X Jornada Internacional de Seguridad de la Información de ISMS Forum Spain. "Ciberdefensa y Ciberseguridad: La evolución de la amenaza frente a la protección de las infraestructuras críticas".

29 de noviembre. Ciudad de las Artes y las Ciencias de Valencia

La X Jornada Internacional de Seguridad de la Información de ISMS Forum reunió en Valencia a expertos, profesionales, instituciones y empresas de primer nivel para debatir sobre el estado actual de la Ciberseguridad en España. Celebrada en la emblemática Ciudad de las Artes y las Ciencias de Valencia, tuvo como eje principal los retos que se presentan para el sector, con especial hincapié en las nuevas ciberamenazas y la recientemente publicada normativa sobre Protección de Infraestructuras Críticas. Contó con más de 250 asistentes, procedentes de 120 empresas e instituciones.

La bienvenida corrió a cargo de Gianluca D’Antonio, Presidente de ISMS Forum Spain; Chief Information Security Officer (CISO) del Grupo FCC; y Miembro del Consejo de Expertos (PSG) de ENISA; y de Bruno Broseta Dupré, Secretario Autonómico del Sector Empresarial, en representación de la Generalitat Valenciana.

La sesión partió de una idea: la Ciberseguridad debe considerarse como un Bien Público. ElPresidente de ISMS Forum abrió la jornada argumentando que la Ciberseguridad es “un deber de Estado” que consiste en garantizar la seguridad y la protección de los derechos y libertades en el ciberespacio. Tal y como plantea la profesora de Berkeley University, Deirdre K. Mulligan, la Ciberseguridad tiene que tratada como un Bien Público, equiparable a la Salud Pública. De este modo, el Estado tiene la obligación de asumir un papel rector, estableciendo un marco para el fomento del estado positivo de la seguridad y para la manejar la inseguridad, una vez que las ciberamenazas se han materializado. En este sentido, España necesita de una estrategia de Ciberseguridad que defina unas metas y objetivos claros, y en la que se establezcan aspectos clave como: A quién se va a asegurar, contra qué amenazas; con qué medios técnicos, educativos, regulatorios; y bajo qué modelo de financiación.

Esta X Jornada Internacional de ISMS Forum contó con la participación de dos instituciones claves en materia de Ciberseguridad como son el Centro Criptológico Nacional (CCN) y el Centro Nacional de Infraestructuras Críticas (CNPIC), quienes aportaron valoraciones, y expusieron las estrategias estatales de su competencia. Los demás ponentes, representantes de empresas de primer nivel nacional e internacional, tuvieron la oportunidad de debatir y mostrar sus posiciones ante ellas. Así supuso un foro de debate abierto e integrador y, por ello, de gran valor para los asistentes. Participaron multinacionales que lideran el I+D de seguridad como Check Point, HP, IBM, Juniper Networks, Kaspersky, KPMG, McAfee, Symantec, Trend Micro; y empresas españolas de referencia como Bankia, Bankinter, Gas Natural Fenosa, Grupo FCC, Prosegur o Telefónica.

La estrategia española en materia de Ciberseguridad

Sobre Ciberseguridad, Javier Candau, Subdirector General Adjunto del CCN argumentó que España ha establecido una “línea mínima de defensa” donde todas las administraciones tienen que verse reflejadas. Se trata de un paso importante, destacó, pero Candau no escatimó argumentos para recalcar que es necesaria una dotación presupuestaria suficiente. Debemos estar en “permanente vigilancia y pensar que la red puede estar comprometida”, pero “todo pasa por recursos materiales y económicos”, sentenció.

Candau explicó que se trata de “la primera referencia que se hace a la ciberamenaza” como un peligro real, haciendo referencia a la estrategia de seguridad aprobada el pasado junio en el Congreso de los Diputados. Así en “las políticas sobre amenazas y riesgos para los próximos cinco años figuran las ciberamenazas”, incluyéndose una mención especial a las Infraestructuras Críticas.Precisamente, la X Jornada se centro en buena parte en el análisis del nuevo panorama de ciberamenzas derivadas del rápido progreso tecnológico, en particular las que podrían poner en peligro servicios esenciales para la sociedad, provistos por estas Infraestructuras Críticas del país. El tema tiene una relevancia máxima, pues como consecuencia de fallos de seguridad o de ciberataques terroristas, por ejemplo, se podrían producir, además de millones de euros en pérdidas, víctimas humanas.

Por ello, Candau comentó que hay que proteger las Infraestructuras Críticas, pero éstas, en sentido estricto, son sólo las consideradas y clasificadas como críticas para el Estado, existiendo otras infraestructuras que aún no “siendo apellidadas como críticas” también hay que protegerlas. Por eso hay que matizar que hay sectores muy relevantes que “pueden no ser clasificados como 'críticos' desde la Administración; y sufren muchos ataques”. Por eso “existen sectores estratégicos que también necesitan protección”, pues ofrecen servicios muy importantes a la sociedad y su fallo puede causar importantes problemas” explicando la visión global de la estrategia aprobada.

