Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Red 081 BLQ
Red 081 BLQ
www.redseguridad.com
TE AYUDAMOS A DAR EL
SALTO DIGITAL
Desde hace más de 30 años, GMV lleva sumergiéndose en
la más alta tecnología para ayudar a empresas e instituciones
a llegar a lo más alto del pódium en sus negocios.
GMV
www.gmv.es marketing.TIC@gmv.es
www.facebook.com/infoGMV
@infoGMV_es
El día ha
llegado
El 25 de mayo de este año era la fecha más SEGURIDAD) la nueva Ley Orgánica de Protección
esperada, pero no precisamente por ser deseada. de Datos (LOPD), que se iba a aprobar a principios
Desde ese día se aplica el Reglamento General de de 2018. Si bien esta norma no es imprescindible
Protección de Datos (RGPD) de la Unión Europea, por cuanto el RGPD es de aplicación directa en los
lo que significa que las empresas que no cumplan Estados miembros, la realidad es que ese objetivo no
a partir de entonces con esta normativa se atienen se ha conseguido.
a una buena sanción. Suficiente en los casos más
graves como para poner en un aprieto la continui- En definitiva, parece que el periodo de adap-
dad de la propia compañía. De ahí que preocupe el tación al RGPD comienza ahora para muchas
elevado porcentaje de organizaciones que aún no se empresas, especialmente las medianas y peque-
han adaptado a la norma, según reflejan diferentes ñas, ya que las grandes aseguran en general haber
sondeos; un extremo que se manifestó con el apa- realizado los cambios pertinentes. Igualmente, la
rente desconcierto durante los días previos y pos- Administración tendrá que realizar mayores esfuer-
teriores a que el RGPD comenzara a aplicarse, con zos por adaptarse y dar ejemplo, y el nuevo
envíos masivos de correos electrónicos destinados a Gobierno por sacar adelante la ley que sustituirá
a la actual LOPD. La situación generada debería
servir de llamada de atención respecto a otra de
las normativas que se están gestando en Europa,
Parece que empresas y como es el Reglamento europeo sobre el respeto
Administración no han de la vida privada y la protección de los datos perso-
nales en el sector de las comunicaciones electróni-
llegado a la fecha de cas, popularizado como Reglamento "ePrivacy". La
adaptación del RGPD, Unión Europea preveía haber aprobado esta norma
antes del pasado 25 de mayo, pero aunque en este
por lo que tendrán momento continúa en tramitación, las organizacio-
nes españolas deben estar preparadas para adap-
que realizar mayores tarse a ella llegado el momento y que no suceda lo
esfuerzos mismo que con el RGPD.
corporativo
6
Ganadores de la XII
2017 edición de los Trofeos monográfico ciberseguros
de la Seguridad TIC 46 reportaje
Ciberpolizas:
corporativo un respaldo para
8
La seguridad las empresas
corporativa, a debate
en el VII Congreso de
Directores de Seguridad opinion
54
Parte de la solución
10 protagonista segurTIC frente a los riesgos
cibernéticos
Alejandro Ramos
Global Digital Security Officer
de Telefónica
64 asociaciones
sobre la mesa
16 RGPD y ciberresiliencia
Confluencia entre IT y
OT, clave para avanzar en protagonizan la
ciberseguridad industrial Jornada Internacional
de ISMS
Participaron: Iberdrola, CCI, Ferrovial, Fertiberia, Equipo
Retén, EDP España, Check Point e Isaca.
Patrocinado por Check Point
STAFF
Borrmart: Presidente: Francisco Javier Borredá Martín. Directora general: Ana Borredá. Adjunto a la Presidencia y a la Dirección
General: Antonio Caballero Borredá. Publicidad: Yolanda Duro, Pedro Jose Pleguezuelos, Paloma Melendo, Fco. Javier Borredá García.
Directora de Relaciones Institucionales: Mª Victoria Gómez.
Red Seguridad: Directora: Ana Borredá. Subdirector: Enrique González Herrero. Redactor: Juanjo Sanz. Colaboradores:
Bernardo Valadés, David Marchal, Leticia Duque Guerrero y Jaime Sáez de la Llave. Maquetación: Macarena Fernández
Suscripción anual:
López y Jesús Vicente Ocaña. Fotografía: Banco de imágenes Thinkstock/GettyImages. Diseño: Escriña Diseño Gráfico.
50 euros (España), 110 euros (Europa,
Responsable soportes online: Laura Borredá. Soportes audiovisuales: Ancor Morales.
zona euro), 150 euros (resto países)
Suscripciones: Mª Isabel Melchor y Elena Sarriá. Dirección Financiera: Javier Pascual Bermejo. Redacción, Administración y
suscripciones@borrmart.es
Publicidad: C/ Don Ramón de la Cruz, 68. 28001 Madrid Tel.: +34 91 402 96 07
Depósito Legal: M-46198-2002
ISSN: 1695-3991 www.borrmart.es www.redseguridad.com red@borrmart.es. Fotomecánica e impresión: Comeco Gráfico S.L.U.
RED SEGURIDAD no se responsabiliza necesariamente de las opiniones o trabajos firmados, no autoriza la reproducción de textos e ilustraciones sin autorización escrita.
Usted manifiesta conocer que los datos personales que facilite pasarán a formar parte de un fichero automatizado titularidad de BORRMART, S.A. y podrán ser objeto de tratamiento, en los términos previstos en la Ley Orgánica 15/1999, de 13
de Diciembre y normativa al respecto. Para el cumplimiento de los derechos de acceso, rectificación y cancelación previstos en dicha ley diríjase a BORRMART, S.A. C/ Don Ramón de la cruz, 68. 28001 Madrid.
Centro de
Ciberseguridad Industrial
Un ecosistema Internacional
para compartir Experiencias
Argentina - Brasil - Bélgica - Chile - Colombia - EEUU - España - Francia
Ecuador - México - Oriente medio - Paraguay - Perú - Reino Unido - Turquía - Uruguay
corporativo
noticias
Eset España, Rural Servicios Informáticos, Incibe, Santiago Moral, ISMS Forum Spain,
IES Puzol de Valencia, el colegio “Sagrado Corazón” Hijas de Jesús de Salamanca y el
programa Cibercooperante, ganadores de este año
360º
Madrid
10 julio 2018
ORGANIZAN
COEM ( Auditorio)
C/ Mauricio Legendre, 38 . 28046 Madrid
COLABORA PATROCINA
Aeroespacial
y Defensa
protagonista segurtic
entrevista
Alejandro
Ramos
Alejandro Ramos
"Estoy orgulloso del talento que
comenzó su carrera
como 'hacker' y hoy es
hay en España y de que mucho
uno de los responsables del bueno esté en Telefónica"
de seguridad de la
información más Tx y ft: Enrique González Herrero Seguimos el ciclo de vida de la
amenaza. Tenemos una parte de
reputados. Normal que anticipación, que analiza cuáles
Usted entró a formar parte de son las nuevas amenazas, dentro
Telefónica se fijara en Telefónica hace un par de años de un departamento que llamamos
él hace un par de años como CISO y hoy es Global Digital de Ciberinteligencia. Luego existe
Security Officer. ¿Qué diferencia otra área centrada en la preven-
para liderar su seguridad existe entre estos dos cargos? ción, que aborda todo lo relacio-
En Telefónica, la seguridad de la nado con la seguridad más tradi-
digital. Dice que, aunque información más tradicional, lo cional: seguridad de la información,
ya no se puede dedicar que llamamos medidas preventi- medidas técnicas, etcétera. Y ade-
vas de seguridad, está separada más tenemos otros departamen-
a investigar, lo lleva de la anticipación y la respuesta tos, como el de Gobierno, el de
ante amenazas. Por un lado está el Arquitectura y el de Transformación
"en el ADN". Y por ello departamento de Seguridad de la de la Seguridad.
compagina su actividad Información, que se encarga de las Para la detección de nuevas
medidas preventivas, y por otro el amenazas contamos con un Red
en la multinacional de Ciberseguridad, que se dedica Team y para la respuesta a inci-
a la anticipación, detección y res- dentes con 14 CSIRT [equipos de
tecnológica con la puesta. La figura de Global Digital respuesta ante emergencias infor-
Universidad, formando Security Officer agrupa ambas par- máticas], que están desplegados
tes y el CISO, que está integrado en en cada uno de los países donde
a nuevas generaciones mi equipo, es una de ellas. Telefónica tiene presencia. El obje-
tivo de estos CSIRT es que, cuan-
de profesionales y Aparte de esa división que do se materializa una amenaza que
fomentando la creación comenta, ¿de qué manera está no hemos podido prevenir ni antici-
estructurado el departamento par, proporcione una respuesta lo
del talento que hace falta. que dirige usted? antes posible.
Cuando llegó a la compañía como grupo para luego redistribuir estos es una matriz amplia que no solo
CISO, ¿a qué le dio prioridad? indicadores de compromiso. tiene empresas de telecomunicacio-
Yo entré en Telefónica para dedicar- Hay una tercera parte formada nes, sino también de otros sectores,
me a la seguridad de la información, por las técnicas de deception, que el CSIRT de España agrupa a todas
que es una de las áreas que ahora consiste poner trampas para ver qué las que existen dentro del territorio
coordino. Entonces, estábamos más actores nos están agrediendo desde español y recibe información de las
enfocados a la prevención y lo pri- una perspectiva tecnológica. que tengan presencia en otros paí-
mero en lo que pusimos foco fue en Lo que buscamos con todo esto ses, de manera que tenemos todo
fortalecer los procesos básicos de es el contexto, el enriquecimiento y localizado geográficamente y de
seguridad. Es decir, no se trataba de el análisis de la información. manera piramidal.
implantar la tecnología más moder-
na del mercado, sino de abordar lo Hace un año del ataque de Además del ransomware, una
más clásico dentro del entorno de WannaCry, que entre otras muchas de las amenazas más peligrosas
seguridad, como mantener los siste- compañías afectó a Telefónica. actualmente para las organizacio-
mas actualizados, fortifícalos, hacer ¿Qué lecciones aprendieron de nes, ¿cuáles cree que son otros
una auditoría de vulnerabilidades, aquel incidente? retos importantes a los que se
etc. Desde entonces, hemos actua- De aquel ataque aprendimos que enfrentan las empresas hoy en día?
lizado la normativa interna del Grupo somos resistentes, porque aunque Entre las amenazas, ahora está
Telefónica, cambiado todo el marco fuimos afectados no tuvimos pérdi- haciendo mucho ruido todo lo rela-
de control, las políticas normativas, da del servicio ni hubo un impacto cionado con la desinformación y las
los reglamentos y los procedimien- en el negocio. Fue más una crisis fake news. Esto, que es algo clásico
tos, hasta el proceso más básico de de comunicación a través de los en la seguridad tradicional, se está
seguridad. medios, que una crisis técnica como trasladando a los medios digitales.
tal. A las empresas nos ha servido Hace cinco años nadie pensaba que
Una de las áreas que ha mencio- para reforzar el mensaje de la seguri- pudiera ser un problema, pero ahora
nado sobre la estructura de su dad. Aquello fue concienciación con afecta a las compañías.
departamento es la de ciberin- roce duro, porque cuando tienes un Uno de los retos actuales es ser
teligencia. ¿De qué manera lleva incidente de este tipo llega a todas capaces de anticiparnos a las ame-
a cabo Telefónica ese proceso y las alturas y todo el mundo queda nazas que surgirán dentro de cinco
cuál es su concepto sobre esta enterado de que la ciberseguridad años. Hay amenazas que sabemos
especialidad? es relevante. que vienen, pero no tenemos claro
En Telefónica la ciberinteligencia cómo nos van a afectar.
ya está implantada. Yo reporto al ¿Supuso aquel ataque un cam- Luego están los problemas clá-
Global CSO [Chief Security Officer] bio importante en el gobierno de sicos, como la gestión de muchos
de la compañía, cuya dirección se seguridad de Telefónica? proveedores, los insiders, etc., que
llama Dirección Global de Seguridad Realmente no hemos cambiado nada siguen siendo retos importantes. El
e Inteligencia. A su vez, también de lo que estábamos haciendo, por- ransomware es una amenaza rele-
le reportan desde el departamento que era lo correcto; pero nos cogió vante, pero yo creo que afecta más
de Inteligencia, que proporciona una en una fase temprana en la que el a las pymes, que no tienen unos pro-
inteligencia más estratégica y con fortalecimiento de los procesos bási- cedimientos de back up establecidos
una perspectiva más amplia. cos a los que me refería antes tenía ni un departamento de seguridad
Los depar tamentos de que haber llegado un poco antes. Es como tal.
