red065 blq

www.redseguridad.com

Revista especializada en Seguridad de la Información Nº 65 Junio 2014 Época II

Portada Red Seguridad-065.indd 1 10/04/2014 11:53:18

http://www.redseguridad.com

http://www.gmv.es


Seguridad PrivadaCongreSo naCional

18 noviembre 2014. madrid

IIi de

organizan:

COLABORa:

��

��

��

��

��

��

��

��

GOBIERNODE ESPAÑA

MINISTERIODEL INTERIOR

III CONGRESO NAL.indd 1 21/05/14 11:35

http://www.seguritecnia.es/eventos/agenda-del-sector/iii-congreso-nacional-de-seguridad-privada

red seguridad junio 2014 3

editorial

Por el bien del sector

La Ley 5/2014, de 4 de abriL, sobre Seguridad Privada no sólo ha supuesto un avance y una actualización de la anterior Ley de 1992, en tanto en cuanto da respuesta a las nuevas necesidades de seguridad que han ido sur-giendo a lo largo de todos estos años, sino que también ofrece cobertura a ciertos aspectos relacionados con la seguridad informática. Sólo por el mero hecho de que se hable expresamente de ello, ya debe ser motivo de satisfacción para el sector de TI, de lo cual deberíamos enorgullecernos todos.

En este sentido, la seguridad informática aparece no como una actividad de la privada, sino como algo com-patible y regulable específicamente. Ya en el preámbulo se habla de la seguridad desde un punto de vista integral, porque tan importante es protegerse de las amena-zas proponiendo medidas de seguridad físicas como hacerlo en el ciberespacio. Y así también figura en el artículo 6.6, que habla sobre las actividades compatibles, y donde se define qué entiende el legislador por seguri-dad informática: "El conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquéllos prestan". También hace referencia a un matiz importante. Y es que, por su incidencia directa en la seguridad de las entidades públicas y privadas, "se les podrán imponer reglamentariamente requisitos específicos para garantizar la calidad de los servicios que presten". Además, por el mero hecho de prestar esos servicios, este tipo de organizaciones deben estar inscritas en unos regis-tros nacionales y autonómicos, de acuerdo también a lo que reglamentariamente se establezca.

Sin duda, son éstos dos aspectos importantes sobre los que el futuro Reglamento, que se encuentra ahora mismo en proceso de elaboración y que ampliará con más detalle el articulado de la Ley, deberá posicionarse adecuadamente y con el máximo consenso. Pero no son los únicos.

El artículo 47 sobre servicios de gestión de alarmas con-templa también el análisis y la monitorización de eventos de seguridad de la información y las comunicaciones. Esto es, en caso de producirse una alarma en esos sistemas, habrá que comunicarla al organismo competente, sin deter-minar cuál es y dejando al Reglamento se especificación.

Así las cosas, cualquier compañía que se encuentre regulada por los preceptos de esta ley podrá adoptar varios tipo de medidas de seguridad, con el fin de proteger a las personas y a los binenes materiales. Entre la lista de esas medidas se encuentra la seguridad informática, que debe salvaguardar los sistemas de información y comunicaciones y los datos en ellos contenidos.

El último artículo de la ley en la que se cita expresamente a la seguridad lógica es el 57, que corresponde al de las infracciones de las empresas que desarrollen actividades de seguridad privada. La novedad más importante en este sentido es que para ellas ya no sólo contempla sancio-nes económicas, que también las hay y pueden alcanzar los 600.000 euros; sino también otras como el cierre o suspensión de la actividad por tiempo determinado. Asimismo, la ley no establece esos dos tipos de sanciones como una disyuntiva y pueden ser acumulativas. Por tanto, el efecto disuasorio para los malos operadores es mucho más importante. Y bajo esa consideración son tratadas las compañías de seguridad informática que no comuniquen las incidencias relativas al sistema de cuya protección sean responsables cuando sea preceptivo.

Puesto que la ley no va más allá, deja la puerta abierta a que sea el futuro Reglamento quien determine cuál debe ser ese órgano al que las empresas deben comunicar los incidentes. De la misma forma que deberá detallar cuál será el procedimiento adecuado para notificarlos.

Con tantos frentes que deja abiertos la ley con res-pecto a la seguridad informática, hemos organizado en este número una mesa redonda con la participación de varios expertos del sector de la Seguridad de la Información, que encontrará en páginas interiores, para que opinen hacia dónde creen que debería encaminarse el Reglamento. Entre todos ellos hay varios puntos coin-cidentes, como la necesidad de establecer requisitos de certificación o identificación para las empresas de seguridad privada en el ámbito de las tecnologías de la información. Sin embargo, también hay puntos de discrepencia, como cuál debe ser el órgano al que las organizaciones deberían notificar las incidencias. Algunos consideran que debería ser INTECO y otros las unidades telemáticas de los cuerpos de seguridad como la Policía y la Guardia Civil.

Queda, por tanto, todavía mucho camino por recorrer, aunque es justo afirmar que la publicación de esta ley ha supuesto un primer paso muy importante para el reconoci-miento de la seguridad lógica como parte indisoluble de la seguridad integral. Ahora, por parte del legislador, sería pertinente que contara con el mayor consenso posible de toda la industria, tanto las instituciones públicas como las privadas, para desarrollar en el Reglamento aquellos aspectos de la seguridad informática que no se han acabado de definir claramente. Y por parte de los profe-sionales, las compañías y las asociaciones de TI, es el momento de recoger el guante y intentar aportar todo lo que pueda en esa redacción. Por el bien del sector, en beneficio de todos.

sumarioeditorial

Por el bien del sector

3

PRESIDENTEArjan Sundardas MirchandaniColegio RegistRadoRes

VOCALESJosé Luis Rodríguez ÁlvarezagenCia española de pRoteCCión de datos (aepd)

José Manuel de RivaametiC

Guillermo Martínez DíazasoCiaCión de empResaRios de tiC de andaluCía (etiCom)

Fermín Montero GómezdiReCCión geneRal de eConomía, estadístiCa e innovaCión teCnológiCa de la Comunidad de madRid

Miguel Manzanasunidad de investigaCión teCnológiCa (uit) del CueRpo naCional de poliCía

Óscar de la Cruz YagüegRupo de delitos telemátiCos (gdt) de la guaRdia Civil

Joaquín González CasalasoCiaCión de ingenieRos e ingenieRos téCniCos en infoRmátiCa (ali)

Vicente Aceituno CanalasoCiaCión española paRa la seguRidad de los sistemas de infoRmaCión (issa españa)

Juan Muñozasis españa

Ignacio Gisbert GómezConfedeRaCión española de Cajas de ahoRRos (CeCa)

Miguel Rego Fernándezinstituto naCional de teCnologías de la ComuniCaCión (inteCo)

Antonio Ramos GarcíaisaCa Capítulo de madRid

Gianluca D'Antonioisms foRum spain

Vicente Aguilera Díazopen Web appliCation seCuRity pRojeCt (oWasp)

Jorge Ramió AguirreuniveRsidad politéCniCa de madRid (upm)

CONSEJEROS INDEPENDIENTESEmilio Aced FélezTomás ArroyoJavier Moreno MontónJavier PagèsOlof Sandstrom

PRESIDENTE DE HONORAlfonso Mur Bohigas

CONSEJO TÉCNICO ASESOR

STAFF

Borrmart: Presidente: Francisco Javier Borredá Martín. Presidente de Honor: José Ramón Borredá. Directora general: Ana Borredá. Adjunto a la Presidencia y a la Dirección General: Antonio Caballero Borredá. Publicidad: Marisa Laguna y Pedro Jose Pleguezuelos, Paloma Melendo. Gestión y Control: Carmen Granados. Directora de Relaciones Institucionales: Mª Victoria Gómez.Red Seguridad: Directora: Ana Borredá. Redactor Jefe: Enrique González Herrero. Colaboradores: Bernardo Valadés, David Marchal, Laura Borredá, Leticia Duque Guerrero y Jaime Sáez de la Llave. Maquetación: Macarena Fernández López y Jesús Vicente Ocaña. Fotografía: Banco de imágenes Thinkstock/GettyImages. Diseño: Escriña Diseño Gráfico.Suscripciones: Mª Isabel Melchor y Elena Sarriá. Dirección Financiera: Javier Pascual Bermejo. Redacción, Administración y Publicidad: C/ Don Ramón de la Cruz, 68. 28001 Madrid Tel.: +34 91 402 96 07 Fax: +34 91 401 88 74 www.borrmart.es www.redseguridad.com [email protected]. Fotomecánica e impresión: Reyper.

Suscripción anual: 50 euros (España), 110 euros (Europa, zona euro), 150 euros (resto países)Depósito Legal: M-46198-2002ISSN: 1695-3991

RED SEGURIDAD no se responsabiliza necesariamente de las opiniones o trabajos firmados, no autoriza la reproducción de textos e ilustraciones sin autorización escrita.Usted manifiesta conocer que los datos personales que facilite pasarán a formar parte de un fichero automatizado titularidad de BORRMART, S.A. y podrán ser objeto de tratamiento, en los términos previstos en la Ley Orgánica 15/1999, de 13 de Diciembre y normativa al respecto. Para el cumplimiento de los derechos de acceso, rectificación y cancelación previstos en dicha ley diríjase a BORRMART, S.A. C/ Don Ramón de la cruz, 68. 28001 Madrid.

Planes Estratégicos Sectoriales

Convergencia en seguridad

26

Planes Estratégicos Sectoriales de la Electricidad, Petróleo, Nuclear, Financiero y Gas

Sobre la mesa

Un primer paso hacia la regulación de la seguridad lógica

14Esteban Gándara

Comisario jefe de la Unidad Central de Seguridad Privada del Cuerpo Nacional de Policía

entrevista

entrevista

Fernando Sánchez

Director del Centro Nacional para la Protección de las Infraestructuras Criticas

20

Loïc Guézo

Evangelista de Seguridad de la Información de Trend Micro para el sur de Europa

protagonista segurtic

52Jornada internacional

ISMS Forum reune a más de 300 profesionales de seguridad de TI

actualidad

8

El caso del derecho al olvido

Francisco Javier Carbayo y Noemí Brito, miembros del Comité Operativo del Data Privacy Institute de ISMS Forum

opinión58

48

S21SEC_RED063.indd 1 05/02/2014 9:10:05

http://www.s21sec.com

ESPECIFICACIONES DE LOS TROFEOS

Los “TROFEOS DE LA SEGURIDAD TIC” serán otorgados anualmente por el Jurado, constituido por el Pleno del Consejo Técnico Asesor de Red Seguridad, previo análisis y estudio de las distintas candidaturas, a las personas o entidades -del sector público y privado- que se hagan acreedoras de ellos.

T1.- TROFEO AL PRODUCTO O SISTEMA DE SEGURIDAD TIC DEL AÑOEn vigor y comercializado (producto) e implantado y operativo (sistema) en España y/o por empresas españolas.

T2.- TROFEO AL SERVICIO DE SEGURIDAD TIC DEL AÑOImplantado y operativo, servicio prestado a terceros en España y/o por empresas españolas.

T3.- TROFEO A LA INNOVACIÓN EN SEGURIDAD TIC Producto o sistema, o servicio más innovador del año.

T4.- TROFEO A LA INVESTIGACIÓN EN SEGURIDAD TICA la persona o entidad, pública o privada, que más se haya distinguido en la actividad de investigación en materia de Seguridad TIC desarrollada en España y/o por entidades, empresas o profesionales españoles.

T5.- TROFEO A LA FORMACIÓN, CAPACITACIÓN, DIVULGACIÓN O CONCIENCIACIÓN EN SEGURIDAD TICA la persona o entidad, pública o privada, que más se haya distinguido por su aportación a la formación y/o capacitación en materia de Seguridad TIC desarrollada en España y/o por empresas o entidades españolas.

TE.- TROFEO EXTRAORDINARIO DEL JURADOA la persona, entidad o colectivo que más se haya destacado a lo largo del año por sus valores humanos, acciones meritorias o labor extraordinaria en pro del desarrollo y difusión de la cultura de la Seguridad en Tecnologías de la Información y las Comunicaciones, en el ámbito nacional o internacional.

CATEGORÍAS T1, T2 y T3Requisitos de carácter técnico: Memoria personalizada (mínimo, 3 folios). Presencia del producto o sistema o del servicio en el mercado, así como de la innovación que se haya desarrollado en el periodo de esta edición. Presentación de certificaciones de acuerdo con la normativa vigente, si existen. Presentación de homologaciones de acuerdo con la normativa vigente, si existen. Subvenciones, si las hubiere. Disponibilidad, garantizada por el candidato, del producto o sistema, o del servicio, la innovación o la in-vestigación, para la realización de pruebas o ensayos, en caso de que lo considerase pertinente la Comisión que estudie la propuesta.

Los posibles gastos derivados de análisis, ensayos, contrastes, etc. que requiera la respectiva Comisión de Estudio para emitir su dic-tamen (cuyos resultados quedarán en poder del candidato al premio), así como las visitas del Jurado, serán sufragados por el candidato.

CATEGORÍAS T4 y T5Requisitos que comprenden valores humanos, en general, y profesionales, en particular: Memoria personalizada (mínimo, 3 folios) de los hechos y proyectos, y sus resultados, historiales profesionales u otros antecedentes si se creen pertinentes a efectos del mejor conocimiento de la persona o colectivo propuesto.

CERTAMEN INTERNACIONAL

“IX Trofeos de la segurIdad TIC”

Jurado

Red Seguridad, revista independiente especializada en Seguridad de la Información, manifestando su voluntad de reconocer y exaltar los méritos que concurren en las personas, fabricantes, entidades públicas y privadas, relacionadas con las distintas actividades, productos y servicios de seguridad TIC, instituye a tal f in, la novena edición de los “TROFEOS DE LA SEGURIDAD TIC”, otorgados en el marcodel Certamen Internacional de este nombre, el cual se desarrollará con arreglo a las siguientes Bases, que se consideran aceptadas por cuantos intervengan en su actividad

PresidenteArjAn SundArdAS mirchAndAniColegio Registradores

VocalesjOSÉ LuiS rOdrÍGuEZ ÁLVArEZAgencia Española de Protección de Datos (AEPD)

jOSÉ mAnuEL dE riVAAMETIC

GuiLLErmO mArtÍnEZ dÍAZAsociación de Empresarios de Tecnología de la Información y Comunicación de Andalucía (ETICOM)

jOAquÍn GOnZÁLEZ cASALAsociación de Ingenieros e Ingenieros Técnicos en Informática (ALI)

VicEntE AcEitunO cAnALAsociación Española para la Seguridad de los Sistemas de Información (ISSA España)

juAn muñOZASIS España

iGnAciO GiSbErt GómEZConfederación Española de Cajas de Ahorros (CECA)

fErmÍn mOntErO GómEZDirección General de Economía, Estadística e Innovación Tecnológica de la Comunidad de Madrid

miGuEL mAnZAnASUnidad de Investigación Tecnológica (UIT) del Cuerpo Nacional de Policía

óScAr dE LA cruZ yAGüEGrupo de Delitos Telemáticos (GDT) de la Guardia Civil

miGuEL rEGO fErnÁndEZInstituto Nacional de Tecnologías de la Comunicación (Inteco)

AntOniO rAmOS GArcÍAISACA Capítulo de Madrid

GiAnLucA d’AntOniOISMS Forum Spain

VicEntE AGuiLErA dÍAZOpen Web Application Security Project (OWASP)

jOrGE rAmió AGuirrEUniversidad Politécnica de Madrid (UPM)

Consejeros independientes

EmiLiO AcEd fÉLEZ

tOmÁS ArrOyO

jAViEr mOrEnO mOntón

jAViEr pAGèS

OLOf SAndStrOm

Presidente de Honor

ALfOnSO mur bOhiGAS

http://www.borrmart.com/trofeos/trofeos-tic/

BASES DEL PROCEDIMIENTO DE CONCESIÓN

PRIMERA.- El Jurado del Certamen lo constituye el Consejo Técnico Asesor de Red Seguridad, convocado y reunido el Pleno bajo la Presidencia de su titular que, previo análisis de los dictámenes no vinculantes de las Comisiones de Estudio designadas por el mismo, decidirá la concesión de los Trofeos a la correspondiente edición anual.

El Jurado podrá declarar desiertos alguno o algunos de los Trofeos si, a su juicio, el candidato/os no reúne los méritos suficientes. Sus decisiones son inapelables.

Las propuestas para los Trofeos T4 y T5 también podrán ser formuladas por los propios Consejeros al Pleno del propio órgano, que resolverá sobre las mismas.

Las propuestas al Trofeo Extraordinario (TE) únicamente podrán ser formuladas por los propios Consejeros al Pleno del propio órgano, que resolverá sobre las mismas.

SEGUNDA.- Las Comisiones de Estudio serán nombradas por el Pleno del Consejo Técnico Asesor, que designará a los componen-tes y a su coordinador. Un componente de cada Comisión lo será por nombramiento del Presidente del Jurado. Cada Comisión estará formada, al menos, por tres consejeros y por la directora de Red Seguridad, que participará con voz, pero sin voto.

TERCERA.- Las candidaturas o propuestas para cada uno de los Trofeos que se reseñan (con excepción del TE) pueden ser formu-ladas directamente por las personas, entidades, organismos o empresas que crean reunir méritos suficientes para obtener el premio o premios que soliciten. Los miembros del Jurado podrán proponer, a su vez, sin limitación en cuanto al número, a cuantos consideren merecedores de algún galardón. En cada solicitud deberá constar la filiación completa del solicitante o proponente o, en su caso, de ambos.

CUARTA.- Las candidaturas o propuestas para cada uno de los Trofeos que se reseñan (con excepción del TE, que queda a consi-deración exclusiva del Jurado) se presentarán a la Dirección de la revista Red Seguridad, a la que deberán enviar carta de presenta-ción, el ejemplar de la documentación digitalizada, siendo obligatorio la cumplimentación del formulario que está a su disposición en nuestra página web, así como la descripción de la candidatura siguiendo la plantilla para el dossier que igualmente está en la web.

QUINTA.- El plazo de presentación de las candidaturas o propuestas (excepto las de los premios TE) será antes del próximo 30 de septiembre de 2014, que se enviarán únicamente en formato digital al siguiente correo electrónico: [email protected]. Los expedientes quedarán, con carácter confidencial, en poder de la revista y no se mantendrá correspondencia sobre los mismos.

SEXTA.- TROFEO EXTRAORDINARIO DEL JURADO (TE). Deberá ser propuesto exclusivamente por los miembros del Jurado -uno o varios miembros-, por escrito al presidente del Consejo Técnico Asesor (CTA), pudiendo unir al escrito de la propuesta cuanta docu-mentación se considere oportuna para acreditar los méritos de la candidatura.

Oportunamente, la revista publicará el fallo del Jurado y la fecha del solemne acto de entrega -en el transcurso del almuerzo o cena de gala-, en el que los premiados recibirán los “TROFEOS DE LA SEGURIDAD TIC” de Red Seguridad. Estas distinciones son de carácter honorífico y se materializarán en una artística placa que, a modo de diploma, los perpetúa.

SEXTA.- El Jurado del certamen, así como las Comisiones de Estudio designadas por el mismo, mantendrán la protección de la inti-midad y la confidencialidad de la información obtenida en el ejercicio de sus funciones.

Asimismo, deberán desempeñar sus cometidos con objetividad, la debida diligencia e independencia y rigor. Por ello, y para asegurar la objetividad e imparcialidad de su función, explícitamente se requiere al miembro del Jurado o Comité abstenerse de votar su propia labor o trabajos de la organización en que preste sus servicios.

CERTAMEN INTERNACIONAL

“IX Trofeos de la segurIdad TIC”

Editorial Borrmart • C/ Don Ramón de la Cruz, 68 28001-Madrid • Tel.: +34 91 402 96 07 • www.borrmart.com

Red Seguridad, revista independiente especializada en Seguridad de la Información, manifestando su voluntad de reconocer y exaltar los méritos que concurren en las personas, fabricantes, entidades públicas y privadas, relacionadas con las distintas actividades, productos y servicios de seguridad TIC, instituye a tal f in, la novena edición de los “TROFEOS DE LA SEGURIDAD TIC”, otorgados en el marcodel Certamen Internacional de este nombre, el cual se desarrollará con arreglo a las siguientes Bases, que se consideran aceptadas por cuantos intervengan en su actividad

http://www.borrmart.com/trofeos/trofeos-tic/

especial

ley de seguridad privadasobre la mesa

8 red seguridad junio 2014

La Ley 5/2014, de 4 de abril, establece el nuevo marco legal que regula la seguridad privada en nuestro país, y por primera vez se da cobertura a ciertos aspectos relacionados con la seguridad informática. Analizamos, en esta ocasión, cómo afecta al sector de TI esta legislación y hasta qué punto puede desarrollarse más ampliamente en el futuro Reglamento.

"Aunque me gusta lo que dice el preámbulo en el que habla de segu-ridad integral, creo que se le ha dado una cobertura parcial a ciertos aspec-tos relacionados con la seguridad informática. Faltan muchas cosas, y considero que es un pena esta opor-tunidad desperdiciada para ampliar este tema", afirma. Para Ana Borredá, directora de RED SEGURIDAD, estas menciones, sin duda, son "un éxito de todo el sector privado", que va a per-mitir "colgar sobre la ley esa percha" que es la seguridad lógica, y sobre la cual se podrá después sostener "algo que sea útil para el sector y que pinte su futuro".

RequisitosAdemás, la ley incorpora una impor-tante novedad. Y es que la seguridad de la información aparece configura-

referencias a la seguridad informática. Por ejemplo, para Jacinto Muñoz, director de Riesgos y Gobierno de Seguridad y Medio Ambientede Mapfre, "teniendo en cuenta que era un tema complejo, creo que lo que recoge la ley es una primera aproxima-ción". Lo mismo opinan tanto Pedro Pablo López, gerente de Gobierno, Riesgos, Compliance & Protección, Infraestructuras, Continuidad (GRC & PIC) de RSI, como Enrique Polanco, socio director de Global Technology 4E. Para el primero, "es un hito que la ley de seguridad privada incorpore referencias específicas y claras a la seguridad informática"; mientras que el segundo ve "un enorme acierto la inclusión de estos temas en la ley". Sin embargo, también existen algu-nas reticencias, como señala Antonio Ramos, presidente de ISACA Madrid.

Tx y Ft: David Marchal.

La nueva Ley 5/2014 incorpora varias menciones a la `seguridad informáti-ca´ (como la llama la ley) a lo largo de su articulado. Por ejemplo, en su artículo 52 se desarrollan los tipos de medidas de seguridad que se pueden establecer, entre los que se cita la seguridad informática, "cuyo objeto es la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida".

Partiendo de esta base y analizan-do el resto de artículos referidos a este ámbito, y que se exponen más adelante, hemos querido conocer la opinión de varios expertos del sector al respecto. En conjunto, todos coin-ciden en la idoneidad de incluir estas

De izquierda a derecha, Jacinto Muñoz, subdirector corporativo de Seguridad en Aplicaciones de Mapfre; Antonio Ramos, presidente de ISACA Madrid; Ana Borredá, directora de RED SEGURIDAD; Enrique Polanco, socio director de Global Technology 4E; Juan Antonio Gómez Bule, presidente del consejo asesor de S21Sec; y Pedro Pablo López, gerente de Gobierno, Riesgos, Compliance & Protección, Infraestructuras, Continuidad de RSI.

Un primer paso hacia la regulación deseable de la seguridad lógica

Desayuno patrocinado por:

especial red seguridad junio 2014 9

ley de seguridad privada sobre la mesa

da no como actividad específica de segu-ridad privada, sino como actividad compa-tible que podrá ser desarrollada tanto por empresas de seguridad como por las que no lo sean, y como tales deberán someter-se a ciertas obligaciones. La clave ahí para Pedro Pablo López, de RSI, está en "el tipo de servicios que realizan esas organizacio-nes". De hecho, considera que para ello han de estar homologadas, certificadas y sometidas a registro.

Pero, ¿cuáles son los requisitos que se les deben exigir a estas compañías en cuanto a las medidas de seguridad infor-mática que deben dar para garantizar la calidad del servicio? En ese sentido, cada experto tiene su opinión. A Antonio Ramos, de ISACA, le genera inquietud el desarrollo del artículo 52, en tanto en cuanto una empresa, al recoger esas medidas de seguridad informática, pasa a ser sujeto de la ley y tener un tipo de control. "Hay que calibrar bien lo que se hace, porque se puede crear un maremágnum difícil de controlar por el volumen de actividad que se puede generar". Es más, el directivo considera que hay que andar con cuidado para ver cómo se define eso en el futuro Reglamento que ampliará la ley y que está ahora en tramitación.

Por su parte, Enrique Polanco, de Global Technology 4E, apuesta por establecer

Antonio RamosPresidente de ISACA Madrid

"Aunque me gusta lo que dice la Ley, creo que se ha dado una cobertura parcial a ciertos aspectos relacionados con la seguridad informática"

Aunque en poco se pArece la actual ISACA (Information System Audit and Control Association) a la entidad que nació en 1969, lo cierto es que sus objetivos siguen siendo los mismos: dotar a sus asociados de fuentes centralizadas de información y guías de referencia en el ámbito de la auditoría a los controles de los sistemas de tecnologías de la información. Desde entonces la asocia-ción ha evolucionado mucho. Hoy en día se encuentra organizada en más de 200 capítulos presentes en 80 países, los cuales brindan a sus miembros educación, recursos compartidos, asesoría, red de contac-tos profesionales y una amplia gama de beneficios locales adicionales. En total, integra a más de 115.000 miembros en todo el mundo, que cubren una gran variedad de puestos profesionales relacionados con las TI, como auditores de Seguridad de la Información, consultores, reguladores o directores de Tecnología, en sectores tan diversos como finanzas, banca, administración pública, servicios o manufactura. Concretamente, en España se desarrollan tres capítulos: Barcelona, que es el más antiguo, Madrid y Valencia. En total, engloba a más de 1.500 profesionales asociados.

CertificacionesPara todos ellos, ISACA otorga cuatro tipos de certificaciones muy conocidas y solicitadas. La primera es la Certified Information Systems Auditor (CISA) o “Auditor Certificado de Sistemas de Información”. Es reconocida mundialmente como símbolo de excelencia para aquellos profesionales que controlan, monitorizan y evalúan los sistemas de tecnología informática y de negocio de una organización. Desde su creación se ha otorgado a más de 109.000 profesionales en todo el mundo.

La segunda es la denominada Certified Information Security Manager (CSIM) o “Gerente Certificado de Seguridad de la Información”. Básicamente, está enfocada para aquellos profesionales que diseñan, construyen y gestionan programas de seguridad de información de empresas. Además, es el principal diploma para responsables de la seguridad de la información, que ya han obtenido más de 25.000 profesionales en el mundo.

La tercera se la conoce como Certified in the Governance of Enterprise IT (CGEIT) o “Certificado en Gobierno de TI de la Empresa”. Lo que permite es promover el avance de profesionales que desean ser reconocidos por su experiencia y conocimiento relacionados con el Gobierno de las TI. La han conseguido más de 6.000 profesionales en el mundo.

La última certificación que otorga ISACA es la Certified in Risk and Information Systems Control (CRISC) o “Certificado en Riesgos y Controles de los Sistemas de Información”. Ha sido desarrollada para profesionales de TI que identifican y gestionan los riesgos a través del desarrollo, implementación y mantenimiento de controles de seguridad de la información, y ha sido obtenida por más de 17.000 profesionales en el mundo.

