Los dispositivos móviles forman parte de nuestra vida cotidiana desde hace tiempo, pero cada vez utilizamos más y de diferentes tipos. Primero fueron los portátiles, después los teléfonos móviles y posteriormente surgieron otros con los teléfonos inteligentes (wereables), la última gran novedad mundial. Todos ellos nos hacen la vida más fácil porque nos conectan con Internet en cualquier lugar, hacen posible que accedamos a nuestros datos y permiten descargar múltiples aplicaciones. Todo ello a dos toques de pulgar.

Miembros del Comité Operativo del Centro de Estudios en Movilidad

Sin embargo, parece que todas estas posibilidades han dejado en un segundo plano un aspecto tan importante como es la seguridad. Los informes de los fabricantes de soluciones de seguridad en la Red alertan sobre los peligros de un uso inseguro de estos dispositivos, pero el mensaje no cala en la sociedad. Prima la accesibilidad, la comodidad y el disfrute.

De ahí la importancia de iniciativas como la emprendida a mediados de este año por ISMS Forum Spain, que ha creado el Centro de Estudios de Movilidad (CEM). Un proyecto cuyos principales objetivos son “promover el uso seguro de los dispositivos móviles y el Internet de las Cosas, y trasladar a la sociedad cómo éstos pueden ayudar a la seguridad de manera global”, explica Francisco Lázaro, CISO de Renfe, que lidera el centro. En definitiva, fomentar en la sociedad una “cultura de la seguridad” sobre estas tecnologías.

Esta iniciativa no va dirigida únicamente a profesionales de la seguridad TIC sino a toda la población. “En este campo primero hay que sensibilizar a toda la sociedad y pasar de la esfera personal a la profesional. Si nos paramos a pensar, muchos directivos están opinando en sus empresas sobre la seguridad en los móviles en base a su experiencia, con lo cual su experiencia personal se traslada a directrices profesionales. Y si la experiencia profesional fuera segura no tendríamos nada que decir, pero todavía queda bastante por hacer”, sostiene Lázaro.

Los cuatro grupos del CEM

Según explica Lázaro a RED SEGURIDAD, el CEM está formado por un Comité Operativo, “que ayuda a marcar la estrategia”, y cuatro grupos de trabajo, que son:

1. Privacidad y legal. Liderado por Paloma Llaneza, socia directora de Razonalegaltech, este grupo se encargará de los aspectos legales, con especial foco de atención en la privacidad. “Para regular hay que concienciar, porque si elaboramos mal la regulación será ineficaz”, sostiene. Para esta profesional, la vía legal y la regulación interna en las empresas es fundamental para evitar el uso inseguro de los productos.
2. Buenas prácticas y controles. Este grupo está coordinado por Javier García Carmona, CISO de Iberdrola, y se encargará de analizar los aspectos técnicos, de análisis y de gestión de la seguridad en los dispositivos móviles. Sus acciones se dirigirán en tres direcciones, según explica Carmona: el usuario final, con el objetivo de estudiar “cómo puede ayudar la tecnología”; el mundo empresarial, para ver “de qué manera se puede desarrollar una cultura de seguridad y ver cómo la tecnología puede ayudar al mundo empresarial a cumplir una líneas de mínimos”; y el ámbito regulador, “para que se entienda cómo la tecnología de seguridad puede ayudar a que haya un entorno más seguro en el Internet de las Cosas”.
3. Seguridad en Internet de las Cosas. El grupo (cuyo coordinador aún está por definir) se centrará específicamente en la salud y la automoción para analizar la seguridad de los dispositivos móviles en este ámbito. “Los hospitales cuentan con elementos médicos con conectividad que tienen más bien pocas medidas de seguridad”, sostiene Juan Manuel Zarzuelo, jefe de Proyecto en GrupoCMC, que afirma además que “es complejo evaluar la seguridad en los dispositivos que se emplean en la sanidad”. Con la automoción sucede algo parecido, especialmente tras descubrirse el fraude de Volkswagen o el proyecto para poner en marcha taxis no tripulados en Japón a partir del año que viene. Este grupo se aplicará en el futuro hacia otros entornos como las infraestructuras críticas o los wereables, según apunta Zarzuelo.
4. Amenazas y sensibilización. Se trata del grupo “clave” dentro de la estructura del CEM porque desde él se concienciará a la sociedad sobre las amenazas que se ciernen sobre los dispositivos móviles. Román Ramírez, uno de los fundadores de RootedCon, explica que esta área se ocupará de explicar las principales brechas de seguridad, los riesgos asociados a la movilidad o las vulnerabilidades. “De acuerdo con lo que estén haciendo los otros grupos, crearemos escenarios de demostración para meter la cosas en la cabeza a la gente”, indica Ramírez, que coordina el grupo.

Además de estos grupos, el Comité Operativo del CEM está formado por José Antonio Perea, miembro de la Unidad de Innovación, Gestión Tecnológica y Movilidad de la Dirección de Tecnologías de la Información y de las Comunicaciones de la Secretaría de Estado de Administraciones Públicas; Julio San José, Socio en EY; y Rafael Santos, jefe de Área de Seguridad de la Subdirección General de Tecnologías de la Información y Administración Electrónica del Ministerio de Fomento.

Actividades del Centro

“Nuestro mundo depende de la tecnología, pero no se están teniendo en consideración criterios de seguridad que en otros entornos son naturales. Hay mucho desconocimiento y falta contenido”, advierte Francisco Lázaro.

Para revertir esa situación, el CEM trasladará a la sociedad sus conclusiones y análisis a través de diversas vías. La principal será la web de ISMS Forum, donde se ha habilitado una página dedicada al centro donde publicarán contenidos como noticias o informes. Lo grupos de trabajo elaborarán trabajos de “fácil lectura”, cuyos contenidos tendrán tres niveles de especialización: “uno general dirigido a todo el mundo, otro para los responsables de la toma de decisiones y otro para los responsables de seguridad y TI”, asegura Lázaro.

Los miembros del CEM llevarán a cabo reuniones anuales en las que se plantearán estudios, tendencias y otros contenidos.

Publicado por Enrique González en Red Seguridad el 02/11/2015. Enlace directo.