Red Seguridad

Revista especializada en Seguridad de la Información
Nº 68 Febrero 2015 Época II
VISIÓN DE 360°
APLICACIONES DE 360°
Obtenga una visión completa y detallada de toda la escena reduciendo el número de cámaras convencionales
a instalar. Las cámaras Fisheye de Hikvision cuentan con un elegante y discreto diseño, adecuadas para
instalaciones de interior y exterior. Son la mejor opción para profesionales de la seguridad en aeropuertos,
centro comerciales, parkings, oficinas, restaurantes, zonas públicas, etc…
- C/ Almazara, 9 - 28760 Tres Cantos (Madrid) - Spain. Tel. +34 917371655 - Fax +34 918058717
[email protected] - www.hikvision.com
www.redseguridad.com
editorial
Compromiso
político
El gigantE dE la ElEctrónica Sony, los grandes almacenes
Target, la cadena de bricolaje Home Depot, la aseguradora
Anthem y hasta el Mando Central del Pentágono, a través
de sus cuentas de Twitter y Facebook, son algunas de las
empresas e instituciones públicas que han sufrido algún
tipo de ataque informático en los últimos meses. Sin olvidar,
por supuesto, el 'hackeo' a finales de enero de un servidor
web francés, el cual afectó a más de 19.000 páginas, tan
solo unos días después del execrable asalto a la sede de la
revista satírica Charlie Hebdo.
Ante esta escalada de ciberataques el pasado 13 de
febrero el presidente de Estados Unidos, Barack Obama,
decidió dar un paso adelante y aprobó una orden ejecutiva para mejorar la lucha contra los ataques en la Red,
que impulsa la colaboración entre las empresas, así como
entre el sector privado y el Gobierno. De hecho, la nueva
medida facilitará el acceso de las compañías a información
confidencial sobre amenazas cibernéticas en manos del
Ejecutivo. Y es que, como aseguró durante su discurso en la
Universidad de Stanford (California), la ciberseguridad tiene
que ser una misión compartida en la que las organizaciones
y el sector público trabajen como verdaderos aliados. “Gran
parte de nuestras redes informáticas e infraestructuras
críticas están en el sector privado, lo cual significa que el
Gobierno no puede hacer esto solo. No obstante, el sector
privado tampoco puede hacerlo solo, entre otras razones
porque es el Gobierno quien a menudo cuenta con la última
información sobre nuevas amenazas”, afirmó Obama.
Una de las consecuencias de la aprobación de esta
orden ministerial en Estados Unidos ha sido la creación del
Centro de Integración de Inteligencia contra la Amenaza
Cibernértica (CTIIC, por sus siglas en inglés), cuya idea es
replicar el modelo de trabajo utilizado por el Centro Nacional
de Contraterrorismo, creado para combatir el terrorismo a
partir de los atentados del 11S. En este sentido, resulta satisfactorio que el poder político comience a apostar de lleno por
la cooperación y coordinación con empresas e instituciones
en términos de ciberseguridad, impulsando nuevas medidas
y dotándolas de recursos económicos y humanos.
Afortundamente, hace ya varios meses que el Gobierno
español también consideró reforzar esta lucha con la aprobación de la Estrategia de Ciberseguridad Nacional, la cual,
entre otras cuestiones, hace hincapié, junto con la Ley
8/2011 de 28 de abril, en la importancia de proteger las
infraestructuras críticas del país ante posibles ataques. No
hay que olvidar que actualmente continuamos en el Nivel
3 de alerta por terrorismo, con lo que eso conlleva para la
protección de los operadores que trabajan en estos sectores fundamentales para la buena marcha del país.
Pero todo ello sería imposible conseguirlo de forma aislada.
Tal y como se detalla en el reportaje que puede encontrar
en páginas interiores sobre ciberseguridad en infraestructuras críticas, son muchos los organismos que actualmente
trabajan para asegurar que todo marche a la perfección
en materia de ciberseguridad, desde el Centro Nacional de
Protección de Infraestructuras Críticas (CNPIC), el Instituto
de Ciberseguridad (Incibe), el CERT de Seguridad e Industria
(CERTSI), el Centro Criptológico Nacional (CCN) y el Centro de
Ciberseguridad Industrial, hasta otros CERT y CSIRT públicos
y privados repartados por toda España. Todo ello sin olvidar
la labor que realiza el Mando Conjunto de Ciberdefensa, la
Brigada de Investigación Tecnológica de la Policía y el Grupo
de Delitos Telemáticos de la Guardia Civil.
Es conveniente, por tanto, la coordinación de todas
estas instituciones en aras de una mayor eficacia en la
lucha contra los ciberterroristas. Además resulta fundamental tener en cuenta el ámbito tecnológico en los planes
estratégicos sectoriales en desarrollo y cuyo objetivo es
definir las actividades de cada uno de los doce sectores
coinsiderados críticos para el país, y que abarcan desde
la Administración, el agua o la alimentación, hasta las
industrias químicas y nuclear, la salud, el transporte o las
Tecnologías de las Información. Por eso, en las reuniones de
coordinación entre las instituciones garantes de la seguridad
en infraestructuras críticas no se pueden pasar por alto
referencias y estrategias específicas en el ámbito concreto
de la ciberseguridad.
Y por parte de las compañías que operan en estos sectores también ha de existir un diálogo fluido con los organismos públicos y un intercambio continuo y constante de
información, incluyendo datos sobre posibles ciberataques
detectados en sus infraestructuras. Un papel fundamental
en este sentido lo tiene el sector industrial, cuya modernización y adaptación de su maquinaria a las necesidades
actuales no debe ser óbice para descuidar un aspecto clave
como es la seguridad. No en vano, una mejor gestión de los
activos industriales no significa un descuido en la protección
de sus bienes, máxime teniendo en cuenta que son el verdadero corazón de su negocio.
Por tanto, desde aquí no nos cansaremos nunca de
insistir en la necesidad de estar alerta frente a los cada
vez más numerosos y dañinos ciberataques con todos
los recursos disponibles. Y al frente de todo ello deben
encontrarse los organismos y Administraciones Públicas y,
especialmente, el Gobierno, con el firme compromiso político de apoyar todas las medidas necesarias para salvaguardar unas instituciones e infraestructuras que cada día dependen más de las nuevas tecnologías.
red seguridad
febrero 2015
3
sumario
sobre la mesa
16
editorial
3
Organizaciones invitadas:
CNPIC, Iberdrola, Deloitte,
BDO Auditores, EY.
Compromiso político
Desayuno patrocinado
por: ISACA Madrid.
obituario
Arjan Sundardas
5
Adiós a un profesional
22
monográfico PIC
Las infraestructuras críticas, en
el blanco de los cibercriminales
Especial PIC
entrevista
Joaquín Castellón
6
Director operativo del
Departamento de Seguridad
Nacional
10
IX Trofeos de la
Seguridad TIC
Premiados:Check Point, Panda
Security,Symantec, Criptored y Arjan
Sundardas
42
protagonista TIC
Joan Taulé
Director general de
Symantec Iberia
60
monográfico
Hacking ético
CONSEJO TÉCNICO ASESOR
PRESIDENTE
Guillermo Llorente Ballesteros
Mapfre
Joaquín González Casal
Asociación de Ingenieros
e Ingenieros Técnicos en
Informática (ALI)
VOCALES
José Luis Rodríguez Álvarez
Agencia Española de
Protección de Datos (AEPD)
Vicente Aceituno Canal
Asociación Española para la
Seguridad de los Sistemas de
Información (ISSA España)
José Manuel de Riva
Ametic
Juan Muñoz
ASIS España
Guillermo Martínez Díaz
Asociación de Empresarios de
TIC de Andalucía (ETICOM)
Ricardo López Lázaro
Confederación Española de
Cajas de Ahorros (CECA)
Fermín Montero Gómez
Dirección General de
Economía, Estadística e
Innovación Tecnológica de
la Comunidad de Madrid
Miguel Manzanas
Unidad de Investigación
Tecnológica (UIT) del Cuerpo
Nacional de Policía
Óscar de la Cruz Yagüe
Grupo de Delitos Telemáticos
(GDT) de la Guardia Civil
Miguel Rego Fernández
Instituto Nacional
de Tecnologías de la
Comunicación (INCIBE)
Ricardo Barrasa
ISACA Capítulo de Madrid
Gianluca D'Antonio
ISMS Forum Spain
Vicente Aguilera Díaz
Open Web Application
Security Project (OWASP)
Jorge Ramió Aguirre
Universidad Politécnica
Madrid (UPM)
CONSEJEROS
INDEPENDIENTES
Emilio Aced Félez
Tomás Arroyo
Javier Moreno Montón
Javier Pagès
Olof Sandstrom
PRESIDENTE DE HONOR
Alfonso Mur Bohigas
de
STAFF
Suscripción anual:
50 euros (España), 110 euros (Europa,
zona euro), 150 euros (resto países)
Depósito Legal: M-46198-2002
ISSN: 1695-3991
Borrmart: Presidente: Francisco Javier Borredá Martín. Presidente de Honor: José Ramón Borredá. Directora general: Ana Borredá. Adjunto a
la Presidencia y a la Dirección General: Antonio Caballero Borredá. Publicidad: Marisa Laguna, Pedro Jose Pleguezuelos, Paloma Melendo y
Francisco G. Lorente. Gestión y Control: Carmen Granados. Directora de Relaciones Institucionales: Mª Victoria Gómez.
Red Seguridad: Directora: Ana Borredá. Redactor Jefe: Enrique González Herrero. Colaboradores: Bernardo Valadés, David
Marchal, Laura Borredá, Leticia Duque Guerrero y Jaime Sáez de la Llave. Maquetación: Macarena Fernández López y Jesús
Vicente Ocaña. Fotografía: Banco de imágenes Thinkstock/GettyImages. Diseño: Escriña Diseño Gráfico.
Suscripciones: Mª Isabel Melchor y Elena Sarriá. Dirección Financiera: Javier Pascual Bermejo. Redacción, Administración y
Publicidad: C/ Don Ramón de la Cruz, 68. 28001 Madrid Tel.: +34 91 402 96 07 Fax: +34 91 401 88 74
www.borrmart.es www.redseguridad.com [email protected]. Fotomecánica e impresión: Reyper.
RED SEGURIDAD no se responsabiliza necesariamente de las opiniones o trabajos firmados, no autoriza la reproducción de textos e ilustraciones sin autorización escrita.
Usted manifiesta conocer que los datos personales que facilite pasarán a formar parte de un fichero automatizado titularidad de BORRMART, S.A. y podrán ser objeto de tratamiento, en los términos previstos en la Ley Orgánica 15/1999, de 13
de Diciembre y normativa al respecto. Para el cumplimiento de los derechos de acceso, rectificación y cancelación previstos en dicha ley diríjase a BORRMART, S.A. C/ Don Ramón de la cruz, 68. 28001 Madrid.
consejo técnico asesor
obituario
Adiós a un profesional irreemplazable
de la seguridad TIC
El sector de la seguridad TIC despidió en diciembre a Arjan Sundardas, un profesional
que destacó durante su vida por sus iniciativas docentes, su trayectoria profesional y
por su loable personalidad.
brillante, amable, generoso, inteligente, cercano, alegre,
humilde, gran amigo… Son interminables las expresiones y adjetivos
dedicados en las últimas semanas
a Arjan Sundardas entre quienes le
han recordado tras su fallecimiento
el pasado diciembre, a los 42 años.
Pero por muchos elogios que se le
atribuyan, siempre serán pocos para
rendir tributo a este ceutí nacido en
1972. Deja una huella imborrable
en el sector de la seguridad de las
tecnologías de la información, no
sólo por su capacidad profesional
o por su tremenda labor docente,
sino también por su encantadora
personalidad.
Para RED SEGURIDAD queda el
vacío importante de un profesional
que durante su etapa como presidente del Consejo Técnico Asesor
de la publicación (2010-2014) ayudó
en todo momento a poner en claro la
excepcional,
realidad tecnológica que nos envuelve. La ética presidía siempre su postura y también la humildad a la hora
de escuchar las opiniones ajenas.
A este experto profesor también le
gustaba aprender.
Ese deseo de recibir y aportar
conocimientos, así como el amor
a su tierra, le empujó a impulsar
en Ceuta, en 2010, la Escuela de
Negocios del Mediterráneo, su proyecto docente más ilusionante y
al que dio mayor valor. También
colaboró con diferentes instituciones
educativas como la UNED, la universidad Politécnica de Valencia o
la Fundación Universidad Empresa,
y especialmente con el Instituto de
Empresa, donde era profesor asociado desde 2002.
Esa labor, unida a su trayectoria
como directivo, hicieron merecedor
a este ingeniero técnico de múltiples
reconocimientos relacionados con
las tecnologías de la información,
algunos de ellos internacionales.
Poco antes de fallecer, Arjan
Sundardas escribió para esta revista
unas líneas en las que reflexionaba
sobre el ritmo de vida de los directivos, que compartimos a continuación. (DEP)
La salud, la asignatura más importante de la vida
Arjan Sundardas (DEP)
Habitualmente, los directivos no cuidamos nuestra salud y acostumbramos a
ir al cien por cien. Desgraciadamente,
hace algo más de un año contraje una
enfermedad grave y me ha tenido en el
dique seco todo este tiempo, en el que
he podido reflexionar sobre el estilo de
vida y cómo nos afecta en nuestro día
a día. No me da pena estar yendo al
ciento por hora y luego tener que frenar
de repente de forma súbita.
Podemos hablar de cuatro grandes
bloques de actuación para mejorar
nuestra salud en el día a día, que nos
suponen gran esfuerzo pero que, usado
de forma conjunta, puede mejorar nuestra calidad de vida.
Ejercicio físico: un hábito saludable
puede ser andar en torno a dos kilómetros al día o, lo que es mismo, una hora
a paso pausado que nos permita de
alguna manera entrar en un momento de
reflexión que nos conduzca a la meditación, y a la vez estar en forma.
Alimentación: es clave para mantener
el equilibrio cuando estamos ante situaciones de alto estrés. El consumo regular
de verduras y frutas, así como otros
componentes, nos permite aumentar
nuestras defensas frente a agentes patógenos como células cancerígenas. No
puedo profundizar más, aunque existen
múltiples fuentes donde encontrar información al respecto de alimentos que nos
dan la máxima defensa.
Existen diversos alimentos que ayudan a nuestro sistema inmune que han
sido analizados, como son el té verde, la
cúrcuma, las zanahorias, la guanábana
o los frutos rojos. Por supuesto, cuanto
más ecológicos, mejor.
Meditación: una técnica milenaria que
proviene de Oriente y ha permitido a sus
habitantes una mayor esperanza de vida.
Oración: como dice mi buen amigo
Enrique, no sabemos cuán potente es
la oración. De hecho, muchas oraciones
de religiones antiguas, como la hindú,
budista o cristiana, tienen en sus oraciones un ritmo con una clave que entra
en resonancia con las células de nuestro organismo, al igual que ocurre con
los ritmos de respiración, provocando
bienestar.
La combinación de todas estas técnicas, una buena alimentación y el uso
de la meditación ayudan al directivo en
momentos de alto estrés. Nuestra vida
como directivos cada vez es más complicada, más estresante y tenemos que
intentar llevar unos hábitos saludables
para poder sobrevivir a todos estos
agentes patógenos que nos pueden
afectar. De hecho, la vida saludable
debería ser asignatura obligatoria en los
MBA de alto nivel.
red seguridad
febreo 2015
5
administración
entrevista
Joaquín
Castellón
Director operativo del
Departamento de Seguridad
Nacional
A nadie extraña ya que
la ciberseguridad se
haya convertido en una
cuestión de Estado.
“Los grandes desafíos para la
seguridad nacional son el terrorismo
yihadista y las ciberamenazas”
Países como EEUU
y Reino Unido sellan
alianzas para combatir
a los ciberterroristas.
En España, según
Joaquín Castellón,
director operativo del
Departamento de
Seguridad Nacional, se
han habilitado los resortes
necesarios para ofrecer
respuestas integrales
a las numerosas
amenazas que plantea
el ciberespacio, desde
los ataques a intereses
públicos hasta el
proselitismo.
6
red seguridad
Tx: Bernardo Valadés
Ft: Dpto. de Seguridad Nacional
Más de un año después de aprobarse, ¿cuál es su valoración sobre
la Estrategia de Ciberseguridad
Nacional?
Muy positiva, no sólo por el avance sustancial que ha supuesto en
España adoptar un documento político-estratégico en dicha materia, sino
por el desarrollo orgánico inmediato
que trajo aparejada la aprobación
de la Estrategia con la creación del
Consejo Nacional de Ciberseguridad.
Conscientes del gran desafío que
implica garantizar la seguridad en
el ciberespacio, la Estrategia vino a
colmar una laguna existente y ofreció
el marco de referencia que se necesitaba, basado en la coordinación
de todos los actores con responsabilidad y competencia en ciberseguridad bajo la dirección última del
presidente del Gobierno.
Era especialmente necesario establecer unas líneas de acción claras
febrero 2015
que orientasen la acción del Estado.
Y también desarrollar estructuras
orgánicas que permitiesen ofrecer
respuestas integrales a los problemas de seguridad que se plantean en
el ciberespacio.
¿Qué objetivos se marcaron con
la Estrategia de Ciberseguridad
Nacional y cuáles se han concretado ya?
El objetivo general de la Estrategia es
lograr que España haga un uso seguro del ciberespacio, fortaleciendo las
capacidades de prevención, defensa,
detección y respuesta ante los ciberataques. Ese objetivo se traduce en
otros específicos para el ámbito de las
Administraciones Públicas, las infraestructuras críticas, el ciberterrorismo, la ciberdelincuencia... Me gustaría
destacar la atención prioritaria que la
Estrategia otorga al ciudadano y al
sector privado, esenciales en la consecución del objetivo general fijado.
Un hito de especial relevancia ha
sido la creación del Consejo Nacional
de Ciberseguridad. Marca un antes
administración
entrevista
“La Estrategia de Ciberseguridad Nacional vino a
colmar una laguna existente y ofreció el marco de
referencia que se necesitaba”
y un después en la ciberseguridad
nacional, ya que ha permito avanzar significativamente en un espacio
participado por numerosos actores
donde la coordinación y la cooperación son esenciales.
En este sentido, quiero mencionar que el Consejo de Seguridad
Nacional, a propuesta del Consejo
Nacional de Ciberseguridad, ha dado
su conformidad al Plan Nacional de
Ciberseguridad. En él se recogen
medidas concretas para alcanzar los
objetivos marcados en la Estrategia
de Ciberseguridad en cada uno de
sus ámbitos de actuación.
Europa también tiene su propia
estrategia de ciberseguridad. En el
caso de las nacionales, ¿deberían
asemejarse a la redactada en el
seno de la Unión Europea?
Nuestra Estrategia se encuentra alineada con la europea. Durante el
proceso de elaboración se tuvieron
en cuenta los requisitos y el contenido del documento de la UE, aunque,
obviamente, respetando las peculiaridades nacionales.
Los intereses locales en materia
de ciberseguridad no se pueden
proteger sin promover a la par un
ciberespacio internacional seguro y
confiable, compromiso que se ha
de impulsar también en la UE. La
cooperación en el ámbito europeo
es esencial. Buena muestra de este
impulso es la propuesta de directiva
del Parlamento Europeo y el Consejo
sobre medidas para garantizar un
elevado nivel común de seguridad de
las redes y de la información.
España deberá implementar la
conocida como Directiva NIS y realizar
los ajustes orgánicos precisos, toda
vez que se requiere la designación de
una autoridad competente y un CERT
nacional responsable. Ahora bien, no
conviene olvidar que las directivas
son normas europeas que otorgan a
los Estados miembros un margen de
discrecionalidad en su desarrollo, por
lo que el reto será acertar con una
respuesta acorde a nuestras necesidades e intereses nacionales.
EEUU y Reino Unido han acordado fortalecer su cooperación en
materia de ciberseguridad. ¿Qué
opinión le merece este tipo de
acuerdos bilaterales? ¿No sería
más lógico un entendimiento entre
EEUU y la UE?
La estrecha relación entre EEUU y
Reino Unido ha dado lugar a numerosos acuerdos de cooperación bilateral. No debe extrañar, pues, que
hayan alcanzado acuerdos concretos
en materia de ciberseguridad. Pero
es deseable que la UE juegue un
papel cada vez más importante y
alcance convenios importantes de
cooperación con otras organizaciones y países en beneficio del conjunto
de la región. Igualmente, creo que los
bilaterales, como el de EEUU y Reino
Unido, pueden ser un buen complemento a los ya alcanzados por la UE.
El año pasado varios ministerios
españoles sufrieron ciberataques.
¿Cómo se combaten?
Ser consciente de la importancia estratégica de la seguridad en el ciberespacio implica priorizar la disponibilidad de
capacidades de prevención, detección,
respuesta y coordinación frente a los
ciberataques. Contamos con buenos
recursos, capacidades y conocimiento
en el ámbito operativo, donde siempre se deben continuar estrechando
los compromisos de cooperación para
ofrecer respuestas integrales a retos
complejos y transversales.
En España se está impulsando la
gestión de crisis de cualquier naturaleza en el nivel político-estratégico y
es precisamente en este punto donde
también se debe reforzar la acción en
materia de ciberseguridad, de forma
que los niveles operativo, táctico y
político-estratégico estén perfectamente sincronizados, y así, ante crisis
¿En nuestro país se prevé destinar
más recursos económicos para
hacer frente a las ciberamenazas?
España, a través de diferentes organismos, dedica una importante partida presupuestaria a la ciberseguridad,
aunque es difícil de cuantificar al no
estar agrupado el gasto. Se deben
poner de forma decidida capacidades
al servicio de la ciberseguridad. Las
ciberamenazas son un desafío creciente para la seguridad nacional, por lo que
el compromiso de la Administración ha
de ser global y cubrir todos los aspectos, incluido el económico. El Consejo
Nacional de Ciberseguridad permite
efectuar una priorización en el gasto y
establecer unos criterios sólidos para
nuevas inversiones. En ello se está
trabajando y a buen ritmo.
Joaquín Castellón declara que “las
ciberamenazas son un desafío
creciente para la seguridad nacional,
por lo que el compromiso de la
Administración ha de ser global”.
red seguridad
febrero 2015
7
administración
entrevista
mayores, se asegure el uso óptimo de
los recursos y se ofrezcan respuestas
eficaces, prontas y completas.
¿Hasta qué punto los estados son
capaces de combatir el proselitismo y el ciberterrorismo?
El Gobierno acaba de aprobar el Plan
Estratégico Nacional de Lucha contra la
Radicalización Violenta, que establece
tres ámbitos de actuación: el interno,
el externo y el ciberespacio. La importancia que otorga a este último es una
consecuencia directa del uso creciente
del mismo por parte de grupos terroristas, fundamentalmente en actividades
orientadas a la captación y financiación.
España es un país de referencia
mundial en la lucha contra el terrorismo,
las Fuerzas y Cuerpos de Seguridad
disponen de unidades especializadas
antiterroristas con una dilatada experiencia y no son ajenas al uso de la Red
por parte de las organizaciones terroristas. Por eso cada vez son mayores
las capacidades de estas unidades
dedicadas al ciberespacio.
No es la primera vez que en alguna
tertulia radiofónica aseguran que la
III Guerra Mundial se está librando
ya y que la misma es cibernética. ¿Tan importante es Internet en
los conflictos entre estados o para
hacer frente al terrorismo global?
Probablemente, el terrorismo yihadista
y las ciberamenazas son las dos grandes amenazas a la seguridad nacional
que debemos afrontar hoy en día. Las
ciberamenazas son un fenómeno contra el que se han de enfrentar a diario
gobiernos, empresas, ciudadanos etc.
Vivimos en un mundo hiperconectado
y totalmente dependiente de las nuevas tecnologías y, consecuentemente,
las carencias en seguridad del ciberespacio tienen grandes repercusiones
para la sociedad en general.
Creo que es algo exagerado hablar
de la III Guerra Mundial en referencia
a los problemas que nos plantea hoy
el uso nocivo del ciberespacio, pero
no lo es decir que representa un quebradero de cabeza constante para los
gobiernos y una prioridad en materia
de seguridad. A los dominios tradicionales donde se libraban las batallas
–tierra, mar y aire–, hay que sumar el
ciberespacio. Ya no es una novedad
que las fuerzas armadas de la mayo-
ría de los países de nuestro entorno
cuenten con unidades especializadas
en ciberguerra.
Es necesario crear una estructura de
gestión de crisis cibernéticas que abarque todos los niveles –táctico, operacional y político-estratégico– para poder
poner todos los recursos del Estado
–policiales, militares, servicios de inteligencia, diplomáticos, etc.– en defensa
de los intereses que pudieran verse
comprometidos en el ciberespacio.
El pasado mes de enero, tras los
atentados de París, España activó
el Plan Nacional de Infraestructuras
Críticas. ¿Qué papel desempeña
el Departamento de Seguridad
Nacional ante situaciones excepcionales como esta?
Es el órgano de asesoramiento al presidente del Gobierno en materias relacionadas con la seguridad del país.
Además, tiene encomendadas funciones de alerta y seguimiento de situaciones que pudieran derivar en una crisis
a nivel nacional. Para ello, se realiza un
seguimiento las 24 horas del día en diferentes ámbitos, incluido el de la ciberseguridad. El Centro de Situación del
Departamento de Seguridad Nacional
apoya al Consejo de Seguridad Nacional
en la dirección político-estratégica de la
gestión de crisis.
¿Los principales riesgos que deben
afrontar las infraestructuras críticas provienen del ciberespacio?
La lucha contra el terrorismo nos ha
permitido alcanzar un altísimo nivel de
protección de nuestras infraestructuras críticas desde el punto de vista de
la seguridad física. Pero, efectivamente, el reto de hoy es la ciberseguridad
y se está realizando un esfuerzo que
se materializa en grandes avances. La
apuesta de España en ciberseguridad
es decidida. El Gobierno ha sentado
las bases de manera firme y el camino
por delante se debe transitar con el
compromiso y esfuerzo de todos.
El director operativo del Departamento
de Seguridad Nacional advierte que,
en general, “las carencias en seguridad
del ciberespacio tienen grandes
repercusiones para la sociedad”.
8
red seguridad
febrero 2015
LA DEFENSA DEFINITIVA
CONTRA LAS AMENAZAS
Check Point Next Generation Threat Prevention
WE SECURE THE FUTURE
WWW.CHECKPOINT.COM
[email protected] | 91 799 27 14
trofeos red seguridad
corporativo
2014
Check Point, Panda Security, Symantec, Criptored y Arjan Sundardas,
ganadores de la novena edición
RED SEGURIDAD premia a los
profesionales de la seguridad TIC
El Hotel Meliá Castilla de Madrid volvió a acoger una nueva entrega de los
Trofeos de la Seguridad TIC. Un evento que congregó a más de un centenar de
profesionales del sector y en el que se rindió un sentido homenaje al tristemente
desaparecido Arjan Sundardas.
Tx.: Bernardo Valadés
Ft.: Francisco Lorente
Un año más, y ya van nueve, el madrileño Hotel Meliá
Castilla acogió la entrega de los Trofeos de la Seguridad
TIC que otorga nuestra publicación. Una cita a la que,
como es habitual, acudieron numerosos profesionales
del sector. Entre ellos, cabe destacar la presencia de
Fernando Sánchez, director del Centro Nacional para
la Protección de las Infraestructuras Críticas (CNPIC);
Miguel Rego, director general del Instituto Nacional de
Ciberseguridad (Incibe); Gregorio Miguel Pulido, teniente coronel del Mando Conjunto de Ciberdefensa; José
Luis Arranz, general de brigada de la Guardia Civil; los
comisarios Juan Manuel Calleja y Esteban Gándara,
del Cuerpo Nacional de Policía, y Luis Rivera Santana,
agregado jurídico adjunto para Crímenes Cibernéticos del
Federal Bureau of Investigation (FBI).
Tras las palabras de bienvenida a los presentes de
Ana Borredá, la directora de Red Seguridad cedió
10
red seguridad
feb 2015
Guillermo Llorente, presidente del CTA de RED SEGURIDAD.
IX edición
trofeos red seguridad
corporativo
2014
al testigo a Guillermo Llorente, nuevo presidente del
Consejo Técnico Asesor (CTA) de la revista en sustitución del tristemente desaparecido Arjan Sundardas. El
subdirector de Seguridad Corporativa y Medio Ambiente
de Mapfre ensalzó la dedicación de los miembros del
CTA, ya que, afirmó, “gracias a ella han conseguido
mantener el prestigio de estos premios”.
Asimismo, Llorente destacó la labor de la editorial
Borrmart y de la Fundación Borredá. “Ambas trabajan
firmemente para divulgar la actividad del sector de la
seguridad y, de manera especial, la relacionada con las
Tecnologías de la Información y la Comunicación (TIC).
Cuantos estamos relacionados con ella, aspiramos a que
tenga el reconocimiento que merece”, reclamó.
Por último, recordó que los protagonistas de la tarde eran
los galardonados, “las empresas, organizaciones y personas que han dedicado numerosas horas a preparar sus candidaturas. Con ellas, realzan la importancia de los trofeos y
recuerdan lo mucho y bueno que se hace en España”.
‘Marketplace’ de inteligencia
A continuación se procedió a la concesión de galardones.
El primer premio en entregarse fue el “Trofeo al Producto
o Sistema de Seguridad TIC”, otorgado a Check Point
Software Technologies por ThreatCloud IntelliStore, un
marketplace de inteligencia ante amenazas que permite a
las organizaciones seleccionar datos para prevenir automáticamente ciberataques.
Rosa Díez recibió el galardón de manos de Miguel Rego.
Rosa Díez recogió el premio de manos de Miguel
Rego. La directora general de Panda Security España
resaltó que “PAPS constituye un paso adelante en la
protección de los endpoints” y se congratuló de haber
comenzado el año recibiendo tan destacado galardón,
puesto que en 2015 la empresa conmemora su 25º
aniversario.
