Redacción.
11 de junio de 2019.
El tema de la ciberseguridad en ya una cuestión de cultura, según explicó Mar López Gil, Vocal asesora del Departamento de Seguridad Nacional, encargada de inaugurar las ponencias en la conferencia anual la High Level Conference on Assurance (HLCA)2019 de ISACA Madrid, aludiendo a la necesidad de que la sociedad tome conciencia porque aún queda mucho trabajo de divulgación y concienciación por hacer “debemos salir de la zona de confort y crear más “cultura” de la ciberseguridad para el conjunto de la sociedad”.
López Gil resumió el proceso de elaboración de la Estrategia nacional de Seguridad de 2019, en cuyo proceso ha colaborado ISACAMadrid, en el que se ha pasado de una ciberresiliencia a la ciberpersistencia. En el ciberespacio hay que ser persistente en los diferentes puntos de vista, y uno de los principales es el ser humano y más concretamente el ciudadano, quien debe ser corresponsable de su ciberseguridad”.
Mar López explicó las diferencias entre la antigua estrategia de seguridad nacional de 2013 y la nueva de este año que ha contado con una amplísima participación de técnicos, instituciones y sociedad civil en su elaboración, ha incluido a las comunidades autónomas y a la clase política, para que realmente se trate de una política de Estado con un objetivo común. La formación de la Comisión Permanente de Ciberseguridad, como célula de apoyo al Consejo de Seguridad Nacional en materia de gestión de crisis y del Foro Nacional de Ciberseguridad que se debe constituir entre todos los agentes públicos y privados, son dos de las novedades que presenta la nueva estrategia.
Antes de la intervención de Lopez Gil inauguraron el congreso el presidente de ISACAMadrid, Ricardo Barrasa, y el director de ciberseguridad de Naturgy, Jesús Sánchez López, anfitrión del evento, quien reconoció que en el sector energético la ciberseguridad es una cuestión clave, con conceptos como la resiliencia, que está es el ADN de su grupo y los riesgos que se presentan debido a la hiperconectividad que viene dada por la transformación digital.
¿Quién gobierna en Internet?
La respuesta a la pregunta la ofrecieron María Álvarez Caro, representante de Google, Jorge Pérez Martínez, coordinador del Internet Governance Forum (IGF), Jorge Pérez Martínez, coordinador del Internet Governance Forum (IGF), João Luis Silva Damas, Presidente de Internet Society España, Ángel Gómez de Ágreda, Coronel Jefe del Área de Análisis Geopolítico Ministerio de Defensa y fue moderada por modera Antonio Martínez, Socio y Business Development Manager de Áudea en la primera de las mesas de debate de la jornada.
Tras definir que Internet es una de los elementos que más ha contribuido a la riqueza de la humanidad en los últimos tiempos, que no es una simple empresa o medio de comunicación, que lo utilizan 3mil millones de internautas y que precisa de una doble gobernanza , técnica y jurídica, los expertos confirmaron que sí, que por supuesto que se gobierna internet, si no, no funcionaría.
Sin embargo aclararon que la Red tiene la exclusiva en el mundo de contar con un gobierno de soberanía compartida, porque está presente en todas partes, pero que los gobiernos territoriales clásicos intentan poner normas por lo que se debe resolver la tensión entre el modelo de sociedad territorial y la globalidad de la Red. En este sentido, se destacó que Europa está regulando Internet y sus normas terminan permeando a nivel mundial, por lo que esta red de redes se podría fraccionar, puesto que existe un riesgo serio de que empiecen a ponerse fronteras al ciberespacio (por ejemplo en Rusia o China).
La representante de Google, María Álvarez, explicó que hasta ahora la red contaba con una gobernanza técnica, pero que la evolución hacia la pluralidad de cuestiones como las Fake News, por ejemplo “la gobernanza ha evolucionado hacia las cuestiones relativas al contenido”. Y es que según la mesa Internet está en todos los países sin que estos se hayan puesto de acuerdo, es un modelo de éxito, avanza y pide un orden global. Por eso determinaron que será inevitable la presencia de los Gobiernos y que se constituya un foro de gobernanza con protocolos, aunque para Álvarez “esa regulación debe basarse en valores, y no ser demasiado intervencionista”.
