> Participaron, entre otros, Howard Schmidt, exasesor de Ciberseguridad de Bush y Obama y presidente de la ISSA; Michael Kaiser, director de la NCSA; Manel Medina, Stakeholder Relations Advisor de ENISA y César Lorenzana, Capitán del Grupo de Delitos Telemáticos de la Guardia Civil.

ISMS Forum organizó en Barcelona su XII Jornada Internacional de Seguridad de la Información, que reunió a expertos, profesionales y representantes de la Administración Pública, tanto españoles como extranjeros, para abordar las iniciativas  llevadas  a  cabo  en  Estados Unidos  y  la  Unión Europea destinadas  a  la  lucha  contra  el  cibercrimen  y  a  aumentar  el  grado  de  conocimiento y compromiso de Gobiernos, empresas y ciudadanía con la seguridad cibernética.  Bajo el título Raising Cyber Security Awareness, se discutió, entre otros temas, sobre la utilidad y eficiencia de las campañas de ciberconcienciación, la protección de la propiedad intelectual corporativa, la seguridad en los dispositivos móviles, la denominada ciberinteligencia o el estándar de seguridad de la información ISO/IEC 27001.

La Jornada contó con la asistencia de más de 300 profesionales y la participación de representantes de primer nivel de organizaciones y empresas como ENISA, Guardia Civil, INTECO, ISSA, NCSA, ISACA, BBVA, Check Point, Deloitte, FCC Group, Ferrovial, HP, IBM (X Force), Kaspersky, KPMG, McAfee, Novagalicia, Renfe, Symantec, Telefónica, Trend Micro y Zurich Financial Services.

“El papel del Gobierno no es regular la vida privada”

La conferencia inaugural corrió a cargo de Howard Schmidt, ex Coordinador de Ciberseguridad y Asistente Especial del Presidente Obama, y Presidente de la Information Systems Security Association (ISSA). Schmidt explicó su experiencia en la Administración estadounidense y aludió a los principales retos de la privacidad y la seguridad, incidiendo en que “hay que avanzar en la gestión de identidades digitales, aprovechando la tecnología que ya existe, pero no se suele usar, y apostando por la innovación; para generar confianza y hacer más seguras las comunicaciones”. También exhortó a la industria privada a tomar medidas decididas en materia de ciberseguridad. El “papel del Gobierno no es regular la vida privada, sólo debería ofrecer protección y mantener nuestra sociedades libres del crimen, incluyendo el cibercrimen”.

Uno de los elementos esenciales para asegurar un ciberespacio seguro y un uso responsable de la tecnología es la concienciación. Por ello, en la Jornada se abogó por promover acciones que hagan que la propia sociedad se convierta en demandante de ciberseguridad para que así los Estados y las empresas tomen medidas que mitiguen el aumento exponencial de los riesgos.  De este modo, la ciberconcienciación se convierte en clave para garantizar una sociedad más segura.

“En concienciación hay que unificar el mensaje y no duplicar los esfuerzos”

En la sesión dedicada a este tema, moderada por Fernando Picatoste, socio en Deloitte, participaron representantes de EEUU y la UE, junto a empresas de referencia como Trend Micro y Symantec. Los ponentes se mostraron de acuerdo en considerar que es necesario establecer colaboraciones público-privadas para llevar a cabo campañas eficaces de concienciación. En este sentido, Michael Kaiser, director de la National Cyber Security Alliance(NCSA) comentó que ese trabajo “colaborativo” es primordial para “unificar el mensaje y no duplicar esfuerzos”. 

“¿Cómo podemos medir el impacto de las campañas de concienciación?”

Manel Medina, Stakeholder Relations Advisor, Agencia Europea de Seguridad de las Redes y de la Información (ENISA), explicó que es básico, por un lado, “compartir información sobre concienciación”, y, por el otro, que el mensaje se adapte a la audiencia esperada, ya que el lenguaje que se debe utilizar es diferente para adolescentes o directivos, por ejemplo. Medina hizo mención al Mes Europeo de la Seguridad, que tuvo lugar en octubre, y destacó que el mayor problema es averiguar “cómo se puede medir el impacto de estas campañas de concienciación”.