Ciberinteligencia e Inteligencia inte- decir, no ha supuesto un cambio en
ractúan mucho. Desde Inteligencia la estrategia de seguridad, pero nos Ya que menciona la gestión de
nos informan de cuál es la situa- indicó la necesidad de acelerar ese los proveedores, ¿cree que es
ción actual en el entorno de las fortalecimiento de procesos. perjudicial que el mercado esté
telecomunicaciones en el que nos Tras el incidente sí que reforzamos tan atomizado y las empresas
movemos y desde Ciberinteligencia nuestra red de CSIRT, para otorgarle cuenten con muchos proveedores
apoyamos todo el proceso de más relevancia a estos equipos den- a la vez?
recopilación de información para tro de las organizaciones. Pero poco Creo que es un mal necesario y
la toma de decisiones, con datos e más, no ha habido ningún cambio que va por modas. Ahora mismo,
información desde una perspectiva drástico. el modelo de trabajo en las grandes
técnica. compañías consiste en externalizar
Además, tenemos otra parte de ¿Cómo está conformada la red de muchas partes de su actividad, pero
indicadores de compromiso donde CSIRT de Telefónica? en algún momento irán captando
agrupamos y compartimos todas las Funciona como un árbol. En España más personal para desempeñar
huellas de los incidentes que vemos tenemos el CSIRT global, que genera determinadas acciones o proyectos.
en el Grupo Telefónica. Hacemos de y recoge información de los CSIRT de Lo que es cierto es que los recur-
hub entre todas las operaciones del cada país. Como Grupo Telefónica sos humanos son muy limitados a
MO :
E U NA DE h
Disponga del ciclo completo de identidad digital en movilidad. SOLIC
IT
r i s . te c
v i n te g
En cualquier lugar, en cualquier momento. info @
tidisciplinares o figuras como el Estamos exportando el talento de de la información? ¿Son todos los
hacker no está integradas aún esta manera. cursos válidos o hay quien aprove-
del todo? Por otro lado, ya hay mucha cha la oportunidad del momento?
La figura del hacker está cien por gente que se está formando por- Hay de todo porque la oferta es
cien integrada, hay muchísima que existe mucha demanda, por lo grande, al igual que la demanda.
demanda de estos profesionales. que creo que en tres o cuatro años Lo que tengo claro es que cual-
Pero los hacker son una parte de la oferta y la demanda laboral se quier formación debe estar regula-
las actividades de seguridad de una estabilizarán. da. Existen ya organizaciones que
compañía, las otras también hay Pero ahora hay talento, aunque regulan y ponen su sello como refe-
que cubrirlas. Por ejemplo, dentro mucho lo exportemos. Yo estoy muy rencia de calidad en la formación;
de las compañías ya se hacen ejer- orgulloso del talento que tenemos en hay que apoyar a los players que
cicios que requieren de hackers España y de que mucho del bueno tienen experiencia en esto. Pero
que buscan fallos de seguridad. esté en Telefónica. hay otras empresas más pequeñas
También está el caso del hacker que están viendo la oportunidad y
aprovechando la situación. Pueden
ser buenas, pero mi opinión es
que, en general, hay que recurrir a
"La figura del hacker está cien por la oferta más formal que exista. Es
decir, que si, por ejemplo, hablamos
cien integrada en las empresas, de un máster, esté avalado y audi-
que crece y cambia, que tiene una ¿Qué me dice de la ciberreserva? ¿Cómo ve el futuro de la ciber-
visión más amplia y que, donde ¿Encaja esta idea con la realidad seguridad con todas las tenden-
antes veía vulnerabilidades, ahora del mercado laboral de cibersegu- cias que vienen (IoT, Big Data…),
trata de buscar soluciones. ridad? Hablamos de personas que que mejorarán nuestra vida pero
La figura del hacker suele ser tendrían que compaginar su traba- también las aprovecharán los
alguien con mucha pasión en la segu- jo con esta iniciativa, que no está malos para cometer delitos?
ridad, que hace mucha investigación y remunerada económicamente. Al igual que otras profesiones, la
dedica mucho tiempo a darle vueltas Yo creo que la ciberreserva sí es seguridad cambiará. Pero no será
a las cosas. Esa es una actitud fun- posible. El problema surge cuando tanto un cambio de concepción de
damental, no solo para la seguridad no se entiende que esto no es un tra- la seguridad, sino de la aplicación
sino para cualquier otra especialidad. bajo sino una cuestión de seguridad de las nuevas tecnologías con ese
El hacker no solo es aquel que busca nacional. Si tenemos un problema de fin. Creo que los problemas no
vulnerabilidades, sino el que aplica seguridad nacional con otro Estado van a ser nuevos sino más gran-
mucha materia gris y trata de ver las que nos agrede, yo veo más útil un des. Hay que aplicar las mismas
cosas de manera distinta. teclado que un arma. En caso de una cosas que ahora a un entorno más
Ahora todas las compañías tienen crisis relevante, el debate no dará amplio.
perfiles de este estilo y lo seguirán a lugar porque todo el mundo hará El mayor problema es que las
teniendo durante muchos años, por- lo posible por proteger a su familia, nuevas tecnologías aparecen muy
que hace falta. a su nación. El problema es que rápido y no hay tiempo de aplicar
cuando pensamos en la ciberreserva soluciones. Por ejemplo, el IoT no
¿Y qué opina cuando se dice que creemos que vamos a trabajar gratis es un riesgo nuevo, es lo mismo de
en España falta talento? ¿Falta de o que vamos a regalar el tiempo a la antes, pero llega a mayor velocidad.
verdad tanto talento o hay talento Administración Pública. Cuando sale un producto de IoT
mal aprovechado? Aún así, mi opinión es que la cibe- al mercado llega tan pronto desde
Se dan las dos cosas, hay mucho rreserva debe explicarse más. Yo que alguien lo piensa hasta que está
talento, pero sigue faltando. En tengo claro que si la mejor manera instalado en una compañía, que es
España no somos competitivos de proteger a mi familia o apoyar a posible que se olvide contar con la
respecto a otros países de Europa mi país es con un teclado, ahí que seguridad.
porque los salarios son más bajos. voy. Es cuestión de comprensión y Por tanto, las soluciones están,
Con las capacidades que hay hoy de que madure la iniciativa. pero hace falta aplicarlas y ponerlas
en día de teletrabajo, muchos perfi- en funcionamiento en estos proyec-
les están trabajando para empresas Usted es profesor de Universidad. tos tan sumamente rápidos. El reto
de Reino Unido o Alemania, donde ¿Cómo ve la oferta formativa está en llegar a tiempo y ser suficien-
los salarios son mucho más altos. actual en materia de seguridad temente ágiles.
http://gdpr.eset.es 962913348
ciberseguridad industrial
sobre la mesa
De izda. a dcha., Enrique González (RED SEGURIDAD), Agustín Valencia (IBERDROLA), José Valiente (CCI), Juan Cobo
(FERROVIAL), Manuel Buitrago (FERTIBERIA), Carlos Asún (EQUIPO RETÉN), Arturo E. Díaz (EDP ESPAÑA), Mario García (CHECK
POINT), Yolanda Duro (RED SEGURIDAD) y Erik de Pablo (ISACA).
Tx: David Marchal tener el hecho de que prospere un Asún, presidente de Equipo Retén y
Ft: RED SEGURIDAD ciberataque a instalaciones industria- CISO de Initec Plantas Industriales;
les de cualquier tipo. Para abordar y Mario García, director general de
Diciembre de 2015. El ataque sin- esta cuestión, RED SEGURIDAD, Check Point Iberia.
cronizado y coordinado contra tres en colaboración con el fabricante Durante el debate se abordaron
compañías de electricidad ucrania- de soluciones de seguridad Check diversos aspectos relacionados con
nas, que fueron infectadas con el Point, organizó este "Sobre la la ciberseguridad industrial, pero
malware BlackEnergy, provocó un mesa..." donde se analizaron los todos los presentes coincidieron en
apagón de seis horas que afectó a posibles ámbitos de mejora en estos una máxima: se están haciendo pro-
80.000 clientes. entornos. El encuentro contó con la gresos en este ámbito, pero todavía
Enero de 2016. Un ciberataque presencia de Juan Cobo, CISO de queda mucho camino por recorrer.
contra la Autoridad Eléctrica Israelí Ferrovial; Manuel Buitrago, CISO de En palabras de Valiente, de CCI,
motivó que algunos de sus sistemas Fertiberia; José Valiente, director del "desde 2013 ha aumentado bastante
estuvieran inoperativos durante dos Centro de Ciberseguridad Industrial la madurez con respecto a la ciberse-
días, en un momento en el que se (CCI); Erik de Pablo, director de guridad industrial. Por ejemplo, el año
consumían cifras récord de electrici- Investigación de ISACA Madrid; pasado elaboramos un documento
dad debido a las bajas temperaturas. Arturo E. Díaz, CISO de EDP con Check Point en el que se ponía
Estos son solo dos ejemplos reales España; Agustín Valencia, coordina- de manifiesto que los sectores eléctri-
de las consecuencias que puede dor del área OT de Iberdrola; Carlos co, gasístico y petrolero son los que
Uno de los aspectos que se debatieron durante la mesa redonda para intentar mejorar en el ámbito de la ciberseguridad industrial es
la necesaria confluencia entre las áreas de TI y OT para avanzar conjuntamente en la protección de las empresas.
Tx: Enrique González Herrero de que, a tres meses vista de la la limitación o suspensión del trata-
entrada en aplicación del reglamen- miento de los datos cuando consti-
to, el 65 por ciento de las empresas tuya un riesgo.
El plazo de dos años concedi- españolas no podían garantizar su Durante su intervención, la directo-
do a las empresas para que se cumplimiento. Otros informes dibujan ra de la AEPD llamó la atención sobre
adapten al Reglamento General de incluso un panorama más pesimista dos efectos inmediatos del comienzo
Protección de Datos (RGPD) de la en este sentido. de la aplicación del RGPD. Por un
Unión Europea ha llegado a su fin. El La directora de la Agencia lado, se refirió al ingente volumen
25 de mayo comenzó la aplicación Española de Protección de Datos de correos electrónicos enviados a
de esta nueva normativa comunita- (AEPD), Mar España, aseguró duran- los ciudadanos los días previos a
ria, que regula el tratamiento de los te la 10ª Sesión Abierta del organis- la entrada en aplicación del RGPD
datos personales de los ciudadanos mo, celebrada el 4 de junio, que "no para renovar el consentimiento de
europeos por parte de las compañías habrá moratoria" para la aplicación tratamiento de sus datos. En ese
que operan en territorio de la Unión. del RGPD "porque la normativa no lo sentido, puntualizó que "si ya había
A partir de ahora, las empresas que permite". No obstante, aclaró que la un acuerdo contractual en el que el
cometan infracciones en esta materia propia regulación "propone opciones cliente hubiera recibido correos, no
se enfrentan a sanciones que podrían amistosas" a las sanciones cuan- es necesario renovar el consenti-
alcanzar, en el peor de los casos, los do se demuestre un incumplimiento miento prestado previamente". Dicho
20 millones de euros o el 4 por ciento por parte de las empresas. España consentimiento, continuó, "solo sería
del volumen de negocio anual. explicó que existen medidas como necesario si hubiera un cambio de las
A pesar de que el RGPD se aprobó la advertencia o el apercibimiento, condiciones o finalidad anteriores".
en 2016 y se abrió un periodo de dos que pueden adoptarse en lugar de Por tanto, llamó a la calma en torno
años para su adaptación, diferen- las multas económicas cuando se a este asunto.
