X Jornada Internacional de Seguridad de la Información de ISMS Forum Spain. "Ciberdefensa y Ciberseguridad: La evolución de la amenaza frente a la protección de las infraestructuras críticas". 29 de noviembre de 2011. Ciudad de las Artes y las Ciencias de Valencia.

Participaron multinacionales que lideran el I+D de seguridad como Check Point, HP, IBM, Juniper Networks, Kaspersky, McAfee, Symantec y Trend Micro; firmas de referencia como KPMG y Verizon y empresas grandes corporaciones españolas como Bankia, Bankinter, Gas Natural Fenosa, Grupo FCC, Prosegur o Telefónica.

Nuevo panorama de ciberamenazas

El rápido progreso tecnológico y los nuevos usos generan nuevas amenazas de seguridad. De gran actualidad son aquellas vinculadas a la tendencia de la movilidad y el denominado cloud computing, que permite, entre otras cosas, almacenar información en servidores de forma deslocalizada, que puede ser consultada a través de Internet y mediante múltiples dispositivos. Así se han producido fenómenos como la desaparición de los tradicionales perímetros corporativos y la generalización de los movimientos de la información, incluso con carácter transfronterizo. Esto representa un reto tanto para los Estados, las empresas y para la ciudadanía en general.

Durante la X Jornada Internacional de ISMS Forum, que se celebró el Valencia el 29 de noviembre, se abordó el panorama actual de la ciberamenaza, que Félix Martín, Lead Solution Consultant, HP, describió como “un nuevo paradigma”, provocado por un mayor interés de los negocios hacia el ciberespacio, una tendencia cultural a dar más información en detrimento de la privacidad y el cambio tecnológico unido a la globalización. Entre los problemas más debatidos en la sesión, además de los vinculados a la movilidad y al cloud, se encontraron los ataques dirigidos, los ataques de denegación de servicios (DDoS), los ataques persistentes (APT) y las vulnerabilidades del software, entre otros.

Félix Martín participó en un debate conducido por Jesús Milán, miembro de la Junta Directiva de ISMS Forum, Director de Seguridad, Bankinter;  junto a Manuel Cornejo, Director de Ingeniería de Sistemas, Juniper Networks; Javier Sevillano, Responsable de Seguridad Tecnológica, Bankia y Jessica Valderrama, IBM Sales Security Leader.

En lo referente a vulnerabilidades, Martín confirmó la tendencia decreciente desde 2006 es que las vulnerabilidades decrecen en número, sobre todo en software comercial, según datos recogidos por HP. El punto crítico lo aportó Javier Sevillano. “¿Por qué llevamos muchos años tapando agujeros y nunca conseguimos que estén tapados?”, se preguntó. Así, argumentó que cree que hay un problema de modelo, porque “a nuestro juicio el que tiene la responsabilidad de los agujeros no es aquel que es capaz de arreglarlo”.

Con respecto a la movilidad, Manuel Cornejo resaltó los cambios de comportamiento de los usuarios ante los nuevos dispositivos. Es un reto importante para los próximos años “securizar esos nuevos entornos”, ya que se demuestra que, en general, los usuarios están menos concienciados y no tienen en cuenta los aspectos de seguridad. Por ello, consideró pertinente recordar que “el usuario es el eslabón más débil de la cadena”.

Otro aspecto importante destacado por Cornejo es la necesidad de compartir  la información sobre los ciberataques sufridos. “Para poder crear una inteligencia, para ser más proactivo; o compartimos información o no funciona”, aseveró.

Los ciberdelincuentes sofistican sus ataques a empresas y estados

Los retos de la Seguridad de la Información para la próxima década fueron debatidos en una mesa internacional formada por Bruno Darmon, Vicepresidente, Checkpoint; Ilijana Vavan, Directora Corporativa en Europa, Kaspersky; Simon Young, Director General, EMEA, Trend Micro; y conducida por Ramón Poch, Head of IT Advisory, KPMG.

Los ponentes coincidieron en destacar que todos los agentes implicados deben comprometerse y colaborar, tanto a nivel local como global, para mejorar la seguridad. Si se quiere alcanzar un grado de prevención óptimo “necesitamos trabajar todos juntos: las empresas, los gobiernos y los individuos”, opinó Ilijana Vavan.

Los ciberdelincuentes forman un colectivo poderoso, que cuentan con organizaciones criminales y motivaciones económicas detrás. Se ha producido, además, una sofisticación de la amenaza en los últimos años. “Es más imprescindible que nunca unirse para encontrar la mejor forma de defenderse en la próxima década”, continuó Bruno Darmon, destacando que han aumentado los ataques selectivos; mientras que Simon Young alertaba sobre los grandes riesgos que surgen del uso de los medios sociales, la movilidad y el cloud computing.