Por su parte, Ilias Chantzos, Senior Director of Government Affairs EMEA, Symantec, resaltó que hay que hacer más consciente al consumidor final, pero también a “los que toman las decisiones”, como políticos, empresarios, fuerzas de seguridad, etc. Raimund Genes, Chief Technology Officer, Trend Micro, comentó que aumentar la concienciación en ciberseguridad es aumentar el nivel de la seguridad, aunque matizó que hay que “ser consciente” también de que “cuando alguien quiere acceder a algo lo conseguirá”, por lo que, primero, es necesario utilizar tecnologías que permitan averiguar si “está pasando algo en nuestras redes” y, en su caso, registrar los incidentes, lo que ayudaría a aumentar la concienciación.

“En el 90% de robos de información, hay alguien de dentro involucrado”

La XII Jornada Internacional de ISMS Forum también abordó el concepto y el estado en España y en el mundo de la denominada ciberinteligencia, en una mesa redonda moderada por Román Ramírez, Fundador y presidente, Rooted. Uno de los temas más referidos por los ponentes fue la recopilación y uso de los millones de datos almacenados por algunas de las empresas más populares de Internet como Google, Facebook, WhatsApp, etcétera; y el posible comercio con ellos. “Como usuarios estamos desprotegidos”, “¿A quién le damos el poder real?”, comentó Vicente Díaz, Senior Malware Analyst and GREAT member (Global Research & Analyst Team), Kaspersky. César Lorenzana, Capitán Grupo de Delitos Telemáticos, Guardia Civil, apostilló que, sin embargo, esta situación favorece la investigación de delitos. La consulta de esta información resulta muy útil, y permite, entre otros aspectos, hacer de una forma fácil y fidedigna “el perfil digital de una persona” implicada en un hecho ilícito. David Barroso, Head of Security Intelligence, Telefónica Digital, puso sobre la mesa la necesidad de controlar a los profesionales para que no trafiquen con la información sensible a la que tienen acceso. “En el 90% de robos de información, hay alguien de dentro involucrado”, explicó Lorenzana.

Gianluca D’Antonio, Presidente de ISMS Forum, presidió un debate sobre la protección de la propiedad intelectual corporativa. En él, Howard Schmidt apostó por utilizar técnicas de encriptación eficaces en toda la información confidencial, dado el carácter persistente, profesionalizado y sofisticado de los ataques. “Si alguien intenta robarla, necesitamos utilizar la mejor encriptación posible, para que si se roba, no se pueda utilizar”; un aspecto que compartió Toralv Dirro, EMEA Security Strategist, McAfee, quien además valoró que es un problema grave que los empleados no identifiquen la información que manejan como propiedad intelectual corporativa.

“No deberíamos centrarnos tanto en el dispositivo, si no en el individuo”

En una mesa redonda titulada Mobile Security se definieron los aspectos fundamentales de la gestión de riesgos de seguridad en los dispositivos móviles de las organizaciones. Primero hay que considerar que “la movilidad es inevitable, ya ha sucedido, hay que aceptarla”, comentó Michael Amselem, Head of Europe Data Security, Check Point. Jaume Ayerbe, Director Comercial, HP Enterprise Security Products, España y Portugal, habló de la recurrente “deuda técnica” con respecto a la seguridad; que “ahora en el tema móvil comienza a repetirse como hace 20 años”. Sin embargo, “en este momento hay menos vulnerabilidades. Es mucho más sencillo que el usuario se instale un software malicioso a que se ataque su móvil”, comentó Jean Paul Ballerini, Security Systems Sales Enablement, IBM (X Force), poniendo el énfasis en el rol y concienciación del usuario. “No deberíamos centrarnos tanto en el dispositivo, si no en la gestión de los riesgos de los individuos”, explicó.

