red seguridad

LA ESTRATEGIA DE CIBERSEGURIDAD NACIONAL A EXAMENOCTAVO ENCUENTRO INTERNACIONAL DE SEGURIDAD DE LA INFORMACIÓN

LEÓN / 28-29 DE OCTUBRE, 2014http://enise.inteco.es

www.redseguridad.com

Revista especializada en Seguridad de la Información Nº 66 Septiembre 2014 Época II

red066_inteco.indd 1 16/09/2014 9:55:10

http://www.redseguridad.com

http://enise.inteco.es

S21SEC_RED063.indd 1 05/02/2014 9:10:05

http://www.s21sec.com

red seguridad septiembre 2014 3

editorial

El auge de la ciberdefensa

Hace tan solo unas semanas, durante la clausura de la Cumbre de jefes de Estado y de Gobierno de la OTAN en Cardiff (Gales), su secretario general, Anders Fogh Rasmussen, anunció que la ciberdefensa pasaba a con-siderarse un elemento central en la estrategia aliada. El argumento es que un ataque cibernético contra cualquiera de los miembros de la Alianza podría tener una respuesta colectiva de carácter militar.La estrategia “ciber”, por tanto, ocupa ya un lugar destacado en los planes de defensa de los países que componen la Alianza, aunque no se trata de algo totalmente nuevo. La primera experiencia relevante se produjo durante las guerras de los Balcanes, cuando en 1999 piratas informáticos serbios dejaron sin servicio el sitio web de la OTAN. Desde entonces, la Alianza ha venido avanzando en su articulación a través de sucesivas cumbres en las que ha ido perfilando su estrategia hasta desembocar en la creación del Centro de Excelencia de Ciberdefensa de la OTAN a finales de 2008 en Tallinn (Estonia), en cuya puesta en marcha participó España; y en la aprobación en 2011 de la política de la OTAN en materia de ciberdefensa, incluyendo objetivos, prioridades y un ambicioso plan de acción. Además, tras la reunión en Bruselas de los ministros de Defensa de los Estados miembros en octubre del año pasado para preparar los temas de la agenda de la recién celebrada Cumbre de jefes de Estado y de Gobierno, se instó a que todas las naciones aliadas desarrollaran sus propias capacidades de ciberdefensa.Afortunadamente, España hace ya bastantes meses que decidió dar un paso al frente en esta materia poniendo en marcha en febrero de 2013 el Mando Conjunto de Ciberdefensa (MCCD), como bien explica su comandante, Carlos Gómez López de Medina, en la entrevista que encontrará en páginas interiores. No obstante, el trabajo en este ámbito no era algo nuevo, puesto que tanto los tres ejércitos como el Estado Mayor de la Defensa (EMAD) y el Órgano Central del ministerio ya trabajaban en desarrollar sistemas de defensa cibernéticos para evitar posibles ataques ante la proliferación del uso de las nuevas tecnologías y los sistemas de telecomunicaciones. En todos los casos, el objetivo está muy claro: garantizar la integridad, la confidencialidad y la disponibilidad de los sistemas de información, así como la de las propias infraestructuras que soportan la prestación de servicios ampliamente utilizados o que manejan información clasificada o sensible para los intereses nacionales. Todo ello constituye uno de los ámbitos de actuación prioritarios de la Seguridad Nacional. Por eso, podemos felicitarnos de tener actualmente un equipo de cerca de 70 profesionales, que componen el Mando Conjunto de Ciberdefensa, dedicados a velar por

la integridad de nuestras "fronteras cibernéticas"; y que en tan solo unos meses hayan conseguido alcanzar una mayor eficiencia en este ámbito, con una mejor y más efectiva gestión de los recursos. Aunque, eso sí, todavía les quedan muchos retos por delante, entre ellos el más importante es conseguir una capacidad operativa completa, algo que se ha de articular en tres ejes: defensa, inteligencia y respuesta, y sobre los cuales ya se desarrolla. Hay otro aspecto sobre el que también este organismo está haciendo mucho hincapié y que ayuda al trabajo del MCCD. Se trata de la celebración de ejercicios de ciberdefensa, en colaboración con otros estados. De hecho, el pasado mes de mayo se realizó el ciberejercicio “Locked Shields 14”, organizado por el Centro de Excelencia de Ciberdefensa de la OTAN, en el cual participó España con 30 expertos en ciberseguridad procedentes de distintos organismos de cuatro ministerios. El objetivo fundamentel es reforzar las capacidades nacionales de respuesta ante ciberataques y mejorar la coordinación en el caso de una respuesta conjunta multinacional. Por eso, se desarrolla en tiempo real, en un escenario ficticio y sobre unas infraestructuras controladas que simulan las redes y servicios estratégicos de los países participantes. Sin duda, constituye un buen punto de partida para evaluar el grado de preparación frente a este tipo de amenazas.Pero a pesar del trabajo que España ha estado haciendo en términos de ciberdefensa durante los últimos meses, no nos podemos quedar ahí. Hay que continuar explorando nue-vas fórmulas eficaces para asegurar la integridad ciber-nética del Estado. Incluso, desarrollando propuestas imaginativas y atrevidas como recientemente ha hecho Estonia. Este país es uno de los más avanzados del mundo en ciberdefensa, después de que en 2007 sufriera un ataque de piratas informáticos que puso en jaque las páginas web de sus principales organismos públicos y empresas. Estos ciberataques motivaron que su Ejecutivo fuera uno de los principales interesados en promover la defensa en la Red como uno de los ámbitos cruciales de la Seguridad Na cional. Su última propuesta ha sido la creación de un sistema que permita una verdadera "nube estatal", que haga posible gobernar el país desde ella, incluso en situaciones críticas. Es decir, la idea es poder seguir funcionando como un estado, incluso si su territorio ha sido invadido. Para ello están trabajando en la creación de una red de centros de datos en países amigos en los que se replicarían los sistemas electrónicos y los datos críticos que permitan el correcto funcionamiento del país en caso de contingencia grave. Habrá que esperar cómo evoluciona el proyecto, pero es posible que el futuro siga ese camino.

sumarioeditorial

El auge de la ciberdefensa

3

PRESIDENTEArjan Sundardas MirchandaniColegio RegistRadoRes

VOCALESJosé Luis Rodríguez ÁlvarezagenCia española de pRoteCCión de datos (aepd)

José Manuel de RivaametiC

Guillermo Martínez DíazasoCiaCión de empResaRios de tiC de andaluCía (etiCom)

Fermín Montero GómezdiReCCión geneRal de eConomía, estadístiCa e innovaCión teCnológiCa de la Comunidad de madRid

Miguel Manzanasunidad de investigaCión teCnológiCa (uit) del CueRpo naCional de poliCía

Óscar de la Cruz YagüegRupo de delitos telemátiCos (gdt) de la guaRdia Civil

Joaquín González CasalasoCiaCión de ingenieRos e ingenieRos téCniCos en infoRmátiCa (ali)

Vicente Aceituno CanalasoCiaCión española paRa la seguRidad de los sistemas de infoRmaCión (issa españa)

Juan Muñozasis españa

Ignacio Gisbert GómezConfedeRaCión española de Cajas de ahoRRos (CeCa)

Miguel Rego Fernándezinstituto naCional de teCnologías de la ComuniCaCión (inteCo)

Antonio Ramos GarcíaisaCa Capítulo de madRid

Gianluca D'Antonioisms foRum spain

Vicente Aguilera Díazopen Web appliCation seCuRity pRojeCt (oWasp)

Jorge Ramió AguirreuniveRsidad politéCniCa de madRid (upm)

CONSEJEROS INDEPENDIENTESEmilio Aced FélezTomás ArroyoJavier Moreno MontónJavier PagèsOlof Sandstrom

PRESIDENTE DE HONORAlfonso Mur Bohigas

CONSEJO TÉCNICO ASESOR

STAFF

Borrmart: Presidente: Francisco Javier Borredá Martín. Presidente de Honor: José Ramón Borredá. Directora general: Ana Borredá. Adjunto a la Presidencia y a la Dirección General: Antonio Caballero Borredá. Publicidad: Marisa Laguna, Pedro Jose Pleguezuelos y Paloma Melendo. Gestión y Control: Carmen Granados. Directora de Relaciones Institucionales: Mª Victoria Gómez.Red Seguridad: Directora: Ana Borredá. Redactor Jefe: Enrique González Herrero. Colaboradores: Bernardo Valadés, David Marchal, Laura Borredá, Leticia Duque Guerrero y Jaime Sáez de la Llave. Maquetación: Macarena Fernández López y Jesús Vicente Ocaña. Fotografía: Banco de imágenes Thinkstock/GettyImages. Diseño: Escriña Diseño Gráfico.Suscripciones: Mª Isabel Melchor y Elena Sarriá. Dirección Financiera: Javier Pascual Bermejo. Redacción, Administración y Publicidad: C/ Don Ramón de la Cruz, 68. 28001 Madrid Tel.: +34 91 402 96 07 Fax: +34 91 401 88 74 www.borrmart.es www.redseguridad.com [email protected]. Fotomecánica e impresión: Reyper.

Suscripción anual: 50 euros (España), 110 euros (Europa, zona euro), 150 euros (resto países)Depósito Legal: M-46198-2002ISSN: 1695-3991

RED SEGURIDAD no se responsabiliza necesariamente de las opiniones o trabajos firmados, no autoriza la reproducción de textos e ilustraciones sin autorización escrita.Usted manifiesta conocer que los datos personales que facilite pasarán a formar parte de un fichero automatizado titularidad de BORRMART, S.A. y podrán ser objeto de tratamiento, en los términos previstos en la Ley Orgánica 15/1999, de 13 de Diciembre y normativa al respecto. Para el cumplimiento de los derechos de acceso, rectificación y cancelación previstos en dicha ley diríjase a BORRMART, S.A. C/ Don Ramón de la cruz, 68. 28001 Madrid.

ciberseguridad internacional32

Artículos de Marcos Gómez, Carles Solé y Adolfo Hernández, y Samuel Linares

entrevistaCarlos Gómez López de Medina

Comandante Jefe del Mando Conjunto de Ciberdefensa

10 VI Encuentro de la Seguridad Integral Resilencia, un paso más alla de la convergencia

Especial Seg2

patrocinadores

S21sec, Eulen Seguridad, GMV y Deloitte

Ramsés Gallego

Vicepresidente Internacional de ISACA

entrevista asociación

488ENISE: La Estrategia de Ciberseguridad Nacional a examen

actualidad

6

Emmanuel Roeseller

Director de Sistemas y Tecnología de Seguridad de IBM

entrevista empresa58

42

22

Soluciones de SeguridadEn cualquier lugar, cumplimos con lo importante

SEGURIDAD URBANADetección inteligente combinada conrespuestas de las agencias de seguridad

CIUDADES INTELIGENTESInfraestructura de información centrada en el ciudadano

PROTECCIÓN DE INFRAESTRUCTURASDesde gestión de alarmas a supervisión multiemplazamiento

CONTROL DE FRONTERASAutenticación de ciudadanos,e-fronteras y vigilancia del territorio

CIBERSEGURIDADProtección activa de los sistemasde información contra ataques

SEGURIDAD AEROPORTUARIAOptimización de las operaciones de seguridad cumpliendo con los estándares OACI

A diario se toman millones de decisiones críticas en seguridad. En Thales desarrollamos soluciones resilientes que ayudan a gobiernos, autoridades locales y operadores civiles a proteger a ciudadanos, datos sensibles e infraestructuras de amenazas complejas. Todo ello

aporta la información, los servicios, equipos y controles necesarios permitiendo a nuestros clientes y a los usuarios fi nales obtener respuestas más efi caces en entornos críticos. Juntos, en cualquier lugar marcamos la diferencia con nuestros clientes.

t h a l e s g r o u p . c o m

Security14_Spanish_C33900.029_297x210_Sep14_RedSeguridad_v1.indd 1 31/07/2014 14:32

http://www.thalesgroup.com

ciberdefensaentrevista

6 red seguridad septiembre 2014

Tx: E. González y B. ValadésFt: E.G.H.

desde hace muchos años; por lo tanto, ya había una preocupación por la fragilidad de los mismos ante las nuevas amenazas.

Todas las partes implicadas desti-naron recursos económicos y huma-nos para tal fin, pero se echaba en falta un uso más eficiente de los medios disponibles y, sobre todo, una mayor coordinación. Esos fue-ron los motivos que propiciaron la puesta en marcha del Mando Conjunto de Ciberdefensa.

- Actualmente, ¿cuántas per-sonas operan en la unidad? ¿Contemplan ampliar la plantilla a corto plazo?El objetivo es finalizar el año con un equipo integrado por 70 personas entre militares y civiles. A partir de ahí, nos gustaría seguir contando con más profesionales, claro; pero, de momento, la ampliación de la plantilla la estamos realizando desde una perspectiva progresiva, razona-ble y realista. Hasta que se produz-

- ¿Cómo se estructuraba la ciber-defensa en España antes de la creación del Mando Conjunto? ¿Qué motivos propiciaron su puesta en marcha?Las competencias relativas a la ciberdefensa están distribuidas entre el Centro Criptológico Nacional (CCN) y los ministerios de Industria –a través del Instituto Nacional de Tecnologías de la Comunicación (Inteco)–, del Interior y de Defensa.

En el caso de este último, el Mando Conjunto de Ciberdefensa se creó en febrero del año pasado. Pero, con anterioridad, tanto los tres ejércitos como el Estado Mayor de la Defensa (EMAD) y el Órgano Central del ministerio trabajan en dicha materia. Algo lógico si se tiene en cuenta que en las Fuerzas Armadas se vienen utilizando sistemas de información y telecomunicaciones

Con una dilatada

trayectoria en el

Ejército del Aire, el

general de brigada

Carlos Gómez López

de Medina es el

primer responsable del

Mando Conjunto de

Ciberdefensa. Durante

su encuentro con Red

Seguridad, el militar

granadino abordó

diversas cuestiones,

desde la puesta en

marcha de la unidad

que dirige hasta

las ciberamenazas

actuales; para

combatir a estas

últimas, considera vital

la concienciación y la

formación.

Comandante Jefe del Mando Conjunto de Ciberdefensa

Carlos Gómez López de

Medina

"El Mando Conjunto tiene como fin lograr los propósitos de la Estrategia de Ciberseguridad Nacional”


ciberdefensa entrevista

El general de brigada Carlos Gómez, dirige el Mando Conjunto de

Ciberdefensa desde enero del año pasado. Este órgano ha alcanzado ya

la capacidad operativa inicial.

“En la Administración Pública existe numerosa información ‘apetecible’ para los ciberdelincuentes”

de la UE, si bien no se destinan muchos recursos económicos a la materia que nos ocupa, estamos involucrados en algunas iniciativas y proyectos.

- ¿También prestan atención a la colaboración público-privada?Por supuesto. Colaboramos con la industria nacional solicitando solu-ciones que satisfagan nuestras necesidades. Valoro mucho a las empresas españolas que se dedi-can a la ciberseguridad, creo que desarrollan productos propios de una gran calidad y hacemos todo lo posible para potenciar su capacidad porque, lógicamente, nos interesa a ambas partes. Y también me mere-cen mucho respeto las universida-des por su labor de I+D.

vos a corto, medio y largo plazo. De manera inmediata, consideramos muy importante colaborar con el Mando de Operaciones del EMAD y el Centro de Inteligencia de las Fuerzas Armadas (CIFAS). Y tam-bién mejorar el concepto de ciber-seguridad entre los miembros del Ministerio de Defensa; para ello, es necesario concienciar, formar y adiestrar al personal, algo que estamos realizando en los tres ejér-citos junto al Órgano Central del ministerio.

Respecto a esto último, consi-deramos que la colaboración es vital. Así, más allá del ámbito militar, trabajamos con los ministerios del Interior y de Industria, así como con el Centro Nacional de Inteligencia (CNI). Podría decirse que son nues-tros partners más cercanos y, de hecho, participamos conjuntamen-te en jornadas específicas, mesas redondas, etc.

- Ya que se refiere a la colabo-ración, ¿la unidad coopera con otros países u organizaciones internacionales en materia de ciberdefensa?Sí. Esta es una actividad que, a su vez, se divide en dos: por un lado, las relaciones bilaterales, que son muchas y estrechas, con las fuer-zas armadas de naciones aliadas y, por otro, las que mantenemos con la OTAN y la Unión Europea (UE). Por ejemplo, el Mando Conjunto es socio fundador del Centro de Excelencia de Ciberdefensa de la OTAN, ubicado en Tallin (Estonia) y del que obtenemos muchos bene-ficios gracias a los ciberejercicios, cursos de formación, trabajos de investigación, etc. Y en el caso

can más incorporaciones, estoy muy satisfecho con quienes trabajan en el Mando Conjunto de Ciberdefensa, ya que poseen un elevado grado de formación.

- ¿Qué objetivos han logrado desde que está operativo el Mando Conjunto de Ciberdefensa?Sobre todo, una mejor gestión de los recursos, ya que antes existían numerosas duplicidades. También destacaría que se ha alcanzado la capacidad operativa inicial, lo cual significa que desde el principio teníamos medios, personal, instala-ciones, etc. Y por lo que respecta a nuestra actividad, entre las tareas más relevantes que llevamos a cabo se encuentran la evaluación y acre-ditación de sistemas de información, los análisis forenses y los ciberejer-cicios, muy importantes para hacer frente a posibles ciberataques. En este apartado, hemos progresado mucho en los últimos meses.

- Una vez alcanzada la capacidad operativa inicial, ¿existe una hoja de ruta definida?Lógicamente, deseamos llegar a lo que denominamos full operatio-nal capability: capacidad operativa completa. Y para lograrlo, nos cen-tramos en tres líneas o capacidades: la defensa, lo que se conoce como ciberseguridad; la explotación, más relacionada con la inteligencia, saber qué hace el adversario; y la respues-ta, basada en el ataque al enemi-go mediante distintos enfoques. En cuanto a los plazos para alcanzar esa capacidad operativa completa, tenemos definidos los niveles y las fechas para cumplir nuestros obje-tivos, pero, lógicamente, no pueden ser de dominio público.

- ¿Cuáles son las principales líneas estratégicas que se han marcado para lograr sus objetivos?Al hilo de la respuesta anterior, hemos fraccionado nuestros objeti-


ciberdefensaentrevista

El jefe del Mando Conjunto de Ciberdefensa dialoga con Ana Borredá, directora de Red Seguridad, en uno de los momentos de la entrevista.

lecer las relaciones con naciones aliadas, etc.

- Hay quienes manifiestan que la III Guerra Mundial se está librando ya y que la misma es de carácter cibernético. ¿Está de acuerdo?Me cuesta pensar en guerras exclu-sivamente cibernéticas. Otra cosa es que haya conflictos en los que exista dicho componente. Les expongo un ejemplo muy gráfico y clarificador: cuando en el siglo pasado entró en combate la aviación, ¿significaba que, a partir de entonces, las tropas terrestres carecerían de utilidad? Obviamente, no. El tiempo demostró que las dos divisiones tienen misio-nes distintas pero complementarias. Ahora sucede lo mismo. Ninguna fuerza es imprescindible y se actúa conjuntamente, pero hay un invitado más: la ciberdefensa. Y esta última se debe tener muy en cuenta para no ser débil y vulnerable en dicho ámbito.

guridad en nuestro país. Todos los objetivos del Mando Conjunto, a los que he hecho referencia ante-riormente, persiguen alcanzar los propósitos de la Estrategia y res-ponden a algunas de las ocho líneas de acción contempladas en el documento. Una de ellas, como ha quedado expuesto, es la relati-va a la cooperación internacional: colaboración con la OTAN, forta-

- En nuestro país, ¿cuáles son las principales ciberamenazas actua-les a tener en cuenta?En la Administración Pública existe numerosa información apetecible para ciberdelincuentes que pue-den ser contratados por terce-ros, algo, por otra parte, bastante habitual. Debemos hacer frente a ese peligro e incrementar el tipo de respuesta si los ataques pro-vienen de grupos organizados de ciberterroristas e incluso de un estado.

En el ámbito corporativo, la prin-cipal preocupación es, sin duda, el robo de propiedad intelectual. Y si nos referimos a la sociedad en general, el ciberdelito, qué duda cabe, está cada vez más extendido. En este sentido, creo que se debe fomentar la cultura de la ciber-seguridad entre los ciudadanos y concienciarlos de los riesgos que conlleva el uso de un ordenador o dispositivo móvil.

- ¿Qué opinión le merece la Estrategia de Ciberseguridad Nacional?Creo que es un documento tan rele-vante como la Constitución españo-la. Marca una serie de líneas muy importantes y refleja un principio fundamental: mejorar la ciberse-

audisec_red066.indd 1 08/09/2014 10:36:48

http://www.globalsuite.es

resiliencia10 red seguridad septiembre 2014

Parece que fue ayer y, sin embargo, ya han pasado seis años desde que Editorial Borrmart, a través de las revis-tas Red Seguridad y Seguritecnia, deci-diese poner en marcha el Encuentro de la Seguridad Integral (Seg2). Más de un lustro que ha permitido conso-

lidar el evento y, no menos relevante, convertirlo, como pretende su deno-minación, en punto de encuentro anual de unos profesionales que, tal y como dejaron de manifiesto en su sexta con-vocatoria, tienen cada vez más claro que la seguridad del siglo XXI no se

puede concebir sin la convergencia.Al igual que en la edición anterior, el

Seg2 contó con el apoyo de los patro-cinadores Deloitte, Eulen Seguridad, GMV y S21sec, además del respal-do de la Fundación Borredá y del Instituto Nacional de Tecnologías de

especial seg2

encuentro de la seguridad integral

Resilencia, un paso másallá de la convergencia

Desde hace algún tiempo se ha instalado un nuevo término entre los profesionales de la seguridad: “resiliencia”. Pero, ¿qué significa esta palabra? ¿Cómo se aplica a las organizaciones? ¿Se trata de una novedad o siempre ha estado presente? Preguntas como estas se fueron despejando desde el minuto uno de la sexta edición del Encuentro de la Seguridad Integral (Seg2) –organizado el 12 de junio, en Madrid–, gracias a ponentes de excepción, que trasladaron opiniones y planteamientos de todo tipo en torno a este concepto y otros muchos asuntos relacionados con la convergencia en la seguridad.

Tx: B. Valadés/ D. Marchal/ E. González. Ft: Francisco Lorente.

resiliencia red seguridad septiembre 2014 11

La editorial Borrmart, a la que pertenecen Red Seguridad y Seguritecnia, agradeció a Gas Natural Fenosa su colaboración en el VI Encuentro de Seguridad Integral (Seg2) y su compromiso con la seguridad. Ana Borredá, directora de la editorial, entregó una placa a Antonio Mojonero, responsable de Security EMEA, y José Luis Moya, responsable de gobierno de Security de la compañía.

la Comunicación (Inteco). Y, como novedad, en esta ocasión se celebró en la sede madrileña de Gas Natural Fenosa, en cuyo salón de actos se dieron cita cerca de 200 expertos del ámbito de la seguridad.

Un proyecto compartidoEn su alocución de bienvenida a los asistentes, Ana Borredá, directora ge-neral de Borrmart, hizo hincapié en el “momento tan interesante y apasio-nante” que vivimos: “las estrategias nacionales de Seguridad y Ciberse-guridad, el Esquema Nacional o la Ley de Protección de Infraestructuras Críti-cas se han elaborado en el idioma de la convergencia y de la seguridad inte-gral”, ensalzó.

Además, aprovechó la ocasión para, una vez publicada la nueva Ley de Seguridad Privada, “animar al mundo TIC a realizar propuestas al Ministerio del Interior” con el fin de contribuir a elaborar y definir el re-glamento del recién aprobado texto. “Desde la Fundación Borredá esta-

mos trabajando en ello, pero creemos que hacen falta muchas más iniciati-vas para ayudar a que ese desarro-llo reglamentario sea lo más positivo posible para el sector de la seguridad informática”.

A continuación, en calidad de an-fitrión y en representación de José Luis Bolaños, Director de Security de Gas Natural Fenosa, tomó la pa-labra José Luis Moya, quien, breve-mente, resaltó el trabajo que lleva a cabo el departamento de Seguridad de la compañía, para erradicar la si-niestralidad laboral. “Para ello, es vi-tal la participación de todos, desde aquellos que forman parte del ámbito jerárquico hasta los propios trabaja-dores”, apuntó.

El turno de intervenciones de la in-auguración del encuentro lo cerró Joaquín Castellón. El director ope-rativo del Departamento de Seguri-dad Nacional comenzó destacando el lema elegido para la Estrategia apro-bada en 2013, Un proyecto compar-tido, nada casual teniendo en cuenta

que en la protección del país todos los actores “juegan un papel muy im-portante”.

En este sentido, precisó: “la ciber-seguridad es una prioridad para el Gobierno. Cada día somos más de-pendientes de las nuevas tecnolo-gías y de un ciberespacio vulnera-ble. Por ello, en un año se han reali-zado grandes avances: el impulso de la Estrategia y de su correspondiente Consejo de Ciberseguridad Nacio-nal, la creación del Mando Conjunto de Ciberdefensa, el acuerdo entre los ministerios del Interior e Industria para que el Inteco atienda los inci-dentes relacionados con las infraes-tructuras críticas, la aprobación de la Agenda Digital…”.

En cuanto a los retos por afrontar, Castellón explicó que, bajo su punto de vista, se debe incrementar la cul-tura de la ciberseguridad, enrique-cer la colaboración público-privada y mejorar la coordinación operativa, ya que “en España somos pocos para afrontar grandes problemas”.

especial seg2 encuentro de la seguridad integral

resiliencia

especial seg2



¿Resiliencia?Llegado el turno de las ponencias, la primera de ellas corrió a cargo de Guillermo Llorente Ballesteros. Comprometido con el Seg2 desde sus inicios, el director de Seguridad y Me-dio Ambiente de Mapfre bromeó al ci-tar el lema de la presente edición –Nuevas convergencias. Resiliencia–, considerando a este último término, tan de moda en el ámbito de la segu-ridad, un nuevo “palabro”.

“¿Por qué utilizar expresiones tan extrañas para decir cosas que se po-drían explicar de forma más simple? Sin duda, se trata de un nuevo ar-cano. Antes teníamos otros: la geren-cia de riesgos, la inteligencia com-petitiva… Ahora es la resiliencia”, re-flexionó.

Continuando con un tono crítico, Llorente incidió en que “la resiliencia no es el Santo Grial, la pócima má-gica que va a permitir a una empresa solucionar todo lo relacionado con la seguridad. Es más: la Real Academia Española (RAE) todavía no ha defi-nido qué es la resiliencia. Hay quien habla de ella y se refiere a la flexi-bilidad y a la resistencia. ¿Y esto es algo nuevo? Protección, detección, contención, respuesta… Es lo que hemos hecho siempre, con diferen-tes métodos, pero ahora lo denomi-nan resiliencia”.

