Revista especializada en Seguridad de la Informacin

N 66 Septiembre 2014 poca II

LA ESTRATEGIA DE CIBERSEGURIDAD NACIONAL A EXAMEN

OCTAVO ENCUENTRO INTERNACIONAL DE SEGURIDAD DE LA INFORMACIN

LEN / 28-29 DE OCTUBRE, 2014

http://enise.inteco.es

www.redseguridad.com

editorial

El auge de la
ciberdefensa
Hace tan solo unas semanas, durante la clausura de la
Cumbre de jefes de Estado y de Gobierno de la OTAN
en Cardiff (Gales), su secretario general, Anders Fogh
Rasmussen, anunci que la ciberdefensa pasaba a considerarse un elemento central en la estrategia aliada. El
argumento es que un ataque ciberntico contra cualquiera
de los miembros de la Alianza podra tener una respuesta
colectiva de carcter militar.
La estrategia ciber, por tanto, ocupa ya un lugar destacado
en los planes de defensa de los pases que componen la
Alianza, aunque no se trata de algo totalmente nuevo. La
primera experiencia relevante se produjo durante las guerras
de los Balcanes, cuando en 1999 piratas informticos serbios
dejaron sin servicio el sitio web de la OTAN. Desde entonces,
la Alianza ha venido avanzando en su articulacin a travs de
sucesivas cumbres en las que ha ido perfilando su estrategia
hasta desembocar en la creacin del Centro de Excelencia
de Ciberdefensa de la OTAN a finales de 2008 en Tallinn
(Estonia), en cuya puesta en marcha particip Espaa; y en
la aprobacin en 2011 de la poltica de la OTAN en materia
de ciberdefensa, incluyendo objetivos, prioridades y un ambi
cioso plan de accin. Adems, tras la reunin en Bruselas de
los ministros de Defensa de los Estados miembros en octubre
del ao pasado para preparar los temas de la agenda de la
recin celebrada Cumbre de jefes de Estado y de Gobierno,
se inst a que todas las naciones aliadas desarrollaran sus
propias capacidades de ciberdefensa.
Afortunadamente, Espaa hace ya bastantes meses que
decidi dar un paso al frente en esta materia poniendo
en marcha en febrero de 2013 el Mando Conjunto de
Ciberdefensa (MCCD), como bien explica su comandan
te, Carlos Gmez Lpez de Medina, en la entrevista que
encontrar en pginas interiores. No obstante, el trabajo en
este mbito no era algo nuevo, puesto que tanto los tres
ejrcitos como el Estado Mayor de la Defensa (EMAD) y
el rgano Central del ministerio ya trabajaban en desarro
llar sistemas de defensa cibernticos para evitar posibles
ataques ante la proliferacin del uso de las nuevas tecno
logas y los sistemas de telecomunicaciones. En todos los
casos, el objetivo est muy claro: garantizar la integridad,
la confidencialidad y la disponibilidad de los sistemas de
informacin, as como la de las propias infraestructuras que
soportan la prestacin de servicios ampliamente utilizados
o que manejan informacin clasificada o sensible para los
intereses nacionales. Todo ello constituye uno de los mbi
tos de actuacin prioritarios de la Seguridad Nacional.
Por eso, podemos felicitarnos de tener actualmente un
equipo de cerca de 70 profesionales, que componen el
Mando Conjunto de Ciberdefensa, dedicados a velar por

la integridad de nuestras "fronteras cibernticas"; y que en

tan solo unos meses hayan conseguido alcanzar una mayor
eficiencia en este mbito, con una mejor y ms efectiva ges
tin de los recursos. Aunque, eso s, todava les quedan
muchos retos por delante, entre ellos el ms importante
es conseguir una capacidad operativa completa, algo
que se ha de articular en tres ejes: defensa, inteligencia y
respuesta, y sobre los cuales ya se desarrolla.
Hay otro aspecto sobre el que tambin este organismo est
haciendo mucho hincapi y que ayuda al trabajo del MCCD.
Se trata de la celebracin de ejercicios de ciberdefensa, en
colaboracin con otros estados. De hecho, el pasado mes
de mayo se realiz el ciberejercicio Locked Shields 14,
organizado por el Centro de Excelencia de Ciberdefensa
de la OTAN, en el cual particip Espaa con 30 expertos
en ciberseguridad procedentes de distintos organismos de
cuatro ministerios. El objetivo fundamentel es reforzar las
capacidades nacionales de respuesta ante ciberataques y
mejorar la coordinacin en el caso de una respuesta con
junta multinacional. Por eso, se desarrolla en tiempo real, en
un escenario ficticio y sobre unas infraestructuras contro
ladas que simulan las redes y servicios estratgicos de los
pases participantes. Sin duda, constituye un buen punto de
partida para evaluar el grado de preparacin frente a este
tipo de amenazas.
Pero a pesar del trabajo que Espaa ha estado haciendo en
trminos de ciberdefensa durante los ltimos meses, no nos
podemos quedar ah. Hay que continuar explorando nuevas frmulas eficaces para asegurar la integridad ciberntica del Estado. Incluso, desarrollando propuestas ima
ginativas y atrevidas como recientemente ha hecho Estonia.
Este pas es uno de los ms avanzados del mundo en ciber
defensa, despus de que en 2007 sufriera un ataque de
piratas informticos que puso en jaque las pginas web de
sus principales organismos pblicos y empresas. Estos
ciberataques motivaron que su Ejecutivo fuera uno de los
principales interesados en promover la defensa en la Red
como uno de los mbitos cruciales de la Seguridad Na
cional. Su ltima propuesta ha sido la creacin de un
sistema que permita una verdadera "nube estatal", que
haga posible gobernar el pas desde ella, incluso en
situaciones crticas. Es decir, la idea es poder seguir fun
cionando como un estado, incluso si su territorio ha sido
invadido. Para ello estn trabajando en la creacin de una
red de centros de datos en pases amigos en los que se
replicaran los sistemas electrnicos y los datos crticos que
permitan el correcto funcionamiento del pas en caso de
contingencia grave. Habr que esperar cmo evoluciona el
proyecto, pero es posible que el futuro siga ese camino.

red seguridad

septiembre 2014

sumario
32

editorial

entrevista
Carlos Gmez Lpez de
Medina

El auge de la
ciberdefensa

ciberseguridad internacional
Artculos de Marcos Gmez,
Carles Sol y Adolfo
Hernndez, y Samuel Linares

42

entrevista asociacin
Ramss Gallego
Vicepresidente Internacional de
ISACA

Comandante Jefe del Mando

Conjunto de Ciberdefensa

Especial Seg2
10

VI Encuentro de la
Seguridad Integral
Resilencia, un paso ms
alla de la convergencia

48

actualidad
8ENISE: La Estrategia
de Ciberseguridad
Nacional a examen

58

entrevista empresa
Emmanuel Roeseller
Director de Sistemas y
Tecnologa de Seguridad de IBM

22

patrocinadores
S21sec, Eulen
Seguridad, GMV y
Deloitte

CONSEJO TCNICO ASESOR

PRESIDENTE
Arjan Sundardas Mirchandani
Colegio Registradores

Joaqun Gonzlez Casal

Asociacin de Ingenieros
e Ingenieros Tcnicos en
Informtica (ALI)

VOCALES
Jos Luis Rodrguez lvarez
Agencia Espaola de
Proteccin de Datos (AEPD)

Vicente Aceituno Canal

Asociacin Espaola para la
Seguridad de los Sistemas de
Informacin (ISSA Espaa)

Jos Manuel de Riva

Ametic

Juan Muoz
ASIS Espaa

Guillermo Martnez Daz

Asociacin de Empresarios de
TIC de Andaluca (ETICOM)

Ignacio Gisbert Gmez

Confederacin Espaola de
Cajas de Ahorros (CECA)

Fermn Montero Gmez

Direccin General de
Economa, Estadstica e
Innovacin Tecnolgica de
la Comunidad de Madrid
Miguel Manzanas
Unidad de Investigacin
Tecnolgica (UIT) del Cuerpo
Nacional de Polica
scar de la Cruz Yage
Grupo de Delitos Telemticos
(GDT) de la Guardia Civil

Miguel Rego Fernndez

Instituto Nacional
de Tecnologas de la
Comunicacin (INTECO)
Antonio Ramos Garca
ISACA Captulo de Madrid
Gianluca D'Antonio
ISMS Forum Spain
Vicente Aguilera Daz
Open Web Application
Security Project (OWASP)
Jorge Rami Aguirre
Universidad Politcnica
Madrid (UPM)

CONSEJEROS
INDEPENDIENTES
Emilio Aced Flez
Toms Arroyo
Javier Moreno Montn
Javier Pags
Olof Sandstrom
PRESIDENTE DE HONOR
Alfonso Mur Bohigas

de

STAFF

Suscripcin anual:
50 euros (Espaa), 110 euros (Europa,
zona euro), 150 euros (resto pases)
Depsito Legal: M-46198-2002
ISSN: 1695-3991

Borrmart: Presidente: Francisco Javier Borred Martn. Presidente de Honor: Jos Ramn Borred. Directora general: Ana Borred.
Adjunto a la Presidencia y a la Direccin General: Antonio Caballero Borred. Publicidad: Marisa Laguna, Pedro Jose Pleguezuelos y
Paloma Melendo. Gestin y Control: Carmen Granados. Directora de Relaciones Institucionales: M Victoria Gmez.
Red Seguridad: Directora: Ana Borred. Redactor Jefe: Enrique Gonzlez Herrero. Colaboradores: Bernardo Valads,
David Marchal, Laura Borred, Leticia Duque Guerrero y Jaime Sez de la Llave. Maquetacin: Macarena Fernndez
Lpez y Jess Vicente Ocaa. Fotografa: Banco de imgenes Thinkstock/GettyImages. Diseo: Escria Diseo Grfico.
Suscripciones: M Isabel Melchor y Elena Sarri. Direccin Financiera: Javier Pascual Bermejo. Redaccin, Administracin
y Publicidad: C/ Don Ramn de la Cruz, 68. 28001 Madrid Tel.: +34 91 402 96 07 Fax: +34 91 401 88 74
www.borrmart.es www.redseguridad.com red@borrmart.es. Fotomecnica e impresin: Reyper.

RED SEGURIDAD no se responsabiliza necesariamente de las opiniones o trabajos firmados, no autoriza la reproduccin de textos e ilustraciones sin autorizacin escrita.
Usted manifiesta conocer que los datos personales que facilite pasarn a formar parte de un fichero automatizado titularidad de BORRMART, S.A. y podrn ser objeto de tratamiento, en los trminos previstos en la Ley Orgnica 15/1999, de 13
de Diciembre y normativa al respecto. Para el cumplimiento de los derechos de acceso, rectificacin y cancelacin previstos en dicha ley dirjase a BORRMART, S.A. C/ Don Ramn de la cruz, 68. 28001 Madrid.

thalesgroup.com

Soluciones de Seguridad
En cualquier lugar, cumplimos con lo importante

CONTROL DE FRONTERAS
Autenticacin de ciudadanos,
e-fronteras y vigilancia del territorio

CIUDADES INTELIGENTES
Infraestructura de informacin
centrada en el ciudadano
SEGURIDAD AEROPORTUARIA
Optimizacin de las operaciones
de seguridad cumpliendo con
los estndares OACI
SEGURIDAD URBANA
Deteccin inteligente combinada con
respuestas de las agencias de seguridad
CIBERSEGURIDAD
Proteccin activa de los sistemas
de informacin contra ataques
PROTECCIN DE INFRAESTRUCTURAS
Desde gestin de alarmas a
supervisin multiemplazamiento

A diario se toman millones de decisiones crticas en seguridad. En

Thales desarrollamos soluciones resilientes que ayudan a gobiernos,
autoridades locales y operadores civiles a proteger a ciudadanos,
datos sensibles e infraestructuras de amenazas complejas. Todo ello
aporta la informacin, los servicios, equipos y
controles necesarios permitiendo a nuestros clientes y
a los usuarios finales obtener respuestas ms eficaces
en entornos crticos. Juntos, en cualquier lugar
marcamos la diferencia con nuestros clientes.

ciberdefensa
entrevista

Carlos Gmez
Lpez de
Medina
Comandante Jefe del Mando
Conjunto de Ciberdefensa

Con una dilatada

trayectoria en el
Ejrcito del Aire, el
general de brigada

"El Mando Conjunto tiene como fin

lograr los propsitos de la Estrategia
de Ciberseguridad Nacional

Carlos Gmez Lpez

de Medina es el
primer responsable del
Mando Conjunto de
Ciberdefensa. Durante
su encuentro con Red
Seguridad, el militar
granadino abord
diversas cuestiones,
desde la puesta en
marcha de la unidad
que dirige hasta
las ciberamenazas
actuales; para
combatir a estas
ltimas, considera vital
la concienciacin y la
formacin.

red seguridad

Tx: E. Gonzlez y B. Valads

Ft: E.G.H.

- Cmo se estructuraba la ciberdefensa en Espaa antes de la

creacin del Mando Conjunto?
Qu motivos propiciaron su
puesta en marcha?
Las competencias relativas a la
ciberdefensa estn distribuidas
entre el Centro Criptolgico Nacional
(CCN) y los ministerios de Industria
a travs del Instituto Nacional de
Tecnologas de la Comunicacin
(Inteco), del Interior y de Defensa.
En el caso de este ltimo, el
Mando Conjunto de Ciberdefensa
se cre en febrero del ao pasado.
Pero, con anterioridad, tanto los tres
ejrcitos como el Estado Mayor de la
Defensa (EMAD) y el rgano Central
del ministerio trabajan en dicha
materia. Algo lgico si se tiene en
cuenta que en las Fuerzas Armadas
se vienen utilizando sistemas de
informacin y telecomunicaciones

septiembre 2014

desde hace muchos aos; por lo

tanto, ya haba una preocupacin
por la fragilidad de los mismos ante
las nuevas amenazas.
Todas las partes implicadas destinaron recursos econmicos y humanos para tal fin, pero se echaba en
falta un uso ms eficiente de los
medios disponibles y, sobre todo,
una mayor coordinacin. Esos fueron los motivos que propiciaron
la puesta en marcha del Mando
Conjunto de Ciberdefensa.
- Actualmente, cuntas personas operan en la unidad?
Contemplan ampliar la plantilla a
corto plazo?
El objetivo es finalizar el ao con un
equipo integrado por 70 personas
entre militares y civiles. A partir de
ah, nos gustara seguir contando
con ms profesionales, claro; pero,
de momento, la ampliacin de la
plantilla la estamos realizando desde
una perspectiva progresiva, razonable y realista. Hasta que se produz-

ciberdefensa

entrevista

En la Administracin Pblica existe numerosa

informacin apetecible para los ciberdelincuentes

can ms incorporaciones, estoy muy

satisfecho con quienes trabajan en
el Mando Conjunto de Ciberdefensa,
ya que poseen un elevado grado de
formacin.
- Qu objetivos han logrado
desde que est operativo el Mando
Conjunto de Ciberdefensa?
Sobre todo, una mejor gestin de
los recursos, ya que antes existan
numerosas duplicidades. Tambin
destacara que se ha alcanzado la
capacidad operativa inicial, lo cual
significa que desde el principio
tenamos medios, personal, instalaciones, etc. Y por lo que respecta
a nuestra actividad, entre las tareas
ms relevantes que llevamos a cabo
se encuentran la evaluacin y acreditacin de sistemas de informacin,
los anlisis forenses y los ciberejercicios, muy importantes para hacer
frente a posibles ciberataques. En
este apartado, hemos progresado
mucho en los ltimos meses.
- Una vez alcanzada la capacidad
operativa inicial, existe una hoja
de ruta definida?
Lgicamente, deseamos llegar a
lo que denominamos full operational capability: capacidad operativa
completa. Y para lograrlo, nos centramos en tres lneas o capacidades:
la defensa, lo que se conoce como
ciberseguridad; la explotacin, ms
relacionada con la inteligencia, saber
qu hace el adversario; y la respuesta, basada en el ataque al enemigo mediante distintos enfoques. En
cuanto a los plazos para alcanzar
esa capacidad operativa completa,
tenemos definidos los niveles y las
fechas para cumplir nuestros objetivos, pero, lgicamente, no pueden
ser de dominio pblico.
- Cules son las principales lneas
estratgicas que se han marcado
para lograr sus objetivos?
Al hilo de la respuesta anterior,
hemos fraccionado nuestros objeti-

vos a corto, medio y largo plazo. De

manera inmediata, consideramos
muy importante colaborar con el
Mando de Operaciones del EMAD
y el Centro de Inteligencia de las
Fuerzas Armadas (CIFAS). Y tambin mejorar el concepto de ciberseguridad entre los miembros del
Ministerio de Defensa; para ello,
es necesario concienciar, formar
y adiestrar al personal, algo que
estamos realizando en los tres ejrcitos junto al rgano Central del
ministerio.
Respecto a esto ltimo, consideramos que la colaboracin es
vital. As, ms all del mbito militar,
trabajamos con los ministerios del
Interior y de Industria, as como con
el Centro Nacional de Inteligencia
(CNI). Podra decirse que son nuestros partners ms cercanos y, de
hecho, participamos conjuntamente en jornadas especficas, mesas
redondas, etc.

de la UE, si bien no se destinan

muchos recursos econmicos a la
materia que nos ocupa, estamos
involucrados en algunas iniciativas
y proyectos.
- Tambin prestan atencin a la
colaboracin pblico-privada?
Por supuesto. Colaboramos con la
industria nacional solicitando soluciones que satisfagan nuestras
necesidades. Valoro mucho a las
empresas espaolas que se dedican a la ciberseguridad, creo que
desarrollan productos propios de
una gran calidad y hacemos todo lo
posible para potenciar su capacidad
porque, lgicamente, nos interesa a
ambas partes. Y tambin me merecen mucho respeto las universidades por su labor de I+D.

- Ya que se refiere a la colaboracin, la unidad coopera con

otros pases u organizaciones
internacionales en materia de
ciberdefensa?
S. Esta es una actividad que, a su
vez, se divide en dos: por un lado,
las relaciones bilaterales, que son
muchas y estrechas, con las fuerzas armadas de naciones aliadas y,
por otro, las que mantenemos con
la OTAN y la Unin Europea (UE).
Por ejemplo, el Mando Conjunto
es socio fundador del Centro de
Excelencia de Ciberdefensa de la
OTAN, ubicado en Tallin (Estonia) y
del que obtenemos muchos beneficios gracias a los ciberejercicios,
cursos de formacin, trabajos de
investigacin, etc. Y en el caso

El general de brigada Carlos Gmez,

dirige el Mando Conjunto de
Ciberdefensa desde enero del ao
pasado. Este rgano ha alcanzado ya
la capacidad operativa inicial.

red seguridad

septiembre 2014

ciberdefensa
entrevista

- En nuestro pas, cules son las

principales ciberamenazas actuales a tener en cuenta?
En la Administracin Pblica existe
numerosa informacin apetecible
para ciberdelincuentes que pueden ser contratados por terceros, algo, por otra parte, bastante
habitual. Debemos hacer frente a
ese peligro e incrementar el tipo
de respuesta si los ataques provienen de grupos organizados de
ciberterroristas e incluso de un
estado.
En el mbito corporativo, la principal preocupacin es, sin duda,
el robo de propiedad intelectual. Y
si nos referimos a la sociedad en
general, el ciberdelito, qu duda
cabe, est cada vez ms extendido.
En este sentido, creo que se debe
fomentar la cultura de la ciberseguridad entre los ciudadanos y
concienciarlos de los riesgos que
conlleva el uso de un ordenador o
dispositivo mvil.
- Qu opinin le merece la
Estrategia de Ciberseguridad
Nacional?
Creo que es un documento tan relevante como la Constitucin espaola. Marca una serie de lneas muy
importantes y refleja un principio
fundamental: mejorar la ciberse-

guridad en nuestro pas. Todos los

objetivos del Mando Conjunto, a
los que he hecho referencia anteriormente, persiguen alcanzar los
propsitos de la Estrategia y responden a algunas de las ocho
lneas de accin contempladas en
el documento. Una de ellas, como
ha quedado expuesto, es la relativa a la cooperacin internacional:
colaboracin con la OTAN, forta-

lecer las relaciones con naciones

aliadas, etc.
- Hay quienes manifiestan que la
III Guerra Mundial se est librando
ya y que la misma es de carcter
ciberntico. Est de acuerdo?
Me cuesta pensar en guerras exclusivamente cibernticas. Otra cosa es
que haya conflictos en los que exista
dicho componente. Les expongo un
ejemplo muy grfico y clarificador:
cuando en el siglo pasado entr en
combate la aviacin, significaba
que, a partir de entonces, las tropas
terrestres careceran de utilidad?
Obviamente, no. El tiempo demostr
que las dos divisiones tienen misiones distintas pero complementarias.
Ahora sucede lo mismo. Ninguna
fuerza es imprescindible y se acta
conjuntamente, pero hay un invitado
ms: la ciberdefensa. Y esta ltima
se debe tener muy en cuenta para
no ser dbil y vulnerable en dicho
mbito.

El jefe del Mando Conjunto de

Ciberdefensa dialoga con Ana
Borred, directora de Red Seguridad,
en uno de los momentos de la
entrevista.

red seguridad

septiembre 2014

especial seg2

encuentro de la seguridad integral

Resilencia, un paso ms
all de la convergencia

Tx: B. Valads/ D. Marchal/ E. Gonzlez. Ft: Francisco Lorente.

Desde hace algn tiempo se ha instalado un nuevo trmino entre

los profesionales de la seguridad: resiliencia. Pero, qu significa
esta palabra? Cmo se aplica a las organizaciones? Se trata de
una novedad o siempre ha estado presente? Preguntas como estas
se fueron despejando desde el minuto uno de la sexta edicin del
Encuentro de la Seguridad Integral (Seg2) organizado el 12 de junio, en
Madrid, gracias a ponentes de excepcin, que trasladaron opiniones y
planteamientos de todo tipo en torno a este concepto y otros muchos
asuntos relacionados con la convergencia en la seguridad.
Parece que fue ayer y, sin embargo,
ya han pasado seis aos desde que
Editorial Borrmart, a travs de las revistas Red Seguridad y Seguritecnia, decidiese poner en marcha el Encuentro
de la Seguridad Integral (Seg2). Ms
de un lustro que ha permitido conso-

10

red seguridad

lidar el evento y, no menos relevante,

convertirlo, como pretende su denominacin, en punto de encuentro anual
de unos profesionales que, tal y como
dejaron de manifiesto en su sexta convocatoria, tienen cada vez ms claro
que la seguridad del siglo XXI no se

septiembre 2014

puede concebir sin la convergencia.

Al igual que en la edicin anterior, el
Seg2 cont con el apoyo de los patrocinadores Deloitte, Eulen Seguridad,
GMV y S21sec, adems del respaldo de la Fundacin Borred y del
Instituto Nacional de Tecnologas de

resiliencia

especial seg2

encuentro de la seguridad integral

La editorial Borrmart, a la que pertenecen Red Seguridad

y Seguritecnia, agradeci a Gas Natural Fenosa su
colaboracin en el VI Encuentro de Seguridad Integral (Seg2) y
su compromiso con la seguridad. Ana Borred, directora de la
editorial, entreg una placa a Antonio Mojonero, responsable
de Security EMEA, y Jos Luis Moya, responsable de gobierno
de Security de la compaa.

la Comunicacin (Inteco). Y, como

novedad, en esta ocasin se celebr
en la sede madrilea de Gas Natural
Fenosa, en cuyo saln de actos se
dieron cita cerca de 200 expertos del
mbito de la seguridad.
Un proyecto compartido
En su alocucin de bienvenida a los
asistentes, Ana Borred, directora general de Borrmart, hizo hincapi en el
momento tan interesante y apasionante que vivimos: las estrategias
nacionales de Seguridad y Ciberseguridad, el Esquema Nacional o la Ley
de Proteccin de Infraestructuras Crticas se han elaborado en el idioma de
la convergencia y de la seguridad integral, ensalz.
Adems, aprovech la ocasin
para, una vez publicada la nueva
Ley de Seguridad Privada, animar
al mundo TIC a realizar propuestas
al Ministerio del Interior con el fin de
contribuir a elaborar y definir el reglamento del recin aprobado texto.
Desde la Fundacin Borred esta-

resiliencia

mos trabajando en ello, pero creemos

que hacen falta muchas ms iniciativas para ayudar a que ese desarrollo reglamentario sea lo ms positivo
posible para el sector de la seguridad
informtica.
A continuacin, en calidad de anfitrin y en representacin de Jos
Luis Bolaos, Director de Security
de Gas Natural Fenosa, tom la palabra Jos Luis Moya, quien, brevemente, resalt el trabajo que lleva a
cabo el departamento de Seguridad
de la compaa, para erradicar la siniestralidad laboral. Para ello, es vital la participacin de todos, desde
aquellos que forman parte del mbito
jerrquico hasta los propios trabajadores, apunt.
El turno de intervenciones de la inauguracin del encuentro lo cerr
Joaqun Castelln. El director operativo del Departamento de Seguridad Nacional comenz destacando el
lema elegido para la Estrategia aprobada en 2013, Un proyecto compartido, nada casual teniendo en cuenta

que en la proteccin del pas todos

los actores juegan un papel muy importante.
En este sentido, precis: la ciberseguridad es una prioridad para el
Gobierno. Cada da somos ms dependientes de las nuevas tecnologas y de un ciberespacio vulnerable. Por ello, en un ao se han realizado grandes avances: el impulso de
la Estrategia y de su correspondiente
Consejo de Ciberseguridad Nacional, la creacin del Mando Conjunto
de Ciberdefensa, el acuerdo entre
los ministerios del Interior e Industria
para que el Inteco atienda los incidentes relacionados con las infraestructuras crticas, la aprobacin de la
Agenda Digital.
En cuanto a los retos por afrontar,
Castelln explic que, bajo su punto
de vista, se debe incrementar la cultura de la ciberseguridad, enriquecer la colaboracin pblico-privada y
mejorar la coordinacin operativa, ya
que en Espaa somos pocos para
afrontar grandes problemas.

red seguridad

septiembre 2014

11

especial seg2

encuentro de la seguridad integral

Guillermo Llorente, director de

Seguridad y Medio Ambiente de
Mapfre.

Resiliencia?
Llegado el turno de las ponencias,
la primera de ellas corri a cargo
de Guillermo Llorente Ballesteros.
Comprometido con el Seg2 desde sus
inicios, el director de Seguridad y Medio Ambiente de Mapfre brome al citar el lema de la presente edicin
Nuevas convergencias. Resiliencia,
considerando a este ltimo trmino,
tan de moda en el mbito de la seguridad, un nuevo palabro.
Por qu utilizar expresiones tan
extraas para decir cosas que se podran explicar de forma ms simple?
Sin duda, se trata de un nuevo arcano. Antes tenamos otros: la gerencia de riesgos, la inteligencia competitiva Ahora es la resiliencia, reflexion.
Continuando con un tono crtico,
Llorente incidi en que la resiliencia
no es el Santo Grial, la pcima mgica que va a permitir a una empresa
solucionar todo lo relacionado con la
seguridad. Es ms: la Real Academia
Espaola (RAE) todava no ha definido qu es la resiliencia. Hay quien
habla de ella y se refiere a la flexibilidad y a la resistencia. Y esto es
algo nuevo? Proteccin, deteccin,
contencin, respuesta Es lo que
hemos hecho siempre, con diferentes mtodos, pero ahora lo denominan resiliencia.
Al hacer mencin a los mtodos, el
ponente puso como ejemplo de caso
prctico el simulacro de incendio de

12

red seguridad

uno de los edificios de la compaa.

