X Jornada Internacional de Seguridad de la Información de ISMS Forum Spain. "Ciberdefensa y Ciberseguridad: La evolución de la amenaza frente a la protección de las infraestructuras críticas". 29 de noviembre. Ciudad de las Artes y las Ciencias de Valencia

Participaron multinacionales que lideran el I+D de seguridad como Check Point, HP, IBM, Juniper Networks, Kaspersky, McAfee, Symantec y Trend Micro; firmas de referencia como KPMG y Verizon y empresas grandes corporaciones españolas como Bankia, Bankinter, Gas Natural Fenosa, Grupo FCC, Prosegur o Telefónica.

La X Jornada Internacional de Seguridad de la Información de ISMS Forum reunió en Valencia a expertos, profesionales, instituciones y empresas de primer nivel para debatir sobre el estado actual de la Ciberseguridad en España. Celebrada en la emblemática Ciudad de las Artes y las Ciencias de Valencia, tuvo como eje principal los retos que se presentan para el sector, con especial hincapié en las nuevas ciberamenazas y la recientemente publicada normativa sobre Protección de Infraestructuras Críticas. Contó con más de 250 asistentes, procedentes de 120 empresas e instituciones.

La bienvenida corrió a cargo de Gianluca D’Antonio, Presidente de ISMS Forum Spain; Chief Information Security Officer (CISO) del Grupo FCC; y Miembro del Consejo de Expertos (PSG) de ENISA; y de Bruno Broseta Dupré, Secretario Autonómico del Sector Empresarial, en representación de la Generalitat Valenciana.

La sesión partió de una idea: la Ciberseguridad debe considerarse como un Bien Público. El Presidente de ISMS Forum abrió la jornada argumentando que la Ciberseguridad es “un deber de Estado” que consiste en garantizar la seguridad y la protección de los derechos y libertades en el ciberespacio. Tal y como plantea la profesora de Berkeley University, Deirdre K. Mulligan, la Ciberseguridad tiene que ser tratada como un Bien Público, equiparable a la Salud Pública. De este modo, el Estado tiene la obligación de asumir un papel rector, estableciendo un marco para el fomento del estado positivo de la seguridad y para el manejo de la inseguridad, una vez que las ciberamenazas se han materializado. En este sentido, España necesita de una estrategia de Ciberseguridad que defina unas metas y objetivos claros, y en la que se establezcan aspectos clave como: A quién se va a asegurar, contra qué amenazas; con qué medios técnicos, educativos, regulatorios; y bajo qué modelo de financiación.

Esta X Jornada Internacional de ISMS Forum contó con la participación de dos instituciones claves en materia de Ciberseguridad como son el Centro Criptológico Nacional (CCN) y el Centro Nacional de Infraestructuras Críticas (CNPIC), quienes aportaron valoraciones, y expusieron las estrategias estatales de su competencia. Los demás ponentes, representantes de empresas de primer nivel nacional e internacional, tuvieron la oportunidad de debatir y mostrar sus posiciones ante ellas. Así supuso un foro de debate abierto e integrador y, por ello, de gran valor para los asistentes. Participaron multinacionales que lideran el I+D de seguridad como Check Point, HP, IBM, Juniper Networks, Kaspersky, KPMG, McAfee, Symantec, Trend Micro; y empresas españolas de referencia como Bankia, Bankinter, Gas Natural Fenosa, Grupo FCC, Prosegur o Telefónica.

La estrategia española en materia de Ciberseguridad

Sobre Ciberseguridad, Javier Candau, Subdirector General Adjunto del CCN argumentó que España ha establecido una “línea mínima de defensa” donde todas las administraciones tienen que verse reflejadas. Se trata de un paso importante, destacó, pero Candau no escatimó argumentos para recalcar que es necesaria una dotación presupuestaria suficiente. Debemos estar en “permanente vigilancia y pensar que la red puede estar comprometida”, pero “todo pasa por recursos materiales y económicos”, sentenció.