Por supuesto, para conseguir cada una de estas certificaciones es necesario cumplir otros requisitos como completar con éxito el examen, tener experiencia previa, suscribir el Código Ético Profesional y el programa de educación continua, y cumplir los respectivos estándares.

ISACA certifica a los mejores profesionales en seguridad de TI


especial



"una serie de certificados para los procesos que se vayan a prestar a los clientes". Es una opinión que, en gene-ral, comparten todos los invitados.

"Las empresas deben aportar garan-tías para quién las contrata, típica-mente en términos de certificaciones", asegura Jacinto Muñoz, de Mapfre. Incluso, el directivo va a más a allá. "Cuando quieres hacer negocios con alguien en ciertos sectores, lo que miras es el rating que tiene. Por lo tanto, estaría bien una valoración de ese tipo para quien presta servicios de seguridad".

Ahora bien, en este punto, Antonio Ramos, de ISACA, puntualiza que es importante diferenciar los destinatarios de los servicios, puesto que no es lo mismo los operadores críticos que el resto, ya que éstos necesitan un míni-mo de calidad.

El debate giró en ese momento en torno al Reglamento que se ha de desarrollar a partir de la Ley de Seguridad Privada y la inclusión en él de nuevas referencias a la seguridad

lógica. El problema para los asistentes es que consideran que el Reglamento solamente va a desarrollar aquéllos párrafos en los que se haga mención a la seguridad informática, no más. "Por tanto, se vuelven a separar los asuntos de la seguridad lógica de los de la física y no se considera como un todo", afirma Enrique Polanco, de Global Technology 4E. A pesar de ello, Pedro Pablo López, de RSI, ve con bueno ojos la posibilidad que ofrece el Reglamento de incluir alguna refe-rencia a la seguridad informática. "La oportunidad está ahí, el regulador ha dejado la puerta abierta, y eso hay que aprovecharlo", comenta. Eso sí, Juan Antonio Gómez Bule, presidente del consejo asesor de S21Sec, opina que se debe estipular "una estructura de trabajo que sea fácil", porque si quien lo redacta se va a una de máximos, "nadie lo va a entender".

Y en ese afán de simplificar, en lugar de solicitar certificaciones a las empresas, establece Antonio Ramos, de ISACA, se podrían pedir auditorías. "Imaginemos que soy una empresa y no quiero certificarme. En cambio, tengo un auditor interno que me hace una audtoría, ¿por qué no va a valer?", se pregunta el directivo, y pone como símil la ley orgánica de protección de datos, "que desarrolló un sector que hace veinte años no existía". Lo mismo debería suceder en esta ocasión, por-que "si somos capaces de vislumbrar un escenario ideal, habrá que ir hacia él", comenta. De hecho, el directivo hace una propuesta de requisitos exi-gibles a las empresas y que se podrían recoger en el Reglamento: "Que esté legalmente constituida en la Unión Europea, que no haya sido condenada por insolvencia, que tenga un seguro de responsabilidad civil, aval y cau-ción; si se es fabricante de tecnología o software de seguridad, que cuente con un servicio de publicación de par-ches de seguridad en menos de una semana desde la publicación de una nueva vulnerabilidad…". Sin embar-go, otros ponentes dudan de que el Reglamento pueda enfocarse en ese sentido. "Han de incluir medidas apro-bables", afirma Enrique Polanco, de Global Technology 4E.

Posteriormente, Juan Antonio Gómez Bule, de S21Sec, plantea el problema en términos de que si esos requisitos van por el lado de la inves-tigación, se produciría una barrera de

entrada, "porque puede favorecer a las empresas que mayor cantidad de dinero son capaces de invertir en ello". Eso sí, a lo largo del debate sobre qué poner en el Reglamento, queda claro por parte de todos que no es posible salirse del índice que marca la ley de seguridad privada. De hecho, el directivo de S21Sec opina que la legislación española es tan restrictiva "que nos pone en inferioridad con res-pecto a otros modelos que hay fuera". Es lo que está pasando en Europa, "que está siendo raptada por su legis-

Enrique PolancoSocio director de Global Technology 4E

"En el mundo físico una intrusión es cuando alguien salta la valla y pone el pie dentro, pero en el ámbito lógico no resulta tan claro"

Jacinto MuñozDirector de Riesgos y Gobierno de Seguridad y Medio Ambiente de Mapfre

"Las empresas que ofrez-can seguridad lógica deberían aportar una serie de garantías, que podrían ser en términos de cer-tificaciones tanto a nivel de empresa como de sus profesionales"

lación", mientras los americanos, los chinos o lo japoneses no tienen esos problemas, "lo que está provocando una desventaja competitiva", argu-menta el directivo.

Salvando eso, para Antonio Ramos, de ISACA, bastaría con coger los mismos requisitos que ya tienen las empresas de seguridad privada, y aplicarlos a los de seguridad lógica. "Yo creo que sólo faltaría ahondar en las capacidades técnicas y humanas que deberían implantar", añade.

Régimen sancionador


proton OK.indd 1 14/05/2014 9:03:50

http://www.linkedin.com/company/prot-on

especial12 red seguridad junio 2014


En este punto el debate derivó en las sanciones que recoge en su articularo la Ley de Seguridad Privada y que se establecen en torno a los 600.000 euros para las infracciones muy gra-ves para aquellas empresas que no comuniquen las incidencias relativas al sistema de cuya protección sean res-posables cuando sea preceptivo. Sin embargo, para los invitados el verda-dero inconveniente radica en determi-nar cuál es la entidad a la que hay que comunicar esos incidentes y cómo se debe proceder en esos casos. Pedro Pablo López, de RSI, lo ejemplifica de la siguiente forma: "Al igual que en el mundo físico, cuando hay un incidente, llamamos al 112, que es quien se encarga de coordinar a todos los efectivos de los Cuerpos y Fuerzas de Seguridad del Estado y Protección Civil; en el ámbito cibernético hay un organismo similar que debería des-empeñar esa misma función, que es INTECO, que ejerce como centro de apoyo y soporte con el Ministerio del Interior o el de Industria".

Sin embargo, no todos los partici-pantes opinan igual. Antonio Ramos, de ISACA, cree que deberían ser "los grupos de delitos telemáticos de la Policía y la Guardia Civil". De igual opi-

nión se muestra José Antonio López, de S21Sec. Y es que, para este direc-tivo, y con la legislación vigente en la mano, "INTECO no puede suplantar las acciones de la Policía y la Guardia Civil". De hecho, prosigue, "ambos están poniendo en marcha dos inicia-tivas para desarrollar sus ciberconsul-tas", asegura. Claro que eso también, a juicio de Antonio Ramos, de ISACA, tiene un problema. Si bien en el mundo físico se puede acudir a una autoridad u otra en función de la localización

geofráfica donde se haya producido el incidente, en el ciberespacio eso es relativo. "¿A quién acudimos, a una, a otra, o se han de fusionar las dos?", se pregunta. Y además, se cuestio-na también: "En esos casos, ¿para qué entonces estamos notificando los incidentes a INTECO? Porque si se trata de cumplimentar una estadística, a lo mejor no interesa sólo notificar eso, sino también los cuasi incidentes, pues aportarían mucha más informa-ción", opina.

Un momento durante el desarrollo de la mesa redonda organizada por RED SEGURIDAD, en colaboración con ISACA, para debatir sobre la nueva Ley de Seguridad Privada.

Art. 6. Actividades compatibles6. A las empresas, sean o no de seguridad privada, que se dediquen a las actividades de seguridad infor-mática, entendida como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, dis-ponibilidad e integridad de la misma o del servicio que aquéllos pres-tan, por su incidencia directa en la seguridad de las entidades públicas y privadas, se les podrán imponer reglamentariamente requisitos espe-cíficos para garantizar la calidad de los servicios que presten.

Art. 11. Registro Nacional de Seguridad Privada y registros autonómicos 4. En los mencionados registros, nacional y autonómicos, se anotarán también los datos de las empresas que realicen actividades de seguri-dad informática, de acuerdo con lo

que reglamentariamente se deter-mine.

Art. 47. Servicios de gestión de alarmas3. Cuando los servicios se refirieran al análisis y monitorización de even-tos de seguridad de la información y las comunicaciones, estarán sujetos a las especificaciones que regla-mentariamente se determinen. Las señales de alarma referidas a estos eventos deberán ser puestas, cuan-do corresponda, en conocimiento del órgano competente, por el pro-pio usuario o por la empresa con la que haya contratado la seguridad.

Art. 52. Tipos de medidas1. A los exclusivos efectos de esta ley, se podrán adoptar los siguientes tipos de medidas de seguridad, des-tinadas a la protección de personas y bienes: c) De seguridad informática, cuyo

objeto es la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida.

Art. 57. Infracciones de las empre-sas que desarrollen actividades de seguridad privada, de sus representantes legales, de los despachos de detectives priva-dos y de las centrales de alarma de uso propioLas empresas que desarrollen acti-vidades de seguridad privada, sus representantes legales, los despa-chos de detectives privados y las centrales de alarma de uso pro-pio, podrán incurrir en las siguientes infracciones: r) La falta de comunicación por parte de empresas de seguridad informá-tica de las incidencias relativas al sistema de cuya protección sean responsables cuando sea preceptivo.

Los artículos de la ley que atañen a la seguridad de la información


especial red seguridad junio 2014 13

ley de seguridad privada sobre la mesa

Juan Antonio GómezS21Sec

"Con la legislación vigen-te en la mano, INTECO no puede suplantar las acciones de la Policía y la Guardia Civil a la hora de recibir notificaciones sobre incidentes de seguridad"

Pedro Pablo LópezGerente GRC & PIC de RSI

"Es un hito en nuestro país que la Ley 5/2014 de Seguridad Privada incor-pore referencias específi-cas y claras a la seguridad informática"

Otro de los aspectos que también se pusieron sobre la mesa a colación de este tema es qué se quiere decir exactamente con intrusión. "En el mundo físico intrusión es cuando alguien salta la valla y pone el pie dentro, pero en el ámbito lógico no resulta tan claro cuándo se la puede calificar de intrusión", puntualiza Enrique Polanco, de Global Technology 4E. Por eso, el propio directivo plantea la nece-sidad de intentar que aparezca alguna referencia a esto en el desarrollo del futuro Reglamento que ampliará las considera-ciones de la ley. Por ejemplo, expone, "en una Central Receptora de Alarmas (CRA), en las que está regulado que tenga al menos dos vigilantes de seguridad privada por turno, sería recomendable que uno de ellos tuviera conocimientos de seguridad lógica y pudiese atender, y elevar en su caso, las alarmas al respecto que se pro-dujesen. Además, siempre sería posible contar en las CRA "convergentes" con un puesto que fuera servido por personal de TI o Sistemas", afirma.

FormaciónEl último tema que se abordó en la mesa redonda fue el de la ampliación a grado de la formación del director de seguri-dad, un aspecto que también generó mucha controversia entre los asistentes. Y es que esta exigencia de cualificación que establece la ley se solapa con la existencia del actual curso homologa-do de gestión de seguridad de dos años de duración. En palabras de Ana Borredá, directora de RED SEGURIDAD, "de momento, se mantienen ambas titu-laciones, pero lo lógico es pensar que el curso se aproxime al grado, porque si no es así, este último no tendría ningún sentido. ¿Quién querría hacer un grado de cuatro años teniendo un curso homo-logado de dos?". Por eso, considera que el futuro Reglamento podría proponer que el curso se convirtiera directamente en un posgrado. Es una opción con la que también coincide Jacinto Muñoz, de Mapfre: "Una aproximación adecuada para poner en valor el grado sería desa-rrollar el curso de gestión de seguridad, en la línea de aproximarlo a un master".

Para Enrique Polanco, de Global Technology 4E, el problema de esto es que la duración actual del curso es de unas 400 horas, un número que ni de lejos se puede acercar al del grado. Por tanto, su propuesta es que, dando por sentado que la intención de los legisladores es dejarlo en vigor, "incrementar el número de horas, añadiendo especialmente for-

mación en seguridad lógica" para llenar el vacío actual existente en ese sentido.

Por su parte, Antonio Ramos, de ISACA, ve interesante que el Reglamento establezca "los contenidos mínimos que debería tener el curso de gestión de seguridad". Y es que, para el directivo, siempre que el alumno tenga un punto de partida razonable, como unos estudios universitarios, esas 400 horas de formación son suficientes.

En este momento, se pone sobre la mesa otra de las dificultades que entraña todo esto. Y es que, en tanto en cuanto la Ley de Seguridad Privada establece la necesidad de tener una certificación oficial de grado, las com-petencias para desarrollar esos conte-nidos ya no corresponden al Ministerio de Industria, sino al de Educación.

Al respecto, Pedro Pablo López, de RSI, expone lo que, a su juicio, puede ser una solución razonablemente válida, partiendo de la base de que existen tres tipos de destinatarios objetivos de estos cursos. "Los primeros son los que tienen experien-cia porque han ejercido como directores de seguridad durante muchos años, pero no tienen un título, puesto que lo que han hecho ha sido ir ascendiendo. Para ellos, con un examen homologado sería suficiente", opina. Otro colectivo sería quie-

nes, sin ningún tipo de experiencia previa, realizan y acaban el curso de gestión de seguridad de 400 horas. "En ese caso, no se les debería conceder el título para ejer-cer hasta que no tengan una determinada experiencia. Es como un piloto de vuelo", compara. Por último, el tercer tipo sería quien cursara el grado correspondiente de cuatro años, y en el que se conjugarían la parte teórica con las prácticas.

Pero no todos los asistentes están muy conformes con este planteamiento. Según Jacinto Muñoz, de Mapfre, nadie que acabe el grado de gestión en seguri-dad va a tener un puesto de trabajo como director de seguridad. "Típicamente, accederá al puesto de trabajo como experto en seguridad y después será Director de Seguridad a través de la experiencia. Aquí el término Director nos juega una mala pasada", apunta.

Es algo con lo que coincide Antonio Ramos, de ISACA Madrid, pero, mati-za, "el que tengas el título no significa que hayas de ejercer como tal. Lo que te ofrece el grado es precisamente la posibilidad de hacerlo. Simplemente habría una tercera entidad que acredi-taría que tú tienes esos conocimientos y esa experiencia".



Desde su punto de vista, ¿cuáles son las novedades más importan-tes que introduce la Ley 5/2014?La primera es que profesionaliza la seguridad privada, tanto desde el punto de vista de los prestadores de servicios como de los propios usua-rios. Esa profesionalización se ve en novedades tan importantes como los requisitos y certificaciones que se piden para las empresas. En cuanto a los usuarios, aparte de definir qué son, hará que algunos sean sujetos obligados. Esto último tendrá que concretarse en el Reglamento, pero habrá un espectro más amplio de este tipo de usuarios que ahora.

Todo ello acaba con la coordina-ción, que es la piedra angular. Esto es muy importante porque esa pro-fesionalización se va a incardinar en la seguridad pública, de manera que todos los ciudadanos se beneficiarán del potencial de la seguridad privada. Además, la ley le da un mandato a

¿Cuál es el principal valor que aporta la nueva Ley de Seguridad Privada al Sector?El primero es que, más allá de un modelo de seguridad privada, con-figura un modelo de seguridad del que forma parte. Ese modelo se completará con otros textos legales o estratégicos que ya existen o que vendrán posteriormente, como son la Estrategia de Seguridad Nacional, la Estrategia de Ciberseguridad Nacional, el Proyecto de Ley Orgánica de Seguridad Ciudadana o el Proyecto de reforma del Código Penal. Dentro de ese modelo gene-ral de seguridad en España, hay un submodelo de seguridad privada que se recoge en una ley; algo que también es muy importante, porque aporta un grado de seguridad jurídica enorme.

Tx: Ana Borredá y Enrique González

“El Reglamento tiene que decir en qué casos se pueden imponer a los sujetos obligados medidas de seguridad informática"

La nueva Ley de

Seguridad Privada,

de 4 de abril, incluye

como novedad algunos

preceptos relacionados

con la 'seguridad

informática'. Se trata de

una de las principales

innovaciones del texto

que podrá obligar a

determinados usuarios

a contar con medidas

de protección TIC,

y además incluye

aspectos tan novedosos

como las ciberalarmas.

El comisario jefe de

la UCSP del Cuerpo

Nacional de Policía,

Esteban Gándara,

explica algunos de los

cambios al respecto.

Comisario jefe de la Unidad Central de Seguridad Privada

del Cuerpo Nacional de Policía

Esteban Gándara Trueba

Ley 5/2014entrevista


Esteban Gándara, comisario jefe de la UCSP del Cuerpo Nacional

de Policía, con Ana Borredá, directora de RED SEGURIDAD

comunicarse al organismo competen-te, y está aún por ver qué órgano será.

¿Qué plazos manejan para que esté listo definitivamente el nuevo Reglamento de Seguridad Privada?En este caso tengo que hablar más bien de deseos. Lo que nos gus-taría es que en 2014 tuviésemos Reglamento. Tal vez no sea en exce-so realista, pero sí es posible. Cuanta más elaboración, participación y mejora técnica tenga el documento, más dilación en el tiempo habrá. Tendremos que tratar de encontrar un equilibrio entre la participación en cualquiera de sus formas y cumplir el objetivo de máximos, que sería tener el Reglamento este año.

Tenemos mucho avanzado porque la ley nos ha marcado el terreno de juego, a lo que se suma que ya existe un Reglamento. Igualmente, tenemos unas órdenes ministeriales y muchos de sus artículos son de perfecta asunción por el Reglamento.

Por tanto, si trabajamos rápido, con objetivos concretos y no especula-mos, dispondremos de una cierta agilidad para tener un borrador antes del verano. Si lo tenemos para enton-ces, habría más posibilidades de tener un Reglamento a finales de año. De lo contrario, va a ser complicado.

lo han demostrado. No vamos a cometer el error de restringir la parti-cipación del sector. Lo que sí me gus-taría es que el sector fuera conscien-te de que cuanto más de acuerdo se ponga y más concrete será mucho más eficaz. El marco general ya está en la ley, por lo que el Reglamento tiene que hacer concreciones. Quien pretenda modificar el marco de la ley a través del Reglamento verá frustra-das sus expectativas.

¿Es previsible que la seguridad informática se aborde de manera más amplia en el Reglamento? Habrá que recoger las condicio-nes y requisitos que deben reunir las empresas que se dedican a la seguridad informática para poder ins-cribirse en el Registro Nacional de Seguridad Privada. Esos requisitos vendrán dados con pretensión de calidad y seguridad.

El Reglamento también tiene que decir en qué casos y qué medidas de seguridad informática se pueden imponer a los sujetos obligados.

Por otro lado, destaca que la ley también contempla las ciberalarmas. Puedes o no tener ciberalarmas, pero si las tienes has de comunicarlas, seas o no empresa de seguridad. De lo contrario habrá una sanción. La ley dice que esas alarmas tendrán que

la seguridad pública para que apoye a la seguridad privada cuando sea necesario.

Esta ley pone, por primera vez, al ciudadano en el centro de las pre-ocupaciones de la seguridad. Es él quien tiene derecho a su seguridad, libertad y autoprotección y, como consecuencia, los demás tenemos deberes. El Estado tiene el deber de dar seguridad a todos los ciudada-nos y el hecho de que participe la seguridad privada es también con el objetivo de servir ese derecho.

La elaboración de la ley ha contado con una amplia participación de empresa, instituciones y profesio-nales del sector privado. ¿Podrá participar el sector también en el futuro desarrollo del Reglamento?Nuestra intención es que sí. Si antes decía que el Ministerio del Interior ha tenido grandes aciertos en la manera de elaborar la norma, estoy seguro de que no cambiaremos de método con el Reglamento. En ese sentido, cuanto más definidas estén las apor-taciones que haga el sector, más fáciles serán de entender y de aplicar.

¿De qué manera podrá participar el sector en la elaboración del Reglamento?Le vamos a dar al sector todas las oportunidades que quiera de partici-par. A través de la Comisión Nacional estamos en disposición de recibir cuantas aportaciones quiera hacer de manera libre. Además, tendremos que ver si será necesario o no tener reuniones bilaterales, grupos de traba-jo y demás. Lo haremos para ayudar al Ministerio del Interior a que alumbre el mejor de los reglamentos posible.

Estamos convencidos de que la participación será buena, los hechos

ley 5/2014 entrevista

"De la nueva Ley destaca que contempla las c ibera larmas. Si no se comunican habrá una sanción"

Nuevas convergencias. Resiliencia

Gas Natural. Avda. San Luis 77. Madrid 12 Junio 2014

Patrocinan

Organizan Participan

Las ponencias que se van a desarrollar en estas jornadas y que autoricen sus ponentes,estarán a su disposición en la siguiente dirección web

http://www.redseguridad.com/revistas/red/eventos/seg2_VI/seg2_2014ponencias.pdf


VI EncuEntro dE la SEgurIdad IntEgral (Seg2)

08:00 - 9:00┅ Registro y Acreditaciones

09:00 - 9:30┅ Inaguración

09:30 - 10:00┅ “¿Resi.... Que?”

guillermo llorente Ballesteros, director de Seguridad y Medio Ambiente de MAPFRE

10:00 - 10:30┅ “Resiliencia empresarial en la ciberseguridad"

Juan antonio gómez Bule, presidente del Consejo Asesor de S21sec

10:30 - 11:00┅ “el CSO del Futuro”

Juan Muñoz, CSO de ENCE. presidente de ASIS

11:00 - 11:30┅ “Ciberinteligencia aplicada”

Fernando Picatoste, socio DEloIttE

〰 11:30 - 12:00 PAuSA CAFé〰

12:00 - 12:30┅ “Seguridad Integral: La evolución de las especies "

andreu Bravo, CISO GAS NAtuRAl

12:30 - 13:00┅ "De la prevención a la anticipación”

ricardo cañizares, director de Consultoría de EulEN SEGuRIDAD

13:00 - 13:30┅ "estándares de gestión en Seguridad Integral"

José Manuel garcía diego, director de Seguridad. Presidente de ADISCAN

13:30 - 14:00┅ "CeRT de Seguridad e Industria: Ayuda a la resiliencia"

Miguel rego, director de INtECo

14:00 - 14:30┅ "el director de TI Como cliente VIP de la seguridad Integral"

david gonzález Mas, director Sistemas de Información de la AutoRIDAD PoRtuARIA DE tARRAGoNA

Enrique Polanco, consultor de Seguridad

〰 14:30 - 16:00 PAuSA CoMIDA〰

16:00 - 16:30┅ "¡Preparados para la Resiliencia Social? un reto de Cooperación Global y Multidisciplinar.

Pedro Pablo lópez, gerente GRC & PIC de RSI

16:30 - 17:00┅ "Planes estratégicos Sectoriales: Desarrollo y contenido"

José Ignacio carabias corpa, jefe de Servicio de Seguridad Física del CNPIC

17:00 - 17:30┅ "Resiliencia en entornos Críticos e Industriales”

Javier osuna garcía-Malo de Molina, jefe de la División de Seguridad y Procesos de GMv

17:30 - 18:00┅ "La 'seguridad informática' en la Ley de Seguridad Privada: hacia una ley privada de ciberseguridad”

antonio ramos, presidente de ISACA MADRID

Participa a través del siguiente hashtag: #vISeg2

Jueves, 12 de JuNIO


Xxxxxx

convergenciamonográfico

18 red seguridad junio 2014 especial

Si tienen la oportunidad de visitar el Museu de la Ciència i de la Tècnica de Catalunya (mNACTEC), podrán realizar un singular viaje en el tiem-po gracias a la interesante y muy recomendable muestra El enigma del ordenador. A través de esta expo-sición permanente, tendrán ocasión de conocer cómo han evolucionado los dispositivos relacionados con las Tecnologías de la Información y la Comunicación (TIC), desde las primi-genias computadoras civiles hasta los soportes de la denominada revolución digital que utilizamos en la actualidad (telefonía móvil de última generación, tablets, netbooks…).

A buen seguro, muchos de los lecto-res de RED SEGURIDAD recordarán su particular experiencia con tan –cada vez más– avanzados artilugios, antaño sólo al alcance de unos pocos y hoy en pleno y consolidado estadio de democratización. Era cuestión de tiempo, pero, sin duda, las TIC estaban llamadas a protagonizar una nueva era y, actualmente, no hay indi-viduo u organización que pueda desarro-llar su actividad, independientemente de cuál sea el sector al que pertenezca, sin tan valiosas y necesarias herramientas.

Un nuevo escenarioPero, con el transcurrir de los años, las TIC también han propiciado un nuevo escena-rio desde la perspectiva de la seguridad. Paralelamente a su transformación, hemos sido testigos de los riesgos que conllevan. Amenazas que, lejos de apuntar sólo a

usuarios particulares, han acabado siendo motivo de preocupación para las más altas esferas, dando lugar así a un modelo de protección que va más allá del concep-to tradicional.

Basta con repasar algunas declaracio-nes recientes de destacados directivos y/o profesionales de la seguridad, publicadas en la revista decana SEGURITECNIA, para darse cuenta del calado de la cuestión: “Es imposible asegurar una continuidad de las operaciones sin disponer de unos niveles de seguridad informática acordes con las amenazas actuales”; “La ciberse-guridad forma parte, por derecho propio, de cualquier Plan de Seguridad que pre-tenda realmente oponerse a las amenazas que nos acechan”; “En un ámbito como el portuario, la seguridad debe tratarse de forma integral”; “La combinación de medios humanos y tecnología permite

Tx: Bernardo ValadésFt: Thinkstock.

Convergencia: la uniónhace la fuerzaEl presente número coincidirá con la celebración del VI Encuentro de la Seguridad Integral (Seg2).


ORGANIzADO POR

RED SEGURIDAD y

SEGURITECNIA, EL EVENTO

VOLVERá A SER PUNTO DE

ENCUENTRO PARA qUIE-

NES, LEjOS DE PRETENDER

qUEDAR ANCLADOS EN LAS

FóRMULAS ‘TRADICIONA-

LES’, APUESTAN DECIDIDA-

MENTE POR UN MODELO

DE PROTECCIóN CONVER-

GENTE, NECESARIO, IRRE-

VERSIBLE y EN CONTINUA

EVOLUCIóN.

red seguridad junio 2014 19especial

Ana Borredá, directora de RED SEGURIDAD: “El Seg2 ya no se celebra para convencer, sino para debatir”

desarrollar soluciones altamente eficaces”; “Se debe cuantificar el impacto que tendría la inhabilitación de las TIC en una infraes-tructura para garantizar la prestación de los servicios esenciales”, etc.

Si a estos ejemplos sumamos los expuestos en el V Congreso de Directores de Seguridad, organizado por SEGURITECNIA, o la celebración de las I Jornadas de Ciberdefensa, queda de manifiesto, pues, que uno más uno es igual a dos; o, dicho de una manera más clara y concisa, que lo que se está coci-nando desde hace tiempo es gastronomía de primera: seguridad física más seguri-dad lógica es igual a seguridad integral. Una receta que no sabrá igual si el chef –representado en la figura de quien tiene poder de decisión en materia de seguri-dad– va a contracorriente y prescinde de alguno de los ingredientes básicos.

Pioneros en seguridad integralPor lo expuesto, vivimos un momento apa-sionante y crucial en lo que a la seguridad se refiere. ¿O deberíamos, mejor, referirnos a ella a partir de ahora, y para siempre, como seguridad integral? ¿Alguien duda a estas alturas de que la unión hace la fuerza, de la irreversibilidad de tal suma?

