Revista especializada en Seguridad de la Información Nº 67 Diciembre 2014 Época II al servicio de la seguridad Socios Protectores: www.fundacionborreda.org www.redseguridad.com Information Security Connect : CiberProtección y Resiliencia para la continuidad del negocio. ¿Preparado para la nueva era de la seguridad? Lanzamientos que podrá descubrir el 19 de Febrero 2015, ¡vaya preparándose! Evento presencial y online en Madrid. Fecha: 19 de febrero Hora: 14:00 a 18:30: Cierre INSCRÍBASE AHORA EN: http://bit.ly/symred Reserve la fecha y descubra entre otras novedades lo mas actual en protección de EndPoints: Es hora de obtener más que una protección antivirus. Los ataques dirigidos y las amenazas avanzadas persistentes no pueden detenerse solo con un antivirus. Estas amenazas distintas requieren protección en capas y seguridad inteligente en el Endpoint y esto gracias a la red de inteligencia global más grande del mundo. En Symantec Connect le presentaremos todas estas novedades: Symantec Endpoint Protection 12.1.5 brinda la seguridad que necesita mediante un único agente puede identificar archivos en riesgo y detener las amenazas de día cero sin ralentizar el rendimiento. Symantec Data Loss Prevention 12.5 : protege sus datos contra pérdida y robo, para cumplir con las leyes de privacidad y a proteger su reputación. Detecta, supervisa, protege y administra sus datos confidenciales dondequiera que se almacenen o utilicen en sistemas de endpoints, dispositivos móviles, almacenamiento o red. Soluciones de cifrado Symantec Endpoint Encryption 11 brinda protección flexible de datos por medio de una serie de soluciones que incluyen cifrado de endpoints, archivos, carpetas y correo electrónico. El Equipo de SYMANTEC y Expertos y Usuarios en cada uno de estos campos le presentarán en Symantec Information Security Connect 2015 lo mas innovador en protección de usuarios, empresas y gobiernos. editorial Objetivo: frenar los ciberataques Los últimos meses del año 2014 se han caracterizado por ser tremendamente activos tanto en amenazas informáticas a escala mundial, como en aprobación de medidas para intentar frenar las acometidas y minimizar sus consecuencias. En este complejo panorama, uno de los ciberataques que más daño ha hecho, sobre todo porque a estas alturas no se saben las consecuencias políticas que puede tener, es el perpetrado el pasado 24 de noviembre por el grupo autodenominado Guardians of the Peace contra Sony Pictures. Los atacantes se llevaron cientos de terabytes de información de la distribuidora cinematográfica que han ido publicando en Internet con cuentagotas, incluidos los números de identificación fiscal y los partes médicos de más de 3.000 empleados de la compañía y conocidos actores y actrices de Hollywood. Estados Unidos, por medio del Buró Federal de Investigaciones (FBI), ya ha acusado formalmente al Gobierno de Corea del Norte de estar detrás de este ataque como una forma de protesta contra el filme The Interview, una comedia sobre un complot de Estados Unidos para asesinar al dictador norcoreano, Kim Jong-un, que Sony tenía pensado estrenar el 25 de diciembre. Es más, en su última rueda de prensa del año en la Casa Blanca, el presidente de Estados Unidos, Barack Obama, afirmó que su Gobierno responderá "de forma proporcionada" en el lugar, el momento y la manera que elijan, lo que da a entender que esta agresión no se quedará sin respuesta. De momento, los atacantes han conseguido parar el estreno de la película. En España, recientemente se ha conocido que varios ministros y secretarios de Estado del Gobierno han sufrido ataques frustrados de grupos coordinados de hasta veinte hackers radicados en Rusia y China. La ofensiva, que se dirigió contra los móviles y ordenadores personales de los altos cargos, tenía la finalidad de rastrear sus datos e interceptar sus comunicaciones. En esta ocasión, y al contrario que el caso anterior, resulta complejo saber quién costeó y amparó estas ofensivas, pues los atacantes recurrieron al uso de servidores ubicados en terceros países. Pero éste no es un caso aislado. Durante 2014 el Centro Nacional de Inteligencia (CNI) ha detectado unos 13.000 incidentes de seguridad, un 80 por ciento más que en 2013. El 11,6 por ciento de estos ataques alcanzaron un nivel de riesgo entre “muy alto” y “crítico”; es decir, que fueron concebidos para extraer información. El propio servicio de inteligencia ha sufrido en 2014 hasta cien intentos de agresión, el doble que en 2009. Y cada día, según datos de este organismo, se producen 200.000 ciberataques de una intensidad muy baja. Es más, toda esta ciberdelincuencia mueve cada año más dinero que el tráfico de drogas en todo el mundo, en torno a los 575.000 millones de dólares, que es el PIB que tiene cualquier país medio. No resulta extraño afirmar, por tanto, que frenar este tipo de ataques se ha convirtiendo en una prioridad para cualquier Estado, incluido el nuestro. En este sentido, la aprobación de la Estrategia de Ciberseguridad Nacional ha constituido un paso decisivo a la hora de unir fuerzas por parte de toda la Administración para luchar contra los ataques cibernéticos, y la creación de un organismo como el Mando Conjunto de Ciberdefensa (MCCD) no puede ser calificado de otra forma que como un gran acierto. Sin embargo, cualquier precaución es poca, y es de agradecer la reciente decisión del CNI de fichar a cincuenta nuevos expertos de seguridad externos para reforzar la plantilla de uno de sus organismos, el Centro Criptológico Nacional (CCN), y también la celebración de distintos eventos y jornadas de trabajo que no sólo impulsan la colaboración público-privada en el sector, sino también sirven para concienciar a toda la sociedad en general. El más destacado de todo ellos es el ENISE, organizado por el Instituto de Ciberseguridad (Incibe, antes Inteco), que este año ha cumplido su octava edición. Estas jornadas, celebradas en León a finales de octubre y de las cuales encontrará en páginas interiores un detallado reportaje con todo lo que allí se debatió, representaron una oportunidad única para exponer entre los más de 600 asistentes el estado de la Estrategia de Ciberseguridad Nacional, conocer sus objetivos, analizar sus retos y debatir sobre su futuro. Pero tampoco hay que olvidar la celebración de otros eventos significativos durante el mes de diciembre, de los que también nos hacemos eco. En primer lugar, las VIII Jornadas del CCN-CERT, que han reunido a más de mil profesionales para analizar desde un punto de vista técnico las amenazas que pueden afectar a la Administración Pública y a las organizaciones de interés estratégico para el país y ver cuáles pueden ser sus soluciones. En segundo término, CyberCamp, un punto de encuentro para promover y captar el talento en ciberseguridad y que resultó un tremendo éxito. Organizado por la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI) y el Incibe, esta primera edición reunió a más de 4.300 asistentes, entre familias, estudiantes, profesionales y emprendedores, los cuales pudieron participar en decenas de actividades y talleres. Por todo ello es importante destacar la labor y el esfuerzo no sólo de los organizadores de estos eventos que hacen avanzar la ciberseguridad en España, sino también la de todos aquellos profesionales que cada día se levantan con el objetivo de hacer de la nuestra una sociedad más protegida frente a cualquier clase de ciberamenazas que puedan poner en riesgo la seguridad del país. red seguridad diciembre 2014 3 sumario 3 Corporativo Guillermo Llorente, nuevo presidente del CTA de RED SEGURIDAD 6 editorial Objetivo: frenar los ciberataques 8ENISE 10 8ENISE analiza la Estrategia de Ciberseguridad Nacional Sobre la mesa De la prevención al análisis y detección de ciberataques en entidades financieras Amplia cobertura del evento anual organizado por Incibe Organizaciones invitadas: CaixaBank, Cecabank y Bankinter. 30 Desayuno patrocinado por Blue Coat. 40 entrevista empresa 44 opinión Gil Shwed Conservación de datos personales Fundador y CEO de de Check Point Software Technologies Rafael Velázquez, consultor legal TIC, CDPP 50 opinión 62 Los nuevos desafíos del CISO Emmanuel Roeseler, director de Sistemas de Seguridad de IBM España, Portugal, Grecia e Israel opinión Incentivando la adopción de la ciberseguridad Gianluca D’Antonio, presidente de ISMS Forum Spain CONSEJO TÉCNICO ASESOR PRESIDENTE Guillermo Llorente Ballesteros Mapfre Joaquín González Casal Asociación de Ingenieros e Ingenieros Técnicos en Informática (ALI) VOCALES José Luis Rodríguez Álvarez Agencia Española de Protección de Datos (AEPD) Vicente Aceituno Canal Asociación Española para la Seguridad de los Sistemas de Información (ISSA España) José Manuel de Riva Ametic Juan Muñoz ASIS España Guillermo Martínez Díaz Asociación de Empresarios de TIC de Andalucía (ETICOM) Ricardo López Lázaro Confederación Española de Cajas de Ahorros (CECA) Fermín Montero Gómez Dirección General de Economía, Estadística e Innovación Tecnológica de la Comunidad de Madrid Miguel Rego Fernández Instituto Nacional de Ciberseguridad (INCIBE) Miguel Manzanas Unidad de Investigación Tecnológica (UIT) del Cuerpo Nacional de Policía Gianluca D'Antonio ISMS Forum Spain Óscar de la Cruz Yagüe Grupo de Delitos Telemáticos (GDT) de la Guardia Civil Ricardo Barrasa ISACA Capítulo de Madrid Vicente Aguilera Díaz Open Web Application Security Project (OWASP) Jorge Ramió Aguirre Universidad Politécnica Madrid (UPM) CONSEJEROS INDEPENDIENTES Emilio Aced Félez Tomás Arroyo Javier Moreno Montón Javier Pagès Olof Sandstrom PRESIDENTE DE HONOR Alfonso Mur Bohigas de STAFF Suscripción anual: 50 euros (España), 110 euros (Europa, zona euro), 150 euros (resto países) Depósito Legal: M-46198-2002 ISSN: 1695-3991 Borrmart: Presidente: Francisco Javier Borredá Martín. Presidente de Honor: José Ramón Borredá. Directora general: Ana Borredá. Adjunto a la Presidencia y a la Dirección General: Antonio Caballero Borredá. Publicidad: Marisa Laguna, Pedro José Pleguezuelos y Paloma Melendo. Gestión y Control: Carmen Granados. Directora de Relaciones Institucionales: Mª Victoria Gómez. Red Seguridad: Directora: Ana Borredá. Redactor Jefe: Enrique González Herrero. Colaboradores: Bernardo Valadés, David Marchal, Laura Borredá, Leticia Duque Guerrero y Jaime Sáez de la Llave. Maquetación: Macarena Fernández López y Jesús Vicente Ocaña. Fotografía: Banco de imágenes Thinkstock/GettyImages. Diseño: Escriña Diseño Gráfico. Suscripciones: Mª Isabel Melchor y Elena Sarriá. Dirección Financiera: Javier Pascual Bermejo. Redacción, Administración y Publicidad: C/ Don Ramón de la Cruz, 68. 28001 Madrid Tel.: +34 91 402 96 07 Fax: +34 91 401 88 74 www.borrmart.es www.redseguridad.com red@borrmart.es. Fotomecánica e impresión: Reyper. RED SEGURIDAD no se responsabiliza necesariamente de las opiniones o trabajos firmados, no autoriza la reproducción de textos e ilustraciones sin autorización escrita. Usted manifiesta conocer que los datos personales que facilite pasarán a formar parte de un fichero automatizado titularidad de BORRMART, S.A. y podrán ser objeto de tratamiento, en los términos previstos en la Ley Orgánica 15/1999, de 13 de Diciembre y normativa al respecto. Para el cumplimiento de los derechos de acceso, rectificación y cancelación previstos en dicha ley diríjase a BORRMART, S.A. C/ Don Ramón de la cruz, 68. 28001 Madrid. Les desea Feliz Navidad y Próspero Año Nuevo Valorar la paz y la generosidad es comprender el verdadero significado de la Navidad Consejo Técnico Asesor noticias Guillermo Llorente, nuevo presidente del CTA de RED SEGURIDAD Guillermo Llorente Ballesteros, subdirector general de Seguridad y Medio Ambiente de Mapfre, sustituirá a partir de 2015 a Arjan Sundardas como presidente del Consejo Técnico Asesor de RED SEGURIDAD. Es uno de los profesionales más reconocidos del sector de la seguridad y uno de los más firmes defensores de la necesidad de aplicar la integración como modelo de protección corporativa. Después de cuatro años al frente del Consejo Técnico Asesor (CTA) de RED SEGURIDAD, Arjan Sundardas cederá el testigo al nuevo presidente de este órgano a partir de 2015. Guillermo Llorente Ballesteros, subdirector general de Seguridad y Medio Ambiente de Mapfre, ha aceptado la propuesta de esta publicación para asumir esa responsabilidad y pasará a encabezar, hasta el año 2018, el grupo de expertos que aportan su conocimiento a esta revista. La publicación tendrá así el privilegio de contar con uno de los profesionales de la seguridad más reconocidos del país, al que acompañará el resto del CTA compuesto por presidentes de las principales asociaciones del sector y profesionales independientes. Profesional reflexivo y pausado, Llorente posee una extensa trayectoria a sus espaldas, primero en las Fuerzas Armadas y después en el sector privado como responsable de Seguridad y Medio Ambiente de Mapfre. Es teniente coronel de Infantería, diplomado del Estado Mayor y del Estado Mayor Conjunto en situación de excedencia. Durante su etapa como militar ocupó el mando de diferentes unidades y llegó a ser jefe de la Unidad de Contrainteligencia y Seguridad Interior en el Centro de Inteligencia y Seguridad del Ejército de Tierra. Posee además experiencia en misiones internacionales y una amplia formación en diferentes especialidades de la seguridad. Defensor de la integración En el año 2006 se incorporó a Mapfre, donde ha conseguido implantar un modelo integral en la gestión de la seguridad, dando 6 red seguridad Guillermo LLorente, profesional de la seguridad con gran liderazgo. continuidad al Plan Director de Seguridad iniciado en la compañía en 1996. Como él mismo señaló a esta publicación hace más de cinco años para un reportaje, ese enfoque es “seña de identidad y un orgullo” de la empresa aseguradora. "Desde Seguridad, miramos la organización como un todo, pues ésta afecta a todos los procesos y actividades, a todos los medios e instalaciones y a todo el personal, con una definición vertical y central, pero con una aplicación transversal", explicó entonces a RED SEGURIDAD. Otra de las declaraciones de entonces que dan muestra de su idea sobre la seguridad corporativa fue que "la seguridad de un activo debe entenderse como la resultante de las medidas (físicas y lógicas) destinadas a protegerlo; en la que las medidas de seguridad son más diciembre 2014 eficaces y eficientes cuando se aplican de forma complementaria y en forma escalonada". A lo largo de su carrera, Llorente ha participado en múltiples foros donde ha defendido con meridiana claridad su concepción de la protección de las organizaciones desde un punto de vista que abarca todas las vertientes posibles de la seguridad. Así ha quedado patente en las seis ediciones que se han organizado hasta el momento del Encuentro de la Seguridad Integral (Seg2), donde Llorente siempre ha explicado con sencillez y huyendo de definiciones abstractas esa filosofía integradora que, en el caso de Mapfre, ha recibido múltiples reconocimientos. Igualmente, su labor al frente de la subdirección general de Seguridad y Medio Ambiente de Mapfre le han valido distinciones como la Cruz de la Orden del Mérito de la Guardia Civil, entre otras. Por su visión convergente de la seguridad, así como por su constante apoyo a esta publicación, RED SEGURIDAD considera a Llorente el mejor profesional posible para sustituir a Arjan Sundardas en la presidencia del CTA. Éste último ha desarrollado una encomiable labor como presidente del órgano asesor a través de su asesoramiento y ayuda en la puesta en marcha de nuevas iniciativas, así como en la continuidad de otras que aportan valor a la revista. El relevo se llevará a cabo de manera oficial durante la próxima edición de los Trofeos de la Seguridad TIC, que tendrá lugar el próximo 29 de enero. Allí se escenificará el cambio de presidencia entre dos magníficos profesionales de la seguridad. toda la información de seguridad TIC a un clic apúntate gratis http://www.redseguridad.com :::Información especializada sobre seguridad TIC :::Accede GRATIS a la revista digital :::Navegación fácil e intuitiva :::Servicios GRATUITOS: newsletter, alertas :::Accede GRATIS a la revista desde tu Tablet y Smartphone en España estrategia editorial noticias SEGUIMOS AVANZANDO + RED SEGURIDAD y SEGURITECNIA Porque la Segurida d i N t e g r a l e s u n a n e c e s i da d se distribuirán conjuntamente 2015 Las revistas RED SEGURIDAD y SEGURITECNIA, ambas pertenecientes a la editorial Borrmart, inician una nuevaDistribución estrategia editorial. A partir de 2015, los cuatro números conjunta trimestrales de la primera se distribuirán conjuntamente con la segunda con el objetivo de aprovechar sinergias y aportar una visión global de la seguridad a sus lectores. Estrategia conjunta Sinergias conjuntas Durante más de un lustro, RED SEGURIDAD ha apostado firmemente por la convergencia de todas las medidas y procesos de seguridad como modelo de protección de las organizaciones. Como muestra de ese convencimiento, la revista organizó en 2009 la primera edición del Encuentro de la Seguridad Integral CALENDARIO EDITORIAL.indd 3 (SEG2), que a lo largo de las seis ediciones convocadas hasta el momento ha trasladado esa concepción de la protección corporativa tanto a los profesionales del ámbito físico como a los del lógico. La realidad refleja hoy en día que cada vez son más las corporaciones que apuestan por este enfoque para proteger sus activos. Con ese mismo espíritu, la editorial Borrmart iniciará a partir de 2015 una nueva estrategia que pretende acercar a los profesionales del ámbito físico la información y conocimientos relacionados con la seguridad TIC, y viceversa. Así, los cuatro números trimestrales de RED SEGURIDAD se distribuirán de manera conjunta con los números correspondientes de SEGURITECNIA, revista decana del sector de la seguridad privada. Ambas publicaciones, mantendrán, no obstante, su formato y contenidos actuales, ya que el objetivo es que sean complementarias y aporten valor tanto a los profesionales del ámbito TIC como a los de la esfera física. De esta forma, las revistas aprovecharán además las muchas sinergias informativas que pueden generarse entre esos dos ámbitos, en materias como la protección de infraestructuras críticas, dirección de la seguridad o nuevas amenazas, entre otras. rentes parcelas. El responsable de Seguridad actual, y más si cabe del futuro, necesitan herramientas para la toma de decisiones que no se limiten a un solo enfoque sino que abarquen todos los aspectos de la seguridad. La información, qué duda cabe, es una de ellas. Al mismo tiempo, la legislación 23/12/14 en 11:27la materia parece avanzar en esa misma dirección, como demuestra la Ley de Protección de Infraestructuras Críticas o la nueva Ley de Seguridad Privada. Ambas contemplan, en mayor o menor grado, la integración de las medidas de seguridad en las organizaciones como una exigencia para hacer frente a las amenazas actuales, que tienen a la tecnología como principal vía para conseguir sus objetivos. Es por ello que la revista ha decidido ir en consonancia con la realidad actual y las necesidades de los profesionales. Porque la información, como la seguridad de las empresas, también ha de ser convergente. 35 Años de experiencia y conocimiento A tu disposición 8 red seguridad Realidad actual Cada vez son más los departamentos de seguridad corporativa que apuestan por la integración de todo tipo de medidas de protección en una sola área, dejando atrás el concepto obsoleto de establecer dife- diciembre 2014 monográfico noticias 8ENISE analiza la Estrategia de Ciberseguridad Nacional Entre los días 28 y 29 de octubre el Parador de San Marcos de León acogió la celebración de la VIII edición de ENISE, en la que se desgranó la actual estrategia española de ciberseguridad. Para ello se dieron cita más de una treintena de ponentes y cerca de 600 asistentes en lo que ya es la mayor cita anual sobre esta materia que se celebra en nuestro país. RED SEGURIDAD colaboró en la organización de este encuentro con el sector de la seguridad TIC. Tx: David Marchal y Enrique González - León. Ft: INCIBE y RED SEGURIDAD. Por octavo año consecutivo, el Instituto Nacional de Ciberseguridad (Incibe), antes Inteco, dependiente del Ministerio de Industria, Energía y Turismo (MINETUR), organizó una nueva edición del ENISE, el mayor encuentro del sector de la seguridad de la información y “una cita ineludible para expertos y profesionales”, según Miguel Rego, director del organismo. El evento se centró en analizar cómo se está desarrollando la Estrategia de Ciberseguridad Nacional, un documento que, según explicó durante la inauguración Félix Sanz Roldán, director del Centro Nacional de Inteligencia (CNI), supone “la principal orientación y guía” para la actividad de todos los que tienen encomendada la seguridad de los ciudadanos. A pesar de ello, matizó, “esta estrategia no está 10 red seguridad escrita en piedra, sino que debe seguir la evolución natural de las cosas”. El objetivo es “cerrar las vulnerabilidades entre todos: Administración, empresas estratégicas, sector, profesionales y ciudadanos”. Sobre esta idea también incidió el almirante general Fernando García Sánchez, jefe del Estado Mayor de la Defensa: “Los que pertenecemos a la Administración presentamos esa necesidad de cooperación, pero ésta no puede centrarse sólo en nosotros, sino también en el mundo académico, la industria y la sociedad civil”. Ahora bien, en palabras de Fran­ cisco Martínez Vázquez, secretario de Estado de Seguridad, “el reto es conseguir que los ciudadanos se conviertan en colaboradores activos de su propia ciberseguridad”. De hecho, esta idea es la que debe presidir la Estrategia de Ciberseguridad Nacional, trabajando tanto en la prevención como en la reacción. De esta forma, será posible hacer frente a amenazas, como el denominado Crime as a diciembre 2014 Service (crimen a la carta), “el motor de la economía digital sumergida”, y avanzar en fenómenos como el de la anonimización, que “obligará a la Administración a ser más minuciosa”. Para todo ello, Víctor Calvo Sotelo, secretario de Estado de Telecomu­ nicaciones, insistió en la necesidad de que “el sector público y privado vayan de la mano”. De hecho, ya se están produciendo avances significativos en la Agenda Digital para España, que incluye el Foro Nacional para la Confianza Digital, los ciberejercicios o el Cybercamp. Para Calvo Sotelo, una pieza clave de este engranaje lo constituye Incibe. “Entre sus fortalezas técnicas está su plataforma tecnológica, los servicios de respuesta y la difusión, la investigación, el desarrollo y la innovación”. Desarrollo de la ECN A continuación, se dio paso a la primera sesión, en la que se analizaron los principales avances que se han realizado en la puesta en marcha monográfico y desarrollo de la Estrategia de Ciberseguridad Nacional. Para ello, Carlos López, comandante jefe del Mando Conjunto de Ciberdefensa (MCCD), hizo un repaso de cómo se ha llegado hasta ella, con una atención destacada a la creación en 2013 del MCCD, cuya misión engloba tres componentes básicos: “Defensa de sistemas propios, explotación (ciberinteligencia) y respuesta (ataque)”, precisó. En esa línea, el Plan Nacional de Ciberdefensa recoge las acciones que se han de llevar a cabo, y destaca la importancia del apoyo entre los sectores público, privado, académico e internacional. En este sentido, el comandante destacó “la implicación de la industria nacional y la universidad”, la necesidad de “concienciar a los componentes del Ministerio de Defensa y apoyar al resto de la Administración en esta experiencia”, y “la colaboración con organismos internacionales y Fuerzas Armadas mediante el intercambio de experiencias, la coordinación de esfuerzos y el aumento de las capacidades”. Miguel Rego Director general del Incibe "ENISE se ha convertido en una cita ineludible para todos los expertos y profesionales de la seguridad de nuestro país" Por su parte, Juan Corro, jefe del Gabinete de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información del MINETUR, centró su intervención en la Agenda Digital y el Plan para la Confianza en el Ámbito Digital, los cuales han sido el marco bajo el cual se han desarrollado actividades de carácter industrial, situando en el centro a la ciberseguridad. Pero para ello "no se puede hacer un trabajo aislado", puntualizó. Por eso abogó por que los diferentes ministerios trabajen integrados y coordinados: “Uno de los grandes logros de esta estrategia es precisamente el fomento indus- noticias trial y la mejora de las cibercapaciinteligencia extranjeros...”