La Ciberseguridad como eje de la Transformación Digital

El Teatro Fernando de Rojas del Círculo de Bellas Artes de Madrid acogió el pasado 26 de mayo, la decimoctava edición de la Jornada Internacional de Seguridad de la Información organizada por ISMS Forum Spain, en la que más de 450 profesionales de la seguridad de la información y la protección de datos se reunieron para debatir en torno al impacto de las políticas de ciberseguridad y protección de datos en el proceso de Transformación Digital que afronta el sector empresarial.

Bajo el título "Overhauling Cybersecurity Strategies to address the Digital Transformation", durante toda la jornada se sucedieron ponencias y debates con la presencia de reconocidos expertos y autoridades, nacionales e internacionales, que nos ayudaron a entender mejor las claves para afrontar con éxito la Transformación Digital.

La bienvenida de Enrique Sánchez De León, director general de la Asociación para el Progreso de los Directivos, junto a Gianluca D’Antonio, presidente de ISMS Forum, dio el pistoletazo de salida al congreso con la representación y asistencia de un colectivo cada vez más sensibilizado con la ciberseguridad.

En la ponencia inaugural, Peter Yapp, Subdirector de Operaciones del Centro de Respuesta a Emergencias Cibernéticas de Reino Unido (CERT-UK), explicó el funcionamiento de la plataforma de compartición de información en ciberseguridad (CiSP, en sus siglas en inglés), puesta en marcha por esta institución para gestionar el intercambio de información sobre ciberamenazas entre empresas. Una práctica común en otros muchos países europeos, pero con el alirón de Reino Unido de aglutinar más de 5.800 organizaciones.

Yapp habló también de las iniciativas impulsadas por el CERT para mejorar la resiliencia empresarial ante ciberamenazas, con actividades y pruebas semejantes a los ciberejercicios promovidos por el Ministerio de Industria español. En el ámbito internacional, el CERT forma parte también de los ciberejercicios que Reino Unido realiza conjuntamente con EEUU.

De forma simultánea se abordaron las últimas novedades en materia de protección de datos, con las implicaciones del nuevo Reglamento Europeo de Protección de Datos y el acuerdo sobre las transferencias internacionales de datos, “Privacy Shield”, de la mano de Jens-Henrik Jeppesen, director del Centro Europeo para la Democracia y la Tecnología.

Continuó la sesión John Summers, Vice President Security Business de Akamai, para hablar de la importancia de proteger la información en circulación. “Ya no se trata solo de un problema de seguridad, sino que estamos ante un problema para el negocio”, manifestaba Summers al explicar que una gran variedad de bots, ente otros tipos de malware, tienen objetivos de negocio, por lo que es fundamental proteger los activos empresariales. “No solo es importante bloquear bots, sino que la estrategia debe pasar por la prevención”.

A continuación una mesa redonda moderada por Fernando Picatoste, socio de Deloitte, y formada por máximos representantes de fabricantes, proveedores e integradores, abordó la inteligencia aplicada a la seguridad como estrategia de negocio ante la “imprudencia digital”, profundizando en la protección end-to-end y en los retos del nuevo contexto tecnológico. David Francis, Chief Security Officer para Europa Occidental de Huawei, argumentó durante su intervención que “la colaboración es un factor clave. Es necesario cooperar con proveedores, consumidores, clientes externos e, incluso, competidores y el flujo de información tiene que ser continuo y relevante”. Por su parte, Vijay Dheap, Big Data Security Intelligence & Mobile Security de IBM, destacó que la seguridad es una herramienta clave para la empresa y que, por tanto, “debemos adaptarnos para afrontar las amenazas”. Tim Grieveson, Chief Cyber & Security Strategist para EMEA de HPE, ilustró con ejemplos del día a día (frigoríficos y televisores conectados) la necesidad de tomar conciencia y pensar en la seguridad por defecto. Para concluir, Sian John, EMEA Chief Strategist de Symantec, declaró que confiamos en la tecnología demasiado, cuando en realidad deberíamos proteger los dispositivos como cualquier otro activo de la empresa.

