ISMS Forum organizó la sesión inaugural de las Jornadas Técnicas del Foro SICUR, titulada: "La manera en la que los últimos escándalos en materia de ciberseguridad han afectado al mundo empresarial: Iniciativas y propuestas para mejorar en Seguridad y Cumplimiento", en el marco de la 19ª Edición del Salón Internacional de la Seguridad (SICUR). 

Más de 80 profesionales de la seguridad física y la seguridad lógica, asistieron a la mesa redonda formada por expertos colaboradores de ISMS Forum para analizar los últimos escándalos en ciberseguridad y aportar al sector empresarial las herramientas para mejorar en Seguridad y Cumplimiento.  

De izquierda a derecha: Ariadna Hernández, Adolfo Hernández, Mariano J. Benito y Javier Carbayo.

La sesión presidida por la Directora General de ISMS Forum, Ariadna Hernández, comenzó de la mano de Javier Carbayo, miembro del Comité Operativo del Data Privacy Institute y coordinador de la recientemente publicada II Edición del Estudio de la propuesta de Reglamento de Protección de Datos de la UE, titulada "Reflexiones sobre el futuro de la privacidad en Europa". Javier Carbayo, habló del riesgo evidente ante posibles fugas de información que pueden darse en cualquier compañía o institución, y cómo afrontarlas desde tres perspectivas relacionadas con la privacidad y la legalidad: la comunicación de una fuga de información de cara a un posible efecto legal, el componente reputacional derivado de la responsabilidad de la empresa que sufre la fuga de datos, y la propia sanción que podría derivar a pesar de no ser responsables de dicha fuga de información. ¿Hasta qué punto es la empresa responsable? "Lo recomendabe en un contrato es prever un acuerdo en caso de fuga de información sobre cómo se va a gestionar la fuga", argumentaba Carbayo.

"Se trata de una culpabilidad inocente". 

Javier Carbayo, miembro del Data Privacy Institute. 

Asimismo, Javier Carbayo recordó algunos de los últimos y más conocidos casos de empresas que han sufrido una fuga de información y abrió debate sobre el punto hasta el cual las empresas están obligadas a notificar a una autoridad pública que han sufrido una fuga de datos, y qué riesgos, en términos de reputación y sanciones, podría suponer.

Por último, hizo referencia al posible nuevo Reglamento Europeo de Protección de Datos, explicando que la normativa será más conservadora y rigurosa con el tratamiento de datos. "Se trata de un futurible ya que aún no sabemos si se va a aprobar el Reglamento", pero en caso de salir adelante existirá un plazo para la notificación de brechas de seguridad. Sin embargo, "no se especifica cómo se va a notificar o si habrá un periodo de confidencialidad antes de que la notificación se haga pública".

En orden de intervención, Adolfo Hernández, miembro del Comité Operativo del Instituto Español de Ciberseguridad, continuó la sesión para analizar algunos de los últimos y más populares ciberataques (Stuxnet, Flame, Duqu, Careto, etc.) y casos de espionaje (Snowden), y poner de relieve la necesidad de establecer una colaboración público-privada para hacer frente a estas ciberamenzas, revisando los nuevos órganos propuestos por la Estrategia de Ciberseguridad Nacional. Adolfo comenzó su intervención definiendo el término ciber, como los "elementos de configuración y de conexión entre ciudadanos, empresas y países, tanto por medios públicos como por medios privados". Un concepto mucho más amplio que el propio Internet, en el que los actores han cambiado, ya que "en este entorno no se necesitan grandes recursos, no importa la distancia y se puede permanecer en el anonimato", explicaba Adolfo Hernández. Y en este nuevo panorama en el que todo es ciber, hay un nuevo actor que es el Gobierno, inducido por la relevancia de los últimos ciberataques. 

El problema, plantea Adolfo, es la legislacion en el ciberespacio. La legislación comprende un ámbito territorial, por lo que "cómo afecta al ciberespacio es uno de los retos evidentes". ¿Se deberían establecer fronteras? La realidad nos indica que, al menos, se debería trabajar en ello, puesto que es un problema que afecta a ciudadanos, empresas y gobiernos. "El Ciberespacio es un entorno creado para ejercer poder, y lo que está claro es que las capacidades de los gobiernos son desiguales". Por ello, Adolfo recomienda tener en cuenta que ningún dispositivo es seguro 100%, que el software puede ser utilizado de manera indebida, que cualquier dispositivo conectado es vulnerable y que la colaboración público-privada es necesaria para afrontar la situación, unificando la voluntad del sector público y privado.  

"De fábrica, la mayoría de dispositivos vienen con puertas traseras".

Adolfo Hernández, Instituto Español de Ciberseguridad.

Por último, Adolfo señala la importancia de la recien aprobada Estrategia de Ciberseguridad Nacional, que "supone una declaración de principios aunque por el momento carece de plazos y de presupuesto".  

En representación del capítulo español de Cloud Security Alliance, Mariano J. Benito comenzó su presentación planteando las ventajas que ofrece el modelo Cloud y las características que debe tener, en contraste con otros modelos de servicio ya establecidos (hosting, housing, outsourcing), que en ciertos casos se denominan impropiamente Cloud por tener semejanzas con él. A partir de esta comparación, revisó el proceso mental que ha seguido CSA desde su fundación en 2008 para identificar las nuevas problemáticas que conllevan la Nube, las herramientas ya disponibles que también pueden ser aplicadas en Cloud, y sobre todo, las nuevas necesidades de gestión y los nuevos riesgos de la Nube.

"Los problemas de la Nube no son inevitables, solo hay que saber gestionar el paso a la Nube".

Mariano J. Benito, Cloud Security Alliance España.

En este sentido, Mariano presentó las distintas herramientas que Cloud Security Alliance pone a disposición de prestadores y clientes de servicios en la nube, con el objetivo de generar transparencia como medio para hacer frente a la desconfianza surgida ante los últimos acontecimientos. Destacan la traducción al castellano de las “Guías de Seguridad en Áreas Críticas en Cloud Computing”, sobre las medidas de seguridad y aspectos a tener en cuenta que pueden aplicar las organizaciones que desean apoyarse en los servicios que ofrece la ‘nube’ o que desean migrar sus servicios TIC actuales, a ella; la versión española del Cloud Controls Matrix (CCM), que recoge los controles de referencia más importantes en seguridad cloud, incorporando las especificaciones de la normativa española en materia de seguridad; la adaptación al castellano el estándar de “Acuerdo de Nivel de Privacidad”, promovido por la Cloud Security Alliance Global para la contratación de servicios cloud computing;y la certificación CCSK en castellano, la primera certificación profesional sobre Seguridad de la Información en Cloud Computing; y las líneas maestras del Esquema de Certificación Abierto (Open Certification Framework) desarrollado por Cloud Security Alliance, en colaboración con BSI Group, para proporcionar una certificación global, acreditada y basada en la confianza para proveedores de servicios en la nube.