Documentos de Académico
Documentos de Profesional
Documentos de Cultura
www.redseguridad.com
editorial
El auge de la
ciberdefensa
Hace tan solo unas semanas, durante la clausura de la
Cumbre de jefes de Estado y de Gobierno de la OTAN
en Cardiff (Gales), su secretario general, Anders Fogh
Rasmussen, anunci que la ciberdefensa pasaba a considerarse un elemento central en la estrategia aliada. El
argumento es que un ataque ciberntico contra cualquiera
de los miembros de la Alianza podra tener una respuesta
colectiva de carcter militar.
La estrategia ciber, por tanto, ocupa ya un lugar destacado
en los planes de defensa de los pases que componen la
Alianza, aunque no se trata de algo totalmente nuevo. La
primera experiencia relevante se produjo durante las guerras
de los Balcanes, cuando en 1999 piratas informticos serbios
dejaron sin servicio el sitio web de la OTAN. Desde entonces,
la Alianza ha venido avanzando en su articulacin a travs de
sucesivas cumbres en las que ha ido perfilando su estrategia
hasta desembocar en la creacin del Centro de Excelencia
de Ciberdefensa de la OTAN a finales de 2008 en Tallinn
(Estonia), en cuya puesta en marcha particip Espaa; y en
la aprobacin en 2011 de la poltica de la OTAN en materia
de ciberdefensa, incluyendo objetivos, prioridades y un ambi
cioso plan de accin. Adems, tras la reunin en Bruselas de
los ministros de Defensa de los Estados miembros en octubre
del ao pasado para preparar los temas de la agenda de la
recin celebrada Cumbre de jefes de Estado y de Gobierno,
se inst a que todas las naciones aliadas desarrollaran sus
propias capacidades de ciberdefensa.
Afortunadamente, Espaa hace ya bastantes meses que
decidi dar un paso al frente en esta materia poniendo
en marcha en febrero de 2013 el Mando Conjunto de
Ciberdefensa (MCCD), como bien explica su comandan
te, Carlos Gmez Lpez de Medina, en la entrevista que
encontrar en pginas interiores. No obstante, el trabajo en
este mbito no era algo nuevo, puesto que tanto los tres
ejrcitos como el Estado Mayor de la Defensa (EMAD) y
el rgano Central del ministerio ya trabajaban en desarro
llar sistemas de defensa cibernticos para evitar posibles
ataques ante la proliferacin del uso de las nuevas tecno
logas y los sistemas de telecomunicaciones. En todos los
casos, el objetivo est muy claro: garantizar la integridad,
la confidencialidad y la disponibilidad de los sistemas de
informacin, as como la de las propias infraestructuras que
soportan la prestacin de servicios ampliamente utilizados
o que manejan informacin clasificada o sensible para los
intereses nacionales. Todo ello constituye uno de los mbi
tos de actuacin prioritarios de la Seguridad Nacional.
Por eso, podemos felicitarnos de tener actualmente un
equipo de cerca de 70 profesionales, que componen el
Mando Conjunto de Ciberdefensa, dedicados a velar por
red seguridad
septiembre 2014
sumario
32
editorial
entrevista
Carlos Gmez Lpez de
Medina
El auge de la
ciberdefensa
ciberseguridad internacional
Artculos de Marcos Gmez,
Carles Sol y Adolfo
Hernndez, y Samuel Linares
42
entrevista asociacin
Ramss Gallego
Vicepresidente Internacional de
ISACA
Especial Seg2
10
VI Encuentro de la
Seguridad Integral
Resilencia, un paso ms
alla de la convergencia
48
actualidad
8ENISE: La Estrategia
de Ciberseguridad
Nacional a examen
58
entrevista empresa
Emmanuel Roeseller
Director de Sistemas y
Tecnologa de Seguridad de IBM
22
patrocinadores
S21sec, Eulen
Seguridad, GMV y
Deloitte
VOCALES
Jos Luis Rodrguez lvarez
Agencia Espaola de
Proteccin de Datos (AEPD)
Juan Muoz
ASIS Espaa
CONSEJEROS
INDEPENDIENTES
Emilio Aced Flez
Toms Arroyo
Javier Moreno Montn
Javier Pags
Olof Sandstrom
PRESIDENTE DE HONOR
Alfonso Mur Bohigas
de
STAFF
Suscripcin anual:
50 euros (Espaa), 110 euros (Europa,
zona euro), 150 euros (resto pases)
Depsito Legal: M-46198-2002
ISSN: 1695-3991
Borrmart: Presidente: Francisco Javier Borred Martn. Presidente de Honor: Jos Ramn Borred. Directora general: Ana Borred.
Adjunto a la Presidencia y a la Direccin General: Antonio Caballero Borred. Publicidad: Marisa Laguna, Pedro Jose Pleguezuelos y
Paloma Melendo. Gestin y Control: Carmen Granados. Directora de Relaciones Institucionales: M Victoria Gmez.
Red Seguridad: Directora: Ana Borred. Redactor Jefe: Enrique Gonzlez Herrero. Colaboradores: Bernardo Valads,
David Marchal, Laura Borred, Leticia Duque Guerrero y Jaime Sez de la Llave. Maquetacin: Macarena Fernndez
Lpez y Jess Vicente Ocaa. Fotografa: Banco de imgenes Thinkstock/GettyImages. Diseo: Escria Diseo Grfico.
Suscripciones: M Isabel Melchor y Elena Sarri. Direccin Financiera: Javier Pascual Bermejo. Redaccin, Administracin
y Publicidad: C/ Don Ramn de la Cruz, 68. 28001 Madrid Tel.: +34 91 402 96 07 Fax: +34 91 401 88 74
www.borrmart.es www.redseguridad.com red@borrmart.es. Fotomecnica e impresin: Reyper.
RED SEGURIDAD no se responsabiliza necesariamente de las opiniones o trabajos firmados, no autoriza la reproduccin de textos e ilustraciones sin autorizacin escrita.
Usted manifiesta conocer que los datos personales que facilite pasarn a formar parte de un fichero automatizado titularidad de BORRMART, S.A. y podrn ser objeto de tratamiento, en los trminos previstos en la Ley Orgnica 15/1999, de 13
de Diciembre y normativa al respecto. Para el cumplimiento de los derechos de acceso, rectificacin y cancelacin previstos en dicha ley dirjase a BORRMART, S.A. C/ Don Ramn de la cruz, 68. 28001 Madrid.
thalesgroup.com
Soluciones de Seguridad
En cualquier lugar, cumplimos con lo importante
CONTROL DE FRONTERAS
Autenticacin de ciudadanos,
e-fronteras y vigilancia del territorio
CIUDADES INTELIGENTES
Infraestructura de informacin
centrada en el ciudadano
SEGURIDAD AEROPORTUARIA
Optimizacin de las operaciones
de seguridad cumpliendo con
los estndares OACI
SEGURIDAD URBANA
Deteccin inteligente combinada con
respuestas de las agencias de seguridad
CIBERSEGURIDAD
Proteccin activa de los sistemas
de informacin contra ataques
PROTECCIN DE INFRAESTRUCTURAS
Desde gestin de alarmas a
supervisin multiemplazamiento
ciberdefensa
entrevista
Carlos Gmez
Lpez de
Medina
Comandante Jefe del Mando
Conjunto de Ciberdefensa
red seguridad
septiembre 2014
ciberdefensa
entrevista
red seguridad
septiembre 2014
ciberdefensa
entrevista
red seguridad
septiembre 2014
especial seg2
Resilencia, un paso ms
all de la convergencia
10
red seguridad
septiembre 2014
resiliencia
especial seg2
resiliencia
red seguridad
septiembre 2014
11
especial seg2
Resiliencia?