En paralelo, el Data Privacy Institute de ISMS Forum Spain presentó un nuevo proyecto en colaboración con organizaciones públicas y privadas con la finalidad de crear una guía de buenas prácticas de protección de datos que sirva de referencia para todas aquellas organizaciones que estén pensando en llevar a cabo un proyecto de Big Data. Pese a que la mayoría de las empresas están convencidas de las bondades del análisis de datos, este fenómeno continúa generando dudas e incertidumbre; la información disponible al respecto se encuentra dispersa en la red y no existen criterios claros que orienten a los interesados en los aspectos más prácticos así como las implicaciones jurídicas que se derivan de un proyecto de estas características para poder acometerlos con la correspondiente seguridad jurídica. La mencionada guía será presentada próximamente.

Tras la pausa del café, Juan Lara, Director of Security Strategy de Imperva, de nuevo resaltó el factor humano como clave para afrontar las ciberamenzas. Fenómenos como el Bring Your Own Device o el Shadow IT, comprometen la seguridad de las empresas., por lo que “las empresas tienen que evaluar su exposición a las amenazas”, señalaba Lara durante su intervención.

En el track simultáneo, Ángel Vallejo, Director de RRII de THIBER, presentaba un estudio recientemente editado por esta organización sobre los ciberseguros y la transferencia del ciberriesgo en España. El estudio desarrolla una visión de conjunto sobre la situación de los ciberseguros en España, combinando estrategias de mitigación de los riesgos cibernéticos con estrategias de transferencia de los mismos a través de su aseguramiento.

De nuevo en el auditorio principal continuaba la sesión con una mesa redonda dedicada a la compartición de indicadores de compromiso. Formaron la mesa Eduvigis Ortiz, Global Alliances & Innovation Director Cybersecurity de Prosegur, Raúl Pérez, Global Security Solutions Architect de Panda Security, David Grout, Technical Director Southern Europe de FireEye,Raimund Genes, Chief Technology Officer de Trend Micro, y Lurent Marechal, Southern Europe Data Protection Owner de Intel Security. Establecieron un profundo debate centrado en la importancia de la colaboración a todos los niveles para mejorar las capacidades de prevención, detección y mitigación; explicaron cómo los proveedores de seguridad están abriéndose a la colaboración con la compartición de información bidireccional, aportando conocimiento a sus clientes; e insistieron en la necesidad de mantener la alerta frente a los ataques dirigidos, en los que no hay alertas posibles. Por último, destacaron la importancia de la capacidad de las empresas para reducir el tiempo de detección y, por tanto, de afrontar las amenazas.

Mientras en la sesión simultánea Raúl Siles y David Barroso, miembros del Centro de Estudios en Movilidad e IoT de ISMS Forum, presentaban talleres prácticos y demos de hacking en torno a tecnologías conectadas de uso cotidiano con el objetivo de concienciar sobre el uso seguro de nuevos dispositivos, en el auditorio principal tenía lugar la tercera mesa redonda formada por Carl Leonard, Principal Security Analyst de Forcepoint, Frederic Benichou, Regional Director CASB product line de Blue Coat y Patrick Grillo, Fortinet Senior Director, bajo la moderación del experto en Ciberseguridad, Ari Knuuti. La mesa redonda estuvo centrada en la gestión del denominado Shadow IT, ligado al uso de servicios profesionales en la Nube, y la transformación del perímetro de seguridad. Una transformación en la que correo electrónico, compartición de archivos, aplicaciones ofimáticas…, han contribuido a la generación de nuevos riesgos para la empresa, y en la que muchas empresas apuestan por nuevas soluciones de protección y control.