Al hacer mención a los métodos, el ponente puso como ejemplo de caso práctico el simulacro de incendio de

uno de los edificios de la compañía. Un ejercicio que, como suele suceder, sirvió para extraer numerosas conclu-siones. En el caso de las nuevas tec-nologías, el responsable de Mapfre desveló que aprendieron a saber ges-tionar “servicios esenciales como el correo electrónico, vital para garanti-zar la comunicación”. “No se trata de una cuestión baladí, ya que, en situa-ciones así, al repasar los contratos, te das cuenta de que quien te presta ese servicio lo garantiza salvo en caso de fuerza mayor, que es, precisamente, cuando es más necesario”, ironizó.

Tras una didáctica exposición, Gui-llermo Llorente enlazó con el inicio de su ponencia –titulada, por cierto, ¿Resi… qué?– para volver a referirse a la resiliencia. “Insisto: no es algo no-vedoso, sino una palabra que, proba-blemente, define mejor lo que venía-mos haciendo y que muchos de los asistentes a este Encuentro de la Se-guridad Integral llevan muchos años poniendo en práctica para garantizar el buen funcionamiento de sus orga-nizaciones. En definitiva: proteger, de-tectar, minimizar, contener…”.

Ya en un turno de preguntas, con-sultado sobre cómo se lidera la inte-gración de la seguridad en una em-presa como la suya, el representante de Mapfre fue rotundo al explicar que “el primer requisito es creer en lo que hay que hacer y querer asu-mir esa responsabilidad y ese riesgo. Sí, se ha de ser especialista en algo, en este caso de la seguridad, pero, además, también hay que poseer una visión global de la compañía. Igualmente, se debe tener la volun-tad de adaptarse, saber aprovechar las oportunidades que se presen-tan, porque el entorno es cambiante. Y ya puestos, un poco de fortuna no viene mal, porque por mucho que tú quieras vender seguridad, si tu in-terlocutor no desea comprar… En definitiva, se ha de mostrar que se puede aportar valor añadido”.

El CSO del futuroEste fue el tema elegido por Juan Muñoz, Chief Security Officer (CSO) de ENCE, para la siguiente ponencia. Con su habitual discurso directo, y las influencias anglosajonas que le ca-racterizan, el también presidente de ASIS España dibujó una evolución de la figura del CSO, “cuya traducción

al español no es equivalente a direc-tor de seguridad. Eso es un gravísimo error. El término chief (jefe) se aplica a los responsables de máximo ni-vel de una organización, esto es, del Consejo de Dirección. Así pues, lo de CSO no lo inventaron cuatro gracio-sos, ya que se trata de un estándar escrito y publicado”.

Respecto a la complejidad de di-cho cargo en el mundo corpora-tivo, Muñoz reprodujo el párrafo de un artículo publicado recientemente en Security Management: “Al mismo tiempo que la seguridad continúa transformándose, pasando de ser una función de apoyo a un elemento crítico en la empresa, los profesiona-les de dicha función están preparán-dose para adquirir conocimientos re-lacionados con las finanzas, la direc-ción, el liderazgo, el trabajo en equipo y la mentalidad estratégica”.

Queda claro, pues, que los profe-sionales de la seguridad han de estar cada vez más preparados en un con-texto en el que la conocida conver-gencia ha dado paso a una segunda fase que obliga a saber gestionar no sólo la seguridad integral, sino tam-bién “los riesgos, la crisis y la con-tinuidad. Sencillamente, porque las empresas no están dispuestas a pa-gar a varios empleados cuyas funcio-nes son convergentes”.

Ante una situación así, el CSO del siglo XXI, según Muñoz, ha de ate-sorar habilidades como “ética y valo-

Guillermo Llorente, director de Seguridad y Medio Ambiente de Mapfre.

Juan Muñoz, Chief Security Officer (CSO) de ENCE y presidente se ASIS International-España.

resiliencia

http://www.gmv.com/es/


res, el lenguaje de los altos ejecuti-vos, visión de negocio, capacidad de crear equipos y de trabajar conjun-tamente, habilidad política…”. Al res-pecto, recordó la celebración de un reciente curso en el que participa-ron cualificados profesionales; uno de ellos le comentó que en el mismo no había aprendido nada de seguridad. “De eso se trataba. Para enterarte de cómo funcionan los extintores ya hay otros foros”, respondió el represen-tante de ASIS en nuestro país.

Y es que, de manera especial, para Juan Muñoz el CSO del futuro –¿o mejor, del presente?– ha de estar muy preparado desde el punto de vista de la formación y la certifica-ción. “En el caso de España, más allá de los Pirineos se sabe lo que es el Certificado de Protección Profesional (CPP), pero aquí parece que la gente todavía no se quiere enterar”. Algo que, entre otras cuestiones, ha dado lugar a que “los headhunters tengan problemas para encontrar personas con el perfil del CSO”.

Además, al igual que Guillermo Llo-rente, Muñoz se refirió al término re-siliencia, nada nuevo, por otra parte, en ASIS International –Marc Siegel, experto en estándares de la entidad, aludió al mismo en repetidas ocasio-nes durante su intervención en el V Congreso de Directores de Seguri-dad organizado por Seguritecnia–. Así, el CSO de ENCE definió el “pala-bro” como “la claudicación de Occi-dente. Lo que sucede con la resilien-cia es que la sociedad y la cultura de nuestros días son incapaces de ha-cer frente y gestionar los riesgos a los que se enfrentan”.

Sin distincionesA continuación, le llegó el turno a Andreu Bravo, Chief Information Se-curity Officer (CISO) de Gas Natu-ral Fenosa, con una ponencia titu-lada Seguridad integral. La evolución de las especies. Durante su interven-ción, el directivo hizo un repaso del concepto de seguridad integral y su evolución en tres fases: pasado, pre-sente y futuro.

En el primer caso, la seguridad se diseñó con el fin de combatir amena-zas cuyo éxito dependía del conoci-miento del objetivo y del entorno, de la preparación de los atacantes, de la oportunidad y, sobre todo, de las po-

sibilidades de huida. Por eso, “el ob-jetivo de las defensas era proteger el perímetro, detectar amenazas, inves-tigar y capturar y corregir y mejorar”, comentó.

Sin embargo, en el presente las técnicas de ataque han evolucio-nado, sobre todo debido al papel cada vez más importante de las Tec-nologías de la información, las cua-les, en palabras de Bravo, “han elimi-nado el factor geográfico”. Por tanto, la huida ya no preocupa tanto. De he-cho, ni siquiera se planifica. El resul-tado de usar las TI es que los ata-ques han cambiado y se han multi-plicado. “Se reducen los costes, se incrementan los actores involucra-dos, se apuntan a los eslabones más débiles, que son las personas, y son dirigidos, coordinados, complejos y profesionalizados”, afirmó Bravo.

Pero, al fin y al cabo, para el direc-tivo siguen siendo ataques contra la integridad de las empresas o las per-sonas. Por tanto, no debería haber distinciones entre seguridad física y lógica, sino que tendríamos que ha-blar de seguridad integral. “El len-guaje no tiene que ser una barrera para integrarnos. Podemos hablar distintos lenguajes, pero la realidad sigue siendo la misma. Por eso hay que aunar esfuerzos, y más en estos tiempos de crisis”, comentó.

Esto es, por ejemplo, lo que ya está haciendo Gas Natural Fenosa, en donde se han dado cuenta de

que ya no es suficiente con una co-nexión entre seguridad física y ló-gica. “Si queremos ser eficientes te-nemos que trabajar unidos”, puntua-lizó. De hecho, la organización ha creado una nueva área, que depende directamente de la dirección gene-ral, denominada Security, y cuyo fin es la protección de las personas, los activos y los procesos de la com-pañía. “A través de ella establece-mos toda la estrategia y táctica de seguridad de la empresa y llevamos a cabo las funciones operativas crí-ticas”, desveló el directivo. Por este motivo, han estructurado la división en áreas transversales, con grupos de trabajo mixtos e interlocutores úni-cos: Protección de infraestructuras críticas, Crisis resilience, Prevención e investigación del fraude y Security intelligence.

Éste es el camino que, según Bravo, las empresas deben seguir en el futuro, unificando la seguridad bajo un mismo paraguas, puesto que las amenazas seguirán avanzando y per-feccionándose, tanto en el mundo fí-sico como en el lógico. De ahí que sea imprescindible compartir infor-mación y cooperar entre todos en las investigaciones y en los incidentes. En este sentido, el CERT debe ac-tuar de forma unificada y coordinada para tal fin.

Papel del CERTPrecisamente, para tratar la función y misión del CERT de Seguridad e In-dustria (CERT SI), asistió a la jornada Miguel Rego, director del Instituto Nacional de Tecnologías de la Co-municación (INTECO). En concreto, el CERT SI es “la marca a través de la cual se facilitan los servicios de ci-berseguridad para contribuir a la res-iliencia nacional”, afirmó. Nació fruto de la colaboración pública-pública a través del convenio entre las Secre-tarías de Estado de Seguridad (SES) y de Telecomunicaciones y para la Sociedad de la Información (SETSI), y es operado por INTECO. Entre sus cometidos se encuentra la preven-ción, la alerta temprana y la sensibi-lización tanto de empresas como de los ciudadanos. Sin duda, se trata de una tarea fundamental, porque, se-gún Rego, los incidentes continúan aumentando. Aportó un dato impor-tante en esa línea: de todos los pro-

especial seg2


Andreu Bravo, Chief Information Security Officer (CISO) de Gas Natural Fenosa.


ducidos entre enero y mayo de 2014 el mayor porcentaje (32%) corres-ponde al malware, mientras que el 31% equivale a las vulnerabilidades.

A continuación, el directivo se de-tuvo en explicar algunas de las accio-nes que están llevando a cabo a tra-vés del CERT de Seguridad e Indus-tria tanto en el ámbito empresarial como de los ciudadanos. En el pri-mer caso, “estamos poniendo el foco en las pymes con el objetivo de que los servicios del CERT sean genera-dores de demanda”, explicó. Para ello realizan una labor de sensibilización y diagnóstico mediante servicios gra-tuitos para las empresas. En el ám-bito de los ciudadanos, van a po-ner en marcha el portal de la Oficina de Seguridad del Internauta. “Quere-mos desarrollar una labor de alerta y concienciación para los ciudadanos que no tienen formación ni conoci-mientos”, afirmó. Lo harán mediante la integración de servicios como Co-nan Mobile, una herramienta gratuita para Android que hace recomenda-ciones sobre la configuración de se-guridad y riesgo de los móviles y ta-bletas; o un servicio antibotnet con kits de desinfección e información so-bre cómo evitar las redes de ordena-dores usados de forma remota para lanzar ataques. Por otra parte, este organismo también pondrá al alcance de las Fuerzas de Seguridad del Es-tado la herramienta Evidence Detec-tor, que facilita el análisis automati-

zado en investigaciones de ciberdeli-tos, especialmente de la pedofilia.

Para finalizar su intervención, Rego se refirió a cómo el CERT de Segu-ridad e Industria ayuda a la ciberre-siliencia a través de un catálogo de servicios como la respuesta a inci-dentes, la detección proactiva o la alerta temprana. Asimismo, hizo hin-capié en la importancia de la celebra-ción de los Ciberejercicios 2014, que se celebrarán en septiembre y oc-tubre, en los que se realizan simula-cros de incidentes y que ya cuentan con 18 operadores estratégicos invo-lucrados. Por último, el directivo men-cionó la propuesta de realizar un pri-mer estudio sobre “la construcción de un marco integral de indicadores de resiliencia para empresas y admi-nistraciones”, lo que permitiría “medir el grado de madurez nacional”.

Estándares de gestiónCon la ponencia titulada Estánda-res de gestión en seguridad integral se dio paso al director de Seguri-dad y presidente de la Asociación de Directivos de Seguridad de Can-tabria (ADISCAN), José Manuel Gar-cía Diego, para hablar de la seguri-dad como concepto. En primer lugar, el directivo quiso reivindicar el papel de los legisladores en este entorno. Y es que, como afirmó durante su in-tervención, “los empresarios no tie-nen una cultura de la seguridad ni de los riesgos”. “Eso nos ha obligado a los profesionales a apoyarnos fuerte-mente en los legisladores. Ellos han sido los mejores aliados de la segu-ridad”, comentó para después pa-sar a hablar de la Ley 5/2014 de Se-guridad Privada. En ella se introducen conceptos importantes como el de la seguridad integral, la eficacia, la or-ganización, la planificación, la segu-ridad organizativa y la informática, y se menciona la imposición reglamen-taria de la garantía de calidad de los servicios.

“Si bien antes la seguridad era con-siderada un producto, similar a ‘hom-bre/pistola’, y con la entrada de las TIC empezó a considerarse un de-partamento, dependiente de la evo-lución tecnológica, hoy hablamos de seguridad como proceso, como parte de la dirección estratégica de una empresa, que se gestiona con unos objetivos, estándares, etc.”, explicó el

directivo. Ahora bien, las organizacio-nes deben mejorar el modelo de ma-durez de la seguridad, que se puede estandarizar a través de cinco su-puestos: medidas de seguridad, de-partamento de seguridad, plan de se-guridad, sistema de gestión estanda-rizada y modelos de excelencia. Cada empresa se puede situar en cada una de estas etapas; pero, para Gar-cía Diego, lo ideal sería estar entre el cuarto y el quinto supuesto.

Durante su ponencia, el directivo también mencionó los dos puntos de vista sobre los cuales se ha de con-templar la seguridad: estratégico y complementario. El primero pretende preservar la indemnidad de las per-sonas y la continuidad del negocio siendo respetuosa con los stakehol-ders. Por su parte, el segundo, que se conoce como 3G (Gate, Gun and Guard), es una seguridad de cumpli-miento. “Aquí la seguridad no se ges-tiona, sólo se administra, está basada en medidas y es ajena al riesgo”. Las organizaciones deben tender ha-cia un modelo como el primero. “Es esencial una visión estratégica de la seguridad, afrontar de manera in-tegral la gestión del riesgo y utilizar para ello metodología”, apuntó.

A continuación, el directivo se cen-tró en analizar qué son los sistemas de gestión de la seguridad, clave para aplicar el primer modelo, y que se de-finen como “la parte de sistema de gestión general basado en un en-


Miguel Rego, director del Instituto Nacional de Tecnologías de la Comunicación (INTECO).

José Manuel García Diego, presidente de la Asociación de Directivos de Seguridad de Cantabria (ADISCAN).

resiliencia

especial seg2



foque de riesgo empresarial que se establece para la creación, imple-mentación, control y revisión de la seguridad”. Incluye la estructura or-ganizativa, las políticas, las activida-des, las responsabilidades, las prác-ticas, los procedimientos, los proce-sos y los recursos. Y dentro de los sistemas de gestión de la seguridad hay varias familias y estándares, que, aunque no son la panacea, “sí son un compañero imprescindible para saber qué es lo que hay que hacer en cada caso”, añadió.

Seguridad en puertosDurante la siguiente conferencia tam-bién se abordó el tema de la seguri-dad integral. En esta ocasión, Enri-que Polanco, socio director de Glo-bal Technology 4E, se refirió al hecho de que, ante situaciones excepciona-les, las autoridades deben activar el plan de alerta de ciberseguridad de forma paralela a la seguridad física, puesto que no se pueden separar ambos cuando es preciso enfrentarse a amenazas reales y globales. Así, de hecho, sucedió con la proclamación de Felipe VI, lo que a ojos de Polanco es un hecho “altamente loable”.

Por desgracia, continuó, “es muy difícil encontrar en los planes de se-guridad de cualquier empresa que, ante un evento de especial relevan-cia (como junta de accionistas, pre-visión de huelgas o manifestaciones, etc.), se incluya entre los procedi-mientos de seguridad habituales al-gunos como cambiar las contrase-ñas de los dispositivos de seguridad y comunicaciones, comprobar el es-tado de aplicación de las políticas de seguridad informática, reforzar la se-guridad de las VPN de trabajo o res-tringir temporalmente el uso de deter-minados dispositivos altamente vul-nerables. Eso sí sería una verdadera convergencia”, puntualizó.

Y es que, para el directivo, todos los elementos críticos de seguridad física reposan sobre tecnologías IP conocidas y con herramientas al al-cance de todos para vulnerarlas. “Me gustaría que se generara una simbio-sis; es decir, se unieran fuerzas para conseguir una meta de intereses co-munes. Hay que pensar en procesos de inicio a fin”. Precisamente, esta afirmación sirvió para dar paso a Da-vid González, director de Sistemas

de Información de la Autoridad Por-tuaria de Tarragona, quien ya está lle-vando a cabo esta simbiosis entre la policía portuaria y el departamento de Sistemas. “En la Autoridad Portua-ria de Tarragona estamos totalmente convencidos de la absoluta necesi-dad de actuar de modo convergente en materia de seguridad, al igual que sabemos que así lo hará cualquier posible atacante”, afirmó durante su intervención. De hecho, el Sistema de Monitorización Avanzado (SIMA) ins-talado en el puerto, que actúa sobre los sistemas de información (inclui-dos todos los dispositivos de seguri-dad conectados por IP), detecta las amenazas que se materializan y de-muestra su utilidad de forma simbió-tica para todos los departamentos de la organización.

Y esta forma de actuar es extrapo-lable a todas las empresas, que de-ben crear un equipo multidisciplinar en el que tanto el departamento de TI como los CIO tienen mucho que aportar. “Los CIO deben aprovechar la oportunidad actual de ‘co-crea-ción’ de los nuevos sistemas de ges-tión de la seguridad y participar acti-vamente junto con los directores de seguridad integral”. Ahora bien, para González, no se trata de quitar com-petencias de un departamento y dár-selas a otro, sino de organizarse para aportar lo mejor de cada uno. “Se puede delegar parte de la gestión de la seguridad lógica en el director de

Seguridad Integral, aunque sin perder el control sobre esa seguridad, que obviamente deben ejercer los due-ños de cualquier tipo de activo”, ma-nifestó.

Durante su intervención, el invitado también advirtió de que la consume-rización (la aparición de nuevas tec-nologías de la información que lle-gan primero al mercado generalista y luego se propagan a las organizacio-nes) de las herramientas de explota-ción de vulnerabilidades “es un pro-blema candente”.

Cooperación e interacciónPara que las compañías sean capa-ces de alcanzar capacidad de resi-liencia es fundamental que exista una cooperación global y multidisciplinar entre los actores, no sólo de una or-ganización sino de todo un sector. Esa es la idea que defendió en su ponencia Pedro Pablo López, ge-rente de GRC & PIC (Gobierno, Ries-gos y Compliace & Protección, Infra-estructuras y Continuidad) de Rural Servicios Informáticos (RSI). “Internet ha hecho el mundo pequeño y, por ende, aporta valor y eficiencia; pero nos dice que el riesgo es también mucho más grande, exponencial”, ra-zón por la cual “la apuesta por la in-teroperabilidad es esencial en la con-tinuidad, las emergencias, la gestión de crisis y la resiliencia organizacio-nal”, advirtió el ponente.

Según explicó López, la resiliencia de

Enrique Polanco, socio director de Global Technology 4E.

David González, director de Sistemas de Información de la Autoridad Portuaria de Tarragona

http://www.vincert.vintegris.com


los negocios y los servicios debe estar apoyada básicamente en la capacidad de recuperación de “las infraestructu-ras, las tecnologías, la información y las personas”. Pero, sobre todo, desde su punto de vista la principal herramienta para que una organización alcance esa capacidad es la cooperación, incluso con otros actores que forman parte de su competencia.

Tomando como referencia la res-iliencia aplicada a las personas, de-finió el concepto como “la capaci-dad de los sujetos a sobreponerse a periodos de dolor emocional, si-tuaciones adversas, incluso saliendo fortalecido de los mismos”. Esta ex-plicación se puede extrapolar a las organizaciones, afirmó. Razón por la cual López considera al individuo como el centro de la resiliencia, por-que el concepto “parte mucho del sentido común de las personas que gestionan cada una de las labores que se les encomienda cada día”.

El representante de RSI apuntó al-gunas claves para que una compa-ñía tenga capacidad de resiliencia. Señaló que “es necesario” que exista una relación entre los grupos de inte-rés de la empresa, “es aconsejable” definir un proceso global de protec-ción y asignar responsables, “es vital” definir un Plan de Comunicación y un protocolo de respuesta ante sucesos, y “es una buena práctica” crear una cultura de resiliencia mediante la con-cienciación, divulgación, formación y entrenamiento en la materia. Ade-más indicó la necesidad de compar-

tir una terminología, conceptos defi-nidos claramente y poner los riesgos en un orden, desde los más frecuen-tes hasta los más remotos.

López se detuvo también en “dos factores fundamentales en relación con las preocupaciones de las organizacio-nes: la dimensión y el tiempo”. En con-tra del concepto de “hace un siglo”, cuando las amenazas estaban más acotadas espacialmente y existía más tiempo de respuesta, hoy “es impor-tante que las compañías cambien de paradigma en sus procesos y protoco-los”, adaptándolos a la realidad actual de amenazas globales e inmediatas.

Como conclusión, el representante de RSI consideró que las organiza-ciones necesitan aplicar medidas es-tratégicas (legales, divulgativas, in-formativas, formativas, organizativas, operativas) y otras de tiempo (preven-tivas, de detección, respuesta, inves-tigación y forenses) para conseguir alcanzar la resiliencia. A lo que se añade el liderazgo, la coordinación y la gestión de los riesgos. También se refirió a la conveniencia de aplicar la regla de “las cinco C”: cooperar, co-ordinar, comunicar, colaborar y com-partir. A las que él sumó la necesidad de controlar, aceptar el cambio y te-ner un compromiso con la protección de la organización.

Infraestructuras críticasUno de los ámbitos en el que la res-iliencia cobra su mayor expresión de necesidad es el de las infraestructuras críticas de un país, aquellos servicios

esenciales para el funcionamiento de la sociedad. En España, la Comisión Nacional para la Protección de las In-fraestructuras Críticas acaba de apro-bar los cinco primeros Planes Estraté-gicos Sectoriales (PES), que abarcan los sectores de la energía (que se ha dividido en electricidad, gas y petró-leo), el nuclear y el financiero.

José Ignacio Carabias, jefe del Ser-vicio de Seguridad Física del Centro Nacional para la Protección de las In-fraestructuras Críticas (CNPIC), explicó a los asistentes al Seg2 algunas de las claves de estos planes, que han tar-dado dos años en ver la luz desde la aprobación de la Ley para la Protec-ción de las Infraestructuras Críticas (Ley PIC) y su Reglamento de desa-rrollo. Ese tiempo no ha sido más corto debido a la complejidad para coordinar las 180 reuniones que se han llevado a cabo con la participación de unas 80 personas en cada una, entre represen-tantes de ministerios, organismos regu-ladores y operadores, según explicó el representante del CNPIC.

Los cinco primeros PES son la avanzadilla de los otros siete que ten-drán que ver la luz en adelante, hasta completar los 12sectores estratégi-cos que establece la ‘Ley PIC’. Los próximos, cuyos trabajos comenza-rán “después del verano”, serán los del transporte –que se dividirá en aé-reo, marítimo, carretera y ferroviario–, agua y tecnologías de la información y las comunicaciones, según anticipó Carabias.

El jefe del Servicio de Seguridad

especial seg2


Ana Borredá, directora general de la editorial Borrmart, escucha la ponencia de Pedro Pablo López, gerente de GRC & PIC de Rural Servicios Informáticos (RSI).

José Ignacio Carabias, jefe del Servicio de Seguridad Física del CNPIC.


Física del CNPIC explicó que los PES son: “un instrumento de estudio y planificación que nos debe permi-tir conocer cuáles son los servicios esenciales de un sector, cuál es el funcionamiento de los mismos, cuá-les son las vulnerabilidades y ame-nazas del sistema, y calcular las po-sibles consecuencias potenciales de la inactividad de alguno de ellos”. A partir de esa base se plantean “me-didas de carácter estratégico im-portantes y necesarias para el man-tenimiento de dicho sector”, aña-dió. Estos planes son de carácter confidencial y serán revisados cada dos años, o de manera puntual si se considera necesario.

Tal y como explicó Carabias, los PES están estructurados en cuatro capítulos. El primero de ellos es el de normativa, cuyo objetivo es “es-tablecer una base normativa y le-gal, determinar cuál es la principal normativa de aplicación en el sec-tor, y evitar incompatibil idades y duplicidades”.

El segundo aborda la estructura y funcionamiento del sector. En él se “ayuda a identificar cuáles son los servicios esenciales en cada uno de los sectores, cómo se organizan y funcionan, y se ha establecido una segmentación en cuanto a la tipolo-gía de infraestructura”. Además se han identificado los principales ope-radores estratégicos y se ha creado un mapa de interdependeicncias, ya que muchas de las infraestructuras de un sector dependen de otros.

El tercer capítulo se central en el análisis de riesgos, donde “se iden-tifican los activos que deben tener una especial atención”. Sobre ellos se han indicado las amenazas, las vulnerabilidades y recomendaciones para la gestión de los riesgos.

Finalmente, el capítulo cuarto re-coge las medidas a adoptar desde el punto de vista organizativo y téc-nico. Como explicó el representante del CNPIC, “están dirigidas a ges-tionar las capacidades operativas de respuesta dirigidas a la preven-ción y la reacción y mitigar las con-secuencias en caso de que se pu-dieran producir los diferentes esce-narios identificado”.

Carabias aportó también algunas conclusiones de carácter general en torno a cada uno de los PES apro-

bados en junio. Sobre el de Elec-tricidad, destacó la importancia de “contar con un sistema mallado de la red dado que la electricidad no se puede almacenar”. Los trabajos en este plan se han basado en la ge-neración, el transporte, la distribu-ción, y operación y el control del sis-tema. Acerca de este último punto, aseguró que “es uno de los ámbitos más importantes, dado que desde ahí se gestiona todo el sistema de electricidad”.

En cuanto al PES del Gas, “el prin-cipal objetivo es que se garantice la continuidad del servicio, por eso se ha determinado la obligatoriedad de la asistencia mínima del suministro durante 20 días y la diversificación para optar y hacer llegar el gas a todo el territorio nacional”, aseguró el representante del CNPIC. Uno de los principales aspectos que destacó en torno a esta fuente de energía es la enorme dependencia de España res-pecto al extranjero. Por ello subraya la importancia del almacenamiento, especialmente el subterráneo, y el proceso de regasificación.