Candau explicó que se trata de “la primera referencia que se hace a la ciberamenaza” como un peligro real, haciendo referencia a la estrategia de seguridad aprobada el pasado junio en el Congreso de los Diputados. Así en “las políticas sobre amenazas y riesgos para los próximos cinco años figuran las ciberamenazas”, incluyéndose una mención especial a las Infraestructuras Críticas. Precisamente, la X Jornada se centro en buena parte en el análisis del nuevo panorama de ciberamenzas derivadas del rápido progreso tecnológico, en particular las que podrían poner en peligro servicios esenciales para la sociedad, provistos por estas Infraestructuras Críticas del país. El tema tiene una relevancia máxima, pues como consecuencia de fallos de seguridad o de ciberataques terroristas, por ejemplo, se podrían producir, además de millones de euros en pérdidas, víctimas humanas.

Por ello, Candau comentó que hay que proteger las Infraestructuras Críticas, pero éstas, en sentido estricto, son sólo las consideradas y clasificadas como críticas para el Estado, existiendo otras infraestructuras que aún no “siendo apellidadas como críticas” también hay que protegerlas. Por eso hay que matizar que hay sectores muy relevantes que “pueden no ser clasificados como 'críticos' desde la Administración; y sufren muchos ataques”. Por eso “existen sectores estratégicos que también necesitan protección”, pues ofrecen servicios muy importantes a la sociedad y su fallo puede causar importantes problemas” explicando la visión global de la estrategia aprobada.

Colaboración público-privada en la protección de IC

Este año 2011 ha sido clave para establecer el marco legal en materia de Infraestructuras Críticas, ya que se publicaron la Ley 8/2011 por la que se establecen medidas para la Protección de las Infraestructuras Críticas y el Real Decreto 704/2011 por el que se aprueba el Reglamento para la Protección de las Infraestructuras Críticas, que son definidas como “el conjunto de recursos, servicios, tecnologías de la información y redes, que en el caso de sufrir un ataque, causarían gran impacto en la seguridad, tanto física como económica, de los ciudadanos o en el buen funcionamiento del Gobierno de la Nación”.

El análisis de la normativa recientemente aprobada correspondió a Fernando Sánchez Gómez, Director del Centro Nacional de Protección de Infraestructuras Críticas, CNPIC; Manuel Canalejas, Director de Consultoría, Prosegur; Manuel Carpio, Director de Seguridad de Insfraestructuras y Prevención del Fraude, Telefónica; y José Luís Bolaños, Director de Seguridad y Protección, Gas Natural Fenosa; en un debate conducido por José de la Peña, director de la revista SIC. Los ponentes trataron temas relacionados con la implantación de la normativa, el nivel de madurez de las empresas españolas en seguridad, y la necesaria interlocución público-privada, uno de los retos fundamentales para los próximos años, ya que como aseguró el director de CNPIC: “El espíritu de la ley es la coordinación de todos los actores”, ya que no en vano en la protección de las Infraestructuras Críticas intervienen tanto la Administración como las empresas. Por ello, se requiere de una colaboración público-privada, que es “la base de un adecuado estado de seguridad”.

De hecho, las empresas protegen sus Infraestructuras Críticas desde que se crean, por lo que cuentan con una experiencia muy valiosa. Como comentó Manuel Carpio, desde los años 20 Telefónica “se ha ocupado de proteger las Infraestructuras Críticas para ofrecer el servicio y para garantizar la continuidad del negocio. En este sentido el impacto de la Ley es mínimo”.

Según Sánchez la Ley sólo establece “un sistema de mínimos y no entra a valorar” los mecanismos que ponen en marcha las empresas para proteger sus Infraestructuras Críticas, si son eficaces, eficientes y si están probados. Y es que se trata de una gestión vital para ellas, ya que garantizan la prestación del servicio y la respuesta ante los daños originados por posibles ciberataques. “No vamos a decir a una empresa con mucha experiencia al respecto cómo lo tiene que hacer”, aseguró.

