Redacción.
El pasado miércoles 6 de junio se estrenó en el Cine Proyecciones de Madrid la tercera entrega de la saga High Level Conference on Assurance (#HLCA18) que reunió a unos 250 profesionales de auditoría de sistemas, ciberseguridad, gestión de riesgos tecnológicos y del gobierno de las TIC, quienes disfrutaron de contenidos sobre la actualidad y el futuro de la ciberseguridad, en un divertido entorno relacionado con el mundo del cine.
La HLCA congregó a directores de auditoría, directores de (Ciber)Seguridad, DPOs, Compliance Officers, certificados en materia de ciberseguridad (CROs, CIOs, CTOs, CISOs), y otros profesionales del sector interesados en escuchar y conocer de primera mano las novedades, tendencias, retos y tecnologías de los próximos años.
Patrocinado por de Deloitte, PricewaterhouseCoopers, S.L y Prosegur, Auren, Eulen, EY, e Innotec y Elzaburu, el congreso presentado por Ricardo Barrasa, Presidente de ISACA Madrid, arrancó con la intervención de Julia Olmo y Romero, Embajadora en Misión Especial para las Amenazas Híbridas y la Ciberseguridad del Ministerio de Asuntos exteriores, quien habló de los riesgos y ataques de todo tipo de actividades criminales que nos amenazan en materia de ciberseguridad, la cual hay que reforzar en todo los ámbitos, y de la necesidad de ser tenaces y constantes en este trabajo. Según Julia, “los buenos necesitamos tener suerte, y lo mejor será que ésta nos pille trabajando”.
La opinión pública en internet
Uno de los riesgos de mayor incidencia actualmente es la desinformación, la información falsa o “fake news” y la manipulación de la sociedad a través, principalmente, de las Redes Sociales. El primero de los debates de la jornada, “El impacto de la opinión pública en Internet en las organizaciones; nuevos riesgos”, contó con la participación Ángel Gómez de Ágreda, analista del Ministerio de Defensa, Julio San José, Partner Cibersecurity & IT Risk Transformation de EY, Román Ramírez, colaborador en Propaganda.is y Clara Jiménez Cruz, fundadora de Maldita.es.
El moderador, Javier Fernández-Lasquetty, de Elzaburu, inició el debate como una noticia falsa como el hundimiento del Maine, deshizo el imperio Español en 1898 y ayudó a formar el estadounidense.
Durante el debate, la periodista Clara Jiménez advirtió que pese a los indicios “no sabemos si hay campañas de influencia extranjera (refiriéndose a las supuesta injerencia rusa en la campaña de Trump). Tenemos que estudiar los ciclos de desinformación en internet, no hay pruebas concluyentes todavía de qué influencia real tienes, por lo que no debemos legislar en caliente aún”.
Angel Gómez de Ágreda alertó sobre esta tendencia “que no son noticias falsas; son falsas noticias, que introducen un discurso diferente en un relato y distorsionan el mismo”. Según este experto del Ministerio de defensa, “el 95% de estas distorsiones de la realidad vienen de los Estados y hay detrás un interés político. El ataque es directamente contra la reputación de empresas o instituciones. Se debería concienciar a la población e que todo lo que le llega, no es real”.
En el debate se determinó también que el riesgo de las corporaciones empresariales está en que con un solo golpe de en la red que provoque un incendio digital se puede hundir totalmente un reputación corporativa. Se habló también de que la fake news se producían también en la prensa tradicional “a la que el amarillismo ha restado credibilidad”, según Román Ramírez, que “pasa por una crisis de modelo de negocio y persigue el click incluso a costa de noticias falsas” según Clara Jiménez, y que simplifican ofreciendo las noticias que sus lectores quieren leer para reforzar lo que creen.
