Revista especializada en Seguridad de la Información Nº 68 Febrero 2015 Época II VISIÓN DE 360° APLICACIONES DE 360° Obtenga una visión completa y detallada de toda la escena reduciendo el número de cámaras convencionales a instalar. Las cámaras Fisheye de Hikvision cuentan con un elegante y discreto diseño, adecuadas para instalaciones de interior y exterior. Son la mejor opción para profesionales de la seguridad en aeropuertos, centro comerciales, parkings, oficinas, restaurantes, zonas públicas, etc… - C/ Almazara, 9 - 28760 Tres Cantos (Madrid) - Spain. Tel. +34 917371655 - Fax +34 918058717 [email protected] - www.hikvision.com www.redseguridad.com editorial Compromiso político El gigantE dE la ElEctrónica Sony, los grandes almacenes Target, la cadena de bricolaje Home Depot, la aseguradora Anthem y hasta el Mando Central del Pentágono, a través de sus cuentas de Twitter y Facebook, son algunas de las empresas e instituciones públicas que han sufrido algún tipo de ataque informático en los últimos meses. Sin olvidar, por supuesto, el 'hackeo' a finales de enero de un servidor web francés, el cual afectó a más de 19.000 páginas, tan solo unos días después del execrable asalto a la sede de la revista satírica Charlie Hebdo. Ante esta escalada de ciberataques el pasado 13 de febrero el presidente de Estados Unidos, Barack Obama, decidió dar un paso adelante y aprobó una orden ejecutiva para mejorar la lucha contra los ataques en la Red, que impulsa la colaboración entre las empresas, así como entre el sector privado y el Gobierno. De hecho, la nueva medida facilitará el acceso de las compañías a información confidencial sobre amenazas cibernéticas en manos del Ejecutivo. Y es que, como aseguró durante su discurso en la Universidad de Stanford (California), la ciberseguridad tiene que ser una misión compartida en la que las organizaciones y el sector público trabajen como verdaderos aliados. “Gran parte de nuestras redes informáticas e infraestructuras críticas están en el sector privado, lo cual significa que el Gobierno no puede hacer esto solo. No obstante, el sector privado tampoco puede hacerlo solo, entre otras razones porque es el Gobierno quien a menudo cuenta con la última información sobre nuevas amenazas”, afirmó Obama. Una de las consecuencias de la aprobación de esta orden ministerial en Estados Unidos ha sido la creación del Centro de Integración de Inteligencia contra la Amenaza Cibernértica (CTIIC, por sus siglas en inglés), cuya idea es replicar el modelo de trabajo utilizado por el Centro Nacional de Contraterrorismo, creado para combatir el terrorismo a partir de los atentados del 11S. En este sentido, resulta satisfactorio que el poder político comience a apostar de lleno por la cooperación y coordinación con empresas e instituciones en términos de ciberseguridad, impulsando nuevas medidas y dotándolas de recursos económicos y humanos. Afortundamente, hace ya varios meses que el Gobierno español también consideró reforzar esta lucha con la aprobación de la Estrategia de Ciberseguridad Nacional, la cual, entre otras cuestiones, hace hincapié, junto con la Ley 8/2011 de 28 de abril, en la importancia de proteger las infraestructuras críticas del país ante posibles ataques. No hay que olvidar que actualmente continuamos en el Nivel 3 de alerta por terrorismo, con lo que eso conlleva para la protección de los operadores que trabajan en estos sectores fundamentales para la buena marcha del país. Pero todo ello sería imposible conseguirlo de forma aislada. Tal y como se detalla en el reportaje que puede encontrar en páginas interiores sobre ciberseguridad en infraestructuras críticas, son muchos los organismos que actualmente trabajan para asegurar que todo marche a la perfección en materia de ciberseguridad, desde el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), el Instituto de Ciberseguridad (Incibe), el CERT de Seguridad e Industria (CERTSI), el Centro Criptológico Nacional (CCN) y el Centro de Ciberseguridad Industrial, hasta otros CERT y CSIRT públicos y privados repartados por toda España. Todo ello sin olvidar la labor que realiza el Mando Conjunto de Ciberdefensa, la Brigada de Investigación Tecnológica de la Policía y el Grupo de Delitos Telemáticos de la Guardia Civil. Es conveniente, por tanto, la coordinación de todas estas instituciones en aras de una mayor eficacia en la lucha contra los ciberterroristas. Además resulta fundamental tener en cuenta el ámbito tecnológico en los planes estratégicos sectoriales en desarrollo y cuyo objetivo es definir las actividades de cada uno de los doce sectores coinsiderados críticos para el país, y que abarcan desde la Administración, el agua o la alimentación, hasta las industrias químicas y nuclear, la salud, el transporte o las Tecnologías de las Información. Por eso, en las reuniones de coordinación entre las instituciones garantes de la seguridad en infraestructuras críticas no se pueden pasar por alto referencias y estrategias específicas en el ámbito concreto de la ciberseguridad. Y por parte de las compañías que operan en estos sectores también ha de existir un diálogo fluido con los organismos públicos y un intercambio continuo y constante de información, incluyendo datos sobre posibles ciberataques detectados en sus infraestructuras. Un papel fundamental en este sentido lo tiene el sector industrial, cuya modernización y adaptación de su maquinaria a las necesidades actuales no debe ser óbice para descuidar un aspecto clave como es la seguridad. No en vano, una mejor gestión de los activos industriales no significa un descuido en la protección de sus bienes, máxime teniendo en cuenta que son el verdadero corazón de su negocio. Por tanto, desde aquí no nos cansaremos nunca de insistir en la necesidad de estar alerta frente a los cada vez más numerosos y dañinos ciberataques con todos los recursos disponibles. Y al frente de todo ello deben encontrarse los organismos y Administraciones Públicas y, especialmente, el Gobierno, con el firme compromiso político de apoyar todas las medidas necesarias para salvaguardar unas instituciones e infraestructuras que cada día dependen más de las nuevas tecnologías. red seguridad febrero 2015 3 sumario sobre la mesa 16 editorial 3 Organizaciones invitadas: CNPIC, Iberdrola, Deloitte, BDO Auditores, EY. Compromiso político Desayuno patrocinado por: ISACA Madrid. obituario Arjan Sundardas 5 Adiós a un profesional 22 monográfico PIC Las infraestructuras críticas, en el blanco de los cibercriminales Especial PIC entrevista Joaquín Castellón 6 Director operativo del Departamento de Seguridad Nacional 10 IX Trofeos de la Seguridad TIC Premiados:Check Point, Panda Security,Symantec, Criptored y Arjan Sundardas 42 protagonista TIC Joan Taulé Director general de Symantec Iberia 60 monográfico Hacking ético CONSEJO TÉCNICO ASESOR PRESIDENTE Guillermo Llorente Ballesteros Mapfre Joaquín González Casal Asociación de Ingenieros e Ingenieros Técnicos en Informática (ALI) VOCALES José Luis Rodríguez Álvarez Agencia Española de Protección de Datos (AEPD) Vicente Aceituno Canal Asociación Española para la Seguridad de los Sistemas de Información (ISSA España) José Manuel de Riva Ametic Juan Muñoz ASIS España Guillermo Martínez Díaz Asociación de Empresarios de TIC de Andalucía (ETICOM) Ricardo López Lázaro Confederación Española de Cajas de Ahorros (CECA) Fermín Montero Gómez Dirección General de Economía, Estadística e Innovación Tecnológica de la Comunidad de Madrid Miguel Manzanas Unidad de Investigación Tecnológica (UIT) del Cuerpo Nacional de Policía Óscar de la Cruz Yagüe Grupo de Delitos Telemáticos (GDT) de la Guardia Civil Miguel Rego Fernández Instituto Nacional de Tecnologías de la Comunicación (INCIBE) Ricardo Barrasa ISACA Capítulo de Madrid Gianluca D'Antonio ISMS Forum Spain Vicente Aguilera Díaz Open Web Application Security Project (OWASP) Jorge Ramió Aguirre Universidad Politécnica Madrid (UPM) CONSEJEROS INDEPENDIENTES Emilio Aced Félez Tomás Arroyo Javier Moreno Montón Javier Pagès Olof Sandstrom PRESIDENTE DE HONOR Alfonso Mur Bohigas de STAFF Suscripción anual: 50 euros (España), 110 euros (Europa, zona euro), 150 euros (resto países) Depósito Legal: M-46198-2002 ISSN: 1695-3991 Borrmart: Presidente: Francisco Javier Borredá Martín. Presidente de Honor: José Ramón Borredá. Directora general: Ana Borredá. Adjunto a la Presidencia y a la Dirección General: Antonio Caballero Borredá. Publicidad: Marisa Laguna, Pedro Jose Pleguezuelos, Paloma Melendo y Francisco G. Lorente. Gestión y Control: Carmen Granados. Directora de Relaciones Institucionales: Mª Victoria Gómez. Red Seguridad: Directora: Ana Borredá. Redactor Jefe: Enrique González Herrero. Colaboradores: Bernardo Valadés, David Marchal, Laura Borredá, Leticia Duque Guerrero y Jaime Sáez de la Llave. Maquetación: Macarena Fernández López y Jesús Vicente Ocaña. Fotografía: Banco de imágenes Thinkstock/GettyImages. Diseño: Escriña Diseño Gráfico. Suscripciones: Mª Isabel Melchor y Elena Sarriá. Dirección Financiera: Javier Pascual Bermejo. Redacción, Administración y Publicidad: C/ Don Ramón de la Cruz, 68. 28001 Madrid Tel.: +34 91 402 96 07 Fax: +34 91 401 88 74 www.borrmart.es www.redseguridad.com [email protected]. Fotomecánica e impresión: Reyper. RED SEGURIDAD no se responsabiliza necesariamente de las opiniones o trabajos firmados, no autoriza la reproducción de textos e ilustraciones sin autorización escrita. Usted manifiesta conocer que los datos personales que facilite pasarán a formar parte de un fichero automatizado titularidad de BORRMART, S.A. y podrán ser objeto de tratamiento, en los términos previstos en la Ley Orgánica 15/1999, de 13 de Diciembre y normativa al respecto. Para el cumplimiento de los derechos de acceso, rectificación y cancelación previstos en dicha ley diríjase a BORRMART, S.A. C/ Don Ramón de la cruz, 68. 28001 Madrid. consejo técnico asesor obituario Adiós a un profesional irreemplazable de la seguridad TIC El sector de la seguridad TIC despidió en diciembre a Arjan Sundardas, un profesional que destacó durante su vida por sus iniciativas docentes, su trayectoria profesional y por su loable personalidad. brillante, amable, generoso, inteligente, cercano, alegre, humilde, gran amigo… Son interminables las expresiones y adjetivos dedicados en las últimas semanas a Arjan Sundardas entre quienes le han recordado tras su fallecimiento el pasado diciembre, a los 42 años. Pero por muchos elogios que se le atribuyan, siempre serán pocos para rendir tributo a este ceutí nacido en 1972. Deja una huella imborrable en el sector de la seguridad de las tecnologías de la información, no sólo por su capacidad profesional o por su tremenda labor docente, sino también por su encantadora personalidad. Para RED SEGURIDAD queda el vacío importante de un profesional que durante su etapa como presidente del Consejo Técnico Asesor de la publicación (2010-2014) ayudó en todo momento a poner en claro la excepcional, realidad tecnológica que nos envuelve. La ética presidía siempre su postura y también la humildad a la hora de escuchar las opiniones ajenas. A este experto profesor también le gustaba aprender. Ese deseo de recibir y aportar conocimientos, así como el amor a su tierra, le empujó a impulsar en Ceuta, en 2010, la Escuela de Negocios del Mediterráneo, su proyecto docente más ilusionante y al que dio mayor valor. También colaboró con diferentes instituciones educativas como la UNED, la universidad Politécnica de Valencia o la Fundación Universidad Empresa, y especialmente con el Instituto de Empresa, donde era profesor asociado desde 2002. Esa labor, unida a su trayectoria como directivo, hicieron merecedor a este ingeniero técnico de múltiples reconocimientos relacionados con las tecnologías de la información, algunos de ellos internacionales. Poco antes de fallecer, Arjan Sundardas escribió para esta revista unas líneas en las que reflexionaba sobre el ritmo de vida de los directivos, que compartimos a continuación. (DEP) La salud, la asignatura más importante de la vida Arjan Sundardas (DEP) Habitualmente, los directivos no cuidamos nuestra salud y acostumbramos a ir al cien por cien. Desgraciadamente, hace algo más de un año contraje una enfermedad grave y me ha tenido en el dique seco todo este tiempo, en el que he podido reflexionar sobre el estilo de vida y cómo nos afecta en nuestro día a día. No me da pena estar yendo al ciento por hora y luego tener que frenar de repente de forma súbita. Podemos hablar de cuatro grandes bloques de actuación para mejorar nuestra salud en el día a día, que nos suponen gran esfuerzo pero que, usado de forma conjunta, puede mejorar nuestra calidad de vida. Ejercicio físico: un hábito saludable puede ser andar en torno a dos kilómetros al día o, lo que es mismo, una hora a paso pausado que nos permita de alguna manera entrar en un momento de reflexión que nos conduzca a la meditación, y a la vez estar en forma. Alimentación: es clave para mantener el equilibrio cuando estamos ante situaciones de alto estrés. El consumo regular de verduras y frutas, así como otros componentes, nos permite aumentar nuestras defensas frente a agentes patógenos como células cancerígenas. No puedo profundizar más, aunque existen múltiples fuentes donde encontrar información al respecto de alimentos que nos dan la máxima defensa. Existen diversos alimentos que ayudan a nuestro sistema inmune que han sido analizados, como son el té verde, la cúrcuma, las zanahorias, la guanábana o los frutos rojos. Por supuesto, cuanto más ecológicos, mejor. Meditación: una técnica milenaria que proviene de Oriente y ha permitido a sus habitantes una mayor esperanza de vida. Oración: como dice mi buen amigo Enrique, no sabemos cuán potente es la oración. De hecho, muchas oraciones de religiones antiguas, como la hindú, budista o cristiana, tienen en sus oraciones un ritmo con una clave que entra en resonancia con las células de nuestro organismo, al igual que ocurre con los ritmos de respiración, provocando bienestar. La combinación de todas estas técnicas, una buena alimentación y el uso de la meditación ayudan al directivo en momentos de alto estrés. Nuestra vida como directivos cada vez es más complicada, más estresante y tenemos que intentar llevar unos hábitos saludables para poder sobrevivir a todos estos agentes patógenos que nos pueden afectar. De hecho, la vida saludable debería ser asignatura obligatoria en los MBA de alto nivel. red seguridad febreo 2015 5 administración entrevista Joaquín Castellón Director operativo del Departamento de Seguridad Nacional A nadie extraña ya que la ciberseguridad se haya convertido en una cuestión de Estado. “Los grandes desafíos para la seguridad nacional son el terrorismo yihadista y las ciberamenazas” Países como EEUU y Reino Unido sellan alianzas para combatir a los ciberterroristas. En España, según Joaquín Castellón, director operativo del Departamento de Seguridad Nacional, se han habilitado los resortes necesarios para ofrecer respuestas integrales a las numerosas amenazas que plantea el ciberespacio, desde los ataques a intereses públicos hasta el proselitismo. 6 red seguridad Tx: Bernardo Valadés Ft: Dpto. de Seguridad Nacional Más de un año después de aprobarse, ¿cuál es su valoración sobre la Estrategia de Ciberseguridad Nacional? Muy positiva, no sólo por el avance sustancial que ha supuesto en España adoptar un documento político-estratégico en dicha materia, sino por el desarrollo orgánico inmediato que trajo aparejada la aprobación de la Estrategia con la creación del Consejo Nacional de Ciberseguridad. Conscientes del gran desafío que implica garantizar la seguridad en el ciberespacio, la Estrategia vino a colmar una laguna existente y ofreció el marco de referencia que se necesitaba, basado en la coordinación de todos los actores con responsabilidad y competencia en ciberseguridad bajo la dirección última del presidente del Gobierno. Era especialmente necesario establecer unas líneas de acción claras febrero 2015 que orientasen la acción del Estado. Y también desarrollar estructuras orgánicas que permitiesen ofrecer respuestas integrales a los problemas de seguridad que se plantean en el ciberespacio. ¿Qué objetivos se marcaron con la Estrategia de Ciberseguridad Nacional y cuáles se han concretado ya? El objetivo general de la Estrategia es lograr que España haga un uso seguro del ciberespacio, fortaleciendo las capacidades de prevención, defensa, detección y respuesta ante los ciberataques. Ese objetivo se traduce en otros específicos para el ámbito de las Administraciones Públicas, las infraestructuras críticas, el ciberterrorismo, la ciberdelincuencia... Me gustaría destacar la atención prioritaria que la Estrategia otorga al ciudadano y al sector privado, esenciales en la consecución del objetivo general fijado. Un hito de especial relevancia ha sido la creación del Consejo Nacional de Ciberseguridad. Marca un antes administración entrevista “La Estrategia de Ciberseguridad Nacional vino a colmar una laguna existente y ofreció el marco de referencia que se necesitaba” y un después en la ciberseguridad nacional, ya que ha permito avanzar significativamente en un espacio participado por numerosos actores donde la coordinación y la cooperación son esenciales. En este sentido, quiero mencionar que el Consejo de Seguridad Nacional, a propuesta del Consejo Nacional de Ciberseguridad, ha dado su conformidad al Plan Nacional de Ciberseguridad. En él se recogen medidas concretas para alcanzar los objetivos marcados en la Estrategia de Ciberseguridad en cada uno de sus ámbitos de actuación. Europa también tiene su propia estrategia de ciberseguridad. En el caso de las nacionales, ¿deberían asemejarse a la redactada en el seno de la Unión Europea? Nuestra Estrategia se encuentra alineada con la europea. Durante el proceso de elaboración se tuvieron en cuenta los requisitos y el contenido del documento de la UE, aunque, obviamente, respetando las peculiaridades nacionales. Los intereses locales en materia de ciberseguridad no se pueden proteger sin promover a la par un ciberespacio internacional seguro y confiable, compromiso que se ha de impulsar también en la UE. La cooperación en el ámbito europeo es esencial. Buena muestra de este impulso es la propuesta de directiva del Parlamento Europeo y el Consejo sobre medidas para garantizar un elevado nivel común de seguridad de las redes y de la información. España deberá implementar la conocida como Directiva NIS y realizar los ajustes orgánicos precisos, toda vez que se requiere la designación de una autoridad competente y un CERT nacional responsable. Ahora bien, no conviene olvidar que las directivas son normas europeas que otorgan a los Estados miembros un margen de discrecionalidad en su desarrollo, por lo que el reto será acertar con una respuesta acorde a nuestras necesidades e intereses nacionales. EEUU y Reino Unido han acordado fortalecer su cooperación en materia de ciberseguridad. ¿Qué opinión le merece este tipo de acuerdos bilaterales? ¿No sería más lógico un entendimiento entre EEUU y la UE? La estrecha relación entre EEUU y Reino Unido ha dado lugar a numerosos acuerdos de cooperación bilateral. No debe extrañar, pues, que hayan alcanzado acuerdos concretos en materia de ciberseguridad. Pero es deseable que la UE juegue un papel cada vez más importante y alcance convenios importantes de cooperación con otras organizaciones y países en beneficio del conjunto de la región. Igualmente, creo que los bilaterales, como el de EEUU y Reino Unido, pueden ser un buen complemento a los ya alcanzados por la UE. El año pasado varios ministerios españoles sufrieron ciberataques. ¿Cómo se combaten? Ser consciente de la importancia estratégica de la seguridad en el ciberespacio implica priorizar la disponibilidad de capacidades de prevención, detección, respuesta y coordinación frente a los ciberataques. Contamos con buenos recursos, capacidades y conocimiento en el ámbito operativo, donde siempre se deben continuar estrechando los compromisos de cooperación para ofrecer respuestas integrales a retos complejos y transversales. En España se está impulsando la gestión de crisis de cualquier naturaleza en el nivel político-estratégico y es precisamente en este punto donde también se debe reforzar la acción en materia de ciberseguridad, de forma que los niveles operativo, táctico y político-estratégico estén perfectamente sincronizados, y así, ante crisis ¿En nuestro país se prevé destinar más recursos económicos para hacer frente a las ciberamenazas? España, a través de diferentes organismos, dedica una importante partida presupuestaria a la ciberseguridad, aunque es difícil de cuantificar al no estar agrupado el gasto. Se deben poner de forma decidida capacidades al servicio de la ciberseguridad. Las ciberamenazas son un desafío creciente para la seguridad nacional, por lo que el compromiso de la Administración ha de ser global y cubrir todos los aspectos, incluido el económico. El Consejo Nacional de Ciberseguridad permite efectuar una priorización en el gasto y establecer unos criterios sólidos para nuevas inversiones. En ello se está trabajando y a buen ritmo. Joaquín Castellón declara que “las ciberamenazas son un desafío creciente para la seguridad nacional, por lo que el compromiso de la Administración ha de ser global”. red seguridad febrero 2015 7 administración entrevista mayores, se asegure el uso óptimo de los recursos y se ofrezcan respuestas eficaces, prontas y completas. ¿Hasta qué punto los estados son capaces de combatir el proselitismo y el ciberterrorismo? El Gobierno acaba de aprobar el Plan Estratégico Nacional de Lucha contra la Radicalización Violenta, que establece tres ámbitos de actuación: el interno, el externo y el ciberespacio. La importancia que otorga a este último es una consecuencia directa del uso creciente del mismo por parte de grupos terroristas, fundamentalmente en actividades orientadas a la captación y financiación. España es un país de referencia mundial en la lucha contra el terrorismo, las Fuerzas y Cuerpos de Seguridad disponen de unidades especializadas antiterroristas con una dilatada experiencia y no son ajenas al uso de la Red por parte de las organizaciones terroristas. Por eso cada vez son mayores las capacidades de estas unidades dedicadas al ciberespacio. No es la primera vez que en alguna tertulia radiofónica aseguran que la III Guerra Mundial se está librando ya y que la misma es cibernética. ¿Tan importante es Internet en los conflictos entre estados o para hacer frente al terrorismo global? Probablemente, el terrorismo yihadista y las ciberamenazas son las dos grandes amenazas a la seguridad nacional que debemos afrontar hoy en día. Las ciberamenazas son un fenómeno contra el que se han de enfrentar a diario gobiernos, empresas, ciudadanos etc. Vivimos en un mundo hiperconectado y totalmente dependiente de las nuevas tecnologías y, consecuentemente, las carencias en seguridad del ciberespacio tienen grandes repercusiones para la sociedad en general. Creo que es algo exagerado hablar de la III Guerra Mundial en referencia a los problemas que nos plantea hoy el uso nocivo del ciberespacio, pero no lo es decir que representa un quebradero de cabeza constante para los gobiernos y una prioridad en materia de seguridad. A los dominios tradicionales donde se libraban las batallas –tierra, mar y aire–, hay que sumar el ciberespacio. Ya no es una novedad que las fuerzas armadas de la mayo- ría de los países de nuestro entorno cuenten con unidades especializadas en ciberguerra. Es necesario crear una estructura de gestión de crisis cibernéticas que abarque todos los niveles –táctico, operacional y político-estratégico– para poder poner todos los recursos del Estado –policiales, militares, servicios de inteligencia, diplomáticos, etc.– en defensa de los intereses que pudieran verse comprometidos en el ciberespacio. El pasado mes de enero, tras los atentados de París, España activó el Plan Nacional de Infraestructuras Críticas. ¿Qué papel desempeña el Departamento de Seguridad Nacional ante situaciones excepcionales como esta? Es el órgano de asesoramiento al presidente del Gobierno en materias relacionadas con la seguridad del país. Además, tiene encomendadas funciones de alerta y seguimiento de situaciones que pudieran derivar en una crisis a nivel nacional. Para ello, se realiza un seguimiento las 24 horas del día en diferentes ámbitos, incluido el de la ciberseguridad. El Centro de Situación del Departamento de Seguridad Nacional apoya al Consejo de Seguridad Nacional en la dirección político-estratégica de la gestión de crisis. ¿Los principales riesgos que deben afrontar las infraestructuras críticas provienen del ciberespacio? La lucha contra el terrorismo nos ha permitido alcanzar un altísimo nivel de protección de nuestras infraestructuras críticas desde el punto de vista de la seguridad física. Pero, efectivamente, el reto de hoy es la ciberseguridad y se está realizando un esfuerzo que se materializa en grandes avances. La apuesta de España en ciberseguridad es decidida. El Gobierno ha sentado las bases de manera firme y el camino por delante se debe transitar con el compromiso y esfuerzo de todos. El director operativo del Departamento de Seguridad Nacional advierte que, en general, “las carencias en seguridad del ciberespacio tienen grandes repercusiones para la sociedad”. 8 red seguridad febrero 2015 LA DEFENSA DEFINITIVA CONTRA LAS AMENAZAS Check Point Next Generation Threat Prevention WE SECURE THE FUTURE WWW.CHECKPOINT.COM [email protected] | 91 799 27 14 trofeos red seguridad corporativo 2014 Check Point, Panda Security, Symantec, Criptored y Arjan Sundardas, ganadores de la novena edición RED SEGURIDAD premia a los profesionales de la seguridad TIC El Hotel Meliá Castilla de Madrid volvió a acoger una nueva entrega de los Trofeos de la Seguridad TIC. Un evento que congregó a más de un centenar de profesionales del sector y en el que se rindió un sentido homenaje al tristemente desaparecido Arjan Sundardas. Tx.: Bernardo Valadés Ft.: Francisco Lorente Un año más, y ya van nueve, el madrileño Hotel Meliá Castilla acogió la entrega de los Trofeos de la Seguridad TIC que otorga nuestra publicación. Una cita a la que, como es habitual, acudieron numerosos profesionales del sector. Entre ellos, cabe destacar la presencia de Fernando Sánchez, director del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC); Miguel Rego, director general del Instituto Nacional de Ciberseguridad (Incibe); Gregorio Miguel Pulido, teniente coronel del Mando Conjunto de Ciberdefensa; José Luis Arranz, general de brigada de la Guardia Civil; los comisarios Juan Manuel Calleja y Esteban Gándara, del Cuerpo Nacional de Policía, y Luis Rivera Santana, agregado jurídico adjunto para Crímenes Cibernéticos del Federal Bureau of Investigation (FBI). Tras las palabras de bienvenida a los presentes de Ana Borredá, la directora de Red Seguridad cedió 10 red seguridad feb 2015 Guillermo Llorente, presidente del CTA de RED SEGURIDAD. IX edición trofeos red seguridad corporativo 2014 al testigo a Guillermo Llorente, nuevo presidente del Consejo Técnico Asesor (CTA) de la revista en sustitución del tristemente desaparecido Arjan Sundardas. El subdirector de Seguridad Corporativa y Medio Ambiente de Mapfre ensalzó la dedicación de los miembros del CTA, ya que, afirmó, “gracias a ella han conseguido mantener el prestigio de estos premios”. Asimismo, Llorente destacó la labor de la editorial Borrmart y de la Fundación Borredá. “Ambas trabajan firmemente para divulgar la actividad del sector de la seguridad y, de manera especial, la relacionada con las Tecnologías de la Información y la Comunicación (TIC). Cuantos estamos relacionados con ella, aspiramos a que tenga el reconocimiento que merece”, reclamó. Por último, recordó que los protagonistas de la tarde eran los galardonados, “las empresas, organizaciones y personas que han dedicado numerosas horas a preparar sus candidaturas. Con ellas, realzan la importancia de los trofeos y recuerdan lo mucho y bueno que se hace en España”. ‘Marketplace’ de inteligencia A continuación se procedió a la concesión de galardones. El primer premio en entregarse fue el “Trofeo al Producto o Sistema de Seguridad TIC”, otorgado a Check Point Software Technologies por ThreatCloud IntelliStore, un marketplace de inteligencia ante amenazas que permite a las organizaciones seleccionar datos para prevenir automáticamente ciberataques. Rosa Díez recibió el galardón de manos de Miguel Rego. Rosa Díez recogió el premio de manos de Miguel Rego. La directora general de Panda Security España resaltó que “PAPS constituye un paso adelante en la protección de los endpoints” y se congratuló de haber comenzado el año recibiendo tan destacado galardón, puesto que en 2015 la empresa conmemora su 25º aniversario. ‘Made in Barcelona’ En cuanto al “Trofeo a la Innovación en Seguridad TIC”, recayó en Symantec por VIP Access Push, “herramienta de autenticación de doble factor que permite al usuario identificarse de forma muy sencilla e intuitiva”, detalló Joan Taulé, Regional Manager de Symantec Iberia. Fernando Sánchez entregó el premio a Antonio Abellán. Fernando Sánchez fue el encargado de entregar la placa a Antonio Abellán, director comercial de Check Point España, quien afirmó que la misma “anima a la compañía a seguir trabajando con el objetivo de ser un referente en su segmento de negocio. Y también a innovar cada día más para ofrecer a los clientes mejores productos de seguridad”. Un servicio disruptivo Por lo que respecta al “Trofeo al Servicio de Seguridad TIC”, se le concedió a Panda Security por el desarrollo de Panda Advanced Protection Service (PAPS), una solución para el control de aplicaciones que supone un enfoque disruptivo frente al tradicional sistema de detección de software maligno en base a listas negras. IX edición Miguel Pulido y Joan Taulé durante la entrega del premio. Una vez recibido el galardón, entregado por Gregorio Miguel Pulido, Taulé reivindicó la solvencia de VIP Access Push como sustituta del password tradicional. “Ahora, el usuario se olvidará de la contraseña clásica, reemplazada por la huella dactilar”, precisó. Además, se mostró orgulloso del “carácter local” de dicha solución, desarrollada en gran parte en el centro de I+D+i que Symantec posee en Barcelona ‘Píldoras’ divulgativas Seguidamente, se concedió el “Trofeo a la Formación, Capacitación, Divulgación o Concienciación en red seguridad feb 2015 11 trofeos red seguridad corporativo 2014 Seguridad TIC” a Criptored, red temática de criptografía y seguridad de la información de la Universidad Politécnica de Madrid, por el Proyecto Thoth, basado en píldoras divulgativas a través de la Red. Un año apasionante En la recta final de la ceremonia, Ana Borredá dejó patente que la ciberseguridad tiene una gran importancia a nivel global. “En 2014 saltaron a la luz pública amenazas persistentes avanzadas (APT) como Dragonfly o Machete, y se produjeron ciberataques a JP Morgan y otras entidades financieras, robos de información como los sufridos por el Banco Central Europeo, el famoso caso CelebGate, el sabotaje a Sony o a las cuentas de Twitter y YouTube del Mando Central de EEUU… Todo ello sin olvidar vulnerabilidades que, como Heartbleed, contribuyen a la inseguridad en la Red”, matizó. Jorge Ramió y Alfonso Muñoz recogieron el trofeo a Criptored. Guillermo Llorente entregó el premio a Alfonso Muñoz y Jorge Ramió, doctores en Telecomunicaciones y Sistemas Inteligentes en la Ingeniería, respectivamente. El segundo de ellos agradeció el apoyo recibido por Telefónica, a través del programa Talentum Startups, y aseguró que el Proyecto Toth continuará hasta, al menos, finales de 2016. Ana Borredá, directora de RED SEGURIDAD. Un modelo como persona Una vez declarado desierto el “Trofeo a la Investigación TIC”, se procedió a entregar el “Trofeo Extraordinario del Jurado”, concedido, a título póstumo, a Arjan Sundardas. Sobre quien fuera presidente del CTA de Red Seguridad, Guillermo Llorente realzó su condición de modelo “como profesional, jefe, compañero y esposo. Pero, sobre todo, como persona”. Alfonso Mur, presidente de honor del CTA, y Javier Borredá, presidente de la editorial Borrmart, entregaron la placa a José Antonio Romero, amigo personal de Sundardas, con el deseo de hacérsela llegar a sus familiares. Alfonso Mur entregó a José Antonio Romero el premio postumo concedido a Arjan Sundardas. 