. Finalmente, dades. En este último punto, somos ensalzó el papel del CCN-CERT, el cual un gran apoyo, poniendo nuestras durante 2013 gestionó más de 7.000 capacidades al servicio de las Fuerzas incidentes en las Administraciones de Seguridad, y colaborando con el Públicas, 38 de ellos de nivel crítico. Ministerio de Defensa para compartir y trabajar en red”, comentó. El papel de la colaboración Después tomó la palabra Diego Seguidamente, se dio paso a la Pérez de los Cobos, responsasiguiente mesa redonda para analible del gabinete de Coordinación y zar la importancia del sector privado Estudios de la Secretaría de Estado de en la Estrategia de Ciberseguridad Seguridad del Ministerio del Interior, el Nacional. Para ello contó con la precual se refirió a la Red como un “ecosencia de Michael Kaiser, Head of sistema con ausencia de fronteras, National Cybersecurity Alliance, quien que requiere un cambio de enfoque a explicó cómo se establece esta colala hora de afrontar los escenarios que boración en Estados Unidos. “Nuestra se presentan, porque los tradicionales infraestructura se sostiene en el sector ya no son válidos”. Pérez de los Cobos privado, ya que el público tiene poca recordó también que, dentro de la maniobrabilidad”, indicó. Sin embarEstrategia de Seguridad Nacional, las go, también precisó que una empresa ciberamenazas ocupan el tercer puespor sí misma no puede afrontar un to. “Los ciberataques son unas de las problema de ciberseguridad, sino que amenazas más peligrosas y de mayor necesita compartir información. Para desarrollo contra los intereses nacioKaiser, es importante que el sector nales. Todas están relacionadas, unas privado y público colaboren. “Cuando influyen sobre otras y las condicionan”, hablamos de ciberseguridad, hablaafirmó. Por eso, dentro de la Estrategia mos de defender nuestras propias Española de Seguridad se establecen redes. Es importante que se haga, ocho líneas de acción, en las que el pero no tendremos ciberseguridad Ministerio del Interior lidera la tercera y completa hasta que no compartamos la quinta y participa en el resto. de forma segura. De ahí la importancia La sesión concluyó con la presencia trabajar todos juntos”, indicó. Titular blanco titular titular de blanco titular del asesor del Secretario de Estado del Tras él, intervino Juan Carlos Bata­ CNI, quien abordó los pasos a seguir nero, presidente de la Comisión de tras la aprobación de la Estrategia Seguridad de AMETIC, para hacer un Nacional de Ciberseguridad. Según repaso de las principales ocupaciones explicó, el Consejo Nacional de de esta asociación, que engloba a Ciberseguridad se reunió por primera más de 3.000 empresas de un sector vez en febrero. Desde entonces, se ha que concentra el 20 por ciento de llevado a cabo la creación de un Plan la inversión privada de España. Sus Nacional de Ciberseguridad, que ha actividades están dirigidas a consoPrimer párrafo despiece sido una tarea compleja. Asimismo, lidarse como interlocutor frente a la Cuerpo base despiece destacó la labor del CNI en el desarroAdministración. De ahí que tenga una llo de la Estrategia de Ciberseguridad incidencia directa sobre la colaboraNacional: “Somos mucho más que un ción público-privada. Tras hacer una servicio secreto. Poseemos capacidadefensa de los intereses particulares, des especiales que permiten colaboque “no sólo son lícitos sino necerar, organizar fuentes humanas, intersarios”; consideró que “deben existir cambiar información con servicios de figuras que faciliten los acuerdos entre red seguridad diciembre 2014 11 especial monográfico noticias Titular Víctor Calvo-Sotelo Titular Secretario de Estado de Telecomunicaciones "El reto de la Estrategia de Entradilla Ciberseguridad Nacional Entradilla implica que tanto actores Entradilla públicos como privados Entradilla vayamos de la mano hacia un mismo objetivo" Tx: Ft: las partes de este sector”, apuntó. A continuación, le llegó el turno a Primer párrafo Gemma Campillos, representante del Cuerpo basede Confianza Digital del Foro Nacional Último párrafo MINETUR, que centró su intervención en la Ley de Servicios de la Sociedad Ladillo de la Información, que establece un sistema de cooperación público-privada para la gestión de incidentes de ciberseguridad. Explicó que la norma establece obligaciones de colaboración para los prestadores de servicios de la seguridad de la información como la detección, la prevención, la reacción y la recuperación cuando ha habido un incidente de ciberseguridad. “Son sus obligaciones, pero su desarrollo se confía a un esquema de cooperación público-privada. La Administración ha preferido que eso se realice con acuerdo entre las distintas partes implicadas”. Precisamente, en el esquema que configura la Ley, destacan como actores los sujetos de la industria, los prestadores de servicios y los proveedores de acceso a Internet. Por otro lado, se encuentran los equipos de respuesta a incidentes (CERT). Y en el centro de todo ello están los usuarios industriales y particulares, que pueden verse afectados por diversas amenazas. La sesión concluyó con la intervención de Alberto Hernández Moreno, director de Operaciones del Incibe, el cual explicó los tres ámbitos de actuación de este organismo: “Somos los prestadores de servicios públicos de ciberseguridad para pymes, ciudadanos y sectores estratégicos; desarrollamos tecnología para la lucha contra los ciberdelitos; y apoyamos la generación de demanda, facilitando el crecimiento del número de profesionales en ciberseguridad”. En relación con la colaboración público-privada, 12 red seguridad señaló que “lo esencial para establecer un mecanismo de colaboración es la confianza y tener un fin común”. Y como conclusión, ofreció algunos ejemplos reales de colaboración en los que participa Incibe, como el servicio antibotnet, "en el que hay 28 agentes implicados de 14 países para tratar de establecer una plataforma de colaboración"; o el motor de inteligencia, "que analiza la información agregada de muchas fuentes, en el marco de la colaboración público-privada con distintas empresas". ciberdelitos se deben a factores como el fácil acceso, la falta de control o el aumento del número de dispositivos móviles. “Hay un desarrollo tecnológico incesante, se han multiplicado los puntos de acceso a los ciberdelitos y nuevas vulnerabilidades”. El principal desafío, por tanto, es que la ciberdelincuencia es global, y no se sabe dónde se comete el delito. Además, el desarrollo tecnológico genera brechas entre las medidas de protección y las oportunidades para cometer nuevos ciberdelitos. Las soluciones, según apuntó, pasan por concienciar a la Capacidades contra ciberdelitos población desde las escuelas y la perEn la siguiente mesa redonda se secución de los ciberdelitos. abordaron cuatro aspectos principaDe la misma forma opinó Luis A. les: la integración en el marco legal Rivera Santana, agregado jurídico español de la soluciones a los propara Crímenes Cibernéticos del FBI, blemas derivados del mal uso de la para quien se ha de partir de la tecnología, la mejora de las capacipremisa de que “el crimen cibernédades de los organismos que tienen tico no tiene fronteras” cuando se responsabilidad en los ciberdelitos, aborda la cooperación internacional el fortalecimiento de la cooperación en materia de ciberseguridad. “Una internacional y ciudadana, y que los persona con un portátil puede atacar profesionales del derecho tengan un ordenador de cualquier país”, acceso a los recursos, la información matizó. Por eso, el FBI ha enfocado y la formación de aquellas soluciones sus esfuerzos al fomento de la relaque contrarresten las amenazas del ción con otras agencias. En España, ciberespacio. concretamente, ha establecido una Pie Pie estas bases intervino en priSobre colaboración con presencia física de mer lugar Manuel Álvarez, jefe de un enlace durante seis meses para Implementación del Centro Europeo colaborar con la Policía y la Guardia del Ciberdelito de Europol, quien Civil. “Hemos descubierto que tener definió la ciberdelincuencia como una persona física en los distintos “la piratería de nuestro siglo”. Según países no sólo provee un intercambio Álvarez, el coste estimado que mueve de comunicación fluida, sino también la ciberdelincuencia es de “un trillón nos aporta datos sobre el sistema de dólares", pero además supone judicial local de cada país, los mecala pérdida de oportunidades y daño nismos legales disponibles y muestra a la reputación de las empresas, "lo al país anfitrión cómo funcionamos que hace que muchas no quieran nosotros”, confirmó. denunciar”, alertó. Por otro lado, expliPoco después intervino el comisacó que Europol realiza un informe, rio Juan Miguel Manzanas, jefe de la Titular blanco titular titular blanco titular denominado iOCTA, sobre amenazas Brigada de Investigación Tecnológica del crimen en Internet, el cual señala (BIT) del Cuerpo Nacional de Policía, que las razones de la expansión de los que desveló que para incrementar y Primer párrafo despiece Cuerpo base despiece diciembre 2014 especial monográfico noticias Titular Titular desarrollar las capacidades de respuesta a este tipo de delitos, la BIT se ha incorporado dentro de la Comisaría General de Policía Judicial. Asimismo, añadió, “la ciberseguridad ha supuesto también un cambio en las formas de actuación y de cómo Entradilla recibimos la información para poder actuar”. Uno de los principales se ha Entradilla producido en las fuentes de informaEntradilla ción. “Tenemos que proceder a busEntradilla car nuevas fuentes. Esto pasa por un intercambio de datos con otras policías internacionales, la colaboración Tx: público-privada, los CERT y otras Ft: fuentes humanas”. Con esto, agregó, “intentamos reconstruir un escenario donde podamos identificar esos riesPrimer párrafo generales para ver gos y amenazas porCuerpo dónde base nos podemos mover”. Último párrafo Esa forma de actuar coincide con la de la Guardia Civil, tal y como expuso Ladillo el comandante Óscar de la después Cruz Yagüe, jefe del Grupo de Delitos Telemáticos de este organismo. De hecho, esta área puede aportar sus conocimientos y experiencia a la Estrategia de Seguridad Nacional en cinco líneas: la prevención, clave en la lucha contra el ciberdelito; la formación; el desarrollo de capacidades técnicas con herramientas básicas y avanzadas, cibervigilancia e inteligencia; el impulso de cambios y desarrollos normativos; y la cooperación nacional e internacional. En cuanto a los retos, De la Cruz identificó “muchas amenazas y vulnerabilidades en cajeros, en cámaras remotas, semáforos, centrales hidroeléctricas, datos médicos…”, y añadió: “Ahora con el Internet de las Cosas va a ir de mal en peor. La mínima brecha de eguridad la van a aprovechar como beneficio económico”, constató. Tras su intervención tomó la palabra Rafael Pedrera, jefe de la Oficina de Coordinación Cibernética del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), el Pie Pie cual explicó que el ciberespacio está compuesto por diferentes capas: física, lógica y social. En el ecosistema de la ciberseguridad nacional, España “ha desarrollado estrategias para luchar contra los que se mueven impunemente por ellas: la Estrategia de Ciberseguridad Nacional”. Pedrera señaló que antes había varios CERT, pero esta estrategia ha hecho que se unifiquen en el de Seguridad e Industria. Después habló de la Oficina de Coordinación Cibernética, que se encarga de hacer que toda la información fluya entre las diferentes entidades, con la misión de “centralizar las actividades relacionadas con el ciberterrorismo”. De hecho, sus objetivos son implementar mecanismos de coordinación ante un ciberincidente, establecer un canal de alerta temprana e intercambio de información en cuanto a vulnerabilidades y ciberamenazas, y crear consciencia fidedigna del estado de la ciberseguridad nacional. Ciberejercicios Cyber-EX 2014 La última sesión de la primera jornada estuvo dedicada a los En el panel intervino en primer lugar Abel González, responciberejercicios Cyber-EX 2014, organizados por ISMS Forum y sable de operaciones de Seguridad de Incibe, que comentó que que por primera vez han contado con la participación de CNPIC el futuro de estos ciberejercicios pasa por la sectorización: “En e Incibe. De hecho, según Gianluca D’Antonio, presidente de 2015 vamos a centrarnos en infraestructuras críticas, proponiendo ISMS Forum, es una iniciativa que nació con el objetivo de ejercicios más sectorizados”. A continuación, pasó a detallar la “aumentar la conciencia de las empresas en materia de ciberseorganización los Cyber-EX 2014, cuyo proceso se estableció Titular blanco titulardetitular blanco titular guridad”. En la edición 2014 han participado quince empresas, el en tres fases: una primera de ingeniería social, una segunda con 85% de las cuales pertenece al IBEX35, por lo que, en palabras un test de intrusión interna y la última la simulación del incidente. de D’Antonio, ha supuesto “un gran éxito de la colaboración Dos de los operadores participantes fueron Endesa y La Caixa, público-privada”. cuyos representantes dieron su punto de vista. Joaquín Álvarez, coordinador Funcional de Seguridad de Endesa, valoró positivamente la evolución que están teniendo los ciberjercicios a lo largo de los últimos años; mientras que Carles Solé, director de Seguridad de la Información de La Caixa, dio su visión de la celebración de los ciberejercicios. “Nos ayuda a conocer cómo están nuestras defensas tecnológicas, por Primer párrafo despiece lo que es algo que vamos a seguir haciendo en el futuro”. A Cuerpo base despiececontinuación, intervino Miguel Ángel Abad, jefe de servicio de Ciberseguridad de CNPIC, que realizó una exposición sobre por qué ha participado este organismo en los ciberejercicios Cyber-EX 2014; y por último, cerró la sesión María del Mar López, jefa de la oficina de Seguridad de Defensa de Seguridad Nacional (DSN), que puso de manifiesto “la importancia de los ciberejercicios para favorecer el intercambio de información, la confianza, la colaboración y la coordinación”. red seguridad diciembre 2014 13 especial monográfico noticias Titular Titular Entradilla Entradilla Entradilla Entradilla Tx: Ft: La última ponente de esta sesión Primer párrafo fue Elvira Tejada, fiscal de la Sala Cuerpo base contra la Criminalidad Informática del Último párrafo Ministerio de Justicia, quien ve un “acierto extraordinario” de la Estrategia Ladillo de Ciberseguridad Nacional abordar el ámbito judicial y policial mejorando las capacidades de prevención, detención, respuesta o investigación de delincuencia. En ese sentido, consideró que hay que utilizar las mismas herramientas que los delincuentes para poder investigarles. “No se puede luchar contra la ciberdelincuencia con las técnicas tradicionales, hay que saber cuáles son las herramientas que utilizan, cómo funcionan y cómo adaptarlas”, confirmó. Por todo ello, dentro del Ministerio de Justicia se ha creado un área de especialización en criminalidad informática, compuesta por una unidad central y una red de servicios. “El año pasado intervinimos en más de 11.900 procedimientos relacionados con las TIC, y formulamos 1.262 escritos de acusación por hechos relacionados con su uso”. Lucha contra el ciberespionaje La cuarta mesa redonda estuvo dedicada a exponer los últimos avances para combatir los ciberdelitos de la mano de representantes de cuatro empresas privadas, a los que precedió en su intervención Javier Candau, jefe de área de Ciberseguridad del CNI, que alertó de que las capacidades de ataque superan a las de defensa. “Lo que se tarda en infectar son horas. En cambio, lo que el defensor tarda en darse cuenta de que ha sido atacado a veces se prolonga años”, aseguró. Después tomó la palabra Jason Steer, director de Technology Strategy de FireEye, que expuso los resultados 14 red seguridad Vicente Díaz, analista de Kaspersky Labs, fue el siguiente ponente en hablar y se focalizó en la evolución del ciberespionaje, cuya última vuelta de tuerca es la cibervigilancia masiva. Precisamente, al respecto enumeró varios ejemplos como Careto, una ciberamenaza de habla hispana activa desde 2007, o Epic Snake, que se distribuía a partir de sitios web, incluida la Administración Pública. Por último, Díaz también destacó el papel de compañías como Facebook, Yahoo!, Google o Microsoft en la colaboración con el Gobierno estadounidense en materia de espionaje. A continuación, inició su ponencia de un estudio que su compañía reaYuri Gubanov, CEO de Belkasoft, la lizó con KPMG con 14 organizaciocual giró en torno a la aplicación de nes de distintos sectores y gobiernos las ciencias forenses en el mundo de 5.000 empleados de media. Los digital, lo que permite ayudar a las resultados del informe arrojaron como empresas a investigar los delitos. Sin conclusiones que 13 de las 14 organiembargo, según el directivo, “a las zaciones habían sido atacadas, y del organizaciones no les gusta mucho 80 por ciento estaban extrayendo de hablar de esto, y tienen una tendencia manera activa datos de su organizaa atomizar los asuntos referidos al ción y el 49 por ciento del malware era ciberespionaje”, afirmó. En su exposidesconocido e indetectable. Según ción, Gubanov recordó los tiempos en explicó, los ataques dirigidos forman los que sólo había pequeños ordenaparte de un plan maduro con muchas dores personales difíciles de investigar fases,Pie por lo que “necesitamos tener y los comparó con los actuales, en los Pie las habilidades adecuadas para transque predominan una gran variedad de ferir la información a las personas dispositivos, y en los que resulta complicado hacer análisis forense porque hay mucha información almacenada. Todo ello, en palabras del directivo, “dificulta la labor de los investigadores Félix Sanz Roldán forenses”. A pesar de eso, comentó, “el análisis forense es fundamental Director general del CNI para que los tribunales de justicia pue"Nuestro trabajo y esfuerdan aceptar las pruebas para implicar a los delincuentes”. zo no ha con­cluido dando El último ponente de la sesión fue forma a la Estrategia de Nader Henein, director regional de Ciberseguridad Nacional. en Seguridad de Producto de blanco titular titular Dubai blanco titular HayTitular que seguir adelante" Blackberry. El directivo comenzó su presentación recordando que, aunque cualquier empresa piense que en su actividad diaria no hace nada interesante para que alguien les esté correctas para que respondan a esas escuchando, esto no es así. “Hay que amenazas. Tenemos que ser capaces pensar que siempre nos pueden estar de conocer y entender todas las partes escuchando”, comentó. Es más, si en claves”. Frente a esta amenaza, ¿qué los años 80 robar un gigabyte de inforPrimer párrafo despiece se puede hacer? Implementar mejores mación costaba un millón de dólares, Cuerpo base despiece sistemas de detección que permitan ahora vale diez céntimos. Esto, según validar si ha habido algún problema. Henein, “ha abierto los ojos a los “Si el ataque ha tenido éxito, hay que investigadores para almacenar y anacontenerlo y luego ir al consejo de lizar la información y ver qué es lo que dirección para ver el plan que querepasa en ella”. A continuación, expuso mos establecer, ponerle remedio y fijar cómo todos los ataques están basamétricas sobre los ataques”. dos en la naturaleza humana, y esta- diciembre 2014 especial Ongoing Operations Investigate & Remediate Breach Threat Profiling & Eradication e ti v ec n R etro s platio Esca GLOBAL INTELLIGENCE NETWORK Detect & Protect Block All Known Threats ca w n la E v tio e n t n Incident Resolution Fortify & rationaliz e Op e o kn U n Es Incident Containment Analyze & Mitigate Novel Threat Interpretation monográfico noticias bleció distintos tipos de profesionales de TI a la hora de abordar la seguridad de sus empresas: el administrador de TI paranoico, que le preocupa todo e integra todas las medidas de seguridad posibles; el “ciberhippy”, que piensa nadie les va a robar, todo está bien, no hay peligro…; y el que construye la seguridad de una empresa como si fuera una fortaleza, con una gran inversión en sistemas, normas, reglas y procedimientos. Nuevas amenazas de ciberseguridad En este panel varios expertos analizaron el estado del arte de las nuevas y sofisticadas amenazas en el panorama de la ciberseguridad. La primera en intervenir fue Virginia Aguilar, responsable del National Criminal Intelligence Resource Center (NCIRC) de la OTAN. Durante su intervención, Aguilar realizó una aproximación a las principales funciones del departamento que representaba, cuya principal responsabilidad es defender las propias redes de la organización. La directiva confirmó que la OTAN es un objetivo habitual entre los ciberdelicuentes, los cuales se mueven por motivaciones políticas, económicas, personales e ideológicas para efectuar sus ataques. “Todas Fernando García Sánchez Jefe del Estado Mayor Defensa "En el ámbito de las operaciones militares españolas actualmente la ciberdefensa ya se encuenta totalmente integrada" estos motivos dan lugar a 200 millones de eventos de seguridad al día en todos los sensores de la OTAN. Pero gracias a nuestras tecnologías y a los equipos de analistas con los que contamos, podemos reducir esa cifra a doce incidentes diarios, que son los que se investigan”. A continuación, Aguilar describió los cuatro ataques fundamentales que recibe este organismo: spear phishing, watering house, DDoS y explotación de vulnerabilidades. Para detenerlos, explicó, es necesario combatirlos en 16 red seguridad diferentes grados, que van desde la prevención hasta la detección aplicando medidas básicas de ciberhigiene. Después intervino Mark Sherman, director técnico de Cyber Security Foundations CERT. Su ponencia analizó qué puede pasar en el entorno de la ciberseguridad en los próximos años. Fundamentalmente se está produciendo un fenómeno de surgimiento de nuevas superficies de ataques. “Está apareciendo un nuevo tipo de malware, de tal forma que el software se está convirtiendo en el nuevo hardware”, afirmó. En otras palabras, las tecnologías de la información están cambiando el punto de vista del hardware al software, por ejemplo, mediante la proliferación de las unidades virtuales cloud. En este punto es preciso que “el software tenga la misma seguridad que habitualmente se aplica al hardware”, afirmó el directivo. Después enumeró algunos casos donde se pueden dar vulnerabilidades como los dispositivos móviles, los pagos a través del móvil o incluso los automóviles equipados con ordenadores integrados. Tomó la palabra a continuación Douglas Clifton, director global de Seguridad de Schneider Electric, para quien resulta importante distinguir entre Tecnologías de la Información y Tecnologías Operativas, que son las que se utilizan en el sector industrial. “Es fundamental porque nos estamos refiriendo a las empresas que producen electricidad o fabrican un producto y que, por tanto, no pueden interrumpir sus procesos”, explicó. Ahora bien, eso no significa que no necesiten compartir información de forma segura. “Se trata de automatizar los procesos, para lo cual necesitamos que la ciberseguridad asegure el buen funcio- diciembre 2014 namiento de éstos”, confirmó. Claro que para muchas empresas del sector industrial y de infraestructuras críticas esto puede sonarles extraño. “Cuando hablamos con ellos de ciberseguridad, nos dicen que no tienen recursos para ello, porque realmente no saben qué es lo que deben proteger ni por dónde empezar a hacerlo”, comentó el directivo. En estos casos, Clifton aseguró que ellos anteponen el programa a la tecnología. “Intentamos definir con ellos qué quieren proteger exactamente, pero abordándolo desde un punto de vista de un programa y realizando una evaluación de los dispositivos”. El punto final a la sesión lo puso Pedro Candel, cyberSOC Academy de Deloitte, quien recordó el enorme aumento que desde 2008 están tenido las APT. “Han ido creciendo de forma progresiva a lo largo de los años y cada vez es más fácil lanzar ataques dirigidos, incluso por personas que no tienen unos grandes conocimientos tecnológicos”, afirmó. Para comprobarlo, el directivo realizó una pequeña demostración al auditorio de cómo se puede poner en marcha una APT sencilla, modificando determinados parámetros, a través del comando “system” de cualquier equipo. Catalizador de la innovación El último panel de las jornadas estuvo dedicado al ciberespacio como el escenario en donde todo se desarrolla. Como explicó Rafael Tesoro, director general de Connect Unit H4 de la Comisión Europea, “estamos conectados permanentemente en el ciberespacio sin fronteras”. De modo que “si la sociedad digital no se protege adecuadamente, la sociedad europea dejará de confiar en navegar por el ciberespacio”. La UE ya ha dado un paso en este monográfico sentido con la aprobación en 2013 de la Estrategia de Ciberseguridad, cuyos principales valores son “proteger los derechos fundamentales, la libertad de expresión y la privacidad”, ratificó. Entre las iniciativas de la UE está la concienciación y trabajar en la valo­ ración del talento. Precisamente, en 2015 ENISA llevará a cabo un ciber­ campeonato europeo entre varios países, y ya está disponible, según Tesoro, “el Programa Marco 2020 en el que hay muchos proyectos en mar­ cha con los que se busca potenciar la innovación en ciberseguridad, entre los que España está incluida”, precisó. Tras su ponencia, intervino Nissan Maskil, CTO de IAI Cyber Programs Directorate de Israel Aerospace In­dus­ tries, quien planteó la necesidad de comunicar e intercambiar informa­ ción para luchar contra las amenazas emergentes. “Si carezco de los nuevos métodos para hacer frente al malware, cómo voy a ser capaz de defender a mi organización”, manifestó. Por eso, para el directivo resulta fundamental que los países caminen conjuntamen­ te en la resolución de esos problemas. “Proteger los puntos finales no basta, es preciso analizar la situación y cam­ biarla; e incluso tampoco es suficiente una visión holística. La defensa es la solución posible, pero cada uno debe comprender cuál necesita aplicar en este contexto”, explicó. De ahí que sea muy importante identificar correcta­ mente las amenazas, aunque a veces sea difícil definirlas. Sobre el hecho de que los atacantes cada vez tienen más formas de salirse de la normalidad y entrar en los siste­ mas empresariales giró la ponencia de Carles Solé, director de Seguridad de la Información de La Caixa. “Tenemos que tener en cuenta que nuestros sis­ temas van a ser infiltrados y desde ese convencimiento tenemos que cons­ truir nuestras defensas”, confirmó. Por tanto, cada vez son más necesarias las herramientas predictivas que per­ mitan evaluar las variantes y detectar los ataques. En la presentación de Rafael Ortega, director general de Innovation 4 Security, también estuvo presente la noticias idea de que los sistemas de detec­ ción de ciberamenazas siempre van por detrás de los atacantes. “Esto nos obliga a trabajar en el aspecto preventivo. Es preciso analizar los inci­ dentes que hay y trabajar sobre ellos”, explicó. Es algo que ya hacen en su empresa aplicando la tecnología para pensar cómo actúan los atacantes y cómo ejecutan sus herramientas. “Esto hace que trabajemos de manera ágil, no buscando grandes solucio­ nes”, matizó. Por su parte, Pedro Pablo Pérez, director de Ciberseguridad de Tele­ fónica Global, explicó cómo han evo­ lucionado los ataques en los últimos veinte años, cuando simplemente buscaban divertirse o la fama, hasta el año 2000 con la aparición de mafias El proyecto ASASEC vos y visualizarlos. En desarrollar esta utilidad contaron con la Paralelamente a la celebración del ENISE, se realizó una sesión colaboración de la Universidad de León, que fueron los artífices específica sobre el proyecto ASASEC, que parte de un convenio del módulo de visión artificial; la Universidad Politécnica, cuyo de colaboración entre varios ministerios cuyo fin, en palabras de Miguel Rego, director general del Incibe, es “mejorar los recursos trabajo fue la extracción de metadatos para aportar información de las imágenes; la Asociación ALI, que, aunque no participaron de las Fuerzas y Cuerpos de Seguridad en la detección y lucha directamente el proyecto, sí desarrollaron una guía donde se contra los cibercriminales”. Dentro de este contexto, según Titular blanco titularentitular blanco titular explica el proceso de análisis forense; y la Unidad Tecnológica Tomás Vicente, jefe de la Brigada de Seguridad Informática de de Policía, cuyo representante trabajó como jefe del grupo de la Unidad de Investigación Tecnológica del Cuerpo Nacional de Policía, "nosotros tenemos que defender los derechos y protección del menor con medios tecnológicos. libertades de los ciudadanos, especialmente los más débiles, que son los niños”. Por eso, una de sus principales prioridades ha sido la lucha contra la pornografía infantil, “una lacra social", apuntó Vicente. Por eso pusieron en marcha el proyecto ASASEC, cuyo objetivo es “desarrollar una herramienta que ayudara a la policía a aflorar ese tipo de prácticas”, explicó Antonio Sepúlveda, responsablePrimer párrafo despiece del proyecto. La necesidad que detectaron fue la Cuerpo base despiece de “centralizar toda la información de los datos en una sola herramienta, con interoperabilidad con bases de datos de policías de todo el mundo”, añadió. Por ello desarrollaron una opción forense a la que se aplica una capa de inteligencia para que con un simple vistazo puedan acceder a los archi- red seguridad diciembre 2014 17 especial monográfico noticias Titular Francisco Martínez Titular Vázquez Secretario de Estado de Entradilla Seguridad Entradilla "La ciberseguridad del Entradilla ciberespacio es el gran Entradilla desafío del siglo XXI" Tx: organizadas. Para las empresas, el Ft: principal riesgo actual es el ciberriesgo. “Estamos en una tormenta perPrimer fecta enpárrafo la que los ciberriesgos están ya Cuerpo en la base mente de los CEO”. Por Último párrafo eso, muchas organizaciones, como Telefónica, están realizando importanLadillo tes inversiones poniendo la ciberseguridad en el centro de todo. “Hay un cambio de paradigma que pasa de proteger la empresa a utilizar métodos de detección y defensa”, confirmó. Finalmente, Mónica Díaz Zubiaur, directora de Investigación de Panda Security, fue la última en intervenir en el panel. La directiva habló sobre los actores que están presentes en la innovación de Panda: el malware, el mercado y las personas. “Para innovar es importante el conocimiento y la experiencia, pero sobre todo el trabajo y la persistencia y estos ingredientes sólo pueden aportarlo el equipo humano”. Además, hizo un repaso de la evolución del malware en los últimos años, hasta llegar a la actualidad, que es "realmente complejo y polimorfe"; es decir, con múltiples variaciones. “Para protegernos, en Panda Premios ENISE RED SEGURIDAD participó en la organización del 8ENISE como colaborador del Incibe. Durante el encuentro, la revista desplazó a León a parte de su equipo para dar cobertura al evento y apoyar las necesidades de organizadores, ponentes y medios de comunicación que se interesaron por esta cita. desarrollamos un nuevo modelo que hemos llamado Inteligencia colectiva, cuya base es la tecnología proactiva, que consiste en detectar el problema incluso antes de tenerlo”, desveló. Clausura El congreso finalizó con la clausura por parte de Alicia Moral Revilla, embajadora en misión especial para la ciberseguridad Pie del Ministerio de Asuntos Pie y de Cooperación (MAEC), Exteriores quien centro su intervención en la idea de que la ciberseguridad, por su carácter global y transfronterizo, “tiene importantes implicaciones en el ámbito de la cooperación internacional”, explicó. Países como Estados Unidos, Reino Unido, Francia, Israel o Corea del Sur han desarrollado capacidades de ciberseguridad y están contribuyendo a crear una conciencia internacional de la importancia de un ciberespacio libre y seguro. De hecho, en la actualidad, apuntó, “hay más de 40 estados con estrategias nacionales de ciberseguridad, 20 de ellos en la UE”. Sin embargo, alertó, no todos tienen la misma visión estratégica de los problemas y de las soluciones, “por lo que es difícil que se pueda llegar a alcanzar un consenso global”. A pesar de ello, sigue siendo “absolutamente necesaria” la cooperación internacional “para afrontar este fenómeno y minimizar su impacto en la paz y la estabilidad internacional”, sentenció. Finamente, Miguel Rego, director general del Incibe, cerró las jornadas agradeciendo a los presentes su asistencia y poniendo una vez más sobre la mesa el compromiso mutuo adquirido a lo largo de todas las sesiones de impulsar la colaboración entre el sector público y privado y potenciar las oportunidades para la industria. Titular blanco titular titular blanco titular Coincidiendo con la celebración del Congreso, Incibe entregó los premios a la “Mejor iniciativa innovadora en ciberseguridad”, a los que se presentaron trece proyectos. El ganador de este año fue el proyecto “Youth and Elder Care” (YAECARE), desarrollado por Enrique Polanco Abarca (en la izquierda de la foto). Se trata de una aplicación destinada a ayudar a los segmentos de población más vulnerable, los niños y los ancianos. En segunda posición quedó el trabajo “Enigmedia Crypto Primer párrafo despiece System (ECS)”, de Gerard Vidal, que consiste en una plataforma Cuerpo base despiece de comunicaciones para la protección de datos que cuenta con una técnica de cifrado veinte veces más rápida que los estándares actuales. Esta edición, que también premiaba el carácter emprendedor de los proyectos y la posibilidad de que se pudieran llevar a cabo de manera efectiva, ha contado con una dotación económica de 10.000 euros para el primero y 7.000 para el segundo. 