El tema de la ciberseguridad es ya una cuestión de cultura, según explicó Mar López Gil, vocal asesora del Departamento de Seguridad Nacional, encargada de inaugurar las ponencias en la conferencia anual, High Level Conference on Assurance (HLCA) 2019 de ISACA Madrid. En su discurso, aludió a la necesidad de que la sociedad tome conciencia, porque aún queda mucho trabajo de divulgación y concienciación por hacer: «debemos salir de la zona de confort y crear más cultura de la ciberseguridad para el conjunto de la sociedad».
López Gil resumió el proceso de elaboración de la Estrategia nacional de Seguridad de 2019, en cuyo proceso ha colaborado ISACA Madrid, en el que se ha pasado de una ciberresiliencia a la ciberpersistencia. En el ciberespacio hay que ser persistente en los diferentes puntos de vista, y uno de los principales es el ser humano y más concretamente el ciudadano, quien debe ser corresponsable de su ciberseguridad.
Mar López explicó las diferencias entre la antigua estrategia de seguridad nacional de 2013 y la nueva de este año que ha contado con una amplísima participación de técnicos, instituciones y sociedad civil en su elaboración, ha incluido a las comunidades autónomas y a la clase política, para que realmente se trate de una política de Estado con un objetivo común. La formación de la Comisión Permanente de Ciberseguridad, como célula de apoyo al Consejo de Seguridad Nacional en materia de gestión de crisis y del Foro Nacional de Ciberseguridad que se debe constituir entre todos los agentes públicos y privados, son dos de las novedades que presenta la nueva estrategia.
Antes de la intervención de López Gil, inauguraron el congreso el presidente de ISACA Madrid, Ricardo Barrasa, y el director de ciberseguridad de Naturgy, Jesús Sánchez López, anfitrión del evento, quien reconoció que en el sector energético la ciberseguridad es una cuestión clave, con conceptos como la resiliencia, que está es el ADN de su grupo y los riesgos que se presentan debido a la hiperconectividad que viene dada por la transformación digital.
¿Quién gobierna en Internet?
La respuesta a la pregunta la ofrecieron María Álvarez Caro, representante de Google, Jorge Pérez Martínez, coordinador del Internet Governance Forum (IGF), Jorge Pérez Martínez, coordinador del Internet Governance Forum (IGF), João Luis Silva Damas, Presidente de Internet Society España, Ángel Gómez de Ágreda, Coronel Jefe del Área de Análisis Geopolítico Ministerio de Defensa y fue moderada por modera Antonio Martínez, Socio y Business Development Manager de Áudea en la primera de las mesas de debate de la jornada.
Tras definir que Internet es una de los elementos que más ha contribuido a la riqueza de la humanidad en los últimos tiempos, que no es una simple empresa o medio de comunicación, que lo utilizan tres mil millones de internautas y que precisa de una doble gobernanza, técnica y jurídica, los expertos confirmaron que sí, que por supuesto que se gobierna internet, si no, no funcionaría.
Amenaza drónica
Juan López-Rubio, Partner Cybersecurity & IT Risk de EY introdujo el tema de las amenazas híbridas ciber y físicas centrándose en los drones, porque se trata de una tecnología que pueden estrellarse donde sus pilotos quieran, por lo que pueden ser una herramienta para cualquier ataque efectivo y barato a una compañía. El riesgo para las corporaciones son el sabotaje, el espionaje industrial visual o conversacional, y el espionaje electrónico.
El problema parte de su accesibilidad. El 61% drones que se fabrican son accesibles al consumidor, cuestan menos de 1000 € y se pueden comprar en una juguetería. Aunque la legislación españolas ha puesto freno, (hay que tener licencia profesional, limitaciones de vuelo en espacios abiertos, etc), en España hay 5.500 drones registrados y más de 3.600 licencias, el operador de un dron puede estar a un kilómetro y no tienen matrícula.
Ante un ataque de un dron, las empresas por ahora solo pueden detectarlo, alertar y notificar a la autoridad competente. La clave está en la detención mediante herramientas como los radares de corto alcance, elementos con micrófonos y cámaras, la monitorización de la banda de emisión, etc. Según López-Rubio, el futuro de las amenazas de los drones son las soluciones ciber.
¿Cómo nos afecta la Ley de Secretos Empresariales?