12 red seguridad feb 2015 5 Sobre 2015, la directora de esta publicación aseguró que será “apasionante” para la ciberseguridad. “Queremos formar parte de él con proyectos atractivos y eficaces que contribuyan a difundir el conocimiento, la experiencia y la cultura de la seguridad. Por nuestra parte, seguiremos abanderando la seguridad integral desde Red Seguridad y Seguritecnia, que este año se van a distribuir conjuntamente. Además, organizaremos importantes eventos, caso del Seg2 en junio o la Jornada sobre Continuidad de Negocio, junto a Continuam y Sigeco, en el último trimestre”, avanzó. Ejemplo de normalidad Como es tradicional, una vez concluida la entrega de trofeos se celebró un cóctel que permitió a los presentes intercambiar impresiones en un ambiente ameno. Al abandonar el Hotel Meliá Castilla, un destacado profesional –por discreción y seguridad, permítanme que omita su nombre– me preguntó cuál era la estación de Metro más cercana. En una noche fría y desapacible, se decantó por el transporte público para regresar a su domicilio en lugar de hacer uso de un coche oficial. Un ejemplo de normalidad que, ciertamente, me sorprendió. Y es que, como bien puntualizó Ana Borredá durante su discurso, en la ceremonia de los Trofeos de la Seguridad TIC se dieron cita “los mejores de los mejores”. IX edición La seguridad de su negocio depende de encajar bien todas las piezas Training Vulnerability Management bugCenter Application Security Threats Intelligence Analizador de código fuente Gestión de auditorías de seguridad Formación y certificaciones en seguridad informática Alertas tempranas de amenazas en la red @buguroo www.buguroo.com 912 29 43 49 [email protected] trofeos red seguridad corporativo 2014 PREMIADOS IX EDICIÓN PREMIADOS IX EDICIÓN PREMIADOS IX "Trofeo al Producto o Sistema de Seguridad TIC de 2014" CHECK POINT “La innovación es un factor clave a la hora de responder al ritmo creciente de las amenazas” Antonio Abellán Director comercial de Check Point España ¿Qué representa para Check Point el trofeo otorgado por RED SEGURIDAD? La innovación es un factor clave a la hora de responder al ritmo creciente de las amenazas, por lo que recibir un reconocimiento así nos indica que estamos avanzando en la línea correcta: innovando y dando respuesta a las demandas del mercado, buscando soluciones que faciliten a las empresas centrarse en sacar adelante sus negocios mientras nosotros nos ocupamos de que sus redes se encuentren a la vanguardia en protección. ¿Qué aporta de novedoso ThreatCloud IntelliStore y cómo ha sido recibido por la industria? ThreatCloud IntelliStore es el primer marketplace de ciberinteligencia. Se trata de un sistema de colaboración revolucionario que busca eliminar la fragmentación en el área de la inteligencia ante amenazas y nace como la primera plataforma que agrega automáticamente los datos desde múltiples fuentes para conseguir una prevención en tiempo real. La industria ha recibido el producto con expectación y gran interés. Lo que más han valorado nuestros clientes es el hecho de poder seleccionar y personalizar datos desde una amplia variedad de fuentes de acuerdo con sus propias necesidades e intereses. Durante 2015, ¿qué nuevos productos y servicios lanzará Check Point? ¿En qué áreas focalizará sus desarrollos? Las novedades siempre están dentro de nuestro continuo proceso de mejora. Este año tenemos previsto lanzar nuevos productos al mercado, principalmente en las áreas de movilidad y prevención de amenazas y, más concretamente, en la de infraestructuras críticas. "Trofeo al Servicio de Seguridad TIC de 2014" PANDA SECURITY “Presentamos un servicio que reduce prácticamente a cero la posibilidad de que el malware no sea descubierto” Rosa Díaz Directora general de Panda Security para España ¿Qué significa para Panda Security haber sido reconocida con el Trofeo al Servicio de Seguridad TIC que otorga RED SEGURIDAD? Para nosotros supone un orgullo y una satisfacción. Estamos plenamente convencidos de que Panda Advanced Protection Service (PAPS) constituye un paso adelante en la protección del endpoint y este trofeo viene a confirmarlo. ¿Qué características aúna PAPS para ser considerado un servicio disruptivo? Gracias a PAPS, presentamos un servicio que reduce prácticamente a cero la posibilidad de que el malware no sea descubierto. Clasifica todo lo que se intenta ejecutar y continúa monitorizando las acciones realizadas por las aplicaciones para proteger también contra posibles ataques a vulnerabilidades de aplicaciones legítimas. En suma, clasifica y monitoriza continuamente la actividad de las aplicaciones en los endpoints y permite obtener una trazabilidad completa. Ningún otro proveedor de la industria del software de protección cuenta con una propuesta similar. ¿Cuál ha sido la aceptación de PAPS entre clientes, partners y analistas de la industria tecnológica? La aceptación está siendo realmente buena. En España contamos con alrededor de 20 clientes, todos ellos grandes cuentas, y el objetivo es superar este año los 50. Por otra parte, estamos viendo cómo los principales analistas están avalando nuestra propuesta en sus informes. En el año 2018, según Gartner Group, el 80 por ciento de las plataformas de protección del endpoint incluirán capacidades de análisis forense y monitorización de la actividad de los usuarios, frente a menos del cinco por ciento registrado en 2013. 14 red seguridad feb 2015 IX edición trofeos red seguridad corporativo 2014 PREMIADOS IX EDICIÓN PREMIADOS IX EDICIÓN PREMIADOS IX "Trofeo a la Investigación en Seguridad TIC de 2014" SYMANTEC IBERIA “VIP Access Push posibilita que el proceso de identificación en Internet sea más seguro” Joan Taulé Regional Manager de Symantec Iberia ¿Qué supone para Symantec el Trofeo a la Innovación en Seguridad TIC otorgado por RED SEGURIDAD? En Symantec estamos comprometidos con la innovación, que impulsamos a través del desarrollo, la diversidad y la creación de un entorno abierto, flexible y solidario. Por esta razón, estamos muy agradecidos a RED SEGURIDAD por otorgarnos el Trofeo a la Innovación en Seguridad TIC, un esperado reconocimiento que nos enorgullece e impulsa a seguir mejorando día a día. Desde la perspectiva de Symantec, ¿por qué creen que el CTA de RED SEGURIDAD se ha decantado por VIP Access Push como la solución más innovadora de 2014? VIP Access Push es una solución de alta seguridad enfocada al usuario, poniendo a su disposición nuevas capacidades técnicas para que el proceso de identificación en Internet sea más seguro, fácil de usar y de aplicar. Es este compromiso de ayuda al usuario lo que la hace diferente. ¿Qué presupuesto dedica la compañía a I+D+i? ¿En qué nuevos desarrollos está trabajando Symantec para combatir las ciberamenazas? La inversión en I+D+i es un punto relevante para la compañía, que destinó un 16 por ciento de su facturación a este fin en 2014. En cuanto a nuevos desarrollos, recientemente desvelamos Symantec Managed Security Services y Symantec Advanced Threat Protection Solution, dos innovadoras soluciones que se sirven de la tecnología e inteligencia global de la compañía para proteger al usuario de forma aún más completa y exhaustiva. "Trofeo a la Formación, capacitación, divulgación o concienciación en Seguridad TIC de 2014" CRIPTORED “Thoth pretende convertirse en la vía más eficaz para aprender conceptos de seguridad de la información” Jorge Ramió Doctor en Sistemas Inteligentes en la Ingeniería Alfonso Muñoz Doctor en Telecomunicaciones ¿Cómo han recibido en Criptored el trofeo otorgado por RED SEGURIDAD? ¿Esperaban este reconocimiento al Proyecto Thoth? Ha sido una grata sorpresa comprobar cómo se premia a un proyecto que acaba de dar sus primeros pasos, en el que hemos puesto toda nuestra ilusión y al que estamos dedicando muchas horas, contando para ello con becarios del programa Talentum Startups de Telefónica, sin cuyo apoyo sería imposible llevarlo a cabo. ¿Cómo surgió la idea de poner en marcha el Proyecto Thoth? ¿Cuál es su objetivo y qué aceptación ha tenido? El proyecto de píldoras formativas Thoth lo veníamos pensando desde que Intypedia, un proyecto similar, llegó a su fin hace dos años. Su objetivo es ser la vía más fácil, rápida, amena y eficaz para aprender y reforzar conceptos relacionados con la seguridad de la información y convertirse en una fuente de obligada visita. La aceptación ha sido excelente: en sólo diez meses ya se han superado las 20.000 reproducciones. ¿Continuarán divulgando píldoras formativas a corto plazo? Al margen de Thoth, ¿qué nuevos proyectos contempla Criptored? Gracias a Talentum Startups, se seguirán publicando píldoras formativas hasta, al menos, finales de 2016. Es pronto para hablar de proyectos, pero estamos analizando la posibilidad de dar un salto cuantitativo en materia de formación avanzada en ciberseguridad, una demanda que no está suficientemente bien satisfecha. Otro tanto podríamos decir sobre la formación en seguridad en entornos amplios a través de Talentum Schools. IX edición red seguridad feb 2015 15 formación en ciberseguridad sobre la mesa De izquierda a derecha, Francisco Lorente (RED SEGURIDAD), Pablo Municio (Deloitte), Ricardo Barrasa (ISACA Madrid); Antonio Ramos (ISACA Madrid); Enrique Turrillo (BDO Auditores) –arriba–; Joaquín Castillón (EY); Manuel Sicilia (CNPIC); Javier García (Iberdrola); Ana Borredá (RED SEGURIDAD) y Enrique González (RED SEGURIDAD). La carrera hacia una cualificación adecuada en ciberseguridad Hoy en día la palabra "ciberseguridad" está en boca de todos: gobiernos, organizaciones, sector tecnológico, medios de comunicación y sociedad en general. Sin embargo, ¿contamos con profesionales cualificados en este campo? ¿Se debería establecer una carrera formativa acorde con la importancia de este trabajo? Sobre éstas y otras cuestiones debatieron los expertos invitados a esta mesa redonda impulsada por ISACA Madrid. Tx.: David Marchal Ft.: RED SEGURIDAD Los recientes ataques informátique se han producido tanto a empresas como a gobiernos de todo el mundo ponen de manifiesto la importancia que actualmente tiene la ciberseguridad como forma de protegerse frente a todos ellos. Sin embargo, ¿este concepto es nuevo para el sector? Esa pregunta, precisamente, fue el punto de partida con el que se inició esta mesa redonda; y, a tenor de las respuestas de los asistentes, la mayoría considera que es algo que ya se venía desarrollando desde hace muchos años. De hecho, para Pablo Municio, gerente del ERSIT de Deloitte, se trata más cos 16 red seguridad bien de "un término que, unido a la presencia en los medios de comunicación, está facilitando la llegada y concienciación a la dirección de las empresas". Javier García, director de Relaciones Externas y Programas Europeos de Iberdrola, también opina que "no hay nada nuevo bajo el sol", porque aunque "hay cosas que pueden variar, los principios básicos de la protección siguen siendo los mismos". Para Joaquín Castillón, Senior Manager de EY, el quid del uso de este concepto está en "el aumento de las incidencias con un mayor impacto", lo que ha hecho que "todo el sector y los organismos públicos se encuentren más concienciados de las consecuencias que esto puede llegar a producir". Ahora febrero 2015 bien, según Antonio Ramos, vicepresidente de ISACA Madrid, este término aporta algo positivo, pues está haciendo replantearse a los profesionales de la seguridad informática si lo que usaban antes sigue valiendo ahora. "Por ejemplo, el análisis de riesgos sirve de poco para prevenir ataques futuros", puntualizó. En este contexto, es necesaria, en palabras de Ricardo Barrasa, presidente de ISACA Madrid, "una nueva visión de la seguridad". "Necesitamos otro perfil de personas que tienen que cubrir esos riesgos. Tenemos que preparar profesionales que nos den tranquilidad", añadió el directivo. Y es que actualmente el problema reside en que muchas empresas no saben qué perfil contratar para este especial formación en ciberseguridad tipo de posiciones relacionadas con la ciberseguridad. "Lo habitual", según Ramos, de ISACA Madrid, "es coger un determinado perfil y formarlo en función de las necesidades de cada organización". Para este directivo, faltan "herramientas" y, sobre todo, "una cantera". El problema para García, de Iberdrola, es que no hay perfiles adecuados. "En el ámbito europeo no hay nada, no existe formación reglada, ni titulaciones reconocidas". Es más, el directivo opina que pueden pasar entre ocho y diez años para que exista alguna reglamentación europea al respecto, mientras tanto los ámbitos de cualificación de los profesionales de la ciberseguridad "estarán en el limbo y no serán exigibles", añadió. Certificaciones Para intentar solucionar estas carencias se encuentran las certificaciones que ofrecen determinados colectivos y asociaciones como ISACA. Para Manuel Sicilia, jefe de la Sección de Análisis del Servicio de Ciberseguridad del CNPIC, "las certificaciones tienen la capacidad de adaptarse más rápidamente que la enseñanza tradicional reglada. Dan prerrequisitos base a los que no se llega con la formación universitaria". De la misma forma opina Castillón, de EY, para quien las certificaciones son "una manera de homogeneizar los conocimientos del mercado". En otras palabras, agregó, "así las empresas tienen una herramienta mínima para saber qué tipo de profesionales les pueden solventar esas necesidades". En el caso de ISACA, explicó Ramos, cuentan con los programas CSX y CSX Fundamentos, "que desarrollan la capacidad de los profesionales en el Ricardo Barrasa Presidente de ISACA Madrid "En el ámbito de la ciberseguridad debemos contar con otros perfiles de personas que cubran todos los riesgos tecnológicos. Tenemos que preparar profesionales que nos den tranquilidad" entorno de la ciberseguridad". Precisamente, este tema es crítico para Enrique Turrillo, gerente Risk Advisory Services BDO Auditores. Por eso, para él, "son buenas este tipo de certificaciones para que acrediten que los empleados de las empresas pueden hacer esa clase de trabajos". Además, en palabras de Barrasa, de ISACA Madrid, "dan tranquilidad" y aportan sobre la mesa "un valor objetivo". Ahora bien, estas certificaciones no sólo han de verse desde un punto de vista técnico, sino también han de abordar el ámbito de la gestión. Así lo puso de manifiesto García, de Iberdrola, para quien esto se debe ver en "clave de estrategia". Y aparte de eso, tampoco pueden ser "sine die". Se requiere de "un reciclaje permanente, de una evolución progresiva en el campo tanto de la tecnología como de la gestión", añadió el directivo. Ese autoaprendizaje también resulta muy necesario en el ámbito de la ciberseguridad. Lo bueno, según los asistentes a la mesa redonda, es que esta clase de personas ya están acostumbradas a seguir en constante evolución. "Somos muy proactivos, con profesionales que se han ido formado a sí mismos a partir de numerosos foros", comentó Municio, de Deloitte. Eso sí, el directivo también alertó de la necesidad de contar con nuevos perfiles en el ámbito de la ciberseguridad, como físicos o matemáticos, para análisis de la información, por ejemplo. Y en todo este proceso de reconocimiento de certificaciones la Administración debería desempeñar "una labor tractora que ratifique esos títulos" para que los profesionales sean "más proclives a obtenerlos", en palabras de Ramos, de ISACA Madrid. Sin embargo, esto todavía resulta un tema bastante complicado. "Es difícil que el legislador se moje tanto hasta el punto de definir en un pliego de condiciones qué tipo de certificaciones se deben tener", explicó Sicilia, del CNPIC. Y es que no hay que olvidar que la naturaleza de las normas es que perduren en el tiempo. De tal forma ISACA forma profesionales en ciberseguridad Además de ofrecer a sus más de 115.000 socios en todo el mundo cuatro tipos de acreditaciones en el entorno de la seguridad de TI (CISA, CSIM, CGEIT y CRISC), esta asociación ha lanzado recientemente un programa denominado Cybersecurity Nexus (CSX). Su particularidad es que reúne en un único repositorio todos los activos de que dispone ISACA en materia de formación en el ámbito de la ciberseguridad, incluyendo guías, webcasts, documentos y toda clase de publicaciones al respecto para mejorar el conocimiento de sus asociados. Paralelamente a esto, la asociación también está impulsando CSX Fundamentos, un programa compuesto por una serie de sesiones formativas, con todo un temario desarrollado y un test de conocimientos incluido, pensado para los profesionales que quieran empezar en este mundo de la ciberseguridad. Esto les proporciona un punto de partida mínimo y unos conocimientos fundamentales para que cuando empiecen a trabajar en esa materia estén generando valor a sus empresas desde el primer momento. El programa está disponible en su página web (www.isaca.org). especial red seguridad febrero 2015 17 formación en ciberseguridad sobre la mesa Javier García Director de Relaciones Externas de Seguridad de Iberdrola "En términos de formación en ciberseguridad no hay nada en el ámbito europeo, ni reglada, ni titulaciones reconocidas" que "si salen nuevas certificaciones, se deberían solicitar también en las normativas y eso implicaría modificarlas al poco tiempo", agregó. Ahora bien, sí es cierto que ya se están produciendo ciertos cambios en la Administración para que los profesionales que van a ejercer trabajos relacionados con la seguridad de TI se encuentren acreditados. En palabras de Turrillo, de BDO Auditores, "la certificación que se solicita es global, y no específica; pero al menos algo se requiere ya, aunque no sea mucho". Regulaciones A partir de aquí el debate derivó hacia la necesidad de regular esta profesión por parte de los organismos competentes, partiendo de la base de que eso obligaría a cumplir unos compromisos básicos. Y es que, tal y como apuntó García, de Iberdrola, "la regulación genera un hábito"; aunque instó a la Administración a tener un mayor diálogo con el sector a la hora de dar ese paso. Sin embargo, Ramos, de ISACA, apuntó que con las dos últimas normativas que afectan a esta profesión, la Ley de Protección de Infraestructuras críti18 red seguridad cas y la Ley de Seguridad Privada, sí ha habido diálogo con las partes interesadas. "En estos dos casos, el legislador ha sido consciente de que no sabía y que debía escuchar a los expertos. Y es que no se puede legislar al margen del sector". De hecho, en el propio Reglamento de la Ley de Seguridad Privada, que actualmente se encuentra en tramitación, se están haciendo aportaciones en este sentido para poder incluirlas en él, como el papel que deben desempeñar los proveedores de seguridad informática que den servicio a determinados colectivos. "La organización como usuaria tiene que tener un esquema de control interno con temas de seguridad, pero el proveedor también tendría que diseñar y mantener", opinó Castillón, de EY. Por eso, continuó, "se le tiene que obligar a cumplir con esos requerimientos. Se han de marcar las pautas de cómo ese proveedor debe tener homologación". Claro que esta regulación no debe ser igual para todos ellos. "No vale café para todos. Es necesario especificar los perfiles de los proveedores", apuntó García, de Iberdrola. Y es que no es lo mismo un operador crítico que una pequeña empresa de otro sector. La reglamentación, por tanto, debe, a juicio de Ramos, de ISACA Madrid, solventar el gap existente entre seguridad física y lógica. "Para prestar servicios de seguridad privada se tienen que seguir una serie de pasos y homologacioines. Hay estructuras que buscan dar seguridad al usuario de los servicios; existe un cierto orden. En cambio, en la ciberseguridad el orden es cero", confirmó. De hecho, para el representante de ISACA Madrid, "todos estamos a la misma distancia de una IP, no es como el mundo físico". Por tanto, opinó, hay que ir dando pasos para que la provisión de servicios dedicados a la seguridad informática tenga que cumplir unos requisitos mínimos y contenga ciertas garantías. En esto también estuvo de acuerdo Municio, de Deloitte: "Las consultoras también consideramos que hay que regularlo". Y en esa normalización es donde precisamente entran en juego las necesarias sanciones. En general, todos los asistentes a la mesa redonda estuvieron de acuerdo en la necesidad de implantar medidas sancionadoras. Y es que, como apuntó febrero 2015 Barrasa, de ISACA Madrid, "cuando afecta al bolsillo, espabilamos. Es la forma de educarnos". De hecho, "hasta que no hay inspecciones y sanciones no se llevan a cabo las cosas", añadió Turrillo, de BDO Auditores. Por tanto, en palabras de Castillón, de EY, "hay que hacer la regulación y hacerla cumplir", manifestó. Ahora bien, desde el punto de vista de Sicilia, del CNPIC, es preciso que no haya un exceso de régimen sancionador. Por ejemplo, las actividades para la seguridad nacional, como las Manuel Sicilia Jefe de sección de Análisis del Servicio de Ciberseguridad de CNPIC "Lo bueno de las certificaciones es que tienen la capacidad de adaptarse más rápidamente de lo que lo hace la enseñanza tradicional reglada" infraestructuras críticas, dependen de un regulador que ya vela por ese servicio. "Es verdad que desde el CNPIC no tenemos sanciones propias, pero no era ese el espíritu", afirmó. La realidad para el directivo es que los 12 sectores estratégicos que ya se han identificado cubren un abanico grande de todos los sectores del país. "Por tanto, es preciso acudir al organismo regulador de cada uno de ellos, y eso es lo que hacemos en el desa- especial III Jornada sobre Protección de Infraestructuras Críticas Organiza: Colabora: Participa: 26 de febrero 2015. Gas Natural Fenosa. Avda San Luis 77. Madrid Participa a través del siguiente hashtag: #3JornadaPIC Aeroespacial y Defensa Colaboran: Precio: 100€. 50€ Amigos de la Fundación. HAZTE AMIGO formación en ciberseguridad sobre la mesa rrollo de los planes. En la regulación del sistema y en su funcionamiento se cuenta con lo que ya existe. Es un camino que se está haciendo ahora, y hay que ver cómo va a evolucionar", argumentó el directivo. Infraestructuras críticas A partir de aquí el debate se centró en la importancia de la ciberseguridad en este tipo de entornos fundamentales para la buena marcha de un país. La idea más extendida entre todos los asistentes es que "los operadores críticos españoles cuentan con un grado de madurez que va más allá de lo que se les puede exigir", tal y como explicó Sicilia, del CNPIC. Esta opinión la ratificó también García, de Iberdrola, para quien la seguridad de estas organizaciones es "bastante aceptable", y se complementa con procesos y personas. "En niveles de seguridad vamos mas allá de lo obligatorio; e incluso me atrevería a decir que, por conocimientos y capacidades, estamos por encima de nuestros colegas europeos. Somos un marco de referencia. Por tanto, no estamos mal, aunque podríamos estar mejor", manifestó. Antonio Ramos Vicepresidente de ISACA Madrid "En el reconocimiento de las certificaciones la Administración debería desempeñar una labor tractora que ratificara esos títulos" 20 red seguridad Durante el transcurso de la mesa redonda se trataron temas como las certificaciones de seguridad de TI o la regulación de la profesión por parte de las Administraciones Públicas. Ahora bien, sí es cierto que, dentro de este ámbito, los sistemas de control industrial son los que peor parados salen "por su propia idiosincrasia", según apuntó Sicilia, del CNPIC. "En su día se diseñaron principalmente para que estuvieran disponibles, con periodos de amortización de 20 o 25 años. Y actualmente tienen que seguir funcionando", afirmó. El problema es que no hay soluciones de seguridad desarrolladas para ellos, con el hándicap de que "ahora los equipos organizativos quieren monitorizar todo, incluido su proceso industrial desde un iPad", añadió el directivo. Y para eso es preciso una conexión a Internet y que ésta se encuentre securizada, porque, al fin y al cabo, en esos procesos reside el corazón de su negocio. De esa misma forma opinó Barrasa, de ISACA. "En otros entornos hay fuga de información, y todo se reduce a un problema cultural o reputacional. Sin embargo, esto es el core del negocio, y puede producir daños a las personas y una catástrofe económica". Por eso, en estos casos, es importante la labor que desempeña la capa organizativa de las compañías. "Muchos operadores críticos tienen tecnologías obsoletas, pero afortunadamente las personas que operan en esos entornos tienen un celo máximo por su protección", apuntó García, de Iberdrola. De esta forma, se encuentra limitado el acceso a zonas restringidas, hay una fuerte protección de las comunicaciones, se utilizan redes propias y no públicas... En definitiva, según manifestó el directivo, "en estos momentos, si no hay un fallo técnico, es difícil que se produzca un incidente de seguridad en España en esos entornos". febrero 2015 Y es que la capa organizativa resulta fundamental, tal y como confirmaron el resto de integrantes de la mesa redonda. "Por mucho que tú puedas tener muy securizada la infraestructura tecnológica, si se conecta un proveedor desde otro lugar o los propios administradores abren una nueva sesión desde cualquier otro PC, los sistemas se pueden ver afectados", matizó Municio, de Deloitte. Pablo Municio Gerente del ERSIT de Deloitte "En los últimos cinco años ha habido un tsunami de interconexión de datos que estamos asimilando y gestionando. Esto ha conllevado un aumento en la complejidad del escenario" especial formación en ciberseguridad Por eso, en estos casos la concienciación del personal que trabaja en estos ámbitos es muy importante, algo con lo que todos los asistentes estuvieron de acuerdo. Concienciación Es más, este tema sacó a relucir la necesidad de inculcar la importancia de la seguridad a los propios niños. "La concienciación se tiene que absorver desde pequeño. Se trata de un proceso de reflexión que debe dirigirse a los niños y a los entornos educativos mediante prácticas", afirmó García, de Iberdrola. Y es que el directivo no entiende que, por ejemplo, se les enseñe cómo evacuar un colegio o cuándo tienen que cruzar un paso de peatones, y no se les explique los peligros de ese otro mundo que, aunque no lo ven, está ahí. Y es que, como apuntó Castillón, de EY, "hay que concienciarles primero como usuarios para que sean capaces de entender". Por tanto, los esfuerzos han de ir dirigidos en ese sentido para que la siguiente generación a la actual pueda venir más preparada en el uso de las nuevas tecnologías. Joaquín Castillón Senior Manager de EY "El aumento de las incidencias de mayor impacto ha hecho que los organismos públicos y el sector estén más concienciados de las consecuencias que esto puede llegar a producir" especial No obstante, esta afirmación no resulta muy clara para todos los asistentes a la mesa redonda. Por ejemplo, a Ramos, de ISACA Madrid, le da "cierto miedo" este tema. "No sé si vamos a ser capaces de educar a las nuevas generaciones para que conozcan los riesgos del mundo ciber", matizó. Y es que, para el directivo, hay una barrera clara. Cuando la seguridad afecta al mundo físico, vemos y entendemos los riesgos; mientras que cuando lo hace al ámbito lógico, es más difícil detectar dónde está el peligro. "Debemos ser capaces de estructurar un sistema en el que pongamos en su sitio las necesidades de seguridad", agregó. Ahora bien, a lo mejor eso puede obligar a ir más despacio en el avance de las nuevas tecnologías. "Constantemente aparecen nuevos productos. Pero realmente, ¿queremos vivir en un entorno tan inseguro? La gente puede rechazar las