18 red seguridad diciembre 2014 especial GLOBALTECHNOLOGY Consultoría de Seguridad Global e Inteligencia Monitorización Seguridad Hacking Inteligencia Seguridad Global frente a la Amenaza Global Protección Conocer sus propias vulnerabilidades antes que el enemigo, es la única forma de preparar una defensa eficiente. Hacking ético. Test de intrusión. Caja negra - Caja blanca Monitorización. Detecta las amenazas antes de que materialicen Inteligencia empresarial. Information Superiority - Decision Superiority Fuga de Datos (DLP). La tecnología como problema y solución Seguridad Global Análisis Forense Análisis de Riesgos Seguridad en la nube Hacking ético Integración Seguridad Lógica y Física Auditoría de vulnerabilidades Comunicaciones Seguras Monitorización Consultoría Internacional Ingeniería de Sistemas Inteligencia Empresarial Consultoría Tecnológica Cumplimiento Legal Seguridad de la Información Protección de Infraestructuras Críticas Prevención de Fuga de Datos Protección del Patrimonio Histórico Planes de Seguridad Integral Plan de Continuidad del Negocio Formación Personalizada según Roles Sistemas de Gestión de Crisis Plaza Rodriguez Marín, 3 · 1C. Alcalá de Henares · 28801 Madrid (+34) 91 882 13 09 info@globalt4e.com www.globalt4e.com actualidad tecnológica noticias CCI celebra en Madrid el III Congreso Iberoamericano de Ciberseguridad Industrial Tx: David Marchal Tras el éxito de la segunda edición del Congreso Iberoamericano de Ciber­se­guridad Industrial, celebrado el Bogotá (Colombia) en mayo, los días 7 y 8 de octubre tuvo lugar en Madrid la tercera edición, que congregó a más de 200 personas para debatir sobre el presente y futuro de esta industria. Una de las principales conclusiones del evento es que resulta imprescindible la concienciación, la colaboración y la inclusión de la Ciberseguridad Industrial en los planes estratégicos de las organizaciones, tratando de hacer visible lo invisible. Además, se puso sobre la mesa el concepto de seguridad integral, que abarca la seguridad de TI, operacional y física. Y es que, según explicó Richard Stiennon, director de IT Harvest, “toda organización e individuo es susceptible de ser atacado”. Ese mensaje se repitió a lo largo de las siguientes ponencias, como la de Chris Blask, presidente de ICS-ISAC, quien hizo una llamada a la concienciación y colaboración en esta tarea como “elemento esencial de la protección y la seguridad”; o la de Joel Langill, de Scadahacker.com, que hizo ver a los asistentes que, para plantar cara a la gran cantidad de información con la que nos enfrentamos y los distintos tipos de incidentes, “es imprescindible añadir métodos innovadores que nos ayuden a entender el funcionamiento de los posibles ataques para prevenirlos”, afirmó. Otro de los ponentes, Marc Blackmer, director de Soluciones Industriales de Cisco, alertó de la necesidad de contar con más profesionales en este campo, ya que según los últimos estudios hacen falta alrededor de un millón de trabajadores en distintas áreas. Por su parte, Evgeny Goncharov, responsable de Soluciones de Seguridad ICS en Kaspersky Lab, comentó que la principal diferencia en este ámbito es conocer la naturaleza de lo que se quiere proteger, alertando de las dificultades de sacrificar funcionalidades importantes en beneficio de la seguridad. Por otro lado, el Congreso también contó con la participación de las 20 red seguridad Administraciones Públicas, representadas entre otras por INCIBE y por el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). Miguel Rego, director del primero, presentó las actividades de este organismo y analizó la colaboración en este terreno a través de iniciativas como Scada Lab, cuyo objetivo es medir la resiliencia de los sistemas de control. Además, comentó que han establecido un sistema de Servicios de Alerta Temprana orientados al sector industrial, que hasta la fecha ha gestionado en torno a mil incidentes al año. Por su parte, Fernando Sánchez, director del CNPIC, puso de manifiesto que “no hay sector estanco ni aislado, ya que cualquiera de ellos tienen incidencia y efecto sobre los otros”. Y anunció que, con el fin de garantizar la colaboración entre los distintos actores que pueden intervenir en la detección de un incidente, se ha creado la Oficina de Coordinación Cibernética, que ha gestionado 70 incidentes de Ciberseguridad desde agosto. Diseño seguro Otro de los temas más importantes debatidos fue el llamado “Diseño seguro desde el principio”, que presentó David Grout, director de Preventa SEUR en Intel SecurityMcAfee, quien hizo hincapié en la necesidad de la colaboración para abordar la complejidad actual. Por su parte, Filippo Cassani, vicepresidente de Ingeniería de Sistemas EMEA y APAC de Fortinet, anunció sus soluciones y las tendencias detectadas diciembre 2014 por su amplia red extendida por todo el mundo. Según esta, con un número incontrolado de dispositivos enlazados de alguna forma con la red, las amenazas están en claro aumento, “por lo que es imprescindible la colaboración entre todos los implicados en el tema”. Las consultoras también tuvieron una representación importante en el evento. Por ejemplo, Maria Pilar Torres, de Everis, presentó su proyecto CAMINO con una visión a largo plazo, ya que planteó una serie de medidas sobre cómo hacer frente a los que pueden ser los riesgos en ciberseguridad industrial en el año 2020. Igualmente, Jorge Pasamón, Senior Manager del departamento de Riesgos Tecnológicos de PWC, habló de estrategía presentando su relación con la operación y un detallado ciclo de vida de la ciberseguridad industrial. Por otra parte, Javier Zubieta, responsable de Desarrollo de soluciones de seguridad en GMV, habló sobre Faro Corporativo, un sistema de gestión de seguridad, implantado en BBVA, donde se registra la información de incidentes producidos. Todas estas ponencias estuvieron acompañadas de talleres sobre diversos temas de interés como ISA99 para proteger las infraestructuras industriales o la seguridad en SmartGrid. El mensaje final lo puso Samuel Linares, director del CCI, quien afirmó que “la ciberseguridad pasa por una comunicación responsable de los incidentes y una involucración estrecha de la dirección, pues sólo así es posible proteger los más preciados activos”. actualidad tecnológica noticias Empresas e infraestructuras han sufrido 125 ataques críticos este año Deloitte y la APD organizan una jornada sobre ciberseguridad dirigida a los altos ejecutivos, en la que se ofrecieron cifras como los 54 incidentes que han sufrido diversas infraestructuras críticas del país durante los 10 primeros meses del año. El secretario de Estado de Seguridad clausuró la jornada dedicada a la ciberseguridad para directivos. España es el tercer país que más ciberataques recibe al año. Aunque la mayoría se centran en lo económico, fundamentalmente en el fraude bancario, lo cierto es que en la actualidad la naturaleza de los criminales abarca diversos perfiles. En lo que va de año, el Área de Ciberseguridad del Centro Criptológico Nacional (CCN) ha registrado 125 ataques críticos contra empresas e infraestructuras españolas. Fueron algunos de los datos que se ofrecieron el pasado 2 de diciembre en la primera jornada de Ciberseguridad para Directivos, que organizaron Deloitte y la Asociación para el Progreso de la Dirección (APD). Un encuentro en el que se reunieron numerosos expertos en diferentes áreas, que dieron a conocer las principales amenazas a las que se enfrentan hoy en día las empresas y los particulares. Alfonso Mur, socio responsable de Riesgos Tecnológicos de Deloitte, mencionó la necesidad de introducir los ciberriesgos en la agenda del Chief Executive Officer (CEO). El socio de la consultora destacó el cambio de naturaleza de los ataques en los últimos años, que han pasado de tratarse de una cuestión de notoriedad a ser un problema con escala industrial que se explota económicamente. Además, recalcó el carácter global y continuo de estos ataques y la necesidad de que las empresas realicen un seguimiento constante de las amenazas, así como de la implantación de un plan de gestión de riesgos tecnológicos que contemple simulacros y se actualice continuamente. También participó en el encuentro Javier Candau, jefe del Área de Ciberseguridad del CCN, quien centró su discurso en los casos de ciberespionaje, mostrando algunos de los ataques más importantes ocurridos en los últimos años y explicando algunas de las herramientas y reglas necesarias para combatirlos. Además, ofreció cifras que dan dimensión al problema que suponen los ciberataques para las empresas españolas: en lo que va de año, se han registrado cerca de 10.500 incidentes, de los que más de mil se califican de muy importantes y 125 como críticos. Señaló también que en la actualidad se tienen contabilizadas más de 60.000 familias de malware. A lo largo del encuentro hubo otras ponencias interesantes, como la de Pedro Candel, miembro del claustro de CyberSOC Academy, que realizó una demostración en vivo del ataque a un sistema operativo, aprovechando los agujeros de seguridad que presentan. Por su parte, María Vidal y Borja Almodóvar, asociados senior de Legal en Deloitte, dedicaron su exposición al marco legal en el que se mueven estas amenazas, con referencias a los delitos contra la propiedad intelectual, la privacidad y la responsabilidad de las personas jurídicas ante casos de fraude o similares. Abel González, senior manager de Riesgos Tecnológicos de Deloitte, indicó durante su exposición sobre Ataques Persistentes Dirigidos que las empresas han de actuar como si esa amenaza fuera una realidad cotidiana, para defenderse de ellas. El secretario de Estado de Seguridad, Francisco Martínez Vázquez, clausuró la jornada aportando la visión de las Fuerzas de Seguridad sobre los ciberataques que se producen cada año. El secretario de Estado destacó la labor de respuesta del CCN-CERT, que ha detectado más de 13.000 incidentes contra ciudadanos y empresas, así como más de 54 contra infraestructuras críticas en los 10 primeros meses del año. Mencionó también la relevancia de los ciberataques en el día a día de empresas y organismos públicos, y destacó la necesidad de que empresas, organismos y particulares trabajen juntos "para construir un escudo firme contra las amenazas". red seguridad diciembre 2014 21 actualidad tecnológica noticias Propuestas para el futuro Reglamento de Seguridad Privada El III Congreso Nacional de Seguridad Privada, organizado por Seguritecnia congregó a más de 600 profesionales en Madrid. El evento estuvo marcado por el desarrollo del texto reglamentario que armonizará la nueva Ley de Seguridad Privada. Javier Borredá, presidente de esta editorial junto con el Ministro del Interior El pasado mes de noviembre, el Auditorio Sur de Ifema acogió el III Congreso Nacional de Seguridad Privada, organizado por la revista Seguritecnia junto a las principales asociaciones del sector y con la colaboración del Ministerio del Interior y SICUR. El evento fue todo un éxito, ya que congregó a más de 600 profesionales pertenecientes tanto a la seguridad privada como a la pública y a representantes de las administraciones central –entre ellos, Jorge Fernández Díaz, titular de Interior– y autonómica. El encargado de dar la bienvenida a los asistentes, en calidad de presidente del congreso, fue Ángel Córdoba, quien alabó el trabajo realizado desde el Ministerio del Interior para impulsar la nueva Ley de Seguridad Privada. Una norma a la que contribuyeron “los interlocutores sectoriales que participaron de forma activa” en su elaboración. En cuanto al futuro reglamento, Córdoba se mostró convencido de que “llegará con vocación de quedarse un largo periodo de tiempo” y que en él “se establecerán unas nuevas reglas de juego”. “Esperamos que las mismas, tal y como ha sucedido con la propia ley, cuenten con el máximo consenso posible”, concluyó. Un sector relevante A continuación tomó la palabra Jorge Fernández Díaz. En la primera 22 red seguridad parte de su intervención, ensalzó que España es un país seguro gracias al buen hacer de “las distintas Fuerzas y Cuerpos que operan en el territorio nacional”. Y también “a los integrantes de la seguridad privada”, cuyo sector, recordó el ministro del Interior, es puntero a nivel europeo y mundial, aglutinando “a profesionales muy cualificados que prestan servicios en instalaciones complejas, con un uso expansivo de las nuevas tecnologías”. Tras confirmar que las relaciones de las administraciones públicas y las Fuerzas y Cuerpos de Seguridad con el sector privado son “prometedoras”, Fernández Díaz se refirió a la ley aprobada en abril, un proyecto compartido “que ahora debe afianzarse con el desarrollo reglamentario”. Para ello “ha habido decenas de reuniones con el sector y se han recibido más de 50 documentos con aportaciones y propuestas”. La jornada prosiguió con una serie de ponencias basadas en las propuestas consensuadas por las principales asociaciones con el objetivo de enriquecer el reglamento que articulará la Ley de Seguridad Privada y plasmadas en un documento entregado a los asistentes al congreso. Así, durante la mañana se expusieron demandas relacionadas con la actividad de las empresas del sector y los servicios que prestan, el personal de la seguridad privada, diciembre 2014 la formación, las medidas de seguridad –física, informática, electrónica y organizativa–, las relaciones con la Administración o los denominados “sujetos obligados”: establecimientos e instalaciones industriales, comerciales y de servicios, así como eventos, que, según la nueva ley, deberán adoptar medidas de seguridad. Dicho tema fue abordado por Ana Borredá, directora de Seguritecnia y Red Seguridad, e Ignacio Gisbert, director de Seguridad de la Confederación Española de Cajas de Ahorros (CECA). Ya por la tarde, una vez expuestas las propuestas del sector, tuvo lugar un panel protagonizado por representantes de la Administración. El primero en intervenir fue Antonio Cerrolaza, vicesecretario general técnico del Ministerio del Interior, quien precisó que el futuro reglamento “es un proyecto para 2015, pero tiene que durar 20 años”. Por ello, advirtió, es importante elaborar un documento de largo recorrido y válido para todas las partes implicadas. Además, intervinieron Esteban Gándara, comisario jefe de la Unidad Central de Seguridad Privada del Cuerpo Nacional de Policía, y César Álvarez, coronel jefe del Servicio de Protección y Seguridad (SEPROSE) de la Guardia Civil, activos impulsores de la nueva Ley de Seguridad Privada y también de su futuro reglamento. actualidad tecnológica noticias Jornadas de análisis de la seguridad aeroportuaria y portuaria En la recta final del año, la Fundación Borredá ha llevado a cabo dos exitosos encuentros con el objetivo de analizar los retos de protección de dos sectores estratégicos claves para el normal desarrollo de cualquier estado. Por un lado, la III Jornada de Seguridad Aeroportuaria, organizada con la colaboración de la revista Seguritecnia y la Agencia Estatal de Seguridad Aérea (AESA), congregó a más de 350 profesionales en el hotel Auditórium de Madrid. El evento (en la imagen) contó, entre otros ponentes, con Isabel Maestre, directora de AESA, quien, durante su discurso inaugural, indicó que “la seguridad de la aviación civil se enfrenta a nuevos y grandes retos a nivel global, consecuencia, en parte, de la actividad sociopolítica y económica en la que estamos inmersos”. Mientras que antes las amenazas se abordaban desde un punto de vista nacional, hoy en día exigen una “perspectiva internacional”, precisó. El resto de ponentes abordaron temas desde la seguridad en la carga aérea hasta el análisis del comportamiento de los individuos que transitan por un aeropuerto, pasando por la detección de trazas de explosivos y narcóticos o la inspección de personas. Por lo que respecta a la I Conferencia Sectorial de Seguridad en Puertos, celebrada en el hotel Meliá Castilla, superó con creces las expectativas de asistencia. En este caso, las intervenciones inaugurales corrieron a cargo de Álvaro Rodríguez y Celia Tamarit de Castro, director técnico y responsable del Área de Seguridad de Puertos del Estado, respectivamente, colaborador, junto a Seguritecnia, en la organización de la jornada. Un evento que, además, contó con profesionales de excepción, como los directores de Seguridad de los puertos de Algeciras, Barcelona, Bilbao, Tarragona y Valencia, y en el que salieron a la palestra cuestiones como la normativa, las competencias de la seguridad pública en el ámbito portuario o las innovaciones tecnológicas destinadas a su protección. Dictamen europeo sobre el Internet de las Cosas Las autoridades europeas en materia de protección de datos han aprobado el primer dictamen conjunto sobre el Internet de las Cosas, documento que analiza tres escenarios: los aparatos electrónicos que se incorporan en alguna parte del cuerpo humano, los dispositivos capaces de registrar información relacionada con la actividad física de las personas y la domótica. El documento, cuya elaboración ha sido liderada por la Agencia Española de Protección de Datos junto a su equivalente francesa, la CNIL, acoge con satisfacción las perspectivas de beneficios económicos y sociales que puede suponer el Internet de las Cosas, pero también identifica y alerta de los riesgos que los productos y servicios emergentes pueden plantear para la privacidad de las personas, definiendo un marco de responsabilidades. BITS 24 Un fallo informático causa el caos en Heathrow Criterios comunes para el ‘derecho al olvido’ ‘Caso Sony Pictures’: EEUU acusa a Corea del Norte El aeropuerto londinense de Heathrow, uno de los de mayor tránsito del mundo, quedó paralizado a mediados de diciembre debido a un fallo informático “sin precedentes”, informó el Servicio Nacional de Tráfico Aéreo (NATS, por sus siglas en inglés) de Reino Unido. Tras descartarse que dicho contratiempo fuese provocado por un ciberataque, el ministro británico de Transporte, Patrick McLoughlin, instó a los responsables del NATS a informarle sobre las medidas que se han de adoptar en el futuro para evitar una situación. El Grupo de Autoridades Europeas de Protección de Datos (GT29) ha aprobado un documento sobre la aplicación de la sentencia del Tribunal de Justicia de la Unión Europea, del pasado 13 de mayo, relativa al denominado derecho al olvido. El texto, del que ha sido ponente la Agencia Española de Protección de Datos, desarrolla a lo largo de 25 puntos los criterios interpretativos comunes que van a presidir la aplicación de la sentencia por parte de los distintos estados europeos. Un ciberataque obligó a Sony Pictures a cancelar el estreno de la película The Interview, una parodia cuyo argumento se basa en el supuesto asesinato del líder de Corea del Norte, Kim Jong-Un. En comparecencia pública, Barak Obama, presidente de EEUU, anunció que el organismo de investigación criminal FBI ha confirmado que el gobierno de Pyongyang está involucrado en el considerado “ataque terrorista internacional”, al que la Administración estadounidense dará una respuesta “proporcionada”. red seguridad diciembre 2014 actualidad tecnológica noticias El gobierno de los accesos preocupa cada vez más a las organizaciones españolas El Casino de Madrid se convirtió en el escenario del almuerzo ejecutivo organizado por IDC, en colaboración con la empresa NetIQ, sobre el gobierno de los accesos en las organizaciones. En él participaron algunos de los responsables de Seguridad de las principales empresas españolas. Y es que, según Antonio Flores, analista de IDC, “cada vez más las áreas de TI de las compañías son conscientes de la importancia de regular adecuadamente los accesos a la información. Ahora bien, el problema surge cuando deben involucrar al negocio”. Precisamente, esta cuestión fue una de las más debatidas durante el evento. En este sentido, la gestión de accesos favorece, según Flores, “la relación entre ambas partes, en tanto en cuanto permite realizar auditorías, saber en cada momento quién está accediendo a qué, obtener informes en tiempo real, delegar responsabilidades... Esto hace que la relación entre ambos se estreche”, comentó. De igual forma opinó Carlos Barbero, ingeniero de Ventas de NetIQ Iberia: “El gobierno de los accesos es un punto que preocupa a las empresas. Por desgracia, no siempre se consigue la financiación necesaria. Por eso, es imprescindible que el área de gestión se involucre y lidere estas iniciativas”. A tenor de las opiniones de los asistentes, esto es algo que ya se está produciendo, aunque de forma lenta y paulatina. “Hasta 2012 el mercado requería herramientas que automatizasen procesos, de forma que A la izquierda, Carlos Barnero, ingeniero de Ventas de cuando se daba de NetIQ, junto a Antonio Flores, analista de IDC. alta un usuario nuevo, las peticiones quedaban reflejadas en área de TI? En otras palabras, si bajo sistemas auditables y de administraeste sistema hubiera una pérdida de ción delegada. Ahora esta tendencia información, ¿TI se debe lavar las de mercado ha evolucionado hacia manos, puesto que lo gestiona el la involucración de la capa de negonegocio? “Es importante destacar el cio”, explicó Barbero. Por su parte, papel que debe desempeñar TI a la Flores consideró que “la delegación hora de hacer ver a la unidad de negoque puede hacer el área de TI con una cio los riesgos que tiene llevar a cabo herramienta de este tipo a la unidad de determinadas acciones. Su responsanegocio es fundamental. Uno mismo bilidad es informar y educar para que puede dar acceso y quitárselo en tiemno suceda”, matizó Flores. po real, sin que el departamento de TI En este sentido, Barbero comentó esté de intermediario”, afirmó. que soluciones como las de NetIQ Ahora bien, a partir de aquí surpermiten, mediante una interfaz sencigió otro debate durante el almuerzo: lla, “certificar los accesos y humanizar ¿hasta dónde debe llegar al papel del todo el proceso”. CyberCamp ayuda a encontrar el talento en el ámbito de la ciberseguridad El Pabellón Multiusos I de la Casa de Campo de Madrid acogió la celebración de la primera edición de la CyberCamp. Se trata de un encuentro organizado por la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI) y el Instituto Nacional de Ciberseguridad (Incibe) que reunió a más de 4.300 asistentes, como familias, estudiantes, profesionales y emprendedores, los cuales pudieron participar en decenas de actividades y talleres relacionados con la ciberseguridad. En este contexto también se celebró el Foro de Empleo, en el que participaron cerca de 20 empresas, que estuvieron realizando entrevistas personalizadas de coaching y ofreciendo charlas motivacionales y de formación a los candidatos. Todo ello con el objetivo de buscar talento en un mercado como el de la ciberseguridad que, según Miguel Rego, director general del Incibe, “demanda un millón de profesionales en todo el mundo”, y actualmente “mueve más de 72.500 millones de dólares al año”. Por eso, se mostró satisfecho por la acogida del evento. Las cifras obtenidas “demuestran el éxito de CyberCamp 2014 al conjugar mensajes, talleres y actividades sobre ciberseguridad para todo tipo de públicos”. Por su parte, el secretario de Estado de Telecomunicaciones y para la Sociedad de la Información, Víctor Calvo-Sotelo, explicó que “es muy importante haber desarrollado con éxito un evento de estas características como un punto de encuentro” para toda la sociedad. De hecho, se enmarca dentro del Plan de Confianza de SETSI, que cuenta con un presupuesto de seis millones de euros para promover la investigación, la formación y el estímulo de jóvenes profesionales por la ciberseguridad. red seguridad diciembre 2014 25 actualidad tecnológica noticias El CCN-CERT defiende el patrimonio tecnológico español en sus jornadas El Centro Criptológico Nacional (CCN) celebró los días 10 y 11 de diciembre la octava edición de sus jornadas de ciberseguridad, en las que se dieron cita expertos del sector para debatir sobre los riesgos y amenazas cibernéticas a las que se enfrentan las Administraciones Públicas y las empresas de interés estratégico. Tras la inauguración, el evento se dividió en varias sesiones simultáneas en las que se abordaron distintos temas relacionados con la ciberseguridad. Tx: David Marchal Ft: CCN-CERT El ciberespionaje político e industrial, los ataques dirigidos, las nuevas amenazas o las distintas tecnologías que habitualmente emplean los atacantes fueron algunos de los aspectos que se abordaron en las VIII Jornadas STIC CCN-CERT, celebradas en el Ilustre Colegio de Médicos de Madrid los pasados 10 y 11 de diciembre. El evento, organizado por el CCN-CERT, del Centro Criptológico Nacional (CCN), organismo adscrito al Centro Nacional de Inteligencia (CNI), se desarrolló con el lema La defensa del patrimonio tecnológico frente a los ciberataques, y fue inaugurado por el director del CNI-CCN, Félix Sanz Roldán, junto con el jefe del Estado Mayor de la Defensa, Fernando García Sánchez. Durante su intervención, Sanz Roldán explicó la necesidad de construir una sólida cultura de la ciberseguridad en España. Para ello es preciso "llegar al usuario final", confirmó, y hay que hacerlo con algo más que 26 red seguridad "quitarle la preocupación". "Hay que conseguir que tenga confianza". Y es que, como aseguró Sanz Roldán, "la seguridad se puede lograr, pero la confianza hay que ganarla". Precisamente, conseguir esto es la labor del CCN-CERT, para lo cual debe seguir estando a la vanguardia en esta materia y liderar un gran sector profesional defensivo en el ámbito de la ciberseguridad. De ahí la importancia de estas Jornadas, señaló, que permiten compartir el conocimiento y facilitan "tomar decisiones adecuadas confiando en los datos de los que saben", añadió. Actividad del CCN-CERT Tras la inauguración, los responsables de ciberseguridad del CCN realizaron un resumen de las funciones del organismo y su actividad en 2014. En sus exposiciones pusieron de manifiesto el alto nivel de conocimiento existente en nuestro país en materia de ciberseguridad y la necesaria actuación del CCN en la defensa del patrimonio tecnológico español, no sólo por las ingentes diciembre 2014 pérdidas económicas que pueden acarrear los ciberataques, sino por el prestigio que se juega España en este campo. Asimismo, los representantes del CCN desvelaron algunas de las cifras que están detrás del trabajo que han realizado durante 2014. Por ejemplo, en materia de formación han recibido más de 4.800 solicitudes y han participado en sus cursos cerca de 500 alumnos, a los que en total les han ofrecido más de 1.100 horas lectivas. A todo esto se unen los más de 46.000 accesos online a sus formaciones virtuales y la publicación de guías, actualizaciones y reglas. Por otro lado, este organismo ha gestionado durante 2014 cerca de 13.000 ciberincidentes, lo que representa un incremento del 80 por ciento con respecto al año anterior. Y de ellos, el 82 por ciento son de código dañino. A continuación, los representantes del CCN abordaron cuáles fueron las campañas de APT que más daño causaron durante los últimos meses y cuyo posible origen hay que buscarlo en Rusia y China. De esta forma, hablaron sobre el malware, como Careto y Machete, o los troyanos, como Snake o Regin. Por este motivo, destacaron la importancia de la labor de la entidad, no sólo para proteger a la Administración Pública y las empresas de interés estratégico para el país, sino también para ayudar al resto de las organizaciones a evitar los ciberataques. En este sentido, el CCN-CERT cuenta con más de 80 compañías inscritas a sus servicios de ayuda, a través de los cuales les facilita información actualizada, reglas, alertas, guías de buenas prácticas y el acceso a la parte privada de su portal web, entre otras acciones de apoyo. actualidad tecnológica Además, en muchos casos, pone a su disposición algunas de las herramientas tecnológicas con