‘Made in Barcelona’
En cuanto al “Trofeo a la Innovación en Seguridad TIC”,
recayó en Symantec por VIP Access Push, “herramienta
de autenticación de doble factor que permite al usuario
identificarse de forma muy sencilla e intuitiva”, detalló
Joan Taulé, Regional Manager de Symantec Iberia.
Fernando Sánchez entregó el premio a Antonio Abellán.
Fernando Sánchez fue el encargado de entregar la
placa a Antonio Abellán, director comercial de Check
Point España, quien afirmó que la misma “anima a la
compañía a seguir trabajando con el objetivo de ser
un referente en su segmento de negocio. Y también a
innovar cada día más para ofrecer a los clientes mejores productos de seguridad”.
Un servicio disruptivo
Por lo que respecta al “Trofeo al Servicio de Seguridad
TIC”, se le concedió a Panda Security por el desarrollo
de Panda Advanced Protection Service (PAPS), una
solución para el control de aplicaciones que supone un
enfoque disruptivo frente al tradicional sistema de detección de software maligno en base a listas negras.
IX edición
Miguel Pulido y Joan Taulé durante la entrega del premio.
Una vez recibido el galardón, entregado por Gregorio
Miguel Pulido, Taulé reivindicó la solvencia de VIP
Access Push como sustituta del password tradicional.
“Ahora, el usuario se olvidará de la contraseña clásica,
reemplazada por la huella dactilar”, precisó. Además,
se mostró orgulloso del “carácter local” de dicha solución, desarrollada en gran parte en el centro de I+D+i
que Symantec posee en Barcelona
‘Píldoras’ divulgativas
Seguidamente, se concedió el “Trofeo a la Formación,
Capacitación, Divulgación o Concienciación en
red seguridad
feb 2015
11
trofeos red seguridad
corporativo
2014
Seguridad TIC” a Criptored, red temática de criptografía y seguridad de la información de la Universidad
Politécnica de Madrid, por el Proyecto Thoth, basado
en píldoras divulgativas a través de la Red.
Un año apasionante
En la recta final de la ceremonia, Ana Borredá dejó
patente que la ciberseguridad tiene una gran importancia a nivel global. “En 2014 saltaron a la luz pública amenazas persistentes avanzadas (APT) como
Dragonfly o Machete, y se produjeron ciberataques
a JP Morgan y otras entidades financieras, robos de
información como los sufridos por el Banco Central
Europeo, el famoso caso CelebGate, el sabotaje a
Sony o a las cuentas de Twitter y YouTube del Mando
Central de EEUU… Todo ello sin olvidar vulnerabilidades que, como Heartbleed, contribuyen a la inseguridad en la Red”, matizó.
Jorge Ramió y Alfonso Muñoz recogieron el trofeo a Criptored.
Guillermo Llorente entregó el premio a Alfonso Muñoz
y Jorge Ramió, doctores en Telecomunicaciones y
Sistemas Inteligentes en la Ingeniería, respectivamente.
El segundo de ellos agradeció el apoyo recibido por
Telefónica, a través del programa Talentum Startups,
y aseguró que el Proyecto Toth continuará hasta, al
menos, finales de 2016.
Ana Borredá, directora de RED SEGURIDAD.
Un modelo como persona
Una vez declarado desierto el “Trofeo a la Investigación
TIC”, se procedió a entregar el “Trofeo Extraordinario
del Jurado”, concedido, a título póstumo, a Arjan
Sundardas. Sobre quien fuera presidente del CTA de
Red Seguridad, Guillermo Llorente realzó su condición
de modelo “como profesional, jefe, compañero y esposo. Pero, sobre todo, como persona”. Alfonso Mur, presidente de honor del CTA, y Javier Borredá, presidente
de la editorial Borrmart, entregaron la placa a José
Antonio Romero, amigo personal de Sundardas, con el
deseo de hacérsela llegar a sus familiares.
Alfonso Mur entregó a José Antonio Romero el premio
postumo concedido a Arjan Sundardas.
12
red seguridad
feb 2015
5
Sobre 2015, la directora de esta publicación aseguró que será “apasionante” para la ciberseguridad.
“Queremos formar parte de él con proyectos atractivos y eficaces que contribuyan a difundir el conocimiento, la experiencia y la cultura de la seguridad. Por
nuestra parte, seguiremos abanderando la seguridad
integral desde Red Seguridad y Seguritecnia, que
este año se van a distribuir conjuntamente. Además,
organizaremos importantes eventos, caso del Seg2
en junio o la Jornada sobre Continuidad de Negocio,
junto a Continuam y Sigeco, en el último trimestre”,
avanzó.
Ejemplo de normalidad
Como es tradicional, una vez concluida la entrega de
trofeos se celebró un cóctel que permitió a los presentes intercambiar impresiones en un ambiente ameno.
Al abandonar el Hotel Meliá Castilla, un destacado
profesional –por discreción y seguridad, permítanme
que omita su nombre– me preguntó cuál era la estación de Metro más cercana. En una noche fría y desapacible, se decantó por el transporte público para
regresar a su domicilio en lugar de hacer uso de un
coche oficial. Un ejemplo de normalidad que, ciertamente, me sorprendió. Y es que, como bien puntualizó
Ana Borredá durante su discurso, en la ceremonia de
los Trofeos de la Seguridad TIC se dieron cita “los
mejores de los mejores”.
IX edición
La seguridad de su negocio depende
de encajar bien todas las piezas
Training
Vulnerability
Management
bugCenter
Application
Security
Threats
Intelligence
Analizador de código fuente
Gestión de auditorías de seguridad
Formación y certificaciones
en seguridad informática
Alertas tempranas de
amenazas en la red
@buguroo
www.buguroo.com
912 29 43 49
[email protected]
trofeos red seguridad
corporativo
2014
PREMIADOS IX EDICIÓN PREMIADOS IX EDICIÓN PREMIADOS IX
"Trofeo al Producto o Sistema de Seguridad TIC de 2014"
CHECK POINT
“La innovación es un factor clave a la hora de responder
al ritmo creciente de las amenazas”
Antonio Abellán
Director comercial de Check Point España
¿Qué representa para Check Point el trofeo otorgado por RED SEGURIDAD?
La innovación es un factor clave a la hora de responder al ritmo creciente de las
amenazas, por lo que recibir un reconocimiento así nos indica que estamos avanzando en la línea correcta: innovando y dando respuesta a las demandas del mercado, buscando soluciones que
faciliten a las empresas centrarse en sacar adelante sus negocios mientras nosotros nos ocupamos de que sus redes
se encuentren a la vanguardia en protección.
¿Qué aporta de novedoso ThreatCloud IntelliStore y cómo ha sido recibido por la industria?
ThreatCloud IntelliStore es el primer marketplace de ciberinteligencia. Se trata de un sistema de colaboración revolucionario que busca eliminar la fragmentación en el área de la inteligencia ante amenazas y nace como la primera
plataforma que agrega automáticamente los datos desde múltiples fuentes para conseguir una prevención en tiempo
real. La industria ha recibido el producto con expectación y gran interés. Lo que más han valorado nuestros clientes
es el hecho de poder seleccionar y personalizar datos desde una amplia variedad de fuentes de acuerdo con sus
propias necesidades e intereses.
Durante 2015, ¿qué nuevos productos y servicios lanzará Check Point? ¿En qué áreas focalizará sus desarrollos?
Las novedades siempre están dentro de nuestro continuo proceso de mejora. Este año tenemos previsto lanzar
nuevos productos al mercado, principalmente en las áreas de movilidad y prevención de amenazas y, más concretamente, en la de infraestructuras críticas.
"Trofeo al Servicio de Seguridad TIC de 2014"
PANDA SECURITY
“Presentamos un servicio que reduce prácticamente a
cero la posibilidad de que el malware no sea descubierto”
Rosa Díaz
Directora general de Panda Security para España
¿Qué significa para Panda Security haber sido reconocida con el Trofeo al
Servicio de Seguridad TIC que otorga RED SEGURIDAD?
Para nosotros supone un orgullo y una satisfacción. Estamos plenamente convencidos de que Panda Advanced Protection Service (PAPS) constituye un paso adelante en la protección del endpoint
y este trofeo viene a confirmarlo.
¿Qué características aúna PAPS para ser considerado un servicio disruptivo?
Gracias a PAPS, presentamos un servicio que reduce prácticamente a cero la posibilidad de que el malware no sea
descubierto. Clasifica todo lo que se intenta ejecutar y continúa monitorizando las acciones realizadas por las aplicaciones para proteger también contra posibles ataques a vulnerabilidades de aplicaciones legítimas. En suma, clasifica
y monitoriza continuamente la actividad de las aplicaciones en los endpoints y permite obtener una trazabilidad completa. Ningún otro proveedor de la industria del software de protección cuenta con una propuesta similar.
¿Cuál ha sido la aceptación de PAPS entre clientes, partners y analistas de la industria tecnológica?
La aceptación está siendo realmente buena. En España contamos con alrededor de 20 clientes, todos ellos grandes
cuentas, y el objetivo es superar este año los 50. Por otra parte, estamos viendo cómo los principales analistas están
avalando nuestra propuesta en sus informes. En el año 2018, según Gartner Group, el 80 por ciento de las plataformas
de protección del endpoint incluirán capacidades de análisis forense y monitorización de la actividad de los usuarios,
frente a menos del cinco por ciento registrado en 2013.
14
red seguridad
feb 2015
IX edición
trofeos red seguridad
corporativo
2014
PREMIADOS IX EDICIÓN PREMIADOS IX EDICIÓN PREMIADOS IX
"Trofeo a la Investigación en Seguridad TIC de 2014"
SYMANTEC IBERIA
“VIP Access Push posibilita que el proceso de
identificación en Internet sea más seguro”
Joan Taulé
Regional Manager de Symantec Iberia
¿Qué supone para Symantec el Trofeo a la Innovación en Seguridad TIC otorgado por RED SEGURIDAD?
En Symantec estamos comprometidos con la innovación, que impulsamos a través
del desarrollo, la diversidad y la creación de un entorno abierto, flexible y solidario. Por esta razón, estamos muy agradecidos a RED SEGURIDAD por otorgarnos el Trofeo a la Innovación en Seguridad TIC, un esperado reconocimiento
que nos enorgullece e impulsa a seguir mejorando día a día.
Desde la perspectiva de Symantec, ¿por qué creen que el CTA de RED SEGURIDAD se ha decantado por VIP
Access Push como la solución más innovadora de 2014?
VIP Access Push es una solución de alta seguridad enfocada al usuario, poniendo a su disposición nuevas capacidades técnicas para que el proceso de identificación en Internet sea más seguro, fácil de usar y de aplicar. Es este
compromiso de ayuda al usuario lo que la hace diferente.
¿Qué presupuesto dedica la compañía a I+D+i? ¿En qué nuevos desarrollos está trabajando Symantec para
combatir las ciberamenazas?
La inversión en I+D+i es un punto relevante para la compañía, que destinó un 16 por ciento de su facturación a este
fin en 2014. En cuanto a nuevos desarrollos, recientemente desvelamos Symantec Managed Security Services y
Symantec Advanced Threat Protection Solution, dos innovadoras soluciones que se sirven de la tecnología e inteligencia global de la compañía para proteger al usuario de forma aún más completa y exhaustiva.
"Trofeo a la Formación, capacitación, divulgación o
concienciación en Seguridad TIC de 2014"
CRIPTORED
“Thoth pretende convertirse en la vía más eficaz para
aprender conceptos de seguridad de la información”
Jorge Ramió
Doctor en Sistemas Inteligentes en la Ingeniería
Alfonso Muñoz
Doctor en Telecomunicaciones
¿Cómo han recibido en Criptored el trofeo otorgado por RED SEGURIDAD?
¿Esperaban este reconocimiento al Proyecto Thoth?
Ha sido una grata sorpresa comprobar cómo se premia a un proyecto que
acaba de dar sus primeros pasos, en el que hemos puesto toda nuestra ilusión y al que estamos dedicando muchas horas,
contando para ello con becarios del programa Talentum Startups de Telefónica, sin cuyo apoyo sería imposible llevarlo a cabo.
¿Cómo surgió la idea de poner en marcha el Proyecto Thoth? ¿Cuál es su objetivo y qué aceptación ha tenido?
El proyecto de píldoras formativas Thoth lo veníamos pensando desde que Intypedia, un proyecto similar, llegó a
su fin hace dos años. Su objetivo es ser la vía más fácil, rápida, amena y eficaz para aprender y reforzar conceptos
relacionados con la seguridad de la información y convertirse en una fuente de obligada visita. La aceptación ha sido
excelente: en sólo diez meses ya se han superado las 20.000 reproducciones.
¿Continuarán divulgando píldoras formativas a corto plazo? Al margen de Thoth, ¿qué nuevos proyectos
contempla Criptored?
Gracias a Talentum Startups, se seguirán publicando píldoras formativas hasta, al menos, finales de 2016. Es pronto
para hablar de proyectos, pero estamos analizando la posibilidad de dar un salto cuantitativo en materia de formación
avanzada en ciberseguridad, una demanda que no está suficientemente bien satisfecha. Otro tanto podríamos decir
sobre la formación en seguridad en entornos amplios a través de Talentum Schools.
IX edición
red seguridad
feb 2015
15
formación en ciberseguridad
sobre la mesa
De izquierda a derecha, Francisco Lorente (RED SEGURIDAD), Pablo Municio (Deloitte), Ricardo Barrasa (ISACA Madrid); Antonio
Ramos (ISACA Madrid); Enrique Turrillo (BDO Auditores) –arriba–; Joaquín Castillón (EY); Manuel Sicilia (CNPIC); Javier García
(Iberdrola); Ana Borredá (RED SEGURIDAD) y Enrique González (RED SEGURIDAD).
La carrera hacia una cualificación
adecuada en ciberseguridad
Hoy en día la palabra "ciberseguridad" está en boca de todos: gobiernos, organizaciones,
sector tecnológico, medios de comunicación y sociedad en general. Sin embargo, ¿contamos
con profesionales cualificados en este campo? ¿Se debería establecer una carrera formativa
acorde con la importancia de este trabajo? Sobre éstas y otras cuestiones debatieron los
expertos invitados a esta mesa redonda impulsada por ISACA Madrid.
Tx.: David Marchal
Ft.: RED SEGURIDAD
Los
recientes ataques informátique se han producido tanto a
empresas como a gobiernos de todo
el mundo ponen de manifiesto la
importancia que actualmente tiene
la ciberseguridad como forma de
protegerse frente a todos ellos. Sin
embargo, ¿este concepto es nuevo
para el sector? Esa pregunta, precisamente, fue el punto de partida con
el que se inició esta mesa redonda;
y, a tenor de las respuestas de los
asistentes, la mayoría considera que
es algo que ya se venía desarrollando desde hace muchos años. De
hecho, para Pablo Municio, gerente
del ERSIT de Deloitte, se trata más
cos
16
red seguridad
bien de "un término que, unido a la
presencia en los medios de comunicación, está facilitando la llegada y
concienciación a la dirección de las
empresas". Javier García, director
de Relaciones Externas y Programas
Europeos de Iberdrola, también
opina que "no hay nada nuevo bajo el
sol", porque aunque "hay cosas que
pueden variar, los principios básicos
de la protección siguen siendo los
mismos". Para Joaquín Castillón,
Senior Manager de EY, el quid del
uso de este concepto está en "el
aumento de las incidencias con un
mayor impacto", lo que ha hecho
que "todo el sector y los organismos
públicos se encuentren más concienciados de las consecuencias que
esto puede llegar a producir". Ahora
febrero 2015
bien, según Antonio Ramos, vicepresidente de ISACA Madrid, este
término aporta algo positivo, pues
está haciendo replantearse a los profesionales de la seguridad informática
si lo que usaban antes sigue valiendo
ahora. "Por ejemplo, el análisis de
riesgos sirve de poco para prevenir
ataques futuros", puntualizó. En este
contexto, es necesaria, en palabras
de Ricardo Barrasa, presidente de
ISACA Madrid, "una nueva visión
de la seguridad". "Necesitamos otro
perfil de personas que tienen que
cubrir esos riesgos. Tenemos que
preparar profesionales que nos den
tranquilidad", añadió el directivo. Y
es que actualmente el problema reside en que muchas empresas no
saben qué perfil contratar para este
especial
formación en ciberseguridad
tipo de posiciones relacionadas con la
ciberseguridad. "Lo habitual", según
Ramos, de ISACA Madrid, "es coger
un determinado perfil y formarlo en
función de las necesidades de cada
organización". Para este directivo, faltan "herramientas" y, sobre todo, "una
cantera". El problema para García,
de Iberdrola, es que no hay perfiles
adecuados. "En el ámbito europeo no
hay nada, no existe formación reglada,
ni titulaciones reconocidas". Es más,
el directivo opina que pueden pasar
entre ocho y diez años para que exista
alguna reglamentación europea al respecto, mientras tanto los ámbitos de
cualificación de los profesionales de la
ciberseguridad "estarán en el limbo y
no serán exigibles", añadió.
Certificaciones
Para intentar solucionar estas carencias
se encuentran las certificaciones que
ofrecen determinados colectivos y asociaciones como ISACA. Para Manuel
Sicilia, jefe de la Sección de Análisis del
Servicio de Ciberseguridad del CNPIC,
"las certificaciones tienen la capacidad
de adaptarse más rápidamente que
la enseñanza tradicional reglada. Dan
prerrequisitos base a los que no se
llega con la formación universitaria".
De la misma forma opina Castillón,
de EY, para quien las certificaciones
son "una manera de homogeneizar los
conocimientos del mercado". En otras
palabras, agregó, "así las empresas tienen una herramienta mínima para saber
qué tipo de profesionales les pueden
solventar esas necesidades".
En el caso de ISACA, explicó Ramos,
cuentan con los programas CSX y
CSX Fundamentos, "que desarrollan
la capacidad de los profesionales en el
Ricardo Barrasa
Presidente de ISACA Madrid
"En el ámbito de la
ciberseguridad debemos
contar con otros perfiles
de personas que cubran
todos los riesgos
tecnológicos.
Tenemos que preparar
profesionales que nos
den tranquilidad"
entorno de la ciberseguridad".
Precisamente, este tema es crítico
para Enrique Turrillo, gerente Risk
Advisory Services BDO Auditores. Por
eso, para él, "son buenas este tipo de
certificaciones para que acrediten que
los empleados de las empresas pueden
hacer esa clase de trabajos". Además,
en palabras de Barrasa, de ISACA
Madrid, "dan tranquilidad" y aportan
sobre la mesa
"un valor objetivo".
Ahora bien, estas certificaciones no
sólo han de verse desde un punto
de vista técnico, sino también han
de abordar el ámbito de la gestión.
Así lo puso de manifiesto García, de
Iberdrola, para quien esto se debe ver
en "clave de estrategia". Y aparte de
eso, tampoco pueden ser "sine die".
Se requiere de "un reciclaje permanente, de una evolución progresiva en el
campo tanto de la tecnología como de
la gestión", añadió el directivo.
Ese autoaprendizaje también resulta muy necesario en el ámbito de la
ciberseguridad. Lo bueno, según los
asistentes a la mesa redonda, es que
esta clase de personas ya están acostumbradas a seguir en constante evolución. "Somos muy proactivos, con
profesionales que se han ido formado
a sí mismos a partir de numerosos
foros", comentó Municio, de Deloitte.
Eso sí, el directivo también alertó de
la necesidad de contar con nuevos
perfiles en el ámbito de la ciberseguridad, como físicos o matemáticos, para
análisis de la información, por ejemplo.
Y en todo este proceso de reconocimiento de certificaciones la
Administración debería desempeñar
"una labor tractora que ratifique esos
títulos" para que los profesionales
sean "más proclives a obtenerlos", en
palabras de Ramos, de ISACA Madrid.
Sin embargo, esto todavía resulta un
tema bastante complicado. "Es difícil
que el legislador se moje tanto hasta
el punto de definir en un pliego de
condiciones qué tipo de certificaciones
se deben tener", explicó Sicilia, del
CNPIC. Y es que no hay que olvidar
que la naturaleza de las normas es que
perduren en el tiempo. De tal forma
ISACA forma profesionales en ciberseguridad
Además de ofrecer a sus más de 115.000 socios en todo el mundo cuatro tipos
de acreditaciones en el entorno de la seguridad de TI (CISA, CSIM, CGEIT y
CRISC), esta asociación ha lanzado recientemente un programa denominado
Cybersecurity Nexus (CSX). Su particularidad es que reúne en un único repositorio todos los activos de que dispone ISACA en materia de formación en el ámbito
de la ciberseguridad, incluyendo guías, webcasts, documentos y toda clase de
publicaciones al respecto para mejorar el conocimiento de sus asociados.
Paralelamente a esto, la asociación también está impulsando CSX Fundamentos, un programa compuesto por una
serie de sesiones formativas, con todo un temario desarrollado y un test de conocimientos incluido, pensado para los
profesionales que quieran empezar en este mundo de la ciberseguridad. Esto les proporciona un punto de partida
mínimo y unos conocimientos fundamentales para que cuando empiecen a trabajar en esa materia estén generando
valor a sus empresas desde el primer momento. El programa está disponible en su página web (www.isaca.org).
especial
red seguridad
febrero 2015
17
formación en ciberseguridad
sobre la mesa
Javier García
Director de Relaciones
Externas de Seguridad de
Iberdrola
"En términos de formación
en ciberseguridad no hay
nada en el ámbito
europeo, ni reglada, ni
titulaciones reconocidas"
que "si salen nuevas certificaciones, se
deberían solicitar también en las normativas y eso implicaría modificarlas al
poco tiempo", agregó.
Ahora bien, sí es cierto que ya se
están produciendo ciertos cambios
en la Administración para que los profesionales que van a ejercer trabajos
relacionados con la seguridad de TI
se encuentren acreditados. En palabras de Turrillo, de BDO Auditores, "la
certificación que se solicita es global,
y no específica; pero al menos algo se
requiere ya, aunque no sea mucho".
Regulaciones
A partir de aquí el debate derivó
hacia la necesidad de regular esta
profesión por parte de los organismos
competentes, partiendo de la base
de que eso obligaría a cumplir unos
compromisos básicos. Y es que, tal
y como apuntó García, de Iberdrola,
"la regulación genera un hábito"; aunque instó a la Administración a tener
un mayor diálogo con el sector a la
hora de dar ese paso. Sin embargo, Ramos, de ISACA, apuntó que
con las dos últimas normativas que
afectan a esta profesión, la Ley de
Protección de Infraestructuras críti18
red seguridad
cas y la Ley de Seguridad Privada,
sí ha habido diálogo con las partes
interesadas. "En estos dos casos, el
legislador ha sido consciente de que
no sabía y que debía escuchar a los
expertos. Y es que no se puede legislar al margen del sector". De hecho,
en el propio Reglamento de la Ley de
Seguridad Privada, que actualmente
se encuentra en tramitación, se están
haciendo aportaciones en este sentido para poder incluirlas en él, como
el papel que deben desempeñar los
proveedores de seguridad informática que den servicio a determinados
colectivos. "La organización como
usuaria tiene que tener un esquema
de control interno con temas de seguridad, pero el proveedor también tendría que diseñar y mantener", opinó
Castillón, de EY. Por eso, continuó,
"se le tiene que obligar a cumplir con
esos requerimientos. Se han de marcar las pautas de cómo ese proveedor debe tener homologación".
Claro que esta regulación no debe
ser igual para todos ellos. "No vale
café para todos. Es necesario especificar los perfiles de los proveedores",
apuntó García, de Iberdrola. Y es que
no es lo mismo un operador crítico
que una pequeña empresa de otro
sector. La reglamentación, por tanto,
debe, a juicio de Ramos, de ISACA
Madrid, solventar el gap existente
entre seguridad física y lógica. "Para
prestar servicios de seguridad privada se tienen que seguir una serie
de pasos y homologacioines. Hay
estructuras que buscan dar seguridad
al usuario de los servicios; existe un
cierto orden. En cambio, en la ciberseguridad el orden es cero", confirmó.
De hecho, para el representante de
ISACA Madrid, "todos estamos a
la misma distancia de una IP, no es
como el mundo físico". Por tanto,
opinó, hay que ir dando pasos para
que la provisión de servicios dedicados a la seguridad informática tenga
que cumplir unos requisitos mínimos
y contenga ciertas garantías. En esto
también estuvo de acuerdo Municio,
de Deloitte: "Las consultoras también
consideramos que hay que regularlo".
Y en esa normalización es donde
precisamente entran en juego las
necesarias sanciones. En general, todos los asistentes a la mesa
redonda estuvieron de acuerdo en la
necesidad de implantar medidas sancionadoras. Y es que, como apuntó
febrero 2015
Barrasa, de ISACA Madrid, "cuando
afecta al bolsillo, espabilamos. Es
la forma de educarnos". De hecho,
"hasta que no hay inspecciones y sanciones no se llevan a cabo las cosas",
añadió Turrillo, de BDO Auditores. Por
tanto, en palabras de Castillón, de EY,
"hay que hacer la regulación y hacerla
cumplir", manifestó.
Ahora bien, desde el punto de vista
de Sicilia, del CNPIC, es preciso que
no haya un exceso de régimen sancionador. Por ejemplo, las actividades
para la seguridad nacional, como las
Manuel Sicilia
Jefe de sección de
Análisis del Servicio de
Ciberseguridad de CNPIC
"Lo bueno de las
certificaciones es que
tienen la capacidad de
adaptarse más
rápidamente de lo que
lo hace la enseñanza
tradicional reglada"
infraestructuras críticas, dependen de
un regulador que ya vela por ese servicio. "Es verdad que desde el CNPIC
no tenemos sanciones propias, pero
no era ese el espíritu", afirmó. La
realidad para el directivo es que los
12 sectores estratégicos que ya se
han identificado cubren un abanico
grande de todos los sectores del país.
"Por tanto, es preciso acudir al organismo regulador de cada uno de ellos,
y eso es lo que hacemos en el desa-
especial
III Jornada sobre Protección de
Infraestructuras Críticas
Organiza:
Colabora:
Participa:
26 de febrero 2015. Gas Natural Fenosa. Avda San Luis 77. Madrid
Participa a través del siguiente hashtag: #3JornadaPIC
Aeroespacial
y Defensa
Colaboran:
Precio: 100€.
50€ Amigos de la Fundación.
HAZTE AMIGO
formación en ciberseguridad
sobre la mesa
rrollo de los planes. En la regulación
del sistema y en su funcionamiento
se cuenta con lo que ya existe. Es un
camino que se está haciendo ahora,
y hay que ver cómo va a evolucionar",
argumentó el directivo.
Infraestructuras críticas
A partir de aquí el debate se centró en
la importancia de la ciberseguridad en
este tipo de entornos fundamentales
para la buena marcha de un país. La
idea más extendida entre todos los
asistentes es que "los operadores críticos españoles cuentan con un grado
de madurez que va más allá de lo que
se les puede exigir", tal y como explicó
Sicilia, del CNPIC.
Esta opinión la ratificó también García,
de Iberdrola, para quien la seguridad
de estas organizaciones es "bastante
aceptable", y se complementa con procesos y personas. "En niveles de seguridad vamos mas allá de lo obligatorio;
e incluso me atrevería a decir que, por
conocimientos y capacidades, estamos
por encima de nuestros colegas europeos. Somos un marco de referencia.
Por tanto, no estamos mal, aunque
podríamos estar mejor", manifestó.
Antonio Ramos
Vicepresidente de ISACA
Madrid
"En el reconocimiento
de las certificaciones la
Administración debería
desempeñar una labor
tractora que ratificara
esos títulos"
20
red seguridad
Durante el transcurso de la mesa redonda se trataron temas como las certificaciones de
seguridad de TI o la regulación de la profesión por parte de las Administraciones Públicas.
Ahora bien, sí es cierto que, dentro
de este ámbito, los sistemas de control industrial son los que peor parados salen "por su propia idiosincrasia",
según apuntó Sicilia, del CNPIC. "En su
día se diseñaron principalmente para
que estuvieran disponibles, con periodos de amortización de 20 o 25 años.
Y actualmente tienen que seguir funcionando", afirmó. El problema es que
no hay soluciones de seguridad desarrolladas para ellos, con el hándicap de
que "ahora los equipos organizativos
quieren monitorizar todo, incluido su
proceso industrial desde un iPad",
añadió el directivo. Y para eso es preciso una conexión a Internet y que ésta
se encuentre securizada, porque, al fin
y al cabo, en esos procesos reside el
corazón de su negocio.
De esa misma forma opinó Barrasa,
de ISACA. "En otros entornos hay fuga
de información, y todo se reduce a un
problema cultural o reputacional. Sin
embargo, esto es el core del negocio,
y puede producir daños a las personas
y una catástrofe económica".
Por eso, en estos casos, es importante la labor que desempeña la
capa organizativa de las compañías.
"Muchos operadores críticos tienen
tecnologías obsoletas, pero afortunadamente las personas que operan en
esos entornos tienen un celo máximo
por su protección", apuntó García, de
Iberdrola. De esta forma, se encuentra
limitado el acceso a zonas restringidas,
hay una fuerte protección de las comunicaciones, se utilizan redes propias y
no públicas... En definitiva, según manifestó el directivo, "en estos momentos,
si no hay un fallo técnico, es difícil que
se produzca un incidente de seguridad
en España en esos entornos".
febrero 2015
Y es que la capa organizativa resulta
fundamental, tal y como confirmaron
el resto de integrantes de la mesa
redonda. "Por mucho que tú puedas
tener muy securizada la infraestructura tecnológica, si se conecta un
proveedor desde otro lugar o los propios administradores abren una nueva
sesión desde cualquier otro PC, los
sistemas se pueden ver afectados",
matizó Municio, de Deloitte.