tes encuestas han reflejado durante aprecie y documente una adecua- Por otra parte, España advirtió de
este tiempo la falta de preparación da diligencia en el cumplimiento del las ofertas de asesoramiento en el
por parte de muchas empresas. Un reglamento. Asimismo, añadió, las RGPD en las que "en ocasiones úni-
reciente estudio realizado por la con- autoridades competentes pueden camente se facilita documentación
sultora IDC y Microsoft daba cuenta ordenar medidas adicionales como creando una apariencia de cum-
Elisa García
Responsable de Estrategia de Negocio
Consultoría y Seguridad de Ingenia
Desde el 25 de mayo de 2018 es en otros sistemas de gestión basa- medidas que mitiguen los riesgos
de plena aplicabilidad el nuevo dos en normas ISO, a través de no aceptables. Estas nuevas medi-
Reglamento General europeo de un ciclo de mejora continua en el das de seguridad para mitigar los
Protección de Datos (RGPD), apro- que, de forma cíclica, se analice la riesgos no aceptables, moduladas
bado el 27 de abril 2016. Esta nueva privacidad, se planifiquen acciones por otros factores como son el
legislación, que protege los derechos de mejora, se implanten, se super- estado de la técnica, los costes
y libertades fundamentales de las visen y se corrijan las insuficiencias. de aplicación y la naturaleza, el
personas físicas y, en particular, su Este ciclo de mejora utilizado en alcance, el contexto y los fines del
derecho a la protección de sus datos sistemas de gestión como, por ejem- tratamiento, servirán para planificar
personales, establece una serie de plo, el SGSI (Sistema de Gestión de los mecanismos de protección del
normas relacionadas con los trata- Seguridad de la Información) basado tratamiento (fase ‘Plan’ del ciclo de
mientos de datos personales y la en la norma ISO 27001, se funda- mejora).
libre circulación de los mismos. menta en el ciclo de Deming (PDCA: La implantación de estas medidas
Con relación a la legislación espa- Plan-Do-Check-Act). de seguridad del tratamiento, junto
ñola sobre protección de datos de con la supervisión continua de las
carácter personal, esta nueva nor- Ciclo PDCA mismas, representarían de alguna
mativa europea presenta un mayor Con respecto a la fase de plani- forma el ‘Do’ y ‘Check’ respectiva-
componente de gestión de la priva- ficación (‘Plan’) del ciclo PDCA, mente. Las actuaciones que, a la luz
cidad o, dicho en otros términos, no para ayudar a identificar las caren- de los resultados de esta supervisión
solo se trata de tener implantados los cias relativas a la seguridad de y bajo posibles violaciones de segu-
mecanismos de privacidad (jurídicos, los tratamientos de datos perso- ridad, deban acometerse, constitui-
técnicos y organizativos), sino tam- nales, conforme a lo estipulado rían el 'Act'. Asimismo, ante nuevos
bién de gestionarlos. en el artículo 32 del RGPD, se tratamientos que puedan entrañar
En el caso de la seguridad de los realizará un proceso de análisis un alto riesgo para los derechos y
tratamientos de datos personales, la de los riesgos de los tratamientos libertades de las personas físicas,
privacidad sería la dimensión asocia- para los derechos y libertades de se deberán realizar evaluaciones de
da a la protección de los derechos las personas físicas. La evaluación impacto, es decir, volver a repetir el
y libertades de las personas físicas de estos riesgos tomando como ciclo de mejora.
en lo relativo a dichos tratamientos. referencia el riesgo aceptable será
Por lo tanto, estaríamos hablando de el indicador que sirva para decidir si Otras regulaciones
gestionar la seguridad de la informa- las medidas actuales de seguridad Este enfoque de la seguridad de los
ción de los datos personales. del tratamiento son suficientes o si, tratamientos orientada a riesgos es
¿Cómo se puede entender este por el contrario, es preciso llevar a también adoptado por otras regu-
enfoque de gestión de la seguridad cabo un proceso de gestión de los laciones y estándares de seguri-
de datos personales? Pues, como riesgos; es decir identificar nuevas dad. Así, por ejemplo, la SGSI-ISO
27001 y el Esquema Nacional de Informático Lógico de Análisis de mento para realizar un proceso
Seguridad, ENS (RD 3/2010 modifi- Riesgos, que implementa la meto- de análisis de riesgos conjunto
cado por el RD 951/2015), requieren dología Magerit) ya incluye esta posi- RGPD-ENS.
de un análisis de riesgos de seguri- bilidad. Así, pues, una organización suje-
dad de la información. Además, en el caso de las admi- ta a diferentes requisitos regulato-
Por lo tanto, en una organización nistraciones públicas, el propio pro- rios y estándares de seguridad
en la que deba implantarse el RGPD, yecto de Ley Orgánica Protección (RGPD, ENS, ISO 27001) podría
el ENS y/o la norma ISO 27001, de Datos española menciona en seguir el enfoque anteriormente
podrá realizarse un análisis de ries- su disposición adicional primera descrito, desarrollando un proceso
gos conjunto, que sea el eje común (Medidas de seguridad en el ámbi- de análisis y gestión de riesgos en
a todo el marco regulatorio y que to del sector público) que el ENS la seguridad y privacidad como eje
integre las amenazas de seguridad incluirá las medidas de seguridad común y punto de partida, y apro-
de la información con las asociadas de tratamiento, adaptando los cri- vechando las sinergias y coinci-
a los tratamientos de datos persona- terios de determinación del riesgo dencias entre las distintas normas
les para los derechos y libertades de en el tratamiento de los datos a y leyes aplicables, a modo de sim-
las personas físicas. lo establecido en el mencionado plificar los esfuerzos tanto de
La propia herramienta de aná- artículo 32 del Reglamento (UE) implantación como de manteni-
lisis de riesgos PILAR (Programa 2016/679. Esto refuerza el argu- miento.
Enfoque global del cumplimiento de los requisitos regulatorios de seguridad de la información y privacidad.
Javier Pascual
Bermejo
Abogado, Socio Director de Segurlex
Consultores & Compliance Abogados
Y llegó el tsunami. Tal como se afecta a la información de éstas El consentimiento expreso es uno
preveía, se inundaron nuestros dis- últimas, no de las compañías, aso- de los puntos que más nerviosismo
positivos por las olas de correos ciaciones, organismos públicos. y alarma está ocasionando. Si en
electrónicos recibidos provenientes Eso sí, huelga decir que las enti- el pasado obtuvimos el consenti-
de las rezagadas y, me atrevo a dades con personalidad jurídica se miento expreso de los clientes no
decir en muchos casos, asusta- componen de personas físicas. tenemos que volver a solicitarlo,
das entidades, en la antesala y como se ha dicho, y es que ade-
desde la directa aplicación, el 25 de Tratamientos y consentimiento más se corre un innecesario riesgo
mayo de 2018, del Reglamento (UE) El RGPD no exige pedir consenti- de que alguien cuyo consentimien-
2016/679 del Parlamento Europeo miento para el tratamiento de datos to ya teníamos lo deniegue en esta
y del Consejo de 27 de abril de personales si la entidad ya lo obtuvo ocasión.
2016, relativo a la protección de las antes de forma lícita. Cada empre- Recordemos la existencia de los
personas físicas en lo que respecta sa trata unos datos para unos fines contratos verbales en nuestro orde-
al tratamiento de datos personales y específicos, por lo que una política namiento jurídico, aunque siem-
a la libre circulación de estos datos, de privacidad de una empresa no pre tendremos una garantía jurídica
y por el que se deroga la Directiva es aplicable para otra. Sí se exige más determinante si son documen-
95/46/CE (Reglamento General de la renovación de una aceptación tados por escrito.
Protección de Datos, RGPD). El ner- cuando anteriormente el consen- Valga de muestra un botón. En
viosismo y alarma social generados timiento se sostuviera sobre una consulta a la Agencia Española
me pide intentar aportar opinión, aceptación no expresa o tácita. de Protección de Datos sobre si
coherencia, tranquilidad y unas bre- Válido antes, no ahora. De igual era necesario el consentimiento
ves aclaraciones al respecto. modo, cuando se pretendan usar expreso para poder emitir facturas
Es de aplicación el comenta- los datos para distintas finalidades. y guardar esos datos para emitir-
do RGPD, y como faro que ilu- Son muy diversas las variables a las, la Agencia se pronunció en el
mine nuestros procedimientos en tener en cuenta, como puedan ser sentido de que si el cliente solicita
aras del cumplimiento, la Agencia si nuestros clientes son personas la emisión de una factura, se esta-
Española de Protección de Datos. físicas o no, si el consentimiento blece una relación contractual en la
Se agradece el proactivo trabajo de expreso se obtuvo previamente, que se recogen datos personales
la misma y las interesantes obser- la existencia de contratos con los para gestionar la emisión de la
vaciones de la décima sesión del clientes que justifiquen un inte- misma que legitima el tratamiento
pasado 4 de junio. rés legítimo, si existen envíos de de datos, y en supuestos como el
publicidad, si se ceden los datos enjuiciado se eximirá de la necesi-
Ámbito de los clientes a terceros, si trata- dad del consentimiento al estable-
Proteger los derechos y las liber- mos datos especiales, si aconte- cer, como excepción al mismo, que
tades fundamentales de las per- cen transferencias internacionales no es necesario el consentimiento
sonas físicas. La legislación solo de datos… cuando los datos se refieren a las
partes de un contrato o precontrato puede ser un medio eficiente, que Es quizás poco probable ser
y sean necesarios para su manteni- no significa que sea el más adecua- sancionado ya por el hecho de
miento o cumplimiento do, pues puede tener las políticas no haberse adaptado, aunque se
Volviendo a destacar la impor- ya adaptadas anteriormente. haya tenido dos años para ello.
tancia de la finalidad antes citada Dependerá obviamente del caso, no
respecto al consentimiento, en los Prestaciones nuevas bajemos la guardia. Recuerde, lec-
casos de cesión a terceros, si en En base a la alarma generada, tor: si no acaece un incumplimiento,
un futuro queremos ceder los datos posiblemente los proveedores de o de haberlo no hay reclamación o
de nuestros clientes a terceros para servicios nos ofrezcan aplicaciones actuación de oficio, no hay sanción.
que éstos luego ofrezcan sus servi- para gestionar bases de datos y Aunque no haya llegado a tiempo
cios, si no hemos solicitado el con- servidores en línea. Que sean muy para la adaptación, lo verdadera-
sentimiento, bajo ningún concepto útiles para cumplir los principios mente importante es ponerse a ello
podremos ceder los datos nunca. no significan que sean obligatorias. cuanto antes, con la ayuda de un
Nunca, hasta que no obtengamos Para algunos casos son más que consultor. La sensación que tene-
el explícito consentimiento. recomendables, pero en muchos, y mos desde Segurlex Consultores
vuelvo a resaltar su gran utilidad, no & Compliance Abogados es que
Política de privacidad son obligatorias. hemos asistido a una alarma social
Tendremos que reelaborar nuestra exagerada, que ha dado lugar a
política e incluir información actua- Fase Zen que multitud de entidades empre-
lizada de quienes estemos tratando Pero entonces, ¿qué pasa con esto sariales, pymes y profesionales,
sus datos o que tengamos pensa- del nuevo RGPD? Pasa que debe- incluso marcas de afamada repu-
do tratar. mos asesorarnos por especialis- tación empresarial, se hayan qui-
¿Obligatoriedad de envío por tas en la materia y adecuarnos zás precipitado con envíos masivos
correo electrónico? No, aunque coherentemente de la mejor forma innecesarios. Y ya estamos viendo
posible, sí o sí, perogrullada al en muchos casos, erróneos.
canto, dado que las multas son Concluyendo, trasladar un men-
para tomar el tema muy muy en saje de tranquilidad y felicitación
serio. Y es que estamos ante dere- para quienes ya iniciaron y proce-
chos fundamentales, pero la ante- dieron a la adaptación. También de
rior legislación de protección de tranquilidad, pero en este caso de
datos era concreta, específica y de mayor responsabilidad y proactivi-
muy amplio espectro, la cual nos ha dad en aras de la completa ade-
proporcionado garantía jurídica. Por cuación para quienes cumplen par-
lo tanto, a quienes hayan convivido cialmente. Y para los que no
hasta esta nueva legislación con estaban alineados con la Ley
procedimientos y políticas adecua- Orgánica de Protección de Datos
das a la misma, la adecuación les en su momento, ni lo estén ahora
va a resultar llevadera. Trabajo de con el RGPD, que pasen de fase
campo, no lo niego, trabajo a reali- Rem a fase Zen; sin alarmismos,
zar, adaptación sin genero de duda, pero despierten y manos a la obra
algún que otro recurso, o muchos ya, de la mano de consultores y
en algunos casos, pero coherencia asesores especializados. No es
y serenidad. cuestión baladí.