las que cuenta la entidad. Unos buenos ejemplos son CARMEN, que es su centro de análisis de registro y minería de eventos; o LUCIA, un listado unificado de coordinación de incidentes y amenazas. Sin embargo, éstas no son las únicas utilidades con nombre de mujer con las que cuenta el CCN. Dispone de otras que también detallaron durante su intervención los representantes de la institución como INES, que hace referencia al informe nacional del estado de la seguridad; PILAR, que se centra en el análisis y la gestión de riesgos; MARIA, que es un multiantivirus integrado; MARTA, que engloba un motor de análisis remoto de troyanos avanzado; y CLARA, una herramienta personalizada de análisis local y remoto. La jornada continuó con una sesión dedicada a analizar las infecciones en las BIOS y derivados impartida por David Barroso, Chief Technical Officer de Eleven Paths. El directivo explicó cuáles son las capas en las que se puede ocultar código dañino, para a continuación pasar a describir qué es la BIOS, para qué funciona, cómo evolucionó a lo largo de los años y cuál es su predecesora, denominada UEFI. Por último, Barroso también hizo un repaso por los principales virus más dañinos que infectaron la BIOS en los últimos treinta años. Distintos módulos Tras estas sesiones iniciales, los asistentes tuvieron la oportunidad de elegir uno de los tres módulos simultáneos que se celebraron a continuación. El primero estuvo dedicado al ciberespionaje y APT (Advanced Persistent Threat), aquellos ataques dirigidos a un objetivo específico, con una preparación minuciosa y persistente en el tiempo, que suelen ser muy difíciles de detectar y de erradicar. El segundo módulo giró en torno a las herramietnas y tecnologías disponibles para hacer frente a las nuevas amenazas como las que se producen a través de los dispositivos móviles, las redes sociales, el cloud o el Big Data. Finalmente, en el tercer módulo se habló del Esquema Nacional de Seguridad (ENS), así como de la Estrategia Nacional de Ciberseguridad y su cumplimiento normativo. noticias A la izquierda, Félix Sanz Roldán, secretario de Estado Director del CNI-CCN, junto a Fernando García Sánchez, jefe del Estado Mayor de la Defensa. Coincidiendo con los contenidos de cada uno de estos módulos se celebraron también tres talleres prácticos, en los que se hicieron distintas demostraciones de las herramientas del CNI para la detección de ATP (CARMEN, MISP, MARTA y MARIA) y para el cumplimiento normativo (PILAR, LUCIA y CLARA); así como sobre cuáles son las mejores formas de conocer a los atacantes. Aparte de todo esto, durante las jornadas también se desarrollaron tres mesas redondas en las que se trató la formación y las certificaciones profesionales en ciberseguridad, la ciberresilencia sectorial en los sectores público y privado, y las aportaciones de los proveedores de servicios a la ciberseguridad nacional. Para concluir, el director TIC de la Administración General del Estado, Domingo Molina, junto con el director de Recursos del CNI, clausuraron las jornadas y agradecieron a los ponentes el haber compartido con todos los presentes sus conocimientos y a las empresas patrocinadoras su apoyo. En ese sentido, ambos calificaron de éxito las jornadas. "Es un éxito de todos: organizadores, ponentes, asistentes, patrocinadores, medios de comunicación…", afirmó el director de Recursos del CNI. "Todos ellos ocupan un puesto irreemplazable en la ciberseguridad nacional y en la difícil tarea de defender y mantener el patrimonio tecnológico español frente a los ciberataques", puntualizó. El CCN-CERT gestiona más de 13.000 incidentes de seguridad en 2014 El CCN-CERT ha gestionado a lo largo de 2014 cerca de 13.000 ciberincidentes, lo que representa un incremento del 80 por ciento con respecto al año anterior. De todos ellos, el 11,6 por ciento fueron catalogados por el equipo de expertos del organismo con un nivel de riesgo entre muy alto y crítico; es decir, se tiene constancia de que el ataque ha afectado a los sistemas de la organización y a su información sensible. Paralelamente, esta entidad ha constatado un incremento en la intensidad y sofisticación de dichos ataques, tanto a las Administraciones Públicas como a las empresas y organizaciones de interés estratégico para el país, fundamentalmente de los sectores energético, de defensa, químico, aeroespacial y farmacéutico. Ante este tipo de amenazas, el CCN-CERT ha ido adecuándose a las necesidades y adelantándose a esta realidad donde ciberdelincuentes, crimen organizado, terroristas, hack­tivistas o los propios estados son capaces de explotar las vulnerabilidades tecnológicas de cualquier empresa o institución con el fin de recabar información, sustraer activos de gran valor y amenazar servicios básicos para el normal funcionamiento del país. red seguridad diciembre 2014 27 actualidad tecnológica noticias Ataque masivo a través de CryptoLocker Un reciente post de Panda Security ha informado de una masiva infección producida a través de CryptoLocker, una familia de ransoms cuyo modelo de negocio se basa en la extorsión. El ataque se produce mediante un e-mail que simula ser de Correos y avisa al usuario de que no se le ha podido entregar una carta certificada. Para saber más acerca de dicho envío, se ha de entrar en un enlace. Al hacerlo, un site comunica que, para conocer los detalles de la carta, es preciso introducir un código Captcha. Si se realiza la operación, se descarga un troyano que encripta todos los archivos del ordenador. Para evitar el CryptoLocker, se aconseja extremar las precauciones ante e-mails de remitentes no esperados, especialmente en los que incluyen ficheros adjuntos o con enlaces externos. Asimismo, desactivar la política de Windows que oculta las extensiones conocidas también ayuda a reconocer un ataque de este tipo. Cl@ve: nueva plataforma para agilizar los trámites electrónicos También es muy importante contar con un sistema de backup de los ficheros críticos, herramienta que garantiza poder mitigar el daño causado por el malware y cubrir el terminal ante problemas del hardware. Si no se dispone de backup y el equipo acaba siendo infectado, no es recomendable el pago del rescate. Esta nunca debería ser la solución para recuperar los ficheros, ya que convierte el malware en un modelo de negocio rentable, impulsando el crecimiento y la expansión de este tipo de ataque. El Consejo de Ministros ha aprobado la creación de Cl@ve, una plataforma común del sector público administrativo estatal para la identificación, autenticación y firma electrónica. Con esta decisión, se sustituirá el actual sistema de acceso electrónico en la Red, basado en la obtención de un certificado de firma electrónica, por otro nuevo de claves concertadas, más ágil y de fácil obtención y utilización. Habrá dos tipos de identificación para los usuarios: uno ocasional y otro permanente. El órgano responsable de Cl@ve será la Dirección de Tecnologías de la Información y de las Comunicaciones de la Administración General del Estado. Asimismo, en la construcción e implantación de la plataforma participarán la Secretaría de Estado de Administraciones Públicas, la Agencia Estatal de Administración Tributaria, la Gerencia de Informática de la Seguridad Social y demás entidades gestoras y servicios comunes, la Dirección General de la Policía y la Fábrica Nacional de Moneda y TimbreReal Casa de la Moneda. El sector público administrativo estatal deberá habilitar el sistema antes del 1 de octubre de 2015. El Centro Nacional de Inteligencia contrata a 50 ‘hackers’ El Centro Nacional de Inteligencia (CNI) ha contratado a 50 hackers con el objetivo de reforzar la plantilla del Centro Criptológico Nacional (CCN). Estos talentos en ciberseguridad suelen ser captados en foros patrocinados por el propio organismo y, por lo general, prestan su labor externamente. En cuanto a sus funciones, se les solicita desde crear antídotos para contrarrestar virus hasta desarrollar análisis forenses, informa El País. Durante 2014, el CNI ha detectado 13.000 incidentes, un 80 por ciento más que el año pasado; de ellos, el 11,6 por ciento tenían un nivel de riesgo muy alto o crítico y estaban destinados a extraer información. De manera especial, el Gobierno señala a hackers de Rusia y China, encargados de enviar correos maliciosos a altos cargos del Ejecutivo con el fin de rastrear sus datos e interceptar comunicaciones. Los ministerios de Asuntos Exteriores, Defensa, Interior y de la Presidencia fueron los que registraron las amenazas persistentes avanzadas (APT) más complejas. Los ciberataques pueden provocar una respuesta militar El pasado mes de septiembre, la Organización del Tratado del Atlántico Norte (OTAN) acordó que un ciberataque a gran escala dirigido a un país miembro podría ser considerado un ataque contra la totalidad de la alianza y provocar una respuesta militar. Esta postura marca una expansión en la jurisdicción de la OTAN y pone de 28 red seguridad manifiesto que las nuevas amenazas pueden llegar a deshabilitar infraestructuras críticas, sistemas financieros e incluso un gobierno sin necesidad de utilizar armas físicas. Según Anders Fogh Rasmussen, ex secretario general de la alianza, “la ciberdefensa es parte de la tarea central de la OTAN para garantizar la defensa colectiva”. diciembre 2014 Entre los casos de ciberataques a miembros de la organización, destaca el que paralizó gran parte de Estonia en el año 2007, presumiblemente por el desplazamiento de un monumento de la era soviética. Los expertos occidentales señalaron al Kremlin, pero, oficialmente, desde Rusia negaron haber atacado a la república báltica. seguridad financiera sobre la mesa De izq. a dcha., Miguel Ángel Martos, director general para el Sur de Europa de Blue Coat; Fernando Vega, director de Seguridad de la Información de Gneis-Bankinter; Carles Solé, director de Seguridad de la Información de CaixaBank; Ricardo López, jefe de Auditoría Interna y Seguridad de la Información de Cecabank; Rubén Ceacero, gerente de Seguridad Informática de Gneis-Bankinter; Ana Borredá, directora de RED SEGURIDAD; y Enrique González, redactor jefe de la revista. De la prevención al análisis y detección de los ciberataques El ámbito de la seguridad en el sector financiero ha evolucionado mucho en los últimos años para intentar adaptarse a las necesidades. Ahora se tiene la certeza de que la prevención no es suficiente para detener las nuevas amenazas. Para ello es preciso conocer qué ocurre en los sistemas de información de las entidades para poder hacer frente a cualquier ataque. Tx: David Marchal Ft: RED SEGURIDAD A principios del pasado mes de octubre, la entidad bancaria JP Morgan Chase reconoció ante la Comisión del Mercado de Valores de Estados Unidos (SEC) que 76 millones de sus cuentas corrientes y siete millones de pequeñas empresas se vieron afectadas por un ataque informático a las páginas web y aplicaciones móviles de la institución durante el mes de agosto. Entre la información a la que accedieron los ciberdelincuentes figuraban nombres, direcciones, números de teléfono y correos electrónicos de sus clientes, así como información interna de la institución. Este hecho reciente fue el punto de partida con el que arrancó el 30 red seguridad desayuno de trabajo organizado por RED SEGURIDAD, con la colaboración de Blue Coat, para intentar poner sobre la mesa los retos y tendencias en materia de seguridad que actualmente tienen las entidades financieras, en general, y sus CISO, en particular. Precisamente, los participantes comenzaron valorando este ciberataque, del cual reconocieron que ninguna entidad financiera está a salvo. En palabras de Carlos Solé, director de Seguridad de la Información de CaixaBank, “es algo que nos puede pasar a todos”, afirmó. “Lo que hay que hacer es contar con un ecosistema completo de seguridad para defenderse de este tipo de ataques”, añadió. De la misma opinión se mostró Fernando Vega, director de Seguridad de la Información de diciembre 2014 Gneis-Bankinter (Grupo Bankinter) quien realizó un par de lecturas del incidente: "la primera es que ha incrementado la concienciación de todos; mientras que la segunda es que han tardado unos dos meses en descubrirlo, cuando ya habían salido de la entidad muchos gigabytes de información". De hecho, para el directivo, la preocupación actual de las entidades financieras ya no es que los atacantes se adentren en sus sistemas tecnológicos, sino más bien dónde exactamente están dentro. Este aspecto también lo puso de relieve en su primera intervención Rubén Ceacero, gerente de Seguridad Informática de GneisBankinter: "Hay que hacer los controles de seguridad necesarios no para eliminar los riesgos, sino para mitigarlos lo máximo posible y tener especial seguridad financiera un mayor control de lo que está ocurriendo en tu red", afirmó el directivo. A juicio de Ricardo López, jefe de Auditoría interna y Seguridad de la Información de Cecabank, en este punto es donde precisamente deben ponerse a trabajar. "Hemos pasado de utilizar herramientas fundamentalmente preventivas a otras que tratan de esclarecer cuándo y cómo se ha producido el ataque y cómo se puede reaccionar a él", comentó. Según el directivo, este tipo de utilidades son mucho más avanzadas, dinámicas y proactivas que las anteriores, y se basan "en modelos 'detectivos', en vez de predictivos", añadió. Éste es un hecho en el que también coincidió Miguel Ángel Martos, director general para el sur de Europa de Blue Coat. "En el sector financiero hemos pasado de una no percepción del riesgo real que existía a entender lo que está ocurriendo". Por eso, añadió, desde su organización están trabajando en proveer de tecnologías a las entidades financieras "para minimizar en la medida de los posible esa ventana atacante", así como "racionalizar el flujo de información que tradicionalmente se ha venido recibiendo de los diferentes dispositivos de seguridad", agregó el representante de Blue Coat. Ahora bien, a la hora de establecer este tipo de medidas tecnológicas cuentan con dos handicap importantes. El primero son las nuevas normativas, a las que han tenido que irse adaptando las infraestructuras tecnológicas de las entidades financieras para poder hacer frente a su cumplimiento, y que, de forma positiva, como apuntó Ceacero, de Gneis-Bankinter, sobre la mesa este sentido, es importante realizar una labor de formación tanto a los empleados como a los colaboradores para indicarles "qué pueden hacer y qué no, y en qué consiste un comportamiento sospechoso o anómalo", añadió el directivo. Ahora bien, en este sentido, el problema que aprecia López, de Cecabank, es que en general "la gente asimila seguridad informática con tecnología y programas, y automáticamente despliegan un velo y dicen que no es asunto suyo". En estos casos hay que hacerles ver que el tema de la seguridad también va con ellos. Fernando Vega Director de Seguridad de la Información de Gneis-Bankinter "Nos preocupamos por proteger el core bancario, pero realmente en el big data tenemos información muy parecida, mucho más jugosa y exportable, por lo que se puede convertir en un nuevo objetivo de ataque" ha permitido que el área de Seguridad incremente sus presupuestos. El segundo handicap es el empleado, puesto que se le considera el eslabón más débil de la cadena dentro de cualquier sistema de seguridad. Por eso, para Vega, de Gneis-Bankinter, "la principal vía de entrada de este tipo de ataques es la ingeniería social". En El papel del CISO En este nuevo escenario resulta fundamental el rol que debe desempeñar el CISO en cada entidad financiera. "Él es el que debe conseguir que la seguridad sea parte del ADN de una organización, y no algo en lo que se piensa cuando ha habido evidencia de riesgo", opinó Martos, de Blue Coat. De esta forma, para el directivo, pasa de ser una figura responsable de la seguridad informática a "ser el responsable de la seguridad en general o de la seguridad de los datos". López, de Cecabank, también aprecia ese cambio y, para él, este profesional ha de convertirse en "un analista de riesgos", que debe ir directamente a donde están los riesgos de seguridad, para lo cual no hace falta ser informático. Pero, eso sí, tiene que "conocer con detalle cuáles son sus procesos de negocio y tener claramente identificadas las competencias de las primeras y segundas líneas de seguridad". Aparte de esta labor, Blue Coat, fortaleciendo la seguridad La compañía Blue Coat Systems cuenta con un largo historial en la protección de las organizaciones, en general, y de sus datos, en particular. De hecho, trabaja para más de 15.000 clientes en todo el mundo, incluyendo el 78 por ciento de la lista de Fortune Global 500. Esto es posible, según sus responsables, gracias a una sólida cartera de propiedad intelectual con más de 200 patentes que le permiten seguir impulsando innovaciones que aseguren la continuidad del negocio, la agilidad y la gobernanza. Prueba de ello es que la compañía ha sido calificada recientemente por Gartner como líder de su cuadrante mágico en la categoría de gateways de seguridad web. Sin embargo, ésa es sólo un área sobre la que gira toda su "propuesta de seguridad empresarial". Gracias a este planteamiento, el fabricante no sólo ofrece una avanzada y sofisticada tecnología, sino que la presenta desde una perspectiva totalmente innovadora que permite aportar valor empresarial a cada organización, independientemente del sector en el que ésta opere. Todo ello, además, trabajando desde cualquier clase de dispositivo y con aquellas aplicaciones de escritorio, web o móviles que una compañía necesite utilizar en cada momento. especial red seguridad diciembre 2014 31 seguridad financiera sobre la mesa función es intentar sacar información de la entidad mediante la infección de una máquina y su propagación por el resto hasta dar con la información relevante que se busca. Para frenarlas, Solé considera fundamental separar las fases en las que se divide una ATP. "En cada una de ellas habrá que aplicar tecnologías que hasta ahora no tenías, y pueden servir otras más tradicionales que ya se estuvieran utilizando como la categorización, el control o los privilegios en el puesto de trabajo", comentó. Claro Los asistentes a la mesa redonda coincidieron en señalar cómo las precupaciones de las áreas de Seguridad han pasado de la prevención a la detección de los ataques. el CISO también ha de contar con el apoyo en su gestión de los empleados y del consejo de dirección, para lo cual, según matizó Ceacero, de Bankinter, "es necesario que explique perfectamente sus decisiones y que reciba el visto bueno de todos ellos para que pueda llevarlas a cabo". Asimismo, resulta fundamental que se establezca una comunicación fluida entre los distintos profesionales de la seguridad para compartir información sobre ataques y técnicas de defensa. De hecho, este tema también generó cierto debate entre los asistentes. En general, todos estuvieron de acuerdo en que es necesaria esta cooperación por el bien de las empresas del sector financiero. Sin embargo, en este punto pueden surgir algunos inconvenientes. Para Solé, de CaixaBank, el problema de la compartición de la información es que siempre es necesario comunicar aquello que le vaya a ser útil al otro, pero comunicar por comunicar no tiene sentido. "Imaginemos que entran en alguna de nuestras entidades, pero el ataque no afecta a la información, ni a ningún cliente o empleado. ¿Es lícito comunicar eso cuándo no se ha visto nadie involucrado? En el momento en el que afecta a un proveedor, un cliente o un empleado, sí sería preciso comunicarlo y tomar las acciones necesarias", comentó. Además, para cooperar también es necesario que exista un mecanismo ágil que permita poder compartir esos delitos. De momento, eso todavía no existe, y lo que se viene haciendo es apoyarse en algunos foros de seguridad de TI y en determinadas reuniones con la fis32 red seguridad calía, la Policía y la Guardia Civil. Por eso, para Ceacero, de Bankinter, se echa de menos "alguna herramienta gubernamental" que mejore la posibilidad de compartir información. En este punto, Martos, de Blue Coat, ensalzó la labor que están haciendo los fabricantes del sector, que se constata en tres tendencias principales. La primera es compartir con otros fabricantes, "siempre con un equilibrio en cuanto a que no sea un competidor, y esa información esté orientada a la identificación temprana de malware". En segundo lugar, compartir información de los usuarios de un determinado tipo de tecnología. "Ahora cada vez que un fabricante identifica un rastro de malware en cualquier lugar de su red, esa muestra puede ser de una inteligencia colectiva que automáticamente alimenta un dispositivo de seguridad en cualquier lugar del mundo", explicó. Y la tercera vía tiene que ver con el cambio de operativa de seguridad. "Cada día se intenta hacer más análisis forense de qué ha ocurrido, ver las brechas de seguridad e identificar el código dañino". Para el directivo, todo ese conocimiento retroalimenta sistemas como los de Blue Coat y fomenta la inteligencia colectiva. Tendencias en amenazas A continuación, el tema de debate de la mesa de trabajo se centró en exponer cuáles son actualmente las principales tendencias en ataques tecnológicos a los que se deben enfrentar las entidades financieras. La respuesta mayoritaria fue las amenazas avanzadas persistentes (APT), cuya principal diciembre 2014 Carles Solé Director de Seguridad de la Información de CaixaBank "Una entidad financiera debe contar con un ecosistema completo de seguridad para defenderse de los ataques informáticos" que, matizó, todas estas herramientas están muy bien, pero "es preciso realizar un análisis inteligente y poder hacer saltar la alarma para investigar posteriormente". Vega, de Gneis-Bankinter, estableció otros tres tipos de amenazas también importantes para las entidades financieras en función de los intereses que tengan. Una primera más asociada al ciberterrorismo, que incluso tiene por detrás a gobiernos que quieren afectar a las infraestructuras críticas de un país. La segunda está más vinculada al robo de la propiedad industrial; y especial seguridad financiera sobre la mesa la tercera va asociada a la parte monetaria, a querer sacar dinero", expuso. Para el directivo, lo que caracteriza al sector financiero es que se puede ver afectado por estas tres variantes. Ahora bien, el que más preocupa a las entidades financieras es el tercer tipo. Dicho esto, también puso sobre la mesa otro elemento al que él considera puede llegar a ser una amenaza: la regulación. "El no cumplimiento o las sanciones regulatorias debemos considerarlas también como una amenaza porque afectan a la reputación de las entidades", confirmó. Finalmente, otra amenaza a la que también se hizo referencia durante el desayuno de trabajo fue el atacante interno, el que está en la propia entidad. En este sentido, las organizaciones financieras han ido poniendo trabas y restricciones de seguridad para acotar sus áreas de actuación. Sin embargo, según los asistentes a la mesa redonda, ahora aparecen otras opciones como el cloud, en las que se debería aplicar el mismo tipo de protección que en una infraestructura interna de la empresa. Según López, de Cecabank, "la nube se ha vendido a los usuarios como la solución a todos sus problemas, y que vale para todo. Yo creo que primero tiene que haber una racionalización de esta clase de proveedores y también en cuanto a las medidas de seguridad que están dispuestos a implantar, y hasta qué punto puede haber convergencia entre mis propias políticas y las de la nube". Además, el directivo abogó por que las medidas de seguridad que se aplican a las entidades financieras no tienen por qué ser las mismas que se exijan a otras organizaciones. "Esto se debe poder ajustar en términos contractuales", añadió. Y tampoco observa que, desde un punto de vista proactivo, los proveedores cloud pongan la seguridad por delante, "en el sentido de confidencialidad y protección de acceso". Esto también puede provocar otro problema, tal y como expuso Ceacero, de Gneis-Bankinter. Evidentemente, la nube tiene un coste inferior para las áreas de negocio porque se paga por uso del servicio. Sin embargo, el departamento de Seguridad les puede advertir del problema de sacar datos de clientes fuera, de la necesidad de conocer dónde están localizados esos datos y de la importancia de utilizar herramienta de cifrado. En esos casos, 34 red seguridad Uno de los temas que más comentarios generó fue la importancia que el big data supone para las entidades financieras a la hora de analizar los datos que manejan. comentó el directivo, "es posible que el coste empiece a subir para las áreas de negocio y prefieran seguir como estaban hasta entonces". Big Data Para atajar todas estas amenazas que se están produciendo ya, especialmente las APT, es decisivo, según los asistentes, que las entidades financieras tengan en cuenta las nuevas herramientas de big data, puesto que facilitan esa labor. En palabras de Martos, de Blue Coat, "las APT requieren un procesamiento diferencial. Ya no basta con hacer un análisis básico, sino que es preciso encontrar indicadores de compromiso. Eso, desde mi punto de vista, requiere de dos factores: alguien que sea capaz de interpretar la información y algún tipo de mecanismo que pueda ayudarnos a poner en contexto las alarmas". En este punto es donde entra en juego el big data. "La única manera que tienes de guardar esos datos y procesarlos es haciendo uso de tecnologías de big data. Y eso precisamente es lo que estamos haciendo muchos fabricantes", afirmó el directivo. De hecho, Martos considera que se trata de "un avance tecnológico importante para, sobre ese flujo ingente de información que se ha capturado de la Red, impulsar mecanismos de análisis automáticos que ya no requieren de la aplicación de un interventor físico". En este sentido, es importante encontrar la correlación adecuada entre la capacidad de gestionar la información y sacar conclusiones de ella, y lo que quiere el negocio y lo que se puede hacer, tal y como comentó Veda, de Gneis-Bankinter. "El big data diciembre 2014 permite un perfilado muy fino de clientes, empleados, comportamientos...; y por tanto, habrá que tener muy en cuenta su finalidad: para qué es, quién lo usa y cómo se usa". Y es que todo ello puede aportar mucha información a los atacantes y se convierte en un nuevo objetivo de ellos. "Generalmente nos preocupamos por proteger el core bancario y realmente en el big data tenemos información muy parecida, pero mucho más jugosa y exportable, Miguel Ángel Martos Director general para el Sur de Europa de Blue Coat "El CISO debe conseguir que la seguridad sea parte del ADN de una organización, y no algo en lo que se piensa cuando hay riesgo" especial seguridad móvil por lo que se puede convertir en un nuevo objetivo de ataque", añadió el directivo. Además, esto tiene otra consecuencia. Si hay una brecha en los sistemas, el impacto que puede tener en la cantidad de información que es posible robar sería mucho mayor. De ahí que sea conveniente protegerlo tanto o más que donde se encuentran los datos operacionales. El resto de asistentes también se mostró de acuerdo con estas afirmaciones y con la importancia de asegurar la protección del big data. De hecho, Ceacero, de Gneis-Bankinter, explicó que con estas tecnologías existen varios niveles, dentro de los cuales hay uno de correlación de eventos e información, que puede dar una pista de que algo raro está pasando. A partir de ahí, comentó, "vas subiendo niveles hasta conseguir información más o menos estructurada que pueda aportar si eso es un falso positivo". Esto es algo que sin el big data no sería posible, porque no se podrían estar procesando absolutamente todos los datos existentes. Por eso estas tecnologías son "un buen habilitador" para detectar todo ese tipo de situaciones comprometedoras. Al fin y al cabo, lo que se pretende con todo esto es ser capaces de analizar las diferentes acciones que se producen en el día a día en una organización financiera, tanto internamente como por parte de los clientes, para elaborar un mapa de comportamientos habituales. Vega, de GneisBankinter, apuntó en ese sentido: "eso es lo que nos va a ayudar a ver las inconsistencias cuando realmente ocurra algo fuera de lo normal". Inteligencia en seguridad Claro que, toda esta información que las entidades financieras van recopilando también se puede convertir en inteligencia para prevenir situaciones futuras no deseadas. Precisamente, éste fue otro de los asuntos que se plantearon a continuación en la mesa de trabajo. Por ejemplo, en el caso de CaixaBank, esto resulta "vital" para ellos, aunque siempre es necesario andar con prudencia, según Solé: "Si hablamos de