En tercer lugar, el PES del Petró-leo pone énfasis igualmente en el su-ministro y el almacenamiento por la dependencia española del exterior. Los depósitos y reservas de petróleo “tienen que estar en todo momento disponibles para el Estado”, advir-tió Carabias, por si se repiten casos como la Guerra del Golfo en el que el país tuvo que recurrir a ellas. Tam-bién destacó la criticidad de la des-carga de los buques en las bocanas de los puertos españoles.

El PES Nuclear se ha dividido en dos subsectores, el nuclear y el ra-diológico. El pr imero está enfo-cado a la protección de los ciuda-danos ante la posibilidad de emisio-nes contaminantes o la extracción y fabricación de elementos com-bustibles procedentes del uranio. Igualmente, una de las amenazas identificadas será la utilización de materiales radiactivos para la co-misión de atentados terroristas. En cuanto al subsector radiológico, Ca-rabias indicó que se refiere a las ins-talaciones que albergan fuentes de categoría 1, en las que se ha identifi-cado la posibilidad de sustracciones como principal vulnerabilidad.

El jefe del Servicio de Seguridad

Física del CNPIC finalizó su inter-vención con el quinto PES, el Finan-ciero, que se ha dividido en cua-tro ámbitos: servicios y sistemas de pago, crédito y liquidez, ahorro e in-versión y seguros. Entre las vulnera-bilidades identificadas, relacionada con el primero de estos ámbitos, se encuentra el fallo del sistema de pa-gos al por menor, que “podría pro-ducir efectos en la economía real y tener repercusión en la confianza de los ciudadanos”.

Nueva leyLa nueva Ley de Seguridad Privada (5/2014) ha incluido a la “seguridad informática” como una “actividad compatible” de este sector. Esto ha suscitado opiniones de todo tipo respecto a al alcance de la ley en torno a la protección de las tecno-logías de la información y las comu-nicaciones. Antonio Ramos, pre-sidente de ISACA Madrid, analizó los principales puntos de la nueva norma que afectan a la seguridad de la información y formuló algunas propuestas de cara al nuevo Regla-mento de Seguridad Privada, que afectará también a empresas tec-nológicas y organizaciones usua-rias de servicios y soluciones de este tipo.

El primer artículo en cuestión fue el 6.6 que afecta “a las empresas, sean o no de seguridad privada, que se dediquen a las actividades de se-guridad informática, entendida como el conjunto de medidas encamina-das […] para garantizar la calidad de los servicios que presten”. El ponente se preguntó a qué servicios se re-fiere este precepto, ya que, para él, en este caso, en el entorno físico y el lógico “lo único que cambian son las herramientas”.

Como propuesta para garantizar la calidad de las medidas de seguridad informática, Ramos planteó la verifi-cación por parte de terceros del sec-tor privado. “Hasta ahora tenemos un escenario en el que la verificación de las medidas la hace la propia Admi-nistración. Pero si hay un sector [pri-vado] que se dedica a ello, ¿por qué no les confiamos que hagan audito-rías?”, expresó.

Por otro lado, indicó que, aunque la ley impone medidas a los pro-veedores de seguridad informática,


resiliencia

especial seg2



habría que exigir también este tipo de protección a los proveedores de servicios de seguridad tradicional, como por ejemplo, a los transpor-tes de fondos. “No sigamos sepa-rando lo que no es separable, esta-mos en un mundo tecnificado”, de-fendió Ramos.

En relación con el mencionado ar tículo, el presidente de ISACA Madrid se mostró reacio a la verifi-cación de las medidas y niveles de seguridad a través de las certifica-ciones. Él apuesta más por las ca-lificaciones de seguridad que eva-lúen esas medidas distinguiendo el tipo de usuario y nivel de riesgo.

Ramón se detuvo también en el artículo 47.3, que indica que las se-ñales de alarmas deben ser pues-tas en conocimiento del órgano competente. Sobre este asunto, matizó que en el entorno ciberné-tico no existen las alarmas como tal sino los incidentes. En esa lí-nea se preguntó: “¿Qué se noti-fica entonces?”, a lo que añadió otras pregunta: “¿Quién va a venir cuando yo envíe una alarma de mi SOC?”.

El ponente propuso que se notifi-quen los intentos de entrar en los sis-temas como solución al primer pro-blema, y la creación de una “ventani-lla única” en la Administración a la que puedan recurrir los usuarios cuanto sufren un incidente para la segunda cuestión. “Luego que sea la Adminis-tración la que decida la responsabili-dad de hacerse cargo de ello”, añadió.

Otro ar t ícu lo destacado para Ramos es el 52.1, que señala, en torno a las medidas de seguridad informática, que “las característi-cas, elementos y finalidades de las medidas de seguridad de cualquier tipo, quien quiera que los utilice, se regularán reglamentariamente […], en cuanto a sus grados y caracte-rísticas”. Sobre este precepto ad-virtió: “como digamos que el con-trol de accesos es una medida de seguridad informática, toda em-presa que tenga usuario y contra-seña pasa a estar regulada por la Ley de Seguridad Privada”, advir-tió. De ahí que, desde su punto de vista, “en función del riesgo, habrá que adoptar unas medidas de se-guridad u otras”.

Ciberseguridad industrialAntes del cierre de una nueva edi-ción del Seg2, Javier Larrañeta, secretar io genera l de la Plata-forma Tecnológica Española de Segur idad Industr ia l (PESI), ex-p l icó los proyectos en los que participa su organización. Según explicó antes, la razón de ser de la Plataforma es crear “un foro de colaboración fundamentalmente pr ivado como órgano consultivo para la innovación y desarrollo en la seguridad”, en cuatro áreas de despliegue: seguridad de proce-sos e instalaciones, seguridad y salud en el trabajo, seguridad am-biental y seguridad corporativa de la empresa.

Larrañeta considera que uno de los aspectos importantes dentro de este campo en lo que a I+D se re-fiere es trabajar de manera “coo-perativa”. “La Comisión Europea ha planteado desde esa perspectiva el nuevo programa marco Horizonte 20+20 y ha definido un área de tra-bajo distinta que no existía como tal, llamada ‘Sociedades Seguras’”, apuntó.

El secretar io genera l de PESI señaló algunos de los proyectos puestos en marcha en los dos úl-timos años dentro de Europa, en los que ha par tic ipado la Plata-forma, relacionados con la ciber-seguridad industrial. Destacó dos programas sobre la innovación de los servicios de seguridad (INNO-SEC e INSEC), tanto de los ope-

radores como de las empresas de seguridad, que “se han promovido desde España”.

Asimismo, puso el acento en el trabajo de los laboratorios INGRID, pertenecientes a Tecnalia, que son “los más avanzados de Europa” y “el segundo del mundo en ciberseguri-dad en Smart grid y Smart meters”.

También mencionó la creación del Centro de Ciberseguridad Indrustrial (CCI) y el Proyecto PSOPHIA “sobre el factor humano de la seguridad de los operadores de infraestructuras críticas”.

Para finalizar, Larrañeta trasladó el interés de la PESI en que haya más representantes españoles en el grupo de trabajo sobre seguri-dad integral creado en el entorno de la Unión Europea, que está li-derado por España. Invitó a los asistentes a “marcar las pautas y desarrollar proyectos con otros socios europeos en temas de in-novación y desarrollo tecnológico en el ámbito de la seguridad” a través de la participación en ese foro.

No hubo tiempo para más en el VI Encuentro de la Seguridad Inte-gral, que abordó la protección de las organizaciones desde diferen-tes perspectivas. Todas ellas con una palabra que cada día está co-brando más importancia para las organizaciones, “resiliencia”, sin la que la seguridad no cobraría todo su sentido.

Antonio Ramos, presidente de ISACA Madrid.

Javier Larrañeta, secretario general de la Plataforma Tecnológica Española de Seguridad Industrial (PESI).

bsi_red066.indd 1 03/09/2014 11:14:07

http://www.bsigroup.es

resiliencia

especial seg2



Resiliencia y ciberseguridadJuan Antonio Gómez Bule, presidente del Consejo Asesor de S21sec, expuso su particular visión del término de moda en el mundo de la seguridad y, en relación con el ciberespacio, alertó de que va más allá de lo tecnológico.

Para Juan antonio Gómez Bule, presidente del Consejo Asesor de S21sec, el término resiliencia es com-parable a la expresión ancestral “si caes siete veces, levántate ocho”. O, interpretando cierto refrán japonés, por muchas veces que te caigas, levántate y nunca te rindas.

Gómez Bule alertó de la nece-sidad de generar “una sociedad resiliente, con valores, que tenga capacidad de prevención, de reac-ción, de poder identificar dónde está y hacia dónde va. Y eso no es excluyente de las personas, las empresas o los estados. Es una forma de pensamiento y de estar en el mundo. Resiliente es ser capaz de identificar los riesgos, qué nos sucede, y de pilotar el destino”.

Una vez expuesta su particu-lar visión de la resiliencia, alabó la Estrategia de Ciberseguridad Nacional como “elemento vertebra-dor”, si bien advirtió que la ciberse-guridad va más allá de lo tecnoló-gico: “si nos ocupamos sólo de la tecnología, eliminaremos una deter-minada capacidad de acción”.

Al hilo de esta argumentación, el representante de S21sec diseccionó lo que él denomina “elasticidad de pensamiento”, esencial para gestio-nar las transformaciones permanen-tes que se producen en un entorno que precisa “cambios, resistencia y, sobre todo, recuperación. Tenemos que ser capaces de realizar un diag-nóstico concreto y claro. Y además, tener la capacidad de prevenir, de hacer prospectiva. Eso es elastici-

dad de pensamiento, esencial para poder abordar las evangelizaciones que hemos de desarrollar en los segmentos de los procesos de con-vergencia”.

Como ejemplo práctico, tenien-do en cuenta dónde se celebraba el encuentro, Juan Antonio Gómez Bule se refirió a Gas Natural, com-pañía cuyas instalaciones, por su especialidad, pueden considerarse infraestructuras críticas. “La geopolí-tica y la ciberseguridad implican que debemos de ser capaces de identifi-car cómo la seguridad se convierte en un elemento fundamental. No hay pozos petrolíferos en Berna ni en Zúrich. Normalmente, se encuentran en enclaves más complicados. Por eso, es necesario disponer de un concepto de aseguramiento global que permita la continuidad del nego-cio, tener una conciencia de la segu-ridad y de la gestión”.

A modo de conclusión, Gómez Bule comentó que “la ciberdefensa no funciona si no hay un elemento de análisis. El pensamiento es la mejor herramienta, un instrumento sustentado por la tecnología. Pero no es un fin, sino un medio. Hemos de afrontar riegos y amenazas. ¿Quién está detrás de ellos? ¿Lo sabemos? ¿Nos interesa? ¿Somos capaces de disuadir? ¿La propor-cionalidad de la respuesta es la adecuada? Todos esos elementos que ocupaban un pensamiento mili-tar, tradicional, se han traducido en otro global”.

Retomando el inicio de su inter-vención, el presidente del Consejo Asesor de S21sec matizó: “la resi-liencia es la capacidad de recupe-rarte. Pero tienes que identificar qué es lo que te puede llegar a hacer daño. Y si caes siete veces, levan-tarte ocho”.

INTERVENCIÓN FIRMAS PATROCINADORAS

“Hay que añadir inteligencia a la defensa”La ponencia de Ricardo Cañizares, director de Consultoría de Eulen Seguridad, titulada “De la prevención a la anticipación”, abordó la necesidad de reducir los tiempos de respuesta ante los ataques y de aplicar inteligencia para anticiparse a ellos, incluso antes de que se produzcan.

DesDe sus orígenes, Eulen Seguridad siempre ha tratado de convertirse en un aliado fiel de las empresas. Para ello ha tenido que adaptarse a las circunstancias y necesidades de las organizaciones en materia de protec-ción. Así lo puso de manifiesto Ricardo Cañizares, director de Consultoría de Eulen Seguridad, durante su interven-ción, en la que expuso un problema que, a su juicio, se plantea actualmen-te, el de los tiempos. “En el centro de todo se sitúa el activo que hay que proteger y en torno a él se articulan las líneas de defensa con diferentes grados de seguridad”, explicó. En un momento determinado (tiempo cero) comienza el ataque. En el tiempo uno atraviesa la primera línea, en el tiempo dos, la segunda, y así sucesivamen-te. El atacante sabe perfectamente lo que necesita para dar cada paso y conseguirlo. En cambio, continúa, “el defensor se encuentra en reposo y hasta que no le llega el aviso de que se ha detectado una intrusión, no pone sus medios en alerta. De tal forma que cuando el defensor llega a la primera línea a ver qué ha pasado, el atacante ya se ha ido”, aseguró. Ahí es donde radica el problema, puesto que el tiempo de respuesta del defensor ha de ser menor que el que necesita el atacante. “Lo que tiene que hacer el defensor es disminuir los tiempos de respuesta y, consecuentemente, aumentar los del atacante”, afirmó.

Esa forma de actuar es la que se viene haciendo habitualmente tanto en el mundo físico (levantando más muros, más controles y prácticas) como en el ciberespacio (invirtiendo más en TI y en personal). Sin embar-go, para Cañizares esto no está resul-

tando eficaz, porque se siguen produ-ciendo ataques. “De ahí la importancia de la resiliencia, nuestra capacidad de aguantar los golpes y volver a levantar-nos, aunque siempre vamos a remol-que de los malos”, comentó.

Por eso hay que buscar otras solu-ciones, y qué mejor que comprobar lo que se ha hecho en el pasado para adaptarlo al presente. “Es preciso conocer dónde está el ataque para pararlo antes de que entre en la pri-mera línea de defensa”. Y eso se consigue utilizando la inteligencia, entendiendo ésta como “el producto obtenido tras aplicar información y técnicas de análisis de forma que resulte útil al defensor a la hora de tomar sus decisiones”. En otras pala-

bras, es imprescindible recopilar mucha información de diferentes tipos de fuentes para analizarlas y explotarlas. Y en esto precisamente es en lo que lleva trabajando Eulen Seguridad durante los últimos años, porque ya no es suficiente con la prevención, con la que “siempre se irá tarde”. Debe haber un tiempo de anticipación que permita reaccionar, y “eso se consigue aplicando la inte-ligencia”, añadió. De hecho, para Cañizares es fundamental que las empresas no sólo inviertan en perso-nas, tecnologías y procedimientos; sino también en inteligencia, porque “va a proporcionar el tiempo de anti-cipación que no va a dar ningún otro sistema”, finalizó.


“Es preciso conocer dónde está el ataque para pararlo antes de que entre en la primera línea de defensa”



resiliencia

especial seg2



Contexto y necesidades de la ciberseguridad en la industriaJavier Osuna, jefe de la División de Seguridad y Procesos de GMV, dedicó su ponencia a poner de manifiesto los retos y necesidades de seguridad que tienen por delante los entornos críticos e industriales en el mundo cibernético.

Una de las bases de la seguridad nacional en el entorno cibernético es la protección de los entornos críticos e industriales. Aunque hasta hace unos años no se insistía de manera tan decidida como ahora en asegurar las tecnologías de información de estas instalaciones o servicios, lo cierto es que han estado en el punto de mira desde hace tiempo. La resiliencia en estos espacios es hoy por hoy una prioridad, una necesidad obligada por la importancia que tienen para el desarrollo de la sociedad.

Javier Osuna, jefe de División de Seguridad y Procesos de GMV, abor-dó este tema durante el encuentro equiparando resiliencia a continuidad del negocio. “Tradicionalmente, resi-liencia ha sido igual a disponibilidad y disponibilidad ha sido igual a respal-do”, afirmó.

Desde su punto de vista, a lo largo de las dos últimas décadas han suce-dido “cosas que han marcado la dife-rencia” en lo concerniente a la conti-nuidad de negocio de las organizacio-nes. El primer ejemplo de ello apareció con el llamado Efecto 2000, pero después se han sucedido otros como el 11 de septiembre, la aparición de los “gusanos precursores” Slammer y Mydoom, el ataque cibernético a Estonia y así hasta llegar a la reunión del G20 en la que Estados Unidos espió a sus socios.

Para Osuna, el entorno de las amenazas y las vulnerabilidades se caracterizan hoy en día por la prácti-ca desaparición de los perímetros, la profesionalización e industrialización “tanto de los buenos como de los malos”, la sofisticación de los ataques, la mundialización, la externalización de los servicios, la crisis, la guerra de patentes, el espionaje o la diferencia

de legislaciones; pero advirtió de que “lo peor está por llegar”.

De ahí la importancia de contar con una industria preparada para hacer frente a los nuevos retos a su seguri-dad. Según el representante de GMV, estos entornos “han estado histórica-mente aislados del exterior”, “tremen-damente procedimentados”, cuentan con sistemas de monitorización fun-cional avanzada y son capaces de hacer valoraciones de impacto preci-sas. Pero, sin embargo, son estáticos y obsoletos en muchos casos, y cuentan con un exceso de permisos.

Los retos en los entornos industriales pasan por la “conexión al cibermundo”, ya que los sistemas en entornos indus-triales son estáticos “frente a algo que va a un ritmo vertiginoso”, a lo que se suma “una mentalidad diferente” en los entornos industriales, donde sus responsables son más reacios al cam-bio, o “la utilización de soluciones para sistemas propietarios heterogéneos”.

Osuna opina que frente a los desa-fíos que tienen por delante los entornos críticos e industriales sería “interesantí-simo aplicar la experiencia de sectores

que están muchísimo más maduros”. Ejemplos son el de la banca o las telecomunicaciones, que “están muy avanzados en seguridad”. Para el jefe de División de Seguridad y Procesos de GMV, también es importante “la confiabilidad y el compromiso de los suministradores y otros compañeros de viaje”. “Está muy bien llevar servicios fuera, salen mucho más barato, pero si luego no puedes confiar…”, observó. Un tercer aspecto que mencionó en esta línea es la conveniencia de crear medidas de seguridad ad hoc.

Antes de despedirse, Osuna con-cluyó que las amenazas cambian tan rápido y evolucionan de tal manera que “los análisis de impacto y de ries-gos se quedan obsoletos antes de acabarlos”. La industria, pero también el Gobierno e incluso los ciudadanos, han de “admitir el alcance y la grave-dad de lo que está sucediendo”. Cree que la regulación es positiva, pero la industria no debe asumirla como un mero cumplimiento. “Tenemos que tener un fondo, no limitarnos al hecho de que te pongan una multa”, mencio-nó a este respecto.


Anticiparse, la mejor soluciónPablo de la Riva Ferrezuelo, especialista en desarrollo de soluciones de seguridad de Buguroo, empresa estrechamente vinculada a Deloitte, dio a conocer bugThreats, una herramienta de búsqueda inteligente y prevención de amenazas en la Red.

Aunque el progrAmA del VI Encuentro de la Seguridad Integral contemplaba una ponencia matinal de Fernando Picatoste –bajo el título de Ciberinteligencia aplicada–, su intensa agenda le impidió estar pre-sente en el Seg2. La ausencia del socio de Deloitte –fiel patrocinador del evento desde sus inicios, tal y como recordó Ana Borredá a modo de agradecimiento–, fue cubierta por Pablo de la Riva Ferrezuelo, fundador y especialista en desarro-llo de soluciones de seguridad de Buguroo, empresa que atesora una experiencia de más de una década en el sector de la ciberseguridad y estrechamente vinculada a Deloitte.

Sobre la situación actual del cibe-respacio, De la Riva explicó que “se calcula que el 4 por ciento de Internet es visible; por ejemplo, todo aquello que aparece cuando se busca en Google. El 96 por ciento restante es donde hemos focalizado los esfuerzos de nuestras investiga-ciones y herramientas para inten-tar adelantarnos a posibles fraudes, robos, atentados…”.

Además, precisó que, según un reciente estudio, “se estima que el impacto económico del cibercrimen a nivel mundial puede llegar a ser de hasta 500.000 millones de dólares” en un marco en el que los malos “suelen estar un paso por delante de quienes nos dedicamos a combatirlos”. Con el deseo de lograr este objetivo, en Buguroo han desarrollado una solu-ción denominada bugThreats, “que pretende automatizar la recolección, indexación, análisis, reporte, etc., de nuevas amenazas en Internet con el fin de anticiparnos a los riesgos”.

Respecto a los ataques que se están localizando con dicha solu-ción, el Chief Technology Officer

(CTO) de Buguroo explicó que los mismos representan un amplio aba-nico, “desde phising hasta malware, pasando por robos de credenciales o datos personales, productos fal-sificados... Peligros que se comba-




ten gracias a servidores dedicados, sandboxes, etc. En el caso de estos últimos, recuperamos hasta 39.000 binarios únicos e intentamos ave-riguar, en el mismo momento en que son distribuidos, hacia dónde se dirigen. Y cada día procesamos también en torno a cinco millones de nuevas URLs en la Red, si bien ello no significa que todas supon-gan una amenaza”.

Asimismo, el catálogo de pro-ductos de Buguroo, empresa de la que Deloitte es inversor, contempla bugScout, una herramienta espe-cialmente concebida para automa-tizar el análisis estático del código fuente en aplicaciones, y bugBlast, un multiescáner de vulnerabilidades en infraestructuras.

Además, la empresa ha diseñado un programa para ayudar a sus part-ners a recibir o comercializar forma-ción en cuatro áreas de conocimien-to: desarrollo, hacking, forense y reversing

actualidad tecnológicanoticias

Crece el uso profesional de las redes sociales


El Ministerio de Industria, Energía y Turismo ha presentado la sép-tima edición del informe anual La Sociedad en Red, corres-pondiente al año 2013, que ela-bora el Observatorio Nacional de las Telecomunicaciones y de la Sociedad de la Información (ONTSI). Entre las aspectos más importantes, destaca el incre-mento en el uso profesional de las redes sociales por parte de las empresas, que se ha tradu-cido en una subida de 11,7 pun-tos porcentuales en el caso de las pymes y grandes empresas, y de 17,6 puntos porcentuales en las microempresas, con un porcentaje de uso del 29,1% y del 26,6%, respectivamente.

Asimismo, la banda ancha móvil también crece de forma importante por tercer año con-secutivo y registra un índice de penetración entre las organiza-ciones con conexión a Internet del 73,6% en pymes y grandes empresas, y del 56,8% en las microempresas.

Por otro lado, el documento hace hincapié en el crecimiento de tabletas y smartphones en los hogares y en la población española. En el primer caso se ha incrementado en 16,7 pun-tos porcentuales, con un índice de penetración del 28,5% en los hogares; mientras que en el segundo ha sido de 12,2 puntos porcentuales y ya alcanza al 53,7% de los individuos.

Sobre la administración elec-trónica, el informe del ONTSI destaca que el 98% de los ser-vicios públicos digitales básicos de la Administración General del Estado (AGE) son totalmente accesibles en Internet, de este modo España supera en 24 puntos porcentuales la media europea situada en el 74%. Su usabilidad, asimismo, es del 100%, frente al 76% de media de la UE27.

Por último, el documento rea-liza un análisis de las Tecnologías de la Información en el ámbito global. En total, el mercado mun-dial TIC movió 3.479 miles de millones de euros en 2013, que se distribuyen de la siguiente manera: Norteamérica (30,9%), Asia y Pacífico (29,9%), Europa (25,1%) y América Latina, África y Oriente Medio (14,1%).

De los 59 países analizados en la 13ª Encuesta Global sobre el Fraude 2014 de la consultora EY, denomina-da Overcoming compliance fatigue: reinforcing the commitment to ethi-cal growth, España ocupa la deci-moquinta posición entre los más preocupados por el cibercrimen. De hecho, un 58% de los preguntados considera esta cuestión como un riesgo considerable o muy elevado.

En lo referido a los principales auto-res de ciberdelitos que más quebra-deros de cabeza generan a los directi-vos, a la cabeza se sitúan los hackers o hacktivistas (un 58%), le siguen los propios empleados o colaboradores (40%), los ciberdelincuentes proce-dentes de la competencia (un 38%), el crimen organizado (16%) y el prove-niente de otros estados (4%).

Pero ésta no ha sido la única mate-ria analizada en el documento elabo-rado por la consultora. En términos generales, la encuesta refleja que la percepción de los directivos españo-les sobre la generalización del fraude ha descendido, pasando del 34% al 28% entre 2012 y 2014. Sin embar-go, sigue poniendo de manifiesto la buena aceptación de ciertas preben-das y comportamientos comprome-tedores para conseguir un negocio.

Además, y aunque los directivos españoles parecen estar cada vez menos dispuestos a justificar com-portamientos poco éticos en sus empresas, un 36% aceptaría alguna propuesta de este estilo para ganar o salvaguardar su negocio. Este por-centaje resulta ser inferior al regis-trado en el conjunto de los países analizados, que se sitúa en el 42%.

“Bien sea por las consecuencias de la crisis, bien sea por una pro-gresiva instauración de una cierta ética en los negocios, parece que la preocupación de los ejecutivos españoles antes la generalización de las prácticas corruptas se ha relaja-do en los dos últimos años”, afirma Ricardo Noreña, socio responsable de Forensic de EY.

Finalmente, otra de las cuestiones que en estos últimos años ha perdido impulso entre las organizaciones es la instauración de procedimientos y políticas antifraude y corrupción y de cumplimiento, incluyendo códigos de conducta. Hoy por hoy, un 54% de los consultados las tiene en cuenta frente al 74% de los sondeados hace dos años, a la vez que nuestro país ocupa las últimas posiciones en con-tar con estas medidas sobre el con-junto de los estados analizados.

13ª Encuesta Global sobre el Fraude 2014El informe, elaborado por EY, recoge la percepción de los directivos de grandes compañías de todo el mundo, entre ellas 50 españolas, sobre cibercrimen, fraude, corrupción corporativa y procedimientos antifraude.


toda la información deseguridad TIC

a un clic

:::Información especializada sobre seguridad TIC

:::Accede GRATIS a la revista digital

:::Navegación fácil e intuitiva

:::Servicios GRATUITOS: newsletter, alertas

:::Accede GRATIS a la revista desde tu Tablet y Smartphone

apúntate gratis

webred.indd 1 20/02/2014 14:51:39




Representantes de ENISA y Europol suscribieron en junio un acuerdo estratégico con el objetivo de facilitar la cooperación y el intercambio de conocimientos en la lucha contra la ciberdelincuencia.

El propósito del acuerdo, firma-do en la sede de Europol en la Haya, es mejorar la cooperación entre Europol, su Centro Europeo de Ciberdelincuencia (EC3) y ENISA, con el fin de apoyar a los Estados miembros y a las instituciones de la Unión Europea en la prevención y la lucha contra la ciberdelincuencia. El acuerdo no cubre el intercambio de datos personales.