Pablo Municio
Gerente del ERSIT de Deloitte
"En los últimos cinco años
ha habido un tsunami
de interconexión de datos
que estamos asimilando
y gestionando. Esto ha
conllevado un aumento
en la complejidad
del escenario"
especial
formación en ciberseguridad
Por eso, en estos casos la concienciación del personal que trabaja
en estos ámbitos es muy importante,
algo con lo que todos los asistentes
estuvieron de acuerdo.
Concienciación
Es más, este tema sacó a relucir la
necesidad de inculcar la importancia
de la seguridad a los propios niños. "La
concienciación se tiene que absorver
desde pequeño. Se trata de un proceso de reflexión que debe dirigirse a
los niños y a los entornos educativos
mediante prácticas", afirmó García, de
Iberdrola. Y es que el directivo no
entiende que, por ejemplo, se les enseñe cómo evacuar un colegio o cuándo
tienen que cruzar un paso de peatones,
y no se les explique los peligros de ese
otro mundo que, aunque no lo ven, está
ahí. Y es que, como apuntó Castillón,
de EY, "hay que concienciarles primero
como usuarios para que sean capaces
de entender". Por tanto, los esfuerzos
han de ir dirigidos en ese sentido para
que la siguiente generación a la actual
pueda venir más preparada en el uso
de las nuevas tecnologías.
Joaquín Castillón
Senior Manager de EY
"El aumento de las
incidencias de mayor
impacto ha hecho que
los organismos públicos
y el sector estén más
concienciados de las
consecuencias que esto
puede llegar a producir"
especial
No obstante, esta afirmación no
resulta muy clara para todos los asistentes a la mesa redonda. Por ejemplo,
a Ramos, de ISACA Madrid, le da "cierto miedo" este tema. "No sé si vamos
a ser capaces de educar a las nuevas
generaciones para que conozcan los
riesgos del mundo ciber", matizó. Y es
que, para el directivo, hay una barrera
clara. Cuando la seguridad afecta al
mundo físico, vemos y entendemos los
riesgos; mientras que cuando lo hace
al ámbito lógico, es más difícil detectar
dónde está el peligro. "Debemos ser
capaces de estructurar un sistema en
el que pongamos en su sitio las necesidades de seguridad", agregó. Ahora
bien, a lo mejor eso puede obligar a
ir más despacio en el avance de las
nuevas tecnologías. "Constantemente
aparecen nuevos productos. Pero realmente, ¿queremos vivir en un entorno
tan inseguro? La gente puede rechazar
las tecnologías. Por eso la formación es
fundamental", afirmó el directivo.
El problema para Sicilia, del CNPIC,
radica en que "somos víctimas de la
rapidez del desarrollo", primando en
muchos casos el diseño y la funcionalidad a la seguridad. Claro que eso
también tiene un hándicap, y es que
cuando alguien se plantea desarrollar
seguridad sobre una tecnología, ésta
"ya se ha quedado desfasada".
Sin embargo, los propios asistentes
a la reunión confirmaron la dificultad de
ralentizar el avance de las tecnologías.
Municio, de Deloitte, opinó directamente que "no se puede poner freno".
La única forma es "que baje la demanda", algo que también considera complicado. "En los últimos cinco años ha
habido un tsunami de interconexión
de datos que estamos asimilando y
gestionando. Esto ha conllevado un
aumento en la complejidad del escenario, incluyendo el perfil y técnicas de
los ciberatacantes". Así opina también
García, de Iberdrola: "Las Tecnologías
de la Información han llegado tan fuerte que nos ha arrasado por completo.
No ha habido tiempo de entenderlo, y
después de sesenta años seguimos
sin comprenderlo", explicó el directivo.
Y lo mismo sucede con el concepto de ciberseguridad, según los
presentes. Es bueno que llegue a la
sociedad en general, porque el mundo
tecnológico es inseguro y este término
se debe ver como parte de lo que hay
que hacer para mitigar los riesgos. "A
veces se dan situaciones kafkianas.
sobre la mesa
Enrique Turrillo
Gerente Risk Advisory
Services de BDO Auditores
"Las certificaciones de
ciberseguridad son
positivas porque acreditan
que los responsables de
seguridad de las
organizaciones pueden
hacer esos trabajos"
A un arquitecto les enseñamos todo
lo necesario para que no se caiga un
puente que construya. En cambio, a
los desarrolladores no se les enseña a
programar seguro, cuando eso debería ser lo primero que se hiciera. Para
mí ambas situaciones son lo mismo",
comentó Ramos, de ISACA Madrid.
Lo que sucede, en palabras de
Barrasa, de ISACA Madrid, es que "la
sociedad se ha acostumbrado a convivir con los riesgos y no es consciente
de los peligros que esto supone". Por
tanto, para los presentes en la mesa
redonda hace falta avanzar mucho más
en la educación y la concienciación
sobre los riesgos de la tecnología, tanto
por parte de los estados como en el
ámbito empresarial y el ciudadano. Es
preciso "ir al origen del problema, que
se encuentra en el binomio personatecnología. Hay que concienciar a las
personas y pedir más seguridad a las
tecnologías", matizó García, de
Iberdrola. De esta forma, "demandaremos servicios de calidad y el mercado
no tendrá más remedio que ofrecerlos",
puntualizó Ramos, de ISACA Madrid.
red seguridad
febrero 2015
21
especial
PIC
monográfico
Las infraestructuras
críticas, en el blanco
de los cibercriminales
EL NÚMERO DE
CIBERATAQUES A
INFRAESTRUCTURAS
CRÍTICAS ESPAÑOLAS VA
EN AUMENTO. SE TRATA
DE AMENAZAS CADA VEZ
MÁS SOFISTICADAS QUE
REQUIEREN ESFUERZO
PARA MITIGARLAS,
TANTO POR PARTE
DE LOS ORGANISMOS
PÚBLICOS, COMO DE LAS
EMPRESAS OPERADORAS
Y DE LAS COMPAÑÍAS QUE
SUMINISTRAN SOLUCIONES.
Tx: David Marchal
El pasado 7 de enero tuvo lugar
el sangriento asalto a la sede del
periódico satírico Charlie Hebdo. Ese
mismo día, el Ministerio del Interior
español elevó al Nivel 3 (en una escala
de 4) el riesgo de amenaza terrorista,
el cual todavía no se ha rebajado, y se
ordenó la participación de las unidades policiales para cubrir las principales infraestructuras críticas del país.
Además, se aumentó la seguridad
informática en esos entornos como
forma de protegerse frente a posibles
ciberataques.
No en vano, estas instalaciones
resultan cruciales para el normal
funcionamiento de cualquier país.
Como explica Abel González Bello,
22
red seguridad
responsable del CERT de Seguridad
e Industria en el Instituto de
Ciberseguridad (Incibe), "el impacto
de una ciberamenaza se ve multiplicado en una infraestructura crítica".
Por ese motivo, continúa, "cualquier
pequeño incidente debe ser tratado
con el máximo rigor y agilidad, ya
que la propagación y amplificación a
lo largo del operador puede llegar a
propiciar un gran impacto".
Este hecho, por supuesto, es
conocido por los cibercriminales y lo
intentan aprovechar continuamente.
Es más, todas las fuentes consultadas para la realización de este reportaje alertan de un reciente incremento del número de ciberamenazas
a infraestructuras críticas. "Se ha
venido apreciando un ligero aumento en el porcentaje de incidentes
febrero 2015
relacionados con la cibercriminalidad. Esta tendencia es directamente
extrapolable al ámbito específico de
las infraestructuras críticas, donde
se ha elevado ligeramente el número
de incidentes detectados", afirma
Miguel Ángel Abad, jefe del Servicio
de Ciberseguridad del Centro
Nacional para la Protección de las
Infraestructuras Críticas (CNPIC).
Para Javier Candau, jefe de
Ciberseguridad
del
Centro
Criptológico Nacional (CCN), el
incremento de amenazas está siendo "espectacular". De hecho, afirma,
"el CCN-CERT gestionó en 2014
un total de 13.000 ciberincidentes,
lo que representa un aumento del
78 por ciento con respecto al año
anterior". De ellos, el 11,6 por ciento
fue catalogado por el equipo de
especial
PIC
monográfico
Reportaje
expertos del CERT Gubernamental
Nacional con un nivel de riesgo entre
muy alto y crítico; es decir, se tuvo
constancia de que el ataque afectó
a los sistemas de la organización y a
su información sensible. Además, se
constató "un incremento en la intensidad y sofisticación de dichos ataques, tanto a las Administraciones
Públicas como a las empresas y
organizaciones de interés estratégico para el país, fundamentalmente de los sectores energético, de
defensa, aeroespacial, farmacéutico
y químico", confirma.
Paralelamente a esto, se está produciendo un hecho desconocido:
la aparición de ciberincidentes en
sectores industriales. "En los últimos
meses se han publicado noticias
muy significativas que hacen pensar que, al igual que en el resto de
entornos, el número de incidentes en sectores industriales va al
alza", aseguran los responsables del
Centro de Ciberseguridad Industrial
(CCI). Es más, explican, "en diciembre se produjo un ciberataque sobre
una planta de producción de acero
en Alemania, que terminó con daños
masivos a un alto horno. Esto es
significativo, ya que se trata, después de Stuxnet, del primer ataque
documentado que produce daños
físicos a una instalación", añaden
desde el CCI.
Detrás de todos estos ciberincidentes se esconden multitud de
motivos, principalmente económicos, aunque hay otros, tal y como
explica Abad, del CNPIC: "los intereses de los atacantes pueden diferir
en cada ataque, y siendo compleja
su identificación, suelen estar referidos a la obtención de un beneficio
económico, a la publicidad de sus
acciones o propaganda de determinadas ideologías, o en casos extremos a causar terror en la población",
puntualiza.
Candau, del CCN, por su parte,
añade también otro motivo importante a lo anterior: "el robo de información de alto valor: propiedad
intelectual, datos referentes a la
seguridad nacional, secretos comerciales, códigos fuente, información
especial
El CERTSI presta servicios de
prevención, detención y respuesta
ante incidentes cibernéticos que
afecten a los operadores críticos
sobre I+D, información referente a
los mercados y clientes, sistemas
financieros..." Se busca, por tanto,
"obtener ventajas competitivas, bien
sean políticas, económicas o sociales", matiza. En estos casos, como
explica González Bello, de Incibe, "el
impacto de estas amenazas se percibe a largo plazo, dado que tratan
de ser silenciosas prolongando su
actividad en el tiempo".
Contra las ciberamenazas
Precisamente, para luchar contra
todo este tipo de incidentes, España
cuenta desde la aprobación de la Ley
8/2011, de 28 de abril, con una serie
de medidas para la protección de las
infraestructuras críticas nacionales.
Con el fin de impulsar, coordinar y
supervisar todas ellas ese mismo año
se creó el CNPIC, cuyas atribuciones
también abarcan el ámbito de la
ciberseguridad. "Según se establece en las competencias del CNPIC
en el Real Decreto 704/2011, de 20
de mayo, por el que se aprueba el
Reglamento de protección de las
infraestructuras críticas, en su artículo 7, el CNPIC tiene la función de
implantar bajo el principio general de
confidencialidad, mecanismos permanentes de información, alerta y
comunicación con todos los agentes
del Sistema, aspecto que se hace
imprescindible en el ámbito de la
ciberseguridad", explica el representante de este organismo.
De cara a mejorar el enlace con los
operadores críticos, ofreciéndoles
servicios de valor añadido en materia
de ciberseguridad, CNPIC, en colaboración con Incibe, creó en 2012
el CERT de Seguridad e Industria
(CERTSI), que tiene por objeto "prestar servicios de prevención, detección y respuesta ante incidentes
cibernéticos que afecten a empresas
de forma general, y a operadores
críticos de forma particular", según
González Bello, de Incibe. De hecho,
desde entonces, este organismo ha
enviado más de 20.500 notificacio-
Joan Taulé, 'Regional
Manager' de SYMANTEC
IBERIA
¿Qué iniciativas lleva a cabo
Symantec para mejorar la ciberseguridad en infraestructuras críticas?
Llevamos bastantes años colaborando activamente con las instituciones
públicas que velan por la seguridad
de la Administración o de las infraestructuras críticas o de interés estratégico. En este ámbito también incluimos la cooperación con los distintos
CERT regionales. Las colaboraciones
cubren un amplio espectro, desde la
prevención de amenazas, poniendo
a disposición plataformas de cibersimulación para el entrenamiento, hasta
la protección mediante tecnologías
específicas para infraestructuras críticas como, por ejemplo, los sistemas
SCADA, con soluciones específicas
para proteger este tipo de entornos,
incluida la detección y respuesta frente a incidentes.
En el ámbito europeo, hace escasos
meses el Centro de Cibercrimen de
la Europol (F3) firmó un memorando
de entendimiento con Symantec que
permite una mayor cooperación en la
lucha conjunta frente a la ciberdelincuencia. Son acuerdos de compartición de datos que nos permitirán ser
más precisos y más rápidos a la hora
de dar soluciones al problema. Es un
claro ejemplo de que la lucha contra
los desafíos de hoy requiere un enfoque colectivo.
red seguridad
febrero 2015
23
PIC
monográfico
Reportaje
nes a ISP, empresas y operadores
estratégicos nacionales.
Además, colabora con distintas
entidades, tanto en el ámbito público como privado, para intercambiar
información que permita la detección
temprana de incidentes y su mitigación. "Este intercambio de información permite la identificación tanto de
ciberamenazas sobre las que prestar
atención, como sistemas infectados
sobre los que se ha de actuar", agrega González Bello, de Incibe.
El modelo de relación del CERTSI
con los operadores de infraestructuras críticas comienza con la pre-
sentación del catálogo de servicios
que ofrece a la empresa que alberga
las citadas instalaciones. Tras esa
reunión, explica el representante de
Incibe, "se plantea un modelo de
acuerdo de confidencialidad entre
el CERTSI y el operador, con el que
se logra establecer un marco de
confianza entre ambas entidades,
fijando las bases para la colaboración
posterior".
De esa forma, se ponen a disposición de estas empresas servicios como el de respuesta ante
incidentes, en formato 24x7x365 y
con soporte técnico y operativo para
El sector TI, fundamental para la protección de
las infraestructuras críticas
En España existen alrededor de 3.700 infraestructuas críticas consideradas como fundamentales. Por tanto, resulta muy importante aunar esfuerzos en la lucha contra los ciberdelincuentes, tanto desde el sector público
como el privado. De hecho, gran parte de los fabricantes de soluciones
de seguridad están trabajando estrechamente con los organismos oficiales para poner al servicio de éstos su experiencia y conocimiento. Desde
Kaspersky, por ejemplo, destacan la necesidad de crear esos vínculos.
"Kaspersky Lab colabora estrechamente con organismos oficiales para
luchar contra la delincuencia informática y las ciberamenazas emergentes, sobre todo en infraestructuras críticas, cuya amenaza puede derivar
en daños muy importantes para los países afectados", afirma Alfonso
Ramírez, director general de la empresa en Iberia.
Como explica José Miguel Rosell, socio director de S2 Grupo, "tanto las
infraestructuras críticas como los sectores industriales están en el punto de
mira de organizaciones profesionales de ciberdelincuencia desde hace ya
algún tiempo". Y es que, tradicionalmente, la industria se ha creído segura
ante estos peligros, ya que sus sistemas de control han permanecido al
margen de cualquier conexión a Internet. "Sin embargo, en estos momentos, los sistemas de control industrial en los que interactúan diferentes
redes, aplicaciones y múltiples dispositivos están expuestos al exterior, a
Internet, directamente o a través de interconexiones", añade Miguel Ángel
Juan, socio director de S2 Grupo. No en vano, esta compañía puso en marcha en 2013 el Centro de Operaciones de Ciberseguridad Industrial, con el
objetivo de colaborar con el sector ofreciendo servicios remotos de prevención, detección y respuesta a ciberataques, así como de recuperación.
A pesar de todo ello es difícil afirmar que una infraestructura crítica esté
bien protegida, porque en la actualidad es casi imposible alcanzar una
seguridad completa. "Podemos decir que muchas infraestructuras críticas están convenientemente protegidas, aunque también es cierto que
en este campo aún queda mucho por mejorar", comenta Ricardo Maté,
director general de F5 Networks. Para este directivo, la Ley de Protección
de Infraestructuras Críticas ha aportado "una sensibilización mayor en
este terreno", y no sólo para aquellas organizaciones identificadas por el
CNPIC, sino en general "para múltiples entornos industriales que tradicionalmente no contemplaban la ciberseguridad". Sin embargo, considera,
"se necesita una mayor inversión en políticas y herramientas de seguridad,
así como una mayor concienciación del problema".
24
red seguridad
febrero 2015
el bloqueo de cualquier amenaza.
"El modelo de inteligencia en ciberseguridad (MICS) es el aspecto diferenciador del CERTSI, ya que logra,
a través de herramientas propias y
colaboración con terceras entidades,
la agregación de un número alto de
eventos, que correlados adecuadamente y tras la aplicación de reglas
de inteligencia, permite la detección temprana de ciberamenazas
y sistemas comprometidos", afirma
González Bello.
Incluso, distribuye entre su comunidad de operadores de infraestructuras críticas vulnerabilidades Zero-day
para que éstos puedan protegerse
ante las amenazas más avanzadas; y
pone en marcha una serie de ciberjerecicios (denominados Cyber-Ex,
que ya van por su tercera edición),
con los que se evalúa las capacidades de detección, reacción y
recuperación frente a incidentes de
los operadores críticos. "Al finalizar
las actividades estas organizaciones
logran dos grandes objetivos: por
una parte, han probado sus capacidades en un entorno real; y por otra,
obtienen consciencia de su grado de
desempeño a partir de la valoración
de una entidad independiente", opina
González Bello.
Adicionalmente a todo esto, en
2013 el Gobierno puso en marcha
la Estrategia de Ciberseguridad
Nacional, que ha derivado en una
serie de trabajos que tienen por
objeto definir las actividades que se
deben llevar a cabo en los próximos años para cada una de las
líneas de acción establecidas en la
misma. De este modo, dado que la
Línea de Acción 3 de la Estrategia
está directamente relacionada con
la protección de las infraestructuras
críticas en su vertiente cibernética,
comenta Abad, del CNPIC, "desde
el Ministerio del Interior se están
definiendo los trabajos que guiarán
el desarrollo de la ciberseguridad en
la materia, contando para ello con la
participación de todos los agentes
del Sistema PIC de forma particular, y
con los organismos implicados en el
desarrollo de la Estrategia de forma
general".
especial
PIC
monográfico
Reportaje
Una de las consecuencias de todo
esto fue la creación el año pasado de la Oficina de Coordinación
Cibernética (OCC), que tiene por
objeto actuar como órgano técnico
de coordinación de la Secretaría
de Estado de Seguridad en materia
de ciberseguridad. Para ello debe
cumplir con dos misiones fundamentales, que explica Abad: "Asesorar al
Secretario de Estado de Seguridad
en materia de ciberseguridad, aportando la información estratégica y
técnica necesaria que facilite su proceso de toma de decisiones; y hacer
Lucha contra la
piratería internacional
La firma de servicios profesionales
Deloitte y la compañía tecnológica
española Red Points han acordado
una alianza estratégica para combatir
la piratería online. Ambas empresas
trabajarán en la comercialización de
la solución tecnológica RedPoints
7.0 que permite impedir la distribución ilegal de contenidos en la Red.
Deloitte aportará a este proyecto su
experiencia a través de CyberSOC,
que presta a las empresas un servicio
integral de gestión de riesgos tecnológicos y reputacionales.
26
red seguridad
efectiva la coordinación técnica entre
la Secretaría de Estado y sus organismos dependientes y el CERTSI".
Para ello, continúa, "dispone de
los mecanismos de intercambio de
información seguros necesarios para
comunicarse tanto con dicho CERT
como con las distintas unidades tecnológicas de las Fuerzas y Cuerpos
de Seguridad del Estado, agilizando
la difusión de información que pueda
ser de interés para cualquiera de las
partes", puntualiza el jefe del Servicio
de Ciberseguridad de CNPIC.
Más CERT en España
Sin embargo, éstos no son los únicos
centros de respuesta a incidentes de
seguridad acreditados para luchar
contra las ciberamenazas. Hay que
destacar también la labor del Centro
Criptológico Nacional, el cual, a través de su CERT, "tiene responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas
de las Administraciones Públicas y
de empresas y organizaciones de
interés estratégico para el país", afirma su jefe de Ciberseguridad. Así lo
recoge diferente normativa a través
de la cual se establece la misión
del CCN-CERT en la mejora de la
ciberseguridad española, "siendo el
centro de alerta y respuesta nacional
que coopere y ayude a responder de
forma rápida y eficiente a los ciberataques y a afrontar de forma activa
las ciberamenazas", añade Candau.
febrero 2015
Aparte del CERTSI y del CCN-CERT,
existen otros dos equipos de respuesa a incidentes públicos de ámbito
estatal: IRIS-CERT (de la RedIRIS)
y COSDEF-CERT (del Ministerio de
Defensa). Asimismo, son varias las
Comunidades Autónomas con este
tipo de servicios como Andalucía,
Cataluña o Comunidad Valenciana.
Por otro lado, en el ámbito privado,
tal y como recoge el FIRST (foro de
los principales CERT del mundo), existen los siguientes, muy relacionados
con empresas que operen en sectores económicos críticos: BBVA CERT,
eLa Caixa CSIRT, Mapfre-CCG-CERT,
S21sec CERT y Telefonica-CSIRT.
Todos estos organismos colaboran
entre sí, como afirma Manuel Carpio,
director de Seguridad de la Información
y Prevención del Fraude de Telefónica:
"La colaboración es estrecha en distintos ámbitos. Telefónica de España
colabora con el DSN, CNPIC, Incibe
y el CCN, participando en los foros y
grupos de trabajo específicos a los
que es invitada; así como en la identificación de servicios esenciales e infraestructuras sobre los que se soportan,
asesoramiento en la elaboración de
planes sectoriales, etc.".
Por lo general, este tipo de CERT
cumplen funciones puramente operativas de seguridad, que van desde
Buenas prácticas
para en entornos
industriales
El Centro de Ciberseguridad Industrial
(CCI) ha elaborado el documento
Buenas prácticas para el Diagnóstico
de Ciberseguridad en Entornos
Industriales 2014, donde explica cómo
realizar un diagnóstico de ciberseguridad en un entorno industrial mediante
la identificación de puntos débiles y
propuesta de acciones. Este tipo de
diagnóstico en entornos industriales
es un servicio muy especializado del
que actualmente existe poca oferta en
el mercado por su complejidad.
especial
PIC
monográfico
Reportaje
el control de accesos y de protección (monitorización y respuesta a
incidentes), tanto en edificios y oficinas, como en sistemas y redes.
Por ejemplo, el Centro de Control
General de Mapfre presta servicios
tecnológicos de seguridad a la
organización mediante "un centro de excelencia operativa, en el
que se explotan las tecnologías de
seguridad, como los servicios criptográficos, antivirus, acceso remoto, VPN, gestión de certificados,
dominios, sistema de control de
acceso, sistemas de detección de
intrusión y sistema de monitorización de redes y sistemas", explica
Daniel Largacha, que pertenece a
la Subdirección de esta área de la
empresa.
Pensando en agrupar todas estas
entidades, el CCN-CERT promovió
tanto la creación de CSIRT.es, un
grupo de trabajo de CERT nacionales, como el mantimiento de la
coordinación con los privados a la
hora de gestionar cualquier incidente
y en el momento de realizar diferentes acciones preventivas.
Claro que aparte de estos CERT,
es importante matizar que existen
numerosos organismos públicos y
organizaciones privadas que operan
en sectores críticos que, pese a no
contar con un CERT como tal, sí
poseen equipos o centros de operaciones de seguridad (SOC), cuyas
funciones son muy similares a las
de un CERT. Uno de ellos, por ejem-
En cifras: ciberataques en 2014
Éstas son las estadísticas que maneja en CNPIC con respecto a los ciberincidentes sucedidos en 2014:
- 36.975 notificaciones recibidas sobre posibles incidentes, de los cuales
se gestionaron 17.888 (48,4%).
- 161.965 direcciones IP de dominios con indicios de actividad maliciosa.
- 7.134.653 direcciones IP comprometidas en España.
- 7.965 vulnerabilidades detectadas, de las cuales el 23,4 por ciento
se catalogaron como de criticidad alta, el 66,7 por ciento como criticidad
media, el 7,6 por ciento como baja y el 2,3 por ciento fueron finalmente
rechazadas.
Por volumen, el principal tipo de incidente detectado por el CCN-CERT
es el código dañino (troyanos, gusanos y spyware), con el 78 por ciento de
los casos; seguido por las intrusiones, con el 17 por ciento, sobre todo con
explotación de vulnerabilidades e inyección SQL. No obstante, la principal
amenaza son las APT, cuya particularidad es que ahora también actúan
sobre personas individuales, incluyendo directivos de compañías y de organismos públicos, personajes notorios y responsables políticos. Una vez que
los atacantes conseguen la información, suelen eliminar las pruebas de su
ataque, borrando el código dañino. Por último, el CCN-CERT destaca otra
tendencia que consiste en atacar a los elementos más débiles de la “cadena de intercambio de datos” (como contratistas o proveedores) antes que
hacerlo directamente contra los objetivos finales.
especial
plo, es el de Deloitte, la cual, según
Fernando Picatoste, socio del Área de
Riesgos Tecnológicos de la empresa,
"participa activamente en los grupos
y foros de trabajo constituidos por
los organismos oficiales y los operadores de infraestructuras críticas.
En este sentido, nuestra relación es
constante, cercana y fluida. En mi
opinión, está siendo un claro ejemplo de colaboración público-privada
exitosa", comenta. Asimismo, en el
marco de su actividad, la empresa
lleva tiempo colaborando con los
operadores de infraestructuras críticas en la definición, implantación
y mejora de estrategias, planes y
medidas de seguridad. "Cabe destacar el esfuerzo e inversiones que las
empresas españolas llevan haciendo
desde hace años destinadas a la
protección tanto de su patrimonio y
actividad como de los servicios esenciales para el desarrollo de nuestra
sociedad", añade Picatostes.
Esto también es así en el ámbito de
las instalaciones industriales, las cuales cuentan con el apoyo del Centro
de Ciberseguridad Industrial (CCI).
"Actuamos como una herramienta para
amplificar y catalizar las distintas percepciones de la realidad de la protec-
red seguridad
febrero 2015
27
PIC
monográfico
Reportaje
ción de las infraestructuras críticas en
nuestro país, soportando, impulsando
y desarrollando desde una perspectiva
práctica y aplicada desde nuestras
líneas de actividad, lo que la Estrategia
de Ciberseguridad Nacional o la Ley
de Protección de Infraestructuras
Críticas definen como aspectos claves
de nuestro Sistema de Ciberseguridad
Nacional de cara a la adecuada protección de nuestra sociedad", comentan
los responsables del CCI.
Otros organismos
A todo esto hay que añadir la labor
que realizan o pueden realizar otras
28
red seguridad
instituciones públicas a la hora de
salvaguardar las infrestructuras críticas. Una de las más importantes es la del Mando Conjunto de
Ciberdefensa (MCCD). Precisamente,
la Orden Ministerial 8/2015, de 21
de enero, por la que se desarrolla la
organización básica de las Fuerzas
Armadas, establece que el ámbito
de actuación del MCCD serán las
redes y los sistemas de comunicaciones e información del Ministerio
de Defensa, así como aquellas otras
redes y sistemas que específicamente se le encomienden y que afecten
a la Defensa Nacional. Si este fuera
febrero 2015
el caso, comentan desde este organismo, y, en el marco de esas “otras
redes y sistemas”, se encomendara al
MCCD la protección de determinadas
infraestructuras críticas españolas, "el
Mando dedicaría los recursos de los
que dispone a su protección, como
parte de su misión permanente". Sin
embargo, confirman, éste no ha sido
el caso hasta el momento.
De igual forma, la colaboración de la
Brigada de Investigación Tecnológica
de la Policía y el Grupo de Delitos
Telemáticos de la Guardia Civil también es importante, sobre todo en
el ámbito de la prevención. "Dada la
criticidad que supone un ataque contra una infraestructura crítica, la labor
preventiva cobra mayor relevancia",
putualiza Oscar de la Cruz, jefe de
esta última unidad. "Si a través de los
canales de los cuales recibimos información, personas y fuentes abiertas, tenemos constancia de algún
hecho relevante que pueda afectar
o poner en peligro la seguridad de
estas instalaciones, inmediatamente
es trasladada a través de la Oficina de
Coordinación Cibernética (OCC) para
que llegue a su destinatario final",
manifiesta.
Y como parte de todo este proceso de protección de estos sectores
esenciales para el buen funcionamiento de un país, desde hace varios
meses están en marcha los planes
estratégicos sectoriales para designar
a los operadores críticos, comenzando por las áreas del transporte y del
agua, donde resulta fundamental la
protección de las redes de información que sustentan las actividades de
estos organismos y empresas.
En definitiva, todos los esfuerzos de
la Administración Pública y los operadores privados se centran en incrementar las capacidades de prevención, detección, análisis, respuesta y
coordinación ante las ciberamenazas
en infraestructuas críticas. Se trata,
en palabras de Candau, del CCN, de
trabajar suponiendo que "los sistemas
están ya comprometidos o lo estarán
pronto y, por lo tanto, protegiendo los
activos fundamentales en un medio
que ha sido atacado previamente".
especial
PIC
monográfico
Entrevista
“Para hacer frente a
las ciberamenazas es
necesario potenciar
las estructuras y las
capacidades de Estado”
José Ignacio Carabias
Jefe de Área del Centro Nacional para la Protección
de las Infraestructuras Críticas
Tx.: Enrique González Herrero
Ft.: CNPIC
Las ciberamenazas
están en el centro de las
preocupaciones en torno
a las infraestructuras
críticas españolas. El
CNPIC dirige desde
hace años las mejoras
impulsadas por el Estado
para asegurar estos
entornos, pero aún queda
un amplio margen de
mejora. José Ignacio
Carabias, que acaba de
asumir la Jefatura de Área
del organismo, analiza el
estado de las iniciativas
puestas en marcha y los
retos que vienen.