Un ejercicio que, como suele suceder,
sirvi para extraer numerosas conclusiones. En el caso de las nuevas tecnologas, el responsable de Mapfre
desvel que aprendieron a saber gestionar servicios esenciales como el
correo electrnico, vital para garantizar la comunicacin. No se trata de
una cuestin balad, ya que, en situaciones as, al repasar los contratos, te
das cuenta de que quien te presta ese
servicio lo garantiza salvo en caso de
fuerza mayor, que es, precisamente,
cuando es ms necesario, ironiz.
Tras una didctica exposicin, Guillermo Llorente enlaz con el inicio
de su ponencia titulada, por cierto,
Resi qu? para volver a referirse
a la resiliencia. Insisto: no es algo novedoso, sino una palabra que, probablemente, define mejor lo que venamos haciendo y que muchos de los
asistentes a este Encuentro de la Seguridad Integral llevan muchos aos
poniendo en prctica para garantizar
el buen funcionamiento de sus organizaciones. En definitiva: proteger, detectar, minimizar, contener.
Ya en un turno de preguntas, consultado sobre cmo se lidera la integracin de la seguridad en una empresa como la suya, el representante
de Mapfre fue rotundo al explicar
que el primer requisito es creer en
lo que hay que hacer y querer asumir esa responsabilidad y ese riesgo.
S, se ha de ser especialista en algo,
en este caso de la seguridad, pero,
adems, tambin hay que poseer
una visin global de la compaa.
Igualmente, se debe tener la voluntad de adaptarse, saber aprovechar
las oportunidades que se presentan, porque el entorno es cambiante.
Y ya puestos, un poco de fortuna no
viene mal, porque por mucho que t
quieras vender seguridad, si tu interlocutor no desea comprar En
definitiva, se ha de mostrar que se
puede aportar valor aadido.
El CSO del futuro
Este fue el tema elegido por Juan
Muoz, Chief Security Officer (CSO)
de ENCE, para la siguiente ponencia.
Con su habitual discurso directo, y las
influencias anglosajonas que le caracterizan, el tambin presidente de
ASIS Espaa dibuj una evolucin de
la figura del CSO, cuya traduccin

septiembre 2014

Juan Muoz, Chief Security Officer

(CSO) de ENCE y presidente se ASIS
International-Espaa.

al espaol no es equivalente a director de seguridad. Eso es un gravsimo

error. El trmino chief (jefe) se aplica
a los responsables de mximo nivel de una organizacin, esto es, del
Consejo de Direccin. As pues, lo de
CSO no lo inventaron cuatro graciosos, ya que se trata de un estndar
escrito y publicado.
Respecto a la complejidad de dicho cargo en el mundo corporativo, Muoz reprodujo el prrafo de
un artculo publicado recientemente
en Security Management: Al mismo
tiempo que la seguridad contina
transformndose, pasando de ser
una funcin de apoyo a un elemento
crtico en la empresa, los profesionales de dicha funcin estn preparndose para adquirir conocimientos relacionados con las finanzas, la direccin, el liderazgo, el trabajo en equipo
y la mentalidad estratgica.
Queda claro, pues, que los profesionales de la seguridad han de estar
cada vez ms preparados en un contexto en el que la conocida convergencia ha dado paso a una segunda
fase que obliga a saber gestionar no
slo la seguridad integral, sino tambin los riesgos, la crisis y la continuidad. Sencillamente, porque las
empresas no estn dispuestas a pagar a varios empleados cuyas funciones son convergentes.
Ante una situacin as, el CSO del
siglo XXI, segn Muoz, ha de atesorar habilidades como tica y valo-

resiliencia

especial seg2

encuentro de la seguridad integral

res, el lenguaje de los altos ejecutivos, visin de negocio, capacidad de
crear equipos y de trabajar conjuntamente, habilidad poltica. Al respecto, record la celebracin de un
reciente curso en el que participaron cualificados profesionales; uno de
ellos le coment que en el mismo no
haba aprendido nada de seguridad.
De eso se trataba. Para enterarte de
cmo funcionan los extintores ya hay
otros foros, respondi el representante de ASIS en nuestro pas.
Y es que, de manera especial, para
Juan Muoz el CSO del futuro o
mejor, del presente? ha de estar
muy preparado desde el punto de
vista de la formacin y la certificacin. En el caso de Espaa, ms all
de los Pirineos se sabe lo que es el
Certificado de Proteccin Profesional
(CPP), pero aqu parece que la gente
todava no se quiere enterar. Algo
que, entre otras cuestiones, ha dado
lugar a que los headhunters tengan
problemas para encontrar personas
con el perfil del CSO.
Adems, al igual que Guillermo Llorente, Muoz se refiri al trmino resiliencia, nada nuevo, por otra parte,
en ASIS International Marc Siegel,
experto en estndares de la entidad,
aludi al mismo en repetidas ocasiones durante su intervencin en el V
Congreso de Directores de Seguridad organizado por Seguritecnia.
As, el CSO de ENCE defini el palabro como la claudicacin de Occidente. Lo que sucede con la resiliencia es que la sociedad y la cultura de
nuestros das son incapaces de hacer frente y gestionar los riesgos a los
que se enfrentan.
Sin distinciones
A continuacin, le lleg el turno a
Andreu Bravo, Chief Information Security Officer (CISO) de Gas Natural Fenosa, con una ponencia titulada Seguridad integral. La evolucin
de las especies. Durante su intervencin, el directivo hizo un repaso del
concepto de seguridad integral y su
evolucin en tres fases: pasado, presente y futuro.
En el primer caso, la seguridad se
dise con el fin de combatir amenazas cuyo xito dependa del conocimiento del objetivo y del entorno, de
la preparacin de los atacantes, de la
oportunidad y, sobre todo, de las po-

14

red seguridad

Andreu Bravo, Chief Information

Security Officer (CISO) de Gas
Natural Fenosa.

sibilidades de huida. Por eso, el objetivo de las defensas era proteger el

permetro, detectar amenazas, investigar y capturar y corregir y mejorar,
coment.
Sin embargo, en el presente las
tcnicas de ataque han evolucionado, sobre todo debido al papel
cada vez ms importante de las Tecnologas de la informacin, las cuales, en palabras de Bravo, han eliminado el factor geogrfico. Por tanto,
la huida ya no preocupa tanto. De hecho, ni siquiera se planifica. El resultado de usar las TI es que los ataques han cambiado y se han multiplicado. Se reducen los costes, se
incrementan los actores involucrados, se apuntan a los eslabones ms
dbiles, que son las personas, y son
dirigidos, coordinados, complejos y
profesionalizados, afirm Bravo.
Pero, al fin y al cabo, para el directivo siguen siendo ataques contra la
integridad de las empresas o las personas. Por tanto, no debera haber
distinciones entre seguridad fsica y
lgica, sino que tendramos que hablar de seguridad integral. El lenguaje no tiene que ser una barrera
para integrarnos. Podemos hablar
distintos lenguajes, pero la realidad
sigue siendo la misma. Por eso hay
que aunar esfuerzos, y ms en estos
tiempos de crisis, coment.
Esto es, por ejemplo, lo que ya
est haciendo Gas Natural Fenosa,
en donde se han dado cuenta de

septiembre 2014

que ya no es suficiente con una conexin entre seguridad fsica y lgica. Si queremos ser eficientes tenemos que trabajar unidos, puntualiz. De hecho, la organizacin ha
creado una nueva rea, que depende
directamente de la direccin general, denominada Security, y cuyo fin
es la proteccin de las personas, los
activos y los procesos de la compaa. A travs de ella establecemos toda la estrategia y tctica de
seguridad de la empresa y llevamos
a cabo las funciones operativas crticas, desvel el directivo. Por este
motivo, han estructurado la divisin
en reas transversales, con grupos
de trabajo mixtos e interlocutores nicos: Proteccin de infraestructuras
crticas, Crisis resilience, Prevencin
e investigacin del fraude y Security
intelligence.
ste es el camino que, segn
Bravo, las empresas deben seguir en
el futuro, unificando la seguridad bajo
un mismo paraguas, puesto que las
amenazas seguirn avanzando y perfeccionndose, tanto en el mundo fsico como en el lgico. De ah que
sea imprescindible compartir informacin y cooperar entre todos en las
investigaciones y en los incidentes.
En este sentido, el CERT debe actuar de forma unificada y coordinada
para tal fin.
Papel del CERT
Precisamente, para tratar la funcin y
misin del CERT de Seguridad e Industria (CERT SI), asisti a la jornada
Miguel Rego, director del Instituto
Nacional de Tecnologas de la Comunicacin (INTECO). En concreto,
el CERT SI es la marca a travs de
la cual se facilitan los servicios de ciberseguridad para contribuir a la resiliencia nacional, afirm. Naci fruto
de la colaboracin pblica-pblica a
travs del convenio entre las Secretaras de Estado de Seguridad (SES)
y de Telecomunicaciones y para la
Sociedad de la Informacin (SETSI),
y es operado por INTECO. Entre sus
cometidos se encuentra la prevencin, la alerta temprana y la sensibilizacin tanto de empresas como de
los ciudadanos. Sin duda, se trata de
una tarea fundamental, porque, segn Rego, los incidentes continan
aumentando. Aport un dato importante en esa lnea: de todos los pro-

resiliencia

especial seg2

Miguel Rego, director del Instituto

Nacional de Tecnologas de la
Comunicacin (INTECO).

ducidos entre enero y mayo de 2014

el mayor porcentaje (32%) corresponde al malware, mientras que el
31% equivale a las vulnerabilidades.
A continuacin, el directivo se detuvo en explicar algunas de las acciones que estn llevando a cabo a travs del CERT de Seguridad e Industria tanto en el mbito empresarial
como de los ciudadanos. En el primer caso, estamos poniendo el foco
en las pymes con el objetivo de que
los servicios del CERT sean generadores de demanda, explic. Para ello
realizan una labor de sensibilizacin y
diagnstico mediante servicios gratuitos para las empresas. En el mbito de los ciudadanos, van a poner en marcha el portal de la Oficina
de Seguridad del Internauta. Queremos desarrollar una labor de alerta y
concienciacin para los ciudadanos
que no tienen formacin ni conocimientos, afirm. Lo harn mediante
la integracin de servicios como Conan Mobile, una herramienta gratuita
para Android que hace recomendaciones sobre la configuracin de seguridad y riesgo de los mviles y tabletas; o un servicio antibotnet con
kits de desinfeccin e informacin sobre cmo evitar las redes de ordenadores usados de forma remota para
lanzar ataques. Por otra parte, este
organismo tambin pondr al alcance
de las Fuerzas de Seguridad del Estado la herramienta Evidence Detector, que facilita el anlisis automati-

resiliencia

encuentro de la seguridad integral

zado en investigaciones de ciberdelitos, especialmente de la pedofilia.

Para finalizar su intervencin, Rego
se refiri a cmo el CERT de Seguridad e Industria ayuda a la ciberresiliencia a travs de un catlogo de
servicios como la respuesta a incidentes, la deteccin proactiva o la
alerta temprana. Asimismo, hizo hincapi en la importancia de la celebracin de los Ciberejercicios 2014, que
se celebrarn en septiembre y octubre, en los que se realizan simulacros de incidentes y que ya cuentan
con 18 operadores estratgicos involucrados. Por ltimo, el directivo mencion la propuesta de realizar un primer estudio sobre la construccin
de un marco integral de indicadores
de resiliencia para empresas y administraciones, lo que permitira medir
el grado de madurez nacional.
Estndares de gestin
Con la ponencia titulada Estndares de gestin en seguridad integral
se dio paso al director de Seguridad y presidente de la Asociacin
de Directivos de Seguridad de Cantabria (ADISCAN), Jos Manuel Garca Diego, para hablar de la seguridad como concepto. En primer lugar,
el directivo quiso reivindicar el papel
de los legisladores en este entorno.
Y es que, como afirm durante su intervencin, los empresarios no tienen una cultura de la seguridad ni de
los riesgos. Eso nos ha obligado a
los profesionales a apoyarnos fuertemente en los legisladores. Ellos han
sido los mejores aliados de la seguridad, coment para despus pasar a hablar de la Ley 5/2014 de Seguridad Privada. En ella se introducen
conceptos importantes como el de la
seguridad integral, la eficacia, la organizacin, la planificacin, la seguridad organizativa y la informtica, y
se menciona la imposicin reglamentaria de la garanta de calidad de los
servicios.
Si bien antes la seguridad era considerada un producto, similar a hombre/pistola, y con la entrada de las
TIC empez a considerarse un departamento, dependiente de la evolucin tecnolgica, hoy hablamos de
seguridad como proceso, como parte
de la direccin estratgica de una
empresa, que se gestiona con unos
objetivos, estndares, etc., explic el

Jos Manuel Garca Diego, presidente

de la Asociacin de Directivos de
Seguridad de Cantabria (ADISCAN).

directivo. Ahora bien, las organizaciones deben mejorar el modelo de madurez de la seguridad, que se puede
estandarizar a travs de cinco supuestos: medidas de seguridad, departamento de seguridad, plan de seguridad, sistema de gestin estandarizada y modelos de excelencia. Cada
empresa se puede situar en cada
una de estas etapas; pero, para Garca Diego, lo ideal sera estar entre el
cuarto y el quinto supuesto.
Durante su ponencia, el directivo
tambin mencion los dos puntos de
vista sobre los cuales se ha de contemplar la seguridad: estratgico y
complementario. El primero pretende
preservar la indemnidad de las personas y la continuidad del negocio
siendo respetuosa con los stakeholders. Por su parte, el segundo, que
se conoce como 3G (Gate, Gun and
Guard), es una seguridad de cumplimiento. Aqu la seguridad no se gestiona, slo se administra, est basada
en medidas y es ajena al riesgo. Las
organizaciones deben tender hacia un modelo como el primero. Es
esencial una visin estratgica de
la seguridad, afrontar de manera integral la gestin del riesgo y utilizar
para ello metodologa, apunt.
A continuacin, el directivo se centr en analizar qu son los sistemas
de gestin de la seguridad, clave para
aplicar el primer modelo, y que se definen como la parte de sistema de
gestin general basado en un en-

red seguridad

septiembre 2014

15

especial seg2

encuentro de la seguridad integral

foque de riesgo empresarial que se
establece para la creacin, implementacin, control y revisin de la
seguridad. Incluye la estructura organizativa, las polticas, las actividades, las responsabilidades, las prcticas, los procedimientos, los procesos y los recursos. Y dentro de los
sistemas de gestin de la seguridad
hay varias familias y estndares, que,
aunque no son la panacea, s son un
compaero imprescindible para saber
qu es lo que hay que hacer en cada
caso, aadi.
Seguridad en puertos
Durante la siguiente conferencia tambin se abord el tema de la seguridad integral. En esta ocasin, Enrique Polanco, socio director de Global Technology 4E, se refiri al hecho
de que, ante situaciones excepcionales, las autoridades deben activar el
plan de alerta de ciberseguridad de
forma paralela a la seguridad fsica,
puesto que no se pueden separar
ambos cuando es preciso enfrentarse
a amenazas reales y globales. As, de
hecho, sucedi con la proclamacin
de Felipe VI, lo que a ojos de Polanco
es un hecho altamente loable.
Por desgracia, continu, es muy
difcil encontrar en los planes de seguridad de cualquier empresa que,
ante un evento de especial relevancia (como junta de accionistas, previsin de huelgas o manifestaciones,
etc.), se incluya entre los procedimientos de seguridad habituales algunos como cambiar las contraseas de los dispositivos de seguridad
y comunicaciones, comprobar el estado de aplicacin de las polticas de
seguridad informtica, reforzar la seguridad de las VPN de trabajo o restringir temporalmente el uso de determinados dispositivos altamente vulnerables. Eso s sera una verdadera
convergencia, puntualiz.
Y es que, para el directivo, todos
los elementos crticos de seguridad
fsica reposan sobre tecnologas IP
conocidas y con herramientas al alcance de todos para vulnerarlas. Me
gustara que se generara una simbiosis; es decir, se unieran fuerzas para
conseguir una meta de intereses comunes. Hay que pensar en procesos
de inicio a fin. Precisamente, esta
afirmacin sirvi para dar paso a David Gonzlez, director de Sistemas

16

red seguridad

Enrique Polanco, socio director de

Global Technology 4E.

de Informacin de la Autoridad Portuaria de Tarragona, quien ya est llevando a cabo esta simbiosis entre la
polica portuaria y el departamento
de Sistemas. En la Autoridad Portuaria de Tarragona estamos totalmente
convencidos de la absoluta necesidad de actuar de modo convergente
en materia de seguridad, al igual que
sabemos que as lo har cualquier
posible atacante, afirm durante su
intervencin. De hecho, el Sistema de
Monitorizacin Avanzado (SIMA) instalado en el puerto, que acta sobre
los sistemas de informacin (incluidos todos los dispositivos de seguridad conectados por IP), detecta las
amenazas que se materializan y demuestra su utilidad de forma simbitica para todos los departamentos de
la organizacin.
Y esta forma de actuar es extrapolable a todas las empresas, que deben crear un equipo multidisciplinar
en el que tanto el departamento de
TI como los CIO tienen mucho que
aportar. Los CIO deben aprovechar
la oportunidad actual de co-creacin de los nuevos sistemas de gestin de la seguridad y participar activamente junto con los directores de
seguridad integral. Ahora bien, para
Gonzlez, no se trata de quitar competencias de un departamento y drselas a otro, sino de organizarse para
aportar lo mejor de cada uno. Se
puede delegar parte de la gestin de
la seguridad lgica en el director de

septiembre 2014

David Gonzlez, director de Sistemas

de Informacin de la Autoridad
Portuaria de Tarragona

Seguridad Integral, aunque sin perder

el control sobre esa seguridad, que
obviamente deben ejercer los dueos de cualquier tipo de activo, manifest.
Durante su intervencin, el invitado
tambin advirti de que la consumerizacin (la aparicin de nuevas tecnologas de la informacin que llegan primero al mercado generalista y
luego se propagan a las organizaciones) de las herramientas de explotacin de vulnerabilidades es un problema candente.
Cooperacin e interaccin
Para que las compaas sean capaces de alcanzar capacidad de resiliencia es fundamental que exista una
cooperacin global y multidisciplinar
entre los actores, no slo de una organizacin sino de todo un sector.
Esa es la idea que defendi en su
ponencia Pedro Pablo Lpez, gerente de GRC & PIC (Gobierno, Riesgos y Compliace & Proteccin, Infraestructuras y Continuidad) de Rural
Servicios Informticos (RSI). Internet
ha hecho el mundo pequeo y, por
ende, aporta valor y eficiencia; pero
nos dice que el riesgo es tambin
mucho ms grande, exponencial, razn por la cual la apuesta por la interoperabilidad es esencial en la continuidad, las emergencias, la gestin
de crisis y la resiliencia organizacional, advirti el ponente.
Segn explic Lpez, la resiliencia de

resiliencia

especial seg2

encuentro de la seguridad integral

Ana Borred, directora general de la editorial Borrmart, escucha la ponencia de

Pedro Pablo Lpez, gerente de GRC & PIC de Rural Servicios Informticos (RSI).

los negocios y los servicios debe estar

apoyada bsicamente en la capacidad
de recuperacin de las infraestructuras, las tecnologas, la informacin y las
personas. Pero, sobre todo, desde su
punto de vista la principal herramienta
para que una organizacin alcance esa
capacidad es la cooperacin, incluso
con otros actores que forman parte de
su competencia.
Tomando como referencia la resiliencia aplicada a las personas, defini el concepto como la capacidad de los sujetos a sobreponerse
a periodos de dolor emocional, situaciones adversas, incluso saliendo
fortalecido de los mismos. Esta explicacin se puede extrapolar a las
organizaciones, afirm. Razn por
la cual Lpez considera al individuo
como el centro de la resiliencia, porque el concepto parte mucho del
sentido comn de las personas que
gestionan cada una de las labores
que se les encomienda cada da.
El representante de RSI apunt algunas claves para que una compaa tenga capacidad de resiliencia.
Seal que es necesario que exista
una relacin entre los grupos de inters de la empresa, es aconsejable
definir un proceso global de proteccin y asignar responsables, es vital
definir un Plan de Comunicacin y un
protocolo de respuesta ante sucesos,
y es una buena prctica crear una
cultura de resiliencia mediante la concienciacin, divulgacin, formacin
y entrenamiento en la materia. Adems indic la necesidad de compar-

18

red seguridad

tir una terminologa, conceptos definidos claramente y poner los riesgos

en un orden, desde los ms frecuentes hasta los ms remotos.
Lpez se detuvo tambin en dos
factores fundamentales en relacin con
las preocupaciones de las organizaciones: la dimensin y el tiempo. En contra del concepto de hace un siglo,
cuando las amenazas estaban ms
acotadas espacialmente y exista ms
tiempo de respuesta, hoy es importante que las compaas cambien de
paradigma en sus procesos y protocolos, adaptndolos a la realidad actual
de amenazas globales e inmediatas.
Como conclusin, el representante
de RSI consider que las organizaciones necesitan aplicar medidas estratgicas (legales, divulgativas, informativas, formativas, organizativas,
operativas) y otras de tiempo (preventivas, de deteccin, respuesta, investigacin y forenses) para conseguir
alcanzar la resiliencia. A lo que se
aade el liderazgo, la coordinacin y
la gestin de los riesgos. Tambin se
refiri a la conveniencia de aplicar la
regla de las cinco C: cooperar, coordinar, comunicar, colaborar y compartir. A las que l sum la necesidad
de controlar, aceptar el cambio y tener un compromiso con la proteccin
de la organizacin.
Infraestructuras crticas
Uno de los mbitos en el que la resiliencia cobra su mayor expresin de
necesidad es el de las infraestructuras
crticas de un pas, aquellos servicios

septiembre 2014

Jos Ignacio Carabias, jefe del Servicio

de Seguridad Fsica del CNPIC.

esenciales para el funcionamiento de

la sociedad. En Espaa, la Comisin
Nacional para la Proteccin de las Infraestructuras Crticas acaba de aprobar los cinco primeros Planes Estratgicos Sectoriales (PES), que abarcan
los sectores de la energa (que se ha
dividido en electricidad, gas y petrleo), el nuclear y el financiero.
Jos Ignacio Carabias, jefe del Servicio de Seguridad Fsica del Centro
Nacional para la Proteccin de las Infraestructuras Crticas (CNPIC), explic
a los asistentes al Seg2 algunas de las
claves de estos planes, que han tardado dos aos en ver la luz desde la
aprobacin de la Ley para la Proteccin de las Infraestructuras Crticas
(Ley PIC) y su Reglamento de desarrollo. Ese tiempo no ha sido ms corto
debido a la complejidad para coordinar
las 180 reuniones que se han llevado a
cabo con la participacin de unas 80
personas en cada una, entre representantes de ministerios, organismos reguladores y operadores, segn explic el
representante del CNPIC.
Los cinco primeros PES son la
avanzadilla de los otros siete que tendrn que ver la luz en adelante, hasta
completar los 12sectores estratgicos que establece la Ley PIC. Los
prximos, cuyos trabajos comenzarn despus del verano, sern los
del transporte que se dividir en areo, martimo, carretera y ferroviario,
agua y tecnologas de la informacin
y las comunicaciones, segn anticip
Carabias.
El jefe del Servicio de Seguridad

resiliencia

especial seg2

Fsica del CNPIC explic que los PES

son: un instrumento de estudio y
planificacin que nos debe permitir conocer cules son los servicios
esenciales de un sector, cul es el
funcionamiento de los mismos, cules son las vulnerabilidades y amenazas del sistema, y calcular las posibles consecuencias potenciales de
la inactividad de alguno de ellos. A
partir de esa base se plantean medidas de carcter estratgico importantes y necesarias para el mantenimiento de dicho sector, aadi. Estos planes son de carcter
confidencial y sern revisados cada
dos aos, o de manera puntual si se
considera necesario.
Tal y como explic Carabias, los
PES estn estructurados en cuatro
captulos. El primero de ellos es el
de normativa, cuyo objetivo es establecer una base normativa y legal, determinar cul es la principal
normativa de aplicacin en el sector, y evitar incompatibilidades y
duplicidades.
El segundo aborda la estructura y
funcionamiento del sector. En l se
ayuda a identificar cules son los
servicios esenciales en cada uno de
los sectores, cmo se organizan y
funcionan, y se ha establecido una
segmentacin en cuanto a la tipologa de infraestructura. Adems se
han identificado los principales operadores estratgicos y se ha creado
un mapa de interdependeicncias, ya
que muchas de las infraestructuras
de un sector dependen de otros.
El tercer captulo se central en el
anlisis de riesgos, donde se identifican los activos que deben tener
una especial atencin. Sobre ellos
se han indicado las amenazas, las
vulnerabilidades y recomendaciones
para la gestin de los riesgos.
Finalmente, el captulo cuarto recoge las medidas a adoptar desde
el punto de vista organizativo y tcnico. Como explic el representante
del CNPIC, estn dirigidas a gestionar las capacidades operativas
de respuesta dirigidas a la prevencin y la reaccin y mitigar las consecuencias en caso de que se pudieran producir los diferentes escenarios identificado.
Carabias aport tambin algunas
conclusiones de carcter general en
torno a cada uno de los PES apro-

resiliencia

encuentro de la seguridad integral

bados en junio. Sobre el de Electricidad, destac la importancia de

contar con un sistema mallado de
la red dado que la electricidad no se
puede almacenar. Los trabajos en
este plan se han basado en la generacin, el transporte, la distribucin, y operacin y el control del sistema. Acerca de este ltimo punto,
asegur que es uno de los mbitos
ms importantes, dado que desde
ah se gestiona todo el sistema de
electricidad.
En cuanto al PES del Gas, el principal objetivo es que se garantice la
continuidad del servicio, por eso se
ha determinado la obligatoriedad de
la asistencia mnima del suministro
durante 20 das y la diversificacin
para optar y hacer llegar el gas a
todo el territorio nacional, asegur el
representante del CNPIC. Uno de los
principales aspectos que destac en
torno a esta fuente de energa es la
enorme dependencia de Espaa respecto al extranjero. Por ello subraya
la importancia del almacenamiento,
especialmente el subterrneo, y el
proceso de regasificacin.
En tercer lugar, el PES del Petrleo pone nfasis igualmente en el suministro y el almacenamiento por la
dependencia espaola del exterior.
Los depsitos y reservas de petrleo
tienen que estar en todo momento
disponibles para el Estado, advirti Carabias, por si se repiten casos
como la Guerra del Golfo en el que
el pas tuvo que recurrir a ellas. Tambin destac la criticidad de la descarga de los buques en las bocanas
de los puertos espaoles.
El PES Nuclear se ha dividido en
dos subsectores, el nuclear y el radiolgico. El primero est enfocado a la proteccin de los ciudadanos ante la posibilidad de emisiones contaminantes o la extraccin
y fabricacin de elementos combustibles procedentes del uranio.
Igualmente, una de las amenazas
identificadas ser la utilizacin de
materiales radiactivos para la comisin de atentados terroristas. En
cuanto al subsector radiolgico, Carabias indic que se refiere a las instalaciones que albergan fuentes de
categora 1, en las que se ha identificado la posibilidad de sustracciones
como principal vulnerabilidad.
El jefe del Servicio de Seguridad

Fsica del CNPIC finaliz su intervencin con el quinto PES, el Financiero, que se ha dividido en cuatro mbitos: servicios y sistemas de
pago, crdito y liquidez, ahorro e inversin y seguros. Entre las vulnerabilidades identificadas, relacionada
con el primero de estos mbitos, se
encuentra el fallo del sistema de pagos al por menor, que podra producir efectos en la economa real y
tener repercusin en la confianza de
los ciudadanos.
Nueva ley
La nueva Ley de Seguridad Privada
(5/2014) ha incluido a la seguridad
informtica como una actividad
compatible de este sector. Esto ha
suscitado opiniones de todo tipo
respecto a al alcance de la ley en
torno a la proteccin de las tecnologas de la informacin y las comunicaciones. Antonio Ramos, presidente de ISACA Madrid, analiz
los principales puntos de la nueva
norma que afectan a la seguridad
de la informacin y formul algunas
propuestas de cara al nuevo Reglamento de Seguridad Privada, que
afectar tambin a empresas tecnolgicas y organizaciones usuarias de servicios y soluciones de
este tipo.
El primer artculo en cuestin fue
el 6.6 que afecta a las empresas,
sean o no de seguridad privada, que
se dediquen a las actividades de seguridad informtica, entendida como
el conjunto de medidas encaminadas [] para garantizar la calidad de
los servicios que presten. El ponente
se pregunt a qu servicios se refiere este precepto, ya que, para l,
en este caso, en el entorno fsico y el
lgico lo nico que cambian son las
herramientas.
Como propuesta para garantizar la
calidad de las medidas de seguridad
informtica, Ramos plante la verificacin por parte de terceros del sector privado. Hasta ahora tenemos un
escenario en el que la verificacin de
las medidas la hace la propia Administracin. Pero si hay un sector [privado] que se dedica a ello, por qu
no les confiamos que hagan auditoras?, expres.
Por otro lado, indic que, aunque
la ley impone medidas a los proveedores de seguridad informtica,

red seguridad

septiembre 2014

19

especial seg2

encuentro de la seguridad integral

Antonio Ramos, presidente de ISACA

Madrid.

habra que exigir tambin este tipo

de proteccin a los proveedores de
servicios de seguridad tradicional,
como por ejemplo, a los transportes de fondos. No sigamos separando lo que no es separable, estamos en un mundo tecnificado, defendi Ramos.
En relacin con el mencionado
ar tculo, el presidente de ISACA
Madrid se mostr reacio a la verificacin de las medidas y niveles de
seguridad a travs de las certificaciones. l apuesta ms por las calificaciones de seguridad que evalen esas medidas distinguiendo el
tipo de usuario y nivel de riesgo.
Ramn se detuvo tambin en el
artculo 47.3, que indica que las seales de alarmas deben ser puestas en conocimiento del rgano
competente. Sobre este asunto,
matiz que en el entorno ciberntico no existen las alarmas como
tal sino los incidentes. En esa lnea se pregunt: Qu se notifica entonces?, a lo que aadi
otras pregunta: Quin va a venir
cuando yo enve una alarma de mi
SOC?.
El ponente propuso que se notifiquen los intentos de entrar en los sistemas como solucin al primer problema, y la creacin de una ventanilla nica en la Administracin a la que
puedan recurrir los usuarios cuanto
sufren un incidente para la segunda
cuestin. Luego que sea la Administracin la que decida la responsabilidad de hacerse cargo de ello, aadi.