predicción, podemos predecir que se están dando unas ciertas acciones digamos ilícitas y que pueden conducir a un fraude; incluso intentar buscar tendencias y alimentarnos de la inteligencia con lo que está especial pasando en el mundo. Sin embargo, hay que ser prudentes y realistas para saber lo que se puede conseguir y lo que no". Para López, de Cecabank, en este sentido el reto que tienen por delante las entidades financieras es el poder integrar adecuadamente todos los recursos disponibles en materia de inteligencia. "Por ejemplo, todas las entidades tenemos sistemas de analíticas de red social, contamos con una fuente de información para las pérdidas por fraude que es nítida, conocemos los riesgos implícitos dentro de la propia operativa transaccional... El tema es poner todas estas herramientas a trabajar juntas y a la vez". En este punto, Martos, de Blue Coat, quiso detallar cómo es el modelo que los fabricantes de tecnología de seguridad como el suyo están siguiendo para la implantación de una inteligencia real en las empresas, partiendo de dos niveles: aquel en el que se conocen las amenazas y se comparte información, y la inteligencia enfocada a amenazas más sofisticadas. A partir de ahí se establecen diferentes escalones, siempre orientados a minimizar la brecha de oportunidad de un atacante. "Los escalones siempre son los mismos. En primer lugar, proveer de una herramienta para que el propio usuario sea capaz de identificar esos patrones de compromiso, la situación de riesgo, el daño que ha hecho y cómo se ha generado. A partir de ahí, esa información se comparte con sobre la mesa Ricardo López Jefe de Auditoría interna y Seguridad de la Información de Cecabank "Hemos pasado de utilizar herramientas preventivas a otras que tratan de esclarecer cuándo se ha producido el ataque y cómo reaccionar ante él" el fabricante que desarrolla la tecnología y el cual intenta automatizar este proceso para conseguir que la siguiente vez que ocurra algo así la detección sea automática, y que se pase de detectar en semanas o meses Los representantes de las entidades Bankinter, CaixaBank y Cecabank charlaron durante un par de horas sobre los desafíos de seguridad a los que se enfrentan sus empresas. red seguridad diciembre 2014 35 seguridad financiera sobre la mesa La mesa de trabajo organizada por RED SEGURIDAD, en colaboración con Blue Coat, fue una buena oportunidad para que los expertos invitados pudieran compartir experiencias. a días", argumentó. A continuación, esa información se sube al sistema de inteligencia colectiva, y se desarrollan herramientas para automatizar esos procesos. Gracias a esto, según el directivo, se están consiguiendo "logros importantes", aunque para ello se incurran en determinados costes, y "se requiera de un proceso de aprendizaje y puesta en marcha". Alineamiento con el negocio El último bloque de la mesa de trabajo estuvo dedicado a debatir sobre cómo es posible alinear todo lo dicho hasta ese momento en materia de seguridad tecnológica en las entidades bancarias con el propio negocio, una tarea que no resulta fácil, según los asistentes. "Los proyectos hay que venderlos muy bien y explicarlos de manera transparente", opinó Solé, de CaixaBank. Y después hay que dejar claro a la dirección que "esas iniciativas deberán seguir evolucionando en el tiempo y habrá que ir añadiendo nuevas funciones". Para lo cual es importante, según el directivo, encontrar "aliados internos" dentro de las empresas como, por ejemplo, las áreas de auditoría. Por tanto, en estos procesos también resulta fundamental la figura del CISO, que se puede convertir en una fuente de apoyo real para la empresa, especialmente a la hora de valorar los riesgos de negocio. Según López, de Cecabank, "es la regla del 80-20. Deberíamos dedicar el 80 por ciento de nuestros esfuerzos a ese 20 por ciento del proceso de negocio que es donde están la mayor parte de los riesgos". Y el CISO es el que se debe 36 red seguridad encargar de hacer ese análisis de una manera concienzuda, porque, en palabras del directivo, "el negocio le preocupa relativamente poco a la seguridad. Todo lo que no sea eso, tiene que ser análisis de coste-beneficio, renunciar a proteger determinados Rubén Ceacero Gerente de Seguridad Informática de GneisBankinter "Hay que hacer los controles de seguridad necesarios no para eliminar los riesgos, sino para mitigarlos lo máximo posible y tener un mayor control de lo que está ocurriendo en tu red" diciembre 2014 aspectos del negocio que son menos relevantes desde el punto de vista de la seguridad, y hacer más hincapié en otros que sí que lo son", afirmó. A continuación, Ceacero expuso el caso concreto de Bankinter, que hace unos años decidió desarrollar tecnología propia para el negocio. "Todo surgió porque nosotros, como departamento de Seguridad, teníamos una necesidad y decidimos crear nuestra propia herramienta", explica. A partir de ahí fue como una bola de nieve. La vio un compañero de otro departamento que le venía bien, y después otro y otro y se fue agrandando". Al final, la entidad decidió poner a trabajar en ello a un equipo de profesionales y crear una nueva compañía, denominada Gneis, con el fin de ofrecer esa tecnología a otro tipo de entidades, siempre enfocándose a los ámbitos de negocio. Precisamente, parecido a esto también es el caso que expuso López, de Cecabank. "Nosotros no somos una entidad financiera al uso, sino que aportamos servicios financieros para otras entidades. Lo que pasa es que cuando estás ofreciendo esos servicios, esas mismas entidades te dicen 'ya que me estás dando la capa de negocio, dame también la de control, e incluso la de supervisión'. Por tanto, sí que se pueden hacer determinados trabajos de supervisión acompañando al negocio y eso nos ayuda mucho a adquirir determinadas herramientas o recursos", aseguró. En cualquier caso, para todos los asistentes se trata de un proceso paulatino donde es preciso ganarse la confianza de la dirección a base de resultados. "Durante muchos años hemos vendido proyectos, muchos de los cuales han sido de automatización que permitían reducir costes en servicios externos. Y hemos demostrado que éramos capaces de reducir los presupuestos y hacer muchas más cosas. Nos hemos ganado esa confianza, con lo cual ahora, cuando vamos a explicar nuevos proyectos, nos creen, y ahí no podemos fallar", expuso Ceacero, de Gneis-Bankinter. No en vano, todos los asistentes estuvieron de acuerdo en la necesidad de justificar siempre a los responsables de las entidades financieras los proyectos que se proponen abordar desde las áreas de Seguridad para poder ponerlos en marcha en sus respectivas organizaciones. especial Gestión de seguridad TIC opinión Los nuevos desafíos del CISO Emmanuel Roeseler Director de Sistemas de Seguridad de IBM España, Portugal, Grecia e Israel Como sucede en todo el mundo, las organizaciones españolas también son golpeadas por las brechas de datos y cada vez son más las que están dando la bienvenida a un nuevo miembro en el Comité de Dirección: el Chief Information Security Officer (CISO). El nuevo integrante de este consejo (formado por CEO, CFO, COO, CMO, etc.) adquiere un papel determinante, pues a él corresponde custodiar la información corporativa como la nueva joya de la corona. Recientemente, IBM ha publicado su tercer estudio anual CISO correspondiente a 2014, que refleja el papel cada vez más determinante de este perfil. El 90 por ciento de los responsables de seguridad están totalmente de acuerdo con la influencia de su trabajo en la organización y más de tres cuartas partes de los encuestados (76%) asegura que en los últimos tres años ha visto cómo ha aumentado significativamente su peso específico en Dirección. Profesionales con el perfil de un CISO necesitan disponer de dicha influencia, la cual es necesaria para desempeñar su función. Mantener a salvo la información de la organización no es una tarea sencilla en un escenario donde aumentan las amenazas constantemente ni 38 red seguridad El CISO está preocupado porque la adopción de la nube está ampliando el perímetro tradicional de la empresa y creando nuevas áreas de vulnerabilidad es algo que pueda afrontarse en solitario. No sorprende que una gran mayoría perciba que la complejidad del desafío que plantean los ciberataques ha crecido en este periodo de tiempo. Pero lo más preocupante es que el 60% coincide en subrayar que su organización no está preparada para luchar en caso de ciberguerra. Es una prueba real proteger los sistemas de TI frente a los ataques, cada vez más sofisticados, bien diseñados y difíciles de detectar. Las brechas de seguridad pueden permanecer ocultas durante semanas e incluso meses hasta que son descubiertas, hecho que aumenta el daño infligido y la probabilidad de que algunos datos confidenciales hayan sido sustraídos, lo que significa dejar a la compañía gravemente comprometida. diciembre 2014 Movilidad y ‘cloud’ Curiosamente, los directores de Seguridad, los CISO, se están enfrentando a una paradoja: la misma tecnología –movilidad y cloud– que están utilizando para innovar y ofrecer a sus empleados tecnologías colaborativas está abriendo nuevas puertas Gestión de seguridad TIC opinión Los CISO se están enfrentando a una paradoja: la misma tecnología que utilizan para innovar está abriendo nuevas puertas a los cibercriminales y ‘hackers’ a los cibercriminales y hackers para adentrarse en la organización. Por este motivo, las organizaciones que adoptan cloud desean el mismo nivel de seguridad para su información en la nube que del que disponen en sus centros de datos. En consecuencia, el CISO está preocupado porque la adopción de la nube está ampliando el perímetro tradicional de la empresa y creando nuevas áreas de vulnerabilidad. En este sentido, los profesionales que han participado en el estudio de IBM se mostraron preocupados sobre la gestión de la seguridad en dispositivos móviles, aunque también son conscientes de que este avance no se puede obviar. Casi el 90 por ciento de los encuestados sostiene haber adoptado cloud o estar inmerso en el despliegue de algún proyecto en la nube. Cada vez son más las organizaciones que están viendo que no es suficiente con actualizar ligeramente su visión cada pocos años. No son pocos quienes están ‘reconstruyendo’ sus sistemas desde la base debido a la magnitud del desafío que supone la seguridad. La demanda de inteligencia aplicada a la seguridad en tiempo real es paralela al concurrente riesgo de pérdida de información, a la expansión de cloud y a la necesidad de proteger los datos que se han subido a ella. Estos factores, junto a los cambios normativos, contribuyen a la necesidad del nego- cio de actualizarse con los últimos desarrollos y prestar soporte a sus equipos mediante la securización de datos y sistemas. Nadie dijo que fuese sencillo, pero existen diferentes recomendaciones que los responsables de seguridad pueden poner en marcha si desean reforzar la seguridad de sus organizaciones de cara al futuro: ▪ Mejorar su formación y capacidades de liderazgo, lo que permitirá que un CISO continúe aumentando su influencia y optimizando el soporte a los responsables de negocio en todas las áreas de la compañía. ▪ Continuar buscando aproximaciones y tecnologías que sirvan para apuntalar la nube, la movilidad y la seguridad de los datos en la organización. ▪ Colaborar externamente con ecosistemas relevantes, con instituciones públicas y privadas. Desde que el nivel de riesgo se sitúa en lo más alto es preciso interactuar y establecer relaciones más sólidas con clientes, partners y proveedores. ▪ Planificación para múltiples escenarios de gobierno. Ante la incertidumbre sobre si las nuevas normativas en términos de ciberseguridad serán lideradas por instituciones internacionales a nivel global u organismos nacionales a nivel local, las organizaciones deben estar preparadas para adaptarse a la transparencia y al cumplimiento. La comprensión e interiorización del nuevo reto que plantea la seguridad, en qué medida afectan los factores externos y cómo gestionarlos nunca había sido tan importante. Para la mayoría de las compañías, y todos los CISO, el desafío no es solamente gestionar el presente, es adaptar la protección de sus sistemas a un futuro desconocido. Qué piensan los CISO 1. Amenazas al alza. Para el 83 por ciento de los directores de seguridad, el problema de las amenazas externas está aumentando. Hace tres años sólo opinaba lo mismo el 42 por ciento. 2. La analítica es la clave. El 72 por ciento de los CISO considera que la seguridad inteligente en tiempo real es cada vez más importante para una empresa. 3. Los ciberdelincuentes van por delante. El 60 por ciento de los directivos de seguridad coincide en indicar que sus organizaciones se verían sobrepasadas en caso de verse envueltas en una guerra cibernética. 4. Desafíos presentes. El 40 por ciento considera las amenazas externas más sofisticadas como el principal reto de las empresas. En segundo lugar, los CISO están preocupados por adaptarse a las normativas de ciberseguridad que aprueben los gobiernos (15%). red seguridad diciembre 2014 39 protección de datos opinión Conservación de datos personales: el necesario equilibrio entre seguridad pública, privacidad y libertad (I) Rafael Velázquez Consultor legal TIC. Certified Data Privacy Professional, CDPP El tratamiento de datos relativos a personas físicas ha sido una actividad habitual durante muchos periodos históricos. El salto cualitativo está estrechamente vinculado con la evolución de las tecnologías de la información (TI). Éstas facilitan actualmente la posibilidad de: tratar grandes cantidades de datos relativos a personas físicas y jurídicas, procesarlos a gran velocidad, almacenarlos con un coste muy bajo, etc.; tratamientos que se realizan en cualquier entorno público o privado, y se utilizan con múltiples fines. La conservación y cesión de los datos personales generados por los ciudadanos (en este caso, usuarios de servicios de telefonía fija, telefonía móvil, telefonía por Internet, etc.), con el objeto de detectar, investigar y enjuiciar delitos graves ha hecho aflorar la tensión entre el derecho a la protección de datos personales/ privacidad, el derecho al respeto de la vida privada y familiar, y la seguridad pública. Esta última justifica la conservación y la cesión de los datos personales a los agentes facultados en la protección del interés general. Esta tensión, inserta en el complejo pero necesario equilibrio entre derechos y libertades y seguridad pública, la ha abordado recientemente el Tribunal de Justicia de la Unión Europea (TJUE). Se preguntó 40 red seguridad al mismo si la Directiva 2006/24/CE, sobre conservación de datos por los operadores de servicios de comunicaciones electrónicas, era compatible con la protección de datos de carácter personal y el derecho a la vida privada y familiar. A esta cuestión, el TJUE respondió mediante sentencia, el 8 de abril de 2014, anulando la Directiva 2006/24/CE. La declaración de nulidad también afecta a las normas que el legislador español aprobó para transponer la Directiva UE al derecho interno. Monitorización permanente Uno de los efectos de los atentados del 11 de septiembre de 2001, en Nueva York, del 11 de marzo de 2004, en Madrid, y del 7 de julio del 2005, en Londres, fue que todos asumimos, más o menos, que el escenario donde el terror opera es global, y que cualquier persona puede verse afectada al ser un objetivo principal o como expresión de un daño colateral. Para muchos, la “contienda” había traspasado los medios de comunicación para trasladarse a nuestras calles, plazas, medios de transporte, etc. En paralelo, el crimen y el terrorismo podían operar desde cualquier lugar del mundo con una cierta impunidad, apoyándose en el ciberespacio. Éste se define como: “una red independiente de infraes- diciembre 2014 tructuras de información y comunicaciones, que incluye Internet, redes de sistemas informáticos y procesos y controles embebidos”1. Esta dolorosa realidad contribuyó a que adquiriera relevancia la actividad de obtener, procesar, conservar, ceder, etcétera, ingentes volúmenes de información y datos concernientes a personas físicas, así como procedentes de personas jurídicas. Éstos se mantienen, ceden y procesan con el objeto de investigar, detectar y enjuiciar delitos graves, expresión cuya definición corresponde a la legislación de cada Estado miembro de la Unión Europea (UE). La realidad descrita ha permitido la consolidación de la “sociedad vigilada”, donde multitud de personas, originarias de países variados, con diferente raza, religión, cultura, etc. se convierten en mujeres u hombres de “cristal”, que es lo mismo que tener una vida “transparente”. Eso sin haber conocido la privacidad por defecto y desde el diseño, concepto planteado y promovido por Ann Cavoukian, comisaria de Información y Privacidad de Ontario, Canadá. Asunto que en esencia supone que la privacidad debe estar embebida en el diseño y la arquitectura de los sistemas de TI; ha de formar parte de los procesos de negocio; representar un elemento más de protección de datos la funcionalidad; entenderse como un activo más del negocio, que hay que configurar por defecto; y abarcar el ciclo total de vida de los datos suministrados, lo que implica una concepción de la seguridad ‘punto a punto’2. Concepción que si estuviera implementada de manera general, dulcificaría la actual situación. Nos encontramos inmersos en la monitorización o vigilancia por defecto, apoyada en razones de interés general, como son la seguridad nacional y la seguridad pública. La actividad consistente en obtener, conservar, ceder, analizar, etcétera información y datos concernientes a personas físicas para adelantarse a la materialización de un tipo penal (es decir, con carácter preventivo) o para investigarlo, enjuiciarlo, sancionarlo, etcétera cuando éste se concreta, también ha enervado la interacción derechos y libertadesseguridad pública. Contexto en el que cobra gran relevancia el derecho a la intimidad personal y familiar, el secreto de las comunicaciones y el derecho a la protección de datos de carácter personal, fundamentalmente. Derechos que el legislador debe tener muy presentes cuando, por motivos de seguridad pública, concibe una norma que represente una injerencia que afecta gravemente a los anteriores. Pues sólo así se pacificará el conflictivo equilibrio entre la seguridad pública, entendida como un bien de carácter general y los derechos y libertades de todos, cumpliéndose también el ordenamiento jurídico. apartado 3; el artículo 10 relacionado con las Infracciones y sanciones; y el apartado 5 de la disposición adicional única, al que da nueva redacción. Esta conservación y cesión de datos de tráfico y de localización relativos a personas físicas, así como los relacionados que sean necesarios para identificar al abonado o usuario registrado, tiene como antecedente principal la Directiva 2006/24/ CE, del Parlamento Europeo y del Consejo, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE5. Mientras, la Ley 25/2007 es la fórmula con la que España transpone la Directiva al derecho interno. Norma comunitaria que el TJUE declaró nula en la sentencia de 8 de abril de 2014. La obligación de conservar los datos de tráfico y de localización obtenidos en el marco de servicios (como telefonía móvil, acceso a Internet, telefonía fija, correo electrónico por Internet y telefonía por Internet) por parte de los operadores de comunicaciones electrónicas disponibles al público o que exploten opinión redes de comunicaciones electrónicas, así como el deber de cederlos a los agentes facultados –cesión que debe contar con la correspondiente resolución judicial, que tiene como fines: la detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales, que debe considerarse como delito grave– corresponde a la legislación de cada Estado miembro, pues la regulación de los tratamientos de datos que tengan por objeto la seguridad del Estado, o la seguridad pública, es competencia de los mismos. Aunque, también puede armonizarse la legislación transponiendo el contenido de una Directiva al derecho interno mediante la elaboración de una norma, como así se hizo. Conociendo quiénes son los destinatarios de la obligación de conservar los datos, para qué se mantienen, el entorno de servicios de donde proceden u obtienen, etcétera, es necesario responder a cuestiones como: ¿Qué tipo de datos hay que conservar? ¿Cuáles son los requerimientos para mantener la confidencialidad, integridad y disponibilidad de los mismos? ¿A quiénes deben cederse los datos conservados? Si la cesión Cesión por operadores La obligación de conservar y ceder datos concernientes a personas físicas, aunque está también afecta a los datos de las personas jurídicas, la regula nuestro ordenamiento mediante la Ley 25/2007, sobre conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones”3. Esta norma la ha modificado recientemente la disposición final cuarta de la Ley 9/2014, General de Telecomunicaciones4, que cambia el artículo 6 apartado 2; el artículo 7 La conservación y cesión de los datos personales genera tensión entre el derecho a la protección de datos,el respeto de la vida privada y la seguridad pública. red seguridad diciembre 2014 41 protección de datos opinión está amparada por algún requisito establecido en la legislación. Si el ejercicio de los derechos de acceso y cancelación, reconocidos al titular del derecho fundamental a la protección de datos personales es de aplicación en estos casos. ¿Qué normas pueden emplearse para sancionar los incumplimientos de las obligaciones que establece la Ley 25/2007, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones? Sobre el tipo de datos que deben conservarse o mantenerse, el artículo 3 de la Ley 25/2007, específica que éstos son: (a) Los necesarios para rastrear e identificar el origen de una comunicación, (b) los que permitan identificar el destino de una comunicación, (c) los necesarios que permitan determinar la fecha, hora y duración de una comunicación, (d) aquellos necesarios para identificar el tipo de comunicación, (e) los necesarios para conocer el equipo de comunicación de los usuarios o lo que se considera ser el equipo de comunicación. Ello sin agotar el tipo de datos que los operadores de comunicaciones electrónicas deben conservar, en el contexto de los servicios que prestan, entre los que están: número de teléfono de llamada, nombre y dirección del abonado o usuario registrado, el número o números de teléfono de destino, el nombre y dirección del abonado o del usuario registrado al que se le ha asignado en el momento de la comunicación una dirección del Protocolo de Internet (IP), la identificación de usuario o el número de teléfono del destinatario o de los destinatarios de una llamada telefónica por Internet, el servicio telefónico y/o el de Internet empleado, la identidad internacional del abonado móvil (IMSI) de la parte que realiza la llamada y de quién la recibe, la línea digital de abonado (DSL) u otro punto terminal identificador del autor de la comunicación, etcétera. En lo que se refiere a los requerimientos para garantizar la confidencialidad, integridad y disponibilidad de los datos, es de aplicación lo que plantea la Ley Orgánica 15/1999, 42 red seguridad de Protección de Datos de Carácter Personal6 y la normativa que la desarrolla. Los anteriores conectan con la Obligación de Seguridad que establece el artículo 9.1 de la primera, que plantea: “El responsable del fichero deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”. Esta Obligación de Seguridad la concreta el Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal7 . También, en nuestro caso, la Agencia Española de Protección de Datos (AEPD), de acuerdo con el artículo 41.1 de la Ley General de Telecomunicaciones, señala: “en el ejercicio de su competencia de garantía de la seguridad en el tratamiento de datos de carácter personal, podrá examinar las medidas adoptadas por los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público y podrá formular recomendaciones sobre las mejores prácticas con respecto al nivel de seguridad que debería conseguirse con estas medidas”. En cuanto a quiénes deben cederse los datos conservados y si existe algún requisito que ampara la cesión, el artículo 6.2 de la Ley 52/2007 plantea: “la cesión de la información se efectuará mediante formato electrónico únicamente a los agentes facultados, y deberá limitarse a la información que resulte imprescindible para la consecución de los fines indicados en el artículo 1,” que ya se mencionaron anteriormente. Los agentes facultados, o destinarios de los datos, son: los miembros de las Fuerzas y Cuerpos de Seguridad del Estado, cuando des- diciembre 2014 empeñen funciones de policía judicial; el personal del Centro Nacional de Inteligencia en el curso de las investigaciones de seguridad sobre personas o entidades; o los funcionarios de la Dirección Adjunta de Vigilancia Aduanera, en el desarrollo de sus competencias como policía judicial. Los anteriores, ejecutarán sus funciones de acuerdo con lo que prevé la normativa específica o de tipo general que las regula. (El artículo continuará en el próximo número) Referencias 1. US-CERT NICCS Cyber Glossary, disponible en http:// niccs.us-cert. gov/glossary. 2. Reflexiones sobre el futuro de la privacidad en Europa, II Edición del Estudio de la propuesta del Reglamento de Protección de Datos de la UE, Capítulo 2. Privacy Impact Assesstment y Privacy by desing, ISMS Forum Spain, DPI Data Privacy Institute, Madrid 2013. 3. Ley 25/2007, de 18 de octubre, sobre conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, BOE de 19 octubre de 2007. 4. Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, BOE de 10 de mayo de 2014. 5. Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE, DOUE de 13 de abril de 2006. 6. Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, BOE de 14 de diciembre de 1999. 7. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre de Protección de datos de carácter personal, BOE de 19 enero de 2008. empresa entrevista Gil Shwed Fundador y CEO de de Check Point Software Technologies En 1994, la compañía israelí Check Point lanzó el primer firewall al mercado. El fundador de la compañía, Gil Shwed, “El 'firewall' continúa siendo la piedra angular para la seguridad de la información de las organizaciones” recuerda aquel hito como el inicio de la “seguridad real y el control para las corporaciones”. A pesar de la evolución y sofisticación que han experimentado las amenazas TIC desde entonces, así como los nuevos modelos de protección de las organizaciones, Shwed defiende la validez de esta tecnología en la actualidad. 