En concreto, la cooperación podrá consistir en el intercambio de conoci-mientos y competencias específicos; la elaboración de informes situacio-

nales generales; informes resultantes de análisis estratégicos y mejores prácticas; y el refuerzo del desarrollo de capacidades a través de la forma-ción y la sensibilización, con el fin de salvaguardar la seguridad de la red y la información a nivel europeo.

Udo Helmbrecht, director ejecutivo de ENISA, y Rob Wainwright, director de Europol, emitieron una declaración conjunta en la que destacan el "paso importante" que supone el acuerdo para luchar "contra los cada vez más habilidosos ciberdelincuentes, que están invirtiendo cada vez más tiempo, más dinero y más medios humanos en ataques selectivos". Según indican en su carta, se calcula que la ciberdelincuencia cuesta a la economía mundial más de 400.000 millones de dólares anuales.

ENISA y Europol firman un acuerdo estratégico de cooperación contra la ciberdelincuencia

Tx. y Ft.: E.G.H.

El Consejo de Ciberseguridad dará un impulso a la colaboración

CooperaCión y ConCienCiaCión. Son los dos principales ejes del plan de acción en el que trabaja el Consejo Nacional de Ciberseguridad para trasladarlo a las instituciones del Estado. El plan se centra en potenciar la colaboración público-privada en materia de seguridad de la informa-ción, la cooperación operativa dentro de la Administración y la creación de una “cultura de ciberseguridad” que se extienda a toda la sociedad.

El director operativo del Consejo de Seguridad Nacional, Joaquín Castellón, avanzó estas líneas a largo plazo sobre las que trabaja el órgano interministerial en una jornada orga-nizada por la Embajada Británica en Madrid, el 11 de junio. “Tenemos que empezar a cambiar ya las estructu-ras al frente de la ciberseguridad”, afirmó Castellón en el encuentro, donde también destacó las iniciati-vas relacionadas con esta materia impulsadas por el Gobierno duran-te 2013. Entre otras, la aprobación de la Estrategia de Ciberseguridad Nacional, la constitución del Mando Conjunto de Ciberdefensa o la crea-ción del CERT conjunto de Inteco y el CNPIC.

Castellón coincidió en el encuen-tro con el director de Políticas de Ciberseguridad del Ministerio Británico de Asuntos Exteriores, Jamie Saunders, quien también expli-có las prioridades del Ejecutivo bri-tánico en relación con la cibersegu-ridad. Éstas son fortalecer la red del Gobierno y de los “sectores vitales”, aumentar la protección intelectual y la formación en esta materia. “La ame-naza en Internet sigue aumentando y el gobierno tiene una estrategia que sólo se podrá llevar a cabo si tenemos colaboración con empresas, escuelas y otros países”, indicó.

Según informó Saunder, el gobier-no británico ha invertido 860 millones de libras (más de 1.000 millones de euros) en cinco años en el sec-tor privado y en el académico para

mejorar la ciberseguridad del país. Londres ha puesto en marcha pro-yectos como una plataforma de inter-cambio de información compuesta por 400 empresas o un nuevo CERT nacional.

La jornada organizada por la Embajada Británica, que llevó por título “Ciberseguridad en el sector

financiero”, contó también con la par-ticipación del embajador británico en España, Simon Manley, así como los expertos en la materia Matt Allen, director del Área de Delitos Financieros de la Asociación Británica de la Banca, o Carlos Solé, director del Instituto Español de Ciberseguridad del ISMS Forum Spain.

Joaquín Castellón, director operativo del Consejo de Seguridad Nacional, durante su intervención en la Embajada Británica.

Texto: David Marchal

¿Qué significa para S21sec la entrada de la compañía portu-guesa SSI en su accionariado?SSI Software and Technology forma parte del grupo SONAE, la mayor organización económica no financiera de Portugal, que cuenta con una destacada presencia internacional y con cerca de 40.000 empleados. Por este motivo, estamos encantados de poder contar con ellos como socios estratégicos, porque nos va a permitir tener una estructura sólida para seguir creciendo, mientras potenciamos nuestro modelo de internacionalización y consolidamos nuestro liderazgo en el mundo de la ciberseguridad.

En concreto, ¿cómo va a mejorar esta incorporación su apuesta por la ciberseguridad?S21sec cuenta con una larga trayectoria como especialista en ciberseguridad. Por tanto, en esta nueva etapa continuaremos apostando por la innovación tecnológica en el desarrollo proactivo de novedosas soluciones para hacer frente a las nuevas amenazas y desafíos que se planteen. Asimismo, vamos a potenciar la formación de expertos en ciberseguridad, porque queremos continuar creando cantera. Es más, la entrada de SSI nos permitirá apostar fuertemente por el know-how, el expertise y los profesionales especializados. Confiamos plenamente en el equipo de personas que forman parte de S21sec y queremos potenciar las diferentes áreas de la compañía con profesionales que aporten valor y experiencia.

¿Podría detallar con qué equipo cuentan ahora mismo?Tenemos el mayor grupo de profesionales de seguridad de España, con más de 200 especialistas que mantienen una atención muy cercana con nuestros clientes a través de las oficinas de España, México y Brasil. Es más, nuestra plantilla de expertos certificados opera con el 90% del sector financiero, el 75% de las grandes empresas que cotizan en el Ibex35, el 20% de las compañías que cotizan en el Dow Jones EURO STOXX 50 y el 50% de las comunidades autónomas. De he cho, nos gus ta decir que la base de la innovación y del modelo empresarial de la compañía son las personas con energía, pasión e ilusión, que es lo que tenemos.

Y respecto al nuevo equipo direc-tivo, ¿cuál será su labor a partir de ahora?

Xabier Mitxelena: "Nuestra ambición es llegar a ser la mejor empresa del mundo en ciberseguridad"Hace un año y medio, Xabier Mitxelena, fundador y director general de S21sec, ya nos adelantó en estas mismas páginas el comienzo de un proceso de transformación de la compañía que, precisamente, culmina ahora con la incorporación de SSI Software and Technology en la estructura accionarial de la organización. En esta entrevista, el directivo desvela cuáles serán los ejes de esta nueva etapa.

Yo lo resumiría en cuatro puntos fundamentales: aumentar la cuota de mercado en España, focalizarnos en llevar las soluciones tecnológicas de S21sec y Lookwise a muchos más países del mundo, lograr la excelencia operativa y formar y desarrollar un gran equipo de expertos en ciberseguridad. Se necesitan recursos y nuestra vocación es seguir generando la mejor "cantera".

En definitiva, la prioridad de la compañía es la creación de una cultura global de la seguridad, con la ambición de llegar a ser la mejor empresa del mundo en ciberseguridad. La entrada de SSI nos ayuda a fortalecer la compañía en un momento de mayor madurez del mercado.

Sin embargo, y a pesar de que se trata de un mercado maduro, como comenta, la compañía ha sabido situarse en posiciones de liderazgo en todo el mundo...Así es. Trabajamos para las principales compañías españolas de sectores como el financiero, las telecomunicaciones, la sanidad, el comercio electrónico, el mercado aeroespacial o la defensa y las fuerzas de seguridad del Estado. No sólo trabajamos con compañías cotizadas, sino que en estos momentos estamos dando servicio en más de 26 países de forma satisfactoria. Asimismo, seguiremos apostando por la investigación y el desarrollo. Prueba de ello es que en su momento creamos el Primer Centro Europeo de I+D+i especializado en Ciberseguridad, y nos convertimos en CERT con el objetivo de dar valor añadido desde la Inteligencia de Seguridad y proteger a nuestros clientes las 24 horas del día.


actualidad tecnológica entrevista



El Sistema PIC español, “uno de los más avanzados del mundo”

Fundación Borredá, galardonada con el premio Dintel al ‘networking’ profesional y directivo

El ministro del Interior inauguró las jornadas en Santander. En la imagen, junto al rector de la UIMP y el director del CNPIC.

El ministro dEl intErior, Jorge Fernández Díaz, inauguró en julio las Jornadas sobre Protección de Infraestructuras Críticas, en el marco de los cursos avanzados de vera-no de la Universidad Internacional Menéndez Pelayo (UIMP), que se celebraron en Santander.

Durante su intervención, Fernández Díaz destacó que el Sistema de Protección de Infraestructuras Críticas de España “es uno de los más avan-zados del mundo” y “un elemento puntero de nuestra seguridad que ha asumido la responsabilidad de desa-rrollar medidas preventivas y reacti-vas ante incidencias de seguridad”. Asimismo, afirmó que la protección de infraestructuras críticas “constituye una responsabilidad de primer orden”.

Fernández Díaz subrayó también que los riesgos que pueden amenazar la integridad de las infraestructuras críticas, además de los factores natu-rales, pueden deberse a situaciones de carácter accidental o a errores y a fallos humanos; “pero también, y esa es la hipótesis más peligrosa, a accio-nes deliberadas causadas por ataques físicos o por ataques cibernéticos”.

Sistema preventivo El pasado 30 de junio se constituyó la Comisión Nacional para la Protección de las Infraestructuras Críticas, que

aglutina a todos los departamentos, organismos y administraciones con responsabilidades en la materia. Este órgano celebró su primera sesión con la aprobación de cinco Planes Estratégicos Sectoriales (PES) –electri-cidad, gas, petróleo, nuclear y financie-ro– y la designación de 37 operadores para la gestión de las 150 infraestructu-

ras críticas que hay en España. En este sentido, durante el marco de la jornada, el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) dio a conocer la designación de los siguientes operadores críticos:- PES financiero: se han designa-

do 10 operadores críticos y 24 infraestructuras críticas de esos operadores.

- PES petrolero: se han designado cuatro operadores críticos y 15 infraestructuras críticas.

- PES nuclear: estará formado por cinco operadores críticos.

- PES del gas: se han designado cinco operadores críticos y 31 infraestructuras críticas.

- PES electricidad: designados 17 operadores críticos y 67 infraes-tructuras críticas.

A los ya mencionados PES, le segui-rán “a partir de septiembre, los que se ocupen del transporte (aéreo, marítimo, ferroviario y terrestre), de las tecnolo-gías de la información y comunicacio-nes y el agua”, adelantó el ministro del Interior durante la jornada.

presidenta, Ana Borredá (en la imagen con Jesús Rivero, predidente ejecutivo de la Fundación Dintel).

En el transcurso de la Gran Fiesta Dintel, la fundación también dio a conocer su nuevo proyecto educativo, “Red CEDE”, que consiste en el esta-blecimiento de una “Red de Centros Universidad-Dintel”, con formación presencial y online en diferentes uni-versidades para fomentar la formación y el emprendimiento.

La Fundación Dintel celebró, el pasa-do 24 de junio, la “Gran Fiesta Dintel 2014”, que este año tuvo lugar en el auditorio del Hotel Meliá Castilla de Madrid. En el encuentro, Dintel aprovechó la ocasión para celebrar el XV aniversario de su constitución y con-ceder sus Premios Dintel 2014 en sus diferentes categorías. Una de ellas es la distinción de “Caballeros/Damas Gran Placa Dintel” que la asociación concede a altos cargos del sector público y pri-vado, que han participado activamente en estos últimos años en las actividades fundacionales, como ha sido Cristina Cifuentes, delegada del Gobierno en Madrid, entre otras personalidades.Otro de los premios que entregó Dintel fue a “La tenacidad de la persona” y “Al networking profesional y directivo”, siendo una de las galardonadas de esta última categoría la Fundación Borredá, que recogió el premio de la mano de su

Sesiones destacadasDía 7 de octubre:9:00-9:15.- Bienvenida y presentación. Samuel Linares, director del Centro de Ciberseguridad Industrial.9:15-10:00.- ¿Que no eres un objetivo? Déjame demostrarte por qué te equivocas. Richard Stiennon, analista jefe de investi-gación de IT-Harvest.11:30-12:00.- Los comienzos de la conciencia compartida de la situación. Chris Blask, CEO de ICS Cybersecurity.12.30-13.00.- Defendiendo la Internet de las Cosas. Marc Blackmer, director de Servicios de Seguridad Industrial de Cisco-Sourcefire.13:00-13:45.- Mesa redonda: Evolución de la Ciberseguridad Industrial.16:35-17:05.- La protección de infraestructuras críticas hoy. Andrey Nikishin, director de Seguridad Industrial de Kaspersky.17:05-17:35.- Elige tu propia aventura: La carrera interminable. Claudio Caracciolo, CSA de Eleven Paths.17:35-18.20.- Mesa redonda. Amenazas y vulnerabilidades en el mundo industrial.

Día 8 de octubre:9:00-9:30.- La aproximación práctica a la protección de infra-estructuras críticas de las ciberamenazas emergentes. Ayman Al-Issa, CTA del CCI en Oriente Medio y Asia.11:40-12:05.- Abordando la ciberseguridad industrial en Latinoamérica. Belisario Contreras, director del Programa de Ciberseguridad en el Secretariado del Comité Interamericano contra el Terrorismo de la Organización de Estados Americanos.12:05-12:30.- El CERT de Seguridad e Industria y la protección de los sistemas de control industrial. Miguel Rego, director de INTECO.12.30-12.55.- La protección de infraetructuras críticas y la ciberseguridad industrial en España. Fernando Sánchez, director del CNPIC.17:10-17:50.- Mesa redonda: Vulnerabilidades en el mundo industrial y tecnologías de protección.17:50-18.30.- Mesa redonda. Las organizaciones industriales opinan: ¿Y ahora qué? (Conclusiones, lecciones aprendidas y siguientes pasos).

Tras el éxiTo de las dos prime-ras convocatorias del Congreso Iberoamericano de Ciberseguridad Industrial, celebradas en Madrid los días 2 y 3 de octubre de 2013, y en Bogotá los pasados 27 y 28 de mayo de 2014, el Centro de Ciberseguridad Industrial (CCI) organiza ahora la ter-cera edición. Concretamente, este evento, que ya se ha convertido en una referencia para el sector y un punto de intercambio de conocimien-to y experiencias, se celebrará los próximos 7 y 8 de octubre en el hotel Meliá Avenida de América de Madrid.

En las jornadas estarán represen-tados todos los actores del merca-do: desde fabricantes industriales y de ciberseguridad, hasta ingenierías, consultoras, integradores o usuarios.

Además, contará con la presen-cia de ponentes internacionales que repasarán las experiencias desarrolla-das en todo el mundo, desde Estados Unidos y Latinoamérica hasta Europa, Oriente Medio o Asia. Por ejemplo, Richard Stiennon, analista Jefe de Investigación de IT-Harvest, hablará sobre la posibilidad de que cualquier empresa sea víctima de un cibera-

taque; Joel Langill, fundador de la web SCADAhacker.com, tratará el tema de las ciberdefensas aplicadas a los sistemas de control industrial; Marc Blackmer, director de Servicios de Seguridad Industrial de Cisco-Sourcefire, abordará cómo se puede defender el 'Internet de las cosas'; o Colin Blou, vicepresidente de Ventas para Estados Unidos y la UE de Warterfall, analizará las vulnerabilida-des de los sistemas industriales.

En el Congreso también interven-drán destacados directivos naciona-les, tanto del sector privado como público. En este sentido, participará Miguel Rego, director general de INTECO; Pedro Sánchez, director general del CNPIC; o Samuel Linares, director del Centro de Ciberseguridad Industrial.

En total, tomarán la palabra más de una veintena de profesionales del sector. De hecho, desde el CCI ase-guran que el Congreso supone "la mejor oportunidad para conocer el estado del arte de esta disciplina de la mano de los líderes internacionales en cada uno de sus ámbitos", y sirve para "establecer valiosas relaciones

Tercer Congreso Iberoamericanode Ciberseguridad IndustrialCon el objetivo de intercambiar conocimientos y experiencias en el ámbito de la ciberseguridad industrial, los próximos 7 y 8 de octubre se celebrará en Madrid la tercera edición de este congreso que ya se ha convertido en una referencia en el sector.

que favorezcan la colaboración en distintos ámbitos a escala nacional e internacional".

Además, este evento tiene la pecu-liaridad de que no empieza y acaba con la celebración de las ponencias. La organización ha preparado una serie de "talleres pre y post congreso" para que pueda asistir toda aquella persona interesada. Así, por ejemplo, el día 6 de octubre habrá dos sesio-nes: Aplicando ISA99 para proteger las Infraestructuras Industriales, du -rante la mañana, y Más allá del corta-fuegos del sistema de control: daños físicos y explotación de procesos, du -rante la tarde. El formato se repetirá el día 9 de octubre, esta vez con dos sesiones de mañana y tarde. Las pri-meras son: La aproximación efectiva a la protección de infraestructuras críticas de gas y petróleo contra cibe-ramenazas emergentes e Introducción a los sistemas de control industrial para profesionales TIC. Y las de la tarde son: Seguridad en Smart Grid. Estado y Avances Internacionales e Intro du cción a la Ciberseguridad para profesionales de la Automatización e Ins trumentación.


actualidad tecnológica noticias

Marcos Gómez Hidalgo

Subdirector de Operaciones de INTECO. Miembro del Permanent Stakeholders Group de la ENISA

Trabajando de forma optimista y coordinada hacia un bien común llamado ciberseguridad

Ministerio del Interior; o la revisión de la legislación vigente en materia de cibercrimen y ciberterrorismo con la adhesión de España, impulsada por el Ministerio del Interior y sus diversas unidades de lucha contra la ciberde-lincuencia. En todos estos documen-tos estratégicos, normativos o situa-cionales se encuentran acciones ya emprendidas, algunas aún incipientes y otras ya en pleno desarrollo, como el Plan de Confianza en el Ámbito Digital, vigente desde 2013 a 2015 y con un presupuesto de más de 59 millones de euros, en el que también tengo la suerte de participar a través de una de las entidades de referencia del Ministerio de Industria, Energía y Turismo, INTECO.

Es por todo ello, como citaba, que debemos estar orgullosos, ser optimistas y redoblar esfuerzos para seguir poniéndonos a la altura de nuestros países de referencia, e intentar ser punteros en aquello que podamos, aprovechando la coyuntu-ra de que en este mundo de la ciber-seguridad aún caben muchos nichos que cubrir. También que año tras año aparecen nuevas amenazas, riesgos, agentes, oportunidades, y que hace tan solo dos o tres años hablába-mos de seguridad de la información, seguridad informática, seguridad lógica, etc., y ahora quizás podamos

ENISA, o de tener también la visión cercana de la Plataforma NIS que la Comisión Europea creó a finales de 2013, o de disponer de un contac-to cercano y aventajado con países punteros como EEUU, Japón, Gran Bretaña o Alemania, les puedo expre-sar que hay que seguir siendo opti-mistas y aplicar aún con más decisión esfuerzos e ilusión. En resumen, lo tra-zado y desarrollado hasta ahora en el último año y medio debe ser una razón de orgullo, porque estos pasos desa-fiantes se han ido dando, con peor o mejor suerte, con menor o mayor éxito, pero, en definitiva, se han dado. Todos los agentes, de una u otra manera, han puesto de su parte para romper con un estancamiento que nos hubiera dejado en mal lugar en el mapa internacional de la seguridad.

Sólo hay que leer detenidamente la Agenda Digital para España, promovi-da por el Ministerio de Industria, Energía y Turismo con el apoyo del Ministerio de Hacienda y Administraciones Públicas; la Estrategia de Seguridad Nacional, con su Estrategia de Ciberseguridad Nacional, impulsada desde el Departamento de Seguridad Nacional de Presidencia de Gobierno; el diseño y elaboración de la nueva normativa y legislación en el ámbito de la protección de infraestructuras críticas, promovida por el CNPIC del

Si 2013 fue un año de expectativas, 2014 está siendo un año de confirma-ciones. Hace tan solo un poco más de un año, nos enfrentábamos a una serie de importantes desafíos y retos. Ante nosotros aparecía en el hori-zonte un nuevo plan del Gobierno en varios frentes: el diseño y elaboración de un Plan Nacional de Seguridad, del que iba a colgar un plan asocia-do de ciberseguridad; una renovación de la estrategia de confianza en la Sociedad de la Información, a través de la Agenda Digital de España y su Plan de Confianza en el Ámbito Digital; una fuerte revisión de la segu-ridad cibernética en el ámbito de las infraestructuras críticas o de la lucha contra la cibercriminalidad y el ciberte-rrorismo; la armonización de todos los agentes responsables y competentes; la alineación de estos planes y activi-dades con sus homólogas europeas, tales como la Agenda Digital Europea, la Directiva NIS o el Horizonte 2020. Ante todo ello y en un año en el que la crisis económica golpeaba duramente nuestro país, podíamos ser pesimistas y escondernos, o ser optimistas y apli-car nuevos esfuerzos a estos retos tan complicados.

Desde la visión un poco más abierta de éste que les escribe, con la suer-te de participar como experto en el Permanent Stakeholders Group de la


ciberseguridad internacionalopinión

especial

red seguridad septiembre 2014 33especial

ciberseguridad internacional opinión

Debemos estar orgullosos, ser optimistas y redoblar esfuerzos para seguir poniéndonos en ciberseguridad a la altura de nuestros países de referencia

pasos y sentar más bases. Y cabe for-talecer los mecanismos de investiga-ción, para hacer que nuestra industria y tejido empresarial sean más sólidos y potentes, tanto en la oferta como en la demanda. Revisar la forma en que la Administración puede invertir en dicha investigación y engrosar la musculatura y materia gris de las empresas es vital para hacer que las mismas cubran de mejor manera y más ágilmente las necesidades que nos sobrevienen continuamente. Además es también crítico disponer de mejores profesiona-les, con mayor formación y experien-cia, y seguir trabajando en itinerarios dentro de las empresas que potencien cada vez más las carreras técnicas. Nos queda también darle una vuelta de tuerca a saber qué impacto están teniendo todas nuestras acciones, medir que esos esfuerzos llegan a buen puerto y que lo hacen con el nivel óptimo en tiempo y recursos.

Por todo ello, me reafirmo y creo que el camino es seguir trabajando de forma optimista, de forma aplica-da, pero cada vez más coordinados y dirigidos hacia un bien común, el bien de la ciberseguridad, que tantas expectativas genera y tantas ilusio-nes puede cubrir.

ciberinteligencia, con las disciplinas de la correlación o el uso de big data. Saber más o tener más información y saber más rápido parecen hoy las prioridades más acuciantes de todos los que vivimos en y de la Red. El viejo lema de “la infor-mación es poder” y que Julian Assange manejó como un con-cepto global en una época más global, ha vuelto con fuerza a nuestras vidas. Otros han seguido su camino de distinta forma, como Snowden o Manning, como más pruebas de este cambio de forma de actuar que, unido a casos más empresariales (o no) de ciberes-pionaje, está dando lugar a constantes noticiones o nuevas leyendas urbanas en la Red.

Coordinar e investigarAnte todo este universo, o mejor dicho, ante toda esta cosmología del ciberu-niverso o ciberespacio (primera cita de este término en el artículo), unos nos quedamos atónitos, otros pasmados, otros semiparalizados y otros interesa-dos en conocer más, en seguir inves-tigando qué hay detrás, qué podemos hacer y cómo podemos coordinarnos mejor. Y quizás la clave vuelve a ser la misma, coordinarnos e investigar. Coordinarnos es una tarea dura pero factible después de ver el esfuerzo que hay detrás de tantos agentes en el Consejo de Seguridad Nacional, o ya, para temas más específicos, en el acuerdo que suscribieron hace un año y medio el Ministerio del Interior y el Ministerio de Industria. Cabe coor-dinarse mejor en el ámbito público-privado y se están empezando a dar

englobarlo todo en ciberseguridad, con el permiso de la ciberesiliencia, que aún andamos por terminar de acuñar, entender y aplicar.

Seguir creciendoEstos retos y desafíos nos plantean muchas cuestiones. Por un lado, qué ocurre en el campo de las amena-zas, qué está por llegar y qué de lo que está presente puede condicionar pasos futuros. Entre las amenazas podemos destacar desde 2010 las que se focalizan en el importante ámbito de las infraestructuras críticas y que según muchos expertos ha significado un cambio de paradigma, siendo incorporadas como elemento de riesgo importantísimo en las estra-tegias y acciones gubernamentales de las principales potencias. Aunque seguimos hablando de ingeniería social, de ciberestafas o de troyanos, convivimos ya con riesgos que curio-samente llevaban con nosotros en el silencio sigiloso de su actividad ocul-ta: las amenazas persistentes avan-zadas (APT), o riesgos y ataques más socializados y conocidos como el hacktivismo social, o el más preocu-pante ciberespionaje, con blancos gubernamentales o empresariales, o el más terrorífico: la ciberguerra.

Las nuevas tendencias tecnológicas, como el uso cada vez más genera-lizado del cloud, o el bring your own technology (con sus diferentes varian-tes BYOD, BYOId, etc.), el Internet de las cosas (IoT) y las smartcities, y su aplicación a todos los sectores, hacen que tanto gobiernos, como empresas y ciudadanos se estén replanteando todo de nuevo, pero afortunadamente partiendo de una base más o menos adquirida de seguridad sobre la que debemos seguir creciendo y constru-yendo. Además, ciertas tecnologías, no solo las móviles, están adquiriendo una fuerza muy importante en los ámbitos de gestión y tecnológico, como son la

Carles Solé PascualDirector del Spanish Cyber Security Institute de ISMS Forum

Adolfo HernándezMiembro del Spanish Cyber Security

Institute de ISMS ForumSubdirector y cofundador de THIBER

Estrategias nacionales de ciberseguridad en el mundo

posicionamiento en este nuevo entorno vir tual.

Si bien el contexto sociopolítico natal de muchas de ellas dista de ser el óptimo (pensemos en el caso estonio, creado menos de un año después de los ciberataques que paralizaron el país), igual de ineficaz resulta la ausencia de una estra-tegia de ciberseguridad nacional como aquellas que han sido alum-bradas sobre situaciones demasia-do generalistas, fuera de contexto presupuestario y sin un plan de ate-rrizaje delimitado por prioridades, plazos e hitos temporales.

Así, se observa que las diferentes realidades socioeconómicas y tec-nológicas existentes en el mundo definen y delimitan en gran medida los diversos grados de desarrollo de dichas estrategias.

En áreas como el Sahel y el Magreb, debido al bajo índice de penetración de Internet, existe un grado de concienciación muy bajo respecto al valor estratégico del ciberespacio.

Sin embargo, en el polo opues-to encontramos a los países que forman parte de los Five Eyes (Canadá, Estados Unidos, Reino Unido, Nueva Zelanda y Australia), los países europeos estratégicos miembros de la Alianza Atlántica

daño económico a una empresa. Ahora ya se sitúa en el ámbito nacional, supranacional y global, afectando por igual a ciudadanos, gobiernos y empresas. Sólo hay que comparar los últimos infor-mes del World Economic Forum de Davos [1] para ver cómo los riesgos relacionados con los cibe-rataques han ido adquiriendo rele-vancia paulatina con el tiempo.