Amenaza drónica
Juan López-Rubio, Partner Cybersecurity & IT Risk de EY introdujo el tema de las amenazas híbridas ciber y físicas centrándose en los drones, porque se trata de una tecnología que pueden estrellarse donde sus pilotos quieran, por lo que pueden ser una herramienta para cualquier ataque efectivo y barato a una compañía. El riesgos para las corporaciones son el sabotaje, el espionaje industrial visual o conversacional, y el espionaje electrónico.
El problema parte de su accesibilidad. El 61% drones que se fabrican son accesibles al consumidor, cuestan menos de 1000 € y que se pueden comprar en una juguetería. Los más grandes, pueden llevar carga. Aunque la legislación españolas ha puesto freno, (hay que tener licencia profesional, limitaciones de vuelo en espacios abiertos, etc), en España hay 5.500 drones registrados y más de 3.600 licencias, el operador de un dron puede estar a un kilómetro y no tienen matrícula. López-Rubio desveló que se intenta tener registrados los drones para que haya responsabilidad de los dueños y los compradores.
Ante un “ataque” de un dron, las empresas por ahora solo pueden detectarlo, alertar y notificar a la autoridad competente. La clave está en la detención mediante herramientas como los radares de corto alcance, elementos con micrófonos y cámaras, la monitorización de la banda de emisión, etc Según López-Rubio, el futuro de las amenazas de los drones son las soluciones ciber.
¿Cómo nos afecta la Ley de Secretos Empresariales?
Violeta Beltrán, directora de la Unidad Legal, Patentes y Proyectos públicos de Biopolis, Susana Bayón, de Repsol, Luis Ignacio Vicente del Olmo, de Telefónica Patent Office, Josep Cuñat, socio responsable de Ciberseguridad en Auren, con la moderación de Javier Fernández-Lasquetty, socio en Elzaburu, estuvieron de acuerdo con la idoneidad de esta Ley y su aprobación. Salvo los casos de registros vía patente, hasta el momento no se podían proteger valores de la empresa (el caso de los procedimientos, por ejemplo).
La figura del “secreto” va a permitir rentabilizar inversiones y proteger trabajo, información o productos que no deberían conocerse fuera de la compañía. También se entiende que va a mejora las condiciones de las patentes, que no son legislativamente tan protegibles, por lo que según los participantes, esta Ley es un avance y una potente herramienta para posicionarse en el mercado, fomentar la innovación y proteger aquello que tanto cuesta conseguir en las empresas. Para Josep Cuñat, “la ley viene a imponer que la empresa que quiera proteger sus secretos, deberá hacerlo técnicamente” y para que exista esa protección hay que utilizar recursos en áreas como el control, la auditoría y los riesgos.
Con la Ley de secretos empresariales se van a proteger elementos que pueden evolucionar como, por ejemplo, algoritmos. Lo que no ocurre con la patente, que tan solo protege durante unos años y exclusivamente el elemento registrado tal y como era en el momento de dicho registro. En la mesa también destacaron la importancia de saber en qué trabajan los empleados, controlar ese contenido y tener cuidado al contratar por cuestiones de Compliance; habrá que vigilar que no se traigan secretos de su antigua empresa, porque la ley establece responsabilidad también por ello.
Escenarios y soluciones seguridad de ciber riesgos
Eduardo Solís Gómez, Director de Business Security Solutions de PWC, explico en su ponencia “Alcanzando la madurez en la función internacional de seguridad: control y reporting” que las empresas se suelen complicar la vida expandiéndose más allá de sus fronteras por muchas razones que son decisiones de negocio.
Esa expansión requiere una política de seguridad tanto global como local y plantea nuevos retos, e impone definir una nueva estrategia. Primero hay que estudiar cada país o negocio del grupo para dar forma a la función de control y reporting del grupo entero. Planificar y organizar la seguridad, hacer revisiones y estudiar los resultados será la metodología ideal para saber cuál es el nivel de madurez empresarial que se tiene en la materia, y a cual se quiere llegar.