“Esta no es una Ley más, no es una ley convencional. Tiene unas características que la diferencia de las demás. No es una carga impositiva más. Si no que es algo que va más allá. De lo que se trata es de crear una política de protección de Infraestructuras Críticas en la que participemos todos”. Así, aseguró que el Real Decreto impulsa toda esta política de cooperación para enmarcar un camino, sin que exista un ánimo de sanción.

Desde el punto de vista de las empresas, en general, se mostró su acuerdo a las afirmaciones del director del CNPIC. José Luís Bolaños destacó que efectivamente la colaboración de las administraciones públicas es esencial. “El problema no se resuelve con medios y recursos de las empresas proveedoras”, si no que es necesaria la colaboración de la administración, estableciendo unas bases y reglas del juego, y el “apoyo efectivo de las fuerzas de seguridad el Estado y de las autonomías en la prevención y reacción cuando ocurren las cosas y para que no se vuelvan a repetir”, aseveró. “Las empresas han invertido, pero eso no resuelve la película”.

En cuanto al cumplimiento normativo, Manuel Carpio comentó que “estamos preparados de acuerdo a lo que dice la Ley”. Bolaños valoró además que el “concepto de Infraestructuras Críticas para nosotros tiene un matiz especial con respecto a nuestros clientes y los servicios que proporcionamos a la sociedad”, quien también destacó la importancia de llevar a cabo una gestión global dentro de las empresas. “No podemos estar en departamentos estancos”. En este sentido también se pronunció Manuel Canalejas: “Si todas las estrategias no forman parte de una estrategia global de seguridad nunca llegaremos al punto final que es conseguir que la empresa o la infraestructura sea segura”.

Con respecto a la legislación aplicable, Canalejas interpeló al CNPIC: “me gustaría ver mucha más concreción en la exigencia” y “me encantaría ver muy concreto y desarrollado como va ser el tema de coordinación. Cómo nos vamos a comunicar unos con otros y cómo vamos a actuar en casos de emergencia”.

Por último, para el director del CNPIC “el grado de madurez de la protección en España es muy alto a nivel general”, ya que debido a la amenaza del terrorismo ha sido necesario en las últimas décadas prepararse ante posibles ataques. “De lo que se trata es de impulsar un tema que a medio y largo plazo propicie un cambio de cultura de la seguridad que algunos lo perciben de una forma más intensa y otros no lo perciben o no quieren percibir”, concluyó.

Nuevo panorama de ciberamenazas

El rápido progreso tecnológico y los nuevos usos generan nuevas amenazas de seguridad. De gran actualidad son aquellas vinculadas a la tendencia de la movilidad y el denominado cloud computing, que permite, entre otras cosas, almacenar información en servidores de forma deslocalizada, que puede ser consultada a través de Internet y mediante múltiples dispositivos. Así se han producido fenómenos como la desaparición de los tradicionales perímetros corporativos y la generalización de los movimientos de la información, incluso con carácter transfronterizo. Esto representa un reto tanto para los Estados, las empresas y para la ciudadanía en general.

Durante la X Jornada Internacional también se abordó el panorama actual de la ciberamenaza, que Félix Martín, Lead Solution Consultant, HP, describió como “un nuevo paradigma”, provocado por un mayor interés de los negocios hacia el ciberespacio, una tendencia cultural a dar más información en detrimento de la privacidad y el cambio tecnológico unido a la globalización. Entre los problemas más debatidos en la sesión, además de los vinculados a la movilidad y al cloud, se encontraron los ataques dirigidos, los ataques de denegación de servicios (DDoS), los ataques persistentes (APT) y las vulnerabilidades del software, entre otros.