Ramón Miralles
Socio profesional en Ecix-director de
Calidad
Hay que reconocer que el ordinario, es que aún se encuentra ciones, en tanto se lleven a cabo
Reglamento General de Protección a debate en el Consejo Europeo. en relación con la prestación y
de Datos (RGPD), y su exigibilidad El Reglamento ePrivacy deroga- utilización de servicios de comuni-
a partir del 25 de mayo de 2018, rá la directiva sobre la privacidad caciones electrónicas, aplicándose
no ha pasado desapercibida, espe- y las comunicaciones electrónicas también a la información relacio-
cialmente por su impacto directo en (Directiva 2002/58), estableciendo nada con los equipos de los usua-
todos y cada uno de nosotros, que normas relativas a la protección de rios finales conectados a las redes
hemos visto como nuestras ban- los derechos y las libertades fun- públicas de telecomunicaciones. En
dejas de correo electrónico y dis- damentales de las personas físicas lo que respecta al ámbito territorial,
positivos se llenaban de mensajes y jurídicas en el ámbito de la pres- como en el RGPD, incluye la pres-
anunciándonos, junto con la llegada tación y utilización de servicios de tación de servicios de comunica-
del Reglamento, algunas otras cues- comunicaciones electrónicas, con ciones electrónicas a los usuarios
tiones de interés en relación con el especial atención al derecho al res- y equipos terminales situados en la
uso de nuestros datos personales en peto de la vida privada y las comu- Unión Europea.
un esfuerzo de "transparencia" sin nicaciones, así como al derecho a la
precedente. protección de los datos de carácter Metadatos
Pues bien, muy probablemente personal. Por "metadatos de comunicaciones
el Reglamento sobre el respeto de Respecto a la protección de las electrónicas" debemos entender lo
la vida privada y la protección de personas físicas en relación con el que hasta ahora se identificaban
los datos personales en el sector tratamiento de sus datos personales, como "datos de tráfico", por lo que
de las comunicaciones electróni- el Reglamento ePrivacy hace preci- hay que diferenciarlos del "contenido
cas, conocido como Reglamento siones y complementa lo previsto en de las comunicaciones electrónicas".
"ePrivacy", tampoco pasará des- el RGPD. Por tanto, establece nor- Los metadatos se podrán tratar para
apercibido cuando sea aprobado mas específicas de modo que, aten- diferentes finalidades, por ejemplo, a
o entre en vigor. Ambos reglamen- diendo al principio de especialidad, los efectos de proteger los sistemas
tos tienen mucho en común. Por el Reglamento ePrivacy prevalecerá (seguridad) o bien detectar fallos,
ejemplo, según la versión que está sobre el RGPD, que es de carácter evitar el fraude o abusos de los servi-
siendo objeto de tramitación en las general, cuando se traten datos de cios, o incluso proporcionar servicios
instituciones europeas, este último carácter personal en el ámbito de de valor añadido (en este último caso
debería haber sido "aplicable a aplicación del primero. deberá contarse con el consenti-
partir del 25 de mayo de 2018", Lo previsto en el ePrivacy será miento de los usuarios).
cosa que evidentemente ya no va aplicable al tratamiento de datos Hay que tener en cuenta que, en
a suceder. Al respecto, hay que de comunicaciones electrónicas, es relación con la confidencialidad de
añadir que la última situación en decir, al contenido de las comuni- los datos de comunicaciones elec-
relación con su tramitación, que caciones electrónicas, incluyendo trónicas, se parte de la regla general
es la de procedimiento legislativo los metadatos de esas comunica- de la prohibición de cualquier inter-
ferencia que afecte a los mismos, equipos terminales con el fin de mite que este pueda expresarse a
salvo que el reglamento lo autorice; conectarse a otro dispositivo o a través de una configuración técnica
por tanto, se prevén las circunstan- un equipo de red, siempre y cuan- de las aplicaciones que permiten
cias en las que el tratamiento está do se informe adecuadamente de el acceso o uso de los servicios de
autorizado. Esa prohibición alcanza las modalidades de recopilación, su Internet, comúnmente los navega-
también al uso de las capacidades finalidad, las personas responsables dores.
de tratamiento y almacenamiento de ella y la información restante En la práctica el usuario deberá
de los equipos terminales, así como requerida de conformidad con el configurar su navegador para que
a la recopilación de información de artículo 13 del RGPD, en el caso de se instalen las cookies, ya que por
esos equipos. que se recojan datos personales. defecto este deberá estar confi-
Sin entrar a analizar aquí las diver- En definitiva, el regulador se gurado para no recibirlas. Por ello
sas casuística en que se autoriza el está refiriendo a las cookies y a parece que ya no serían necesarios
tratamiento, conviene, por su rele- otros medios de almacenamiento los avisos de las páginas web,
vancia, referirnos al consentimiento de datos, que en estos momentos puesto que el consentimiento se
de los usuarios, en particular con resultan necesarios para el funcio- obtendría a partir de la configu-
relación a la información vinculada a namiento de la publicidad digital, ración del navegador. Tal y como
los equipos terminales de los usua- y en general para otras muchas dispone ePrivacy, en su actual ver-
rios finales. funcionalidades de Internet. De ahí sión, al iniciarse la instalación de las
que cuando ePrivacy entre en vigor aplicaciones de acceso a Internet
'Cookies' y consentimiento modificará el actual régimen de uso deberá informase a los usuarios
El uso de las capacidades de tra- de las cookies. Por otro lado, hay sobre las opciones de configura-
tamiento y almacenamiento de los que añadir que ePrivacy no se dedi- ción de confidencialidad de que
equipos terminales, y la recopilación ca exclusivamente a las cookies, dispone, debiendo solicitar el con-
de información de estos, podrá lle- puesto que también regula el uso de sentimiento previo del usuario final
varse a cabo en tanto se cuente con datos que a priori no son de carácter respecto de una configuración de
el consentimiento del usuario, que personal; pero esa es una cuestión privacidad determinada.
también podrá utilizarse para reco- en la que no entraré. Por supuesto ese consentimiento
pilar información emitida por esos Por lo que respecta al consenti- debe poder ser retirado en cualquier
miento al cual se hace referencia en momento, y habrá que recordar esa
ePrivacy, hay que tener en cuenta posibilidad de retirada del consen-
que debe tener las mismas carac- timiento cada seis meses, en tanto
terísticas y recogerse en las mismas permanezca el tratamiento.
condiciones que las previstas en el
RGPD, haciéndose referencia direc- Seguridad del tratamiento
ta al apartado 11 del artículo 4 del La alineación con el RGPD también
RGPD y a su artículo 7. Por tanto, alcanza a cuestiones como la seguri-
deberá tratarse de una "manifesta- dad de los tratamientos, puesto que
ción de voluntad libre, específica, deberán aplicarse medidas técnicas y
informada e inequívoca", mediante la organizativas que garanticen un nivel
cual se acepta que el tratamiento se de seguridad apropiado para mitigar
lleve a cabo, siempre en base a "una los riesgos que puedan concurrir en
declaración o una clara acción afir- el tratamiento de datos personales
mativa", cuestión que, como sabe- que se derive de las comunicaciones
mos, ha causado en buena medida electrónicas; es decir, atendiendo
el aluvión de comunicaciones en los a lo dispuesto en el artículo 32 del
días previos a la plena exigencia del RGPD.
RGPD. En definitiva, después del impacto
Pero en este punto ePrivacy añade, que ha tenido el RGPD, al menos de
en relación con el consentimiento, manera visible para los usuarios, nos
algunas cuestiones relevantes y no espera una segunda ola de cambios
exentas de dificultades, ya que per- en algo tan relevante como la nave-
gación por Internet. En buena parte
dependerá de cómo quede aproba-
do finalmente el Reglamento sobre la
privacidad y las comunicaciones
Cuando ePrivacy entre en vigor electrónicas, así que habrá que estar
modificará el actual régimen de uso
atentos. Recomiendo recordar las
de las cookies y de consentimiento
por parte del usuario, en línea con el lecciones aprendidas con la adecua-
RGPD. ción al RGPD.
ADVANCED
CYBERSECURITY
& INTELLIGENCE
DEFENSE
BY PROSEGUR
Concebimos los servicios de seguridad
de una manera integral y los adaptamos
a las necesidades de tu compañía.
Frente a los nuevos retos, confía en
Prosegur Ciberseguridad.
We Are Cyber. We Are Prosegur.
Seguridad Gestionada
Inteligencia de Ciberseguridad
Consultoría
Integración de Soluciones
info.cyber@prosegur.com
prosegur.es/empresas-e-instituciones/ciberseguridad
twitter.com/prosegur
linkedin.com/company/prosegur
youtube.com/prosegur
criptomonedas
opinión
Josep Albors
Responsable de investigación y
concienciación de Eset España
D esde hace meses se ha desatado o, en su defecto, en los pagos de rizado y el robo de estas criptodivi-
una verdadera fiebre por las cripto- los rescates por ransomware. sas hayan aumentado exponencial-
monedas. No es que estas divisas Sin embargo, los delincuentes mente en los últimos meses. Estos
hayan aparecido de repente, pues- hicieron sus cálculos y vieron que son los métodos más usados:
to que Bitcoin, la pionera de todas les salía rentable infectar todo tipo Anuncios maliciosos: el uso de
ellas, lleva entre nosotros desde de dispositivos para ponerlos a su la publicidad de forma maliciosa
enero de 2009. Sin embargo, estas servicio y, por ende, ponerlos a es algo que los delincuentes llevan
criptodivisas no llamaron la aten- minar. Independientemente de si se haciendo desde hace años. A tra-
ción del gran público hasta que su trata de un ordenador, un smar- vés del malvertising (así es como
valor empezó a aumentar exponen- tphone, una tablet, una Smart TV se denomina esta técnica) se han
cialmente a mediados de 2017. o incluso una nevera o tostadora, distribuido todo tipo de amenazas
Este incremento de valor no cualquier dispositivo conectado a como troyanos o ransomware, y los
pasó desapercibido para los Internet es útil para esta finalidad, y criminales no podían dejar pasar la
ciberdelincuentes que, hasta ese por ese motivo hemos visto numero- oportunidad de instalar software de
momento, solo habían realizado sas campañas que intentan infectar minado no autorizado en nuestros
alguna campaña ocasional para todo lo que esté conectado a la Red. dispositivos.
robar criptomonedas de los usua- De ahí que sea importante tener Estos anuncios maliciosos se pue-
rios o utilizar sus recursos. La muy claro que los delincuentes no den incrustar tanto en webs crea-
mayoría de ellos tan solo utilizaba solo buscan robar nuestros datos. das por los delincuentes como en
las criptodivisas como forma de La infección de nuestros disposi- webs legítimas, siendo la infección
pago en los rescates exigidos por tivos conectados, independiente- en estas últimas la más peligrosa,
el infame ransomware y como un mente de si estos contienen infor- puesto que los usuarios nos con-
método para dificultar el rastreo mación que pueda ser valiosa o no fiamos y pueden tener millones de
de dinero obtenido con sus activi- para utilizar su capacidad de pro- visitas cada día. Son especialmente
dades ilícitas. ceso, almacenamiento y conexión peligrosas aquellas campañas de
a Internet, es más que suficiente malvertising que consiguen intro-
Todos somos posibles víctimas y debería hacernos olvidar de una ducir sus anuncios maliciosos en
El principal problema para la mayo- vez por todas pensamientos tan las redes de publicidad que utilizan
ría de usuarios es que, con el extendidos como "si yo no soy nadie webs con mucho tráfico, puesto que
aumento del valor experimentado importante, no me van a atacar". los delincuentes pueden obtener
por las criptomonedas durante el una gran cantidad de víctimas de
último año, los delincuentes han Amenazas y criptomonedas una sola vez.
ampliado sus objetivos a cualquier Con el interés de los criminales cen- Minería web: una de las técnicas
tipo de usuario. Como ya hemos trado en obtener criptomonedas a más extendidas durante los últimos
comentado, lo normal era que se nuestra costa, no es de extrañar que meses y que ha afectado espe-
centrasen en aquellos usuarios que los vectores de ataque y amenazas cialmente a países como España
minaban o compraban criptodivisas relacionadas con el minado no auto- es la introducción de código de
Seguridad
integral
en la
protección
de los nuevos activos
XII edición
Trofeos de la Seguridad TIC
Organizan
Por qué los estándares no son suficientes: la integración como clave en las Infraestructuras Críticas
13:00 Samuel Linares
14:30 CÓCTEl-AlMUERZO
vehículo autónomo
opinión
que este servicio tenga alguna vul- porque somos muy precavidos y libro entre usabilidad, seguridad y
nerabilidad y que el ciber-atacante siempre guardamos la distancia de privacidad. Y no es un equilibro fácil.