Los enemigos de la información veraz son las malas condiciones actuales del periodismo, que el enemigo no es el tradicional, ya que existe el fuego amigo según intereses como la geopolítica, que dependemos de la tiranía de los algoritmos de las noticias, que dependen de los datos y una nueva forma de guerra, en la que nos bombardean con estudiadas noticias, en vez de con bombas. Si se manipula la información, se puede cambiar un resultado de la bolsa, y los intereses más oscuros pueden financias así insurgencias y terrorismos.
Como conclusión los expertos insistieron en que tanto las empresas como las instituciones deben de ser ellos mismo quienes controles la información y dirijan siempre el discurso que quieren divulgar.
El cisne negro; riesgo que no se ve venir
Andrés de Benito, Senior Manager en Business Security Solutions de Pricewaterhouse Coopers S.L. Riesgo tecnológico y ciber en el mapa global de riesgo de las organizaciones habló de los sistemas para la gestión del riesgo tecnológico y de cómo desde su empresa se aplica el ICT Risk, desarrollado por la Asociación de Banca Europea (EBA). También explicó qué son los Cisnes negros; sucesos altamente improbables, que tienen un gran impacto y que se ven o racionalizan “a posteriori”.
Según De Benito, los cisnes negros en las tecnologías de la información son ese tipo de fallos del sistema que no se han previsto y se producen debido a sesgos cognitivos que los seres humanos tenemos, que dificulta la percepción y la consiguiente toma de decisiones adecuadas para evitarlos. “Se trata del sesgo de confirmación, la falacia de la narración y el hecho de que nos basamos en muestras sesgadas. Los ciberriesgos actuales son cada vez más nuevos, complejos, cambiantes y están interrelacionados”, dijo.
Su modelo de gestión de la seguridad se basaba en el más exhaustivo conocimiento de las amenazas, de la calificación de modelado de las mismas, de los posibles enemigos y del consiguiente establecimiento de un tablero de juego en el que con una buena evaluación de las probabilidades se prevean y eviten los ciberriesgos.
La reputación y la estrategia corporativa
Otra de los debates más celebrados fue el dedicado a la Reputación corporativa como concepto, y su vínculo con la estrategia de la compañía, en el participaron Josep Cuñat, socio y director de Consultoría de Seguridad de la Información en Auren, Javier López de Pablo, consultor experto en Comunicación y Director de Programas de la Escuela Internacional de Comunicación (EIC), Félix Muñoz Astilleros, director General de Innotec (Grupo Entelgy) y Francisco González Paz, Director de Comunicación de Sareb.
Dirigida por Mónica Valle, directora de Bit Life Media, la conversación se inició la necesidad de estar preparados para prevenir situaciones, como la ocurrida en Telefónica con el virus Wanacry, y aireada en redes. Los contertulios pusieron en valor la reputación de una empresa como el recurso intangible más estratégico de una corporación.
Con el nuevo RGPD, que obliga comunicar cualquier incidente de ciberseguridad que se sufra, la estrategia de las empresas debe ser comunicar la primera y ser transparente, porque el engaño (caso de Facebook) se perdona menos que el error.
Para que una empresa comunique bien debe preparase y coordinar todos los departamentos, cuidar y formar a los trabajadores par que sientan orgullo de marca y formen un colchón reputacional. También señalaron la conveniencia de que los periodistas se especializaran y formaran en materia de ciberseguridad, para que comuniquen bien, sepan traducir a la sociedad el lenguaje técnico para evitar así las fake news y el efecto de la difusión sin control en las RRSS.
La ciberinteligencia; el presente
José María Blanco, Director de Ciberinteligencia Estratégica de Prosegur se encargó de explicar cómo se enfrentaban desde su compañía a hacker y cibercrimen en general; con ciberinteligencia. En la actualidad para cometer crímenes solo hace falta tener acceso y dominio de la tecnología, y ya hay empresas que ofrecen como servicio el crimen, el ciberdelito.