Llegado el turno de las ponencias,
la primera de ellas corri a cargo
de Guillermo Llorente Ballesteros.
Comprometido con el Seg2 desde sus
inicios, el director de Seguridad y Medio Ambiente de Mapfre brome al citar el lema de la presente edicin
Nuevas convergencias. Resiliencia,
considerando a este ltimo trmino,
tan de moda en el mbito de la seguridad, un nuevo palabro.
Por qu utilizar expresiones tan
extraas para decir cosas que se podran explicar de forma ms simple?
Sin duda, se trata de un nuevo arcano. Antes tenamos otros: la gerencia de riesgos, la inteligencia competitiva Ahora es la resiliencia, reflexion.
Continuando con un tono crtico,
Llorente incidi en que la resiliencia
no es el Santo Grial, la pcima mgica que va a permitir a una empresa
solucionar todo lo relacionado con la
seguridad. Es ms: la Real Academia
Espaola (RAE) todava no ha definido qu es la resiliencia. Hay quien
habla de ella y se refiere a la flexibilidad y a la resistencia. Y esto es
algo nuevo? Proteccin, deteccin,
contencin, respuesta Es lo que
hemos hecho siempre, con diferentes mtodos, pero ahora lo denominan resiliencia.
Al hacer mencin a los mtodos, el
ponente puso como ejemplo de caso
prctico el simulacro de incendio de
12
red seguridad
septiembre 2014
resiliencia
especial seg2
14
red seguridad
septiembre 2014
que ya no es suficiente con una conexin entre seguridad fsica y lgica. Si queremos ser eficientes tenemos que trabajar unidos, puntualiz. De hecho, la organizacin ha
creado una nueva rea, que depende
directamente de la direccin general, denominada Security, y cuyo fin
es la proteccin de las personas, los
activos y los procesos de la compaa. A travs de ella establecemos toda la estrategia y tctica de
seguridad de la empresa y llevamos
a cabo las funciones operativas crticas, desvel el directivo. Por este
motivo, han estructurado la divisin
en reas transversales, con grupos
de trabajo mixtos e interlocutores nicos: Proteccin de infraestructuras
crticas, Crisis resilience, Prevencin
e investigacin del fraude y Security
intelligence.
ste es el camino que, segn
Bravo, las empresas deben seguir en
el futuro, unificando la seguridad bajo
un mismo paraguas, puesto que las
amenazas seguirn avanzando y perfeccionndose, tanto en el mundo fsico como en el lgico. De ah que
sea imprescindible compartir informacin y cooperar entre todos en las
investigaciones y en los incidentes.
En este sentido, el CERT debe actuar de forma unificada y coordinada
para tal fin.
Papel del CERT
Precisamente, para tratar la funcin y
misin del CERT de Seguridad e Industria (CERT SI), asisti a la jornada
Miguel Rego, director del Instituto
Nacional de Tecnologas de la Comunicacin (INTECO). En concreto,
el CERT SI es la marca a travs de
la cual se facilitan los servicios de ciberseguridad para contribuir a la resiliencia nacional, afirm. Naci fruto
de la colaboracin pblica-pblica a
travs del convenio entre las Secretaras de Estado de Seguridad (SES)
y de Telecomunicaciones y para la
Sociedad de la Informacin (SETSI),
y es operado por INTECO. Entre sus
cometidos se encuentra la prevencin, la alerta temprana y la sensibilizacin tanto de empresas como de
los ciudadanos. Sin duda, se trata de
una tarea fundamental, porque, segn Rego, los incidentes continan
aumentando. Aport un dato importante en esa lnea: de todos los pro-
resiliencia
especial seg2
resiliencia
directivo. Ahora bien, las organizaciones deben mejorar el modelo de madurez de la seguridad, que se puede
estandarizar a travs de cinco supuestos: medidas de seguridad, departamento de seguridad, plan de seguridad, sistema de gestin estandarizada y modelos de excelencia. Cada
empresa se puede situar en cada
una de estas etapas; pero, para Garca Diego, lo ideal sera estar entre el
cuarto y el quinto supuesto.
Durante su ponencia, el directivo
tambin mencion los dos puntos de
vista sobre los cuales se ha de contemplar la seguridad: estratgico y
complementario. El primero pretende
preservar la indemnidad de las personas y la continuidad del negocio
siendo respetuosa con los stakeholders. Por su parte, el segundo, que
se conoce como 3G (Gate, Gun and
Guard), es una seguridad de cumplimiento. Aqu la seguridad no se gestiona, slo se administra, est basada
en medidas y es ajena al riesgo. Las
organizaciones deben tender hacia un modelo como el primero. Es
esencial una visin estratgica de
la seguridad, afrontar de manera integral la gestin del riesgo y utilizar
para ello metodologa, apunt.
A continuacin, el directivo se centr en analizar qu son los sistemas
de gestin de la seguridad, clave para
aplicar el primer modelo, y que se definen como la parte de sistema de
gestin general basado en un en-
red seguridad
septiembre 2014
15
especial seg2
16
red seguridad
de Informacin de la Autoridad Portuaria de Tarragona, quien ya est llevando a cabo esta simbiosis entre la
polica portuaria y el departamento
de Sistemas. En la Autoridad Portuaria de Tarragona estamos totalmente
convencidos de la absoluta necesidad de actuar de modo convergente
en materia de seguridad, al igual que
sabemos que as lo har cualquier
posible atacante, afirm durante su
intervencin. De hecho, el Sistema de
Monitorizacin Avanzado (SIMA) instalado en el puerto, que acta sobre
los sistemas de informacin (incluidos todos los dispositivos de seguridad conectados por IP), detecta las
amenazas que se materializan y demuestra su utilidad de forma simbitica para todos los departamentos de
la organizacin.
Y esta forma de actuar es extrapolable a todas las empresas, que deben crear un equipo multidisciplinar
en el que tanto el departamento de
TI como los CIO tienen mucho que
aportar. Los CIO deben aprovechar
la oportunidad actual de co-creacin de los nuevos sistemas de gestin de la seguridad y participar activamente junto con los directores de
seguridad integral. Ahora bien, para
Gonzlez, no se trata de quitar competencias de un departamento y drselas a otro, sino de organizarse para
aportar lo mejor de cada uno. Se
puede delegar parte de la gestin de
la seguridad lgica en el director de
septiembre 2014
resiliencia
especial seg2
18
red seguridad
septiembre 2014
resiliencia
especial seg2
resiliencia
Fsica del CNPIC finaliz su intervencin con el quinto PES, el Financiero, que se ha dividido en cuatro mbitos: servicios y sistemas de
pago, crdito y liquidez, ahorro e inversin y seguros. Entre las vulnerabilidades identificadas, relacionada
con el primero de estos mbitos, se
encuentra el fallo del sistema de pagos al por menor, que podra producir efectos en la economa real y
tener repercusin en la confianza de
los ciudadanos.
Nueva ley
La nueva Ley de Seguridad Privada
(5/2014) ha incluido a la seguridad
informtica como una actividad
compatible de este sector. Esto ha
suscitado opiniones de todo tipo
respecto a al alcance de la ley en
torno a la proteccin de las tecnologas de la informacin y las comunicaciones. Antonio Ramos, presidente de ISACA Madrid, analiz
los principales puntos de la nueva
norma que afectan a la seguridad
de la informacin y formul algunas
propuestas de cara al nuevo Reglamento de Seguridad Privada, que
afectar tambin a empresas tecnolgicas y organizaciones usuarias de servicios y soluciones de
este tipo.