20

red seguridad

O tro a r tcu l o d e stac ad o pa ra

Ramos es el 52.1, que seala, en
torno a las medidas de seguridad
informtica, que las caractersticas, elementos y finalidades de las
medidas de seguridad de cualquier
tipo, quien quiera que los utilice, se
regularn reglamentariamente [],
en cuanto a sus grados y caractersticas. Sobre este precepto advirti: como digamos que el control de accesos es una medida de
seguridad informtica, toda empresa que tenga usuario y contrasea pasa a estar regulada por la
Ley de Seguridad Privada, advirti. De ah que, desde su punto de
vista, en funcin del riesgo, habr
que adoptar unas medidas de seguridad u otras.
Ciberseguridad industrial
Antes del cierre de una nueva edicin del Seg 2, Javier Larraeta,
s e c re t a r i o g e n e r a l d e l a Pl at afor ma Te cnolgic a Espa ola de
S e gu r id ad Industr ia l (PESI), exp l i c l o s p roye c to s e n l o s q u e
par ticipa su organizacin. Segn
explic antes, la razn de ser de
la Plataforma es crear un foro de
colaboracin fundamentalmente
privado como rgano consultivo
para la innovacin y desarrollo en
la seguridad, en cuatro reas de
despliegue: seguridad de procesos e instalaciones, seguridad y
salud en el trabajo, seguridad ambiental y seguridad corporativa de
la empresa.
Larraeta considera que uno de
los aspectos importantes dentro de
este campo en lo que a I+D se refiere es trabajar de manera cooperativa. La Comisin Europea ha
planteado desde esa perspectiva el
nuevo programa marco Horizonte
20+20 y ha definido un rea de trabajo distinta que no exista como
tal, llamada Sociedades Seguras,
apunt.
El se cretar io ge ne ral de PESI
seal algunos de los proyectos
puestos en marcha en los dos ltimos aos dentro de Europa, en
los que ha par ticipado la Plataforma, relacionados con la ciberseguridad industrial. Destac dos
programas sobre la innovacin de
los servicios de seguridad (INNOSEC e INSEC), tanto de los ope-

septiembre 2014

Javier Larraeta, secretario general de

la Plataforma Tecnolgica Espaola de
Seguridad Industrial (PESI).

radores como de las empresas de

seguridad, que se han promovido
desde Espaa.
Asimismo, puso el acento en el
trabajo de los laboratorios INGRID,
pertenecientes a Tecnalia, que son
los ms avanzados de Europa y el
segundo del mundo en ciberseguridad en Smart grid y Smart meters.
Tambin mencion la creacin del
Centro de Ciberseguridad Indrustrial
(CCI) y el Proyecto PSOPHIA sobre
el factor humano de la seguridad de
los operadores de infraestructuras
crticas.
Para finalizar, Larraeta traslad
el inters de la PESI en que haya
ms representantes espaoles en
el grupo de trabajo sobre seguridad integral creado en el entorno
de la Unin Europea, que est liderado por Espaa. Invit a los
asistentes a marcar las pautas
y desarrollar proyectos con otros
socios europeos en temas de innovacin y desarrollo tecnolgico
en el mbito de la seguridad a
travs de la participacin en ese
foro.
No hubo tiempo para ms en el
VI Encuentro de la Seguridad Integral, que abord la proteccin de
las organizaciones desde diferentes perspectivas. Todas ellas con
una palabra que cada da est cobrando ms importancia para las
organizaciones, resiliencia, sin la
que la seguridad no cobrara todo
su sentido.

resiliencia

especial seg2

encuentro de la seguridad integral

INTERVENCIN FIRMAS PATROCINADORAS

Resiliencia y ciberseguridad
Juan Antonio Gmez Bule, presidente del Consejo Asesor de S21sec, expuso su
particular visin del trmino de moda en el mundo de la seguridad y, en relacin con
el ciberespacio, alert de que va ms all de lo tecnolgico.

Para Juan Antonio Gmez Bule,

presidente del Consejo Asesor de
S21sec, el trmino resiliencia es comparable a la expresin ancestral si
caes siete veces, levntate ocho. O,
interpretando cierto refrn japons,
por muchas veces que te caigas,
levntate y nunca te rindas.
Gmez Bule alert de la necesidad de generar una sociedad
resiliente, con valores, que tenga
capacidad de prevencin, de reaccin, de poder identificar dnde
est y hacia dnde va. Y eso no
es excluyente de las personas, las
empresas o los estados. Es una
forma de pensamiento y de estar en
el mundo. Resiliente es ser capaz
de identificar los riesgos, qu nos
sucede, y de pilotar el destino.
Una vez expuesta su particular visin de la resiliencia, alab
la Estrategia de Ciberseguridad
Nacional como elemento vertebrador, si bien advirti que la ciberseguridad va ms all de lo tecnolgico: si nos ocupamos slo de la
tecnologa, eliminaremos una determinada capacidad de accin.

22

red seguridad

Al hilo de esta argumentacin, el

representante de S21sec diseccion
lo que l denomina elasticidad de
pensamiento, esencial para gestionar las transformaciones permanentes que se producen en un entorno
que precisa cambios, resistencia y,
sobre todo, recuperacin. Tenemos
que ser capaces de realizar un diagnstico concreto y claro. Y adems,
tener la capacidad de prevenir, de
hacer prospectiva. Eso es elastici-

septiembre 2014

dad de pensamiento, esencial para

poder abordar las evangelizaciones
que hemos de desarrollar en los
segmentos de los procesos de convergencia.
Como ejemplo prctico, teniendo en cuenta dnde se celebraba
el encuentro, Juan Antonio Gmez
Bule se refiri a Gas Natural, compaa cuyas instalaciones, por su
especialidad, pueden considerarse
infraestructuras crticas. La geopoltica y la ciberseguridad implican que
debemos de ser capaces de identificar cmo la seguridad se convierte
en un elemento fundamental. No hay
pozos petrolferos en Berna ni en
Zrich. Normalmente, se encuentran
en enclaves ms complicados. Por
eso, es necesario disponer de un
concepto de aseguramiento global
que permita la continuidad del negocio, tener una conciencia de la seguridad y de la gestin.
A modo de conclusin, Gmez
Bule coment que la ciberdefensa
no funciona si no hay un elemento
de anlisis. El pensamiento es la
mejor herramienta, un instrumento
sustentado por la tecnologa. Pero
no es un fin, sino un medio. Hemos
de afrontar riegos y amenazas.
Quin est detrs de ellos? Lo
sabemos? Nos interesa? Somos
capaces de disuadir? La proporcionalidad de la respuesta es la
adecuada? Todos esos elementos
que ocupaban un pensamiento militar, tradicional, se han traducido en
otro global.
Retomando el inicio de su intervencin, el presidente del Consejo
Asesor de S21sec matiz: la resiliencia es la capacidad de recuperarte. Pero tienes que identificar qu
es lo que te puede llegar a hacer
dao. Y si caes siete veces, levantarte ocho.

resiliencia

especial seg2

encuentro de la seguridad integral

INTERVENCIN FIRMAS PATROCINADORAS

Hay que aadir inteligencia a la

defensa
La ponencia de Ricardo Caizares, director de Consultora de Eulen Seguridad, titulada
De la prevencin a la anticipacin, abord la necesidad de reducir los tiempos de
respuesta ante los ataques y de aplicar inteligencia para anticiparse a ellos, incluso
antes de que se produzcan.

Desde sus orgenes, Eulen Seguridad

siempre ha tratado de convertirse en
un aliado fiel de las empresas. Para
ello ha tenido que adaptarse a las
circunstancias y necesidades de las
organizaciones en materia de proteccin. As lo puso de manifiesto Ricardo
Caizares, director de Consultora de
Eulen Seguridad, durante su intervencin, en la que expuso un problema
que, a su juicio, se plantea actualmente, el de los tiempos. En el centro de
todo se sita el activo que hay que
proteger y en torno a l se articulan
las lneas de defensa con diferentes
grados de seguridad, explic. En un
momento determinado (tiempo cero)
comienza el ataque. En el tiempo uno
atraviesa la primera lnea, en el tiempo
dos, la segunda, y as sucesivamente. El atacante sabe perfectamente
lo que necesita para dar cada paso
y conseguirlo. En cambio, contina,
el defensor se encuentra en reposo
y hasta que no le llega el aviso de
que se ha detectado una intrusin,
no pone sus medios en alerta. De tal
forma que cuando el defensor llega a
la primera lnea a ver qu ha pasado, el
atacante ya se ha ido, asegur. Ah es
donde radica el problema, puesto que
el tiempo de respuesta del defensor
ha de ser menor que el que necesita
el atacante. Lo que tiene que hacer
el defensor es disminuir los tiempos
de respuesta y, consecuentemente,
aumentar los del atacante, afirm.
Esa forma de actuar es la que se
viene haciendo habitualmente tanto
en el mundo fsico (levantando ms
muros, ms controles y prcticas)
como en el ciberespacio (invirtiendo
ms en TI y en personal). Sin embargo, para Caizares esto no est resul-

resiliencia

Es preciso conocer dnde est el ataque para

pararlo antes de que entre en la primera lnea
de defensa
tando eficaz, porque se siguen produciendo ataques. De ah la importancia
de la resiliencia, nuestra capacidad de
aguantar los golpes y volver a levantarnos, aunque siempre vamos a remolque de los malos, coment.
Por eso hay que buscar otras soluciones, y qu mejor que comprobar
lo que se ha hecho en el pasado para
adaptarlo al presente. Es preciso
conocer dnde est el ataque para
pararlo antes de que entre en la primera lnea de defensa. Y eso se
consigue utilizando la inteligencia,
entendiendo sta como el producto
obtenido tras aplicar informacin y
tcnicas de anlisis de forma que
resulte til al defensor a la hora de
tomar sus decisiones. En otras pala-

bras, es imprescindible recopilar

mucha informacin de diferentes
tipos de fuentes para analizarlas y
explotarlas. Y en esto precisamente
es en lo que lleva trabajando Eulen
Seguridad durante los ltimos aos,
porque ya no es suficiente con la
prevencin, con la que siempre se
ir tarde. Debe haber un tiempo de
anticipacin que permita reaccionar,
y eso se consigue aplicando la inteligencia, aadi. De hecho, para
Caizares es fundamental que las
empresas no slo inviertan en personas, tecnologas y procedimientos;
sino tambin en inteligencia, porque
va a proporcionar el tiempo de anticipacin que no va a dar ningn otro
sistema, finaliz.

red seguridad

septiembre 2014

23

especial seg2

encuentro de la seguridad integral

INTERVENCIN FIRMAS PATROCINADORAS

Contexto y necesidades de la
ciberseguridad en la industria
Javier Osuna, jefe de la Divisin de Seguridad y Procesos de GMV, dedic su ponencia
a poner de manifiesto los retos y necesidades de seguridad que tienen por delante los
entornos crticos e industriales en el mundo ciberntico.
Una de las bases de la seguridad
nacional en el entorno ciberntico es
la proteccin de los entornos crticos e
industriales. Aunque hasta hace unos
aos no se insista de manera tan
decidida como ahora en asegurar las
tecnologas de informacin de estas
instalaciones o servicios, lo cierto es
que han estado en el punto de mira
desde hace tiempo. La resiliencia en
estos espacios es hoy por hoy una
prioridad, una necesidad obligada
por la importancia que tienen para el
desarrollo de la sociedad.
Javier Osuna, jefe de Divisin de
Seguridad y Procesos de GMV, abord este tema durante el encuentro
equiparando resiliencia a continuidad
del negocio. Tradicionalmente, resiliencia ha sido igual a disponibilidad y
disponibilidad ha sido igual a respaldo, afirm.
Desde su punto de vista, a lo largo
de las dos ltimas dcadas han sucedido cosas que han marcado la diferencia en lo concerniente a la continuidad de negocio de las organizaciones. El primer ejemplo de ello apareci
con el llamado Efecto 2000, pero
despus se han sucedido otros como
el 11 de septiembre, la aparicin de
los gusanos precursores Slammer
y Mydoom, el ataque ciberntico a
Estonia y as hasta llegar a la reunin
del G20 en la que Estados Unidos
espi a sus socios.
Para Osuna, el entorno de las
amenazas y las vulnerabilidades se
caracterizan hoy en da por la prctica desaparicin de los permetros, la
profesionalizacin e industrializacin
tanto de los buenos como de los
malos, la sofisticacin de los ataques,
la mundializacin, la externalizacin
de los servicios, la crisis, la guerra de
patentes, el espionaje o la diferencia

24

red seguridad

de legislaciones; pero advirti de que

lo peor est por llegar.
De ah la importancia de contar con
una industria preparada para hacer
frente a los nuevos retos a su seguridad. Segn el representante de GMV,
estos entornos han estado histricamente aislados del exterior, tremendamente procedimentados, cuentan
con sistemas de monitorizacin funcional avanzada y son capaces de
hacer valoraciones de impacto precisas. Pero, sin embargo, son estticos y
obsoletos en muchos casos, y cuentan
con un exceso de permisos.
Los retos en los entornos industriales
pasan por la conexin al cibermundo,
ya que los sistemas en entornos industriales son estticos frente a algo que
va a un ritmo vertiginoso, a lo que se
suma una mentalidad diferente en
los entornos industriales, donde sus
responsables son ms reacios al cambio, o la utilizacin de soluciones para
sistemas propietarios heterogneos.
Osuna opina que frente a los desafos que tienen por delante los entornos
crticos e industriales sera interesantsimo aplicar la experiencia de sectores

septiembre 2014

que estn muchsimo ms maduros.

Ejemplos son el de la banca o las
telecomunicaciones, que estn muy
avanzados en seguridad. Para el jefe
de Divisin de Seguridad y Procesos
de GMV, tambin es importante la
confiabilidad y el compromiso de los
suministradores y otros compaeros
de viaje. Est muy bien llevar servicios
fuera, salen mucho ms barato, pero si
luego no puedes confiar, observ.
Un tercer aspecto que mencion en
esta lnea es la conveniencia de crear
medidas de seguridad ad hoc.
Antes de despedirse, Osuna concluy que las amenazas cambian tan
rpido y evolucionan de tal manera
que los anlisis de impacto y de riesgos se quedan obsoletos antes de
acabarlos. La industria, pero tambin
el Gobierno e incluso los ciudadanos,
han de admitir el alcance y la gravedad de lo que est sucediendo. Cree
que la regulacin es positiva, pero la
industria no debe asumirla como un
mero cumplimiento. Tenemos que
tener un fondo, no limitarnos al hecho
de que te pongan una multa, mencion a este respecto.

resiliencia

especial seg2

encuentro de la seguridad integral

INTERVENCIN FIRMAS PATROCINADORAS

Anticiparse, la mejor solucin

Pablo de la Riva Ferrezuelo, especialista en desarrollo de soluciones de seguridad de
Buguroo, empresa estrechamente vinculada a Deloitte, dio a conocer bugThreats, una
herramienta de bsqueda inteligente y prevencin de amenazas en la Red.

A unque el programa del VI

Encuentro de la Seguridad Integral
contemplaba una ponencia matinal
de Fernando Picatoste bajo el ttulo
de Ciberinteligencia aplicada, su
intensa agenda le impidi estar presente en el Seg2. La ausencia del
socio de Deloitte fiel patrocinador
del evento desde sus inicios, tal y
como record Ana Borred a modo
de agradecimiento, fue cubierta
por Pablo de la Riva Ferrezuelo,
fundador y especialista en desarrollo de soluciones de seguridad de
Buguroo, empresa que atesora una
experiencia de ms de una dcada
en el sector de la ciberseguridad y
estrechamente vinculada a Deloitte.
Sobre la situacin actual del ciberespacio, De la Riva explic que
se calcula que el 4 por ciento de
Internet es visible; por ejemplo, todo
aquello que aparece cuando se
busca en Google. El 96 por ciento
restante es donde hemos focalizado
los esfuerzos de nuestras investigaciones y herramientas para intentar adelantarnos a posibles fraudes,
robos, atentados.
Adems, precis que, segn un
reciente estudio, se estima que el
impacto econmico del cibercrimen
a nivel mundial puede llegar a ser de
hasta 500.000 millones de dlares en
un marco en el que los malos suelen
estar un paso por delante de quienes
nos dedicamos a combatirlos. Con
el deseo de lograr este objetivo, en
Buguroo han desarrollado una solucin denominada bugThreats, que
pretende automatizar la recoleccin,
indexacin, anlisis, reporte, etc., de
nuevas amenazas en Internet con el
fin de anticiparnos a los riesgos.
Respecto a los ataques que se
estn localizando con dicha solucin, el Chief Technology Officer

resiliencia

(CTO) de Buguroo explic que los

mismos representan un amplio abanico, desde phising hasta malware,
pasando por robos de credenciales
o datos personales, productos falsificados... Peligros que se comba-

ten gracias a servidores dedicados,

sandboxes, etc. En el caso de estos
ltimos, recuperamos hasta 39.000
binarios nicos e intentamos averiguar, en el mismo momento en
que son distribuidos, hacia dnde
se dirigen. Y cada da procesamos
tambin en torno a cinco millones
de nuevas URLs en la Red, si bien
ello no significa que todas supongan una amenaza.
Asimismo, el catlogo de productos de Buguroo, empresa de la
que Deloitte es inversor, contempla
bugScout, una herramienta especialmente concebida para automatizar el anlisis esttico del cdigo
fuente en aplicaciones, y bugBlast,
un multiescner de vulnerabilidades
en infraestructuras.
Adems, la empresa ha diseado
un programa para ayudar a sus partners a recibir o comercializar formacin en cuatro reas de conocimiento: desarrollo, hacking, forense y
reversing

red seguridad

septiembre 2014

25

actualidad tecnolgica

noticias

13 Encuesta Global
sobre el Fraude 2014
El informe, elaborado por EY, recoge la percepcin de
los directivos de grandes compaas de todo el mundo,
entre ellas 50 espaolas, sobre cibercrimen, fraude,
corrupcin corporativa y procedimientos antifraude.

De los 59 pases analizados en la

13 Encuesta Global sobre el Fraude
2014 de la consultora EY, denominada Overcoming compliance fatigue:
reinforcing the commitment to ethical growth, Espaa ocupa la decimoquinta posicin entre los ms
preocupados por el cibercrimen. De
hecho, un 58% de los preguntados
considera esta cuestin como un
riesgo considerable o muy elevado.
En lo referido a los principales autores de ciberdelitos que ms quebraderos de cabeza generan a los directivos, a la cabeza se sitan los hackers
o hacktivistas (un 58%), le siguen los
propios empleados o colaboradores
(40%), los ciberdelincuentes procedentes de la competencia (un 38%),
el crimen organizado (16%) y el proveniente de otros estados (4%).
Pero sta no ha sido la nica materia analizada en el documento elaborado por la consultora. En trminos
generales, la encuesta refleja que la
percepcin de los directivos espaoles sobre la generalizacin del fraude
ha descendido, pasando del 34% al
28% entre 2012 y 2014. Sin embargo, sigue poniendo de manifiesto la
buena aceptacin de ciertas prebendas y comportamientos comprometedores para conseguir un negocio.
26

red seguridad

Adems, y aunque los directivos

espaoles parecen estar cada vez
menos dispuestos a justificar comportamientos poco ticos en sus
empresas, un 36% aceptara alguna
propuesta de este estilo para ganar
o salvaguardar su negocio. Este porcentaje resulta ser inferior al registrado en el conjunto de los pases
analizados, que se sita en el 42%.
Bien sea por las consecuencias
de la crisis, bien sea por una progresiva instauracin de una cierta
tica en los negocios, parece que
la preocupacin de los ejecutivos
espaoles antes la generalizacin de
las prcticas corruptas se ha relajado en los dos ltimos aos, afirma
Ricardo Norea, socio responsable
de Forensic de EY.
Finalmente, otra de las cuestiones
que en estos ltimos aos ha perdido
impulso entre las organizaciones es
la instauracin de procedimientos y
polticas antifraude y corrupcin y de
cumplimiento, incluyendo cdigos de
conducta. Hoy por hoy, un 54% de
los consultados las tiene en cuenta
frente al 74% de los sondeados hace
dos aos, a la vez que nuestro pas
ocupa las ltimas posiciones en contar con estas medidas sobre el conjunto de los estados analizados.

septiembre 2014

Crece el uso
profesional de las
redes sociales
El Ministerio de Industria, Energa
y Turismo ha presentado la sptima edicin del informe anual
La Sociedad en Red, correspondiente al ao 2013, que elabora el Observatorio Nacional
de las Telecomunicaciones y de
la Sociedad de la Informacin
(ONTSI). Entre las aspectos ms
importantes, destaca el incremento en el uso profesional de
las redes sociales por parte de
las empresas, que se ha traducido en una subida de 11,7 puntos porcentuales en el caso de
las pymes y grandes empresas,
y de 17,6 puntos porcentuales
en las microempresas, con un
porcentaje de uso del 29,1% y
del 26,6%, respectivamente.
Asimismo, la banda ancha
mvil tambin crece de forma
importante por tercer ao consecutivo y registra un ndice de
penetracin entre las organizaciones con conexin a Internet
del 73,6% en pymes y grandes
empresas, y del 56,8% en las
microempresas.
Por otro lado, el documento
hace hincapi en el crecimiento
de tabletas y smartphones en
los hogares y en la poblacin
espaola. En el primer caso se
ha incrementado en 16,7 puntos porcentuales, con un ndice
de penetracin del 28,5% en
los hogares; mientras que en el
segundo ha sido de 12,2 puntos
porcentuales y ya alcanza al
53,7% de los individuos.
Sobre la administracin electrnica, el informe del ONTSI
destaca que el 98% de los servicios pblicos digitales bsicos
de la Administracin General del
Estado (AGE) son totalmente
accesibles en Internet, de este
modo Espaa supera en 24
puntos porcentuales la media
europea situada en el 74%. Su
usabilidad, asimismo, es del
100%, frente al 76% de media
de la UE27.
Por ltimo, el documento realiza un anlisis de las Tecnologas
de la Informacin en el mbito
global. En total, el mercado mundial TIC movi 3.479 miles de
millones de euros en 2013, que
se distribuyen de la siguiente
manera: Norteamrica (30,9%),
Asia y Pacfico (29,9%), Europa
(25,1%) y Amrica Latina, frica
y Oriente Medio (14,1%).

toda la informacin de

seguridad TIC
a un clic

apntate
gratis

http://www.redseguridad.com
:::Informacin especializada sobre seguridad TIC
:::Accede GRATIS a la revista digital
:::Navegacin fcil e intuitiva
:::Servicios GRATUITOS: newsletter, alertas
:::Accede GRATIS a la revista desde tu Tablet y Smartphone

actualidad tecnolgica

noticias

El Consejo de Ciberseguridad dar

un impulso a la colaboracin
Tx. y Ft.: E.G.H.

Cooperacin y concienciacin. Son

los dos principales ejes del plan de
accin en el que trabaja el Consejo
Nacional de Ciberseguridad para
trasladarlo a las instituciones del
Estado. El plan se centra en potenciar
la colaboracin pblico-privada en
materia de seguridad de la informacin, la cooperacin operativa dentro
de la Administracin y la creacin de
una cultura de ciberseguridad que
se extienda a toda la sociedad.
El director operativo del Consejo
de Seguridad Nacional, Joaqun
Castelln, avanz estas lneas a largo
plazo sobre las que trabaja el rgano
interministerial en una jornada organizada por la Embajada Britnica en
Madrid, el 11 de junio. Tenemos que
empezar a cambiar ya las estructuras al frente de la ciberseguridad,
afirm Castelln en el encuentro,
donde tambin destac las iniciativas relacionadas con esta materia
impulsadas por el Gobierno durante 2013. Entre otras, la aprobacin
de la Estrategia de Ciberseguridad
Nacional, la constitucin del Mando
Conjunto de Ciberdefensa o la creacin del CERT conjunto de Inteco y
el CNPIC.
Castelln coincidi en el encuentro con el director de Polticas de
Ciberseguridad
del
Ministerio
Britnico de Asuntos Exteriores,
Jamie Saunders, quien tambin explic las prioridades del Ejecutivo britnico en relacin con la ciberseguridad. stas son fortalecer la red del
Gobierno y de los sectores vitales,
aumentar la proteccin intelectual y la
formacin en esta materia. La amenaza en Internet sigue aumentando y
el gobierno tiene una estrategia que
slo se podr llevar a cabo si tenemos
colaboracin con empresas, escuelas
y otros pases, indic.
Segn inform Saunder, el gobierno britnico ha invertido 860 millones
de libras (ms de 1.000 millones
de euros) en cinco aos en el sector privado y en el acadmico para
28

red seguridad

Joaqun Castelln, director operativo del Consejo de Seguridad Nacional, durante

su intervencin en la Embajada Britnica.

mejorar la ciberseguridad del pas.