CiberestrategiasDe esta forma, a fin de evitar impac-tos no previstos derivados de la falta de madurez regulatoria y pro-cedimental y del creciente número de amenazas ciber, los estados soberanos comienzan a disponer de estrategias integrales de ciber-seguridad a través de una hibrida-ción jurídico-técnica, tanto en el entorno empresarial como sectorial.

Con más de 27 ciberestra-tegias a escala mundial, 18 de ellas europeas –plaza que ade-más cuenta con una directiva comunitaria de ciberseguridad–, la gestación de dichos docu-mentos ha estado rodeada de una creciente expectación ya que otorgan, de forma general, tanto el reconocimiento estra-tégico que tiene el ciberespacio para los diversos países como el

La creciente conectividad y el uso masivo del ciberespacio, un nuevo entorno totalmente trans-versal e imbricado en todos los estamentos de una sociedad moderna, es una constatación más de la necesidad de fijar una base común que pueda hacer frente a un ataque o una acción delictiva sobre ciudadanos, empresas o estados, perpetrada parcialmente o en su totalidad por medios digitales.

Si bien es cierto que este nuevo entorno conlleva ciertas dificulta-des inherentes jurídico-técnicas, la aparente despreocupación polí-tica internacional no puede obviar esta realidad que aglutina en la actualidad la variedad delictiva de mayor crecimiento: el cibercrimen, habiéndose datado el volumen total de las pérdidas asociadas al mismo en 87.000 millones de euros en el mundo en 2013.

Este hecho ejemplifica a la per-fección la vulnerabilidad sistémica del ciberespacio: el crecimiento, ubicuidad y grado de penetración de las nuevas tecnologías supera con creces la velocidad de los procesos legislativos existentes.

Pero el problema se ha multipli-cado y se ha establecido como un riesgo real que trasciende el mero


ciberciberseguridad internacionalopinión

especial

Seguridad

Hacking

Monitorización

Protección

Hacking ético. Test de intrusión. Caja negra - Caja blanca

Monitorización. Detecta las amenazas antes de que materialicen

Inteligencia empresarial. Information Superiority - Decision Superiority

Fuga de Datos (DLP). La tecnología como problema y solución

Seguridad Global

Análisis de Riesgos

Hacking ético

Auditoría de vulnerabilidades

Monitorización

Ingeniería de Sistemas

Consultoría Tecnológica

Seguridad de la Información

Prevención de Fuga de Datos

Análisis Forense

Seguridad en la nube

Integración Seguridad Lógica y Física

Comunicaciones Seguras

Consultoría Internacional

Inteligencia Empresarial

Cumplimiento Legal

Protección de Infraestructuras Críticas

Protección del Patrimonio Histórico

Planes de Seguridad Integral

Plan de Continuidad del Negocio

Formación Personalizada según Roles

Sistemas de Gestión de Crisis

Plaza Rodriguez Marín, 3 · 1C. Alcalá de Henares · 28801 Madrid

(+34) 91 882 13 09 [email protected] www.globalt4e.com

GLOBALTECHNOLOGYConsultoría de Seguridad Global e Inteligencia

Seguridad Globalfrente a la Amenaza Global

Conocer sus propias vulnerabilidades antes que el enemigo, es la única forma de preparar una defensa eficiente.

Inteligencia

http://www.globalt4e.com

36 red seguridad septiembre 2014 especial


Timeline de las Estrategias de Ciberseguridad Nacional. Fuente: THIBER, the cybersecurity think tank [2].

Países con estrategia nacional de ciberseguridad (verde) y en vías de desarrollo (amarillo). Fuente: Enisa 2014.

Puntos comunesComo principal objetivo, estas estrategias vertebran la ciberse-guridad como materia prioritaria en la agenda de los respecti-vos gobiernos. Y promulgan, con más o menos éxito, establecer un liderazgo único para coordi-nar las acciones y los actores involucrados en la lucha contra los riesgos derivados del cibe-respacio.

Asimismo, ponen de manifiesto la gravedad y complejidad de las ciberamenazas, así como el grado de organización alcanzado por los grupos delincuentes o terroristas que están detrás de ellas. Y enfati-zan la dimensión social del proble-ma, trascendiendo la mera pérdida económica o el daño individual que puedan causar.

También identifican la nece-sidad de coordinación entre los estamentos públicos dedicados a la ciberseguridad y la de éstos con los actores privados, una de las principales barreras a la hora de luchar contra el cibercrimen. Destacan, por supuesto, la necesi-dad de cooperación internacional, otra gran asignatura pendiente en la batalla contra un riesgo que, por naturaleza, es global.

Así pues, podemos afirmar que la gran mayoría de las estrategias presentan una estructura común, pivotando sobre tres conceptos básicos:1 Qué preocupa, identifican-

do claramente qué tipo de ciberamenazas son las más probables, identificando los nuevos actores y sus motiva-ciones.

2 Quién tiene responsabilidades, delimitando roles y órganos

una hoja de ruta claramente defi-nida.

En este escenario nacieron las primeras estrategias nacionales de ciberseguridad, con un alto desa-rrollo entre el bienio 2011-2013. La antigüedad no es relevante de cara a su grado de implantación y madu-rez. Algunas de las naciones euro-peas, como Estonia y la República Checa, están realizando la segunda iteración y revisión de su estrategia. Del mismo modo, durante este año, se espera la aprobación de las estrategias de países como Abu Dhabi, Tailandia, Ghana y Nigeria.

en términos ciber (como Estonia) o la emergente América Latina, con Brasil a la cabeza.

Es importante remarcar que los países asiáticos con aproxima-ciones intervencionistas sobre su ciberespacio, como China o Irán, no han hecho pública sus corres-pondientes aproximaciones, lo cual no significa que no tengan



las actuaciones en el cibe-respacio y sus amenazas pone de manifiesto la frag-mentación jurídica existente en el plano internacional, si bien existen acuerdos multi-laterales que agrupan deter-minadas regiones de exten-sión variable (como sucede en la UE). De esta forma, pocas estrategias de ciber-seguriad nacionales reflejan esta realidad.

ConclusiónDurante años las empresas han tenido que luchar, prácticamente solas, contra las amenazas inherentes al uso de la red. En ello les iba su viabilidad econó-mica: fraude, daños reputaciona-les, propiedad intelectual, indis-ponibilidad de sus servicios, etc. Y los gobiernos apenas han dedicado recursos para apoyar-las. Pero ahora está en juego el propio desarrol lo económico nacional y las libertades de los ciudadanos, y han empezado a reaccionar. Sin duda, queda mucho trabajo por hacer y muchos entresijos políticos por limar, pero comenzamos la anda-dura por el buen camino.

Holanda se dota de forma expresa a la estrategia de ciberseguridad de un pre-supuesto definido y apro-bado, algo que no ocurre, por ejemplo, en España. Esta dotación es relevante de cara a asegurar recursos exclusivos para este terreno y dar un mensaje de com-promiso a la sociedad en general.

3 Definición de amenazas y per-secución del cibercrimen.a La divergencia, o ausencia

en algunos casos, de una tipificación formal interna-cional de los actos con-siderados como delictivos en el ciberespacio supone un serio problema, pudien-do crear lagunas jurídicas y dando lugar a regiones opa-cas o “paraísos de ciber-crimen”. Si bien en deter-minadas regiones existe un cada vez más nutrido grupo de normas nacionales en materia de ciberdelito, se hace notar la falta de tipifi-caciones comunes.

4 Vínculos territoriales y acuer-dos de colaboración.a La potencial ubicuidad de

Las diferentes realidades socioeconómicas y tecnológicas existentes en el mundo definen los diversos grados de desarrollo de las estrategias nacionales de ciberseguridad

de gestión para la puesta en marcha de las respectivas ini-ciativas.

3 Cómo se responde a esa preocupación, con líneas de actuación y medidas concre-tas que marquen una firme determinación política en la consecución de los objetivos marcados.

DivergenciasSin embargo, tras un análisis algo más detallado, se encuentran dife-rencias sustanciales, no tanto en el reconocimiento del valor del ciberespacio, sino en las líneas de acción y el down-to-earth de las tareas concretas. 1 Organización de la cibersegu-

ridad.a La alta fragmentación entre

los actores estatales con competencias en el plano ciber varía notablemente entre las diversas nacio-nes. Este hecho dificulta la efectividad de las acciones que se deben desarrollar en la lucha global contra la ciberdelincuencia. No se encuentran referencias explícitas a este hecho en las estrategias el ámbito internacional.

b En las estrategias, de forma general, no se hace mención a los medios tradicionales de cooperación internacio-nal formal en cibercrimen y ciberamenazas, pudiendo no encontrarse habilitados para garantizar la obtención de, por ejemplo, pruebas electrónicas, por lo general, de difícil acceso, volátiles y ubicuas.

2 Dotación presupuestaria.a En casos como Estados

Unidos, Reino Unido u

Referencias[1] The global risks landscape 2014. World Economic Forum. http://www3.weforum.org/docs/WEF_GlobalRisks_Report_2014.pdf [2] Estrategias nacionales de seguridad en el mundo. THIBER. http://www.thiber.org/?page_id=242

Cybersecurity policy making a turning point. OECD. http://www.oecd.org/sti/ieconomy/cybersecurity%20policy%20making.pdf



tancia de otros países más avanza-dos en el ámbito de la ciberseguridad en general, y la industrial de forma más concreta.

En este entorno nos encontramos internacionalmente con sistemas de ciberseguridad nacional maduros, dotados de un respaldo político y económico indiscutible y con defi-niciones de roles y responsabilida-des claras en países como Estados Unidos, Reino Unido o Holanda, entre otros, que llevan más de una década trabajando y colaborando activamente en estos temas. Esto en algunos casos se traduce en estra-tegias de ciberseguridad nacionales también maduras que van avanzan-do incluso en distintas versiones con distintos objetivos, indicado-res de seguimiento y asignación de recursos, como es el caso por ejemplo de la versión 2 de la estra-tegia de Ciberseguridad Nacional de Holanda, con el lema “De la con-cienciación a la capacidad” (“From awareness to capability”). Estos avances suelen evidenciarse tam-bién ante la existencia de iniciati-vas y organismos gubernamentales totalmente focalizados en la materia (como podría ser el caso los ICS-CERT, US-CERT o el Idaho National Laboratory de Estados Unidos), que en muchos casos desarrollan como

ciones, basado en las referencias públicas existentes, análisis, docu-mentos, informes, etcétera, incluyen-do además información y percepcio-nes procedentes de la observación directa de la realidad en todas estas regiones y en la fulgurosa evolución que nacional e internacionalmente ha tenido esta disciplina.

Debo adelantar para tranquilidad de todos (nuestra especialmen-te), que el escenario real no es tan pesimista como el que inicialmente defendía, llegando en algunos casos incluso a ser el totalmente opuesto; es decir: sí, en algunos ámbitos esta-mos por delante (¡!).

La primera justificación de este cambio viene de que tradicionalmen-te siempre nos hemos comparado con otros países de forma gene-ral, cuando realmente los avances, madurez, ritmo y características son muy diferentes entre dos entornos muy distintos: tan diferentes como el público y el privado.

Incluyo en el entorno público, a los efectos de este artículo, a las iniciativas gubernamentales, orga-nismos públicos, programas, estra-tegias, regulaciones y marcos de trabajo que marcan la línea que hay que seguir en los mercados naciona-les. Es aquí donde nos encontramos, desgraciadamente a una mayor dis-

Los que me conocen o han asisti-do a alguna de mis presentaciones sobre ciberseguridad industrial en los últimos años saben que tradicio-nalmente, basándome en las refe-rencias públicas existentes, análisis, documentos e informes, venía siendo bastante pesimista en cuanto al esta-do de nuestro país en este ámbito respecto a otros países de nuestro entorno (Europa) o a grandes poten-cias como Estados Unidos, Japón o determinados estados de Oriente Medio. Muchos recordarán alguna presentación argumentando cómo nos quedaba un mínimo de cinco años para estar a la altura de algunos países de Europa como Holanda o Reino Unido y probablemente más de una década para ponernos al nivel de Estados Unidos.

En los últimos tiempos he tenido la fortuna de poder compartir impre-siones, proyectos y experiencias con organizaciones industriales, infraes-tructuras críticas, organismos públi-cos y gobiernos de prácticamente todas las regiones del mundo, y por tanto conocer de primera mano el estado real de avance de la ciberse-guridad industrial internacional. Por ello, hace tiempo que tenía en mi “debe” el escribir un artículo como éste retomando el discurso que tan-tas veces esgrimí en mis presenta-

Samuel LinaresDirector del Centro de Ciberseguridad Industrial (CCI)

Donde dije digo, digo Diego

http://www.cci-es.org/congreso



desarrollo en la parte pública, y otro tanto en la adopción y maduración de la parte privada.

En definitiva, concluiría la compara-tiva en el entorno público confirman-do las sospechas que enunciaba en algunas presentaciones: estamos a varios años de distancia (entre cinco y diez, al menos) de otros países líderes en este ámbito. Nos queda mucho por hacer y mucho esfuerzo, trabajo y respaldo por delante. Sin embargo, mi opinión es que la ten-dencia ha cambiado en los últimos dos años y creo que estamos en el camino adecuado. Las bases están sentadas, comienza a existir inte-rés y respaldo (económico, político, etc.), y si seguimos así deberíamos ver cómo mes a mes y año a año, esa distancia con los líderes inter-nacionales irá disminuyendo. Y en cualquier caso no debemos olvidar ni desaprovechar la opor-tunidad que supone el que de forma general seamos una referencia para otra (gran) parte del escenario interna-cional: Latinoamérica. Haríamos un flaco favor a nuestro tejido indus-trial y empresarial si no aprovechásemos esa oportunidad (el mundo no sólo es Estados Unidos, Reino Unido, Alemania u Holanda…).

Entorno privado¿Y qué hay del entorno privado? (entendiendo por entorno privado a las organizaciones industriales, infraestruc-turas críticas o usuarios

finales en el ámbito de la ciberseguri-dad industrial.) Aquí es donde vienen noticias aún más satisfactorias. He de decir que me he sorprendido muy gratamente en estos dos últimos años a medida que he ido conocien-do de forma directa el estado de la protección, proyectos e iniciativas en ciberseguridad industrial de estas organizaciones internacionalmente. Puedo adelantar que la conclusión general es que las organizaciones españolas no tienen nada que envi-diar en cuanto a su madurez en ciberseguridad, protección, tecno-logías y proyectos a otras organi-zaciones similares en los países ya mencionados anteriormente en el ámbito público, e incluso en algunos casos el nivel es aún mejor.

Pero de nuevo, no generalicemos y distingamos básicamente entre las grandes organizaciones industriales

parte de su actividad marcos de tra-bajo de referencia común (sectoria-les o no) para el mercado, hojas de ruta que marcan el camino que hay que seguir con indicadores claros de control y seguimiento o regulaciones que buscan conseguir unas líneas base de cumplimiento de medidas de seguridad que garanticen la ade-cuada protección de infraestructu-ras y organizaciones, habitualmente focalizadas inicialmente en la pro-tección de infraestructuras críticas, pero extendidas posteriormente a otros ámbitos de actividad.

Cambio de ritmoEn el entorno público de nuestro país ha habido un cambio de ritmo importante en lo que a la ciberse-guridad se refiere en los dos últimos años. Basta con revisar el panorama que tenemos en la actualidad res-pecto al que teníamos hace tiempo. Contamos ya con una Estrategia de Seguridad Nacional que identifi-ca el ciberespacio como un ámbito más de actuación, una Estrategia de Ciberseguridad Nacional que define el sistema nacional de ciberseguridad, objetivos y sus actores, además de organismos con un foco de actividad importante en estos ámbitos (CNPIC, INTECO, CCN, Mando Conjunto de Ciberdefensa, Departamento de Seguridad Nacional…).

No debemos dejar de mencionar la existencia de una regulación en el ámbito de la privacidad que es refe-rente internacional (nuestra famosa LOPD) o de la Ley de Protección de Infraestructuras Críticas, también refe-rente para la mayoría de los países latinoamericanos. Y sin duda esa gran oportunidad que en estos momentos está abierta en el área de la ciber-seguridad, que es la nueva Ley de Seguridad Privada (y su futuro regla-mento).

Es un hecho que el ritmo y los tiempos de cambio en cualquier país en lo que a aspectos regulatorios, iniciativas y organismos guberna-mentales o estrategias se refiere son mucho más lentos que en el ámbito privado y, por tanto, cualquier crea-ción o modificación de estos puntos supone ya no meses, sino años de

Hay un aspecto del que estamos especialmente orgullosos: la colaboración, compartición y análisis de información en el ámbito industrial



debemos aprovechar como país (y como industria) para avanzar en el posicionamiento internacional en la ciberseguridad (industrial).

En cualquier caso, no caigamos en la autocomplacencia. Tenemos en común con el resto de países la falta de solución aún a grandes retos no conseguidos internacionalmente: la compartición de información entre organizaciones (públicas y privadas), la estructuración del reporte de inci-dentes de ciberseguridad, los mode-los de gobierno de la ciberseguridad de la Smart Grid, la llegada de las tecnologías inteligentes (Smart Grid, Smart Cities, Smart Homes…) y la Internet de las Cosas. Retos que, a su vez, son oportunidades. Tenemos dos opciones: continuar lamentán-donos de nuestra situación en algu-nos ámbitos, o emplear ese tiempo y esfuerzo en avanzar y posicionarnos en esos ámbitos donde aún no hay líderes claros. Yo tengo clara cuál es la opción que he elegido, ¿y tú?

Latinoamérica, Oriente Medio o Asia. La pregunta a la que más veces debemos responder es si somos una iniciativa gubernamental. El hecho de no serlo, y de haber surgido del propio sector privado con una repre-sentación total de todos los actores involucrados, hace que todos y cada uno de los países con los que cola-boramos vean la iniciativa como una referencia a seguir de forma local, lo que sinceramente nos enorgullece: hay al menos un ámbito de actividad en el que estamos siendo líderes internacionales y eso no es gracias únicamente al propio CCI, sino pre-cisamente al soporte, participación y avance de todo el ecosistema de actores involucrados (en este caso, privados y públicos).

Debo, por tanto, retractarme: no estamos tan atrás, al menos no en todos los ámbitos. Tenemos capacidades, valores diferenciales, oportunidades por delante y una buena línea de avance marcada, que

e infraestructuras críticas y las orga-nizaciones industriales medianas y pequeñas. En este último caso (las más pequeñas), la realidad es que el estado de protección y grado de madurez en estos temas es real-mente bajo (y claramente insuficien-te), pero no distinto del nivel que este mismo tipo de organizaciones tiene en otros países como Estados Unidos, Alemania, Francia, Holanda o Reino Unido, entre otros (recorde-mos aquí el refrán “mal de muchos, consuelo de tontos”, y no caigamos en esa tentación: debemos impulsar e incentivar de forma enérgica el avance en este ámbito).

En cuanto al otro grupo, las gran-des organizaciones e infraestructu-ras críticas, podemos asegurar que su estado de protección, avances tecnológicos y grado de madurez es similar al de cualquier organización internacional de ese tipo. Incluso contamos con ejemplos premiados internacionalmente (sin ir más lejos, el prestigioso SANS Institute esta-dounidense premió el año pasado a Iberdrola por su actividad en el ámbito de la ciberseguridad indus-trial) y otros de referencia en algunos sectores (especialmente en el ener-gético). Aquí no hay distancia alguna con el sector privado en otros países (no nos acomodemos, e intentemos continuar avanzando y superarlos).

No tan atrásPero hay un aspecto del que, por la parte que nos toca, estamos espe-cialmente orgullosos: la colabora-ción, compartición y análisis de infor-mación en el ámbito industrial. En este ámbito, debo dejar de lado, por unas líneas, la humildad obligada, y compartir de qué manera el Centro de Ciberseguridad Industrial (CCI) y sus actividades se han convertido en un referente internacional, no sólo en Europa, sino en Estados Unidos,

Tenemos capacidades, valores diferenciales, oportunidades por delante y una buena línea marcada para avanzar en el posicionamiento internacional en la ciberseguridad industrial


asociaciónentrevista

El pasado mes de

junio, ISACA constituyó

su nueva junta directiva,

en la que Ramsés

Gallego volverá a

ejercer el cargo

de vicepresidente

internacional. Durante

la entrevista, el

también especialista en

estrategia de seguridad

y experto tecnológico

de Dell Software

aborda cuestiones

como el programa

CSX para el desarrollo

profesional, la crisis

de talento o los retos

que deben afrontar

las empresas en un

mundo “caótico y

disperso”.

Tx: E. González y B. ValadésFt: E.G.H.

“Afortunadamente, la conciencia es cada vez mayor y la ciberseguridad llega a los consejos de administración”

Vicepresidente internacional

de ISACA

Ramsés Gallego

¿Cómo valora su paso por la vicepresidencia internacional de ISACA y qué objetivos se ha mar-cado para este nuevo periodo?La valoración es muy positiva. Además, es un privilegio. Sólo en el primer semestre del año he viajado a casi veinte países. Y eso es muy enriquecedor tanto a nivel profesional como cultural. He tenido la oportu-nidad de conocer cómo se trabaja en Latinoamérica y también de qué manera se afronta, por ejemplo, una brecha de seguridad en Asia.

En cuanto a los objetivos, el más inmediato es continuar materializan-do la estrategia S22, que, como revela su denominación, concluirá en el horizonte de 2022. La misma se desarrollará en tres horizontes o fases y la aplicaremos en programas, certificaciones, entregables, etc., que contribuyan a hacer frente a los ries-

¿Qué supone para usted haber sido reelegido vicepresidente internacional de una de las aso-ciaciones de mayor relevancia en el sector de las Tecnologías de la Información (TI)?Sin duda, es un orgullo y un pri-vilegio. Y, al mismo tiempo, una responsabilidad. Tenga en cuenta que ISACA brinda servicio a más de 115.000 profesionales de todo el mundo. De manera especial, me satisface representar a los chapters de España y, por exten-sión, a toda la comunidad hispa-na vinculada a la asociación. Este será mi tercer y último ejercicio como vicepresidente internacio-nal y espero cerrarlo como los anteriores: realizando un buen trabajo.


asociación entrevista

“El programa CSX es un lugar central donde los profesionales pueden encontrar todo tipo de recursos relacionados con la ciberseguridad”

delegado hasta el trabajador que atiende al público en un mostrador.

El programa CSX ofrecerá un certi-ficado relacionado con la ciberse-guridad. ¿En qué consiste?A diferencia de los otros cuatro cer-tificados de la asociación, el deno-minado Cybersecurity Fundamentals Certificate está basado, únicamente, en conocimiento. Los solicitantes deben superar un examen y demos-trar el dominio de la materia en distintas áreas, desde los principios de la arquitectura de ciberseguridad hasta la adaptación a las tecnologías emergentes. Para finales de este año, esperamos que el mismo tam-bién esté disponible online.

¿A qué retos se enfrentan las empresas y los desarrolladores de soluciones de seguridad?

tema, se está avanzando mucho en materia de ciberseguridad y hay un proyecto definido: se ha aprobado una Estrategia Nacional específica, contamos con centros de respues-ta a incidentes informáticos –los denominados CERT–, también se está prestando especial atención a la protección de las infraestructuras críticas, etc.

Pero cuando hablamos de crisis de talento, nos referimos, además, al empeño de focalizar todos los riesgos en la tecnología, algo lógico por otra parte. Sin embargo, se suele olvidar el factor humano, se deja de hacer hincapié en cuestiones tan relevantes como la cultura, la ética, las capaci-dades… En una organización debe-rían preguntarse: ¿Contamos con el personal adecuado para gestionar nuestra infraestructura de firewall o desarrollar una app? Los profesio-nales, además de estar preparados desde una perspectiva operacional, también lo han de estar éticamente en aras de reforzar la seguridad.

Al hilo de la pregunta anterior, ¿las compañías invierten lo suficiente en ciberseguridad o en esta mate-ria también hay carencias?Intentar garantizar la seguridad al cien por cien requeriría un coste inasumible, casi podría decirse que hablamos de algo imposible o utó-pico. Pero, afortunadamente, la con-ciencia es cada vez mayor y el tema de la ciberseguridad llega a los consejos de administración a través de los reportes anuales. En cualquier caso, al margen de lo que invierta cada compañía, creo que falta visión: se protege el correo electrónico o la nube pero no los terminales móviles. En el concepto de protección se han de tener en cuenta todos los vectores. Y esa cultura holística debe calar en la organización, desde el consejero

gos de un mundo que cambia verti-ginosamente.

Entre los últimos proyectos de ISACA destaca el programa Cybersecurity Nexus (CSX). ¿Cuál es su objetivo?Desgraciadamente, no todo el mundo es consciente de los ata-ques de hackers, del ciberespionaje, etc., así que con CSX damos la bienvenida a todos aquellos que un buen día deciden interesarse por la ciberseguridad. El programa se ha convertido en un nexo, un lugar cen-tral donde los profesionales, desde un licenciado en Telecomunicaciones hasta un auditor, pueden encontrar todo tipo de recursos relacionados con la materia: guías, certificados, acreditaciones…

Sobre CSX, me gustaría apuntar que es un proyecto propio de ISACA, aunque en el mismo tienen cabi-da organizaciones como la Cloud Security Alliance (CSA), el Instituto Nacional de Estándares y Tecnología (NIST) de EEUU, la Agencia Europea para la Seguridad de las Redes y la Información (ENISA), universidades, empresas, etc. De hecho, la colabo-ración es uno de los pilares en los que se asienta la estrategia S22.

El estudio ISACA 2014 APT Survey revela que uno de cada cinco profesionales de seguridad infor-mática ha sido blanco de una amenaza persistente avanzada (APT). Cuando se hace referencia a una crisis de habilidades o talen-to, ¿debemos interpretar que la misma es global o existen países donde el riesgo es mayor?Yo diría que es global, si bien es cierto que, desde un punto de vista estratégico, hay países más pre-parados que otros. En el caso de España, y Red Seguridad ha ofre-cido cumplida información sobre el


asociaciónentrevista

el mes que viene, pero aparecerá un titular que refleje que una gran compañía, banco, asociación, etc., ha sido objeto de un ciberataque. No queda más remedio que aprender en un mundo caótico y disperso repleto de tecnologías, servidores, nubes, sistemas operativos, aplicaciones…

¿Qué grado de colaboración exis-te entre las empresas para intentar ordenar ese mundo tan caótico y reforzar su seguridad?La colaboración es necesaria y debe ser público-privada. Y se ha de com-partir toda la información disponible sin poner en riesgo, obviamente, los niveles de confidencialidad de cada parte. Y en ISACA nos orgullecemos de organizar foros en los que se pro-mueve la cooperación, vital, por ejem-plo, en sectores como el de la sanidad. Mi opinión es que empieza a surgir una conciencia al respecto y que se colabora cada vez más. Al fin y al cabo, debemos protegernos no sólo empre-sarialmente, sino como sociedad.