44 red seguridad Tx.: Enrique González Herrero Ft.: Check Point - Se cumplen 20 años desde que lanzó al mercado el primer firewall, ¿qué supuso la aparición de esta tecnología para el desarrollo de la seguridad TIC? La llegada del primer Firewall-1 al mercado, en el año 1994, supuso un antes y un después para la seguridad de las corporaciones en todos los sentidos. Fue la primera interfaz gráfica de seguridad que se presentaba al mercado, una interfaz intuitiva desde la que se podía permitir, limitar o autorizar el tráfico de la red sobre la base de un conjunto de normas y criterios establecidos, algo de lo que no existían precedentes. Fue una verdadera revolución que además llegó acompañada, al poco tiempo, en 1996, de la comercialización de Stateful diciembre 2014 Inspection, una tecnología rompedora que permitía, por primera vez, monitorear el estado de las conexiones activas y utilizar dicha información para realizar un ‘filtrado’ de los paquetes. Podríamos decir, en conclusión, que de la mano del primer firewall llegó la primera seguridad real y el control de la misma para las corporaciones. - Desde 1994, las amenazas en la Red han cambiado tremendamente. Son mucho más sofisticadas, más numerosas, más peligrosas… ¿Intuía por aquellos años lo que ha venido después? Intuíamos parte de lo que ha sucedido. Sabíamos que siempre habría tipos malos que idearían el modo de entrar en las redes, pero por aquellos años todo estaba despegando y tecnologías como el Internet de las Cosas eran mera ciencia ficción. Si en empresa entrevista “Soluciones como la emulación y las redes de colaboración mundial son algunos focos a los que deben dirigirse las organizaciones que quieran salvaguardar su información” el año 1994 hubiéramos sabido que un virus llamado Stuxnet iba a atacar directamente el programa nuclear iraní o que fuera posible que se interceptasen y robasen datos bancarios de más de cien millones de usuarios atacando directamente los terminales de punto de venta de los comercios (TPV) nos hubiéramos asombrado, ciertamente. La magnitud de los ataques y sus consecuencias no dejan de sorprender día a día, por su sofisticación y su constante mejora. Por eso es importante no bajar la guardia nunca e intentar ir siempre un paso por delante. - A lo largo de estas dos décadas, ¿cree que se ha desarrollado una tecnología cuyo impacto sea comparable al que representó el firewall en 1994? Mi opinión es que no. El firewall fue y continúa siendo la piedra angular para las organizaciones cuando hablamos de seguridad de la información, y su impacto por tanto no ha podido ser igualado en ese sentido. Es cierto que a lo largo de estas dos décadas su evolución ha sido sorprendente y la seguridad se ha abordado desde muchos frentes y tecnologías. El SSL VPN Web Portal en 2005, el lanzamiento del primer UTM en 2007, los software blades en 2009… Es un progreso constante. Tecnologías como DLP llegaron en 2010, anti-bot en 2011 y la primera red global de colaboración de tecnología de seguridad en 2013. En los últimos años, la tecnología de prevención de intrusiones (IPS) ha sido sin duda uno de los hitos más importantes y una capa de seguridad clave para la industria. Podríamos decir que, como resultado de toda la evolución, actualmente la mayoría de las funcionalidades de detección y prevención de intrusiones están incorporadas al firewall. Éste puede ser definido en la actualidad como una plataforma completa para analizar y asegurar el flujo de tráfico de la red, utilizando múltiples capas y diferentes tecnologías integradas. En cuanto a la evolución concreta del firewall, en la misma década de los noventa llegó la introducción de las funcionalidades de la Red Privada Virtual (VPN), que permitieron cifrar el tráfico que va de un sitio a otro, con lo que el firewall se convirtió en un componente estándar de las plataformas empresariales. En los siguientes años se fueron incorporando nuevos niveles de seguridad (escaneado de tráfico malicioso y URL para prevenir accesos) hasta llegar a la que considero una evolución clave, la inclusión de capacidades de prevención de intrusiones. - La tecnología de firewall forma actualmente una parte más de las capacidades de seguridad, pero hoy las redes se fragmentan, existen soluciones externalizadas o en la nube… Teniendo esto en cuenta, ¿hasta qué punto continúa siendo un elemento importante el firewall en comparación con el resto de soluciones de protección? Es cierto que algunos críticos han señalado que el firewall tiene ahora menos sentido debido a la fragmentación de los perímetros de las redes (los datos de las empresas no se hallan sólo dentro de la red, sino que se encuentran externos a la misma, en data centers en la nube o en los dispositivos móviles, por ejemplo). Sin embargo, mi opinión es que los perímetros de seguridad se mantienen vigentes y que existe una clara separación entre la infraestructura interna, de confianza, y las redes externas y en las que no se puede confiar. Si bien las organizaciones usan múltiples modos de acceder a sus datos corporativos (VPN, aplicaciones en la nube, diversos dispositivos…) las fronteras como tal se mantienen y los firewall se pueden implementar para controlar el tráfico de cada segmento de la red. - Desde su punto de vista, ¿dónde han de poner el foco las empresas en la actualidad a la hora de proteger sus tecnologías de la información y las comunicaciones? Es evidente que partimos de un escenario en el que todo se está moviendo hacia Internet y a la disponibilidad 24 por siete. Esto hace que los ataques sean mayores y que su alcance sea cada vez más masivo, lo que, ligado a la complejidad y a la sofisticación de sus armas, obliga sin duda a que las empresas tengan que mantenerse siempre a la vanguardia en seguridad y con la guardia bien alta. Las últimas red seguridad diciembre 2014 45 empresa entrevista tecnologías de prevención de intrusiones, y en concreto de soluciones como la emulación y las redes de colaboración mundial frente a amenazas, son algunos de los focos a los que deben dirigirse las organizaciones que quieran garantizar una verdadera salvaguarda de su información. Por otra parte, el reto de la movilidad es también un aspecto destacable y las políticas de seguridad móvil han de aplicarse correctamente. - Una tendencia de pensamiento actual es la de quienes afirman que, tarde o temprano, por muchas medidas de seguridad que implemente una compañía, los malos van a entrar en la Red. ¿Está usted de acuerdo con ese enfoque? En cierto modo, eso es cierto; pero tenemos que seguir luchando y tratar de estar por delante de los malos. La capacidad de actuar en tiempo real será un elemento importante de esto. Poder identificar y responder rápidamente a las amenazas –y adaptarse a las nuevas– será cada vez más un factor diferenciador importante entre las empresas. Y, sobre todo, la colaboración entre todos los actores involucrados: usuarios, proveedores de seguridad, universidades, autoridades… Esa será la clave. - En ese sentido, las APT (Advanced Persistent Threat) parecen uno de los principales peligros para las grandes corporaciones. ¿Cuál es la propuesta de seguridad de Check Point frente a este tipo de ataques? Estamos hablando de ataques dirigidos y específicos, sumamente sofisticados y perpetrados por personas muy cualificadas. No obstante, existen soluciones que pueden ayudarnos en la tarea de prevenir este tipo de amenazas. Este año, por ejemplo, hemos lanzado SmartEvent, una nueva y potente solución de monitorización de eventos para procesamiento y almacenamiento en tiempo real de datos acerca de amenazas. También es esencial la tecnología de emulación. En este sentido, un reciente estudio demuestra que con las soluciones Threat Emulation es posible lograr un ratio de captura 46 red seguridad ofrece prevención frente a amenazas, controles de seguridad de los datos a nivel de documento y desgrana los controles de acceso para mitigar los riesgos, y asegurar que los procesos de los empleados o del negocio no se vean afectados. del 99,83 por ciento de los archivos maliciosos, por lo que la consideramos una tecnología esencial. Por ello, hemos presentado ThreatCloud IntellliStore, el primer Marketplace de ciberinteligencia de la industria, que permite a las organizaciones seleccionar datos para prevenir automáticamente ciberataques, basada en la infraestructura de inteligencia de seguridad ThreatCloud, la mayor plataforma de big data de seguridad en tiempo real de la industria, que ofrece datos sobre amenazas provenientes de una red mundial de sensores. - Entre las tendencias para el año que viene, muchos desarrolladores de seguridad coinciden en que el BYOD (Bring Your Own Device) será uno de los principales puntos débiles de las compañías. ¿Cómo puede una organización asegurar su información cuando la seguridad tiene que pasar por la implicación de los empleados, algo muy difícil de conseguir? BYOD es, sin lugar a dudas, uno de los principales desafíos para la seguridad a día de hoy, pero creo que esto es algo para lo que Check Point tiene una respuesta eficaz y adecuada. Contamos con una nueva solución, Capsule, que permite separar en los dispositivos móviles la información empresarial de la parte personal, asegurando ambas. Es un producto que diciembre 2014 - ¿Qué otras tendencias relacionadas con la seguridad prevén para el año 2015? El malware desconocido seguirá siendo uno de los retos principales y la emulación, como antes mencionaba, será una tecnología en la que necesariamente seguiremos apoyándonos para combatir los ciberataques. Asimismo, consideramos que seguirán creciendo los ataques hacia las infraestructuras críticas (una reciente encuesta del Instituto Ponemon reveló que casi el 70 por ciento de las empresas de infraestructuras críticas sufrió un fallo de seguridad en el último año). También considero reseñable el aumento que se espera en el ámbito del código abierto, donde las vulnerabilidades críticas van en aumento y, al tratarse de sistemas de uso común, cada vez representan un objetivo más apreciado por los atacantes. - En cuanto a su estrategia de negocio y desarrollo de aplicaciones, ¿dónde van a poner el foco de manera especial el próximo año? Nuestros esfuerzos se están centrando en diversas áreas, como la capacidad de emulación de amenazas y las capas de inteligencia que alimentan a todas las demás capas con información en tiempo real. También estamos trabajando sobre la forma de prevenir y neutralizar amenazas en dispositivos móviles, con lanzamientos recientes como Capsule. Pero hay muchas más áreas, por ejemplo, nuevas capacidades para poder cambiar rápidamente en respuesta a la inteligencia de amenazas, y que las organizaciones pueda defenderse contra ataques dirigidos previstos. En el futuro, los sistemas de seguridad serán capaces de responder de forma dinámica a la inteligencia externa de amenaza, así como su propio análisis de amenazas. % Visitas redseguridad 160% 140% 120% 100% 080% 060% 040% 020% 000% NOVIEMBRE DICIEMBRE ENERO FEBRERO MARZO ABRIL Ilustración 4. % Visitas Red Seguridad. Fuente: Google Analytics LLEGAMOS + LEJOS + VISIBLES APORTAMOS + VALOR SOMOS 200 NUEVOS SEGUIDORES CADA MES movilidad opinión Pago a través de dispositivos móviles: cómo comprar con seguridad Tomás Lara Director general de Trend Micro para España y Portugal Dicen que las fiestas navideñas, la temporada de vacaciones o los días de descanso sacan lo mejor de las personas. Sin embargo, en un mundo donde la evolución de las tácticas y métodos del cibercrimen está a otro nivel para obtener información, las vacaciones también pueden convertirse en causa de malas experiencias en la vida digital de las personas. Fechas como Black Friday, Cyber Monday, Papá Noel, Reyes Magos, San Valentín, el Día del Padre o cualquier otra celebración, pueden animarnos a comprar y, por supuesto, motivar a muchos a decantarse por la compra online para aprovechar ventajas y posibles descuentos de las ventas que marcan el inicio de la temporada de compras, rebajas, etc. De cualquier manera, ya sea en tiendas físicas o por Internet, es probable que cualquiera compre algo. La adquisición de artículos por Internet se ha convertido en una práctica cada vez más habitual que sigue sumando adeptos por la comodidad que supone para el consumidor y el ahorro respecto a las tiendas físicas. Básicamente, los pagos a través del móvil son más rápidos y seguros que los convencionales. Para iniciar la transacción sólo se necesita una aplicación de pago y, como no hay necesidad de usar la tarjeta, el riesgo de que se produzcan ataques en los puntos de 48 red seguridad venta (PoS), como los llamados “card skimmers”, está eliminado. Por otro lado, los pagos móviles están también protegidos por medidas de seguridad. Sin embargo, se han convertido en una alternativa muy común de pago, y los delincuentes empiezan a utilizar ataques Man-inthe-middle (MitM) a través de aplicaciones maliciosas y brechas de datos que aprovechan estos nuevos métodos de pago. La aplicación en sí también podría tener una codificación que conduciría a la información bancaria. Además, si se pierde o se roba el dispositivo, los datos financieros podrían ser almacenados con fines maliciosos. Por tanto, si el usuario no es cuidadoso, sus datos y credenciales podrían terminar en manos equivocadas y provocar más de un quebradero de cabeza. A pesar de los riesgos, los negocios se van apuntando a esta moda y, por tanto, invierten en proporcionar mayor seguridad a los usuarios. Aunque en general podemos hablar de medio seguro, debemos ser conscientes de que los pagos online son un ámbito atractivo para ciberdelincuentes, además de insistir en que hay prácticas que podrían mejorarse. Independientemente de todo esto, si realiza compras online utilizando su dispositivo móvil en fechas muy señaladas, como pueden ser las anteriormente citadas, tenga en cuenta que no está solo. Simplemente para diciembre 2014 tratar de imaginar a qué nos estamos refiriendo, según los datos aportados por expertos analistas sólo en relación con el Día de Acción de Gracias se estimaba que más de la mitad de las transacciones de compra por Internet, aproximadamente el 53 por ciento, se iba a realizar a través de un dispositivo móvil, porcentaje que supone un incremento anual del 23 por ciento. Sin duda los pagos móviles pueden ser más cómodos, especialmente para las personas que los realizan a través de smartphones, y más teniendo en cuenta la ajetreada temporada de compras navideñas y rebajas. El problema con el uso de las tecnologías más populares es que las amenazas siempre las van a seguir, de la misma manera que hicieron con el cloud computing y la plataforma Android. Evolución continua Es posible afirmar con un margen de error muy pequeño, muy a nuestro pesar, que los nuevos métodos de pago por móvil abrirán la puerta a nuevas amenazas, lo que vaticina que en 2015 esto cobre protagonismo. La transformación masiva es un fenómeno que ya está aquí y vamos a seguir viendo; al igual que ocurre con los agentes de amenazas que están intentando manipular la tecnología Near Field Communications (NFC), lo mismo sucederá con ciertas plataformas que están ganando impulso movilidad debido al seguimiento significativo y a la tendencia que el usuario tiene para adoptar los últimos avances y las tecnologías de vanguardia, como son Apple Pay o Google Wallet. Por esto, antes de que las amenazas azoten sus dispositivos móviles y causen estragos en la información que contienen o a la que acceden a través de ellos, incluidas sus cuentas bancarias, sería conveniente refrescar la memoria con algunos de los incidentes relacionados con el pago móvil que se han encontrado hasta el momento: ▪ Apple Pay: incluso antes de que viera la luz, el nuevo sistema de pago móvil de Apple generó mucha expectación entre el público pese a los constantes informes de compañías con sistemas de pago competidores para rechazarla. Apple Pay se autopresenta como la opción de pago más segura: “Apple no sabe lo que compra, dónde lo compra y cuánto paga por un artículo. La transacción es una operación entre el comprador, el comerciante y su banco”. Su lanzamiento fue el pasado octubre, por lo que todavía tenemos que ver las amenazas dirigidas a la tecnología de Apple Pay. Sin embargo, no se puede obviar el hecho de que los cibercriminales seguirán pendientes para aprovechar su popularidad. En cualquier caso, debemos estar atentos a los ataques de ingeniería social que mencionan Apple Pay, ya sea mediante anuncios relacionados o mensajes que pueden contener links o descargas maliciosas. ▪ Google Wallet: la aplicación Google Wallet ha pasado por una mala racha en su primera versión, pues una prueba de concepto del software expuso una vulnerabilidad en una App de Google Wallet que podía ser utilizada para revelar el código PIN de los usuarios en segundos. Este defecto fue parcheado por Google y, en respuesta a ello, la compañía lanzó una nueva versión de la aplicación basada en la nube. Google Wallet almacena ahora sus tarjetas de pago en los servidores de alta seguridad de Google, en lugar de en el área de almacenamiento seguro del teléfono del usuario. ▪ NFC/RFID: en el caso de NFC y RFID, dos tecnologías muy similares con diferentes usos y capacidades de lectura/escritura de etiquetas inteligentes, los problemas de seguridad son un riesgo bien conocido, aunque no todavía en los dispositivos móviles. Sin embargo, existe la posibilidad de que las tecnologías NFC y RFID que se encuentran en los dispositivos móviles sean atacadas a fin de robar los datos. Comprar con seguridad Merece la pena ser inteligente y disfrutar de las facilidades que ofrece esta modalidad de compra sin tener que preocuparse de las fugas de privaci- opinión dad o del robo de datos. Para realizar compras online de forma segura a través del móvil es recomendable seguir los siguientes consejos: ▪ Bloquear el dispositivo móvil. Normalmente, los dispositivos tienen que estar encendidos o desbloqueados antes de que puedan leer las etiquetas NFC. ▪ Apagar NFC cuando no se esté utilizando, por seguridad y también para ahorrar batería en el móvil. ▪ Para las etiquetas pasivas, se aconseja utilizar un dispositivo de bloqueo RFID/NFC (como una cartera). Las etiquetas pasivas emiten información fija en presencia de un campo NFC, lo que significa que hay un riesgo leve de privacidad alrededor de estos dispositivos (si no se utiliza un dispositivo de bloqueo). ▪ Utilizar una aplicación de lector de NFC en el dispositivo móvil. Por defecto, la mayoría de los dispositivos móviles abrirán una URL si se detecta uno en una etiqueta NFC. Las aplicaciones serán capaces de decir qué información contiene la etiqueta, lo que permite tomar una decisión más informada sobre si se desea escanear o no. ▪ Tener cuidado con las estafas de ingeniería social que utilizan el gancho de populares opciones de pago móvil para conseguir que el usuario haga ‘clic’. Esto podría llevar a sitios maliciosos que descargan malware en el dispositivo. ▪ Equipar el dispositivo móvil con software de seguridad adecuado para bloquear Apps maliciosas, spyware u otras amenazas que puedan capturar información de las aplicaciones de pago móvil. ▪ Optar por el uso de conexiones WiFi públicas, utilizar contraseñas únicas, obtener una tarjeta específica para la compra de artículos online y monitorizar con regularidad los cargos a la tarjeta que usemos para compras online. Los datos son más vulnerables que nunca a los ataques de los cibercriminales, pues se traducen en beneficios. Como en cualquier otro entorno, en el móvil vale la pena ser precavidos y adoptar las medidas de seguridad oportunas. red seguridad diciembre 2014 49 empresa opinión LAS AMENAZAS AVANZADAS Y LOS ATAQUES DE ‘MALWARE’ SIGUEN EN AUMENTO ¿Puede hacer frente a una vulneración de datos? Con Symantec sí ▪ Tx: SYMANTEC Los ciberataques contra individuos y organizaciones continúan creciendo de forma desproporcionada. Al mismo tiempo, los criminales cuentan con mayor financiación y se están convirtiendo en entes más sofisticados que buscan infiltrarse en las empresas y robar su información más vulnerable. La mayoría de los atacantes lo conseguirán, pues saben dónde y cuándo llevar a cabo sus actividades, y se centran en el punto de defensa más débil. Por ello, una planificación inteligente contra una vulneración es esencial. Ésta consiste generalmente en los siguientes cinco pasos básicos: ▪ La preparación. Se emplea la inteligencia global para entender el panorama de las amenazas, de modo que pueda desarrollar su postura frente a los riesgos y la línea de base en términos de seguridad. ▪ La protección. Debe preguntarse “¿cuáles son los puntos de ataque y qué controles se aplican sobre ellos?”, para así centrar su defensa donde más se necesita. La detección. Hay que saber cuándo ha ocurrido la vulneración y dónde es preciso tener la total seguridad de que cuenta con las soluciones adecuadas para poner a salvo sus valiosos datos. ▪ La respuesta. Consiste en entender el impacto de un ataque y su repercusión en la empresa para priorizar la respuesta. ▪ La recuperación. Se centra en restaurar las operaciones en el negocio rápidamente y ejecutar un análisis de la causa de la crisis derivada del ataque. ¿Cómo puede ayudarle Symantec? Con nuestras soluciones de seguridad maximizadas por nuestra Global Intelligence Network, que le permite identificar los ataques antes de que ocurran. Posteriormente, nuestros servicios darán a su equipo acceso a nuestra experiencia técnica en materia de seguridad, e igualmente podemos complementar sus inversiones actuales en seguridad con múltiples proveedores, lo cual le permitirá reducir los costes a la vez que cumple con la legislación en vigor. Igualmente, Symantec permite que los clientes dejen de depender de una simple protección de su entorno con una planificación de detección proactiva y una respuesta efectiva frente a nuevas y avanzadas amenazas. Esto le permitirá adelantarse a los cibercriminales y asegurarse de que su negocio está totalmente seguro. Symantec cuenta con soluciones punteras y líderes de mercado en los ámbitos críticos de la ciberseguridad. Dichas soluciones agrupadas de forma inteligente permiten aplicar mecanismos de protección avanzada, tanto con controles primarios (en las áreas de prevención y protección) como de controles compensatorios (detección y respuesta). Según Miguel Suárez, director de Seguridad de Symantec, nuestros clientes, además de adaptarse a la evolución e incremento de amenazas y ciberataques, deben considerar la aplicación de controles de seguridad en entornos más distribuidos, y en los que la movilidad y la integración de sistemas en nube privada o pública es ya una realidad. En este entorno, la monitorización y protección de su información, así como la protección global de sus sistemas de información, es cada vez más compleja. El objetivo de Symantec se centra en ayudar a sus clientes a afrontar estos nuevos retos de protección, de manera que innovación y seguridad contribuyan de forma efectiva a su productividad y eficiencia. Novedades Symantec le permite afrontar este nuevo desafío reforzando las capacidades de sus productos para proteger su información durante todo su ciclo vital, sin importar dónde se encuentre. De esta forma, Symantec ha añadido a su completo porfolio de soluciones para endpoint, gateways y data centers de la compañía las siguientes novedades destacadas: 50 red seguridad diciembre 2014 empresa La nueva versión de Symantec Endpoint Protection (SEP) 12.1.5 incluye muchas mejoras en términos de gestión y rendimiento, con la posibilidad de bloqueo de amenazas existentes y sus variantes, así como el empleo de la tecnología insight de reputación de ficheros para examinar sólo aquellos que son desconocidos. En la parte de amenazas móviles, cumpliendo con el compromiso de Symantec de protección de la información donde quiera que resida, la nueva versión de Symantec Mobility Suite permite la integración sencilla de la gestión de terminales (MDM), la securización y gestión de aplicaciones corporativas, incluyendo el email y la navegación web (MAM), y la adición del antimalware para móviles más famoso del mundo (AM). Todo ello centralizado en una única consola. En cuanto a la parte de cifrado, la nueva versión Symantec Endpoint Encryption v11 aúna las mejores partes de la tecnología en una única consola que simplifica la gestión del cifrado de discos y dispositivos removibles (USB), así como nuevas funcionalidades de reporting y gestión empresarial. En el apartado de protección avanzada del data center, la solución Symantec DataCenter Security Server Advanced aporta de forma revolucionaria la posibilidad de realizar estratificación y bastionado del sistema operativo empleando sandbox en el servidor y regulando su funcionamiento con políticas. Olvídese de mantener listas. La nueva versión del laureado Symantec Data Loss Prevention (DLP) ahora permite la interoperación con entornos colaborativos en cloud, lo que hace posible asegurar el correcto uso y movimiento de su información más confidencial, incluso si emplea la nube como su proveedor de correo, web o aplicaciones. Por la parte de inteligencia de seguridad, próximamente se liberará Deepsight Matching Adversary Threat Intelligence (MATI), que informa en función de un malware detectado quiénes son los actores, lugares e intenciones de una determinada campaña, proporcionando asimismo indicadores de compromiso que permitan a los equipos de seguridad la investigación y el bloqueo de amenazas emergentes. Con el objetivo de reducir el tiempo entre la detección de una brecha y la respuesta de los equipos de seguridad, Symantec presenta su nuevo Managed Security Services ATP, un servicio que permite enlazar las nuevas capacidades de virtualización y análisis de las nuevas tecnologías con nuestro conocimiento inigualable del endpoint. El servicio MSS-ATP hace por usted la correlación entre las amenazas detectadas en el perímetro, viendo si éstas llegaron al endpoint, si fueron bloqueadas o si, por el contrario, necesitan de su actuación. Ésta información dada a los equipos de respuesta proporciona el “qué hacer” y “dónde hacerlo” minimizando así los esfuerzos en remediación y poniendo opinión en valor soluciones de análisis de gateways. Sabiendo que el eslabón más débil es aquel que con frecuencia es atacado, Symantec lanza su Simulation Platform, un entorno completo para entrenar a los equipos de la compañías, poniéndoles en la situación de ser atacantes, entendiendo los patrones de ataque para así poder defenderse de manera más efectiva. Pensado como una herramienta de desafíos en formato de juego, los participantes se ven inmersos en un escenario real de ataque cubriendo todas las fases del hacking ético, desde realizar un reconocimiento para identificar las potenciales víctimas y huecos del sistema hasta la exfiltración de datos fuera de la compañía. Todos estos servicios reducen de forma significativa los riesgos a los que se puede enfrentar. Nuestro concepto de “protección dinámica de datos” ayuda a los equipos de seguridad a educar a los usuarios, mejorar los procesos y apoyar la innovación empresarial. El compromiso de Symantec como primera compañía independiente de software de seguridad del mundo con los usuarios, corporaciones y gobierno es la protección de la información donde quiera que ésta resida. Para conocer más sobre la aproximación de Symantec a la defensa en profundidad puede asistir a la presentación de todas estas novedades en nuestro evento “Information Security Connect”, que tendrá lugar 19 de febrero 2015 bit.ly/symred red seguridad diciembre 2014 51 empresa noticias NOMBRAMIENTOS Rosa Díaz Directora general de Panda Security España Licenciada en Ciencias Exactas por la Universidad Autónoma de Madrid, Díaz se encargará de la estrategia de ventas para el negocio corporativo de la compañía y de definir e implementar los planes de acción con el canal de distribución en nuestro país. Antes de incorporarse a este puesto, ha desempeñado cargos de responsabilidad en empresas como Santander, Elavon o Sage. Alfonso Ramírez Director general de Kaspersky Labs Iberia Tras la promoción de Ovanes Mikhailov a director general de Kaspersky Lab para Oriente Medio, Ramírez toma el relevo al frente de la dirección de la compañía en la península Ibérica. Bajo su cargo, tendrá la responsabilidad de continuar con la tasa de crecimiento del negocio establecido por su antecesor. El directivo, que se incorporó a la compañía en 2008, ha conseguido impulsar las ventas de soluciones para usuario doméstico, tanto en España como en Portugal. Michael Fey Presidente y COO de Blue Coat Systems En su nuevo cargo, Fey trabajará para que las soluciones de la compañía en seguridad web, gestión de cifrado, herramientas para la nube y de protección se alineen con las necesidades de los clientes y del mercado. Hasta su nombramiento en Blue Coat, estuvo desempeñando las responsabilidades de CTO (Chief Technology Officer) en Intel Security Group, y anteriormente fue vicepresidente y director general de productos corporativos en McAfee. Luis López Responsable de la línea de negocio de Ciberseguridad de Trend Micro Con este nombramiento López se encargará de liderar y coordinar las necesidades técnicas y de negocio de la compañía en materia de ciberseguridad, además de dar soporte a los partners y trabajar de cerca con los clientes para garantizar el éxito y la calidad de los proyectos. Proviene del área de Seguridad y Red de Fujitsu, donde desempeñó diferentes tareas durante siete años. Soledad Romero Gerente de Seguridad Estratégica y Consultoría TI de INGENIA Licenciada en Derecho por la Universidad de Málaga y Máster en Mediación y Resolución de Conflictos por la UNED, Romero ha trabajado como consultora jurídica en seguridad en organizaciones públicas y privadas, cuenta con el título Certified Data Privacy Professional (CDPP), es miembro del Data Privacy Institute del ISMS Fórum Spain, y forma parte del profesorado que imparte la formación presencial de la CDPP en Madrid. 