tecnologías. Por eso la formación es fundamental", afirmó el directivo. El problema para Sicilia, del CNPIC, radica en que "somos víctimas de la rapidez del desarrollo", primando en muchos casos el diseño y la funcionalidad a la seguridad. Claro que eso también tiene un hándicap, y es que cuando alguien se plantea desarrollar seguridad sobre una tecnología, ésta "ya se ha quedado desfasada". Sin embargo, los propios asistentes a la reunión confirmaron la dificultad de ralentizar el avance de las tecnologías. Municio, de Deloitte, opinó directamente que "no se puede poner freno". La única forma es "que baje la demanda", algo que también considera complicado. "En los últimos cinco años ha habido un tsunami de interconexión de datos que estamos asimilando y gestionando. Esto ha conllevado un aumento en la complejidad del escenario, incluyendo el perfil y técnicas de los ciberatacantes". Así opina también García, de Iberdrola: "Las Tecnologías de la Información han llegado tan fuerte que nos ha arrasado por completo. No ha habido tiempo de entenderlo, y después de sesenta años seguimos sin comprenderlo", explicó el directivo. Y lo mismo sucede con el concepto de ciberseguridad, según los presentes. Es bueno que llegue a la sociedad en general, porque el mundo tecnológico es inseguro y este término se debe ver como parte de lo que hay que hacer para mitigar los riesgos. "A veces se dan situaciones kafkianas. sobre la mesa Enrique Turrillo Gerente Risk Advisory Services de BDO Auditores "Las certificaciones de ciberseguridad son positivas porque acreditan que los responsables de seguridad de las organizaciones pueden hacer esos trabajos" A un arquitecto les enseñamos todo lo necesario para que no se caiga un puente que construya. En cambio, a los desarrolladores no se les enseña a programar seguro, cuando eso debería ser lo primero que se hiciera. Para mí ambas situaciones son lo mismo", comentó Ramos, de ISACA Madrid. Lo que sucede, en palabras de Barrasa, de ISACA Madrid, es que "la sociedad se ha acostumbrado a convivir con los riesgos y no es consciente de los peligros que esto supone". Por tanto, para los presentes en la mesa redonda hace falta avanzar mucho más en la educación y la concienciación sobre los riesgos de la tecnología, tanto por parte de los estados como en el ámbito empresarial y el ciudadano. Es preciso "ir al origen del problema, que se encuentra en el binomio personatecnología. Hay que concienciar a las personas y pedir más seguridad a las tecnologías", matizó García, de Iberdrola. De esta forma, "demandaremos servicios de calidad y el mercado no tendrá más remedio que ofrecerlos", puntualizó Ramos, de ISACA Madrid. red seguridad febrero 2015 21 especial PIC monográfico Las infraestructuras críticas, en el blanco de los cibercriminales EL NÚMERO DE CIBERATAQUES A INFRAESTRUCTURAS CRÍTICAS ESPAÑOLAS VA EN AUMENTO. SE TRATA DE AMENAZAS CADA VEZ MÁS SOFISTICADAS QUE REQUIEREN ESFUERZO PARA MITIGARLAS, TANTO POR PARTE DE LOS ORGANISMOS PÚBLICOS, COMO DE LAS EMPRESAS OPERADORAS Y DE LAS COMPAÑÍAS QUE SUMINISTRAN SOLUCIONES. Tx: David Marchal El pasado 7 de enero tuvo lugar el sangriento asalto a la sede del periódico satírico Charlie Hebdo. Ese mismo día, el Ministerio del Interior español elevó al Nivel 3 (en una escala de 4) el riesgo de amenaza terrorista, el cual todavía no se ha rebajado, y se ordenó la participación de las unidades policiales para cubrir las principales infraestructuras críticas del país. Además, se aumentó la seguridad informática en esos entornos como forma de protegerse frente a posibles ciberataques. No en vano, estas instalaciones resultan cruciales para el normal funcionamiento de cualquier país. Como explica Abel González Bello, 22 red seguridad responsable del CERT de Seguridad e Industria en el Instituto de Ciberseguridad (Incibe), "el impacto de una ciberamenaza se ve multiplicado en una infraestructura crítica". Por ese motivo, continúa, "cualquier pequeño incidente debe ser tratado con el máximo rigor y agilidad, ya que la propagación y amplificación a lo largo del operador puede llegar a propiciar un gran impacto". Este hecho, por supuesto, es conocido por los cibercriminales y lo intentan aprovechar continuamente. Es más, todas las fuentes consultadas para la realización de este reportaje alertan de un reciente incremento del número de ciberamenazas a infraestructuras críticas. "Se ha venido apreciando un ligero aumento en el porcentaje de incidentes febrero 2015 relacionados con la cibercriminalidad. Esta tendencia es directamente extrapolable al ámbito específico de las infraestructuras críticas, donde se ha elevado ligeramente el número de incidentes detectados", afirma Miguel Ángel Abad, jefe del Servicio de Ciberseguridad del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC). Para Javier Candau, jefe de Ciberseguridad del Centro Criptológico Nacional (CCN), el incremento de amenazas está siendo "espectacular". De hecho, afirma, "el CCN-CERT gestionó en 2014 un total de 13.000 ciberincidentes, lo que representa un aumento del 78 por ciento con respecto al año anterior". De ellos, el 11,6 por ciento fue catalogado por el equipo de especial PIC monográfico Reportaje expertos del CERT Gubernamental Nacional con un nivel de riesgo entre muy alto y crítico; es decir, se tuvo constancia de que el ataque afectó a los sistemas de la organización y a su información sensible. Además, se constató "un incremento en la intensidad y sofisticación de dichos ataques, tanto a las Administraciones Públicas como a las empresas y organizaciones de interés estratégico para el país, fundamentalmente de los sectores energético, de defensa, aeroespacial, farmacéutico y químico", confirma. Paralelamente a esto, se está produciendo un hecho desconocido: la aparición de ciberincidentes en sectores industriales. "En los últimos meses se han publicado noticias muy significativas que hacen pensar que, al igual que en el resto de entornos, el número de incidentes en sectores industriales va al alza", aseguran los responsables del Centro de Ciberseguridad Industrial (CCI). Es más, explican, "en diciembre se produjo un ciberataque sobre una planta de producción de acero en Alemania, que terminó con daños masivos a un alto horno. Esto es significativo, ya que se trata, después de Stuxnet, del primer ataque documentado que produce daños físicos a una instalación", añaden desde el CCI. Detrás de todos estos ciberincidentes se esconden multitud de motivos, principalmente económicos, aunque hay otros, tal y como explica Abad, del CNPIC: "los intereses de los atacantes pueden diferir en cada ataque, y siendo compleja su identificación, suelen estar referidos a la obtención de un beneficio económico, a la publicidad de sus acciones o propaganda de determinadas ideologías, o en casos extremos a causar terror en la población", puntualiza. Candau, del CCN, por su parte, añade también otro motivo importante a lo anterior: "el robo de información de alto valor: propiedad intelectual, datos referentes a la seguridad nacional, secretos comerciales, códigos fuente, información especial El CERTSI presta servicios de prevención, detención y respuesta ante incidentes cibernéticos que afecten a los operadores críticos sobre I+D, información referente a los mercados y clientes, sistemas financieros..." Se busca, por tanto, "obtener ventajas competitivas, bien sean políticas, económicas o sociales", matiza. En estos casos, como explica González Bello, de Incibe, "el impacto de estas amenazas se percibe a largo plazo, dado que tratan de ser silenciosas prolongando su actividad en el tiempo". Contra las ciberamenazas Precisamente, para luchar contra todo este tipo de incidentes, España cuenta desde la aprobación de la Ley 8/2011, de 28 de abril, con una serie de medidas para la protección de las infraestructuras críticas nacionales. Con el fin de impulsar, coordinar y supervisar todas ellas ese mismo año se creó el CNPIC, cuyas atribuciones también abarcan el ámbito de la ciberseguridad. "Según se establece en las competencias del CNPIC en el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas, en su artículo 7, el CNPIC tiene la función de implantar bajo el principio general de confidencialidad, mecanismos permanentes de información, alerta y comunicación con todos los agentes del Sistema, aspecto que se hace imprescindible en el ámbito de la ciberseguridad", explica el representante de este organismo. De cara a mejorar el enlace con los operadores críticos, ofreciéndoles servicios de valor añadido en materia de ciberseguridad, CNPIC, en colaboración con Incibe, creó en 2012 el CERT de Seguridad e Industria (CERTSI), que tiene por objeto "prestar servicios de prevención, detección y respuesta ante incidentes cibernéticos que afecten a empresas de forma general, y a operadores críticos de forma particular", según González Bello, de Incibe. De hecho, desde entonces, este organismo ha enviado más de 20.500 notificacio- Joan Taulé, 'Regional Manager' de SYMANTEC IBERIA ¿Qué iniciativas lleva a cabo Symantec para mejorar la ciberseguridad en infraestructuras críticas? Llevamos bastantes años colaborando activamente con las instituciones públicas que velan por la seguridad de la Administración o de las infraestructuras críticas o de interés estratégico. En este ámbito también incluimos la cooperación con los distintos CERT regionales. Las colaboraciones cubren un amplio espectro, desde la prevención de amenazas, poniendo a disposición plataformas de cibersimulación para el entrenamiento, hasta la protección mediante tecnologías específicas para infraestructuras críticas como, por ejemplo, los sistemas SCADA, con soluciones específicas para proteger este tipo de entornos, incluida la detección y respuesta frente a incidentes. En el ámbito europeo, hace escasos meses el Centro de Cibercrimen de la Europol (F3) firmó un memorando de entendimiento con Symantec que permite una mayor cooperación en la lucha conjunta frente a la ciberdelincuencia. Son acuerdos de compartición de datos que nos permitirán ser más precisos y más rápidos a la hora de dar soluciones al problema. Es un claro ejemplo de que la lucha contra los desafíos de hoy requiere un enfoque colectivo. red seguridad febrero 2015 23 PIC monográfico Reportaje nes a ISP, empresas y operadores estratégicos nacionales. Además, colabora con distintas entidades, tanto en el ámbito público como privado, para intercambiar información que permita la detección temprana de incidentes y su mitigación. "Este intercambio de información permite la identificación tanto de ciberamenazas sobre las que prestar atención, como sistemas infectados sobre los que se ha de actuar", agrega González Bello, de Incibe. El modelo de relación del CERTSI con los operadores de infraestructuras críticas comienza con la pre- sentación del catálogo de servicios que ofrece a la empresa que alberga las citadas instalaciones. Tras esa reunión, explica el representante de Incibe, "se plantea un modelo de acuerdo de confidencialidad entre el CERTSI y el operador, con el que se logra establecer un marco de confianza entre ambas entidades, fijando las bases para la colaboración posterior". De esa forma, se ponen a disposición de estas empresas servicios como el de respuesta ante incidentes, en formato 24x7x365 y con soporte técnico y operativo para El sector TI, fundamental para la protección de las infraestructuras críticas En España existen alrededor de 3.700 infraestructuas críticas consideradas como fundamentales. Por tanto, resulta muy importante aunar esfuerzos en la lucha contra los ciberdelincuentes, tanto desde el sector público como el privado. De hecho, gran parte de los fabricantes de soluciones de seguridad están trabajando estrechamente con los organismos oficiales para poner al servicio de éstos su experiencia y conocimiento. Desde Kaspersky, por ejemplo, destacan la necesidad de crear esos vínculos. "Kaspersky Lab colabora estrechamente con organismos oficiales para luchar contra la delincuencia informática y las ciberamenazas emergentes, sobre todo en infraestructuras críticas, cuya amenaza puede derivar en daños muy importantes para los países afectados", afirma Alfonso Ramírez, director general de la empresa en Iberia. Como explica José Miguel Rosell, socio director de S2 Grupo, "tanto las infraestructuras críticas como los sectores industriales están en el punto de mira de organizaciones profesionales de ciberdelincuencia desde hace ya algún tiempo". Y es que, tradicionalmente, la industria se ha creído segura ante estos peligros, ya que sus sistemas de control han permanecido al margen de cualquier conexión a Internet. "Sin embargo, en estos momentos, los sistemas de control industrial en los que interactúan diferentes redes, aplicaciones y múltiples dispositivos están expuestos al exterior, a Internet, directamente o a través de interconexiones", añade Miguel Ángel Juan, socio director de S2 Grupo. No en vano, esta compañía puso en marcha en 2013 el Centro de Operaciones de Ciberseguridad Industrial, con el objetivo de colaborar con el sector ofreciendo servicios remotos de prevención, detección y respuesta a ciberataques, así como de recuperación. A pesar de todo ello es difícil afirmar que una infraestructura crítica esté bien protegida, porque en la actualidad es casi imposible alcanzar una seguridad completa. "Podemos decir que muchas infraestructuras críticas están convenientemente protegidas, aunque también es cierto que en este campo aún queda mucho por mejorar", comenta Ricardo Maté, director general de F5 Networks. Para este directivo, la Ley de Protección de Infraestructuras Críticas ha aportado "una sensibilización mayor en este terreno", y no sólo para aquellas organizaciones identificadas por el CNPIC, sino en general "para múltiples entornos industriales que tradicionalmente no contemplaban la ciberseguridad". Sin embargo, considera, "se necesita una mayor inversión en políticas y herramientas de seguridad, así como una mayor concienciación del problema". 24 red seguridad febrero 2015 el bloqueo de cualquier amenaza. "El modelo de inteligencia en ciberseguridad (MICS) es el aspecto diferenciador del CERTSI, ya que logra, a través de herramientas propias y colaboración con terceras entidades, la agregación de un número alto de eventos, que correlados adecuadamente y tras la aplicación de reglas de inteligencia, permite la detección temprana de ciberamenazas y sistemas comprometidos", afirma González Bello. Incluso, distribuye entre su comunidad de operadores de infraestructuras críticas vulnerabilidades Zero-day para que éstos puedan protegerse ante las amenazas más avanzadas; y pone en marcha una serie de ciberjerecicios (denominados Cyber-Ex, que ya van por su tercera edición), con los que se evalúa las capacidades de detección, reacción y recuperación frente a incidentes de los operadores críticos. "Al finalizar las actividades estas organizaciones logran dos grandes objetivos: por una parte, han probado sus capacidades en un entorno real; y por otra, obtienen consciencia de su grado de desempeño a partir de la valoración de una entidad independiente", opina González Bello. Adicionalmente a todo esto, en 2013 el Gobierno puso en marcha la Estrategia de Ciberseguridad Nacional, que ha derivado en una serie de trabajos que tienen por objeto definir las actividades que se deben llevar a cabo en los próximos años para cada una de las líneas de acción establecidas en la misma. De este modo, dado que la Línea de Acción 3 de la Estrategia está directamente relacionada con la protección de las infraestructuras críticas en su vertiente cibernética, comenta Abad, del CNPIC, "desde el Ministerio del Interior se están definiendo los trabajos que guiarán el desarrollo de la ciberseguridad en la materia, contando para ello con la participación de todos los agentes del Sistema PIC de forma particular, y con los organismos implicados en el desarrollo de la Estrategia de forma general". especial PIC monográfico Reportaje Una de las consecuencias de todo esto fue la creación el año pasado de la Oficina de Coordinación Cibernética (OCC), que tiene por objeto actuar como órgano técnico de coordinación de la Secretaría de Estado de Seguridad en materia de ciberseguridad. Para ello debe cumplir con dos misiones fundamentales, que explica Abad: "Asesorar al Secretario de Estado de Seguridad en materia de ciberseguridad, aportando la información estratégica y técnica necesaria que facilite su proceso de toma de decisiones; y hacer Lucha contra la piratería internacional La firma de servicios profesionales Deloitte y la compañía tecnológica española Red Points han acordado una alianza estratégica para combatir la piratería online. Ambas empresas trabajarán en la comercialización de la solución tecnológica RedPoints 7.0 que permite impedir la distribución ilegal de contenidos en la Red. Deloitte aportará a este proyecto su experiencia a través de CyberSOC, que presta a las empresas un servicio integral de gestión de riesgos tecnológicos y reputacionales. 26 red seguridad efectiva la coordinación técnica entre la Secretaría de Estado y sus organismos dependientes y el CERTSI". Para ello, continúa, "dispone de los mecanismos de intercambio de información seguros necesarios para comunicarse tanto con dicho CERT como con las distintas unidades tecnológicas de las Fuerzas y Cuerpos de Seguridad del Estado, agilizando la difusión de información que pueda ser de interés para cualquiera de las partes", puntualiza el jefe del Servicio de Ciberseguridad de CNPIC. Más CERT en España Sin embargo, éstos no son los únicos centros de respuesta a incidentes de seguridad acreditados para luchar contra las ciberamenazas. Hay que destacar también la labor del Centro Criptológico Nacional, el cual, a través de su CERT, "tiene responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de las Administraciones Públicas y de empresas y organizaciones de interés estratégico para el país", afirma su jefe de Ciberseguridad. Así lo recoge diferente normativa a través de la cual se establece la misión del CCN-CERT en la mejora de la ciberseguridad española, "siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas", añade Candau. febrero 2015 Aparte del CERTSI y del CCN-CERT, existen otros dos equipos de respuesa a incidentes públicos de ámbito estatal: IRIS-CERT (de la RedIRIS) y COSDEF-CERT (del Ministerio de Defensa). Asimismo, son varias las Comunidades Autónomas con este tipo de servicios como Andalucía, Cataluña o Comunidad Valenciana. Por otro lado, en el ámbito privado, tal y como recoge el FIRST (foro de los principales CERT del mundo), existen los siguientes, muy relacionados con empresas que operen en sectores económicos críticos: BBVA CERT, eLa Caixa CSIRT, Mapfre-CCG-CERT, S21sec CERT y Telefonica-CSIRT. Todos estos organismos colaboran entre sí, como afirma Manuel Carpio, director de Seguridad de la Información y Prevención del Fraude de Telefónica: "La colaboración es estrecha en distintos ámbitos. Telefónica de España colabora con el DSN, CNPIC, Incibe y el CCN, participando en los foros y grupos de trabajo específicos a los que es invitada; así como en la identificación de servicios esenciales e infraestructuras sobre los que se soportan, asesoramiento en la elaboración de planes sectoriales, etc.". Por lo general, este tipo de CERT cumplen funciones puramente operativas de seguridad, que van desde Buenas prácticas para en entornos industriales El Centro de Ciberseguridad Industrial (CCI) ha elaborado el documento Buenas prácticas para el Diagnóstico de Ciberseguridad en Entornos Industriales 2014, donde explica cómo realizar un diagnóstico de ciberseguridad en un entorno industrial mediante la identificación de puntos débiles y propuesta de acciones. Este tipo de diagnóstico en entornos industriales es un servicio muy especializado del que actualmente existe poca oferta en el mercado por su complejidad. especial PIC monográfico Reportaje el control de accesos y de protección (monitorización y respuesta a incidentes), tanto en edificios y oficinas, como en sistemas y redes. Por ejemplo, el Centro de Control General de Mapfre presta servicios tecnológicos de seguridad a la organización mediante "un centro de excelencia operativa, en el que se explotan las tecnologías de seguridad, como los servicios criptográficos, antivirus, acceso remoto, VPN, gestión de certificados, dominios, sistema de control de acceso, sistemas de detección de intrusión y sistema de monitorización de redes y sistemas", explica Daniel Largacha, que pertenece a la Subdirección de esta área de la empresa. Pensando en agrupar todas estas entidades, el CCN-CERT promovió tanto la creación de CSIRT.es, un grupo de trabajo de CERT nacionales, como el mantimiento de la coordinación con los privados a la hora de gestionar cualquier incidente y en el momento de realizar diferentes acciones preventivas. Claro que aparte de estos CERT, es importante matizar que existen numerosos organismos públicos y organizaciones privadas que operan en sectores críticos que, pese a no contar con un CERT como tal, sí poseen equipos o centros de operaciones de seguridad (SOC), cuyas funciones son muy similares a las de un CERT. Uno de ellos, por ejem- En cifras: ciberataques en 2014 Éstas son las estadísticas que maneja en CNPIC con respecto a los ciberincidentes sucedidos en 2014: - 36.975 notificaciones recibidas sobre posibles incidentes, de los cuales se gestionaron 17.888 (48,4%). - 161.965 direcciones IP de dominios con indicios de actividad maliciosa. - 7.134.653 direcciones IP comprometidas en España. - 7.965 vulnerabilidades detectadas, de las cuales el 23,4 por ciento se catalogaron como de criticidad alta, el 66,7 por ciento como criticidad media, el 7,6 por ciento como baja y el 2,3 por ciento fueron finalmente rechazadas. Por volumen, el principal tipo de incidente detectado por el CCN-CERT es el código dañino (troyanos, gusanos y spyware), con el 78 por ciento de los casos; seguido por las intrusiones, con el 17 por ciento, sobre todo con explotación de vulnerabilidades e inyección SQL. No obstante, la principal amenaza son las APT, cuya particularidad es que ahora también actúan sobre personas individuales, incluyendo directivos de compañías y de organismos públicos, personajes notorios y responsables políticos. Una vez que los atacantes conseguen la información, suelen eliminar las pruebas de su ataque, borrando el código dañino. Por último, el CCN-CERT destaca otra tendencia que consiste en atacar a los elementos más débiles de la “cadena de intercambio de datos” (como contratistas o proveedores) antes que hacerlo directamente contra los objetivos finales. especial plo, es el de Deloitte, la cual, según Fernando Picatoste, socio del Área de Riesgos Tecnológicos de la empresa, "participa activamente en los grupos y foros de trabajo constituidos por los organismos oficiales y los operadores de infraestructuras críticas. En este sentido, nuestra relación es constante, cercana y fluida. En mi opinión, está siendo un claro ejemplo de colaboración público-privada exitosa", comenta. Asimismo, en el marco de su actividad, la empresa lleva tiempo colaborando con los operadores de infraestructuras críticas en la definición, implantación y mejora de estrategias, planes y medidas de seguridad. "Cabe destacar el esfuerzo e inversiones que las empresas españolas llevan haciendo desde hace años destinadas a la protección tanto de su patrimonio y actividad como de los servicios esenciales para el desarrollo de nuestra sociedad", añade Picatostes. Esto también es así en el ámbito de las instalaciones industriales, las cuales cuentan con el apoyo del Centro de Ciberseguridad Industrial (CCI). "Actuamos como una herramienta para amplificar y catalizar las distintas percepciones de la realidad de la protec- red seguridad febrero 2015 27 PIC monográfico Reportaje ción de las infraestructuras críticas en nuestro país, soportando, impulsando y desarrollando desde una perspectiva práctica y aplicada desde nuestras líneas de actividad, lo que la Estrategia de Ciberseguridad Nacional o la Ley de Protección de Infraestructuras Críticas definen como aspectos claves de nuestro Sistema de Ciberseguridad Nacional de cara a la adecuada protección de nuestra sociedad", comentan los responsables del CCI. Otros organismos A todo esto hay que añadir la labor que realizan o pueden realizar otras 28 red seguridad instituciones públicas a la hora de salvaguardar las infrestructuras críticas. Una de las más importantes es la del Mando Conjunto de Ciberdefensa (MCCD). Precisamente, la Orden Ministerial 8/2015, de 21 de enero, por la que se desarrolla la organización básica de las Fuerzas Armadas, establece que el ámbito de actuación del MCCD serán las redes y los sistemas de comunicaciones e información del Ministerio de Defensa, así como aquellas otras redes y sistemas que específicamente se le encomienden y que afecten a la Defensa Nacional. Si este fuera febrero 2015 el caso, comentan desde este organismo, y, en el marco de esas “otras redes y sistemas”, se encomendara al MCCD la protección de determinadas infraestructuras críticas españolas, "el Mando dedicaría los recursos de los que dispone a su protección, como parte de su misión permanente". Sin embargo, confirman, éste no ha sido el caso hasta el momento. De igual forma, la colaboración de la Brigada de Investigación Tecnológica de la Policía y el Grupo de Delitos Telemáticos de la Guardia Civil también es importante, sobre todo en el ámbito de la prevención. "Dada la criticidad que supone un ataque contra una infraestructura crítica, la labor preventiva cobra mayor relevancia", putualiza Oscar de la Cruz, jefe de esta última unidad. "Si a través de los canales de los cuales recibimos información, personas y fuentes abiertas, tenemos constancia de algún hecho relevante que pueda afectar o poner en peligro la seguridad de estas instalaciones, inmediatamente es trasladada a través de la Oficina de Coordinación Cibernética (OCC) para que llegue a su destinatario final", manifiesta. Y como parte de todo este proceso de protección de estos sectores esenciales para el buen funcionamiento de un país, desde hace varios meses están en marcha los planes estratégicos sectoriales para designar a los operadores críticos, comenzando por las áreas del transporte y del agua, donde resulta fundamental la protección de las redes de información que sustentan las actividades de estos organismos y empresas. En definitiva, todos los esfuerzos de la Administración Pública y los operadores privados se centran en incrementar las capacidades de prevención, detección, análisis, respuesta y coordinación ante las ciberamenazas en infraestructuas críticas. Se trata, en palabras de Candau, del CCN, de trabajar suponiendo que "los sistemas están ya comprometidos o lo estarán pronto y, por lo tanto, protegiendo los activos fundamentales en un medio que ha sido atacado previamente". especial PIC monográfico Entrevista “Para hacer frente a las ciberamenazas es necesario potenciar las estructuras y las capacidades de Estado” José Ignacio Carabias Jefe de Área del Centro Nacional para la Protección de las Infraestructuras Críticas Tx.: Enrique González Herrero Ft.: CNPIC Las ciberamenazas están en el centro de las preocupaciones en torno a las infraestructuras críticas españolas. El CNPIC dirige desde hace años las mejoras impulsadas por el Estado para asegurar estos entornos, pero aún queda un amplio margen de mejora. José Ignacio Carabias, que acaba de asumir la Jefatura de Área del organismo, analiza el estado de las iniciativas puestas en marcha y los retos que vienen. 30 red seguridad El año 2014 ha sido muy fructífero para España en la mejora de la protección de sus infraestructuras críticas. Para 2015 sabemos que están previstos nuevos planes estratégicos, pero ¿qué otros objetivos se han marcado hasta diciembre? Durante 2015, vamos a seguir trabajando en la implantación del Sistema de Protección de Infraestructuras Críticas a diferente nivel. Acometeremos la revisión y actualización del Plan Nacional para la Protección de la Infraestructuras Críticas, tomando como referencia el Plan de Prevención y Protección Antiterrorista. Antes de verano se aprobarán otros cinco Planes Estratégicos Sectoriales (PES) importantes, los correspondientes a los sectores de Transporte (que abarca el aéreo, el ferroviario, la carretera y el marítimo) y Agua. En esa línea, identificaremos las infraestructuras críticas y designaremos a los operadores críticos de dichos sectores. También aprobaremos los Planes de Seguridad del Operador (PSO) y los Planes de Protección Específicos (PPE) de los operadores críticos de los sectores de Energía (incluidas electricidad, petróleo y gas), Nuclear y Financiero, cuyos PES fueron aprobados en 2014. febrero 2015 También se iniciarán los trabajos para el diseño y elaboración de los Planes de Apoyo Operativo sobre las infraestructuras críticas de todos ellos. En el ámbito de la ciberseguridad, además de fortalecer las estructuras desarrolladas en el ámbito de la prevención, detección y respuesta ante incidentes cibernéticos, antes de verano se aprobarán los planes derivados de la implantación de la Estrategia Nacional de Ciberseguridad. En este documento destaca la línea de acción número tres sobre ciberseguridad para la protección de las infraestructuras críticas, que está liderada por el CNPIC. En el ámbito de la cooperación internacional, acometeremos todos los trabajos e iniciativas que se deriven de la Unión Europea en el marco del Programa Europeo sobre PIC y la Directiva 2008/114 sobre la identificación y designación de infraestructuras críticas europeas y la necesidad de mejorar su protección. ¿Están satisfechos con los avances en seguridad y cumplimiento de los operadores enmarcados en los cinco PES aprobados el año pasado? A nivel global podemos decir que la seguridad de las infraestructuras críticas es buena. Pero hay que destacar que el grado de madurez de la seguridad no es el mismo en todos los sectores estra- especial El riesgo en el ciberespacio es complejo y creciente. Su solución no debería serlo. Mayor enfoque, menos riesgo. Ofrecer un valor tangible mediante una solución contra los riesgos del ciberespacio apropiada para su sector y adaptada a sus necesidades implica más enfoque y menos riesgo. Para obtener más información, visítenos online: www.emea.symantec.com/cyber-resilience PIC monográfico Entrevista “Los ciberataques contra infraestructuras críticas fueron el año pasado en torno a 60, lo que no llega al 0,5 por ciento del total” tégicos. Esto es debido, por un lado, al tipo de amenazas a las que se enfrentan los departamentos de seguridad de los diferentes operadores críticos y, por otro, a los criterios y niveles de seguridad exigidos por los organismos competentes en cada sector. Cabe destacar el grado de madurez del sector Financiero, sin dejar de lado otros como el Energético o el Nuclear. ¿Qué aspectos necesitan todavía mejoras? Hay dos aspectos que deben fortalecerse con el tiempo en las estructuras de seguridad de los operadores críticos. Son, por un lado, la integralidad de la seguridad, la cual debe converger hacia una mayor coordinación y colaboración entre los ámbitos físico y cibernético, y, por otro, el desarrollo de unas capacidades de prevención y respuesta ante ciberincidentes. En este sentido, todos los operadores de cualquier sector estratégico pueden adherirse gratuitamente al CERT de Seguridad e Industria (CERTSI), gestionado conjuntamente por personal de Incibe y del CNPIC. Es decir, que hasta la aprobación de la Ley PIC, en 2011, los operadores no estaban aplicando un modelo de seguridad verdaderamente integral. Creo que uno de los principales éxitos de la normativa PIC ha sido la apuesta por la integralidad de la seguridad. Hasta la implantación de dicha normativa, diferentes operadores tenían separado, por un lado, todo lo referido a la seguridad corporativa centrada en la vertiente física y, por otro, el departamento de sistemas encargado de gestionar la protección de las redes y los sistemas. Se puede decir que poco a poco los operadores van implementando esta integralidad. 