Gianluca D'Antonio Presidente de ISMS Forum Spain

Takeaways from RSA Conference 2014 Este ha sido, para quien escribe, el primer año en la RSA Conference; sin lugar a duda, el EVENTO para los profesionales de la seguridad de la información. Mi primer viaje a San Francisco, una de las ciudades emblemáticas de la costa este de Estados Unidos. El viaje ha merecido la pena, a pesar de las casi 18 horas de recorrido si se parte desde Madrid. Por ello, he pensado compartir con los que no han podido acudir a esta importante cita del sector, los que, bajo mi punto de vista, han sido hot topic del evento.

Towards the Cloud but not every Cloud.

Cloud Security Alliance apuesta por una mayor racionalización y sistematización de los criterios de selección a la hora de elegir servicios en la nube. En este sentido, la difusión del Cloud Control Matrix, como herramienta de análisis de las capacidades del cloud provider, será de gran utilidad para la adopción de los estándares de seguridad y control. Y los que no puedan asumir estos compromisos con sus clientes, irán desapareciendo.

Por su parte, el Open Certification Framework, a través de los distintos niveles de madurez que contempla (autoevaluación, certificación, reconocimiento y mejora continua), es el mejor ejemplo de transparencia y compromiso con la seguridad en todas sus vertientes. Entre los numerosos tweets en torno a las conferencias de CSA en San Francisco, uno de los más sonados era “you can out source the solution but not the responsability”. 

From business driven Security to innovation driven security.

Otra tendencia interesante, que ha quedado manifiesta en esta edición de la RSA, es la fusión de la función de Seguridad de la Información y la Innovación Tecnológica de los procesos de negocio. Esta tendencia se materializa en la convergencia de las dos funciones bajo la responsabilidad y el impulso de una sóla persona. James Shira, de Zurich Insurance, o Yval Illuz, de ECI Telecom, son ejemplos tangibles de esta nueva visión. ¿Por qué? Es la pregunta legítima ante este fenómeno.

Los drivers de la innovación tecnológica, en la mayoría de las grandes organizaciones, giran alrededor del Cloud Computing, Mobility (en sus dimensiones BYOD y Corporate), Big y Open Data, Smart Meters y finalmente Consumerization. En todos estos business enablers, la seguridad hasta hoy ha jugado en papel como elemento limitante. La única forma para que esta se convierta en un atributo más de estos vectores de innovación es embeberla en los procesos de definición. Y eso solo se consigue cuando el Chief Technology Officer (CTO), es también el Chief Information Security Officer (CISO) de la organización.

En esta ocasión, en España les llevamos la delantera a los de Palo Alto. Empresas como BBVA o Telefónica, hace ya más de un lustro que emprendieron el camino de la convergencia, unificando Seguridad con Innovación.    

Consumerization of  wiretapping.

Más que una tendencia, es una constatación de hechos. En la RSA había este año un amplio despliegue de ponentes a favor y en contra de los programas de espionaje llevados a cabo por las agencias gubernamentales. Personalmente, me quedo con la conferencia que Bruce Schneier  impartió en el segundo día de conferencias: “NSA Surveillance: What we know, and what to do about it”. Las técnicas de espionaje, así como las herramientas desarrolladas para soportarlas, se pueden convertir en un boomerang. En el mundo del software, la transición del particular al general es rápida y más sencilla que en otros ámbitos. Schneier nos alerta sobre  un futuro no muy lejano en el que estas técnicas y herramientas podrían estar a disposición del sector privado o de organizaciones criminales.

Una pérdida de confianza generalizada en una de las dimensiones esenciales de la seguridad de nuestros datos, es decir, la confidencialidad de la información, podría provocar una disgregación y segmentación de la red en reductos de ámbito local, con consecuencias negativas para el desarrollo de la economía digital y de la industria sobre todo Made in USA.

Este último aspecto quizá es el que más preocupa el mercado estadunidense. El monopolio tecnológico se puede perder o debilitar si los usuarios fuera de Estados Unidos empiezan a sentir la necesidad de buscar productores que no colaboren tan alegremente con los servicios de inteligencia.   

Mobilization of information assurance.

Después de haber pasado los últimos cinco años pregonando los beneficios de la movilidad en todas sus vertientes, con o sin BYOD, también los proveedores de soluciones han tomado conciencia de las necesidades de gobierno y control que este nuevo escenario requiere. La movilidad sin una política de seguridad puede convertirse en un coladero por el cual las organizaciones pueden perder información relevante. En los últimos meses, hemos asistido a numerosas operaciones empresariales de compra de start-ups con soluciones de movilidad. La integración de estas últimas con plataformas consolidadas como VMware, Citrix o SAP está impulsando el mercado de la movilidad hacia ecosistemas más sólidos y seguros.

Big Data no Big breach.

Se trata, en mi opinión, del quinto y último hot topic de la RSA digno de mención. Es también el más polimórfico y controvertido. Nadie pone en duda su potencial, muchos preconizan beneficios a nueve ceros para quien sepa explotar la nueva generación de minería de datos en todas sus vertientes. Sin embargo, ya hay algunos aguafiestas que alertan sobre los riesgos del Big Data y, más aún si este es Open. Lo cierto es que la seguridad debería ser una condición absoluta e irrenunciable de este nuevo paradigma tecnológico. De momento, más que securizar el Big Data, lo que se ve en las ferias del sector es la utilización de técnicas de Big Data para anticipar amenazas y descubrir vulnerabilidades. Posiblemente esta sea una buena manera de hacer innovación; sin embargo, en mi opinión, el reto de nuestra profesión será el de aportar una propuesta de valor para explotar el Big Data de manera eficaz pero  segura. 

San francisco es una ciudad poliédrica, a mitad de camino entre oriente y occidente, con muchas influencias. En sus calles se respira un aire fresco, regalo del Océano Pacifico, los edificios combinan modernidad y vintage en un equilibrio conseguido. De esto también se trata en la gestión de riesgos tecnológicos, la búsqueda de un equilibrio entre innovación y seguridad.