El primer artculo en cuestin fue
el 6.6 que afecta a las empresas,
sean o no de seguridad privada, que
se dediquen a las actividades de seguridad informtica, entendida como
el conjunto de medidas encaminadas [] para garantizar la calidad de
los servicios que presten. El ponente
se pregunt a qu servicios se refiere este precepto, ya que, para l,
en este caso, en el entorno fsico y el
lgico lo nico que cambian son las
herramientas.
Como propuesta para garantizar la
calidad de las medidas de seguridad
informtica, Ramos plante la verificacin por parte de terceros del sector privado. Hasta ahora tenemos un
escenario en el que la verificacin de
las medidas la hace la propia Administracin. Pero si hay un sector [privado] que se dedica a ello, por qu
no les confiamos que hagan auditoras?, expres.
Por otro lado, indic que, aunque
la ley impone medidas a los proveedores de seguridad informtica,
red seguridad
septiembre 2014
19
especial seg2
20
red seguridad
septiembre 2014
resiliencia
especial seg2
Resiliencia y ciberseguridad
Juan Antonio Gmez Bule, presidente del Consejo Asesor de S21sec, expuso su
particular visin del trmino de moda en el mundo de la seguridad y, en relacin con
el ciberespacio, alert de que va ms all de lo tecnolgico.
22
red seguridad
septiembre 2014
resiliencia
especial seg2
resiliencia
red seguridad
septiembre 2014
23
especial seg2
Contexto y necesidades de la
ciberseguridad en la industria
Javier Osuna, jefe de la Divisin de Seguridad y Procesos de GMV, dedic su ponencia
a poner de manifiesto los retos y necesidades de seguridad que tienen por delante los
entornos crticos e industriales en el mundo ciberntico.
Una de las bases de la seguridad
nacional en el entorno ciberntico es
la proteccin de los entornos crticos e
industriales. Aunque hasta hace unos
aos no se insista de manera tan
decidida como ahora en asegurar las
tecnologas de informacin de estas
instalaciones o servicios, lo cierto es
que han estado en el punto de mira
desde hace tiempo. La resiliencia en
estos espacios es hoy por hoy una
prioridad, una necesidad obligada
por la importancia que tienen para el
desarrollo de la sociedad.
Javier Osuna, jefe de Divisin de
Seguridad y Procesos de GMV, abord este tema durante el encuentro
equiparando resiliencia a continuidad
del negocio. Tradicionalmente, resiliencia ha sido igual a disponibilidad y
disponibilidad ha sido igual a respaldo, afirm.
Desde su punto de vista, a lo largo
de las dos ltimas dcadas han sucedido cosas que han marcado la diferencia en lo concerniente a la continuidad de negocio de las organizaciones. El primer ejemplo de ello apareci
con el llamado Efecto 2000, pero
despus se han sucedido otros como
el 11 de septiembre, la aparicin de
los gusanos precursores Slammer
y Mydoom, el ataque ciberntico a
Estonia y as hasta llegar a la reunin
del G20 en la que Estados Unidos
espi a sus socios.
Para Osuna, el entorno de las
amenazas y las vulnerabilidades se
caracterizan hoy en da por la prctica desaparicin de los permetros, la
profesionalizacin e industrializacin
tanto de los buenos como de los
malos, la sofisticacin de los ataques,
la mundializacin, la externalizacin
de los servicios, la crisis, la guerra de
patentes, el espionaje o la diferencia
24
red seguridad
septiembre 2014
resiliencia
especial seg2
resiliencia
red seguridad
septiembre 2014
25
actualidad tecnolgica
noticias
13 Encuesta Global
sobre el Fraude 2014
El informe, elaborado por EY, recoge la percepcin de
los directivos de grandes compaas de todo el mundo,
entre ellas 50 espaolas, sobre cibercrimen, fraude,
corrupcin corporativa y procedimientos antifraude.
red seguridad
septiembre 2014
Crece el uso
profesional de las
redes sociales
El Ministerio de Industria, Energa
y Turismo ha presentado la sptima edicin del informe anual
La Sociedad en Red, correspondiente al ao 2013, que elabora el Observatorio Nacional
de las Telecomunicaciones y de
la Sociedad de la Informacin
(ONTSI). Entre las aspectos ms
importantes, destaca el incremento en el uso profesional de
las redes sociales por parte de
las empresas, que se ha traducido en una subida de 11,7 puntos porcentuales en el caso de
las pymes y grandes empresas,
y de 17,6 puntos porcentuales
en las microempresas, con un
porcentaje de uso del 29,1% y
del 26,6%, respectivamente.
Asimismo, la banda ancha
mvil tambin crece de forma
importante por tercer ao consecutivo y registra un ndice de
penetracin entre las organizaciones con conexin a Internet
del 73,6% en pymes y grandes
empresas, y del 56,8% en las
microempresas.
Por otro lado, el documento
hace hincapi en el crecimiento
de tabletas y smartphones en
los hogares y en la poblacin
espaola. En el primer caso se
ha incrementado en 16,7 puntos porcentuales, con un ndice
de penetracin del 28,5% en
los hogares; mientras que en el
segundo ha sido de 12,2 puntos
porcentuales y ya alcanza al
53,7% de los individuos.
Sobre la administracin electrnica, el informe del ONTSI
destaca que el 98% de los servicios pblicos digitales bsicos
de la Administracin General del
Estado (AGE) son totalmente
accesibles en Internet, de este
modo Espaa supera en 24
puntos porcentuales la media
europea situada en el 74%. Su
usabilidad, asimismo, es del
100%, frente al 76% de media
de la UE27.
Por ltimo, el documento realiza un anlisis de las Tecnologas
de la Informacin en el mbito
global. En total, el mercado mundial TIC movi 3.479 miles de
millones de euros en 2013, que
se distribuyen de la siguiente
manera: Norteamrica (30,9%),
Asia y Pacfico (29,9%), Europa
(25,1%) y Amrica Latina, frica
y Oriente Medio (14,1%).
toda la informacin de
seguridad TIC
a un clic
apntate
gratis
http://www.redseguridad.com
:::Informacin especializada sobre seguridad TIC
:::Accede GRATIS a la revista digital
:::Navegacin fcil e intuitiva
:::Servicios GRATUITOS: newsletter, alertas
:::Accede GRATIS a la revista desde tu Tablet y Smartphone
actualidad tecnolgica
noticias
red seguridad
septiembre 2014
actualidad tecnolgica
entrevista
red seguridad
septiembre 2014
29
actualidad tecnolgica
noticias
red seguridad
septiembre 20104
actualidad tecnolgica
noticias
Sesiones destacadas
Da 7 de octubre:
9:00-9:15.- Bienvenida y presentacin. Samuel Linares, director
del Centro de Ciberseguridad Industrial.
9:15-10:00.- Que no eres un objetivo? Djame demostrarte
por qu te equivocas. Richard Stiennon, analista jefe de investigacin de IT-Harvest.
11:30-12:00.- Los comienzos de la conciencia compartida de la
situacin. Chris Blask, CEO de ICS Cybersecurity.
12.30-13.00.- Defendiendo la Internet de las Cosas. Marc
Blackmer, director de Servicios de Seguridad Industrial de
Cisco-Sourcefire.
13:00-13:45.- Mesa redonda: Evolucin de la Ciberseguridad
Industrial.
16:35-17:05.- La proteccin de infraestructuras crticas hoy.
Andrey Nikishin, director de Seguridad Industrial de Kaspersky.
17:05-17:35.- Elige tu propia aventura: La carrera interminable.
Claudio Caracciolo, CSA de Eleven Paths.
17:35-18.20.- Mesa redonda. Amenazas y vulnerabilidades en
el mundo industrial.