“El BYOD es un privilegio, no un derecho”

Se analizó, además, una de las tendencias más significativas dentro del actual concepto de movilidad en el ámbito de la empresa, el Bring Your Own Technology - Bring Your Own Device o BYOT - BYOD, que se basa en la utilización de aparatos propios del empleado para su desempeño profesional en la compañía. Los ponentes mostraron distintas formas de abordarlo dentro de la empresa. Roberto Baratta, Chief Information Security Officer, Novagalicia, comentó que “antes de que se vea como un derecho, decimos que es un privilegio, con unas condiciones muy definidas”. Mientras que Francisco Lázaro, Responsable de Seguridad de la Información, Renfe, incidió en su asunción natural por parte de las compañías, ya que el usuario lo demanda y se piensa, en general, que puede proporcionar elementos positivos. Por tanto, “hay que llegar a un acuerdo”. Eso sí, “desde el momento en el que permitas que se utilicen estos recursos, tienes que dar un soporte”, matizó.

Por su parte, Javier Puyol Montero, Director de la Asesoría Jurídica Contenciosa Corporativa, BBVA, aportó un punto de vista centrado en aspectos legales al introducir en la conversación el conflicto entre los derechos de los trabajadores (privacidad, intimidad, secreto de las comunicaciones, reputación y propia imagen, etc.) con las “capacidades disciplinarias del empresario”. “Tenemos que buscar un equilibrio”, aseveró. El debate estuvo moderado por Carlos A. Saiz, Vicepresidente, ISMS Forum Spain.

“La ISO/IEC 27001 puede ser negocio”

Desde el punto de vista de la gestión empresarial, se analizó el estándar de referencia para la gestión de la seguridad de la información, la ISO/IEC 27001, que facilita la protección efectiva de los activos de información, así como el cumplimiento de las obligaciones legales que recaen sobre ellos, por parte de las organizaciones. Diego Bueno, Director IT Risk-Security, KPMG, introdujo el debate: “La ISO puede ser negocio; las empresas buscamos proveedores de confianza, y vemos que se va pidiendo ya en los pliegos”. Desde la visión institucional, Marcos Gómez, Miembro de la Junta Directiva, ISMS Forum Spain; Subdirector de Programas, INTECO, opinó que “no sé si estamos suficientemente maduros para que la Administración pueda exigir la 27001 pero crece el valor que se da a esta certificación”. También destacó que en muchos países de nuestro entorno como el Reino Unido, esta tendencia es mucho más patente y que, por tanto, estar certificado ayuda a las empresas españolas a salir fuera.

Enrique Hernández, Director de Gestión de Servicios, Aqualia, Grupo FCC, valoró que la norma “nos ha servido para ser mucho más rigurosos en el trabajo, alertándonos sobre temas que creíamos que no tenían importancia, y establecer una relación con los proveedores distinta”. Para concluir, Juan Cobo Páez, Chief Information Security Officer, Ferrovial, aclaró: “gestionar la seguridad no significa que seas seguro, aunque una cosa indirectamente lleva a la otra”.

Check Point, Cisco, Deloitte, HP, IBM, Kaspersky Lab, KPMG, McAfee, PwC, Symantec, Telefónica y Trend Micro, fueron los Patrocinadores Oro de la XII Jornada

El evento contó con una clausura especial, a cargo de Salva López, profesor en ESADE Business School, asesor de organizaciones, locutor de radio, autor de "ROCKvolución Empresarial", conferenciante internacional y músico multi-instrumentista; quien propuso a los asistentes un nuevo ángulo desde el que mirar a las problemáticas empresariales actuales desde el mundo de la música. “La razón guía pero las emociones deciden, y la seguridad también es una emoción”, explicó.

La XII Jornada Internacional de ISMS Forum Spain fue posible gracias al respaldo de sus Patrocinadores Oro, empresas de referencia en España que muestran así su compromiso con la Seguridad de la Información. Fueron Check Point, Cisco, Deloitte, HP, IBM, Kaspersky Lab, KPMG, McAfee, PwC, Symantec, Telefónica y Trend Micro.