> La XIII Jornada de ISMS Forum reunió en Madrid a expertos, instituciones y empresas, tanto nacionales como internacionales, para examinar los compromisos y responsabilidades de los actores de la ciberseguridad.

> La conferencia inaugural corrió a cargo del director del nuevo Centro Europeo contra el Cibercrimen (Europol), Troels Oerting; en su primera intervención en España.

> Con la participación de la Fiscal Delegada para la lucha contra la Delincuencia Informática, el director del CNPIC y el Comandante Jefe del Grupo de Delitos Telemáticos de la Guardia Civil; junto a primeros ejecutivos de empresas líderes mundiales en materia de Ciberseguridad.

La XIII Jornada Internacional de Seguridad de la Información de ISMS Forum congregó en Madrid a representantes de los distintos actores que participan en la ciberseguridad para discutir sobre sus roles, responsabilidades y compromisos. La inauguración correspondió a un ponente de lujo, el director del recién creado Centro Europeo contra el Cibercrimen (European Cybercrime Centre – EC3) perteneciente a la Europol, Troels Oerting; un organismo puesto en marcha en 2013 por la Comisión Europea para atajar las nuevas amenazas vinculadas al desarrollo de las Tecnologías de la Información y la Comunicación (TIC). Y es que, como comentó Oerting en su intervención, actualmente más de 2.700 millones de personas ya están conectadas online, el 40% de la población mundial, y “el problema es que hacer daño en el mundo digital es más fácil que en el mundo físico”, ya sea cometiendo delitos a través de la Red o utilizándola como apoyo a crímenes que se materializan en el mundo físico. Además, Internet facilita el autoaprendizaje para delinquir, así como las herramientas para cometer crímenes a quienes no tengan conocimientos para ello, explicó.

Troels Oerting, director del Centro Europeo contra el Cibercrimen.

La ciberdelincuencia en su conjunto cuesta 300.000 millones de euros en todo el mundo. Una de las grandes amenazas, subrayó, tiene que ver con el ámbito financiero. La Unión Europea (UE) pierde miles de millones de euros en IVA por ciberfraude, y los robos vinculados a transacciones con tarjeta de crédito ascienden a 1.500 millones de euros, informó. “También hay que salir a buscar a los lobos"

Por todo ello, Oerting abogó por una “gobernanza”,que incluya concienciación, ciberprotección y lucha contra el cibercrimen; y por ser proactivos. “Para evitar los cibercrímenes no se pueden "blindar y blindar continuamente los equipos, sino que también hay que salir a buscar a los lobos", aseveró. Para ello, dijo que, según el mandato del EC3, es necesario llevar a cabo una aproximación “inclusiva” que implique a los Estados miembros, a organismos europeos, a partners internacionales, al sector privado, y a ciudadanos, entre otros actores, en aras de la seguridad global en Internet.

El sector público y el privado, juntos en la XIII Jornada

Junto a Oerting, participaron en la XIII Jornada, desde el ámbito institucional, la Fiscal Delegada para la lucha contra la Delincuencia Informática, el director del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) y el Comandante Jefe del Grupo de Delitos Telemáticos de la Guardia Civil, y representantes de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI) y la Universidad de A Coruña; junto los primeros ejecutivos y expertos de algunas de las empresas más importantes en el mundo en materia de Ciberseguridad: Akamai Technologies, BT, Check Point, Cisco, Deloitte, Fortinet, HP, IBM, McAfee, PwC, Symantec, Telefónica y Trend Micro; y La Caixa.

Bajo el título ‘Responsabilidad y compromiso de los actores de la ciberseguridad’, expertos, instituciones y compañías estaban convocados a examinar, como tema principal del evento, el papel que juegan en la protección del ciberespacio y la prevención, detección y persecución de los ciberdelitos tanto los actores enmarcados en el aparato estatal (autoridades de control, reguladores, fuerzas y cuerpos de seguridad, ministerio fiscal, órganos jurisdiccionales) como en el sector privado (empresas usuarias, proveedores de tecnologías y servicios, fabricantes). Bajo el mismo paraguas conceptual, en la XIII Jornada también se abordaron otros asuntos como la ciberseguridad de nueva generación, la explosión del malware ante el fenómeno del Bring Your Own Device (BYOD), y las oportunidades que trae el Big Data para la inteligencia en ciberseguridad.

Compromiso y responsabilidad

La primera mesa redonda de la tarde, que tenía como objetivo analizar los compromisos de los actores de la ciberseguridad, contó con la aportación de la Fiscal Delegada para la lucha contra la Delincuencia Informática, Elvira Tejada; quien destacó que debemos aprender “a colaborar, a sumar esfuerzos” para “entre todos, construir un andamiaje adecuado para hacer frente a estas amenazas”. Actualmente "falta una legislación adecuada" para este tipo de delitos y "no hay jurisprudencia y no da tiempo a sentar jurisprudencia" debido a la rapidez con la que cambian. “Falta confianza para que esa convicción de comunicación sea efectiva”

Óscar de la Cruz, comandante jefe del Grupo de Delitos Telemáticos de la Guardia Civil.