Da 8 de octubre:
9:00-9:30.- La aproximacin prctica a la proteccin de infraestructuras crticas de las ciberamenazas emergentes. Ayman
Al-Issa, CTA del CCI en Oriente Medio y Asia.
11:40-12:05.- Abordando la ciberseguridad industrial en
Latinoamrica. Belisario Contreras, director del Programa de
Ciberseguridad en el Secretariado del Comit Interamericano
contra el Terrorismo de la Organizacin de Estados Americanos.
12:05-12:30.- El CERT de Seguridad e Industria y la proteccin
de los sistemas de control industrial. Miguel Rego, director de
INTECO.
12.30-12.55.- La proteccin de infraetructuras crticas y la
ciberseguridad industrial en Espaa. Fernando Snchez, director
del CNPIC.
17:10-17:50.- Mesa redonda: Vulnerabilidades en el mundo
industrial y tecnologas de proteccin.
17:50-18.30.- Mesa redonda. Las organizaciones industriales
opinan: Y ahora qu? (Conclusiones, lecciones aprendidas y
siguientes pasos).
red seguridad
septiembre 2014
31
ciberseguridad internacional
opinin
32
red seguridad
septiembre 2014
especial
ciberseguridad internacional
opinin
especial
ciberinteligencia, con
las disciplinas de la
correlacin o el uso
de big data. Saber
ms o tener ms
informacin y saber
ms rpido parecen
hoy las prioridades
ms acuciantes de
todos los que vivimos
en y de la Red. El
viejo lema de la informacin es poder y
que Julian Assange
manej como un concepto global en una
poca ms global, ha
vuelto con fuerza a
nuestras vidas. Otros
han seguido su camino de distinta
forma, como Snowden o Manning,
como ms pruebas de este cambio
de forma de actuar que, unido a casos
ms empresariales (o no) de ciberespionaje, est dando lugar a constantes
noticiones o nuevas leyendas urbanas
en la Red.
Coordinar e investigar
Ante todo este universo, o mejor dicho,
ante toda esta cosmologa del ciberuniverso o ciberespacio (primera cita de
este trmino en el artculo), unos nos
quedamos atnitos, otros pasmados,
otros semiparalizados y otros interesados en conocer ms, en seguir investigando qu hay detrs, qu podemos
hacer y cmo podemos coordinarnos
mejor. Y quizs la clave vuelve a ser
la misma, coordinarnos e investigar.
Coordinarnos es una tarea dura pero
factible despus de ver el esfuerzo
que hay detrs de tantos agentes en
el Consejo de Seguridad Nacional, o
ya, para temas ms especficos, en
el acuerdo que suscribieron hace un
ao y medio el Ministerio del Interior y
el Ministerio de Industria. Cabe coordinarse mejor en el mbito pblicoprivado y se estn empezando a dar
pasos y sentar ms bases. Y cabe fortalecer los mecanismos de investigacin, para hacer que nuestra industria
y tejido empresarial sean ms slidos
y potentes, tanto en la oferta como en
la demanda. Revisar la forma en que la
Administracin puede invertir en dicha
investigacin y engrosar la musculatura
y materia gris de las empresas es vital
para hacer que las mismas cubran
de mejor manera y ms gilmente
las necesidades que nos sobrevienen
continuamente. Adems es tambin
crtico disponer de mejores profesionales, con mayor formacin y experiencia, y seguir trabajando en itinerarios
dentro de las empresas que potencien
cada vez ms las carreras tcnicas.
Nos queda tambin darle una vuelta
de tuerca a saber qu impacto estn
teniendo todas nuestras acciones,
medir que esos esfuerzos llegan a
buen puerto y que lo hacen con el nivel
ptimo en tiempo y recursos.
Por todo ello, me reafirmo y creo
que el camino es seguir trabajando
de forma optimista, de forma aplicada, pero cada vez ms coordinados
y dirigidos hacia un bien comn, el
bien de la ciberseguridad, que tantas
expectativas genera y tantas ilusiones puede cubrir.
red seguridad
septiembre 2014
33
ciberciberseguridad internacional
opinin
Carles Sol
Pascual
Director del Spanish Cyber Security
Institute de ISMS Forum
Adolfo Hernndez
Miembro del Spanish Cyber Security
Institute de ISMS Forum
Subdirector y cofundador de THIBER
L a creciente conectividad y el
uso masivo del ciberespacio, un
nuevo entorno totalmente transversal e imbricado en todos los
estamentos de una sociedad
moderna, es una constatacin
ms de la necesidad de fijar una
base comn que pueda hacer
frente a un ataque o una accin
delictiva
sobre
ciudadanos,
empresas o estados, perpetrada
parcialmente o en su totalidad por
medios digitales.
Si bien es cierto que este nuevo
entorno conlleva ciertas dificultades inherentes jurdico-tcnicas,
la aparente despreocupacin poltica internacional no puede obviar
esta realidad que aglutina en la
actualidad la variedad delictiva de
mayor crecimiento: el cibercrimen,
habindose datado el volumen
total de las prdidas asociadas
al mismo en 87.000 millones de
euros en el mundo en 2013.
Este hecho ejemplifica a la perfeccin la vulnerabilidad sistmica
del ciberespacio: el crecimiento,
ubicuidad y grado de penetracin
de las nuevas tecnologas supera
con creces la velocidad de los
procesos legislativos existentes.
Pero el problema se ha multiplicado y se ha establecido como un
riesgo real que trasciende el mero
34
red seguridad
septiembre 2014
especial
GLOBALTECHNOLOGY
Consultora de Seguridad Global e Inteligencia
Monitorizacin
Seguridad
Hacking
Inteligencia
Seguridad Global
frente a la Amenaza Global
Proteccin
Anlisis Forense
Anlisis de Riesgos
Seguridad en la nube
Hacking tico
Auditora de vulnerabilidades
Comunicaciones Seguras
Monitorizacin
Consultora Internacional
Ingeniera de Sistemas
Inteligencia Empresarial
Consultora Tecnolgica
Cumplimiento Legal
Seguridad de la Informacin
info@globalt4e.com
www.globalt4e.com
ciberseguridad internacional
opinin
Puntos comunes
Como principal objetivo, estas
estrategias vertebran la ciberseguridad como materia prioritaria
en la agenda de los respectivos gobiernos. Y promulgan, con
ms o menos xito, establecer
un liderazgo nico para coordinar las acciones y los actores
involucrados en la lucha contra
los riesgos derivados del ciberespacio.
Asimismo, ponen de manifiesto
la gravedad y complejidad de las
ciberamenazas, as como el grado
de organizacin alcanzado por los
grupos delincuentes o terroristas
que estn detrs de ellas. Y enfatizan la dimensin social del problema, trascendiendo la mera prdida
econmica o el dao individual que
puedan causar.
Tambin identifican la necesidad de coordinacin entre los
estamentos pblicos dedicados a
la ciberseguridad y la de stos
con los actores privados, una de
las principales barreras a la hora
de luchar contra el cibercrimen.
Destacan, por supuesto, la necesidad de cooperacin internacional,
otra gran asignatura pendiente en
la batalla contra un riesgo que, por
naturaleza, es global.
As pues, podemos afirmar que
la gran mayora de las estrategias
presentan una estructura comn,
pivotando sobre tres conceptos
bsicos:
1 Qu preocupa, identificando claramente qu tipo de
ciberamenazas son las ms
probables, identificando los
nuevos actores y sus motivaciones.