30
red seguridad
El año 2014 ha sido muy fructífero
para España en la mejora de la protección de sus infraestructuras críticas. Para 2015 sabemos que están
previstos nuevos planes estratégicos,
pero ¿qué otros objetivos se han marcado hasta diciembre?
Durante 2015, vamos a seguir trabajando en la implantación del Sistema de
Protección de Infraestructuras Críticas a
diferente nivel. Acometeremos la revisión
y actualización del Plan Nacional para la
Protección de la Infraestructuras Críticas,
tomando como referencia el Plan de
Prevención y Protección Antiterrorista.
Antes de verano se aprobarán otros
cinco Planes Estratégicos Sectoriales
(PES) importantes, los correspondientes
a los sectores de Transporte (que abarca
el aéreo, el ferroviario, la carretera y el
marítimo) y Agua. En esa línea, identificaremos las infraestructuras críticas y
designaremos a los operadores críticos
de dichos sectores.
También aprobaremos los Planes de
Seguridad del Operador (PSO) y los
Planes de Protección Específicos (PPE)
de los operadores críticos de los sectores de Energía (incluidas electricidad,
petróleo y gas), Nuclear y Financiero,
cuyos PES fueron aprobados en 2014.
febrero 2015
También se iniciarán los trabajos para el
diseño y elaboración de los Planes de
Apoyo Operativo sobre las infraestructuras críticas de todos ellos.
En el ámbito de la ciberseguridad,
además de fortalecer las estructuras
desarrolladas en el ámbito de la prevención, detección y respuesta ante
incidentes cibernéticos, antes de verano
se aprobarán los planes derivados de la
implantación de la Estrategia Nacional
de Ciberseguridad. En este documento
destaca la línea de acción número tres
sobre ciberseguridad para la protección
de las infraestructuras críticas, que está
liderada por el CNPIC.
En el ámbito de la cooperación
internacional, acometeremos todos
los trabajos e iniciativas que se deriven de la Unión Europea en el marco
del Programa Europeo sobre PIC y la
Directiva 2008/114 sobre la identificación y designación de infraestructuras
críticas europeas y la necesidad de
mejorar su protección.
¿Están satisfechos con los avances
en seguridad y cumplimiento de los
operadores enmarcados en los cinco
PES aprobados el año pasado?
A nivel global podemos decir que la
seguridad de las infraestructuras críticas
es buena. Pero hay que destacar que el
grado de madurez de la seguridad no
es el mismo en todos los sectores estra-
especial
El riesgo en el
ciberespacio
es complejo y
creciente. Su
solución
no debería serlo.
Mayor enfoque, menos riesgo.
Ofrecer un valor tangible mediante una solución
contra los riesgos del ciberespacio apropiada para su
sector y adaptada a sus necesidades implica más
enfoque y menos riesgo.
Para obtener más información, visítenos online:
www.emea.symantec.com/cyber-resilience
PIC
monográfico
Entrevista
“Los ciberataques contra infraestructuras críticas
fueron el año pasado en torno a 60, lo que no
llega al 0,5 por ciento del total”
tégicos. Esto es debido, por un lado, al
tipo de amenazas a las que se enfrentan
los departamentos de seguridad de los
diferentes operadores críticos y, por otro,
a los criterios y niveles de seguridad exigidos por los organismos competentes
en cada sector. Cabe destacar el grado
de madurez del sector Financiero, sin
dejar de lado otros como el Energético
o el Nuclear.
¿Qué aspectos necesitan todavía
mejoras?
Hay dos aspectos que deben fortalecerse con el tiempo en las estructuras
de seguridad de los operadores críticos.
Son, por un lado, la integralidad de la
seguridad, la cual debe converger hacia
una mayor coordinación y colaboración entre los ámbitos físico y cibernético, y, por otro, el desarrollo de unas
capacidades de prevención y respuesta
ante ciberincidentes. En este sentido,
todos los operadores de cualquier sector
estratégico pueden adherirse gratuitamente al CERT de Seguridad e Industria
(CERTSI), gestionado conjuntamente por
personal de Incibe y del CNPIC.
Es decir, que hasta la aprobación de
la Ley PIC, en 2011, los operadores
no estaban aplicando un modelo de
seguridad verdaderamente integral.
Creo que uno de los principales éxitos
de la normativa PIC ha sido la apuesta
por la integralidad de la seguridad. Hasta
la implantación de dicha normativa, diferentes operadores tenían separado, por
un lado, todo lo referido a la seguridad
corporativa centrada en la vertiente física
y, por otro, el departamento de sistemas
encargado de gestionar la protección de
las redes y los sistemas. Se puede decir
que poco a poco los operadores van
implementando esta integralidad.
32
red seguridad
Somos conscientes de que no se
pueden cambiar las estructuras corporativas de la noche a la mañana, por eso
muchos operadores que todavía no han
optado por esa integralidad han creado
en su seno comités de coordinación en
el ámbito PIC, que están compuestos
por representantes del ámbito de la
seguridad física y de la cibernética. En
estos comités se analizan los temas que
pueden afectar al operador en el ámbito
de la seguridad para que las diferentes
áreas trabajen en una misma dirección y
con un objetivo común.
Tras los atentados de París, España
ha activado el protocolo de seguridad
al nivel 3 del Plan de Prevención y
Protección Antiterrorista. ¿Qué implica el establecimiento de este nivel
para las infraestructuras críticas?
Ha supuesto extremar la protección de
las infraestructuras que prestan servicios esenciales a la sociedad. Por primera vez se ha activado el Plan Nacional de
Protección de Infraestructuras Críticas.
Dentro del Plan, el CNPIC confeccionó
un listado de las infraestructuras críticas
a escala nacional y por demarcación
policial, que fue remitido a las Fuerzas
y Cuerpos de Seguridad para activar
los protocolos de seguridad y protección frente a las amenazas de carácter
terrorista. Los operadores deben activar
aquellas medidas de seguridad complementarias/adicionales a las permanentes, que figurarán en sus respectivos
PPE. Es esencial coordinar este tipo
de medidas complementarias con los
Planes de Apoyo Operativo que diseñen
los cuerpos policiales para cada una de
las infraestructuras críticas que estén en
su demarcación.
Desde el ámbito de la ciberseguridad, se mantiene activo el equipo de
febrero 2015
respuesta ante incidentes cibernéticos
del CERTSI, que es un instrumento de
prevención y respuesta.
Si una infraestructura crítica sufre
un ciberataque, ¿cómo se aborda la
amenaza desde que se detecta hasta
que se intenta neutralizar?
Todo operador de infraestructuras críticas o estratégicas dispone de un servicio
de respuesta a incidentes de carácter
cibernético proporcionado por el CNPIC.
Desde un punto de vista organizativo, los
operadores que gestionan o son responsables de la operación de este tipo de
infraestructuras juegan un papel crucial
a la hora de facilitar su protección, para
lo cual deben emplear los mecanismos
habilitados por el CNPIC para enlazar con
las capacidades que el Estado pone a su
disposición. La entidad que se encarga
de la gestión de incidentes de naturaleza
cibernética en infraestructuras críticas en
España es el CERTSI.
En lo que respecta a la vertiente técnica, se plantean dos posibles puntos
de partida para el proceso de gestión
de incidentes: el primero, cuando el
operador crítico identifica indicios de
actividad maliciosa y solicita el apoyo
al CERTSI para gestionar la situación.
Para ello se ponen a su disposición
dos vías complementarias: un número
de teléfono y una dirección de correo
electrónico ([email protected]). Cabe destacar que uno de los aspectos clave
del CERTSI es la disponibilidad 24
horas los 365 del año, de modo que
tanto el teléfono como la herramienta
de recepción de alertas integrada en el
correo electrónico son operados continuamente. De forma adicional, se pone
a disposición de los operadores una
clave PGP para que toda la información
que remitan al CERTSI esté cifrada.
especial
PIC
monográfico
Entrevista
El segundo caso se da cuando es el
propio CERTSI el que identifica indicios
de la existencia de un incidente en uno
o varios operadores críticos. Esto sucede cuando, por ejemplo, alguno de los
seis millones de eventos que gestiona
diariamente el CERTSI encaja en el direccionamiento público de al menos uno de
los operadores críticos a los que presta
servicio. Tras transmitir la alerta, se elabora
una notificación con los aspectos técnicos
más relevantes y se contacta con el Punto
de Contacto (PoC) técnico del operador
para hacer un seguimiento del caso.
En cualquiera de los casos, y una
vez iniciada la gestión del incidente, hay
varios aspectos en los que el CERTSI
puede apoyar al operador. Uno de ellos
es la identificación de una solución técnica para el incidente. Al respecto, hay
que mencionar que los equipos humanos de los operadores críticos suelen
disponer de unas altísimas capacidades
técnicas.
Por otra parte, el CERTSI ofrece
mecanismos de coordinación entre los
actores que pueden ayudar a la resolución del incidente. En este sentido,
destaca la labor de los proveedores de
acceso a Internet, cuyo papel es especialmente relevante en el bloqueo de
ataques de denegación de servicio.
Mención especial requiere la Oficina
de Coordinación Cibernética (OCC)
cuando es necesario investigar un
incidente por su relación con alguna tipología delictiva o porque medie
denuncia del operador afectado. La
OCC, integrada orgánicamente en el
CNPIC pero dependiente funcionalmente del propio secretario de Estado
de Seguridad, es la encarga de la
coordinación de las unidades tecnológicas de los cuerpos policiales con
el CERTSI. Su operativa directa en el
CERTSI permite que la OCC pueda
aportar una visión global de todo el
ciclo de vida del incidente, desde su
notificación hasta la investigación y
persecución de los delitos en caso de
que sea necesario. De este modo, el
CERSTI ejerce de ventanilla única de
la Administración a través de la cual
los operadores críticos pueden requerir desde asistencia técnica específica
especial
hasta la interposición de una denuncia
relacionada con un presunto delito.
¿Cuántos ciberataques se produjeron el año pasado sobre las infraestructuras críticas españolas?
¿Cuántos de ellos fueron de carácter
más grave?
Durante el 2014 se han conocido y gestionado diferentes tipos de incidentes
cibernéticos, que ha tenido como objetivo a ciudadanos y empresas, al ámbito
académico, así como a infraestructuras
críticas. Los ataques dirigidos contra
infraestructuras críticas han sido en torno
a 60, lo que no llega al 0,5 por ciento
del total de los ciberataques. De las
vulnerabilidades detectadas, se puede
decir que las de criticidad media han
sido en torno al 67 por ciento. En cuanto
al tipo de incidentes cabe destacar en
primer lugar el acceso no autorizado,
en segundo el fraude, en tercer lugar los
virus, troyanos, gusanos y spyware, en
cuarto lugar la denegación de servicio y
en quinto el robo de información.
Cabe destacar el uso de las TIC, así
como de Internet, como medio o instrumento para la comisión de acciones
ilícitas, lo que demuestra que ha habido
un aumento de la ciberdelincuencia.
Respecto al estado y la evolución de
la cibercriminalidad en nuestro país, se
aprecia un aumento anual en el porcentaje de estos delitos. En 2011 fueron
un 1,64 por ciento, en 2012 un 1,89 por
ciento y en 2013 un 1,95 por ciento. En
2013 se esclareció un 5,1 por ciento
de los 42.437 hechos conocidos, un
porcentaje todavía muy bajo en comparación con el porcentaje de esclarecimientos de otros delitos. Además, se
observó que en cada delito participan
2,33 personas, lo que indica que los
autores no suelen serlo a título individual.
En el ámbito del ciberterrorismo,
cabe señalar un aumento significativo a
escala internacional de la utilización de
Internet por parte de grupos terroristas,
tanto para comunicarse de forma segura como para difundir su mensaje.
España está avanzando en los últimos años en cuestión de protección
de infraestructuras críticas. No obstante, ¿en qué capítulos aún necesitan hacer más esfuerzos los diferentes actores que intervienen en este
ámbito?
Uno de los principales capítulos en los
que poco a poco se avanza, pero aún se
debe aunar una gran parte de los esfuerzos, es la ciberseguridad. Para hacer
frente a los diferentes riesgos y amenazas que afectan al ciberespacio, es
necesario potenciar las capacidades del
Estado relativas a la prevención, detección, reacción, análisis, recuperación,
respuesta, investigación y coordinación.
Es necesario a su vez impulsar la
seguridad y la resiliencia de las TIC en el
sector privado, empleando instrumentos
de cooperación público-privada. En este
sentido, es fundamental la cooperación
entre el sector público y privado basado
en un mayor intercambio de información
red seguridad
febrero 2015
33
PIC
monográfico
Entrevista
“Los operadores críticos deben fortalecer dos
aspectos: la integralidad de la seguridad y el desarrollo
de capacidades frente a los ciberincidentes"
sobre vulnerabilidades y ciberamenazas. Este tipo de colaboración entre los
sectores estratégicos y los servicios de
ciberseguridad dará como fruto un reforzamiento de las capacidades de detección, prevención, respuesta y recuperación frente a los riesgos de seguridad del
ciberespacio.
¿Contamos en España con capacidades suficientes para hacer frente a
tan ingente cantidad de amenazas a
la ciberseguridad nacional?
Con la aprobación de la Estrategia de
Ciberseguridad Nacional se diseñó una
estructura orgánica para fortalecer el
Sistema de Seguridad Nacional desde
el ámbito de la ciberseguridad. Bajo
la dirección estratégica y política del
Consejo de Seguridad Nacional, destaca la creación de dos comités: por
un lado, el Comité Especializado de
Ciberseguridad, el cual tiene entre sus
funciones reforzar las relaciones de
coordinación, colaboración y cooperación entre las administraciones públicas
con competencias en la materia, así
como entre los sectores públicos y privados. Por otro lado, se encuentra el
Comité Especializado de Situación, que
gestionará las situaciones de crisis en el
ámbito de la ciberseguridad.
La ciberseguridad es hoy uno de los
principales ejes de acción del Ministerio
del Interior, por ello desde ese departamento se han fortalecido mecanismos
y estructuras dedicados a este tema.
Entre esas estructuras están el CERTSI
y la OCC, y además se han fortalecido
las capacidades humanas y tecnológicas de las unidades de las Fuerzas
y Cuerpos de Seguridad del Estado
dedicadas al ciberterrorismo y al ciberdelincuencia.
El año 2013 fue importante para
la organización y funcionamiento del
CNPIC. El centro se reforzó con 40
34
red seguridad
personas, todas ellas provenientes de
las Fuerzas y Cuerpos de Seguridad del
Estado, con unos perfiles técnicos que
han fortalecido los diferentes ámbitos
de actuación, principalmente el de la
ciberseguridad. La plantilla está formada
actualmente por unas 50 personas.
Asimismo, el Sistema de Protección
de Infraestructuras Críticas se va asentando, lo que genera cada vez más
nuevas acciones y cometidos que debe
gestionar el CNPIC. Si a esto se suma
el liderazgo que tiene el CNPIC en el
ámbito de la ciberseguridad y en la relación con los operadores de los sectores
estratégicos de la Ley PIC, surge la
necesidad de continuar reforzando los
recursos personales y materiales para
poder afrontar con las suficientes garantías nuevos retos en este ámbito.
La seguridad de los sistemas de
control industrial (SCADA) es una de
las mayores preocupaciones actuales. ¿En qué aspectos deben mejorar
estos sistemas? ¿Qué avances se
están produciendo para incrementar
su seguridad y, a la vez, garantizar el
servicio?
Efectivamente, la seguridad de los sistemas de control industrial es el nuevo
frente de batalla abierto en el campo de
la ciberseguridad. La peculiaridad de su
modo de operación y la criticidad de los
sistemas que dependen de ellos hacen
necesario un replanteamiento completo
de cómo se debe abordar la ciberseguridad por parte de los operadores.
Estamos hablando de sectores estratégicos definidos por la Ley PIC, esto
es, sectores como la Electricidad, el
Transporte, el Agua, el Financiero, etcétera. Para empezar, debemos ser conscientes de que la ciberseguridad de
estos sistemas industriales debe contemplar aspectos que la ciberseguridad
de corte corporativo no tiene en cuenta.
febrero 2015
Sirva como ejemplo que el comportamiento del tráfico de red es completamente distinto al de una red corporativa.
Por otro lado, podemos encontrarnos
con que es imposible detener ciertos
sistemas para parchearlos y/o actualizarlos por el tipo de operaciones que
llevan a cabo.
Son peculiaridades que el administrador de ciberseguridad industrial debe
conocer y gestionar. Por ello, hacen falta
perfiles profesionales especializados en
estas cuestiones, con capacitación para
gestionar tanto el ciclo de ciberseguridad de los sistemas de control industrial
como aquellos de alto nivel técnico. Es
decir, que conozcan las implicaciones
de manipular las configuraciones de los
sistemas de los que son responsables.
Respecto a esta cuestión, se observa
un incremento de la oferta formativa en
este ámbito. Esto va acompañado de
una mayor concienciación por parte de
los fabricantes en cuanto a que la ciberseguirdad debe estar implementada en
estos sistemas desde su origen, es decir
desde su diseño. Eso facilita la posterior
labor de administrar el ciclo de la ciberseguridad, desde la disposición de medidas
preventivas, seguido del mantenimiento,
hasta la respuesta a incidentes en la que
interviene un CERT especializado, como
es el CERTSI.
La misión del CNPIC es garantizar el
servicio de las infraestructuras críticas.
Para ello, la primera piedra es evitar las
amenazas a la operativa en la medida en
que lo permitan sus características. La
redundancia de los sistemas tiene evidentemente un límite, y en nuestro caso lo
que tratamos de garantizar es que aquellas infraestructuras que prestan servicios
esenciales cuenten con las medidas de
seguridad apropiadas, que abarquen
tanto el ámbito físico como el lógico; y
dentro del lógico la ciberseguridad de los
sistemas de control industrial.
especial
PIC
monográfico
Artículo
Respuesta a incidentes en
infraestructuras críticas
Abel González
Responsable del CERTSI_
Rafael Pedrera
Jefe de la Oficina de
Coordinación Cibernética
Un aspecto esencial en el ámbito de la
protección de infraestructuras críticas es
la respuesta ante incidentes que afectan
a las tecnologías de la información que
les dan soporte, y que pueden llegar a
implicar paralizaciones en el servicio o
riesgos para vidas humanas. Desde el
punto de vista organizativo, estas infraestructuras están albergadas por operadores que también adquieren el carácter de
críticos al ser responsables de su gestión.
La entidad encargada de la gestión
de incidentes en infraestructuras críticas
en España es el CERT de Seguridad
e Industria (CERTSI_). Este equipo de
respuesta es la capacidad creada por
el Instituto Nacional de Ciberseguridad
(Incibe) y el Centro Nacional para la
Protección de las Infraestructuras
Críticas (CNPIC) y añade sus funciones
sobre infraestructuras críticas a las ya
existentes sobre empresas y ciudadanos. Sin embargo, habitualmente los
CERT (Computer Emergency Response
Team) no se encargan únicamente de
la gestión de incidentes, sino que ofrecen otros servicios de utilidad para su
público objetivo. En el caso del CERTSI_,
el comienzo de actividades con infraestructuras críticas vino delimitado por la
identificación de un catálogo inicial de
servicios en el ámbito de la prevención,
detección y respuesta ante incidentes,
que se ha ido incrementando con la
madurez del centro. En la actualidad,
dicho catálogo incluye servicios como
la realización de ciberejercicios con
36
red seguridad
periodicidad anual o la compartición de
información acerca de vulnerabilidades
zero-day.
Una de las ventajas que ofrece la
comunidad de operadores críticos es
su volumen abordable, lo que ha permitido que el acercamiento del CERTSI_
a dichas entidades se realice de forma
individualizada a través de reuniones
bilaterales. Estas reuniones permiten
la presentación de las actividades del
CERTSI_ y recoger la sensibilidad de
cada operador, que será relevante en
el caso de tener que afrontar la gestión
de una crisis. Como cierre de la reunión
se presenta un acuerdo de confidencialidad que ambas partes se encargan
de suscribir. Dicho acuerdo tiene por
objetivo aumentar la confianza entre
ambas partes a través de un conjunto
de cláusulas que blindan la información
y actividades llevadas a cabo en el
marco de su colaboración. A partir de
la firma del acuerdo de confidencialidad
se establecen puntos de contacto a
distintos niveles (técnico, gestión e institucional) por parte de ambas entidades,
que agilizarán y simplificarán la comunicación en la actividad diaria al disponer
de un directorio que identifica con quién
se debe contactar en cada caso.
Capacidad técnica
Desde el punto de vista organizativo,
el servicio se presta por un equipo
técnico ubicado en las instalaciones
de Incibe en León y que incorpora
febrero 2015
perfiles de la Oficina de Coordinación
Cibernética (OCC) del CNPIC. De esta
forma, a través de un equipo cohesionado, la colaboración entre ambas entidades se simplifica y se logra obtener
el máximo rendimiento de los distintos
perfiles implicados en las actividades
del CERTSI_.
Desde el punto de vista técnico,
se plantean dos posibles puntos de
partida para el proceso de gestión de
incidentes. El primero, y más evidente,
es aquel en el que el operador crítico
identifica indicios de actividad maliciosa
y solicita el apoyo al CERTSI_ para
la gestión de la situación. Para el
contacto se ponen a disposición dos
vías complementarias: un teléfono y
una dirección de correo electrónico
([email protected]). En este punto entra uno
de los aspectos clave del CERTSI_,
que consiste en la disponibilidad 24
horas, los siete días de la semana,
durante los 365 días del año, ya que
tanto el teléfono como la herramienta
de recepción de alertas integrada en
el correo electrónico tienen personal
asignado de forma continuada.
Asimismo, se pone a disposición una
clave PGP para que toda la información
que el operador remita al CERTSI_ se
realice de forma cifrada.
En el segundo punto de partida es
el propio CERTSI_ quien, a través de
su modelo de inteligencia, identifica
indicios de la existencia de un incidente
en uno o varios operadores críticos.
especial
PIC
monográfico
Artículo
La comunicación entre las partes se
registra de forma transparente en
una herramienta de ‘ticketing’ que
permite la gestión de incidentes
Esto sucede cuando alguno de los seis
millones de eventos correlados diariamente por el CERTSI_ encaja en el
direccionamiento público de, al menos,
uno de los operadores críticos a los que
se presta servicio. Tras la recepción de
la alerta, se elabora una notificación con
los aspectos técnicos relevantes y se
contacta con el PoC (Point of Contact)
técnico del operador.
Una vez iniciada la gestión del incidente, hay varios aspectos en los que
el CERTSI_ trata de apoyar al operador.
En primer lugar, a través de la identificación de una solución técnica al incidente. Este aspecto es especialmente
complejo, ya que los equipos humanos
de los operadores críticos tienen unas
altísimas capacidades técnicas. Por
ello, las exigencias del equipo técnico
del CERTSI_ son máximas: requiriendo amplios conocimientos en sistemas, gestión de redes y tecnologías de
seguridad; además de la experiencia
que otorga la dedicación continua a la
resolución de incidentes y la formación
específica en una materia tan cambiante como la seguridad de la información.
Coordinación
Por otra parte, el CERTSI_ ofrece
coordinación con los actores que
puedan ayudar a la resolución del
incidente. En este sentido, destaca la
labor de los proveedores de acceso a
Internet (ISP), cuyo papel es especialmente relevante en el bloqueo de ataques de denegación de servicio (DoS).
Asimismo, la colaboración de otros
equipos de respuesta ante incidentes,
tanto a nivel nacional como internacional, ofrece nuevas posibilidades en los
incidentes más complejos. En el caso
de ataques a infraestructuras esen-
especial
ciales, la agilidad en la respuesta y la
coordinación efectiva son elementos
que establecen de forma determinante el éxito en una respuesta adecuada
frente al ataque, evitando el impacto
en la infraestructura.
forma transparente para cada uno de ellos
(que intercambian correos con el CERTSI_)
en una herramienta de ticketing que permite funciones avanzadas para la gestión de
incidentes de seguridad. Dicha herramienta
se encarga de automatizar funciones como
la obtención de información de una dirección IP (whois) o identificar si una dirección
IP o URL ha estado implicada en otros incidentes registrados previamente. Asimismo,
las comunicaciones realizadas a través del
teléfono son volcadas por el equipo del
CERTSI_ en la herramienta de ticketing.
Esto permite disponer de una bitácora que
documenta la situación en todo momento, facilitando la implicación de nuevos
recursos y la generación de informes en el
ámbito de la gestión.
El servicio se presta por un equipo técnico ubicado en las instalaciones de Incibe en
León y que incorpora perfiles de la Oficina de Coordinación Cibernética del CNPIC.
Requiere mención especial el papel
de la OCC en el momento que el incidente da el salto al ámbito policial. Esta
unidad ubicada en el CNPIC se encarga
de la coordinación de las Fuerzas y
Cuerpos de Seguridad del Estado con
el CERTSI_, aportando la visión global
del ciclo de vida desde la notificación
del incidente hasta su investigación tras
la correspondiente denuncia.
El proceso de comunicación entre
todas las partes implicadas se registra de
El incidente se ve finalmente cerrado cuando se logra la neutralización
de las causas que lo generaron y el
operador consigue recuperarse de
forma completa. Momento en el que
el operador crítico vuelve a su actividad habitual y el CERTSI_ evalúa el
incidente gestionado en busca de
cerrar el círculo con la extracción de
conocimiento que permita prevenir
incidentes análogos en otros operadores críticos.
red seguridad
febrero 2015
37
PIC
monográfico
Artículo
CCN-CERT, primera línea de defensa
frente a los ciberataques
Centro Criptológico
nacional
CCN-CERT
En el año 2014, el CCN-CERT, del Centro
Criptológico Nacional, gestionó un total
de 13.005 incidentes detectados en las
administraciones públicas (consideradas como infraestructura crítica) y en
empresas y organizaciones de interés
estratégico para el país. Esta cifra representa un incremento del 78 por ciento
con respecto al año 2013 y de más del
150 por ciento en relación con 2012.
De estos incidentes de 2014, el 11 por
ciento fueron catalogados por el equipo
de expertos del CERT Gubernamental
Nacional con un nivel de riesgo entre
muy alto y crítico; es decir, se tiene
constancia de que el ataque afectó a los
sistemas de la organización y a su infor-
mación sensible. Estas cifras nos indican que los sistemas y comunicaciones
más críticas de nuestro país reciben una
media de cuatro ataques diarios.
Unos ataques que se materializan de
muy diversas formas, pero que tienen en
los troyanos, la explotación de vulnerabilidades, la inyección SQL, los gusanos,
el sypware y la inyección de fichero
de forma remota como los vectores de
ataque más recurrentes Aunque, en realidad, los atacantes poseen capacidades
técnicas significativas que permiten llegar
a tener un control absoluto del ordenador
de la víctima, sin que los productos de
seguridad tradicionales sean capaces
de detectarlos. Así, emplean numerosas
Figura 1: Evolución de los incidentes gestionados por el CCN-CERT.
38
red seguridad
febrero 2015
formas de ataque hasta conseguir que el
objetivo “abra la puerta a la información”.
De hecho, en numerosas ocasiones
nos encontramos ante campañas dirigidas, las denominadas APT, que persiguen un objetivo concreto, realizada por
un atacante con la intención y la capacitación técnica que le permiten ganar
acceso a la información sensible almacenada. Son campañas sigilosas, que
duran en el tiempo, que mutan en función
de las barreras que se encuentren y que
combinan varias técnicas de entrada.
Objetivos
En los últimos años hemos comprobado cómo los ataques tienen como
principal objetivo el robo de información de alto valor: propiedad intelectual, datos referentes a la seguridad
nacional, secretos comerciales, códigos fuente, información sobre I+D,
información, procedimientos de seguridad de una central nuclear… Esta
información puede ser para el propio
atacante o para un tercero al que le
interesa, por lo que en numerosas
ocasiones se subasta al mejor postor.
El CCN-CERT ha constatado un incremento en la intensidad y sofisticación
de dichos ataques, tanto a las administraciones públicas como a empresas
y organizaciones de interés estratégico
para el país, fundamentalmente de los
sectores energético, de defensa, aeroespacial, financiero, farmacéutico, químico,
transporte, hídrico y nuclear.
especial
PIC
monográfico
Artículo
El CCN-CERT ha observado
cómo las amenazas se centran
también en individuos, incluidos
altos directivos
Además, el CCN-CERT viene observando en los últimos meses cómo las
amenazas, que originariamente se dirigían a empresas e instituciones públicas, se centran en individuos, incluyendo altos directivos de compañías y de
organismos públicos, personajes notorios o responsables políticos. Y si no
se consigue acceder directamente al
objetivo, se ataca a los elementos más
débiles de la cadena, como podrían ser
los proveedores, clientes o contratistas
o cualquier sujeto que pueda estar en
contacto con el blanco.
Campañas
Este tipo de ataque dirigido comenzó a observarse a principios de esta
década. De hecho, la primera gran
campaña conocida fue la denominada
“Operación Aurora”1, que tuvo sus ramificaciones en España. Esta operación
fue el preludio de otras tantas, como la
hecha pública en 2013 a raíz del informe Mandiant2 o la campaña “Octubre
Rojo”, que se infiltró con éxito en las
redes de comunicaciones diplomáticas, gubernamentales, de investigación
científica y compañías petroquímicas
de alrededor de 40 países (incluido el
nuestro), o ya en 2014, Dragonfly.