Violeta Beltrán, directora de la Unidad Legal, Patentes y Proyectos públicos de Biopolis, Susana Bayón, de Repsol, Luis Ignacio Vicente del Olmo, de Telefónica Patent Office, Josep Cuñat, socio responsable de Ciberseguridad en Auren, con la moderación de Javier Fernández-Lasquetty, socio en Elzaburu, estuvieron de acuerdo con la idoneidad de esta Ley y su aprobación. Salvo los casos de registros vía patente, hasta el momento no se podían proteger valores de la empresa (el caso de los procedimientos, por ejemplo).
La figura del “secreto” va a permitir rentabilizar inversiones y proteger trabajo, información o productos que no deberían conocerse fuera de la compañía. También se entiende que va a mejorar las condiciones de las patentes, que no son legislativamente tan protegibles, por lo que según los participantes, esta ley es un avance y una potente herramienta para posicionarse en el mercado, fomentar la innovación y proteger aquello que tanto cuesta conseguir en las empresas.
Escenarios y soluciones seguridad de ciber riesgos
Eduardo Solís Gómez, Director de Business Security Solutions de PWC, explicó en su ponencia “Alcanzando la madurez en la función internacional de seguridad: control y reporting” que las empresas se suelen complicar la vida expandiéndose más allá de sus fronteras por muchas razones que son decisiones de negocio.
Esa expansión requiere una política de seguridad tanto global como local y plantea nuevos retos, e impone definir una nueva estrategia. Primero hay que estudiar cada país o negocio del grupo para dar forma a la función de control y reporting del grupo entero. Planificar y organizar la seguridad, hacer revisiones y estudiar los resultados será la metodología ideal para saber cuál es el nivel de madurez empresarial que se tiene en la materia, y a cual se quiere llegar.
Francisco Javier Sánchez Zurdo, responsable de Proyectos de Inteligencia Artificial en el Grupo SIA, planteó con su ponencia “Aplicación de técnicas de inteligencia artificial en servicios de ciberseguridad: detección temprana de fraude y vigilancia digital” que si tenemos brechas de seguridad, tardamos en encontrarlas ¿qué estamos haciendo mal? Según Sánchez es un problema de escalas y de órdenes de magnitud en los ataques. La mala noticia; que siempre vamos por detrás de los malos. La buena noticia es que podemos controlar cuanto tiempo vamos por detrás de esos malos.
Claudio Chifa, Ganador del Call for Presentations 2019 Internet de las cosas, explicó en «RIoT – Riesgos y retos de ciberseguridad y privacidad en IoT», que los retos de seguridad y privacidad que plantean son enormes en el Internet de las cosas.
Principales Implicaciones del Cumplimiento de la Directiva NIS.
Silvia Barrera Ibáñez, Jefa de Sección Relaciones Internacionales del CNPIC, Francisco Villalba CNPIC, Cándido Arregui, CISO AENA, Carlos Manchado, CISO de Naturgy, Jorge Uyá, Chief Operating Officer de Entelgy-Innotec, moderados Félix de Andrés, gerente deRisk Advisory de Deloitte debatieron sobre las principales implicaciones de la directiva NIS, cómo desde CNPIC se ha trabajado para cumplir con la directiva desarrollando la normativa, recabando información para generar resiliencia, para tener capacidad de coordinación y cumplir con el adecuado esquema de certificación.
Con la directiva, que establecen sanciones de hasta 1 millón de euros, el regulador europeo quiere que haya una cultura de la comunicación de ciberincidentes, porque estos ya son transfronterizos y evitar así que sea más barato delinquir que cumplir la Ley. Ochocientos cinco de los operadores críticos españoles son empresas privadas y son los primeros interesados en cumplir sus normas de seguridad. En España hay 132 operadores de servicios esenciales, y 400 operadores críticos, y aún faltan por determinar (se hará antes del 9 de noviembre de este años) algunas otras compañías que deben estar sujetas a esta regulación.
Homenaje a Emilio del Peso en la HLCA19
El pasado día 21 de marzo falleció Emilio del Peso Navarro, a los 87 años de edad. En la HLCA19 se le rindió el debido homenaje porque el escritor era una de las 4 personas cuya fecha de alta como asociado se remonta al 1 de enero de 1970, (asociado nº 39993 de ISACA a nivel internacional). También fue socio fundador de Informáticos Europeos Expertos (IEE) y de Electronic Data Processing Auditors Association (EDPAA), el antiguo nombre de ISACA elegido cuando se fundó en 1969.