Necesitamos conocer muy bien el “sustrato fáctico” para poder crear “instrumentos legales adecuados”, remarcó. Si las empresas no denuncian “no contamos la información suficiente para establecer los tipos penales adecuados para reprimir las conductas”. Por consiguiente, hizo un llamamiento para que las empresas denuncien este tipo de delitos. En este sentido, el comandante jefe del Grupo de Delitos Telemáticos de la Guardia Civil, Óscar de la Cruz, opinó que “falta confianza entre todos nosotros para que esa convicción de comunicación sea efectiva”. “No nos gusta enseñar nuestras vergüenzas en público”, apostilló.

Desde el Ministerio de Industria, de la mano de Antonio Alcolea, Vocal Asesor en la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), se recordó que se quieren articular líneas de actuación para “salir detrás de la muralla y ver un escenario de oportunidad para la empresa y los profesionales para ser innovadores en ciberseguridad”. En última instancia “queremos ir a un escenario que apueste por la concienciación y en el que la demanda valore esas buenas prácticas en seguridad”, aseveró.  Pedro Pablo Pérez, en representación de Telefónica, concluyó que es aconsejable “tener menos iniciativas y tener de más calidad”.

Es conveniente un “sello que te respalde como fabricante comprometido”

En la siguiente mesa redonda vespertina, dedicada a la ‘Ciberseguridad Gestionada’, se retomó el tema de la colaboración y la confianza entre los actores implicados. Desde el punto de vista empresarial, Acacio Martín, Country Manager Spain and Portugal de Fortinet, propuso que “esa información que vamos a compartir puede ser una ventaja competitiva, y por tanto hay que incentivar que esta ventaja competitiva no se pierda. Así aseguramos que todos los actores puedan participar y tengan beneficio por participar”. Defendió, de este modo, la promoción de códigos éticos relacionados con la idea de “compartir información” y la creación de algún tipo de “sello que te respalde como fabricante comprometido”.

Por su parte, José Manuel Busto, Catedrático de Derecho civil de la Universidad de A Coruña, haciendo referencia específicamente a los avances en la regulación europea, resaltó que “la dificultad de reglamentar internacionalmente es evidente; pero la elaboración de reglas claras y seguras es necesaria para generar esa confianza” y mejorar la ciberseguridad.

“La gestión es delegable, pero la responsabilidad no es delegable”

José Francisco Pereiro, Head of Assure Iberia de BT, explicó que las empresas acuden a servicios de seguridad gestionada para logar “aumentar la calidad y nivel de los servicios a fuerza de una mayor especialización” y para ahorrar costes. ¿Cuáles son las responsabilidades que se derivan de esta gestión?

Fernando J. Sánchez, Director del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), dejó claro desde su primera intervención que “la gestión es delegable, pero la responsabilidad no es delegable”, explicando que la empresa tendrá que “exigirle a su subcontrata que lleve a cabo una serie de medidas o incluir en un contrato las medidas mínimas”, pero siendo ellos, los contratantes, siempre los responsables.

                
Fernando J. Sánchez, Director del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC).

Sánchez también hizo referencia al acuerdo del CNPIC y el INTECO para prestar apoyo institucional a empresas en materia de seguridad cibernética a través de un CERT, el cual, según comentó, en ningún caso entra en competencia con los servicios que presta el sector privado. “este CERT no sustituye a los equipos de las empresas, los complementa con información, conocimiento y capacidad de reacción”, aclaró.

Nuevas tendencias de la ciberseguridad

La XIII Jornada también trajo a expertos de contrastado prestigio internacional para discutir sobre la ‘Ciberseguridad de Próxima Generación (Next Cyber Security Generation)’. En este debate se ahondó sobre conceptos de máxima actualidad en el sector y que podrían marcar la lucha contra el cibercrimen en los próximos años. Se contó con ponentes de dilatada experiencia y conocimiento sobre la situación presente. De este modo, por primera vez en España, participaron tres de los primeros ejecutivos más influyentes en el sector: Rik Ferguson, Global VP Security Research de Trend Micro; Raj Samani, VP & Chief Technology Officer, EMEA de McAfee; y Darren Thomson, Chief Technology Officer for the EMEA de Symantec; junto a Ayman Al-Issa, Digital Oil Fields Cyber Security Advisor de ADMA-OPCO.

“Las empresas deben olvidarse de la metodología utilizada hasta ahora para defenderse”

La primera conclusión que se extrajo es que la naturaleza de los ciberataques está cambiando y que ya no son aleatorios como antes, sino más dirigidos. “Las empresas deben olvidarse de la metodología utilizada hasta ahora para defenderse” y “tenemos que utilizar técnicas criminales para los criminales”, explicó Ferguson. Parece más recomendable adoptar arquitecturas basadas en nuevos modelos que nos permitan “no construir mejores castillos, sino mejores mazmorras”, es decir, basarnos en que si un atacante consigue entrar en nuestro perímetro, no consiga sacar lo que busca. Además, informó, que actualmente las empresas tardan de media unos 200 días en detectar que sus sistemas están comprometidos.

        
De Izda. a Dcha. Juan Miguel Velasco, Ayman Al-Issa, Raj Samani, Darren Thomson y Rik Ferguson.