32 red seguridad Somos conscientes de que no se pueden cambiar las estructuras corporativas de la noche a la mañana, por eso muchos operadores que todavía no han optado por esa integralidad han creado en su seno comités de coordinación en el ámbito PIC, que están compuestos por representantes del ámbito de la seguridad física y de la cibernética. En estos comités se analizan los temas que pueden afectar al operador en el ámbito de la seguridad para que las diferentes áreas trabajen en una misma dirección y con un objetivo común. Tras los atentados de París, España ha activado el protocolo de seguridad al nivel 3 del Plan de Prevención y Protección Antiterrorista. ¿Qué implica el establecimiento de este nivel para las infraestructuras críticas? Ha supuesto extremar la protección de las infraestructuras que prestan servicios esenciales a la sociedad. Por primera vez se ha activado el Plan Nacional de Protección de Infraestructuras Críticas. Dentro del Plan, el CNPIC confeccionó un listado de las infraestructuras críticas a escala nacional y por demarcación policial, que fue remitido a las Fuerzas y Cuerpos de Seguridad para activar los protocolos de seguridad y protección frente a las amenazas de carácter terrorista. Los operadores deben activar aquellas medidas de seguridad complementarias/adicionales a las permanentes, que figurarán en sus respectivos PPE. Es esencial coordinar este tipo de medidas complementarias con los Planes de Apoyo Operativo que diseñen los cuerpos policiales para cada una de las infraestructuras críticas que estén en su demarcación. Desde el ámbito de la ciberseguridad, se mantiene activo el equipo de febrero 2015 respuesta ante incidentes cibernéticos del CERTSI, que es un instrumento de prevención y respuesta. Si una infraestructura crítica sufre un ciberataque, ¿cómo se aborda la amenaza desde que se detecta hasta que se intenta neutralizar? Todo operador de infraestructuras críticas o estratégicas dispone de un servicio de respuesta a incidentes de carácter cibernético proporcionado por el CNPIC. Desde un punto de vista organizativo, los operadores que gestionan o son responsables de la operación de este tipo de infraestructuras juegan un papel crucial a la hora de facilitar su protección, para lo cual deben emplear los mecanismos habilitados por el CNPIC para enlazar con las capacidades que el Estado pone a su disposición. La entidad que se encarga de la gestión de incidentes de naturaleza cibernética en infraestructuras críticas en España es el CERTSI. En lo que respecta a la vertiente técnica, se plantean dos posibles puntos de partida para el proceso de gestión de incidentes: el primero, cuando el operador crítico identifica indicios de actividad maliciosa y solicita el apoyo al CERTSI para gestionar la situación. Para ello se ponen a su disposición dos vías complementarias: un número de teléfono y una dirección de correo electrónico ([email protected]). Cabe destacar que uno de los aspectos clave del CERTSI es la disponibilidad 24 horas los 365 del año, de modo que tanto el teléfono como la herramienta de recepción de alertas integrada en el correo electrónico son operados continuamente. De forma adicional, se pone a disposición de los operadores una clave PGP para que toda la información que remitan al CERTSI esté cifrada. especial PIC monográfico Entrevista El segundo caso se da cuando es el propio CERTSI el que identifica indicios de la existencia de un incidente en uno o varios operadores críticos. Esto sucede cuando, por ejemplo, alguno de los seis millones de eventos que gestiona diariamente el CERTSI encaja en el direccionamiento público de al menos uno de los operadores críticos a los que presta servicio. Tras transmitir la alerta, se elabora una notificación con los aspectos técnicos más relevantes y se contacta con el Punto de Contacto (PoC) técnico del operador para hacer un seguimiento del caso. En cualquiera de los casos, y una vez iniciada la gestión del incidente, hay varios aspectos en los que el CERTSI puede apoyar al operador. Uno de ellos es la identificación de una solución técnica para el incidente. Al respecto, hay que mencionar que los equipos humanos de los operadores críticos suelen disponer de unas altísimas capacidades técnicas. Por otra parte, el CERTSI ofrece mecanismos de coordinación entre los actores que pueden ayudar a la resolución del incidente. En este sentido, destaca la labor de los proveedores de acceso a Internet, cuyo papel es especialmente relevante en el bloqueo de ataques de denegación de servicio. Mención especial requiere la Oficina de Coordinación Cibernética (OCC) cuando es necesario investigar un incidente por su relación con alguna tipología delictiva o porque medie denuncia del operador afectado. La OCC, integrada orgánicamente en el CNPIC pero dependiente funcionalmente del propio secretario de Estado de Seguridad, es la encarga de la coordinación de las unidades tecnológicas de los cuerpos policiales con el CERTSI. Su operativa directa en el CERTSI permite que la OCC pueda aportar una visión global de todo el ciclo de vida del incidente, desde su notificación hasta la investigación y persecución de los delitos en caso de que sea necesario. De este modo, el CERSTI ejerce de ventanilla única de la Administración a través de la cual los operadores críticos pueden requerir desde asistencia técnica específica especial hasta la interposición de una denuncia relacionada con un presunto delito. ¿Cuántos ciberataques se produjeron el año pasado sobre las infraestructuras críticas españolas? ¿Cuántos de ellos fueron de carácter más grave? Durante el 2014 se han conocido y gestionado diferentes tipos de incidentes cibernéticos, que ha tenido como objetivo a ciudadanos y empresas, al ámbito académico, así como a infraestructuras críticas. Los ataques dirigidos contra infraestructuras críticas han sido en torno a 60, lo que no llega al 0,5 por ciento del total de los ciberataques. De las vulnerabilidades detectadas, se puede decir que las de criticidad media han sido en torno al 67 por ciento. En cuanto al tipo de incidentes cabe destacar en primer lugar el acceso no autorizado, en segundo el fraude, en tercer lugar los virus, troyanos, gusanos y spyware, en cuarto lugar la denegación de servicio y en quinto el robo de información. Cabe destacar el uso de las TIC, así como de Internet, como medio o instrumento para la comisión de acciones ilícitas, lo que demuestra que ha habido un aumento de la ciberdelincuencia. Respecto al estado y la evolución de la cibercriminalidad en nuestro país, se aprecia un aumento anual en el porcentaje de estos delitos. En 2011 fueron un 1,64 por ciento, en 2012 un 1,89 por ciento y en 2013 un 1,95 por ciento. En 2013 se esclareció un 5,1 por ciento de los 42.437 hechos conocidos, un porcentaje todavía muy bajo en comparación con el porcentaje de esclarecimientos de otros delitos. Además, se observó que en cada delito participan 2,33 personas, lo que indica que los autores no suelen serlo a título individual. En el ámbito del ciberterrorismo, cabe señalar un aumento significativo a escala internacional de la utilización de Internet por parte de grupos terroristas, tanto para comunicarse de forma segura como para difundir su mensaje. España está avanzando en los últimos años en cuestión de protección de infraestructuras críticas. No obstante, ¿en qué capítulos aún necesitan hacer más esfuerzos los diferentes actores que intervienen en este ámbito? Uno de los principales capítulos en los que poco a poco se avanza, pero aún se debe aunar una gran parte de los esfuerzos, es la ciberseguridad. Para hacer frente a los diferentes riesgos y amenazas que afectan al ciberespacio, es necesario potenciar las capacidades del Estado relativas a la prevención, detección, reacción, análisis, recuperación, respuesta, investigación y coordinación. Es necesario a su vez impulsar la seguridad y la resiliencia de las TIC en el sector privado, empleando instrumentos de cooperación público-privada. En este sentido, es fundamental la cooperación entre el sector público y privado basado en un mayor intercambio de información red seguridad febrero 2015 33 PIC monográfico Entrevista “Los operadores críticos deben fortalecer dos aspectos: la integralidad de la seguridad y el desarrollo de capacidades frente a los ciberincidentes" sobre vulnerabilidades y ciberamenazas. Este tipo de colaboración entre los sectores estratégicos y los servicios de ciberseguridad dará como fruto un reforzamiento de las capacidades de detección, prevención, respuesta y recuperación frente a los riesgos de seguridad del ciberespacio. ¿Contamos en España con capacidades suficientes para hacer frente a tan ingente cantidad de amenazas a la ciberseguridad nacional? Con la aprobación de la Estrategia de Ciberseguridad Nacional se diseñó una estructura orgánica para fortalecer el Sistema de Seguridad Nacional desde el ámbito de la ciberseguridad. Bajo la dirección estratégica y política del Consejo de Seguridad Nacional, destaca la creación de dos comités: por un lado, el Comité Especializado de Ciberseguridad, el cual tiene entre sus funciones reforzar las relaciones de coordinación, colaboración y cooperación entre las administraciones públicas con competencias en la materia, así como entre los sectores públicos y privados. Por otro lado, se encuentra el Comité Especializado de Situación, que gestionará las situaciones de crisis en el ámbito de la ciberseguridad. La ciberseguridad es hoy uno de los principales ejes de acción del Ministerio del Interior, por ello desde ese departamento se han fortalecido mecanismos y estructuras dedicados a este tema. Entre esas estructuras están el CERTSI y la OCC, y además se han fortalecido las capacidades humanas y tecnológicas de las unidades de las Fuerzas y Cuerpos de Seguridad del Estado dedicadas al ciberterrorismo y al ciberdelincuencia. El año 2013 fue importante para la organización y funcionamiento del CNPIC. El centro se reforzó con 40 34 red seguridad personas, todas ellas provenientes de las Fuerzas y Cuerpos de Seguridad del Estado, con unos perfiles técnicos que han fortalecido los diferentes ámbitos de actuación, principalmente el de la ciberseguridad. La plantilla está formada actualmente por unas 50 personas. Asimismo, el Sistema de Protección de Infraestructuras Críticas se va asentando, lo que genera cada vez más nuevas acciones y cometidos que debe gestionar el CNPIC. Si a esto se suma el liderazgo que tiene el CNPIC en el ámbito de la ciberseguridad y en la relación con los operadores de los sectores estratégicos de la Ley PIC, surge la necesidad de continuar reforzando los recursos personales y materiales para poder afrontar con las suficientes garantías nuevos retos en este ámbito. La seguridad de los sistemas de control industrial (SCADA) es una de las mayores preocupaciones actuales. ¿En qué aspectos deben mejorar estos sistemas? ¿Qué avances se están produciendo para incrementar su seguridad y, a la vez, garantizar el servicio? Efectivamente, la seguridad de los sistemas de control industrial es el nuevo frente de batalla abierto en el campo de la ciberseguridad. La peculiaridad de su modo de operación y la criticidad de los sistemas que dependen de ellos hacen necesario un replanteamiento completo de cómo se debe abordar la ciberseguridad por parte de los operadores. Estamos hablando de sectores estratégicos definidos por la Ley PIC, esto es, sectores como la Electricidad, el Transporte, el Agua, el Financiero, etcétera. Para empezar, debemos ser conscientes de que la ciberseguridad de estos sistemas industriales debe contemplar aspectos que la ciberseguridad de corte corporativo no tiene en cuenta. febrero 2015 Sirva como ejemplo que el comportamiento del tráfico de red es completamente distinto al de una red corporativa. Por otro lado, podemos encontrarnos con que es imposible detener ciertos sistemas para parchearlos y/o actualizarlos por el tipo de operaciones que llevan a cabo. Son peculiaridades que el administrador de ciberseguridad industrial debe conocer y gestionar. Por ello, hacen falta perfiles profesionales especializados en estas cuestiones, con capacitación para gestionar tanto el ciclo de ciberseguridad de los sistemas de control industrial como aquellos de alto nivel técnico. Es decir, que conozcan las implicaciones de manipular las configuraciones de los sistemas de los que son responsables. Respecto a esta cuestión, se observa un incremento de la oferta formativa en este ámbito. Esto va acompañado de una mayor concienciación por parte de los fabricantes en cuanto a que la ciberseguirdad debe estar implementada en estos sistemas desde su origen, es decir desde su diseño. Eso facilita la posterior labor de administrar el ciclo de la ciberseguridad, desde la disposición de medidas preventivas, seguido del mantenimiento, hasta la respuesta a incidentes en la que interviene un CERT especializado, como es el CERTSI. La misión del CNPIC es garantizar el servicio de las infraestructuras críticas. Para ello, la primera piedra es evitar las amenazas a la operativa en la medida en que lo permitan sus características. La redundancia de los sistemas tiene evidentemente un límite, y en nuestro caso lo que tratamos de garantizar es que aquellas infraestructuras que prestan servicios esenciales cuenten con las medidas de seguridad apropiadas, que abarquen tanto el ámbito físico como el lógico; y dentro del lógico la ciberseguridad de los sistemas de control industrial. especial PIC monográfico Artículo Respuesta a incidentes en infraestructuras críticas Abel González Responsable del CERTSI_ Rafael Pedrera Jefe de la Oficina de Coordinación Cibernética Un aspecto esencial en el ámbito de la protección de infraestructuras críticas es la respuesta ante incidentes que afectan a las tecnologías de la información que les dan soporte, y que pueden llegar a implicar paralizaciones en el servicio o riesgos para vidas humanas. Desde el punto de vista organizativo, estas infraestructuras están albergadas por operadores que también adquieren el carácter de críticos al ser responsables de su gestión. La entidad encargada de la gestión de incidentes en infraestructuras críticas en España es el CERT de Seguridad e Industria (CERTSI_). Este equipo de respuesta es la capacidad creada por el Instituto Nacional de Ciberseguridad (Incibe) y el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) y añade sus funciones sobre infraestructuras críticas a las ya existentes sobre empresas y ciudadanos. Sin embargo, habitualmente los CERT (Computer Emergency Response Team) no se encargan únicamente de la gestión de incidentes, sino que ofrecen otros servicios de utilidad para su público objetivo. En el caso del CERTSI_, el comienzo de actividades con infraestructuras críticas vino delimitado por la identificación de un catálogo inicial de servicios en el ámbito de la prevención, detección y respuesta ante incidentes, que se ha ido incrementando con la madurez del centro. En la actualidad, dicho catálogo incluye servicios como la realización de ciberejercicios con 36 red seguridad periodicidad anual o la compartición de información acerca de vulnerabilidades zero-day. Una de las ventajas que ofrece la comunidad de operadores críticos es su volumen abordable, lo que ha permitido que el acercamiento del CERTSI_ a dichas entidades se realice de forma individualizada a través de reuniones bilaterales. Estas reuniones permiten la presentación de las actividades del CERTSI_ y recoger la sensibilidad de cada operador, que será relevante en el caso de tener que afrontar la gestión de una crisis. Como cierre de la reunión se presenta un acuerdo de confidencialidad que ambas partes se encargan de suscribir. Dicho acuerdo tiene por objetivo aumentar la confianza entre ambas partes a través de un conjunto de cláusulas que blindan la información y actividades llevadas a cabo en el marco de su colaboración. A partir de la firma del acuerdo de confidencialidad se establecen puntos de contacto a distintos niveles (técnico, gestión e institucional) por parte de ambas entidades, que agilizarán y simplificarán la comunicación en la actividad diaria al disponer de un directorio que identifica con quién se debe contactar en cada caso. Capacidad técnica Desde el punto de vista organizativo, el servicio se presta por un equipo técnico ubicado en las instalaciones de Incibe en León y que incorpora febrero 2015 perfiles de la Oficina de Coordinación Cibernética (OCC) del CNPIC. De esta forma, a través de un equipo cohesionado, la colaboración entre ambas entidades se simplifica y se logra obtener el máximo rendimiento de los distintos perfiles implicados en las actividades del CERTSI_. Desde el punto de vista técnico, se plantean dos posibles puntos de partida para el proceso de gestión de incidentes. El primero, y más evidente, es aquel en el que el operador crítico identifica indicios de actividad maliciosa y solicita el apoyo al CERTSI_ para la gestión de la situación. Para el contacto se ponen a disposición dos vías complementarias: un teléfono y una dirección de correo electrónico ([email protected]). En este punto entra uno de los aspectos clave del CERTSI_, que consiste en la disponibilidad 24 horas, los siete días de la semana, durante los 365 días del año, ya que tanto el teléfono como la herramienta de recepción de alertas integrada en el correo electrónico tienen personal asignado de forma continuada. Asimismo, se pone a disposición una clave PGP para que toda la información que el operador remita al CERTSI_ se realice de forma cifrada. En el segundo punto de partida es el propio CERTSI_ quien, a través de su modelo de inteligencia, identifica indicios de la existencia de un incidente en uno o varios operadores críticos. especial PIC monográfico Artículo La comunicación entre las partes se registra de forma transparente en una herramienta de ‘ticketing’ que permite la gestión de incidentes Esto sucede cuando alguno de los seis millones de eventos correlados diariamente por el CERTSI_ encaja en el direccionamiento público de, al menos, uno de los operadores críticos a los que se presta servicio. Tras la recepción de la alerta, se elabora una notificación con los aspectos técnicos relevantes y se contacta con el PoC (Point of Contact) técnico del operador. Una vez iniciada la gestión del incidente, hay varios aspectos en los que el CERTSI_ trata de apoyar al operador. En primer lugar, a través de la identificación de una solución técnica al incidente. Este aspecto es especialmente complejo, ya que los equipos humanos de los operadores críticos tienen unas altísimas capacidades técnicas. Por ello, las exigencias del equipo técnico del CERTSI_ son máximas: requiriendo amplios conocimientos en sistemas, gestión de redes y tecnologías de seguridad; además de la experiencia que otorga la dedicación continua a la resolución de incidentes y la formación específica en una materia tan cambiante como la seguridad de la información. Coordinación Por otra parte, el CERTSI_ ofrece coordinación con los actores que puedan ayudar a la resolución del incidente. En este sentido, destaca la labor de los proveedores de acceso a Internet (ISP), cuyo papel es especialmente relevante en el bloqueo de ataques de denegación de servicio (DoS). Asimismo, la colaboración de otros equipos de respuesta ante incidentes, tanto a nivel nacional como internacional, ofrece nuevas posibilidades en los incidentes más complejos. En el caso de ataques a infraestructuras esen- especial ciales, la agilidad en la respuesta y la coordinación efectiva son elementos que establecen de forma determinante el éxito en una respuesta adecuada frente al ataque, evitando el impacto en la infraestructura. forma transparente para cada uno de ellos (que intercambian correos con el CERTSI_) en una herramienta de ticketing que permite funciones avanzadas para la gestión de incidentes de seguridad. Dicha herramienta se encarga de automatizar funciones como la obtención de información de una dirección IP (whois) o identificar si una dirección IP o URL ha estado implicada en otros incidentes registrados previamente. Asimismo, las comunicaciones realizadas a través del teléfono son volcadas por el equipo del CERTSI_ en la herramienta de ticketing. Esto permite disponer de una bitácora que documenta la situación en todo momento, facilitando la implicación de nuevos recursos y la generación de informes en el ámbito de la gestión. El servicio se presta por un equipo técnico ubicado en las instalaciones de Incibe en León y que incorpora perfiles de la Oficina de Coordinación Cibernética del CNPIC. Requiere mención especial el papel de la OCC en el momento que el incidente da el salto al ámbito policial. Esta unidad ubicada en el CNPIC se encarga de la coordinación de las Fuerzas y Cuerpos de Seguridad del Estado con el CERTSI_, aportando la visión global del ciclo de vida desde la notificación del incidente hasta su investigación tras la correspondiente denuncia. El proceso de comunicación entre todas las partes implicadas se registra de El incidente se ve finalmente cerrado cuando se logra la neutralización de las causas que lo generaron y el operador consigue recuperarse de forma completa. Momento en el que el operador crítico vuelve a su actividad habitual y el CERTSI_ evalúa el incidente gestionado en busca de cerrar el círculo con la extracción de conocimiento que permita prevenir incidentes análogos en otros operadores críticos. red seguridad febrero 2015 37 PIC monográfico Artículo CCN-CERT, primera línea de defensa frente a los ciberataques Centro Criptológico nacional CCN-CERT En el año 2014, el CCN-CERT, del Centro Criptológico Nacional, gestionó un total de 13.005 incidentes detectados en las administraciones públicas (consideradas como infraestructura crítica) y en empresas y organizaciones de interés estratégico para el país. Esta cifra representa un incremento del 78 por ciento con respecto al año 2013 y de más del 150 por ciento en relación con 2012. De estos incidentes de 2014, el 11 por ciento fueron catalogados por el equipo de expertos del CERT Gubernamental Nacional con un nivel de riesgo entre muy alto y crítico; es decir, se tiene constancia de que el ataque afectó a los sistemas de la organización y a su infor- mación sensible. Estas cifras nos indican que los sistemas y comunicaciones más críticas de nuestro país reciben una media de cuatro ataques diarios. Unos ataques que se materializan de muy diversas formas, pero que tienen en los troyanos, la explotación de vulnerabilidades, la inyección SQL, los gusanos, el sypware y la inyección de fichero de forma remota como los vectores de ataque más recurrentes Aunque, en realidad, los atacantes poseen capacidades técnicas significativas que permiten llegar a tener un control absoluto del ordenador de la víctima, sin que los productos de seguridad tradicionales sean capaces de detectarlos. Así, emplean numerosas Figura 1: Evolución de los incidentes gestionados por el CCN-CERT. 38 red seguridad febrero 2015 formas de ataque hasta conseguir que el objetivo “abra la puerta a la información”. De hecho, en numerosas ocasiones nos encontramos ante campañas dirigidas, las denominadas APT, que persiguen un objetivo concreto, realizada por un atacante con la intención y la capacitación técnica que le permiten ganar acceso a la información sensible almacenada. Son campañas sigilosas, que duran en el tiempo, que mutan en función de las barreras que se encuentren y que combinan varias técnicas de entrada. Objetivos En los últimos años hemos comprobado cómo los ataques tienen como principal objetivo el robo de información de alto valor: propiedad intelectual, datos referentes a la seguridad nacional, secretos comerciales, códigos fuente, información sobre I+D, información, procedimientos de seguridad de una central nuclear… Esta información puede ser para el propio atacante o para un tercero al que le interesa, por lo que en numerosas ocasiones se subasta al mejor postor. El CCN-CERT ha constatado un incremento en la intensidad y sofisticación de dichos ataques, tanto a las administraciones públicas como a empresas y organizaciones de interés estratégico para el país, fundamentalmente de los sectores energético, de defensa, aeroespacial, financiero, farmacéutico, químico, transporte, hídrico y nuclear. especial PIC monográfico Artículo El CCN-CERT ha observado cómo las amenazas se centran también en individuos, incluidos altos directivos Además, el CCN-CERT viene observando en los últimos meses cómo las amenazas, que originariamente se dirigían a empresas e instituciones públicas, se centran en individuos, incluyendo altos directivos de compañías y de organismos públicos, personajes notorios o responsables políticos. Y si no se consigue acceder directamente al objetivo, se ataca a los elementos más débiles de la cadena, como podrían ser los proveedores, clientes o contratistas o cualquier sujeto que pueda estar en contacto con el blanco. Campañas Este tipo de ataque dirigido comenzó a observarse a principios de esta década. De hecho, la primera gran campaña conocida fue la denominada “Operación Aurora”1, que tuvo sus ramificaciones en España. Esta operación fue el preludio de otras tantas, como la hecha pública en 2013 a raíz del informe Mandiant2 o la campaña “Octubre Rojo”, que se infiltró con éxito en las redes de comunicaciones diplomáticas, gubernamentales, de investigación científica y compañías petroquímicas de alrededor de 40 países (incluido el nuestro), o ya en 2014, Dragonfly. Medidas La dificultad de enfrentarse a estas amenazas estriba en que, mientras que las capacidades de ataques van lideradas por el cumplimiento de objetivos, lo que les hace ser mucho más agresivos e imaginativos, las capacidades defensivas van lideradas por el cumplimiento normativo y por las limitaciones de personal y recursos, lo que hace que sus capacidades de respuesta sean inferiores. Haciendo una comparativa, especial mientras la infección y colonización de nuestras administraciones públicas y empresas de interés crítico y estratégico por parte del atacante se puede producir incluso en días, la detección y limpieza de este ataque puede llevar meses o incluso años. Los esfuerzos se deben centrar en incrementar las capacidades de prevención, detección, análisis, respuesta y coordinación ante las ciberamenazas y, más en concreto: Í Trabajar como si se estuviera comprometido: suponer que los sistemas están ya comprometidos o lo estarán pronto y, por lo tanto, proteger los activos fundamentales en un medio comprometido. Í Monitorizar: vigilancia constante mediante herramientas automatizadas tipo SIEM para la reunión y correlación centralizadas de registros. Í Centralizar la navegación de la organización en uno o varios proxies para poder monitorizar los logs. Í Concienciación de usuarios: el eslabón más débil de la cadena. Los usuarios internos deben de ser nuestros aliados. Í Búsqueda constante de comportamientos anómalos en la infraestructura TIC ayudándose en esta tarea de los indicadores de compromiso (IOC). Defensa El CCN-CERT tiene responsabilidad en ciberataques sobre sistemas clasificados, así como de las Administraciones Públicas y de empresas y organizaciones de interés estratégico para el país. Por ello, su labor desde el año 2006, en el que se constituyó en el seno del Centro Criptológico Nacional, ha sido intentar reducir los riesgos y las amenazas provenientes del ciberespacio, potenciando las acciones, no sólo defensivas, sino primordialmente preventivas, correctivas y de contención. A través de su equipo de expertos, el CCN-CERT ofrece todos sus servicios, tanto a las Administraciones Públicas como a las empresas de interés estratégico para el país (ya ha llegado a acuerdos con más de cien compañías). El Servicio de Alerta Temprana, tanto en Internet como en la red SARA, en la que están incluidos más de 70 organismos públicos y empresas; el desarrollo de diferentes herramientas como CARMEN (detección de APT), LUCIA (Listado de Coordinación de Incidentes y Amenazas), INES (Informe Nacional del Estado de Seguridad) o MARTA (Motor de Análisis Remoto de Troyanos Avanzados); las más de 220 Guías CCNSTIC o los Cursos de Seguridad (online y presenciales) son sus principales aliados en esta labor. Todo ello, unido a una apuesta decidida por la colaboración público-privada, conscientes de que ante los enormes desafíos a los que nos enfrentamos, la puesta en común de conocimientos y la colaboración de todos los agentes que luchan diariamente contra los ciberataques es fundamental para defender y mantener el patrimonio tecnológico español, sus servcios y sus infraestructuras frente a los ciberataques. Referencias: 1 El ataque denominado “Aurora” se detectó a principios de 2010 (aunque estaba en marcha desde muchos meses atrás) contra diversas empresas, destacando entre ellas a Google. Estaba destinado al robo de información sensible (propiedad intelectual, estrategias de actuación…) y fue atribuido por algunos analistas –entre ellos el propio buscador– al gobierno Chino. 