Londres ha puesto en marcha proyectos como una plataforma de intercambio de informacin compuesta
por 400 empresas o un nuevo CERT
nacional.
La jornada organizada por la
Embajada Britnica, que llev por
ttulo Ciberseguridad en el sector

financiero, cont tambin con la participacin del embajador britnico en

Espaa, Simon Manley, as como los
expertos en la materia Matt Allen,
director del rea de Delitos Financieros
de la Asociacin Britnica de la
Banca, o Carlos Sol, director del
Instituto Espaol de Ciberseguridad
del ISMS Forum Spain.

ENISA y Europol firman un acuerdo estratgico

de cooperacin contra la ciberdelincuencia
Representantes de ENISA y Europol
suscribieron en junio un acuerdo
estratgico con el objetivo de facilitar
la cooperacin y el intercambio de
conocimientos en la lucha contra la
ciberdelincuencia.
El propsito del acuerdo, firmado en la sede de Europol en la
Haya, es mejorar la cooperacin
entre Europol, su Centro Europeo
de Ciberdelincuencia (EC3) y ENISA,
con el fin de apoyar a los Estados
miembros y a las instituciones de la
Unin Europea en la prevencin y la
lucha contra la ciberdelincuencia. El
acuerdo no cubre el intercambio de
datos personales.
En concreto, la cooperacin podr
consistir en el intercambio de conocimientos y competencias especficos;
la elaboracin de informes situacio-

septiembre 2014

nales generales; informes resultantes

de anlisis estratgicos y mejores
prcticas; y el refuerzo del desarrollo
de capacidades a travs de la formacin y la sensibilizacin, con el fin de
salvaguardar la seguridad de la red y
la informacin a nivel europeo.
Udo Helmbrecht, director ejecutivo
de ENISA, y Rob Wainwright, director
de Europol, emitieron una declaracin
conjunta en la que destacan el "paso
importante" que supone el acuerdo
para luchar "contra los cada vez
ms habilidosos ciberdelincuentes,
que estn invirtiendo cada vez ms
tiempo, ms dinero y ms medios
humanos en ataques selectivos".
Segn indican en su carta, se calcula
que la ciberdelincuencia cuesta a la
economa mundial ms de 400.000
millones de dlares anuales.

actualidad tecnolgica

entrevista

Xabier Mitxelena: "Nuestra ambicin

es llegar a ser la mejor empresa del
mundo en ciberseguridad"
Hace un ao y medio, Xabier Mitxelena, fundador y director general de S21sec, ya nos
adelant en estas mismas pginas el comienzo de un proceso de transformacin de
la compaa que, precisamente, culmina ahora con la incorporacin de SSI Software
and Technology en la estructura accionarial de la organizacin. En esta entrevista, el
directivo desvela cules sern los ejes de esta nueva etapa.
Yo lo resumira en cuatro puntos
fundamentales: aumentar la cuota de
mercado en Espaa, focalizarnos en
llevar las soluciones tecnolgicas de
S21sec y Lookwise a muchos ms
pases del mundo, lograr la excelen
cia operativa y formar y desarrollar
un gran equipo de expertos en ciber
seguridad. Se necesitan recursos y
nuestra vocacin es seguir generan
do la mejor "cantera".
En definitiva, la prioridad de la com
paa es la creacin de una cultura
global de la seguridad, con la ambi
cin de llegar a ser la mejor empresa
del mundo en ciberseguridad. La
entrada de SSI nos ayuda a fortale
cer la compaa en un momento de
mayor madurez del mercado.

Texto: David Marchal

Qu significa para S21sec la
entrada de la compaa portuguesa SSI en su accionariado?
SSI Software and Technology forma
parte del grupo SONAE, la mayor
organizacin econmica no financie
ra de Portugal, que cuenta con una
destacada presencia internacional y
con cerca de 40.000 empleados.
Por este motivo, estamos encan
tados de poder contar con ellos
como socios estratgicos, porque
nos va a permitir tener una estructura
slida para seguir creciendo, mien
tras potenciamos nuestro modelo de
internacionalizacin y consolidamos
nuestro liderazgo en el mundo de la
ciberseguridad.
En concreto, cmo va a mejorar
esta incorporacin su apuesta
por la ciberseguridad?
S21sec cuenta con una larga tra
yectoria como especialista en ciber
seguridad. Por tanto, en esta nueva
etapa continuaremos apostando por
la innovacin tecnolgica en el desa
rrollo proactivo de novedosas solu
ciones para hacer frente a las nuevas
amenazas y desafos que se plan
teen. Asimismo, vamos a potenciar
la formacin de expertos en ciberse
guridad, porque queremos continuar
creando cantera. Es ms, la entrada
de SSI nos permitir apostar fuerte
mente por el know-how, el expertise
y los profesionales especializados.
Confiamos plenamente en el equipo
de personas que forman parte de
S21sec y queremos potenciar las
diferentes reas de la compaa con
profesionales que aporten valor y
experiencia.

Podra detallar con qu equipo

cuentan ahora mismo?
Tenemos el mayor grupo de profe
sionales de seguridad de Espaa,
con ms de 200 especialistas que
mantienen una atencin muy cer
cana con nuestros clientes a travs
de las oficinas de Espaa, Mxico y
Brasil. Es ms, nuestra plantilla de
expertos certificados opera con el
90% del sector financiero, el 75% de
las grandes empresas que cotizan
en el Ibex35, el 20% de las compa
as que cotizan en el Dow Jones
EURO STOXX 50 y el 50% de las
comunidades autnomas. De he
cho, nos gusta decir que la base de
la innovacin y del modelo empresa
rial de la compaa son las personas
con energa, pasin e ilusin, que es
lo que tenemos.
Y respecto al nuevo equipo directivo, cul ser su labor a partir
de ahora?

Sin embargo, y a pesar de que

se trata de un mercado maduro,
como comenta, la compaa ha
sabido situarse en posiciones de
liderazgo en todo el mundo...
As es. Trabajamos para las principa
les compaas espaolas de sectores
como el financiero, las telecomunica
ciones, la sanidad, el comercio elec
trnico, el mercado aeroespacial o la
defensa y las fuerzas de seguridad
del Estado. No slo trabajamos con
compaas cotizadas, sino que en
estos momentos estamos dando ser
vicio en ms de 26 pases de forma
satisfactoria. Asimismo, seguiremos
apostando por la investigacin y el
desarrollo. Prueba de ello es que en
su momento creamos el Primer
Centro Europeo de I+D+i especializa
do en Ciberseguridad, y nos converti
mos en CERT con el objetivo de dar
valor aadido desde la Inteligencia de
Seguridad y proteger a nuestros
clientes las 24 horas del da.

red seguridad

septiembre 2014

29

actualidad tecnolgica

noticias

El Sistema PIC espaol, uno de

los ms avanzados del mundo

El ministro del Interior inaugur las jornadas en Santander. En la imagen, junto al

rector de la UIMP y el director del CNPIC.

El ministro del Interior, Jorge

Fernndez Daz, inaugur en julio
las Jornadas sobre Proteccin de
Infraestructuras Crticas, en el marco
de los cursos avanzados de verano de la Universidad Internacional
Menndez Pelayo (UIMP), que se
celebraron en Santander.
Durante su intervencin, Fernndez
Daz destac que el Sistema de
Proteccin de Infraestructuras Crticas
de Espaa es uno de los ms avanzados del mundo y un elemento
puntero de nuestra seguridad que ha
asumido la responsabilidad de desarrollar medidas preventivas y reactivas ante incidencias de seguridad.
Asimismo, afirm que la proteccin
de infraestructuras crticas constituye
una responsabilidad de primer orden.
Fernndez Daz subray tambin
que los riesgos que pueden amenazar
la integridad de las infraestructuras
crticas, adems de los factores naturales, pueden deberse a situaciones
de carcter accidental o a errores y a
fallos humanos; pero tambin, y esa
es la hiptesis ms peligrosa, a acciones deliberadas causadas por ataques
fsicos o por ataques cibernticos.
Sistema preventivo
El pasado 30 de junio se constituy la
Comisin Nacional para la Proteccin
de las Infraestructuras Crticas, que
30

red seguridad

aglutina a todos los departamentos,

organismos y administraciones con
responsabilidades en la materia. Este
rgano celebr su primera sesin
con la aprobacin de cinco Planes
Estratgicos Sectoriales (PES) electricidad, gas, petrleo, nuclear y financiero y la designacin de 37 operadores
para la gestin de las 150 infraestructu-

ras crticas que hay en Espaa. En este

sentido, durante el marco de la jornada,
el Centro Nacional para la Proteccin
de las Infraestructuras Crticas (CNPIC)
dio a conocer la designacin de los
siguientes operadores crticos:
- PES financiero: se han designado 10 operadores crticos y 24
infraestructuras crticas de esos
operadores.
- PES petrolero: se han designado
cuatro operadores crticos y 15
infraestructuras crticas.
- PES nuclear: estar formado por
cinco operadores crticos.
- PES del gas: se han designado
cinco operadores crticos y 31
infraestructuras crticas.
- PES electricidad: designados 17
operadores crticos y 67 infraestructuras crticas.
A los ya mencionados PES, le seguirn a partir de septiembre, los que se
ocupen del transporte (areo, martimo,
ferroviario y terrestre), de las tecnologas de la informacin y comunicaciones y el agua, adelant el ministro del
Interior durante la jornada.

Fundacin Borred, galardonada con el premio

Dintel al networking profesional y directivo
La Fundacin Dintel celebr, el pasado 24 de junio, la Gran Fiesta Dintel
2014, que este ao tuvo lugar en
el auditorio del Hotel Meli Castilla
de Madrid. En el encuentro, Dintel
aprovech la ocasin para celebrar el
XV aniversario de su constitucin y conceder sus Premios Dintel 2014 en sus
diferentes categoras. Una de ellas es la
distincin de Caballeros/Damas Gran
Placa Dintel que la asociacin concede
a altos cargos del sector pblico y privado, que han participado activamente
en estos ltimos aos en las actividades
fundacionales, como ha sido Cristina
Cifuentes, delegada del Gobierno en
Madrid, entre otras personalidades.
Otro de los premios que entreg Dintel
fue a La tenacidad de la persona y
Al networking profesional y directivo,
siendo una de las galardonadas de esta
ltima categora la Fundacin Borred,
que recogi el premio de la mano de su

septiembre 20104

presidenta, Ana Borred (en la imagen

con Jess Rivero, predidente ejecutivo
de la Fundacin Dintel).
En el transcurso de la Gran Fiesta
Dintel, la fundacin tambin dio a
conocer su nuevo proyecto educativo,
Red CEDE, que consiste en el establecimiento de una Red de Centros
Universidad-Dintel, con formacin
presencial y online en diferentes universidades para fomentar la formacin
y el emprendimiento.

actualidad tecnolgica

noticias

Tercer Congreso Iberoamericano

de Ciberseguridad Industrial
Con el objetivo de intercambiar conocimientos y experiencias en el mbito de la
ciberseguridad industrial, los prximos 7 y 8 de octubre se celebrar en Madrid la
tercera edicin de este congreso que ya se ha convertido en una referencia en el sector.
Tras el xito de las dos primeras convocatorias del Congreso
Iberoamericano de Ciberseguridad
Industrial, celebradas en Madrid los
das 2 y 3 de octubre de 2013, y en
Bogot los pasados 27 y 28 de mayo
de 2014, el Centro de Ciberseguridad
Industrial (CCI) organiza ahora la tercera edicin. Concretamente, este
evento, que ya se ha convertido en
una referencia para el sector y un
punto de intercambio de conocimiento y experiencias, se celebrar los
prximos 7 y 8 de octubre en el hotel
Meli Avenida de Amrica de Madrid.
En las jornadas estarn representados todos los actores del mercado: desde fabricantes industriales y
de ciberseguridad, hasta ingenieras,
consultoras, integradores o usuarios.
Adems, contar con la presencia de ponentes internacionales que
repasarn las experiencias desarrolladas en todo el mundo, desde Estados
Unidos y Latinoamrica hasta Europa,
Oriente Medio o Asia. Por ejemplo,
Richard Stiennon, analista Jefe de
Investigacin de IT-Harvest, hablar
sobre la posibilidad de que cualquier
empresa sea vctima de un cibera-

taque; Joel Langill, fundador de la

web SCADAhacker.com, tratar el
tema de las ciberdefensas aplicadas
a los sistemas de control industrial;
Marc Blackmer, director de Servicios
de Seguridad Industrial de CiscoSourcefire, abordar cmo se puede
defender el 'Internet de las cosas'; o
Colin Blou, vicepresidente de Ventas
para Estados Unidos y la UE de
Warterfall, analizar las vulnerabilidades de los sistemas industriales.
En el Congreso tambin intervendrn destacados directivos nacionales, tanto del sector privado como
pblico. En este sentido, participar
Miguel Rego, director general de
INTECO; Pedro Snchez, director
general del CNPIC; o Samuel Linares,
director del Centro de Ciberseguridad
Industrial.
En total, tomarn la palabra ms
de una veintena de profesionales del
sector. De hecho, desde el CCI aseguran que el Congreso supone "la
mejor oportunidad para conocer el
estado del arte de esta disciplina de
la mano de los lderes internacionales
en cada uno de sus mbitos", y sirve
para "establecer valiosas relaciones

que favorezcan la colaboracin en

distintos mbitos a escala nacional e
internacional".
Adems, este evento tiene la peculiaridad de que no empieza y acaba
con la celebracin de las ponencias.
La organizacin ha preparado una
serie de "talleres pre y post congreso"
para que pueda asistir toda aquella
persona interesada. As, por ejemplo,
el da 6 de octubre habr dos sesiones: Aplicando ISA99 para proteger
las Infraestructuras Industriales, du
rante la maana, y Ms all del cortafuegos del sistema de control: daos
fsicos y explotacin de procesos, du
rante la tarde. El formato se repetir el
da 9 de octubre, esta vez con dos
sesiones de maana y tarde. Las primeras son: La aproximacin efectiva
a la proteccin de infraestructuras
crticas de gas y petrleo contra ciberamenazas emergentes e Introduccin
a los sistemas de control industrial
para profesionales TIC. Y las de la
tarde son: Seguridad en Smart Grid.
Estado y Avances Internacionales e
Introduccin a la Ciberseguridad para
profesionales de la Automatizacin e
Instrumentacin.

Sesiones destacadas
Da 7 de octubre:
9:00-9:15.- Bienvenida y presentacin. Samuel Linares, director
del Centro de Ciberseguridad Industrial.
9:15-10:00.- Que no eres un objetivo? Djame demostrarte
por qu te equivocas. Richard Stiennon, analista jefe de investigacin de IT-Harvest.
11:30-12:00.- Los comienzos de la conciencia compartida de la
situacin. Chris Blask, CEO de ICS Cybersecurity.
12.30-13.00.- Defendiendo la Internet de las Cosas. Marc
Blackmer, director de Servicios de Seguridad Industrial de
Cisco-Sourcefire.
13:00-13:45.- Mesa redonda: Evolucin de la Ciberseguridad
Industrial.
16:35-17:05.- La proteccin de infraestructuras crticas hoy.
Andrey Nikishin, director de Seguridad Industrial de Kaspersky.
17:05-17:35.- Elige tu propia aventura: La carrera interminable.
Claudio Caracciolo, CSA de Eleven Paths.
17:35-18.20.- Mesa redonda. Amenazas y vulnerabilidades en
el mundo industrial.

Da 8 de octubre:
9:00-9:30.- La aproximacin prctica a la proteccin de infraestructuras crticas de las ciberamenazas emergentes. Ayman
Al-Issa, CTA del CCI en Oriente Medio y Asia.
11:40-12:05.- Abordando la ciberseguridad industrial en
Latinoamrica. Belisario Contreras, director del Programa de
Ciberseguridad en el Secretariado del Comit Interamericano
contra el Terrorismo de la Organizacin de Estados Americanos.
12:05-12:30.- El CERT de Seguridad e Industria y la proteccin
de los sistemas de control industrial. Miguel Rego, director de
INTECO.
12.30-12.55.- La proteccin de infraetructuras crticas y la
ciberseguridad industrial en Espaa. Fernando Snchez, director
del CNPIC.
17:10-17:50.- Mesa redonda: Vulnerabilidades en el mundo
industrial y tecnologas de proteccin.
17:50-18.30.- Mesa redonda. Las organizaciones industriales
opinan: Y ahora qu? (Conclusiones, lecciones aprendidas y
siguientes pasos).

red seguridad

septiembre 2014

31

ciberseguridad internacional
opinin

Trabajando de forma optimista y coordinada

hacia un bien comn llamado ciberseguridad

Marcos Gmez Hidalgo

Subdirector de Operaciones de INTECO. Miembro del
Permanent Stakeholders Group de la ENISA

Si 2013 fue un ao de expectativas,

2014 est siendo un ao de confirmaciones. Hace tan solo un poco ms
de un ao, nos enfrentbamos a una
serie de importantes desafos y retos.
Ante nosotros apareca en el horizonte un nuevo plan del Gobierno en
varios frentes: el diseo y elaboracin
de un Plan Nacional de Seguridad,
del que iba a colgar un plan asociado de ciberseguridad; una renovacin
de la estrategia de confianza en la
Sociedad de la Informacin, a travs
de la Agenda Digital de Espaa y
su Plan de Confianza en el mbito
Digital; una fuerte revisin de la seguridad ciberntica en el mbito de las
infraestructuras crticas o de la lucha
contra la cibercriminalidad y el ciberterrorismo; la armonizacin de todos los
agentes responsables y competentes;
la alineacin de estos planes y actividades con sus homlogas europeas,
tales como la Agenda Digital Europea,
la Directiva NIS o el Horizonte 2020.
Ante todo ello y en un ao en el que la
crisis econmica golpeaba duramente
nuestro pas, podamos ser pesimistas
y escondernos, o ser optimistas y aplicar nuevos esfuerzos a estos retos tan
complicados.
Desde la visin un poco ms abierta
de ste que les escribe, con la suerte de participar como experto en el
Permanent Stakeholders Group de la

32

red seguridad

ENISA, o de tener tambin la visin

cercana de la Plataforma NIS que la
Comisin Europea cre a finales de
2013, o de disponer de un contacto cercano y aventajado con pases
punteros como EEUU, Japn, Gran
Bretaa o Alemania, les puedo expresar que hay que seguir siendo optimistas y aplicar an con ms decisin
esfuerzos e ilusin. En resumen, lo trazado y desarrollado hasta ahora en el
ltimo ao y medio debe ser una razn
de orgullo, porque estos pasos desafiantes se han ido dando, con peor o
mejor suerte, con menor o mayor xito,
pero, en definitiva, se han dado. Todos
los agentes, de una u otra manera, han
puesto de su parte para romper con un
estancamiento que nos hubiera dejado
en mal lugar en el mapa internacional
de la seguridad.
Slo hay que leer detenidamente la
Agenda Digital para Espaa, promovida por el Ministerio de Industria, Energa
y Turismo con el apoyo del Ministerio
de Hacienda y Administraciones
Pblicas; la Estrategia de Seguridad
Nacional, con su Estrategia de
Ciberseguridad Nacional, impulsada
desde el Departamento de Seguridad
Nacional de Presidencia de Gobierno;
el diseo y elaboracin de la nueva
normativa y legislacin en el mbito
de la proteccin de infraestructuras
crticas, promovida por el CNPIC del

septiembre 2014

Ministerio del Interior; o la revisin de

la legislacin vigente en materia de
cibercrimen y ciberterrorismo con la
adhesin de Espaa, impulsada por
el Ministerio del Interior y sus diversas
unidades de lucha contra la ciberdelincuencia. En todos estos documentos estratgicos, normativos o situacionales se encuentran acciones ya
emprendidas, algunas an incipientes
y otras ya en pleno desarrollo, como
el Plan de Confianza en el mbito
Digital, vigente desde 2013 a 2015 y
con un presupuesto de ms de 59
millones de euros, en el que tambin
tengo la suerte de participar a travs
de una de las entidades de referencia
del Ministerio de Industria, Energa y
Turismo, INTECO.
Es por todo ello, como citaba,
que debemos estar orgullosos, ser
optimistas y redoblar esfuerzos para
seguir ponindonos a la altura de
nuestros pases de referencia, e
intentar ser punteros en aquello que
podamos, aprovechando la coyuntura de que en este mundo de la ciberseguridad an caben muchos nichos
que cubrir. Tambin que ao tras ao
aparecen nuevas amenazas, riesgos,
agentes, oportunidades, y que hace
tan solo dos o tres aos hablbamos de seguridad de la informacin,
seguridad informtica, seguridad
lgica, etc., y ahora quizs podamos

especial

ciberseguridad internacional

opinin

Debemos estar orgullosos, ser optimistas y

redoblar esfuerzos para seguir ponindonos en
ciberseguridad a la altura de nuestros pases de
referencia

englobarlo todo en ciberseguridad,

con el permiso de la ciberesiliencia,
que an andamos por terminar de
acuar, entender y aplicar.
Seguir creciendo
Estos retos y desafos nos plantean
muchas cuestiones. Por un lado, qu
ocurre en el campo de las amenazas, qu est por llegar y qu de lo
que est presente puede condicionar
pasos futuros. Entre las amenazas
podemos destacar desde 2010 las
que se focalizan en el importante
mbito de las infraestructuras crticas
y que segn muchos expertos ha
significado un cambio de paradigma,
siendo incorporadas como elemento
de riesgo importantsimo en las estrategias y acciones gubernamentales
de las principales potencias. Aunque
seguimos hablando de ingeniera
social, de ciberestafas o de troyanos,
convivimos ya con riesgos que curiosamente llevaban con nosotros en el
silencio sigiloso de su actividad oculta: las amenazas persistentes avanzadas (APT), o riesgos y ataques ms
socializados y conocidos como el
hacktivismo social, o el ms preocupante ciberespionaje, con blancos
gubernamentales o empresariales, o
el ms terrorfico: la ciberguerra.
Las nuevas tendencias tecnolgicas,
como el uso cada vez ms generalizado del cloud, o el bring your own
technology (con sus diferentes variantes BYOD, BYOId, etc.), el Internet de
las cosas (IoT) y las smartcities, y su
aplicacin a todos los sectores, hacen
que tanto gobiernos, como empresas
y ciudadanos se estn replanteando
todo de nuevo, pero afortunadamente
partiendo de una base ms o menos
adquirida de seguridad sobre la que
debemos seguir creciendo y construyendo. Adems, ciertas tecnologas, no
solo las mviles, estn adquiriendo una
fuerza muy importante en los mbitos
de gestin y tecnolgico, como son la

especial

ciberinteligencia, con
las disciplinas de la
correlacin o el uso
de big data. Saber
ms o tener ms
informacin y saber
ms rpido parecen
hoy las prioridades
ms acuciantes de
todos los que vivimos
en y de la Red. El
viejo lema de la informacin es poder y
que Julian Assange
manej como un concepto global en una
poca ms global, ha
vuelto con fuerza a
nuestras vidas. Otros
han seguido su camino de distinta
forma, como Snowden o Manning,
como ms pruebas de este cambio
de forma de actuar que, unido a casos
ms empresariales (o no) de ciberespionaje, est dando lugar a constantes
noticiones o nuevas leyendas urbanas
en la Red.
Coordinar e investigar
Ante todo este universo, o mejor dicho,
ante toda esta cosmologa del ciberuniverso o ciberespacio (primera cita de
este trmino en el artculo), unos nos
quedamos atnitos, otros pasmados,
otros semiparalizados y otros interesados en conocer ms, en seguir investigando qu hay detrs, qu podemos
hacer y cmo podemos coordinarnos
mejor. Y quizs la clave vuelve a ser
la misma, coordinarnos e investigar.
Coordinarnos es una tarea dura pero
factible despus de ver el esfuerzo
que hay detrs de tantos agentes en
el Consejo de Seguridad Nacional, o
ya, para temas ms especficos, en
el acuerdo que suscribieron hace un
ao y medio el Ministerio del Interior y
el Ministerio de Industria. Cabe coordinarse mejor en el mbito pblicoprivado y se estn empezando a dar

pasos y sentar ms bases. Y cabe fortalecer los mecanismos de investigacin, para hacer que nuestra industria
y tejido empresarial sean ms slidos
y potentes, tanto en la oferta como en
la demanda. Revisar la forma en que la
Administracin puede invertir en dicha
investigacin y engrosar la musculatura
y materia gris de las empresas es vital
para hacer que las mismas cubran
de mejor manera y ms gilmente
las necesidades que nos sobrevienen
continuamente. Adems es tambin
crtico disponer de mejores profesionales, con mayor formacin y experiencia, y seguir trabajando en itinerarios
dentro de las empresas que potencien
cada vez ms las carreras tcnicas.
Nos queda tambin darle una vuelta
de tuerca a saber qu impacto estn
teniendo todas nuestras acciones,
medir que esos esfuerzos llegan a
buen puerto y que lo hacen con el nivel
ptimo en tiempo y recursos.
Por todo ello, me reafirmo y creo
que el camino es seguir trabajando
de forma optimista, de forma aplicada, pero cada vez ms coordinados
y dirigidos hacia un bien comn, el
bien de la ciberseguridad, que tantas
expectativas genera y tantas ilusiones puede cubrir.

red seguridad

septiembre 2014

33

ciberciberseguridad internacional
opinin

Estrategias nacionales de ciberseguridad

en el mundo

Carles Sol
Pascual
Director del Spanish Cyber Security
Institute de ISMS Forum

Adolfo Hernndez
Miembro del Spanish Cyber Security
Institute de ISMS Forum
Subdirector y cofundador de THIBER

L a creciente conectividad y el
uso masivo del ciberespacio, un
nuevo entorno totalmente transversal e imbricado en todos los
estamentos de una sociedad
moderna, es una constatacin
ms de la necesidad de fijar una
base comn que pueda hacer
frente a un ataque o una accin
delictiva
sobre
ciudadanos,
empresas o estados, perpetrada
parcialmente o en su totalidad por
medios digitales.
Si bien es cierto que este nuevo
entorno conlleva ciertas dificultades inherentes jurdico-tcnicas,
la aparente despreocupacin poltica internacional no puede obviar
esta realidad que aglutina en la
actualidad la variedad delictiva de
mayor crecimiento: el cibercrimen,
habindose datado el volumen
total de las prdidas asociadas
al mismo en 87.000 millones de
euros en el mundo en 2013.
Este hecho ejemplifica a la perfeccin la vulnerabilidad sistmica
del ciberespacio: el crecimiento,
ubicuidad y grado de penetracin
de las nuevas tecnologas supera
con creces la velocidad de los
procesos legislativos existentes.
Pero el problema se ha multiplicado y se ha establecido como un
riesgo real que trasciende el mero

34

red seguridad

dao econmico a una empresa.