Colaboración público-privada en la protección de IC

Este año 2011 ha sido clave para establecer el marco legal en materia de Infraestructuras Críticas, ya que se publicaron la Ley 8/2011 por la que se establecen medidas para la Protección de las Infraestructuras Críticas y el Real Decreto 704/2011 por el que se aprueba el Reglamento para la Protección de las Infraestructuras Críticas, que son definidas como “el conjunto de recursos, servicios, tecnologías de la información y redes, que en el caso de sufrir un ataque, causarían gran impacto en la seguridad, tanto física como económica, de los ciudadanos o en el buen funcionamiento del Gobierno de la Nación”.

El análisis de la normativa recientemente aprobada correspondió a Fernando Sánchez Gómez, Director del Centro Nacional de Protección de Infraestructuras Críticas, CNPIC; Manuel Canalejas, Director de Consultoría, Prosegur; Manuel Carpio, Director de Seguridad de Insfraestructuras y Prevención del Fraude, Telefónica; y José Luís Bolaños, Director de Seguridad y Protección, Gas Natural Fenosa; en un debate conducido por José de la Peña, director de la revista SIC. Los ponentes trataron temas relacionados con la implantación de la normativa, el nivel de madurez de las empresas españolas en seguridad, y la necesaria interlocución público-privada, uno de los retos fundamentales para los próximos años, ya que como aseguró el director de CNPIC: “El espíritu de la ley es la coordinación de todos los actores”, ya que no en vano en la protección de las Infraestructuras Críticas intervienen tanto la Administración como las empresas. Por ello, se requiere de una colaboración público-privada, que es “la base de un adecuado estado de seguridad”.

De hecho, las empresas protegen sus Infraestructuras Críticas desde que se crean, por lo que cuentan con una experiencia muy valiosa. Como comentó Manuel Carpio, desde los años 20 Telefónica “se ha ocupado de proteger las Infraestructuras Críticas para ofrecer el servicio y para garantizar la continuidad del negocio. En este sentido el impacto de la Ley es mínimo”.

Según Sánchez la Ley sólo establece “un sistema de mínimos y no entra a valorar” los mecanismos que ponen en marcha las empresas para proteger sus Infraestructuras Críticas, si son eficaces, eficientes y si están probados. Y es que se trata de una gestión vital para ellas, ya que garantizan la prestación del servicio y la respuesta ante los daños originados por posibles ciberataques. “No vamos a decir a una empresa con mucha experiencia al respecto cómo lo tiene que hacer”, aseguró.

“Esta no es una Ley más, no es una ley convencional. Tiene unas características que la diferencia de las demás. No es una carga impositiva más. Si no que es algo que va más allá. De lo que se trata es de crear una política de protección de Infraestructuras Críticas en la que participemos todos”. Así, aseguró que el Real Decreto impulsa toda esta política de cooperación para enmarcar un camino, sin que exista un ánimo de sanción.

Desde el punto de vista de las empresas, en general, se mostró su acuerdo a las afirmaciones del director del CNPIC. José Luís Bolaños destacó que efectivamente la colaboración de las administraciones públicas es esencial. “El problema no se resuelve con medios y recursos de las empresas proveedoras”, si no que es necesaria la colaboración de la administración, estableciendo unas bases y reglas del juego, y el “apoyo efectivo de las fuerzas de seguridad el Estado y de las autonomías en la prevención y reacción cuando ocurren las cosas y para que no se vuelvan a repetir”, aseveró. “Las empresas han invertido, pero eso no resuelve la película”.

En cuanto al cumplimiento normativo, Manuel Carpio comentó que “estamos preparados de acuerdo a lo que dice la Ley”. Bolaños valoró además que el “concepto de Infraestructuras Críticas para nosotros tiene un matiz especial con respecto a nuestros clientes y los servicios que proporcionamos a la sociedad”, quien también destacó la importancia de llevar a cabo una gestión global dentro de las empresas. “No podemos estar en departamentos estancos”. En este sentido también se pronunció Manuel Canalejas: “Si todas las estrategias no forman parte de una estrategia global de seguridad nunca llegaremos al punto final que es conseguir que la empresa o la infraestructura sea segura”.

Con respecto a la legislación aplicable, Canalejas interpeló al CNPIC: “me gustaría ver mucha más concreción en la exigencia” y “me encantaría ver muy concreto y desarrollado como va ser el tema de coordinación. Cómo nos vamos a comunicar unos con otros y cómo vamos a actuar en casos de emergencia”.

Por último, para el director del CNPIC “el grado de madurez de la protección en España es muy alto a nivel general”, ya que debido a la amenaza del terrorismo ha sido necesario en las últimas décadas prepararse ante posibles ataques. “De lo que se trata es de impulsar un tema que a medio y largo plazo propicie un cambio de cultura de la seguridad que algunos lo perciben de una forma más intensa y otros no lo perciben o no quieren percibir”, concluyó.