Blanco explicó que, como actualmente todo es hackeable, lo mejor que se puede hacer para estar seguros es acudir a los mercados físicos, por ejemplo a la hora de comprar, “los mundos virtuales, los hologramas que pronto estarán por todas partes, implican algoritmos creados por alguien con mejores o peores intenciones, pero siempre dispuesto a manipularnos”.
Los bots, los wearables ¿en manos de quién están? Según el ponente dejamos nuestra vida y nuestra toma de decisiones en manos de quien controla la tecnología, de máquinas, que nos atacan a través de nuestras vulnerabilidades. Para preservarnos del peligro, según los consejos de Prosegur, debemos utilizar la ciberinteligencia en las empresas para, a través de la reputación, generar confianza y capacidad de influencia.
La protección de infraestructuras críticas
La mesa de especialistas en la seguridad de todas aquellas empresas que son básicas porque ofrecen servicios esenciales a la población (electricidad, telefonía, gas, etc) habló de las dificultades, retos y soluciones para mantenerlas a salvo de cualquier peligro. El grupo estuvo compuesto Óscar Pastor, Gerente de seguridad de Isdefe, Ricardo Cañizares, Director de Consultoría de Eulen Seguridad, David Villalba de Benito, Responsable de Protección de Infraestructuras Críticas de Seguridad ENDESA, Rafael Pedrera Macías, Jefe de Prospectiva de la Oficina de Coordinación Cibernética OCC del Centro Nacional de Protección de infraestructuras y Ciberseguridad (CNPIC), y moderado por Adolfo Hernández, Subdirector y cofundador de Thiber.
En general todos coincidieron en que, aunque se trata de empresas de sectores diferentes, la ciberseguridad es ahora la principal preocupación de cualquier de ellas, porque las cuestiones que afectan a la reputación se terminan pagando en la bolsa, y que en las empresas esenciales, la prioridad siempre será garantizar la continuidad de los servicios, por lo que la protección de los mismos es el gran objetivo.
La necesidad de contar con un equipo de seguridad profesional alineado con el negocio, que la prioridad sea la protección de los archivos, que las normativas que atañen a estos servicios deben pulirse y armonizarse, que existiera un único punto en la administración en el que se tuvieran que reportar los incidentes de seguridad que se produzcan, fueron algunos de los argumentos que se esgrimieron en el debate.
Como conclusión, los expertos en seguridad de infraestructuras críticas hablaron de la necesidad de realizar un trabajo de cumplimiento y no solo de “seguridad”, ante el reto de unificar bien las dos seguridades necesarias, la física y la lógica, y alcanzar la excelencia. Rafael Pedrera, del CNPIC, explicó que se está trabajando en una certificación para las operadoras críticas, y sugirió la conveniencia de que la certificación CISO fuera reconocida en las empresas y otorgada por la Entidad Nacional de Acreditación (ENAC).
El negocio de la ciberseguridad en vehículos
El ganador del Call for Papers 2018, Adolfo Ranero, presentó su Automotive Cybersegurity, un producto que enclavó en la cuarta revolución industrial, que también llamó “La era de la digitalización total” cuyas características son la hiperconectividad, la interoperabilidad y la cyberseguridad.
Según su exposición, los coches ya están conectados, son inteligentes, los hay con conducción autónoma y se utiliza ya el plarooning (agrupación de vehículos automatizados) de camiones. Estas nuevas formas de transporte implican en comunidades a personas, vehículos e infraestructuras que deben relacionarse entre sí. Toda esta transformación que afecta a los humanos, y mucho, pone en juego vidas, por lo que sin la ciberseguridad adecuada, podría producirse importantes desastres o caos total.
Para Ranero, actualmente un coche tiene ADAS, internet, wifi, GPS, LTE, Bluettoth, cuenta ya con sistema operativo, aplicaciones, protocolos, servidores, firewalls, red local… muchos ya son redes de ordenadores sobre ruedas. Es necesaria la ciberseguridad diseñada para atajar los ataques que pueden sufrir sistemas tan sensibles como las comunicaciones entre coches, las conducciones autónomas, y en general la autentificación de vehículos y conductores.