Félix Martín participó en un debate conducido por Jesús Milán, miembro de la Junta Directiva de ISMS Forum, Director de Seguridad, Bankinter;  junto a Manuel Cornejo, Director de Ingeniería de Sistemas, Juniper Networks; Javier Sevillano, Responsable de Seguridad Tecnológica, Bankia y Jessica Valderrama, IBM Sales Security Leader.

En lo referente a vulnerabilidades, Martín confirmó que se mantiene la tendencia desde 2006. Las vulnerabilidades decrecen en número, sobre todo en software comercial, según datos recogidos por HP. El punto crítico lo aportó Javier Sevillano. “¿Por qué llevamos muchos años tapando agujeros y nunca conseguimos que estén tapados?”, se preguntó. Así, argumentó que cree que hay un problema de modelo, porque “a nuestro juicio el que tiene la responsabilidad de los agujeros no es aquel que es capaz de arreglarlo”.

Con respecto a la movilidad, Manuel Cornejo resaltó los cambios de comportamiento de los usuarios ante los nuevos dispositivos. Es un reto importante para los próximos años “securizar esos nuevos entornos”, ya que se demuestra que, en general, los usuarios están menos concienciados y no tienen en cuenta los aspectos de seguridad. Por ello, consideró pertinente recordar que “el usuario es el eslabón más débil de la cadena”. Otro aspecto importante destacado por Cornejo es la necesidad de compartir  la información sobre los ciberataques sufridos. “Para poder crear una inteligencia, para ser más proactivo; o compartimos información o no funciona”, aseveró.

Los ciberdelincuentes sofistican sus ataques a empresas y estados

Los retos de la Seguridad de la Información para la próxima década fueron debatidos en una mesa internacional formada por Bruno Darmon, Vicepresidente, Checkpoint; Ilijana Vavan, Directora Corporativa en Europa, Kaspersky; Simon Young, Director General, EMEA, Trend Micro; y conducida por Ramón Poch, Head of IT Advisory, KPMG.

Los ponentes coincidieron en destacar que todos los agentes implicados deben comprometerse y colaborar, tanto a nivel local como global, para mejorar la seguridad. Si se quiere alcanzar un grado de prevención óptimo “necesitamos trabajar todos juntos: las empresas, los gobiernos y los individuos”, opinó Ilijana Vavan.

Los ciberdelincuentes forman un colectivo poderoso, que cuentan con organizaciones criminales y motivaciones económicas detrás. Se ha producido, además, una sofisticación de la amenaza en los últimos años. “Es más imprescindible que nunca unirse para encontrar la mejor forma de defenderse en la próxima década”, continuó Bruno Darmon, destacando que han aumentado los ataques selectivos; mientras que Simon Young alertaba sobre los grandes riesgos que surgen del uso de los medios sociales, la movilidad y el cloud computing.

De este modo, una red más regulada podría ser una ayuda para mejorar la seguridad. Young destacó que los requerimientos legales para las empresas, destinados a garantizar la seguridad de la información y la protección de datos personales, “deberían ser más fuertes” y también que los gobiernos tendrían que desarrollar nuevos marcos legales para servicios como el cloud. De la misma opinión fue Vavan, quien propuso, además, crear mecanismos para “la identificación de quien entra en Internet”. Por su parte, Darmon matizó que es muy importante ligar la implementación de la regulación a la concienciación de los empleados para conseguir la protección adecuada.

Tal y como destacó Vavan, es muy necesario educar a toda la ciudadanía sobre qué riesgos hay en Internet. La colaboración de los gobiernos es imprescindible en este sentido, quienes, por otro lado, se están empezando a dar cuenta de que las amenazas y riesgos son reales y graves, tanto para las personas como para las empresas.

En este sentido, los estados “necesitan controlar la seguridad para facilitar que las economías crezcan. Todo depende del conocimiento y la información”, declaró Young, poniendo como ejemplo la estrategia nacional aprobada en Gran Bretaña, que incluye políticas activas e importantes partidas presupuestarias.