Medidas
La dificultad de enfrentarse a estas amenazas estriba en que, mientras que las
capacidades de ataques van lideradas
por el cumplimiento de objetivos, lo que
les hace ser mucho más agresivos e
imaginativos, las capacidades defensivas van lideradas por el cumplimiento normativo y por las limitaciones de
personal y recursos, lo que hace que
sus capacidades de respuesta sean
inferiores. Haciendo una comparativa,
especial
mientras la infección y colonización de
nuestras administraciones públicas y
empresas de interés crítico y estratégico
por parte del atacante se puede producir incluso en días, la detección y limpieza de este ataque puede llevar meses o
incluso años.
Los esfuerzos se deben centrar en
incrementar las capacidades de prevención, detección, análisis, respuesta
y coordinación ante las ciberamenazas
y, más en concreto:
Í Trabajar como si se estuviera comprometido: suponer que los sistemas están ya comprometidos o
lo estarán pronto y, por lo tanto,
proteger los activos fundamentales en un medio comprometido.
Í Monitorizar: vigilancia constante
mediante herramientas automatizadas tipo SIEM para la reunión y
correlación centralizadas de registros.
Í Centralizar la navegación de la organización en uno o varios proxies
para poder monitorizar los logs.
Í Concienciación de usuarios: el
eslabón más débil de la cadena.
Los usuarios internos deben de
ser nuestros aliados.
Í Búsqueda constante de comportamientos anómalos en la infraestructura TIC ayudándose en esta
tarea de los indicadores de compromiso (IOC).
Defensa
El CCN-CERT tiene responsabilidad en
ciberataques sobre sistemas clasificados, así como de las Administraciones
Públicas y de empresas y organizaciones de interés estratégico para el país.
Por ello, su labor desde el año 2006,
en el que se constituyó en el seno
del Centro Criptológico Nacional, ha
sido intentar reducir los riesgos y las
amenazas provenientes del ciberespacio, potenciando las acciones, no sólo
defensivas, sino primordialmente preventivas, correctivas y de contención.
A través de su equipo de expertos, el
CCN-CERT ofrece todos sus servicios,
tanto a las Administraciones Públicas
como a las empresas de interés estratégico para el país (ya ha llegado a
acuerdos con más de cien compañías).
El Servicio de Alerta Temprana, tanto
en Internet como en la red SARA, en
la que están incluidos más de 70 organismos públicos y empresas; el desarrollo de diferentes herramientas como
CARMEN (detección de APT), LUCIA
(Listado de Coordinación de Incidentes
y Amenazas), INES (Informe Nacional
del Estado de Seguridad) o MARTA
(Motor de Análisis Remoto de Troyanos
Avanzados); las más de 220 Guías CCNSTIC o los Cursos de Seguridad (online y
presenciales) son sus principales aliados
en esta labor.
Todo ello, unido a una apuesta decidida por la colaboración público-privada,
conscientes de que ante los enormes
desafíos a los que nos enfrentamos, la
puesta en común de conocimientos y la
colaboración de todos los agentes que
luchan diariamente contra los ciberataques es fundamental para defender y
mantener el patrimonio tecnológico
español, sus servcios y sus infraestructuras frente a los ciberataques.
Referencias:
1
El ataque denominado “Aurora” se detectó
a principios de 2010 (aunque estaba en marcha desde muchos meses atrás) contra diversas empresas, destacando entre ellas a Google.
Estaba destinado al robo de información sensible
(propiedad intelectual, estrategias de actuación…)
y fue atribuido por algunos analistas –entre ellos el
propio buscador– al gobierno Chino.
2 Informe publicado por la consultora estadouni-
dense Mandiant, el 20 de febrero de 2013, centrado en una de las supuestas unidades del ejército
chino encargadas de la cíberinteligencia a nivel
mundial: la UNIT 61398. Según dicho informe, el
Ejército Popular de Liberación chino estaba detrás
de multitud de ataques que diversas compañías,
tanto estadounidenses como de otras nacionalidades, habían venido sufriendo en los últimos años.
http://intelreport.mandiant.com/Mandiant_APT1_
Report.pdf
red seguridad
febrero 2015
39
seguridad en entornos industriales
opinión
La industrialización de la seguridad
de entornos industriales
Loïc Guézo
Security Evangelist para el Sur de Europa
de Trend Micro
Predecir amenazas es uno de los
ejercicios que más gusta a los
gurús del mundo de la seguridad
informática. Trend Micro no es una
excepción y ha hecho lo propio
para 2015. Entre los temas tratados, el Internet de las Cosas (IoT)
merece especial atención: según
los investigadores de la compañía,
los objetos conectados no serán
per se el blanco de los ataques,
aunque sí lo serán los datos procesados por estos. ¿Deberíamos
preocuparnos?
La verdad es que todo depende
de la naturaleza del objeto conectado. Una pulsera de fitness parece tener poco interés; sin embargo,
un contador eléctrico inteligente es
un puente potencial hacia la infraestructura de distribución eléctrica
de un proveedor de energía. IoT
está ligado a las infraestructuras
industriales y éstas son codiciadas por hackers, cibercriminales
de todo tipo e incluso gobiernos.
El incidente de Stuxnet, que
dejó mal paradas a las centrifugadoras iraníes de enriquecimiento
de uranio en 2010, sigue siendo
hoy un ejemplo de esta infraestructura industrial vulnerable.
Desde entonces han surgido otros
casos: los paneles de información
de las carreteras de Turquía que
40
red seguridad
mostraban mensajes de error de
Windows después de una intrusión, las instalaciones de tratamiento de aguas residuales donde
se detectaron y mitigaron varios
casos de piratería, especialmente
en Japón, etc. El investigador de
seguridad Kyle Wilhoit cita otros
ejemplos en un informe de 2013.
Una lista que, sin embargo no es
exhaustiva, según su autor, ya
que muchos casos no se hacen
públicos, a pesar de no estar clasificados como "secretos” por los
gobiernos. Estos ejemplos no bastan para dar una idea del volumen
febrero 2015
de abusos cometidos en entornos
industriales, sin embargo, algunos
estudios arrojan algo de luz sobre
el tema.
Según una encuesta del Instituto
SANS realizada en 2014 entre profesionales de la seguridad, el 40
por ciento de los participantes
identificó o sospechó una intrusión de seguridad en su entorno
industrial, frente al 28 por ciento
de 2013. Esto refleja la creciente
dificultad de garantizar los sistemas de control industrial, sobre
todo porque según la mayoría de
los encuestados los medios utili-
seguridad en entornos industriales
zados para proteger estos sistemas no se han securizado recientemente.
El informe del instituto SANS
recoge también que el 58 por
ciento de los encuestados confía en sus equipos de seguridad
para identificar amenazas, lo que
implica la monitorización continua
de los eventos de seguridad, pero
también su correlación. Una ardua
tarea tanto para un equipo de
seguridad, como para expertos, y
a menudo sin contar con las herramientas adecuadas. Sin embargo,
éstas existen, al igual que la información proporcionada por el CERT
o por los proveedores de soluciones mediante sus investigaciones
de las amenazas de la infraestructura. Los empresarios forman
a sus equipos de seguridad para
aprovechar la información limitada
de la que disponen.
Para ir más lejos, una de las
particularidades de los entornos
industriales, es que en su mayoría están aislados, aspecto que
pesa sobre la capacidad de las
herramientas de seguridad tradicionales, al presentar problemas
para actualizar las firmas de anti-
malware. Para superar esta limitación, es mejor optar por una solución independiente que detecte
intrusiones y controle la ejecución
de algunas aplicaciones mediante
listas blancas. Este tipo herramientas, que encaja muy bien en
el entorno de seguridad industrial,
también deben ser actualizadas.
Sin conexión a Internet, las actualizaciones se deben hacer físicamente, pero de la forma más simple posible. El método correcto es
usar un USB que aloje el malware
y las firmas. Esta llave USB, que
se actualiza a través de un sistema conectado a Internet, podrá
posteriormente ser introducida en
un entorno industrial aislado, para
el análisis antimalware. De esta
forma aprovechamos el interfaz
opinión
hombre-máquina. Observamos,
además, los entornos industriales abiertos al exterior, a través
de interfaces web que permiten
el control remoto o el almacenamiento de determinados datos en
la nube. Estas interfaces se deben
asegurar a través de plataformas
de monitorización y alertas que
identifiquen intrusiones relacionadas con amenazas dirigidas de
tipo APT.
Finalmente, para contrarrestar
los abusos anunciados en entornos industriales, se impone la
industrialización de la seguridad.
La idea es atractiva, ya que se
basa en conceptos y procesos
familiares en un entorno industrial:
la automatización (detección de
amenazas), definición del procesos
(para la gestión de amenazas),
repetición y durabilidad (de los procesos), el control (del entorno de
seguridad) o la formación (de los
equipos de seguridad). Muchas
pistas para responder a los cibercriminales que evaluarán la industrialización de los ataques en un
futuro. Si hoy en día los ataques
son "artesanales" y ya de por sí
son peligrosos, ¿cómo será en el
futuro cuando el atacante tenga
eficientes kits para crear APTs a
medida, bases de datos de vulnerabilidades en los sistemas el control y la posibilidad de personalizar
los ataques usando sistemas
expertos?
Para contrarrestar los abusos
anunciados en entornos industriales,
se impone la industrialización de la
seguridad.
red seguridad
febrero 2015
41
protagonista segurtic
entrevista
Joan Taulé
Director general
de Symantec Iberia
Symantec se encuentra
actualmente en pleno proceso
de transformación. Hace unas
semanas la compañía anunció
su intención de dividirse en dos
empresas: Symantec, que se
seguirá dedicando al negocio
de la seguridad tecnológica; y
Veritas, que centrará su actividad
en la gestión de la información.
El fabricante se ha dado de plazo
todo lo que queda de año para
completar esta nueva estrategia y
empezar a operar por separado.
Hablamos con su director en
Iberia sobre cómo afectarán todos
estos cambios a la filial, cuáles
serán las principales prioridades
de la empresa a lo largo del
ejercicio y qué soluciones están
aportando en el ámbito de la
ciberseguridad, entre otras
cuestiones destacadas.
42
red seguridad
"La seguridad como servicio
será una de nuestras grandes
prioridades para este año"
Tx: David Marchal.
Ft: Symantec y RED SEGURIDAD
Recientemente Symantec ha dado
a conocer su intención de dividirse
en dos compañías: una enfocada a
la seguridad, Symantec, y otra a la
gestión de la información, Veritas.
¿En qué punto se encuentra ahora
mismo el proceso?
Esta separación marca la culminación de una nueva revisión de
negocio impulsada por parte de la
dirección de la compañía. A medida
que la industria de TI evoluciona,
los negocios de seguridad y gestión de la información se enfrentan
cada uno a oportunidades y desafíos
competitivos únicos y diferentes. Por
eso, para seguir liderando ambos,
se requiere de estrategias, inversiones e innovaciones específicas. Esta
separación permitirá a cada empresa
enfocarse en sus propias oportunidades de crecimiento y también reducir
la complejidad operativa.
Esperamos hacer efectiva esta
decisión antes de finales de diciembre. Para ello estamos siguiendo un
febrero 2015
enfoque muy metodológico en el que
empezamos por definir la estrategia
de ambas compañías por separado.
Ahora estamos desarrollando un
modelo de cobertura a todos los
niveles que está muy alineado con
los modelos financieros de estas dos
nuevas empresas. Finalmente, determinaremos cuáles serán los roles y las
habilidades que requeriremos de los
empleados para llevar a buen puerto esta nueva estrategia. Mientras
tanto, la nueva firma de gestión de la
información, Veritas, operará bajo el
paraguas de Symantec hasta finales
de diciembre.
¿Cómo va a condicionar esto a las
prioridades de la filial ibérica para
este ejercicio?
Por lo que respecta a la estrategia
con los clientes, hay un plan de transición de cobertura comercial muy
minucioso que iremos ejecutando
a medida que hayamos hecho la
separación de personas entre las
dos compañías. Paralelamente, queremos consolidar nuestra presencia
en grandes cuentas, en especial, en
protagonista segurtic
sectores en los que tenemos mucha
implantación, como el público y el
financiero; así como expandirnos en
el ámbito industrial, y también en la
pequeña y mediana empresa, donde
en 2014 conseguimos crecimientos
superiores al 30 por ciento.
En cuanto al lanzamiento de productos, es independiente de la transición. Hay un roadmap muy concreto
en soluciones de gestión de la información y de seguridad. De hecho,
tenemos departamentos, como las
áreas de desarrollo, en los que la
separación de funciones ya era evidente desde hace mucho tiempo, con
equipos específicos para cada uno de
estos dos ámbitos de negocio.
Finalmente, también vamos a hacer
mucho foco en cómo comercializamos nuestras soluciones. En este
sentido, la seguridad como servicio
será una de nuestras grandes prioridades para este año. Ya disponemos
de una amplia gama de tecnología
como servicio que pensamos ampliar
a lo largo de 2015. Sabemos que
es la respuesta a una demanda real
por parte de los clientes, que exigen
modelos flexibles de pago por uso.
¿Cuáles son las principales amenazas a las que se deben enfrentar
los departamentos de TI de las
empresas y organismos públicos
en el campo de la ciberseguridad?
Sin duda, el Goya a las principales
amenazas se lo llevarían los ATP.
Los ataques dirigidos están creciendo exponencialmente, los criminales
son más despiadados que nunca, y la
ecuación necesaria para protegerse
contra estas amenazas se ha vuelto
más compleja. Si bien la promesa de
soluciones basadas en la seguridad
en la red, como la respuesta a las
amenazas avanzadas, gana cada vez
más atención, la realidad es que los
departamentos de TI tienen que lidiar
con cantidades masivas de incidentes, demasiados falsos positivos y
una larga lista de procesos manuales
que deben abordar sin los recursos
ni habilidades necesarias para ganar
a los cibercriminales, dejando a las
organizaciones expuestas y vulnerables a los incidentes.
Es más, el último informe ISTR de
Symantec de 2013 desveló que los
ataques dirigidos crecieron un 91
por ciento y duraron un promedio de
tres veces más en comparación con
2012. Los asistentes personales y los
profesionales de las relaciones públicas eran dos de las profesiones más
comunes como objetivo de los ciberdelincuentes, que los usaron como
trampolín hacia otro tipo de objetivos
como celebridades o ejecutivos.
¿Cuáles son las soluciones que
propone Symantec para hacer
frente a estas ciberamenazas?
Hace unos meses presentamos un
enfoque completamente nuevo a la
protección avanzada contra amenazas. Se trata de una completa hoja
de ruta de soluciones integradas que
demuestra el poder de innovación de
esta compañía y que permite ayudar
a los clientes a resolver sus problemas más complejos. Este enfoque
esta alimentado básicamente por dos
entrevista
responder más rápido a los ataques,
proporcionar mejor visión y conocimiento de la propia amenaza en sí,
reducir el gasto en materia de seguridad y, en cierta forma, conseguir
extender el equipo de seguridad del
propio cliente.
¿Cómo complementa a estas soluciones el reciente acuerdo que han
firmado con Narus, empresa especializada en análisis de big data en
el campo de la ciberseguridad?
Sin duda, es una noticia muy positiva.
El acuerdo consiste en la contratación
de 65 ingenieros de Narus, y la idea es
que Symantec se apoye en el talento
y la experiencia de esta empresa en
el análisis del big data para desarrollar
nuestra nueva plataforma de Unified
Security. Así, con el conocimiento de
los ingenieros de Narus conseguiremos sacarle mucho más partido a
"Nuestra división de IoT trabaja
con los principales fabricantes
de estos dispositivos para
incluir la seguridad en el origen,
esa es la gran batalla"
nuevas ofertas: Symantec Managed
Security Services-ATP, como un
añadido a la oferta de servicios de
seguridad gestionados ya existente;
y Symantec ATP, que permite correlacionar alertas e inteligencia a través
de una gama de tecnologías de seguridad en el endpoint, el gateway y en
la red, para ofrecer una prevención
frente ataques más integral.
La metodología holística de
Symantec permite capturar los beneficios obtenidos cuando las tecnologías de seguridad trabajan juntas y
transformar la compleja lucha contra
las amenazas avanzadas en una función de fácil gestión que ofrece una
protección más sólida y da más valor
a los negocios. A través de estas
soluciones ATP se permite detectar
ataques avanzados de forma más
rápida, priorizar únicamente las amenazas críticas, ayudar a los clientes a
toda esa información. Aparte, nos permitirá crear soluciones que permitan
prever, detectar y remediar ataques
con mucha más precisión y velocidad.
Uno de los nuevos focos de interés
de los hackers son los dispositivos
móviles. ¿De qué forma se puede
luchar contra estas nuevas amenazas cada vez más extendidas?
El mayor problema es que los usuarios
móviles no están concienciados de la
importancia de proteger sus dispositivos, o no tanto como con el PC de
sobremesa. En 2013 un informe de
Symantec reveló que el 57 por ciento
de los adultos no sabían que existían
soluciones de seguridad para dispositivos móviles. Eso pone de manifiesto
la falta de conciencia del peligro en ese
tipo de entornos. Hoy en día lo vemos
cada vez más. Los empleados confían mucho más en estos dispositivos
red seguridad
febrero 2015
43
protagonista segurtic
entrevista
inteligentes y acceden con ellos a sus
datos corporativos. El problema es que
la empresa queda expuesta. La solución a todo esto es la concienciación.
Claro que también hay herramientas,
como las de Symantec, con tecnología
muy específica para este entorno móvil,
que permite, por un parte, asegurar la
protección frente a amenazas y, por
otra, la protección frente al acceso no
autorizado de los datos.
En los últimos meses se está avanzando bastante en el desarrollo de
Internet de las Cosas (IoT) y los
productos “wereables”. ¿Pueden
convertirse estos dispositivos en
el centro de nuevos ciberataques?
Hace poco lanzamos un informe que
se llama Predicción de Seguridad de
Symantec para 2015, en el que decimos que Internet de las Cosas seguirá
siendo el "Internet de las vulnerabilidades". Con IoT se generan grandes
cantidades de datos y continuaremos viendo ejemplos de cómo los
ciberdelincuentes pueden explotar las
vulnerabilidades de software en los
dispositivos conectados, incluyendo la
tecnología "wereable" o los televisores
y coches inteligentes. A pesar de ello
la previsión que hacemos nosotros es
que ahora mismo no veremos ataques
a gran escala en este tipo de entornos,
sino que serán mucho más aislados.
Aun así, contamos con una división
específica de IoT que está trabajando
con los principales fabricantes de
estos dispositivos para incluir la seguridad en el origen. Esa precisamente
es la gran batalla. Así, en la medida
en que esos fabricantes incluyan la
seguridad de raíz en el diseño, menor
va a ser el reto de cara al futuro.
En cambio, si hay que implementar
después un añadido al dispositivo,
será más complicado y el riesgo
aumentará.
Recientemente han presentado las
cifras sobre el mercado negro de
información, en el que los criminales compran y vender servicios
y datos. Por ejemplo, mil cuentas
de correo electrónico valen entre
0,5 y 10 dólares. En un mundo globalizado, como en el que estamos,
¿cómo se puede hacer frente a
estas prácticas que se han extendido últimamente y que ponen al
44
red seguridad
alcance de cualquiera la posibilidad de
cometer un delito
informático?
Yo mencionaría tres
ejes fundamentales de
actuación. El primero
es la responsabilidad
de la empresa y el
usuario. Una organización que recoja datos
de organizaciones o
ciudadanos se debe
asegurar de que toda
esa información está
protegida. Y también
es importante el papel
del usuario, que tiene
que ser consciente
de que cada vez que
comparte datos propios y confidenciales
ha de estar muy seguro y convencido de
con quién lo hace.
Después,
tiene
que
haber
una
Joan Taulé, en los premios de RED SEGURIDAD.
parte de regulación.
Entendemos que es
necesario un conjunto común de
formato 24x7, cada vez más sofistireglas que nos permitan lidiar con
cadas, con mayor impacto mediático
esas técnicas. Tanto en Europa como
y gran visibilidad en los comités de
en Estados Unidos esa legislación ya
dirección de las compañías.
existe y queda muy bien definido y
Actualmente, en este nuevo entorno
acotado lo que está permitido y lo
se les valora por ser capaces de
que no. Pero como estamos en un
construir
departamentos
de
mundo globalizado, esos mercados
Seguridad mucho más modernos
negros seguirán existiendo en sitios
con los que puedan pasar del modo
donde no están regulados. Hay que
de protección de su infraestructura y
ser conscientes de que esto no va
eventual reacción al incidente, al
a cambiar de la noche a la mañana.
modo predicción 24x7. Eso es un
Tenemos que ir creciendo y poner
cambio muy importante. Ahora se
cada vez más países bajo el amparo
valora más al CISO que sea capaz
de una legislación común que permide cambiar la mentalidad de un
ta reducir a la mínima expresión esos
departamento de Seguridad que
paraísos cibernéticos.
está más preocupado por la consPor último, es importante obligar
trucción de grandes murallas para
a las compañías y gobiernos a que
frenar a los intrusos, por profesionacompartan información para que se
les que sepan convivir en entornos
fomente la cooperación y el análisis
permeables, y que centren sus
de esos datos entre todos los actoesfuerzos en la preparación, la prores involucrados.
tección, la detección, la respuesta y
la recuperación frente a un incidente.
Por último, ¿cómo ve el papel del
La cuestión ya no es si se es atacaCISO en todo este contexto y en el
do, pues se da por descontado, sino
entorno de la ciberseguridad?
más bien cuándo y de qué forma se
El CISO es una figura de especial
puede mitigar el impacto. El CISO
relevancia, tanto en la empresa prique sea capaz de ver esto conseguivada como pública. Tiene que dar
rá una mayor relevancia dentro de su
respuesta a amenazas continuas, en
empresa.
febrero 2015
Impulsores de la
Seguridad Integral
en España
SEGUIMOS AVANZANDO
+
P o r q ue la Seguridad iNtegral es una necesida d
2015
Distribución conjunta
Estrategia conjunta
Sinergias conjuntas
35 Años de experiencia y conocimiento
A tu disposición
actualidad tecnológica
noticias
Predicciones de ciberseguridad:
IDC se adelanta al futuro
El equipo de analistas de International
Data Corporation (IDC) ha publicado
una serie de predicciones con el objetivo de ayudar a los responsables de
tecnología a realizar una planificación
estratégica de seguridad a corto y
medio plazo. De cara a 2016, IDC
prevé que el 25 por ciento de las
grandes empresas tome sus decisiones sobre gastos relacionados con
la seguridad en base a analíticas de
riesgo. Además, la autenticación multifactorial será el método de control de
acceso utilizado por el 20 por ciento
de las organizaciones para las cuentas confidenciales o susceptibles.
Para 2017, IDC pronostica que el
75 por ciento de las compañías más
importantes recibirá información personalizada sobre inteligencia de amenazas a su medida; y también que
el 90 por ciento de los dispositivos
móviles de una empresa utilizará algún
tipo de protección de hardware para
asegurar su integridad.
Por lo que respecta a 2018, según el
escenario dibujado por IDC, el 80 por
ciento de los datos privados alojados
en la nube estará cifrado. También ese
año, el ámbito empresarial invertirá
un 33 por ciento de su presupuesto
de seguridad en SaaS y servicios
de alojamiento; el 25 por ciento del
potencial de seguridad adquirido se
incorporará a las app; el 40 por ciento
de las webs y aplicaciones móviles
de las compañías se escaneará de
manera regular; y el 75 por ciento
de los directores y responsables de
seguridad reportará directamente al
consejero delegado de la compañía.
Acuerdo entre EEUU y Reino
Unido frente a los ciberataques
Durante este año, EEUU y Reino Unido
llevarán a cabo ejercicios conjuntos
para combatir a los cibercriminales. Así
lo anunciaron en Washington el presidente estadounidense, Barak Obama,
y el primer ministro británico, David
Cameron. Según el primero, la cooperación en ciberseguridad entre ambos
países persigue “proteger la infraestructura más crítica: nuestros negocios
y la privacidad de ambos pueblos”. Por
su parte, Cameron, en declaraciones a
la BBC, precisó que se crearán cibercélulas mixtas compuestas por personal del FBI y el MI5. Asimismo, instó
a las grandes compañías de Internet,
como Facebook o Twitter, a intensificar
su colaboración con los servicios de
inteligencia con el objetivo de rastrear
las comunicaciones encriptadas de los
sospechosos de terrorismo.
Aunque la cantidad económica que
se destinará a esta alianza no ha sido
46
red seguridad
precisada, Obama ha propuesto dedicar una partida de 14.000 millones de
dólares para fortalecer la ciberseguridad en EEUU. Desde la Casa Blanca
argumentan que “las amenazas cibernéticas dirigidas al sector privado, las
infraestructuras críticas y el Gobierno
demuestran que ningún sector, red
o sistema es inmune a la infiltración
de quienes tratan de robar secretos
y propiedades comerciales o gubernamentales, o perpetrar actividades
maliciosas y perjudiciales”.
Entre otras acciones, la política
estadounidense en materia de ciberseguridad contempla destinar 227
millones de dólares a la financiación
de un campus en el que puedan trabajar los sectores público y privado.
Estas cantidades se engloban en el
presupuesto global de 3,99 billones
de dólares que EEUU pretende asignar al ejercicio fiscal 2016.
marzo 2007
ENISA publica su
informe 'Panorama
de las amenazas
2014'
ENISA ha publicado en enero
su informe Panorama de amenazas 2014, en el que la agencia europea pone de manifiesto que el número de ataques
masivos contra funciones de
seguridad vitales de Internet
demuestra la gran eficacia
con la que los cibercriminales
explotan las brechas existentes tanto en empresas como
en gobiernos. La “dejadez” en
materia de ciberseguridad es la
causa principal de las intrusiones en la mitad de los casos.
Durante 2014 se observaron cambios importantes en las
amenazas, como una creciente
complejidad de los ataques o
el éxito de éstos a funciones de
seguridad vitales en Internet.
Pero, afortunadamente, también se llevaron a cabo exitosas
operaciones internacionales de
carácter público-privado. En
cuanto a las tecnologías emergentes que tendrán un impacto
en el futuro, ENISA señala los
sistemas ciberfísicos, la informática móvil y la computación
en la nube, la infraestructura de
confianza, los datos masivos y
el Internet de las Cosas.
Al margen de este documento, ENISA ha publicado la
guía Información procesable
para respuestas a incidentes
de seguridad. La misma tiene
como fin describir los retos a
los que se enfrentan los CERT
nacionales, así como otras
organizaciones de seguridad,
cuando intentan generar soluciones prácticas a partir de
grandes cantidades de datos.
actualidad tecnológica
BITS
CLARA, nueva herramienta para el cumplimiento
del Esquema Nacional de Seguridad
El CCN-CERT del Centro Criptológico
Nacional (CCN) cuenta con una nueva
herramienta de seguridad, CLARA,
destinada a facilitar a todas las administraciones públicas la ayuda necesaria para cumplir con el Esquema
Nacional de Seguridad (ENS). Se trata
de un proyecto desarrollado por la
compañía Sidertia que, de momento, sólo es funcional en sistemas
Windows Vista, 2008, 2008 R2 y
7, si bien ya se está trabajando en
una nueva versión para Windows 8,
8.1, Server 2012 y Server 2012 R2.
La aplicación se compone de dos
elementos, en función de si se utiliza
como cliente o agente, y genera tres
tipos de informe HTML: uno de red,
otro ejecutivo y, por último, uno de
carácter técnico que recoge el resultado de cada uno de los parámetros
evaluados para el cumplimiento del
ENS.
Precisamente en relación con el
Esquema, el CCN-CERT anunció la
finalización, el pasado 9 de febrero, del
plazo para remitir comentarios al proyecto de modificación del Real Decreto
3/2010, por el que se regula el ENS en
el ámbito de la administración electrónica. La iniciativa es el resultado de un
trabajo coordinado por el Ministerio de
Hacienda y Administraciones Públicas
en colaboración con el CCN.
El DNI electrónico 3.0 incorpora NFC y nuevas
medidas de seguridad
Jorge Fernández Díaz, ministro del
Interior, e Ignacio Cosidó, director
general de la Policía, presentaron en
Lleida, en enero, el DNI electrónico 3.0,
cuyo primer titular ha sido la nadadora
olímpica Mireia Belmonte. El nuevo
documento, que será implantado
progresivamente en el resto del país,
incorpora un chip certificado como dispositivo seguro, con mayor capacidad
y velocidad, que permite la transmisión
de datos a smartphones y tablets vía
NFC y radiofrecuencia. Además, incluye nuevas medidas de seguridad y
dota a la firma electrónica de la misma
validez jurídica que la manuscrita.
Los usos más inmediatos de la plataforma de servicios asociados al DNIe
3.0 se dirigen a desarrollar aplicaciones para móviles, con el concepto de
autorizaciones. Esto servirá para, por
ejemplo, autorizar a terceros a recoger
un envío postal o medicamentos de la
farmacia.
Durante el acto se presentó también
el nuevo Pasaporte 3.0, que ya se
está emitiendo en toda España y que
igualmente está dotado de un chip
de mayor capacidad y velocidad; un
nuevo papel de seguridad, componentes holográficos renovados; tactocel y
otras medidas de seguridad invisibles.
La seguridad tecnológica llega a las aulas a
través de Red.es e INTEF
Gracias al acuerdo suscrito entre la
entidad pública Red.es y el Instituto
Nacional de Tecnologías Educativas y
de Formación del Profesorado (INTEF),
los ministerios de Industria, Energía
y Turismo y de Educación, Cultura y
Deportes desarrollarán acciones conjuntas de formación en materia de
seguridad tecnológica para profesores
y enfocadas a los menores de edad.
En el caso de Red.es, entre las
actuaciones que desplegará se
encuentran la generación de materiales didácticos sobre seguridad TIC
en formatos MOOC (Cursos en Línea
Masivos y Abiertos), la prestación de
servicios de soporte y dinamización
necesarios para el correcto desarrollo
de la acción formativa y el etiquetado
de los contenidos generados según el
perfil de aplicación LOM-ES y empaquetado según el estándar SCORM
2004.