Un reputado profesional como Marc Siegel, especialista en estándares de seguridad de ASIS International y también en curiosas comparaciones al referirse a épocas pretéritas, estaría de acuerdo con nosotros en utilizar uno de los relatos del escritor californiano Jack London para describir la situación actual: ¿queda algún nostálgico y aislado buscador de oro –esto es, alguien relacionado con la seguridad– junto al río Yukón ajeno a lo que sucede en las grandes prospecciones –más fruc-tíferas, obviamente, que las tradicionales y básicas en el tema que nos atañe–?

Porque, independientemente del sec-tor, la seguridad integral ha dejado de

ser algo casi utópico, un concepto por abordar, y se ha convertido en un modelo a poner en práctica se quiera o no. Y en RED SEGURIDAD somos conscientes de ello desde hace bastante tiempo. Hemos apoyado desde el primer momento ese enfoque y contribuido a su difusión, ya que, junto a SEGURITECNIA –de nuevo, la unión hace la fuerza–, impulsamos en su día el Encuentro de la Seguridad Integral (Seg2), cuya última convocatoria congregó a cerca de 200 profesionales.

La publicación del presente número coin-cidirá con la celebración de la sexta edición de tan importante evento. A modo de aperitivo, en estas páginas les ofrecemos una serie de entrevistas, reportajes y artí-culos que, así lo esperamos, degustarán por su interés y relevancia. Y ya en la jornada, con la inestimable participación del Instituto Nacional de Tecnologías de la Comunicación (Inteco) y la Fundación Borredá, y el apoyo de Deloitte, GMV, Eulen y S21sec, podrán disfrutar de un interesante programa que contempla numerosas y variadas ponencias, desde las relativas a un término tan emergente como ‘resiliencia’ hasta el papel que desempeñan las TIC en la nueva Ley de Seguridad Privada.

Definitivamente, el Seg2 es un foro con-solidado y de referencia que, tal y como declara acertadamente Ana Borredá, directora de nuestra publicación, “ya no se celebra para convencer, sino para debatir”. Y quien no esté convencido a estas alturas del partido de la importancia de la convergencia, se asemejará a esa figura prehistórica que dibujaba Marc Siegel, a través de videoconferencia, en el citado V Congreso de Directores de Seguridad, a un ¿profesional? anclado en el pasado, ligado a fórmulas convencio-nales y, como el buscador de oro del siglo XIX, indiferente a los avances y soluciones que permiten proteger, bajo un paraguas global, desde una sede corporativa hasta una infraestructura crítica.

Respecto a estas últimas, cobran especial protagonismo en las próximas páginas a través de dos entrevistas a responsables del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) –entre ellos, Fernando Sánchez Gómez, su director– y el análisis de los cinco primeros Planes Estratégicos Sectoriales (Electricidad, Gas, Petróleo, Nuclear y Financiero), que se publican este mes de junio.

De izda. a dcha.: Ana Borredá (directora de RED SEGURIDAD), Miguel Rego (entonces

en Deloitte y actualmente director general del Inteco) y Francisco Javier Borredá

(presidente de Borrmart) durante la inauguración de la última edición del Seg2.

convergencia monográfico


Como adelantó a SeguriteCnia en el mes de abril, los cinco primeros Planes estratégicos Sectoriales para las infraestructuras críticas españo-las son ya una realidad. ¿Qué orga-nismos, operadores y demás actores de este ámbito estarán involucra-dos las pautas que desarrollan estos documentos?Para cada sector o subsector estratégi-co de que se trate, todos aquellos orga-nismos públicos competentes, funda-mentalmente los departamentos minis-teriales incluidos en la propia Ley 8/2011, sobre protección de infraestructura crí-ticas (PIC); también los operadores que gestionen o posean infraestructuras que proporcionen servicios esenciales para la comunidad; y, obviamente, el resto de actores integrantes del Sistema de Protección de Infraestructuras Críticas, encabezados por el propio CNPIC.

¿Cuál es la principal aportación que hacen estos planes al sistema de seguridad de las infraestructuras esenciales de nuestro país? De los

puntos incluidos en ellos, ¿cuáles son los fundamentales para garantizar la protección de estos servicios?La principal aportación que hacen los planes al sistema es la diagnosis del “Estado del Arte” en lo que se refiere a la identificación de las líneas maes-tras de la situación de la seguridad en nuestro país de los diferentes sectores estratégicos contemplados. Para ello, se realiza una descripción pormenorizada de todo tipo posible de actividades que se desarrollan en cada sector, teniendo en cuenta los distintos tipos de activos y las interacciones entre los mismos, así como las dependencias internas y con otros subsectores y sectores estra-tégicos, mutuas (interdependencias) o sencillas; se evalúan las amenazas y las vulnerabilidades existentes y se efectúa una serie de propuestas y recomenda-ciones para su implantación, siempre a nivel estratégico. Estos planes son el punto de partida para definir en los Planes de Seguridad del Operador qué actividades desarrolla la compañía y cuál es la estrategia de seguridad corporativa

Fernando Sánchez Gómez

Director del Centro Nacional para la Protección de las Infraestructuras Críticas

“El CNPIC será flexible en la implantación de los PSO y los PPE por parte de los operadores”

EL CNPIC APruEbA

EStE mES LOS CINCO

PrImErOS PLANES

EStrAtégICOS

SECtOrIALES,

COrrESPONdIENtES

AL SECtOr dE LA

ENErgíA –quE SE

hA dIvIdIdO EN LOS

SubSECtOrES dE

LA ELECtrICIdAd, EL

gAS y EL PEtróLEO–,

EL NuCLEAr y EL

FINANCIErO. SE INICIA

ASí uNA SEguNdA

FASE EN LA quE

LOS OPErAdOrES

tENdráN quE

AdAPtAr A EStOS

dOCumENtOS SuS

PLANES dE SEgurIdAd

dEL OPErAdOr

(PSO) y LOS PLANES

dE PrOtECCIóN

ESPECíFICOS (PPE).



que la misma adopta a fin de garantizar la provisión del servicio o de los servicios esenciales de que se trate.

¿Existen diferencias sustanciales entre unos planes y otros por las características de cada uno de los cinco sectores?Obviamente, sí. Por poner un ejem-plo, aunque en numerosos servicios de suministros hay actividades de gene-ración, transporte y distribución, no se pueden comparar las actividades de generación de energía eléctrica (hidro-eléctrica, eólica, solar, de ciclo combina-do) y de transporte y distribución de la misma (mediante tendidos y subestacio-nes) con la generación de gas (por frac-cionamiento de petróleo, por extracción directa de yacimientos, por fracking) y su transporte y distribución (por gasoducto y por una red física de distribución; o por transporte por carretera a puntos de dis-tribución, como en el caso de las botellas de butano y propano).

¿Qué papel va a jugar la colaboración entre instituciones y operadores para el buen funcionamiento de las infra-estructuras críticas?Un papel fundamental. De hecho, éste es el eje sobre el que se diseñó toda la legislación existente hoy en día sobre la protección de las infraestructuras críti-cas en España. Los operadores, como propietarios o gestores de infraestruc-turas complementarias, estratégicas o críticas para el suministro de servicios esenciales para la comunidad –siendo en España el 80 por cierto del sector privado– son obviamente la pieza clave.

Los ministerios competentes para los distintos sectores estratégicos son los encargados del desarrollo e implementa-ción de la normativa sectorial y los orga-nismos públicos que mejor conocen el desarrollo de las actividades en su ámbito de competencia. Al estar integrados en la Comisión Nacional de Protección de las Infraestructuras Críticas y en el Grupo de

Trabajo Interministerial, garantizan su ase-soramiento y dirección en todo lo relativo a sus respectivos ámbitos.

Si añadimos a este binomio al CNPIC, con el papel de coordinación y centra-lización que juega, asistido de forma importante por empresas de consultoría y auditoría (cuarto grupo de actores), estimulando la confianza mutua y dotan-do a todos los actores de un canal seguro para intercambiar información y buenas prácticas, tenemos los elementos necesarios para que estas asociaciones público-privadas tengan visos de éxito en la consecución de sus metas.

¿A qué aspectos de la seguridad se les ha dado más peso dentro de estos planes?A todos, teniendo siempre en cuenta que estamos hablando de prevención, protec-ción y reacción ante acciones deliberadas contra nuestras infraestructuras críticas. Sin embargo, a colación de esto, quisiera detenerme en tres puntos fundamenta-les que presiden nuestros esfuerzos. En primer lugar, la necesidad imperiosa de llevar a cabo una integración de la segu-ridad física y lógica, objetivo fundamental del CNPIC desde sus inicios.

En segundo lugar, la definición del desarrollo de las actividades de cada sector estratégico a través de los Planes Estratégicos Sectoriales, que procura no dejar nada al azar a la hora de servir como base de desarrollo de los Planes de Seguridad del Operador que surgirán a raíz de los primeros. En estos planes es donde realmente se tendrán en cuenta, por parte de cada operador crítico, los aspectos oportunos de gestión de ries-gos, identificando las distintas amenazas que puedan aprovechar las posibles vul-nerabilidades del subsector o sector de que se trate.

Por último, destacar el papel de coor-dinación y centralización que desarro-lla el CNPIC, en representación de la Secretaría de Estado de Seguridad del Ministerio del Interior, que garantiza la

intervención objetiva del Estado, a fin de tener en cuenta las amenazas de etiología maliciosa (ya sea por amenazas de tipo interno en el seno de cada organización; por delincuencia organizada en general; o bien por una forma específica de la anterior, el terrorismo).

A partir de ahora, en lo que a los sec-tores mencionados se refiere, entra-mos en una segunda fase en la que son los operadores quienes han de presentar los Planes de Seguridad y los de Protección Específicos. A gran-des rasgos, ¿qué contenidos deben abarcar esos documentos?El Plan de Seguridad del Operador de un operador crítico constará de su política general de seguridad; del marco y organi-zación de la misma (con especial hincapié en el Responsable de Seguridad y Enlace y en los Delegados de Seguridad de cada infraestructura crítica que posea o gestio-

“La principal aportación de los PES es la diagnosis del ‘Estado del Arte’ en lo que se refiere a la identificación de las líneas maestras de la situación de la seguridad”



ne la compañía, constando además de un programa de formación y conciencia-ción y de un modelo de gestión aplicado); de la relación de servicios esenciales prestados; de la metodología de análisis de riesgos utilizada; de criterios de apli-cación de medidas de seguridad integral; y, por último, de documentación comple-mentaria (normativa, buenas prácticas, coordinación con otros planes).

Los Planes de Protección Específicos que desarrolle el operador para cada infraestructura crítica que posea o ges-tione constarán de una introducción que comprenda la base legal, su objetivo, el contenido del Plan, el método que se utilizará para revisarlo y actualizarlo, así como de los detalles necesarios sobre cómo se protegerá y gestionará la infor-mación y la documentación; los aspectos organizativos relativos al Delegado de Seguridad, los mecanismos de coordi-nación y los mecanismos y responsables de su aprobación; la descripción de la infraestructura; los resultados del análisis de riesgos; el plan de acción propuesto; y la documentación complementaria.

¿En qué plazos deben presentar los operadores esos planes e implemen-tarlos en las infraestructuras que gestionan?Como establece la normativa de pro-tección de las infraestructuras críticas, el Plan de Seguridad del Operador se deberá presentar en un plazo de seis meses a partir de la designación del operador como operador crítico; los Planes de Protección Específicos en un plazo de cuatro meses a partir de la aprobación por parte del CNPIC del Plan de Seguridad del Operador.

Es importante resaltar aquí que el

CNPIC será flexible, admitiendo, por una parte, la adaptación en lo posible de los planes de seguridad de los que ya disponga el operador; y aceptando, por otra, la implantación gradual de las medidas necesarias para garantizar el suministro del servicio esencial de que se trate.

¿De qué manera y a través de qué vías hará el CNPIC un seguimiento de los Planes Estratégicos Sectoriales? ¿Serán sometidos a una revisión periódica?El CNPIC tiene una relación constante con los operadores estratégicos de nues-tro país, por lo que el flujo de información está asegurado. Las revisiones de los Planes Estratégicos Sectoriales fijadas por el Reglamento PIC se producirán cada dos años por los operadores críti-cos, revisión que deberá ser aprobada por las Delegaciones del Gobierno en las Comunidades Autónomas y en las ciudades con Estatuto de Autonomía o, en su caso, por el órgano competente de las comunidades autónomas con com-petencias estatutariamente reconocidas para la protección de personas y bienes y para el mantenimiento del orden público. En todo este proceso, el CNPIC tendrá una posición de coordinación y super-visión general, pudiendo establecer las propuestas y observaciones oportunas.

La modificación de alguno de los datos incluidos en los Planes de Protección Específicos obligará a la automática actua-lización de éstos, que se llevará a cabo por los operadores críticos responsables y requerirá la aprobación expresa del CNPIC.

Resumiendo, se revisarán los Planes de Protección Específicos cuando se añada o quite alguna actividad de las

desarrolladas por la infraestructura crítica y, en todo caso, cada dos años a partir de su aprobación.

Los próximos Planes Sectoriales serán los de Transporte, TIC y Agua. ¿Cuándo estima que podrían publi-carse estos otros documentos?Si el calendario se mantiene y nos es propicio, a partir de la primavera de 2015 podremos empezar a desarrollar otra fase.

¿Han marcado un horizonte para completar el sistema de seguridad de las infraestructuras críticas y adecuar-lo definitivamente a los parámetros de la Estrategia de Seguridad Nacional?Para las tareas relativas al desarrollo de la Estrategia de Seguridad Nacional, el CNPIC participa, obviamente, en la dirección y coordinación de la Línea de Acción n+úmero 12, de la que es principal responsable. En ese sentido, las acciones que se están llevando a cabo actualmente, como pueden ser, entre otras, los trabajos de ejecución de los Planes Estratégicos Sectoriales de los que se ha hablado a lo largo de esta entrevista, están absolutamen-te alineadas con los cometidos extraí-dos de la Estrategia. Por otro lado, el CNPIC colabora en todas aquellas tareas para las que sea requerido por el Comité de Situación del Departamento de Seguridad Nacional. Un ejemplo es la reciente evaluación de la imple-mentación de la Estrategia Nacional de Seguridad, en la que el CNPIC realizó su contribución, enmarcada dentro de la del Ministerio del Interior, así como su participación en los ejercicios CMX 2014, en el ámbito de la OTAN, que fueron dirigidos y coordinados por el Departamento de Seguridad Nacional.

Además, y ya en la vertiente de la ciber-seguridad, el CNPIC ha participado en los trabajos del Grupo de Apoyo con los que se desarrolló la Estrategia de Ciberseguridad Nacional, aprobada el pasado 5 de diciem-bre, y continúa participando en los grupos de trabajo del Consejo Nacional de Ciberseguridad del Departamento de Seguridad Nacional de Presidencia de

“Hay una necesidad imperiosa de llevar a cabo la integración de la seguridad física y la lógica, objetivo fundamental del CNPIC desde sus inicios”

Desde 1974,dejando huella en nuestros clientes

CHILE / COLOMBIA / COSTA RICA / ESPAÑA / ESTADO UNIDOS / JAMAICA / L IB IA / MÉXICO / PANAMÁ / PERÚ / PORTUGAL / OMAN / QATAR / REPÚBLICA DOMINICANA

www.eulen .com / 902 355 366

Seguridad corporativa

Consultoría de seguridad

Servicios de vigilancia

Sistemas de seguridad

Inteligencia

Seguridad de la información y de las TIC

Centro de control de seguridad integral

Videovigilancia remota

Seguridad aeroportuaria

Como empresa decana del sector, celebramos 40 años al servicio de nuestros clientes con la misma vocación que en nuestros inicios. Somos innovadores, flexibles y ágiles para adaptarnos a los nuevos escenarios y riesgos, y estamos comprometidos con la excelencia en la prestación de servicios.

EULEN SEGURIDAD, su aliado estratégico a la hora de garantizar la seguridad de su organización.

http://www.eulen.com


El CNPIC publicará en junio los cinco primeros Planes Estratégicos Sectoriales (PES). ¿Cuál ha sido la función del Servicio de Ciberseguridad a lo largo del proceso de elaboración de los documentos?El Servicio de Ciberseguridad ha contribui-do, fundamentalmente, a que el concep-to de seguridad integral que defiende el CNPIC como paradigma de la seguridad en las organizaciones (y por ende, en las infraestructuras críticas) esté presente en la estructura y contenidos de los PES.

Asimismo, gracias al conocimiento adquirido sobre los distintos sectores estra-tégicos, se ha permitido que los análisis de amenazas/riesgos reflejados contemplen la ‘perspectiva cibernética’ en cada uno de ellos a través de un mejor entendimiento del uso que se da a las tecnologías de la infor-mación y la comunicación (TIC) y, respecto a estas, poner de manifiesto el impacto que tendría su mal funcionamiento.

¿Qué procedimiento han seguido para elaborar dichos planes? ¿Cómo han colaborado las diferentes áreas del CNPIC para engranar los contenidos de estos documentos?

Para la elaboración de los PES se han esta-blecido grupos de trabajo sectoriales y se han mantenido numerosas reuniones, en las que el personal del centro, compuesto por funcionarios de todos los servicios, ha colaborado estrechamente con el de las empresas de cada uno de los sectores. De esta forma, ha sido posible conocer profun-damente el funcionamiento de cada uno de ellos y, por lo tanto, dilucidar cuáles son los componentes claves para su operativa, que en el caso que nos ocupa se refiere al uso e importancia de las TIC.

Por lo que respecta a la coordinación interna, el Servicio de Ciberseguridad ha formado parte del proceso de elaboración de los planes, conjugando sus opiniones e inquietudes con aquellas expresadas por el resto de departamentos del CNPIC.

Dentro de sus competencias, ¿en qué aspectos han encontrado las principales carencias o necesidades de las infraestructuras españolas en relación con las exigencias que pre-sentan los planes?En general, los operadores propietarios, o gestores de las infraestructuras estra-

Miguel Ángel Abad Arranz

Jefe del Servicio de Ciberseguridad del CNPIC

“Algunas organizaciones deben replantearse aspectos de su política de seguridad en el ámbito cibernético”

EN El DESArrollo

DE loS PrImEroS

PlANES ESTrATégICoS

SECTorIAlES,

El SErvICIo DE

CIbErSEgurIDAD DEl

CNPIC hA CoNTrIbuIDo

A fomENTAr lA

SEgurIDAD INTEgrAl.

uN CoNCEPTo, SEgúN

mIguEl ÁNgEl AbAD,

quE ToDAvíA hA DE

CAlAr EN AlguNAS

orgANIzACIoNES,

SI bIEN, APuNTA,

AforTuNADAmENTE

CADA vEz SoN

mENoS lAS quE DAN

lA ‘ESPAlDA’ A lA

vIgIlANCIA DEl uSo,

fuNCIoNAmIENTo y

ProTECCIóN DE lAS

TIC Como uNA PArTE

DE uN ProCESo

mÁS AmPlIo.



tégicas/críticas, con los que el CNPIC ha trabajado en la elaboración de los planes, presentan un grado de madurez avan-zado en lo relativo a la integración de la ciberseguridad en sus planes generales de protección. Es cierto que hay algunas organizaciones, las menos, que deben replantearse determinados aspectos de su política de inversión en seguridad en el ámbito cibernético, comenzando con la concienciación top-down (desde el nivel directivo hasta el más operativo).

¿Cuáles son las novedades más des-tacadas de cada uno de los PES (Electricidad, Gas, Petróleo, Nuclear y Financiero) en lo que al Servicio que usted dirige se refiere? ¿Existen grandes diferencias entre unos sectores y otros?Los planes tratan de reflejar el funciona-miento de un determinado sector e iden-tificar los puntos vulnerables del mismo, lo cual no deja de ser una actividad de alguna u otra forma ya se está realizando desde hace tiempo por parte de las orga-nizaciones. En cuanto a las diferencias, son las que cabría esperar entre sectores tan dispares como el del petróleo o el financiero en lo que respecta al uso que se da de los activos tecnológicos que soportan las infra-estructuras críticas.

De este modo, si bien cada vez está más generalizado el uso de las TIC, no se debe perder de vista que se requiere un estudio pormenorizado del papel que jue-gan en la provisión de los servicios esen-ciales, así como del impacto que tendría su destrucción o mal funcionamiento en la operativa de cada sector. Y, precisamente, ese es uno de los objetivos de los planes.

¿Cuáles son los principales riesgos de las infraestructuras críticas y en qué consisten las líneas establecidas por su departamento para que los opera-dores adapten su seguridad a los PES?Fundamentalmente, las líneas establecidas en los planes son las que determinan qué infraestructuras y operadores son impres-cindibles para el normal funcionamiento de

los servicios esenciales y, por extensión, de la sociedad. Dada la alta dependencia tecnológica de las TIC que tiene cualquier tipo de infraestructura, uno de los princi-pales riesgos es que estas no operen de forma adecuada, ya sea por causas natu-rales, accidentales o deliberadas.

En cualquier caso, e independientemen-te de la naturaleza del ataque o incidente, la línea establecida por el Servicio de Ciberseguridad es que las organizaciones implicadas en la protección de infraestruc-turas críticas sean capaces de determinar qué impacto tendría un mal uso o funcio-namiento de las TIC, previendo medidas alternativas de operación. Para ello, se requiere un conocimiento profundo no sólo del papel de las tecnologías en cada sector estratégico, sino también de cuál es el que juegan en cada operador concreto.

¿Cree que la aplicación de esas líneas supondrá una ingente tarea para las infraestructuras de nuestro país, teniendo en cuenta el nivel de seguri-dad existente en la actualidad?En la mayoría de los casos, los operadores cuentan con políticas de ciberseguridad que contemplan todos los riesgos que se han identificado como de relevancia en el correspondiente PES. Incluso hay casos en los que se están ejecutando planes que, en cierta medida, integran la seguridad desde los distintos campos (físico, lógico, de personal…). No obstante, el esfuerzo requerido dependerá de la madurez que tenga la organización no ya en la gestión de la ciberseguridad, sino en la de la seguridad desde un punto de vista genérico e integral.

¿Cómo asesorará el CNPIC a los ope-radores respecto a los cambios que introducirán los PES en la materia?Estamos manteniendo una serie de encuentros con ellos para explicarles el proceso de elección como operador crí-tico y designar las infraestructuras críticas de cada uno. En estas reuniones se les informa puntualmente de cuantas dudas puedan plantearse.

Por otra parte, desde la vertiente de la ciberseguridad, se están llevando a cabo encuentros bilaterales que explican los ser-vicios que el CERT de Seguridad e Industria ofrece a los agentes implicados en la pro-tección de infraestructuras críticas, lo cual, sin duda, puede reforzar el nivel de asesora-miento y compromiso del CNPIC para con los operadores estratégicos.

A partir de la publicación de los PES, y una vez los operadores los hayan completado, ¿cómo seguirá el CNPIC el cumplimiento de las exigencias rela-cionadas con el área que usted dirige?

Desde el Servicio de Ciberseguridad se iniciarán trabajos que aseguren que el cumplimiento de la seguridad integral por parte de los operadores es un hecho en los Planes de Seguridad del Operador, integrando, al menos, las amenazas con-templadas en los PES correspondientes. De forma particular, se asegurará que los posibles planes de ciberseguridad existen-tes se incorporen a otros planes unificados que contemplen la seguridad como un concepto integrador.

“Las organizaciones implicadas en la protección han de determinar qué impacto tendría un mal uso o funcionamiento de las TIC”



El dEsarrollo dE los PlanEs Estratégicos Sectoriales (PES) es un paso muy importante en el proceso de implan-tación del Sistema de Protección de Infraestructuras Críticas. La ‘Ley PIC’ identifica al sector de la Energía como uno de los 12 sectores estratégicos clave para el desarrollo de la vida ciuda-dana, industrial y de gobierno de nuestro país. En consonancia con la Directiva 2008/114/CE, se ha desglosado dicho sector en tres subsectores, entre los que se encuentra el de la electricidad.

Se ha optado por elaborar un Plan Estratégico Sectorial por cada uno de estos subsectores dada la especifici-dad técnica, desarrollo, envergadura y entidad que poseen, por lo que se con-sideró necesario su estudio de forma individual.

Para los trabajos de elabora-ción del Plan Estratégico Sectorial de la Electricidad, se creó un Grupo de Trabajo interdisciplinar compuesto por personal técnico y expertos, tanto del Ministerio de Industria Energía y Turismo,

a través de la Dirección General de Política Energética y Minas, como de las principales consultoras y empresas del sector, habiendo mantenido alrededor de una treintena de reuniones para el estudio del sector y coordinación de los trabajos, así como infinidad de contactos tanto telefónicos como telemáticos de los anteriores en su desarrollo. Cabe destacar el ambiente de colaboración que en todo momento ha habido entre los integrantes del grupo de trabajo, así como con las empresas y asociaciones del sector.

Plan Estratégico SectorialEste Plan nos permite conocer cuáles son los servicios esenciales proporcio-nados a la sociedad, su funcionamiento general, los elementos de los que se compone y las vulnerabilidades exis-tentes a nivel estratégico, así como las consecuencias potenciales de su inactividad, las medidas estratégicas necesarias para su mantenimiento y aquellas otras a adoptar para hacer frente a una situación de riesgo. Toda esta información la desarrolla el Plan en cuatro capítulos, a saber:

Capítulo 1. Normativa de aplicación: se relaciona y analiza toda la normativa tanto a nivel comunitario como nacional de aplicación en el sector; distinguien-do si es de aplicación directa, cuando regula y desarrolla actividades del sis-tema eléctrico y establece obligaciones a los sujetos del mismo; o de aplicación indirecta, cuando regula y desarrolla aspectos, obligaciones y condiciones técnicas del sistema eléctrico y de los elementos que lo componen.

Capítulo 2. Estructura del sector: en el mismo se detalla el funcionamiento del sector y plantea la división del mismo en cuatro ámbitos, en consonancia con la Ley 24/2013, de 26 de diciembre, del Sector Eléctrico. Asimismo, se identifi-ca la tipología de infraestructuras que soportan el sistema, agrupándolas en segmentos, y se definen las interde-

pendencias tanto intrasectoriales como intersectoriales de los mismos.

La división en cuatro ámbitos del fun-cionamiento del sistema eléctrico, de acuerdo a la Ley del Sector Eléctrico, nos facilita su estudio, siendo éstos la Generación, Transporte, Distribución y Operación y Control, si bien no hemos considerado la comercialización y los servicios de recarga energética en este estudio (identificados también en la cita-da norma) por la falta de infraestructuras importantes en su funcionamiento.

La generación de electricidad es el proceso de conversión de una ener-gía primaria en energía eléctrica. La capacidad de generación en España, en el momento actual, es muy superior a la demanda. Esto, unido a la diversi-dad de fuentes primarias, tecnologías y emplazamientos tan amplia que en la actualidad existe, hace de la misma un activo seguro para el Sistema Eléctrico Español.

La electricidad necesita un sistema de transporte desde los centros de generación hasta los de consumo. Este transporte se realiza mediante una extensa red de líneas eléctricas que conectan los centros de producción con los puntos de consumo repartidos por todo el territorio nacional. La gran densidad de mallado e interconecti-vidad del sistema eléctrico peninsu-lar da fortaleza al mismo, y unida a las interconexiones existentes con el Sistema Eléctrico Europeo le dotan de gran robustez. El sistema eléctrico del territorio no peninsular canario carece de un mallado de red sólido, debido a su aislamiento, así como los sistemas eléctricos de territorio no peninsular de Ceuta y Melilla, que se encuentran completamente aislados, esto hace de la estabilidad de estos sistemas eléctri-cos un problema de primer orden.