La industria en España

En la mesa dedicada a las oportunidades de la industria de la Seguridad de la Información en el contexto nacional, Marco Bavazzano, Director Security Strategist Organization, Symantec, y Gianluca D’Antonio, Presidente de ISMS Forum Spain; Chief Information Security Officer (CISO), Grupo FCC; y Miembro del Consejo de Expertos (PSG), ENISA; también situaron como punto de referencia el modelo inglés por su búsqueda de un espacio ciberseguro como garantía y atracción para los negocios.

Ambos compartieron mesa con Joaquín Reixa, Director General para el sur de Europa, Checkpoint; y Jesús Sánchez, Director General para España y Portugal, McAfee; quien destacó, en cuanto a la madurez de las empresas españolas en materia de seguridad, que “estamos algún paso por delante” con relación al control de fugas de información. También España es pionera en la aplicación de algunas medidas como el cifrado, coincidió Reixa, quien relacionó además esta situación con el grado de regulación, que es muy alto, con respecto a otros países del entorno, en especial, en materia de protección de datos de carácter personal.

Por otro lado, Bavazzano opinó, tomando como referencia la demanda del mercado, que se debe de ir hacia soluciones integradas y convergentes. “Como proveedor, encontramos que vamos algunos pasos por delante de la necesidad. Desde un punto de vista de convergencia la necesidad creo que existe”, explicó.

Desde un enfoque económico, Joaquín Reixa opinó que en este momento en España el sector de la Seguridad de la Información “probablemente sea uno de los menos afectados por la crisis porque las empresas tienen la necesidad de proteger sus activos”. “Aunque siempre existe el riesgo de la falta de presupuesto”, matizó.

Brechas de seguridad

Jelle Niemantsverdriet, Principal Consultant Forensics and Investigative Response, Verizon Business Security, analizó la materialización de brechas de seguridad en las organizaciones, ayudándose de las conclusiones del “Data Breach Investigations Report 2011”. Según éste, se robaron 3,8 millones de registros en 2010, una cifra significativamente más baja con respecto a estudios previos (en 2009, por ejemplo, se registraron 143,6 millones), comentó.

En su opinión, un elemento reseñable es que se está mostrando un cambio de tendencia en los robos. Debido a la presión, se sospecha que los nuevos delincuentes “van a por los pequeños conejos, no a por el gran elefante”, declaró. Es decir, ahora los ciberdelincuentes atacan muchas pequeñas compañías, a quienes sustraen menos datos. El problema grave que surge es que “se está extendiendo esta práctica y es mucho más difícil de detectar que las anteriores”.

Por otro lado, Niemantsverdriet resaltó la relevancia de los logs en la investigación de las brechas de seguridad. “Es fácil. Todo lo que se necesitan son logs. Todo está en esos logs”, declaró, por lo que resulta vital leerlos y saberlos interpretar adecuadamente. Para la prevención, recomendó centrarse en un conjunto de medidas básico, basándose en los procesos y las personas antes que en aumentar la inversión y mejorar la tecnología. “Mucho se podría haber evitado cumpliendo sólo con lo básico”, comentó. También hizo hincapié en la necesidad de monitorizar al personal interno, elaborar un plan de respuesta revisable anualmente y colaborar con la policía y los servicios secretos para compartir información.

El profesional de la Seguridad de la Información

En la jornada también se dedicó un espacio al profesional de la Seguridad de la Información, en el que se habló de perfiles y la situación del mercado laboral. Para ello, se contó con Miguel Portillo, Associate Director, Michael Page Executive Search, quien explicó que debido a la crisis “hay menos procesos de selección pero son muy buenas oportunidades”. También destacó que cada vez hay una mayor concentración geográfica, sobre todo hacia Madrid. En cuanto a salarios comentó que “en España se paga mal, entre un 20 o 30 % por debajo de los vecinos de la Unión Europea”.