Ahora ya se sita en el mbito
nacional, supranacional y global,
afectando por igual a ciudadanos,
gobiernos y empresas. Slo hay
que comparar los ltimos informes del World Economic Forum
de Davos [1] para ver cmo los
riesgos relacionados con los ciberataques han ido adquiriendo relevancia paulatina con el tiempo.
Ciberestrategias
De esta forma, a fin de evitar impactos no previstos derivados de la
falta de madurez regulatoria y procedimental y del creciente nmero
de amenazas ciber, los estados
soberanos comienzan a disponer
de estrategias integrales de ciberseguridad a travs de una hibridacin jurdico-tcnica, tanto en el
entorno empresarial como sectorial.
Con ms de 27 ciberestrategias a escala mundial, 18 de
ellas europeas plaza que adems cuenta con una directiva
comunitaria de ciberseguridad,
la gestacin de dichos documentos ha estado rodeada de
una creciente expectacin ya
que otorgan, de forma general,
tanto el reconocimiento estratgico que tiene el ciberespacio
para los diversos pases como el

septiembre 2014

posicionamiento en este nuevo

entorno vir tual.
Si bien el contexto sociopoltico
natal de muchas de ellas dista de
ser el ptimo (pensemos en el caso
estonio, creado menos de un ao
despus de los ciberataques que
paralizaron el pas), igual de ineficaz
resulta la ausencia de una estrategia de ciberseguridad nacional
como aquellas que han sido alumbradas sobre situaciones demasiado generalistas, fuera de contexto
presupuestario y sin un plan de aterrizaje delimitado por prioridades,
plazos e hitos temporales.
As, se observa que las diferentes
realidades socioeconmicas y tecnolgicas existentes en el mundo
definen y delimitan en gran medida
los diversos grados de desarrollo
de dichas estrategias.
En reas como el Sahel y el
Magreb, debido al bajo ndice de
penetracin de Internet, existe un
grado de concienciacin muy bajo
respecto al valor estratgico del
ciberespacio.
Sin embargo, en el polo opuesto encontramos a los pases que
forman parte de los Five Eyes
(Canad, Estados Unidos, Reino
Unido, Nueva Zelanda y Australia),
los pases europeos estratgicos
miembros de la Alianza Atlntica

especial

GLOBALTECHNOLOGY
Consultora de Seguridad Global e Inteligencia

Monitorizacin
Seguridad
Hacking
Inteligencia

Seguridad Global
frente a la Amenaza Global

Proteccin

Conocer sus propias vulnerabilidades antes

que el enemigo, es la nica forma de
preparar una defensa eficiente.

Hacking tico. Test de intrusin. Caja negra - Caja blanca

Monitorizacin. Detecta las amenazas antes de que materialicen
Inteligencia empresarial. Information Superiority - Decision Superiority
Fuga de Datos (DLP). La tecnologa como problema y solucin
Seguridad Global

Anlisis Forense

Anlisis de Riesgos

Seguridad en la nube

Hacking tico

Integracin Seguridad Lgica y Fsica

Auditora de vulnerabilidades

Comunicaciones Seguras

Monitorizacin

Consultora Internacional

Ingeniera de Sistemas

Inteligencia Empresarial

Consultora Tecnolgica

Cumplimiento Legal

Seguridad de la Informacin

Proteccin de Infraestructuras Crticas

Prevencin de Fuga de Datos

Proteccin del Patrimonio Histrico

Planes de Seguridad Integral

Plan de Continuidad del Negocio
Formacin Personalizada segn Roles
Sistemas de Gestin de Crisis

Plaza Rodriguez Marn, 3 1C. Alcal de Henares 28801 Madrid

(+34) 91 882 13 09

info@globalt4e.com

www.globalt4e.com

ciberseguridad internacional
opinin

Timeline de las Estrategias de

Ciberseguridad Nacional. Fuente:
THIBER, the cybersecurity think
tank [2].

en trminos ciber (como Estonia) o

la emergente Amrica Latina, con
Brasil a la cabeza.
Es importante remarcar que los
pases asiticos con aproximaciones intervencionistas sobre su
ciberespacio, como China o Irn,
no han hecho pblica sus correspondientes aproximaciones, lo
cual no significa que no tengan

una hoja de ruta claramente definida.

En este escenario nacieron las
primeras estrategias nacionales de
ciberseguridad, con un alto desarrollo entre el bienio 2011-2013. La
antigedad no es relevante de cara
a su grado de implantacin y madurez. Algunas de las naciones europeas, como Estonia y la Repblica
Checa, estn realizando la segunda
iteracin y revisin de su estrategia.
Del mismo modo, durante este ao,
se espera la aprobacin de las
estrategias de pases como Abu
Dhabi, Tailandia, Ghana y Nigeria.

Puntos comunes
Como principal objetivo, estas
estrategias vertebran la ciberseguridad como materia prioritaria
en la agenda de los respectivos gobiernos. Y promulgan, con
ms o menos xito, establecer
un liderazgo nico para coordinar las acciones y los actores
involucrados en la lucha contra
los riesgos derivados del ciberespacio.
Asimismo, ponen de manifiesto
la gravedad y complejidad de las
ciberamenazas, as como el grado
de organizacin alcanzado por los
grupos delincuentes o terroristas
que estn detrs de ellas. Y enfatizan la dimensin social del problema, trascendiendo la mera prdida
econmica o el dao individual que
puedan causar.
Tambin identifican la necesidad de coordinacin entre los
estamentos pblicos dedicados a
la ciberseguridad y la de stos
con los actores privados, una de
las principales barreras a la hora
de luchar contra el cibercrimen.
Destacan, por supuesto, la necesidad de cooperacin internacional,
otra gran asignatura pendiente en
la batalla contra un riesgo que, por
naturaleza, es global.
As pues, podemos afirmar que
la gran mayora de las estrategias
presentan una estructura comn,
pivotando sobre tres conceptos
bsicos:
1 Qu preocupa, identificando claramente qu tipo de
ciberamenazas son las ms
probables, identificando los
nuevos actores y sus motivaciones.
2 Quin tiene responsabilidades,
delimitando roles y rganos

Pases con estrategia nacional de

ciberseguridad (verde) y en vas de
desarrollo (amarillo). Fuente: Enisa
2014.

36

red seguridad

septiembre 2014

especial

ciberseguridad internacional

opinin

Las diferentes realidades socioeconmicas y

tecnolgicas existentes en el mundo definen los
diversos grados de desarrollo de las estrategias
nacionales de ciberseguridad

de gestin para la puesta en

marcha de las respectivas iniciativas.
3 Cmo se responde a esa
preocupacin, con lneas de
actuacin y medidas concretas que marquen una firme
determinacin poltica en la
consecucin de los objetivos
marcados.
Divergencias
Sin embargo, tras un anlisis algo
ms detallado, se encuentran diferencias sustanciales, no tanto en
el reconocimiento del valor del
ciberespacio, sino en las lneas de
accin y el down-to-earth de las
tareas concretas.
1 Organizacin de la ciberseguridad.
a La alta fragmentacin entre
los actores estatales con
competencias en el plano
ciber vara notablemente
entre las diversas naciones. Este hecho dificulta la
efectividad de las acciones
que se deben desarrollar
en la lucha global contra
la ciberdelincuencia. No
se encuentran referencias
explcitas a este hecho en
las estrategias el mbito
internacional.
b En las estrategias, de forma
general, no se hace mencin
a los medios tradicionales
de cooperacin internacional formal en cibercrimen
y ciberamenazas, pudiendo
no encontrarse habilitados
para garantizar la obtencin
de, por ejemplo, pruebas
electrnicas, por lo general,
de difcil acceso, voltiles y
ubicuas.
2 Dotacin presupuestaria.
a En casos como Estados
Unidos, Reino Unido u

especial

Holanda se dota de forma

expresa a la estrategia de
ciberseguridad de un presupuesto definido y aprobado, algo que no ocurre,
por ejemplo, en Espaa.
Esta dotacin es relevante
de cara a asegurar recursos
exclusivos para este terreno
y dar un mensaje de compromiso a la sociedad en
general.
3 Definicin de amenazas y persecucin del cibercrimen.
a La divergencia, o ausencia
en algunos casos, de una
tipificacin formal internacional de los actos considerados como delictivos
en el ciberespacio supone
un serio problema, pudiendo crear lagunas jurdicas y
dando lugar a regiones opacas o parasos de cibercrimen. Si bien en determinadas regiones existe un
cada vez ms nutrido grupo
de normas nacionales en
materia de ciberdelito, se
hace notar la falta de tipificaciones comunes.
4 Vnculos territoriales y acuerdos de colaboracin.
a La potencial ubicuidad de

las actuaciones en el ciberespacio y sus amenazas

pone de manifiesto la fragmentacin jurdica existente
en el plano internacional, si
bien existen acuerdos multilaterales que agrupan determinadas regiones de extensin variable (como sucede
en la UE). De esta forma,
pocas estrategias de ciberseguriad nacionales reflejan
esta realidad.
Conclusin
Durante aos las empresas han
tenido que luchar, prcticamente
solas, contra
las amenazas
inherentes al uso de la red. En
ello les iba su viabilidad econmica: fraude, daos reputacionales, propiedad intelectual, indisponibilidad de sus servicios, etc.
Y los gobiernos apenas han
dedicado recursos para apoyarlas. Pero ahora est en juego el
propio desarrollo econmico
nacional y las libertades de los
ciudadanos, y han empezado a
reaccionar. Sin duda, queda
mucho trabajo por hacer y
muchos entresijos polticos por
limar, pero comenzamos la andadura por el buen camino.

Referencias
[1]
The global risks landscape 2014. World Economic Forum.
http://www3.weforum.org/docs/WEF_GlobalRisks_Report_2014.pdf
Estrategias nacionales de seguridad en el mundo. THIBER.
http://www.thiber.org/?page_id=242
[2]

Cybersecurity policy making a turning point. OECD.

http://www.oecd.org/sti/ieconomy/cybersecurity%20policy%20making.pdf

red seguridad

septiembre 2014

37

ciberseguridad internacional
opinin

Donde dije digo, digo Diego

Samuel Linares
Director del Centro de Ciberseguridad
Industrial (CCI)

Los que me conocen o han asistido a alguna de mis presentaciones

sobre ciberseguridad industrial en
los ltimos aos saben que tradicionalmente, basndome en las referencias pblicas existentes, anlisis,
documentos e informes, vena siendo
bastante pesimista en cuanto al estado de nuestro pas en este mbito
respecto a otros pases de nuestro
entorno (Europa) o a grandes potencias como Estados Unidos, Japn
o determinados estados de Oriente
Medio. Muchos recordarn alguna
presentacin argumentando cmo
nos quedaba un mnimo de cinco
aos para estar a la altura de algunos
pases de Europa como Holanda o
Reino Unido y probablemente ms
de una dcada para ponernos al nivel
de Estados Unidos.
En los ltimos tiempos he tenido
la fortuna de poder compartir impresiones, proyectos y experiencias con
organizaciones industriales, infraestructuras crticas, organismos pblicos y gobiernos de prcticamente
todas las regiones del mundo, y por
tanto conocer de primera mano el
estado real de avance de la ciberseguridad industrial internacional. Por
ello, hace tiempo que tena en mi
debe el escribir un artculo como
ste retomando el discurso que tantas veces esgrim en mis presenta-

38

red seguridad

ciones, basado en las referencias

pblicas existentes, anlisis, documentos, informes, etctera, incluyendo adems informacin y percepciones procedentes de la observacin
directa de la realidad en todas estas
regiones y en la fulgurosa evolucin
que nacional e internacionalmente ha
tenido esta disciplina.
Debo adelantar para tranquilidad
de todos (nuestra especialmente), que el escenario real no es tan
pesimista como el que inicialmente
defenda, llegando en algunos casos
incluso a ser el totalmente opuesto;
es decir: s, en algunos mbitos estamos por delante (!).
La primera justificacin de este
cambio viene de que tradicionalmente siempre nos hemos comparado
con otros pases de forma general, cuando realmente los avances,
madurez, ritmo y caractersticas son
muy diferentes entre dos entornos
muy distintos: tan diferentes como el
pblico y el privado.
Incluyo en el entorno pblico, a
los efectos de este artculo, a las
iniciativas gubernamentales, organismos pblicos, programas, estrategias, regulaciones y marcos de
trabajo que marcan la lnea que hay
que seguir en los mercados nacionales. Es aqu donde nos encontramos,
desgraciadamente a una mayor dis-

septiembre 2014

tancia de otros pases ms avanzados en el mbito de la ciberseguridad

en general, y la industrial de forma
ms concreta.
En este entorno nos encontramos
internacionalmente con sistemas de
ciberseguridad nacional maduros,
dotados de un respaldo poltico y
econmico indiscutible y con definiciones de roles y responsabilidades claras en pases como Estados
Unidos, Reino Unido o Holanda,
entre otros, que llevan ms de una
dcada trabajando y colaborando
activamente en estos temas. Esto en
algunos casos se traduce en estrategias de ciberseguridad nacionales
tambin maduras que van avanzando incluso en distintas versiones
con distintos objetivos, indicadores de seguimiento y asignacin
de recursos, como es el caso por
ejemplo de la versin 2 de la estrategia de Ciberseguridad Nacional
de Holanda, con el lema De la concienciacin a la capacidad (From
awareness to capability). Estos
avances suelen evidenciarse tambin ante la existencia de iniciativas y organismos gubernamentales
totalmente focalizados en la materia
(como podra ser el caso los ICSCERT, US-CERT o el Idaho National
Laboratory de Estados Unidos), que
en muchos casos desarrollan como

especial

ciberseguridad internacional
opinin

parte de su actividad marcos de trabajo de referencia comn (sectoriales o no) para el mercado, hojas de
ruta que marcan el camino que hay
que seguir con indicadores claros de
control y seguimiento o regulaciones
que buscan conseguir unas lneas
base de cumplimiento de medidas
de seguridad que garanticen la adecuada proteccin de infraestructuras y organizaciones, habitualmente
focalizadas inicialmente en la proteccin de infraestructuras crticas,
pero extendidas posteriormente a
otros mbitos de actividad.
Cambio de ritmo
En el entorno pblico de nuestro
pas ha habido un cambio de ritmo
importante en lo que a la ciberseguridad se refiere en los dos ltimos
aos. Basta con revisar el panorama
que tenemos en la actualidad respecto al que tenamos hace tiempo.
Contamos ya con una Estrategia
de Seguridad Nacional que identifica el ciberespacio como un mbito
ms de actuacin, una Estrategia de
Ciberseguridad Nacional que define el
sistema nacional de ciberseguridad,
objetivos y sus actores, adems de
organismos con un foco de actividad
importante en estos mbitos (CNPIC,
INTECO, CCN, Mando Conjunto de
Ciberdefensa, Departamento de
Seguridad Nacional).
No debemos dejar de mencionar
la existencia de una regulacin en el
mbito de la privacidad que es referente internacional (nuestra famosa
LOPD) o de la Ley de Proteccin de
Infraestructuras Crticas, tambin referente para la mayora de los pases
latinoamericanos. Y sin duda esa gran
oportunidad que en estos momentos
est abierta en el rea de la ciberseguridad, que es la nueva Ley de
Seguridad Privada (y su futuro reglamento).
Es un hecho que el ritmo y los
tiempos de cambio en cualquier pas
en lo que a aspectos regulatorios,
iniciativas y organismos gubernamentales o estrategias se refiere son
mucho ms lentos que en el mbito
privado y, por tanto, cualquier creacin o modificacin de estos puntos
supone ya no meses, sino aos de

40

red seguridad

Hay un aspecto del que estamos

especialmente orgullosos: la
colaboracin, comparticin y anlisis
de informacin en el mbito industrial
desarrollo en la parte pblica, y otro
tanto en la adopcin y maduracin
de la parte privada.
En definitiva, concluira la comparativa en el entorno pblico confirmando las sospechas que enunciaba en
algunas presentaciones: estamos a
varios aos de distancia (entre cinco
y diez, al menos) de otros pases
lderes en este mbito. Nos queda
mucho por hacer y mucho esfuerzo,
trabajo y respaldo por delante. Sin
embargo, mi opinin es que la tendencia ha cambiado en los ltimos
dos aos y creo que estamos en el
camino adecuado. Las bases estn
sentadas, comienza a existir inters y respaldo (econmico, poltico,
etc.), y si seguimos as deberamos
ver cmo mes a mes y ao a ao,
esa distancia con los lderes internacionales ir disminuyendo. Y en
cualquier caso no debemos olvidar ni
desaprovechar la oportunidad que supone el
que de forma general
seamos una referencia
para otra (gran) parte
del escenario internacional: Latinoamrica.
Haramos un flaco favor
a nuestro tejido industrial y empresarial si no
aprovechsemos esa
oportunidad (el mundo
no slo es Estados
Unidos, Reino Unido,
Alemania u Holanda).

finales en el mbito de la ciberseguridad industrial.) Aqu es donde vienen

noticias an ms satisfactorias. He
de decir que me he sorprendido muy
gratamente en estos dos ltimos
aos a medida que he ido conociendo de forma directa el estado de la
proteccin, proyectos e iniciativas
en ciberseguridad industrial de estas
organizaciones internacionalmente.
Puedo adelantar que la conclusin
general es que las organizaciones
espaolas no tienen nada que envidiar en cuanto a su madurez en
ciberseguridad, proteccin, tecnologas y proyectos a otras organizaciones similares en los pases ya
mencionados anteriormente en el
mbito pblico, e incluso en algunos
casos el nivel es an mejor.
Pero de nuevo, no generalicemos
y distingamos bsicamente entre las
grandes organizaciones industriales

Entorno privado
Y qu hay del entorno
privado? (entendiendo
por entorno privado
a las organizaciones
industriales, infraestructuras crticas o usuarios

septiembre 2014

especial

ciberseguridad internacional

opinin

Tenemos capacidades, valores diferenciales,

oportunidades por delante y una buena lnea marcada
para avanzar en el posicionamiento internacional en la
ciberseguridad industrial

e infraestructuras crticas y las organizaciones industriales medianas y

pequeas. En este ltimo caso (las
ms pequeas), la realidad es que
el estado de proteccin y grado de
madurez en estos temas es realmente bajo (y claramente insuficiente), pero no distinto del nivel que
este mismo tipo de organizaciones
tiene en otros pases como Estados
Unidos, Alemania, Francia, Holanda
o Reino Unido, entre otros (recordemos aqu el refrn mal de muchos,
consuelo de tontos, y no caigamos
en esa tentacin: debemos impulsar
e incentivar de forma enrgica el
avance en este mbito).
En cuanto al otro grupo, las grandes organizaciones e infraestructuras crticas, podemos asegurar que
su estado de proteccin, avances
tecnolgicos y grado de madurez es
similar al de cualquier organizacin
internacional de ese tipo. Incluso
contamos con ejemplos premiados
internacionalmente (sin ir ms lejos,
el prestigioso SANS Institute estadounidense premi el ao pasado
a Iberdrola por su actividad en el
mbito de la ciberseguridad industrial) y otros de referencia en algunos
sectores (especialmente en el energtico). Aqu no hay distancia alguna
con el sector privado en otros pases
(no nos acomodemos, e intentemos
continuar avanzando y superarlos).

Latinoamrica, Oriente Medio o Asia.

La pregunta a la que ms veces
debemos responder es si somos una
iniciativa gubernamental. El hecho
de no serlo, y de haber surgido del
propio sector privado con una representacin total de todos los actores
involucrados, hace que todos y cada
uno de los pases con los que colaboramos vean la iniciativa como una
referencia a seguir de forma local, lo
que sinceramente nos enorgullece:
hay al menos un mbito de actividad
en el que estamos siendo lderes
internacionales y eso no es gracias
nicamente al propio CCI, sino precisamente al soporte, participacin
y avance de todo el ecosistema de
actores involucrados (en este caso,
privados y pblicos).
Debo, por tanto, retractarme:
no estamos tan atrs, al menos
no en todos los mbitos. Tenemos
capacidades, valores diferenciales,
oportunidades por delante y una
buena lnea de avance marcada, que

debemos aprovechar como pas (y

como industria) para avanzar en el
posicionamiento internacional en la
ciberseguridad (industrial).
En cualquier caso, no caigamos
en la autocomplacencia. Tenemos
en comn con el resto de pases la
falta de solucin an a grandes retos
no conseguidos internacionalmente:
la comparticin de informacin entre
organizaciones (pblicas y privadas),
la estructuracin del reporte de incidentes de ciberseguridad, los modelos de gobierno de la ciberseguridad
de la Smart Grid, la llegada de las
tecnologas inteligentes (Smart Grid,
Smart Cities, Smart Homes) y la
Internet de las Cosas. Retos que, a
su vez, son oportunidades. Tenemos
dos opciones: continuar lamentndonos de nuestra situacin en algunos mbitos, o emplear ese tiempo y
esfuerzo en avanzar y posicionarnos
en esos mbitos donde an no hay
lderes claros. Yo tengo clara cul es
la opcin que he elegido, y t?

No tan atrs
Pero hay un aspecto del que, por la
parte que nos toca, estamos especialmente orgullosos: la colaboracin, comparticin y anlisis de informacin en el mbito industrial. En
este mbito, debo dejar de lado, por
unas lneas, la humildad obligada, y
compartir de qu manera el Centro
de Ciberseguridad Industrial (CCI) y
sus actividades se han convertido
en un referente internacional, no slo
en Europa, sino en Estados Unidos,

especial

red seguridad

septiembre 2014

41

asociacin
entrevista

Ramss
Gallego

Vicepresidente
internacional
de ISACA

El pasado mes de
junio, ISACA constituy
su nueva junta directiva,
en la que Ramss
Gallego volver a
ejercer el cargo
de vicepresidente
internacional. Durante

Afortunadamente, la
conciencia es cada vez mayor
y la ciberseguridad llega a los
consejos de administracin
Tx: E. Gonzlez y B. Valads
Ft: E.G.H.

la entrevista, el
tambin especialista en
estrategia de seguridad
y experto tecnolgico
de Dell Software
aborda cuestiones
como el programa
CSX para el desarrollo
profesional, la crisis
de talento o los retos
que deben afrontar
las empresas en un
mundo catico y
disperso.

42

red seguridad

Qu supone para usted haber

sido reelegido vicepresidente
internacional de una de las asociaciones de mayor relevancia
en el sector de las Tecnologas
de la Informacin (TI)?
Sin duda, es un orgullo y un privilegio. Y, al mismo tiempo, una
responsabilidad. Tenga en cuenta
que ISACA brinda servicio a ms
de 115.000 profesionales de todo
el mundo. De manera especial,
me satisface representar a los
chapters de Espaa y, por extensin, a toda la comunidad hispana vinculada a la asociacin. Este
ser mi tercer y ltimo ejercicio
como vicepresidente internacional y espero cerrarlo como los
anteriores: realizando un buen
trabajo.

septiembre 20104

Cmo valora su paso por la

vicepresidencia internacional de
ISACA y qu objetivos se ha marcado para este nuevo periodo?
La valoracin es muy positiva.
Adems, es un privilegio. Slo en el
primer semestre del ao he viajado
a casi veinte pases. Y eso es muy
enriquecedor tanto a nivel profesional
como cultural. He tenido la oportunidad de conocer cmo se trabaja
en Latinoamrica y tambin de qu
manera se afronta, por ejemplo, una
brecha de seguridad en Asia.
En cuanto a los objetivos, el ms
inmediato es continuar materializando la estrategia S22, que, como
revela su denominacin, concluir
en el horizonte de 2022. La misma
se desarrollar en tres horizontes o
fases y la aplicaremos en programas,
certificaciones, entregables, etc., que
contribuyan a hacer frente a los ries-

asociacin

entrevista

El programa CSX es un lugar central donde los

profesionales pueden encontrar todo tipo de
recursos relacionados con la ciberseguridad

gos de un mundo que cambia vertiginosamente.

Entre los ltimos proyectos de
ISACA destaca el programa
Cybersecurity Nexus (CSX). Cul
es su objetivo?
Desgraciadamente, no todo el
mundo es consciente de los ataques de hackers, del ciberespionaje,
etc., as que con CSX damos la
bienvenida a todos aquellos que un
buen da deciden interesarse por la
ciberseguridad. El programa se ha
convertido en un nexo, un lugar central donde los profesionales, desde
un licenciado en Telecomunicaciones
hasta un auditor, pueden encontrar
todo tipo de recursos relacionados
con la materia: guas, certificados,
acreditaciones
Sobre CSX, me gustara apuntar
que es un proyecto propio de ISACA,
aunque en el mismo tienen cabida organizaciones como la Cloud
Security Alliance (CSA), el Instituto
Nacional de Estndares y Tecnologa
(NIST) de EEUU, la Agencia Europea
para la Seguridad de las Redes y la
Informacin (ENISA), universidades,
empresas, etc. De hecho, la colaboracin es uno de los pilares en los
que se asienta la estrategia S22.
El estudio ISACA 2014 APT Survey
revela que uno de cada cinco
profesionales de seguridad informtica ha sido blanco de una
amenaza persistente avanzada
(APT). Cuando se hace referencia
a una crisis de habilidades o talento, debemos interpretar que la
misma es global o existen pases
donde el riesgo es mayor?
Yo dira que es global, si bien es
cierto que, desde un punto de vista
estratgico, hay pases ms preparados que otros. En el caso de
Espaa, y Red Seguridad ha ofrecido cumplida informacin sobre el

tema, se est avanzando mucho en

materia de ciberseguridad y hay un
proyecto definido: se ha aprobado
una Estrategia Nacional especfica,
contamos con centros de respuesta a incidentes informticos los
denominados CERT, tambin se
est prestando especial atencin a
la proteccin de las infraestructuras
crticas, etc.
Pero cuando hablamos de crisis
de talento, nos referimos, adems, al
empeo de focalizar todos los riesgos
en la tecnologa, algo lgico por otra
parte. Sin embargo, se suele olvidar
el factor humano, se deja de hacer
hincapi en cuestiones tan relevantes
como la cultura, la tica, las capacidades En una organizacin deberan preguntarse: Contamos con el
personal adecuado para gestionar
nuestra infraestructura de firewall o
desarrollar una app? Los profesionales, adems de estar preparados
desde una perspectiva operacional,
tambin lo han de estar ticamente
en aras de reforzar la seguridad.

delegado hasta el trabajador que

atiende al pblico en un mostrador.
El programa CSX ofrecer un certificado relacionado con la ciberseguridad. En qu consiste?
A diferencia de los otros cuatro certificados de la asociacin, el denominado Cybersecurity Fundamentals
Certificate est basado, nicamente,
en conocimiento. Los solicitantes
deben superar un examen y demostrar el dominio de la materia en
distintas reas, desde los principios
de la arquitectura de ciberseguridad
hasta la adaptacin a las tecnologas
emergentes. Para finales de este
ao, esperamos que el mismo tambin est disponible online.
A qu retos se enfrentan las
empresas y los desarrolladores de
soluciones de seguridad?