pueda enviar datos falsos al coche seguridad? Pues cuando se produz- Las normativas de seguridad vial ten-
o tener acceso a cierta información ca una de ellas el sistema tiene que drán que revisarse para dar cabida
(en el caso de la información per- ser capaz de saber que se trata de a los vehículos autónomos, pero el
sonal almacenada en el vehículo, una frenada de emergencia inusual momento más complicado va a ser
debería aplicar lo necesario según y no un tráfico malicioso que deba los años de convivencia entre vehícu-
el nuevo Reglamento General de filtrar aunque no se haya producido los convencionales y vehículos autó-
Protección de Datos). otro evento similar desde que adqui- nomos. Ahora por ejemplo, cuando
El ciberataque interno es más rimos el vehículo. otro coche te hace una maniobra
complicado, ya que se necesita tener rara o se te cruza inesperadamente,
acceso físico al vehículo; pero una Cada vez más conectados nos queda quejarnos, 'hacerle luces'
vez conseguido es mucho más efec- Volviendo a los ataques, estos tienen y poco más… Con estos vehículos
tivo dado que no está limitado a las un impacto limitado por el momento en las calles, si tu coche autónomo
funciones disponibles y se puede en el que nos encontramos actual- detecta que otro coche hace una
interactuar prácticamente con todos mente, pero dentro de unos años los maniobra rara o se le cruza inespera-
los elementos del coche, desde los vehículos se conectarán unos con damente, seguramente se retirará al
frenos hasta la velocidad a la que otros (V2V) y con la infraestructura arcén o frenará para evitar la colisión.
circula… No obstante, para esto hay de las calles y carreteras (V2I), por Es necesaria una labor de aprendiza-
que tener acceso a alguna de las lo que recibirán mucha más infor- je por parte de fabricantes y empre-
centralitas del vehículo (ECU) y, por mación que habrá que proteger para sas de ciberseguridad para que los
tanto, la amenaza es mucho más que nadie pueda falsear. Todo esto vehículos autónomos sean capaces
limitada y fácil de detectar. sin aumentar los tiempos de espera de reaccionar adecuadamente tanto
En GMV estamos trabajando en un y latencia, ya que nuestro coche ante una maniobra inesperada de un
sistema de detección y prevención tendrá que procesar toda esa infor- coche no autónomo como ante datos
de intrusiones que básicamente revi- mación en tiempo real para poder maliciosos.
sa todos los datos generados en la tomar las decisiones adecuadas en La única forma que tendremos
red del coche por los distintos dispo- cada momento. para protegernos de estos ataques
sitivos para detectar anomalías (esta- El impacto es claro: además de es la misma que utilizamos para pro-
mos hablando de muchos datos: un causar accidentes de tráfico, un teger nuestros ordenadores, tablets y
coche autónomo generará alrededor vehículo autónomo hackeado puede teléfonos móviles: estar actualizados.
de 600 Gigas por segundo). Puede convertirse en un arma potencial, Tendremos que actualizar periódica-
parecer sencillo identificar las accio- ya no solo para causar daños a mente el software del vehículo para ir
nes típicas de un coche, pero tiene las personas de dentro del vehículo, parcheando las vulnerabilidades.
su complejidad. Por ejemplo, ¿cuán- sino también a la gente de alrede- Con los dispositivos actuales parece
tas frenadas de emergencia hace- dor. Tanto los fabricantes como la más fácil dado que el fabricante nos
mos al año? ¿Una o dos? ¿Ninguna legislación deben encontrar el equi- avisa cuando hay una nueva actuali-
zación y simplemente tenemos que
aceptar la instalación para que las
vulnerabilidades detectadas sean
actualizadas. Con nuestro vehículo
pasará exactamente igual, en algu-
nas ocasiones tendremos una notifi-
cación del concesionario para que
vayamos a instalar una nueva versión
del software y en otras nuestro vehí-
culo será capaz de descargar la
actualización de Internet e instalarla
por sí mismo una vez que la acepte-
mos. En cualquier caso, un futuro
divertido y emocionante.
Tx: David Marchal (correspondiente a 2016), el volumen últimos años y de manera exponen-
Ft: RED SEGURIDAD anual de negocio de este mercado cial se ha hecho latente en toda la
se cifra en torno a los 500 millones economía". En otras palabras, añade:
de euros, con un crecimiento inte- "Un incidente cibernético puede tener
Hoy en día, ningún departamento ranual del 12 por ciento. Hasta ahora, repercusiones de todo tipo y la póliza
relacionado con las TIC se cuestiona estos seguros se habían orientado a permite que el cliente transfiera muy
si las ciberamenazas pueden incidir las grandes empresas, debido a su buena parte de dichos riesgos".
sobre su organización o no. La pre- mayor exposición a los riesgos ciber- De igual forma opina Marco Antonio
gunta que se plantean es cuándo néticos. Sin embargo, actualmente Lozano, coordinador de empresas y
sucederá un ataque y si contarán se están centrando en la pequeña profesionales del Instituto Nacional
con los mecanismos adecuados para y mediana empresa, adaptando su de Ciberseguridad (Incibe): "Para
hacerle frente. Es en este contexto oferta a su realidad específica y nece- muchas empresas, sobre todo del
donde las pólizas de ciberriesgos se sidades concretas. No en vano, estas tipo pyme, implementar medidas tec-
establecen como medidas de res- pólizas no solo permiten gestionar los nológicas puede resultar excesiva-
paldo de primer orden, junto con la ciberriesgos corporativos con mayor mente caro. Por lo tanto, uno de los
concienciación de los trabajadores efectividad que hasta ahora y mejorar modos más eficaces de hacer frente
y el incremento de la ciberseguridad el grado general de la ciberseguridad a este tipo de problemas, es transfe-
corporativa. de nuestro país, sino que también rir el riesgo a un tercero, como es el
Tanto es así que, en los últimos aportan un conocimiento relevante caso de una aseguradora".
años, este tipo de productos están de las amenazas cibernéticas de las
experimentando un incremento en su empresas. Ventajas
contratación. De hecho, según el últi- En palabras de Karen Velandia, Son varios, por tanto, los beneficios
mo estudio realizado al respecto en especialista en productos ciber de que tiene la contratación de este
nuestro país por el think thank Thiber, Chubb, "la motivación inicial para tipo de pólizas. Algunos de ellos
denominado Ciberseguros, la trans- contratar este tipo de seguros es los enumera Claudia Gómez, direc-
ferencia del ciberriesgo en España transferir un riesgo que durante los tora de Líneas Financieras en AON:
reportaje
"Fundamentalmente son proteger el bles para la contratación de cualquier sobre los activos más comunes en
balance y la cuenta de resultados, ciberpóliza es la evaluación de los relación con los posibles riesgos y
puesto que los desembolsos y pér- riesgos ciber de la empresa. Para su índice de siniestralidad con aún
didas económicas derivados de una este tipo de riesgos, el cliente cum- pocos datos". Por este motivo, con-
quiebra de seguridad pueden ser muy plimenta un cuestionario en el que tinúa, "siempre exigen cumplir una
costosos para una empresa", y "ayu- se evalúan a alto nivel los principales serie de medidas de seguridad que
dar a las organizaciones a gestionar ámbitos de la ciberseguridad". Claro permitan contratar el seguro o, en el
este tipo de crisis, ya que muchos que, aparte de esto, también pueden mejor de los casos, no contar con
aseguradores incluyen servicios de ser requeridas reuniones específicas descuentos u otro tipo de ventajas
gestión de incidentes o mitigación o la intervención de un consultor si no se muestra cierta madurez
del riesgo reputacional a través de especializado para cuantificar de una en ciberseguridad". Incluso, Lozano
consultores externos, lo cual es de forma más precisa el riesgo en los confirma que, "en función de la póliza
gran utilidad para empresas que aún casos en los que el cuestionario no y de los activos que hay que prote-
no han desarrollado sus planes de se considere suficiente. ger, en algunos casos van a requerir
gestión de crisis". Así lo pone de manifiesto también una auditoría de terceros para garan-
A esto se añade una opción más Lozano, de Incibe, para quien "las tizar que las empresas dispongan de
que señala Alan Abreu, responsable aseguradoras tienen la difícil tarea los mecanismos de ciberseguridad
de Riesgos Cibernéticos de Hiscox: de valorar la probabilidad de impacto necesarios", subraya.
"La principal ventaja es que aportan
seguridad y confianza a las empre-
sas, ya que son productos específica-
mente diseñados para cubrir riesgos ¿Qué coberturas ofrecen las ciberpólizas?
cibernéticos que no están recogidos
en otro tipo de pólizas". Eso sí, mati- Como con la contratación de cualquier otro seguro, siempre hay que
za, "el papel de las ciberpólizas va leer con detenimiento y entender las condiciones generales y particula-
más allá de ofrecer una cobertura res, así como las cuestiones que están incluidas y excluidas en este tipo
económica ante un posible ataque". de pólizas. Según Incibe, estas son las coberturas habituales:
En cualquier caso, es cierto que
actualmente no es obligatorio la con- • Responsabilidad civil frente a terceros.
tratación de este tipo de productos. • Responsabilidad por pérdida de datos de carácter personal o ries-
Sin embargo, a juicio de José Carlos gos de privacidad y por gastos de notificación de vulneraciones de
Jiménez, suscriptor Cyber de AIG, privacidad a los titulares de los datos y a terceros interesados.
"los hechos que ocurren día a día • Frente a reclamaciones por la violación de derechos de propiedad
y que podemos leer en portadas intelectual relativos a cualquier tipo de contenidos, incluidos los
generados por un usuario.
de periódicos generalistas despiertan
• Defensa jurídica y asistencia a juicio, incluyendo los gastos de
la necesidad de cuantificar y cubrir
defensa por multas y sanciones de organismos reguladores y con
de alguna manera los ciberriesgos
cobertura para procedimientos e investigaciones de organismos
a los que están expuestas todas las
reguladores.
empresas que traten o almacenen
• Protección frente a reclamaciones de terceros por incumplimiento
cualquier tipo de información".
en casos de custodia de datos, difamación en medios corporativos
Y a todo esto, según este profe- o infección por malware.
sional, se suman los cambios nor- • Pérdida de beneficios.
mativos. "Las leyes son cada vez • Pérdidas de ingresos netos como resultado de una vulneración de
más estrictas para asegurar que la seguridad o de un ataque de denegación de servicio.
información personal y sensible cuen- • Cobertura para los datos alojados en la nube.
te con las medidas y controles de • Gastos de gestión y comunicación de crisis.
seguridad necesarios para evitar, en • Asistencia técnica y gastos de investigación del siniestro cubriendo
la medida de lo posible, su vulnera- los costes de un posible análisis forense en caso de que sea nece-
ción", comenta. sario (fugas de datos, robo de información, etc.).
• Gastos de reparación y restauración de los datos borrados y de los
Requisitos para su contratación equipos dañados.
Ahora bien, una empresa no puede • Frente a delitos cibernéticos: estafas de phishing, suplantación de
contratar un seguro de estas caracte- identidad, hacking telefónico, robo de identidad, fraude electrónico y
rísticas sin antes pasar por un análisis extorsión cibernética.
de sus sistemas, tal y como se encar- • Asistencia técnica frente a una intrusión de terceros en los sistemas
ga de recordar el propio Jiménez: informáticos del asegurado.
"Uno de los requisitos imprescindi- • Restitución de los gastos por errores tecnológicos y omisiones.
Servicios adicionales
Aparte de todo lo anterior, y como
aportación de valor añadido para el
cliente, las compañías aseguradoras
suelen ofrecen de forma opcional una
serie de servicios de prevención y
consultoría de riesgos con el objetivo
de acompañar y asesorar al cliente
en la definición de planes correctivos
y acciones que mitiguen o minimicen
lo máximo posibles sus ciberriesgos.