Así, la Automotive Cybersegurity debe ya de ser incluida en el diseño inicial de los vehículos, no ser medidas introducidas a posteriori para protegerlos y que no puedan ser hackeados. Para ello deben realizarse auditorias y homologaciones, actualizaciones de software, monitorización de apps que deberán ser seguras y tener capacidad de reacción ante incidentes de ciberseguridad.
Ranero explicó que “se abren grandes, múltiples e interesantes oportunidades de negocio en este campo, ya que todo lo que se ha estado haciendo en las empresas, en el marco IT es lo que hay que hacer ahora en el mundo del automóvil, lo que supone un cambio cultural dentro del mundo de la automoción y de la gente que trabaja en él”.
Para este emprendedor, el negocio está ahí y es el momento de fijarse en él porque, es un perfil profesional actualmente muy difícil de encontrar (y muy caro), es un mercado en creación al 90%, las posibilidades del mismo son virtualmente ilimitadas, el ROI será rápido y las primeras compañías que lo hagan podrán poner los precios que quieran.
Cambios en el concepto “perímetro de protección”
Borja Alcedo, Gerente Risk Advisory de Deloitte inició su intervención “VISPER y el cambio en el concepto de perímetro de protección” recordando como la antigua seguridad física era presencial y se evidenciaba, por ejemplo en cómo se defendían los castillos (foso, muros, etc), como el avance de las Ti y la revolución tecnológica ha cambiado hasta llegar a los 8.400 millones de dispositivos conectados entre sí, lo que ha supuesto un cambio de paradigma.
El mundo estero está conectado, lleno de sensores, la información tiene un importante valor en las organizaciones, está deslocalizada, tratada por infinidad de tecnologías que tiene una gran ubicuidad de accesos y los usuarios somos muy confiados, por lo que hay que rediseñar el perímetro de seguridad.
Para Alcedo, a compañías y expertos se les pide proteger los archivos de cualquier empresa, pero permitiendo a los usuarios y los negocios acceso y capacidad de actuación sobre la información y otros activos críticos en cualquier momento, en cualquier parte y con cualquier dispositivo. “Por eso ya no hay un perímetro definido, los riesgos cambian y los ataques son más complejos. Debemos plantear la re-definición del perímetro seguro realizando una defensa proactiva y dinámica, independiente de la tecnología, muy orientada a riesgos, considerando la identidad de la persona e incluyendo inteligencia, totalmente ubicua, y centrado en la criticidad de la información”. Finalmente, enfatizó con la idea de que “debemos estar muy preparados y entrenados para responder y recuperarnos” de cualquier ataque, incidente o crisis.
Network; Implicaciones de la nueva ‘Ley NIS’
Joaquín Castellón, Director Operativo del Departamento de Seguridad Nacional (DSN), Ángel León, Vocal asesor de la SG de Servicios de Sociedad de la Información del Ministerio de Energía, Turismo y Agenda Digital (MINETAD), Manuel Carpio, Consultor independiente y Javier Candau, Jefe del Dpto. de Ciberseguridad del Centro Criptológico Nacional (CCN-Cert),
moderados por Luis Fernández, Editor de la Revista SIC, protagonizaron esta mesa de trabajo sobre la directiva NIS y la ambición de unificar las distintas normativas europeas en materia de seguridad de la información.
Se trata de la primera normativa en materia de ciberseguridad para la que en nuestro país vamos tarde, puesto que hemos superado el plazo de transposición (solo 7 países han completado el ciclo, y España está entre los 9 que están en pleno proceso). Lo que busca la normativa es establecer mecanismos de coordinación entre países, para que todos apliquen las mismas normas de seguridad.