Por su parte, INTEF se encargará de difundir los MOOC en Twitter,
Facebook y Educalab; distribuir los
materiales formativos entre los docentes a través de sus sitios web, comunidades educativas online y de la red de
Recursos Educativos en Abierto; crear
y dinamizar comunidades de aprendizaje en torno a los materiales formativos desarrollados en la red social
integrada por profesores del instituto,
y trasladar los contenidos formativos
en seguridad TIC a las consejerías de
Educación y organismos de referencia
de las comunidades autónomas.
noticias
La plataforma NIS
contribuye a reforzar
la ciberseguridad en la
Unión Europea
Durante su ponencia en el encuentro Infoday Horizonte 2020 Espacio
celebrado en Madrid, Raúl Riesco,
gerente de I+D+i y Promoción del
Talento de Incibe, hizo especial hincapié en la plataforma NIS (Network
and Information Security), de la que el
Instituto Nacional de Ciberseguridad
forma parte. El objetivo de esta iniciativa de colaboración público-privada
de la Comisión Europea es mejorar
el nivel actual de seguridad de los
diferentes estados miembros, potenciando tanto el intercambio de información entre ellos como la capacidad
de respuesta a incidentes.
De esta forma, se obtendrán estrategias que compondrán la Agenda
Estratégica de Investigación en
Ciberseguridad (SRA, por sus siglas
en inglés), que influirá en programas de financiación de I+D-i como
Horizonte 2020. Igualmente, la plataforma NIS contribuirá a mejorar la
gestión de riesgos de ciberseguridad,
fomentar la capacidad de resistencia
de las redes y sistemas de información y aplicar las medidas establecidas en toda la Unión Europea.
Criptored ha
cumplido 15 años
La red temática Criptored despidió el año pasado festejando
su decimoquinto aniversario. En
la actualidad, cuenta con cerca
de un millar de miembros de
universidades y empresas del
sector de la seguridad TIC de 23
países y su página web registra
miles de visitas y visualizaciones
diariamente.
De las numerosas iniciativas
de Criptored cabe destacar
el Proyecto Thoth de píldoras formativas o el curso online de Seguridad Informática y
Ciberdefensa, impartido a más
de 200 alumnos, y el bautizado
como Crypt4you, en el que han
tomado parte cerca de medio
millón de estudiantes.
red seguridad
marzo 2007
47
actualidad tecnológica
noticias
El CCI destaca el crecimiento de la
ciberseguridad en entornos industriales
Haciendo un balance de los últimos dos años del Centro de
Ciberseguridad Industrial (CCI),
Samuel Linares, exdirector, y
Susana Asensio, responsable de
Proyecto del Centro, inauguraron
la jornada “La Voz de la Industria”,
que organizó la entidad el pasado
11 de febrero, en Madrid. Ambos
ponentes confirmaron el avance de
la ciberseguridad en este ámbito, lo
que ha derivado en una comunidad
fuerte, referente a nivel internacional
y con un número creciente de organizaciones y profesionales que se están
incorporando a este nuevo campo.
José Valiente, nuevo director del
CCI, e Ignacio Paredes, presentaron la
herramienta de madurez de ciberseguridad. Esta solución puede adaptarse
a las características de cada organización, cuya evaluación se realiza conforme a criterios tales como el grado de
automatización, el tipo de infraestructuras y el sector al que pertenece.
El evento también contó con la participación de Javier Urtiaga, socio de
PwC, que presentó la necesidad de
identificar métricas e indicadores significativos como paso previo para medir
la madurez de las organizaciones. Por
esta razón, PwC propuso un modelo
basado en tres niveles: indicadores de
gobierno, indicadores de riesgo y la
identificación de KPI.
Asimismo, Susana Calvo, de la certificadora Dekra, expuso su propuesta
de ERM bajo el modelo ISO 31000.
Según Dekra es muy importante que
las organizaciones incluyan indicadores de ciberseguridad, ya que "lo que
no se mide no se puede mejorar".
Por su parte, José Luis Vega, responsable de infraestructuras y seguridad de Capsa Food, presentó su caso
de aplicación de la herramienta de
Gestión de Madurez de Ciberseguridad
Industrial a en organización.
Al final de la jornada, se celebró una
mesa debate que contó con la representación de Gas Natural, Capsa,
Técnicas Reunidas y Telefónica.
Nueva Junta Directiva
El encuentro se celebró poco después
de que el CCI haya renovado su junta
directiva. Tras dos años al frente de
esta entidad, Samuel Linares deja
paso como director a José Valiente,
cofundador. Miguel García Menéndez
se incorpora como responsable de
Gobierno Corporativo y Estrategia del
CCI, así como Susana Asensio, que
es ya responsable de Proyectos y de
Desarrollo del Ecosistema.
Incibe finaliza con éxito el curso Ciberseguridad en
Sistemas Industriales
El Instituto Nacional de Ciberseguridad
(Incibe) ha cerrado la primera edición del curso MOOC (Massive Open
Online Courses) de Ciberseguridad en
Sistemas de Control y Automatización
Industrial, con más de 3.200 alumnos
inscritos y un 11 por ciento de porcentaje de superación. Esos datos
suponen “un gran éxito, dado que es
un curso avanzado y complejo, según
la valoración que hacen los propios
alumnos (el 97% así lo estima), en
versión online, de una temática tan
48
red seguridad
específica como es la Ciberseguridad
Industrial, de sólo seis semanas de
duración y que ha requerido un esfuerzo de 50 horas por parte de los alumnos”, apunta el director general de
Incibe, Miguel Rego.
El curso ha contado con la participación de expertos nacionales e internacionales de gran prestigio. Se trata de
un curso de carácter gratuito, impartido
en línea, de forma masiva y abierto a
todo el mundo a través de la plataforma
formativa de Incibe.
febrero 2015
ENISA elabora
un informe sobre
certificación profesional
en ICS/SCADA
ENISA ha publicado el informe
Certification of Cyber Security skills
of ICS/SCADA professionals, un
documento que explora cómo las
iniciativas actuales en materia de
certificación de las competencias
profesionales se relacionan con
la seguridad cibernética de ICS/
SCADA. También identifica los
desafíos y propone una serie de
recomendaciones hacia el desarrollo de sistemas de certificación.
Deloitte CyberSOC
organiza una jornada
sobre ciberseguridad
y negocio
Deloitte CyberSOC organiza el
próximo 24 de marzo el "Foro
de Ciberseguridad y Negocio:
Estrategias para combatir el
Cibercrimen", en colaboración
con BlueCoat Systems y Red
Seguridad.
El evento, que tendrá lugar
en Esade Business School en
Madrid, contará con un ciclo
de jornadas donde se tratarán
diferentes soluciones tecnológicas que ofrece el mercado para crear organizaciones
más seguras.
Durante la jornada, Deloitte
CyberSOC abordará el contexto de cibercrimen mediante una visión amplia de las
principales amenazas y sus
posibles soluciones. Para ello,
contará con el conocimiento
de especialistas en ciberseguridad desde tres puntos de
vista diferentes: fabricantes,
empresas y SOC (Security
Operation Center).
GLOBALTECHNOLOGY
Consultoría de Seguridad Global e Inteligencia
Monitorización
Seguridad
Hacking
Inteligencia
Seguridad Global
frente a la Amenaza Global
Protección
Conocer sus propias vulnerabilidades antes
que el enemigo, es la única forma de
preparar una defensa eficiente.
Hacking ético. Test de intrusión. Caja negra - Caja blanca
Monitorización. Detecta las amenazas antes de que materialicen
Inteligencia empresarial. Information Superiority - Decision Superiority
Fuga de Datos (DLP). La tecnología como problema y solución
Seguridad Global
Análisis Forense
Análisis de Riesgos
Seguridad en la nube
Hacking ético
Integración Seguridad Lógica y Física
Auditoría de vulnerabilidades
Comunicaciones Seguras
Monitorización
Consultoría Internacional
Ingeniería de Sistemas
Inteligencia Empresarial
Consultoría Tecnológica
Cumplimiento Legal
Seguridad de la Información
Protección de Infraestructuras Críticas
Prevención de Fuga de Datos
Protección del Patrimonio Histórico
Planes de Seguridad Integral
Plan de Continuidad del Negocio
Formación Personalizada según Roles
Sistemas de Gestión de Crisis
Plaza Rodriguez Marín, 3 · 1C. Alcalá de Henares · 28801 Madrid
(+34) 91 882 13 09
[email protected]
www.globalt4e.com
empresa
entrevista
Facundo Rojo
Director general de Vintegris
Facundo Rojo puso
en marcha Vintegris
hace poco más
de diez años. Los
inicios, cuenta, fueron
muy complicados,
pero ha sabido
encontrar su hueco
“Debería evaluarse a las
empresas por la calidad de lo
que venden, no por su tamaño
o su cifra de negocio”
Tx: Enrique González Herrero
Ft: E. G. H.
en el mercado
con soluciones
como Vincert,
para la gestión de
certificados digitales.
Como señala este
hombre hecho a sí
mismo, 2014 supone
un punto de inflexión
para la compañía que
buscará la expansión
internacional y lanzar
sus tecnologías
a la nube.
50
red seguridad
Vintegris cumplió el año pasado
una década de actividad. ¿Cómo
ha evolucionado la compañía a lo
largo de este tiempo?
Cuando decidí crear Vintegris llevaba
trabajando más de 30 años en el sector de la informática. Conocía bien la
profesión de técnico y, con el tiempo,
aprendí la de vendedor. En aquel
entonces me rodeé de profesionales
de altísima calidad y nos marcamos
la filosofía de tratar a los clientes
como a nosotros nos gustaría que
nos trataran. Otra de mis obsesiones
era que todo el personal de la empresa tuviera las certificaciones de las
soluciones de los partners con los
que trabajábamos.
Comenzamos como consultores,
pero los inicios fueron complicados
febrero 2015
porque era difícil que las grandes
corporaciones apostaran por nosotros. Por ello, empezamos también a
vender tecnología de terceros y a integrarla, fundamentalmente de autenticación y de control de acceso a web.
El año 2005 marco un punto de
inflexión. Decidimos desarrollar productos de seguridad a medida del
cliente. Esto supuso un giro de 180
grados para el negocio. Algunos
clientes nos pedían herramientas que
no incluían las tecnologías de los
partners que integrábamos y, a base
de escucharlos cuando nos contaban
sus preocupaciones, comenzamos a
desarrollar tecnologías propias. Es
decir, empezamos a ser fabricantes.
Primero desarrollamos tecnología
de autenticación OTP como complemento de otras soluciones. Luego,
diseñamos un modelo para correo
seguro, más adelante una tecnología
de sincronización de contraseñas y
empresa
entrevista
“En 2015 el objetivo es consolidar la tecnología que
tenemos, lanzar algunas soluciones en la nube y
diseñar estrategias nuevas de relación con terceros"
posteriormente una plataforma de
firma digital. Así comenzó el cambio
de Vintegris.
Otro momento importante llegó en
2010, cuando un cliente nos planteó un problema relacionado con los
certificados digitales. Nos pusimos
a investigar y desarrollamos Vincert
que, hoy por hoy, es nuestro producto estrella.
El año pasado supuso el paso
definitivo de integrador a fabricante,
que va a ser nuestra vocación a
partir de ahora. En estos momentos
tenemos soluciones de autenticación
que vamos a lanzar también en la
nube, hemos mejorado la tecnología
de descubrimiento de auditoría de
certificados y vamos a lanzar Vincert
en Market como producto o servicio.
Tras ese punto de inflexión, ¿cuáles son a partir de ahora sus objetivos estratégicos a corto y medio
plazo?
Desde el punto de vista estratégico, uno de nuestros objetivos es
la expansión internacional. Hemos
firmado un contrato de distribución
con una compañía con sede en Miami
para toda Latinoamérica. Además
de esto, también vamos a firmar un
acuerdo con un mayorista español (no
puedo decirle cuál) para que venda
nuestros productos por canal, ya
que ahora hacemos venta directa.
Contamos asimismo con integradores
de diferentes puntos de Europa que
también se han interesado por nuestra tecnología y estamos negociando
la presencia en alguna feria internacional de seguridad
Por otro lado, el objetivo de este
año es consolidar la tecnología que
tenemos, lanzar algunas soluciones
en la nube y diseñar estrategias nuevas de relación con terceros. Con
esa meta, necesitaremos adecuar
la infraestructura interna para poder
crecer sostenidamente.
Sus proyectos se han centrado en
grandes compañías, pero ¿están
concebidos sus productos para
otro tipo de empresas más pequeñas?
Sí. Nuestro objetivo es hacer llegar
esta sofisticada tecnología de seguridad a la pyme e incluso al autónomo.
Ahora cualquier autónomo sabe que
tiene que entrar una vez por semana
en Hacienda para ver si tiene algún
comunicado, y para ello necesita un
certificado digital. Si además lo tiene
en la nube, podrá conectarse esté
donde esté.
Mencionaba que Vincert es la
solución estrella de Vintegris. ¿En
qué consiste la tecnología que utiliza este software?
Imagine una empresa con un departamento de 40 personas que tienen que
utilizar certificado digital. Lo habitual es
que se instalen los certificados para
varios ordenadores, pero la empresa
no tiene el control de quién firma qué.
Si un empleado se marcha de la compañía, puede incluso que se lleve el
certificado a su casa, o puede que a
alguien le roben el PC, o que el administrador se olvide de la caducidad.
Nuestra tecnología elimina todos
esos problemas. Ubicamos los certificados en una base de datos cifrada
o en un HSM (Hardware Security
Module) y custodiamos las claves.
Mediante un directorio activo definimos quién puede utilizar un certificado
y para qué. La firma de los usuarios
se hace centralizadamente y además
se realiza una auditoría de seguridad.
Con esta tecnología se pueden
gestionar altas y bajas de usuarios
y garantizamos que los certificados
no salgan nunca de la empresa.
Incluso permite que si estás fuera de
la empresa de viaje puedas acceder
a la firma. En definitiva, es una herramienta de control, auditoría y gestión
de certificados digitales.
La evolución que vamos a perseguir este año es que se pueda acceder a las firmas en tablets y smartphones, utilizando certificados que
no pueden alojar esos dispositivos.
Nos gustaría llegar a ser un referente
en este sentido.
Desde su punto de vista, ¿a qué
nivel está en España el desarrollo
de la firma digital?
Yo diría que España es uno de los países más avanzados en firma digital.
Creo que la Administración ha hecho
muchos avances en ese sentido,
independientemente de si estamos
de acuerdo o no con algunas obligaciones. Su uso aún tiene mucho
recorrido. Ahora los certificados los
usamos para firmar, pero también
podríamos usarlos para cifrar información confidencial o en temas relacionados con la privacidad. Si conseguimos un acceso fácil y seguro a
las claves, podemos impulsar todas
estas cuestiones.
España ha hecho avances en firma
electrónica, pero ¿podemos decir
que su uso en las empresas va
más allá del mero cumplimiento
normativo?
Es cierto que en España la manera
de que se acepten algunas cuestiones es a través de procedimientos
normativos, y el certificado ha sido
uno de esos casos. Pero es importante que existan infraestructuras
que permitan al usuario gestionar en
remoto, de forma amigable, y que su
uso se extienda más allá del estricto
cumplimiento normativo.
En definitiva, lo que quiero decir es
que en España la firma electrónica
está avanzando, pero aún falta extenderla a otros campos. Queda mucho
recorrido en este asunto.
¿No cree que sucede lo mismo con
el cifrado de datos? Aunque exis-
red seguridad
febrero 2015
51
empresa
entrevista
ten requerimientos, hay empresas
que no los siguen.
Nosotros comenzamos a trabajar con
el cifrado de datos para uso interno,
para cifrar los datos de los productos, las bases de datos. Antes utilizábamos productos del mercado y
ahora algoritmos nuestros, el cifrado
de datos es un tema complejo. Por
ejemplo, el cifrado en redes sociales
protege al usuario per evital el control
en cuestiones delictivas.
¿Estamos suficientemente seguros?
En seguridad nadie está cien por cien
a salvo. Si quieren entrar en el sistema
lo harán. Por lo tanto, creo que no
debemos ser obsesos de la seguridad.
Pongamos una seguridad razonable,
pero sin exageraciones. La inversión
en seguridad tiene que ir a juego con
los riesgos que puedes padecer.
Suele haber laxitud, pero cuando
viene el problema comienza la preocupación y las prisas.
Queremos avanzar en sistemas
que sean, sobre todo, fáciles de usar
y que solucionen problemas reales,
no que los añadan. En el tema de la
autenticación hemos aplicado bastante este criterio. Hemos hecho que
la autenticación no te obligue a llevar
encima ningún dispositivo, evitado
la distribución de autenticadores y
el coste que ello conlleva, y hemos
incrementado las modalidades de
autenticación puestas a disposición
de cada usuario. También hemos
desarrollado un autenticador para PC
usando el código QR.
¿Qué oportunidades ven en el
Internet de las Cosas en torno a la
certificación digital?
Una de las apuestas que estamos
haciendo en Vintegris es desarrollar
piezas pequeñas que faciliten el uso
de algo en concreto, y las ponemos
a la venta en los Market. Hablábamos
antes del certificado digital y, en ese
sentido, ¿quién dice que ese certificado no pueda estar en un robot?
Le hablo de piezas pequeñas que
puedan integrarse en otros sistemas.
Por tanto, creo que el Internet de
las Cosas permite un amplio recorrido en relación con tecnologías como
la gestión de tráfico de datos, cadenas de producción o la domótica.
Vintegris ha dirigido desde sus
inicios muchos de sus proyectos
hacia las entidades financieras. De
hecho, han integrado su tecnología en algunas de las más importantes. ¿Cuál es su percepción
sobre el nivel de protección de las
tecnologías de la información en
los bancos españoles?
En España podemos estar orgullosos
de los profesionales que trabajan en
entornos de sistemas de la información en entidades financieras. De
hecho, diría que es una de las primeras potencias en banca electrónica;
los bancos cuentan con las tecnologías más avanzadas. Tendría que ser
una referencia para muchos países.
No obstante, tradicionalmente ha
existido una excesiva dependencia de la tecnología que viene de
fuera de nuestras fronteras. ¿Cree
que esa situación está cambiando
actualmente?
Todavía no ha cambiado esa situación, tenemos una total dependencia
de la tecnología extranjera. En mi
experiencia como fabricante me he
encontrado con muchos problemas a
la hora de conseguir contrataciones,
quizás por el tamaño de la compañía.
Cuando ofrece sus productos una
empresa pequeña parece que no
confían demasiado y de esa manera
nos cuesta mucho crecer. Nosotros
nos las hemos visto y deseado para
vender tecnología compitiendo con
otras de mayor prestigio y con menos
funcionalidades y rendimiento. En
muchos casos, la razón del usuario
para elegirlos a ellos es que no había
confianza en la pequeña empresa
local, y sin embargo el tiempo nos ha
dado la razón.
¿Es sencillo para una empresa
como la suya investigar y desarrollar en España para poder competir con los fabricantes internacionales?
Es complicado. La Administración
debería facilitar el desarrollo de nuevas tecnologías, pero hay una excesiva burocracia y muchas complicaciones para poder optar a ciertos
concursos públicos. Hace falta que se
evalúe a las empresas por la calidad
de lo que venden, no por su tamaño o
su cifra de negocio.
Cuando Facundo Rojo puso en
marcha Vintegris, no fueron pocas las
dificultades. Hoy la compañía apuesta
incluso por la expansión internacional.
52
red seguridad
febrero 2015
thalesgroup.com
Soluciones de Seguridad
En cualquier lugar, cumplimos con lo importante
CONTROL DE FRONTERAS
Autenticación de ciudadanos,
e-fronteras y vigilancia del territorio
CIUDADES INTELIGENTES
Infraestructura de información
centrada en el ciudadano
SEGURIDAD AEROPORTUARIA
Optimización de las operaciones
de seguridad cumpliendo con
los estándares OACI
SEGURIDAD URBANA
Detección inteligente combinada con
respuestas de las agencias de seguridad
CIBERSEGURIDAD
Protección activa de los sistemas
de información contra ataques
PROTECCIÓN DE INFRAESTRUCTURAS
Desde gestión de alarmas a
supervisión multiemplazamiento
A diario se toman millones de decisiones críticas en seguridad. En
Thales desarrollamos soluciones resilientes que ayudan a gobiernos,
autoridades locales y operadores civiles a proteger a ciudadanos,
datos sensibles e infraestructuras de amenazas complejas. Todo ello
aporta la información, los servicios, equipos y
controles necesarios permitiendo a nuestros clientes y
a los usuarios finales obtener respuestas más eficaces
en entornos críticos. Juntos, en cualquier lugar
marcamos la diferencia con nuestros clientes.
protección de datos
opinión
Conservación de datos personales: el
necesario equilibrio entre seguridad
pública, privacidad y libertad (y II)
Rafael Velázquez
Consultor legal TIC. Certified Data
Privacy Professional, CDPP
Sobre la existencia de un requisito ineludible para que el operador de comunicaciones electrónicas
ceda los datos que conserva, éste
es la “previa autorización judicial”.
Respecto al ejercicio del derecho
de acceso y de cancelación que la
normativa de Protección de Datos
Personales confiere a los afectados,
lógicamente, en este supuesto no
pueden ejercerse, pues constituye
una de las excepciones. En caso
contrario, la obligación de conservación de los datos personales y su
finalidad no tendrían sentido.
En cuanto a qué normas se usarán
para sancionar el incumplimiento de
las obligaciones contempladas en la
Ley 25/2007, sobre conservación de
datos relativos a las comunicaciones
electrónicas y a las redes públicas
de comunicaciones, hay que sostener que esto se decide en función de la situación planteada. En
unos casos aplicarán las sanciones
que establece la Ley General de
Telecomunicaciones, en otros las
infracciones y sanciones comprendidas en el régimen sancionador de
la Ley Orgánica de Protección de
Datos de carácter Personal y, cuando
54
red seguridad
el incumplimiento constituya delito,
habrá que estar a lo que disponga
nuestro Código Penal.
Acceso al contenido
Vinculado con los datos concernientes a personas físicas, identificadas
o identificables –que la Ley 25/2007
obliga a conservar, mantener y ceder
a los “operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten
redes públicas de comunicaciones”–
se encuentra el contenido de la comunicación emitida y/o recibida. Ésta la
protege el artículo 18.3 de nuestra
Constitución, que sostiene: “se garantiza el secreto de las comunicaciones
y, en especial, de las postales telegráficas y telefónicas, salvo resolución
judicial”.
El derecho citado no se limita a
proteger sólo el contenido de la comunicación, pues también la extiende
a la lista de números a los que se
llama desde un número de teléfono
concreto. Planteamiento que precisó la sentencia del Tribunal Europeo
de Derechos Humanos en el “Caso
Malone”. El conocimiento de este listado también afecta al derecho a la inti-
febrero 2015
midad personal y familiar, plasmado
en el artículo 18.1 de la Constitución,
que sostiene: “se garantiza el derecho
al honor, a la intimidad personal y
familiar y a la propia imagen".
En relación con el contenido de
la comunicación, también hay que
tener presente lo que especifica la Ley
25/2007 en su artículo 1.3, que dispone: “se excluye del ámbito de aplicación de esta Ley el contenido de las
comunicaciones electrónicas, incluida
la información consultada utilizando
una red de comunicaciones electrónicas”. Igualmente debe observarse la
obligación que la Ley 9/2014 General
de Telecomunicaciones plantea a los
operadores que exploten redes públicas de comunicaciones electrónicas
o que presten servicios de comunicaciones electrónicas disponibles al
público en el artículo 39.1; operadores
que deben: “garantizar el secreto de
las comunicaciones de conformidad
con los artículos 18.3 y 55.2 de la
Constitución, debiendo adoptar las
medidas técnicas necesarias”.
Conforme a lo expuesto, queda claro
que: el contenido de la comunicación
está protegido; el secreto de las comunicaciones ampara algo más que el
protección de datos
opinión
Los operadores de comunicaciones electrónicas a
los que se refiere este documento deben implicarse
para que el secreto de las comunicaciones “viva” y no
suponga una mera declaración semántica
contenido estricto de la comunicación;
el contenido no está dentro del ámbito de aplicación de la Ley 25/2007;
y los operadores de comunicaciones
electrónicas a los que se refiere este
documento deben implicarse para que
el secreto de las comunicaciones “viva”
y no suponga una mera declaración
semántica. Sin embargo, aunque lo
anterior es correcto, el artículo 18.3
de la Constitución también permite a
los “agentes facultados” acceder al
contenido de la comunicación cuando
se otorgue la correspondiente autorización judicial, como expresa el artículo 579 de la Ley de Enjuiciamiento
Criminal.
Cuando el Centro Nacional de
Inteligencia, entidad regulada mediante la Ley 11/20021, quiera acceder al
contenido de las comunicaciones para
el cumplimiento de las obligaciones
que tiene asignadas, dicha actividad
estará sometida a un control judicial
previo efectuado por un magistrado del
Tribunal Supremo, que mediante resolución motivada otorgará o denegará la
autorización solicitada para interceptar las comunicaciones postales, telegráficas, telefónicas o de otra índole,
protegidas por el artículo 18.3 de la
Constitución Española. Esta garantía
la estableció el artículo único de la
Ley Orgánica 2/2002, de 6 de mayo,
reguladora del control judicial previo del
Centro Nacional de Inteligencia2.
Anulación de la directiva
El objeto fundamental de la Directiva
2006/24/CE del Parlamento Europeo
y del Consejo, sobre la conservación
de datos generados o tratados en
relación con la prestación de servicios
de comunicaciones electrónicas de
acceso público o de redes públicas de
comunicaciones, y por la que se modifica la Directiva 2002/58/CE, según
establece su artículo 1, es: “armonizar las disposiciones de los Estados
miembros relativas a las obligaciones
de los proveedores de servicios de
comunicaciones electrónicas de acceso público o de una red pública de
comunicaciones en relación con la
conservación de determinados datos
generados o tratados por los mismos,
para garantizar que los datos estén
disponibles con fines de investigación,
detección y enjuiciamiento de delitos
graves, tal como se definen en la
legislación nacional de cada Estado
miembro”.
En la parte segunda de este artículo,
se precisó que la Directiva 2006/24/
CE fue transpuesta al derecho interno mediante la Ley 25/2007, sobre
conservación de datos relativos a las
comunicaciones electrónicas y a las
redes públicas de comunicaciones.
Norma que la Ley 9/2014 General de
Telecomunicaciones –que es su denominación correcta– modificó mediante
su Disposición final cuarta, tras publicarse la corrección de erratas3.
Pasemos ahora al marco de la interacción “Seguridad pública-Protección de datos de carácter personal
y Respeto de la vida privada y familiar”, contemplados en la Carta de los
Derechos Fundamentales de la Unión
Europea (CDFUE)4, en la Constitución
española de 19785 y en múltiples instrumentos de derecho internacional
público, de diferente naturaleza y relevancia. El Tribunal de Justicia de la
Unión Europea (TJUE), en el contexto
de la tensión libertad-seguridad, tras
acumular los asuntos C-293/12 Digital
Rights Ireland y C-594/12 Seitlinger y
otros, mediante sentencia del 8 de abril
de 20146, anuló la Directiva2006/24/
CE sobre conservación de datos.
Resolución que adoptó tras la solicitud
del Tribunal Supremo de Irlanda y el
Tribunal Constitucional de Austria, que
le pidieron que se manifestara respecto
de la validez de la Directiva 2006/24/
CE, en su relación con el derecho
fundamental a la protección de datos
de carácter personal, reconocido en
el artículo 8 de la CDFUE y el derecho
fundamental de respeto a la vida privada y familiar, planteado en el artículo 7
de la misma, esencialmente.
Nos encontramos así con una directiva cuyo contenido “inspiró” el desarrollo de las normas relativas a la conservación y cesión por los operadores
de comunicaciones electrónicas, así
como de los datos concernientes a
personas físicas y jurídicas, que el TJUE
considera nula. Aunque, la sentencia
no se pronuncia sobre la relación entre
la protección de datos y la libertad de
expresión, contemplada en el artículo
11.1 de la CDFUE y en el artículo 20.1
a) de la Constitución española.
El TJUE conecta el sentido de la sentencia con lo establecido el artículo 52
de la CDFUE, titulado “Alcance e interpretación de los derechos y principios”.
Éste, en su apartado 1, manifiesta:
“cualquier limitación del ejercicio de los
derechos y libertades reconocidos por
la presente Carta deberá ser establecida por la ley y respetar el contenido
esencial de dichos derechos y libertades. Dentro del respeto del principio de proporcionalidad, sólo podrán
introducirse limitaciones cuando sean
necesarias y respondan efectivamente
a objetivos de interés general reconocidos por la Unión o a la necesidad de
protección de los derechos y libertades
de los demás”.
La sentencia del TJUE plantea:
la conservación de datos personales contemplada en la Directiva
2006/24/CE, para luchar contra la
delincuencia grave y el terrorismo,
“reviste una importancia primordial
para garantizar la seguridad pública”; la conservación de datos para
cederlos a las autoridades facultadas responde a un objetivo de interés general, como es la lucha contra
la delincuencia grave enmarcada
en la seguridad pública; la conservación de datos “tampoco puede
vulnerar el contenido esencial del
red seguridad
febrero 2015
55
protección de datos
opinión
derecho fundamental a la protección
de datos de carácter personal”, ni el
contenido esencial del derecho fundamental al respeto de la vida privada, etc. Es decir, considera lícita la
obligación de conservación de los
datos personales y reconoce que
los argumentos que sustentan el
interés general se dan, pero sostiene que el contenido esencial de los
derechos y libertades fundamentales no pueden vaciarse, empleando
para ello esta Directiva que supone
una injerencia grave respecto de
los derechos fundamentales reconocidos en los artículos 7 y 8 de la
CDFUE.