2 Quin tiene responsabilidades,
delimitando roles y rganos
36
red seguridad
septiembre 2014
especial
ciberseguridad internacional
opinin
especial
Referencias
[1]
The global risks landscape 2014. World Economic Forum.
http://www3.weforum.org/docs/WEF_GlobalRisks_Report_2014.pdf
Estrategias nacionales de seguridad en el mundo. THIBER.
http://www.thiber.org/?page_id=242
[2]
red seguridad
septiembre 2014
37
ciberseguridad internacional
opinin
Samuel Linares
Director del Centro de Ciberseguridad
Industrial (CCI)
38
red seguridad
septiembre 2014
especial
ciberseguridad internacional
opinin
parte de su actividad marcos de trabajo de referencia comn (sectoriales o no) para el mercado, hojas de
ruta que marcan el camino que hay
que seguir con indicadores claros de
control y seguimiento o regulaciones
que buscan conseguir unas lneas
base de cumplimiento de medidas
de seguridad que garanticen la adecuada proteccin de infraestructuras y organizaciones, habitualmente
focalizadas inicialmente en la proteccin de infraestructuras crticas,
pero extendidas posteriormente a
otros mbitos de actividad.
Cambio de ritmo
En el entorno pblico de nuestro
pas ha habido un cambio de ritmo
importante en lo que a la ciberseguridad se refiere en los dos ltimos
aos. Basta con revisar el panorama
que tenemos en la actualidad respecto al que tenamos hace tiempo.
Contamos ya con una Estrategia
de Seguridad Nacional que identifica el ciberespacio como un mbito
ms de actuacin, una Estrategia de
Ciberseguridad Nacional que define el
sistema nacional de ciberseguridad,
objetivos y sus actores, adems de
organismos con un foco de actividad
importante en estos mbitos (CNPIC,
INTECO, CCN, Mando Conjunto de
Ciberdefensa, Departamento de
Seguridad Nacional).
No debemos dejar de mencionar
la existencia de una regulacin en el
mbito de la privacidad que es referente internacional (nuestra famosa
LOPD) o de la Ley de Proteccin de
Infraestructuras Crticas, tambin referente para la mayora de los pases
latinoamericanos. Y sin duda esa gran
oportunidad que en estos momentos
est abierta en el rea de la ciberseguridad, que es la nueva Ley de
Seguridad Privada (y su futuro reglamento).
Es un hecho que el ritmo y los
tiempos de cambio en cualquier pas
en lo que a aspectos regulatorios,
iniciativas y organismos gubernamentales o estrategias se refiere son
mucho ms lentos que en el mbito
privado y, por tanto, cualquier creacin o modificacin de estos puntos
supone ya no meses, sino aos de
40
red seguridad
Entorno privado
Y qu hay del entorno
privado? (entendiendo
por entorno privado
a las organizaciones
industriales, infraestructuras crticas o usuarios
septiembre 2014
especial
ciberseguridad internacional
opinin
No tan atrs
Pero hay un aspecto del que, por la
parte que nos toca, estamos especialmente orgullosos: la colaboracin, comparticin y anlisis de informacin en el mbito industrial. En
este mbito, debo dejar de lado, por
unas lneas, la humildad obligada, y
compartir de qu manera el Centro
de Ciberseguridad Industrial (CCI) y
sus actividades se han convertido
en un referente internacional, no slo
en Europa, sino en Estados Unidos,
especial
red seguridad
septiembre 2014
41
asociacin
entrevista
Ramss
Gallego
Vicepresidente
internacional
de ISACA
El pasado mes de
junio, ISACA constituy
su nueva junta directiva,
en la que Ramss
Gallego volver a
ejercer el cargo
de vicepresidente
internacional. Durante
Afortunadamente, la
conciencia es cada vez mayor
y la ciberseguridad llega a los
consejos de administracin
Tx: E. Gonzlez y B. Valads
Ft: E.G.H.
la entrevista, el
tambin especialista en
estrategia de seguridad
y experto tecnolgico
de Dell Software
aborda cuestiones
como el programa
CSX para el desarrollo
profesional, la crisis
de talento o los retos
que deben afrontar
las empresas en un
mundo catico y
disperso.
42
red seguridad
septiembre 20104
asociacin
entrevista
red seguridad
septiembre 20104
43
asociacin
entrevista
No deberamos preguntarnos si
vamos a ser atacados, sino cundo.
No quiero parecer pesimista, pero
es la realidad
recientes ha sido el de la vulnerabilidad Heartbleed. Qu opina de
este caso?
Me ha parecido terrible, porque ha
impactado en un listado de empresas brutal. Y eso me lleva a pensar:
qu tipo de auditoras de ciberseguridad llevaban a cabo? Luego, la
respuesta que se dio creo que fue la
adecuada.
Se aprende de este tipo de
casos?
S, claro. Se aprende a base de
palos. Sucedi con el robo de informacin confidencial de tarjetas de
crdito de Target. Entonces, hubo
quien levant el telfono y pregunt:
Eso nos puede pasar a nosotros?
Es un ejemplo de que debemos estar
preparados continuamente, esperar
lo inesperado. Si no es maana ser
44
red seguridad
septiembre 20104
caso de xito
46
red seguridad
Contribucin de Prot-On
Prot-On permite a TNKC proteger su
documentacin estratgica mediante el
cifrado de la misma y gestionar en todo
momento quin tiene acceso a estos
documentos. De modo que, incluso
despus de haber compartido un archivo, se puede impedir que se vuelva a
acceder al mismo o decidir durante
qu periodo de tiempo puede utilizarlo.
Podr dar o quitar permiso para modificarlo, imprimirlo, copiarlo, etc., en tiempo
real, est donde est el documento.
As, la empresa es en todo momento
propietaria de la informacin que comparte: cada vez que un usuario (alumno,
profesor, trabajador) intenta acceder a
un documento protegido, Prot-On comprueba si est autorizado para ello y, en
ese caso, le da acceso para hacer con
ese documento estrictamente lo que
est autorizado a hacer. Asimismo, se
guardar tambin un registro de actividad de cada documento quin accedi
a l, cundo, desde dnde y para qu.
Los documentos protegidos pueden
estar almacenados en los propios dispositivos del usuario (Windows, Mac,
Android o iOS) o en la nube, ya que ProtOn es compatible con Dropbox, Box,
Google Drive, OwnCloud o SharePoint.
Este tipo de soluciones son muy
demandados en el mbito empresarial
septiembre 2014
actualidad tecnolgica
evento
8ENISE: La Estrategia de
Ciberseguridad Nacional a examen
Un ao ms, y ya son ocho, Inteco cumple con su cita anual reuniendo a los
diferentes agentes del sector de la ciberseguridad en torno a la octava edicin de
ENISE, el Encuentro Internacional de Seguridad de la Informacin.
Elena Carrera
Murciego
Departamento de Comunicacin del
Instituto Nacional de Tecnologas de la
Comunicacin (Inteco)
red seguridad
septiembre 2014
actualidad tecnolgica
evento
red seguridad
septiembre 2014
49
infraestructuras crticas
opinin
Servicio de
Ciberseguridad
del CNPIC
50
red seguridad
Estos sistemas, diseados en origen para trabajar en entornos aislados, toman datos de mltiples sensores y actan sobre equipos remotos
como vlvulas o bombas, por lo que
son muy utilizados en la industria para
controlar los procesos. Inicialmente
diseados para mejorar la funcionalidad, son equipos altamente redundados y muy robustos.
Los SCADA contienen servidores
y aplicaciones que realizan funciones
clave en los procesos industriales,
y, por tanto, estn presentes en las
Infraestructuras Crticas y estratgicas
en cuanto a que potencialmente controlan la manera en que se prestan
algunos de los servicios esenciales
que la sociedad demanda. Al basarse
estos sistemas en las tecnologas de
la informacin y las comunicaciones,
se requiere una especial atencin en
su proteccin, dada la variedad de
amenazas existentes en el ciberespacio.