52 red seguridad diciembre 2014 BREVES Sophos y Abanlex avanzan la necesidad legal de cifrar los datos Sophos y el despacho de abogados especializado en protección de la información, la privacidad y la innovación jurídica, Abanlex, han presentado un informe sobre la necesidad legal de cifrar información y datos personales. Se trata del primero de estas características en España y su objetivo es aclarar los vacíos de conocimiento que existen y que las empresas e instituciones sepan a qué atenerse; así como desmitificar el cifrado, democratizándolo y demostrando que es una tecnología fácil de instalar y manejar, con un impacto en el rendimiento mínimo. En palabras de Pablo Teijeira, director general de Sophos Iberia, "el cifrado es la mejor forma de protección de datos, incluso si sufrimos un ataque tanto externo como interno". Las cifras de malware baten récords, según PandaLabs La compañía española Panda Security ha presentado los datos del Informe Trimestral de PandaLabs correspondientes a los tres últimos meses del año, en el que destaca el aumento de la creación de malware con respecto al trimestre anterior, con un total de veinte millones de nuevos ejemplares generados en el mundo, y una media de 227.747 nuevas muestras al día. De hecho, el ratio global de infecciones ha sido de un 37,93%, frente al 36,87% del periodo anterior. De entre todas las infecciones, los troyanos continúan siendo el tipo de malware más común (78,08%), y su creación ha aumentado con respecto al segundo trimestre del año (58,20%). A continuación, pero a gran distancia, se sitúan los virus (8,89%) y los gusanos (3,92%). Avnet comercializará en EMEA las soluciones de seguridad de Cisco El distribuidor de soluciones de TI, Avnet Technology Solutions, ha hecho público el acuerdo suscrito con Cisco para comenzar a distribuir la gama de productos de seguridad del fabricante. De esta forma, Avnet refuerza su oferta en productos de su recientemente presentada división de Soluciones de Networking y Seguridad en EMEA. En palabras de Miriam Murphy, vicepresidente del área de empresa en Avnet Technology Solutions EMEA, “la seguridad es cada vez más un elemento decisivo en las estrategias globales del centro de datos. Nuestra intención es ofrecer oportunidades de crecimiento a nuestros clientes y socios, en un mercado como el actual, que cambia con una gran rapidez”. empresa noticias Telefónica muestra su estrategia en el Security Innovation Day con Path5 como protagonista En el marco del Security Innovation Day organizado por Telefónica, la compañía ha presentado sus principales líneas estratégicas, productos y servicios en materia de ciberseguridad. En primer lugar, apuesta por la innovación en la seguridad a través de ElevenPaths y lanza “Path5”, un nuevo producto de ciberinteligencia para luchar contra las amenazas del mundo móvil mediante su tecnología patentada de big data y motor de correlación. En segundo término, la multinacional incorpora la tecnología de SmartAccess, una empresa de seguridad española de desarrollo de soluciones de firma digital y biometría en dispositivos móviles, que incluye herramientas que crean un entorno seguro, reduciendo los costes asociados al uso del papel. Finalmente, la empresa anunció que colaborará a escala mundial con la Unidad contra el Crimen Digital de Microsoft. En el plano estratégico, Telefónica ha revelado en su evento que trabaja para desarrollar nuevos servicios con nuevas capacidades en materia de seguridad que contribuyan a que los negocios de sus clientes estén más protegidos frente a las amenazas en los entornos en los que operan. En este último año la compañía ha abordado un proceso de transformación basado en la innovación a través de la tecnología. Desde el punto de vista comercial, Telefónica ha señalado que continúa la senda de la inversión y las alianzas con importantes socios. Este año ha alcanzado acuerdos estratégicos con Google, Microsoft y Facebook. Igualmente ha firmado un acuerdo con PwC para que su oferta tenga las mejores capacidades en la auditoría y consultoría Mantener las organizaciones protegidas, cada vez resulta más complicado Según el estudio Fortinet Security Census 2014, elaborado por la consultora Lightspeed GMI para Fortinet a partir de las opiniones de 1.600 profesionales de las Tecnologías de la Información y la Comunicación, el 88% de los CIO (Chief Information Officer) y CTO (Chief Technology Officer) considera que mantener su empresa protegida es cada vez más complicado. De manera especial, este escenario se debe a la mayor presión que reciben por parte de sus juntas directivas para garantizar la protección de la compañía. Al respecto, el 76% de quienes afirman sentirse muy presionados admite haber abandonado o retrasado alguna iniciativa de negocio por motivos de ciberseguridad. En cuanto a los principales retos a los que han de enfrentarse para blindar a sus organizaciones, los encuestados aluden en su mayoría al Internet de las Cosas y la biometría (90%), preocupación seguida por el BYOD (89%) –dispositivos personales de los empleados– y la creciente frecuencia y complejidad de las amenazas (85%). Check Point presenta Capsule, una herramienta que potencia la seguridad en los dispositivos móviles Check Point Software Technologies ha anunciado la disponibilidad de Check Point Capsule, una solución de movilidad que ofrece protección tanto para los dispositivos móviles como para los datos empresariales, sea cual sea su ubicación. Básicamente, esta tecnología crea una cápsula en donde se aísla la información relevante para el usuario contenida en el dispositivo, impidiendo la salida o la entrada de datos. En palabras de Mario García, responsable de Check Point para España y Portugal, “con esta solución móvil multicapa, que es a la vez segura e imperceptible para el usuario, la idea es proteger la información, independientemente del dispositivo que se utilice o de la ubicación”. Entre sus principales características, se incluye la protección de los datos empresariales en los dispositivos móviles, sin necesidad de administrar el terminal completo. No en vano, esta herramienta crea un entorno empresarial seguro y separa los datos corporativos de la información personal y las aplicaciones. 54 red seguridad diciembre 2014 IBM anuncia sus soluciones de seguridad en la nube IBM ha lanzado su oferta de soluciones de seguridad inteligente en la nube para proteger a los profesionales, la información y las aplicaciones, denominada Dynamic Cloud Security. Fruto del trabajo de más de 200 ingenieros de la compañía, esta solución utiliza tecnologías analíticas para ofrecer a las empresas una visión completa del estado de la seguridad en toda su organización, desde el centro de datos privados hasta la nube e incluso el dispositivo móvil de un empleado. De esta forma, proporciona a las empresas una visión global integrada que muestra exactamente quién está usando la nube, a qué información se está accediendo y desde dónde. Además, estas soluciones permiten autenticar los accesos, controlar la información, mejorar la visibilidad y optimizar las operaciones de seguridad para cloud; y se pueden implantar tanto en la nube como en las propias instalaciones de los clientes según los entornos TI híbridos que están gestionando. Asimismo, pueden centralizar la concesión de los privilegios apropiados a los usuarios y proporcionar una seguridad adicional en torno a aquellos que tienen acceso a la información confidencial, como los administradores. Por último, la compañía ofrece la posibilidad de que sus clientes aprovechen la información de los más de 20.000 millones de eventos diarios de seguridad que supervisa IBM en más de 130 países. Así, gracias a esta experiencia, es mucho más fácil identificar las amenazas en tiempo real y proteger a la organización de cualquier riesgo. empresa noticias Symantec fracciona su negocio en dos empresas La compañía de seguridad informática Symantec ha hecho pública su decisión de dividir la organizaciones en dos empresas: una enfocada a la seguridad y otra al manejo de la información. Según Michael Brown, CEO del fabricante, ambas operarán de forma independiente, lo que la dotará de una mayor flexibilidad y facilitará que su facturación continúe aumentando. “A medida que la industria de seguridad y almacenamiento viven un cambio acelerado, los negocios de Symantec se enfrentan a retos y oportunidades únicos para su mercado. Nos queda claro que ganar en ambos mundos requiere de estrategias, inversiones y enfoques diferentes”, explica. Los dos mercados que atacarán las nuevas firmas cuentan con gran potencial. Sin embargo, los desarrollos de seguridad no crecerán de manera tan rápida como el manejo de seguridad de información, el cual se estima que lo haga a un ritmo de 30% para 2018 y alcance los 10.000 millones de dólares. Su división de seguridad, que en­globa las áreas de cifrado, detección de códigos maliciosos y la línea de antivirus Norton, facturó 4.200 millones de dólares en el año fiscal 2014; mientras que el segmento de administración de datos, que incluye servicios de almacenamiento y resguardo de archivos, ingresó 2.500 millones de dólares en el mismo periodo. Los ataques dirigidos aumentarán en 2015, según Trend Micro Las llamadas APT, es decir, los ataques diseñados específicamente para una organización, se pondrán a partir del año que viene a la altura del cibercrimen, al menos en cantidad. A medida que esa práctica maliciosa se extienda desde países como China, Rusia o Estados Unidos, veremos como en otros aumenta su actividad en ese sentido. Al menos así lo predice el informe anual de Trend Micro para 2015, que señala a Reino Unido, Corea del Norte, Vietnam o India como las latitudes donde más se notará ese incremento. “Tras el éxito de los ataques dirigidos de los grupos cibercriminales chinos y rusos, muchos hackers de otros países están considerando los ciberataques como uno de los métodos más prácticos y efectivos para obtener presencia en una organización”, destaca Loïc Guézo, evangelista en Seguridad de la Información de Trend Micro para el Sur de Europa, que presentó el informe en Madrid en noviembre. El amento de las APT no es la única previsión que recoge el informe Predicciones de Seguridad de Trend Micro para 2015: lo invisible se hace visible. Destaca también el aumento de ataques que tratarán de aprovechar las vulnerabilidades del sistema operativo Android o los métodos de pago con móvil que utilizan la tecnología Near Field Communications (NFC). La compañía prevé, por otro lado, que la banca online se refuerce, pero a la vez aparezcan nuevas amenazas financieras. Por ejemplo, los ciberdelincuentes desarrollaran aplicaciones falsas para la banca móvil y aprovecharán los cambiadores del Sistema de Nombre de Dominio (DNS) para lanzar ataques de phishing móvil. Las APT, entre las principales preocupaciones de las empresas Intel Security ha presentado un nuevo informe denominado Cuando los minutos cuentan, que valora la capacidad de las organizaciones para detectar y detener ataques dirigidos. De hecho, el 74% de los participantes en la escuesta indicó que estos son una de las principales preocupaciones para sus organizaciones. A pesar de ello, sólo el 24% de las compañías confían en su capacidad para detectar un ataque en cuestión de minutos; mientras que algo menos de la mitad reconoció que podrían pasar días, semanas o incluso meses antes de encontrar un comportamiento malicioso. Con estos y otros datos sobre la mesa, el informe revela los ocho indicadores más críticos de ataques, y examina las mejores prácticas para una respuesta proactiva ante cualquier incidente. Asimismo, demuestra cómo las empresas pueden ser mucho más efectivas cuando realizan análisis de múltiples variables en tiempo real de cualquier tipo de ataque, y cómo la inteligencia de amenazas y el factor tiempo son una prioridad a la hora de valorar los riesgos y responder a los ataques de forma eficaz. Algunas predicciones de seguridad para 2015, según Blue Coat Systems La compañía Blue Coat Systems ha elaborado una serie de predicciones de cara al año 2015 en materia de seguridad. En primer lugar, aseguran, habrá un incremento del uso del cifrado para proteger la privacidad del consumidor. A pesar de ello, el malware también aprovechará el encriptado de las comunicaciones para evitar la detección por parte de las empresas, que se verán obligadas a hacer equilibrios con la privacidad de los empleados en los ataques escondidos detrás de la encriptación. Por otro lado, advierte la compañía, el software potencialmente no deseado (PUS en sus siglas en inglés) está creciendo fuertemente en los dispositivos móviles oculto dentro de los acuerdos y condiciones de uso. De modo que el aumento del PUS como software gratuito, ofrecido por los desarrolladores en su intento de monetizar sus creaciones, supondrá una ralentización, y en muchos casos una desestabilización, de los dispositivos infectados. Asimismo, las herramientas utilizadas en los ataques utilizarán más información obtenida de las redes sociales, lo que permitirá personalizar esos ataques de la manera más útil para ellos. Finalmente, el ransomware, que ha afectado a un importante número de personas en 2014, evolucionará, según Blue Coat, hacia objetivos como las pequeñas empresas y organizaciones. red seguridad diciembre 2014 55 empresa noticias Las pérdidas de datos y los tiempos de inactividad cuestan a las empresas 1,7 billones de dólares al año BITS Acuerdo entre Telefónica e Incibe El Instituto de Ciberseguridad (Incibe) y Telefónica han llegado a un acuerdo en el ámbito de la lucha contra las redes zombi (botnets), gracias al cual Telefónica podrá informar sobre estas amenazas a los usuarios que hayan sido afectados y ofrecerles información y ayuda a la desinfección a través del Servicio AntiBotnet de la Oficina de Seguridad del Internauta (OSI). Check Point continúa reforzando su estructura Tras la inauguración de sus nuevas oficinas en el Parque Empresarial Ática de Pozuelo de Alarcón (Madrid), Check Point ha anunciado la incorporación de Alfredo de Bonis como ingeniero de Seguridad, quien se encargará de dar soporte técnico a los partners del fabricante, así como de ejecutar diferentes actividades formativas para el canal. Uno de cada seis usuarios no cree en ciberamenazas Según una encuesta realizada por Kaspersky Lab junto a B2B Internacional, el 17 por ciento de los internautas no cree que las ciberamenzas sean reales, y piensa que las empresas de seguridad en Internet exageran. De hecho, sólo el 37 por ciento de los encuestados cree que puede ser blanco de los cibercriminales. InnoTec colabora con el CCN para frenar ciberataques La división de ciberseguridad del Grupo Entelgy, InnoTec System, colabora con el CCN-CERT en la detección proactiva, protección y contención de las ciberamenazas sufridas por las Administraciones Públicas y las empresas de interés estratégico. El ciberespionaje y el robo de propiedad industrial son las principales amenazas detectadas a lo largo de 2014. 56 red seguridad EMC ha presentado las conclusiones del Estudio Data Protection Index sobre protección de datos a escala mundial que revela algunos datos interesantes. En primer lugar, la pérdida de información y los tiempos de inactividad han costado a las empresas 1,7 billones de dólares en los últimos doce meses, una cifra que se ha incrementado un 400 por ciento desde 2012. Además, el 71 por ciento de las organizaciones no confían plenamente en su capacidad para recuperarse tras una interrupción de sus sistemas. El estudio, en el que han participado 3.300 responsables de TI de medianas y grandes empresas de 24 países, alerta de que el volumen de datos perdidos por cada incidente crece de forma exponencial. De hecho, el 64 por ciento de las empresas analiza- das ha sufrido pérdidas de datos o períodos de tiempo de inactividad en el último año. Todo ello en un entorno en el que las tendencias empresariales, como el Big Data, movilidad y la nube híbrida, están generando nuevos desafíos para la protección de datos. Es más, el 62 por ciento considera que son difíciles de proteger. Por tanto, no resulta extraño que el 51 por ciento de las empresas no cuenten con un plan de recuperación ante desastres para ninguno de estos entornos, y sólo el seis por ciento tengan uno para los tres. Así las cosas, según el estudio, las empresas que no han implementado una estrategia de disponibilidad continúa tienen el doble de probabilidades de sufrir pérdidas de datos que aquellas que sí la utilizan. Rockwell muestra cómo fortalecer la seguridad de las máquinas HP y la Universidad de León apuestan por impulsar las redes SDN HP y la Universidad de León han suscrito un acuerdo de colaboración tecnológico para el desarrollo de Aplicaciones para Redes Definidas por Software (SDN). A través de este convenio, se formarán a los alumnos y a los profesores para que lo conozcan de primera mano y a través de experiencias reales. Fruto de este acuerdo, la Universidad de León albergará un Centro de Innovación con las últimas tecnologías proporcionadas por HP, lo que la convierte en un referente nacional para desarrollar aplicaciones en este entorno. Además, incluirá nuevas ofertas formativas sobre este campo para sus alumnos. HP, por su parte, establecerá una dotación económica de 3.000 dólares para premiar la mejor aplicación desarrollada por alumnos de la Universidad. diciembre 2014 Con la idea de que la protección de los activos industriales requiere un enfoque por capas para mitigar los tipos de amenazas de seguridad in­ter­nas y externas, Rockwell Automation ha presentado tres recomendaciones. La primera es lo que denomina “defensa en profundidad” y se centra en la seguridad física, de la red, del ordenador, de la aplicación y del dispositivo. La segunda tiene que ver con la creación de políticas que controlan la interacción humana con los sistemas de los usuarios finales, con el fin de ayudar a prevenir el robo de información. Finalmente, la tercera hace referencia a la monitorización remota a través de redes de estándares abiertos con el fin de supervisar las operaciones, realizar diagnósticos en tiempo real y reducir los costes de mantenimiento. ALGUNAS VECES SU RED ESTÁ LLENA DE SORPRESAS... Descubra los riesgos que puede encontrar en su red corporativa mediante un ¿Puede garantizar que no hay “sorpresas” que amenacen la información crítica de su compañía? Esa información nunca debe de caer en manos equivocadas, Malware sigiloso, puertas traseras, fugas de datos u otras vulnerabilidades de la seguridad. ¡Qué no le coja por sorpresa! LE OFRECEMOS LO SIGUIENTE Check Point le ofrece una evaluación de seguridad gratuita que le proporcionará un informe completo de análisis de amenazas que identifica: Accesos a aplicaciones y páginas web de alto riesgo Equipos infectados con malware Vulnerabilidades utilizadas y ataques a su red Incidentes de fuga de datos Recomendaciones para proteger su red de estos riesgos Adelántese y garantice que su organización está asegurada Contacte con nosotros para realizar un Security CheckUp: info_iberia@checkpoint.com cifrado de datos opinión La importancia del cifrado de datos para las empresas Pablo Teijeira Director general de Sophos Iberia Cifrar datos de forma correcta es una de las obligaciones que impone la normativa española para una inmensa cantidad de empresas. Muchas de ellas no cifran por miedo o desconocimiento. Cifrar no es complicado, el coste es asequible y los beneficios se muestran desde el inicio. Hoy en día es más sencillo cifrar que hace años. Las herramientas de cifrado son cada vez más comunes, así como los fabricantes que desarrollan soluciones profesionales personalizadas para corporaciones y empresas de todos los tamaños. Cifrar de forma correcta y respaldados por las autoridades nacionales por el cual se garantiza la protección del derecho fundamental a la protección de datos, además de respaldar la seguridad de los valores de la empresa y otorgar confianza a los operadores del mercado. El Gabinete Jurídico de la Agencia Española de Protección de Datos recuerda en su Informe 494/2009 cuál es la importancia del cifrado correcto, de manera que sea legal y suficiente: "La seguridad en el intercambio de información de carácter personal en la que hay que adoptar medidas de seguridad de nivel alto, en particular los requisitos de cifrado de datos, no es un tema baladí, ni un mero trámite administrativo, ni una cuestión de comodidad. Es el medio técnico por el cual se garantiza la protección de un derecho fundamental y al que hay que dedicar el tiempo y los recursos que sean necesarios para su correcta implementación". Obligados a cifrar Pero, ¿quién debe cifrar la información en España? Ha de cifrar la información un gran número de empresas. Podríamos decir que deben hacerlo todos los sujetos que traten datos personales contenidos en ficheros a los que se deban aplicar medidas de Únicamente son válidos los sistemas de cifrado que garantizan que la información no sea inteligible siguiendo los parámetros indicados en la normativa española vigente es uno de los medios técnicos 58 red seguridad seguridad de nivel alto. Sin embargo, el número es un poco más generoso, ya que debemos incluir también a diciembre 2014 otro tipo de sujetos que llevan a cabo actividades como el tratamiento de datos de carácter personal referidos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual; los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas; abogados en el ejercicio de su profesión; empresas que aceptan el BYOD; empresas que deseen adoptar medidas de seguridad que superen el mínimo exigido… Cuando la normativa española exige cifrado, otorga a las empresas dos posibilidades: un sistema de cifrado o cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Únicamente son válidos los sistemas de cifrado que garantizan que la información no se entienda ni pueda manipularse por terceros. Cualquier sistema no es suficiente. Pero ¿cuáles son éstos? ¿Quién los ha auditado? ¿Hay alguna lista de los que permiten cumplir la Ley y los que no? A la Agencia Española de Protección de Datos (AEPD) se le consultó si los sistemas de cifrado de ciertas herramientas, como las de compresión de archivos (ZIP) y los sistemas de claves de los PDF, eran suficientes para cumplir la normativa. El Gabinete Jurídico de la Agencia Española de Protección de Datos, en su Informe 0494/2009, respondió: no son suficientes. Existen técnicas, dice la AEPD, que actualmente se pueden emplear como alternativa al cifrado de datos, como son la esteganografía para el caso de ocultación de mensajes a nivel de aplicación o la transmisión mediante espectro ensanchado (spread-spectrum) para el caso inalámbrico a nivel físico. Todas ellas con una implementación y una gestión mucho más compleja y problemática que la que ofrecen los actuales sistemas de cifrado. En 2009 la Agencia afirmó que aún no se disponía de cifrado de datos tecnologías más ágiles para preservar la confidencialidad de la información que emplear herramientas de cifrado, aunque en un futuro puedan aparecer. No sólo cifrar Pero no sólo es necesario cifrar, sino hacerlo de manera que la información no sea inteligible ni manipulada por terceros. Sin esta última condición, no se cumplirá lo estipulado en el citado artículo 104. Esto implica dos cosas: # Por un lado, que el sistema de cifrado a emplear no esté comprometido, es decir, que no se conozca forma de romperlo. # Por otro lado, que se cuente con un sistema de gestión de claves, en particular, y con un procedimiento de administración de material criptográfico, en general. Ante la pregunta de si los sistemas de cifrado de WinZip y PDF son suficientes, la AEPD contestó lo siguiente: "Los productos que generan archivos PDF o el realizado por WinZip tienen vulnerabilidades conocidas y disponen de herramientas de libre distribución que aprovechan dichas vulnerabilidades. Más concretamente, no sólo se pueden obtener en Internet fácilmente utilidades que rompen las protecciones de los archivos PDF o ZIP, sino que el propio algoritmo en el que descansa la cifra de documentos PDF, el algoritmo RC4, es manifiestamente vulnerable". La Agencia concluye lo siguiente: # Para un uso particular, los sistemas generales de cifrado (ZIP, PDF, etc.) podrían considerarse adecuados, según el caso. # Para un uso profesional, los sistemas generales de cifrado son insuficientes para el intercambio de información con las garantías que se precisan en el Reglamento. La respuesta para cumplir la normativa se encuentra en las herramientas profesionales pensadas, diseñadas y probadas para cumplir al detalle la normativa vigente en España en materia de cifrado. En caso de que el cifrado no se realice de forma correcta y los datos quedaran expuestos a terceras personas sin autorización para observarlos, se estaría llevando a cabo una cesión o comunicación pública de datos, definida en la Ley Orgánica de Protección de Datos (LOPD) como "toda revelación de datos realizada a una persona distinta del interesado" (Artículo 3). La repercusión económica de la imposición de la sanción, de 40.001 a 300.000 euros, es considerable. Sin embargo, este importe no será el único que haya que pagar, ya que será complementado con el propio de la indemnización que, en su caso, haya que abonar a los damnificados por la fuga de datos y su exposición indebida. Cuando la norma obliga a cifrar datos, el cifrado se debe realizar. Hay que dedicar el tiempo y los recursos que sean necesarios para su correcta implementación, como nos recuerda la Agencia en su Informe 494/2009 y como nos indica la propia LOPD en su articulado. Seguridad y confidencialidad Cifrar siempre es conveniente, aunque no haya ninguna ley que obligue a ello. Un número elevado de sujetos están obligados a cifrar por opinión las ventajas que conlleva en materia de seguridad y confidencialidad. En el resto de casos, cifrar es de utilidad extraordinaria ya que refuerza la seguridad, genera confianza y evita situaciones comprometidas en los tribunales. Determinadas empresas que no tienen la obligación de cifrar eligen hacerlo para trabajar bajo el amparo de su seguridad. Estas empresas protegen su información frente a terceros bajo un velo de opacidad, lo que hace el manejo y la transmisión de información sea más ágil y sencilla. Las empresas pueden elegir cumplir los "mínimos exigibles" que marca la normativa de protección de datos o pueden dotar a sus procesos de mayor seguridad y confidencialidad. Cuando una corporación usa datos y realiza tratamientos de nivel bajo y medio puede optar por asegurar la información por medio del cifrado. El Gabinete Jurídico de la Agencia Española de Protección de Datos afirma, en el Informe 0477/2009, que, aun cuando no sea imperativa, "la medida de cifrado de los datos puede ser adoptada voluntariamente por el responsable del fichero" para superar los mínimos exigibles marcados por la norma. Más información, en el Primer Informe sobre la necesidad legal de cifrar información y datos personales realizado por Abanlex, con la colaboración de Sophos. Un número elevado de sujetos están obligados a cifrar por las ventajas que conlleva en materia de seguridad y confidencialidad. red seguridad diciembre 2014 59 novedades noticias Extreme Networks refuerza su portfolio “Unified Edge” con dos nuevos equipos de alto rendimiento El fabricante de soluciones de red Extreme Networks amplía su oferta para la capa de acceso de la red, denominada "Unified Edge", con el lanzamiento de dos nuevos equipos: el switch Summit X460-G2 y los puntos de acceso wireless IdentiFi 3805. Ambos, según la compañía, incrementan el rendimiento en el nivel de acceso, mejoran las capacidades de gestión de la red y facilitan la gestión de la seguridad y de las iniciativas BYOD. El primero, en concreto, es un switch Gigabit de alto rendimiento que proporciona una solución de conmutación para la capa de acceso rápida y versatil, capaz de escalar y satisfacer las necesidades de las aplicaciones corporativas y de la convergencia. Por su parte, el punto de acceso proporciona rendimiento 802.11ac 2x2:2 en un formato reducido, lo que lo permite su despliegue en todo tipo de entornos. Finalmente, ambos modelos están optimizados para operar con la consola de gestión NetSight y con la solución de analitica de aplicaciones Purview. www.extremenetworks.com Red Hat ayuda a las administraciones a construir estrategias para afrontar los desafíos del 'cloud' Red Hat ha anunciado el lanzamiento de “Red Hat Cloud for Government”, una plataforma de consultoría que ayuda a las administraciones públicas a desplegar una estrategia y una infraestructura cloud seguras. La solución incluye un conjunto de procesos y herramientas que ayudan a gestionar y ejecutar servicios cloud en sus propios centros de datos, y contribuye a cumplir con sus objetivos de modernización y necesidades en la nube. “El programa Red Hat Cloud for Government ayuda a las administraciones a ahorrar tiempo y dinero, haciéndolas más ágiles y, sobre todo, haciendo que aprovechen más fácilmente las fuerzas del open source empresarial y cloud que están cambiando el mercado”, asegura Paul Smith, director general y vicepresidente de Red Hat para el sector público. Red Hat trabajará con administraciones públicas para estandarizar y automatizar su infraestructura ya existente y posteriormente identificar oportunidades para simplificar las prestación de servicios con IaaS (infraestructura como servicio) basada en Red Hat Enterprise Linux OpenStack Platform y herramientas PaaS (plataforma como servicio) basadas en OpenShift de