Por otro lado, muchas de ellas ofre-
cen asistencia técnica de expertos las en estos escenarios contribuirá a dades. En este caso, según Abreu,
24 horas a través de diversos canales una mejor gestión y soporte a los de Hiscox, es importante vigilar si el
de comunicación, contacto a través afectados". proveedor o partner está cumpliendo
de la propia web y otras páginas con Es cierto que, en ocasiones, y las medidas preventivas adecuadas
centros de atención telefónica 24x7 según dicta la experiencia de las para evitar un ciberataque. "Se trata
para reportar fallos de seguridad o propias aseguradoras, son falsas de una cobertura muy importante,
sistemas y fugas de datos, y aseso-
ramiento legal para saber cómo res-
ponder en situaciones de crisis, con
el fin de hacer frente a cualquier even-
La motivación inicial para contratar
tualidad de la mejor forma posible. este tipo de pólizas es transferir
Procedimiento de actuación
Y así llegamos al punto en el que
los ciberriesgos a un tercero
se firma el contrato del seguro, y
comienza su periodo de vigencia. A
partir de aquí, ¿qué pasos habría que
dar? La "maquinaria" se pone en mar- alarmas o crisis que se atajan rápi- ya que nunca podremos estar total-
cha cuando la empresa asegurada damente, de tal forma que no hace mente blindados en materia de ciber-
detecta un ciberincidente de seguri- falta activar otras coberturas de la seguridad si no tenemos en cuenta
dad. "El asegurado debe comunicar póliza. Eso sí, añade esta profesional, la actividad de nuestros partners",
el incidente, o su sospecha, en el "durante toda la gestión de lo ocurri- comenta. En cualquier caso, y con
plazo más corto posible", explica do, tanto el equipo de gestión como toda prababilidad, "el asegurador va a
Gómez, de AON. "Por Ley, el plazo de el departamento de siniestros estarán querer conocer con carácter previo a
comunicación establecido es de siete en contacto con el asegurado para la contratación del seguro las políticas
días; pero normalmente las empre- llevar a cabo las medidas correctivas de selección y control de dichos pro-
sas requieren los servicios de los y, si fuera necesario, implementar veedores", subraya Gómez, de AON.
consultores TI de forma inmediata, acciones adicionales que contribuyan Por todo lo comentado, este tipo
por lo que la comunicación suele ser en la mitigación de las reclamaciones de seguros cada vez son más habi-
muy rápida", agrega. Así también que pueda recibir la empresa o las tuales. "Sabemos que la seguridad
lo menciona Velandia, de Chubb: propias pérdidas". total no existe, pero con las pólizas de
"Recomendamos que el cliente, tras ciberriesgos vamos a contar ahora
conocer o tener sospechas de una Responsabilidades con una opción muy interesante que
incidencia cibernética, contacte con Otro tema destacado en el ámbito tendremos que valorar con el objetivo
nuestro equipo de gestión de inciden- de las ciberpólizas es cuando llega de proteger nuestro negocio", con-
tes, debido a que su especialización el momento de dirimir responsabili- cluye Lozano, de Incibe.
Ciberseguros, un mercado en
constante evolución
resienta lo máximo posible. Debemos ciber-extorsión, los daños reputacio-
pensar que, actualmente, el 99 por nales o de gestión de crisis y los cos-
ciento de la infraestructura de una tes derivados de la defensa, multas y
organización está interconectada, por sanciones asociados a los derechos
lo que un ataque informático puede legales de privacidad.
llegar a paralizar, parcial o completa- En este sentido, es importante
mente, su correcto funcionamiento. comprender la complejidad de las
A lo anterior se une una segunda pólizas de cyber, puesto que son
problemática, la sensibilidad de la productos transversales que afectan,
información provoca que, en muchas al mismo tiempo, a muchos otros.
ocasiones, los asegurados no quieran Cuando decimos que una póliza de
compartir detalles sobre los incidentes ciberseguridad debe comprender
o brechas de seguridad sufridas, así también las violaciones de privacidad
como las medidas que han adoptado. por brechas de seguridad y fuga de
Ello provoca que sea más difícil fijar los datos sensibles, se debe a que la
Carolina Daantje precios de las pólizas y se ralentice el misma puede tener su origen en un
Directora de Ciber Riesgos e Infidelidad proceso de aprendizaje en el campo ataque masivo como un ransomware,
de Empleados de Willis Towers Watson de la ciberseguridad. que secuestra los datos privados de
una organización y solicita un rescate
Una póliza 'viva' para permitir la liberación de los mis-
Si algo ha quedado patente tras los Ante un escenario, en el que los mos. En este momento, la compañía
últimos ataques cibernéticos masi- riesgos son tan cambiantes y los encargada de custodiar la informa-
vos, es que las actuaciones de los elementos a asegurar tan numerosos, ción sensible de sus clientes la pierde
ciberdelincuentes son cada vez más el objetivo debe ser crear una póliza en favor de un tercero, que se hace
sofisticadas. Por ejemplo, WannaCry 'viva', en la que los mapas de riesgo con el control de la misma; de ahí
infectó a más de 200.000 empresas sean objetivo de revisión cada cierto que la solución aseguradora deba
de todas dimensiones e instituciones tiempo, de tal manera que recojan las comprender tanto los gastos del res-
de 150 países, lo que terminó ponien- nuevas amenazas a las que su clien- cate como los perjuicios ocasionados
do una pregunta sobre la mesa: te se enfrenta. En definitiva, deben como consecuencia del ataque.
¿estaban realmente preparadas para crearse productos aseguradores ad Si hace unos años este tipo de ries-
hacer frente a un ciberataque? hoc para las necesidades de la com- gos era algo impensable, ahora su
Las compañías demandan solucio- pañía tras la realización de una audi- protección frente a ellos se ha conver-
nes, mientras que el mercado asegu- toría previa, que permita configurar un tido en una prioridad para las multina-
rador analiza cómo hacer frente a uno mapa de riesgos para que la póliza cionales y empieza a serlo para las
de los mayores desafíos a los que se que se contrate, se adapte cien por empresas de menores dimensiones.
ha enfrentado nunca: diseñar pólizas cien a sus necesidades. Unos avances que están teniendo un
para proteger frente a amenazas en Ahora bien, la clave para que estos reflejo directo en el crecimiento tan
constante evolución y cambio diario. productos sean verdaderamente efi- espectacular que la rama de ciberse-
No es tarea sencilla, ya que no caces es que den respuesta al con- guridad ha experimentado dentro del
es posible revisar comportamientos junto de los siniestros que se puedan mercado asegurador europeo. Si en
pasados sobre los que construir el pro- producir en la propia red como con- 2016 el volumen de primas se situaba
ducto asegurador. El éxito de un ata- secuencia de un ataque cibernético o en los 300 millones de dólares, se
que cibernético radica, precisamente, un fallo de sistema, como por ejemplo espera que en 2018 se incremente en
en ir transformándose para saltarse por un error humano. En este sentido, 600 millones de dólares. En un
los controles de seguridad y causar también deben contemplar la poten- momento en que el mercado ofrece
el mayor daño posible en una orga- cial violación de la privacidad por una grandes perspectivas de crecimiento,
nización, incluyendo el atacar nuevos brecha de seguridad de la empresa, el mayor desafío se sitúa en el diseño
puntos de la infraestructura para lograr así como responder de los gastos de pólizas que no han sido probadas
que la actividad de la empresa se resultantes de ser víctima de una para riesgos en continua evolución.
Descubre y audita
Monitoriza y detecta
Simplifica la gestión
Identifica a los usuarios, Implementa medidas de Su activación es inmediata Tu empresa tendrá un control
equipos o servidores con acceso y operación sobre PIl y se gestiona directamente exhaustivo de la PII ubicada
acceso a Información de con la ayuda de los informes desde la misma plataforma en sus equipos.
Identificación Personal (PII) y las alertas en tiempo real. cloud.
de tu empresa.
900 90 70 80
pandasecurity.com/business/
ciberseguros
monográfico
opinión
Ciberseguros y cumplimiento
del RGPD
Navegando por la Red sin rumbo anteriores (19% y 22% frente a las tarlos a adoptar medidas de protec-
determinado, encontré un corto de cifras de 2016 y 2015, respectiva- ción y procedimientos de gestión de
Keiichi Matsuda, especialista en rea- mente), denota que nuestra informa- incidentes para el cumplimiento legal.
lidad aumentada y diseño de interfa- ción no está debidamente tratada y De lo contrario, el ciberseguro no se
ces y usabilidad, sobre hiperrealidad y protegida, por lo que tenemos por concede.
sus consecuencias. El vídeo me hizo delante mucho trabajo que hacer. Tal y como señala el Instituto
pensar mucho sobre el punto en que Con la aplicación del Reglamento Nacional de Ciberseguridad (Incibe),
nos encontramos y en el tremendo General de Protección de Datos como coberturas básicas se consi-
avance que necesitamos alcanzar en (RGPD) desde el 25 de mayo de este deran las responsabilidades y pro-
los próximos años en lo referente a la año y las nuevas multas de hasta 20 cedimientos regulatorios; la defensa,
información personal, su valor, cómo millones de euros que se podrían perjuicios y multas regulatorias; los
gestionarla y cómo protegerla. imponer a las compañías que no daños propios y la pérdida económi-
Ni que decir tiene que, aun cuando observen ciertas normas –como, por ca; y la gestión de crisis y los gastos
el vídeo es una ficción, se acerca ejemplo, la desaparición del consen- pagados a expertos.
mucho al ciclo de vida de la informa- timiento tácito a la hora de la reco- Los puntos anteriores son un resu-
ción hoy en día. Pero en cualquier pilación de datos–, ahora más que men condensado de la lista completa
caso, antes de alcanzar ese punto nunca se hace necesario disponer de en la que cada punto dispone de
debemos culminar otros que faciliten herramientas que faciliten y garanti- temas más desarrollados y que apli-
su llegada. En estos momentos, uno cen el cumplimiento de dicha norma. carán según las necesidades de con-
de los principales retos consiste en tratación de cada caso, coincidiendo
disponer de los medios adecuados Ciberseguros todas en la protección de la infor-
para realizar una gestión de la infor- En este sentido, los ciberseguros son mación y su tratamiento adecuado,
mación con garantías. una buena herramienta si nos cen- tanto para evitar un incidente como
Según la memoria de 2017 de la tramos en los requisitos de contrata- para abordarlo una vez ocasionado.
Fiscalía General del Estado, los pro- ción y de coberturas que garantizan. Cabe destacar, como es normal,
cedimientos judiciales relacionados Para su contratación, por ejemplo, que las empresas aseguradoras se
con delitos de estafa supusieron el las aseguradoras exigen cumplir con reservan el derecho de no aten-
mayor grupo de ciberdelitos regis- una serie de medidas de seguridad der según qué reclamaciones, lo
trados, el 61 por ciento, y sumaron que demuestran cierta madurez y que generalmente denominamos
4.930. Este dato, aun cuando puede responsabilidad en la gestión para las exclusiones, y que algunas son
parecer bueno debido a la drástica mitigar los riesgos. Esto obliga a las actos deshonestos, fraudulentos y
reducción en relación con ejercicios organizaciones que deseen contra- deliberados por parte del asegu-
opinión
Alfonso Pastor
Director comercial y de Marketing
de Leet Security
Ana González
Colaboradora de Leet Security
Pero, ¿cómo puede una orga- garanticen la corrección e imparcia- las entidades financieras ponen en
nización ejercitar los derechos de lidad de los resultados. común sus intereses en lo referente
acceso y auditoría? El texto deja a requisitos sectoriales específicos,
claro que este derecho no puede Metodología Leet Security estos pueden ser mapeados sobre el
estar limitado por acuerdos contrac- La metodología de Leet Security referencial, como lo están otras nor-
tuales y que deberá llevarse a cabo cumple –posiblemente sea la única– mativas, como el Esquema Nacional
en base a los pertinentes análisis con todos estos requisitos, pudien- de Seguridad, PCI DSS o NIST SP
de riesgo. Evidentemente, todas y do ser empleada en su modelo 800-53, e incluso, y de la misma
cada una de ellas pueden utilizar estándar de calificación indepen- forma, ampliándolo con los controles
sus recursos propios para hacerlo, diente, que permite a los provee- que no estén previamente recogidos,
multiplicando controles similares a dores de servicios acreditar a todos para configurar un modelo que se
todos los proveedores comunes. sus clientes (y no solo a los del adecúe completamente a las necesi-
Pero la EBA también plantea dos sector financiero) que sus servicios dades del sector financiero.
posibles modelos más eficientes: están construidos y operados de De esta manera, se obtiene un
auditorías compartidas (pooled forma segura con las medidas de referencial con la gama más com-
audits) o certificación por terceros seguridad correspondientes al nivel pleta de medidas técnicas y orga-
independientes. mostrado en la calificación. nizativas de seguridad, incluyendo
En todo caso, el alcance de las Con dicha calificación, las entida- requisitos sectoriales específicos,
auditorías deberá cubrir todos los des financieras cubren otra de las estructurado en diferentes niveles
sistemas (procesos, aplicaciones, recomendaciones para llevar a cabo para adecuarse a todas las nece-
infraestructuras, centros de proce- una selección previa de los provee- sidades y dotado de una meto-
so de datos, etc.), así como los dores adecuados acorde al nivel de dología de auditoría y supervisión
controles clave, que deberán estar riesgo de las actividades subcontra- para garantizar la aplicación conti-
basados en estándares internacio- tadas, habiendo decidido para ello nua durante la vida de los servicios
nales y asegurarse su efectividad los niveles de confidencialidad, inte- subcontratados.