2 Informe publicado por la consultora estadouni- dense Mandiant, el 20 de febrero de 2013, centrado en una de las supuestas unidades del ejército chino encargadas de la cíberinteligencia a nivel mundial: la UNIT 61398. Según dicho informe, el Ejército Popular de Liberación chino estaba detrás de multitud de ataques que diversas compañías, tanto estadounidenses como de otras nacionalidades, habían venido sufriendo en los últimos años. http://intelreport.mandiant.com/Mandiant_APT1_ Report.pdf red seguridad febrero 2015 39 seguridad en entornos industriales opinión La industrialización de la seguridad de entornos industriales Loïc Guézo Security Evangelist para el Sur de Europa de Trend Micro Predecir amenazas es uno de los ejercicios que más gusta a los gurús del mundo de la seguridad informática. Trend Micro no es una excepción y ha hecho lo propio para 2015. Entre los temas tratados, el Internet de las Cosas (IoT) merece especial atención: según los investigadores de la compañía, los objetos conectados no serán per se el blanco de los ataques, aunque sí lo serán los datos procesados por estos. ¿Deberíamos preocuparnos? La verdad es que todo depende de la naturaleza del objeto conectado. Una pulsera de fitness parece tener poco interés; sin embargo, un contador eléctrico inteligente es un puente potencial hacia la infraestructura de distribución eléctrica de un proveedor de energía. IoT está ligado a las infraestructuras industriales y éstas son codiciadas por hackers, cibercriminales de todo tipo e incluso gobiernos. El incidente de Stuxnet, que dejó mal paradas a las centrifugadoras iraníes de enriquecimiento de uranio en 2010, sigue siendo hoy un ejemplo de esta infraestructura industrial vulnerable. Desde entonces han surgido otros casos: los paneles de información de las carreteras de Turquía que 40 red seguridad mostraban mensajes de error de Windows después de una intrusión, las instalaciones de tratamiento de aguas residuales donde se detectaron y mitigaron varios casos de piratería, especialmente en Japón, etc. El investigador de seguridad Kyle Wilhoit cita otros ejemplos en un informe de 2013. Una lista que, sin embargo no es exhaustiva, según su autor, ya que muchos casos no se hacen públicos, a pesar de no estar clasificados como "secretos” por los gobiernos. Estos ejemplos no bastan para dar una idea del volumen febrero 2015 de abusos cometidos en entornos industriales, sin embargo, algunos estudios arrojan algo de luz sobre el tema. Según una encuesta del Instituto SANS realizada en 2014 entre profesionales de la seguridad, el 40 por ciento de los participantes identificó o sospechó una intrusión de seguridad en su entorno industrial, frente al 28 por ciento de 2013. Esto refleja la creciente dificultad de garantizar los sistemas de control industrial, sobre todo porque según la mayoría de los encuestados los medios utili- seguridad en entornos industriales zados para proteger estos sistemas no se han securizado recientemente. El informe del instituto SANS recoge también que el 58 por ciento de los encuestados confía en sus equipos de seguridad para identificar amenazas, lo que implica la monitorización continua de los eventos de seguridad, pero también su correlación. Una ardua tarea tanto para un equipo de seguridad, como para expertos, y a menudo sin contar con las herramientas adecuadas. Sin embargo, éstas existen, al igual que la información proporcionada por el CERT o por los proveedores de soluciones mediante sus investigaciones de las amenazas de la infraestructura. Los empresarios forman a sus equipos de seguridad para aprovechar la información limitada de la que disponen. Para ir más lejos, una de las particularidades de los entornos industriales, es que en su mayoría están aislados, aspecto que pesa sobre la capacidad de las herramientas de seguridad tradicionales, al presentar problemas para actualizar las firmas de anti- malware. Para superar esta limitación, es mejor optar por una solución independiente que detecte intrusiones y controle la ejecución de algunas aplicaciones mediante listas blancas. Este tipo herramientas, que encaja muy bien en el entorno de seguridad industrial, también deben ser actualizadas. Sin conexión a Internet, las actualizaciones se deben hacer físicamente, pero de la forma más simple posible. El método correcto es usar un USB que aloje el malware y las firmas. Esta llave USB, que se actualiza a través de un sistema conectado a Internet, podrá posteriormente ser introducida en un entorno industrial aislado, para el análisis antimalware. De esta forma aprovechamos el interfaz opinión hombre-máquina. Observamos, además, los entornos industriales abiertos al exterior, a través de interfaces web que permiten el control remoto o el almacenamiento de determinados datos en la nube. Estas interfaces se deben asegurar a través de plataformas de monitorización y alertas que identifiquen intrusiones relacionadas con amenazas dirigidas de tipo APT. Finalmente, para contrarrestar los abusos anunciados en entornos industriales, se impone la industrialización de la seguridad. La idea es atractiva, ya que se basa en conceptos y procesos familiares en un entorno industrial: la automatización (detección de amenazas), definición del procesos (para la gestión de amenazas), repetición y durabilidad (de los procesos), el control (del entorno de seguridad) o la formación (de los equipos de seguridad). Muchas pistas para responder a los cibercriminales que evaluarán la industrialización de los ataques en un futuro. Si hoy en día los ataques son "artesanales" y ya de por sí son peligrosos, ¿cómo será en el futuro cuando el atacante tenga eficientes kits para crear APTs a medida, bases de datos de vulnerabilidades en los sistemas el control y la posibilidad de personalizar los ataques usando sistemas expertos? Para contrarrestar los abusos anunciados en entornos industriales, se impone la industrialización de la seguridad. red seguridad febrero 2015 41 protagonista segurtic entrevista Joan Taulé Director general de Symantec Iberia Symantec se encuentra actualmente en pleno proceso de transformación. Hace unas semanas la compañía anunció su intención de dividirse en dos empresas: Symantec, que se seguirá dedicando al negocio de la seguridad tecnológica; y Veritas, que centrará su actividad en la gestión de la información. El fabricante se ha dado de plazo todo lo que queda de año para completar esta nueva estrategia y empezar a operar por separado. Hablamos con su director en Iberia sobre cómo afectarán todos estos cambios a la filial, cuáles serán las principales prioridades de la empresa a lo largo del ejercicio y qué soluciones están aportando en el ámbito de la ciberseguridad, entre otras cuestiones destacadas. 42 red seguridad "La seguridad como servicio será una de nuestras grandes prioridades para este año" Tx: David Marchal. Ft: Symantec y RED SEGURIDAD Recientemente Symantec ha dado a conocer su intención de dividirse en dos compañías: una enfocada a la seguridad, Symantec, y otra a la gestión de la información, Veritas. ¿En qué punto se encuentra ahora mismo el proceso? Esta separación marca la culminación de una nueva revisión de negocio impulsada por parte de la dirección de la compañía. A medida que la industria de TI evoluciona, los negocios de seguridad y gestión de la información se enfrentan cada uno a oportunidades y desafíos competitivos únicos y diferentes. Por eso, para seguir liderando ambos, se requiere de estrategias, inversiones e innovaciones específicas. Esta separación permitirá a cada empresa enfocarse en sus propias oportunidades de crecimiento y también reducir la complejidad operativa. Esperamos hacer efectiva esta decisión antes de finales de diciembre. Para ello estamos siguiendo un febrero 2015 enfoque muy metodológico en el que empezamos por definir la estrategia de ambas compañías por separado. Ahora estamos desarrollando un modelo de cobertura a todos los niveles que está muy alineado con los modelos financieros de estas dos nuevas empresas. Finalmente, determinaremos cuáles serán los roles y las habilidades que requeriremos de los empleados para llevar a buen puerto esta nueva estrategia. Mientras tanto, la nueva firma de gestión de la información, Veritas, operará bajo el paraguas de Symantec hasta finales de diciembre. ¿Cómo va a condicionar esto a las prioridades de la filial ibérica para este ejercicio? Por lo que respecta a la estrategia con los clientes, hay un plan de transición de cobertura comercial muy minucioso que iremos ejecutando a medida que hayamos hecho la separación de personas entre las dos compañías. Paralelamente, queremos consolidar nuestra presencia en grandes cuentas, en especial, en protagonista segurtic sectores en los que tenemos mucha implantación, como el público y el financiero; así como expandirnos en el ámbito industrial, y también en la pequeña y mediana empresa, donde en 2014 conseguimos crecimientos superiores al 30 por ciento. En cuanto al lanzamiento de productos, es independiente de la transición. Hay un roadmap muy concreto en soluciones de gestión de la información y de seguridad. De hecho, tenemos departamentos, como las áreas de desarrollo, en los que la separación de funciones ya era evidente desde hace mucho tiempo, con equipos específicos para cada uno de estos dos ámbitos de negocio. Finalmente, también vamos a hacer mucho foco en cómo comercializamos nuestras soluciones. En este sentido, la seguridad como servicio será una de nuestras grandes prioridades para este año. Ya disponemos de una amplia gama de tecnología como servicio que pensamos ampliar a lo largo de 2015. Sabemos que es la respuesta a una demanda real por parte de los clientes, que exigen modelos flexibles de pago por uso. ¿Cuáles son las principales amenazas a las que se deben enfrentar los departamentos de TI de las empresas y organismos públicos en el campo de la ciberseguridad? Sin duda, el Goya a las principales amenazas se lo llevarían los ATP. Los ataques dirigidos están creciendo exponencialmente, los criminales son más despiadados que nunca, y la ecuación necesaria para protegerse contra estas amenazas se ha vuelto más compleja. Si bien la promesa de soluciones basadas en la seguridad en la red, como la respuesta a las amenazas avanzadas, gana cada vez más atención, la realidad es que los departamentos de TI tienen que lidiar con cantidades masivas de incidentes, demasiados falsos positivos y una larga lista de procesos manuales que deben abordar sin los recursos ni habilidades necesarias para ganar a los cibercriminales, dejando a las organizaciones expuestas y vulnerables a los incidentes. Es más, el último informe ISTR de Symantec de 2013 desveló que los ataques dirigidos crecieron un 91 por ciento y duraron un promedio de tres veces más en comparación con 2012. Los asistentes personales y los profesionales de las relaciones públicas eran dos de las profesiones más comunes como objetivo de los ciberdelincuentes, que los usaron como trampolín hacia otro tipo de objetivos como celebridades o ejecutivos. ¿Cuáles son las soluciones que propone Symantec para hacer frente a estas ciberamenazas? Hace unos meses presentamos un enfoque completamente nuevo a la protección avanzada contra amenazas. Se trata de una completa hoja de ruta de soluciones integradas que demuestra el poder de innovación de esta compañía y que permite ayudar a los clientes a resolver sus problemas más complejos. Este enfoque esta alimentado básicamente por dos entrevista responder más rápido a los ataques, proporcionar mejor visión y conocimiento de la propia amenaza en sí, reducir el gasto en materia de seguridad y, en cierta forma, conseguir extender el equipo de seguridad del propio cliente. ¿Cómo complementa a estas soluciones el reciente acuerdo que han firmado con Narus, empresa especializada en análisis de big data en el campo de la ciberseguridad? Sin duda, es una noticia muy positiva. El acuerdo consiste en la contratación de 65 ingenieros de Narus, y la idea es que Symantec se apoye en el talento y la experiencia de esta empresa en el análisis del big data para desarrollar nuestra nueva plataforma de Unified Security. Así, con el conocimiento de los ingenieros de Narus conseguiremos sacarle mucho más partido a "Nuestra división de IoT trabaja con los principales fabricantes de estos dispositivos para incluir la seguridad en el origen, esa es la gran batalla" nuevas ofertas: Symantec Managed Security Services-ATP, como un añadido a la oferta de servicios de seguridad gestionados ya existente; y Symantec ATP, que permite correlacionar alertas e inteligencia a través de una gama de tecnologías de seguridad en el endpoint, el gateway y en la red, para ofrecer una prevención frente ataques más integral. La metodología holística de Symantec permite capturar los beneficios obtenidos cuando las tecnologías de seguridad trabajan juntas y transformar la compleja lucha contra las amenazas avanzadas en una función de fácil gestión que ofrece una protección más sólida y da más valor a los negocios. A través de estas soluciones ATP se permite detectar ataques avanzados de forma más rápida, priorizar únicamente las amenazas críticas, ayudar a los clientes a toda esa información. Aparte, nos permitirá crear soluciones que permitan prever, detectar y remediar ataques con mucha más precisión y velocidad. Uno de los nuevos focos de interés de los hackers son los dispositivos móviles. ¿De qué forma se puede luchar contra estas nuevas amenazas cada vez más extendidas? El mayor problema es que los usuarios móviles no están concienciados de la importancia de proteger sus dispositivos, o no tanto como con el PC de sobremesa. En 2013 un informe de Symantec reveló que el 57 por ciento de los adultos no sabían que existían soluciones de seguridad para dispositivos móviles. Eso pone de manifiesto la falta de conciencia del peligro en ese tipo de entornos. Hoy en día lo vemos cada vez más. Los empleados confían mucho más en estos dispositivos red seguridad febrero 2015 43 protagonista segurtic entrevista inteligentes y acceden con ellos a sus datos corporativos. El problema es que la empresa queda expuesta. La solución a todo esto es la concienciación. Claro que también hay herramientas, como las de Symantec, con tecnología muy específica para este entorno móvil, que permite, por un parte, asegurar la protección frente a amenazas y, por otra, la protección frente al acceso no autorizado de los datos. En los últimos meses se está avanzando bastante en el desarrollo de Internet de las Cosas (IoT) y los productos “wereables”. ¿Pueden convertirse estos dispositivos en el centro de nuevos ciberataques? Hace poco lanzamos un informe que se llama Predicción de Seguridad de Symantec para 2015, en el que decimos que Internet de las Cosas seguirá siendo el "Internet de las vulnerabilidades". Con IoT se generan grandes cantidades de datos y continuaremos viendo ejemplos de cómo los ciberdelincuentes pueden explotar las vulnerabilidades de software en los dispositivos conectados, incluyendo la tecnología "wereable" o los televisores y coches inteligentes. A pesar de ello la previsión que hacemos nosotros es que ahora mismo no veremos ataques a gran escala en este tipo de entornos, sino que serán mucho más aislados. Aun así, contamos con una división específica de IoT que está trabajando con los principales fabricantes de estos dispositivos para incluir la seguridad en el origen. Esa precisamente es la gran batalla. Así, en la medida en que esos fabricantes incluyan la seguridad de raíz en el diseño, menor va a ser el reto de cara al futuro. En cambio, si hay que implementar después un añadido al dispositivo, será más complicado y el riesgo aumentará. Recientemente han presentado las cifras sobre el mercado negro de información, en el que los criminales compran y vender servicios y datos. Por ejemplo, mil cuentas de correo electrónico valen entre 0,5 y 10 dólares. En un mundo globalizado, como en el que estamos, ¿cómo se puede hacer frente a estas prácticas que se han extendido últimamente y que ponen al 44 red seguridad alcance de cualquiera la posibilidad de cometer un delito informático? Yo mencionaría tres ejes fundamentales de actuación. El primero es la responsabilidad de la empresa y el usuario. Una organización que recoja datos de organizaciones o ciudadanos se debe asegurar de que toda esa información está protegida. Y también es importante el papel del usuario, que tiene que ser consciente de que cada vez que comparte datos propios y confidenciales ha de estar muy seguro y convencido de con quién lo hace. Después, tiene que haber una Joan Taulé, en los premios de RED SEGURIDAD. parte de regulación. Entendemos que es necesario un conjunto común de formato 24x7, cada vez más sofistireglas que nos permitan lidiar con cadas, con mayor impacto mediático esas técnicas. Tanto en Europa como y gran visibilidad en los comités de en Estados Unidos esa legislación ya dirección de las compañías. existe y queda muy bien definido y Actualmente, en este nuevo entorno acotado lo que está permitido y lo se les valora por ser capaces de que no. Pero como estamos en un construir departamentos de mundo globalizado, esos mercados Seguridad mucho más modernos negros seguirán existiendo en sitios con los que puedan pasar del modo donde no están regulados. Hay que de protección de su infraestructura y ser conscientes de que esto no va eventual reacción al incidente, al a cambiar de la noche a la mañana. modo predicción 24x7. Eso es un Tenemos que ir creciendo y poner cambio muy importante. Ahora se cada vez más países bajo el amparo valora más al CISO que sea capaz de una legislación común que permide cambiar la mentalidad de un ta reducir a la mínima expresión esos departamento de Seguridad que paraísos cibernéticos. está más preocupado por la consPor último, es importante obligar trucción de grandes murallas para a las compañías y gobiernos a que frenar a los intrusos, por profesionacompartan información para que se les que sepan convivir en entornos fomente la cooperación y el análisis permeables, y que centren sus de esos datos entre todos los actoesfuerzos en la preparación, la prores involucrados. tección, la detección, la respuesta y la recuperación frente a un incidente. Por último, ¿cómo ve el papel del La cuestión ya no es si se es atacaCISO en todo este contexto y en el do, pues se da por descontado, sino entorno de la ciberseguridad? más bien cuándo y de qué forma se El CISO es una figura de especial puede mitigar el impacto. El CISO relevancia, tanto en la empresa prique sea capaz de ver esto conseguivada como pública. Tiene que dar rá una mayor relevancia dentro de su respuesta a amenazas continuas, en empresa. febrero 2015 Impulsores de la Seguridad Integral en España SEGUIMOS AVANZANDO + P o r q ue la Seguridad iNtegral es una necesida d 2015 Distribución conjunta Estrategia conjunta Sinergias conjuntas 35 Años de experiencia y conocimiento A tu disposición actualidad tecnológica noticias Predicciones de ciberseguridad: IDC se adelanta al futuro El equipo de analistas de International Data Corporation (IDC) ha publicado una serie de predicciones con el objetivo de ayudar a los responsables de tecnología a realizar una planificación estratégica de seguridad a corto y medio plazo. De cara a 2016, IDC prevé que el 25 por ciento de las grandes empresas tome sus decisiones sobre gastos relacionados con la seguridad en base a analíticas de riesgo. Además, la autenticación multifactorial será el método de control de acceso utilizado por el 20 por ciento de las organizaciones para las cuentas confidenciales o susceptibles. Para 2017, IDC pronostica que el 75 por ciento de las compañías más importantes recibirá información personalizada sobre inteligencia de amenazas a su medida; y también que el 90 por ciento de los dispositivos móviles de una empresa utilizará algún tipo de protección de hardware para asegurar su integridad. Por lo que respecta a 2018, según el escenario dibujado por IDC, el 80 por ciento de los datos privados alojados en la nube estará cifrado. También ese año, el ámbito empresarial invertirá un 33 por ciento de su presupuesto de seguridad en SaaS y servicios de alojamiento; el 25 por ciento del potencial de seguridad adquirido se incorporará a las app; el 40 por ciento de las webs y aplicaciones móviles de las compañías se escaneará de manera regular; y el 75 por ciento de los directores y responsables de seguridad reportará directamente al consejero delegado de la compañía. Acuerdo entre EEUU y Reino Unido frente a los ciberataques Durante este año, EEUU y Reino Unido llevarán a cabo ejercicios conjuntos para combatir a los cibercriminales. Así lo anunciaron en Washington el presidente estadounidense, Barak Obama, y el primer ministro británico, David Cameron. Según el primero, la cooperación en ciberseguridad entre ambos países persigue “proteger la infraestructura más crítica: nuestros negocios y la privacidad de ambos pueblos”. Por su parte, Cameron, en declaraciones a la BBC, precisó que se crearán cibercélulas mixtas compuestas por personal del FBI y el MI5. Asimismo, instó a las grandes compañías de Internet, como Facebook o Twitter, a intensificar su colaboración con los servicios de inteligencia con el objetivo de rastrear las comunicaciones encriptadas de los sospechosos de terrorismo. Aunque la cantidad económica que se destinará a esta alianza no ha sido 46 red seguridad precisada, Obama ha propuesto dedicar una partida de 14.000 millones de dólares para fortalecer la ciberseguridad en EEUU. Desde la Casa Blanca argumentan que “las amenazas cibernéticas dirigidas al sector privado, las infraestructuras críticas y el Gobierno demuestran que ningún sector, red o sistema es inmune a la infiltración de quienes tratan de robar secretos y propiedades comerciales o gubernamentales, o perpetrar actividades maliciosas y perjudiciales”. Entre otras acciones, la política estadounidense en materia de ciberseguridad contempla destinar 227 millones de dólares a la financiación de un campus en el que puedan trabajar los sectores público y privado. Estas cantidades se engloban en el presupuesto global de 3,99 billones de dólares que EEUU pretende asignar al ejercicio fiscal 2016. marzo 2007 ENISA publica su informe 'Panorama de las amenazas 2014' ENISA ha publicado en enero su informe Panorama de amenazas 2014, en el que la agencia europea pone de manifiesto que el número de ataques masivos contra funciones de seguridad vitales de Internet demuestra la gran eficacia con la que los cibercriminales explotan las brechas existentes tanto en empresas como en gobiernos. La “dejadez” en materia de ciberseguridad es la causa principal de las intrusiones en la mitad de los casos. Durante 2014 se observaron cambios importantes en las amenazas, como una creciente complejidad de los ataques o el éxito de éstos a funciones de seguridad vitales en Internet. Pero, afortunadamente, también se llevaron a cabo exitosas operaciones internacionales de carácter público-privado. En cuanto a las tecnologías emergentes que tendrán un impacto en el futuro, ENISA señala los sistemas ciberfísicos, la informática móvil y la computación en la nube, la infraestructura de confianza, los datos masivos y el Internet de las Cosas. Al margen de este documento, ENISA ha publicado la guía Información procesable para respuestas a incidentes de seguridad. La misma tiene como fin describir los retos a los que se enfrentan los CERT nacionales, así como otras organizaciones de seguridad, cuando intentan generar soluciones prácticas a partir de grandes cantidades de datos. actualidad tecnológica BITS CLARA, nueva herramienta para el cumplimiento del Esquema Nacional de Seguridad El CCN-CERT del Centro Criptológico Nacional (CCN) cuenta con una nueva herramienta de seguridad, CLARA, destinada a facilitar a todas las administraciones públicas la ayuda necesaria para cumplir con el Esquema Nacional de Seguridad (ENS). Se trata de un proyecto desarrollado por la compañía Sidertia que, de momento, sólo es funcional en sistemas Windows Vista, 2008, 2008 R2 y 7, si bien ya se está trabajando en una nueva versión para Windows 8, 8.1, Server 2012 y Server 2012 R2. La aplicación se compone de dos elementos, en función de si se utiliza como cliente o agente, y genera tres tipos de informe HTML: uno de red, otro ejecutivo y, por último, uno de carácter técnico que recoge el resultado de cada uno de los parámetros evaluados para el cumplimiento del ENS. Precisamente en relación con el Esquema, el CCN-CERT anunció la finalización, el pasado 9 de febrero, del plazo para remitir comentarios al proyecto de modificación del Real Decreto 3/2010, por el que se regula el ENS en el ámbito de la administración electrónica. La iniciativa es el resultado de un trabajo coordinado por el Ministerio de Hacienda y Administraciones Públicas en colaboración con el CCN. El DNI electrónico 3.0 incorpora NFC y nuevas medidas de seguridad Jorge Fernández Díaz, ministro del Interior, e Ignacio Cosidó, director general de la Policía, presentaron en Lleida, en enero, el DNI electrónico 3.0, cuyo primer titular ha sido la nadadora olímpica Mireia Belmonte. El nuevo documento, que será implantado progresivamente en el resto del país, incorpora un chip certificado como dispositivo seguro, con mayor capacidad y velocidad, que permite la transmisión de datos a smartphones y tablets vía NFC y radiofrecuencia. Además, incluye nuevas medidas de seguridad y dota a la firma electrónica de la misma validez jurídica que la manuscrita. Los usos más inmediatos de la plataforma de servicios asociados al DNIe 3.0 se dirigen a desarrollar aplicaciones para móviles, con el concepto de autorizaciones. Esto servirá para, por ejemplo, autorizar a terceros a recoger un envío postal o medicamentos de la farmacia. Durante el acto se presentó también el nuevo Pasaporte 3.0, que ya se está emitiendo en toda España y que igualmente está dotado de un chip de mayor capacidad y velocidad; un nuevo papel de seguridad, componentes holográficos renovados; tactocel y otras medidas de seguridad invisibles. La seguridad tecnológica llega a las aulas a través de Red.es e INTEF Gracias al acuerdo suscrito entre la entidad pública Red.es y el Instituto Nacional de Tecnologías Educativas y de Formación del Profesorado (INTEF), los ministerios de Industria, Energía y Turismo y de Educación, Cultura y Deportes desarrollarán acciones conjuntas de formación en materia de seguridad tecnológica para profesores y enfocadas a los menores de edad. En el caso de Red.es, entre las actuaciones que desplegará se encuentran la generación de materiales didácticos sobre seguridad TIC en formatos MOOC (Cursos en Línea Masivos y Abiertos), la prestación de servicios de soporte y dinamización necesarios para el correcto desarrollo de la acción formativa y el etiquetado de los contenidos generados según el perfil de aplicación LOM-ES y empaquetado según el estándar SCORM 2004. Por su parte, INTEF se encargará de difundir los MOOC en Twitter, Facebook y Educalab; distribuir los materiales formativos entre los docentes a través de sus sitios web, comunidades educativas online y de la red de Recursos Educativos en Abierto; crear y dinamizar comunidades de aprendizaje en torno a los materiales formativos desarrollados en la red social integrada por profesores del instituto, y trasladar los contenidos formativos en seguridad TIC a las consejerías de Educación y organismos de referencia de las comunidades autónomas. noticias La plataforma NIS contribuye a reforzar la ciberseguridad en la Unión Europea Durante su ponencia en el encuentro Infoday Horizonte 2020 Espacio celebrado en Madrid, Raúl Riesco, gerente de I+D+i y Promoción del Talento de Incibe, hizo especial hincapié en la plataforma NIS (Network and Information Security), de la que el Instituto Nacional de Ciberseguridad forma parte. El objetivo de esta iniciativa de colaboración público-privada de la Comisión Europea es mejorar el nivel actual de seguridad de los diferentes estados miembros, potenciando tanto el intercambio de información entre ellos como la capacidad de respuesta a incidentes. De esta forma, se obtendrán estrategias que compondrán la Agenda Estratégica de Investigación en Ciberseguridad (SRA, por sus siglas en inglés), que influirá en programas de financiación de I+D-i como Horizonte 2020. Igualmente, la plataforma NIS contribuirá a mejorar la gestión de riesgos de ciberseguridad, fomentar la capacidad de resistencia de las redes y sistemas de información y aplicar las medidas establecidas en toda la Unión Europea. Criptored ha cumplido 15 años La red temática Criptored despidió el año pasado festejando su decimoquinto aniversario. En la actualidad, cuenta con cerca de un millar de miembros de universidades y empresas del sector de la seguridad TIC de 23 países y su página web registra miles de visitas y visualizaciones