Thomson destacó que los terminales móviles y las redes sociales se constituyen en nuevas vías de ciberataques, siendo necesaria una visión más holística de los sistemas de seguridad en aras de ser más eficientes. Aunque "antes de diseñar la estrategia de seguridad de una organización debemos conocer su apetito de riesgo", aseveró. Samani, por su parte, quiso poner el énfasis en el riesgo que conlleva un mundo cada vez más interconectado. Algo que afecta tanto a las infraestructuras críticas, que presentan servicios esenciales en un país, como a los hogares y las personas, entrañando, en este último caso, problemas de privacidad. “La compañía eléctrica tiene mas información sobre ti que Facebook”, comentó.

“Hay que sacar conocimiento de Big Data y agregarlos a tu trabajo de seguridad”

ISMS Forum Spain dedicó una sesión exclusivamente a la incorporación del Big Data en la estrategia de ciberseguridad como una herramienta de inteligencia. El panel estaba formado por grandes expertos en la materia, quienes abordaron el Big Data como elemento habilitador de la capacidad de las organizaciones para visualizar y analizar toda la información relacionada con la seguridad, tanto a nivel interno como externo, y así poder activar mecanismos de defensa adecuados para proteger sus activos más valiosos.

Abrió el debate Luis Carro, Partner, Enterprise Risk Services (ERS) IT de Deloitte, quien destacó la “enorme complejidad derivada del alto número de fuentes de datos” que se pueden analizar. “Estamos sólo al inicio de la actividad”. “Big Data no es demasiado maduro”, pero ya “muchos ataques se descubren a través de Big Data”, valoró Roy Katmor, Director for Security de Akamai Technologies. Jeffry Paddock, en representación de IBM, comentó que “hay que pensar como un hacker y en esto el Big Data nos ayuda”, gracias a “analíticas operativas e investigativas”.

Miguel Ángel Pantoja, en representación de HP, señaló que el Big Data mejora las capacidades de inteligencia en materia de seguridad y que es necesario “integrar la inteligencia de seguridad en el código fuente de nuestros sistemas”. “Hay que repensar todo el abordaje de seguridad a la luz de Big Data. No se trata de aplicar el Big Data a ciegas, si no de sacar conocimiento de Big Data y agregar esos conocimientos a tu trabajo de seguridad”, concluyó.

“En BYOD hay que securizar la infraestructura y llegar al dispositivo”

El fenómeno del Bring Your Own Device (BYOD) ya está consolidado. Cada vez son más las empresas que lo tienen integrado en su día a día. Aunque esto también ha abierto nuevas puertas de entrada para el malware, con el que los ciberdelincuentes pueden acceder a información confidencial corporativa o dañar los sistemas de la empresa. En la mesa redonda titulada ‘Bring Your Own Device / Bring Your Own Malware’ se confrontaron opiniones a favor y en contra, críticas, dudas y avances en materia de ciberseguridad en BYOD. Si bien Carles Solé, Chief Information Security Officer de La Caixa, incidía en que los niveles de seguridad eran todavía insuficientes en sectores como el financiero, “no hay soluciones que garanticen que aplicaciones van y cuales no en un dispositivo”, afirmaba; otros ponentes sí mostraban fórmulas que merecían ser tenidas en cuenta. Gabriel Agatiello, Security Business Developer Manager de Cisco, aseguró que “la solución está medianamente madura”. Hay que “securizar la infraestructura y llegar al dispositivo”, explicó. Aunque quiso dejar caer una queja: “los que desarrollamos seguridad para esos dispositivos, no tenemos colaboración con los fabricantes de estos dispositivos”, refiriéndose específicamente al caso de Apple.

De Izda. a Dcha. Román Ramírez, Carles Solé, Gabriel Agatiello y Antonio Abellán.

Antonio Abellán, en representación de Check Point, comentó que la “evolución del BYOD va a explotar, ya no hay dentro y fuera”. Es decir, que ya hay que “dar esa cobertura a nuestros empleados que necesitan acceder siete días a la semana y a cualquier hora a la información”. Y puso de ejemplo sistemas que dividen en dos partes el dispositivo; una privada y otra profesional, con un segundo nivel de autentificación.

Por último, el cierre de la Jornada corrió a cargo de Alfredo Santos, Managing Director de Hudson Recruitment Solutions, que realizó una aproximación al headhunting de profesionales y ejecutivos de la seguridad. En cuanto a los procesos de selección resaltó que más allá de los conocimientos técnicos y experiencia lo que “se tiene en cuenta es la motivación y la fuerza necesaria” para llevar a cabo las tareas encomendadas por la empresa.

Patrocinadores de la Jornada

La XIII Jornada Internacionalde ISMS Forum Spain es posible gracias al respaldo de sus patrocinadores, empresas de referencia en España que muestran así su compromiso con la Seguridad de la Información. Patrocinadores Oro: Akamai, BT, Check Point, Cisco, Deloitte, Fortinet, HP, IBM, Kaspersky Lab, McAfee, PwC, Symantec, Telefónica y Trend Micro.  Patrocinador Plata: Huawei.