Lo que nos falta en nuestro país es implementar mecanismos tanto públicos como privados de comunicación de incidencias, afrontar el reto de la coherencia con regulaciones ya existente, aunque los intervinientes indicaron que la propia regulación va a necesitar desarrollo legislativo posterior (ya lo prevé) y posiblemente un reglamento más amplio, como finalmente ha ocurrido con el recientemente en vigor RGPD.
Además se plantearon cuestiones aún polémicas como el plazo de comunicación de incidentes con el que van a tener que enfrentarse las empresas, o la dificultad con la que se encuentran estas a la hora de identificar qué es un incidente, y de tener claro quién va a controlar, y para qué, las bases de datos de aquellos que se produzcan y comuniquen.
Según Castellón “la idea no es solo que la administración haga caja con multas, sino recoger información para aprender, prever e identificar las amenazas y dar impulso a la ciberseguridad”. Con la directiva NIS se pretende crear conciencia y agrupar aspectos y perspectivas para homogeneizar las defensas en un marco común de coordinación europea.
El peligro del internet de las cosas
La experta abogada Paloma Llaneza nos ilustró sobre los peligros que nos acechan a través del entorno evolutivo de los distintos dispositivos y wereables que nos rodean y utilizamos habitualmente. Con una simpática acusación sobre las decisiones de los ingenieros a la hora de dar capacidades de dominio a las máquinas, evidenció que esta hiper-conexión aumenta y genera posibilidades de ataques cibernéticos por doquier.
Habló de que, de alguna manera, los routers son como las ratas que multiplicaban la peste, porque son fácilmente infectables, y eso evidencia que no tenemos todavía capacidad para dotarles de la suficiente seguridad, como la futura píldora para enfermos que se conecta con internet… productos conectados, que suponen un peligro porque debeos procurar que sean seguros durante toda su vida útil, que nos permiten ya abandonar el termino de internet de las cosas por el de “internet de las personas”.
Tras poner como ejemplo el accidente de un coche autónomo de Uber, con resultado de la muerte de una mujer, explicó que, el problema está en determinar quién o qué compañía es la responsable de cualquier fallo de seguridad de estas tecnologías. En teoría, desde el punto de vista del derecho, el software inseguro es responsabilidad de quien lo desarrolla “no se le puede atribuir al consumidor. Las cosas tiene que ser seguras cuando las compramos” dijo Paloma.
Por eso apeló a la responsabilidad de las empresas a la hora de mitigar riesgos y acogerse a certificaciones. O pagan antes con la consiguiente prevención, o pagar después en las consiguientes indemnizaciones. Lo ideas, según Llaneza, es que “nuestros juguetes, productos, dispositivos, estén debidamente certificados. Si los ingenieros y fabricantes piensan en mitigar el riesgo; si hacen lo técnica y humanamente posible para ello, evitarán ser demandados”.
Operación Carbanak; cazar a los ladrones de guante tecnológico
La jornada en cuanto a contenido finalizó con la intervención de Carlos Yuste González, Inspector Jefe de la sección de Seguridad Lógica de la Unidad Central de Ciberdelincuencia, de la Policía Nacional, quién relató las dificultades con las que se enfrentó nuestra policía a la hora de desenmascarar y finalmente detener a la red de ciberdelincuentes que contaban con un cabecilla en Alicante, España.
Este individuo, con solo un ordenador y la habilidad ciber adecuada, consiguió desfalcar a nivel internacional varios millones de euros procedentes de cuentas de todo el mundo, junto con tres socios de otras nacionalidades y la colaboración de un grupo de “mulas” (mafia moldava en este caso) o encargados de cambiar a físico el dinero inicialmente digital.
Este experto policial destacó el carácter supranacional de este tipo de delitos, cuya dificultad de resolución penal reside en el hecho de que afecta a 7 u 8 jurisdicciones, que derivan en la consiguiente lentitud de procedimientos y resoluciones. Han sido necesarios nada menos que tres años de investigación e interacción entre policías e instituciones judiciales a nivel supranacional para acabar con esta red de “ladrones de guate tecnológico”.