diariamente. De las numerosas iniciativas de Criptored cabe destacar el Proyecto Thoth de píldoras formativas o el curso online de Seguridad Informática y Ciberdefensa, impartido a más de 200 alumnos, y el bautizado como Crypt4you, en el que han tomado parte cerca de medio millón de estudiantes. red seguridad marzo 2007 47 actualidad tecnológica noticias El CCI destaca el crecimiento de la ciberseguridad en entornos industriales Haciendo un balance de los últimos dos años del Centro de Ciberseguridad Industrial (CCI), Samuel Linares, exdirector, y Susana Asensio, responsable de Proyecto del Centro, inauguraron la jornada “La Voz de la Industria”, que organizó la entidad el pasado 11 de febrero, en Madrid. Ambos ponentes confirmaron el avance de la ciberseguridad en este ámbito, lo que ha derivado en una comunidad fuerte, referente a nivel internacional y con un número creciente de organizaciones y profesionales que se están incorporando a este nuevo campo. José Valiente, nuevo director del CCI, e Ignacio Paredes, presentaron la herramienta de madurez de ciberseguridad. Esta solución puede adaptarse a las características de cada organización, cuya evaluación se realiza conforme a criterios tales como el grado de automatización, el tipo de infraestructuras y el sector al que pertenece. El evento también contó con la participación de Javier Urtiaga, socio de PwC, que presentó la necesidad de identificar métricas e indicadores significativos como paso previo para medir la madurez de las organizaciones. Por esta razón, PwC propuso un modelo basado en tres niveles: indicadores de gobierno, indicadores de riesgo y la identificación de KPI. Asimismo, Susana Calvo, de la certificadora Dekra, expuso su propuesta de ERM bajo el modelo ISO 31000. Según Dekra es muy importante que las organizaciones incluyan indicadores de ciberseguridad, ya que "lo que no se mide no se puede mejorar". Por su parte, José Luis Vega, responsable de infraestructuras y seguridad de Capsa Food, presentó su caso de aplicación de la herramienta de Gestión de Madurez de Ciberseguridad Industrial a en organización. Al final de la jornada, se celebró una mesa debate que contó con la representación de Gas Natural, Capsa, Técnicas Reunidas y Telefónica. Nueva Junta Directiva El encuentro se celebró poco después de que el CCI haya renovado su junta directiva. Tras dos años al frente de esta entidad, Samuel Linares deja paso como director a José Valiente, cofundador. Miguel García Menéndez se incorpora como responsable de Gobierno Corporativo y Estrategia del CCI, así como Susana Asensio, que es ya responsable de Proyectos y de Desarrollo del Ecosistema. Incibe finaliza con éxito el curso Ciberseguridad en Sistemas Industriales El Instituto Nacional de Ciberseguridad (Incibe) ha cerrado la primera edición del curso MOOC (Massive Open Online Courses) de Ciberseguridad en Sistemas de Control y Automatización Industrial, con más de 3.200 alumnos inscritos y un 11 por ciento de porcentaje de superación. Esos datos suponen “un gran éxito, dado que es un curso avanzado y complejo, según la valoración que hacen los propios alumnos (el 97% así lo estima), en versión online, de una temática tan 48 red seguridad específica como es la Ciberseguridad Industrial, de sólo seis semanas de duración y que ha requerido un esfuerzo de 50 horas por parte de los alumnos”, apunta el director general de Incibe, Miguel Rego. El curso ha contado con la participación de expertos nacionales e internacionales de gran prestigio. Se trata de un curso de carácter gratuito, impartido en línea, de forma masiva y abierto a todo el mundo a través de la plataforma formativa de Incibe. febrero 2015 ENISA elabora un informe sobre certificación profesional en ICS/SCADA ENISA ha publicado el informe Certification of Cyber Security skills of ICS/SCADA professionals, un documento que explora cómo las iniciativas actuales en materia de certificación de las competencias profesionales se relacionan con la seguridad cibernética de ICS/ SCADA. También identifica los desafíos y propone una serie de recomendaciones hacia el desarrollo de sistemas de certificación. Deloitte CyberSOC organiza una jornada sobre ciberseguridad y negocio Deloitte CyberSOC organiza el próximo 24 de marzo el "Foro de Ciberseguridad y Negocio: Estrategias para combatir el Cibercrimen", en colaboración con BlueCoat Systems y Red Seguridad. El evento, que tendrá lugar en Esade Business School en Madrid, contará con un ciclo de jornadas donde se tratarán diferentes soluciones tecnológicas que ofrece el mercado para crear organizaciones más seguras. Durante la jornada, Deloitte CyberSOC abordará el contexto de cibercrimen mediante una visión amplia de las principales amenazas y sus posibles soluciones. Para ello, contará con el conocimiento de especialistas en ciberseguridad desde tres puntos de vista diferentes: fabricantes, empresas y SOC (Security Operation Center). GLOBALTECHNOLOGY Consultoría de Seguridad Global e Inteligencia Monitorización Seguridad Hacking Inteligencia Seguridad Global frente a la Amenaza Global Protección Conocer sus propias vulnerabilidades antes que el enemigo, es la única forma de preparar una defensa eficiente. Hacking ético. Test de intrusión. Caja negra - Caja blanca Monitorización. Detecta las amenazas antes de que materialicen Inteligencia empresarial. Information Superiority - Decision Superiority Fuga de Datos (DLP). La tecnología como problema y solución Seguridad Global Análisis Forense Análisis de Riesgos Seguridad en la nube Hacking ético Integración Seguridad Lógica y Física Auditoría de vulnerabilidades Comunicaciones Seguras Monitorización Consultoría Internacional Ingeniería de Sistemas Inteligencia Empresarial Consultoría Tecnológica Cumplimiento Legal Seguridad de la Información Protección de Infraestructuras Críticas Prevención de Fuga de Datos Protección del Patrimonio Histórico Planes de Seguridad Integral Plan de Continuidad del Negocio Formación Personalizada según Roles Sistemas de Gestión de Crisis Plaza Rodriguez Marín, 3 · 1C. Alcalá de Henares · 28801 Madrid (+34) 91 882 13 09 [email protected] www.globalt4e.com empresa entrevista Facundo Rojo Director general de Vintegris Facundo Rojo puso en marcha Vintegris hace poco más de diez años. Los inicios, cuenta, fueron muy complicados, pero ha sabido encontrar su hueco “Debería evaluarse a las empresas por la calidad de lo que venden, no por su tamaño o su cifra de negocio” Tx: Enrique González Herrero Ft: E. G. H. en el mercado con soluciones como Vincert, para la gestión de certificados digitales. Como señala este hombre hecho a sí mismo, 2014 supone un punto de inflexión para la compañía que buscará la expansión internacional y lanzar sus tecnologías a la nube. 50 red seguridad Vintegris cumplió el año pasado una década de actividad. ¿Cómo ha evolucionado la compañía a lo largo de este tiempo? Cuando decidí crear Vintegris llevaba trabajando más de 30 años en el sector de la informática. Conocía bien la profesión de técnico y, con el tiempo, aprendí la de vendedor. En aquel entonces me rodeé de profesionales de altísima calidad y nos marcamos la filosofía de tratar a los clientes como a nosotros nos gustaría que nos trataran. Otra de mis obsesiones era que todo el personal de la empresa tuviera las certificaciones de las soluciones de los partners con los que trabajábamos. Comenzamos como consultores, pero los inicios fueron complicados febrero 2015 porque era difícil que las grandes corporaciones apostaran por nosotros. Por ello, empezamos también a vender tecnología de terceros y a integrarla, fundamentalmente de autenticación y de control de acceso a web. El año 2005 marco un punto de inflexión. Decidimos desarrollar productos de seguridad a medida del cliente. Esto supuso un giro de 180 grados para el negocio. Algunos clientes nos pedían herramientas que no incluían las tecnologías de los partners que integrábamos y, a base de escucharlos cuando nos contaban sus preocupaciones, comenzamos a desarrollar tecnologías propias. Es decir, empezamos a ser fabricantes. Primero desarrollamos tecnología de autenticación OTP como complemento de otras soluciones. Luego, diseñamos un modelo para correo seguro, más adelante una tecnología de sincronización de contraseñas y empresa entrevista “En 2015 el objetivo es consolidar la tecnología que tenemos, lanzar algunas soluciones en la nube y diseñar estrategias nuevas de relación con terceros" posteriormente una plataforma de firma digital. Así comenzó el cambio de Vintegris. Otro momento importante llegó en 2010, cuando un cliente nos planteó un problema relacionado con los certificados digitales. Nos pusimos a investigar y desarrollamos Vincert que, hoy por hoy, es nuestro producto estrella. El año pasado supuso el paso definitivo de integrador a fabricante, que va a ser nuestra vocación a partir de ahora. En estos momentos tenemos soluciones de autenticación que vamos a lanzar también en la nube, hemos mejorado la tecnología de descubrimiento de auditoría de certificados y vamos a lanzar Vincert en Market como producto o servicio. Tras ese punto de inflexión, ¿cuáles son a partir de ahora sus objetivos estratégicos a corto y medio plazo? Desde el punto de vista estratégico, uno de nuestros objetivos es la expansión internacional. Hemos firmado un contrato de distribución con una compañía con sede en Miami para toda Latinoamérica. Además de esto, también vamos a firmar un acuerdo con un mayorista español (no puedo decirle cuál) para que venda nuestros productos por canal, ya que ahora hacemos venta directa. Contamos asimismo con integradores de diferentes puntos de Europa que también se han interesado por nuestra tecnología y estamos negociando la presencia en alguna feria internacional de seguridad Por otro lado, el objetivo de este año es consolidar la tecnología que tenemos, lanzar algunas soluciones en la nube y diseñar estrategias nuevas de relación con terceros. Con esa meta, necesitaremos adecuar la infraestructura interna para poder crecer sostenidamente. Sus proyectos se han centrado en grandes compañías, pero ¿están concebidos sus productos para otro tipo de empresas más pequeñas? Sí. Nuestro objetivo es hacer llegar esta sofisticada tecnología de seguridad a la pyme e incluso al autónomo. Ahora cualquier autónomo sabe que tiene que entrar una vez por semana en Hacienda para ver si tiene algún comunicado, y para ello necesita un certificado digital. Si además lo tiene en la nube, podrá conectarse esté donde esté. Mencionaba que Vincert es la solución estrella de Vintegris. ¿En qué consiste la tecnología que utiliza este software? Imagine una empresa con un departamento de 40 personas que tienen que utilizar certificado digital. Lo habitual es que se instalen los certificados para varios ordenadores, pero la empresa no tiene el control de quién firma qué. Si un empleado se marcha de la compañía, puede incluso que se lleve el certificado a su casa, o puede que a alguien le roben el PC, o que el administrador se olvide de la caducidad. Nuestra tecnología elimina todos esos problemas. Ubicamos los certificados en una base de datos cifrada o en un HSM (Hardware Security Module) y custodiamos las claves. Mediante un directorio activo definimos quién puede utilizar un certificado y para qué. La firma de los usuarios se hace centralizadamente y además se realiza una auditoría de seguridad. Con esta tecnología se pueden gestionar altas y bajas de usuarios y garantizamos que los certificados no salgan nunca de la empresa. Incluso permite que si estás fuera de la empresa de viaje puedas acceder a la firma. En definitiva, es una herramienta de control, auditoría y gestión de certificados digitales. La evolución que vamos a perseguir este año es que se pueda acceder a las firmas en tablets y smartphones, utilizando certificados que no pueden alojar esos dispositivos. Nos gustaría llegar a ser un referente en este sentido. Desde su punto de vista, ¿a qué nivel está en España el desarrollo de la firma digital? Yo diría que España es uno de los países más avanzados en firma digital. Creo que la Administración ha hecho muchos avances en ese sentido, independientemente de si estamos de acuerdo o no con algunas obligaciones. Su uso aún tiene mucho recorrido. Ahora los certificados los usamos para firmar, pero también podríamos usarlos para cifrar información confidencial o en temas relacionados con la privacidad. Si conseguimos un acceso fácil y seguro a las claves, podemos impulsar todas estas cuestiones. España ha hecho avances en firma electrónica, pero ¿podemos decir que su uso en las empresas va más allá del mero cumplimiento normativo? Es cierto que en España la manera de que se acepten algunas cuestiones es a través de procedimientos normativos, y el certificado ha sido uno de esos casos. Pero es importante que existan infraestructuras que permitan al usuario gestionar en remoto, de forma amigable, y que su uso se extienda más allá del estricto cumplimiento normativo. En definitiva, lo que quiero decir es que en España la firma electrónica está avanzando, pero aún falta extenderla a otros campos. Queda mucho recorrido en este asunto. ¿No cree que sucede lo mismo con el cifrado de datos? Aunque exis- red seguridad febrero 2015 51 empresa entrevista ten requerimientos, hay empresas que no los siguen. Nosotros comenzamos a trabajar con el cifrado de datos para uso interno, para cifrar los datos de los productos, las bases de datos. Antes utilizábamos productos del mercado y ahora algoritmos nuestros, el cifrado de datos es un tema complejo. Por ejemplo, el cifrado en redes sociales protege al usuario per evital el control en cuestiones delictivas. ¿Estamos suficientemente seguros? En seguridad nadie está cien por cien a salvo. Si quieren entrar en el sistema lo harán. Por lo tanto, creo que no debemos ser obsesos de la seguridad. Pongamos una seguridad razonable, pero sin exageraciones. La inversión en seguridad tiene que ir a juego con los riesgos que puedes padecer. Suele haber laxitud, pero cuando viene el problema comienza la preocupación y las prisas. Queremos avanzar en sistemas que sean, sobre todo, fáciles de usar y que solucionen problemas reales, no que los añadan. En el tema de la autenticación hemos aplicado bastante este criterio. Hemos hecho que la autenticación no te obligue a llevar encima ningún dispositivo, evitado la distribución de autenticadores y el coste que ello conlleva, y hemos incrementado las modalidades de autenticación puestas a disposición de cada usuario. También hemos desarrollado un autenticador para PC usando el código QR. ¿Qué oportunidades ven en el Internet de las Cosas en torno a la certificación digital? Una de las apuestas que estamos haciendo en Vintegris es desarrollar piezas pequeñas que faciliten el uso de algo en concreto, y las ponemos a la venta en los Market. Hablábamos antes del certificado digital y, en ese sentido, ¿quién dice que ese certificado no pueda estar en un robot? Le hablo de piezas pequeñas que puedan integrarse en otros sistemas. Por tanto, creo que el Internet de las Cosas permite un amplio recorrido en relación con tecnologías como la gestión de tráfico de datos, cadenas de producción o la domótica. Vintegris ha dirigido desde sus inicios muchos de sus proyectos hacia las entidades financieras. De hecho, han integrado su tecnología en algunas de las más importantes. ¿Cuál es su percepción sobre el nivel de protección de las tecnologías de la información en los bancos españoles? En España podemos estar orgullosos de los profesionales que trabajan en entornos de sistemas de la información en entidades financieras. De hecho, diría que es una de las primeras potencias en banca electrónica; los bancos cuentan con las tecnologías más avanzadas. Tendría que ser una referencia para muchos países. No obstante, tradicionalmente ha existido una excesiva dependencia de la tecnología que viene de fuera de nuestras fronteras. ¿Cree que esa situación está cambiando actualmente? Todavía no ha cambiado esa situación, tenemos una total dependencia de la tecnología extranjera. En mi experiencia como fabricante me he encontrado con muchos problemas a la hora de conseguir contrataciones, quizás por el tamaño de la compañía. Cuando ofrece sus productos una empresa pequeña parece que no confían demasiado y de esa manera nos cuesta mucho crecer. Nosotros nos las hemos visto y deseado para vender tecnología compitiendo con otras de mayor prestigio y con menos funcionalidades y rendimiento. En muchos casos, la razón del usuario para elegirlos a ellos es que no había confianza en la pequeña empresa local, y sin embargo el tiempo nos ha dado la razón. ¿Es sencillo para una empresa como la suya investigar y desarrollar en España para poder competir con los fabricantes internacionales? Es complicado. La Administración debería facilitar el desarrollo de nuevas tecnologías, pero hay una excesiva burocracia y muchas complicaciones para poder optar a ciertos concursos públicos. Hace falta que se evalúe a las empresas por la calidad de lo que venden, no por su tamaño o su cifra de negocio. Cuando Facundo Rojo puso en marcha Vintegris, no fueron pocas las dificultades. Hoy la compañía apuesta incluso por la expansión internacional. 52 red seguridad febrero 2015 thalesgroup.com Soluciones de Seguridad En cualquier lugar, cumplimos con lo importante CONTROL DE FRONTERAS Autenticación de ciudadanos, e-fronteras y vigilancia del territorio CIUDADES INTELIGENTES Infraestructura de información centrada en el ciudadano SEGURIDAD AEROPORTUARIA Optimización de las operaciones de seguridad cumpliendo con los estándares OACI SEGURIDAD URBANA Detección inteligente combinada con respuestas de las agencias de seguridad CIBERSEGURIDAD Protección activa de los sistemas de información contra ataques PROTECCIÓN DE INFRAESTRUCTURAS Desde gestión de alarmas a supervisión multiemplazamiento A diario se toman millones de decisiones críticas en seguridad. En Thales desarrollamos soluciones resilientes que ayudan a gobiernos, autoridades locales y operadores civiles a proteger a ciudadanos, datos sensibles e infraestructuras de amenazas complejas. Todo ello aporta la información, los servicios, equipos y controles necesarios permitiendo a nuestros clientes y a los usuarios finales obtener respuestas más eficaces en entornos críticos. Juntos, en cualquier lugar marcamos la diferencia con nuestros clientes. protección de datos opinión Conservación de datos personales: el necesario equilibrio entre seguridad pública, privacidad y libertad (y II) Rafael Velázquez Consultor legal TIC. Certified Data Privacy Professional, CDPP Sobre la existencia de un requisito ineludible para que el operador de comunicaciones electrónicas ceda los datos que conserva, éste es la “previa autorización judicial”. Respecto al ejercicio del derecho de acceso y de cancelación que la normativa de Protección de Datos Personales confiere a los afectados, lógicamente, en este supuesto no pueden ejercerse, pues constituye una de las excepciones. En caso contrario, la obligación de conservación de los datos personales y su finalidad no tendrían sentido. En cuanto a qué normas se usarán para sancionar el incumplimiento de las obligaciones contempladas en la Ley 25/2007, sobre conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, hay que sostener que esto se decide en función de la situación planteada. En unos casos aplicarán las sanciones que establece la Ley General de Telecomunicaciones, en otros las infracciones y sanciones comprendidas en el régimen sancionador de la Ley Orgánica de Protección de Datos de carácter Personal y, cuando 54 red seguridad el incumplimiento constituya delito, habrá que estar a lo que disponga nuestro Código Penal. Acceso al contenido Vinculado con los datos concernientes a personas físicas, identificadas o identificables –que la Ley 25/2007 obliga a conservar, mantener y ceder a los “operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones”– se encuentra el contenido de la comunicación emitida y/o recibida. Ésta la protege el artículo 18.3 de nuestra Constitución, que sostiene: “se garantiza el secreto de las comunicaciones y, en especial, de las postales telegráficas y telefónicas, salvo resolución judicial”. El derecho citado no se limita a proteger sólo el contenido de la comunicación, pues también la extiende a la lista de números a los que se llama desde un número de teléfono concreto. Planteamiento que precisó la sentencia del Tribunal Europeo de Derechos Humanos en el “Caso Malone”. El conocimiento de este listado también afecta al derecho a la inti- febrero 2015 midad personal y familiar, plasmado en el artículo 18.1 de la Constitución, que sostiene: “se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen". En relación con el contenido de la comunicación, también hay que tener presente lo que especifica la Ley 25/2007 en su artículo 1.3, que dispone: “se excluye del ámbito de aplicación de esta Ley el contenido de las comunicaciones electrónicas, incluida la información consultada utilizando una red de comunicaciones electrónicas”. Igualmente debe observarse la obligación que la Ley 9/2014 General de Telecomunicaciones plantea a los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público en el artículo 39.1; operadores que deben: “garantizar el secreto de las comunicaciones de conformidad con los artículos 18.3 y 55.2 de la Constitución, debiendo adoptar las medidas técnicas necesarias”. Conforme a lo expuesto, queda claro que: el contenido de la comunicación está protegido; el secreto de las comunicaciones ampara algo más que el protección de datos opinión Los operadores de comunicaciones electrónicas a los que se refiere este documento deben implicarse para que el secreto de las comunicaciones “viva” y no suponga una mera declaración semántica contenido estricto de la comunicación; el contenido no está dentro del ámbito de aplicación de la Ley 25/2007; y los operadores de comunicaciones electrónicas a los que se refiere este documento deben implicarse para que el secreto de las comunicaciones “viva” y no suponga una mera declaración semántica. Sin embargo, aunque lo anterior es correcto, el artículo 18.3 de la Constitución también permite a los “agentes facultados” acceder al contenido de la comunicación cuando se otorgue la correspondiente autorización judicial, como expresa el artículo 579 de la Ley de Enjuiciamiento Criminal. Cuando el Centro Nacional de Inteligencia, entidad regulada mediante la Ley 11/20021, quiera acceder al contenido de las comunicaciones para el cumplimiento de las obligaciones que tiene asignadas, dicha actividad estará sometida a un control judicial previo efectuado por un magistrado del Tribunal Supremo, que mediante resolución motivada otorgará o denegará la autorización solicitada para interceptar las comunicaciones postales, telegráficas, telefónicas o de otra índole, protegidas por el artículo 18.3 de la Constitución Española. Esta garantía la estableció el artículo único de la Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia2. Anulación de la directiva El objeto fundamental de la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, y por la que se modifica la Directiva 2002/58/CE, según establece su artículo 1, es: “armonizar las disposiciones de los Estados miembros relativas a las obligaciones de los proveedores de servicios de comunicaciones electrónicas de acceso público o de una red pública de comunicaciones en relación con la conservación de determinados datos generados o tratados por los mismos, para garantizar que los datos estén disponibles con fines de investigación, detección y enjuiciamiento de delitos graves, tal como se definen en la legislación nacional de cada Estado miembro”. En la parte segunda de este artículo, se precisó que la Directiva 2006/24/ CE fue transpuesta al derecho interno mediante la Ley 25/2007, sobre conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. Norma que la Ley 9/2014 General de Telecomunicaciones –que es su denominación correcta– modificó mediante su Disposición final cuarta, tras publicarse la corrección de erratas3. Pasemos ahora al marco de la interacción “Seguridad pública-Protección de datos de carácter personal y Respeto de la vida privada y familiar”, contemplados en la Carta de los Derechos Fundamentales de la Unión Europea (CDFUE)4, en la Constitución española de 19785 y en múltiples instrumentos de derecho internacional público, de diferente naturaleza y relevancia. El Tribunal de Justicia de la Unión Europea (TJUE), en el contexto de la tensión libertad-seguridad, tras acumular los asuntos C-293/12 Digital Rights Ireland y C-594/12 Seitlinger y otros, mediante sentencia del 8 de abril de 20146, anuló la Directiva2006/24/ CE sobre conservación de datos. Resolución que adoptó tras la solicitud del Tribunal Supremo de Irlanda y el Tribunal Constitucional de Austria, que le pidieron que se manifestara respecto de la validez de la Directiva 2006/24/ CE, en su relación con el derecho fundamental a la protección de datos de carácter personal, reconocido en el artículo 8 de la CDFUE y el derecho fundamental de respeto a la vida privada y familiar, planteado en el artículo 7 de la misma, esencialmente. Nos encontramos así con una directiva cuyo contenido “inspiró” el desarrollo de las normas relativas a la conservación y cesión por los operadores de comunicaciones electrónicas, así como de los datos concernientes a personas físicas y jurídicas, que el TJUE considera nula. Aunque, la sentencia no se pronuncia sobre la relación entre la protección de datos y la libertad de expresión, contemplada en el artículo 11.1 de la CDFUE y en el artículo 20.1 a) de la Constitución española. El TJUE conecta el sentido de la sentencia con lo establecido el artículo 52 de la CDFUE, titulado “Alcance e interpretación de los derechos y principios”. Éste, en su apartado 1, manifiesta: “cualquier limitación del ejercicio de los derechos y libertades reconocidos por la presente Carta deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades. Dentro del respeto del principio de proporcionalidad, sólo podrán introducirse limitaciones cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás”. La sentencia del TJUE plantea: la conservación de datos personales contemplada en la Directiva 2006/24/CE, para luchar contra la delincuencia grave y el terrorismo, “reviste una importancia primordial para garantizar la seguridad pública”; la conservación de datos para cederlos a las autoridades facultadas responde a un objetivo de interés general, como es la lucha contra la delincuencia grave enmarcada en la seguridad pública; la conservación de datos “tampoco puede vulnerar el contenido esencial del red seguridad febrero 2015 55 protección de datos opinión derecho fundamental a la protección de datos de carácter personal”, ni el contenido esencial del derecho fundamental al respeto de la vida privada, etc. Es decir, considera lícita la obligación de conservación de los datos personales y reconoce que los argumentos que sustentan el interés general se dan, pero sostiene que el contenido esencial de los derechos y libertades fundamentales no pueden vaciarse, empleando para ello esta Directiva que supone una injerencia grave respecto de los derechos fundamentales reconocidos en los artículos 7 y 8 de la CDFUE. Para el TJUE, la acción de dejar sin contenido el derecho fundamental al respeto a la vida privada y a la protección de datos de carácter personal tiene lugar cuando la Directiva 2006/24/CE implica: “una injerencia en los derechos fundamentales de prácticamente toda la población europea”. Tiene un alcance que “abarca de manera generalizada a todas las personas, medios de comunicación electrónica y datos relativos al tráfico sin que se establezca ninguna diferenciación, limitación o excepción en función del objetivo de lucha contra los delitos graves”. “No fija ningún criterio objetivo que permita delimitar el acceso de las autoridades nacionales competentes a los datos y su utilización posterior con fines de prevención, detección o enjuiciamiento de los delitos”. También, abundando en esta línea, el TJUE pone de manifiesto que la Directiva 2006/24/CE plantea un periodo de conservación de datos que no comprende ninguna diferenciación en función de las personas, las categorías de datos conservados y/o la utilidad de los mismos de acuerdo con el objetivo perseguido. No incorpora garantías suficientes que impidan el uso ilícito de los datos o el abuso de éstos. Las autoridades de control, en el caso de España, la Agencia Española de Protección de Datos, no pueden realizar correctamente la verificación de la implantación de los requisitos de seguridad aplicables si los datos se conservan en servidores ubicados en territorios distintos al de la UE. Concluyendo, es necesario plantear un conjunto de cuestiones vinculadas con esta parte del artículo como son: ¿Qué sucede con la Ley 25/2007, sobre conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, que supuso la transposición al derecho interno de la Directiva 2006/24/CE que el TJUE ha declarado nula? ¿La Ley 25/2007 también lo es? ¿La UE debe elaborar una nueva Directiva acorde con los criterios que contempla la sentencia del TJUE? ¿Sería suficiente ajustar nuestra Ley 25/2007, recientemente modificada por la Ley 9/2014 General de Telecomunicaciones, para adaptarla en lo que se oponga al contenido de la sentencia del TJUE? Para quien escribe, la anulación por el TJUE de la Directiva 2006/24/ CE no implica que nuestra Ley 25/2007 deba calificarse como nula, pues el Estado ha elaborado la disposición en el marco de sus competencias. Las instituciones de la UE deben proceder a elaborar y aprobar una nueva Directiva en la materia, acorde con la sentencia del TJUE. Creo que es correcto modificar parte del contenido de la Ley 25/2007 para alinearla con el tenor de la sentencia del TJUE. Referencias: 1 Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, BOE de 7 mayo de 2002 2 Ley Orgánica 2/2002, de 6 de mayo, reguladora del control judicial previo del Centro Nacional de Inteligencia, BOE de 7 de mayo de 2002. 