Durante la entrevista se ha referido a la Estrategia de Ciberseguridad Nacional. ¿Qué importancia le concede a la misma?Es fundamental. Como ciudadano, no puedo sino agradecer que el Estado vele por la seguridad de la sociedad, protegiendo, por ejemplo, las conside-radas infraestructuras críticas, ya que un ataque a las mismas podría perju-dicar gravemente a los intereses de los ciudadanos. No será una tarea fácil porque hay muchos actores en juego, pero, indudablemente, había que hacer algo, ya que, como a veces digo en mis conferencias, la esperanza no es una buena estrategia. Por lo tanto, es una iniciativa necesaria, impensa-ble hace unos años, que aplaudo.

recientes ha sido el de la vulnera-bilidad Heartbleed. ¿Qué opina de este caso?Me ha parecido terrible, porque ha impactado en un listado de empre-sas brutal. Y eso me lleva a pensar: ¿qué tipo de auditorías de ciberse-guridad llevaban a cabo? Luego, la respuesta que se dio creo que fue la adecuada.

¿Se aprende de este tipo de casos?Sí, claro. Se aprende a base de palos. Sucedió con el robo de infor-mación confidencial de tarjetas de crédito de Target. Entonces, hubo quien levantó el teléfono y preguntó: ¿Eso nos puede pasar a nosotros? Es un ejemplo de que debemos estar preparados continuamente, esperar lo inesperado. Si no es mañana será

Sobre todo, a la globalización, aunque, por temas de legislación y regulación, hay que pensar en local. En el caso de España, entre otras, existe la Ley Orgánica de Protección de Datos. Uno de los grandes retos es la privacidad: garantizar los datos de las personas, preservar la propiedad intelectual, etc.

Volviendo al inicio de mi respuesta, las empresas de nuestro país tienen una gran oportunidad de expansión en los países de habla hispana. En definitiva, la seguridad es universal y en cualquier lugar se deben afrontar ries-gos similares: preservar la identidad de una marca, proteger información, evitar que se robe un diseño industrial…

De todas formas, no debemos olvi-dar que, como escribió Alvin Toffler, vivimos en un permanente estado de futuro. Así que se debe abrir la mente, ya que todo cambia a la velocidad de la luz. Haciendo alusión a otra frase célebre, no deberíamos preguntarnos si vamos a ser ataca-dos, sino cuándo. No quiero parecer pesimista, pero es la realidad…

Cada cierto tiempo sale a la pales-tra un nuevo escándalo relaciona-do con la ciberseguridad que aca-para las portadas de los medios de comunicación. Uno de los más

“No deberíamos preguntarnos si vamos a ser atacados, sino cuándo. No quiero parecer pesimista, pero es la realidad…”

http://www.leetsecurity.com


caso de éxito

Centros de enseñanza utilizan tecnología IRM para proteger la ventaja competitiva de su innovación

The New Kids Club (TNCK) es una red de centros de enseñanza franquiciados que, con un enorme esfuerzo tras de sí en innovación de metodología pedagó-gica, tecnología y procedimientos, está posicionándose como un referente en el desarrollo de servicios de enseñanza de inglés. Su método, “The New Kids Club Method” integra facetas como el refuerzo académico, la ludoteca, las actividades vacacionales durante todo el año, la psi-copedagogía, etc., todo ello destinado a niños y niñas de uno a dieciséis años.

TNKC nace en Figueres (Girona) en el año 2002 y desde entonces ha logrado que sus alumnos alcancen un nivel de inglés B2 o First Certificate al finalizar la escolarización obligatoria, siendo centros autorizados por la Univ. de Cambridge.

Después de haber implantado con éxito durante 2013 su exclusivo modelo educativo en sus primeras franquicias de Zaragoza, Castelldefels (Barcelona), San Cristóbal de la Laguna y Adeje en Tenerife, TNKC duplican su red de cen-tros a partir de septiembre de 2014 con aperturas en San Sebastián de los Reyes (Madrid), Santander, Sevilla y los cen-tros de Badalona y Santa Perpètua de Mogoda en Barcelona.

Desde el pasado curso, TNKC está utilizando la solución Prot-On para ges-tionar la seguridad de toda su documen-tación, tanto de las funciones administra-tivas como del material docente utilizado. Dado el alto grado de digitalización de toda su información y de la dispersión inherente al modelo de franquicias, TNKC requiere no sólo una robusta protección de los documentos que comparte en la red, sino también el seguimiento y control de todos sus movimientos.

Contribución de Prot-OnProt-On permite a TNKC proteger su documentación estratégica mediante el cifrado de la misma y gestionar en todo momento quién tiene acceso a estos documentos. De modo que, incluso después de haber compartido un archi-vo, se puede impedir que se vuelva a acceder al mismo o decidir durante qué periodo de tiempo puede utilizarlo. Podrá dar o quitar permiso para modifi-carlo, imprimirlo, copiarlo, etc., en tiempo real, esté donde esté el documento. Así, la empresa es en todo momento propietaria de la información que com-parte: cada vez que un usuario (alumno, profesor, trabajador…) intenta acceder a un documento protegido, Prot-On com-prueba si está autorizado para ello y, en ese caso, le da acceso para hacer con ese documento estrictamente lo que está autorizado a hacer. Asimismo, se guardará también un registro de activi-dad de cada documento quién accedió a él, cuándo, desde dónde y para qué.

Los documentos protegidos pueden estar almacenados en los propios dis-positivos del usuario (Windows, Mac, Android o iOS) o en la nube, ya que Prot-On es compatible con Dropbox, Box, Google Drive, OwnCloud o SharePoint.

Este tipo de soluciones son muy demandados en el ámbito empresarial

por compañías como The New Kids Club que quieren proteger la información críti-ca o estratégica para su negocio respec-to a prácticas desleales de empleados, ex empleados, alumnos, etc., que tienen acceso a la información de la compañía desde sus propios dispositivos y que podrían utilizarla ilegítimamente.

Prot-On se impone como el estándar entre las soluciones IRM por su exce-lente combinación de robustez en la protección, su facilidad de uso y gran asequibilidad. Prot-On es gratuito para usuarios particulares que usen funcio-nalidades básicas. Ésta es también una enorme ventaja cuando las compañías quieren compartir información protegida con usuarios externos, en este caso alumnos.

Las empresas pueden utilizar Prot-On en la modalidad SaaS (el servidor es el público de Prot-On) o en on-premises (el servidor es del cliente), y su importe depende del número de usuarios.

Así pues, sin implantar costosas herramientas y sin alterar los procesos de trabajo de empleados, las empre-sas pueden protegerse ante posibles fugas de información que ponen en peligro su propia supervivencia. Las tecnologías IRM de nueva generación ya lo permiten. Y Prot-On es su princi-pal referente.

La red de centros educativos The New Kids Club utiliza Prot-On como solución IRM (Information Rights Management) para controlar el uso de todas las copias de sus documentos, independientemente de dónde estén, pudiendo decidir en tiempo real quién, cuándo y para qué acceden a ellos.

Tx. Y FT.: PROT-ON

proton_red066.indd 1 03/09/2014 11:08:23

http://www.prot-on.com


Durante los Días 28 y 29 de octu-bre, León acogerá de nuevo a las principales figuras del ámbito de la ciberseguridad, en un espacio para el análisis y la reflexión, en el marco del histórico e incomparable Parador Hostal San Marcos de León.

En 2014 hemos contempla-do la constitución del Consejo de Ciberseguridad Nacional, liderado por el Consejo de Seguridad Nacional, el cual se creaba a su vez en 2013 y apro-baba la Estrategia de Ciberseguridad Nacional, el 5 de diciembre, con el objetivo principal de responder y pre-venir las amenazas, agresiones y ries-gos que puedan afectar en el cibe-respacio a la seguridad nacional. Por ello este año, sin duda, ha sido muy importante para el mundo de la ciber-seguridad en España y el eje central de 8ENISE tenía que ser indiscuti-blemente el análisis de la Estrategia, sus implicaciones, pero también sus primeros pasos.

Bajo el lema "La Estrategia de Ciberseguridad Nacional a Examen", ENISE promoverá el análisis y reflexión sobre los retos y los avances afronta-dos por dicha estrategia, incidiendo

especialmente en la cooperación públi-co-privada y las oportunidades que ésta representa para el desarrollo de la industria de ciberseguridad en España. Asimismo se revisarán los resultados

del Acuerdo de colaboración entre el Ministerio del Interior y el Ministerio de Industria, Energía y Turismo para la mejora de la lucha contra la ciberde-lincuencia y el ciberterrorismo, suscrito en octubre de 2012; las perspectivas generadas por la creación del Mando Conjunto de Ciberdefensa, en febrero de 2013, y los avances en la ejecución de la Agenda Digital para España y su Plan de Confianza en el ámbito digital.

La Estrategia no sólo delimita el entorno del ciberespacio, fija princi-pios, objetivos y líneas de acción para

el logro de la ciberseguridad nacional, y define el marco de coordinación de la política de ciberseguridad. Su papel vertebrador pretende facilitar la mejor coordinación de todos los agentes e instrumentos relacionados con la ciberseguridad, recogiendo numero-sas medidas para ello. En este con-texto, se abordarán las implicaciones del decidido impulso a la cooperación entre agentes públicos, y también entre éstos y el sector privado, con el fin de cubrir las necesidades de prevención, defensa, detección, respuesta y recu-peración frente a las ciberamenazas. En este sentido, el debate permitirá poner de relevancia la percepción y las necesidades del sector privado, a efec-tos de facilitar fórmulas de cooperación público-privada eficaces y que resultan esenciales para que la Estrategia de Ciberseguridad Nacional alcance los objetivos previstos. El principal come-

tido no es otro que garantizar la ade-cuada protección del ciberespacio, un entorno que forma parte de nuestra vida cotidiana y que requiere, por tanto, del establecimiento de un clima de confianza.

El octavo ENISE pretende además revisar y profundizar en la adecua-ción de tales líneas de acción ante la aparición de amenazas cada vez más complejas y sofisticadas, así como identificar los aspectos más destacables relativos a la organiza-ción y coordinación de las estrategias

Un año más, y ya son ocho, Inteco cumple con su cita anual reuniendo a los diferentes agentes del sector de la ciberseguridad en torno a la octava edición de ENISE, el Encuentro Internacional de Seguridad de la Información.

8ENISE: La Estrategia de Ciberseguridad Nacional a examen

actualidad tecnológicaevento

Elena Carrera MurciegoDepartamento de Comunicación del Instituto Nacional de Tecnologías de la Comunicación (Inteco)

El 8ENISE permitirá poner de relevancia las necesidades del sector privado, a efectos de facilitar fórmulas de cooperación público-privada eficaces


y capacidades disponibles por parte de los diferentes agentes involucra-dos en la ciberseguridad.

8ENISE arrancará con una sesión inaugural de elevado nivel que pone de manifiesto la apuesta del Gobierno por la ciberseguridad, con la presen-cia un año más de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información y la Secretaría de Estado de Seguridad. A continuación tendrán lugar las sesiones específicas de trabajo, abordándose en primer lugar los principales avances en la puesta en marcha y desarrollo de la Estrategia de Ciberseguridad Nacional.

Las capacidades para la persecu-ción de los ciberdelitos pondrán fin a la primera jornada. La ciberdelin-cuencia es uno de los ámbitos delic-tivos de mayor crecimiento durante los últimos años, apoyándose en la facilidad, anonimato y rapidez con el que se pueden realizar los mismos a través de Internet. Diferentes agentes responsables de su investigación y su persecución detallarán de qué modo trabajan y cómo prevén su evolución en su futuro más cercano.

Durante el segundo día serán objeto de debate los instrumentos de lucha contra el ciberespionaje, las nuevas amenazas y los riesgos emergentes en la ciberseguridad, así como el ciberespacio como un elemento cata-lizador de la innovación tecnológica.

Desde INTECO se ha conformado para esta nueva edición un programa de carácter eminentemente práctico y profesional, en el que estarán pre-

sentes los organismos e instituciones nacionales e internacionales clave en el desarrollo de la ciberseguridad y en el que se contará con expertos de referencia y a la vanguardia de la innovación en este sector.

Estas sesiones profesionales serán completadas en paralelo con otras iniciativas transversales de interés. Así, se ha organizado junto al CNPIC (Centro Nacional de Protección de Infraestructuras Críticas), por segun-do año consecutivo, el encuentro de trabajo de operadores de infraestruc-turas críticas, se realizará también una presentación de los ciberejer-cicios 2014 y tendrá lugar la con-ferencia final del proyecto europeo ASASEC.

CyberCampPermítannos que aprovechemos además esta ocasión que nos brinda

la editorial Borrmart para hablarles del evento CyberCamp, que tendrá lugar del 5 al 7 de diciembre en Madrid y que nace con el objetivo de promover el talento y el interés en la ciberseguridad entre los jóve-nes, así como acercar este ámbi-to a las familias. La organización del evento se enmarca en el eje 5 del Plan de Confianza en el ámbi-to Digital “Programa de Excelencia en Ciberseguridad”, dentro de la Agenda Digital de España.

CyberCamp es un evento com-plementario que se construye sobre el ecosistema actual de eventos de confianza digital, y en un modelo de colaboración público-privada con los principales agentes en cibersegu-ridad. Se ha diseñado a través de un proceso abierto y transparente considerando los intereses y motiva-ciones de los jóvenes con perfil téc-nico. Diversos incentivos tales como oportunidades laborales e itinerarios formativos, motivarán a los partici-pantes a través de conferencias inter-nacionales, encuentros con expertos, retos, talleres técnicos y de habi-lidades emprendedoras o pruebas prácticas, entre otros, sin olvidar que todo se desarrollará en un entorno de encuentro para compartir experien-cias entre estudiantes, profesionales y gurús de la ciberseguridad.

La captación de talento para CyberCamp se llevará a cabo pre-viamente mediante diferentes prue-bas técnicas y retos online, con el fin de conseguir a los mejores partici-pantes en materia de ciberseguri-dad. Y como no hay esfuerzo sin recompensa, los mejores serán pre-miados.

El secretario de Estado de Seguridad, Francisco Martínez Vázquez, y el de Telecomunicaciones y para la Sociedad de la información, Víctor Calvo-Sotelo, durante la inauguración del 7ENISE.

actualidad tecnológica evento


infraestructuras críticasopinión

SCADA LAB, promoviendo la ciberseguridad en sistemas de control industrial

Servicio de Ciberseguridad del CNPIC

El CEntro naCional para la Protección de las Infraestructuras Críticas (CNPIC), entre las funciones que tiene encomen-dadas, tiene como misión impulsar la investigación, el desarrollo y la innova-ción de aquellas iniciativas que pudieran resultar en un beneficio directo o indi-recto a los operadores que gestionan infraestructuras que proporcionen ser-vicios esenciales. Entre estas iniciativas, se encuentra la participación en proyec-tos cofinanciados dentro de los progra-mas marco nacionales y europeos en curso. Uno de los programas europeos más directamente relacionados con la protección de las infraestructuras crí-ticas es el conocido como Programa CIPS (formalmente The Prevention, Preparedness and Consequence Management of Terrorism and other Security-related Risks Program), en el que el CNPIC participa activamente en las figuras de “advisory boar” y “partne” en proyectos en curso como SCADA LAB (www.scadalab.eu) y CIISC-T2 (www.ciisct2), y otros proyectos ya fina-lizados, como CloudCERT (cloudcert.european-project.eu).

Como bien es conocido, los siste-mas encargados de monitorizar y/o controlar de forma centralizada y en tiempo real un determinado proceso industrial es lo que definimos como sis-temas SCADA. Un sistema de este tipo podría ser el que controla, por ejemplo, la gestión de la distribución de energía eléctrica en una determinada región.

Estos sistemas, diseñados en ori-gen para trabajar en entornos aisla-dos, toman datos de múltiples senso-res y actúan sobre equipos remotos como válvulas o bombas, por lo que son muy utilizados en la industria para controlar los procesos. Inicialmente diseñados para mejorar la funcionali-dad, son equipos altamente redunda-dos y muy robustos.

Los SCADA contienen servidores y aplicaciones que realizan funciones clave en los procesos industriales, y, por tanto, están presentes en las Infraestructuras Críticas y estratégicas en cuanto a que potencialmente con-trolan la manera en que se prestan algunos de los servicios esenciales que la sociedad demanda. Al basarse estos sistemas en las tecnologías de la información y las comunicaciones, se requiere una especial atención en su protección, dada la variedad de amenazas existentes en el ciberes-pacio.

Por otro lado, y debido a los largos plazos de amortización de las infra-estructuras que proporcionan estos servicios esenciales, hacen que las tecnologías sobre las que descansa el control de los procesos de produc-ción estén potencialmente basadas en sistemas propietarios y obsole-tos. Cuando los operadores de estas infraestructuras desarrollan sistemas complementarios y más avanzados de supervisión de los procesos de

producción, en ocasiones este hecho se sustancia mediante una conexión física entre las redes corporativas y las redes industriales. Si esta conexión no lleva asociada una adecuada imple-mentación de sistemas de seguridad de la información que impidan de manera razonable la intrusión en esos sistemas, la continuidad de los ser-vicios que prestan estos operadores podría verse comprometida.

SCADA más segurosAl objeto de definir y aumentar las medidas de protección de este tipo de sistemas, que tradicionalmente han priorizado garantizar la disponibilidad del servicio frente a la seguridad, se está llevando a cabo una iniciativa de gran impacto, SCADA LAB (SCADA Laboratory and test bed as a service for Critical Infrastructure Protection), el cual es un proyecto cuyo consorcio está liderado por el Instituto Nacional de Tecnologías de la Comunicación (Inteco) y formado por entidades como AEI Seguridad, Everis, Europe For Business, Telvent Energía, Telvent Global Services, Zanasi & Partners, NISZ y el CNPIC.

El objetivo principal del proyecto es la realización, de forma remota, de evaluaciones de seguridad en entornos basados en sistemas de control industrial, pudiéndose llevar a cabo tanto en entornos en produc-ción como simulados, y teniendo en


infraestructuras críticas opinión

El objetivo principal del proyecto SCADA LAb es la realización de evaluaciones de seguridad en entornos basados en sistemas de control industrial

c) Nivel de Supervisión: Este últi-mo nivel abarca todos los elementos que permiten el control y la monito-rización de los dispositivos del nivel de campo y control. Este nivel incluy: servidores SCADA, estaciones de trabajo de monitorización, servido-res OPC, servidores de datos, etc. De esta manera, el laboratorio per-mite a proveedores de soluciones de seguridad y a fabricantes de sistemas de control, automatización y supervisión industrial, validar con-juntamente la correcta integración e interoperabilidad de las soluciones de seguridad TIC con aplicativos y soluciones concretas de informática industrial.

Por último, destacar que la utiliza-ción de esta arquitectura permite disponer de un modelo realista de trabajo, y la garantía de que no habrá daños colaterales sobre la infraes-tructura original. Del mismo modo, se facilita el correcto proceso de una evaluación de seguridad, ya que se reducen los elementos de riesgo pro-pios de una infraestructura original pudiendo probar de forma empírica y en tiempo real las distintas configura-ciones para obtener diferentes valo-raciones de seguridad.

se puedan lanzar sobre los bancos de pruebas tanto en un entorno local como remoto, a través de redes tune-ladas.

Tres nivelesPor otro lado, el área del banco de pruebas se ha diseñado con el obje-tivo de buscar una fiel aproximación a los entornos reales que serán el objetivo de la evaluación. Por este motivo, el banco de pruebas incluye los tres niveles que conforman la arquitectura básica de un sistema de control industrial, desde las entida-des de más alto nivel en la jerarquía SCADA, hasta los elementos más básicos en la zona de camp):

a) Nivel de Campo y Control: Este primer nivel contiene, por un lado, los dispositivos que gestionan los senso-res y actuadores finales, tales como PLC, IED o RTU. Estos dispositivos permiten a los sensores y actuado-res operar juntos para llevar a cabo el proceso de fabricación definido. Por otro lado, contiene los sensores (elementos de medición) y actuadores (elementos de acción) finales.

b) Nivel de Comunicación: El segun-do nivel se refiere a la interfaz de comu-nicación entre los dispositivos de campo y control y el nivel de supervisión.

cuenta que una evaluación de este tipo en un entorno real podría resul-tar en una interrupción del servicio prestado.

Las actividades principales del pro-yecto son:

a) Diseño de una metodología de pruebas que recoja todos los pasos necesarios para llevar a cabo una evaluación remota de seguridad sobre entornos industriales.

b) Implementación de un labora-torio que proporcione la arquitectu-ra necesaria para lanzar pruebas de seguridad y genere informes con los resultados obtenidos de forma auto-mática.

c) Implementación de un banco de pruebas (test bed) que albergue un sistema de control industrial objeto de evaluación, tipo SCADA, incluyendo aplicaciones de control, automatiza-ción y supervisión, así como, disposi-tivos de campo, PLC, etc.

d) Desarrollo de un asistente que permita guiar al operador de la infra-estructura crítica a lo largo de todo el proceso de evaluación.

Esta iniciativa va más allá del mero análisis de funcionalidades de las soluciones de seguridad específicas de las tecnologías industriales, ya que permite probarlas en un modelo rea-lista análogo a un entorno en pro-ducción. Esto permite conocer las limitaciones de un producto antes de considerarlo como una posible solución, o garantizar que proporcio-na determinadas funcionalidades de seguridad.

El diseño del SCADA LAb se divide técnicamente en dos áreas: el labora-torio (Laboratory Area) y el banco de pruebas (Test Bed Area). El área de laboratorio gestiona la planificación de las pruebas y el banco de pruebas es el entorno que se evalúa y el contexto donde se llevan a cabo las pruebas.

Además, en la implementación de la arquitectura se utiliza un agente, de manera que las pruebas de seguridad


caso de éxito

Telefónica Global Technology consolida la seguridad de sus CPD europeos con Fortinet

Como ConseCuenCia de un proceso de optimización operativa y de costes, la compañía decidió consolidar sus prin-cipales cuatro Data Centers de Europa (España, Reino Unido, Alemania y, en aquel entonces, República Checa) y el Data Center de Telefónica Corporativo, en un único espacio, el nuevo Data Center de Alcalá. Se trataba de un ambicioso proyecto que comprendía networking, servidores, almacena-miento, etc., y también seguridad, que incluía a su vez una completa solución de firewall. Para llevar a cabo la selec-ción de esta última, la compañía eva-luó diferentes opciones de fabricantes de firewall, quedando en la shorlist Fortinet y CheckPoint.

Tras un exigente proceso de selec-ción, Telefónica adjudicó el proyecto de firewall de su nuevo Data Center a Fortinet. Para la toma de esta decisión, TGT valoró que, además de cumplir con todos los requisitos de alto ren-dimiento, escalabilidad, virtualización, facilidad de uso y reporting, la oferta de Fortinet ofrecía una inmejorable relación precio-rendimiento.

La ejecución del proyecto fue adjudi-cada a Telefónica Soluciones, compa-ñía perteneciente al Grupo Telefónica y partner Gold de Fortinet. Se ha contemplado una compleja arquitec-tura lógica para la que se hace muy apropiado el uso de las capacidades de virtualización de FortiGate (VDOM),

ya que uno de los requisitos era sepa-rar y proteger las diferentes zonas de seguridad dentro del centro de datos. Gracias a ella, sobre una misma pla-taforma física se pueden habilitar de manera muy sencilla y rápida entornos virtuales, completamente indepen-dientes unos de otros, que proporcio-nen funciones de seguridad totalmente configurables por separado.

El alcance del proyecto se resu-me en cinco Data Center equipados cada uno con cuatro chasis FortiGate-5060DC para formar dos clústeres geográficamente separados entre el Alcalá Data Center (Clúster principal) y el Data Center de Julián Camarillo en Madrid (Clúster de respaldo), cada uno de los chasis equipados inicialmente con un blade FortiGate-5001B y con la posibilidad de incrementar varias veces su capacidad inicial mediante la simple adición de nuevas tarjetas.

Internamente, en cada clúster se han configurado Virtual Domains para dar servicio a firewalls virtuales de Front End, Back End, Intranet y otros. En total, Fortinet ha equipado 18 clúste-res con chasis FortiGate-5060DC y 18 blades FortiGate-5001B. Así, Telefónica se asegura que en cualquier momento podrá incorporar nuevas funcionalida-des de seguridad en el proyecto.

Para la administración y el repor-ting centralizado se han implemen-tado dos FortiManager-3000C y dos FortiAnalyzer-4000B. La compañía tiene previsto aumentar la infraestruc-

tura física (blades) y lógica (VDOM) en sucesivas fases del proyecto.

El FortiManager permite simplificar drásticamente las tareas de administra-ción de los numerosos firewalls físicos y virtuales configurados en la solución, al centralizar en una sola consola todas las tareas de gestión de políticas y configu-raciones. FortiAnalyzer, por su parte, no sólo permite recoger y almacenar logs de los eventos que TGT desee, sino que además proporciona capacidades de generación de informes de todo tipo, de manera flexible y sencilla. Ambas plataformas permiten la creación de entornos virtualizados de administración y de gestión de informes, con los que poder formar, por ejemplo, jerarquías de administración o delegar funciones de administración o capacidades de visualización o generación de informes.

El alto nivel de satisfacción de TGT con el rendimiento ofrecido por los equipos Fortinet ha llevado a la com-pañía a planificar la ampliación de su capacidad en cuanto al número de entornos virtuales en funcionamiento y a plantearse la posibilidad de activar alguna de las funcionalidades adicio-nales disponibles en las plataformas.

“Este proyecto demuestra la confian-za depositada por Telefónica en la tec-nología Fortinet. Es el primer paso en el desarrollo de una plataforma que segui-rá creciendo a medida que se aprove-chen las capacidades de los dispositi-vos Fortinet”, señaló Acacio Martín, director general de Fortinet Iberia.

En abril de 2013, Telefónica inauguró en el Parque Científico y Tecnológico de Alcalá de Henares (TecnoAlcalá), el mayor centro de datos del mundo con la calificación Tier IV Gold del Uptime Institute que le posiciona como el primer CPD de Europa en eficiencia TI. Desde esta instalación, la compañía ofrece servicios de computación en la nube y de procesamiento masivo para todo tipo de empresas, aloja las plataformas de los clientes de la firma y otros sistemas e infraestructuras TI internas, éstas propiedad de Telefónica Global Technology (TGT), la división global de Telefónica encargada de los sistemas y comunicaciones internos entre las compañías del grupo.