La distribución de energía eléctrica tiene por objeto el suministro eléctrico desde las redes de transporte hasta los puntos de consumo del usuario final en

Carlos García del RíoCoordinador del Grupo de Trabajo del PES del Subsector EléctricoJefe de la Sección de Estudios sobre Infraestructuras del Servicio de Servicio de Seguridad Física del CNPIC

Plan Estratégico Sectorial del subsector de la Electricidad




La electricidad es un servicio de interés económico general sobre el que se asientan, transversalmente, todos los sectores estratégicos del ámbito PIC

de España), también designado nor-mativamente como transportista único.

La importancia por ámbitos estaría configurada en un primer nivel por la operación y control, en un segundo nivel por el transporte y en el nivel más bajo se situarían la generación y la distribución.

Cabe destacar la importancia de estos primeros PES por ser los pioneros en España y, de ahí, la dificultad de su elaboración debido fundamentalmente a la falta de referencias, lo que se han suplido por parte de los grupos de tra-bajo y operadores con mucha colabo-ración e intenso intercambio de ideas.

Como cierre de este artículo y en referencia a la implantación del Plan Estratégico Sectorial, decir únicamen-te que las empresas del sector tienen organizaciones y sistemas de seguri-dad avanzados y la adaptación al PES no parece en un principio que resulte traumática, aunque sí necesaria para poder ofrecer a las mismas el apoyo del Estado en otras esferas de seguri-dad, que sin integrarse en el sistema sería imposible brindarles.

medidas organizativas y técnicas para prevenir el riesgo y reaccionar, y en su caso paliar las consecuencias en caso de materialización de esos escenarios. Asimismo se traza una batería de medi-das de mantenimiento y coordinación.

ConclusionesA modo de resumen, podemos decir que la electricidad es un servicio de interés económico general sobre el que se asientan, transversalmente, todos los sectores estratégicos del ámbito PIC; su importancia viene indis-cutiblemente dada por la dependencia que tiene de este servicio el resto de sectores, compuesto por el conjunto de empresas y organismos que hacen posible que se pueda disponer de este servicio esencial en todo momento.

La imposibilidad de almacenamiento de la electricidad marca el funciona-miento del sector, debiendo mantener un complicado equilibrio entre la gene-ración y el consumo. El encargado de mantener este ineludible equilibrio es el Operador del Sistema (Red Eléctrica

condiciones adecuadas de calidad con el fin último de suministrarla a los con-sumidores. La realizan los operadores en sus respectivas zonas geográficas de influencia, que se identifican gene-ralmente con territorios que engloban comunidades autónomas o provincias.

Por último, los Centros de Operación y Control permiten la centralización, control y optimización del funcionamien-to de procesos industriales geográfica-mente distribuidos. Además, permiten el funcionamiento y mantenimiento en remoto de las infraestructuras respon-sabilidad de un operador determinado distribuidas por el territorio nacional, así como también disponer en tiempo real de toda la información necesaria para conocer el estado y comportamiento de dicha instalación. Red Eléctrica de España (REE) es el Gestor Técnico del sistema eléctrico español conforme a la Ley 24/2007, de 26 de diciembre.

Cabe destacar la inclusión de un estu-dio sobre las smart grids, que son siste-mas eléctricos inteligentes que abarcan los ámbitos de generación, transporte y distribución, y que integran procesos de gestión de la energía junto con pro-cesos de negocio (como, por ejemplo, lectura de contadores o facturación). De este modo, las smart grids tienen por objetivo integrar de manera eficiente el comportamiento y las acciones de todos los actores conectados a ellas para pro-porcionar un suministro de electricidad seguro, económico y sostenible.

Capítulo 3. Análisis general de ries-gos: se identifican las amenazas, de acuerdo con la Estrategia de Seguridad y Ciberseguridad Nacional del año 2013, y las vulnerabilidades, por ámbitos, y se plantean unos escenarios máximos de riesgo en la conjugación de ambas (amenazas y vulnerabilidades), sin tener en cuenta la probabilidad, planteándose una valoración y gestión del riesgo.

Capítulo 4. Propuesta de medidas estratégicas: se plantean una serie de



Plan Estratégico Sectorial del Subsector del Petróleo

ción del Sistema para la Protección de las Infraestructuras Críticas. Todavía queda mucho por hacer, en el momen-to que la Comisión para la Protección de las Infraestructuras Críticas designe a los operadores críticos, extraídos de los trabajos realizados en el PES, éstos deberán desarrollar sus Planes de Seguridad del Operador (PSO) y sus Planes de Protección Específicos (PPE) para que, posteriormente, los Cuerpos policiales competentes culminen el sistema de protección implementando sus Planes de Apoyo Operativo (PAO). Éste es el verdadero espíritu de la ‘Ley PIC’: la estrecha colaboración público-privada, mejo-rando los canales de comunicación e información entre nosotros para lograr una mayor protección de las infraes-tructuras consideradas como críticas.

Plan Estratégico SectorialEl PES del petróleo, en cuanto a la prestación de los servicios esenciales y la garantía del suministro se refiere, entraña dos importantes notas defi-nitorias:1. Gran consumo de la materia

prima: el petróleo es la principal fuente de energía primaria en España, siendo el consumo de productos petrolíferos en 20123 del 47,9 por ciento aproxi-madamente del consumo de energía final.2. Gran dependencia internacional:

la producción nacional es muy escasa, por lo que España debe importar en torno el 99,8 por ciento de la materia prima por vía marítima, siendo depen-diente de otros países prácticamente en su totalidad.

Si a esto añadimos que el impacto en los demás criterios horizonta-les de criticidad (víctimas humanas, medio ambiente, economía nacional e impacto social) ante un ataque deliberado, puede ser considera-

do como de extrema gravedad, el PES se presentaba como un trabajo sumamente atractivo, desde el punto de vista de la seguridad.

Además, partíamos de la base de que las infraestructuras que susten-tan el sistema del petróleo han sido ya objeto de ataques deliberados tanto en nuestro país (por ejemplo, el ataque terrorista perpetrado por ETA en junio de 1987 a la central petro-química Enpetrol, ubicada a tan solo cinco kilómetros del centro urbano de Tarragona) como a nivel inter-nacional (sólo en 2013 se registra-ron 259 ataques contra oleoductos del cuarto productor de crudo de América del Sur, por no hablar de los continuos ataques que sufren los países productores de petróleo como Irak, Irán o Arabia Saudí, entre otros muchos).

Partiendo de estos datos, se empe-zó a abordar el estudio del subsector del petróleo segmentándolo en cuatro capítulos:1. Estudio de la normativa regulado-

ra del subsector.2. Estudio del funcionamiento del

subsector.3. Análisis sectorial de riesgos.4. Medidas estratégicas a adoptar.

La normativa reguladora del sec-tor, tanto de alcance nacional como internacional, está dirigida fundamen-talmente a garantizar el suministro de hidrocarburos a la población. Sobre este enfoque se ha basado, principal-mente, el desarrollo del PES. En este sentido, hay que reseñar que la Ley 34/1998, de 7 de octubre, del Sector de Hidrocarburos establece que todo operador autorizado a distribuir al por mayor productos petrolíferos en terri-torio nacional, así como toda empresa que desarrolle una actividad de distri-bución al por menor de carburantes y combustibles petrolíferos no adqui-

El Plan Estratégico Sectorial (PES) del Subsector del Petróleo ha sido el resultado del trabajo interdisci-plinar de un equipo creado ad hoc, integrado por profesionales tanto del sector público1 como del privado2 que, aportando cada uno de ellos sus conocimientos y experiencia, ha logrado el objetivo con el que nació: conocer el funcionamiento de los servicios esenciales prestados por el subsector, analizar las consecuen-cias potenciales de su inactividad, identificar y evaluar sus amenazas y vulnerabilidades, y recomendar unas medidas estratégicas para su man-tenimiento.

Esto no ha sido tarea fácil. Se han necesitado más de 30 reuniones con los distintos miembros del Grupo, ade-más de un exhaustivo trabajo de campo para poder concluir este PES, que supone el primer paso en la implanta-


Juan José Zurdo SantamaríaCoordinador del Grupo de Trabajo del PES del Subsector PetróleoJefe de Sección de Análisis del Servicio de Seguridad Física del CNPIC



El PES del petróleo entraña dos importantes notas definitorias: gran consumo de la materia prima y gran dependencia internacional

ridos a los operadores regulados en la citada ley, deberán mantener en todo momento existencias mínimas de seguridad de los productos en la cantidad, forma y localización geográ-fica que el Gobierno determine regla-mentariamente, hasta un máximo de 120 días de sus ventas anuales (en la actualidad se exigen 92 días). La adqui-sición, constitución, mantenimiento y gestión de las reservas estratégicas de hidrocarburos es competencia de la Corporación de Reservas Estratégicas (CORES), Corporación de derecho público tutelada por el Ministerio de Industria, Turismo y Comercio que actúa como entidad central de almace-namiento y que ha sido miembro activo en el Grupo de Trabajo.

En cuanto al funcionamiento del subsector, se ha elaborado un trabajo de exhaustivo análisis, segmentán-dolo en cinco ámbitos de actividad: Exploración y producción, Conversión, Almacenamiento, Transporte y Operación y control.

1) Exploración y producción: En este ámbito, la actividad en España es muy reducida, representando tan solo el 0,2 por ciento del consumo nacional. Actualmente, hay producción en las costas de Tarragona y residualmente en la provincia de Burgos. Las explo-raciones que se están llevando a cabo en las costas de las Islas Canarias podrían permitir producir en un futu-ro, según las últimas previsiones, un 13 por ciento del consumo nacional, consiguiendo de este modo reducir sensiblemente la dependencia exterior. Hasta ahora, y a la espera del resulta-do de las exploraciones que se están realizando, desde el punto de vista de la seguridad de las infraestructuras existentes en nuestro país, éstas no han sido objeto de protección priorita-ria por parte del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC).

2) Conversión: Este ámbito de acti-vidad está gestionada por las dis-

tintas refinerías que, en el caso de España, son un ejemplo de eficacia y eficiencia para el resto de refinerías europeas. Las compañías petroleras que operan en nuestro país cuentan en sus refinerías con unas excelen-tes medidas de seguridad indus-trial, cumpliendo sobradamente con la exigente normativa derivada de la Unión Europea, y están concien-ciadas de la importancia que tiene su buen funcionamiento tanto para garantizar el suministro como para garantizar la seguridad de las perso-nas y el medio ambiente.

3) Transporte: El transporte de hidrocarburos se realiza fundamental-mente por oleoducto, sin perjuicio de que puedan utilizarse otros medios de transporte como camiones o trenes cisterna. La principal red de oleoduc-tos estratégicamente distribuida por todo el territorio nacional está excelen-temente gestionada por la Compañía Logística de Hidrocarburos (CLH),



de su gestión como de su ubicación y protección, en la que los respon-sables de CORES han participado activamente.

5) Operación y control: Otro ámbito de actividad que ha sido objeto de estudio han sido los centros de control de los operadores, puntos neurálgicos de las operaciones diarias llevadas a cabo por los Operadores y que, algu-nos de ellos, deben ser especialmente protegidos dada su enorme depen-dencia en el buen funcionamiento del sistema.

En cuanto a la tercera y cuarta parte del PES (análisis de riesgos sectorial y propuesta de medidas estratégicas), éstas han tenido por objeto coadyuvar en el reforzamiento de la seguridad de las infraestructuras de los operadores, articulando un sistema de protección público-privado que permita coordinar mejor la información de ambas partes a la hora de prever y hacer frente a cualquier tipo de amenaza.

ConclusionesEl PES del Petróleo ha supuesto, junto con el resto de PES de la Energía,

Industria Nuclear y Sector Financiero, un primer paso en la consecución de los objetivos marcados en la Ley 8/2011, para la protección de las infraestructuras críticas. Este paso era necesario porque viene a esta-blecer las líneas estratégicas para los operadores y la Administración con el objetivo de implantar definiti-vamente el Sistema PIC, articulando además un sistema de comunica-ción e intercambio de información necesario para desarrollar los planes operativos subsiguientes.

La mayor dificultad que ha supues-to la elaboración de los primeros PES ha sido la implementación de una nueva metodología de trabajo, inex-plorada hasta ahora, para conseguir el objetivo final que se pretendía, ser una herramienta estratégica de ayuda, tanto para los operadores como para la Administración, en la elaboración de los distintos Planes Operativos.

A través del esfuerzo y la determi-nación de todos los miembros del equipo de trabajo se ha podido ela-borar este PES. Por ello me gustaría agradecer en estas últimas líneas su encomiable implicación en el mismo.

Pies de página1 Funcionarios del Centro Nacional para la Protección de las Infraestructuras Críticas incardinados en el Ministerio del Interior, funcionarios de la Subdirección General de Hidrocarburos dependien-tes de la Dirección General de Política Energética y Minas del Ministerio de Industria, Energía y Turismo y miem-bros de la Corporación de Reservas Estratégicas (CORES).2 Principales compañías del sector, consultoras de primer nivel y asocia-ciones profesionales.3 Los datos correspondientes a 2013 serán publicados en breves fechas por el Ministerio de Industria, Energía y Turismo.

que, sin ser gestor del sistema, al ser un subsector liberalizado, facilita a los demás operadores el acceso a su red en condiciones técnicas y económi-cas no discriminatorias. Sorprende la rapidez y fiabilidad con la que CLH gestiona el transporte de hidrocar-buros, siendo fundamental el buen funcionamiento de su red para garan-tizar el suministro de combustibles en todo el territorio nacional, salvo en las Islas Canarias, donde existe una red de oleoductos gestionada por otro operador, con igual éxito.

4) Almacenamiento: Debido a la gran dependencia exterior de nuestro país en hidrocarburos, se constituyeron en la Ley 34/1998, de 7 de octubre, del Sector de Hidrocarburos, las llamadas exis-tencias mínimas de seguridad, indis-pensables para garantizar la exis-tencia de hidrocarburos en caso de interrupción del suministro exte-rior. Dichas existencias, como se ha dicho anteriormente, son controla-das por la Corporación de Reservas Estratégicas (CORES). En el PES se ha realizado un estudio pormeno-rizado de dichas existencias, tanto

ingecom_red063.indd 1 28/11/2013 12:49:32ingecom_red063.indd 1 28/11/2013 12:49:32ingecom_red063.indd 1 28/11/2013 12:49:32

ingecom_red063.indd 1 28/11/2013 12:49:32

ingecom_red063.indd 1 28/11/2013 12:49:32Ingecom Logos cambiados Ok A4.indd 2 24/03/14 09:57

http://www.ingecom.net



José María Ramiro AlegreCoordinador del Grupo de Trabajo del PES del Sector Industria NuclearJefe de la Sección de Estudios sobre Planes del Servicio de Seguridad Física del CNPIC

Plan Estratégico Sectorial de la Industria Nuclear

así como las consecuencias radiológi-cas de un posible sabotaje o cualquier otra actuación ilegal contra las instala-ciones y materiales nucleares y fuentes radiactivas más relevantes. Además, el PES contempla las medidas estratégi-cas necesarias para su protección.

Existe una característica diferencia-dora de este Plan y el resto de planes elaborados hasta la fecha (Electricidad, Gas, Petróleo y Financiero), y es que no se aborda desde el punto de vista del servicio prestado por el sector, sino por los efectos adversos que las radiacio-nes ionizantes emitidas por los materia-les nucleares y radiactivos empleados o generados en los distintos ámbitos de actividad del sector tienen sobre la salud y el medioambiente.

Plan Estratégico SectorialEl Plan Estratégico de la Industria Nuclear se ha estructurado en cuatro capítulos. En el Capítulo I se recogen los instru-mentos legales y jurídicos existentes en el sector, referidos principalmente a la protección de las instalaciones nucleares, materiales nucleares, fuentes radiactivas y las prácticas y actividades asociadas contra riesgos antisociales. Esta normati-va procede tanto del ámbito internacional del Organismo Internacional de la Energía Atómica (OIEA), la Comunidad Europea de la Energía Atómica (EURATOM) y otros organismos internacionales; como de las leyes, reales decretos, instrucciones, etc., existentes a nivel nacional.

El Capítulo II del Plan define la estruc-tura del sector, que comprende aquellas actividades que guardan relación con el uso de tecnologías nucleares y radiacti-vas, actividades que están enfocadas a proporcionar dos servicios diferenciados: la generación de energía eléctrica y el uso de la tecnología radiactiva en apli-caciones médicas, medioambientales o industriales.

Independientemente de los servicios prestados por el sector de la Industria

Nuclear, que en el caso de la generación nucleoeléctrica se contempla en el sub-sector Eléctrico del sector de la Energía, las tecnologías nucleares y radiactivas son las que aportan la criticidad del sector por las consecuencias radiológi-cas que puedan tener sobre la salud y la seguridad de las personas, la calidad de vida, los bienes y el medioambien-te. Estas gravísimas consecuencias se han puesto de manifiesto en accidentes nucleares y radiactivos ocurridos a lo largo de la historia; el último, en 2011 en la ciudad de Fukushima (Japón) está considerado como uno de los más gra-ves de la historia después del accidente de Chernobyl.

El sector de la Industria Nuclear agru-pa a una seria de instalaciones que se dividen en dos subsectores diferencia-dos: el Nuclear y el Radiactivo, que a su vez comprenden distintos ámbitos y segmentos.

Subsector NuclearEn este subsector se incluyen todas aquellas actividades que se llevan a cabo en el conjunto de operaciones industriales a las que se someten los materiales fisionables para su apro-vechamiento en un reactor nuclear y comprende desde las etapas de mine-ría hasta las de gestión del combusti-ble gastado. Los distintos ámbitos de actividad de este subsector son:

# La generación nucleoeléctrica.# La extracción/fabricación de ele-

mentos combustibles.# El almacenamiento de residuos

radiactivos.

La generación nucleoeléctrica en España representa aproximadamente el 20 por ciento del total de la pro-ducción del sistema eléctrico nacional. Este ámbito de actividad está consti-tuido por una tipología de infraestruc-turas: las centrales nucleares.

El sEctor dE la industria nuclear es uno de los doce sectores estratégicos clave para el desarrollo de la vida cotidiana, industrial y de gobierno de nuestro país contemplados en la Ley 8/2011, de 28 de abril, por la que se estable-cen medidas para la protección de las infraestructuras críticas (‘Ley PIC’). En la elaboración de este Plan Estratégico Sectorial (PES) han participado los ministerios y organismos del Sistema competentes, definidos en el anexo de la ‘Ley PIC’, como son el Ministerio de Industria, Energía y Turismo, a través de la Dirección General de Política Energética y Minas, y el Consejo de Seguridad Nuclear. También se ha con-tado con expertos del sector privado, a través de servicios de consultoría.

El objeto del PES es conocer su fun-cionamiento general, los activos de los que se compone, los equipos vitales o blancos existentes a nivel estratégico,




El PES de la Industria Nuclear marca los objetivos estratégicos a proteger preferentemente, así como la planificación que debe llevar a cabo la Administración

Actualmente España cuenta con seis centrales nucleares en explotación, dos de ellas con dos unidades gemelas (dos reactores), una central en cese definitivo y un reactor en fase de latencia. Tanto la construcción como la operación de las centrales nucleares se llevan a cabo por empresas eléctricas.

Todas las centrales nucleares se encuentran en la mitad septentrional de nuestro país, por ser el área con menor incidencia sísmica de la Península.

El combustible nuclear usado en los reactores de las centrales nucleares debe retirarse una vez que éste no cola-bore en el mantenimiento de la cadena de fisiones. Este combustible gastado o irradiado sigue produciendo calor y emitiendo radiaciones de las cuales se debe proteger a los trabajadores, el público y el medioambiente tanto a corto como a largo plazo. El combustible irra-diado es inmovilizado en las piscinas de combustible de las propias centrales que debido a su capacidad limitada de almacenamiento han sido suplementada con almacenes en seco denominados Almacenes Temporales Individualizados, ubicados en el emplazamiento de las centrales.

En el ámbito de la Extracción/Fabricación de elementos combustibles, en la actualidad en España han cesado las actividades de extracción y trata-miento de uranio, así como la fabricación de concentrados que se encuentran en sus últimas fases de desmantelación y cierre. La adquisición de estos elemen-tos se realiza en el extranjero a través de la empresa ENUSA, que también se dedica a la fabricación de elementos combustibles de óxido de uranio y mez-cla de éste con óxido de gadolinio en la provincia de Salamanca.

En el ámbito del almacenamiento de residuos radiactivos se distinguen dos tipologías de infraestructuras en función del material almacenado: por una parte,

nos encontramos con residuos de alta actividad que contienen radionucleidos emisores alfa de vida larga almacenados en la actualidad en los emplazamientos de las centrales nucleares, bien en pis-cinas o en almacenamientos en seco (ATI); en un futuro serán almacenados en el Almacén Temporal Centralizado cuya licencia de construcción se está trami-tando actualmente y cuya ubicación será la localidad de Villar de Cañas (Cuenca). El otro tipo de residuos formados por elementos radiactivos que no generan calor y que contienen radionucleidos emisores beta-gamma con periodos de desintegración de menos de 30 años son los denominados Residuos de Baja y Media Actividad, actualmente almace-nados en el Cabril (Córdoba).

Subsector RadiactivoEste subsector comprende aquellos loca-les, laboratorios o fábricas en los que se manipulan, almacenan o producen materiales radiactivos; los aparatos pro-ductores de radiaciones ionizantes y, en general, cualquier clase de instalación que contenga una fuente emisora de radiación ionizante. En este subsector se contempla un único ámbito de actividad: las instalaciones radiactivas.

Las tipologías de instalaciones que encontramos en este ámbito de actividad se categorizan en función del potencial de las fuentes radiactivas para causar efectos deterministas para la salud, esto es, efectos relacionados con la dosis irradiada; así, encontramos instalaciones radiactivas con fuentes de categoría 1, 2 y 3. En los últimos años se ha producido en la comunidad internacional un aumento de la preocupación por el control indi-vidual de las fuentes radiactivas. Ello es debido a la ocurrencia de sucesos aso-ciados a la presencia de fuentes radiac-tivas fuera de control en instalaciones industriales convencionales e incluso en lugares de almacenamiento accesibles para el público.

El análisis general de riesgos que com-prende el Capítulo III del Plan recoge los riesgos y amenazas que a nivel estra-tégico pueden afectar a la Seguridad Nacional, centrándose principalmente en el ámbito de la protección contra agresio-nes deliberadas y, muy especialmente, contra ataques terroristas.

A nivel nacional existen actuaciones como el desarrollo de un Evaluación Nacional de la Amenaza donde se ana-lizan y evalúan aquellas amenazas espe-cíficas que puedan afectar a las insta-laciones que conforman el sector de la Industria Nuclear, de manera que sea posible definir una Amenaza Base de Diseño capaz de fortalecer la seguridad del sector.

Finalmente, el Plan Estratégico recoge en su Capítulo IV una serie de propuestas de carácter organizativo y técnico con el objeto de reforzar los principios de segu-ridad, implementar medidas de seguridad integral efectivas, tanto físicas como lógi-cas, así como la promoción de acciones tendentes a lograr el fortalecimiento de las capacidades de los sistemas.

Desde el ámbito de la Protección Civil y la gestión de crisis, resulta fundamental la coordinación de los Planes de Protección con los Planes y Procedimientos de Emergencias y actuaciones ante catás-trofes, que permitan dar una respuesta rápida y eficaz para restablecer la norma-lidad de la zona afectada.

ConclusionesLos resultados del Plan Estratégico Sectorial de la Industria Nuclear marca desde el ámbito de la seguridad los objetivos estratégicos a proteger de forma preferente, así como la planifica-ción que se debe llevar a cabo desde el ámbito de la Administración para aplicar las medidas preventivas y de respuesta operativa necesarias, en función del tipo de amenaza y del nivel de seguridad establecido en cada momento.



Jacobo Sánchez CampsCoordinador del Grupo de Trabajo del PES del Sector FinancieroAnalista de la Sección de Estudios sobre Planes del Servicio de Seguridad Física del CNPIC

Plan Estratégico Sectorial del Sector Financiero

Los trabajos del Plan Estratégico Sectorial del Sector Financiero se comenzaron en junio de 2013 y se han prolongado a lo largo de diez meses en los que, bajo la coordinación de expertos del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), han participado altos técnicos de la Secretaría General del Tesoro y Política Financiera, la Dirección General de Seguros y Fondos de Pensiones (ads-critas ambas al Ministerio de Economía y Competitividad), del Banco de España y de la Comisión Nacional del Mercado de Valores, con el asesoramiento de dos de las consultoras más importantes del país.

Si bien el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infra-estructuras críticas (en adelante ‘Ley PIC’), recogía como uno de los doce sectores estratégicos el sistema financie-ro y tributario, en las primeras reuniones del grupo de trabajo de elaboración del Plan Estratégico Sectorial se decidió separar la parte financiera y tratarla de manera aislada, dejando la parte tribu-taria para su inclusión dentro del Plan Estratégico Sectorial que se dedicará a la Administración, estimando que tendría mejor encaje dentro del citado sector.

Plan Estratégico SectorialEl Plan se divide en cuatro capítulos que comprenden un primer capítulo dedica-do al estudio de la normativa existente en el sector, un segundo capítulo cen-trado en la determinación de los servi-cios esenciales prestados a la sociedad por el sector y la estructura del mismo, un tercer capítulo en el que se aborda un análisis general de riesgos a nivel sectorial y un último capítulo en el que se proponen una serie de medidas de carácter organizativo y técnico desde un punto de vista estratégico.

El Plan Estratégico Sectorial del Sector Financiero realiza una descrip-

ción minuciosa del sistema financiero español dividiendo su estructura en cuatro grandes subsectores:

1 Sistemas y servicios de pago, que a su vez comprende los siguientes ámbitos:

Pagos electrónicos minoristas: El sistema español de pequeños pagos canaliza una gran parte de las ope-raciones minoristas, de incidencia muy directa en la economía real, tales como el pago de nóminas, pensiones, devoluciones de impuestos, pagos de las empresas a sus proveedores, entre otras. Su indisponibilidad podría provocar alarma social debido tanto al alto número de operaciones que se realizan como a los inconvenientes que se derivarían de un período pro-longado sin este servicio.

Pagos electrónicos mayoristas: Servicio que se presta por un sistema de liquidación bruta en tiempo real que resulta de gran importancia debido a los elevados importes procesados, y que cuenta con una serie de par-ticipantes identificados por el propio sistema que resultan estratégicos para su funcionamiento.

Pagos en efectivo: El efectivo con-tinúa siendo el medio de pago más utilizado por número de transacciones y constituye un medio esencial de pago. En su distribución y recogida participan varias instituciones y com-pañías que posibilitan el desarrollo de esta actividad.

Pagos con tarjeta de crédito y débi-to: Sistema electrónico de pago que se ha consolidado como el principal dentro del comercio minorista, por lo que la actividad comercial podría resultar seriamente afectada por los incidentes que pudieran producirse en su operativa.

2. Crédito y liquidez, que a su vez comprende los siguientes ámbitos:

En El ámbito dE la protección de las infraestructuras críticas (PIC), España se ha convertido en un referente a nivel europeo y mundial, incluyendo dentro de su sistema nacional de protección una serie de infraestructuras críticas del sector financiero y comenzando a tra-bajar, en ese sentido, con el desarrollo y la aprobación de una serie de instru-mentos de planificación, como el Plan Estratégico Sectorial que nos ocupa.