3 Corrección de erratas de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, BOE de 17 de mayo de 2014. 4 Carta de los Derechos Fundamentales de la Unión Europea, DOUE de 30 de marzo de 2010. 5 Constitución Española, páginas 29313 a 29424, BOE de 29 de diciembre de 1978. 6 Sentencia del Tribunal de Justicia de la Unión Europea, de 8 de abril de 2014, sobre la validez de la Directiva 2006/24/CE, en relación con los artículos 7, 8 y 11 de la Carta de los Derechos Fundamentales de la Unión Europea, disponible en: http://curia.europa.eu/juris/document/document_print.jsf?doclang=ES&text=&pageIn. Según el TJUE, la conservación de datos “tampoco puede vulnerar el contenido esencial del derecho fundamental a la protección de datos de carácter personal”. 56 red seguridad febrero 2015 empresa noticias Panda renueva su identidad corporativa y emprende una nueva estrategia La compañía española Panda Security cumple 25 años, y para celebrarlo acaba de estrenar una nueva identidad corporativa basada en el concepto "simplexity". En palabras de Paula Quirós, CMO de la empresa, “la base de esta transformación se centra en la idea simplexity: hacer fácil lo complejo, simplificar la complejidad que caracteriza a nuestro sector de la seguridad”. Esta renovación también incluye un nuevo plan estratégico para los próximos cinco años centrado en tres objetivos: crecimiento, expansión internacional y desarrollo tecnológico. Según Diego Navarrete, CEO de la compañía, el próximo lustro prevén “duplicar el crecimiento de la industria de la seguridad”, lo que se traduciría en un aumento de “entre el 10 y el 12 por ciento”. Además, el directivo anunció la expansión de su política internacional con especial foco en Europa, Norteamérica y Latinoamérica. En concreto, la compañía prevé abrir mercado en 15 países más. Por último, aseguró que pondrán el foco en “integrar y unificar tecnologías” para ofrecer “protección global” a sus clientes que incluya soluciones para movilidad o el Internet de las Cosas. Sophos basa su estrategia en la protección del usuario En un evento celebrado en Madrid, Sophos ha desvelado su nueva apuesta por la seguridad corporativa, la cual pasa por tener a salvo las infraestructuras tecnológicas de las empresas, pero desde un nuevo enfoque. “En Sophos nos hemos dado cuenta de que ya no vale con salvaguardar el puesto de trabajo de los empleados, hay que ir un paso más allá y proteger al usuario”, comentó durante su intervención Álvaro Fernández, responsable de Grandes Cuentas de la empresa. Para ello Sophos propone la solución Next Generation EndPoint Fibernet, premiada por su innovación En su II Edición de los Premios a la Innovación en el CPD 2014, Data Center Market ha premiado a Fibernet en la categoría de Apuesta por Tecnologías Punteras por su investigación de la tecnología fotónica. La compañía es una de las más activas en este campo, sobre todo tras la reciente adquisición de Fibernova, una startup valenciana especializada en tecnología fotónica y de radiofrecuencia para el sector de las telecomunicaciones, y que cuenta con un centro único en España para el diseño y montaje de circuitos fotónicos. 58 red seguridad Protection, “una herramienta creada desde cero y con la que se cubren todos los aspectos relacionados con la seguridad: prevención, detección, mitigación y protección”, explicó el directivo. Esta nueva propuesta de Sophos integra dos elementos fundamentales. El primero es Sophos System Protector, su verdadero “cerebro” y encargado de analizar todos los datos que se recopilan del sistema para gestionar su protección; y la utilidad Detección de Tráfico Malicioso (MTD), que permite encontrar los sistemas comprometidos de una red. Veritas, nombre de la nueva empresa de Symantec Symantec ha anunciado que “Veritas Technologies Corporation” será el nombre de su nueva empresa de gestión de información, que se creará una vez haya finalizado su separación de la identidad en dos compañías independientes. Su nuevo logo se inspira en el concepto de tecnologías abiertas y heterogéneas necesarias para tomar las riendas de la información. febrero 2015 S21Sec apuesta por la investigación y la innovación en ciberseguridad La compañía S21Sec ha hecho balance de su participación durante 2014 en programas europeos de financiación a la I+D+i. Por un lado, ha liderado el recientemente finalizado proyecto CAPER (programa FP7), cuyo objetivo era crear una plataforma común para la prevención de la delincuencia organizada, a través del intercambio y análisis de fuentes de información entre agencias de seguridad. Por otra parte, la empresa ha comenzado su participación como socio en el nuevo proyecto L3CE, que prentede establecer una red colaborativa europea de Centros de Excelencia en Ciberseguridad. Finalmente, también ha participado durante 2014 en los proyectos: SWEPT, para la mejora en la securización de sitios web a través de tecnologías de detección de malware y prevención de ataques; EUCONCIP, que busca potenciar la colaboración europea para la protección de infraestructuras críticas; y CAMINO, una iniciativa para desarrollar una agenda de investigación sobre cibercrimen y ciberterrorismo. La ESA crea una 'cloud' privada con Red Hat La compañía de soluciones de código abierto, Red Hat, ha anunciado que la Agencia Espacial Europea (ESA) ha desarrollado una infraestructura cloud privada en sus instalaciones, que ofrece servicios avanzados de TI para las comunidades de empleados, usuarios y proveedores de la Agencia que precisan de altos niveles de disponibilidad. Según sus responsables, esta infraestructura, que utiliza parcialmente Red Hat Enterprise Linux, ha demostrado ser flexible y fiable en todos los entornos críticos en los que trabaja la ESA. GMV establece una nueva filial en Reino Unido GMV ha constituido una nueva sociedad filial en Reino Unido, cuya sede está ubicada en el Centro de Innovación Harwell en Oxfordshire en el Sudeste de Inglaterra. Esta apuesta forma parte del plan estratégico de desarrollo de negocio de la compañía en Reino Unido, que implicaba la constitución de una nueva sociedad operativa desde finales de 2014. El objetivo de la filial es desarrollar un proyecto a largo plazo, con una importante base de operaciones y valor añadido, con la que explotar las oportunidades del país anglosajón. Se centrará especialmente en el mercado espacial, concretamente en el segmento de aplicaciones, observación de la tierra, telecomunicaciones y nuevas tecnologías. NOMBRAMIENTOS Pilar López Álvarez Presidenta Microsoft Ibérica Tras casi dieciséis años en Telefónica, el próximo 1 de junio López Álvarez asumirá la presidencia de la filial ibérica de Microsoft en sustitución de María Garaña, quien ocupará un puesto de máxima responsabilidad en la sede central de la compañía en Estados Unidos. Según ha anunciado la empresa, este relevo se hará efectivo el 30 de junio, coincidiendo con el cierre del actual ejercicio fiscal de la organización. Kurt Mills Vicepresidente mundial para Ventas por Canal y Operaciones de Blue Coat Con más de 25 años de experiencia en el sector, Mills regresa a la que fue su compañía en un nuevo cargo en el que tendrá la responsabilidad de impulsar el programa de canal y las operaciones sobre el terreno de la empresa. Hasta el momento, era vicepresidente de Ventas de Canal en Aerohive Networks, donde desarrolló su programa de canal, equipos, sistemas y comercialización. Javier Cazaña Responsable de Canal y Alianzas para España y Portugal de Trend Micro Licenciado en Administración de Empresas Internacionales por la Universidad de North Greenville (Estados Unidos), Cazaña se encargará de la gestión y puesta en marcha de la estrategia de canal de la compañía, y del refuerzo de las relaciones con mayoristas, distribuidores y partners en general. REVISTA ESPECIALIZADA EN GESTIÓN DE ACTIVOS Y SERVICIOS www.facilitymanagementservices.es hacking ético opinión 'Hacking' ético profesional, una necesidad ineludible para empresas y organizaciones Juan Luis García Rambla Director técnico del Área de Seguridad TIC de Sidertia Solutions A firmar que las empresas y organizaciones tienen una total dependencia de sus infraestructuras tecnológicas es una obviedad. Sin embargo, a partir de esta máxima se desprende toda una serie de conclusiones que van mucho más allá, incluyendo lógicamente aspectos relacionados con la seguridad informática. El proceso de negocio de las empresas se ve condicionado en todas y cada una de sus fases por la calidad y prestaciones de sus infraestructuras informáticas. Las relaciones comerciales, la puesta en marcha de servicios o generación de productos, la atención al cliente y, lo que es más importante, su confianza son algunos de los múltiples aspectos afectados. El concepto de “confianza” es un pilar del éxito empresarial y para muchas organizaciones un elemento determinante en su proceso de negocio o actividad. La seguridad informática contribuye de forma sustancial a afianzar esa idea de “confianza”. El usuario de un servicio web donde el factor económico sea significativo, buscará elementos y condiciones asociados a la seguridad informática que le aporten tranquilidad a la hora de realizar cualquier operación. Por ello, empresas y organizaciones deben dedicar medios a mantener e incrementar la confianza, y para ello la seguridad informática es clave. 60 red seguridad Mejorar la seguridad informática empieza por conocer los riesgos, analizar su incidencia y definir los mecanismos que permitan su subsanación. En esta fase inicial de análisis es donde el hacking ético constituye un componente fundamental para el proceso de evolución de las empresas desde la simple funcionalidad a la seguridad de sus sistemas. La ejecución de una auditoría o hacking ético por parte de un tercero proporciona un perfecto instrumento para que una organización sepa en qué punto de madurez se encuentra en el empleo de la tecnología informática. Qué esperar del hácking ético ¿Qué debe esperar una organización de un hacking ético profesional? En primera instancia el descubrimiento de fallos de seguridad en la tecnología analizada, bien sea ésta su sitio web o Intranet, su servicio de e-commerce, los procesos de gestión de usuarios, puestos de trabajo o cualquier otro servicio significativo para su negocio. Pero junto con ello aportará también información de valor para la posterior racionalización de la inversión en medios y esfuerzos, así como en la definición de una correcta evolución tecnológica de cada compañía. La ejecución de una auditoría de seguridad o hacking ético debería efectuarse, al menos, anualmente. febrero 2015 La cualificación y cuantificación de los resultados obtenidos en cada test permiten a la empresa conocer su evolución, la idoneidad de sus procedimientos y si la inversión en seguridad se está realizando adecuadamente. El incremento del gasto no implica necesariamente una mejora en el nivel de seguridad informática. Cuanto mayor es la experiencia en seguridad adquirida a través de las auditorías, mayor es la capacidad de las compañías para optimizar su inversión en seguridad informática. Aplicando procesos de hacking ético adecuados que permitan la subsanación de vulnerabilidades y la generación de procedimientos preventivos eficaces que minimizan la posibilidad de errores. Las entidades que realizan auditorías eficaces con mayor frecuencia adquieren una maduración evidente que les permite dirigir sus inversiones atendiendo a necesidades verdaderas. Son numerosas las organizaciones que realizan auditorias y procesos de hacking ético de forma muy puntual o exclusivamente ante la aparición de situaciones de riesgo, limitando sus acciones correctoras a los resultados obtenidos en estas ocasiones. Pero la evolución en tecnología es un proceso permanente y ágil, especialmente en el ámbito de la seguridad especial hacking ético informática. La aparición de nuevos vectores de ataque es una realidad y un riesgo continuo para los sistemas. Esto, sumado a la falsa sensación de seguridad, sitúa a menudo a las empresas en situaciones críticas. Tras los procesos de hacking ético, las empresas desarrollan y aplican cambios, no sólo de índole técnico sino también organizativo, impulsando así mejoras en el trabajo y un incremento en el nivel de eficacia. La realización periódica de auditorías de seguridad es también un elemento dinamizador y de mejora de empresas y organizaciones, más allá de los aspectos puramente tecnológicos. Calidad del ‘hacking’ Otro aspecto fundamental a considerar es la calidad de los procesos de hacking ético y auditoría. Éstos deben encontrarse sujetos a metodologías homologadas y reconocidas como tales. La identificación de vulnerabilidades debe basarse en mecanismos de cualificación de riesgo claramente definidos y medibles. Por otra parte, las auditorías deben tener en consideración la tipología y condiciones específicas de cada negocio o escenario de actuación, planificándose su desarrollo en consecuencia. Una auditoría será mucho más eficaz si los test a realizar se encuentran diseñados considerando el negocio o actividad de la organización auditada y no son simplemente ejecutados atendiendo a un patrón regular, igual para todas las situaciones. Con frecuencia, en Sidertia recibimos peticiones de empresas que solicitan la valoración de los resultados de auditorías o procesos de hacking ético a los que han sido sometidas. Es frecuente observar, a partir de los informes recibidos, que los procesos presentan serias carencias desde el propio planteamiento de los objetivos. Las auditorías se centran en identificar fallos en servicios vulnerables pero sólo de relativa importancia, no focalizando el análisis en aquellos otros que, siendo más difíciles de auditar, son sin embargo puntos críticos en el proceso de negocio de la empresa. Se aprecia por lo tanto que el auditor ha realizado su labor con un objetivo único, la mera detección de vul- especial nerabilidades, cuyo descubrimiento puede aportarle la sensación de deber cumplido. Lógicamente desde Sidertia consideramos que éste es un enfoque erróneo dado que los esfuerzos no se han dirigido a identificar riesgos en aquellos sistemas y servicios de mayor importancia y criticidad para el negocio de la empresa auditada. En la actualidad la oferta de empresas que prestan servicios de hacking ético es considerablemente amplia. Desafortunadamente, otra cuestión es el número de consultoras que ofrecen estos servicios de forma profesional y con unas garantías mínimas de calidad. Es frecuente la presentación de informes finales basados exclusivamente en la información aportada por herramientas automatizadas y sobre las que un analista de seguridad no ha realizado ningún tipo de valoración o interpretación. No se han tenido en consideración las necesidades reales de las empresas contratantes, realizándose simplemente un procesamiento masivo de información, con la consiguiente reducción de costes pero fundamentalmente de eficacia y validez en los resultados obtenidos. Como bien indican metodologías de auditoría ampliamente reconocidas, como pueden ser OSSTMM (Open Source Security Testing Methodology Manual) u OWASP (Open Web Application Security Project), la ejecución del proceso de hacking ético debe basarse principalmente en la experiencia del auditor y no en el simple uso de herramientas. La automatización de tareas en mayor o menor grado dependerá del proceso a reali- opinión zar, así como del escenario operativo. Sin embargo, independientemente de la calidad de las herramientas, el análisis debe incorporar como componente fundamental el factor de interpretación del auditor. La labor del profesional es ineludible. Una herramienta de análisis de vulnerabilidades de incuestionable calidad como puede ser Nessus, presenta un alcance significativo y suele formar parte de la “caja de herramientas” de cualquier auditor profesional. Sin embargo, Nessus, cuya calidad y eficacia no se ponen en tela de juicio, no es capaz de atender a la totalidad de tecnologías existentes. Un análisis basado exclusivamente en la herramienta implicaría que determinados riesgos de seguridad, de considerable importancia en ciertos escenarios, pasarán totalmente desapercibidos. Un auditor cualificado reconocerá fácilmente el problema y el riesgo que supone para la empresa ese fallo de seguridad. Como hemos podido ver, la aplicación de auditoría y hacking ético aporta a empresas y organismos múltiples ventajas. Su realización no debe ser simplemente reactiva o puntual, sino proactiva y periódica, liderada y dirigida por profesionales que usen herramientas y metodologías válidas orientadas a cada escenario. Otra forma de actuar es más “barata”, pero probablemente totalmente ineficaz. La auditoría de seguridad y el hacking ético constituyen necesidades reales que empresas y organizaciones deben atender, pero de forma adecuada, evitando malgastar recursos y esfuerzos. red seguridad febrero 2015 61 hacking ético opinión La evolución de las técnicas de 'hacking' ético Floren Molina Advanced Cybersecurity Business Development de S21sec D ecir que las técnicas de hacking han mejorado en los últimos años es casi una falacia. En 15 años, por ejemplo, hemos asistido a una diversificación en las mismas, siempre dependiendo de los proyectos que los clientes demandaban, así como del avance de las tecnologías. Hace años, cuando la seguridad era menos métrica e ISO, el pentest era una forma de determinar el grado de vulnerabilidad de una organización cuando se realizaba una intrusión en algún servidor. Se obtenía información confidencial del objetivo y el pentest servía como introducción a muchas compañías que, por aquel entonces, estaban empezando a oír hablar de firewalls en el “incipiente” mundo de la seguridad telemática. Estamos hablando del año 2000. En aquel entonces, el mundo de las webs corporativas se suscribía a páginas estáticas y usualmente sólo había correo, ftp y accesos remotos en las compañías. Luego llegaron las ISO, las normativas y el afán de medir el riesgo, transferirlo, mitigarlo, etc. En aquel momento las técnicas de hacking explotaron para incluir las pruebas a los incipientes portales web corporativos, intranets, extranets y los sempiternos canales financieros. El aterrizaje de la OWASP, supuso el despegue de las vulnerabilidades de aplicativo, casi delegando las vulnerabilidades de overflow a un destierro en las 62 red seguridad herramientas de análisis automático de vulnerabilidades y fuzzers. El mercado Durante todos estos años ha sido el mercado quién ha dictado el camino por el que se debían mover los pentest, sólo alterado por la inclusión de vulnerabilidades que desestabilizaban el frágil status quo. Heartbleed supuso la actualización de servidores SSL de medio mundo, lo que ha provocado que desde entonces cada nueva vulnerabilidad lleve incorporada su pequeña campaña de marketing, como fue el caso de Shellshock y últimamente el Ghost. Sin embargo, una gran comunidad de investigadores sigue desarrollando herramientas, metodologías e investigando en vulnerabilidades fuera del entorno empresarial y del marketing que las acompaña. Volviendo al mercado, han sido las empresas las que, en un intento vano de poner cercas al campo, han restringido las pruebas de hacking a aquellos entornos en los que se sentían más cómodas, aludiendo a la resignación que padecían de conocer su estado de seguridad interno y queriendo restringir el perímetro de alcance. Ese perímetro ha ido creciendo y expandiéndose mientras se tomaba conciencia de la seguridad en la mayor parte de los casos, donde la inclusión del mundo del malware ha ido creando cabezas de playa en las redes internas, aumentando el mal febrero 2015 llamado “perímetro” de las empresas hasta alcanzar el puesto del usuario. Esa fusión del mundo del malware y del pentesting, donde técnicas y procesos se comparten, ha incrementado el riesgo residual de las compañías. ¿Malware creado ex profeso para realizar tareas de intrusión dentro de las redes corporativas, captura de credenciales, robo de información confidencial, etc.? Es aquí donde se han incorporado conceptos tales como “cisnes negros” y la respuesta en forma de “resiliencia”. Además, hemos podido ver una evolución en los servicios de hacking, desbancando a los perennes informes de análisis de vulnerabilidades donde se incluían los intentos de intrusión; obviando las vulnerabilidades y poniendo a prueba a los equipos de seguridad internos; planteándoles pruebas de seguridad como si fuesen maniobras: detección de reconocimientos y de intentos de intrusión en sistemas y aplicaciones, respuesta a campañas de phishing y a leaks de información confidencial, investigación de incidentes internos, forenses de APT y de sistemas y malware, análisis en Sandbox de comunicaciones, comportamiento y funcionalidades de malware o respuesta a incidentes. Capacidad y polivalencia De esta manera, los equipos de respuesta internos tienen un enemigo que les proporciona la experiencia necesaria para responder de manera especial hacking ético opinión Una gran comunidad de investigadores sigue desarrollando herramientas, metodologías e investigando en vulnerabilidades fuera del entorno empresarial eficiente a un ataque real. Lo que a su vez obliga a los equipos de pentesting a incrementar sus capacidades y polivalencia, tratando de emular los ciberataques que se están produciendo en el día a día, así como a idear los próximos pasos. Ejemplo de ello es la creación de nuevos sistemas para la evasión de filtros antispam y antivirus en el envío de phishing y malware, y su ampliación a nuevos entornos, como las redes sociales Facebook, Twitter y foros específicos del cliente y sus trabajadores, para así evitar filtros de navegación web. Llevando un paso más allá la detección de vulnerabilidades web, con la mejora de técnicas de evasión de filtros y WAF (Web Application Firewall), así como ataques específicos a la lógica de las aplicaciones, se aprovecha la información recabada en otros ataques (usuarios, contraseñas, etc.). Otra técnica es la ‘exfiltración’ de información por canales encubiertos, mejorando los caducos sistemas basados en protocolos de red y llevando los relacionados con redes sociales un paso más allá en cuanto a técnicas de ocultación y cifrado; o la aplicación de nuevos ataques específicos a redes internas, nuevos métodos de man-in-the-middle mediante los cuales poder extraer información de canales seguros sin ser detectados por los usuarios. Al hilo de los anteriores, también cabe destacar el ataque a dispositivos de red, donde se continúan empleando antiguos protocolos de gestión y proceso, cuya heterogeneidad en la distribución da juego en el interior de empresas; o los ataques a otros dispositivos IP que pueden servir de plataforma a otros ataques, impresoras inteligentes, dispositivos multimedia, videoconferencias, etc., dispositivos fuera de cualquier mantenimiento de seguridad y que usualmente no son monitorizados y especial controlados, pero que son parte intrínseca del negocio de las corporaciones. Por no hablar del amplio mundo “móvil”, smartphones, tablets y demás dispositivos personales que nos acompañan y de los que se investigan vulnerabilidades, y para los cuales se están ya combinando ataques que tradicionalmente estaban orientados a los ordenadores personales. los procesos, sigue habiendo un trabajo artesanal. Detrás de las herramientas actuales hay verdaderos virtuosos como las muchas conferencias de seguridad demuestran. Además, surgen nuevos maestros que siguen afinando y fabricando nuevos instrumentos que ayudan en ese proceso de análisis de debilidades más que de análisis de vulnerabilidades. Una mentalidad diferente Para ello, es necesario una mentalidad diferente, aquella mentalidad de la vieja escuela que se debe transmitir a día de hoy a los equipos de auditoría, aludiendo a un modo de analizar la seguridad de los entornos con pensamiento lateral, buscando siempre cierta maldad en el análisis de los componentes de seguridad, aprovechando las debilidades del sistema y explotando ese riesgo residual que poseen todas las organizaciones. Hace años, muchos de los que comenzaban en este mundo auguraban su final comercial con los sistemas automáticos de detección de vulnerabilidades. Sigue pasando el tiempo y conforme surgen herramientas que automatizan parte de Los equipos de pentesting son por fin lo que eran hace años, de nuevo la forma en la que una compañía podía medir su madurez en seguridad, sin trabar el alcance de las pruebas, su tipología u objetivos, permitiendo que se realicen pruebas que abran los ojos sobre los nuevos riesgos que les afectan. Es, por tanto, hora de dejar de hacer análisis de vulnerabilidades en el cliente, dar un paso más allá, y tratar de ayudar a las compañías a minimizar esa ventana de exposición a ataques. Apoyarles en que toda esa métrica que les ha permitido atar y cuantificar los riesgos sea la base de la respuesta a incidentes de seguridad necesaria para enfrentarse a los nuevos retos de ciberseguridad del día a día. red seguridad febrero 2015 63 hacking ético opinión 'Honeypot', una trampa para los malos Carlos Rosado Moral Auditor de Seguridad en PricewaterhouseCoopers El uso cada vez mayor de las tecnologías de la información en todo tipo de plataformas y disciplinas hace que se exijan nuevos objetivos, lo que origina nuevos retos también en el ámbito de la seguridad informática. Las nuevas amenazas representan un riesgo cada vez más constante en la línea de negocios de las organizaciones, ya que la información ha dejado de reflejarse exclusivamente en papel para estar presente en cualquier tipo de dispositivo de almacenamiento, como USB, CD, DVD, en la Red, etc. Esto motiva que la informática forense deba adaptarse e ir evolucionando a la vez que los delitos cometidos en este tipo de plataformas. La informática forense requiere medios que permitan mantener un proceso de investigación que de solución a los nuevos retos. Pero cabe destacar que no siempre los casos a los cuales se enfrenta el investigador son iguales. Además, una investigación se complica cuando no se tiene el suficiente conocimiento para poder manejar y concluir el caso. En todo este contexto, una de las principales herramientas que pueden ayudar a mejorar las investigaciones son los honeypot. ¿Qué es un ‘honeypot’? Un honeypot es un recurso flexible de seguridad informática cuyo valor se basa en que éste sea comprometido, atacado y probado, con el fin de aportar información al investigador forense. 