ISMS Forum reunió el pasado 26 de mayo de 2011 a 28 expertos en seguridad de empresas nacionales e internacionales para debatir sobre los nuevos retos que enfrentan las compañías en materia de Seguridad de la Información y analizar las distintas estrategias a seguir, en un entorno donde la movilidad y los servicios basados en Internet, hacen que sea más difícil establecer cuál es el perímetro y definir fronteras para los flujos de información.

Madrid.- Con el objetivo de analizar las distintas estrategias jurídicas y organizacionales que están influyendo en la regulación de la privacidad bajo el entorno actual, la IX Jornada Internacional ISMS Forum Spain, reunió a cerca de 30 ponentes de primer nivel, expertos en seguridad en organizaciones como Forrester Research, Ecija, Google, Grupo PRISA, Grupo FCC, HP, IBM, Juniper Networks, KPMG, Mapfre, ONO, y Telefónica.

En este evento se debatió sobre aspectos como el “gap”, o hueco generacional generado por Internet y la manera de entender la seguridad y la privacidad, “¿Cómo Implantar un Modelo de Seguridad Global que Conviva con las Necesidades y Requerimientos en Europa y Latinoamérica?”, los marcos Normativos de Protección de Datos en Europa y en Latinoamérica y la Reputación Corporativa en Internet, entre otros temas.

Gianluca D`Antonio, Presidente de ISMS Forum Spain y CISO del Grupo FCC, resumió al principio del evento la importancia de debatir sobre la Seguridad y Privacidad en un momento como el actual. “El emergente ecosistema digital está generando muchos riesgos y desafíos. Igual que cualquier ecosistema sostenible permite a sus actores interactuar en beneficio de todos, un ecosistema digital debe permitir a sus participantes comerciales crear valor económico y al mismo tiempo ofrecer bienestar al conjunto de la sociedad”. Para ello se debe encontrar un equilibrio de factores críticos como la seguridad, la privacidad, la capacitación del usuario, la estructura en las reglas del mercado y el derecho a la propiedad intelectual.

Como parte de la celebración de este encuentro, que contó con más de 250 asistentes expertos en materia de seguridad, ISMS Forum premió a HP, IBM y Symantec por su firme compromiso con el desarrollo de la Seguridad de la Información en España. Asimismo, se presentó el primer informe: 'Cloud Compliance Report', elaborado por el capítulo español de CSA-ES, que constituye prácticamente la única referencia en nuestro país del análisis del Cloud desde la perspectiva de España.

Gap generacional: Los jóvenes tienen fluidez social, pero no tecnológica.

Bruce Schneier, Chief Security Technology Officer de BT, habló de la Privacidad y el “gap” o distancia generacional. Schneier, calificado por la revista “The Economist” como uno de los Gurús de la seguridad explicó que “para el promedio de las personas la seguridad es principalmente algo relacionado con el control de la información (…) Todos esperamos ser capaces de controlar la información; ya sea la del e-mail, la información bancaria o nuestra ubicación”. Pero el desarrollo de la tecnología ha hecho públicas cosas que antes no lo eran.

“Antes de Facebook nadie tenía la necesidad de una política de seguridad, ni de escribirla”. Es aquí donde Internet pone en evidencia las diferencias entre las distintas generaciones: “Los jóvenes tienen una fluidez social, pero no tecnológica. La socialización pertenece a los jóvenes; para ellos vivir la vida en público es normal”.

Y ese es el negocio de Facebook y de otras redes sociales, hacer negocio con lo que compartimos. “No importa si no son nuestros secretos más íntimos”, mientras más usuarios cuenten lo que hacen, más compartan y más digan qué sitios frecuentan, más gana la red social. “No somos clientes. Los usuarios somos los productos de Facebook para sus clientes”.

Según Schneier, existen seis tipos de datos que Facebook recopila sobre sus usuarios: los datos de servicio o básicos para la apertura de la cuenta; los datos que se van sumando con el paso del tiempo: posts, fotos subidas por el usuario, etc.; en qué perfiles has entrado; los datos secundarios (la información que otro sube acerca de ti; datos sobre tus hábitos; y datos derivados (las coincidencias con el 70% de tus amigos: lugar, aficiones, tendencias, etc). Por tanto, lidiar con la privacidad de esos seis tipos de datos es complicado y las redes son débiles en privacidad.