De este modo, una red más regulada podría ser una ayuda para mejorar la seguridad. Young destacó que los requerimientos legales para las empresas, destinados a garantizar la seguridad de la información y la protección de datos personales, “deberían ser más fuertes” y también que los gobiernos tendrían que desarrollar nuevos marcos legales para servicios como el cloud. De la misma opinión fue Vavan, quien propuso, además, crear mecanismos para “la identificación de quien entra en Internet”. Por su parte, Darmon matizó que es muy importante ligar la implementación de la regulación a la concienciación de los empleados para conseguir la protección adecuada.

Tal y como destacó Vavan, es muy necesario educar a toda la ciudadanía sobre qué riesgos hay que Internet. La colaboración de los gobiernos es imprescindible en este sentido, quienes, por otro lado, se están empezando a dar cuenta de que las amenazas y riesgos son reales y graves, tanto para las personas como para las empresas.

En este sentido, los estados “necesitan controlar la seguridad para facilitar que las economías crezcan. Todo depende del conocimiento y la información”, declaró Young, poniendo como ejemplo la estrategia nacional aprobada en Gran Bretaña, que incluye políticas activas e importantes partidas presupuestarias.

La industria en España

En la mesa dedicada a las oportunidades de la industria de la Seguridad de la Información en el contexto nacional, Marco Bavazzano, Director Security Strategist Organization, Symantec, y Gianluca D’Antonio, Presidente de ISMS Forum Spain; Chief Information Security Officer (CISO), Grupo FCC; y Miembro del Consejo de Expertos (PSG), ENISA; también situaron como punto de referencia el modelo inglés por su búsqueda de un espacio ciberseguro como garantía y atracción para los negocios.

Ambos compartieron mesa con Joaquín Reixa, Director General para el sur de Europa, Checkpoint; y Jesús Sánchez, Director General para España y Portugal, McAfee; quien destacó, en cuanto a la madurez de las empresas españolas en materia de seguridad, que “estamos algún paso por delante” con relación al control de fugas de información. También España es pionera en la aplicación de algunas medidas como el cifrado, coincidió Reixa, quien relacionó además esta situación con el grado de regulación, que es muy alto, con respecto a otros países del entorno, en especial, en materia de protección de datos de carácter personal.

Por otro lado, Bavazzano opinó, tomando como referencia la demanda del mercado, que se debe de ir hacia soluciones integradas y convergentes. “Como proveedor, encontramos que vamos algunos pasos por delante de la necesidad. Desde un punto de vista de convergencia la necesidad creo que existe”, explicó.

Desde un enfoque económico, Joaquín Reixa opinó que en este momento en España el sector de la Seguridad de la Información “probablemente sea uno de los menos afectados por la crisis porque la empresas tienen la necesidad de proteger sus activos”. “Aunque siempre existe el riesgo de la falta de presupuesto”, matizó.

Brechas de seguridad

Jelle Niemantsverdriet, Principal Consultant Forensics and Investigative Response, Verizon Business Security, analizó la materialización de brechas de seguridad en las organizaciones, ayudándose de las conclusiones del “Data Breach Investigations Report 2011”. Según éste, se robaron 3,8 millones de registros en 2010, una cifra significativamente más baja con respecto a estudios previos (en 2009, por ejemplo, se registraron 143,6 millones), comentó.

En su opinión, un elemento reseñable es que se está mostrando un cambio de tendencia en los robos. Debido a la presión, se sospecha que los nuevos delincuentes “van a por los pequeños conejos, no a por el gran elefante”, declaró. Es decir, ahora los ciberdelincuentes atacan muchas pequeñas compañías, a quienes sustraen menos datos. El problema grave que surge es que “se está extendiendo esta práctica y es mucho más difícil de detectar que las anteriores”.

Por otro lado, Niemantsverdriet resaltó la relevancia de los logs en la investigación de las brechas de seguridad. “Es fácil. Todo lo que se necesitan son logs. Todo está en esos logs”, declaró, por lo que resulta vital leerlos y saberlos interpretar adecuadamente. Para la prevención, recomendó centrarse en un conjunto de medidas básico, basándose en los procesos y las personas antes que en aumentar la inversión y mejorar la tecnología. “Mucho se podría haber evitado cumpliendo sólo con lo básico”, comentó. También hizo hincapié en la necesidad de monitorizar al personal interno, elaborar un plan de respuesta revisable anualmente y colaborar con la policía y los servicios secretos para compartir información.

El profesional de la Seguridad de la Información

En la jornada también se dedicó un espacio al profesional de la Seguridad de la Información, en el que se habló de perfiles y la situación del mercado laboral. Para ello, se contó con Miguel Portillo, Associate Director, Michael Page Executive Search, quien explicó que debido a la crisis “hay menos procesos de selección pero son muy buenas oportunidades”. También destacó que cada vez hay una mayor concentración geográfica, sobre todo hacia Madrid. En cuanto a salarios comentó que “en España se paga mal, entre un 20 o 30 % por debajo de los vecinos de la Unión Europea”.