El capítulo español de Cloud Security Alliance (CSA ES) celebró su Octavo Encuentro Anual de profesionales de la Seguridad Cloud, 8th Spanish Cloud Security Alliance Summit en el Auditorio Principal de CaixaForum Madrid. Esta nueva edición contó con más de 200 asistentes y ya se constituye como el mayor foro de seguridad en la Nube en España.
En ella se abordó la manera de gestionar un ciber incidente cuando incluye servicios en la Nube. A este respecto, se analizó concretamente el impacto de un Data Breach desde la prevención y detección de incidentes en la Nube, hasta la gestión del incidente y su respuesta, forénsica y compliance. Además, el encuentro contó con la intervención especial de organismos y expertos que destacaron la importancia de la seguridad en la cloudNube como catalizador de la economía digital.
La bienvenida corrió a cargo de Roberto Baratta (Global Executive VP and Director of Loss Prevention, Business Continuity and Security en Abanca y miembro de la junta directiva de ISMS Forum), quién inauguró la jornada con estas palabras: “Esta iniciativa de ISMS Forum se configura como un foro de debate que promueve el uso de buenas prácticas y que garantiza la seguridad y privacidad del Cloud Computing, algo que, evidentemente, no es solo del interés de todos los que nos dedicamos a este campo, sino que es de suma relevancia dentro de la estructura de nuestras compañías, así como el uso que le estamos dando a la tecnología en este momento”.
La primera conferencia del encuentro se basó en una entrevista conjunta, por parte del presidente de ISMS Forum, Gianluca D’Antonio, a Isabel Guillem (CISO del IE Business School) y Gonzalo Asensio (CISO de Bankinter). Este interesante formato rodeó en todo momento una de las cuestiones más difíciles de responder: ¿Cuál es el rol del CISO en la adopción Cloud?
“Los CISOs hacemos aquí el trabajo de un psicólogo cuando escuchamos los beneficios de cada solución Cloud y, luego, un trabajo operativo con el equipo. Al final nos dedicamos a asesorar entre la parte técnica y puramente tecnológica”, comentó el CISO de Bankinter. Además, Asensio añadió: “Hoy en día, si tuviera toda mi información en la Nube, dormiría menos de lo que duermo hoy”. Por su parte, Guillem afirma que actualmente no hay nada estrictamente definido y que el rol ideal del CISO “sería tener la capacidad de decisión de qué tipo de Cloud se adapta mejor a nuestras necesidades, pero hoy esto no ocurre”.
Abhijit Chakravorty (Associated Partner & Cloud Security Competency Leader, IBM Center of Competence), fue el siguiente en intervenir durante la primera parte de esta octava edición, quién puso encima de la mesa algunos de los desafíos que debemos tener en cuenta a la hora de asegurar la Nube híbrida. Estos retos van desde cómo mantenerse al día con los cambios en el cumplimiento normativo, pasando por el tipo de Shadow IT que se está empleando en la organización en cuestión, hasta cómo administrar las políticas de los entornos locales y en la Nube.
La siguiente intervención consistió en una mesa redonda que responde al título “Security Cloud Ecosystem From Ever-changing Threats” y contó con la participación de Raúl Tejeda (System Engineer de Fortinet), José de la Cruz (Director Técnico de Trend Micro), José María Cayuela (Security Specialist Senior de Akamai), Iván Robles (Sales Engineer Manager de Prosegur Ciberseguridad), Eusebio Nieva (Director Técnico para España y Portugal de Check Point) y Roberto Baratta como moderador.
“No podemos permitir, en este mundo tan dinámico, que nuestro departamento de seguridad tenga que pelearse por tener unas herramientas para la nube, otras para el Data Center, etc. Hasta que no logremos simplificar este proceso, las empresas van a seguir sintiendo miedo de pasarse a la Nube” comentó Raúl Tejeda. Por eso, Eusebio Nieva explicó que desde Check Point intentan “avisar a sus clientes de todas las posibilidades de sus tecnologías, pero también de los riesgos que entrañan ciertas decisiones por falta de conocimiento”.
Posteriormente, Avishag Daniely, Director of Product Management de Guardicore, protagonizó la ponencia “Transforming Data Centre Security With Zero-Trust Micro-segmentation”. La experta explicó que si queremos implementar la micro-segmentación al modelo “Zero-Trsust”, es necesario tener en cuenta el concepto de “Defense in Depth”. Este modelo pone en tela de juicio el antiguo paradigma del firewall; prescribe la creación de micro-perímetros alrededor de los servidores, aplicaciones y repositorios de datos sensibles de la empresa; y proporciona visibilidad sobre cómo se están utilizando los datos, así como aislamiento. Además, la micro-segmentación se constituye como una de las soluciones más destacables de 2018, siendo muchos los CISOs que se plantean integrarla.