Dos reflexiones de la intervención de Schneier: “Si la gente cree que tiene control, comparte, si no, son menos propensos a compartir”. Pero, la mayoría de los usuarios que entran en una red se quedan con la seguridad que viene por defecto en la página web a la que se afilia; y estas suelen ser muy débiles.

¿Cómo Implantar un Modelo de Seguridad Global?

Sobre ese tema giró la primera mesa redonda del día, en la que participaron Guillermo Llorente, Director de Seguridad de Mapfre; Manuel Carpio, Director de Seguridad de Telefónica; y Enrique Polanco, Adjunto al Consejero Delegado y Director de Seguridad Corporativa del Grupo PRISA, con Miguel Rego, Director de Seguridad y Riesgos Corporativos de ONO, como moderador.

Los participantes de esta mesa redonda defendieron la importancia de compartir inteligencia de seguridad a fin de diseñar de manera eficaz las políticas de seguridad a las que deben sujetarse los activos de información, para Manuel Carpio: "hemos pasado del 'need to know' al 'need to share'".

¿Cómo entienden la seguridad global? En el caso de Mapfre, Guillermo Llorente comentó que ven a la organización como un todo donde quiera que esté y, desde una perspectiva funcional, valoran las actividades corporativas encaminadas a un fin. “Por ejemplo, recursos humanos, seguridad, tecnología, asuntos legales. En esa función agrupamos un conjunto de actividades: que van desde los controles de seguridad ya sean físicos o lógicos, las acreditaciones, la protección de los bienes, etc. Pero es una función corporativa que engloba múltiples actividades”.

Manuel Carpio explicó que el caso de Telefónica era muy similar. “Tenemos un modelo corporativo que se basa en el principio de delegación de autoridad de parte de la dirección del negocio. Implantamos nuestro modelo en cada uno de los países en los que estamos, pero somos muy respetuosos con la cultura. Un modelo es un espejo en el que mirarse pero no una fotocopia”.

En este sentido, Enrique Polanco incidió en la importancia de que las propias empresas respeten la seguridad, pues si no, no se pueden atender las amenazas. “Tenemos que entender que la amenaza es global, es internacional”.

Respecto a qué nivel de reporte tener dentro de la organización, Llorente comentó el caso de Mapfre donde Seguridad es una de las áreas corporativas que dependen de la presidencia. “Existe un comité en el cual yo actúo como secretario y están presentes las máximas autoridades de cada una de las unidades de negocio. En este comité se presentan y se definen los criterios de seguridad. Por ello es importante que participen las distintas áreas de negocio, pues ellas serán las encargadas de implementarlas”.

En el caso de Telefónica, Carpio comentó que la empresa fue una de las primeras en aplicar el concepto de seguridad integral a su esquema corporativo, donde el CSO reporta al presidente de Telefónica. No obstante, como empiezan a aparecer los chief risk officer, el chief tecnical security officer, etc., es muy importante tener una coordinación de todos.

Polanco explicó uno de los problemas que ha identificado a través de su trabajo en Prisa: elevar demasiado la seguridad. “No me gusta mi modelo. El responsable máximo de seguridad está en niveles muy elevados y puede caer en el error de estar en una línea jerárquica separada de quienes deciden y aplican las órdenes. Por lo cual te conviertes en consejero”. Hay que estar en la línea jerárquica y cerca de quienes toman la decisión y la aplican.

“¿Qué pueden hacer las empresas que no tienen un modelo global?”, preguntó Rego. “No existe modelo receta”, respondió Llorente. Lo seguro, según sus palabras, es que no debe estar 100% centralizada. “Hay que identificar qué medidas puedes centralizar y cuáles no, establecer responsables funcionales en cada área. Después definir el nivel de riesgo corporativo y el nivel de riesgo asumible en cada país; hay que ser capaz de amoldarse a un escenario cambiante y complejo”. “No hay un modelo único pero sí una línea única adaptable”.

Dejando claro lo complicado de la pregunta, Polanco aclaró que es muy importante tener en cuenta las peculiaridades locales y el nivel de delegación; pero alguien tiene que tener la responsabilidad y decir cómo se hace, tienen que existir “órganos colegiados para la toma de decisiones tácticas, no estratégicas”.

En conclusión para lograr una seguridad global idónea hay que “conseguir el equilibrio adecuado entre la centralización de la seguridad y su adaptación en el ámbito local”.