Para el TJUE, la acción de dejar
sin contenido el derecho fundamental al respeto a la vida privada y a la
protección de datos de carácter personal tiene lugar cuando la Directiva
2006/24/CE implica: “una injerencia
en los derechos fundamentales de
prácticamente toda la población europea”. Tiene un alcance que “abarca
de manera generalizada a todas las
personas, medios de comunicación
electrónica y datos relativos al tráfico
sin que se establezca ninguna diferenciación, limitación o excepción en
función del objetivo de lucha contra
los delitos graves”. “No fija ningún
criterio objetivo que permita delimitar
el acceso de las autoridades nacionales competentes a los datos y su
utilización posterior con fines de prevención, detección o enjuiciamiento
de los delitos”.
También, abundando en esta
línea, el TJUE pone de manifiesto
que la Directiva 2006/24/CE plantea un periodo de conservación de
datos que no comprende ninguna diferenciación en función de las
personas, las categorías de datos
conservados y/o la utilidad de los
mismos de acuerdo con el objetivo
perseguido. No incorpora garantías suficientes que impidan el uso
ilícito de los datos o el abuso de
éstos. Las autoridades de control,
en el caso de España, la Agencia
Española de Protección de Datos,
no pueden realizar correctamente la
verificación de la implantación de los
requisitos de seguridad aplicables si
los datos se conservan en servidores ubicados en territorios distintos
al de la UE.
Concluyendo, es necesario plantear un conjunto de cuestiones vinculadas con esta parte del artículo
como son: ¿Qué sucede con la
Ley 25/2007, sobre conservación
de datos relativos a las comunicaciones electrónicas y a las redes
públicas de comunicaciones, que
supuso la transposición al derecho
interno de la Directiva 2006/24/CE
que el TJUE ha declarado nula?
¿La Ley 25/2007 también lo es?
¿La UE debe elaborar una nueva
Directiva acorde con los criterios
que contempla la sentencia del
TJUE? ¿Sería suficiente ajustar
nuestra Ley 25/2007, recientemente modificada por la Ley 9/2014
General de Telecomunicaciones,
para adaptarla en lo que se oponga al contenido de la sentencia del
TJUE?
Para quien escribe, la anulación
por el TJUE de la Directiva 2006/24/
CE no implica que nuestra Ley
25/2007 deba calificarse como
nula, pues el Estado ha elaborado
la disposición en el marco de sus
competencias. Las instituciones de
la UE deben proceder a elaborar y
aprobar una nueva Directiva en la
materia, acorde con la sentencia del
TJUE. Creo que es correcto modificar parte del contenido de la Ley
25/2007 para alinearla con el tenor
de la sentencia del TJUE.
Referencias:
1
Ley 11/2002, de 6 de mayo, reguladora del Centro
Nacional de Inteligencia, BOE de 7 mayo de 2002
2
Ley Orgánica 2/2002, de 6 de mayo, reguladora
del control judicial previo del Centro Nacional de
Inteligencia, BOE de 7 de mayo de 2002.
3
Corrección de erratas de la Ley 9/2014, de 9 de
mayo, General de Telecomunicaciones, BOE de
17 de mayo de 2014.
4
Carta de los Derechos Fundamentales de la
Unión Europea, DOUE de 30 de marzo de 2010.
5
Constitución Española, páginas 29313 a 29424,
BOE de 29 de diciembre de 1978.
6
Sentencia del Tribunal de Justicia de la Unión
Europea, de 8 de abril de 2014, sobre la validez
de la Directiva 2006/24/CE, en relación con los
artículos 7, 8 y 11 de la Carta de los Derechos
Fundamentales de la Unión Europea, disponible
en: http://curia.europa.eu/juris/document/document_print.jsf?doclang=ES&text=&pageIn.
Según el TJUE, la conservación
de datos “tampoco puede vulnerar
el contenido esencial del derecho
fundamental a la protección de datos
de carácter personal”.
56
red seguridad
febrero 2015
empresa
noticias
Panda renueva su identidad corporativa y emprende
una nueva estrategia
La compañía española Panda Security
cumple 25 años, y para celebrarlo
acaba de estrenar una nueva identidad corporativa basada en el concepto "simplexity". En palabras de Paula
Quirós, CMO de la empresa, “la base
de esta transformación se centra en la
idea simplexity: hacer fácil lo complejo,
simplificar la complejidad que caracteriza a nuestro sector de la seguridad”.
Esta renovación también incluye un nuevo plan estratégico para
los próximos cinco años centrado en
tres objetivos: crecimiento, expansión
internacional y desarrollo tecnológico.
Según Diego Navarrete, CEO de la
compañía, el próximo lustro prevén
“duplicar el crecimiento de la industria
de la seguridad”, lo que se traduciría
en un aumento de “entre el 10 y el 12
por ciento”. Además, el directivo anunció la expansión de su política internacional con especial foco en Europa,
Norteamérica y Latinoamérica. En concreto, la compañía prevé abrir mercado
en 15 países más.
Por último, aseguró que pondrán el
foco en “integrar y unificar tecnologías”
para ofrecer “protección global” a sus
clientes que incluya soluciones para
movilidad o el Internet de las Cosas.
Sophos basa su estrategia en la protección del usuario
En un evento celebrado en Madrid,
Sophos ha desvelado su nueva apuesta por la seguridad corporativa, la cual
pasa por tener a salvo las infraestructuras tecnológicas de las empresas,
pero desde un nuevo enfoque. “En
Sophos nos hemos dado cuenta de
que ya no vale con salvaguardar el
puesto de trabajo de los empleados,
hay que ir un paso más allá y proteger al usuario”, comentó durante su
intervención Álvaro Fernández, responsable de Grandes Cuentas de la
empresa.
Para ello Sophos propone la
solución Next Generation EndPoint
Fibernet, premiada
por su innovación
En su II Edición de los Premios a la
Innovación en el CPD 2014, Data
Center Market ha premiado a Fibernet
en la categoría de Apuesta por
Tecnologías Punteras por su investigación de la tecnología fotónica. La
compañía es una de las más activas en este campo, sobre todo tras
la reciente adquisición de Fibernova,
una startup valenciana especializada
en tecnología fotónica y de radiofrecuencia para el sector de las telecomunicaciones, y que cuenta con un
centro único en España para el diseño
y montaje de circuitos fotónicos.
58
red seguridad
Protection, “una herramienta creada
desde cero y con la que se cubren
todos los aspectos relacionados con
la seguridad: prevención, detección,
mitigación y protección”, explicó el
directivo.
Esta nueva propuesta de Sophos
integra dos elementos fundamentales. El primero es Sophos System
Protector, su verdadero “cerebro” y
encargado de analizar todos los datos
que se recopilan del sistema para
gestionar su protección; y la utilidad
Detección de Tráfico Malicioso (MTD),
que permite encontrar los sistemas
comprometidos de una red.
Veritas, nombre de
la nueva empresa de
Symantec
Symantec ha anunciado que “Veritas
Technologies Corporation” será el
nombre de su nueva empresa de gestión de información, que se creará una
vez haya finalizado su separación de
la identidad en dos compañías independientes. Su nuevo logo se inspira
en el concepto de tecnologías abiertas y heterogéneas necesarias para
tomar las riendas de la información.
febrero 2015
S21Sec apuesta
por la investigación
y la innovación en
ciberseguridad
La compañía S21Sec ha hecho
balance de su participación
durante 2014 en programas
europeos de financiación a la
I+D+i. Por un lado, ha liderado el
recientemente finalizado proyecto CAPER (programa FP7), cuyo
objetivo era crear una plataforma común para la prevención
de la delincuencia organizada, a
través del intercambio y análisis
de fuentes de información entre
agencias de seguridad.
Por otra parte, la empresa
ha comenzado su participación
como socio en el nuevo proyecto L3CE, que prentede establecer una red colaborativa europea de Centros de Excelencia
en Ciberseguridad.
Finalmente, también ha participado durante 2014 en los proyectos: SWEPT, para la mejora en la securización de sitios
web a través de tecnologías de
detección de malware y prevención de ataques; EUCONCIP,
que busca potenciar la colaboración europea para la protección de infraestructuras críticas; y CAMINO, una iniciativa
para desarrollar una agenda de
investigación sobre cibercrimen
y ciberterrorismo.
La ESA crea una 'cloud'
privada con Red Hat
La compañía de soluciones de código abierto, Red Hat, ha anunciado
que la Agencia Espacial Europea
(ESA) ha desarrollado una infraestructura cloud privada en sus instalaciones, que ofrece servicios avanzados de TI para las comunidades de
empleados, usuarios y proveedores
de la Agencia que precisan de altos
niveles de disponibilidad. Según sus
responsables, esta infraestructura,
que utiliza parcialmente Red Hat
Enterprise Linux, ha demostrado ser
flexible y fiable en todos los entornos
críticos en los que trabaja la ESA.
GMV establece una nueva filial en
Reino Unido
GMV ha constituido una nueva sociedad filial en Reino
Unido, cuya sede está ubicada en el Centro de Innovación
Harwell en Oxfordshire en el Sudeste de Inglaterra. Esta
apuesta forma parte del plan estratégico de desarrollo de
negocio de la compañía en Reino Unido, que implicaba
la constitución de una nueva sociedad operativa desde
finales de 2014.
El objetivo de la filial es desarrollar un proyecto a largo
plazo, con una importante base de operaciones y valor añadido, con la que explotar las oportunidades del país anglosajón. Se centrará especialmente en el mercado espacial,
concretamente en el segmento de aplicaciones, observación de la tierra, telecomunicaciones y nuevas tecnologías.
NOMBRAMIENTOS
Pilar López Álvarez
Presidenta Microsoft Ibérica
Tras casi dieciséis años en Telefónica,
el próximo 1 de junio López Álvarez
asumirá la presidencia de la filial
ibérica de Microsoft en sustitución
de María Garaña, quien ocupará un
puesto de máxima responsabilidad
en la sede central de la compañía en
Estados Unidos. Según ha anunciado la empresa, este relevo se hará efectivo el 30 de junio, coincidiendo con el cierre
del actual ejercicio fiscal de la organización.
Kurt Mills
Vicepresidente mundial
para Ventas por Canal y
Operaciones de Blue Coat
Con más de 25 años de experiencia
en el sector, Mills regresa a la que
fue su compañía en un nuevo cargo
en el que tendrá la responsabilidad
de impulsar el programa de canal
y las operaciones sobre el terreno de la empresa. Hasta
el momento, era vicepresidente de Ventas de Canal en
Aerohive Networks, donde desarrolló su programa de
canal, equipos, sistemas y comercialización.
Javier Cazaña
Responsable de Canal y
Alianzas para España y
Portugal de Trend Micro
Licenciado en Administración de
Empresas Internacionales por la
Universidad de North Greenville
(Estados Unidos), Cazaña se encargará de la gestión y puesta en marcha de la estrategia de canal de la
compañía, y del refuerzo de las relaciones con mayoristas,
distribuidores y partners en general.
REVISTA ESPECIALIZADA EN GESTIÓN DE ACTIVOS Y SERVICIOS
www.facilitymanagementservices.es
hacking ético
opinión
'Hacking' ético profesional,
una necesidad ineludible para
empresas y organizaciones
Juan Luis García
Rambla
Director técnico del Área de Seguridad TIC
de Sidertia Solutions
A firmar que las empresas y organizaciones tienen una total dependencia
de sus infraestructuras tecnológicas
es una obviedad. Sin embargo, a
partir de esta máxima se desprende
toda una serie de conclusiones que
van mucho más allá, incluyendo lógicamente aspectos relacionados con la
seguridad informática.
El proceso de negocio de las empresas se ve condicionado en todas y
cada una de sus fases por la calidad
y prestaciones de sus infraestructuras
informáticas. Las relaciones comerciales, la puesta en marcha de servicios o
generación de productos, la atención al
cliente y, lo que es más importante, su
confianza son algunos de los múltiples
aspectos afectados.
El concepto de “confianza” es un
pilar del éxito empresarial y para
muchas organizaciones un elemento
determinante en su proceso de negocio o actividad. La seguridad informática contribuye de forma sustancial
a afianzar esa idea de “confianza”.
El usuario de un servicio web donde
el factor económico sea significativo, buscará elementos y condiciones
asociados a la seguridad informática que le aporten tranquilidad a la
hora de realizar cualquier operación.
Por ello, empresas y organizaciones
deben dedicar medios a mantener e
incrementar la confianza, y para ello la
seguridad informática es clave.
60
red seguridad
Mejorar la seguridad informática
empieza por conocer los riesgos,
analizar su incidencia y definir los
mecanismos que permitan su subsanación. En esta fase inicial de análisis
es donde el hacking ético constituye
un componente fundamental para el
proceso de evolución de las empresas desde la simple funcionalidad a la
seguridad de sus sistemas. La ejecución de una auditoría o hacking ético
por parte de un tercero proporciona
un perfecto instrumento para que una
organización sepa en qué punto de
madurez se encuentra en el empleo
de la tecnología informática.
Qué esperar del hácking ético
¿Qué debe esperar una organización
de un hacking ético profesional? En
primera instancia el descubrimiento
de fallos de seguridad en la tecnología
analizada, bien sea ésta su sitio web o
Intranet, su servicio de e-commerce,
los procesos de gestión de usuarios,
puestos de trabajo o cualquier otro
servicio significativo para su negocio.
Pero junto con ello aportará también
información de valor para la posterior racionalización de la inversión en
medios y esfuerzos, así como en la
definición de una correcta evolución
tecnológica de cada compañía.
La ejecución de una auditoría de
seguridad o hacking ético debería
efectuarse, al menos, anualmente.
febrero 2015
La cualificación y cuantificación de
los resultados obtenidos en cada
test permiten a la empresa conocer
su evolución, la idoneidad de sus
procedimientos y si la inversión en
seguridad se está realizando adecuadamente.
El incremento del gasto no implica necesariamente una mejora en
el nivel de seguridad informática.
Cuanto mayor es la experiencia en
seguridad adquirida a través de las
auditorías, mayor es la capacidad
de las compañías para optimizar
su inversión en seguridad informática. Aplicando procesos de hacking ético adecuados que permitan
la subsanación de vulnerabilidades
y la generación de procedimientos
preventivos eficaces que minimizan
la posibilidad de errores. Las entidades que realizan auditorías eficaces
con mayor frecuencia adquieren una
maduración evidente que les permite
dirigir sus inversiones atendiendo a
necesidades verdaderas.
Son numerosas las organizaciones
que realizan auditorias y procesos de
hacking ético de forma muy puntual
o exclusivamente ante la aparición
de situaciones de riesgo, limitando
sus acciones correctoras a los resultados obtenidos en estas ocasiones.
Pero la evolución en tecnología es un
proceso permanente y ágil, especialmente en el ámbito de la seguridad
especial
hacking ético
informática. La aparición de nuevos
vectores de ataque es una realidad y
un riesgo continuo para los sistemas.
Esto, sumado a la falsa sensación
de seguridad, sitúa a menudo a las
empresas en situaciones críticas.
Tras los procesos de hacking
ético, las empresas desarrollan y
aplican cambios, no sólo de índole
técnico sino también organizativo,
impulsando así mejoras en el trabajo y un incremento en el nivel de
eficacia. La realización periódica de
auditorías de seguridad es también
un elemento dinamizador y de mejora de empresas y organizaciones,
más allá de los aspectos puramente
tecnológicos.
Calidad del ‘hacking’
Otro aspecto fundamental a considerar es la calidad de los procesos de
hacking ético y auditoría. Éstos deben
encontrarse sujetos a metodologías
homologadas y reconocidas como
tales. La identificación de vulnerabilidades debe basarse en mecanismos
de cualificación de riesgo claramente
definidos y medibles. Por otra parte,
las auditorías deben tener en consideración la tipología y condiciones
específicas de cada negocio o escenario de actuación, planificándose
su desarrollo en consecuencia. Una
auditoría será mucho más eficaz si
los test a realizar se encuentran diseñados considerando el negocio o
actividad de la organización auditada
y no son simplemente ejecutados
atendiendo a un patrón regular, igual
para todas las situaciones.
Con frecuencia, en Sidertia recibimos peticiones de empresas que
solicitan la valoración de los resultados de auditorías o procesos de
hacking ético a los que han sido
sometidas. Es frecuente observar,
a partir de los informes recibidos,
que los procesos presentan serias
carencias desde el propio planteamiento de los objetivos. Las auditorías se centran en identificar fallos
en servicios vulnerables pero sólo
de relativa importancia, no focalizando el análisis en aquellos otros que,
siendo más difíciles de auditar, son
sin embargo puntos críticos en el
proceso de negocio de la empresa.
Se aprecia por lo tanto que el auditor
ha realizado su labor con un objetivo
único, la mera detección de vul-
especial
nerabilidades, cuyo descubrimiento
puede aportarle la sensación de
deber cumplido. Lógicamente desde
Sidertia consideramos que éste es
un enfoque erróneo dado que los
esfuerzos no se han dirigido a identificar riesgos en aquellos sistemas
y servicios de mayor importancia
y criticidad para el negocio de la
empresa auditada.
En la actualidad la oferta de empresas que prestan servicios de hacking
ético es considerablemente amplia.
Desafortunadamente, otra cuestión es
el número de consultoras que ofrecen
estos servicios de forma profesional y
con unas garantías mínimas de calidad. Es frecuente la presentación de
informes finales basados exclusivamente en la información aportada por
herramientas automatizadas y sobre
las que un analista de seguridad no
ha realizado ningún tipo de valoración
o interpretación. No se han tenido en
consideración las necesidades reales
de las empresas contratantes, realizándose simplemente un procesamiento masivo de información, con
la consiguiente reducción de costes
pero fundamentalmente de eficacia y
validez en los resultados obtenidos.
Como bien indican metodologías de
auditoría ampliamente reconocidas,
como pueden ser OSSTMM (Open
Source Security Testing Methodology
Manual) u OWASP (Open Web
Application Security Project), la ejecución del proceso de hacking ético
debe basarse principalmente en la
experiencia del auditor y no en el simple uso de herramientas. La automatización de tareas en mayor o menor
grado dependerá del proceso a reali-
opinión
zar, así como del escenario operativo.
Sin embargo, independientemente de
la calidad de las herramientas, el
análisis debe incorporar como componente fundamental el factor de
interpretación del auditor.
La labor del profesional es ineludible. Una herramienta de análisis
de vulnerabilidades de incuestionable
calidad como puede ser Nessus, presenta un alcance significativo y suele
formar parte de la “caja de herramientas” de cualquier auditor profesional.
Sin embargo, Nessus, cuya calidad
y eficacia no se ponen en tela de
juicio, no es capaz de atender a la
totalidad de tecnologías existentes.
Un análisis basado exclusivamente en
la herramienta implicaría que determinados riesgos de seguridad, de
considerable importancia en ciertos
escenarios, pasarán totalmente desapercibidos. Un auditor cualificado
reconocerá fácilmente el problema y
el riesgo que supone para la empresa
ese fallo de seguridad.
Como hemos podido ver, la aplicación de auditoría y hacking ético
aporta a empresas y organismos
múltiples ventajas. Su realización no
debe ser simplemente reactiva o puntual, sino proactiva y periódica, liderada y dirigida por profesionales que
usen herramientas y metodologías
válidas orientadas a cada escenario.
Otra forma de actuar es más “barata”,
pero probablemente totalmente ineficaz. La auditoría de seguridad y el
hacking ético constituyen necesidades reales que empresas y organizaciones deben atender, pero de forma
adecuada, evitando malgastar recursos y esfuerzos.
red seguridad
febrero 2015
61
hacking ético
opinión
La evolución de las técnicas
de 'hacking' ético
Floren Molina
Advanced Cybersecurity Business
Development de S21sec
D ecir que las técnicas de hacking
han mejorado en los últimos años
es casi una falacia. En 15 años, por
ejemplo, hemos asistido a una diversificación en las mismas, siempre
dependiendo de los proyectos que
los clientes demandaban, así como
del avance de las tecnologías.
Hace años, cuando la seguridad
era menos métrica e ISO, el pentest era una forma de determinar
el grado de vulnerabilidad de una
organización cuando se realizaba
una intrusión en algún servidor. Se
obtenía información confidencial del
objetivo y el pentest servía como
introducción a muchas compañías
que, por aquel entonces, estaban
empezando a oír hablar de firewalls
en el “incipiente” mundo de la seguridad telemática.
Estamos hablando del año 2000. En
aquel entonces, el mundo de las webs
corporativas se suscribía a páginas
estáticas y usualmente sólo había
correo, ftp y accesos remotos en las
compañías.
Luego llegaron las ISO, las normativas y el afán de medir el riesgo,
transferirlo, mitigarlo, etc. En aquel
momento las técnicas de hacking
explotaron para incluir las pruebas a
los incipientes portales web corporativos, intranets, extranets y los sempiternos canales financieros. El aterrizaje de la OWASP, supuso el despegue
de las vulnerabilidades de aplicativo,
casi delegando las vulnerabilidades
de overflow a un destierro en las
62
red seguridad
herramientas de análisis automático
de vulnerabilidades y fuzzers.
El mercado
Durante todos estos años ha sido el
mercado quién ha dictado el camino
por el que se debían mover los pentest, sólo alterado por la inclusión de
vulnerabilidades que desestabilizaban el frágil status quo. Heartbleed
supuso la actualización de servidores
SSL de medio mundo, lo que ha
provocado que desde entonces cada
nueva vulnerabilidad lleve incorporada su pequeña campaña de marketing, como fue el caso de Shellshock
y últimamente el Ghost.
Sin embargo, una gran comunidad
de investigadores sigue desarrollando
herramientas, metodologías e investigando en vulnerabilidades fuera del
entorno empresarial y del marketing
que las acompaña.
Volviendo al mercado, han sido
las empresas las que, en un intento
vano de poner cercas al campo, han
restringido las pruebas de hacking
a aquellos entornos en los que se
sentían más cómodas, aludiendo a la
resignación que padecían de conocer
su estado de seguridad interno y
queriendo restringir el perímetro de
alcance. Ese perímetro ha ido creciendo y expandiéndose mientras se
tomaba conciencia de la seguridad en
la mayor parte de los casos, donde la
inclusión del mundo del malware ha
ido creando cabezas de playa en las
redes internas, aumentando el mal
febrero 2015
llamado “perímetro” de las empresas
hasta alcanzar el puesto del usuario.
Esa fusión del mundo del malware y
del pentesting, donde técnicas y procesos se comparten, ha incrementado el riesgo residual de las compañías. ¿Malware creado ex profeso
para realizar tareas de intrusión dentro de las redes corporativas, captura
de credenciales, robo de información confidencial, etc.? Es aquí donde
se han incorporado conceptos tales
como “cisnes negros” y la respuesta
en forma de “resiliencia”.
Además, hemos podido ver una
evolución en los servicios de hacking,
desbancando a los perennes informes de análisis de vulnerabilidades
donde se incluían los intentos de
intrusión; obviando las vulnerabilidades y poniendo a prueba a los equipos de seguridad internos; planteándoles pruebas de seguridad como si
fuesen maniobras: detección de reconocimientos y de intentos de intrusión
en sistemas y aplicaciones, respuesta
a campañas de phishing y a leaks de
información confidencial, investigación de incidentes internos, forenses
de APT y de sistemas y malware, análisis en Sandbox de comunicaciones,
comportamiento y funcionalidades de
malware o respuesta a incidentes.
Capacidad y polivalencia
De esta manera, los equipos de respuesta internos tienen un enemigo
que les proporciona la experiencia
necesaria para responder de manera
especial
hacking ético
opinión
Una gran comunidad de investigadores sigue
desarrollando herramientas, metodologías
e investigando en vulnerabilidades fuera del
entorno empresarial
eficiente a un ataque real. Lo que a su
vez obliga a los equipos de pentesting a incrementar sus capacidades
y polivalencia, tratando de emular los
ciberataques que se están produciendo en el día a día, así como a idear los
próximos pasos.
Ejemplo de ello es la creación de
nuevos sistemas para la evasión de
filtros antispam y antivirus en el envío
de phishing y malware, y su ampliación a nuevos entornos, como las
redes sociales Facebook, Twitter y
foros específicos del cliente y sus
trabajadores, para así evitar filtros de
navegación web.
Llevando un paso más allá la detección de vulnerabilidades web, con la
mejora de técnicas de evasión de filtros
y WAF (Web Application Firewall), así
como ataques específicos a la lógica
de las aplicaciones, se aprovecha la
información recabada en otros ataques
(usuarios, contraseñas, etc.). Otra técnica es la ‘exfiltración’ de información
por canales encubiertos, mejorando
los caducos sistemas basados en protocolos de red y llevando los relacionados con redes sociales un paso más
allá en cuanto a técnicas de ocultación
y cifrado; o la aplicación de nuevos
ataques específicos a redes internas,
nuevos métodos de man-in-the-middle
mediante los cuales poder extraer información de canales seguros sin ser
detectados por los usuarios.
Al hilo de los anteriores, también
cabe destacar el ataque a dispositivos
de red, donde se continúan empleando
antiguos protocolos de gestión y proceso, cuya heterogeneidad en la distribución da juego en el interior de empresas; o los ataques a otros dispositivos
IP que pueden servir de plataforma a
otros ataques, impresoras inteligentes,
dispositivos multimedia, videoconferencias, etc., dispositivos fuera de cualquier mantenimiento de seguridad y
que usualmente no son monitorizados y
especial
controlados, pero que son parte intrínseca del negocio de las corporaciones.
Por no hablar del amplio mundo
“móvil”, smartphones, tablets y demás
dispositivos personales que nos
acompañan y de los que se investigan
vulnerabilidades, y para los cuales se
están ya combinando ataques que
tradicionalmente estaban orientados
a los ordenadores personales.
los procesos, sigue habiendo un
trabajo artesanal.
Detrás de las herramientas actuales hay verdaderos virtuosos como las
muchas conferencias de seguridad
demuestran. Además, surgen nuevos
maestros que siguen afinando y fabricando nuevos instrumentos que ayudan en
ese proceso de análisis de debilidades
más que de análisis de vulnerabilidades.
Una mentalidad diferente
Para ello, es necesario una mentalidad diferente, aquella mentalidad de
la vieja escuela que se debe transmitir a día de hoy a los equipos de
auditoría, aludiendo a un modo de
analizar la seguridad de los entornos
con pensamiento lateral, buscando
siempre cierta maldad en el análisis
de los componentes de seguridad,
aprovechando las debilidades del
sistema y explotando ese riesgo
residual que poseen todas las organizaciones.
Hace años, muchos de los que
comenzaban en este mundo auguraban su final comercial con los
sistemas automáticos de detección
de vulnerabilidades. Sigue pasando
el tiempo y conforme surgen herramientas que automatizan parte de
Los equipos de pentesting son por
fin lo que eran hace años, de nuevo la
forma en la que una compañía podía
medir su madurez en seguridad, sin
trabar el alcance de las pruebas, su
tipología u objetivos, permitiendo que
se realicen pruebas que abran los
ojos sobre los nuevos riesgos que les
afectan.
Es, por tanto, hora de dejar de
hacer análisis de vulnerabilidades en
el cliente, dar un paso más allá, y
tratar de ayudar a las compañías a
minimizar esa ventana de exposición
a ataques. Apoyarles en que toda
esa métrica que les ha permitido atar
y cuantificar los riesgos sea la base
de la respuesta a incidentes de
seguridad necesaria para enfrentarse a los nuevos retos de ciberseguridad del día a día.
red seguridad
febrero 2015
63
hacking ético
opinión
'Honeypot', una trampa para
los malos
Carlos Rosado
Moral
Auditor de Seguridad en
PricewaterhouseCoopers
El uso cada vez mayor de las tecnologías de la información en todo tipo de
plataformas y disciplinas hace que se
exijan nuevos objetivos, lo que origina
nuevos retos también en el ámbito de la
seguridad informática. Las nuevas amenazas representan un riesgo cada vez
más constante en la línea de negocios
de las organizaciones, ya que la información ha dejado de reflejarse exclusivamente en papel para estar presente
en cualquier tipo de dispositivo de almacenamiento, como USB, CD, DVD, en la
Red, etc. Esto motiva que la informática
forense deba adaptarse e ir evolucionando a la vez que los delitos cometidos en
este tipo de plataformas.
La informática forense requiere
medios que permitan mantener un proceso de investigación que de solución
a los nuevos retos. Pero cabe destacar
que no siempre los casos a los cuales
se enfrenta el investigador son iguales.
Además, una investigación se complica cuando no se tiene el suficiente
conocimiento para poder manejar y
concluir el caso.
En todo este contexto, una de las
principales herramientas que pueden
ayudar a mejorar las investigaciones
son los honeypot.
¿Qué es un ‘honeypot’?
Un honeypot es un recurso flexible
de seguridad informática cuyo valor
se basa en que éste sea comprometido, atacado y probado, con el fin de
aportar información al investigador
forense.
64
red seguridad
Teniendo en cuenta esta definición, podemos ver que el honeypot
no es una herramienta que mitigue el
riesgo o forme parte de la defensa,
sino que realiza un análisis forense
de los ataques recibidos en un dispositivo o red.
Funcionamiento
Un honeypot puede ser tan simple
como un ordenador que ejecuta un
programa, que analiza el tráfico que
entra y sale del aparato hacia Internet,
‘escuchando’ cualquier número de
puertos. El procedimiento consiste en
mantener una debilidad o vulnerabilidad en un programa, sistema operativo, protocolo o en cualquier otro
elemento del equipo susceptible de
ser atacado y que, por lo tanto, motive
al atacante a utilizarlo, de tal forma
que se muestre dispuesto a emplear
todas sus habilidades para explotar
dicha debilidad y obtener el acceso al
sistema.
Frenar un ataque
Debemos tener en cuenta los enormes peligros que entraña permitir a un
atacante proseguir con sus actividades
una vez que ha conseguido entrar en el
sistema. Por muy controladas que tengamos sus acciones, nada puede evitar
que en cualquier momento esa persona
se sienta vigilada u observada, se ponga
nerviosa y destruya datos o se haga con
el comportamiento de la máquina.