Entre las principales razones por las que se ha decidido abordar la elabo-ración de este Plan están la madurez que presenta este sector en materia de seguridad y el hecho de que ya existiera un borrador previo de Plan Estratégico Sectorial para el Sistema Financiero y Tributario, elaborado en septiembre de 2012, un referencia ineludible en los trabajos que ahora se han acometido.


Seguridad

Hacking

Monitorización

Protección

Hacking ético. Test de intrusión. Caja negra - Caja blanca

Monitorización. Detecta las amenazas antes de que materialicen

Inteligencia empresarial. Information Superiority - Decision Superiority

Fuga de Datos (DLP). La tecnología como problema y solución

Seguridad Global

Análisis de Riesgos

Hacking ético

Auditoría de vulnerabilidades

Monitorización

Ingeniería de Sistemas

Consultoría Tecnológica

Seguridad de la Información

Prevención de Fuga de Datos

Análisis Forense

Seguridad en la nube

Integración Seguridad Lógica y Física

Comunicaciones Seguras

Consultoría Internacional

Inteligencia Empresarial

Cumplimiento Legal

Protección de Infraestructuras Críticas

Protección del Patrimonio Histórico

Planes de Seguridad Integral

Plan de Continuidad del Negocio

Formación Personalizada según Roles

Sistemas de Gestión de Crisis

Plaza Rodriguez Marín, 3 · 1C. Alcalá de Henares · 28801 Madrid

(+34) 91 882 13 09 [email protected] www.globalt4e.com

GLOBALTECHNOLOGYConsultoría de Seguridad Global e Inteligencia

Seguridad Globalfrente a la Amenaza Global

Conocer sus propias vulnerabilidades antes que el enemigo, es la única forma de preparar una defensa eficiente.

Inteligencia

http://www.globalt4e.com



Este Plan articulará y fortalecerá la capacidad de prevención y respuesta de la Administración y los operadores ante incidentes

Operaciones de política monetaria: La política monetaria del Banco Central Europeo se lleva a cabo a través de la infraestructura del Eurosistema, en la que está integrada nuestro país. El mantenimiento de la política monetaria es básico para el desarrollo de la eco-nomía y la liquidez de las entidades de crédito de la eurozona.

Mercado interbancario: En este mer-cado, las entidades cubren parte de sus necesidades de financiación. A través de esta plataforma, las entida-des financieras liquidan sus operacio-nes de financiación e inversión, pero no constituye el único mecanismo de liquidación para las entidades.

Emisiones de deuda por parte de enti-dades privadas, financiación minorista y crédito a clientes: Son dos ámbitos donde se realiza la función de obten-ción de financiación, pero no se trata de las únicas fuentes de financiación y estas funciones se distribuyen entre el gran número de entidades existentes en España dentro de estos ámbitos.

Crédito a administraciones públicas: El Tesoro Público puede acudir al Mercado Primario de Deuda Pública Anotada para cubrir sus necesidades de financiación, la emisión de títulos

a través de subastas competitivas, emisiones sindicadas o colocaciones privadas.

3. Servicios de inversión, que com-prende los siguientes ámbitos:

Negociación de instrumentos financie-ros: Negociación de operaciones en mer-cados electrónicos organizados, como las bolsas de valores u otros, o mediante contratación bilateral entre intermediarios financieros registrados para ello.

Compensación y liquidación de ope-raciones realizadas con instrumentos financieros: Compensación de opera-ciones en entidades de contrapartida central, que se interponen entre las partes contratantes, y liquidación de operaciones negociadas.

Registro y custodia de instrumentos financieros: Registro contable de valo-res anotados en cuenta y administra-

ción de valores admitidos a negocia-ción en mercados organizados, per-mitiendo procesar sus transferencias mediante anotaciones en cuenta.

4. Seguros, que consta de un único ámbito llamado cobertura de riesgos. La gestión de riesgos y la inversión institucional son las dos importantes funciones que el mercado de seguros y fondos de pensiones realiza para la economía.

ConclusionesLa labor llevada a cabo por el CNPIC tiene como objetivo principal el de sen-tar las bases para garantizar la seguri-dad de nuestras infraestructuras críti-cas, fomentando una cultura de res-ponsabilidad compartida y un clima de colaboración público-privada, espíritu que ha impregnado el Plan Estratégico Sectorial del Sector Financiero y a todos los que hemos participado en la elaboración del mismo.

Este Plan servirá para articular y fortalecer las capacidades de preven-ción y respuesta de la Administración y los operadores ante incidentes que puedan poner en peligro el normal funcionamiento de un servicio esencial tan importante como es el del sistema financiero.

Con la aprobación de este Plan, y en base a las conclusiones obtenidas en la elaboración del mismo, así como de las reuniones bilaterales mantenidas con cada uno los opera-dores del sector, se procederá a nombrar a los primeros operadores críticos, los cuales deberán ir cum-pliendo de forma progresiva las obli-gaciones y responsabilidades deriva-das de la normativa PIC.

http://www.leetsecurity.com



Plan Estratégico Sectorial del Subsector del Gas

que pudieran afectar a los servicios esen-ciales del país. Este objetivo se ha conver-tido en una prioridad, tanto para España como para el resto de los países.

Por tanto, quedaba establecido con la normativa PIC que el Sistema de Protección de Infraestructuras Críticas se compondría de departamentos, insti-tuciones y organizaciones, procedentes tanto del ámbito público como del priva-do, con responsabilidades en el correcto funcionamiento de los servicios esen-ciales o en la seguridad de los ciudada-nos en cada uno de los doce sectores estratégicos identificados en la citada reglamentación. Para su correcta implan-tación se requiere de un procedimien-to de comunicación e intercambio de información entre los diferentes actores y la existencia de un esquema de pla-nificación para su desarrollo a diferen-tes niveles, desde el político-estratégico hasta el operativo, donde cada uno de los agentes del Sistema asuma sus misio-nes y responsabilidades. En la base de este esquema de planificación se sitúan los Planes Estratégicos Sectoriales (PES), entre ellos el “Sector de la Energía” que a su vez se ha desglosado en tres subsec-tores: Electricidad, Gas Natural y Petróleo y Productos Petrolíferos; elaborándose un Plan Estratégico por cada uno de ellos.

Plan Estratégico SectorialPara la tarea de elaboración del Plan Estratégico Sectorial del Subsector del Gas se constituyó un Grupo de Trabajo integrado por expertos del sector públi-co (los Ministerios de Industria, Energía y Turismo y el del Interior) y privado (consultoras, corporaciones, asociacio-nes y empresas) que han mantenido reuniones semanales y distintas visitas que se consideraron de interés para un mejor conocimiento del subsector.

En concreto, el diseño realizado para el Plan Estratégico Sectorial del Subsector del Gas permite conocer, a nivel estratégico, cuáles son los ser-

vicios esenciales proporcionados a la sociedad, su funcionamiento general, los elementos de los que se compone y las vulnerabilidades existentes, las consecuencias potenciales de su inac-tividad, las medidas necesarias para su mantenimiento y las que se precisarían adoptar ante una situación de riesgo.

El sistema gasista en España funciona bajo los principios de objetividad, trans-parencia y libre competencia, garan-tizados por la Comisión Nacional de los Mercados y la Competencia. Fue a finales de los años noventa cuando se empezaron a dar los primeros pasos hacia la liberalización del mercado del gas, separando sus distintas activida-des: transporte, distribución, aprovisio-namiento y comercialización. Finalmente, el 1 de julio de 2008 fue la fecha límite para completar la liberalización.

España, en el ámbito del gas, es muy dependiente del sistema gasístico de otros agentes y países, ya que carece de reservas propias. Esto hace que el 99 por ciento del gas natural que se consume sea importado, y de ahí que los almacenamientos subterráneos sean una de las principales infraestructuras de la red gasista española. También, en este sentido, resaltar la importancia que España está cobrando no sólo como importador de gas, ya que, a raíz de los últimos acontecimientos internacio-nales, la Unión Europea quiere cambiar las bases de sus relaciones con Rusia, entre ellas la dependencia energética, por lo que nuestro país se podría convertir en una pieza clave, como transporte y distribución, para extender el suministro gasístico a través de la conexiones por gasoducto al resto de Europa como alter-nativa energética.

Todas las características técnicas y económicas explicadas del sistema gasista español, junto al número de acto-res que participan, hacen del sector un campo necesariamente regulado, con el objetivo de garantizar el suministro, su

El funcionamiEnto dE los diferentes servi-cios esenciales de la sociedad moderna se soporta sobre una serie de infraes-tructuras que deben ser especialmente protegidas para garantizar su normal actividad, ya que somos extremada-mente dependientes de ellas.

Con el objetivo de cumplir lo ante-riormente mencionado se estableció el marco normativo nacional sobre protec-ción de infraestructuras críticas, com-puesto por la Ley 8/2011 (‘Ley PIC’), de 28 de abril y el Real Decreto 704/2011, de 20 de mayo. El objeto de estas normas es regular y definir el sistema organizativo de protección de las infraestructuras críticas, así como coordinar las actuaciones de los distintos órganos de las administraciones públicas y del sector privado, mejorando las herramientas de prevención, prepara-ción y respuesta de nuestro Estado para garantizar la seguridad nacional frente atentados terroristas u otras amenazas


Ana Mª. Muñoz RodríguezCoordinadora del Grupo de Trabajo del PES del Subsector del GasJefa de la Sección de Coordinación, Comunicación y Tratamiento de la Información del Servicio de Normativa y Coordinación del CNPIC



Todas las características técnicas y económicas del sistema gasista español hacen del sector un campo necesariamente regulado para garantizar el suministro

calidad y eficiencia al menor coste posi-ble, así como la coordinación para la pla-nificación y respuesta ante una situación de emergencia a nivel regional, nacional y de la Unión Europea.

Como se ha mencionado, una parte de vital importancia es la garantía en la continuidad del servicio en los casos de emergencias, estando la misma asegura-da, ya que se han establecido obligacio-nes de mantenimiento, durante 20 días, de existencias mínimas de seguridad y de diversificación de los aprovisionamientos.

Una de las figuras más relevantes del sistema gasista español es el Gestor Técnico del Sistema, que es la entidad encargada de supervisar y controlar el funcionamiento del sistema con el objetivo de garantizar un suministro seguro y fiable de energía y el equilibrio físico del mismo.

En la estructura y funcionamiento del subsector del gas se han identificado cinco ámbitos esenciales: almacenamien-to, regasificación, transporte, distribución y operación del sistema. Además, en cada uno de ellos, se ha registrado a los princi-pales operadores estratégicos por los que son gestionados, así como las infraestruc-turas sobre las que se sustentan.

Realizado lo anterior se hace necesa-rio, en el desarrollo del Plan Estratégico Sectorial del Subsector del Gas, el estu-dio del impacto/consecuencia de la posible materialización de los riesgos y amenazas que tendrían como resultado la perturbación o destrucción de alguna de las infraestructuras que prestan los servicios esenciales en dicho subsector.

En el análisis de riesgos se han con-templado las amenazas potenciales, tanto de carácter físico como lógico, así como las vulnerabilidades que afecten al subsector, estimando el impacto que produciría en la ciudadanía.

Los aspectos mencionados deberán ser tenidos en cuenta en los respectivos Planes de Seguridad del Operador y Planes de Protección Específicos que

deben realizar los operadores que sean designados críticos.

Este análisis de riesgos a nivel estraté-gico finaliza con las valoraciones y reco-mendaciones para la gestión del ries-go en cada uno de los ámbitos en los que se ha dividido el subsector del gas, donde se describe cuál debería ser el tratamiento de las amenazas identifica-das, haciendo especial hincapié en las de naturaleza terrorista y/o deliberada y, en particular, en aquellas que tengan baja probabilidad pero un alto impacto sobre los ciudadanos debido a las con-secuencias que pueden producir en el grado de destrucción o perturbación en la continuidad del servicio. Para identificar las diferentes amenazas y riesgos, se ha tenido como referencia la Estrategia de Seguridad Nacional.

Finalmente, en el Plan Estratégico Sectorial del sistema gasístico, se esta-blecieron una serie de propuestas de carácter organizativo y técnico, con el fin de implantar las medidas adecua-das que permitan afrontar los diferen-tes escenarios recogidos en el análisis de riegos. Además de las medidas de carácter preventivo, se contemplaron aquellas acciones y procedimientos des-tinados al mantenimiento de las capa-cidades de respuesta de carácter tanto reactivo como de gestión y mitigación

de consecuencias. Asimismo, en esta última parte del Plan se ha articulado un procedimiento de coordinación o de medidas coordinadoras entre el Plan Estratégico Sectorial del Subsector del Gas con el Plan Nacional de Protección de Infraestructuras Críticas.

ConclusionesDesde el inicio hasta la elaboración de los primeros PES se ha realizado una ardua tarea, que en algunas ocasiones ha entrañado cierta dificultad, principalmente desarrollada para fomentar un campo hasta ahora poco trabajado como es la relación entre el ámbito privado-público, llegándose a establecer relaciones estre-chas y fructíferas para ambos, basadas en la mutua confianza.Es esperable que tras la elaboración de los primeros PES, en los que se ha usado una metodología de trabajo novedosa con la colaboración público-privada, traiga una serie de experiencias aprendidas y adqui-ridas que faciliten los trabajos a realizar en los PES que a continuación se efectúen.Por último, no quisiera dejar pasar la oportunidad de agradecer, a todas las personas que en algún momento han formado parte del Grupo de Trabajo para la elaboración del Plan Estratégico del Gas, el apoyo prestado y, por tanto, reco-nocerles el esfuerzo que han realizado.



El pasado 8 dE abril, el Tribunal de Justicia de la Unión Europea (TJUE) emitió la esperada sentencia sobre los asuntos acumulados C-293/12 y C-594/12 referentes a los recursos del Tribunal Superior de Irlanda y el Tribunal Constitucional de Austria, que solicitaban se examinara la vali-dez de la Directiva de Conservación de Datos (Directiva 2006/24) en rela-ción a los derechos fundamentales de la vida privada, la protección de datos de carácter personal y la libertad de expresión.

El objetivo principal de la Directiva 2006/24/CE era armonizar las dis-posiciones de los estados miembros sobre la conservación, por parte de los proveedores de servicios de comu-nicaciones electrónicas de acceso público o de redes públicas de comu-nicaciones, de determinados datos generados o tratados para garantizar su disponibilidad a las autoridades competentes con fines de prevención, investigación, detección y enjuicia-miento de delitos graves.

Esta sentencia destaca que la Directiva 2006/24/CE establece una excepción al régimen de protección

del derecho al respeto de la vida privada y a la de datos personales, establecido por las Directivas 95/46 y 2002/58, en relación al secreto de las comunicaciones y tratamien-to de datos de tráfico, la obligación de borrarlos o hacerlos anónimos cuando ya no son necesarios para la transmisión de comunicaciones, salvo en caso de facturación y otras finalidades legítimas reconocidas en la normativa.

Tras hacer un repaso a los artículos de relevancia de la propia Directiva 2006/24 invalidada y las Directivas 95/46 y 2002/58, aplicables todas ellas en conjunto a la práctica de la conservación, el TJUE argumenta su decisión y decide que la Directiva 2006/24 es inválida.

Se han hecho múltiples y diversos comentarios acerca de esta sentencia, mayormente orientados a celebrar su resultado, y a apuntar que, de momen-to, la ley española de transposición de la Directiva 2006/24/CE, Ley 25/200, no ha sido declarada inconstitucio-nal ni derogada, lo cual no evita la impugnación en juicio de las pruebas basadas en los datos de tráfico y loca-lización cedidos por los operadores previa orden judicial autorizante.

Coincidiendo con lo manifestado por la sentencia sobre el interés general subyacente, sobre la idoneidad de la retención para alcanzar los objetivos perseguidos y la necesidad de un control jurisdiccional estricto dada la relevancia y alcance de la medida, sin embargo, a continuación indicamos nuestra valoración de la fundamen-tación de la invalidez para contribuir al debate para el abandono definitivo de la Directiva 2006/24, o la revisión de su contenido para hacerla válida conforme al Derecho europeo:

A Afección a todas las personas, incluso a aquellas con obligaciones de secreto profesional, todos los

medios de comunicación electró-nica y todos los datos relativos al tráfico sin que se establezca ninguna diferenciación, limitación o excepción en función del objetivo de lucha contra los delitos graves.

La investigación de delitos infor-máticos conlleva serias dificultades, puesto que las evidencias electróni-cas son volátiles y efímeras y, ade-más, pueden mediar técnicas de anonimización, incidiendo todo ello en un alto grado de impunidad.

No ha de obviarse que las pruebas sobre delitos informáticos se sue-len consolidar por la suma de indi-cios suficientes obtenidos durante la investigación, no ya sólo en forma de evidencias electrónicas, sino tam-bién de pruebas físicas como hue-llas, ADN, documentación en papel, declaraciones testificales…

La interceptación de las comunica-ciones podrá, aunque �muy residual-mente, contribuir al esclarecimiento de hechos delictivos pasados; por otro lado, la preservación de datos de tráfico y localización pueden excep-cionalmente arrojar luz sobre hechos pasados. Por su parte, la retención de datos es más efectiva con respec-to a los delitos ya cometidos.

Existen medios de comunicación adicionales no incluidos en el alcan-ce de la retención de datos, tales como videoconferencia, mensajería instantánea, mensajes cerrados de diverso tipo en redes sociales, comu-nicaciones en redes privadas como universidades o empresas, acceso a Internet en cibercafés, etc.

Los datos retenidos están orien-tados a la identificación del qué (hechos delictivos), el cómo (actos ilí-citos), por quién (los autores, coope-radores…), el cuándo (fecha y hora) y el dónde (lugar concreto de comisión de los hechos o de efecto del daño causado), es decir, las cuestiones

Álvaro del HoyoLine of Business Manager Telco, Internet, Media y Entretenimiento de S21sec

Aproximación crítica a la sentencia queinvalida la Directiva de Retención de Datos




Esta sentencia destaca que la Directiva 2006/24/CE establece una excepción al régimen de protección del derecho al respeto de la vida privada y a la de datos personales

dos. Incluso habiéndolas cumplido todas, en caso de problemas de autenticidad, confidencialidad, inte-gridad o disponibilidad, los opera-dores podrán ser sancionados por encontrarse ante una obligación de resultado.

La destrucción definitiva de los datos personales está regulada mediante el principio de calidad de datos de la Directiva 95/46/CE y, más en concreto, por la cancelación de datos que exige sean borrados definitivamente o, en su caso, hechos inaccesibles mediante disociación de datos.En la Directiva 95/46/CE se establece un mecanismo de control sobre las transferencias internacionales, con-forme al que los operadores que trasladasen datos fuera del territorio de la Unión Europea, o países consi-derados puerto seguro, permanecen sometidos al control de las autorida-des competentes nacionales en materia de protección de datos per-sonales.

D Falta de seguridad y protección de datos personales, posibilidad de considerar cuestiones económicas al determinar el nivel de seguridad que aplicar, inexistente garantía de destrucción definitiva de datos y ausencia de obligación de ubica-ción de datos en el territorio de la Unión Europea.

Resulta un error que los legisladores tasen listados de medidas de seguri-dad, pues pronto quedarán obsoletas, amén de posibles omisiones y errores en su definición. La seguridad es una cuestión en constante evolución, dada la rapidez del cambio tecnológico y las nuevas amenazas.

Aun así, en España sí que tenemos tasado el nivel de seguridad aplicable a los datos de tráfico y localización en el Real Decreto 1720/2007 y las órde-nes ITC/313/2010 e ITC/682/2010, que establecen medidas concretas de seguridad aplicables a la conser-vación y cesión de los datos reteni-

básicas en toda investigación, que han de ser consideradas conjunta y no individualmente. Además, existen otros datos de tráfico adicionales como la intensidad de la señal, la dirección, la velocidad en que se movía el usuario o incluso la altitud a la que estaba.

B Ausencia de un criterio objetivo que permita delimitar el acceso de las autoridades nacionales compe-tentes a los datos y su posterior utilización con fines de preven-ción, detección o enjuiciamiento de delitos, control jurisdiccional o de organismo administrativo com-petente y de resolución motivada.

En nuestro Derecho, así como en el del resto de estados miembros de la Unión Europea, encontramos una reserva jurisdiccional para la injerencia en los derechos fundamentales de los sujetos con ocasión de la investigación de delitos graves, además de que se exijan una previsión legal autoriza-dora, resolución motivada y respeto del principio de proporcionalidad. Los jueces son los más indicados para resolver los conflictos entre derechos fundamentales y el interés general en la prevención, investigación y enjuicia-miento de delitos graves.

< Periodo de conservación de datos.

El TJUE parece no entender, u obviar, que todos los tipos de datos de tráfico relacionados con unos hechos delictivos han de ser considerados en su conjunto, pues de lo contra-rio se estaría limitando su eficacia en la investigación. No obstante, se podía haber limitado el plazo a seis meses, dejando la consideración de su ampliación a la revisión del marco jurídico establecido prevista por la propia Directiva.




GMV y BBVA hAn desArrollAdo e implantado Faro Corporativo, cuyo prin-cipal objetivo es el registro y seguimien-to de todos los incidentes de seguridad que se producen en las oficinas y sedes corporativas del Grupo BBVA.

Esta plataforma no es solo un repo-sitorio de incidentes, sino que va más allá, pues incluye una serie de funciona-lidades que posibilitan llevar a cabo una gestión integral de la seguridad.

Gestionar y explorar toda la informa-ción relativa a incidentes de seguridad. Además de registrar los hechos rela-cionados con los incidentes –atracos, robos, hurtos, fraudes, vandalismos y delitos similares–, tanto en edificios corporativos como en oficinas, la apli-cación permite, en cualquier momento, ver el histórico de los hechos en cada uno de los inmuebles y el detalle de lo sucedido, incluida la documentación asociada a cada hecho.

Faro Corporativo también puede rela-cionar o vincular incidentes ocurridos en diferentes oficinas o edificios que guardan relación entre sí, ya sea por modus operandi o personas involucra-das, posibilitando realizar un análisis global del problema y tomar medidas según cada caso.

La aplicación contribuye a llevar un registro económico de los sucesos e integrarlos con los sistemas de con-tabilidad para cruzar la información y obtener datos reales.

Inventario pormenorizado de todos los dispositivos de seguridad, instala-dos en cada oficina y edificio, a través de un catálogo único con elementos de seguridad que ha permitido unificar los nombres de los dispositivos y las mar-cas y modelos homologados por BBVA a nivel corporativo.

Con la plataforma, los profesionales encargados de los elementos de segu-ridad de las oficinas y edificios, además de disponer de un catálogo centrali-zado y homologado de elementos de seguridad, también tienen acceso a libros de registro de seguridad, certifi-cados, manuales internos, legislación, guías técnicas de los productos que están homologados, mantenimientos y revisiones realizadas y previstas, así como en qué oficinas o edificios con-cretos están instalados y ubicados los equipos.

Las ventajas de la gestión de los ele-mentos de seguridad son múltiples: con un solo clic se puede conocer cuántas oficinas o edificios tienen instaladas una cámara de vigilancia de una marca determinada o el sitio concreto donde está ubicada (planta, zona, cuarto, etc.) en cualquiera de los países en los que opera BBVA.

El registro y planificación de los ser-vicios de vigilancia asignados a las ofi-cinas y edificios, junto con la gestión de contratos y facturación, permite tener un seguimiento y control de la infor-mación asociada a la vigilancia de las entidades, lo cual posibilita tener una visión tanto a corto como a medio plazo de dicha gestión que ayude a tomar decisiones oportunas.

Gestión de presupuestos globales y detallados de los servicios relacionados con la seguridad, como los de vigilan-cia, para realizar previsiones de gastos anuales incurridos por estos conceptos.

Además de las previsiones anuales, la plataforma facilita realizar comparati-vas de presupuestos con años anterio-res y una serie de informes asociados

para ver, por ejemplo, lo presupuestado frente a lo planificado o facturado.

Gestión de auditorías de seguridad. Esta funcionalidad permite tener una foto de oficinas, edificios y cajeros auto-máticos, en cuanto a las medidas de seguridad existentes en concordancia con el entorno que la rodea, y disponer así de un mapa de riesgos de las mis-mas que ayuda a tomar las medidas necesarias en cada caso.

Gestión de empresas proveedoras de seguridad. Faro Corporativo posi-bilita gestionar empresas, así como los servicios que cada una de ellas presta en lo relativo a la seguridad.

La gestión de las empresas incluye la agenda de contactos o personal externo que presta servicios en las diferentes oficinas o edificios y el puesto que ocupan en cada uno de ellos, ade-más de la gestión de contratos y tarifas acordados con cada empresa para sus diferentes servicios.

José Manuel MolinaJefe de Sección Desarrollo GMV Secure e-Solutions

Giledys RivasJefa de Proyecto Desarrollo GMV Secure e-Solutions

BBVA y su avanzado Sistema de Gestión Global de la Seguridad


G Data. Security Made in Germany.

Sin brechas de seguridadcon G Data PatchManagement

Detección, gestión y sellado automático de parches de seguridad.

Las vulnerabilidades del software constituyen una amenaza claramente subestimada y son aprovechadas para todo tipo de ataques informáticos. Sin embargo, el 90% de estas vulnerabilidades ya tienen su parche correspondiente. Mantener todos los programas actualizados es, por tanto, crucial para la seguridad TI de cualquier empresa.

G Data PatchManagement es un módulo adicional y compatible con las soluciones corporativas de G Data que cierra de forma rápida y sencilla todas estas brechas de seguridad. La solución detecta las vulnerabilidades de los programas instalados y, de forma automática, incorpora las actualizaciones necesarias de una base de datos con más de 15.000 parches previamente veri� cados.

www.gdata.es/red

GDBANZ ES PatchM red 08-2013 A4.indd 1 13.08.13 14:10

http://www.gdata.es/red



Tanto el catálogo de empresas como el de servicios asociados a las mismas pueden ser de carácter local o corpo-rativo, permitiendo gestionar de forma integrada grandes empresas que ope-ran en diferentes países y que tienen contratos globales.

La plataforma, por otra parte, permite valorar la actuación de las empresas y su personal, así como llevar a cabo auditorías sobre sus actividades a tra-vés del seguimiento y evaluación de proveedores.

Informes de siniestralidad. El sistema ofrece la posibilidad de llevar un segui-miento de la siniestralidad y elabora informes, de manera automática, para consultar cuáles son las zonas más afectadas por la criminalidad de un determinado país y comparar los datos con el resto de los países para tener una visión global de los incidentes en cuanto a cifras, evolución, etc.

Cuadros de mando. Esta funciona-lidad define un conjunto de medidas que proporcionan una visión general de la gestión de la seguridad a través de la definición de indicadores, o KPI, que miden el nivel de desempeño, evolución y estado de ciertos aspectos del nego-cio. Además, es posible establecer para ellos objetivos mensuales o anuales y compararlos frente a los valores obte-nidos. Faro Corporativo no solo permite definir indicadores de conceptos y valo-res que existen en la aplicación, sino también configurar cualquier indicador que sea de valor para el usuario aunque no exista en la herramienta.

Existen otras funcionalidades y herra-mientas generales de la aplicación que dan robustez y valor a Faro Corporativo, caso de la incorporación de un gestor documental en el que es posible alma-

cenar toda la documentación asocia-da a cada incidente (denuncias, docu-mentación, cuadros de caja, etc.), así como fotos y vídeos relacionados con el incidente. Igualmente, el gestor docu-mental permite guardar documentación asociada a cada oficina y edificio, como certificados de instalación, registros de revisión, mapas o especificaciones téc-nicas de los dispositivos de seguridad instalados. Faro Corporativo también ofrece una biblioteca digital que posi-bilita centralizar toda la documenta-ción relacionada con la gestión de la seguridad: procedimientos y manuales internos, documentación normativa, legislación vigente, etc.

