5 de octubre de 2021, Madrid. ISMS Forum, junto al Capítulo Español de Cloud Security Alliance, celebró el pasado jueves 30 de septiembre el XI Encuentro de Cloud Security Alliance España donde más de 300 profesionales inscritos en modalidad online y más de 120 profesionales de manera presencial se dieron cita en este evento híbrido que se ha consolidado como uno de los congresos nacionales más importantes en materia Cloud.

Luis Buezo, Director, WW AI & Data Platforms, HPE Pointnext Services, Presidente del Capítulo Español de Cloud Security Alliance, y Miembro de la Junta Directiva de ISMS Forum;fue el encargado de inaugurar el acto junto a Mariano J. Benito, CISO de GMV y Coordinador del Comité Técnico Operativo del Capítulo Español de Cloud Security Alliance.

El Encuentro tuvo como ejes principales el marco regulatorio nacional y transnacional, con el nuevo Esquema Nacional de Seguridad y la Directiva NIS como objetos de atención; así como la European Alliance for Industrial Data and Cloud, una alianza europea centrada en el papel de la ciberseguridad del Edge y la Cloud, como infraestructuras para la generación y el fortalecimiento de la industria europea. 

Pearse O’Donohue, Director for the Future Networks Directorate at DG CONNECT (Comisión Europea), dio comienzo al Track 1, “Cloud Security Strategy”, con su ponencia “The European Alliance for Industrial Data and Cloud”.

“Si todo está conectado, todo puede ser hackeado y, dado que los recursos son escasos, tenemos que hacer frente a la magnitud del desafío de la resiliencia cibernética”, comentó el experto al inicio de su ponencia.

“La seguridad del código es una parte muy importante de nuestra resiliencia cibernética, ya que los procesos de vida son cada vez más dependientes en todos los sectores, de hecho,  en una reciente encuesta realizada por la Cloud Security Alliance destacan que el 58% de sus encuestados están preocupados por la seguridad […] La falta de confianza o la percepción de debilidad en el ámbito de la seguridad ha sido uno de los principales obstáculos para la adopción de la nube en Europa, tenemos que ser capaces de controlar la seguridad de los datos, no solo por el aumento de los ciberataques, sino también por la preocupación de muchas empresas y gobiernos por el acceso ilegal a los datos por parte de jurisdicciones lejanas, donde en algunos casos tenemos operadores en la Nube y otros proveedores que están sujetos a las leyes de terceras empresas”, declaró O’Donohue.

Por otro lado, Bart Preneel, profesor en la Universidad de Lovaina, fue el encargado de dar comienzo al Track 2, “Cloud Security Trends & Policies”, con su ponencia “Technology and control”, en la que habló sobre el control tecnológico. “Las tecnologías digitales están cada vez más presentes en nuestras vidas. Somos adictos a los teléfonos inteligentes con sofisticados sensores y potentes procesadores. Los edificios, los coches y las ciudades se están convirtiendo en entornos inteligentes omnipresentes y autónomos, mientras que los rastreadores de fitness y los dispositivos médicos entran en nuestro espacio personal. Para gestionar este complejo ecosistema, se está ofreciendo un número creciente de servicios en la Nube; y algunas de las interacciones que requieren baja latencia se están desplazando hacia el Edge.

“Las aplicaciones varían desde el almacenamiento de datos, el análisis de datos (para informar a los usuarios o para mostrar anuncios) hasta el control de sistemas físicos (por ejemplo, vehículos autónomos). Estos avances plantean interesantes preguntas sobre quién tiene el control de esta tecnología y de los datos. O, en el caso de proteger criptográficamente los datos, ¿quién tiene el control sobre esas claves? Estas preguntas pueden plantearse a nivel del ciudadano, de la empresa o del Estado nacional. Las respuestas requieren una combinación inteligente de medidas legales, técnicas y económicas”, añadió Preneel.

En el encuentro tuvo lugar el debate entre Pablo López, Jefe Área Normativa y Servicios de Ciberseguridad del Centro Criptológico Nacional; y Miguel Ángel Amutio, Jefe de la División para la Ciberseguridad, Planificación y Coordinación de la Secretaría General de la Administración Digital, sobre el nuevo Esquema Nacional de Seguridad (ENS).

“La mayoría de las brechas de seguridad en entornos Cloud se producen por fallos de configuración. En este sentido, un modelo de servicio en la Nube exige una Certificación de Conformidad (ENS Nivel ALTO) y una vez analizadas las dimensiones de seguridad, el siguiente paso consiste en un análisis de riesgos que permita obtener una declaración de aplicabilidad (medidas de seguridad a considerar) y un perfil de cumplimiento adaptado al ecosistema en cuestión que determinará un bastionado de seguridad validado. Es decir, el valor añadido consiste en adoptar las mejores prácticas y aplicar una guía de configuración segura donde es necesario detallar cómo se cubren las diferentes responsabilidades”, comentó Pablo López.

         

Miguel Ángel Amutio y Pablo López en el XI Encuentro de Cloud Security Alliance España.         

