y Samsung.

Vídeo-reportaje del IV Foro de la Movilidad e Internet de las Cosas

---

Sobre ISMS Forum Spain

La Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, es una organización sin ánimo de lucro fundada en enero de 2007 para promover el desarrollo, conocimiento y cultura de la Seguridad de la Información en España y actuar en beneficio de toda la comunidad implicada en el sector. Creada con una vocación plural y abierta, se configura como un foro especializado de debate para empresas, organizaciones públicas y privadas, investigadores y profesionales donde colaborar, compartir experiencias y conocer los últimos avances y desarrollos en materia de Seguridad de la Información. ISMS Forum Spain tiene ya a más de 250 empresas asociadas y más de 1.200 profesionales asociados. La Asociación es ya, por tanto, la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.

Contacto

Cynthia Rica – Responsable de comunicación

crgomez@ismsforum.es

Raquel García – Asistente de comunicación

rgarcia@ismsforum.es

Twitter: @ISMSForumSpain

LinkedIn: ISMS Forum Spain