Por medio de esta gestión docu-mental se contribuye a un objetivo no comentado hasta el momento, pero no menos importante, como es la ‘oficina sin papeles’.

Otra de las utilidades que dan mucho valor son las potentes búsquedas avan-zadas que un usuario puede configu-rar y guardar si son recurrentes. Es posible, en cualquier funcionalidad de la aplicación, exportar o importar infor-mación en Excel, generar informes en Word y PDF, enviar por e-mail, confi-gurar y administrar listas locales y cor-porativas…

Faro Corporativo está diseñado como una plataforma mul-tipaís, de forma que es posible gestio-nar, a través de una única aplicación, la

seguridad de todas las oficinas y edifi-cios de los diferentes países en los que BBVA opera. La aplicación se puede adaptar muy fácilmente a las caracte-rísticas y necesidades de cada país, manteniendo una estructura común que favorece la homogeneización de los procesos de seguridad y permite la obtención de informes a nivel global.

Gracias a su potente motor de perfila-do, y a la gestión de ámbitos de actua-ción que incorpora, Faro Corporativo puede ser utilizado por todo el personal involucrado en la seguridad, desde los vigilantes hasta el responsable último del área de Seguridad Corporativa. Por otro lado, el diseño realizado permite obtener informes y cuadros de mando globales, en tiempo real, sin que estos impacten en las operaciones diarias que se realizan a través de la propia pla-taforma desde cada uno de los países.

Faro Corporativo está presente en España, México, Venezuela, Argentina y Paraguay y su despliegue continuará durante 2014 hasta alcanzar un total de diez países.

GMV comercializará la solución a nivel mundial, dirigida a los departa-mentos de seguridad de grupos banca-rios y también a multinacionales de sectores intensivos en oficinas, tiendas, etc., cuyas operaciones de seguridad afecten a un alto número de localizacio-nes.


La plataforma Faro Corporativo registra y hace el seguimiento de los incidentes de seguridad que se producen en las oficinas y sedes del Grupo BBVA


toda la información deseguridad TIC

a un clic

:::Información especializada sobre seguridad TIC

:::Accede GRATIS a la revista digital

:::Navegación fácil e intuitiva

:::Servicios GRATUITOS: newsletter, alertas

:::Accede GRATIS a la revista desde tu Tablet y Smartphone

apúntate gratis

webred.indd 1 20/02/2014 14:51:39




detectado hasta que la información llega al primer nivel de respuesta.

Tiempo de Explotación: El tiem-po que necesita un atacante para explotar el ataque (lograr el impacto deseado) después del éxito ini-cial del mismo (de la rotura de las defensas).

Tiempo de Reacción: El tiempo transcurrido entre la detección del ataque y el momento en el que estamos en condiciones de comen-zar a responder a dicho ataque.

Tiempo de Eficacia: El tiempo transcurrido entre que comienza la respuesta y esta alcanza un nivel de eficacia suficiente para impedir el éxito del ataque o minimizar su impacto.

Tiempo de Retirada: El tiempo que necesita un atacante, después de alcanzar sus objetivos, para des-aparecer del escenario y borrar su rastro.

Tiempo de Respuesta: Es la suma de los tiempos de detección, reac-ción y eficacia.

Hasta este momento, los mayo-res esfuerzos que han realizado las organizaciones han estado destina-dos a aumentar el tiempo de retar-do, primero, y a disminuir el tiempo de respuesta, después.

Para aumentar el tiempo de retardo, y por lo tanto el de ataque, lo habitual ha sido incrementar la cantidad y calidad de las medidas de seguridad con la intención de maximizar este tiempo y lograr el objetivo de llegar a impedir el éxito de los ataques. Para ello, se han instalado muros, puertas blinda-das, sistemas de cifrado, corta-fuegos, controles de acceso, etc.; en resumen, una serie de medidas de seguridad cada vez más avan-zadas y eficaces, pero con un coste económico que en muchos casos es muy importante. Este camino tiene un límite, no se puede

seguir invirtiendo hasta conseguir un tiempo de retardo que tienda al infinito.

Para disminuir el tiempo de res-puesta, el camino utilizado ha sido principalmente intentar que uno de sus componentes, el tiempo de detección, tienda a cero, y para ello se han instalado sistemas de detección y alarma avanzados, de alerta temprana, tanto en el mundo físico como en el ciberespacio, que implican una inversión en medios humanos y técnicos de un nivel aceptable para la reducción de tiempo alcanzada. Pero en el caso de otro de los componentes del tiempo de respuesta, el tiempo de reacción, es prácticamente inviable que el objetivo sea lograr el cero, por los costes que ello conlleva, dado que supondría tener todos nuestros recursos, listos para la intervención, las 24 horas de los 365 días del año.

El problema de los tiempos del que estamos hablando, y su posible solución, es idéntico tanto en un escenario del mundo físico como en el ciberespacio; pero, además, es que hoy en día la separación de ambos mundos ya no existe, lo que ocurre en el ciberespacio tienen reflejo en el mundo físico y viceversa, están completamente interrelacionados.

Por tanto, la respuesta a este problema de tiempos, que no es otra cosa sino la defensa de los activos de nuestra organización, debe plantearse en un escenario de interrelación entre el mundo físico y el ciberespacio.

Nuestro objetivo es impedir que el atacante tenga éxito, y para ello es necesario que nuestra respuesta ante un ataque sea efectiva, antes de que transcurra el tiempo que el atacante necesita para tener éxito en su ataque y explotar dicho éxito.

Una de las principales preocupa-ciones de los profesionales de la Seguridad es cómo hacer frente al reto que supone llegar a tiempo para impedir que un ataque tenga éxito o para limitar su impacto en el caso de que lo haya logrado.

Este problema del tiempo tiene diferentes enfoques y varian-tes dependiendo de los autores y modelos de seguridad. Para pasar de la prevención a la anticipación vamos a utilizar el paradigma de la Convergencia de la Seguridad, el modelo de Seguridad Integral, y lo primero, para ser concretos y pre-cisos, es definir qué entendemos por cada uno de los tiempos que intervienen en el problema.

Tiempo de Retardo: El tiempo que retrasan las medidas de segu-ridad que tengamos implantadas el éxito de un ataque.

Tiempo de Ataque: El tiempo que necesita un atacante para que su ataque tenga éxito.

Tiempo de Detección: El tiempo transcurrido entre el momento en que se ha iniciado el ataque y es

Ricardo Cañizares SalesDirector de Consultoría de Eulen Seguridad

De la prevención a la anticipación



Para garantizar la seguridad de una organización hacen falta cuatro elementos indispensables: inteligencia, personas, herramientas y metodología

no de la inversión; pues lo mismo ocurre con la inteligencia: las inver-siones que hagamos en esta materia van a tener un retorno mucho más alto que cualquier otra inversión en otro tipo de recursos.

Tenemos que pasar de una seguri-dad reactiva a una seguridad proac-tiva, debemos anticiparnos.

No podemos esperar a que nos golpeen para intentar reaccionar, siempre llegaremos tarde. Tenemos que tomar la iniciativa, sobre todo en aquellos campos en los que las empresas se juegan su superviven-cia. Y no solo me estoy refiriendo a campos como el de la protección de infraestructuras críticas, hay otros escenarios en los que la anticipación es necesaria y seguro que se les ocurren muchas circunstancias en las que sería de utilidad disponer de la capacidad de anticipación que nos proporciona la inteligencia.

a disuadirlo y hacer que abandone su ataque.

En el desarrollo de nuestro modelo de seguridad, siempre hemos desta-cado que para garantizar la seguri-dad de una organización hacen falta cuatro elementos indispensables: inteligencia, personas, herramientas y metodología.

El volumen de las inversiones en seguridad que realizan las diferentes organizaciones en estas cuatro áreas es dispar, dependiendo, entre otras cosas, de sus necesidades de segu-ridad y diferentes sensibilidades. En lo que sí coinciden casi todas ellas, por supuesto con alguna excepción, es que sus inversiones en inteligencia son prácticamente nulas.

Esta falta de inversión en inteligen-cia debe cambiar. Todo el mundo sabe que un buen procedimiento es una medida de seguridad barata, eficaz y eficiente y con un alto retor-

Tiempo de Respuesta < Tiempo de Ataque + Tiempo de Explotación

En esta carrera corre con ventaja el atacante, ya que él es quien decide el momento de salida, y lo escoge cuando las condiciones le son más propicias para alcanzar su objetivo.

En este momento, en la mayoría de los escenarios a los que tenemos que hacer frente, no es posible lograr una mayor reducción del tiempo de respuesta a un coste razonable, e incrementar el tiempo de ataque aumentando el tiempo de retardo en base a ampliar las medidas de seguridad implantadas; �tampoco es una solución que por relación coste/eficacia sea aceptable.

Ante esta tesitura solo nos queda intentar “adivinar” el momento y lugar del ataque para poder incluir un nuevo tiempo en la ecuación.

Tiempo de Anticipación: La ante-lación con la que nuestro servicio de inteligencia nos proporciona infor-mación fiable del posible inicio del ataque.

Tiempo de Anticipación + Tiempo de Respuesta < Tiempo de Ataque +

Tiempo de Explotación

Si, como hemos visto en el momen-to en el que nos encontramos, la res-puesta es anticiparnos, entonces la solución es la inteligencia.

Tenemos que ser capaces de detectar que un ataque va a comenzar y activar nuestros recur-sos, escasos y costosos, con la agilidad y rapidez necesarias para impedir que el atacante tenga éxito y lo explote. El mero hecho de la activación de los medios de res-puesta es una medida de seguri-dad eficaz, ya que va a ser detec-tada por el atacante y puede llegar


Loïc Guézo

Evangelista de Seguridad de la Información de

Trend Micro para el sur de Europa

¿Cuáles son las principales ame-nazas cibernéticas a las que deben hacer frente las empresas?Sin duda, actualmente son los ata-ques dirigidos, puesto que se diseñan con la intención de comprometer las defensas tradicionales de las organi-zaciones y poner en jaque su informa-ción, tanto la de gran volumen como la extremadamente precisa. En este sentido, se produce una mezcla de intereses económicos y de búsqueda de información relevante por parte de los cibercriminales. El problema es que está habiendo una proliferación de este tipo de amenazas, e incluso ya se empieza a hablar de la exis-tencia de armas cibernéticas, con códigos muy poderosos en manos de piratas cibercriminales o económicos.

¿Desde Trend Micro están consta-tando ese aumento de amenazas?Sí, sabemos que los ataques dirigi-dos están creciendo en los últimos años. En la empresa contamos con un equipo dedicado a su identifica-

ción y seguimiento. De hecho, cada semana localizamos entre tres y 25 nuevos ataques dirigidos en todo el mundo, que se van acumulando a los anteriores. Estas amenazas, además, son difíciles de ver por parte de las empresas, a las cuales les faltan pro-fesionales que los detecten.

Pero éstos no son los únicos ries-gos que van en aumento. Desde hace un par de años estamos analizando las tiendas de aplicaciones móviles. Allí, a finales del tercer trimestre del año pasado detectamos más de un millón de apps maliciosas; y para finales del segundo trimestre de este año esperamos que ese número se duplique. Eso significa que el soft-ware malicioso se están volcando con el entorno móvil. En la mayoría de los casos son aplicaciones muy complejas y muy bien desarrolladas. Por ejemplo, hemos descubierto apps que pretender conseguir dinero virtual mientras el móvil no se está utilizando o se está cargando. Eso hace que el usuario no vea necesariamente que su dispositivo está teniendo un compor-tamiento sospechoso. Y como cada

entrevista

"Hemos demostrado al mercado que sabemos adaptarnos a las evoluciones tecnológicas y a los nuevos tiempos"

El verano pasado Trend Micro

creó un nuevo cargo en la

compañía cuya función sería

supervisar el desarrollo estratégico

de la organización para sus

clientes y partners del sur de

Europa. Para ocupar el puesto

confiaron en Loïc Guézo, un

profesional con una trayectoria

de más de 25 años en el campo

de la seguridad informática.

Aprovechando su visita a España

para participar en el ISMS

Forum 2014, hemos tenido la

oportunidad de charlar con él

sobre las principales amenazas

cibernéticas a las que se

enfrentan las empresas de todo

el mundo, y las soluciones que

aporta Trend Micro para combatir

este tipo de riesgos que cada vez

más ponen en peligro el negocio

de las organizaciones.

Tx y ft: David Marchal.

protagonista segurtic


protagonista segurticentrevista

vez hay más dispositivos, esto va a suponer un serio problema. De hecho, éstas serán algunas de las grandes amenazas sobre las que tendremos que trabajar en los próximos años.

¿Cuál es la respuesta que está aportando Trend Micro?En el tema de las APT contamos con una tecnología que nos permite ana-lizar la red y el tráfico específico en una empresa; por ejemplo, quién se está metiendo en el correo electróni-co. Esto nos permite vigilar y alertar comprobando en un entorno sandbox el comportamiento de lo que puede parecer un malware.

En cuanto al apartado de movili-dad, hemos lanzado nuestra red de protección inteligente que denomina-mos MARS (Mobile App Reputation Services). En cuanto vemos aparecer una nueva app en el Marketplace en cualquier lugar del mundo, la descar-gamos y la ejecutamos en nuestro laboratorio para comprobar si es peli-grosa o no. A continuación, califica-mos la aplicación en tres niveles (sin riesgo, con riesgo o como mucho riesgo), en función de si deja acceso a los datos personales o se conecta a máquinas que no son honestas.

Por ejemplo, usted es usuario de la aplicación móvil de Trend Micro y se descarga una nueva app. Inmediatamente nuestra aplicación se comunica con nuestro centro de datos y la califica con los colores rojo, ama-rillo o verde, antes incluso de que se instale. Así protegemos al usuario.

Y, finalmente, contamos con la solu-ción Portable Security, que permite poner en alerta a los entornos de pro-ducción e industriales ante amenazas, donde no es posible parar una máqui-na para instalar un sistema externo, porque ha de estar trabajando las 24 horas del día.

Otro de los ámbitos en los que la seguridad resulta crucial es el cloud. ¿En qué situación se encuen-tra actualmente el mercado y cuál es la propuesta de su empresa?La seguridad en el entorno cloud es un aspecto muy importante. Hasta ahora, este apartado estaba relacionado con las infraestructuras en los centros de datos de las empresas, los cuales disponían de firewalls y equipos de

redes. Ahora se han pasado a la nube, y se impone, por tanto, un cambio de modelo para el cliente. Éste ya no es sólo el único que ejecuta las funciones de seguridad, pero sí es el que va a controlar su nivel de seguridad. Eso sí, puesto en práctica y ejecutado por el proveedor del servicios. Esto cambia la manera de trabajar del res-ponsable de seguridad. Claro que eso también crea un nuevo problema. Si una empresa tiene una intrusión en un servidor cloud, qué le garantiza a ella que el resto de clientes de ese servidor no son al mismo tiempo víctimas de esa intrusión. Antes, una organización tenía un centro de datos, lo asegura-ba bien y no se preocupaba de nada más. Hoy si la empresa está en una cloud pública muy compartida y hay un problema de seguridad en uno de sus clientes, potencialmente se puede extender la amenaza. Pero la pregunta

más importante aquí es cuál es el ries-go de poner mis datos en una empre-sa estadounidense si yo soy una com-pañía española, francesa o europea. En otras palabras, ¿cuál es el riesgo de que esos datos sean captados y analizados por mi competencia o por cualquiera? Eso está provocando que, por ejemplo, en Francia empiecen a aparecer cloud "soberanas" o "nacio-nales", con exigencias de seguridad adecuadas a la legislación del país, y evitando el riesgo de que los datos se marchen a otros estados.

En cuanto a nuestras soluciones para cloud, he de decir que somos partners históricos de los principales proveedores de cloud y virtualización, como por ejemplo Citrix y VMware. Por ejemplo, contamos con una solución como Deep Security para VMware, que permite llevar a la nube fuentes de seguridad tradicionales que teníamos

en las infraestructuras no cloud. De esta forma, somos capaces de acom-pañar la transformación de nuestros clientes que abandonan su centro de datos tradicional y pueden ir a cen-tros de datos intermedios con mucha más virtualización. Así podemos tener Deep Security tradicional trabajando con Deep Security para la virtualización y este cliente tener partes de cloud públicas o privadas. Por lo tanto, ten-dría la misma solución de seguridad en los servidores que puede encontrarse en un entorno físico tradicional, en uno virtualizado o en una cloud pública.

¿Cree que las empresas son reac-tivas ante este tipo de amenazas?Depende de cada compañía. Por lo general, los grandes grupos están muy sensibilizados, aunque se puede decir que a veces transcurren ciclos un poco más largos para poner en

práctica esos proyectos. Por otro lado, hay países en los que sus legislacio-nes imponen la puesta en práctica de medidas de seguridad, porque si no puede ser un riesgo penal para el dirigente de la empresa. Por ejemplo, en Europa hay leyes en muchos países que regulan la protección de los datos personales. Pero hay estados que van todavía más lejos, como Francia, que cuenta con una ley de programación militar en la que cada cinco años el Gobierno define sus orientaciones de Defensa Nacional. Y hace poco han establecido en términos de cibersegu-ridad la exigencia a los operadores de infraestructuras críticas de la puesta en marcha de ciertas medidas de seguridad y una coordinación con la Agencia Nacional para la Seguridad de los Sistemas Informáticos. Esto obliga a esas empresas, porque si no estarán incumpliendo la ley.

"La seguridad siempre es una lucha, una carrera permanente entre atacantes y defensores, y la defensa es mucho más dura"

Por otro lado, si nos fijamos en las pymes, también están sensibilizadas con la protección de su negocio, pero en ese caso el problema es una cues-tión de presupuesto y de organizar un proyecto de seguridad adecuado. De ahí que estemos asistiendo a la aparición de los llamados servicios gestionados de seguridad, que les proporcionan todo lo necesario para protegerse en un entorno 24/7.

¿Cuáles serían los pasos que debe-ría dar una empresa para llevar a cabo una estrategia de seguridad de forma adecuada?La primera medida es nombrar a un responsable de seguridad de las tec-nologías de la información (CISO). A continuación, ese profesional debe trabajar para establecer un plan de seguridad de las infraestructuras, que puede empezar por realizar audito-rías o tests de intrusión. En función de los resultados, se debería hacer un primer análisis y establecer un plan a un año, por ejemplo. Durante todo este recorrido el responsable de seguridad debe estar en contacto con los directivos de su empresa para que pongan en práctica este plan de seguridad; y por supuesto, hacerlo funcionar correctamente.

Este modelo permite entrar en un ciclo de mejora que se debe revisar cada año y presentar a la dirección general, explicando todos los aspec-tos en los que se va a trabajar. Ésta es la hoja de ruta adecuada. Ahora bien, no hemos de pensar que haciendo sólo esto estamos seguros. La seguri-dad siempre es una lucha, una carre-ra permanente entre los atacantes y defensores, y la defensa es mucho más dura que el ataque, como sucede en el deporte. El atacante sólo tiene que pasar una vez y habrá ganado: ha robado información, ha cogido datos, etc. En cambio, la defensa es todo el tiempo, las 24 horas del día, los siete días de la semana. Por eso hay que concienciarse y llevar a cabo un proceso de mejora constante de las nuevas tecnologías, pues cada minuto aparecen nuevos riesgos.

Volviendo a Trend Micro, ¿qué les diferencia de la competencia?Con respecto a los competidores más jóvenes nos diferenciamos en que el

año pasado festejamos nuestro 25 ani-versario. Durante este tiempo hemos demostrado al mercado que sabemos adaptarnos a las evoluciones tecnoló-gicas y a los nuevos tiempos. Todo ello bajo una buena solidez financiera. Y es que, algunos de nuestros competido-res están entrando ahora en Bolsa, y eso da muchos problemas si mañana la organización desaparece, o es com-prada por otra. En cambio, nosotros somos autónomos, quienes fundaron la empresa hace 25 años son quienes siguen teniendo el mando ahora.

Recientemente han firmado un acuerdo con la Unión Internacional de Telecomunicaciones (ITU, por sus siglas en inglés). ¿En qué consiste?Esta colaboración está basada en el intercambio de información. Lo que Trend Micro les ofrece es una red de protección inteligente (Smart Protection Network), junto con el ser-vicio de inteligencia que permite a la ITU integrar elementos de seguridad

de visibilidad mundial ofrecidos por nosotros en apoyo de su Agenda Global de Ciberseguridad. Esta alian-za permitirá proporcionar a sus 193 Estados Miembros, así como a más de 700 entidades del sector privado e instituciones académicas, información para combatir las ciberamenazas en todo el mundo.

Es un tipo de colaboración que ya hemos puesto en práctica anterior-mente con otras instituciones como, por ejemplo, la Interpol. En ese caso, colaboramos con ellos a través de su centro de excelencia Interpol Global Complex for Innovation (IGCI), con sede en Singapur, cuya misión es facilitar la cooperación internacional contra la ciberdelincuencia. Ahí com-partimos conocimiento, información y experiencia a través de nuestra red de protección inteligente y ponemos a su diposición a nuestros expertos con el fin de combatir el cibercrimen de forma eficiente y mejorar la seguridad digital global.


protagonista segurticentrevista

99.1%NSS Labs 2014 Breach Detection Tests

TOP SCOREen Detección de Intrusos

Trend Micro™ Deep Discovery

Descubre por qué Deep Security ha conseguido el apreciado Rating “RECOMMENDED” de NSS Labs:

• Detección de Intrusos—99.1 %. El más alto de todos los

productos analizados

• Cero Falsos positivos—Nada ocurrió durante los test

• Bajo TCO—Más del 25% inferior a la media

• 1 Gbps throughput Certificado—100% de capacidad

en régimen de Cargas de prueba reales de NSS Labs

Conozca todos los detalles en www.trendmicro.com/NSSLabsTopScore

© 2014 Trend Micro, Inc. All rights reserved. Trend Micro and the t-ball logo are trademarks or registered trademarks of Trend Micro, Inc.

ProgramAD_NSSLabs_140422US_espanol-OK.indd 1 30/05/14 12:04

http://www.trendmicro.com/NSSLabsTopScore

actualidad tecnológicanoticias

Tx: Ft:

ISMS Forum reúne a más de 300 profesionales de seguridad de TILa XV Jornada Internacional de ISMS Forum Spain congregó a expertos y representantes de empresas para debatir sobre la Seguridad de la Información. La colaboración pública-privada en este ámbito fue uno de los requerimientos más pronunciados.

ISMS Forum Spain sentó en la misma mesa a los responsables del Mando Conjunto de Ciberdefensa, CNPIC, INTECO y el departamento de Seguridad Nacional.


CerCa de 300 profesionales de la Seguridad de la Información aba-rrotaron, el pasado 28 de mayo, el salón de actos de la Secretaría de Estado y Telecomunicaciones y para la Seguridad de la Información del Ministerio de Industria, Energía y Turismo para asistir a la XV Jornada Internacional de ISMS Forum Spain.

El evento contó con la presen-cia del Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información del Ministerio de Industria, Energía y Turismo, Víctor Calvo-Sotelo, quien resaltó la revo-lución mundial que está suponiendo la evolución en las TIC. “Siete de cada diez ciudadanos en nuestro país y prácticamente todas las empresas españolas desarrollan su actividad en el ciberespacio”, afirmó, al tiempo que destacó la otra cara de la moneda, “la inminente necesidad que existe en este contexto por establecer un clima de confianza adecuado”. Por este motivo, hizo mención a las acciones que, con este objetivo fundamental, se están llevado a cabo desde el Gobierno, como la aprobación de la Estrategia de Ciberseguridad Nacional y la crea-ción del Consejo de Ciberseguridad

Nacional, dos iniciativas que cuentan con un presupuesto superior a los 59 millones de euros (de 2013 a 2015).

Ponencias y mesas redondasA partir de ese momento, llegó el turno de las ponencias. A través de un vídeo el auditorio pudo ver y escuchar a Martin Libicki, científico de RAND Corporation y profesor de US Naval Academy, quien expuso un recorrido por los múltiples riesgos que acechan a los usuarios digitales. Después, intervino Dimitra Liveri, represen-tante de la European Network and Information Security Agency (ENISA), quien apeló a la necesaria colabora-ción público-privada en ciberdefensa.

Ese requerimiento fue una cons-tante a lo largo de las diversas mesas redondas que se celebraron, como la que moderó Fernando Picatoste, de Deloitte, en la que se reunió por primera vez desde la aprobación de la Estrategia de Ciberseguridad Nacional a los articuladores de la ciberseguridad en España, el general de Brigada Carlos Gómez López de Medina, jefe del Mando Conjunto de Ciberdefensa; Miguel Rego, director general de INTECO;

Joaquín Castellón, director operati-vo del Departamento de Seguridad Nacional; Fernando Sánchez, director del CNPIC; y Gianluca D´Antonio, en representación de ISMS Forum Spain.

Durante la jornada hubo tiempo para abordar el tema de las ciberamena-zas y la ciberseguridad en sendas mesas redondas. Por ejemplo, Greg Day, vicepresidente EMEA de Fire Eye, se preguntaba en una de ellas: “¿Qué es realmente el éxito? ¿El volumen de ataques que impedimos que se produzcan cada día o el impacto que evitamos que se produzca en las orga-nizaciones a consecuencia de estos ataques?”. Y es que, como todas las empresas tienen su razón de ser en la creación de beneficios, afirmó, "el éxito ha de medirse por la capacidad de mitigar el impacto que pueda llegar a afectar a esos beneficios”.

Asimismo, durante la jornada tam-bién se generó un debate en torno a la seguridad en el `Internet de la Cosas´. Y es que, con más de 26.000 millones de dispositivos conectados a Internet, asegurar esas comuni-caciones y su disponibilidad resulta crucial para su desarrollo futuro.

Otras sesiones que despertaron el interés fueron las que abordaron la seguridad en las apps basadas en cloud, y la privacidad como herra-mienta para la confianza. La primera se focalizó en tres cuestiones: la inse-guridad en el tratamiento de los datos que existe entre los usuarios de este tipo de servicios, la necesaria homolo-gación de certificados y la dificultad a la hora de migrar datos o interconec-tarlos con otras herramientas cloud. En cuanto a la segunda, los ponentes coincidieron en que la privacidad se trata de un valor añadido que las empresas de servicios han de ofrecer a sus clientes y ha de exigirse por parte de las autoridades competentes, pero no desde el punto de vista de la sanción, sino de los incentivos.



actualidad tecnológica noticias

Tx: E. González/D. Marchal/B. ValadésFt: Red Seguridad

El CEntro SupErior dE Estudios de la Defensa Nacional (CESEDEN) acogió la primera edición de las Jornadas de Ciberdefensa, organizada por el Mando Conjunto de Ciberdefensa de las Fuerzas Armadas (MCCD) en colaboración con la empresa pública Ingeniería de Sistemas para la Defensa de España (ISDEFE).

