Más de 250 profesionales del sector, así como máximos expertos, representantes institucionales y empresas, se dieron cita en el IX Spanish Cloud Security Alliance Summit en Madrid. Este evento organizado ISMS Forum se ha consolidado como uno de los congresos nacionales más importantes en materia de Cloud.
La jornada fue inaugurada por Luis Buezo presidente del Capítulo Español de Cloud Security Alliance y Miembro de la Junta Directiva de ISMS Forum Spain. “Podemos decir que la Nube se configura como habilitador y potenciador del negocio. Primero, favoreciendo y habilitando esa transformación digital y, además, permitiendo la gestión de los riesgos de la seguridad de la información” dijo Buezo.
La ponencia que inauguró el encuentro fue impartida por Bart Preneel, Cryptographer and professor (Leuven University). El experto se centró en los riesgos que conlleva la Nube y la falta de visibilidad que actualmente presenta, destacando el escepticismo que los criptógrafos muestran hacia el sistema Cloud.
El Big Data: la gran rotura de la seguridad
El criptógrafo defiende que los ciber atacantes utilizarán nuestros propios sistemas para derrotar la seguridad y que la Inteligencia Artificial ocupará un puesto muy importante en el futuro, tanto para la defensa de unos como para el ataque de otros.
Por otra parte, Preneel expresó su preocupación por las grandes brechas que se producen en materia de seguridad y que nos hace replantearnos hasta qué punto somos conscientes de los datos que compartimos en la Nube.
El experto concluyó su intervención haciendo una reflexión sobre la transparencia de los proveedores de servicios y el camino hacia los sistemas más abiertos. “La consecuencia de la Nube es que todo lo que hacemos se conoce, somos transparentes, y los proveedores de del Cloud y el gobierno lo saben, sin embargo, ellos son opacos, no sabemos qué hace la Nube ni el gobierno, qué datos miran y cómo nos evalúan”.
Responsabilidad legal, cooperación y transparencia
La tecnología avanza a pasos agigantados, de ahí que ejercer un control sobre ella sea imposible, aun así, se establecen parámetros y medidas legales orientadas al uso responsable de la tecnología. En esta línea, otra de las interesantes ponencias fue la del Deputy Director of Global Cybersecurity and Privacy Protection Office en Huawei, Alan Tang que habló sobre la seguridad y la privacidad en la Inteligencia Artificial.
El experto terminó con un mensaje de cooperación y motivación para la búsqueda de mayor transparencia en seguridad: “la Inteligencia Artificial necesita mucha cooperación en términos de transformación, no debemos esperar a las imposiciones legales, nosotros mismos debemos buscar el algoritmo que mejore nuestra seguridad”.
La primera mesa redonda del día “Cloud security complexity” contó con la participación de Javier Larrea, SE (Forcepoint), David Baldomero, Senior Systems Engineer (McAfee), Samuel Bonete, Country Manager (Netskope), Avishag Daniely, (Director of Product Management (Guardicore), Joeri Van Hoof, CSE (Fortinet) y moderada por Toni García, CISO (Grupo Damm). La mesa redonda estuvo enfocada a la creciente complejidad de la infraestructura de seguridad, así como al aumento de consumo de microservicios en la Nube (SaaS, PaaS, IaaS).
Una de las conclusiones a la que llegaron nuestros expertos fue que la Nube pública cruzada se vuelve aún más difícil de operar para la funcionalidad de seguridad nativa de la Nube. No hay ningún servicio de seguridad de AWS o casi ningún servicio de seguridad que se conecte con Azure o viceversa. Hay una necesidad de productos de terceros que pueden funcionar en la Nube e integrarse con todos ellos. Al igual que las instalaciones, también los sistemas de Nube pública tendrán que hablar entre sí de seguridad.
Monitorización sistemática de los procesos
Greg Day, VP & CSO, EMEA (Palo Alto) trató, durante su intervención, la automatización como elemento clave. Para ello, comentó los principales retos en la Nube, entre los que se encuentran la mejora de la visibilidad en nuestros controles y con nuestras capacidades existentes, así como la comparación de los mismos para optimizarlos.
Por otra parte, Alfonso Barajas, Global Alliances (OneTrust) se centró en Compliance y gestión de terceros en la Nube. “Cada vez tenemos más dependencia de los proveedores” afirmó. Por eso, el ponente destacó la importancia de crear un inventario central de proveedores para la posterior gestión utilizando un portal de servicio que dé acceso a los usuarios para que puedan empezar a trabajar con cualquier proveedor. La integración de sistemas también es muy útil cuando la interacción con los proveedores es constante, así como los formatos de importación masiva.
Por último, Román Ramírez, technology and cybersecurity expert (Rooted), puso el broche final a la jornada con su ponencia “Cibercrimen: sensatez y ciudadanos”, en la que habló de lo fácil que es generalizar a la hora de hablar de cibercrimen e incidió en la importancia de saber de dónde vienen los ataques y qué ciberdelito se está cometiendo.
Según el experto, estas son las premisas del cibercrimen: es muy barato, es transnacional y omnipresente. Además, presentó una “fórmula” para evaluar el desarrollo del cibercrimen. “Cuánto me cuesta la infraestructura para lanzar el ataque, cómo de difícil es que el ataque se ejecute, cuál es la pena máxima que me va a caer, cuál es el ingreso máximo por periodo, y cuántos periodos va a durar la campaña que voy a lanzar”.
Ramírez defiende la Amenaza Persistente Avanzada (APT, en inglés), sin embargo, “no estamos expuestos a que nos ataquen día a día, el problema está cuando las agencias de inteligencia se unen al crimen organizado”, puesto que no cuentan con la tecnología necesaria para desarrollar un operativo y deciden utilizar la subcontratación a terceros.
Para concluir, el profesional de Rooted hizo un llamamiento a la sensatez: los mensajes que le mandamos a la ciudadanía les hacen pensar que el ciberespacio es una jungla. Por esto, la realización de estudios que verifiquen los ataques que se producen, cuáles son reales y cuáles no, así como su proveniencia, son cada vez más esenciales.
Un año más, el IX Encuentro de Cloud Security Alliance España se consolidó como uno de los mayores congresos nacionales en el que más de 250 asistentes disfrutaron de debates de alto rango en materia Cloud.Esta jornada ha sido posible gracias al apoyo de Akamai, Cytomic, Forcepoint, Fortinet, Guardicore, Huawei, McAfee, Netskope, OneTrust Privacy, Palo Alto, Radware, Trend Micro, Zscaler.