Por otro lado, y debido a los largos
plazos de amortizacin de las infraestructuras que proporcionan estos
servicios esenciales, hacen que las
tecnologas sobre las que descansa
el control de los procesos de produccin estn potencialmente basadas
en sistemas propietarios y obsoletos. Cuando los operadores de estas
infraestructuras desarrollan sistemas
complementarios y ms avanzados
de supervisin de los procesos de
septiembre 2014
infraestructuras crticas
opinin
red seguridad
septiembre 2014
51
caso de xito
52
red seguridad
ya que uno de los requisitos era separar y proteger las diferentes zonas de
seguridad dentro del centro de datos.
Gracias a ella, sobre una misma plataforma fsica se pueden habilitar de
manera muy sencilla y rpida entornos
virtuales, completamente independientes unos de otros, que proporcionen funciones de seguridad totalmente
configurables por separado.
El alcance del proyecto se resume en cinco Data Center equipados
cada uno con cuatro chasis FortiGate5060DC para formar dos clsteres
geogrficamente separados entre el
Alcal Data Center (Clster principal) y
el Data Center de Julin Camarillo en
Madrid (Clster de respaldo), cada uno
de los chasis equipados inicialmente
con un blade FortiGate-5001B y con
la posibilidad de incrementar varias
veces su capacidad inicial mediante la
simple adicin de nuevas tarjetas.
Internamente, en cada clster se han
configurado Virtual Domains para dar
servicio a firewalls virtuales de Front
End, Back End, Intranet y otros. En
total, Fortinet ha equipado 18 clsteres con chasis FortiGate-5060DC y 18
blades FortiGate-5001B. As, Telefnica
se asegura que en cualquier momento
podr incorporar nuevas funcionalidades de seguridad en el proyecto.
Para la administracin y el reporting centralizado se han implementado dos FortiManager-3000C y dos
FortiAnalyzer-4000B. La compaa
tiene previsto aumentar la infraestruc-
septiembre 2014
al servicio de la seguridad
Socios Protectores:
www.fundacionborreda.org
empresa
noticias
Everis participa en el proyecto CAMINO para definir la
hoja de ruta contra el cibercrimen y el ciberterrorismo
La
Everis aeroespacial y
forma parte del consorcio de
empresas europeas que trabajan en
el proyecto CAMINO (por sus siglas
en ingls, Comprehensive Approach
to cyber roadMap coordINation and
develOpment), que contribuir a definir las lneas de investigacin en ciberseguridad y ciberterrorismo en Europa
en los prximos dos aos.
Con un presupuesto de 1,2 millones de euros, la iniciativa tiene dos
propsitos principales: desarrollar una
agenda exhaustiva de investigacin
en cibercrimen y ciberterrorismo, e
iniciar actividades a largo plazo para
proveer una plataforma estable que
cuente con expertos y organizaciones
de investigacin en ciberseguridad.
Para ello, el proyecto, liderado por
ITTI (Polonia), se apoya en un consorcio de diez empresas
europeas con diferentes perfiles que responden a cuatro pilares principales: ticos,
tecnolgicos, organizativos y legales.
divisin
defensa
red seguridad
septiembre 2014
Trend Micro
presenta su nuevo
programa de canal
Trend Micro Partner Program
es el nombre del nuevo programa de canal que acaba
de anunciar la compaa y
cuyo objetivo es incrementar
an ms la productividad y
rentabilidad de sus ms de
50.000 socios de canal en el
mundo. Tiene la particularidad de que combina los elementos clave de sus programas de partners regionales
con el de Norteamrica para
ofrecer ahora uno nuevo y
alineado en el mbito global.
El programa, cuya implementacin se completar
durante el primer trimestre
de 2015, incluye una estructura de compensacin mejorada y una segmentacin de
partners claramente definida;
una organizacin de los distribuidores estandarizada por
niveles; y equipos de consultores expertos dedicados a
identificar, desarrollar y asegurar nuevas oportunidades
de negocio con los socios.
empresa
noticias
Panda Security lanza un nuevo servicio que asegura todas las aplicaciones ejecutadas
Panda Security anunci en junio el lanzamiento de Panda Advanced Protection
Service (PAPS), un nuevo servicio de
la compaa espaola de ciberseguridad "que muestra el camino hacia el
que debera dirigirse la industria. As
lo transmiti Diego Navarrete, CEO de
la empresa, en un acto para la prensa
internacional celebrado en Madrid.
PASP es un servicio para el control
de aplicaciones enfocado a grandes
usuarios, que rompe con el tradicional sistema de deteccin de software maligno basado en listas negras.
Segn explic Navarrete, esta solucin
plantea un modelo en el que se pasa
"de un modelo enfocado casi exclusivamente en tcnicas de deteccin de
lo que es malo o sospechoso, a otro
centrado en asegurar la clasificacin y
seguridad de todo lo que se ejecuta,
aunque no haya saltado ninguna alerta
en los algoritmos de deteccin". Este
servicio "reduce prcticamente a cero
la posibilidad de que el malware no sea
descubierto", afirm el CEO de Panda,
y "clasifica todo lo que se intenta ejecutar y contina monitorizando todas
las acciones realizadas por las aplicaciones para proteger tambin contra
posibles ataques a vulnerabilidades de
aplicaciones legtimas".
Por su parte, Josu Franco, vicepresidente de Desarrollo de Negocio
Corporativo de Panda, explic que
PASP "clasifica y monitoriza continua-
Resultados probados
El nuevo servicio es el resultado de
dos aos de trabajo de investigacin,
desarrollo y ensayos de la compaa
espaola, que ya ha probado la eficacia
de esta herramienta en clientes como
Eulen o Mecalux. Tambin ha complementado soluciones de partners, como
es el caso del Centro de Operaciones de
Ciberseguridad de Indra. "Los partners
son una pieza clave en la estrategia de
PASP, puesto que atienden a las necesidades de ciberseguridad global de los
clientes corporativos. Por ello, creemos
que PASP les ofrece una excelente
oportunidad para satisfacer las demandas de aquellos clientes preocupados
por el riesgo que corren sus datos y su
capital intelectual ante ataques dirigidos", asegur Franco.
BREVES
Solucin de F5 para
el APC de Cisco
Nueva divisin de
seguridad de Avnet
Avnet Technology Solutions, mayorista global de soluciones TI y grupo
operativo de Avnet, ha anunciado
el lanzamiento de una divisin en
EMEA: Avnet Security & Networking
Solutions (ASNS). Su cometido ser
ayudar a impulsar an ms su porfolio de soluciones y servicios de
seguridad y networking.
HP Atalla
HP ha lanzado las nuevas soluciones
HP Atalla, dirigidas a organizaciones
que necesitan proteger su informacin confidencial, como instituciones financieras, energticas, distribuidores, proveedores de atencin
sanitaria o gobiernos. Su finalidad
es proporcionar proteccin a la informacin almacenada de forma local
o en la nube, as como para datos
no estructurados como correos
confidenciales, facturas o historiales
mdicos electrnicos.
'Malware' desconocido
Kaspersky Lab ha hecho pblica una
investigacin que revela la existencia
de una infraestructura internacional
utilizada para controlar de manera
remota implantaciones de malware y
que tambin ha permitido identificar
troyanos mviles para Android e iOS
hasta ahora desconocidos. Segn
la compaa, estos mdulos forman
parte de una solucin supuestamente legal, llamada Remote Control
System (RSC), tambin conocida
como Galileo, y desarrollada por la
compaa italiana Hacking Team.
red seguridad
septiembre 2014
55
empresa
noticias
nombramientos
Javier J. Corrales
Responsable de Desarrollo de Negocio de
S2 Grupo
Este ingeniero de Telecomunicaciones por la Universidad
Politcnica de Madrid se incorpora a la empresa espaola
especializada en ciberseguridad S2 Grupo proveniente de
Verizon, con el objetivo de reforzar el posicionamiento de la
compaa en Espaa, Colombia, Rumana y Mxico.