La inauguración corrió a cargo del ministro de Defensa, Pedro Morenés, quien se refirió a las responsabilidades que tienen las Fuerzas y Cuerpos de Seguridad del Estado con el ciberespa-cio. De manera especial, incidió en que se debe “impedir su uso con finalidades que no sean las de potenciar el desarrollo armónico de la sociedad y sirvan para canalizar actividades ilegales”. Por dicho motivo, resaltó, todos los organismos han de trabajar de forma “conjunta y combina-da” para sumar esfuerzos y, entre todos, dotar a nuestro país de una ciberdefensa apropiada. “No hay que pararse nunca a pensar que ya está todo hecho, sino en permanente renovación. Sólo así seremos capaces de defendernos”.

A continuación, tomó la palabra Carlos Gómez López de Medina. El general jefe del Mando Conjunto de

Ciberdefensa expuso las funciones y objetivos de este organismo de reciente creación: “Nuestro fin permanente es desarrollar las capacidades de defensa, explotación y respuesta” en el ámbito del ciberespacio. Para ello, precisó que espera contar con un equipo de 70 profesionales a la conclusión de 2014.

Mesas redondas y panelesTras las intervenciones de apertura, tuvieron lugar, durante cuatro días, una serie de mesas redondas y paneles en los que se abordaron contenidos de lo más diverso, desde la ciberdefensa en el seno de las Fuerzas Armadas hasta los peligros que encierran la denomina-da Deep Web –también conocida como Internet Profunda e Internet Invisible– o las redes sociales. Respecto a estas últimas, Miguel Rego, director del INTECO, esclareció que “son un foco de infección de malware”, un peligro al que se deben sumar otros como daños a la reputación, la creación de perfiles falsos o la propagación de bulos.

Y todo ello en un escenario, según el coronel Enrique Porras Montesinos (CIFAS), en el que “se ha pasado de los hackers friquis a especialistas que lle-gan a colaborar con empresas e inclu-so gobiernos”. Un hacktivismo crecien-te que, tras la aparición de amenazas

de gran calado como La Máscara u Operación Windigo, “seguirá dando mucho que hablar en el futuro”, advirtió Marcos Gómez Hidalgo, subdirector de Programas del INTECO.

Para hacer frente a los riesgos que nos acechan, en las jornadas quedó patente la relevancia de los CERT o CSIRT –centros de respuesta ante inci-dentes–, la figura del analista de inteli-gencia en el entorno de las TIC, el desa-rrollo de un marco jurídico específico, herramientas públicas como la Oficina de Seguridad del Internauta (OSI), etc.

En cuanto a los retos pendientes, Miguel Ángel Abad Arranz (CNPIC) y Javier Candau Romero (CCN) coinci-dieron en la necesidad de abordar con eficacia la ciberprotección de las infra-estructuras identificadas como críticas.

La educación, vitalAdemás de los organismos públicos, las empresas (Deloitte, Hewlett Packard, S21sec y DinoSec) y el sector académico también jugaron un destacado papel en las jornadas. En materia educativa, se puso de manifiesto la necesaria adap-tación de los planes de formación al ámbito de la ciberseguridad desde los primeros ciclos de enseñanza. Así, el profesor José Javier Martínez Herráiz, de la Universidad de Alcalá (UAH), destacó los cursos de concienciación dirigidos a niños, adolescentes y universitarios, mientras que Eduardo Huedo Cuesta, de la Universidad Complutense de Madrid (UCM), alertó de la ausencia de valores en la sociedad actual. Al respecto, puso como ejemplo las descargas ilegales, “una acción que conlleva riesgos. Para prevenirlos, es más relevante el compor-tamiento humano –cómo usamos los dispositivos– que la tecnología”.

Las jornadas fueron clausuradas por el jefe del Estado Mayor de la Defensa, Fernando García Sánchez, quien se mostró confiado en que este tipo de eventos ayude a mejorar la ciberdefensa en España.

Durante cuatro días, las instalaciones del CESEDEN albergaron las I Jornadas de Ciberdefensa, saldadas con un notable éxito de participación y asistencia. En dicha materia, según Carlos Gómez López de Medina, jefe del Mando Conjunto de Ciberdefensa, nuestro país está avanzando, pero, utilizando un símil futbolístico, ha de mejorar para, “en lugar de la UEFA, jugar en la Liga de Campeones”.

Objetivo: jugar en la Champions



OrganizadO pOr Seguritecnia junto a las principales asociaciones de directo-res de Seguridad (AEDS, ADSI y ASIS Internacional) y el apoyo de los patro-cinadores CCTV Center, Tesa-Assa Abloy, GMV y Casesa, el V Congreso de Directores de Seguridad reunió a más de 300 profesionales en el madrileño Hotel Meliá Castilla.

Con un marcado carácter internacio-nal, el congreso fue inaugurado por Juan Antonio Puigserver, secretario gene-ral técnico del Ministerio del Interior, y tuvo su eje principal en la nueva Ley de Seguridad Privada, en la que cobra especial relevancia la figura del director de Seguridad. En lo relativo al amplio abanico de funciones de este profesio-nal, y los retos que debe afrontar, buena parte de los ponentes coincidió en que la seguridad actual ha de tratarse desde una perspectiva integral, aportando, ade-más, valor añadido a las organizaciones.

Seguridad integral corporativaEntre los casos mencionados, José María Rico, responsable de Seguridad y Salud de Red Eléctrica, desveló que su departamento se puso en marcha “para afrontar el recordado y temido efecto 2000”, ejemplificando así que la

preocupación por los riesgos derivados de las nuevas tecnologías no es algo, precisamente, nuevo.

Por su parte, Julio Corrochano, direc-tor de Seguridad Corporativa del Grupo BBVA, hizo hincapié en Faro Corporativo, una plataforma tecnológica desarrollada en colaboración con GMV que, entre otras funciones, facilita la gestión de los incidentes de seguridad que se registran en las sedes de la entidad bancaria en cualquiera de los países en los que opera. Una solución que posibilita “saber qué está pasando, en qué lugar y cómo solucionarlo”, precisó Inés Díaz, directora de Producto de Seguridad Corporativa del Grupo BBVA.

Otra muestra de las complejidades a las que deben hacer frente los res-ponsables de Seguridad fue expuesta por Jacinto Muñoz, subdirector corpo-rativo de Seguridad en Aplicaciones de Mapfre, quien incidió en la importancia de desarrollar un modelo integral para proteger no sólo a las personas, sino también a “la información y el cono-cimiento”; y, no menos relevante, “la destrucción segura de documentos o la retirada de dispositivos informáticos”.

Y, en sintonía con Muñoz, Rafael Araujo, director de Seguridad Corporativa de Repsol, explicó que la principal misión del equipo que encabeza es “la protec-ción de las personas, intereses, bienes y conocimiento de la compañía frente a

las agresiones, internas o externas, de origen físico o cibernético”. Respecto a este último término, Araujo esclareció que “cada vez cobra más fuerza en los documentos internos de la compañía”.

Ejemplos prácticosIgualmente, el papel que desempeñan las nuevas tecnologías en la seguridad del siglo XXI quedó de manifiesto en otros ejemplos. Así, Carlos Valenciano, perteneciente a la Unidad de Negocio de Tesa-Assa Abloy, se refirió a ellas al hablar de SMARTair, “una plataforma de gestión y control de accesos basa-da en cerraduras inteligentes asocia-das a equipos de gestión online”.

Y también Rosa Gascueña, directora de la Academia Center Vídeo de CCTV Center, al diseccionar la tecnología IP Fácil: “Las cámaras IP nos plantean nue-vos retos a nivel profesional porque entra en juego un factor tan importante como la Red, el medio de transmisión de los datos y las imágenes. Si no cumple con los requisitos exigidos, todo el sistema puede verse afectado y ser deficiente”.

Nuevas competenciasEn la clausura del congreso, el comisa-rio Esteban Gándara, jefe de la Unidad Central de Seguridad Privada (UCSP) del Cuerpo Nacional de Policía, aludió, entre otras cuestiones, al nuevo Reglamento de Seguridad Privada: “Cuando defina qué es un departamento de Seguridad, probablemente le asigne cometidos y, en consecuencia, como no hay depar-tamento sin director al frente, este último verá incrementadas sus funciones” con las atribuciones que le sean estipuladas al área que representa.Competencias que, como quedó de manifiesto en la jornada, serán cada vez más diversas y en las que las nuevas tecnologías desempeñarán una función vital, tanto para gestionar la seguridad tradicional como para prevenir y combatir las emergentes ciberamenazas.

Tx: B. ValadésFt: Red Seguridad

El V Congreso de Directores de Seguridad puso de manifiesto que la seguridad actual ha de abordarse de forma integral, empleando las nuevas tecnologías tanto para su gestión como de cara a hacer frente a las ciberamenazas.

La importancia de las nuevas tecnologías en el ámbito de la seguridad

telefonica A4.indd 1 05/06/2014 13:32:12

http://www.telefonica.com/ingenieriadeseguridad


asLAN.2014 reúne al sector para hablar de ‘cloud’, ‘big data’ y movilidad

tes expertos en las Administraciones Públicas, tecnologías big data y secto-res específicos de aplicación como la salud, los seguros y la ciberseguridad.

Asimismo, enerTIC también organi-zó su Congreso anual en el marco de asLAN.2014, que este año giró en torno a eficiencia energética en ciuda-des, espacios y edificios conectados, con temáticas muy ligadas al mundo de la red como la aplicación del big data o el Internet de las cosas, y la monitorización y gestión de la energía. Finalmente, destacó el área de exposi-ción, que se configuró como un espa-cio de encuentro entre profesionales.

CerCa de 4.000 profesionales asis-tieron los días 23 y 24 de abril al Congreso y EXPO asLAN.2014 "Cloud&Network future", un evento anual que acogió a unos 120 ponen-tes y cerca de cien empresas parti-cipantes para hablar de las últimas tendencias y tecnologías relaciona-das con cloud, big data y movilidad.Para la organizadora del evento, la Asociación @asLAN, los resultados de participación obtenidos en esta vigésimo primera edición han sido muy positivos. "Es un éxito poder realizar un gran congreso nacional en torno al mundo de la red y haber conseguido la implicación de tantas compañías, expertos y entidades de referencia del sector", afirmó su pre-sidente, Jesús Pampyn.

Durante el Congreso, se habilita-ron varias salas de conferencias en las que se abordaron temas como el despliegue de nuevas redes e infraestructuras en cloud, la creación de valor en empresas conectadas, modelos de negocio en el ámbito del big data o la movilidad en entor-nos corporativos; así como diversas demostraciones y talleres y varios casos de éxito e iniciativas en las Administraciones Públicas.

Paralelamente a estas sesiones, este año han destacado los ciclos de conferencias coordinados por otras entidades, que han permitido ampliar la oferta de conferencias. Según Francisco Verderas, secretario de la Asociación @asLAN, "la experiencia ha sido muy positiva y de cara a 2015 queremos colaborar con todas las entidades que puedan coordinar un programa de conferencias de interés, que incremente el atractivo para los asistentes".

Entre ellas, destaca el Foro BigData, que permitió compartir experiencias, sensaciones y realidades con ponen-

La Agencia Española de Protección de Datos (AEPD) ha celebrado en el Teatro Real de Madrid su Sexta Sesión Anual Abierta, un punto de encuentro entre la Agencia y múlti-ples sectores empresariales y sociales para dar respuesta a sus inquietudes. La apertura del evento, al que asistie-ron más de 1.200 expertos, corrió a cargo de José Luis Rodríguez Álvarez, director de la entidad, quien destacó que la protección de datos va a con-vertirse en un elemento esencial en la configuración de los modelos de negocio de Internet en los próximos años, estableciendo que este derecho fundamental tiene una importancia real “que va más allá de la imagen de carga administrativa que se fomenta desde algunos sectores”.

Durante su intervención, el directivo definió la protección de datos como un elemento básico para potenciar la confianza de los usuarios en un mundo marcado por los avances tec-nológicos, la deslocalización de la información y la tensión entre libertad y seguridad. Además, habló de “una nueva herramienta para ayu-dar a gestionar los posibles riesgos que un producto o servicio puede implicar para la privacidad”, denomina-da Evaluación del Impacto en la Protección de Datos (EIPD). Esto permite descu-brir riesgos y corregirlos, lo que repercute en un ahorro de costes y un refuerzo de la reputación de las entidades.

La Agencia Española de Protección de Datos organiza su Sexta Sesión Anual Abierta

Por último, a lo largo del evento se presentó el borrador de una Guía de Evaluación del Impacto en la Protección de Datos (EIPD), que pre-tende fomentar una mejora proactiva de la privacidad, y se realizó un análi-sis de las diferentes áreas de la Agencia y sus herramientas online.




InfoSecurity 2014 atrae a unos 15.000 visitantesLondres acogió un año más el mayor evento paneuropeo sobre seguridad de la información, InfoSecurity Europe 2014, entre los días 29 de abril y 1 de mayo. Durante el evento, que con-gregó a más de 15.000 profesiona-les de 73 países, se abordaron temas como la necesi-dad de compartir la inteligencia de seguridad entre los países, con el fin de protegerse frente a los ata-ques cibernéticos; y conseguir que la percepción sobre seguridad se extienda más allá de los departa-mentos de TI y llegue a los consejos de administración de las empresas. Para el responsable de Marketing de Infosecurity Europe en Reed Exhibitions, Joy-Fleur Brettschneider, "la conferencia de este año demostró

que los profesionales del sector de la seguridad no pueden sentarse más fuera de la sala de juntas. Y es que las consecuencias de una brecha de seguridad no sólo afectan al equipo de TI, sino a toda la organización".

Finalmente, participaron en el even-to un total de 345 expositores de 24 países, los cuales presentaron sus últimas innovaciones en en este ámbi-to, de los que 78 eran nuevos con respecto al año pasado.

Durante el Cloud Leadership Forum 2014, organizado por IDC, se celebró la sesión denominada Seguridad en cloud, de manos de Antonio Ramos, CEO de Leet Security. Durante su intervención, el directivo hizo un repa-so a las normativas y asociaciones relacionadas con la nube, para des-pués pasar a tratar las diversas ins-tituciones certificadoras de entornos de seguridad en proveedores cloud. Ramos destacó el acuerdo entre la Cloud Security Alliance (CSA) y BSI, gracias al cual el segundo verifica el cumplimiento de la norma ISO 27001 por parte del proveedor cloud, así como de los controles de seguridad desarrollados por la CSA basados en los Cloud Controls Matrix.

Otro método de certificación es Star Audit, elaborado por Eurocloud Alemania. “Se trata de un esquema en el que se han desarrollado criterios de certificación en distintos niveles: tres, cuatro o cinco estrellas, y que

también valida la cadena de aprovisio-namiento de servicios”, afirmó.

Por último, Ramos se detuvo en explicar el servicio de calificación de seguridad que ofrece Leet Security, “que aporta información a los poten-ciales clientes de servicios cloud sobre las medidas de seguridad implanta-das, así como su capacidad de res-puesta en caso de incidente”, comen-tó. Este servicio se incluye en la lista de esquemas de certificación para la nube (Cloud Computing Certification Schemes List o CCSL), desarrollada por la Agencia Europea para la Seguridad de la Información y las Redes (ENISA). La calificación ofrecida por Leet Security para un determinado servicio se establece en cinco niveles, que van de la A (el mejor) a la E (el peor), y puede ser utilizada por el clien-te para valorar a priori la confidenciali-dad, la integridad y la disponibilidad del mismo en relación con los ofreci-dos por otros proveedores.

Certificación en seguridad para entornos cloud



Por primera vez, el Ministerio del Interior ha presentado los datos relativos a la ciber-criminalidad y los delitos relacionados con las nuevas tecnologías, reflejados en un documento que constituirá uno de los apartados del Anuario Estadístico 2013.

Las cifras muestran que, si bien el número de infrac-ciones penales conocidas parece estabilizado –de las 42.855 registradas en 2012 se pasó a las 42.437 en 2013–, los ciberdelitos supo-nen un porcentaje mayor, ya que representan casi dos tercios del total.

De manera signif icativa destacan los casos de frau-de informático, a la cabeza del ranking con un 62,8%, en tanto que la falsificación informática ocupa la quinta posición con un 3,8% de la distribución porcentual.

Por otra parte, la efec-tividad de las Fuerzas y Cuerpos de Seguridad en la represión de estos delitos se ha incrementado, tal y como muestran los datos crecien-tes de hechos esclarecidos y personas puestas a dispo-sición judicial.

El Ministerio del Interior presenta los datos relativos a la cibercriminalidad

En el anterior número de RED SEGURIDAD (núm. 64, abril), atribuimos erróneamente a Diego Pérez de los Cobos el cargo de coordinador del Gabinete Técnico del Secretario de Estado de Seguridad, en las páginas dedicadas a los Trofeos de la Seguridad TIC. El cargo correcto es el de director del Gabinete de Coordinación y Estudios de la Secretaría de Estado de Seguridad.

Fe de erratas


privacidadopinión

El Tribunal dE JusTicia de la Unión Europea (TJUE) fallaba, el pasado 13 de mayo, en relación con el llamado “caso del derecho al olvido”, una sentencia que, aunque se ciñe a dar respuestas a la cuestión prejudicial planteada por la Audiencia Nacional de España en relación con el procedimiento Google Spain, S.L., Google INC, de una parte, y la Agencia Española de Protección de Datos y Mario Costeja González, de otra, tiene una enorme repercusión, tanto desde la perspectiva de la apli-cación del derecho a la protección de los datos personales en la UE, como para el propio devenir de Internet y de la industria tecnológica.

A continuación, se van a esbozar sus principales consideraciones, el impacto inicial en los derechos de los ciudada-nos, así como parte de los desafíos que “a futuro” plantea esta jurisprudencia.

En primer lugar, resulta clave partir de las siguientes consideraciones iniciales que realiza el TJUE:

Una es la caracterización de la activi-dad de los motores de búsqueda como “tratamiento de datos personales”, al explorar Internet de una forma automati-zada, constante y sistemática en busca de información, proceder a su recogida, registro y organización posterior, sien-do conservados en sus servidores, así como comunicados a sus usuarios en forma de listas de resultados de sus búsquedas.

El caso del derecho al olvido

Tribunal de realizar una interpretación amplia o expansiva, del concepto de interés legítimo, del de responsable del tratamiento, así como del de estable-cimiento permanente, precisamente, según la Gran Sala, al objeto de garan-tizar lo máximo posible la protección de los derechos de los interesados.

Derecho del ciudadanoEste posicionamiento jurisprudencial no resulta baladí, pues plantea nue-vos interrogantes, por ejemplo, acerca del concreto cumplimiento por dichos motores de la totalidad de las obligacio-nes que recaen sobre los responsables (notificación de ficheros, cumplimiento de los distintos principios esenciales del tratamiento, establecimiento o el cumplimiento de las medidas de segu-ridad y de índole técnica y organizativa que resulten necesarias, etc.). Porque la teoría está clara, pero no lo está tanto el cómo los citados motores han de cum-plir con estas obligaciones de forma efectiva y práctica.

Partiendo de lo anterior, y en los casos indicados, el Tribunal viene a reconocer el derecho de los ciudada-nos a solicitar, no sólo frente al editor de la página web inicial en la que se vol-caron nuestros datos personales, sino también directamente frente al motor que corresponda, la retirada de dicha información de los resultados de bús-queda que éste arroje, en particular,

La calificación de los motores como “responsables del tratamiento”, todo ello, en el sentido de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, la Directiva 95/46/CE). Tal calificación se fundamenta en el hecho de que los motores determinan los fines y medios de esta actividad, a lo que se oponen de forma drástica los propios motores de búsqueda que afirman que ni conocen los datos que indexan, ni ejer-cen control alguno sobre ellos.

La actividad de promoción y venta de espacios publicitarios que un motor de búsqueda realice en un Estado miembro y dirigida a sus ciudadanos, a través de una filial o establecimiento en el mismo, aunque no sea una actividad directamen-te vinculada a la indexación o al almace-namiento de información o datos (que realizaría la matriz ubicada fuera de la UE), sin embargo, constituye parte esencial de la actividad comercial de aquél (por-que posibilita que sea económicamente rentable) y, por ende, se encuentra estre-chamente relacionada con la actividad principal de la matriz. Esta relación es la que fundamenta su consideración como establecimiento permanente en el sentido de la Directiva 95/46/CE.

Estas dos últimas consideraciones ponen de manifiesto la decisión del

Noemí BritoMiembro del Comité Operativo del Data

Privacy Institute de la Asociación Española para el Fomento de la Seguridad de la

Información (ISMS Forum Spain)

Francisco Javier CarbayoMiembro del Comité Operativo del Data Privacy Institute de la Asociación Española para el Fomento de la Seguridad de la Información (ISMS Forum Spain)


privacidad opinión

ellos” (cuando se refiere a los artículos 12, letra b) y 14, párrafo primero, letra a), de la Directiva). ¿Obvio? Como todo, depende del cristal con que se vea… y de quién mire a través del cristal.

Otra cuestión muy relevante al consi‑derar la afección a los fundamentos de la Red de la sentencia son los condicio‑nantes territoriales de su posible impacto. Recordemos que habla de: “motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publi‑citarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro”. ¿La conjunción copulativa de ambos requisi‑tos es el reconocimiento de una limitación o un arrogante “esto es lo que hay, sino te gusta ya sabes”? Seguramente una mezcla de ambas cosas.

En conclusión, la sentencia del TJUE en el asunto C‑131/12, claramente es un punto de inflexión, es una de las principa‑les puertas de entrada y servicios en Internet como son los buscadores, y en especial para Google, a quien obliga a considerar, implantar y gestionar (con las consecuencias de todo tipo que ello conlleva) mecanismos para que los indi‑viduos puedan alterar, modificar o variar su presencia en los resultados de las búsquedas. Pero aun más importante, si cabe, la sentencia supone un espaldara‑zo grande a la privacidad y la protección �de datos como derechos que se miden en igualdad con otros en caso de conflic‑to, a veces ganando y otras no.

Entonces, ¿cuál es la respuesta a la pregunta planteada al principio? ¿Afecta esta sentencia a los fundamentos de la Red? Podemos decir que sí, pero no en el sentido de que volvemos a un hipotético punto de partida, sino en el sentido de que entramos en otro estadio, escenario o contexto que hasta ahora parecía poco probable.

Recordemos que habremos asistido ya todos nosotros al “ensayo con públi‑co” de la muerte y entierro de la priva‑cidad, el olvido, la autodeterminación informativo… Pues bien, la Sentencia del TJUE deshace esa ficción, para afirmar que en el juego de derechos a tener en cuenta en situaciones como la que son objeto de la cuestión prejudi‑cial, la privacidad y la protección luchan en igualdad y miran a los ojos desde su misma altura al resto de derechos a tener en cuenta.

Porque, en buena medida, más allá de titulares de prensa y aseveraciones breves pero interesadas, la sentencia, a pesar de su trascendencia, no supone una revolución en sí misma, sino que supone una obligación para sus desti‑natarios. Lo que viene a decir a todas las partes es: “miren, caso por caso, habrá que ver qué derechos imperan, y cuando se alineen los planetas para que preva‑lezca el derecho al olvido, pues prevalece éste, y cuando se alineen en otro sentido, pues otra será la conclusión”.

No se debe olvidar que la sentencia dice “siempre que se cumplan real‑mente los requisitos establecidos en

cuando ésta ya no tenga ninguna rele‑vancia o interés público (aunque no les causen perjuicio alguno). Lo anterior opera con independencia de que no lo haya hecho el editor, o de que éste haya solicitado o no al motor la respec‑tiva desindexación, o que la publicación pueda considerarse lícita. Si no resultan atendidas sus pretensiones, el ciudada‑no puede acudir a las autoridades de control o a los juzgados.

Ahora bien, este derecho no se per‑fila ni como un derecho automático, ni cómo un derecho absoluto, puesto que:# No opera cuando el afectado tenga

relevancia u ostente un cargo públi‑co y el acceso a esta información esté justificado por el interés públi‑co (no parece que deba concurrir esta limitación cuando se refie‑ra a su esfera personal e íntima, ajena por completo al ámbito de su actuación o proyección pública).

# Debe articularse de forma ade‑cuada con otros derechos funda‑mentales igualmente reconocidos como son la libertad de prensa, información y expresión.

# Antes de proceder a la cancelación, bloqueo y supresión de los datos, se deben ponderar, al menos, las anteriores consideraciones, ya sea por el editor, por el buscador o, en última instancia, por las respectivas autoridades y órganos jurisdiccio‑nales competentes.

Escenario para los buscadores¿Esta sentencia afecta a los fundamen‑tos de la Red? Vamos a exagerar un poco. ¿No parece que ahora ya no hay que saber nada, sino que sólo hay que googlear (vaya palabro…) unos términos de búsqueda para que se nos muestre dónde residen las respuestas? ¿No es sino porque confiamos en que los bus‑cadores en general y Google en particu‑lar nos digan dónde está la información que necesitamos?

Si es así, tenemos esa confianza, pero no vamos a decir que la sentencia del TJUE, manida y manoseada hasta la saciedad tras su publicación, destruye esa confianza, porque ya había diferentes situa‑ciones (sitios web y servicios configurados y/o configurables para que Google no los indexara, Deep web, etc.) que quedaban fuera del alcance de los buscadores.

60 red seguridad Junio 2014

empresanoticias

El mayorista Arrow, en colaboración con las compañías NetApp, Symantec y VMware, ha organizado en siete ciudades españolas (Mallorca, Bilbao, Sevilla, Valencia, Santiago, Barcelona y Madrid) el roadshow tecnológico Integración e innovación a tu alcance. El objetivo, según Manuel Alonso, director de la unidad de negocio de Almacenamiento y Virtualización de Arrow ECS Iberia, era "dar a conocer a sus principales partners las solucio-nes tecnológicas globales de almace-

namiento, seguridad y virtualización que distribuye la empresa y que les permitirá proporcionar a sus clientes una oferta integral más competitiva".

En total, más de 200 personas asis-tieron a estas reuniones, donde pudie-ron descubrir cómo es posible gene-rar nuevas oportunidades de venta y maximizar los beneficios y márgenes de sus proyectos de almacenamien-to, seguridad y virtualización, aprove-chando las sinergias entre fabricantes como NetApp, Symantec y VMware.

Arrow organiza un roadshow sobre almacenamiento, seguridad y virtualización

Con el objetivo de potenciar la formación técnica y práctica en los aspectos más rele-vantes en la protección de aplicaciones, sistemas, infra-estructuras y redes de control y automatización industrial, S21sec, en colaboración con el Centro de Ciberseguridad Industrial (CCI), ha impartido el curso Estrategias de Defensa Frente a Ciberataques con-tra sistemas de Control y Automatización Industrial.

Dividido en dos fases, el curso iba dirigido a técnicos de seguridad de la informa-ción, personal de seguridad, ingenierios de red e integra-dores SCADA de empresas operadoras de infraestructu-ras industriales críticas y de ingenierías o integradoras involucradas en su diseño, operación y mantenimiento. En una primera fase ha abor-dado tanto la problemática de seguridad, como las téc-nicas de puesta a prueba del nivel de seguridad de estas infraestructuras; mientras que en la segunda se han trata-do las distintas estrategias y requisitos de seguridad para el desarrollo e implantación de aplicaciones y sistemas de automatización y control industrial seguros.

S21sec imparte un curso sobre ciberseguridad industrial

McAfee", y unirla "a la reputación de Intel". Con esa intención quieren mejorar su presencia en un mercado como el de la seguridad que, según la directiva, crece a un ritmo de un siete por ciento anual.

Para ello han puesto en marcha una nueva aproximación al entorno de la seguridad de red bajo el concep-to "Security Connected". La idea es "integrar todas las medidas de seguri-dad en cuaqluier tipo de dispositivo". Esto es, "dotar a la seguridad de ubi-cuidad", comentó Campos. Eso, para la directiva, supone "un cambio en la forma de pensar". En este sentido, los puntos de partida de esa nueva era son: "La gestión unificada, las evasio-nes avanzandas, la protección frente a lo desconocido y la resiliencia".