“20 minutos para generar un impacto”

John Rakowski, Analyst & Advisor de Forrester Research habló de las métricas en Seguridad de la Información durante su conferencia “Information Security Metrics - Information that Matters to the Business”.

Explicar la seguridad cuando hay problemas presupuestarios puede ser un gran reto. “Tenemos que generar un amplio impacto para los directivos de seguridad, dar en la diana”. Para explicarlo puso el ejemplo de Ozzy Osbourne que, para llamar la atención de los directivos de una discográfica que sólo le habían dado 20 minutos para reunirse con él, se sacó una paloma de su bolsillo y le arrancó la cabeza. “La moraleja es que si tú eres un ejecutivo de seguridad sólo tienes 20 minutos para estar frente a los directivos, por tanto tienes que usar la métrica adecuada para impactarles”.

Se trata de generar la información interés en el tiempo adecuado y en la cantidad correcta. “Tenemos que lograr alinear la función de seguridad con el negocio. Subir su valor ante los directivos. Que se convierta en un a valor añadido”.

Los pasos propuestos por Rakowski para crear un alto impacto son:

1. Comprender las capacidades de los informes actuales. Como profesionales de la seguridad tenemos que dar una serie de métricas que podemos usar potencialmente. Hay que empezar con una documentación con toda la métrica y decidir qué métricas son más interesantes de cara al ejecutivo.

2. Calibrar qué quieren ellos en cuanto a informes, averiguar qué les interesa. Disminuir la brecha de la seguridad por un lado y la dirección por el otro.

3. Planificar y diseñar el informe. Organizar un marco para escribir el informe.

4. Poner en práctica este informe sin perder de vista el aspecto de estar alineado con el negocio, alineación funcional, eficiencia y eficacia, niveles de calidad y de servicio, medición de procesos, innovación, y alineación en el cumplimiento de las leyes.

Pero el proceso no termina en el paso 4. Tiene que ser circular, de retroalimentación para entrar y generar el nivel adecuado de seguridad de la comunicación. “Tienes 20 minutos para un impacto dales un buen diagrama conceptual y céntrate en los beneficios de ponerlo en práctica”.

Después de Wikileaks ¿Deberíamos mejorar nuestra NAV?

Juan Miguel Velasco, Director Asociado de Servicios de Seguridad y Proyectos de Seguridad de la Unidad de Grandes Clientes de Telefónica España, moderó la mesa redonda “Internal Threats: Does Wikileaks Testify to the Need for Improved Network Visibility?” en la que participaron Pedro Cutillas, CTO Enterprise EMEA & Vice-President Strategic Alliances EMEA de Juniper Networks; Rick Miller, Global Managed Security Services Leader de IBM, y John Rakowski, Analyst & Advisor de Forrester Research.

La cultura y la formación del personal fueron destacadas como otra de las variables a tener en cuenta en la aplicación de la seguridad. “El problema surge cuando alguien que tiene acceso autorizado y malas intenciones” aclaró Rakowski quien añadió que casos como los de Wikileaks surgen todos los días, la diferencia es que esta ha llegado a los medios.

Los participantes de la mesa redonda estuvieron de acuerdo en que hay que impedir que sea fácil la fuga de información definiendo qué información es sensible y quién tiene acceso a qué, que cada persona dentro de la organización tenga el nivel de acceso adecuado.

¿Reducir el acceso a redes sociales o a Internet para disminuir los riesgos? Esa no parece ser una solución efectiva. Miller explicó que se podría tener un enfoque muy restrictivo, pero hay que tener en cuenta que los profesionales de hoy en día han cambiado “tenemos que tener en consideración el riesgo de controles excesivos” pues no están acostumbrados a ellos.

Cutillas explicó que la solución es tener servicios y productos que tengan aportaciones de valor y que detecten problemas de seguridad fácilmente y que podamos darnos cuenta de que algo se escapa de nuestra red.

Para Rakowski más que prohibir, hay que “implicarse con la gente y ser proactivo. Preguntar qué aplicaciones usas en tu Ipad o en tu móvil, entonces les puedes explicar cómo deben usarlo y, si no lo pueden hacer, darles una razón”.