Acto seguido llegó el turno de los ciberejercicios, con la presentación de la iniciativa CyberEX impulsada y coordinada por INCIBE y CNPIC, con la colaboración de ISMS Forum en el área de comunicación. CyberEx en su quinta edición se llevará a cabo en operadores críticos de ámbitos multisectoriales que permitirán mantener un contacto cercano con los operadores. Asimismo, fue presentada la segunda edición de CyberEx Internacional, proyectada por INCIBE y CNPIC en colaboración con la Organización de Estados Americanos (OEA).

Terminó la mañana con la esperada intervención de Bruce Schneier, reconocido experto y padre de la criptografía, quien abogó por los derechos de los ciudadanos en relación con los últimos escándalos referentes a la interceptación de información por parte de las autoridades estadounidenses.

Durante la tarde, cabe destacar la participación de Jakub Boratynski, en representación del área de Ciberseguridad de Comisión Europea, quien nos habló en primicia de la Directiva NIS (Network Information Security) y sus implicaciones para el sector empresarial, así como de los programas de ayudas enmarcados en H2020.

En relación a la Directiva NIS, repasó los periodos de trasposición de la nueva regulación por las autoridades nacionales y la necesidad de contar con un equipo de respuesta ante incidentes (CSIRT), y recordó que como principales novedadesla Directiva obligará la comunicación de incidentes cibernéticos en un plazo de 72 horas, especialmente para los operadores de servicios esenciales.

En cuanto al programa de ayudas Cybersecurity contractual Public-Private Partnership (cPPP), enmarcado en el H2020, tiene el objetivo de estimular la industria europea de la seguridad y la Privacidad fomentando la innovación y la competitividad de los Estados miembros.

Continuaba el congreso con la intervención de Peter Maier-Borst, Managing Director de Virtual Forge Iberia, encargado de revisar las ciberamenazas que afectan a los sistemas de planificación de recursos empresariales (ERPs), que albergan la información operacional de las empresas. “Más de 300 mil empresas utilizan SAP, ¿por qué no protegemos este entorno?”, insistía Peter durante su ponencia, destacando que el 74% de la facturación mundial se realiza a través de un entorno SAP.

Jordi Gascón, Senior Director Presales de CA Technologies, nos habló de la actual economía de las aplicaciones, en la que los usuarios intercambian información y realizan todo tipo de transacciones a través de aplicaciones, y, por tanto, de la necesidad de asegurar que el usuario es quien dice ser y que accede solo a lo que está autorizado. La seguridad centrada en las identidades y la adecuada gestión y gobierno de las identidades digitales como factor crítico para proteger los datos y las transacciones, pero también para aprovechar nuevas oportunidades de negocio en el mundo digital.

Para terminar una jornada maratoniana, Luis Martín, CEO de Barrabés, y Miguel Rego, CEO de INCIBE, compartieron sus visiones sobre la contribución de la Ciberseguridad y la protección de datos a los procesos de innovación y transformación digital, y la tendencia del mercado de la Ciberseguridad en España. Cifra significativa la que desprende un reciente estudio de INCIBE de las tendencias sectorizadas del mercado nacional de Ciberseguridad, que clasifica el volumen de negocio de la Ciberseguridad en España en los casi 600 millones de euros en 2014, con una previsión de crecimiento del mercado global de hasta un 12%.

Interesantes debates, presentaciones y talleres, que se sucedieron a los largo de toda la jornada gracias a la colaboración institucional de Comisión Europea, la Embajada Británica, el Instituto Nacional de Ciberseguridad, el Centro Nacional de Protección de las Infraestructuras Críticas y el Departamento de Seguridad Nacional. Gracias también al apoyo de los patrocinadores: Akamai, Blue Coat, CA Technologies, Deloitte, FireEye, Forcepoint, Fortinet, Hewlett Packard Enterprise, Huawei, Imperva, Intel Security, IBM, Panda, Prosegur, Samsung, Symantec; Trend Micro y Virtual Forge.