La jornada se completó con la inter-vención de otros ponentes que habla-ron sobre la gestión centralizada de sus soluciones de seguridad y la lucha frente a nuevas amenazas.

La compañía mcafee ha dado a cono-cer su nueva estrategia de negocio. En 2010 el fabricante de procesado-res decidió adquirir McAfee, porque "veía cómo la seguridad podía supo-ner un freno a la propia evolución tecnológica", en palabras de Javier Perea, director regional de la división Enterprise en McAfee. Desde entonces, la política de la empresa ha sido mantener esta marca para sus productos que ya estaban disponibles en el mercado. Es más, con ella adquirió a mediados de 2013 al proveedor de seguridad integrada de red Stonesoft, cuya integración se produjo el pasado 1 de enero. "Este fabricante nos ha aportado una tecno-logía robusta y probada, así como una importante base de clientes", asegura María Campos, directora regional de la división Network en McAfee. A partir de ese momento Intel decidió agluti-nar todos sus recursos dedicados a la seguridad en una nueva marca, Intel Security, dentro de la cual se encuen-tra actualmente McAfee.

Para dar a conocer toda esta nueva estructura de negocio, la com-pañía ha realizado un roadshow por varias ciudades europeas, entre las que se encontraba Madrid y a la que asistió medio centenar de profe-sionales aproximadamente. Durante la jornada, Campos explicó que la nueva estrategia de la empresa pasa por "aprovechar la experiencia de

La compañía realiza un roadshow por las principales ciudades europeas para mostrar sus soluciones

McAfee presenta su nueva estrategia de negocio

empresa noticias

red seguridad Junio 2014 61

CheckPoint ha alertado sobre la proliferación del "RAM scraping", una nueva tipología de malware que afecta a los TPV de los comercios. Su función es realizar volcados de memoria, lo que per-mite a los atacantes interceptar y robar datos de las tarjetas de crédito de los clientes y extraer información de sus cuentas.

Según el último estudio sobre la evolución del malware móvil de Kaspersky Lab, el 33,5% de los ataques a dispositivos en 2013 tenía como objetivo el robo de dinero de los usuarios, sobre todo a través del envío de SMS y llamadas Premium, interceptan-do contraseñas de servicios de banca online, o mediante el robo a través de pagos móviles.

CheckPoint alerta sobre el aumento de malware en TPV

BITSEl objetivo de los ataques a móviles, el robo de dinero

HP apuesta por la seguridad punto a punto IBM celebra el 50

aniversario del mainframe

En 1964, el entonces pre-sidente de IBM, Thomas Watson Jr, dedició invertir más de 5.000 millones de dólares (aproximadamente 36.000 millones actuales) en el desarrollo de la tecnología de mainframe. Ahora, medio siglo después, la compañía celebra su aniversario con la satisfacción de comprobar que "décadas después sigue siendo un pilar fundamental sobre el cual gira el creci-miento y la innovación de las empresas y de las administra-ciones públicas", según afir-ma Marta Martínez, presiden-ta de IBM España, Portugal, Gracia e Israel. De hecho, estas máquinas, las actua-les Systems z, hacen posible muchas acciones cotidia-nas como sacar dinero de un cajero, reservar billetes de avión o gestionar el suministro eléctrico. Para ello la compa-ñía realiza un gran esfuerzo "invirtiendo en el desarrollo de cada nueva generación de mainframe más mil millones de dólares", apunta Martínez.

Kaspersky presenta su nuevo programa de canal

El fabricante ruso de soluciones de seguridad Kaspersky Labs ha anun-ciado su nuevo programa paneuro-peo de canal, con el fin de ayudar a sus socios a ser más competitivos. En palabras de Ovanes Mikhailov, director general de la compañía para Iberia, "queremos enfocarnos a la calidad, proporcionando un servicio excelente al usuario final. Para ello hemos lanzado este programa basa-do en tres pilares: mejora de la com-petitividad, de la capacidad y de la confianza", explica.

En este programa se integran los más de 2.000 partners con que la firma cuenta en la Península Ibérica (5 Platinum, 30 Gold, 443 Silver y 1.563 Registered), que se distribuyen

en cinco categorías, dado que a las cuatro actuales se une ahora una nueva denominada Strategic Partner, "con la particularidad de incluir como requisito de admisión tener presencia en, al menos, dos países", según afirma Eider González, directora de Marketing B2B y Canal.

Para los diferentes niveles de part-ners la compañía ofrece herramientas como una plataforma de generación de leads y de registro de oportunida-des, un programa de incentivos y un portal web con información diversa. Por último, la compañía hace hincapié en la cualificación del canal, creando cinco nuevas especializaciones: segu-ridad para end-points, móvil, gestión de sistemas, virtualización y xSP.

De todas las áreas tecnológicas en las que está presente HP, la seguridad es una de las más importantes para la compañía. Así lo recalcó durante una charla reciente con la prensa Karen Gaines, directora de la división Enterprise Security Services del fabri-cante. "Hay una demanda importante de servicios de seguridad. Los clien-tes quieren que sus datos estén segu-ros y saber cómo se tratan", afirmó.

Por este motivo, HP desarrolla su estrategia de servicios gestionados de seguridad de extremo a extremo, acompañando a las organizaciones en todo el proceso de detección de amenazas. "Ofertamos servicios para poder evaluar con los clientes el grado de madurez de la seguridad en sus compañías", afirmó Gaines. "De esta forma, aprovechamos nuestro cono-cimiento y la gestión de más de mil clientes en todo el mundo para faci-litarles el conocimiento normativo y las herramientas de seguridad nece-sarias", añadió. No en vano, la com-pañía cuenta en España con doce consultores dedicados exclusivamente al área de seguridad para aconsejar a las empresas cuáles son las mejores formas de integrar sus soluciones. "Las compañías necesitan políticas de seguridad fuertes, y para ello hace falta un proveedor que ofrezca soluciones punto a punto como HP", concluyó.

Mensajería instantánea móvil totalmente seguraLa empresa española Hermes Security Communication ha creado una solución de mensa-jería instantánea para dispositi-vos móviles que evita todo tipo de intrusiones, intercepciones o robos de datos, ya que aplica una encriptación de 4.096 bytes, haciendo los mensajes indescifra-bles y proporcionando un inter-cambio de información seguro.

La CE selecciona a HP para impulsar la seguridad cloudLa Comisión Europea ha elegido a HP para coordinar el proyecto Coco Cloud, cuyo objetivo es garantizar que los usuarios pue-dan compartir sus datos en la nube de forma privada y segura. Las siglas "Coco" corresponden al acrónimo de los términos en inglés confidential (confidencial) y compliance (cumplimiento). Aparte de HP, el consorcio incluye otros socios académicos, como la Universidad de Oslo, y del sec-tor, como Atos.

empresanoticias

62 red seguridad Junio 2014

La compañía especializada en la detección de ciberataques, FireEye, ha publicado su último informe Advanced Threat Report 2013, en el que se analizan las activida-des maliciosas capturadas por su tecnología en el último año. Entre sus principales conclusiones, destaca que las empresas sufren de media un ciberataque cada 1,5 segundos; mientras que el informe correspondiente a 2012 establecía esta cifra en tres segundos. Este aumento en la frecuencia destaca el mayor papel que el malware está jugando en los ataques cibernéticos. De hecho, según este docu-mento, ataca a servidores de comando y control (CNC) de 206 países y territorios, frente a los 184 de 2012. De todos ellos, Estados Unidos, Alemania, Corea del Sur, China, Países Bajos, Reino Unido y Rusia fueron los más afectados.Asimismo, durante el primer semestre de 2013, las aplicaciones Java fueron el blan-co más frecuente para ataques de "día-cero". Finalmente, FireEye identificó cinco veces más ataques contra sitios web que de correo electrónico en todo el mundo; y por países se detectaron tres veces más ataques web que de correo electrónico.

Un estudio revela que las empresas sufren de media un ciberataque cada 1,5 segundos

El fabricante Bull ha anunciado que va a impulsar su servicio de Oficina Técnica de Seguridad de la Información, cuya misión es dar respuesta a los retos y riesgos asociados a las infraestructuras, procesos de negocio, proveedores y clientes. La propuesta de la compañía abarca desde el diseño y la configuración hasta el soporte de esta oficina desde una perspectiva y visión 360 grados, para que sus clientes puedan anticiparse y mitigar las amenazas a las que están expuestos sus sistemas de información. Este servicio, totalmente personalizable, contempla más de cincuenta áreas gestionadas, entre las que destacan las relativas al cumplimien-to normativo, la gestión de activos e identidades o la cibervigilancia, entre otras.

El objetivo, según Koldo Muñoz, responsable de Consultoría de Seguridad en Bull, "es profundizar en la visión holística de la seguridad que nace de la generación de servicios bajo demanda dentro de las organizaciones. Queremos que las distin-tas áreas de las compañías demanden seguridad de forma proactiva”, comenta.

Finalmente, el servicio de Oficina Técnica de Seguridad la Información de la compañía contempla una consultoría previa en la que se definen la estrategia de seguridad y la estructura organizativa y de control, así como la planificación táctica y de operaciones, entre otros aspectos.

Bull impulsa su servicio de Oficina Técnica de Seguridad de la Información

Westcon distribuirá en España las soluciones de Barracuda Networks

El mayorista especializado en soluciones de seguridad, comunicaciones unificadas e infraestructura, Westcon, ha llegado a un acuerdo con la empresa Barracuda Networks para distribuir su tecnología en España y Portugal.

Gracias a este compromi-so, Westcon ofrecerá a sus clientes todo el catálogo de productos del fabricante, que incluye desde protec-ción contra amenazas en la web, mensajería instantánea y correo electrónico, hasta soluciones para la mejora de la distribución de aplicacio-nes, archivado de mensajes, acceso a la red y protección de datos.

Casi todo el malware móvil va dirigido a dispositivos Android

Fortinet ha hecho público su informe anual 2013 sobre malware, realiza-do por su equipo de investigación FortiGuard, el cual revela un aumento de este tipo de software malicioso en los dispositivos Android. De hecho, supone el 96,5 por ciento de las infec-ciones detectadas por la empresa. Le sigue Symbian, con un 3,45 por cien-to; y por detrás se encuentran iOS, BlackBerry, PalmOS y Windows que, en conjunto, no llegaron a superar el uno por ciento.

"En 2013 detectamos más de 1.800 nuevas familias distintas de virus, y la mayoría estaban dirigidas a la plata-forma Android de Google. Es lógico que haya preocupación sobre lo que puede suceder en 2014, ya que, lejos de ralentizarse, el ritmo se ha acelera-do", asegura Axelle Apvrille, investiga-dora senior de antivirus para móviles en los Laboratorios FortiGuard. En este sentido, el malware número uno del año, por la gran cantidad de infec-ciones en dispositivos móviles Android que provocó, fue NewyearL.B.

Los investigadores de seguridad de Verizon han descubierto que el 92 por ciento de todos los incidentes de seguridad ocurridos en los últimos diez años pueden clasificarse dentro de nueve patrones de ataques básicos que varían depen-diendo del sector. Así lo pone de manifiesto el Informe sobre Investigaciones de Brechas en los Datos de 2014, lo que ayudará a adoptar una estrategia más enfocada y eficaz para combatir las ciberamenazas. Según Wade Baker, autor principal de la serie de informes sobre investigaciones de brechas en los datos, "la aplicación del análisis del big data a la gestión del riesgo de seguridad nos permite invertir la situación y combatir el ciberdelito más eficazmente".

El documento identifica los siguientes patrones de amenazas: errores varios, como por ejemplo enviarle un mensaje a la persona equivocada; crimeware, es decir, diversos tipos de malware programado para hacerse con el control de los sistemas; uso indebido de privilegios y ataques de origen interno; robo y pérdidas físicas; ataques contra aplicaciones web; ataques de denegación de servicio; ciberespionaje; intrusiones en el punto de venta y skimmers de tarjetas de pago. "Las organizaciones tienen que ser conscientes de que nadie es inmune a una brecha en los datos. A esto se añade que cada vez lleva más tiempo descubrirlas, semanas o incluso meses; mientras que la infiltración se produce en cuestión de horas o minutos", añade Baker.

BITSEl 92 por ciento de los incidentes de seguridad pueden englobarse en nueve patrones básicos

Por segundo año consecutivo, la Ciudad Condal acogió el Check Point Experience (CPX), evento inter-nacional que, en esta ocasión, con-gregó a más de 1.500 profesiona-les y expertos en seguridad TI en el Centre de Convencions Internacional de Barcelona (CCIB).

Durante la ponencia inaugural, Gil Shwed –en la imagen–, consejero delegado y fundador de Check Point, dibujó un panorama global realmen-te preocupante. “Los ciberataques aumentaron un 87% en los últimos dos años. Además, hemos descu-bierto que el 77% de las botnets se mantienen en las redes por más de cuatro semanas; esto indica que no son detectadas y que la velocidad de respuesta es inadecuada. Por lo tanto, es necesario mejorar la estrategia de seguridad con el objetivo de afrontar las amenazas correctamente”, advirtió.

Para lograr dicho fin, Shwed propuso una hoja de ruta basada en tres claves:

Tan sólo un año después de su puesta en marcha, el Alcalá Data Center de Telefónica ha recibido la certificación Tier IV Gold, la de mayor exigencia en los criterios del Uptime Institute en materia de sostenibilidad operacional. Un aval que confirma al centro de datos de la compañía española como el más importante de Europa y el tercero del mundo en su especialidad.

Tal y como revela su denominación, el Data Center de Telefónica se encuentra en la localidad madrileña de Alcalá de Henares y presta servicio a clientes empresariales de los principales sec-tores de la economía de nuestro país. Además, es una pieza fundamental en los planes estratégicos de la empresa,

una protección multicapa –al respecto, la compañía presentaba recientemente una arquitectura de seguridad deno-minada Software-Defined Protection (SDP)–, la protección de la Red, datos y dispositivos móviles, y, además, una inteligencia en tiempo real.

ThreatCloud IntelliStoreRespecto a esta última, el máximo responsable de Check Point aprove-chó el CPX 2014 para desvelar, como primicia mundial, la que definió como mayor innovación del año: ThreatCloud IntelliStore o inteligencia de colabora-ción en la nube.

Fruto de la relación con diversos part-ners de primer nivel, este nuevo marke-tplace permite a los clientes seleccionar y personalizar datos desde una amplia variedad de fuentes de acuerdo con sus necesidades, en función del área geográfica o sector en el que operen, o bien del tipo de seguridad que pre-cisen. El sistema establece una fuente única para los datos más relevantes, que pueden ser traducidos, de forma

ya que se trata de uno de los cuatro centros de datos de última generación que la misma posee a nivel mundial y que convivirán con otros satélites encar-gados de soportar los servicios loca-les. En el caso del Alcalá Data Center, se están consolidando los relativos a Alemania, España y Reino Unido.

Además, el centro madrileño acaba de estrenar un nuevo espa-cio demostrativo especializado en soluciones de cloud computing, denominado Innovation Center Alcalá, en el que empresas, insti-tuciones y socios pueden conocer de manera interactiva las princi-pales soluciones tecnológicas que Telefónica ofrece a sus usuarios.

automática, en protección para dete-ner las amenazas en los gateways de Check Point, aprovechando al mismo tiempo la infraestructura existente y las políticas de seguridad ya establecidas en la empresa.

En definitiva, ThreatCloud IntelliStore “persigue eliminar la fragmentación actual en el área de la inteligencia ante amenazas y nace como la primera pla-taforma que agrega automáticamente los datos para conseguir una preven-ción real”, precisa Dorit Dor, vicepre-sidenta de Producto de Check Point.

En este contexto, la compañía ha afian-zado su modelo de negocio en la nube, convirtiéndolo en el pilar que soporta al resto de soluciones que pone a dispo-sición de los clientes: puesto de traba-jo, comunicaciones unificadas, conec-tividad de datos, M2M, seguridad, etc.

Tx: B. Valadés

Check Point presenta ThreatCloud IntelliStore en el CPX 2014

El Alcalá Data Center de Telefónica recibe la certificación Tier IV Gold

empresa noticias



novedadesnoticias

Con el objetivo de dotar a las organizaciones de una solución completa y coordinada para hacer frente a las APTs, los ataques zero-day y el malware sofisticado, Fortinet ha presentado la versión 5.2 de su sistema operativo de seguridad de red FortiOS. Esta propuesta combina las tecnologías propias de la compañía con los servicios ofrecidos por su laboratorio de investigación FortiGuard, "lo que proporciona un marco de trabajo que responde con efectividad a los complejos ciberataques y reduce el riesgo de que se produzcan brechas en la red y pérdida de datos", según explica Acacio Martín, director general de Fortinet Iberia.

Esta nueva versión, compatible con FortiAnalyzer 5.0 y FortiManager 5.0, refuerza la estrategia de la compa-ñía frente a las APTs en los siguientes aspectos: control de acceso, prevención y detección de amenazas, res-puesta ante incidentes y monitorización continua. Una de sus mejoras es la incorporación de un motor de identificación de malware avanzado que va más allá de las firmas tradicionales y heurísticas, pues combina la velocidad del análisis basado en flujo con la detección proactiva, que incluyen la decodificación del paquete y la emulación. Asimismo, cuenta con un nuevo motor en línea SSL, un proxy web mejorado, una mayor integración entre FortiGate y FortiSandbox, y un nuevo panel basado en vistas de los dispositivos del usuario, aplicaciones, sitios web y amenazas.

www.fortinet.com

Fortinet anuncia su sistema de seguridad FortiOS 5.2 para combatir las APTs

McAfee amplía la protección de Comprehensive Threat ProtectionMCafee ha anunCiado la ampliación de funciones de su solución Comprehensive Threat Protection, desarro-llada para encontrar, detener y reparar amenazas avan-zadas de forma más rápi-da. En concreto, mejora las respuestas disponibles para clientes y añade nuevas ana-líticas, contexto y orquesta-ción para integrar y automati-zar el proceso de protección contra amenazas. Asimismo, amplía esta solución con Threat Intelligence Exchange, que orquesta información de inteligencia de amenazas global y local, así como pro-ductos de seguridad empre-sarial, en un único sistema de seguridad integrado y cohe-sionado.

www.mcafee.com/es

Hoox, el nuevo móvil securizado de Bull

la CoMpañía bull amplía su gama de smartphones seguros con Hoox, un ter-minal desarrollado confor-me a las reglas establecidas por la Agencia Nacional de Seguridad de Sistemas de la Información de Francia (ANSSI). De hecho, integra un chip de cifrado con cer-tificado EAL4+ y un sensor biométrico para una auten-ticación mejorada, además de una caja fuerte digital y dispositivos anti-intrusión en todos los puertos. Por último, cifra llamadas de voz, men-sajes, correos electrónicos y cualquier dato que se alma-cene en él.

www.bull.es

la soluCión de panda seCurity que permite gestionar, monitorizar y dar soporte a todo tipo de dispositivos desde una consola web, Panda Cloud Systems Management (PCSM), incor-pora nuevas funcionalidades. Entre sus características principales, desta-ca la compatibilidad con dispositivos Linux, lo que lo convierte en una solución totalmente multiplataforma, la administración de impresoras a tra-vés de SNMP y el establecimiento de alertas en tiempo real. Asimismo, integra un sistema de gestión de regis-tro, el cual brinda un informe com-pleto y detallado de la actividad de cada usuario; y cuenta con una nueva medida extra de seguridad, al incluir una opción de doble autenticación en el inicio de sesión a la consola web de la solución.

www.pandasecurity.es

Panda mejora Cloud Systems Management


noticias novedades

Con el lanzamiento del nuevo sistema de seguridad 41000, Check Point amplía su portfolio de soluciones escalables para centros de datos. No en vano, esta solu-ción ofrece un rendimiento óptimo de seguridad con hasta 11.000 unida-des SecurityPower (SPU), un rendi-miento real del firewall de 40 Gbps, así como 25 Gbps de tráfico IPS.

Además, este sistema 6U, de tamaño medio con los mismos hard-ware blades que la solución 61000, ofrece mayor segmentación con alta densidad de puertos de hasta 30x10GbE; así como una capacidad de hasta 80 millones de conexiones simultáneas.

www.checkpoint.com

el fabriCante Trend Micro ha incorporado nuevas mejo-ras en su solución Complete User Protection. Entre sus principales novedades se incluyen un nuevo control de aplicaciones que permite crear listas blancas según las categorías y bloquear el puesto de trabajo del PC como una capa adicional de protección contra malware; la detección de vulnerabilida-des en el navegador; el des-pliegue seguro del gateway web basado en cloud; y una encriptación mejorada del puesto de trabajo. Por otro lado, la compañía también ha optimizado la gestión cen-tralizada de la solución, ha simplificado el paquete de la suite y el precio por usuario con soporte 24x7 incluido, y ha incorporado algunas características de despliegue y activación más sencillas.

www.trendmicro.es

Xerox potencia la seguridad de la banca móvil

Check Point presenta el sistema de seguridad 41000 para securizar centros de datos

Con el fin de asegurar las transacciones bancarias y proporcionar una protección eficaz frente a los peligros de Internet, como el robo de datos o el ciberespionaje, el fabricante alemán G Data acaba de anun-ciar la comercialización de las nuevas versiones de empresa (v.13.0) de sus soluciones G Data AntiVirus, G Data ClientSecurity, G Data EndpointProtection y G Data SmallBusiness Security. Todas ellas tienen en común que integran la tecnología CloseGap, que combina la seguri-dad proactiva con las basadas en firmas de virus, con el fin de conseguir una potente protección híbrida-activa. Estas nuevas versiones, además, están preparadas para hacer frente al fenómeno BYOD en el entorno corporativo. De hecho, no sólo ofre-cen protección integral a los smartphones y tabletas Android de cualquier red corporativa, sino que también facilitan su gestión desde la propia consola central, permitiendo un ahorro de tiempo a los administradores de sistemas. Por último, incorporan un panel de control donde se muestra el estatus de seguridad de cada cliente y alertas por infecciones o poten-ciales amenazas, entre otras opciones.

www.gdata.es

G Data lanza sus nuevas soluciones profesionales

Trend Micro renueva Complete User Protection

el fabriCante xerox ha pre-sentado una nueva aplicación para dispositivos móviles iOS y Android denominada Safe Courier. Esta solución permite a los clientes de las entidades financieras transmitir directa-mente desde su smartphone, y de forma simple y com-pletamente segura, sus datos para solicitudes de documen-tos financieros que contengan información personal sensible, como por ejemplo préstamos, tarjetas de crédito o hipotecas. Para ello basta con hacer una foto al documento y enviarlo de manera segura a través del sistema de transferencia patentado por la compañía.

www.xerox.es

Compartir de forma instantánea cualquier conexión a Internet y permanecer protegido con un firewall para puntos de acceso inalámbrico ya es posible con el nuevo router portátil Trek N300 presenta-do por Netgear. Para ello cuenta con un sistema de protección WiFi WPA/WPA2, software WPS PIN (Personal Identification Number) y PBC (Push Button Configuration). Además, integra un doble sistema de protección firewall (SPI y NAT), sistema de ataque pre-ventivo DoS y DMZ.

www.netgear.es

Trek N300, conexión segura a Internet con Netgear

asociacionesnoticias


En su segunda edición, un infor-me de la Asociación de Técnicos de Informática destaca que el 62% de las compañías españo-las declara confiar en la nube, frente al 29% que manifiesta lo contrario. Por lo que respecta al empleo de soluciones cloud, sólo un 16% de las empresas de nuestro país utiliza únicamente esta modalidad, el 22% afirma tener soluciones alojadas tanto en el servidor de la empresa como en la nube y un 60% utiliza únicamente el servidor corporativo.

En lo relativo a las soluciones que emplean las compañías, el software de gestión (ERP) es el más empleado, seguido por el de marketing y ventas (CRM) y el de recursos huma-nos (RRHH). En este ámbito, el 30% de las empresas dispone de ERP, el 16% de CRM y el 14% de RRHH.

En cuanto al tipo de soft-ware más utilizado, el 43% de las compañías afirma utilizar una solución estándar y un 32% a medida, en tanto que el 15% recurre a software libre. Al res-pecto, el 52% de las empresas no prevé cambiar sus hábitos en el periodo 2014-2015. Frente a esta decisión, el 21% buscará un software con más prestaciones y un 7% se iniciará en esta materia.

Por último, el 61% de las com-pañías que han participado en el estudio espera experimentar un crecimiento durante el presente año, mientras que un 34% confía en mantener el tipo. Desde un punto de vista más negativo, el 2% de las empresas cree que cerrará 2014 con pérdidas.

El 29% de las empresas españolas no confía en la nube

Así lo pone de manifiesto un estudio elaborado por Fundetec y ONTSI, en colaboración con AMETIC, sobre la evolución en el uso de las Tecnologías de la Información y la Comunicación entre microempresas y pymes españolas.

Banda ancha y uso de redes sociales, al alza

SEGÚN EL Informe ePyme 2013. Análisis sectorial de implantación de las TIC en la pyme española, la evo-lución en el uso de las Tecnologías de la Información y la Comunicación experimentó un moderado avance en el último año a excepción de la banda ancha móvil y las redes sociales, con unos aumentos de 13,9 y 17,5 puntos porcentuales, respectivamente.

Elaborado por Fundetec y el observatorio ONTSI de Red.es, en colaboración con varias entidades –caso de la asociación AMETIC–, el estudio pone de manifiesto que el 71,7% de las pequeñas empresas de nuestro país disponía de ordena-dor en 2013, mientras que el 65,7% contaba, además, con conexión a Internet. Por sectores, los que más crecieron en estos apartados fueron los de venta y reparación de vehícu-los, con unos incrementos respecti-vos del 6,7% y el 10,2%.

Continuando con el análisis cuan-titativo, las páginas web corporativas experimentaron un leve aumento de 8 décimas, situándose en el 29,4%.

Un crecimiento mayor fue el regis-trado por la penetración del teléfono móvil (1,2 puntos porcentuales), pre-sente en el 74,6% de las pequeñas empresas.

En cualquier caso, como comen-tábamos al inicio de estas líneas, las tecnologías que más aumentaron fueron la banda ancha móvil y el uso de las redes sociales hasta alcanzar unos porcentajes del 56,8% y el 26,5%, respectivamente.

Entre las conclusiones, el infor-me alerta de que sólo dos sectores (informática, telecomunicaciones y servicios audiovisuales, por un lado, y hoteles, campings y agencias de viaje, por otro) alcanzan el objeti-vo del 55% de microempresas con páginas web establecido para 2015 por la Agencia Digital para España.

Además, la formación en TIC es una de las reclamaciones de los dife-rentes sectores a las administracio-nes públicas y a los proveedores tecnológicos, junto a la adecuación de las TIC a cada sector y el apoyo financiero.

001 - marzo 2014www.facilitymanagementservices.es

RE

VIS

TA

19/02/2014 11:01:11

www.facilitymanagementservices.es

Un nuevoproyecto de

Incorpora a la gestión de inmuebles

tus soluciones TIC

FM corporativa.indd 1 20/02/2014 14:48:00

http://www.facilitymanagementservices.es

al servicio de la seguridad

www.fundacionborreda.org

Socios Protectores:

fundacion A4.indd 1 05/06/14 11:43

http://www.fundacionborreda.org

red065 blq

Devices & Hardware