La necesidad de armonizar la ley

Giovanni Buttarelli, European Data Protection Assistant Supervisor; Peter Fleischer, Global Data Privacy Officer de Google; Ronald Koorn, Partner y Global Privacy Leader de KPMG y Daniel Pradelles, EMEA Privacy Officer de HP, participaron en la mesa redonda “Cross Border Data Flows vs. Multiple Privacy Regulations and Jurisdictions”, bajo la moderación de Nathaly Rey, Directora General de ISMS Forum Spain.

Para los participantes en la mesa redonda es un gran momento para trabajar por armonizar la ley, pues el crecimiento exponencial de los flujos de datos transfronterizos representa un gran reto en la privacidad. Un punto importante dentro de la discusión fue no centrar el debate sobre en qué lugar están los datos sino en que quienes controlan los datos respeten las regulaciones de privacidad, sin importar donde estén.

En materia de regulación de la privacidad, la mayoría de los expertos coincidieron en la necesidad de ir hacia un marco homogéneo de protección de datos, aunque para Artemi Ralló: 'no es algo que vayamos a lograr a corto ni a medio plazo. Peter Fleischer, por su parte, indicó que a él también le gustaría que hubiera una armonización global, 'porque sería la mejor manera de proteger la privacidad, pero es muy complicado porque hay países mucho más estrictos en sus normas que otros'.

Buttarelli explicó que “el marco actual no es algo totalmente eficaz ni efectivo. Hay tendencias por tanto a una mayor armonización no solo a nivel europeo y también hay expectativas de un marco más moderno con una regulación de mayor flexibilidad, con menos cargas administrativas”. Entre las dificultades Pradelles comentó que “el problema de la directiva actual es que cada país de Europa la interpreta de una manera distinta”. Además, tampoco se puede regular de manera excesiva, Según Fleischer “en un futuro habrá más flujos de datos y la pregunta es quién va a escribir una ley para regular todo eso”.

Como cierre al debate se propuso la posibilidad de que la privacidad esté presente desde el principio para que cualquier dispositivo de software sea concebido en vistas a minimizar los procesamientos no necesarios de datos personales.

Pradelles apuntó a la investigación en tecnologías como condición para garantizar de manera satisfactoria la gestión de la privacidad. Butarelli coincidió con el responsable de HP en este punto, afirmando que cualquier software que se desarrolle habría de contar con lo que se denomina “privacidad por defecto”. No obstante, Pradelles apuntó que la privacidad va mucho más allá que la seguridad: “la privacidad por defecto o por diseño será importante y no solo se refiere al software, sino también a servicios y procesos dentro de las empresas".

Marcos Normativos de Protección de Datos en Europa y en Latinoamérica

Para encontrar los puntos en común de las diferentes leyes en relación con la privacidad, Artemi Rallo, Director de la Agencia Española de Protección de Datos (AEPD); Raúl Ferrada, Director General del Consejo para la Transparencia de Chile; y María Marván, Comisionada del Instituto Federal de Acceso a la Información (IFAI) de México, debatieron junto a Carlos Alberto Sáiz Peña, Vicepresidente de ISMS Forum Spain; CDPP, Socio Director Compliance IT de Ecija, sobre los Marcos Normativos de Protección de Datos en Europa y en Latinoamérica.

Tanto el representante de Chile como la de México reconocieron el importante aporte del modelo creado en España para la garantía del derecho a la protección de datos. Respecto a las peculiaridades de los modelos de sus países, Ferrada comentó que en Chile el Consejo de la Transparencia es el encargado de verificar que el derecho de acceso a la información pública no contradice aspectos relacionados con la seguridad nacional, el interés público o temas relativos a derechos de las personas. “En un 30% de los casos estudiados por el consejo hemos tenido que ponderar ambos derechos: el derecho a acceder a información pública frente al derecho de la protección de datos”.

En el caso de México, Marván explicó que el sistema aprobado en la Ley de 2010 “es un sistema fuerte en términos de multas que podrían llevar a multas de hasta 300.000 euros”. A diferencia del modelo español el instituto no se refinanciará a través de las multas.

La comisionada del IFAI indicó que en el contenido de la citada ley se establece un equilibrio entre protección de la información personal y la libre circulación de la misma. Añadió que “es una legislación moderna que reconoce y protege los llamados derechos de tercera generación”. Comentó, por ejemplo, que facilita las transferencias de datos personales dentro y fuera del país, siempre y cuando el responsable informe en el aviso de privacidad la realización, la finalidad de las transferencias y el titular acepte o consienta éstas.