Francisco Javier Sánchez Zurdo, responsable de Proyectos de Inteligencia Artificial en el Grupo SIA, planteó con su ponencia “Aplicación de técnicas de inteligencia artificial en servicios de ciberseguridad: detección temprana de fraude y vigilancia digital” que si tenemos brechas de seguridad, tardamos en encontrarlas ¿qué estamos haciendo mal? Con la Inteligencia Artificial, el big data, etc, el problema ha crecido exponencialmente. Según Sánchez es un problema de escalas y de órdenes de magnitud en los ataques. La mala noticia; que siempre vamos por detrás de los malos. La buena noticia es que podemos controlar cuanto tiempo vamos por detrás de esos malos.
Para ello en necesaria la monitorización, es decir, sistemas de medición de todo aquello que no queramos perder. La inteligencia artificial no da un resultado pero sus algoritmos buscan reglas para reducir ese tiempo que vamos por detrás, con técnicas de Machine Learning, para agrupar usuarios, detectar fraudes y riesgos y técnicas de reacción personalizada.
Claudio Chifa, Ganador del Call for Presentations 2019 Internet de las cosas, explicó en RIoT – Riesgos y retos de ciberseguridad y privacidad en IoT, que Los retos de seguridad y privacidad que plantean son enormes en el Internet de las cosas. Evidentemente el mundo está conectado y cada vez conectamos más cosas que acaban hablando entre ellas. Incluso bombillas inteligentes que incorporan cámaras. Así, desde en la industria (4.0) hasta en el ámbito de Defensa, con todo conectado y todo es un riesgo, porque hasta puede variarse en remoto un tiro de un francotirador que esté conectado con wifi.
Por más medidas tecnológicas que haya, lo más importante es la formación, porque no seguimos normas en IT (Tecnología de la Información) que hemos aplicado habitualmente en IOT (Seguridad de dispositivos industriales). Un ejemplo son los vehículos que se conectan directamente a internet; cualquiera puede monitorizar nuestra vida a través de ellos. Chifa también habló de Shodan, la página donde se ven “barbaridades tecnológicas” que pueden generar infinidad de vulnerabilidades y riesgos, pero tranquilizó a la audiencia al asegurar que España es uno de los países que menos dispositivos tiene expuestos a Shodan.
Principales Implicaciones del Cumplimiento de la Directiva NIS.
Silvia Barrera Ibáñez, Jefa de Sección Relaciones Internacionales del CNPIC, Francisco Villalba CNPIC, Cándido Arregui, CISO AENA, Carlos Manchado, CISO de Naturgy, Jorge Uyá, Chief Operating Officer de Entelgy-Innotec, moderados Félix de Andrés, Gerente de Risk Advisory de Deloitte debatieron sobre las principales implicaciones de la directiva NIS, cómo desde CNPIC se ha trabajado para cumplir con la directiva desarrollando la normativa, recabando información para generar resiliencia, para tener capacidad de coordinación y cumplir con el adecuado esquema de certificación.
Los conceptos como que una infraestructura crítica y un servicio esencial (compañías de servicios indispensables para la sociedad) no son el mismo concepto y que por esa razón se está realizando un alineamiento legal entre la anterior Ley de Protección de Infraestructuras Críticas (LPIC Ley 8/2011) y la nueva NIS que establece la protección del servicio esencial al completo, por lo que se está evaluando esos servicios y qué compañías entran en ese concepto.
Con la directiva, que establecen sanciones de hasta 1 millón de €, el regulador europeo quiere que haya una cultura de la comunicación de ciberincidentes, porque estos ya son transfronterizos y evitar así que sea más barato delinquir que cumplir la Ley. 805 de los operadores críticos españoles son empresas privadas y son los primeros interesados en cumplir sus normas de seguridad. En España hay 132 operadores de servicios esenciales, y 400 operadores críticos, y aún faltan por determinar (se hará antes del 9 de noviembre de este años) algunas otras compañías que deben estar sujetas a esta regulación.
La presenta internacional en este HLCA 2019 estuvo en manos de Bruno Horta Soares, Presidente de ISACA Lisbon Chapter quien explicó su visión sobre el enfoque orientado al riesgo para la seguridad y la privacidad impulsado por COBIT 2019 y de Björn Watne, Ex-presidente de ISACA Norway Chapter y CISO de Storebrand Group, que habló de un estudio realizado en la zona escandinava que mostraba cómo se está extendiendo la cultura de la ciberseguridad y determinar el grado de concienciación en los ciudadanos conectados a internet.