Albert Puigsech
Gerente de la oficina de Barcelona de EY
La compaa refuerza su divisin de Seguridad de la
Informacin, dentro del rea de Consultora, con la
incorporacin de Puigsech como gerente de la oficina
de Barcelona. Su objetivo ser impulsar en los clientes
los servicios de TI como proyectos de Penetration
Testing, Vulnerability Assessment Web Application
Security Analysis, Hacking tico o servicios de anlisis
forense en el entorno informtico, entre otros.
lvaro Barge
Director de TI de Brightstar 20:20 Mobile
El distribuidor especializado en telefona mvil Brightstar
20:20 Mobile ha anunciado el nombramiento de lvaro Barge
como nuevo director de Tecnologa, en sustitucin de Csar
Colado, que asume responsabilidades europeas. Barge,
ingeniero de telecomunicaciones, tendr como objetivo
liderar los procesos de calidad y de desarrollo de soluciones
personalizadas para los clientes de la empresa.
ESTUDIOS
Ciberataques disruptivos
Segn un estudio de BT presentado recientemente, los ciberataques disruptivos son
cada vez ms eficaces a la hora de traspasar las defensas de seguridad, causando
graves trastornos y a veces dejando a las
empresas y organismos pblicos inoperativos durante jornadas enteras. Esta investigacin revela que el 41 por ciento de las
organizaciones de todo el mundo se vieron
afectadas por los ataques distribuidos de
denegacin de servicio (DDoS) en el ltimo
ao, y tres cuartas partes de ellas (78 por
ciento) lo sufrieron dos o ms veces en ese
mismo ao. De ah la inquietud a escala
global de las firmas consultadas, pues un
58 por ciento de las cuales considera esto
un asunto clave.
red seguridad
septiembre 2014
Ms privacidad, pero
sin tomar medidas
EMC ha presentado el primer estudio mundial sobre las actitudes de los internautas
respecto a su privacidad en la Red, denominado Privacy Index, realizado a 15.000
usuarios de 15 pases con resultados curiosos. Por ejemplo, el 73 por ciento de ellos
no est dispuesto a sacrificar su privacidad
a cambio de ms beneficios en la red; sin
embargo, el 62 por ciento no cambia sus
contraseas con asiduidad. Asimismo, ms
de la mitad declara haber sufrido una brecha de seguridad, pero gran parte no est
tomando medidas para protegerse.
empresa
La UC3M potencia la
ciberseguridad
La institucin, junto con Indra, crea una ctedra para
impulsar el desarrollo de proyectos conjuntos de I+D+i,
as como programas formativos en seguridad.
noticias
Bull y PrimeKey
fortalecen la
seguridad de los
datos corporativos
El fabricante de tecnologa
Bull y el proveedor de infraestructura de clave pblica
(PKI) PrimeKey se han unido
para mejorar la seguridad
de los datos mediante la
integracin de la gestin de
claves del segundo con un
mdulo criptogrfico del primero. As, gracias a este
acuerdo, la plataforma de
nueva generacin TrustWay
Proteccio HSM (Hardware
Security Module) de Bull se
integra con EJBCA, la oferta
PKI de PrimeKey.
Esta solucin garantiza la
generacin y almacenamiento de claves en el mdulo criptogrfico TrustWay
Proteccio. Adems, cumple
con los ms altos estndares de certificacin, incluyendo Common Criteria
EAL4 + y FIPS 140-2 Nivel 3.
Segn Philippe Duluc,
vicepresidente de la Divisin
de Seguridad de Bull, "este
acuerdo permitir a las
organizaciones que utilizan
EJBCA PrimeKey responder
a las amenazas de seguridad y los requisitos de
cumplimiento de hoy y de
maana". As las empresas
pueden asegurar sus procesos crticos de forma transparente en sus operaciones.
red seguridad
septiembre 2014
57
empresa
entrevista
Emmanuel
Roeseler
Tras la creacin de su
Divisin de Sistemas
de Seguridad en 2011,
IBM ha desarrollado
un modelo propio de
proteccin para sus
clientes, en el que la
"seguridad inteligente"
es la "piedra angular".
Emmanuel Roeseler,
responsable de la
divisin, explica este
concepto enfocado
a mejorar la toma de
decisiones, as como la
aportacin de Trusteer
-empresa adquirida
por IBM el ao
pasado- para reforzar
las capacidades del
Gigante Azul frente al
fraude bancario.
58
red seguridad
septiembre 20104
empresa
entrevista
red seguridad
septiembre 20104
59
empresa
entrevista
Hay que tener en cuenta que existen varios tipos de cloud. Si nos
referimos a empresas que tienen una
parte virtualizada de su infraestructura o de sus aplicaciones, tenemos
soluciones para todos los gustos.
Las compaas que se benefician del
cloud quieren que sus usuarios puedan acceder de manera transparente
a aplicaciones dentro de la compaa
y a otras que estn fuera. Para ellas,
est la capa de gestin de control
de usuarios y accesos, que permite
al usuario entrar en las aplicaciones
y a la empresa conocer a cules
est accediendo y desde dnde. De
esa manera puede llevar un mayor
o menor control del acceso de esa
persona.
Y el Big Data, qu presenta ms
para las corporaciones, oportunidades o desafos?
Ginni Rometty [presidenta de IBM]
ya dijo que el 80 por ciento de
los datos que tenemos hoy se han
generado en los ltimos dos aos.
Yo veo el Big Data como una oportunidad por la capa inteligente de
seguridad, porque lo que quiere
hacer es aprovechar toda la informacin que se est generando de
dispositivos cada vez ms inteligentes para tomar mejores decisiones.
Rometty dice adems que los datos
60
red seguridad
septiembre 20104
Previnmen control parental en Internet es un proyecto creado por padres con la vocacin de ayudar a
otros padres a supervisar y a orientar a nuestros hijos menores de edad en el uso de las nuevas tecnologas,
el entorno donde ellos desarrollan gran parte de su actividad y relaciones sociales.
El centro de nuestra actividad es el control parental en internet, para ello desarrollamos un software que
se descarga e instala en las plataformas donde su hijo suele acceder a internet: ordenadores personales,
telfonos mviles y tablets. Nuestro software ha recibido varios premios tecnolgicos en EEUU como el de la
prestigiosa revista PC Magazine.
El control parental en internet realizado a travs de nuestro software graba, alerta y puede bloquear
determinadas actividades en la plataforma donde se instala, realizando una labor de prevencin ante
determinadas situaciones de riesgo potencial para el menor como desordenes alimenticios, cyberacoso,
grooming o problemas con alcohol o drogas.
proteccin de datos
opinin
Evaluaciones de impacto en la
proteccin de datos personales
Jos Luis
Rodrguez lvarez
Director de la Agencia Espaola de
Proteccin de Datos
62
red seguridad
septiembre 2014
proteccin de datos
opinin
Resultados
Cuando se redacta este artculo, ha
finalizado dicho proceso de consulta
con un resultado que podemos considerar muy satisfactorio: un porcentaje
superior al 90 por ciento de quienes
han contestado a la encuesta consideran la estructura de la gua y sus
apartados adecuados, un 82 por ciento considera el lenguaje y los trminos
en que est redactada correctos, y
un 86 por ciento cree que los criterios expuestos para decidir sobre la
necesidad de realizar una EIPD son
apropiados. Adems, los comentarios
que hemos recibido nos han aportado
valiosas reflexiones que se estn analizando para proceder a la redaccin del
documento definitivo.