Al hilo de la pregunta anterior, las

compaas invierten lo suficiente
en ciberseguridad o en esta materia tambin hay carencias?
Intentar garantizar la seguridad al
cien por cien requerira un coste
inasumible, casi podra decirse que
hablamos de algo imposible o utpico. Pero, afortunadamente, la conciencia es cada vez mayor y el
tema de la ciberseguridad llega a
los consejos de administracin a
travs de los reportes anuales. En
cualquier caso, al margen de lo que
invierta cada compaa, creo que
falta visin: se protege el correo
electrnico o la nube pero no los
terminales mviles. En el concepto
de proteccin se han de tener en
cuenta todos los vectores. Y esa
cultura holstica debe calar en la
organizacin, desde el consejero

red seguridad

septiembre 20104

43

asociacin
entrevista

Sobre todo, a la globalizacin, aunque,

por temas de legislacin y regulacin,
hay que pensar en local. En el caso
de Espaa, entre otras, existe la Ley
Orgnica de Proteccin de Datos. Uno
de los grandes retos es la privacidad:
garantizar los datos de las personas,
preservar la propiedad intelectual, etc.
Volviendo al inicio de mi respuesta,
las empresas de nuestro pas tienen
una gran oportunidad de expansin
en los pases de habla hispana. En
definitiva, la seguridad es universal y en
cualquier lugar se deben afrontar riesgos similares: preservar la identidad de
una marca, proteger informacin, evitar
que se robe un diseo industrial
De todas formas, no debemos olvidar que, como escribi Alvin Toffler,
vivimos en un permanente estado
de futuro. As que se debe abrir la
mente, ya que todo cambia a la
velocidad de la luz. Haciendo alusin
a otra frase clebre, no deberamos
preguntarnos si vamos a ser atacados, sino cundo. No quiero parecer
pesimista, pero es la realidad
Cada cierto tiempo sale a la palestra un nuevo escndalo relacionado con la ciberseguridad que acapara las portadas de los medios
de comunicacin. Uno de los ms

No deberamos preguntarnos si
vamos a ser atacados, sino cundo.
No quiero parecer pesimista, pero
es la realidad
recientes ha sido el de la vulnerabilidad Heartbleed. Qu opina de
este caso?
Me ha parecido terrible, porque ha
impactado en un listado de empresas brutal. Y eso me lleva a pensar:
qu tipo de auditoras de ciberseguridad llevaban a cabo? Luego, la
respuesta que se dio creo que fue la
adecuada.
Se aprende de este tipo de
casos?
S, claro. Se aprende a base de
palos. Sucedi con el robo de informacin confidencial de tarjetas de
crdito de Target. Entonces, hubo
quien levant el telfono y pregunt:
Eso nos puede pasar a nosotros?
Es un ejemplo de que debemos estar
preparados continuamente, esperar
lo inesperado. Si no es maana ser

el mes que viene, pero aparecer

un titular que refleje que una gran
compaa, banco, asociacin, etc.,
ha sido objeto de un ciberataque. No
queda ms remedio que aprender en
un mundo catico y disperso repleto
de tecnologas, servidores, nubes,
sistemas operativos, aplicaciones
Qu grado de colaboracin existe entre las empresas para intentar
ordenar ese mundo tan catico y
reforzar su seguridad?
La colaboracin es necesaria y debe
ser pblico-privada. Y se ha de compartir toda la informacin disponible
sin poner en riesgo, obviamente, los
niveles de confidencialidad de cada
parte. Y en ISACA nos orgullecemos
de organizar foros en los que se promueve la cooperacin, vital, por ejemplo, en sectores como el de la sanidad.
Mi opinin es que empieza a surgir
una conciencia al respecto y que se
colabora cada vez ms. Al fin y al cabo,
debemos protegernos no slo empresarialmente, sino como sociedad.
Durante la entrevista se ha referido
a la Estrategia de Ciberseguridad
Nacional. Qu importancia le
concede a la misma?
Es fundamental. Como ciudadano, no
puedo sino agradecer que el Estado
vele por la seguridad de la sociedad,
protegiendo, por ejemplo, las consideradas infraestructuras crticas, ya que
un ataque a las mismas podra perjudicar gravemente a los intereses de
los ciudadanos. No ser una tarea fcil
porque hay muchos actores en juego,
pero, indudablemente, haba que
hacer algo, ya que, como a veces digo
en mis conferencias, la esperanza no
es una buena estrategia. Por lo tanto,
es una iniciativa necesaria, impensable hace unos aos, que aplaudo.

44

red seguridad

septiembre 20104

caso de xito

Centros de enseanza utilizan tecnologa

IRM para proteger la ventaja competitiva
de su innovacin
La red de centros educativos The New Kids Club utiliza Prot-On como solucin IRM (Information Rights
Management) para controlar el uso de todas las copias de sus documentos, independientemente de
dnde estn, pudiendo decidir en tiempo real quin, cundo y para qu acceden a ellos.

Tx. y Ft.: Prot-On

The New Kids Club (TNCK) es una red
de centros de enseanza franquiciados
que, con un enorme esfuerzo tras de s
en innovacin de metodologa pedaggica, tecnologa y procedimientos, est
posicionndose como un referente en el
desarrollo de servicios de enseanza de
ingls. Su mtodo, The New Kids Club
Method integra facetas como el refuerzo
acadmico, la ludoteca, las actividades
vacacionales durante todo el ao, la psicopedagoga, etc., todo ello destinado
a nios y nias de uno a diecisis aos.
TNKC nace en Figueres (Girona) en el
ao 2002 y desde entonces ha logrado
que sus alumnos alcancen un nivel de
ingls B2 o First Certificate al finalizar la
escolarizacin obligatoria, siendo centros
autorizados por la Univ. de Cambridge.
Despus de haber implantado con
xito durante 2013 su exclusivo modelo
educativo en sus primeras franquicias
de Zaragoza, Castelldefels (Barcelona),
San Cristbal de la Laguna y Adeje en
Tenerife, TNKC duplican su red de centros a partir de septiembre de 2014 con
aperturas en San Sebastin de los Reyes
(Madrid), Santander, Sevilla y los centros de Badalona y Santa Perptua de
Mogoda en Barcelona.
Desde el pasado curso, TNKC est
utilizando la solucin Prot-On para gestionar la seguridad de toda su documentacin, tanto de las funciones administrativas como del material docente utilizado.
Dado el alto grado de digitalizacin de
toda su informacin y de la dispersin
inherente al modelo de franquicias, TNKC
requiere no slo una robusta proteccin
de los documentos que comparte en la
red, sino tambin el seguimiento y control
de todos sus movimientos.

46

red seguridad

Contribucin de Prot-On
Prot-On permite a TNKC proteger su
documentacin estratgica mediante el
cifrado de la misma y gestionar en todo
momento quin tiene acceso a estos
documentos. De modo que, incluso
despus de haber compartido un archivo, se puede impedir que se vuelva a
acceder al mismo o decidir durante
qu periodo de tiempo puede utilizarlo.
Podr dar o quitar permiso para modificarlo, imprimirlo, copiarlo, etc., en tiempo
real, est donde est el documento.
As, la empresa es en todo momento
propietaria de la informacin que comparte: cada vez que un usuario (alumno,
profesor, trabajador) intenta acceder a
un documento protegido, Prot-On comprueba si est autorizado para ello y, en
ese caso, le da acceso para hacer con
ese documento estrictamente lo que
est autorizado a hacer. Asimismo, se
guardar tambin un registro de actividad de cada documento quin accedi
a l, cundo, desde dnde y para qu.
Los documentos protegidos pueden
estar almacenados en los propios dispositivos del usuario (Windows, Mac,
Android o iOS) o en la nube, ya que ProtOn es compatible con Dropbox, Box,
Google Drive, OwnCloud o SharePoint.
Este tipo de soluciones son muy
demandados en el mbito empresarial

septiembre 2014

por compaas como The New Kids Club

que quieren proteger la informacin crtica o estratgica para su negocio respecto a prcticas desleales de empleados,
ex empleados, alumnos, etc., que tienen
acceso a la informacin de la compaa
desde sus propios dispositivos y que
podran utilizarla ilegtimamente.
Prot-On se impone como el estndar
entre las soluciones IRM por su excelente combinacin de robustez en la
proteccin, su facilidad de uso y gran
asequibilidad. Prot-On es gratuito para
usuarios particulares que usen funcionalidades bsicas. sta es tambin una
enorme ventaja cuando las compaas
quieren compartir informacin protegida
con usuarios externos, en este caso
alumnos.
Las empresas pueden utilizar ProtOn en la modalidad SaaS (el servidor es
el pblico de Prot-On) o en on-premises
(el servidor es del cliente), y su importe
depende del nmero de usuarios.
As pues, sin implantar costosas
herramientas y sin alterar los procesos
de trabajo de empleados, las empresas pueden protegerse ante posibles
fugas de informacin que ponen en
peligro su propia supervivencia. Las
tecnologas IRM de nueva generacin
ya lo permiten. Y Prot-On es su principal referente.

actualidad tecnolgica

evento

8ENISE: La Estrategia de
Ciberseguridad Nacional a examen
Un ao ms, y ya son ocho, Inteco cumple con su cita anual reuniendo a los
diferentes agentes del sector de la ciberseguridad en torno a la octava edicin de
ENISE, el Encuentro Internacional de Seguridad de la Informacin.

Elena Carrera
Murciego
Departamento de Comunicacin del
Instituto Nacional de Tecnologas de la
Comunicacin (Inteco)

Durante los das 28 y 29 de octubre, Len acoger de nuevo a las

principales figuras del mbito de la
ciberseguridad, en un espacio para
el anlisis y la reflexin, en el marco
del histrico e incomparable Parador
Hostal San Marcos de Len.
En 2014 hemos contemplado la constitucin del Consejo de
Ciberseguridad Nacional, liderado por
el Consejo de Seguridad Nacional, el
cual se creaba a su vez en 2013 y aprobaba la Estrategia de Ciberseguridad
Nacional, el 5 de diciembre, con el
objetivo principal de responder y prevenir las amenazas, agresiones y riesgos que puedan afectar en el ciberespacio a la seguridad nacional. Por
ello este ao, sin duda, ha sido muy
importante para el mundo de la ciberseguridad en Espaa y el eje central
de 8ENISE tena que ser indiscutiblemente el anlisis de la Estrategia,
sus implicaciones, pero tambin sus
primeros pasos.
Bajo el lema "La Estrategia de
Ciberseguridad Nacional a Examen",
ENISE promover el anlisis y reflexin
sobre los retos y los avances afrontados por dicha estrategia, incidiendo
48

red seguridad

especialmente en la cooperacin pblico-privada y las oportunidades que

sta representa para el desarrollo de la
industria de ciberseguridad en Espaa.
Asimismo se revisarn los resultados

el logro de la ciberseguridad nacional,

y define el marco de coordinacin de
la poltica de ciberseguridad. Su papel
vertebrador pretende facilitar la mejor
coordinacin de todos los agentes
e instrumentos relacionados con la
ciberseguridad, recogiendo numerosas medidas para ello. En este contexto, se abordarn las implicaciones
del decidido impulso a la cooperacin
entre agentes pblicos, y tambin entre
stos y el sector privado, con el fin de
cubrir las necesidades de prevencin,
defensa, deteccin, respuesta y recuperacin frente a las ciberamenazas.
En este sentido, el debate permitir
poner de relevancia la percepcin y las
necesidades del sector privado, a efectos de facilitar frmulas de cooperacin
pblico-privada eficaces y que resultan
esenciales para que la Estrategia de
Ciberseguridad Nacional alcance los
objetivos previstos. El principal come-

El 8ENISE permitir poner de relevancia

las necesidades del sector privado,
a efectos de facilitar frmulas de
cooperacin pblico-privada eficaces
del Acuerdo de colaboracin entre el
Ministerio del Interior y el Ministerio de
Industria, Energa y Turismo para la
mejora de la lucha contra la ciberdelincuencia y el ciberterrorismo, suscrito
en octubre de 2012; las perspectivas
generadas por la creacin del Mando
Conjunto de Ciberdefensa, en febrero
de 2013, y los avances en la ejecucin
de la Agenda Digital para Espaa y su
Plan de Confianza en el mbito digital.
La Estrategia no slo delimita el
entorno del ciberespacio, fija principios, objetivos y lneas de accin para

septiembre 2014

tido no es otro que garantizar la adecuada proteccin del ciberespacio, un

entorno que forma parte de nuestra
vida cotidiana y que requiere, por tanto,
del establecimiento de un clima de
confianza.
El octavo ENISE pretende adems
revisar y profundizar en la adecuacin de tales lneas de accin ante
la aparicin de amenazas cada vez
ms complejas y sofisticadas, as
como identificar los aspectos ms
destacables relativos a la organizacin y coordinacin de las estrategias

actualidad tecnolgica

El secretario de Estado de Seguridad, Francisco Martnez Vzquez, y el de

Telecomunicaciones y para la Sociedad de la informacin, Vctor Calvo-Sotelo,
durante la inauguracin del 7ENISE.

y capacidades disponibles por parte

de los diferentes agentes involucrados en la ciberseguridad.
8ENISE arrancar con una sesin
inaugural de elevado nivel que pone
de manifiesto la apuesta del Gobierno
por la ciberseguridad, con la presencia un ao ms de la Secretara
de Estado de Telecomunicaciones y
para la Sociedad de la Informacin y
la Secretara de Estado de Seguridad.
A continuacin tendrn lugar las
sesiones especficas de trabajo,
abordndose en primer lugar los
principales avances en la puesta en
marcha y desarrollo de la Estrategia
de Ciberseguridad Nacional.
Las capacidades para la persecucin de los ciberdelitos pondrn fin
a la primera jornada. La ciberdelincuencia es uno de los mbitos delictivos de mayor crecimiento durante
los ltimos aos, apoyndose en la
facilidad, anonimato y rapidez con el
que se pueden realizar los mismos a
travs de Internet. Diferentes agentes
responsables de su investigacin y
su persecucin detallarn de qu
modo trabajan y cmo prevn su
evolucin en su futuro ms cercano.
Durante el segundo da sern objeto
de debate los instrumentos de lucha
contra el ciberespionaje, las nuevas
amenazas y los riesgos emergentes
en la ciberseguridad, as como el
ciberespacio como un elemento catalizador de la innovacin tecnolgica.
Desde INTECO se ha conformado
para esta nueva edicin un programa
de carcter eminentemente prctico
y profesional, en el que estarn pre-

sentes los organismos e instituciones

nacionales e internacionales clave en
el desarrollo de la ciberseguridad y
en el que se contar con expertos
de referencia y a la vanguardia de la
innovacin en este sector.
Estas sesiones profesionales sern
completadas en paralelo con otras
iniciativas transversales de inters.
As, se ha organizado junto al CNPIC
(Centro Nacional de Proteccin de
Infraestructuras Crticas), por segundo ao consecutivo, el encuentro de
trabajo de operadores de infraestructuras crticas, se realizar tambin
una presentacin de los ciberejercicios 2014 y tendr lugar la conferencia final del proyecto europeo
ASASEC.
CyberCamp
Permtannos que aprovechemos
adems esta ocasin que nos brinda

evento

la editorial Borrmart para hablarles

del evento CyberCamp, que tendr
lugar del 5 al 7 de diciembre en
Madrid y que nace con el objetivo
de promover el talento y el inters
en la ciberseguridad entre los jvenes, as como acercar este mbito a las familias. La organizacin
del evento se enmarca en el eje 5
del Plan de Confianza en el mbito Digital Programa de Excelencia
en Ciberseguridad, dentro de la
Agenda Digital de Espaa.
CyberCamp es un evento complementario que se construye sobre
el ecosistema actual de eventos de
confianza digital, y en un modelo de
colaboracin pblico-privada con los
principales agentes en ciberseguridad. Se ha diseado a travs de
un proceso abierto y transparente
considerando los intereses y motivaciones de los jvenes con perfil tcnico. Diversos incentivos tales como
oportunidades laborales e itinerarios
formativos, motivarn a los participantes a travs de conferencias internacionales, encuentros con expertos,
retos, talleres tcnicos y de habilidades emprendedoras o pruebas
prcticas, entre otros, sin olvidar que
todo se desarrollar en un entorno de
encuentro para compartir experiencias entre estudiantes, profesionales
y gurs de la ciberseguridad.
La captacin de talento para
CyberCamp se llevar a cabo previamente mediante diferentes pruebas tcnicas y retos online, con el fin
de conseguir a los mejores participantes en materia de ciberseguridad. Y como no hay esfuerzo sin
recompensa, los mejores sern premiados.

red seguridad

septiembre 2014

49

infraestructuras crticas
opinin

SCADA LAB, promoviendo la ciberseguridad

en sistemas de control industrial

Servicio de
Ciberseguridad
del CNPIC

El Centro Nacional para la Proteccin

de las Infraestructuras Crticas (CNPIC),
entre las funciones que tiene encomendadas, tiene como misin impulsar la
investigacin, el desarrollo y la innovacin de aquellas iniciativas que pudieran
resultar en un beneficio directo o indirecto a los operadores que gestionan
infraestructuras que proporcionen servicios esenciales. Entre estas iniciativas,
se encuentra la participacin en proyectos cofinanciados dentro de los programas marco nacionales y europeos en
curso. Uno de los programas europeos
ms directamente relacionados con la
proteccin de las infraestructuras crticas es el conocido como Programa
CIPS (formalmente The Prevention,
Preparedness and Consequence
Management of Terrorism and other
Security-related Risks Program), en el
que el CNPIC participa activamente en
las figuras de advisory boar y partne
en proyectos en curso como SCADA
LAB (www.scadalab.eu) y CIISC-T2
(www.ciisct2), y otros proyectos ya finalizados, como CloudCERT (cloudcert.
european-project.eu).
Como bien es conocido, los sistemas encargados de monitorizar y/o
controlar de forma centralizada y en
tiempo real un determinado proceso
industrial es lo que definimos como sistemas SCADA. Un sistema de este tipo
podra ser el que controla, por ejemplo,
la gestin de la distribucin de energa
elctrica en una determinada regin.

50

red seguridad

Estos sistemas, diseados en origen para trabajar en entornos aislados, toman datos de mltiples sensores y actan sobre equipos remotos
como vlvulas o bombas, por lo que
son muy utilizados en la industria para
controlar los procesos. Inicialmente
diseados para mejorar la funcionalidad, son equipos altamente redundados y muy robustos.
Los SCADA contienen servidores
y aplicaciones que realizan funciones
clave en los procesos industriales,
y, por tanto, estn presentes en las
Infraestructuras Crticas y estratgicas
en cuanto a que potencialmente controlan la manera en que se prestan
algunos de los servicios esenciales
que la sociedad demanda. Al basarse
estos sistemas en las tecnologas de
la informacin y las comunicaciones,
se requiere una especial atencin en
su proteccin, dada la variedad de
amenazas existentes en el ciberespacio.
Por otro lado, y debido a los largos
plazos de amortizacin de las infraestructuras que proporcionan estos
servicios esenciales, hacen que las
tecnologas sobre las que descansa
el control de los procesos de produccin estn potencialmente basadas
en sistemas propietarios y obsoletos. Cuando los operadores de estas
infraestructuras desarrollan sistemas
complementarios y ms avanzados
de supervisin de los procesos de

septiembre 2014

produccin, en ocasiones este hecho

se sustancia mediante una conexin
fsica entre las redes corporativas y las
redes industriales. Si esta conexin no
lleva asociada una adecuada implementacin de sistemas de seguridad
de la informacin que impidan de
manera razonable la intrusin en esos
sistemas, la continuidad de los servicios que prestan estos operadores
podra verse comprometida.
SCADA ms seguros
Al objeto de definir y aumentar las
medidas de proteccin de este tipo
de sistemas, que tradicionalmente han
priorizado garantizar la disponibilidad
del servicio frente a la seguridad, se
est llevando a cabo una iniciativa de
gran impacto, SCADA LAB (SCADA
Laboratory and test bed as a service
for Critical Infrastructure Protection), el
cual es un proyecto cuyo consorcio
est liderado por el Instituto Nacional
de Tecnologas de la Comunicacin
(Inteco) y formado por entidades
como AEI Seguridad, Everis, Europe
For Business, Telvent Energa, Telvent
Global Services, Zanasi & Partners,
NISZ y el CNPIC.
El objetivo principal del proyecto
es la realizacin, de forma remota,
de evaluaciones de seguridad en
entornos basados en sistemas de
control industrial, pudindose llevar a
cabo tanto en entornos en produccin como simulados, y teniendo en

infraestructuras crticas

opinin

El objetivo principal del proyecto SCADA LAb es la

realizacin de evaluaciones de seguridad en entornos
basados en sistemas de control industrial

cuenta que una evaluacin de este

tipo en un entorno real podra resultar en una interrupcin del servicio
prestado.
Las actividades principales del proyecto son:
a) Diseo de una metodologa de
pruebas que recoja todos los pasos
necesarios para llevar a cabo una
evaluacin remota de seguridad sobre
entornos industriales.
b) Implementacin de un laboratorio que proporcione la arquitectura necesaria para lanzar pruebas de
seguridad y genere informes con los
resultados obtenidos de forma automtica.
c) Implementacin de un banco de
pruebas (test bed) que albergue un
sistema de control industrial objeto de
evaluacin, tipo SCADA, incluyendo
aplicaciones de control, automatizacin y supervisin, as como, dispositivos de campo, PLC, etc.
d) Desarrollo de un asistente que
permita guiar al operador de la infraestructura crtica a lo largo de todo el
proceso de evaluacin.
Esta iniciativa va ms all del mero
anlisis de funcionalidades de las
soluciones de seguridad especficas
de las tecnologas industriales, ya que
permite probarlas en un modelo realista anlogo a un entorno en produccin. Esto permite conocer las
limitaciones de un producto antes
de considerarlo como una posible
solucin, o garantizar que proporciona determinadas funcionalidades de
seguridad.
El diseo del SCADA LAB se divide
tcnicamente en dos reas: el laboratorio (Laboratory Area) y el banco de
pruebas (Test Bed Area). El rea de
laboratorio gestiona la planificacin de
las pruebas y el banco de pruebas es
el entorno que se evala y el contexto
donde se llevan a cabo las pruebas.
Adems, en la implementacin de
la arquitectura se utiliza un agente, de
manera que las pruebas de seguridad

se puedan lanzar sobre los bancos

de pruebas tanto en un entorno local
como remoto, a travs de redes tuneladas.
Tres niveles
Por otro lado, el rea del banco de
pruebas se ha diseado con el objetivo de buscar una fiel aproximacin
a los entornos reales que sern el
objetivo de la evaluacin. Por este
motivo, el banco de pruebas incluye
los tres niveles que conforman la
arquitectura bsica de un sistema de
control industrial, desde las entidades de ms alto nivel en la jerarqua
SCADA, hasta los elementos ms
bsicos en la zona de camp):
a) Nivel de Campo y Control: Este
primer nivel contiene, por un lado, los
dispositivos que gestionan los sensores y actuadores finales, tales como
PLC, IED o RTU. Estos dispositivos
permiten a los sensores y actuadores operar juntos para llevar a cabo
el proceso de fabricacin definido.
Por otro lado, contiene los sensores
(elementos de medicin) y actuadores
(elementos de accin) finales.
b) Nivel de Comunicacin: El segundo nivel se refiere a la interfaz de comunicacin entre los dispositivos de campo
y control y el nivel de supervisin.

c) Nivel de Supervisin: Este ltimo nivel abarca todos los elementos

que permiten el control y la monitorizacin de los dispositivos del nivel
de campo y control. Este nivel incluy:
servidores SCADA, estaciones de
trabajo de monitorizacin, servidores OPC, servidores de datos, etc.
De esta manera, el laboratorio permite a proveedores de soluciones
de seguridad y a fabricantes de
sistemas de control, automatizacin
y supervisin industrial, validar conjuntamente la correcta integracin e
interoperabilidad de las soluciones
de seguridad TIC con aplicativos y
soluciones concretas de informtica
industrial.
Por ltimo, destacar que la utilizacin de esta arquitectura permite
disponer de un modelo realista de
trabajo, y la garanta de que no habr
daos colaterales sobre la infraestructura original. Del mismo modo, se
facilita el correcto proceso de una
evaluacin de seguridad, ya que se
reducen los elementos de riesgo propios de una infraestructura original
pudiendo probar de forma emprica y
en tiempo real las distintas configuraciones para obtener diferentes valoraciones de seguridad.

red seguridad

septiembre 2014

51

caso de xito

Telefnica Global Technology consolida la

seguridad de sus CPD europeos con Fortinet
En abril de 2013, Telefnica inaugur en el Parque
Cientfico y Tecnolgico de Alcal de Henares
(TecnoAlcal), el mayor centro de datos del mundo con
la calificacin Tier IV Gold del Uptime Institute que le
posiciona como el primer CPD de Europa en eficiencia TI.
Desde esta instalacin, la compaa ofrece servicios de
computacin en la nube y de procesamiento masivo para
todo tipo de empresas, aloja las plataformas de los clientes
de la firma y otros sistemas e infraestructuras TI internas,
stas propiedad de Telefnica Global Technology (TGT), la
divisin global de Telefnica encargada de los sistemas y
comunicaciones internos entre las compaas del grupo.
Tx: y Ft: Fortinet.
Como consecuencia de un proceso de
optimizacin operativa y de costes, la
compaa decidi consolidar sus principales cuatro Data Centers de Europa
(Espaa, Reino Unido, Alemania y, en
aquel entonces, Repblica Checa) y el
Data Center de Telefnica Corporativo,
en un nico espacio, el nuevo Data
Center de Alcal. Se trataba de un
ambicioso proyecto que comprenda
networking, servidores, almacenamiento, etc., y tambin seguridad, que
inclua a su vez una completa solucin
de firewall. Para llevar a cabo la seleccin de esta ltima, la compaa evalu diferentes opciones de fabricantes
de firewall, quedando en la shorlist
Fortinet y CheckPoint.
Tras un exigente proceso de seleccin, Telefnica adjudic el proyecto
de firewall de su nuevo Data Center a
Fortinet. Para la toma de esta decisin,
TGT valor que, adems de cumplir
con todos los requisitos de alto rendimiento, escalabilidad, virtualizacin,
facilidad de uso y reporting, la oferta
de Fortinet ofreca una inmejorable
relacin precio-rendimiento.
La ejecucin del proyecto fue adjudicada a Telefnica Soluciones, compaa perteneciente al Grupo Telefnica
y partner Gold de Fortinet. Se ha
contemplado una compleja arquitectura lgica para la que se hace muy
apropiado el uso de las capacidades
de virtualizacin de FortiGate (VDOM),

52

red seguridad

ya que uno de los requisitos era separar y proteger las diferentes zonas de
seguridad dentro del centro de datos.
Gracias a ella, sobre una misma plataforma fsica se pueden habilitar de
manera muy sencilla y rpida entornos
virtuales, completamente independientes unos de otros, que proporcionen funciones de seguridad totalmente
configurables por separado.
El alcance del proyecto se resume en cinco Data Center equipados
cada uno con cuatro chasis FortiGate5060DC para formar dos clsteres
geogrficamente separados entre el
Alcal Data Center (Clster principal) y
el Data Center de Julin Camarillo en
Madrid (Clster de respaldo), cada uno
de los chasis equipados inicialmente
con un blade FortiGate-5001B y con
la posibilidad de incrementar varias
veces su capacidad inicial mediante la
simple adicin de nuevas tarjetas.
Internamente, en cada clster se han
configurado Virtual Domains para dar
servicio a firewalls virtuales de Front
End, Back End, Intranet y otros. En
total, Fortinet ha equipado 18 clsteres con chasis FortiGate-5060DC y 18
blades FortiGate-5001B. As, Telefnica
se asegura que en cualquier momento
podr incorporar nuevas funcionalidades de seguridad en el proyecto.
Para la administracin y el reporting centralizado se han implementado dos FortiManager-3000C y dos
FortiAnalyzer-4000B. La compaa
tiene previsto aumentar la infraestruc-

septiembre 2014

tura fsica (blades) y lgica (VDOM) en

sucesivas fases del proyecto.
El FortiManager permite simplificar
drsticamente las tareas de administracin de los numerosos firewalls fsicos y
virtuales configurados en la solucin, al
centralizar en una sola consola todas las
tareas de gestin de polticas y configuraciones. FortiAnalyzer, por su parte, no
slo permite recoger y almacenar logs
de los eventos que TGT desee, sino que
adems proporciona capacidades de
generacin de informes de todo tipo,
de manera flexible y sencilla. Ambas
plataformas permiten la creacin de
entornos virtualizados de administracin
y de gestin de informes, con los que
poder formar, por ejemplo, jerarquas
de administracin o delegar funciones
de administracin o capacidades de
visualizacin o generacin de informes.
El alto nivel de satisfaccin de TGT
con el rendimiento ofrecido por los
equipos Fortinet ha llevado a la compaa a planificar la ampliacin de su
capacidad en cuanto al nmero de
entornos virtuales en funcionamiento
y a plantearse la posibilidad de activar
alguna de las funcionalidades adicionales disponibles en las plataformas.
Este proyecto demuestra la confianza depositada por Telefnica en la tecnologa Fortinet. Es el primer paso en el
desarrollo de una plataforma que seguir creciendo a medida que se aprovechen las capacidades de los dispositivos Fortinet, seal Acacio Martn,
director general de Fortinet Iberia.

al servicio de la seguridad
Socios Protectores:

www.fundacionborreda.org

empresa

noticias
Everis participa en el proyecto CAMINO para definir la
hoja de ruta contra el cibercrimen y el ciberterrorismo
La

Everis aeroespacial y
forma parte del consorcio de
empresas europeas que trabajan en
el proyecto CAMINO (por sus siglas
en ingls, Comprehensive Approach
to cyber roadMap coordINation and
develOpment), que contribuir a definir las lneas de investigacin en ciberseguridad y ciberterrorismo en Europa
en los prximos dos aos.
Con un presupuesto de 1,2 millones de euros, la iniciativa tiene dos
propsitos principales: desarrollar una
agenda exhaustiva de investigacin
en cibercrimen y ciberterrorismo, e
iniciar actividades a largo plazo para
proveer una plataforma estable que
cuente con expertos y organizaciones
de investigacin en ciberseguridad.
Para ello, el proyecto, liderado por
ITTI (Polonia), se apoya en un consorcio de diez empresas
europeas con diferentes perfiles que responden a cuatro pilares principales: ticos,
tecnolgicos, organizativos y legales.
divisin

defensa

Por su parte, la labor de Everis

Aeroespacial y Defensa ser identificar
posibles carencias y desafos a partir
del anlisis de las directrices, hojas de
ruta y estrategias de ciberseguridad
existentes con el fin de completarlas;
as como seleccionar soluciones prometedoras de la investigacin actual
para potenciar su ejecucin.
Adems, realizar un anlisis de
riesgos sobre activos que se han
de proteger en Europa identificando amenazas, vulnerabilidades y
una revisin del estado del arte de
capacidades tecnolgicas que deben
ser potenciadas. Por ltimo, llevar
a cabo una serie de entrevistas con
expertos para completar los estudios
y anlisis realizados sobre la situacin
de la ciberseguridad en Europa; y
completar el estudio de tecnologas
con un anlisis de
los aspectos ticoshumanos, organizacionales y regulatorios actuales que se
aplican en el campo
de la ciberseguridad.