Tx: y Ft: FORTInET.

al servicio de la seguridad

www.fundacionborreda.org

Socios Protectores:

fundacion A4.indd 1 05/06/14 11:43

http://www.fundacionborreda.org

empresanoticias


La división EvEris aEroEspaciaL y dEfEnsa forma parte del consorcio de empresas europeas que trabajan en el proyecto CAMINO (por sus siglas en inglés, Comprehensive Approach to cyber roadMap coordINation and develOpment), que contribuirá a defi-nir las líneas de investigación en ciber-seguridad y ciberterrorismo en Europa en los próximos dos años.

Con un presupuesto de 1,2 millo-nes de euros, la iniciativa tiene dos propósitos principales: desarrollar una agenda exhaustiva de investigación en cibercrimen y ciberterrorismo, e iniciar actividades a largo plazo para proveer una plataforma estable que cuente con expertos y organizaciones de investigación en ciberseguridad.

Para ello, el proyecto, liderado por ITTI (Polonia), se apoya en un consor-cio de diez empresas europeas con diferen-tes perfiles que res-ponden a cuatro pila-res principales: éticos, tecnológicos, organi-zativos y legales.

Por su parte, la labor de Everis Aeroespacial y Defensa será identificar posibles carencias y desafíos a partir del análisis de las directrices, hojas de ruta y estrategias de ciberseguridad existentes con el fin de completarlas; así como seleccionar soluciones pro-metedoras de la investigación actual para potenciar su ejecución.

Además, realizará un análisis de riesgos sobre activos que se han de proteger en Europa identifican-do amenazas, vulnerabilidades y una revisión del estado del arte de capacidades tecnológicas que deben ser potenciadas. Por último, llevará a cabo una serie de entrevistas con expertos para completar los estudios y análisis realizados sobre la situación de la ciberseguridad en Europa; y completará el estudio de tecnologías

con un análisis de los aspectos éticos-humanos, organiza-cionales y regulato-rios actuales que se aplican en el campo de la ciberseguridad.

Everis participa en el proyecto CAMINO para definir la hoja de ruta contra el cibercrimen y el ciberterrorismo

rEdEfinir EL modo en que se trabaja en las organizaciones, solucionando los principales retos empresariales e impulsando un cambio basado en la movilidad. Con este objetivo Apple e IBM ha anunciado la firma de un acuerdo de colaboración mundial que se sustenta en cuatro pilares principa-les: el desarrollo para iPhone e iPad de más de un centenar de aplicaciones específicamente orientadas al entorno empresarial bajo la plataforma IBM MobileFirst para iOS; la optimización de los servicios cloud de IBM para iOS, incluyendo gestión de dispositivos a gran escala, seguridad, analítica e integración móvil; la creación de un nuevo servicio y soporte denominado AppleCare y adaptado a las necesida-des de cada empresa; y la comercia-lización de nuevas propuestas empa-quetadas de IBM para la activación de dispositivos, suministro y gestión.

Según Tim Cook, CEO de Apple, “por primera vez estamos poniendo las prestigiosas capacidades de big data

y analítica de IBM en las manos de los usuarios de iOS, lo que abre una gran oportunidad de negocio para Apple”.Por su parte, Ginni Rometty, presidenta y CEO de IBM, señala: "Esta alianza impulsará de forma definitiva la intro-ducción global de estas innovaciones en nuestros clientes y aprovecha el liderazgo de IBM en analítica, cloud, software y servicios".

De esta forma, la alianza une las capacidades tecnológicas de IBM, con más de cien mil consultores en distintas industrias, con la experiencia de usuario e integración de Apple.

Apple e IBM firman un acuerdo mundial para transformar la movilidad empresarial

Trend Micro Partner Program es el nombre del nuevo pro-grama de canal que acaba de anunciar la compañía y cuyo objetivo es incrementar aún más la productividad y rentabilidad de sus más de 50.000 socios de canal en el mundo. Tiene la particulari-dad de que combina los ele-mentos clave de sus progra-mas de partners regionales con el de Norteamérica para ofrecer ahora uno nuevo y alineado en el ámbito global.

El programa, cuya imple-mentación se completará durante el primer trimestre de 2015, incluye una estruc-tura de compensación mejo-rada y una segmentación de partners claramente definida; una organización de los dis-tribuidores estandarizada por niveles; y equipos de consul-tores expertos dedicados a identificar, desarrollar y ase-gurar nuevas oportunidades de negocio con los socios.

Trend Micro presenta su nuevo programa de canal

Red Hat adquiere la empresa eNovance

La compañía Red Hat ha acorda-do la adquisición del proveedor de servicios de cloud computing open source eNovance por un importe que ronda los 50 millones de euros en efectivo y 20 millones de euros en acciones ordinarias de Red Hat.

La relación entre ambas empre-sas se remonta al año pasado, cuando se asociaron para ofre-cer servicios de implementación e integración de OpenStack para las organizaciones.

Ahora, con esta adquisición, Red Hat quiere satisfacer la cre-ciente demanda de consultoría, diseño y despliegue empresarial de OpenStack incorporando las capacidades de integración de sistemas y el talento técnico de eNovance.

empresa noticias


Panda Security lanza un nuevo servicio que asegura todas las aplicaciones ejecutadas

Panda Security anunció en junio el lanza-miento de Panda Advanced Protection Service (PAPS), un nuevo servicio de la compañía española de ciberseguri-dad "que muestra el camino hacia el que debería dirigirse la industria”. Así lo transmitió Diego Navarrete, CEO de la empresa, en un acto para la prensa internacional celebrado en Madrid.

PASP es un servicio para el control de aplicaciones enfocado a grandes usuarios, que rompe con el tradicio-nal sistema de detección de soft-ware maligno basado en listas negras. Según explicó Navarrete, esta solución plantea un modelo en el que se pasa "de un modelo enfocado casi exclusi-vamente en técnicas de detección de lo que es malo o sospechoso, a otro centrado en asegurar la clasificación y seguridad de todo lo que se ejecuta, aunque no haya saltado ninguna alerta en los algoritmos de detección". Este servicio "reduce prácticamente a cero la posibilidad de que el malware no sea descubierto", afirmó el CEO de Panda, y "clasifica todo lo que se intenta eje-cutar y continúa monitorizando todas

las acciones realizadas por las aplica-ciones para proteger también contra posibles ataques a vulnerabilidades de aplicaciones legítimas".

Por su parte, Josu Franco, vice-presidente de Desarrollo de Negocio Corporativo de Panda, explicó que PASP "clasifica y monitoriza continua-

mente toda la actividad de las apli-caciones en los endpoint y permite obtener una trazabilidad completa de dicha actividad". "En estos momentos, ningún proveedor de la industria del software de protección cuenta con una herramienta similar", apostilló.

Resultados probadosEl nuevo servicio es el resultado de dos años de trabajo de investigación, desarrollo y ensayos de la compañía española, que ya ha probado la eficacia de esta herramienta en clientes como Eulen o Mecalux. También ha comple-mentado soluciones de partners, como es el caso del Centro de Operaciones de Ciberseguridad de Indra. "Los partners son una pieza clave en la estrategia de PASP, puesto que atienden a las nece-sidades de ciberseguridad global de los clientes corporativos. Por ello, creemos que PASP les ofrece una excelente oportunidad para satisfacer las deman-das de aquellos clientes preocupados por el riesgo que corren sus datos y su capital intelectual ante ataques dirigi-dos", aseguró Franco.

BREVES

Nueva división de seguridad de AvnetAvnet Technology Solutions, mayo-rista global de soluciones TI y grupo operativo de Avnet, ha anunciado el lanzamiento de una división en EMEA: Avnet Security & Networking Solutions (ASNS). Su cometido será ayudar a impulsar aún más su por-folio de soluciones y servicios de seguridad y networking.

HP AtallaHP ha lanzado las nuevas soluciones HP Atalla, dirigidas a organizaciones que necesitan proteger su informa-ción confidencial, como institucio-nes financieras, energéticas, distri-buidores, proveedores de atención sanitaria o gobiernos. Su finalidad es proporcionar protección a la infor-mación almacenada de forma local o en la nube, así como para datos no estructurados como correos confidenciales, facturas o historiales médicos electrónicos.

Las pérdidas causadaspor el cibercrimen Sogeti, en colaboración con IBM, ha publicado el libro Staying ahead in the Cyber Security Game, en el que se describen las amenazas, los cambios y los desafíos en materia de seguri-dad a los que se enfrentan las empre-sas. En él se estima que el daño total causado por el cibercrimen ronda los 500.000 millones de dólares.

Solución de F5 para el APC de CiscoF5 Networks ha anunciado una solu-ción para Cisco Application Policy Infrastructure Controller (APIC) que permite a los clientes con disposi-tivos de F5 desplegar servicios de aplicación basados en políticas en las capas 2-7 de red. De esta mane-ra, quienes utilicen tecnologías de Cisco y F5 de forma conjunta podrán reducir los costes de operación man-teniendo los mismos niveles de segu-ridad, disponibilidad y rendimiento.

'Malware' desconocido Kaspersky Lab ha hecho pública una investigación que revela la existencia de una infraestructura internacional utilizada para controlar de manera remota implantaciones de malware y que también ha permitido identificar troyanos móviles para Android e iOS hasta ahora desconocidos. Según la compañía, estos módulos forman parte de una solución “supuestamen-te legal”, llamada Remote Control System (RSC), también conocida como Galileo, y desarrollada por la compañía italiana Hacking Team.

ESET celebra el III Security ForumEl derecho al olvido, la ciberguerra, el ciberacoso y las bitcoines han sido los ejes principales sobre los que giró el debate durante la III ESET Security Forum, una jornada que periódicamente celebra el fabricante y que contó con representantes de Inteco, la Guardia Civil o la Asociación Nacional de Ciberseguridad y Pericia Tecnológica (ANCITE), entre otros.

Diego Navarrete, CEO de Panda Security.

empresanoticias


Javier J. CorralesResponsable de Desarrollo de Negocio de S2 GrupoEste ingeniero de Telecomunicaciones por la Universidad Politécnica de Madrid se incorpora a la empresa española especializada en ciberseguridad S2 Grupo proveniente de Verizon, con el objetivo de reforzar el posicionamiento de la compañía en España, Colombia, Rumanía y México.

Álvaro BargeDirector de TI de Brightstar 20:20 MobileEl distribuidor especializado en telefonía móvil Brightstar 20:20 Mobile ha anunciado el nombramiento de Álvaro Barge como nuevo director de Tecnología, en sustitución de César Colado, que asume responsabilidades europeas. Barge, ingeniero de telecomunicaciones, tendrá como objetivo liderar los procesos de calidad y de desarrollo de soluciones personalizadas para los clientes de la empresa.

Albert PuigsechGerente de la oficina de Barcelona de EYLa compañía refuerza su división de Seguridad de la Información, dentro del Área de Consultoría, con la incorporación de Puigsech como gerente de la oficina de Barcelona. Su objetivo será impulsar en los clientes los servicios de TI como proyectos de Penetration Testing, Vulnerability Assessment Web Application Security Analysis, Hacking Ético o servicios de análisis forense en el entorno informático, entre otros.

nomBrAmientos

mcAfee reorganiza su estructura interna en españa para integrar el porfolio y el equipo de stonesoftCoincidiendo con el aniversario de la adquisición de Stonesoft por parte de McAfee, María Campos, actual respon-sable en España del área Network de la compañía, ha dado a conocer el estado de la integración de ambas empresas. Según la directiva, el proceso ha des-tacado por su rapidez. “Al principio era una incógnita saber cómo se iba a llevar a cabo, pero se ha producido a una velocidad asombrosa. El primer día de este año ya había finalizado”.

Fruto de este proceso, la compa-ñía se estructura ahora en dos áreas: Endpoint, que engloba la actividad tra-dicional de McAfee; y Network, que desarrolla la estrategia de la compañía en el entorno de la seguridad de red. Es en esta última pata donde ha empe-zado a trabajar el equipo comercial que provenía de Stonesoft. “El hecho de presentarnos ahora como McAfee, una marca de Intel Security, nos está

abriendo puertas”, comenta Campos. “Además, tenemos más potencia de cara al cliente, puesto que contamos con la capacidad de vender bastantes más productos que antes”, añade. La directiva reconoce que tienen a su dis-posición más recursos que antes.

El objetivo ahora es, en palabras de Campos, “ir a la base instalada de clien-tes de McAfee para presentar la nueva división y sus soluciones”, cuyo núcleo más importante dentro del entorno de seguridad de red es Next Generation Firewall (NGF). Es más, están empe-zando a observar una tendencia de crecimiento positiva del área Network durante el segundo trimestre del año, con una distribución del 70 por ciento en venta nueva y del 30 por ciento en renovaciones, lo que, para la directiva, supone un “crecimiento saludable”. El objetivo es “crecer dos veces la media de crecimiento del mercado”, concluye.

Ciberataques disruptivos Según un estudio de BT presentado recien-temente, los ciberataques disruptivos son cada vez más eficaces a la hora de traspa-sar las defensas de seguridad, causando graves trastornos y a veces dejando a las empresas y organismos públicos inopera-tivos durante jornadas enteras. Esta inves-tigación revela que el 41 por ciento de las organizaciones de todo el mundo se vieron afectadas por los ataques distribuidos de denegación de servicio (DDoS) en el último año, y tres cuartas partes de ellas (78 por ciento) lo sufrieron dos o más veces en ese mismo año. De ahí la inquietud a escala global de las firmas consultadas, pues un 58 por ciento de las cuales considera esto un asunto clave.

razones por las que tienen éxito los ciberataquesCheck Point ha anunciado los resultados de una encuesta que muestra que las razo-nes del creciente número de ciberataques exitosos estarían motivadas por el aumento progresivo en la sofisticación del malware, así como por la falta de inteligencia acerca de las nuevas amenazas. El documento también revela que el 31 por ciento de los encuestados destacó que su empresa había sufrido hasta 20 ataques con éxito en los últimos doce meses, mientras que el 34 por ciento no pudo decir con exactitud cuántos ataques habían sido realizados.

'malware' para móvilesEn su Informe de amenazas: junio de 2014, McAfee Labs revela las nuevas tácticas de malware para dispositivos móviles que se basan en el abuso de la popularidad, carac-terísticas y vulnerabilidades de aplicaciones y servicios legítimos para llevar a cabo sus ataques. Por ejemplo, estos laboratorios han descubierto que el 79 por ciento de los clones del juego Flappy Birds contenían malware, a través del cual los cibercrimina-les eran capaces de hacer llamadas sin el permiso del usuario, instalar aplicaciones adicionales, extraer información de la lista de contactos, rastrear localizaciones, etc.

más privacidad, pero sin tomar medidas EMC ha presentado el primer estudio mun-dial sobre las actitudes de los internautas respecto a su privacidad en la Red, deno-minado Privacy Index, realizado a 15.000 usuarios de 15 países con resultados curio-sos. Por ejemplo, el 73 por ciento de ellos no está dispuesto a sacrificar su privacidad a cambio de más beneficios en la red; sin embargo, el 62 por ciento no cambia sus contraseñas con asiduidad. Asimismo, más de la mitad declara haber sufrido una bre-cha de seguridad, pero gran parte no está tomando medidas para protegerse.

estUDios

El proveedor de sistemas de pago virtual perteneciente a Visa, CyberSource, y la compañía tecnológica especializada en la industria de viajes, Amadeus, han formalizado una alianza estratégica internacional con el fin de ofrecer una solución de reserva de viajes inte-grada y de detección de fraude a las aerolíneas, las agencias de viajes y otras empresas del sector a escala mundial. Esta solución incorpora un sistema de gestión contra el fraude, denominado Decision Manager, en la plataforma de pagos de viajes de Amadeus (Amadeus Payment Platform, APP). De esta forma, Decision Manager puede ayudar a las compañías del sector a aceptar más reservas legítimas, al tiempo que identifican las transacciones potencialmente fraudulentas y rebajan los costes operativos.

Según ambas compañías, esta solución combinada ayudará a las empresas de turismo de todo el mundo a maximizar sus ingre-sos, reducir costes y mejorar la experiencia de pago de los clientes a través de múltiples canales, como Internet, móvil, presencial o centros de llamadas. En palabras de Celia Pereiro, Head of Travel Payments en Amadeus, este acuerdo ofrecerá a sus clientes "una solución de pago de viajes con protección contra el fraude personalizada y mejorada, lo que les ayudará a optimizar sus operaciones de negocio y a optimizar las tasas de aceptación, facilitando a los consumidores un proceso de pago más ágil".

CyberSource y Amadeus se asocian para optimizar las operaciones de detección de fraude a través de los canales de reservas de viajes

La universidad CarLos iii de Madrid (UC3M) e Indra han creado la Cátedra de Ciberseguridad, con la idea de fomentar el desarrollo de pro-yectos y programas de investigación e innovación científica y tecnológica en el ámbito de la ciberseguridad y la ciberinteligencia. En concreto, ambas instituciones trabajarán con-juntamente en el desarrollo de nue-vos conceptos, algoritmos y prototi-pos orientados a la detección y miti-gación temprana de amenazas per-sistentes avanzadas (APT), las más complejas y difíciles de detectar, así

como en la gestión de dinámica de riesgos. También está previsto que investiguen nuevos métodos para compartir información de cibersegu-ridad y para mejorar el entrenamiento y experimentación en esta materia a través de la simulación.

Además de la actividad de I+D+i, el acuerdo contempla el asesora-miento mutuo de ambas entidades, así como el desarrollo de programas formativos y de actividades de pro-moción y divulgación de la cultura científica y los avances tecnológicos en el ámbito objeto de la cátedra.

La UC3M potencia la ciberseguridad

De izquierda a derecha, José Luis Angoso, director de Innovación y Alianzas de Indra; Daniel Peña, rector de la Universidad Carlos III de Madrid; y Ascensio Chazarra, director de Ciberseguridad de Indra, durante la firma del convenio.

La institución, junto con Indra, crea una cátedra para impulsar el desarrollo de proyectos conjuntos de I+D+i, así como programas formativos en seguridad.

El fabricante de tecnología Bull y el proveedor de infra-estructura de clave pública (PKI) PrimeKey se han unido para mejorar la seguridad de los datos mediante la integración de la gestión de claves del segundo con un módulo criptográfico del pri-mero. Así, gracias a este acuerdo, la plataforma de nueva generación TrustWay Proteccio HSM (Hardware Security Module) de Bull se integra con EJBCA, la oferta PKI de PrimeKey.

Esta solución garantiza la generación y almacenamien-to de claves en el módu-lo criptográfico TrustWay Proteccio. Además, cumple con los más altos estánda-res de certificación, inclu-yendo Common Criteria EAL4 + y FIPS 140-2 Nivel 3.

Según Philippe Duluc, vicepresidente de la División de Seguridad de Bull, "este acuerdo permitirá a las organizaciones que utilizan EJBCA PrimeKey responder a las amenazas de segu-ridad y los requisitos de cumplimiento de hoy y de mañana". Así las empresas pueden asegurar sus proce-sos críticos de forma trans-parente en sus operaciones.

Bull y PrimeKey fortalecen la seguridad de los datos corporativos


empresa noticias


entrevista

Tras la creación de su

División de Sistemas

de Seguridad en 2011,

IBM ha desarrollado

un modelo propio de

protección para sus

clientes, en el que la

"seguridad inteligente"

es la "piedra angular".

Emmanuel Roeseler,

responsable de la

división, explica este

concepto enfocado

a mejorar la toma de

decisiones, así como la

aportación de Trusteer

-empresa adquirida

por IBM el año

pasado- para reforzar

las capacidades del

Gigante Azul frente al

fraude bancario.

Tx.: Enrique González Herrero. Ft.: IBM.

“Actualmente, hace falta dar un servicio prácticamente en tiempo real para proteger al cliente”

Director de Sistemas y Tecnología de Seguridad de IBM España, Portugal, Grecia e Israel

Emmanuel Roeseler

gente. De lo que se trata con ella es de contemplar esas cuatro dimensiones al mismo tiempo y aprovechar todos los datos que se generan para tomar mejores decisiones.

Dentro de ese framework, hubo un punto nuevo en agosto del año pasado con la compra de Trusteer. Con ella se abordó el llamado fraude avanzado, que añadimos a la capa de seguridad inteligente. Sirve en el caso de una empresa con un sistema maduro, que tiene en cuenta las cua-tro dimensiones de las que hablaba y una capa de seguridad inteligente, pero aún así necesita proteger toda-vía más algunas puertas que no se controlan; es decir, los clientes y los empleados que acceden a las redes corporativas desde sus propios dis-positivos. Si habláramos, por ejemplo, de la banca electrónica, hay que tener en cuenta que, aunque un banco tenga toda su seguridad controlada, puede que el cliente tenga un malware en su dispositivo y se cuele en la red cuando accede a los servicios de la entidad. En ese caso, primero

En octubre de 2011, IBM puso en marcha la División de Sistemas de Seguridad. ¿Cómo ha evoluciona-do esta área desde que se creó?Cuando arrancamos la división no partimos de cero, sino que lo hicimos sobre una tecnología ya existente, que estaba probada en el mercado y que procedía de los laboratorios de IBM o de las empresas que hemos adquiri-do. Estamos hablando de tecnología que existe desde hace entre cinco y diez años. Esto ha sido clave para el éxito de la división a nivel mundial.

El entramado se compone de segu-ridad de las personas, las aplicaciones, los datos y la infraestructura. En IBM pensamos que es importante ver esas cuatro dimensiones ante cualquier reto que se le plantee a un departamento de seguridad. Pero la piedra angular del arranque de la división fue una capa nueva que está por encima de estas dimensiones, la seguridad inteli-

empresa


empresa entrevista

“Nuestra idea es seguir desarrollando soluciones dentro de IBM, pero también mirar en el mercado las empresas que pueden añadir valor a nuestro porfolio”

Valley de compañías y soluciones de seguridad en aquel país.

Y por último, está claro que el comercio electrónico será otro de los sectores a los que prestemos atención. Es este caso estamos actuando ya.

¿Cuáles son las principales ten-dencias de malware actualmen-te? Uno de los últimos informes del X-Force de IBM hablaba de registros de identificación perso-nales, pero hay otras amenazas…El informe de X-Force saca un diagra-ma donde se pueden ver los ataques del año, el impacto que han tenido y de qué tipo han sido. En ese informe, la tendencia que vemos es que cada vez hay más ataques. Se puede ver que la mitad son undisclosed [des-conocidos], pero la otra mitad son patrones de ataque contra vulnerabili-dades conocidos, que detectamos en IBM hace mucho tiempo y se podían haber evitado.

Hay cada vez más malware des-conocido que se prepara para una empresa en concreto. Para hacer-le frente, adquirimos la compañía Trusteer, porque aunque estén presentes las capas de inteligen-cia, ni siquiera así es suficiente. Actualmente, hace falta dar un ser-vicio prácticamente en tiempo real para proteger al cliente.

Por otro lado, estamos viendo ata-ques a las aplicaciones móviles, que son vulnerables porque quienes las desarrollan no están pensando en la seguridad. Antes sufrían más ata-ques los sistemas operativos, pero ahora se dirigen sobre todo a las apli-caciones. Como cada vez hay más aplicaciones y usuarios que acceden a ellas, mucha gente malintenciona-da se ha movido hacia ese terreno.

En cuanto al tipo de ataque, ya no vemos que se utilice un único patrón. Ahora, por ejemplo, vemos un ata-que de denegación de servicio y, una

Lo tercero es que permite la auto-matización, porque el departamento de seguridad no es ajeno a todo lo que sucede fuera. Tener sistemas de seguridad inteligente de prime-ra generación reduce el número de eventos que suceden en la compa-ñía. Como cada vez se generan más datos, hay empresas que registran hasta mil eventos diarios. Controlar eso es inviable, hay que reducir el número de eventos a lo mínimo, a los más importantes.

La división que dirige se con-formó a través de la compra de varias compañías, entre ellas Trusteer. ¿Va a continuar IBM con esa política de adquisiciones en los próximos años?No hay nada que indique que vayamos a hacer las cosas de distinta manera. La idea es seguir desarrollando solu-ciones dentro de IBM, pero también mirar en el mercado las empresas que pueden añadir valor a nuestro porfo-lio. Como la seguridad es un sector que cambia continuamente, lo lógico es pensar que seguiremos haciendo exactamente lo mismo.

¿Qué tipo de soluciones está desarrollando IBM en este momento y a qué segmento del mercado están dirigidas?La banca será uno de los sectores a los que vayan dirigidas, ya que era uno de los caballos de batalla de Trusteer. Mi opinión es que, teniendo en cuenta que la seguridad se está sectorizando porque hay grupos que atacan no ya sólo a sectores sino a empresas concretas, veremos soluciones más específicas.

También es muy probable que haya soluciones para defensa, teniendo en cuenta que vamos a trabajar con el Ministerio de Defensa israelí. El año pasado fuimos la primera empresa en invertir en la creación de un Silicon

avisamos al banco de que el usuario tiene el dispositivo infectado y, como servicio de valor, permitimos que el cliente se descargue un antimalware que limpie el dispositivo. Pensamos aplicar este modelo también al comer-cio electrónico.

Con esta capa de protección ante el fraude avanzado hemos conseguido una mejor integración entre las distin-tas dimensiones que comentaba. Con ello, nuestro departamento de X-Force ha visto incrementado su potencial de actuación, porque recordemos que Trusteer posee más de 200 investiga-dores dedicados a ello.

¿En qué consiste el concepto de "seguridad inteligente" que mencio-na y cómo ayuda a las empresas?La forma tradicional de ver la seguri-dad consistía en detectar una vulne-rabilidad y comprar una solución para protegerse de ella. Pero esto ya no es viable. Ahora hay oportunidades de negocio que abren ventanas hacia afuera, como por ejemplo las redes sociales, por lo que el departamento de seguridad necesita entender lo que está haciendo la empresa.

La seguridad inteligente sirve para tener visibilidad. Cuando un director de seguridad ve que otras empresas están siendo atacadas, se pregun-tará si eso mismo le puede pasar a su compañía. Pero si no tiene una herramienta que le permita com-probar si existe dicha vulnerabilidad, tiene un problema. Es necesario que pueda saber rápidamente si su negocio está protegido o no. La capa inteligente es el gestor de seguridad que le permitirá despejar esa duda.