Respecto a los retos para las corporaciones encargadas de la seguridad, Rallo comentó que la AEPD está trabajando en como verificar y forjar modelos de responsabilidad empresarial de carácter preventivo. Marván añadió que los modelos futuros deben ser “tecnológicamente neutrales con una nueva disciplina del análisis de riesgo donde la protección sea proporcional al tipo de datos, el número de datos que se manejan, el tiempo y la sensibilidad de los mismos”.

Reputación Corporativa en Internet

José Manuel Velasco, Director General de Comunicación y Relaciones Corporativas del Grupo FCC, Álvaro Ecija, Socio de Ecija; Consejero de Playtelevision; y José Antonio Gallego, Presidente de la Asociación Española de Responsables de Comunidad (AERCO), debatieron sobre la Reputación Corporativa en Internet, con la moderación de Alfredo Reyes Krafft, CDPP, Vicepresidente de la Asociación Mexicana de Internet; Director de Negocios Digitales e Industria Bancaria en BBVA Bancomer, México.

La mesa redonda empezó con tres formas distintas de entender la imagen corporativa y la reputación. Para Velasco “la reputación es el premio a una buena gestión de la comunicación. Entendiendo la comunicación como el dialogo con los grupos de interés. Por tanto yo creo que no se debe gestionar la reputación, sino la comunicación para lograr una buena reputación”.

Gallego entiende la imagen corporativa como lo que “los medios transmiten sobre una empresa y la reputación lo que sus clientes opinan de ella”. Para Ecija, “una cosa es lo que la empresa quiere decir de ella misma y otra lo que opinen lo demás. Claramente con Internet y los medios sociales una empresa está obligada a escuchar lo que están diciendo, ya sea bueno o malo”.

Teniendo claro que las redes sociales han dado pie para que las personas opinen más abiertamente e influyan en la imagen corporativa de una entidad ¿Cómo gestionar las crisis? Los tres participantes estuvieron de acuerdo en que la anticipación, la proactividad y un mensaje bien estructurado son esenciales.

Velasco explicó que con todas las vías de comunicación actual “o comunicas o eres comunicado. Por tanto si estás en una organización que es centro de atención, se van a generar contenidos sobre ti, así que la estrategia básica es la anticipación”. Por ello es más importante que nunca la estrategia de mensaje. Según Velasco “tenemos que definir bien qué es lo que vamos a comunicar. Si acertamos, acertaremos mucho, pero si nos equivocamos el error se multiplicará exponencialmente.

Un reglamento eficiente para las empresas y eficaz para las personas

Víctor Chapela, CEO de SM4RT Security Services en México, habló de la “Nueva aproximación del riesgo en seguridad para los reglamentos de privacidad”. Chapela aclaró que la clave para que las empresas puedan aplicar las medidas establecidas es que sean fáciles de implementar. De esta manera las empresas “gestionarán la seguridad de la forma más eficiente para ellos, sin que esté en perjuicio la efectividad de esas medidas para el individuo o los titulares a los que queramos proteger”.

¿Cómo hacer algo eficiente y efectivo que pueda estar en un reglamento? Chapela explicó varias consideraciones a tener en cuenta con el fin de poder abordar el tema de la privacidad de una manera más sencilla. Primero la Autoregulación de Seguridad a través de una tabla de equivalencias. “Por ejemplo: el PSI y el DSS para las tarjetas de crédito. Si yo ya cumplo con PSI entonces por ende ya tengo el mínimo necesario de acuerdo con la ley”. Como segundo paso hay que tener en cuenta los tipos de datos que son más sensibles. “En México el secuestro es un problema, entonces hay que proteger los datos que en su conjunto pudieran conllevar un secuestro”. La tercera consideración es el cloud computing: no podemos proteger el lugar donde está, pero sí los puntos de acceso a la información. Y, finalmente, el tiempo. “Hay que darles seis meses para definir qué controles necesitan y un año entero para implementarlo”.

Se trata de crear un reglamento “que sea eficiente para las empresas y eficaz para las personas”.

La organización de esta Jornada ha sido posible, gracias al apoyo de BT, Check Point, Ecija, HP, IBM, Juniper, Kaspersky Lab, KPMG, McAfee, Oracle, Sm4rt, Symantec, Telefónica y Trend Micro.

Consulta el programa del evento (inglés), aquí.

Consulta el programa del evento (castellano), aquí.