En cualquier caso, la gua est
concebida como un marco flexible,
que proporcione un modelo estructurado en el que apoyarse a la hora de
realizar las evaluaciones de impacto,
pero que no es invariable, sino que,
mientras se respeten sus aspectos
fundamentales, cada organizacin
podr (e incluso deber) adaptarlo
a su estructura, a su cultura y a sus
necesidades.
Tambin hay que recalcar que cada
vez se abre paso con ms fuerza la
idea de que los responsables de tratamientos de datos personales han de
ser capaces de demostrar su compromiso con los derechos de los ciudadanos y el cumplimiento de sus obligaciones legales (accountability). Para
ello, la realizacin de una evaluacin
de impacto siguiendo las directrices
de la gua redactada por la AEPD, aunque no podr ser considerada como
un criterio de exencin de eventuales
responsabilidades en caso de que se
incurra en vulneracin de la normativa
de proteccin de datos, s va a ser tenida en cuenta por la Agencia como un
elemento relevante a la hora de valorar
si se ha adoptado la diligencia debida
en la implementacin de las medidas
red seguridad
septiembre 2014
63
novedades
noticias
Fujitsu presenta su solucin de 'backup' Eternus
CS800 Data Protection Storage Appliance
Desarrollado para gestionar eficazmente el crecimiento exponencial
de los datos en las empresas de forma simple y transparente, Fujitsu ha
iniciado la comercializacin de su quinta generacin Eternus CS800 Data
Protection Storage Appliance. Se trata de un equipo que proporciona
copia de seguridad plena en disco, a lo que aade funciones de replicacin y software path-to-tape en todas sus versiones.
Una de sus principales caractersticas es que ofrece almacenamiento
desde los 4 TB hasta 360. De esta forma, las empresas pueden empezar
con la configuracin que mejor se adapte a sus necesidades de backup,
con la posibilidad de agregar capacidad adicional en el futuro si les hiciera
falta. Asimismo, integra de forma estndar una amplia proteccin frente a desastres, replicaciones
bidireccionales y de 1:2 entre
diferentes sistemas Eternus
CS800, tanto en centros de
datos como en modo cloud;
mientras que las copias adicionales tambin pueden darse en
cinta para los casos de recuperacin ante desastres.
www.fujitsu.com
HP lanza un servicio
para reducir riesgos
de seguridad de TI
La compaa HP ha dado a
conocer sus nuevos servicios de consultora para ayudar a los clientes a tomar
decisiones rpidas sobre los
riesgos de la seguridad de
la informacin en sus organizaciones. Con el nombre
HP Security Metrics Services
ofrece una metodologa en
proceso de ser patentada y
un marco de trabajo especial
para demostrar ms claramente el potencial que un
incidente de seguridad puede
tener en los objetivos de una
organizacin. Para ello utiliza los datos de seguridad
de fuentes existentes en las
organizaciones, as como
los parmetros establecidos,
para ofrecer una alerta clara
de cundo los objetivos de
negocio empresariales estn
en riesgo. De esta forma, los
usuarios pueden identificar
su origen y tomar medidas
oportunas para solucionarlo.
www.hp.es
64
red seguridad
septiembre 2014
Quinta generacin
de arquitectura de
red ptica basada
en SDN
Huawei ha anunciado el
lanzamiento de la quinta
generacin de arquitectura de red ptica basada en
SDN (Redes Definidas por
Software), denominada Flex
Optical Network. Incluye
tuberas de resiliencia ultralargas con capacidad para
soportar capas pticas y
elctricas flexibles; sinergia
transversal de capas IP y
pticas, gestin de grupos
NE intersectoriales y sinergia
para redes wavelength-OTNEthernet basada en NE; y
aperturas habilitadas para
redes SDN.
www.huawei.com/es
Nuevas soluciones
de proteccin de
red de Arkoon y
Netasq
Con el nombre Stormshield
Network Security, Arkoon
y Netasq, subsidiarias de
Airbus Defence y Space, han
puesto en marcha una nueva
generacin de soluciones de
proteccin de red. Esta lnea
de productos complementa a la gama Stormshield
Endpoint Security de proteccin para estaciones de
trabajo, incluso de amenazas
desconocidas Zero day, y a
la familia Stormshield Data
Security de proteccin de
datos, proporcionando seguridad de extremo a extremo
a las organizaciones frente a
las amenazas cibernticas.
Bsicamente, comprende
nueve appliances que cubren
todo el espectro de necesidades de seguridad, desde
la proteccin de los sistemas
frente a amenazas internas y
externas, hasta el control de
uso de estaciones de trabajo.
www.arkoon-netasq.com
noticias
novedades
Panda anuncia
GateDefender
eSeries 5.5
Panda Security mejora las
funcionalidades de su gama
de dispositivos de seguridad
perimetral integral Panda
GateDefender eSeries con el
lanzamiento de la versin 5.5.
Entre las novedades que presenta, sobresalen mejoras en
el asistente de configuracin,
nuevas opciones de monitorizacin de la red en tiempo real y una VPN robusta y
escalable de ltima generacin
que destaca por su capacidad de proporcionar mltiples
VPNs, permisos de acceso
muy granulares y una gran
escalabilidad. Tambin incluye
un nuevo control de aplicaciones capaz de reconocer y
bloquear ms de 170 utilidades como Facebook, Skype,
Spotify o WhatsApp para salvaguardar el negocio.
Por otro lado, ofrece la posibilidad de desplegarlo en
modo hardware, software o
virtual, en los tres casos con
conectividad flexible a travs de una nica y sencilla
interfaz, accesible en todo
momento gracias a la tecnologa cloud.
Finalmente, incluye la opcin
de monitorizacin en tiempo
real de la red, mediante una
intefaz intuitiva que permite
generar informes personalizados muy detallados.
www.pandasecurity.com
red seguridad
septiembre 2014
65
asociaciones
noticias
ISMS Forum organiza el IV Encuentro Cloud Security Alliance Espaa
Las instalaciones de CaixaForum Madrid acogieron por
segundo ao consecutivo el Encuentro anual de profesionales de la seguridad cloud organizado por el Captulo Espaol
de Cloud Security Alliance (CSA-ES), iniciativa de ISMS
Forum. Bajo el ttulo "Adoptando y Adaptando cloud en
un mundo global", medio centenar de expertos debatieron
sobre las ltimas novedades en materia de seguridad en el
entorno cloud, y el valor de la certificacin de proveedores
de servicios como primer paso para alcanzar la transparencia y la estandarizacin de metodologas y controles que
permitan una migracin segura a la nube.
El comienzo de las intervenciones corri a cargo de Luis
Buezo, presidente de CSA-ES, quien destac la gran adopcin que el entorno cloud est teniendo en nuestro pas y
puso sobre la mesa la obligacin por parte de la institucin de
realizar anualmente un estudio del
estado del arte de esta tendencia.
A continuacin, tom la palabra
Daniele Catteddu, director general
de CSA-EMEA, quien anunci que
en Europa varios estados miembros ya estn proponiendo esquemas de certificacin para servicios
cloud, algo sobre lo que tambin
se est avanzando en otros pases
como Estados Unidos, Singapur,
Tailandia o China.
66
red seguridad
septiembre 2014
16 octubre
Madrid
Hotel Husa
Princesa
c/ Princesa 40
Saln Rosales
(edificio el corte ingls)
Revista
Organiza
Patrocinan
copatrocinan
colabora
IIi S
C ongreSo n aCional
eguridad
P rivada
18 noviembre 2014
madrid. iFema
COLABORaN:
MINISTERIO
DEL INTERIOR
organizan:
GOBIERNO
DE ESPAA
de