Red Hat. www.redhat.com ESET presenta sus nuevos antivirus Smart Security y NOD32 Antivirus La compañía ESET ha anunciado el lanzamiento de su nueva gama de antivirus de consumo: ESET Smart Security Edición 2015 y ESET NOD32 Antivirus Edición 2015. Ambos presentan como novedad la incorporación de módulos específicos de protección contra el aprovechamiento de exploits o de vulnerabilidades del sistema a través de navegadores web, lectores de documentos y otras aplicaciones, incluyendo las basadas en Java. Además, el primero de ellos incorpora también una nueva tecnología de protección contra botnets para evitar que el equipo pueda formar parte de una red de ordenadores infectados y que se utilice para actividades sin el conocimiento del usuario. www.eset.es 60 red seguridad diciembre 2014 Nuevo servidor de protección de datos Diseñado especialmente para cubrir las necesidades de protección de datos de las pymes, WD ha presentado el servidor ultracompacto Sentinel DX4200. Este modelo combina el sistema operativo Windows Storage Server 2012 R2 y la CPU Intel Atom C2338 Dual Core, con una capacidad máxima de hasta 16TB. Además, permite configurar el volumen de la unidad de almacenamiento en Simple, Mirror y Parity para garantizar la protección de datos y la velocidad; e integra el sistema SmartWar Pro Backup, un software de copia de seguridad y recuperación de datos con backup para hasta 25 dispositivos en red. Finalmente, cuenta con conectividad redundante y software opcional para almacenar los datos en la nube. www.wd.com/sp noticias McAfee apuesta por la seguridad multidispositivo Con la idea de proteger la identidad y los datos de los usuarios tanto en PC y Mac, como en teléfonos inteligentes o tabletas, McAfee ha presentado la suite LiveSafe 2015. Como novedad, esta solución incluye autenticación biométrica facial y de voz, lo que permite a los usuarios gestionarlo de forma sencilla, asegurar sus contraseñas y acceder a su información desde cualquier dispositivo, especialmente a aquellos documentos confidenciales como copias de pasaportes, datos de tarjetas de crédito, extractos bancarios, etc. Paralelamente a este lanzamiento, la compañía ha actualizado sus otros productos: AntiVirus Plus 2015, Internet Security 2015 y Total Protection 2015. Toda esta nueva gama incluye protección contra malware mejorada y una optimizada experiencia de usuario. De hecho, la empresa ha actualizado recientemente su motor de localización de software malicioso para perfeccionar aún más los niveles de detección y el rendimiento de los equipos, al tiempo que protege a los usuarios. www.mcafee.com/es Fortinet anuncia un 'firewall' con interfaces de 100 GbE FortiGate-3810D. Así se llama el nuevo lanzamiento del fabricante especializado en seguridad de red Fortinet. La peculiaridad de este modelo es que cuenta con interfaces de 100 GbE y un rendimiento de 300 Gbps, tanto en IPv4 como en IPv6, lo que permite cumplir con los requerimientos de los centros de datos de nueva generación. Para ello, se presenta en un appliance de 3U, lo que ahorra espacio y energía, y está equipado con los nuevos procesadores FortiASIC NP6 escalables, que eliminan los cuellos de botella que provocan latencia y lentitud. Por último, incorpora funcionalidades avanzadas como filtrado web, prevención de intrusiones y un modo transparente, lo cual facilita la segmentación de las redes sin necesidad de hacer grandes modificaciones en ellas. www.fortinet.com CryptoKIT LECTOR La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM), en colaboración con la empresa Bit4id, ha presentado la solución CryptoKIT LECTOR, compuesta por un miniLector EVO, con una velocidad de hasta 412.000 bps, y una tarjeta criptográfica CERES funciones RSA de hasta 2048 bits. Esta combinación de hardware permite el uso de los certificados digitales de manera sencilla en cualquier momento y lugar. www.fnmt.es novedades Sophos refuerza sus soluciones de seguridad de red Los nuevos appliances UTM Firewall SG Series y la disponibilidad de la herramienta de reporte virtual iView son las principales novedades que Sophos acaba de presentar en el mercado. Concretamente, los primeros son seis nuevos appliances firewall de la serie SG con tecnología multi-core. De ellos, cuatro son de escritorio, idóneos para implementaciones en pequeñas oficinas con conectividad inalámbrica integrada, y dos de 2U con amplias funciones de personalización. Respecto a Sophos iView, se trata de una aplicación virtual que permite generar informes de todo tipo y cuadros de mandos personalizados, centrándose en las áreas problemáticas de una red o en determinados usuarios. Por último, además de SG Series e iView, la compañía también ha anunciado el AP 100, el primero de una nueva generación de puntos de acceso inalámbricos que soportan los últimos protocolos de 802.11ac, y un punto de acceso de nivel de entrada, el AP 15. www.sophos.com/es-es Nueva versión de CONAN mobile FiberNet potencia la solución FiberGuard El I nstituto N acional de Ciberseguridad (Incibe) ha lanzado la nueva versión de CONAN mobile, que evalúa el grado de seguridad en el que se encuentran los dispositivos móviles. Entre sus principales novedades se encuentra la detección de conexiones potencialmente peligrosas realizadas por las aplicaciones instaladas en el dispositivo y su notificación a los usuarios. www.incibe.es La compañía especializada en el desarrollo y fabricación de soluciones de fibra óptica Fibernet, está impulsando FiberGuard. Se trata de una solución que permite detectar posibles manipulaciones externas de la fibra óptica y analiza de forma continuada posibles extracciones de la información que se transmite a través de la fibra, permitiendo una medición precisa en tiempo real y no intrusiva. www.fibernet.es red seguridad diciembre 2014 61 estudio opinión Incentivando la adopción de la ciberseguridad Gianluca D’Antonio Presidente de ISMS Forum Spain En los últimos años, el World Economic Forum ha introducido en su mapa de riesgos globales los posibles incidentes relacionados con el ciberespacio y el uso de las tecnologías de la información y las comunicaciones. En las últimas dos décadas, Internet ha pasado de ser una herramienta útil de comunicación para individuos y organizaciones, a convertirse en una infraestructura digital esencial para el desarrollo económico y el bienestar de la sociedad en su conjunto. La situación actual en la que nos encontramos pone de relieve nuestra dependencia en el uso de las tecnologías de la información y las comunicaciones, lo que constituye un factor de riesgo que no podemos ignorar. La sociedad de la información, como la conocemos hoy en día, ha desarrollado muchas dependencias en este ecosistema digital, reconociéndole como un interés legítimo de la ciudadanía sin llegar todavía a reconocerle el estatus de un pleno derecho. En este sentido, hay ya interesantes aproximaciones, como la Doctrina de la Ciberseguridad como un Bien Público1, que ponen de relieve la necesidad de una tutela plena de estas situaciones de hecho. Si nuestra sociedad no puede entenderse sin la disponibilidad y el uso de estas “infraestructuras digitales”, la evolución natural supone la necesidad de contar con un marco 62 red seguridad normativo y organizativo de promoción, protección y tutela. Por ello, desde organizaciones como ISMS Forum Spain se promueven iniciativas para estimular la reflexión y el debate acerca de las posibles medidas de carácter legal y organizativo para generar un ecosistema digital seguro y resiliente. Con este objetivo, ISMS Forum Spain y Thiber han publicado un estudio conjunto titulado Incentivando la Adopción de la Ciberseguridad. Numerosos países han desarrollado estrategias nacionales de ciberseguridad con el objetivo de organizar y mejorar los recursos disponibles para hacer frente a las crecientes amenazas que incumben sobre el ciberespacio por obra de organizaciones criminales, grupos activistas y estados antagónicos. El ciberespacio se considera ya como el quinto dominio después de la tierra, el mar, el aire y el espacio en el cual dos estados pueden llegar a un enfrentamiento armado. Un aspecto relevante en muchas estrategias nacionales de ciberseguridad está representado por las políticas orientadas a estimular la creación y desarrollo de un mercado de ciberseguridad entendido como punto de encuentro entre demanda y oferta de productos y servicios para proteger las operaciones de individuos, organizaciones y estados que acontecen en el ciberespacio. diciembre 2014 El fortalecimiento de un mercado de la ciberseguridad es fundamental para desarrollar las capacidades necesarias para hacer frente a los desafíos y amenazas del ciberespacio. En junio de 2012, ISMS Forum Spain publicó su primer estudio sobre ciberseguridad bajo el título La Ciberseguridad Nacional, un compromiso de todos en el cual proponía una visión de estado acerca de los riesgos relacionados con el uso de las nuevas tecnologías. Con esta segunda publicación, el objetivo es dar un paso más en la dirección marcada en el anterior documento, a través de una propuesta orgánica acerca de los posibles incentivos que los gobiernos de las naciones pueden poner en práctica para estimular la inversión y el desarrollo de capacidades en ciberseguridad. Castigar ‘vs’ premiar Sin duda, este enfoque propositivo e incentivador con que se ha elaborado el estudio es el más eficaz para alcanzar los fines que se proponen: el desarrollo de una sociedad capaz de proteger sus intereses, sus ciudadanos y sus empresas frente a las amenazas que el uso de las nuevas tecnologías implica. Y parte de la convicción de eficacia por las siguientes razones: ▪ Distribuye los costes de la ciberseguridad sobre todos los actores involucrados, es decir, la ciudada- estudio nía, las empresas y las administraciones públicas. ▪ Premia a las organizaciones comprometidas con la protección de los sistemas de información. ▪ Desarrolla el mercado de productos y servicios de ciberseguridad a través del impulso de la oferta. ▪ Fomenta la investigación y el desarrollo en soluciones y productos de ciberseguridad. ▪ Estimula la resiliencia de todo el ecosistema que compone el ciberespacio. En definitiva, impulsa la cultura de la seguridad y de la defensa del ciberespacio como una responsabilidad común y compartida entre todos los estamentos de la sociedad. La tradición continental europea nos ha acostumbrado al paradigma sancionador y punitivo como método para conseguir los objetivos prefijados. También en los ámbitos relacionados con el ciberespacio hemos asistido, en los últimos años, a la proliferación de regulaciones comunitarias y nacionales centradas en la parte impositiva y sancionadora más que en la vertiente propositiva y de estímulo. Las diferencias entre los dos paradigmas no son sólo filosóficas, sino determinantes en la eficaz consecución de los objetivos establecidos. Los autores del estudio creemos que es necesario generar las condiciones favorables para que las organizaciones consideren la seguridad y la protección del ciberespacio como un valor y una inversión en lugar de como un coste. Una sociedad que premie las empresas que operan en su territorio y que demuestren el compromiso con la protección de la información de los ciudadanos en calidad de clientes y usuarios es más eficaz. Prueba de ello son los datos ofrecidos por las autoridades de control como la Agencia Española de Protección de Datos (AEPD), que ha relevado cómo aproximadamente sólo un 30 por ciento de las empresas españolas cumplen con la normativa de protección de datos después de más de 20 años desde la entrada en vigor de la primera Ley Orgánica en esta materia.1 opinión Con este firme convencimiento se formulan una serie de propuestas para materializar distintas líneas de acción que incentiven la adopción de buenas prácticas en ciberseguridad. Necesidad de ayudas En el contexto macro y micro económico actual, donde se atisban los primeros síntomas de recuperación en los consumos y en la producción industrial, una política de incentivos permitiría apoyar la iniciativa privada en la misión de proteger clientes, usuarios y activos de información. La española es una economía basada en los sectores servicios, energía e industria. Estos sectores constituyen casi el 90 por ciento del PIB nacional.2 Una característica común a estos sectores está representada por la fuerte dependencia de las Tecnologías de la Información y la Comunicaciones. Precisamente esta dependencia de los nuevos canales telemáticos requiere ser tratada como un factor de inversión en la perspectiva de mejorar la experiencia de los consumidores y la confianza de los usuarios en la seguridad de los sistemas que utilizan para contratar servicios y comprar productos. Según una reciente encuesta realizada por una consultora en varios países desarrollados, la mitad de las empresas españolas encuestadas fue víctima de un ciberdelito en los últimos dos años.3 Este dato pone de manifiesto la necesidad de un cambio en las políticas públicas sin el cual seguirá incrementándose el déficit de medios y profesionales necesarios para garantizar la seguridad de los sectores arriba mencionados. Partiendo de estas premisas, el estudio propone y desarrolla un Programa de Incentivos en Ciberseguridad Español (PICE) “como aproximación orientada a mejorar el nivel de ciberresilencia de la industria española así como a potenciar un mercado emergente de productos y servicios de ciberprotección”. La Estrategia Nacional de Ciberseguridad, como declaración de principios y documento programático para la consecución de los objetivos de seguridad fijados por el Estado Español, hubiera sido el lugar ideal desde donde impulsar una nueva política de apoyo e impulso a las organizaciones comprometidas con la protección de los sistemas de información. Referencias 1. http://www.abogacia.es/2013/11/11/ el-cumplimiento-de-la-normativa-de-proteccion-de-datos-en-iberoamerica 2. http://economy.blogs.ie.edu/archives/2014/02/estructura-de-la-economiaespanola-por-sectores-economicos-y-elempleo-1970-2013.php 3. http://www.delitosinformaticos. com/06/2014/delitos/fraudes-y-estafas/lamitad-de-las-empresas-espanolas-sufrieron-ciberdelitos-en-los-ultimos-dos-anos 4. K. Mulligan, Deirdre. Doctrine for Cybersecurity. https://www.cs.cornell.edu/ fbs/publications/publicCybersecDaed.pdf red seguridad diciembre 2014 63 asociaciones noticias Internet de las Cosas, protagonista del congreso EuroCACS/ISRM La acociación ISACA celebró entre el 29 de semptiembre y el 1 de octubre, en Barcelona, su conferencia europea EuroCACS/ISRM 2014, con un gran éxito de asistencia. No en vano, reunió a más de 600 asistentes procedentes de 60 países. En palabras de Ramsés Gallego, presidente del capítulo de Barcelona, “partners, socios, clientes, esponsors y medios de comunicación han sido testigos de la labor de ISACA en la divulgación y formación en estas áreas de las tecnologías de la información, hoy en día consideradas clave en los procesos de toma de decisión de las organizaciones”. El tema estrella de esta edición fue Internet de las Cosas. En su conferencia Cómo adaptarse al Internet de las Cosas, Ole Svenningsen, CISA y Senior Audit Manager en Nordea Bank, afirmó que esta tendencia está creciendo de forma exponencial y busca conectar todos los objetos conocidos por el ser humano a la red. “Actualmente hay alrededor de mil millones de personas conectadas a Internet y se espera que en un par de años más esta cifra se duplique,” aseguró. “Como consecuencia, las sociedades se enfrentan a cantidades de datos que crecen exponencialmente y que necesitan ser monitorizados, gestionados y almacenados de forma eficiente para poder generar conocimiento que permita utilizar mejor los recursos de ciudades y países”. Ahora bien, esto también se traduce en un crecimiento exponencial de las vulnerabilidades. En este sentido, el papel del auditor de la seguridad de Internet va a cambiar de forma significativa. En no mucho tiempo, se enfrentará a una serie de retos como el encontrar una nueva perspectiva para monitorizar los flujos de datos y dar "Somos una asociación de profesionales preocupados por nuestras necesidades" ¿Cuáles son los objetivos de ISACA con la celebración de este congreso? R.G.: En primer lugar, divulgar, informar y compartir ideas en las áreas de seguridad, privacidad y gestión de riesgos entre todos los asociados. Por otra parte, dar a la comunidad la posibilidad de entrar en contacto con gente de toda Europa y África que tienen tus mismas inquietudes y hacer networking con ellos. De hecho, esta edición ha acogido a más de 600 personas de 60 países, la mayor afluencia de asistentes desde el año 2007. No han quedado plazas libres. ¿Qué contenidos han sido los más destacados del evento? A.R.: Hay un tema que ha estado en boca de todos, que es la ciberseguridad. Y aunque en ISACA venimos del campo de la auditoría y el control, y sin dejar eso de lado, entendemos que este tema es lo sufucientemente importante como para hablar sobre ello. R.G.: Siempre nos hemos caracterizado por estar muy pendientes de las nuevas amenazas tecnológicas. Somos una asociación de profesionales que nos preocupamos de nuestras necesi- 64 red seguridad Antonio Ramos Ramsés Gallego Presidente de ISACA Madrid (cuando se realizó la entrevista) Presidente del Capítulo de Barcelona de ISACA dades. No hay que olvidar que tenemos 115.000 asociados en todo el mundo. no con palabras técnicas, sino de negocio. Eso lo entiende todo el mundo, y es importante para que cualquier compañía pueda cumplir sus objetivos. A.R.: Además, hay otra cosa muy buena, y es que la asociación sabe localizarse en cada región. Por ejemplo, en este evento no hemos hablado de las leyes norteamericanas, sino de la Estategia Europea de Ciberseguridad, una información pensada exclusivamente para los profesionales de este continente. Es una bondad que tenemos. ¿Y las empresas perciben la importancia de la ciberseguridad? R.G.: Sí, sin duda. Aquí han venido representantes tanto del ámbito privado como público, y poco a poco vamos siendo capaces de transmitir el impacto que puede tener en las organizaciones. Precisamente nosotros lo que hacemos es poner en contexto la seguridad con el valor que aporta a las organizaciones, diciembre 2014 asociaciones respuesta ante incidentes, desarrollar una nueva visión de gestión y almacenamiento de la información y asumir el cambio del concepto de privacidad, ya que esta tendencia podrá recabar cada vez más datos de usuarios y empresas. Sin embargo, éste no ha sido el único tema tratado. “ISACA está muy pendiente del cambiante panorama de la seguridad TI y de la constante evolución de las amenazas informáticas. A través de conferencias como EuroCACS/ISRM, nuestros socios y partners se mantienen al día sobre las últimas tendencias, sin olvidarnos de aspectos prácticos como la auditoría, el aseguramiento y el buen gobierno de TI”, señala Antonio Ramos, en aquel momento presidente del capítulo de Madrid. Para ello es preciso, como explicó Robert Stroud, presidente internacional de la asociación, “colaborar para resolver problemas y contribuir al desarrollo de profesionales que puedan implementar soluciones”. Precisamente, con el objetivo de preparar a los mejores técnicos de segu- Otro tema del que también se ha hablado bastante es de Internet de las Cosas, ¿no es así? R.G.: Efectivamente. Nuestra pretensión es estar siempre a la última. Si te fijas, ahora no hemos hablado de cloud computing, porque eso ya no es lo último. Nuestro discurso se centra en Internet de las Cosas, que va a hacer que los objetos estén todos conectados entre sí. Por tanto, tenemos que informar a los asociados de los riesgos de seguridad que esto puede suponer para ellos. ¿De qué manera adaptan esos contenidos a los profesionales españoles? A.R.: La verdad es que lo hacemos con mucho esfuerzo por parte de todos los miembros de los capítulos que hay en España. Pero los socios lo agradecen, porque prefieren que los entregables que les damos estén en español, puesto que van a poder asimilarlos mejor. R.G.: No hay que olvidar que en nuestro país ISACA cuenta con más de 1.600 miembros y es una de las asociaciones más grandes de España. Por tanto, tener ese cuerpo de voluntarios que saben que lo que hacen es para ellos nos da un potencial tremendo. Además, es importante recordar que todos los que formamos parte de ISACA estamos aquí por vocación. ridad, ISACA cuenta con marcos de trabajo, como COBIT 5, que incluyen programas, estándares y buenas prácticas y que constituyen un buen punto de partida para abordar áreas como amenazas persistentes, privacidad, big data, cloud computing, Internet de las Cosas o movilidad. Asimismo, en esta cita los asistentes participaron en sesiones de formación y pudieron prepararse para los próximos exámenes de certificación. Además, aprovecharon la oportunidad para compartir conocimientos y experiencias con la red de miembros de ISACA, así como para establecer sinergias de primera mano con líderes del sector. Por último, durante la celebración del congreso tuvo lugar la fase final de Global Cyberlympics, una competición en la que equipos de todo el mundo se disputaron el primer premio en hacking ético, defensa de redes informáticas e informática forense. El equipo ganador fue Cyber Padawans 1, de Maryland (Estados Unidos), que se impuso a oponentes de Brasil, Perú, Holanda, Sudán, India, Indonesia y Australia. Precisamente, hace poco han presentado COBIT 5 totalmente adaptado al español. ¿En qué consiste exactamente? Se trata de una serie de herramientas que nos ayudan a poner la seguridad en el centro de la empresa para convertirla en ventaja competitiva. Eso aporta confianza a las organizaciones. Por ejemplo, si un profesional de la seguridad quiere acercarse a su CEO a proponerle un proyecto, COBIT 5 le ayuda a evaluar las necesidades que tiene, a formular los objetivos empresariales, los riesgos de negocio, y a trazarle el camino para que sea capaz de llevar el mensaje de forma correcta. Y todo ello no lo dice con palabras técnicas, sino de negocio. Y después de la celebración en Barcelona de EuroCACS/ISRM, ¿cuáles son los siguientes pasos? Este evento se repite todos los años, por lo tanto en cuanto termine, empezaremos a pensar en el siguiente. Pero entre medias, no nos paramos. Nuestra intención, como decíamos, es seguir educando, divulgando e informando a los socios. Para ello contamos con distintos eventos como la celebración de webinars, sesiones mensuales, jornadas técnicas anuales y, por supuesto, seguiremos publicando todo tipo de entregables para los asociados. noticias Ricardo Barrasa, nuevo presidente de ISACA Madrid Los asociados de ISACA Madrid eligieron en asamblea ordinaria, el pasado 20 de noviembre, la composición de la nueva junta directiva hasta 2016. Ricardo Barrasa salió elegido como nuevo presidente de la organización, en sustitución de Antonio Ramos, que pasa a ocupar la vicepresidencia. El resto de la junta estará compuesta por Nuria Domínguez, como secretaria; Joaquín Castillón, tesorero; y los vocales Óscar Martín (relación con los asociados), Israel Hernández (coordinador de certificaciones y formación), Enrique Turrillo (programas), José A. Rubio (relaciones académicas), Mª José Carmona (webmaster), Pablo Blanco (comunicaciones y marketing) y Erik de Pablo (director de investigación). Según explica la asociación, la junta directiva se plantea nuevos retos "para seguir manteniendo una asociación fuerte y sólida que siga divulgando y fomentando la práctica de la auditoría de los sistemas de información, y continúe promoviendo en la sociedad el reconocimiento de los profesionales que la realizan. Para ello, se va a apostar por incrementar la cercanía con sus asociados, fomentar el desarrollo de grupos de trabajo que ayuden al intercambio de experiencias y a la mejora de las prácticas de auditoría de TI". red seguridad diciembre 2014 65 asociaciones noticias Hacia la prevención con resiliencia… ¡y más allá! Ese fue el lema elegido por ISMS Forum Spain para celebrar la XVI Jornada Internacional de la Seguridad de la Información, en la que tomaron parte destacados ponentes, caso de Benoit Godart (Europol), Miguel Rego (INCIBE) o Fernando Sánchez (CNPIC). Tx: Bernardo Valadés El auditorio de Mutua Madrileña albergó la XVI Jornada Internacional de la Seguridad de la Información, que, organizada por ISMS Forum Spain, congregó a cerca de 300 expertos y profesionales de la seguridad TIC. Bajo el lema "Towards prevention with resilience… and beyond!" (Hacia la prevención con resiliencia… ¡y más allá!), el encuentro puso el foco en la capacidad de resistir las nuevas amenazas y en la flexibilidad de las infraestructuras TI para rehacerse tras un ataque del cibercrimen organizado. La ponencia inaugural corrió a cargo de un invitado de excepción: Benoit Godart. El responsable del departamento EC3 Outreach de la Oficina Europea de Policía (Europol) presentó las principales conclusiones del informe Internet Organised Crime Threat Assessment, documento que insta a las instituciones privadas a colaborar con las administraciones en la lucha contra el ciberterrorismo. “La coordinación entre países europeos es importante, pero también lo es la colaboración internacional con Australia, Canadá, Colombia o EEUU”, recalcó. Sobre el escenario actual, Godart señaló que “hay 2.800 millones de personas conectadas a Internet. Sin duda, es un gran logro de la tecnología y ello supone una oportunidad de negocio”, pero también, advirtió, “representa una situación ventajosa para los cibercriminales contra los que estamos luchando”. Otro de los ponentes destacados fue Miguel Rego, director general del Instituto Nacional de Ciberseguridad (Incibe), quien esclareció que “en España existen unas 20.000 personas dedicadas a la ciberseguridad y se estima un crecimiento del 20 por ciento en la demanda. En Incibe 66 red seguridad estamos trabajando para fomentar el desarrollo de 125 empresas dedicadas a la ciberseguridad y contribuir a potenciar la demanda interna y externa de esta industria”. Igualmente, entre las iniciativas de Incibe destaca el estimular el interés de los jóvenes por la ciberseguridad con becas para realizar prácticas en empresas y programas de formación tanto en institutos de Educación Secundaria como a distancia. En cuanto al resto de intervenciones, las mesas redondas de la jornada contemplaron temas como las estrategias para una efectiva defensa contra las amenazas avanzadas persistentes (APT, por sus siglas en inglés), la pérdida de información sensible o la seguridad en las infraestructuras críticas, esta última con la presencia de Fernando Sánchez, director del Centro Nacional de Protección para las Infraestructuras Críticas (CNPIC). Además, Gianluca D’Antonio, presidente de ISMS Forum Spain, presentó el estudio Incentivando la adopción de la ciberseguridad, en el que se pone de manifiesto el papel de España en dicha materia en relación a otros países de su entorno, mientras que la periodista Mercè Molist hizo lo propio con el libro virtual Hackstory, la historia nunca contada del underground hacker en la Península Ibérica. Sara Degli-Esposti, nueva directora general de ISMS Forum Spain ISMS Forum Spain ha nombrado a Sara Degli-Esposti como nueva directora general de la organización. Degli-Esposti compagina la dirección de la asociación con su actual cargo como investigadora del Center for Research into Information Surveillance and Privacy de la Open University Business School (Reino Unido). Cuenta con amplia experiencia en el área de investigación, destacando como uno de sus proyectos más recientes Surprise, que investiga la relación entre privacidad y seguridad, así como la percepción de los ciudadanos ante las tecnologías de seguridad. diciembre 2014 La tecnología Turbo HD de Hikvision marca un hito en la evolución de la era analógica. Los usuarios de CCTV analógico van a poder disfrutar de una resolución Full HD sin necesidad de cambiar el cableado de las instalaciones analógicas ya existentes. Permite la transmisión de vídeo sin retardo en 1080P a través de cable coaxial y es compatible con cámaras analógicas tradicionales, cámaras IP de Hikvision y dispositivos con el estándar HDTVI. ¡ABROCHÉNSE LOS CINTURONES, EL HÍBRIDO ANALÓGICO HD HA PUESTO EL TURBO! - C/ Almazara, 9 - 28760 Tres Cantos (Madrid). Tel. +34 91 7371655 - Fax +34 91 8058717 info.es@hikvision.com - www.hikvision.com Distribuidores Oficiales España www.es-eshop.adiglobal.com www.casmar.es www.hommaxsistemas.com Portugal www.bernardodacosta.pt Impulsores de la Seguridad Integral en España SEGUIMOS AVANZANDO + P o r q ue la Seguridad iNtegral es una necesida d 2015 Distribución conjunta Estrategia conjunta Sinergias conjuntas 35 Años de experiencia y conocimiento A tu disposición