operacional. gridad y disponibilidad requeridos. Este enfoque diferencial y único
En este sentido, ¿qué requisitos Normalmente, las condiciones se permite al sector financiero español
debería cumplir una metodología plasman en un contrato, y solamen- posicionarse como líder frente al
que permitiese llevar a cabo esta te son –o pueden ser– verificadas resto de entidades del mercado, ya
supervisión? En concreto, debe dis- con posterioridad. La calificación que supone una clara situación de
poner de diferentes niveles de exi- de un servicio permite comprobar ventaja competitiva, con el modelo
gencia para poder corresponder a antes de su contratación el nivel de más eficiente en cuanto a la com-
los niveles de riesgo determinados seguridad ofrecido por el mismo y partición de costes con el mejor
por cada entidad para su servi- comparar entre diferentes opciones esquema para la realización de las
cio particular; evaluar tanto proce- para seleccionar la más adecuada. auditorías y supervisión, que es apli-
sos (sistemas de gestión) como las Pero también aporta una ventaja cable no solo a los servicios en la
medidas de seguridad técnicas real- única utilizada como base para el nube, sino a todos aquellos provee-
mente implementadas; correspon- modelo de auditorías compartidas dores en los que subcontratan cual-
derse y mapearse con estándares que propugna la EBA. Es decir, si quier otro tipo de servicios.
internacionales de amplio reconoci-
miento; posibilitar la incorporación
de requisitos específicos (sectoria-
les) de las entidades; tener en cuen-
ta todos los componentes de los
servicios auditados, incluyendo la
cadena de subcontratación comple-
ta; realizarse de forma continua para
garantizar su validez durante toda la
vida de los servicios; y ser ejecutada
por profesionales de experiencia y
conocimientos contrastados y que
Seguridad en el 'endpoint':
¿puedes hacer más, mejor y más rápido?
atribuir en gran parte a la adición de integrada en la que, además, com- deben tener en cuenta los responsa-
Intelligent Threat Cloud. binamos tecnologías nuevas y esta- bles de seguridad es el impacto en
La exploración en tiempo real de blecidas en un agente único y liviano el rendimiento que tendrá la solución
archivos nuevos también funciona para detener amenazas conocidas y elegida, pues si el software de pro-
increíblemente rápido. El módulo desconocidas en múltiples vectores, tección del endpoint es engorroso,
emulador de nuestra plataforma de yendo mucho más allá del alcance y si ralentiza el rendimiento del dispo-
EPP, por ejemplo, utiliza sandboxing de la capacidad de soluciones indivi- sitivo o frustra al usuario, entonces
virtual para bloquear ataques basa- duales que pretenden proteger frente no importa cuán innovadora sea la
dos en el uso de custom packers, a distintas tipologías de amenazas tecnología de protección, ya que los
implementando una tecnología sofis- o resolver las necesidades de EDR usuarios la rechazarán o terminarán
ticada que imita los sistemas opera- por separado de la plataforma de forzando a los administradores de TI
tivos, las API y las instrucciones del EPP. Estas múltiples capas de pro- a desactivarla (si es que no tiene la
procesador, todo esto al mismo tiem- tección incluyen aprendizaje automá- opción de desactivarla ellos mismos).
po que administra la memoria virtual tico, prevención de vulnerabilidades En Symantec hemos entendido
y que ejecuta varias tecnologías de en memoria, sandboxing en memoria esta necesidad y hemos encontrado
detección y heurísticos. El emulador y en dispositivos de red, desplie- el equilibrio perfecto entre maximizar
opera en milisegundos, un promedio gue de mecanismos de deception los mecanismos de protección de una
de 3,5 milisegundos para archivos que hacen que se revelen actividades EPP y minimizar su impacto en el
limpios y 300 para malware, lo que maliciosas que de otra forma podrían rendimiento de los endpoints. Gracias
minimiza significativamente el impac- pasar inadvertidas durante largo tiem- a este equilibrio, las organizaciones ya
to de la detección y la respuesta en po, antivirus y reputación, análisis no necesitan instalar y administrar
la red y en la experiencia del usuario. de comportamiento y hardening del múltiples agentes de punto final para
sistema operativo y las aplicaciones. prevención, detección y respuesta.
Un agente, múltiples capas Todo ello, dentro de un único Con las tecnologías consolidadas de
El panorama de las amenazas siem- agente de alto rendimiento que ha la plataforma de EPP de Symantec,
pre está cambiando y el malware obtenido la puntación más alta en los responsables de seguridad pue-
puede infiltrarse en los sistemas cor- los Passmark Performace Tests para den cosechar el enorme beneficio de
porativos en cualquier punto de la Enterprise Endpoint Protection tanto la protección de última generación, a
cadena de ataques. La realidad es para Windows 7 (puntuación de 62) la vez que mejoran la experiencia del
que ninguna tecnología por sí sola como para Windows 10 (puntua- usuario, reducen la carga de trabajo
puede detener todo el malware todo ción de 65) y que, además, ha sido de los administradores de TI y dismi-
el tiempo. Por ello, el uso de múlti- nombrado como líder indiscutible del nuyen el TCO, liberando más recursos
ples tecnologías de protección de Gartner Magic Quadrant for Endpoint y energía para centrarse en combatir
forma concurrente es un requisito Protection Platform, publicado por a los malos.
fundamental para el futuro de la Gartner en enero de este año.
seguridad en las plataformas EPP. Ese mismo agente también puede
La contrapartida de esta aproxima- recopilar los datos que necesita para
ción es el impacto en rendimiento y alimentar la detección y la respuesta
un incremento de complejidad para del endpoint (EDR) a través de con-
los administradores de TI, ya que solas de Symantec y de terceros.
múltiples tecnologías de detección y Al mismo tiempo, estas nuevas
de protección en el endpoint suelen técnicas de detección de amenazas
traducirse en la necesidad de des- se combinan con otras tecnologías
plegar y de operar múltiples agentes de probada eficacia y bien estable-
en el puesto de trabajo de los usua- cidas, como el firewall de puesto de
rios finales. Pero dichos usuarios trabajo, el IPS de puesto de trabajo,
finales no quieren el impacto en el el control de aplicaciones o el control
rendimiento que supone usar múl- de dispositivos.
tiples agentes de protección, y los
administradores de TI no necesitan Rendimiento
el dolor de cabeza que supone usar En definitiva, uno de los criterios de
aplicaciones separadas de múltiples selección para plataformas EPP que
proveedores, con la necesidad de
instalar, parchear, actualizar, solucio-
nar problemas e integrar cada uno de
ellos por separado.
En Symantec hemos desarrolla- El desarrollo de software de seguridad
do una plataforma de EPP y EDR requiere un equilibrio constante entre
aumentar la protección y minimizar el
(Endpoint Discovery and Response) impacto en el rendimiento.
Aeroespacial
y Defensa
www.fundacionborreda.org
Hazte amigo
GLOBALTECHNOLOGY
Patrocinadores: Consultoría de Seguridad Global e Inteligencia
Colaboradores:
empresa
noticias
Los ciberdelincuentes se
apoyan en el cifrado para
NOMBRAMIENTOS ocultar sus actividades
Francisco Martínez
Carretero
SAP Platform Foundation Manager de Techedge
A ntes de empezar, les propongo La razón de que habitualmente Estas acciones se circunscriben al
un experimento. Si están suscri- los ERP queden fuera de la vista de ámbito interno de la aplicación. En
tos a boletines de ciberseguridad, la ciberseguridad se debe a unos cada una de estas capas deben
revisen los artículos publicados en pocos factores: aplicarse políticas de seguridad
los últimos años. Podrán compro- - Percepción de que son sistemas horizontal, cuidando de que cada
bar que muy pocos de ellos están internos y de uso minoritario. una de ellas esté suficiente protegi-
dedicados a la seguridad de los - Falta de información técnica, da, monitorizada y auditada.
sistemas ERP (Enterprise Resource tanto en el lado de la ciberdefensa Sin embargo, el sistema SAP inte-
Planning), y menos aún a los sis- como en el de los ciberataques. ractúa con las capas que tiene deba-
temas SAP. Hay centenares de - Asunción de que la seguridad jo, a veces de manera muy directa,
artículos y boletines dedicados a interna de la aplicación (por ejemplo, mediante accesos a las tablas de
vulnerabilidades en sistemas ope- los roles y las autorizaciones de SAP) la base de datos, otras mediante
rativos, routers, dispositivos, aplica- es suficiente para controlar lo que llamadas al sistema operativo o a
ciones para móvil, bases de datos ocurre en ella. través del uso directo del sistema
y servidores web. Considerando la El hecho es que estos tres factores de ficheros para intercambiar datos.
importancia de cada uno de estos proporcionan una ilusoria sensación De manera que existe también un
componentes, el daño económico y de control. Adicionalmente, las audi- esquema de seguridad vertical, en el
a la imagen que produce un deface torías de seguridad que se realizan cual no solo hay que cuidar el estado
o un DoS a un servicio puede ser en los sistemas SAP están orienta- de cada capa, sino la interacción
muy considerable. Sin embargo, das en particular a aspectos concre- entre las capas.
el lugar donde reside realmente tos de la segregación de funciones y Finalmente, un sistema SAP típi-
el corazón de las organizaciones, las autorizaciones críticas, pero dejan co posee un número de interfaces
con los datos de empleados, clien- fuera del alcance la mayor parte de considerable con otros entornos,
tes, proveedores, precios, pedidos, las fuentes de ciberataques. en una gran variedad de proto-
pagos bancarios, etc., es en los colos: acceso directo a ficheros
sistemas ERP, que guardan el teso- Sistemas complejos (NTFS/Samba/NFS/SMB), transfe-
ro de la información crítica de la Los sistemas SAP son técnicamen- rencia de ficheros mediante (S)
organización. En este caso, el daño te complejos. En el sentido vertical, FTP, accesos de entrada y salida
es mucho mayor si se produce un se apoyan en el sistema operativo por HTTP(S), SOAP, RFC, comu-
robo silencioso de información o un elegido (Windows, Linux, AIX, etc.) nicaciones con la nube median-
fraude económico que las pérdidas y en una base de datos soportada te Cloud Connector, balancea-
ocasionadas por una caída de ser- (HANA, Oracle, DB2, SQLServer). dores software como SAP Web
vicio puntual en el tiempo. El mayor Sobre estas capas, la aplicación Dispatcher, o conexiones CPI-C
riesgo posible es que la información posee su propio sistema de seguri- a través SAP Gateway o SAP
crítica de nuestra empresa acabe dad interno basado en autorizacio- Router, comunicación con siste-
en poder de terceros. nes para realizar ciertas acciones. mas de desarrollo y test (además
www.segurlex.com.es
C/ Don Ramón de la Cruz, 68 - 2º dcha
28001 Madrid España
Tel.: +34 91 401 88 74
info@segurlex.com.es
vulnerabilidades
opinión
La seguridad no debe contemplarse dores software que sean capaces de mediante el conocimiento heurístico
como un evento puntual. Una audi- reconocer patrones y condiciones de ese experto, así que es conve-
toría puede proporcionar una imagen de seguridad deficientes, y alertar de niente reforzar la monitorización con-
fidedigna del estado del sistema en ellos de manera inmediata. tinua de ciberseguridad con acciones
un instante, pero no puede confiarse Para el análisis de los resultados manuales de un técnico humano que
en que las condiciones de su entorno que suministran las herramientas es explore los límites de "rotura" del
cambien. Un ataque puede realizarse necesario contar con un buen equipo sistema.
hoy, y no detectarse en meses. En de expertos que sean capaces de La combinación de ambas téc-
cualquier caso, el análisis forense no interpretarlos y tomar las acciones nicas, manual y automática, en un
es más que un magro remedio que oportunas. En ocasiones, las alertas servicio único proporciona resultados
no evita el daño. proporcionadas pueden ser falsos inmejorables (¡y tranquilizadores!).