64 red seguridad Teniendo en cuenta esta definición, podemos ver que el honeypot no es una herramienta que mitigue el riesgo o forme parte de la defensa, sino que realiza un análisis forense de los ataques recibidos en un dispositivo o red. Funcionamiento Un honeypot puede ser tan simple como un ordenador que ejecuta un programa, que analiza el tráfico que entra y sale del aparato hacia Internet, ‘escuchando’ cualquier número de puertos. El procedimiento consiste en mantener una debilidad o vulnerabilidad en un programa, sistema operativo, protocolo o en cualquier otro elemento del equipo susceptible de ser atacado y que, por lo tanto, motive al atacante a utilizarlo, de tal forma que se muestre dispuesto a emplear todas sus habilidades para explotar dicha debilidad y obtener el acceso al sistema. Frenar un ataque Debemos tener en cuenta los enormes peligros que entraña permitir a un atacante proseguir con sus actividades una vez que ha conseguido entrar en el sistema. Por muy controladas que tengamos sus acciones, nada puede evitar que en cualquier momento esa persona se sienta vigilada u observada, se ponga nerviosa y destruya datos o se haga con el comportamiento de la máquina. Una forma de monitorizar dicha preocupación sin comprometer exce- febrero 2015 sivamente la integridad de nuestro sistema expuesto es el uso de honeypot. La idea es construir un sistema que simule ser real, pero donde los datos expuestos no son de relevancia. De ese modo se permite al atacante revisar o incluso manipular la información sin poner en peligro los datos importantes. Para ello se utiliza una máquina denominada “trampa”, que es sobre la que trabaja realmente el atacante y de la que podemos obtener la información necesaria sobre éste sin que se percate nuestra presencia. Así se consigue que el atacante piense que su intrusión ha sido un éxito y continúe con ella, mientras nosotros, por otro lado, la estamos monitorizando a la vez que recopilamos información sobre sus movimientos y su manera de actuar. Los honeypot actúan de ‘gancho’ para que el atacante piense que su intrusión ha sido un éxito, pero en realidad está vigilado. especial hacking ético opinión 'Pentesting' persistente y estratégico: nuevos ataques y nuevos modelos Pablo González Project Manager en ElevenPaths Puede parecer un tópico decir que cada día que pasa las empresas están más expuestas en Internet y tienen una mayor presencia en el mundo digital, pero lo cierto es que es una realidad que puede verse reflejada diariamente en noticias sobre incidentes o brechas de seguridad. Estar más expuesto en Internet significa que tus activos como empresa son potencialmente más atacables, por lo que pueden recibir agresiones constantemente. La idea de que los usuarios maliciosos o el atacante no descansan es una verdad empírica, para la cual las empresas disponen de una serie de herramientas obsoletas como han sido las auditorías de seguridad o el modelo de éstas que se conoce. Hoy en día, las empresas necesitan disponer de equipos de seguridad 24x7 y estar constantemente atacándose, con el fin de rebajar los tiempos de detección de las vulnerabilidades y debilidades que pueden encontrarse. En otras palabras, realizar un pentesting persistente o continuo es una de las vías que existen para rebajar el tiempo de ventaja que tiene un atacante. Por ejemplo, desde que se realiza una auditoría de seguridad, con un posible pentesting, pueden pasar meses en el mejor de los casos, hasta que se realiza una prueba para detectar los riesgos a los que se expone una empresa. Este hecho ha estado aportando una gran ventaja a los usuarios maliciosos que disponían de un tiempo considerable de ventaja para llevar a cabo sus accio- 66 red seguridad nes. Con el pentesting persistente este tiempo se ve bruscamente reducido, proporcionando a la empresa una revisión al día de cómo se encuentra su infraestructura. Desde el punto de vista económico, no todas las compañías pueden costear que un equipo de auditores o de pentesters esté constantemente probando la seguridad de su infraestructura. Otro hecho real es el dimensionamiento y número de activos de grandes organizaciones, las cuales necesitan de herramientas automáticas que puedan revisar cualquier tipo de activo. En otras palabras, las grandes, e incluso medianas, empresas necesitan herramientas que permitan crawlear gran contenido de información, tanto la directamente expuesta como la relacionada con terceros. Un equipo de pentesters necesita apoyarse en servicios que permitan realizar este Discovery como lo hace el servicio Faast de Eleven Paths. Nuevos conceptos Otra de las situaciones que históricamente se ha realizado en el mundo de la seguridad corporativa es la búsqueda de vulnerabilidades en los activos tecnológicos directos de las empresas. Se han utilizado escáneres como Nessus o Acunetix con el fin de detectar vulnerabilidades directamente sobre software o aplicaciones web expuestas por la empresa. Hoy en día existen un par de conceptos nuevos y que un pentester debe revisar. febrero 2015 ◊ El primero de ellos son las vulnerabilidades indirectas, las cuales no se encuentran directamente bajo el control de la empresa u organización que quiere revisar su nivel de seguridad. ◊ El segundo son las debilidades, las cuales son situaciones que presentan los sistemas de información, las aplicaciones web, cualquier entorno en el que se proporciona una ventaja al atacante. En este entorno, el atacante consigue información que puede convertir, a través de la inteligencia aplicada a lo ya conseguido por otros medios, en una clara ventaja durante el ataque y que podría concluir con la organización comprometida. Con estos dos puntos necesarios hoy día, se puede decir que las empresas necesitan servicios de pentesting persistente y que deben tener muy en cuenta lo que ocurre fuera de sus fronteras. Con estas dos preocupaciones nace el concepto de pentester estratégico, cuya figura se encarga de obtener una visión global del estado de seguridad de una empresa, de las relaciones con terceros y cómo el uso de funciones de terceros puede afectar a la compañía. El concepto de pentester estratégico aumenta el nivel funcional y organizativo del pentester, dotándole de mayor control, nuevos vectores de ataque y mayor capacidad de decisión. Desde el punto de vista de un pentester, se debe realizar un Discovery amplio, enfocando en todos los especial hacking ético opinión Realizar un ‘pentesting’ persistente o continuo es una de las vías que existen para rebajar el tiempo de ventaja de un atacante dominios y servicios que expone una empresa. Esta área del pentest ha evolucionado en gran medida a los cientos de servicios que aportan hoy día información en Internet. El uso de los principales buscadores de contenido es una vía rápida para obtener gran cantidad de activos sobre una empresa que pueden ser evaluados, o el uso de servicios como Archieve. org para evaluar activos que pueden haber sido crawleados con anterioridad y que la empresa, actualmente, ha ocultado. La búsqueda de aplicaciones móviles en los principales stores puede permitir al pentester obtener nuevas direcciones URL, datos del desarrollador, e-mails, etcétera. Esta técnica puede llevarse a cabo a través del servicio Path5 de Eleven Paths. 'Pentest' hacia APT En muchas ocasiones, los desarrollos de aplicaciones móviles se dejan en manos de empresas de terceros que pueden generar debilidades por la información que presentan. La utilización de buscadores de dispositivos por cada dirección IP de la organización no es algo nuevo, pero realmente útil para descubrir servicios especial que, por ejemplo Shodan o Robtex, puede tener almacenado. En algunas ocasiones el pentester estratégico puede orientar un pentesting hacia una APT (Advanced Persistent Threat) y utilizar la información recogida para este tipo de pruebas. Por ejemplo, un pentester puede recoger correos electrónicos a través de herramientas como The Harvester, los propios buscadores de contenido, servidores de claves PGP, etcétera, y utilizarlos como raíz para orientar una prueba de APT contra una organización. Se puede decir que existe un nexo de unión entre el Discovery de un pentest y las primeras fases del APT. La utilización de fuerza bruta a directorios da paso a utilizar dicha técnica en otros servicios, como puede ser un servidor DNS, un CMS con el objetivo de encontrar o identificar una versión o el nombre de un producto. La herramienta FOCA realiza algunas de las técnicas citadas anteriormente, aunque el servicio de pentesting persistente Faast utiliza toda la potencia del cloud para ejecutar el máximo de pruebas de Discovery conocidas y que permita obtener el mayor número de información de una empresa, sus dominios y empleados. Cómo se mencionó anteriormente, el pentester estratégico focaliza su trabajo en la seguridad propia y externa de la organización. Un ejemplo básico de una debilidad, y que muchas empresas no validan en sus pruebas de seguridad, es la ejecución de código externo en sitios web. El incidente entre los Syrian Electronic Army (SEA) e Ira Winkler es un claro ejemplo. Desembocó en un ataque que demuestra el peligro de la carga de código de dominios externos, los cuales no se encuentran bajo la supervisión del auditado. Los SEA averiguaron el registrador de dominio de una librería Javascript que utilizaba el sitio de la RSA Conference. Realizaron una campaña de phishing contra los empleados de la registradora. Cuando consiguieron acceso cambiaron la dirección IP del dominio, en el que se encontraba la librería. Cuando los usuarios accedían al sitio web de la RSA Conference, no se cargaba la librería legítima y se podía ejecutar otro tipo de código. El hotlinking es similar a esta debilidad, salvo que afecta directamente a la imagen y reputación de la organización. Otra vía interesante que el pentester debe tener en mente son los dumps de bases de datos, por ejemplo con identidades digitales robadas. Respecto a ataques directos contra la infraestructura de las empresas se deben tener en cuenta las bases de datos NoSQL, para las cuales existen inyecciones. La documentación diaria del pentester estratégico es fundamental para estar al día en temas a los CVE y pequeños trucos de pentester que salen día a día. En el libro Ethical Hacking: Teoría y práctica para la realización de un pentesting, de la editorial 0xWord, se recoge el proceso de realización de un pentesting enfocado tanto al proceso clásico como a su transición al pentesting persistente. red seguridad febrero 2015 67 hacking ético opinión Riesgos y soluciones para la tecnología NFC Guillermo Muñoz Mozos Auditor de TI en PricewaterhouseCoopers Near Field Communication (NFC) es una tecnología de comunicación inalámbrica, de corto alcance y alta frecuencia, que permite el intercambio de datos entre dispositivos. Dado que estamos ante una comunicación por radiofrecuencia, la lectura de nuestra transmisión es una posibilidad que existe siempre. En el caso de la tecnología NFC, se cuenta con la ventaja de que opera a poca distancia, pero no se puede descartar la copia de los códigos de nuestro chip para un uso fraudulento. Además, no existe sólo la posibilidad de robar nuestros datos sino también de modificar o insertar errores en la misma. Las tarjetas de crédito que utilizan NFC como sistema de transferencia de datos cuentan con la ventaja de ser dispositivos de lectura y no de escritura. Pero es relativamente fácil leer los datos que las tarjetas de crédito almacenan en las mismas a través de NFC, como son el número de cuenta, la fecha de expiración, el titular de la tarjeta o el CVV. Si bien estos datos no se podrían utilizar para pagar cantidades superiores al límite establecido por la entidad bancaria, se podrían emplear para pagos de cantidades inferiores o cometer fraude en páginas web que no identifican que la identidad de la persona sea la correcta. Por ejemplo, una de las páginas web más conocidas de compra/venta de artículos es Amazon. Esta web no confirma con la entidad bancaria el pago realizado por una vía alternativa como utilizan otras plataformas. Extrayendo todos los datos con un simple programa de lectura asociado a las tarjetas de crédito más comunes se podrían comprar artículos y no se necesitaría ni el CVV ni otra vía de autenticación adicional. 68 red seguridad Por este motivo se recomienda pedir a la entidad bancaria la desactivación de la transferencia de datos por NFC en las tarjetas de crédito, con el fin de evitar que un atacante pueda interceptar nuestra comunicación y obtener todo lo que necesite para suplantar nuestra identidad. Otra opción es emplear una 'Jaula de Faraday' para aislar cualquier conexión inalámbrica con la tarjeta de pago. Existe un material especial parecido al aluminio que evita que un lector pueda obtener información de la tarjeta. Son extremadamente baratas y se pueden adquirir fácilmente. En última instancia se recomienda cortar la antena de la tarjeta, pero este método puede dejar la tarjeta inutilizable. DNI 3.0 Un tema que está generando gran controversia es el nuevo DNI 3.0 y la posibilidad de identificar de manera remota a las personas que lo utilicen. Para aclarar si existe esta posibilidad, se va a explicar su funcionamiento y sus riesgos. El funcionamiento del DNI 3.0 es sencillo, se utilizan dos códigos impresos tanto en el anverso (CAN) como en el reverso (MRZ). A partir de cualquiera de los dos se negocia una sesión cifrada entre lector y DNI para el intercambio de datos. Se necesitaría tener el DNI delante para acceder a los datos, ya que la clave que se utiliza para completar la transferencia de información se encuentra impresa en el DNI físicamente. A pesar de las cualidades que el DNI 3.0 presenta, no todo es positivo respecto a la seguridad. Se podría realizar un ataque por fuerza bruta y el DNI 3.0 no febrero 2015 bloquearía la comunicación tras repetidos intentos de contraseña erróneos. Es decir, al cabo de cierto tiempo, se podría acceder a la información de la persona probando de manera masiva las posibles combinaciones de los códigos que antes hemos mencionado. Otro aspecto importante que cabe destacar es la posibilidad de romper la seguridad del sistema NFC del DNI 3.0, lo que transformaría el sistema en vulnerable. Actualmente, la idea de que la Policía pueda identificar de manera remota a los manifestantes que utilicen NFC 3.0 es un tanto exagerada, pero se recomienda estar al tanto de cómo evoluciona la vulnerabilidad del mismo y de los fallos de seguridad que presenta de cara a proteger su intimidad. Por último, como medidas de protección ante un posible fallo de seguridad, se podrían aplicar las explicadas previamente para tarjetas de crédito, ya que la tecnología que utilizan es similar. especial % Visitas redseguridad 160% 140% 120% 100% 080% 060% 040% 020% 000% NOVIEMBRE DICIEMBRE ENERO FEBRERO MARZO ABRIL Ilustración 4. % Visitas Red Seguridad. Fuente: Google Analytics LLEGAMOS + LEJOS + VISIBLES APORTAMOS + VALOR SOMOS 200 NUEVOS SEGUIDORES CADA MES novedades noticias Symantec anuncia en un evento con clientes su nueva estrategia de seguridad unificada Ante un auditorio compuesto por más de 300 partners y clientes de la compañía, Symantec ha dado a conocer su nueva estrategia de producto denominada Unified Security. Esta, en palabras de Miguel Suárez, director técnico para España y Portugal de la empresa, se asienta sobre tres principios básicos: "Protección frente a las amenazas, salvaguarda de la información y liderazgo en ciberseguridad". El objetivo, según el directivo, es proporcionar a las organizaciones un estado de la gestión de la seguridad que sea "simple, integral, que aprupe a una amplia comunidad de usuarios y que ofrezca la capacidad de detectar ataques complejos en tan solo unas horas". Para ello, el fabricante ha integrado todas sus soluciones bajo el paraguas de cinco grandes áreas, que son: Endpoint y Mobile, entorno en el que surge la necesidad de administrar todo tipo de dispositivos de forma global; Data Center, que pasa por la supervisión centralizada de la seguridad en los centros de procesos de datos; Gateway, con el lanzamiento próximamente de tres nuevos gateways de seguridad para el puesto de trabajo, la red y el correo electrónico; Información, con una protección en cuatro capas (Access Control, Context Aware, Content Aware y Threat Aware); y Ciberseguridad, ámbito en el que va a potenciar la inteligencia de seguridad, que, según el directivo, es lo que diferencia a la compañía de otros fabricantes. www.symantec.es Nueva solución para Mac OS X de G Data El fabricante de solucio- de seguridad alemán G Data ha presentado su solución antivirus para OS X: G Data Antivirus para Mac. Su particularidad es que no sólo protege en tiempo real frente a aquellos virus específicamente diseñados para este sistema, sino que también salvaguarda los equipos Windows conectados a su misma red. www.gdata.es nes 70 red seguridad El CCN-CERT desarrolla CLARA para cumplir el ENS El CCN-CERT ha desarrollado una nueva herramienta de seguridad, denominada CLARA, destinada a facilitar a las Administraciones Públicas la ayuda necesaria para cumplir con la normativa del Esquema Nacional de Seguridad (ENS), permitiendo analizar las características de seguridad técnicas definidas en el Real Decreto 3/2010. Este desarrollo está basado en normas proporcionadas a través de la aplicación de plantillas de seguridad, según las guías CCN-STIC de la serie 800: 850A, 850B, 851A y 851B. www.ccn-cert.cni.es/clara febrero 2015 Vintegris mejora la autenticación en la estación de trabajo VinAccess, el sistema de autenticación robusta de la compañia Vintegris, permite ahora incorporar autenticación de doble factor en el PC, lo que viene a reforzar la seguridad interna de las organizaciones. Normalmente, para acceder a su estación de trabajo, cualquier empleado sólo debe introducir un usuario y una contraseña válidos. A veces estos datos suelen ser compartidos, con los consiguientes riesgos de pérdida de confidencialidad y seguridad de los datos almacenados. Esta nueva herramienta permite establecer en cada estación de trabajo un segundo factor de autenticación, a elegir entre cualquiera de las modalidades compatibles con la app de autenticación VinToken: por control de tiempo, por evento o mediante código QR. La organización puede también optar por sustituir totalmente el método de autenticación, de modo que la contraseña sea proporcionada por el propio VinAccess, utilizando un sistema de sincronización de contraseñas en directorio activo como opción. Por último, esta solución está disponible para estaciones de trabajo Windows 7 y 8.x de 32 y 64 bits. www.vintegris.com noticias Kingston Digital lanza nuevos USB con cifrado, certificación FIPS 140-2 Nivel 3 y Management-Ready Dos son los nuevos modelos de memorias USB 3.0 que ha presentado Kingston Digital Europe: DataTraveler 4000 Gen. 2 y DataTraveler 4000 Gen. 2 Management-Ready. Ambas tienen la particularidad de haber sido diseñadas para salvaguardar los datos más valiosos de las empresas mediante encriptación. La primera tiene certificado FIPS 140-2 de Nivel 3 y cuenta con un precinto que garantiza la seguridad física, ya que detecta cualquier intento de acceder, utilizar o modificar el módulo criptográfico. La información está protegida con el cifrado basado en hardware AES 256 bits en modo XTS. La segunda, además de todo lo anterior, ofrece la gestión SafeConsole de BlockMaster, con opciones como la de restablecer contraseñas de forma remota. www.kingston.com Eset presenta nuevos packs de seguridad para pymes, autónomos y particulares Pensando en las necesidades de seguridad de las pequeñas y medianas empresas, Eset ha iniciado la comercialización de la suite Secure Office, que incluye licencias de NOD32 Endpoint Security, File Security y NOD32 Mobile Security Business. Y para aquellas que cuenten con un servidor de correo electrónico, propone Secure Office Advanced, que incluye toda la protección anterior más Mail Security. Todos ellos se pueden gestionar a través de la consola Remote Administrator. Por su parte, para particulares y autónomos, la compañía ha lanzado ESET Multidispositivo, compuesto por Smart Security Edición 2015 y NOD32 Mobile Security, que proporciona protección tanto para ordenadores de sobremesa como para dispositivos móviles o tabletas, disponible en varias modalidades de licencia. www.eset.es novedades Nuevas soluciones de protección de usuarios de Sophos Sophos anuncia el lanzamiento soluciones de protección de usuario de última generación, a través de nuevas versiones de sus productos clave de seguridad. Además de políticas de protección contra malware y amenazas avanzadas, la protección de usuario incluye la integración de cifrado, protección móvil y endpoint. Entre los lanzamientos se encuentra Malicious Traffic Detection, que detecta ordenadores infectados al comunicarse con servidores de comando y control de atacantes. Otra novedad es System Protector, que es el "cerebro" del agente actualizado para estaciones. Permite correlacionar información desde Malicious Traffic Detector y otros componentes para identificar amenazas que podrían no ser interpretadas como dañinas por ningún otro componente por sí solo. www.sophos.com/es-es Disponible ya en España MicroStrategy 9s F5 agiliza la gestión y entrega de aplicaciones z13, el 'mainframe' más potente y seguro de IBM Ya está disponible en el mercado español MicroStrategy 9s, la plataforma para securizar la información en la que se unen funciones de análisis de datos, seguridad empresarial y movilidad, desarrollada por la compañía MicroStrategy. Entre sus novedades, destaca la incorporación de capacidades de ciberseguridad a través de la integración de Usher, una herramienta de identificación móvil que permite asegurar accesos a través de biometría y localización, sin necesidad de requerir ninguna contraseña para autenticarse. Aparte de esto, ofrece también mejores capacidades de administración y seguimiento de los usuarios identificados. www.microstrategy.com/es F5 Networks ha anunciado la nueva versión de BIG-IQ, su marco de gestión inteligente que proporciona un único punto de integración para la administración y orquestación de servicios de seguridad y de entrega de aplicaciones. Con esta actualización, la herramienta permite una colaboración más profunda entre el centro de operaciones de red y los equipos de desarrollo mediante la gestión centralizada de la entrega de aplicaciones y el uso del control de acceso basado en roles (RBAC). Para ello ofrece una interfaz de usuario innovadora y APIs RESTful para gestionar de forma centralizada los dispositivos F5 BIG-IP. www.f5.com Fruto de la inversión de más de mil millones de dólares y cinco años de desarrollo, IBM ha mostrado el z13, su mainframe más potente y seguro con el que intenta dar respuesta a los nuevos retos que supone la movilidad. De hecho, es capaz de procesar 2.500 millones de transacciones al día. Además, el sistema incorpora 500 nuevas patentes de tecnología para el cifrado, que hacen más fiables las transacciones desde dispositivos móviles. Por último, cuenta con una nueva tecnología analítica que ofrece información en tiempo real sobre transacciones móviles, 17 veces más rápido que cualquier otro sistema del mercado, según asegura la empresa. www.ibm.com/es/es red seguridad noviembre 2007 71 asociaciones noticias SIGECO fomenta la colaboración público-privada E l O bservatorio de S eguridad Integral, Gestión de Emergencias y Continuidad Operativa (SIGECO) nació en 2014 por iniciativa de profesionales pertenecientes a distintos ámbitos de la seguridad, las emergencias, la gestión de crisis y la continuidad en su visión integral y holística; entre ellos, representantes de Continuam y de la Fundación Borredá, cuya máxima responsable, Ana Borredá, ha asumido el cargo de vicepresidenta segunda. Contamos asimismo con Ernesto Peñafiel como vicepresidente primero. Unidos por la necesidad de abordar de forma conjunta la prevención, la continuidad de negocio y operativa, la seguridad integral y las emergencias para fomentar la resiliencia, tanto a nivel empresarial como social, decidimos poner en marcha el proyecto, hecho realidad en Tres Cantos. Dicha localidad, junto a su parque empresarial e industrial, es un modelo, referente y centro de excelencia en la gestión de las emergencias, crisis y alertas de seguridad, siendo el primer municipio de la Comunidad de Madrid en homologar su Plan Territorial Municipal (PLATERMU) de protección civil y en desarrollar una plataforma tecnológica (ESFERA) Pedro Pablo López Presidente de gestión de información para su implantación, siempre bajo un modelo de resiliencia social basado en la cooperación, colaboración y coordinación público-privada. Por este motivo, y siendo uno de los objetivos de SIGECO realizar acuerdos intersectoriales público-privados, se ha firmado un acuerdo de colaboración entre el Ayuntamiento de Tres Cantos y el observatorio a través del cual se van a desarrollar diversas actividades en materias de seguridad integral, protección civil y gestión de emergencias y continuidad operativa para potenciar los procesos de modernización tanto de las Administraciones Públicas como de las privadas. El acuerdo se materializará a través de acciones formativas, jornadas, eventos, seminarios, congresos, trabajos de investigación, estudios, publicaciones, etc. En resu- men, se fomentará la cultura de emergencias y gestión de crisis basándose en la cooperación y coordinación que deben regir las relaciones entre instituciones y organismos en aras de garantizar la resiliencia. SIGECO cuenta con un foro de expertos que, mediante grupos de trabajo, dará a conocer experiencias profesionales, propuestas, iniciativas, etc., con debates sobre la práctica de la profesión y también el intercambio de opiniones y puntos de vista. Y otro de los fines del observatorio será fomentar las certificaciones especializadas en los procesos de gestión de las emergencias, crisis y alertas de seguridad a nivel local e internacional como garantías de calidad. Los interesados en sumarse a SIGECO pueden hacerlo enviando un correo electrónico a la dirección [email protected]. Tres Cantos, sede de SIGECO El pasado 10 de febrero, Jesús Moreno, alcalde de Tres Cantos, presentó el Observatorio de Seguridad Integral, Gestión de Emergencias y Continuidad de Negocio (SIGECO), que tendrá su sede en dicha localidad. El acuerdo firmado entre ambas partes persigue realizar actuaciones, análisis e intercambio de información entre profesionales, organismos y empresas público-privadas en pro de una iniciativa común de seguridad en los ámbitos institucional y empresarial. Durante la presentación, Antonio Avilés, segundo teniente de alcalde y concejal de Economía, Comercio y Empleo, subrayó la necesidad de aunar sinergias entre empresas e instituciones, puesto que “la buena gestión de una emergencia es positiva para la actividad profesional”. Por su parte, Jesús Serrada, concejal de Seguridad y Movilidad, señaló que la colaboración públicoprivada “es especialmente importante en temas de seguridad y prevención de riesgos”. 72 red seguridad febrero 2015 asociaciones noticias Visión holística de la continuidad de negocio Como nuevo presidente de la junta directiva del Instituto de Continuidad de Negocio (Continuam), quiero, en primer lugar, reconocer públicamente la labor de nuestro presidente de honor, César Pérez-Chirinos, del que, tomando su testigo, intentaré estar a la altura y gobernar esta nueva etapa de tal forma que Continuam siga posicionándose como instituto de referencia. Asimismo, deseo agradecer a la Fundación Borredá su incorporación a nuestra asociación, a través de la presencia de su presidenta, Ana Borredá, como vicepresidenta segunda de la Continuam. Junto con ella, en la junta directiva de la organización está presente una gran profesional como es María Parga, que ejerce el cargo de vicepresidenta primera. entre entidades. En el año 2007, de las iniciativas de personas de dicho grupo surgió la idea de formar un foro centrado en la continuidad de negocio en el seno del sector financiero y con la participación de órganos reguladores, dando lugar a CECON (Consorcio Español de Continuidad de Negocio). CECON se ha venido reuniendo desde 2007, en sedes de distintas entidades y órganos, en sesiones plenarias donde todos los miembros tienen voz, voto y veto al mismo nivel. El consorcio se ha estructurado en grupos de trabajo, entre ellos uno muy especial para nosotros, ICON, hoy nuestro Instituto de Continuidad, hecho realidad en 2010 como apuesta de futuro en el ámbito de la continuidad global de negocio en su visión holística. Origen Nuestro origen tiene lugar en foros sectoriales del ámbito financiero dedicados al riesgo operativo (Basilea II), como el Grupo CERO (Consorcio Español de Riesgo Operativo), que desde hace años es punto de encuentro y colaboración no formal Objetivos Entre los objetivos de Continuam se encuentra el impulso de un foro de colaboración para profesionales con intereses en el ámbito de la continuidad de negocio; fomentar la oferta de servicio de calidad contrastada de formación, consultoría y certifica- Pedro Pablo López Presidente ción; promocionar a España hacia el exterior como centro de excelencia de continuidad de negocio (Continuam Ready), etc. Además, en los últimos años la asociación ha participado en numerosas jornadas, algunas de ellas en calidad de patrocinador. Desde estas páginas les animo a sumarse a nuestro objetivo de crear, divulgar y fomentar la cultura de la continuidad de negocio en su visión holística, a construir la resiliencia organizacional y de la sociedad y a entrenar la táctica y operativa de la gestión de crisis y emergencias. Acuerdo con el Centro de Ciberseguridad Industrial Entre los acuerdos de colaboración suscritos por Continuam destaca el firmado con el Centro de Ciberseguridad Industrial (CCI), cuyo fin es la realización conjunta de actividades de divulgación, formación e investigación que beneficien a ambas partes. El convenio fue motivado por la creciente importancia de la continuidad de negocio en un escenario global. Por ello, ambas organizaciones coinciden en que la mejor forma de abordar el futuro es a través del diálogo, la colaboración y un mayor y mejor entendimiento entre los profesionales que se dedican a la resiliencia. Con este objetivo, Continuam y el CCI abordarán acciones orientadas a profundizar en esa colaboración y entendimiento entre los distintos ámbitos de la continuidad de negocio. Los interesados en contactar con Continuam pueden hacerlo enviando un correo electrónico a la dirección [email protected]. 73 red seguridad febrero 2015 red seguridad febrero 2015 73 eventos agenda TIC Circumvention Tech Festival Sexta Rooted CON 2015 CeBIT 2015 Del 3 al 6 de marzo, Valencia Del 5 al 7 de marzo, Madrid Del 16 al 20 de marzo, Hannóver Se reunirá en España a la comunidad internacional que lucha contra la censura y vigilancia en Internet, uniendo fuerzas en un encuentro único. Rooted CON nació con el propósito de promover el intercambio de conocimientos entre los miembros de seguridad, reivindicando a los profesionales hispanoparlantes. Es el mayor evento de tecnológias de la información a escala europea para las jóvenes empresas tecnológicas. CeBIT 2015 cuenta con un amplio programa de ponencias. www.circumventionfestival.es www.rootedcon.com www.cebit.de Foro de Ciberseguridad y Negocio MIPS 2015 Moscú Expo Tecnología TIC's y Seguridad 24 de Marzo, Madrid Del 13 al 16 de abril, Moscú Con el lema Estrategias para combatir el Cibercrimen Deloitte organizará este foro con la colaboración de BlueCoat Systems y Red Seguridad. En esta edición el evento ruso se dividirá en cuatro sectores: soluciones de seguridad, CCTV y video vigilancia, incendios y seguridad TI. Este evento pretende acercar a los fabricantes, mayoristas y distribuidores con los integradores y usuarios corporativos finales de las TIC. www.deloitte.es www.mips.ru www.expo-tecnologia.com MundoHacker Day X1RedMasSegura 2015 XVII ISMS Forum Spain Del 28 al 29 de abril, Madrid Del 22 al 23 de mayo, Madrid 20 de mayo, Madrid Durante dos días se reunirán expertos del mundo hacker en donde realizarán demos de seguridad informática y hacking, además habrá mesas redondas con las grandes empresas del sector TIC. Durante estos dos días se tendrá la oportunidad de escuchar a profesionales de la seguridad transmitiendo sus conocimientos y experiencias sobre Internet para hacerlas llegar a los usuarios finales. Reconocidos expertos nacionales e internacionales, profesionales y autoridades analizarán los conflictos que las implementaciones de seguridad pueden llegar a ocasionar en la privacidad de las personas. www.mundohackerday.com www.x1redmassegura.com www.ismsforum.es 9ENISE MERIDIAN 2015 Del 19 al 20 de Octubre, León Del 21 al 22 de Octubre, León La novena edición del ENISE, Encuentro Internacional de Seguridad de la Información se celebrará los días 19 y 20 de octubre en León. La Conferencia Meridian 2015 es un evento internacional especializado en seguridad de las Infraestructuras Críticas. El Congreso Meridian 2015 tendrá lugar este año en León. Del 21 al 23 de abril, México destacados VII Seg2 Junio 2015, Madrid El próximo mes de junio, se analizarán los últimos avances de las estrategias globales de Seguridad, enfocadas a la gestión del fraude. www.redseguridad.com 74 red seguridad www.incibe.es febrero 2015 al servicio de la seguridad Socios Protectores: www.fundacionborreda.org
© Copyright 2024