En segundo lugar, esa visibilidad permite tener el control e inclu-so conocer qué puede hacer un malware si entra en el sistema, cuá-les son los puntos de entrada y las vulnerabilidades.


empresaentrevista

Emmanuel Roeseler lleva al frente de la División de Sistemas y Tecnología de Seguridad de IBM desde enero de 2012.

son la materia prima del siglo XXI, por lo que es una oportunidad para todos.

Pero hay otra faceta que es: si se están generando cada vez más datos y entre ellos los hay de carác-ter sensible, hay cada vez más datos que proteger. Cualquier director de seguridad tiene que pararse a pen-sar cuáles son sus datos sensibles y dónde están. Porque si antes era relativamente fácil conocer dónde estaban los datos sensibles y pro-tegerlos, porque estaban en un sitio aislados, ahora hay que dife-renciar entre datos estructurados y no estructurados. Los primeros son los que se pueden aislar fácilmente, pero los no estructurados son los que están en llamadas telefónicas, correos, etcétera. Hay que saber protegerlos.

Hemos de tener en cuenta que hay personas que cometen errores de forma no voluntaria. Además de educar, es importante tener otros mecanismos para proteger los datos. Lo que más hay que mirar con cui-dado son los individuos, que pueden estar generando o compartiendo esa información. Hay que ver cómo, sin impedir el negocio, proteger a la empresa.

¿Cómo cree que ha afectado la crisis económica a la seguridad? ¿La reducción de las inversiones ha supuesto que las empresas estén hoy en día menos protegi-das?Hay empresas que para nada han invertido menos, de hecho han inverti-do más. La reacción humana indica que si has sufrido un ataque y sabes lo grave que puede llega a ser, no te la puedes jugar. Aunque algunas empre-sas se la estarán jugando, yo aprecio se está invirtiendo en el área de segu-ridad. Eso sí, ahora hay que hacer más con menos; es decir, ser más eficientes.

Hay que tener en cuenta que exis-ten varios tipos de cloud. Si nos referimos a empresas que tienen una parte virtualizada de su infraestruc-tura o de sus aplicaciones, tenemos soluciones para todos los gustos. Las compañías que se benefician del cloud quieren que sus usuarios pue-dan acceder de manera transparente a aplicaciones dentro de la compañía y a otras que están fuera. Para ellas, está la capa de gestión de control de usuarios y accesos, que permite al usuario entrar en las aplicaciones y a la empresa conocer a cuáles está accediendo y desde dónde. De esa manera puede llevar un mayor o menor control del acceso de esa persona.

Y el Big Data, ¿qué presenta más para las corporaciones, oportuni-dades o desafíos?Ginni Rometty [presidenta de IBM] ya dijo que el 80 por ciento de los datos que tenemos hoy se han generado en los últimos dos años. Yo veo el Big Data como una opor-tunidad por la capa inteligente de seguridad, porque lo que quiere hacer es aprovechar toda la infor-mación que se está generando de dispositivos cada vez más inteligen-tes para tomar mejores decisiones. Rometty dice además que los datos

vez que el departamento de seguri-dad pone el foco en el problema, por detrás se lanza otro ataque más sutil que es el realmente importante.

También están los ataques Watering Hole [abrevadero]. En la caza, los cazadores se sitúan cerca del agua donde paran a beber los animales. La idea es la misma. Por ejemplo, si el objetivo son los turistas que van a viajar a Turquía, los malos saben que probablemente visitarán las páginas del tiempo del país. Por ello, sitúan ahí el malware sabiendo que entrarán muchos usuarios y alguno de ellos no tendrá protegido su dispositivo.

El Cloud Computing también pre-senta muchos retos en materia de seguridad. ¿Cómo afronta IBM la protección de las empresas en este entorno? Cuando pensamos en asegurar un entorno cloud, lo primero que hay que tener en cuenta es que es un entorno virtualizado. El problema es que, cuando hay miles de máquinas virtuales dependientes de una física, si hay un problema con una de ellas no se puede aislar fácilmente. Las soluciones de seguridad de IBM per-miten aislar esas máquinas y actuar sobre ellas sin que afecte al resto de aplicaciones que están corriendo en la máquina física.

Te ayudamos a supervisar y orientar

a tus hijos en el uso de internet

www.controlparentalinternet.com

Previnmen control parental en Internet es un proyecto creado por padres con la vocación de ayudar a otros padres a supervisar y a orientar a nuestros hijos menores de edad en el uso de las nuevas tecnologías, el entorno donde ellos desarrollan gran parte de su actividad y relaciones sociales.

El centro de nuestra actividad es el control parental en internet, para ello desarrollamos un software que se descarga e instala en las plataformas donde su hijo suele acceder a internet: ordenadores personales, teléfonos móviles y tablets. Nuestro software ha recibido varios premios tecnológicos en EEUU como el de la prestigiosa revista PC Magazine.

El control parental en internet realizado a través de nuestro software graba, alerta y puede bloquear determinadas actividades en la plataforma donde se instala, realizando una labor de prevención ante determinadas situaciones de riesgo potencial para el menor como desordenes alimenticios, cyberacoso, grooming o problemas con alcohol o drogas.

previnmen.indd 1 20/02/2014 16:04:15

http://www.controlparentalinternet.com


protección de datosopinión

Evaluaciones de impacto en la protección de datos personales

José Luis Rodríguez ÁlvarezDirector de la Agencia Española de Protección de Datos

En la sociEdad dE la información global en la que vivimos, cada día se ponen en circulación nuevos productos o se ofrecen nuevos servicios que hacen un uso intensivo de los datos perso-nales. Baste señalar que, según las previsiones de la consultora IDC, en el año 2020 se habrán generado en el mundo 40.000 millones de Exabytes (un Exabyte equivale a 1018 bytes, un trillón de bytes), que en gran parte pro-vendrán de los 30.000 millones de dis-positivos conectados que, de acuerdo con las previsiones de Gartner Group, habrá para esas fechas.

El tratamiento masivo de todos estos datos genera un valor econó-mico gigantesco, pero tiene un fuerte impacto en la esfera de la vida privada de las personas. Ejemplo de ello es el análisis predictivo para caracterizar consumidores, segmentar mercados o definir hábitos de consumo, y rea-lizar análisis de riesgos financieros o luchar contra el fraude fiscal.

Por ello, aunque en modo alguno hayan de abandonarse los actuales mecanismos de supervisión y exigen-cia del cumplimiento de la norma, sí que es necesario complementar esta aproximación con la promoción de un enfoque proactivo, de un compromiso responsable, para evitar o minimizar los riesgos para la privacidad de las personas en el diseño de nuevos pro-

ductos y servicios. De esta manera, se pondrán los medios necesarios para atajarlos antes de que se materialicen.

Para llevarlo a cabo, resulta necesario que, desde los primeros momentos del desarrollo de un nuevo producto, servicio o sistema de información y a lo largo de todo su ciclo de vida, se tengan en cuenta los principios y derechos de protección de datos, y los requerimien-tos en materia de seguridad para que se incorporen los controles, protocolos y procedimientos necesarios para garan-tizar su aplicación.

Con ello se consigue no sólo una mayor eficacia en la protección de los derechos de los afectados, sino tam-bién evitar algo que, por desgracia, sucede con demasiada frecuencia: la reconvención a posteriori de la norma a la tecnología. Esto es, una vez que el producto o servicio ha sido desarrollado, o incluso implantado, se aprecia su ilegalidad, con todos los costes que ello implica, económicos y muchas veces también de reputación.

Evaluación de impactoEsta incorporación temprana de los requisitos de privacidad a un proyecto es lo que se ha venido a denomi-nar Privacidad y Seguridad desde el diseño y, para su correcta implanta-ción, las Evaluaciones de Impacto en la Protección de Datos Personales

(EIPD) son una herramienta impres-cindible que consiste, básicamente, en un ejercicio de análisis y gestión de riesgos para identificar aquéllos que pudieran existir para la privacidad y la protección de datos personales y para adoptar las medidas y controles nece-sarios para eliminarlos o, al menos, mitigarlos hasta un nivel aceptable.

Expresado en términos más técnicos, como hacen Wright y De Hert en su trabajo Privacy Impact Assessments, “una metodología para evaluar el impac-to en la privacidad de un proyecto, política, programa, servicio, producto o cualquier iniciativa que implique el tratamiento de datos personales y, tras haber consultado con todas las partes implicadas, tomar las medidas necesa-rias para evitar o minimizar los impactos negativos. Una evaluación de impacto en la privacidad es un proceso que debería comenzar en las etapas más iniciales que sea posible, cuando toda-vía hay oportunidades de influir en el resultado del proyecto”.

Las evaluaciones de impacto en la protección de datos personales son una herramienta nueva en nues-tro país, pero que lleva ya décadas utilizándose, fundamentalmente en los países de habla inglesa como Australia, Canadá, Estados Unidos, Nueva Zelanda y, más recientemen-te, en Reino Unido. En la Agencia


protección de datos opinión

Los responsables de tratamientos de datos personales han de ser capaces de demostrar su compromiso con los derechos de los ciudadanos y el cumplimiento de sus obligaciones legales

adecuadas para cumplir con las exi-gencias legales.

Por lo tanto, además del marco de referencia configurado por la guía que la Agencia pone a disposición de las distintas organizaciones públicas y privadas, siempre daremos la bien-venida a iniciativas sectoriales que, manteniendo los elementos esencia-les contenidos en ella, propongan las modulaciones o especificaciones que sean convenientes para adaptarlos a las necesidades y características de cada sector concreto.

Finalmente, les animo a todos uste-des a que hagan uso de la Guía para una Evaluación de Impacto en la Protección de Datos Personales que la AEPD les propone, adaptándola a sus necesidades e integrándola en los procesos de gestión de proyectos de su organización, con la seguridad de que su implantación contribuirá en gran medida a fomentar y extender la cultura de la protección de datos per-sonales en España.

ResultadosCuando se redacta este artículo, ha finalizado dicho proceso de consulta con un resultado que podemos consi-derar muy satisfactorio: un porcentaje superior al 90 por ciento de quienes han contestado a la encuesta consi-deran la estructura de la guía y sus apartados adecuados, un 82 por cien-to considera el lenguaje y los términos en que está redactada correctos, y un 86 por ciento cree que los crite-rios expuestos para decidir sobre la necesidad de realizar una EIPD son apropiados. Además, los comentarios que hemos recibido nos han aportado valiosas reflexiones que se están anali-zando para proceder a la redacción del documento definitivo.

En cualquier caso, la guía está concebida como un marco flexible, que proporcione un modelo estructu-rado en el que apoyarse a la hora de realizar las evaluaciones de impacto, pero que no es invariable, sino que, mientras se respeten sus aspectos fundamentales, cada organización podrá (e incluso deberá) adaptarlo a su estructura, a su cultura y a sus necesidades.

También hay que recalcar que cada vez se abre paso con más fuerza la idea de que los responsables de tra-tamientos de datos personales han de ser capaces de demostrar su compro-miso con los derechos de los ciuda-danos y el cumplimiento de sus obli-gaciones legales (accountability). Para ello, la realización de una evaluación de impacto siguiendo las directrices de la guía redactada por la AEPD, aun-que no podrá ser considerada como un criterio de exención de eventuales responsabilidades en caso de que se incurra en vulneración de la normativa de protección de datos, sí va a ser teni-da en cuenta por la Agencia como un elemento relevante a la hora de valorar si se ha adoptado la diligencia debida en la implementación de las medidas

Española de Protección de Datos (AEPD) consideramos que ya es una técnica madura y contrastada cuyo uso puede reportar grandes bene-ficios, no sólo para preservar mejor la privacidad de las personas sino también para ahorrar a las organiza-ciones costes económicos, de ima-gen y reputacionales si se produce un incidente que pudiera haber sido previsto y atajado.

Por esta razón, a pesar de que en España en estos momentos no existe ninguna obligación legal de rea-lizar evaluaciones de impacto de esta naturaleza en ningún sector o ámbi-to específico (aunque podría exis-tir en breve si se aprueba el nuevo Reglamento General de Protección de Datos de la UE en los términos en los que se está discutiendo), la Agencia ha querido proporcionar una guía para facilitar el proceso de puesta en mar-cha de las EIPD.

Esta guía puede ayudar a aque-llas organizaciones que apuesten por mejorar sus políticas de protección de datos y por identificar y mitigar los ries-gos que para la privacidad tienen sus tratamientos de datos personales, pro-porcionándoles un marco de referencia para el ejercicio de ese compromiso responsable que, a la vez, contribuya a fortalecer la protección eficaz de los derechos de las personas.

En el proceso de redacción de la Guía para una Evaluación de Impacto en la Protección de Datos Personales, la Agencia ha publicado un primer borrador y ha puesto en marcha una consulta pública sobre el texto. Con ello, ha querido contar con las contri-buciones de todas aquellas personas y organizaciones que han deseado expresar su opinión, realizar comenta-rios o formular sugerencias sobre los contenidos y estructura de la misma, en el convencimiento de que serían una valiosa aportación para conseguir un documento más útil y práctico.


novedadesnoticias

DesarrollaDo para gestionar eficazmente el crecimiento exponencial de los datos en las empresas de forma simple y transparente, Fujitsu ha iniciado la comercialización de su quinta generación Eternus CS800 Data Protection Storage Appliance. Se trata de un equipo que proporciona copia de seguridad plena en disco, a lo que añade funciones de replica-ción y software path-to-tape en todas sus versiones.Una de sus principales características es que ofrece almacenamiento desde los 4 TB hasta 360. De esta forma, las empresas pueden empezar con la configuración que mejor se adapte a sus necesidades de backup, con la posibilidad de agregar capacidad adicional en el futuro si les hiciera falta. Asimismo, integra de forma estándar una amplia protección fren-te a desastres, replicaciones bidireccionales y de 1:2 entre diferentes sistemas Eternus CS800, tanto en centros de datos como en modo cloud; mientras que las copias adicio-nales también pueden darse en cinta para los casos de recupe-ración ante desastres.

www.fujitsu.com

Fujitsu presenta su solución de 'backup' Eternus CS800 Data Protection Storage Appliance

Nuevas soluciones de protección de red de Arkoon y NetasqCon el nombre Stormshield Network Security, Arkoon y Netasq, subsidiarias de Airbus Defence y Space, han puesto en marcha una nueva generación de soluciones de protección de red. Esta línea de productos complemen-ta a la gama Stormshield Endpoint Security de pro-tección para estaciones de trabajo, incluso de amenazas desconocidas Zero day, y a la familia Stormshield Data Security de protección de datos, proporcionando segu-ridad de extremo a extremo a las organizaciones frente a las amenazas cibernéticas. Básicamente, comprende nueve appliances que cubren todo el espectro de necesi-dades de seguridad, desde la protección de los sistemas frente a amenazas internas y externas, hasta el control de uso de estaciones de trabajo.

www.arkoon-netasq.com

HP lanza un servicio para reducir riesgos de seguridad de TI

la Compañía Hp ha dado a conocer sus nuevos servi-cios de consultoría para ayu-dar a los clientes a tomar decisiones rápidas sobre los riesgos de la seguridad de la información en sus orga-nizaciones. Con el nombre HP Security Metrics Services ofrece una metodología en proceso de ser patentada y un marco de trabajo especial para demostrar más clara-mente el potencial que un incidente de seguridad puede tener en los objetivos de una organización. Para ello uti-liza los datos de seguridad de fuentes existentes en las organizaciones, así como los parámetros establecidos, para ofrecer una alerta clara de cuándo los objetivos de negocio empresariales están en riesgo. De esta forma, los usuarios pueden identificar su origen y tomar medidas oportunas para solucionarlo.

www.hp.es

realizar Copias De seguriDaD para los ordenadores (PC y Mac), dispositivos móviles (iOS y Android) y redes socia-les. Ésa es la finalidad de la aplicación Seagate Dashboard 2.0, un software que protege los archivos digitales de empresas y usuarios particulares de manera muy sencilla. De hecho, incor-pora dos opciones automáticas para realizar copias de seguridad: progra-mada o continua. A la vez, también permite guardar fotos y vídeos genera-dos por el usuario, incluso contenidos etiquetados, directa y automáticamen-te desde las redes sociales. Por últi-mo, se integra perfectamente con la aplicación Seagate Mobile Backup en dispositivos tanto iOS como Android a través de una red Wi-Fi, o usando ser-vicios como Dropbox o Google Drive.

www.seagate.com

Seagate Dashboard 2.0, seguridad automatizada para PC, Mac y móvil

Quinta generación de arquitectura de red óptica basada en SDNHuawei Ha anunCiaDo el lanzamiento de la quinta generación de arquitectu-ra de red óptica basada en SDN (Redes Definidas por Software), denominada Flex Optical Network. Incluye tuberías de resiliencia ultra-largas con capacidad para soportar capas ópticas y eléctricas flexibles; sinergia transversal de capas IP y ópticas, gestión de grupos NE intersectoriales y sinergia para redes wavelength-OTN-Ethernet basada en NE; y aperturas habilitadas para redes SDN.

www.huawei.com/es


noticias novedades

Por Primera vez en euroPa una entidad bancaria, en este caso CaixaBank, ha lanzado una pulsera Visa para realizar compras sin contacto en los comercios adaptados a esta nueva forma de pago. De esta forma, sus clientes podrán llevar la tarjeta en la muñeca y realizar pagos más cómodamente en más de 300.000 comercios en España. La pulsera, con cierre ajustable, materiales antialérgicos y resistente al agua y a la hume-dad, lleva en su interior un microtag con la información encriptada de la tarjeta del cliente, protegida con las mismas garantías de seguridad que las tarjetas habituales (sistema EMV). Este chip permite conectar la pulsera con los datáfonos y realizar transacciones como si fuera una tarjeta contactless normal.

www.caixabank.com

Panda anuncia GateDefender eSeries 5.5

CaixaBank lanza una pulsera Visa que permite realizar compras acercando la muñeca al datáfono

Trend micro ha oPTimizado su solución Worry-Free Business Security con el lanzamiento de la versión 9.0, especialmente diseñada para ofre-cer protección completa del usuario a la pequeña y mediana empresa, incluidos sus dispositivos móviles. En palabras de Eric Skinner, vicepresi-dente de Marketing de Soluciones de la empresa, "Worry-Free Business Security proporciona un enfoque completo de la seguridad, ya sea en entornos de oficina o sobre la marcha”, explica. Entre las principales novedades que incorpora esta nueva versión, se encuentran la mejora de sus políticas de seguridad, incluyendo capaci-dades Remote Wipe y Devices Access Control, para eliminar de forma

segura todos los datos de los dispositivos BYOD en caso de robo o de que se pro-duzca una brecha de datos; la integración con Microsoft Exchange ActiveSync para la gestión simplificada de dispositivos móviles; y el soporte para Windows 8.1, Microsoft Exchange 2013 y plataformas Mac. Por último, destaca tambén la opti-mización del rendimiento universal, lo que disminuye el tiempo de escaneo e insta-lación de la aplicación

www.trendmicro.es

Mayor protección para pymes con Worry-Free 9.0

Panda SecuriTy mejora las funcionalidades de su gama de dispositivos de seguridad perimetral integral Panda GateDefender eSeries con el lanzamiento de la versión 5.5. Entre las novedades que pre-senta, sobresalen mejoras en el asistente de configuración, nuevas opciones de monito-rización de la red en tiem-po real y una VPN robusta y escalable de última generación que destaca por su capaci-dad de proporcionar múltiples VPNs, permisos de acceso muy granulares y una gran escalabilidad. También incluye un nuevo control de aplica-ciones capaz de reconocer y bloquear más de 170 utilida-des como Facebook, Skype, Spotify o WhatsApp para sal-vaguardar el negocio.Por otro lado, ofrece la posi-bilidad de desplegarlo en modo hardware, software o virtual, en los tres casos con conectividad flexible a tra-vés de una única y sencilla interfaz, accesible en todo momento gracias a la tecno-logía cloud. Finalmente, incluye la opción de monitorización en tiempo real de la red, mediante una intefaz intuitiva que permite generar informes personali-zados muy detallados.

www.pandasecurity.com

ya eSTá diSPonible para la nueva versión de Surveillance Station 6.3, el siste-ma de grabación de vídeo en red (NVR) de Synology destinado a potenciar la seguridad mediante la supervisión de cámaras IP. Esta edición mejo-ra la experiencia de visualización, permitiendo a los usuarios ver en directo y reproducir imágenes en hasta 64 canales a 720p al mismo tiempo en una sola pantalla. También posibilita realizar transmisiones en streaming en dispositivos móviles con un ajuste automatizado, facilitando una monitorización fácil e inteligente desde cualquier lugar. Es compatible con más de 2.700 modelos de cámaras IP.

www.synology.com

Synology presenta su nuevo 'software' de vigilancia de cámaras IP Surveillance Station 6.3

asociacionesnoticias


El pasado mes de junio, la asociación de tecnologías cloud y big data, EuroCloud España, celebró en la Escuela de Organización Industrial (EOI) de Madrid su asamblea general anual, en la que, por medio de su presidente, Pedro M. Prestel, y vicepresidente, Francisco J. González, presentaron el Proyecto EuroCloud 2014-2015. Su objetivo, en palabras del primero, es “difundir e impulsar las ventajas de la tecnología cloud a pymes y a particulares”. Este plan supone la puesta en marcha de una serie de novedades importantes. En primer lugar, se van a llevar a cabo distintos cambios internos en la asocia-ción, pasando por una restructuración de varias áreas funcionales, así como por una actualización de la imagen cor-porativa y de la página web. Otros dos ámbitos de actuación son la formación y la información. En el primer caso, en los próximos meses celebrará varios talleres prácticos sobre cloud para usuarios finales y profesionales; e impartirá cursos MooC sobre cloud en la plataforma “Actívate”, con la colabo-ración de EOI y Google.

a las empresas que lo requieran para certificarse. Nuestra intención es que la asociación sea el vehículo para acceder a la certificación, lo que le dará una garantía oficial”, explica Prestel. Por último, durante la asamblea tam-bién se celebraron distintas presenta-ciones, conferencias y mesas redon-das que trataron el futuro del cloud y la transformación del negocio en las pymes, y se entregaron los premios de la edición nacional de Eurocloud 2014.

Respecto al segundo aspecto, va a poner en marcha dos boletines informa-tivos, CloudNews y CloudBulletin, para dar a conocer las novedades de la aso-ciación y del sector a las empresas euro-peas; y organizará paneles de expertos y estudios de mercado del sector, con el fin de ofrecer datos a la comunidad de usuarios y profesionales interesada en la nube. Además, a esto se une que en septiembre comienza a trabajar la Comisión de Confianza Cloud, que promocionará la importancia de la segu-ridad en la nube a través de distintas acciones, con el fin de ofrecer confianza a las organizaciones para animarlas a que trabajen en este entorno.Finalmente, y en el ámbito más institu-cional, Eurocloud ha suscrito un conve-nio de colaboración con Red.es para la certificación de aplicaciones y solucio-nes cloud para empresas proveedoras; y está impulsando la EuroCloud Star Audit, la primera certificación europea de Soluciones Cloud Computing dirigida a empresas de servicios cloud (IaaS, Paas, SaaS y Business Process). “Queremos establecer un marco legal para asesorar

EuroCloud quiere difundir las ventajas de la tecnología 'cloud' a pymes y particulares

Las instalaciones de CaixaForum Madrid acogieron por segundo año consecutivo el Encuentro anual de profesiona-les de la seguridad cloud organizado por el Capítulo Español de Cloud Security Alliance (CSA-ES), iniciativa de ISMS Forum. Bajo el título "Adoptando y Adaptando cloud en un mundo global", medio centenar de expertos debatieron sobre las últimas novedades en materia de seguridad en el entorno cloud, y el valor de la certificación de proveedores de servicios como primer paso para alcanzar la transparen-cia y la estandarización de metodologías y controles que permitan una migración segura a la nube.

El comienzo de las intervenciones corrió a cargo de Luis Buezo, presidente de CSA-ES, quien destacó la gran adop-ción que el entorno cloud está teniendo en nuestro país y puso sobre la mesa la obligación por parte de la institución de realizar anualmente un estudio del estado del arte de esta tendencia. A continuación, tomó la palabra Daniele Catteddu, director general de CSA-EMEA, quien anunció que en Europa varios estados miem-bros ya están proponiendo esque-mas de certificación para servicios cloud, algo sobre lo que también se está avanzando en otros países como Estados Unidos, Singapur, Tailandia o China.

Durante la jornada también intervino Carles Solé, director del Spanish Cyber Security Institute, con una ponencia sobre la seguridad en cloud y el papel que deben desempe-ñar los CISO a la hora de almacenar información corporativa en la nube y elegir un proveedor para ello.

Asimismo, por parte de la Cloud Security Alliance par-ticiparon Agustín Lerma, lead assessor, que habló sobre CSA STAR y sus beneficios; Mariano Benito, coordinador del Comité Técnico Operativo, que puso sobre la mesa la importancia de las certificaciones en el entorno cloud; y Jorge Laredo, miembro del Comité Técnico Operativo, que anunció a los asistentes la disponibilidad de la traducción al español de la versión 3 del Cloud Controls Matrix (CCM) y su adap-tación al Reglamento de la Ley Orgánica de Protección de Datos (RLOPD) y al Esquema Nacional de Seguridad (ENS).

Finalmente, la jornada con-cluyó con una mesa redonda sobre experiencias prácticas en la adaptación de cloud moderada por Gianluca D'Antonio, presidente del ISMS Forum, y en la que participaron Josep Bardallo, de SVT Cloud; Carles Solé, del Instituto Español de Ciberseguridad; y Roberto Barat ta , de Novagalicia Banco.

ISMS Forum organiza el IV Encuentro Cloud Security Alliance España

Pedro M. Prestel, presidente de EuroCloud España.

Situación actual y tendenciaS delFacility Management & Services

16 octubreMadrid

Hotel Husa Princesa

c/ Princesa 40Salón Rosales

(edificio el corte inglés)

copatrocinan

Organiza

Patrocinan

Rev

ista

colabora

CONGRESO FM_PROGRAMA.indd 1 16/09/14 10:30

http://www.facilitymanagementservices.es/actualidad-1/al-d%C3%ADa/la-revista-fm-s-organiza-el-i-encuentro-de-facility-management-services/

Seguridad PrivadaCongreSo naCional

18 noviembre 2014 madrid. iFema

IIi de

organizan:

COLABORaN:

��

��

��

��

��

��

��

��

GOBIERNODE ESPAÑA

MINISTERIODEL INTERIOR

III CONGRESO NAL.indd 1 08/09/14 13:25

http://www.seguritecnia.es/eventos/agenda-del-sector/iii-congreso-nacional-de-seguridad-privada

red seguridad

Documents