La solución es la seguridad como positivos (por ejemplo, que alguien La recomendación final para el
servicio. La seguridad es un aspecto modifique una cuenta bancaria a las caso de sistemas ERP y concreta-
continuo del funcionamiento de los tres de la madrugada puede ser sos- mente para sistemas SAP es que no
sistemas, como la disponibilidad o pechoso, pero no necesariamente un debe darse por protegido el sistema
el rendimiento, y no puede delegarse intento de fraude). si nadie ha asegurado que lo esté. En
en revisiones anuales. Las herramientas actuales permi- entornos tan complejos, los ataques
Por otra parte, la complejidad téc- ten detectar cientos de condiciones también suelen ser complejos y difíci-
nica de los escenarios SAP hacen de seguridad deficiente, lo que per- les de detectar mediante un enfoque
que un control permanente del esta- mite que el control que realizaría un habitual de ciberseguridad. Es nece-
do de la seguridad, la detección de técnico experto en seguridad SAP sario, por lo tanto, dar un paso ade-
condiciones no deseadas, fraudes, de manera puntual se realice de lante y reforzar nuestros sistemas
extracción ilegal de datos, etc., sean manera continua 24x7, y en todos con políticas, herramientas y servi-
muy costosos de realizar de mane- los sistemas simultáneamente. Por cios específicos para los sistemas
ra manual. Por esta razón es muy otra parte, algunas técnicas con- que contienen los datos más valiosos
recomendable contar con acelera- cretas solo pueden ser probadas de nuestras organizaciones.
caso de éxito
Luis Morells
CIO del Servicio de Salud de
Castilla-La Mancha (SESCAM)
lógico y firma electrónica de sus de mejorar la experiencia de usuario,
profesionales, además de otras fun- aprovechar la economía de escala de
ciones de seguridad. las tecnologías en la nube y, eviden-
El S ervicio de Salud de La evolución tecnológica, y espe- temente cumplir con los requisitos
Castilla-La Mancha (SESCAM) tiene cialmente el impacto del Reglamento de seguridad y las exigencias del
como misión velar por la salud de EU 910/2014 eIDAS, relativo a la Reglamento eIDAS.
los dos millones de habitantes de la identificación electrónica y los ser-
extensa Comunidad de Castilla-La vicios de confianza en las transac- Objetivos de proyecto
Mancha, así como por el bienestar ciones electrónicas, que impone Los objetivos estratégicos de
de sus pacientes. Para ello, cuenta, estrictas y costosas necesidades de Cerv@ntes 2.0 son dotar al SESCAM
en primer lugar, con la dedicación de auditorías de seguridad sobre los de una solución completa de firma
sus excelentes profesionales, y tam- prestadores de servicios de confian- centralizada, para dar cobertura a
bién con su amplia red asistencial y za, han hecho necesario considerar todos los casos de uso actuales, así
servicios de emergencia. A la calidad la modernización de Cerv@ntes bajo como la capacidad de dar respuesta
de estos servicios y las exigencias otros paradigmas. Así, el proyecto en tiempo y costes a futuros requeri-
de mejora y optimización de costes, Cerv@ntes 2.0, que entró en pro- mientos. Por ello, ha resultado esen-
contribuye la Dirección de Sistemas ducción el pasado mes de junio de cial contar con un socio tecnológico
de Información, que da servicio a 2017, fue diseñado bajo los criterios que, además de ser prestador cuali-
más de 30.000 profesionales, 18
hospitales, 11 centros de especia-
lidades, diagnóstico y tratamiento,
204 centros de salud y 1.116 consul-
torios locales, además del dispositivo
de asistencia a emergencias.
Para dicha dirección, servicio, cali-
dad e innovación están perfecta-
mente entrelazados, y en lo que se
refiere a los datos de pacientes está
claro que la seguridad es un requisito
básico. Por eso el SESCAM ya fue
pionero en la implantación del pro-
yecto Cerv@ntes, sistema de clave
pública basado en tarjeta criptográ-
fica, fundamental como soporte de
seguridad para control de acceso
Forcepoint maximiza la
Sophos presenta seguridad de los datos Trend Micro mejora
su nuevo simulador con su última solución la detección del
de 'phishing' fraude por 'e-mail'
El fabricante de ciberseguridad
Sophos Phish Threat es el Forcepoint ha presentado su nueva Mejorar la protección
nombre de la nueva solución solución Risk-Adaptive Protection, contra los ataques del tipo
que ha lanzado la compa- denominada Dynamic Data Protection, Business Email Compromise
ñía al mercado, con el fin la cual evalúa constantemente el ries- (BEC). Ese es el objetivo de
de mejorar la concienciación go y ofrece de forma automática una la nueva capa de protección
y formación de los usuarios ejecución proporcional que puede ele- Writing Style DNA lanzada
con respecto al fenómeno varse o reducirse. Esto, según la com- por Trend Micro. Para ello
del 'phishing'. pañía, es posible gracias a su tecnolo- se apoya en la Inteligencia
Disponible en nueve idio- gía analítica de comportamientos cen- Artificial (IA), con la que
mas con una actualización trada en las personas, la cual entiende "traza" el estilo de escritu-
constante, Phish Threat per- las interacciones que los usuarios, las ra de un usuario empleando
mite a los responsables de máquinas y las cuentas tienen con los más de 7.000 características.
TI identificar a los empleados datos. El contexto inteligente acelera la Así, cuando se sospecha de
susceptibles de caer en esta toma de decisiones y los controles de que un correo electrónico se
estafa y gestionar campañas seguridad específicos para cambiar el hace pasar por un usuario
reales de phishing para ofre- riesgo en las redes empresariales. de alto perfil, se compara el
cer sesiones de formación En concreto, y tras aplicar una califi- estilo con este modelo de IA
para que aprendan de sus cación anónima de los comportamien- capacitado y preparado, y se
errores. tos de los usuarios para determinar envía una advertencia al remi-
La solución también pro- los que son "normales", el sistema tente implicado, al destinata-
porciona estadísticas de aná- permite la monitorización y el acceso rio y al departamento de TI.
lisis e informes para permitir a los datos; el acceso a las descar- Los directivos también tie-
el seguimiento y la medición gas, pero encriptadas; o el bloqueo nen oportunidad de interac-
del riesgo empresarial global total del acceso a archivos sensibles, tuar, pudiendo hacer comen-
y la situación de seguridad, dependiendo del contexto de las inte- tarios sobre los e-mail marca-
tanto en toda la organización racciones individuales con los datos dos para mejorar la detección
como individualmente. corporativos y la calificación de riesgo y reducir los falsos positivos.
resultante.
www.sophos.com www.trendmicro.es
www.forcepoint.com/es
www.fortinet.com
noticias
la cadena de personas debe saber Diversos profesionales, como Flora Demanda de profesionales
cómo reaccionar. La compañía J. García, Senior Attorney, Privacy Para finalizar, el evento abordó con su
debe asegurarse de que todos sus and Security de McAfee, trataron la última ponencia la trascendencia de
miembros saben qué hacer, con el ciberseguridad desde esta vertiente. los profesionales de la ciberseguridad.
objetivo de minimizar lo más posible En concreto, esta ponente señaló que Un campo que tendrá un déficit
el impacto de los 'malos' tanto en la "el 90 por ciento de los datos de de 1,8 millones de profesionales a
propia entidad como en los clientes", Internet se han creado desde 2016, nivel mundial en 2022, según datos
complementó el ponente. y están creciendo exponencialmente. mostrados por Alex Weishaupt, Senior
Pese a todo esto, Mulhearn opinó Con la nueva normativa, la gestión Research Consultant de Korn Ferry.
que dichos 'malos' "son muy buenos de los datos se desarrolla a través Para este experto, en esta parcela
en lo que hacen". Concretamente, de una escala, ya que hay datos que cobra especial importancia la palabra
este experto declaró que los no aportan nada, y otros, como los 'talento', un término del "que se habla
ciberdelincuentes comunican muy médicos, están en el otro extremo. poco". Así, una encuesta dada a
bien y tienen muy claro sus objetivos. Esta ley hace entender qué tenemos conocer por Weishaupt señala que
"Tenemos que aprender cómo lo y cómo lo usamos. En definitiva, el 76 por ciento de los profesionales
hacen y compartir inteligencia, algo todos tenemos que leer el RGPD piensa que los diferentes gobiernos
que hacemos muy mal. Las empresas para mejorar como sociedad", afirmó no hacen lo suficiente para que haya
que proporcionan soluciones de García durante su intervención. talento.
ciberseguridad debemos trabajar En resumen, la opinión de esta Al fin y al cabo, el representante
todas juntas, ya que solamente experta es que "las organizaciones de Korn Ferry considera que el futuro
compartimos parte de la información", tienen que crear una cultura de la ciberseguridad es clave para la
denunció. transparente y abierta, una cultura en sociedad. "Hay que invertir en formar a
También en esta línea, en opinión de privacidad y en seguridad y trabajar las personas, ya que si la organización
Doorenspleet, "tenemos que aprender todos de forma conjunta". capacita a sus trabajadores, estos
de los ciberdelincuentes". "Queda A esta ponencia se le unió la de José trabajarán bien para ella. Aunque
mucho por hacer, pero lo podemos Luis Piñar, exdirector de la Agencia después se pasen a la competencia,
hacer", animó a los presentes. Española de Protección de Datos, quien se fortalecerá la sociedad debido a
afirmó que la nueva Ley Orgánica de que nuestros competidores harán lo
Internet de las Cosas Protección de Datos (LOPD) verá la luz mismo. Todos saldremos beneficiados.
El IoT fue otro de los aspectos que previsiblemente antes de finalizar el año. Además, habrá un cero por ciento de
cobró especial importancia a lo largo Además, Piñar explicó que desde desempleo en este campo, algo que
de las ponencias. En este sentido, José la aprobación del proyecto de nueva no cambiará de aquí a los próximos 15
Ramón Monleón, CISO de Orange, LOPD el pasado 10 de noviembre años", explicó el ponente.
fue rotundo al sostener que con el y su remisión al Congreso de los Junto con todas las intervenciones,
Internet de las Cosas hay millones Diputados, los partidos políticos han los visitantes de la XX Jornada
de objetivos a nuestro alcance, por presentado más de 300 enmiendas Internacional de Seguridad de la
lo que "con que encontremos un solo para que se acometan diferentes Información pudieron visitar los stands
agujero, podemos tener a nuestra cambios legislativos en la futura de diversas compañías, las cuales
disposición millones de dispositivos". norma. Un trabajo que revela que pudieron presentar sus últimas
Un ejemplo de la trascendencia "sus señorías muestran interés por la novedades en materia de seguridad
de estos artilugios son los juguetes protección de datos", en opinión de TIC y sus soluciones para ayudar a que
inteligentes. David Barroso, miembro este interviniente. la Red sea cada vez más segura.
de la junta directiva de ISMS Forum, y
Pedro Cabrera, miembro del equipo de
amenazas y sensibilización del Centro
de Estudios en Movilidad e Internet de
las Cosas de ISMS Forum, hicieron
una demostración práctica de cómo
podemos conectar diversos juguetes
a nuestros móviles. Adicionalmente,
realizaron una exhibición con drones
–categorizados como "juguetes
pequeños" por ambos profesionales–,
donde demostraron que con estos
vehículos aéreos se puede incluso
"eliminar un objetivo".
Protección de datos
La protección de datos, con el nuevo
RGPD al frente, fue también uno de
los protagonistas durante la jornada. Los presentes pudieron conocer las novedades de varias empresas que operan
en el sector de la Ciberseguridad.
HTTPS://WWW.CCI-ES.ORG/ESCUELA
H M A M J J S O N
O
A B A U U E C O
CALENDARIO 2018
R
A R R Y N L P T V
R Z I O I I T . .
Formacion Presencial (Madrid) y Online I
O O L O O .
9:30
a 6 3 8 5 3 4 9 6
Ciberseguridad Industrial para 12:30
Inmersiones Ingenieros Industriales
prácticas e informáticos 15:30
a 6 3 8 5 3 4 9 6
200 € 18:30
www.redseguridad.com www.redseguridad.com
INFINITY
OF THE FUTURE
THE CYBER SECURITY ARCHITECTURE
THE CYBEROFSECURITY ARCHITECTURE
THE FUTURE
OF THE FUTURE
THE CYBER SECURITY ARCHITECTURE
OF THE FUTURE
THE CLOUD
CYBER SECURITY
MOBILE ARCHITECTURE
THREAT PREVENTION
OF THE FUTURE
CLOUD MOBILE THREAT PREVENTION
CLOUD MOBILE THREAT PREVENTION
www.s21sec.com