Apple e IBM firman un acuerdo mundial para

transformar la movilidad empresarial
Redefinir el modo en que se trabaja
en las organizaciones, solucionando
los principales retos empresariales e
impulsando un cambio basado en la
movilidad. Con este objetivo Apple
e IBM ha anunciado la firma de un
acuerdo de colaboracin mundial que
se sustenta en cuatro pilares principales: el desarrollo para iPhone e iPad de
ms de un centenar de aplicaciones
especficamente orientadas al entorno
empresarial bajo la plataforma IBM
MobileFirst para iOS; la optimizacin
de los servicios cloud de IBM para
iOS, incluyendo gestin de dispositivos
a gran escala, seguridad, analtica e
integracin mvil; la creacin de un
nuevo servicio y soporte denominado
AppleCare y adaptado a las necesidades de cada empresa; y la comercializacin de nuevas propuestas empaquetadas de IBM para la activacin de
dispositivos, suministro y gestin.
Segn Tim Cook, CEO de Apple,
por primera vez estamos poniendo las
prestigiosas capacidades de big data
54

red seguridad

y analtica de IBM en las manos de los

usuarios de iOS, lo que abre una gran
oportunidad de negocio para Apple.
Por su parte, Ginni Rometty, presidenta
y CEO de IBM, seala: "Esta alianza
impulsar de forma definitiva la introduccin global de estas innovaciones
en nuestros clientes y aprovecha el
liderazgo de IBM en analtica, cloud,
software y servicios".
De esta forma, la alianza une las
capacidades tecnolgicas de IBM,
con ms de cien mil consultores en
distintas industrias, con la experiencia
de usuario e integracin de Apple.

septiembre 2014

Red Hat adquiere la

empresa eNovance
La compaa Red Hat ha acordado la adquisicin del proveedor
de servicios de cloud computing
open source eNovance por un
importe que ronda los 50 millones
de euros en efectivo y 20 millones
de euros en acciones ordinarias
de Red Hat.
La relacin entre ambas empresas se remonta al ao pasado,
cuando se asociaron para ofrecer servicios de implementacin
e integracin de OpenStack para
las organizaciones.
Ahora, con esta adquisicin,
Red Hat quiere satisfacer la creciente demanda de consultora,
diseo y despliegue empresarial
de OpenStack incorporando las
capacidades de integracin de
sistemas y el talento tcnico de
eNovance.

Trend Micro
presenta su nuevo
programa de canal
Trend Micro Partner Program
es el nombre del nuevo programa de canal que acaba
de anunciar la compaa y
cuyo objetivo es incrementar
an ms la productividad y
rentabilidad de sus ms de
50.000 socios de canal en el
mundo. Tiene la particularidad de que combina los elementos clave de sus programas de partners regionales
con el de Norteamrica para
ofrecer ahora uno nuevo y
alineado en el mbito global.
El programa, cuya implementacin se completar
durante el primer trimestre
de 2015, incluye una estructura de compensacin mejorada y una segmentacin de
partners claramente definida;
una organizacin de los distribuidores estandarizada por
niveles; y equipos de consultores expertos dedicados a
identificar, desarrollar y asegurar nuevas oportunidades
de negocio con los socios.

empresa

noticias

Panda Security lanza un nuevo servicio que asegura todas las aplicaciones ejecutadas
Panda Security anunci en junio el lanzamiento de Panda Advanced Protection
Service (PAPS), un nuevo servicio de
la compaa espaola de ciberseguridad "que muestra el camino hacia el
que debera dirigirse la industria. As
lo transmiti Diego Navarrete, CEO de
la empresa, en un acto para la prensa
internacional celebrado en Madrid.
PASP es un servicio para el control
de aplicaciones enfocado a grandes
usuarios, que rompe con el tradicional sistema de deteccin de software maligno basado en listas negras.
Segn explic Navarrete, esta solucin
plantea un modelo en el que se pasa
"de un modelo enfocado casi exclusivamente en tcnicas de deteccin de
lo que es malo o sospechoso, a otro
centrado en asegurar la clasificacin y
seguridad de todo lo que se ejecuta,
aunque no haya saltado ninguna alerta
en los algoritmos de deteccin". Este
servicio "reduce prcticamente a cero
la posibilidad de que el malware no sea
descubierto", afirm el CEO de Panda,
y "clasifica todo lo que se intenta ejecutar y contina monitorizando todas

mente toda la actividad de las aplicaciones en los endpoint y permite

obtener una trazabilidad completa de
dicha actividad". "En estos momentos,
ningn proveedor de la industria del
software de proteccin cuenta con una
herramienta similar", apostill.

Diego Navarrete, CEO de

Panda Security.

las acciones realizadas por las aplicaciones para proteger tambin contra
posibles ataques a vulnerabilidades de
aplicaciones legtimas".
Por su parte, Josu Franco, vicepresidente de Desarrollo de Negocio
Corporativo de Panda, explic que
PASP "clasifica y monitoriza continua-

Resultados probados
El nuevo servicio es el resultado de
dos aos de trabajo de investigacin,
desarrollo y ensayos de la compaa
espaola, que ya ha probado la eficacia
de esta herramienta en clientes como
Eulen o Mecalux. Tambin ha complementado soluciones de partners, como
es el caso del Centro de Operaciones de
Ciberseguridad de Indra. "Los partners
son una pieza clave en la estrategia de
PASP, puesto que atienden a las necesidades de ciberseguridad global de los
clientes corporativos. Por ello, creemos
que PASP les ofrece una excelente
oportunidad para satisfacer las demandas de aquellos clientes preocupados
por el riesgo que corren sus datos y su
capital intelectual ante ataques dirigidos", asegur Franco.

BREVES
Solucin de F5 para
el APC de Cisco

ESET celebra el III

Security Forum

F5 Networks ha anunciado una solucin para Cisco Application Policy

Infrastructure Controller (APIC) que
permite a los clientes con dispositivos de F5 desplegar servicios de
aplicacin basados en polticas en
las capas 2-7 de red. De esta manera, quienes utilicen tecnologas de
Cisco y F5 de forma conjunta podrn
reducir los costes de operacin manteniendo los mismos niveles de seguridad, disponibilidad y rendimiento.

El derecho al olvido, la ciberguerra, el

ciberacoso y las bitcoines han sido
los ejes principales sobre los que
gir el debate durante la III ESET
Security Forum, una jornada que
peridicamente celebra el fabricante
y que cont con representantes de
Inteco, la Guardia Civil o la Asociacin
Nacional de Ciberseguridad y Pericia
Tecnolgica (ANCITE), entre otros.

Nueva divisin de
seguridad de Avnet
Avnet Technology Solutions, mayorista global de soluciones TI y grupo
operativo de Avnet, ha anunciado
el lanzamiento de una divisin en
EMEA: Avnet Security & Networking
Solutions (ASNS). Su cometido ser
ayudar a impulsar an ms su porfolio de soluciones y servicios de
seguridad y networking.

HP Atalla
HP ha lanzado las nuevas soluciones
HP Atalla, dirigidas a organizaciones
que necesitan proteger su informacin confidencial, como instituciones financieras, energticas, distribuidores, proveedores de atencin
sanitaria o gobiernos. Su finalidad
es proporcionar proteccin a la informacin almacenada de forma local
o en la nube, as como para datos
no estructurados como correos
confidenciales, facturas o historiales
mdicos electrnicos.

'Malware' desconocido
Kaspersky Lab ha hecho pblica una
investigacin que revela la existencia
de una infraestructura internacional
utilizada para controlar de manera
remota implantaciones de malware y
que tambin ha permitido identificar
troyanos mviles para Android e iOS
hasta ahora desconocidos. Segn
la compaa, estos mdulos forman
parte de una solucin supuestamente legal, llamada Remote Control
System (RSC), tambin conocida
como Galileo, y desarrollada por la
compaa italiana Hacking Team.

Las prdidas causadas

por el cibercrimen
Sogeti, en colaboracin con IBM, ha
publicado el libro Staying ahead in the
Cyber Security Game, en el que se
describen las amenazas, los cambios
y los desafos en materia de seguridad a los que se enfrentan las empresas. En l se estima que el dao total
causado por el cibercrimen ronda los
500.000 millones de dlares.

red seguridad

septiembre 2014

55

empresa

noticias

nombramientos
Javier J. Corrales
Responsable de Desarrollo de Negocio de
S2 Grupo
Este ingeniero de Telecomunicaciones por la Universidad
Politcnica de Madrid se incorpora a la empresa espaola
especializada en ciberseguridad S2 Grupo proveniente de
Verizon, con el objetivo de reforzar el posicionamiento de la
compaa en Espaa, Colombia, Rumana y Mxico.

Albert Puigsech
Gerente de la oficina de Barcelona de EY
La compaa refuerza su divisin de Seguridad de la
Informacin, dentro del rea de Consultora, con la
incorporacin de Puigsech como gerente de la oficina
de Barcelona. Su objetivo ser impulsar en los clientes
los servicios de TI como proyectos de Penetration
Testing, Vulnerability Assessment Web Application
Security Analysis, Hacking tico o servicios de anlisis
forense en el entorno informtico, entre otros.

lvaro Barge
Director de TI de Brightstar 20:20 Mobile
El distribuidor especializado en telefona mvil Brightstar
20:20 Mobile ha anunciado el nombramiento de lvaro Barge
como nuevo director de Tecnologa, en sustitucin de Csar
Colado, que asume responsabilidades europeas. Barge,
ingeniero de telecomunicaciones, tendr como objetivo
liderar los procesos de calidad y de desarrollo de soluciones
personalizadas para los clientes de la empresa.

ESTUDIOS
Ciberataques disruptivos
Segn un estudio de BT presentado recientemente, los ciberataques disruptivos son
cada vez ms eficaces a la hora de traspasar las defensas de seguridad, causando
graves trastornos y a veces dejando a las
empresas y organismos pblicos inoperativos durante jornadas enteras. Esta investigacin revela que el 41 por ciento de las
organizaciones de todo el mundo se vieron
afectadas por los ataques distribuidos de
denegacin de servicio (DDoS) en el ltimo
ao, y tres cuartas partes de ellas (78 por
ciento) lo sufrieron dos o ms veces en ese
mismo ao. De ah la inquietud a escala
global de las firmas consultadas, pues un
58 por ciento de las cuales considera esto
un asunto clave.

Razones por las que tienen

xito los ciberataques
Check Point ha anunciado los resultados
de una encuesta que muestra que las razones del creciente nmero de ciberataques
exitosos estaran motivadas por el aumento
progresivo en la sofisticacin del malware,
as como por la falta de inteligencia acerca
de las nuevas amenazas. El documento
tambin revela que el 31 por ciento de
los encuestados destac que su empresa
haba sufrido hasta 20 ataques con xito
en los ltimos doce meses, mientras que el
34 por ciento no pudo decir con exactitud
cuntos ataques haban sido realizados.

'Malware' para mviles

McAfee reorganiza su estructura interna en Espaa
para integrar el porfolio y el equipo de StoneSoft
Coincidiendo con el aniversario de la
adquisicin de Stonesoft por parte de
McAfee, Mara Campos, actual responsable en Espaa del rea Network de la
compaa, ha dado a conocer el estado
de la integracin de ambas empresas.
Segn la directiva, el proceso ha destacado por su rapidez. Al principio era
una incgnita saber cmo se iba a llevar
a cabo, pero se ha producido a una
velocidad asombrosa. El primer da de
este ao ya haba finalizado.
Fruto de este proceso, la compaa se estructura ahora en dos reas:
Endpoint, que engloba la actividad tradicional de McAfee; y Network, que
desarrolla la estrategia de la compaa
en el entorno de la seguridad de red.
Es en esta ltima pata donde ha empezado a trabajar el equipo comercial
que provena de Stonesoft. El hecho
de presentarnos ahora como McAfee,
una marca de Intel Security, nos est
56

red seguridad

abriendo puertas, comenta Campos.

Adems, tenemos ms potencia de
cara al cliente, puesto que contamos
con la capacidad de vender bastantes
ms productos que antes, aade. La
directiva reconoce que tienen a su disposicin ms recursos que antes.
El objetivo ahora es, en palabras de
Campos, ir a la base instalada de clientes de McAfee para presentar la nueva
divisin y sus soluciones, cuyo ncleo
ms importante dentro del entorno de
seguridad de red es Next Generation
Firewall (NGF). Es ms, estn empezando a observar una tendencia de
crecimiento positiva del rea Network
durante el segundo trimestre del ao,
con una distribucin del 70 por ciento
en venta nueva y del 30 por ciento en
renovaciones, lo que, para la directiva,
supone un crecimiento saludable. El
objetivo es crecer dos veces la media
de crecimiento del mercado, concluye.

septiembre 2014

En su Informe de amenazas: junio de 2014,

McAfee Labs revela las nuevas tcticas de
malware para dispositivos mviles que se
basan en el abuso de la popularidad, caractersticas y vulnerabilidades de aplicaciones
y servicios legtimos para llevar a cabo sus
ataques. Por ejemplo, estos laboratorios
han descubierto que el 79 por ciento de
los clones del juego Flappy Birds contenan
malware, a travs del cual los cibercriminales eran capaces de hacer llamadas sin el
permiso del usuario, instalar aplicaciones
adicionales, extraer informacin de la lista
de contactos, rastrear localizaciones, etc.

Ms privacidad, pero
sin tomar medidas
EMC ha presentado el primer estudio mundial sobre las actitudes de los internautas
respecto a su privacidad en la Red, denominado Privacy Index, realizado a 15.000
usuarios de 15 pases con resultados curiosos. Por ejemplo, el 73 por ciento de ellos
no est dispuesto a sacrificar su privacidad
a cambio de ms beneficios en la red; sin
embargo, el 62 por ciento no cambia sus
contraseas con asiduidad. Asimismo, ms
de la mitad declara haber sufrido una brecha de seguridad, pero gran parte no est
tomando medidas para protegerse.

empresa

La UC3M potencia la
ciberseguridad
La institucin, junto con Indra, crea una ctedra para
impulsar el desarrollo de proyectos conjuntos de I+D+i,
as como programas formativos en seguridad.

De izquierda a derecha, Jos Luis Angoso, director de Innovacin y Alianzas

de Indra; Daniel Pea, rector de la Universidad Carlos III de Madrid; y Ascensio
Chazarra, director de Ciberseguridad de Indra, durante la firma del convenio.

La universidad Carlos III de Madrid

(UC3M) e Indra han creado la
Ctedra de Ciberseguridad, con la
idea de fomentar el desarrollo de proyectos y programas de investigacin
e innovacin cientfica y tecnolgica
en el mbito de la ciberseguridad
y la ciberinteligencia. En concreto,
ambas instituciones trabajarn conjuntamente en el desarrollo de nuevos conceptos, algoritmos y prototipos orientados a la deteccin y mitigacin temprana de amenazas persistentes avanzadas (APT), las ms
complejas y difciles de detectar, as

como en la gestin de dinmica de

riesgos. Tambin est previsto que
investiguen nuevos mtodos para
compartir informacin de ciberseguridad y para mejorar el entrenamiento
y experimentacin en esta materia a
travs de la simulacin.
Adems de la actividad de I+D+i,
el acuerdo contempla el asesoramiento mutuo de ambas entidades,
as como el desarrollo de programas
formativos y de actividades de promocin y divulgacin de la cultura
cientfica y los avances tecnolgicos
en el mbito objeto de la ctedra.

noticias

Bull y PrimeKey
fortalecen la
seguridad de los
datos corporativos
El fabricante de tecnologa
Bull y el proveedor de infraestructura de clave pblica
(PKI) PrimeKey se han unido
para mejorar la seguridad
de los datos mediante la
integracin de la gestin de
claves del segundo con un
mdulo criptogrfico del primero. As, gracias a este
acuerdo, la plataforma de
nueva generacin TrustWay
Proteccio HSM (Hardware
Security Module) de Bull se
integra con EJBCA, la oferta
PKI de PrimeKey.
Esta solucin garantiza la
generacin y almacenamiento de claves en el mdulo criptogrfico TrustWay
Proteccio. Adems, cumple
con los ms altos estndares de certificacin, incluyendo Common Criteria
EAL4 + y FIPS 140-2 Nivel 3.
Segn Philippe Duluc,
vicepresidente de la Divisin
de Seguridad de Bull, "este
acuerdo permitir a las
organizaciones que utilizan
EJBCA PrimeKey responder
a las amenazas de seguridad y los requisitos de
cumplimiento de hoy y de
maana". As las empresas
pueden asegurar sus procesos crticos de forma transparente en sus operaciones.

CyberSource y Amadeus se asocian para optimizar las operaciones de

deteccin de fraude a travs de los canales de reservas de viajes
El proveedor de sistemas de pago virtual perteneciente a Visa, CyberSource, y la compaa tecnolgica especializada en la industria
de viajes, Amadeus, han formalizado una alianza estratgica internacional con el fin de ofrecer una solucin de reserva de viajes integrada y de deteccin de fraude a las aerolneas, las agencias de viajes y otras empresas del sector a escala mundial. Esta solucin
incorpora un sistema de gestin contra el fraude, denominado Decision Manager, en la plataforma de pagos de viajes de Amadeus
(Amadeus Payment Platform, APP). De esta forma, Decision Manager puede ayudar a las compaas del sector a aceptar ms
reservas legtimas, al tiempo que identifican las transacciones potencialmente fraudulentas y rebajan los costes operativos.
Segn ambas compaas, esta solucin combinada ayudar a las empresas de turismo de todo el mundo a maximizar sus ingresos, reducir costes y mejorar la experiencia de pago de los clientes a travs de mltiples canales, como Internet, mvil, presencial o
centros de llamadas. En palabras de Celia Pereiro, Head of Travel Payments en Amadeus, este acuerdo ofrecer a sus clientes "una
solucin de pago de viajes con proteccin contra el fraude personalizada y mejorada, lo que les ayudar a optimizar sus operaciones
de negocio y a optimizar las tasas de aceptacin, facilitando a los consumidores un proceso de pago ms gil".

red seguridad

septiembre 2014

57

empresa
entrevista

Emmanuel
Roeseler

Director de Sistemas y Tecnologa

de Seguridad de IBM Espaa,
Portugal, Grecia e Israel

Tras la creacin de su
Divisin de Sistemas
de Seguridad en 2011,
IBM ha desarrollado

Actualmente, hace falta dar un

servicio prcticamente en tiempo
real para proteger al cliente

un modelo propio de
proteccin para sus
clientes, en el que la
"seguridad inteligente"
es la "piedra angular".
Emmanuel Roeseler,
responsable de la
divisin, explica este
concepto enfocado
a mejorar la toma de
decisiones, as como la
aportacin de Trusteer
-empresa adquirida
por IBM el ao
pasado- para reforzar
las capacidades del
Gigante Azul frente al
fraude bancario.

58

red seguridad

Tx.: Enrique Gonzlez Herrero.

Ft.: IBM.

En octubre de 2011, IBM puso en

marcha la Divisin de Sistemas de
Seguridad. Cmo ha evolucionado esta rea desde que se cre?
Cuando arrancamos la divisin no
partimos de cero, sino que lo hicimos
sobre una tecnologa ya existente, que
estaba probada en el mercado y que
proceda de los laboratorios de IBM o
de las empresas que hemos adquirido. Estamos hablando de tecnologa
que existe desde hace entre cinco y
diez aos. Esto ha sido clave para el
xito de la divisin a nivel mundial.
El entramado se compone de seguridad de las personas, las aplicaciones,
los datos y la infraestructura. En IBM
pensamos que es importante ver esas
cuatro dimensiones ante cualquier reto
que se le plantee a un departamento
de seguridad. Pero la piedra angular
del arranque de la divisin fue una
capa nueva que est por encima de
estas dimensiones, la seguridad inteli-

septiembre 20104

gente. De lo que se trata con ella es de

contemplar esas cuatro dimensiones
al mismo tiempo y aprovechar todos
los datos que se generan para tomar
mejores decisiones.
Dentro de ese framework, hubo
un punto nuevo en agosto del ao
pasado con la compra de Trusteer.
Con ella se abord el llamado fraude
avanzado, que aadimos a la capa
de seguridad inteligente. Sirve en el
caso de una empresa con un sistema
maduro, que tiene en cuenta las cuatro dimensiones de las que hablaba
y una capa de seguridad inteligente,
pero an as necesita proteger todava ms algunas puertas que no se
controlan; es decir, los clientes y los
empleados que acceden a las redes
corporativas desde sus propios dispositivos. Si hablramos, por ejemplo,
de la banca electrnica, hay que tener
en cuenta que, aunque un banco
tenga toda su seguridad controlada,
puede que el cliente tenga un malware
en su dispositivo y se cuele en la
red cuando accede a los servicios
de la entidad. En ese caso, primero

empresa

entrevista

Nuestra idea es seguir desarrollando soluciones dentro

de IBM, pero tambin mirar en el mercado las empresas
que pueden aadir valor a nuestro porfolio

avisamos al banco de que el usuario

tiene el dispositivo infectado y, como
servicio de valor, permitimos que el
cliente se descargue un antimalware
que limpie el dispositivo. Pensamos
aplicar este modelo tambin al comercio electrnico.
Con esta capa de proteccin ante el
fraude avanzado hemos conseguido
una mejor integracin entre las distintas dimensiones que comentaba. Con
ello, nuestro departamento de X-Force
ha visto incrementado su potencial de
actuacin, porque recordemos que
Trusteer posee ms de 200 investigadores dedicados a ello.
En qu consiste el concepto de
"seguridad inteligente" que menciona y cmo ayuda a las empresas?
La forma tradicional de ver la seguridad consista en detectar una vulnerabilidad y comprar una solucin para
protegerse de ella. Pero esto ya no
es viable. Ahora hay oportunidades
de negocio que abren ventanas hacia
afuera, como por ejemplo las redes
sociales, por lo que el departamento
de seguridad necesita entender lo que
est haciendo la empresa.
La seguridad inteligente sirve para
tener visibilidad. Cuando un director
de seguridad ve que otras empresas
estn siendo atacadas, se preguntar si eso mismo le puede pasar a
su compaa. Pero si no tiene una
herramienta que le permita comprobar si existe dicha vulnerabilidad,
tiene un problema. Es necesario
que pueda saber rpidamente si
su negocio est protegido o no.
La capa inteligente es el gestor de
seguridad que le permitir despejar
esa duda.
En segundo lugar, esa visibilidad
permite tener el control e incluso conocer qu puede hacer un
malware si entra en el sistema, cules son los puntos de entrada y las
vulnerabilidades.

Lo tercero es que permite la automatizacin, porque el departamento

de seguridad no es ajeno a todo lo
que sucede fuera. Tener sistemas
de seguridad inteligente de primera generacin reduce el nmero de
eventos que suceden en la compaa. Como cada vez se generan ms
datos, hay empresas que registran
hasta mil eventos diarios. Controlar
eso es inviable, hay que reducir el
nmero de eventos a lo mnimo, a los
ms importantes.
La divisin que dirige se conform a travs de la compra de
varias compaas, entre ellas
Trusteer. Va a continuar IBM con
esa poltica de adquisiciones en
los prximos aos?
No hay nada que indique que vayamos
a hacer las cosas de distinta manera.
La idea es seguir desarrollando soluciones dentro de IBM, pero tambin
mirar en el mercado las empresas que
pueden aadir valor a nuestro porfolio. Como la seguridad es un sector
que cambia continuamente, lo lgico
es pensar que seguiremos haciendo
exactamente lo mismo.
Qu tipo de soluciones est
desarrollando IBM en este
momento y a qu segmento del
mercado estn dirigidas?
La banca ser uno de los sectores a
los que vayan dirigidas, ya que era uno
de los caballos de batalla de Trusteer.
Mi opinin es que, teniendo en cuenta
que la seguridad se est sectorizando
porque hay grupos que atacan no
ya slo a sectores sino a empresas
concretas, veremos soluciones ms
especficas.
Tambin es muy probable que haya
soluciones para defensa, teniendo en
cuenta que vamos a trabajar con el
Ministerio de Defensa israel. El ao
pasado fuimos la primera empresa
en invertir en la creacin de un Silicon

Valley de compaas y soluciones de

seguridad en aquel pas.
Y por ltimo, est claro que el
comercio electrnico ser otro de los
sectores a los que prestemos atencin.
Es este caso estamos actuando ya.
Cules son las principales tendencias de malware actualmente? Uno de los ltimos informes
del X-Force de IBM hablaba de
registros de identificacin personales, pero hay otras amenazas
El informe de X-Force saca un diagrama donde se pueden ver los ataques
del ao, el impacto que han tenido y
de qu tipo han sido. En ese informe,
la tendencia que vemos es que cada
vez hay ms ataques. Se puede ver
que la mitad son undisclosed [desconocidos], pero la otra mitad son
patrones de ataque contra vulnerabilidades conocidos, que detectamos en
IBM hace mucho tiempo y se podan
haber evitado.
Hay cada vez ms malware desconocido que se prepara para una
empresa en concreto. Para hacerle frente, adquirimos la compaa
Trusteer, porque aunque estn
presentes las capas de inteligencia, ni siquiera as es suficiente.
Actualmente, hace falta dar un servicio prcticamente en tiempo real
para proteger al cliente.
Por otro lado, estamos viendo ataques a las aplicaciones mviles, que
son vulnerables porque quienes las
desarrollan no estn pensando en
la seguridad. Antes sufran ms ataques los sistemas operativos, pero
ahora se dirigen sobre todo a las aplicaciones. Como cada vez hay ms
aplicaciones y usuarios que acceden
a ellas, mucha gente malintencionada se ha movido hacia ese terreno.
En cuanto al tipo de ataque, ya no
vemos que se utilice un nico patrn.
Ahora, por ejemplo, vemos un ataque de denegacin de servicio y, una

red seguridad

septiembre 20104

59

empresa
entrevista

vez que el departamento de seguridad pone el foco en el problema, por

detrs se lanza otro ataque ms sutil
que es el realmente importante.
Tambin estn los ataques Watering
Hole [abrevadero]. En la caza, los
cazadores se sitan cerca del agua
donde paran a beber los animales.
La idea es la misma. Por ejemplo, si
el objetivo son los turistas que van a
viajar a Turqua, los malos saben que
probablemente visitarn las pginas
del tiempo del pas. Por ello, sitan
ah el malware sabiendo que entrarn
muchos usuarios y alguno de ellos no
tendr protegido su dispositivo.
El Cloud Computing tambin presenta muchos retos en materia de
seguridad. Cmo afronta IBM la
proteccin de las empresas en
este entorno?
Cuando pensamos en asegurar un
entorno cloud, lo primero que hay
que tener en cuenta es que es un
entorno virtualizado. El problema es
que, cuando hay miles de mquinas
virtuales dependientes de una fsica,
si hay un problema con una de ellas
no se puede aislar fcilmente. Las
soluciones de seguridad de IBM permiten aislar esas mquinas y actuar
sobre ellas sin que afecte al resto de
aplicaciones que estn corriendo en
la mquina fsica.

