El capítulo español de Cloud Security Alliance celebró su sexto encuentro anual el pasado 14 de noviembre en el IE Business School de Madrid, organizado en colaboración con ISMS Forum Spain, con la participación de más de 160 profesionales de la seguridad y la privacidad en cloud computing.

El presidente de Cloud Security Alliance España, Luis Buezo, y el Chief Academic Officer (School of Human Sciences and Technologies) del IE Business School, Manuel De Villalta, fueron los encargados de dar comienzo a una jornada en la que la Nube, a diferencia de los comienzos de la iniciativa allá por 2010, es ya una realidad en las organizaciones, y la seguridad una cuestión inherente.  

La ponencia inaugural correspondió a Eduardo Di Monte, director de seguridad y continuidad de negocio de AGBAR, que planteó su presentación sobre la Nube como un problema y a la vez como una solución. En sus palabras: “Cloud es una realidad que ha llegado para quedarse y que habilita un mundo de oportunidades que permite utilizar datos, analizarlos y, por tanto, hacer uso de los mismos para proteger nuestros sistemas”. Di Monte recordaba las cifras de algunos informes del sector, que ponen de manifiesto que el 91% de las organizaciones quiere introducirse en el ámbito Cloud. Pero también hizo referencia a los aspectos problemáticos a tener en cuenta, haciendo hincapié en que, en el desarrollo de nuevas tecnologías ligadas a la Nube, a nivel de diseño no se contempla la seguridad. Por ello, finalizaba su intervención insistiendo en que “lo importante es aprender a utilizar correctamente las tecnologías que operan en la Nube por medio de tres claves: integración, orquestación y automatización”.

Continuaba Marcos Gómez, subdirector de servicios de ciberseguridad de INCIBE y miembro de Cloud Security Alliance España y de ISMS Forum, quien habló de la confiabilidad y la seguridad en la Nube desde el punto de vista de prestador de servicios públicos. La Nube como tendencia, sobre todo a través del móvil como dispositivo conectado, apuntaba Marcos, supone ya la “hiperconexión” de usuarios y, cada vez, de mayor número de empresas cuyos empleados comparten información. “Más del 40% del tejido empresarial y la Administración Pública ya está usando servicios en la Nube”, destacaba Marcos.

El mismo desarrollo de servicios en la Nube, señalaba Marcos, también supone nuevos riesgos y amenazas, como es el caso de los últimos ataques de denegación de servicio que han sufrido algunos de los principales proveedores de telecomunicaciones. También se ha utilizado la capacidad de computación para romper un cifrado y poner en peligro un protocolo de comunicación.

Como perspectivas y consideraciones a tener en cuenta a la hora de incorporarse a la Nube, Marcos recordaba la Directiva NIS que, entre otras, incluirá la obligación de establecer una estrategia que garantice la seguridad de los proveedores y operadores de servicios esenciales. Seguridad, privacidad, escalabilidad y disponibilidad, serán criterios básicos para la contratación de servicios en la Nube; también tendrán que considerarse las transferencias internacionales de datos, la confidencialidad de los datos almacenados o la transacción de datos, entre otros.

Uno de los puntos clave del encuentro lo constituyó el análisis del estado de la adopción empresarial y seguridad de los servicios en la Nube, con la presentación de las principales conclusiones de la cuarta edición del Estudio sobre el Estado de la Seguridad en la Nube, informe desarrollado por ISMS Forum, Cloud Security Alliance España, los Capítulos peruano y argentino de Cloud Security Alliance, e ISACA Madrid y Perú.

El estudio consolida las tendencias identificadas en años anteriores respecto de las expectativas sobre la Nube, los requisitos que se exigen a estos servicios y la satisfacción final con los servicios recibidos. Así, las expectativas de seguridad sobre la Nube son muy altas (aunque con un leve descenso), y siguen siendo más altas que los requisitos que se piden (que se mantienen) y más altas aún que la satisfacción final de los usuarios de los servicios de Nube, que también se mantienen.

Las conclusiones del estudio dieron paso a un debate sobre la evolución de la adopción de soluciones y servicios en la Nube, desde una perspectiva centrada en la seguridad de la información, de los datos y de los servicios corporativos, analizando su influencia en la forma en la que se adoptan o no servicios en la Nube. Formaron parte del debate Raúl Pérez, Global Presales Manager de Panda Security, Federico Dios, Service Line Manager de Akamai, Félix Martín, EMEA Security Consulting Lead de HPE, y José Ramón Monleón, Chief Information Security Officer y miembro de la Junta Directiva de ISMS Forum. Como principales conclusiones, destacaron la importancia del crecimiento de las expectativas en la Nube, la heterogeneidad de servicios y tecnologías, como por ejemplo la aplicación a Big Data para analizar con mayor precisión las amenazas, y la aplicación del nuevo Reglamento Europeo de Protección de Datos. Respecto al Shadow IT, continúa siendo un problema derivado de la agilidad del uso de soluciones gratuitas, por lo que la solución supone establecer sistemas de control.

Una mesa redonda formada por CISOs, estableció un controvertido debate sobre si la Nube, especialmente en su vertiente de seguridad, supone para la Industria uno de los principales ejes para asegurar el éxito de su transformación digital. Experiencias prácticas de grandes empresas se sucedieron con la visión de los fabricantes en torno a la protección de la información en la Nube. Participaron, Gianluca D’Antonio, Chief Information Officer de FCC y presidente de ISMS Forum, Manuel Martínez, responsable de control de seguridad de Gas Natural Fenosa, Rafael Hernández, responsable de Seguridad de la Información de Cepsa, Miguel Suárez, Jefe de Estrategia de Seguridad de Symantec + Blue Coat, y Javier Santiago, Responsable de Ciberseguridad y Network Defense de Trend Micro. Concluyeron que la Nube juega un papel fundamental para la Transformación Digital y, aunque la seguridad no sea el objetivo principal por el que las organizaciones operan en la Nube, en un momento como el actual se convierte en estrategia, con nuevas capacidades y posibilidades con un gran potencial que trasladan la seguridad al rendimiento del negocio.   

Siguiendo con la agenda prevista, continuaba el Profesor Dr. José Luis Piñar, Catedrático de Derecho Administrativo y Vicerector de Relaciones Internacionales de Universidad San Pablo-CEU, y ex director de la Agencia Española de Protección de Datos. Piñar centró su ponencia en los nuevos retos para la protección de datos que supone la Nube. Ilustró su presentación con un ejemplo práctico, en el que evidenció el diseño seguro de automóviles, mientras que mostró que no parece ser igual cuando hablamos de datos de carácter personal, puesto que no nos preguntamos si existe un tratamiento de datos de carácter personal cuando participamos en redes sociales, cuando fabricamos drones o cuando incorporamos nuevas tecnologías. Piñar señaló que con el nuevo marco regulatorio europeo pasaremos de la gestión de los datos al gobierno responsable de la información con principios que van a imperar como el accountability, es decir, la responsabilidad proactiva que dejará en manos de los encargados la toma de medidas, la privacidad por defecto y la privacidad desde el diseño. Y todo ello se aplicará a las nuevas realidades como Big Data, IoT, Cloud…, y en todo aquello que implique tratamiento de información.

La sesión finalizó con la presentación del caso de éxito de Cloubity, startup dedicada a la movilización de aplicaciones para PYMEs y cuyo modelo se basa exclusivamente en la Nube. Manuel Martín, Chief Executive Officer de Cloubity, y su socio, Jordi Rodríguez, fueron los encargados de explicar las ventajas de la evolución de un modelo on premise a un modelo basado en cloud.