La segunda mesa redonda del día, “Data Breach in the Cloud: Incident Response”, contó con Gonzalo Erro (Cybersecurity & Privacy Officer en Huawei), Miguel Ángel Arroyo (Responsable de negocio de seguridad en SEMIC), Alejandro Fernández (Identity and Access Management Specialist en Sailpoint), Luis Suárez (Presales Manager en Kaspersky) y, como moderador, Daniel Largacha (Global Security Assistant Director en Mapfre y Director del Centro de Estudios en Ciberseguridad de ISMS Forum Spain).
Durante el debate, los profesionales hablaron de las estrategias que deben concretar las empresas en lo que respecta a brechas de seguridad en la Nube. Entre ellas, se explicó que la propuesta debería basarse en la visibilidad, es decir, qué está ocurriendo en cada momento. Por ejemplo, aplicar inteligencia o la puesta en marcha de alertas, es el camino a seguir para que las empresas puedan dar una mejor respuesta. Por otra parte, saber quién tiene acceso a qué en cada momento es fundamental a través de un sistema de gestión de identidades.
Ignasi Riera, Territory Manager de OneTrust, participó a continuación como ponente con una intervención que abordó la relación entre el Reglamento General de Protección de Datos (RGPD) y la gestión del riesgo con respecto a los proveedores de servicios en la nube. El experto explicó cómo aplicar procesos eficaces para gestionar los riesgos relativos a proveedores y agilizar su incorporación, así como los consejos prácticos a tener en cuenta para automatizar esa gestión con una plataforma de software.
A medida que las organizaciones continúan mejorando sus programas de privacidad y seguridad, la optimización de la gestión de riesgos de proveedores externos se ha convertido en una prioridad. Este proceso es exhaustivo, y abarca completar evaluaciones sobre proveedores, como el cuestionario CAIQ de la CSA, obtener garantías suficientes de los proveedores para lograr una colaboración óptima durante una auditoría o incidente, entre otros múltiples factores.
Asimismo, se presentaron dos nuevos documentos. Uno de ellos es el VI Estudio sobre el Estado de la Seguridad en la Nube, cuya presentación estuvo al mando de Mariano J. Benito, Coordinador del Comité Técnico Operativo de CSA ES, y Juan García Galera, Analista de seguridad de la información en el Centro Municipal de Informática del Ayuntamiento de Málaga, que pone a disposición de las entidades interesadas en la seguridad en la Nube una perspectiva histórica singular para entender los factores que están facilitando o dificultando la evolución de los modelos de computación hacia este escenario, y la evolución de dichos factores.
En esta ocasión, el estudio se ha fijado por primera vez en IoT y en cómo las organizaciones están diseñando y/o soportando estos servicios, así como el rol que desempeña la Nube en este esquema. Un rol, sin duda, destacado, en tanto que la mayor parte de las empresas que están desplegando servicios IoT se están apoyando en la Nube y, en particular, en Nubes Públicas o en Nubes Privadas.
Cloud Audit & Forensics es el nombre del segundo documento que se presentó durante la jornada de la mano de Pablo Castaño, auditor interno de sistemas en Sareb y miembro del Comité Técnico Operativo de CSA ES, y Beatriz Blanco, también miembro del Comité Técnico Operativo de CSA ES e IT Audit Manager de Amadeus IT Group.
A lo largo del documento, se presenta una estrategia de supervisión en la nube, tanto para las actividades de auditoría como de análisis forense, que considerará las particularidades de los entornos en la nube, y propondrá un nuevo enfoque de las fases dentro de cada actividad que se deban adaptar al entorno a supervisar.
Asimismo, se habló también de la versión actualizada de la Guía de Seguridad de Áreas Críticas para la Computación en la Nube de Cloud Security Alliance (CSA). Esta nueva actualización se basa en iteraciones previas de la guía de seguridad, en investigación dedicada y participación pública de los miembros de Cloud Security Alliance, grupos de trabajo y expertos de la industria dentro de la comunidad. Esta versión incorpora avances en la nube, seguridad y tecnologías de soporte; refleja las prácticas de seguridad en la nube del mundo real; integra los últimos proyectos de investigación de Cloud Security Alliance; y ofrece orientación para tecnologías relacionadas.
A modo de cierre del VIII Encuentro de CSA ES, Juha Haaga (National Computer Security Incident Response Teams Advisor y Solutions Architect en Arctic Security), dedicó su discurso a la ciber-defensa y los fundamentos a tener en consideración en este terreno. Entre ellos, se encuentra, por ejemplo, la automatización del intercambio de inteligencia de amenazas y retroalimentación; asegurar que la solución sea fácilmente desplegable y sencilla de utilizar; distribuir los roles y las responsabilidades; y centralizar el uso de inteligencia únicamente en los campos necesarios.