Hay que tener en cuenta que existen varios tipos de cloud. Si nos
referimos a empresas que tienen una
parte virtualizada de su infraestructura o de sus aplicaciones, tenemos
soluciones para todos los gustos.
Las compaas que se benefician del
cloud quieren que sus usuarios puedan acceder de manera transparente
a aplicaciones dentro de la compaa
y a otras que estn fuera. Para ellas,
est la capa de gestin de control
de usuarios y accesos, que permite
al usuario entrar en las aplicaciones
y a la empresa conocer a cules
est accediendo y desde dnde. De
esa manera puede llevar un mayor
o menor control del acceso de esa
persona.
Y el Big Data, qu presenta ms
para las corporaciones, oportunidades o desafos?
Ginni Rometty [presidenta de IBM]
ya dijo que el 80 por ciento de
los datos que tenemos hoy se han
generado en los ltimos dos aos.
Yo veo el Big Data como una oportunidad por la capa inteligente de
seguridad, porque lo que quiere
hacer es aprovechar toda la informacin que se est generando de
dispositivos cada vez ms inteligentes para tomar mejores decisiones.
Rometty dice adems que los datos

son la materia prima del siglo XXI,

por lo que es una oportunidad para
todos.
Pero hay otra faceta que es: si
se estn generando cada vez ms
datos y entre ellos los hay de carcter sensible, hay cada vez ms datos
que proteger. Cualquier director de
seguridad tiene que pararse a pensar cules son sus datos sensibles
y dnde estn. Porque si antes era
relativamente fcil conocer dnde
estaban los datos sensibles y protegerlos, porque estaban en un
sitio aislados, ahora hay que diferenciar entre datos estructurados y
no estructurados. Los primeros son
los que se pueden aislar fcilmente,
pero los no estructurados son los
que estn en llamadas telefnicas,
correos, etctera. Hay que saber
protegerlos.
Hemos de tener en cuenta que
hay personas que cometen errores
de forma no voluntaria. Adems de
educar, es importante tener otros
mecanismos para proteger los datos.
Lo que ms hay que mirar con cuidado son los individuos, que pueden
estar generando o compartiendo esa
informacin. Hay que ver cmo, sin
impedir el negocio, proteger a la
empresa.
Cmo cree que ha afectado la
crisis econmica a la seguridad?
La reduccin de las inversiones
ha supuesto que las empresas
estn hoy en da menos protegidas?
Hay empresas que para nada han
invertido menos, de hecho han invertido ms. La reaccin humana indica
que si has sufrido un ataque y sabes
lo grave que puede llega a ser, no te la
puedes jugar. Aunque algunas empresas se la estarn jugando, yo aprecio
se est invirtiendo en el rea de seguridad. Eso s, ahora hay que hacer
ms con menos; es decir, ser ms
eficientes.

Emmanuel Roeseler lleva al frente de

la Divisin de Sistemas y Tecnologa
de Seguridad de IBM desde enero de
2012.

60

red seguridad

septiembre 20104

Previnmen control parental en Internet es un proyecto creado por padres con la vocacin de ayudar a
otros padres a supervisar y a orientar a nuestros hijos menores de edad en el uso de las nuevas tecnologas,
el entorno donde ellos desarrollan gran parte de su actividad y relaciones sociales.
El centro de nuestra actividad es el control parental en internet, para ello desarrollamos un software que
se descarga e instala en las plataformas donde su hijo suele acceder a internet: ordenadores personales,
telfonos mviles y tablets. Nuestro software ha recibido varios premios tecnolgicos en EEUU como el de la
prestigiosa revista PC Magazine.
El control parental en internet realizado a travs de nuestro software graba, alerta y puede bloquear
determinadas actividades en la plataforma donde se instala, realizando una labor de prevencin ante
determinadas situaciones de riesgo potencial para el menor como desordenes alimenticios, cyberacoso,
grooming o problemas con alcohol o drogas.

Te ayudamos a supervisar y orientar

a tus hijos en el uso de internet
www.controlparentalinternet.com

proteccin de datos
opinin

Evaluaciones de impacto en la
proteccin de datos personales

Jos Luis
Rodrguez lvarez
Director de la Agencia Espaola de
Proteccin de Datos

En la sociedad de la informacin global

en la que vivimos, cada da se ponen
en circulacin nuevos productos o se
ofrecen nuevos servicios que hacen
un uso intensivo de los datos personales. Baste sealar que, segn las
previsiones de la consultora IDC, en
el ao 2020 se habrn generado en el
mundo 40.000 millones de Exabytes
(un Exabyte equivale a 1018 bytes, un
trilln de bytes), que en gran parte provendrn de los 30.000 millones de dispositivos conectados que, de acuerdo
con las previsiones de Gartner Group,
habr para esas fechas.
El tratamiento masivo de todos
estos datos genera un valor econmico gigantesco, pero tiene un fuerte
impacto en la esfera de la vida privada
de las personas. Ejemplo de ello es
el anlisis predictivo para caracterizar
consumidores, segmentar mercados
o definir hbitos de consumo, y realizar anlisis de riesgos financieros o
luchar contra el fraude fiscal.
Por ello, aunque en modo alguno
hayan de abandonarse los actuales
mecanismos de supervisin y exigencia del cumplimiento de la norma, s
que es necesario complementar esta
aproximacin con la promocin de un
enfoque proactivo, de un compromiso
responsable, para evitar o minimizar
los riesgos para la privacidad de las
personas en el diseo de nuevos pro-

62

red seguridad

ductos y servicios. De esta manera, se

pondrn los medios necesarios para
atajarlos antes de que se materialicen.
Para llevarlo a cabo, resulta necesario
que, desde los primeros momentos
del desarrollo de un nuevo producto,
servicio o sistema de informacin y a lo
largo de todo su ciclo de vida, se tengan
en cuenta los principios y derechos de
proteccin de datos, y los requerimientos en materia de seguridad para que se
incorporen los controles, protocolos y
procedimientos necesarios para garantizar su aplicacin.
Con ello se consigue no slo una
mayor eficacia en la proteccin de los
derechos de los afectados, sino tambin evitar algo que, por desgracia,
sucede con demasiada frecuencia:
la reconvencin a posteriori de la
norma a la tecnologa. Esto es, una
vez que el producto o servicio ha sido
desarrollado, o incluso implantado, se
aprecia su ilegalidad, con todos los
costes que ello implica, econmicos y
muchas veces tambin de reputacin.
Evaluacin de impacto
Esta incorporacin temprana de los
requisitos de privacidad a un proyecto
es lo que se ha venido a denominar Privacidad y Seguridad desde el
diseo y, para su correcta implantacin, las Evaluaciones de Impacto en
la Proteccin de Datos Personales

septiembre 2014

(EIPD) son una herramienta imprescindible que consiste, bsicamente,

en un ejercicio de anlisis y gestin de
riesgos para identificar aqullos que
pudieran existir para la privacidad y la
proteccin de datos personales y para
adoptar las medidas y controles necesarios para eliminarlos o, al menos,
mitigarlos hasta un nivel aceptable.
Expresado en trminos ms tcnicos,
como hacen Wright y De Hert en su
trabajo Privacy Impact Assessments,
una metodologa para evaluar el impacto en la privacidad de un proyecto,
poltica, programa, servicio, producto
o cualquier iniciativa que implique el
tratamiento de datos personales y, tras
haber consultado con todas las partes
implicadas, tomar las medidas necesarias para evitar o minimizar los impactos
negativos. Una evaluacin de impacto
en la privacidad es un proceso que
debera comenzar en las etapas ms
iniciales que sea posible, cuando todava hay oportunidades de influir en el
resultado del proyecto.
Las evaluaciones de impacto en
la proteccin de datos personales
son una herramienta nueva en nuestro pas, pero que lleva ya dcadas
utilizndose, fundamentalmente en
los pases de habla inglesa como
Australia, Canad, Estados Unidos,
Nueva Zelanda y, ms recientemente, en Reino Unido. En la Agencia

proteccin de datos

opinin

Los responsables de tratamientos de datos personales

han de ser capaces de demostrar su compromiso con
los derechos de los ciudadanos y el cumplimiento de sus
obligaciones legales

Espaola de Proteccin de Datos

(AEPD) consideramos que ya es una
tcnica madura y contrastada cuyo
uso puede reportar grandes beneficios, no slo para preservar mejor
la privacidad de las personas sino
tambin para ahorrar a las organizaciones costes econmicos, de imagen y reputacionales si se produce
un incidente que pudiera haber sido
previsto y atajado.
Por esta razn, a pesar de que
en Espaa en estos momentos no
existe ninguna obligacin legal de realizar evaluaciones de impacto de esta
naturaleza en ningn sector o mbito especfico (aunque podra existir en breve si se aprueba el nuevo
Reglamento General de Proteccin de
Datos de la UE en los trminos en los
que se est discutiendo), la Agencia
ha querido proporcionar una gua para
facilitar el proceso de puesta en marcha de las EIPD.
Esta gua puede ayudar a aquellas organizaciones que apuesten por
mejorar sus polticas de proteccin de
datos y por identificar y mitigar los riesgos que para la privacidad tienen sus
tratamientos de datos personales, proporcionndoles un marco de referencia
para el ejercicio de ese compromiso
responsable que, a la vez, contribuya
a fortalecer la proteccin eficaz de los
derechos de las personas.
En el proceso de redaccin de la
Gua para una Evaluacin de Impacto
en la Proteccin de Datos Personales,
la Agencia ha publicado un primer
borrador y ha puesto en marcha una
consulta pblica sobre el texto. Con
ello, ha querido contar con las contribuciones de todas aquellas personas
y organizaciones que han deseado
expresar su opinin, realizar comentarios o formular sugerencias sobre los
contenidos y estructura de la misma,
en el convencimiento de que seran
una valiosa aportacin para conseguir
un documento ms til y prctico.

Resultados
Cuando se redacta este artculo, ha
finalizado dicho proceso de consulta
con un resultado que podemos considerar muy satisfactorio: un porcentaje
superior al 90 por ciento de quienes
han contestado a la encuesta consideran la estructura de la gua y sus
apartados adecuados, un 82 por ciento considera el lenguaje y los trminos
en que est redactada correctos, y
un 86 por ciento cree que los criterios expuestos para decidir sobre la
necesidad de realizar una EIPD son
apropiados. Adems, los comentarios
que hemos recibido nos han aportado
valiosas reflexiones que se estn analizando para proceder a la redaccin del
documento definitivo.
En cualquier caso, la gua est
concebida como un marco flexible,
que proporcione un modelo estructurado en el que apoyarse a la hora de
realizar las evaluaciones de impacto,
pero que no es invariable, sino que,
mientras se respeten sus aspectos
fundamentales, cada organizacin
podr (e incluso deber) adaptarlo
a su estructura, a su cultura y a sus
necesidades.
Tambin hay que recalcar que cada
vez se abre paso con ms fuerza la
idea de que los responsables de tratamientos de datos personales han de
ser capaces de demostrar su compromiso con los derechos de los ciudadanos y el cumplimiento de sus obligaciones legales (accountability). Para
ello, la realizacin de una evaluacin
de impacto siguiendo las directrices
de la gua redactada por la AEPD, aunque no podr ser considerada como
un criterio de exencin de eventuales
responsabilidades en caso de que se
incurra en vulneracin de la normativa
de proteccin de datos, s va a ser tenida en cuenta por la Agencia como un
elemento relevante a la hora de valorar
si se ha adoptado la diligencia debida
en la implementacin de las medidas

adecuadas para cumplir con las exigencias legales.

Por lo tanto, adems del marco
de referencia configurado por la gua
que la Agencia pone a disposicin de
las distintas organizaciones pblicas
y privadas, siempre daremos la bienvenida a iniciativas sectoriales que,
manteniendo los elementos esenciales contenidos en ella, propongan las
modulaciones o especificaciones que
sean convenientes para adaptarlos a
las necesidades y caractersticas de
cada sector concreto.
Finalmente, les animo a todos ustedes a que hagan uso de la Gua para
una Evaluacin de Impacto en la
Proteccin de Datos Personales que
la AEPD les propone, adaptndola a
sus necesidades e integrndola en los
procesos de gestin de proyectos de
su organizacin, con la seguridad de
que su implantacin contribuir en
gran medida a fomentar y extender la
cultura de la proteccin de datos personales en Espaa.

red seguridad

septiembre 2014

63

novedades
noticias
Fujitsu presenta su solucin de 'backup' Eternus
CS800 Data Protection Storage Appliance
Desarrollado para gestionar eficazmente el crecimiento exponencial
de los datos en las empresas de forma simple y transparente, Fujitsu ha
iniciado la comercializacin de su quinta generacin Eternus CS800 Data
Protection Storage Appliance. Se trata de un equipo que proporciona
copia de seguridad plena en disco, a lo que aade funciones de replicacin y software path-to-tape en todas sus versiones.
Una de sus principales caractersticas es que ofrece almacenamiento
desde los 4 TB hasta 360. De esta forma, las empresas pueden empezar
con la configuracin que mejor se adapte a sus necesidades de backup,
con la posibilidad de agregar capacidad adicional en el futuro si les hiciera
falta. Asimismo, integra de forma estndar una amplia proteccin frente a desastres, replicaciones
bidireccionales y de 1:2 entre
diferentes sistemas Eternus
CS800, tanto en centros de
datos como en modo cloud;
mientras que las copias adicionales tambin pueden darse en
cinta para los casos de recuperacin ante desastres.
www.fujitsu.com

HP lanza un servicio
para reducir riesgos
de seguridad de TI
La compaa HP ha dado a
conocer sus nuevos servicios de consultora para ayudar a los clientes a tomar
decisiones rpidas sobre los
riesgos de la seguridad de
la informacin en sus organizaciones. Con el nombre
HP Security Metrics Services
ofrece una metodologa en
proceso de ser patentada y
un marco de trabajo especial
para demostrar ms claramente el potencial que un
incidente de seguridad puede
tener en los objetivos de una
organizacin. Para ello utiliza los datos de seguridad
de fuentes existentes en las
organizaciones, as como
los parmetros establecidos,
para ofrecer una alerta clara
de cundo los objetivos de
negocio empresariales estn
en riesgo. De esta forma, los
usuarios pueden identificar
su origen y tomar medidas
oportunas para solucionarlo.
www.hp.es

64

red seguridad

Seagate Dashboard 2.0,

seguridad automatizada
para PC, Mac y mvil
Realizar copias de seguridad para los
ordenadores (PC y Mac), dispositivos
mviles (iOS y Android) y redes sociales. sa es la finalidad de la aplicacin
Seagate Dashboard 2.0, un software
que protege los archivos digitales de
empresas y usuarios particulares de
manera muy sencilla. De hecho, incorpora dos opciones automticas para
realizar copias de seguridad: programada o continua. A la vez, tambin
permite guardar fotos y vdeos generados por el usuario, incluso contenidos
etiquetados, directa y automticamente desde las redes sociales. Por ltimo, se integra perfectamente con la
aplicacin Seagate Mobile Backup en
dispositivos tanto iOS como Android a
travs de una red Wi-Fi, o usando servicios como Dropbox o Google Drive.
www.seagate.com

septiembre 2014

Quinta generacin
de arquitectura de
red ptica basada
en SDN
Huawei ha anunciado el
lanzamiento de la quinta
generacin de arquitectura de red ptica basada en
SDN (Redes Definidas por
Software), denominada Flex
Optical Network. Incluye
tuberas de resiliencia ultralargas con capacidad para
soportar capas pticas y
elctricas flexibles; sinergia
transversal de capas IP y
pticas, gestin de grupos
NE intersectoriales y sinergia
para redes wavelength-OTNEthernet basada en NE; y
aperturas habilitadas para
redes SDN.
www.huawei.com/es

Nuevas soluciones
de proteccin de
red de Arkoon y
Netasq
Con el nombre Stormshield
Network Security, Arkoon
y Netasq, subsidiarias de
Airbus Defence y Space, han
puesto en marcha una nueva
generacin de soluciones de
proteccin de red. Esta lnea
de productos complementa a la gama Stormshield
Endpoint Security de proteccin para estaciones de
trabajo, incluso de amenazas
desconocidas Zero day, y a
la familia Stormshield Data
Security de proteccin de
datos, proporcionando seguridad de extremo a extremo
a las organizaciones frente a
las amenazas cibernticas.
Bsicamente, comprende
nueve appliances que cubren
todo el espectro de necesidades de seguridad, desde
la proteccin de los sistemas
frente a amenazas internas y
externas, hasta el control de
uso de estaciones de trabajo.
www.arkoon-netasq.com

noticias

Mayor proteccin para pymes con Worry-Free 9.0

Trend Micro ha optimizado su solucin Worry-Free Business Security
con el lanzamiento de la versin 9.0, especialmente diseada para ofrecer proteccin completa del usuario a la pequea y mediana empresa,
incluidos sus dispositivos mviles. En palabras de Eric Skinner, vicepresidente de Marketing de Soluciones de la empresa, "Worry-Free Business
Security proporciona un enfoque completo de la seguridad, ya sea en
entornos de oficina o sobre la marcha, explica.
Entre las principales novedades que incorpora esta nueva versin, se
encuentran la mejora de sus polticas de seguridad, incluyendo capacidades Remote Wipe y Devices Access Control, para eliminar de forma
segura todos los datos de los dispositivos
BYOD en caso de robo o de que se produzca una brecha de datos; la integracin
con Microsoft Exchange ActiveSync para
la gestin simplificada de dispositivos
mviles; y el soporte para Windows 8.1,
Microsoft Exchange 2013 y plataformas
Mac. Por ltimo, destaca tambn la optimizacin del rendimiento universal, lo que
disminuye el tiempo de escaneo e instalacin de la aplicacin
www.trendmicro.es

CaixaBank lanza una pulsera Visa que permite realizar

compras acercando la mueca al datfono
Por primera vez en europa una entidad bancaria, en este caso CaixaBank, ha
lanzado una pulsera Visa para realizar compras sin contacto en los comercios
adaptados a esta nueva forma de pago. De esta forma, sus clientes podrn llevar
la tarjeta en la mueca y realizar pagos ms cmodamente en ms de 300.000
comercios en Espaa. La pulsera, con cierre ajustable, materiales antialrgicos
y resistente al agua y a la humedad, lleva en su interior un microtag
con la informacin encriptada de
la tarjeta del cliente, protegida con
las mismas garantas de seguridad
que las tarjetas habituales (sistema
EMV). Este chip permite conectar la
pulsera con los datfonos y realizar
transacciones como si fuera una
tarjeta contactless normal.
www.caixabank.com

novedades

Panda anuncia
GateDefender
eSeries 5.5
Panda Security mejora las
funcionalidades de su gama
de dispositivos de seguridad
perimetral integral Panda
GateDefender eSeries con el
lanzamiento de la versin 5.5.
Entre las novedades que presenta, sobresalen mejoras en
el asistente de configuracin,
nuevas opciones de monitorizacin de la red en tiempo real y una VPN robusta y
escalable de ltima generacin
que destaca por su capacidad de proporcionar mltiples
VPNs, permisos de acceso
muy granulares y una gran
escalabilidad. Tambin incluye
un nuevo control de aplicaciones capaz de reconocer y
bloquear ms de 170 utilidades como Facebook, Skype,
Spotify o WhatsApp para salvaguardar el negocio.
Por otro lado, ofrece la posibilidad de desplegarlo en
modo hardware, software o
virtual, en los tres casos con
conectividad flexible a travs de una nica y sencilla
interfaz, accesible en todo
momento gracias a la tecnologa cloud.
Finalmente, incluye la opcin
de monitorizacin en tiempo
real de la red, mediante una
intefaz intuitiva que permite
generar informes personalizados muy detallados.
www.pandasecurity.com

Synology presenta su nuevo 'software' de vigilancia

de cmaras IP Surveillance Station 6.3
Ya est disponible para la nueva versin de Surveillance Station 6.3, el sistema de grabacin de vdeo en red (NVR) de Synology destinado a potenciar la
seguridad mediante la supervisin de cmaras IP. Esta edicin mejora la experiencia de visualizacin, permitiendo a los usuarios ver en
directo y reproducir imgenes en hasta 64 canales a 720p al mismo
tiempo en una sola pantalla. Tambin posibilita realizar transmisiones
en streaming en dispositivos mviles con un ajuste automatizado,
facilitando una monitorizacin fcil e inteligente desde cualquier
lugar. Es compatible con ms de 2.700 modelos de cmaras IP.
www.synology.com

red seguridad

septiembre 2014

65

asociaciones

noticias
ISMS Forum organiza el IV Encuentro Cloud Security Alliance Espaa
Las instalaciones de CaixaForum Madrid acogieron por
segundo ao consecutivo el Encuentro anual de profesionales de la seguridad cloud organizado por el Captulo Espaol
de Cloud Security Alliance (CSA-ES), iniciativa de ISMS
Forum. Bajo el ttulo "Adoptando y Adaptando cloud en
un mundo global", medio centenar de expertos debatieron
sobre las ltimas novedades en materia de seguridad en el
entorno cloud, y el valor de la certificacin de proveedores
de servicios como primer paso para alcanzar la transparencia y la estandarizacin de metodologas y controles que
permitan una migracin segura a la nube.
El comienzo de las intervenciones corri a cargo de Luis
Buezo, presidente de CSA-ES, quien destac la gran adopcin que el entorno cloud est teniendo en nuestro pas y
puso sobre la mesa la obligacin por parte de la institucin de
realizar anualmente un estudio del
estado del arte de esta tendencia.
A continuacin, tom la palabra
Daniele Catteddu, director general
de CSA-EMEA, quien anunci que
en Europa varios estados miembros ya estn proponiendo esquemas de certificacin para servicios
cloud, algo sobre lo que tambin
se est avanzando en otros pases
como Estados Unidos, Singapur,
Tailandia o China.

Durante la jornada tambin intervino Carles Sol, director

del Spanish Cyber Security Institute, con una ponencia
sobre la seguridad en cloud y el papel que deben desempear los CISO a la hora de almacenar informacin corporativa
en la nube y elegir un proveedor para ello.
Asimismo, por parte de la Cloud Security Alliance participaron Agustn Lerma, lead assessor, que habl sobre
CSA STAR y sus beneficios; Mariano Benito, coordinador
del Comit Tcnico Operativo, que puso sobre la mesa la
importancia de las certificaciones en el entorno cloud; y Jorge
Laredo, miembro del Comit Tcnico Operativo, que anunci
a los asistentes la disponibilidad de la traduccin al espaol
de la versin 3 del Cloud Controls Matrix (CCM) y su adaptacin al Reglamento de la Ley Orgnica de Proteccin de
Datos (RLOPD) y al Esquema Nacional de Seguridad (ENS).
Finalmente, la jornada concluy con una mesa redonda
sobre experiencias prcticas
en la adaptacin de cloud
moderada
por
Gianluca
D'Antonio, presidente del ISMS
Forum, y en la que participaron
Josep Bardallo, de SVT Cloud;
Carles Sol, del Instituto
Espaol de Ciberseguridad; y
Roberto
Baratta,
de
Novagalicia Banco.

EuroCloud quiere difundir las ventajas de la

tecnologa 'cloud' a pymes y particulares
El pasado mes de junio, la asociacin de
tecnologas cloud y big data, EuroCloud
Espaa, celebr en la Escuela de
Organizacin Industrial (EOI) de Madrid
su asamblea general anual, en la que,
por medio de su presidente, Pedro M.
Prestel, y vicepresidente, Francisco
J. Gonzlez, presentaron el Proyecto
EuroCloud 2014-2015. Su objetivo,
en palabras del primero, es difundir e
impulsar las ventajas de la tecnologa
cloud a pymes y a particulares.
Este plan supone la puesta en marcha
de una serie de novedades importantes.
En primer lugar, se van a llevar a cabo
distintos cambios internos en la asociacin, pasando por una restructuracin
de varias reas funcionales, as como
por una actualizacin de la imagen corporativa y de la pgina web.
Otros dos mbitos de actuacin son la
formacin y la informacin. En el primer
caso, en los prximos meses celebrar
varios talleres prcticos sobre cloud
para usuarios finales y profesionales; e
impartir cursos MooC sobre cloud en
la plataforma Actvate, con la colaboracin de EOI y Google.

66

red seguridad

Respecto al segundo aspecto, va a

poner en marcha dos boletines informativos, CloudNews y CloudBulletin, para
dar a conocer las novedades de la asociacin y del sector a las empresas europeas; y organizar paneles de expertos
y estudios de mercado del sector, con
el fin de ofrecer datos a la comunidad
de usuarios y profesionales interesada
en la nube. Adems, a esto se une
que en septiembre comienza a trabajar
la Comisin de Confianza Cloud, que
promocionar la importancia de la seguridad en la nube a travs de distintas
acciones, con el fin de ofrecer confianza
a las organizaciones para animarlas a
que trabajen en este entorno.
Finalmente, y en el mbito ms institucional, Eurocloud ha suscrito un convenio de colaboracin con Red.es para la
certificacin de aplicaciones y soluciones cloud para empresas proveedoras;
y est impulsando la EuroCloud Star
Audit, la primera certificacin europea de
Soluciones Cloud Computing dirigida a
empresas de servicios cloud (IaaS, Paas,
SaaS y Business Process). Queremos
establecer un marco legal para asesorar

septiembre 2014

Pedro M. Prestel, presidente de

EuroCloud Espaa.
a las empresas que lo requieran para
certificarse. Nuestra intencin es que la
asociacin sea el vehculo para acceder
a la certificacin, lo que le dar una
garanta oficial, explica Prestel.
Por ltimo, durante la asamblea tambin se celebraron distintas presentaciones, conferencias y mesas redondas que trataron el futuro del cloud y
la transformacin del negocio en las
pymes, y se entregaron los premios de
la edicin nacional de Eurocloud 2014.

Situacin actual y tendenciaS del

Facility Management & Services

16 octubre
Madrid

Hotel Husa
Princesa
c/ Princesa 40
Saln Rosales
(edificio el corte ingls)

Revista

Organiza

Patrocinan

copatrocinan

colabora

IIi S

C ongreSo n aCional

eguridad

P rivada

18 noviembre 2014
madrid. iFema

COLABORaN:

MINISTERIO
DEL INTERIOR



   




     

  








organizan:



GOBIERNO
DE ESPAA



de