Por su parte, Andrés Peral, Director de Seguridad en Sistemas de Información de Mapfre, compartió con la audiencia las lecciones aprendidas durante los últimos años en lo que respecta al posicionamiento de seguridad en la Nube y la evolución que ha experimentado la estrategia de seguridad en este medio. El experto puso especial énfasis en que “la aproximación no debe ser únicamente la de hacer un viaje seguro a la Nube si no que la Nube se ha convertido en un elemento clave del ecosistema tecnológico de las compañías cuya seguridad es necesario gobernar y mantener en el tiempo”.

El XI Encuentro de Cloud Security Alliance España fue el escenario de la presentación de la cuarta versión de la matriz de controles de seguridad Cloud Control Matrix (CCM v4), por Diana Molero y Jorge Laredo, ambos miembros del CSA-ES. Se trata del esquema de controles de ciberseguridad que se alinea con las mejores prácticas de CSA y es considerado el estándar de facto para la seguridad y privacidad en la Nube.

También resultó de gran interés el caso de estudio presentado por Miguel Ángel Pérez, Global Head of Cloud Security Products en Telefónica, y Rafael Hernández, CISO de Cepsa y Miembro de la Junta Directiva de ISMS Forum.

“El mundo ha cambiado, la Cloud es una palanca para la transformación digital, el lenguaje de la Cloud es específico, nuevo, se trata de todo un ecosistema que nos exige evolucionar. Es un entorno con los mismos problemas que los escenarios tradicionales pero que exige nuevas herramientas. El principal atributo de la Cloud es ‘el cambio constante’ y la desaparición del perímetro. En Cloud el inventario se modifica constantemente y muchas cargas tienen tiempos de vida muy cortos, las estrategias tradicionales basadas en el despliegue de agentes no sirven. Se impone más que nunca desde una perspectiva de seguridad fijar patrones y buscar comportamientos anómalos. Los errores de configuración, los sobrepermisos y la velocidad que impone el ‘T2M’ (Time To Market) en las organizaciones son un caldo de cultivo excelente para cometer pequeños errores que pueden dar al traste con una instalación”, declaró Miguel Ángel Pérez.

“El 47% de las soluciones que se están dando en Cloud, en temas de networking y detección del networking, se están usando elementos de terceras partes, sin embargo, el 46% de las soluciones que se están adaptando de gestión de identidades son nativas de los proveedores. Mi figura como CISO no es sencilla, ya que tenemos que compaginar todo esto. Por este motivo, nos centramos en definir políticas muy claras sobre qué es lo que debemos cumplir, si un dato no es accesible y tiene una trazabilidad y características concretas deberá tener las mismas características on premise y en la Nube. Es necesario cumplir una serie de procedimientos, se trata de los mismos retos, los mismos objetivos, pero un camino muy diferente, puesto que las herramientas y el proceso han cambiado. Debemos tener claro el objetivo, que es securizar, y si tenemos las políticas y el objetivo final, llegaremos a buen término”, declaró Rafael Hernández en respuesta a la pregunta sobre los cambios más radicales que ha gestionado en el perímetro de la responsabilidad de procesos, personas y tecnologías, con respecto a la Cloud.

                

Miguel Ángel Pérez y Rafael Hernández en el XI Encuentro de Cloud Security Alliance España.

Por último, tuvo lugar la presentación del IX Estudio del Estado de la Seguridad en la Nube, un documento que busca investigar y conocer el Estado del Arte de la adopción de la Computación en la Nube, así como el papel que juega la seguridad en la adopción de estos servicios. Todo ello, desde el punto de vista de los Usuarios de Servicios en la Nube.El documento estará disponible en la web de ISMS Forum en los próximos días.

Un año más, el XI Encuentro de Cloud Security Alliance España se ha consolidado como uno de los mayores congresos nacionales en el que más de 400 asistentes disfrutaron en modalidad online y presencial de debates de alto rango en materia Cloud.

Desde ISMS Forum y el Capítulo Español de Cloud Security Alliance queremos agradecer especialmente a nuestros patrocinadores Check Point, Forcepoint, IBM, Netskope, Zscaler, Accenture, Aruba, Capegemini, Cisco, CrowdStrike, Cloudflare, Fastly, ForgeRock, Fortinet, Palo Alto Networks, SentinelOne y Trend Micro, su apoyo para que este encuentro digital pueda realizarse.

---

Sobre ISMS Forum

ISMS Forum -International Information Security Community- es una organización sin ánimo de lucro fundada en enero de 2007 para promover el desarrollo, conocimiento y cultura de la Seguridad de la Información en España y actuar en beneficio de toda la comunidad implicada en el sector. Creada con una vocación plural y abierta, se configura como un foro especializado de debate para empresas, organizaciones públicas y privadas, investigadores y profesionales donde colaborar, compartir experiencias y conocer los últimos avances y desarrollos en materia de Seguridad de la Información. ISMS Forum cuenta con más de 250 empresas asociadas y más de 1.250 profesionales asociados. La Asociación es ya, por tanto, la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.

Contacto

Raquel García – Responsable de Comunicación Externa y Relaciones Públicas

rgarcia@ismsforum.es

Twitter: @ISMSForum

LinkedIn: ISMS Forum

Teléfono: +34 600 87 19 69