Una forma de monitorizar dicha
preocupación sin comprometer exce-
febrero 2015
sivamente la integridad de nuestro
sistema expuesto es el uso de honeypot. La idea es construir un sistema
que simule ser real, pero donde los
datos expuestos no son de relevancia.
De ese modo se permite al atacante
revisar o incluso manipular la información sin poner en peligro los datos
importantes.
Para ello se utiliza una máquina
denominada “trampa”, que es sobre la
que trabaja realmente el atacante y de
la que podemos obtener la información
necesaria sobre éste sin que se percate
nuestra presencia. Así se consigue que
el atacante piense que su intrusión ha
sido un éxito y continúe con ella, mientras nosotros, por otro lado, la estamos
monitorizando a la vez que recopilamos
información sobre sus movimientos y
su manera de actuar.
Los honeypot actúan de ‘gancho’
para que el atacante piense que su
intrusión ha sido un éxito, pero en
realidad está vigilado.
especial
hacking ético
opinión
'Pentesting' persistente y estratégico:
nuevos ataques y nuevos modelos
Pablo González
Project Manager en ElevenPaths
Puede parecer un tópico decir que
cada día que pasa las empresas están
más expuestas en Internet y tienen una
mayor presencia en el mundo digital,
pero lo cierto es que es una realidad
que puede verse reflejada diariamente
en noticias sobre incidentes o brechas
de seguridad. Estar más expuesto en
Internet significa que tus activos como
empresa son potencialmente más atacables, por lo que pueden recibir agresiones constantemente. La idea de que
los usuarios maliciosos o el atacante no
descansan es una verdad empírica, para
la cual las empresas disponen de una
serie de herramientas obsoletas como
han sido las auditorías de seguridad o el
modelo de éstas que se conoce.
Hoy en día, las empresas necesitan disponer de equipos de seguridad
24x7 y estar constantemente atacándose, con el fin de rebajar los tiempos
de detección de las vulnerabilidades y
debilidades que pueden encontrarse.
En otras palabras, realizar un pentesting
persistente o continuo es una de las
vías que existen para rebajar el tiempo de ventaja que tiene un atacante.
Por ejemplo, desde que se realiza una
auditoría de seguridad, con un posible
pentesting, pueden pasar meses en el
mejor de los casos, hasta que se realiza
una prueba para detectar los riesgos a
los que se expone una empresa. Este
hecho ha estado aportando una gran
ventaja a los usuarios maliciosos que
disponían de un tiempo considerable
de ventaja para llevar a cabo sus accio-
66
red seguridad
nes. Con el pentesting persistente este
tiempo se ve bruscamente reducido,
proporcionando a la empresa una revisión al día de cómo se encuentra su
infraestructura.
Desde el punto de vista económico,
no todas las compañías pueden costear que un equipo de auditores o de
pentesters esté constantemente probando la seguridad de su infraestructura. Otro hecho real es el dimensionamiento y número de activos de grandes
organizaciones, las cuales necesitan de
herramientas automáticas que puedan
revisar cualquier tipo de activo. En otras
palabras, las grandes, e incluso medianas, empresas necesitan herramientas
que permitan crawlear gran contenido
de información, tanto la directamente
expuesta como la relacionada con terceros. Un equipo de pentesters necesita apoyarse en servicios que permitan
realizar este Discovery como lo hace el
servicio Faast de Eleven Paths.
Nuevos conceptos
Otra de las situaciones que históricamente se ha realizado en el mundo de
la seguridad corporativa es la búsqueda
de vulnerabilidades en los activos tecnológicos directos de las empresas. Se
han utilizado escáneres como Nessus o
Acunetix con el fin de detectar vulnerabilidades directamente sobre software
o aplicaciones web expuestas por la
empresa. Hoy en día existen un par de
conceptos nuevos y que un pentester
debe revisar.
febrero 2015
◊ El primero de ellos son las vulnerabilidades indirectas, las cuales no
se encuentran directamente bajo
el control de la empresa u organización que quiere revisar su nivel
de seguridad.
◊ El segundo son las debilidades,
las cuales son situaciones que
presentan los sistemas de información, las aplicaciones web, cualquier entorno en el que se proporciona una ventaja al atacante. En
este entorno, el atacante consigue
información que puede convertir, a
través de la inteligencia aplicada a
lo ya conseguido por otros medios,
en una clara ventaja durante el
ataque y que podría concluir con la
organización comprometida.
Con estos dos puntos necesarios hoy
día, se puede decir que las empresas
necesitan servicios de pentesting persistente y que deben tener muy en cuenta
lo que ocurre fuera de sus fronteras. Con
estas dos preocupaciones nace el concepto de pentester estratégico, cuya figura
se encarga de obtener una visión global
del estado de seguridad de una empresa,
de las relaciones con terceros y cómo el
uso de funciones de terceros puede afectar a la compañía. El concepto de pentester estratégico aumenta el nivel funcional
y organizativo del pentester, dotándole de
mayor control, nuevos vectores de ataque
y mayor capacidad de decisión.
Desde el punto de vista de un pentester, se debe realizar un Discovery
amplio, enfocando en todos los
especial
hacking ético
opinión
Realizar un ‘pentesting’ persistente o continuo es
una de las vías que existen para rebajar el tiempo
de ventaja de un atacante
dominios y servicios que expone una
empresa. Esta área del pentest ha
evolucionado en gran medida a los
cientos de servicios que aportan hoy
día información en Internet. El uso de
los principales buscadores de contenido es una vía rápida para obtener
gran cantidad de activos sobre una
empresa que pueden ser evaluados,
o el uso de servicios como Archieve.
org para evaluar activos que pueden
haber sido crawleados con anterioridad y que la empresa, actualmente,
ha ocultado. La búsqueda de aplicaciones móviles en los principales stores puede permitir al pentester obtener nuevas direcciones URL, datos
del desarrollador, e-mails, etcétera.
Esta técnica puede llevarse a cabo
a través del servicio Path5 de Eleven
Paths.
'Pentest' hacia APT
En muchas ocasiones, los desarrollos de aplicaciones móviles se dejan
en manos de empresas de terceros que pueden generar debilidades
por la información que presentan.
La utilización de buscadores de dispositivos por cada dirección IP de la
organización no es algo nuevo, pero
realmente útil para descubrir servicios
especial
que, por ejemplo Shodan o Robtex,
puede tener almacenado. En algunas
ocasiones el pentester estratégico
puede orientar un pentesting hacia
una APT (Advanced Persistent Threat)
y utilizar la información recogida para
este tipo de pruebas. Por ejemplo,
un pentester puede recoger correos
electrónicos a través de herramientas como The Harvester, los propios
buscadores de contenido, servidores
de claves PGP, etcétera, y utilizarlos
como raíz para orientar una prueba
de APT contra una organización. Se
puede decir que existe un nexo de
unión entre el Discovery de un pentest y las primeras fases del APT. La
utilización de fuerza bruta a directorios da paso a utilizar dicha técnica
en otros servicios, como puede ser
un servidor DNS, un CMS con el
objetivo de encontrar o identificar una
versión o el nombre de un producto.
La herramienta FOCA realiza algunas
de las técnicas citadas anteriormente,
aunque el servicio de pentesting persistente Faast utiliza toda la potencia
del cloud para ejecutar el máximo de
pruebas de Discovery conocidas y
que permita obtener el mayor número
de información de una empresa, sus
dominios y empleados.
Cómo se mencionó anteriormente, el pentester estratégico focaliza
su trabajo en la seguridad propia y
externa de la organización. Un ejemplo básico de una debilidad, y que
muchas empresas no validan en sus
pruebas de seguridad, es la ejecución
de código externo en sitios web. El
incidente entre los Syrian Electronic
Army (SEA) e Ira Winkler es un claro
ejemplo. Desembocó en un ataque
que demuestra el peligro de la carga
de código de dominios externos, los
cuales no se encuentran bajo la supervisión del auditado. Los SEA averiguaron el registrador de dominio de
una librería Javascript que utilizaba el
sitio de la RSA Conference. Realizaron
una campaña de phishing contra los
empleados de la registradora. Cuando
consiguieron acceso cambiaron la
dirección IP del dominio, en el que
se encontraba la librería. Cuando los
usuarios accedían al sitio web de la
RSA Conference, no se cargaba la
librería legítima y se podía ejecutar otro
tipo de código. El hotlinking es similar
a esta debilidad, salvo que afecta
directamente a la imagen y reputación
de la organización. Otra vía interesante
que el pentester debe tener en mente
son los dumps de bases de datos,
por ejemplo con identidades digitales
robadas. Respecto a ataques directos contra la infraestructura de las
empresas se deben tener en cuenta
las bases de datos NoSQL, para las
cuales existen inyecciones. La documentación diaria del pentester estratégico es fundamental para estar al día
en temas a los CVE y pequeños trucos
de pentester que salen día a día.
En el libro Ethical Hacking: Teoría y
práctica para la realización de un pentesting, de la editorial 0xWord, se recoge el proceso de realización de un
pentesting enfocado tanto al proceso
clásico como a su transición al pentesting persistente.
red seguridad
febrero 2015
67
hacking ético
opinión
Riesgos y soluciones para la
tecnología NFC
Guillermo Muñoz
Mozos
Auditor de TI en PricewaterhouseCoopers
Near Field Communication (NFC) es una
tecnología de comunicación inalámbrica,
de corto alcance y alta frecuencia, que
permite el intercambio de datos entre dispositivos. Dado que estamos ante una
comunicación por radiofrecuencia, la lectura de nuestra transmisión es una posibilidad que existe siempre. En el caso de la
tecnología NFC, se cuenta con la ventaja
de que opera a poca distancia, pero no se
puede descartar la copia de los códigos
de nuestro chip para un uso fraudulento.
Además, no existe sólo la posibilidad de
robar nuestros datos sino también de
modificar o insertar errores en la misma.
Las tarjetas de crédito que utilizan NFC
como sistema de transferencia de datos
cuentan con la ventaja de ser dispositivos
de lectura y no de escritura. Pero es relativamente fácil leer los datos que las tarjetas de
crédito almacenan en las mismas a través
de NFC, como son el número de cuenta,
la fecha de expiración, el titular de la tarjeta
o el CVV. Si bien estos datos no se podrían
utilizar para pagar cantidades superiores al
límite establecido por la entidad bancaria, se
podrían emplear para pagos de cantidades
inferiores o cometer fraude en páginas web
que no identifican que la identidad de la
persona sea la correcta.
Por ejemplo, una de las páginas web
más conocidas de compra/venta de artículos es Amazon. Esta web no confirma con
la entidad bancaria el pago realizado por
una vía alternativa como utilizan otras plataformas. Extrayendo todos los datos con un
simple programa de lectura asociado a las
tarjetas de crédito más comunes se podrían
comprar artículos y no se necesitaría ni el
CVV ni otra vía de autenticación adicional.
68
red seguridad
Por este motivo se recomienda pedir a
la entidad bancaria la desactivación de la
transferencia de datos por NFC en las tarjetas de crédito, con el fin de evitar que un
atacante pueda interceptar nuestra comunicación y obtener todo lo que necesite
para suplantar nuestra identidad.
Otra opción es emplear una 'Jaula de
Faraday' para aislar cualquier conexión
inalámbrica con la tarjeta de pago. Existe
un material especial parecido al aluminio
que evita que un lector pueda obtener información de la tarjeta. Son extremadamente
baratas y se pueden adquirir fácilmente.
En última instancia se recomienda cortar la antena de la tarjeta, pero este método puede dejar la tarjeta inutilizable.
DNI 3.0
Un tema que está generando gran controversia es el nuevo DNI 3.0 y la posibilidad
de identificar de manera remota a las
personas que lo utilicen. Para aclarar si
existe esta posibilidad, se va a explicar su
funcionamiento y sus riesgos.
El funcionamiento del DNI 3.0 es sencillo, se utilizan dos códigos impresos tanto
en el anverso (CAN) como en el reverso
(MRZ). A partir de cualquiera de los dos
se negocia una sesión cifrada entre lector y DNI para el intercambio de datos.
Se necesitaría tener el DNI delante para
acceder a los datos, ya que la clave que
se utiliza para completar la transferencia
de información se encuentra impresa en
el DNI físicamente.
A pesar de las cualidades que el DNI
3.0 presenta, no todo es positivo respecto a la seguridad. Se podría realizar un
ataque por fuerza bruta y el DNI 3.0 no
febrero 2015
bloquearía la comunicación tras repetidos intentos de contraseña erróneos. Es
decir, al cabo de cierto tiempo, se podría
acceder a la información de la persona
probando de manera masiva las posibles
combinaciones de los códigos que antes
hemos mencionado.
Otro aspecto importante que cabe destacar es la posibilidad de romper la seguridad del sistema NFC del DNI 3.0, lo que
transformaría el sistema en vulnerable.
Actualmente, la idea de que la Policía
pueda identificar de manera remota a los
manifestantes que utilicen NFC 3.0 es
un tanto exagerada, pero se recomienda
estar al tanto de cómo evoluciona la vulnerabilidad del mismo y de los fallos de
seguridad que presenta de cara a proteger su intimidad.
Por último, como medidas de protección ante un posible fallo de seguridad, se
podrían aplicar las explicadas previamente
para tarjetas de crédito, ya que la tecnología que utilizan es similar.
especial
% Visitas redseguridad
160%
140%
120%
100%
080%
060%
040%
020%
000%
NOVIEMBRE
DICIEMBRE
ENERO
FEBRERO
MARZO
ABRIL
Ilustración 4. % Visitas Red Seguridad. Fuente: Google Analytics
LLEGAMOS
+ LEJOS
+ VISIBLES
APORTAMOS + VALOR
SOMOS
200 NUEVOS SEGUIDORES CADA MES
novedades
noticias
Symantec anuncia en un evento con clientes su
nueva estrategia de seguridad unificada
Ante un auditorio compuesto por más de 300 partners y clientes de la
compañía, Symantec ha dado a conocer su nueva estrategia de producto
denominada Unified Security. Esta, en palabras de Miguel Suárez, director técnico para España y Portugal de la empresa, se asienta sobre tres
principios básicos: "Protección frente a las amenazas, salvaguarda de la
información y liderazgo en ciberseguridad". El objetivo, según el directivo,
es proporcionar a las organizaciones un estado de la gestión de la seguridad que sea "simple, integral, que aprupe a una amplia comunidad de
usuarios y que ofrezca la capacidad de detectar ataques complejos en tan
solo unas horas". Para ello, el fabricante ha integrado todas sus soluciones
bajo el paraguas de cinco grandes áreas, que son: Endpoint y Mobile,
entorno en el que surge la necesidad de administrar todo tipo de dispositivos de forma global; Data Center, que pasa por la supervisión centralizada
de la seguridad en los centros de procesos de datos; Gateway, con el
lanzamiento próximamente de tres nuevos gateways de seguridad para
el puesto de trabajo, la red y el correo electrónico; Información, con una
protección en cuatro
capas (Access Control,
Context Aware, Content
Aware y Threat Aware); y
Ciberseguridad, ámbito
en el que va a potenciar la inteligencia de
seguridad, que, según
el directivo, es lo que
diferencia a la compañía
de otros fabricantes.
www.symantec.es
Nueva solución para
Mac OS X de G Data
El
fabricante de solucio-
de seguridad alemán
G Data ha presentado su
solución antivirus para OS X:
G Data Antivirus para Mac.
Su particularidad es que no
sólo protege en tiempo real
frente a aquellos virus específicamente diseñados para
este sistema, sino que también salvaguarda los equipos
Windows conectados a su
misma red.
www.gdata.es
nes
70
red seguridad
El CCN-CERT
desarrolla CLARA
para cumplir el ENS
El CCN-CERT ha desarrollado una nueva herramienta
de seguridad, denominada
CLARA, destinada a facilitar a las Administraciones
Públicas la ayuda necesaria
para cumplir con la normativa del Esquema Nacional de
Seguridad (ENS), permitiendo
analizar las características de
seguridad técnicas definidas
en el Real Decreto 3/2010.
Este desarrollo está basado en normas proporcionadas a través de la aplicación
de plantillas de seguridad,
según las guías CCN-STIC
de la serie 800: 850A, 850B,
851A y 851B.
www.ccn-cert.cni.es/clara
febrero 2015
Vintegris mejora la
autenticación en la
estación de trabajo
VinAccess, el sistema de
autenticación robusta de la
compañia Vintegris, permite
ahora incorporar autenticación de doble factor en el
PC, lo que viene a reforzar
la seguridad interna de las
organizaciones.
Normalmente, para acceder a su estación de trabajo,
cualquier empleado sólo debe
introducir un usuario y una
contraseña válidos. A veces
estos datos suelen ser compartidos, con los consiguientes riesgos de pérdida de
confidencialidad y seguridad
de los datos almacenados.
Esta nueva herramienta permite establecer en
cada estación de trabajo un
segundo factor de autenticación, a elegir entre cualquiera de las modalidades
compatibles con la app de
autenticación VinToken: por
control de tiempo, por evento
o mediante código QR.
La organización puede
también optar por sustituir totalmente el método
de autenticación, de modo
que la contraseña sea proporcionada por el propio
VinAccess, utilizando un sistema de sincronización de
contraseñas en directorio
activo como opción.
Por último, esta solución
está disponible para estaciones de trabajo Windows 7 y
8.x de 32 y 64 bits.
www.vintegris.com
noticias
Kingston Digital lanza nuevos USB con cifrado,
certificación FIPS 140-2 Nivel 3 y Management-Ready
Dos son los nuevos modelos de memorias USB 3.0 que ha presentado
Kingston Digital Europe: DataTraveler 4000 Gen. 2 y DataTraveler 4000 Gen. 2
Management-Ready. Ambas tienen la particularidad de haber sido diseñadas
para salvaguardar los datos más valiosos de las empresas mediante encriptación.
La primera tiene certificado FIPS 140-2 de Nivel 3 y cuenta con un precinto que
garantiza la seguridad física, ya que detecta cualquier intento de acceder, utilizar
o modificar el módulo criptográfico. La información está protegida con el cifrado basado
en hardware AES 256 bits en modo XTS. La
segunda, además de todo lo anterior, ofrece
la gestión SafeConsole de BlockMaster, con
opciones como la de restablecer contraseñas
de forma remota.
www.kingston.com
Eset presenta nuevos packs de seguridad para
pymes, autónomos y particulares
Pensando en las necesidades de seguridad de las pequeñas y medianas empresas, Eset ha iniciado la comercialización de la suite Secure
Office, que incluye licencias de NOD32 Endpoint Security, File Security
y NOD32 Mobile Security Business. Y para aquellas que cuenten con
un servidor de correo electrónico, propone Secure Office Advanced,
que incluye toda la protección anterior más Mail Security. Todos ellos se
pueden gestionar a través de la consola Remote Administrator.
Por su parte, para particulares y autónomos, la compañía ha lanzado
ESET Multidispositivo, compuesto por Smart Security Edición 2015 y
NOD32 Mobile Security, que proporciona protección tanto para ordenadores de sobremesa como para dispositivos móviles o tabletas, disponible en varias modalidades de licencia.
www.eset.es
novedades
Nuevas soluciones
de protección de
usuarios de Sophos
Sophos anuncia el lanzamiento soluciones de protección de
usuario de última generación, a
través de nuevas versiones de
sus productos clave de seguridad. Además de políticas de
protección contra malware y
amenazas avanzadas, la protección de usuario incluye la
integración de cifrado, protección móvil y endpoint.
Entre los lanzamientos se
encuentra Malicious Traffic
Detection, que detecta ordenadores infectados al comunicarse con servidores de comando
y control de atacantes. Otra
novedad es System Protector,
que es el "cerebro" del agente actualizado para estaciones.
Permite correlacionar información desde Malicious Traffic
Detector y otros componentes
para identificar amenazas que
podrían no ser interpretadas
como dañinas por ningún otro
componente por sí solo.
www.sophos.com/es-es
Disponible ya en España
MicroStrategy 9s
F5 agiliza la gestión y
entrega de aplicaciones
z13, el 'mainframe' más
potente y seguro de IBM
Ya está disponible en el mercado
español MicroStrategy 9s, la plataforma para securizar la información
en la que se unen funciones de
análisis de datos, seguridad empresarial y movilidad, desarrollada por
la compañía MicroStrategy. Entre
sus novedades, destaca la incorporación de capacidades de ciberseguridad a través de la integración
de Usher, una herramienta de identificación móvil que permite asegurar accesos a través de biometría
y localización, sin necesidad de
requerir ninguna contraseña para
autenticarse. Aparte de esto, ofrece
también mejores capacidades de
administración y seguimiento de los
usuarios identificados.
www.microstrategy.com/es
F5 Networks ha anunciado la
nueva versión de BIG-IQ, su marco
de gestión inteligente que proporciona un único punto de integración
para la administración y orquestación de servicios de seguridad y de
entrega de aplicaciones. Con esta
actualización, la herramienta permite una colaboración más profunda
entre el centro de operaciones de
red y los equipos de desarrollo
mediante la gestión centralizada
de la entrega de aplicaciones y el
uso del control de acceso basado
en roles (RBAC). Para ello ofrece
una interfaz de usuario innovadora
y APIs RESTful para gestionar de
forma centralizada los dispositivos
F5 BIG-IP.
www.f5.com
Fruto de la inversión de más de
mil millones de dólares y cinco años
de desarrollo, IBM ha mostrado el
z13, su mainframe más potente y
seguro con el que intenta dar respuesta a los nuevos retos que supone la movilidad. De hecho, es capaz
de procesar 2.500 millones de transacciones al día. Además, el sistema incorpora 500 nuevas patentes
de tecnología para el cifrado, que
hacen más fiables las transacciones
desde dispositivos móviles. Por último, cuenta con una nueva tecnología analítica que ofrece información
en tiempo real sobre transacciones
móviles, 17 veces más rápido que
cualquier otro sistema del mercado,
según asegura la empresa.
www.ibm.com/es/es
red seguridad
noviembre 2007
71
asociaciones
noticias
SIGECO fomenta la colaboración
público-privada
E l O bservatorio de S eguridad
Integral, Gestión de Emergencias
y Continuidad Operativa (SIGECO)
nació en 2014 por iniciativa de profesionales pertenecientes a distintos
ámbitos de la seguridad, las emergencias, la gestión de crisis y la
continuidad en su visión integral y
holística; entre ellos, representantes
de Continuam y de la Fundación
Borredá, cuya máxima responsable,
Ana Borredá, ha asumido el cargo de
vicepresidenta segunda. Contamos
asimismo con Ernesto Peñafiel como
vicepresidente primero.
Unidos por la necesidad de abordar de forma conjunta la prevención,
la continuidad de negocio y operativa,
la seguridad integral y las emergencias para fomentar la resiliencia, tanto
a nivel empresarial como social, decidimos poner en marcha el proyecto,
hecho realidad en Tres Cantos.
Dicha localidad, junto a su parque
empresarial e industrial, es un modelo, referente y centro de excelencia
en la gestión de las emergencias,
crisis y alertas de seguridad, siendo
el primer municipio de la Comunidad
de Madrid en homologar su Plan
Territorial Municipal (PLATERMU) de
protección civil y en desarrollar una
plataforma tecnológica (ESFERA)
Pedro Pablo López
Presidente
de gestión de información para su
implantación, siempre bajo un modelo de resiliencia social basado en la
cooperación, colaboración y coordinación público-privada.
Por este motivo, y siendo uno de
los objetivos de SIGECO realizar
acuerdos intersectoriales público-privados, se ha firmado un acuerdo de
colaboración entre el Ayuntamiento
de Tres Cantos y el observatorio a
través del cual se van a desarrollar
diversas actividades en materias de
seguridad integral, protección civil
y gestión de emergencias y continuidad operativa para potenciar los
procesos de modernización tanto de
las Administraciones Públicas como
de las privadas. El acuerdo se materializará a través de acciones formativas, jornadas, eventos, seminarios,
congresos, trabajos de investigación,
estudios, publicaciones, etc. En resu-
men, se fomentará la cultura de emergencias y gestión de crisis basándose
en la cooperación y coordinación que
deben regir las relaciones entre instituciones y organismos en aras de
garantizar la resiliencia.
SIGECO cuenta con un foro de
expertos que, mediante grupos de
trabajo, dará a conocer experiencias
profesionales, propuestas, iniciativas,
etc., con debates sobre la práctica de
la profesión y también el intercambio
de opiniones y puntos de vista. Y
otro de los fines del observatorio será
fomentar las certificaciones especializadas en los procesos de gestión de
las emergencias, crisis y alertas de
seguridad a nivel local e internacional
como garantías de calidad.
Los interesados en sumarse a
SIGECO pueden hacerlo enviando un
correo electrónico a la dirección [email protected].
Tres Cantos, sede de SIGECO
El pasado 10 de febrero, Jesús Moreno, alcalde de Tres Cantos, presentó el Observatorio de Seguridad
Integral, Gestión de Emergencias y Continuidad de Negocio (SIGECO), que tendrá su sede en dicha localidad. El acuerdo firmado entre ambas partes persigue realizar actuaciones, análisis e intercambio de información entre profesionales, organismos y empresas
público-privadas en pro de una iniciativa común
de seguridad en los ámbitos institucional y
empresarial.
Durante la presentación, Antonio Avilés, segundo teniente de alcalde y concejal de Economía,
Comercio y Empleo, subrayó la necesidad de
aunar sinergias entre empresas e instituciones,
puesto que “la buena gestión de una emergencia
es positiva para la actividad profesional”. Por su
parte, Jesús Serrada, concejal de Seguridad y
Movilidad, señaló que la colaboración públicoprivada “es especialmente importante en temas
de seguridad y prevención de riesgos”.
72
red seguridad
febrero 2015
asociaciones
noticias
Visión holística de la continuidad
de negocio
Como nuevo presidente de la junta
directiva del Instituto de Continuidad
de Negocio (Continuam), quiero, en
primer lugar, reconocer públicamente
la labor de nuestro presidente de
honor, César Pérez-Chirinos, del que,
tomando su testigo, intentaré estar
a la altura y gobernar esta nueva
etapa de tal forma que Continuam
siga posicionándose como instituto
de referencia.
Asimismo, deseo agradecer a la
Fundación Borredá su incorporación a nuestra asociación, a través
de la presencia de su presidenta,
Ana Borredá, como vicepresidenta
segunda de la Continuam. Junto
con ella, en la junta directiva de
la organización está presente una
gran profesional como es María
Parga, que ejerce el cargo de vicepresidenta primera.
entre entidades. En el año 2007, de
las iniciativas de personas de dicho
grupo surgió la idea de formar un foro
centrado en la continuidad de negocio en el seno del sector financiero
y con la participación de órganos
reguladores, dando lugar a CECON
(Consorcio Español de Continuidad
de Negocio).
CECON se ha venido reuniendo
desde 2007, en sedes de distintas
entidades y órganos, en sesiones
plenarias donde todos los miembros
tienen voz, voto y veto al mismo
nivel. El consorcio se ha estructurado en grupos de trabajo, entre
ellos uno muy especial para nosotros, ICON, hoy nuestro Instituto de
Continuidad, hecho realidad en 2010
como apuesta de futuro en el ámbito
de la continuidad global de negocio
en su visión holística.
Origen
Nuestro origen tiene lugar en foros
sectoriales del ámbito financiero
dedicados al riesgo operativo (Basilea
II), como el Grupo CERO (Consorcio
Español de Riesgo Operativo),
que desde hace años es punto de
encuentro y colaboración no formal
Objetivos
Entre los objetivos de Continuam se
encuentra el impulso de un foro de
colaboración para profesionales con
intereses en el ámbito de la continuidad de negocio; fomentar la oferta
de servicio de calidad contrastada
de formación, consultoría y certifica-
Pedro Pablo
López
Presidente
ción; promocionar a España hacia el
exterior como centro de excelencia de
continuidad de negocio (Continuam
Ready), etc. Además, en los últimos
años la asociación ha participado en
numerosas jornadas, algunas de ellas
en calidad de patrocinador.
Desde estas páginas les animo a
sumarse a nuestro objetivo de crear,
divulgar y fomentar la cultura de la
continuidad de negocio en su visión
holística, a construir la resiliencia
organizacional y de la sociedad y a
entrenar la táctica y operativa de la
gestión de crisis y emergencias.
Acuerdo con el Centro de Ciberseguridad Industrial
Entre los acuerdos de colaboración suscritos por
Continuam destaca el firmado con el Centro de
Ciberseguridad Industrial (CCI), cuyo fin es la realización conjunta de actividades de divulgación, formación e investigación que beneficien a ambas partes.
El convenio fue motivado por la creciente importancia de la continuidad de negocio en un escenario
global. Por ello, ambas organizaciones coinciden en
que la mejor forma de abordar el futuro es a través
del diálogo, la colaboración y un mayor y mejor
entendimiento entre los profesionales que se dedican a la resiliencia. Con este objetivo, Continuam y
el CCI abordarán acciones orientadas a profundizar
en esa colaboración y entendimiento entre los distintos ámbitos de la continuidad de negocio.
Los interesados en contactar con Continuam pueden hacerlo enviando un correo electrónico a la
dirección [email protected].
73
red seguridad
febrero 2015
red seguridad
febrero 2015
73
eventos
agenda TIC
Circumvention Tech
Festival
Sexta Rooted CON
2015
CeBIT 2015
Del 3 al 6 de marzo, Valencia
Del 5 al 7 de marzo, Madrid
Del 16 al 20 de marzo,
Hannóver
Se reunirá en España a la comunidad internacional que lucha
contra la censura y vigilancia en
Internet, uniendo fuerzas en un
encuentro único.
Rooted CON nació con el propósito de promover el intercambio de
conocimientos entre los miembros
de seguridad, reivindicando a los
profesionales hispanoparlantes.
Es el mayor evento de tecnológias
de la información a escala europea
para las jóvenes empresas tecnológicas. CeBIT 2015 cuenta con
un amplio programa de ponencias.
www.circumventionfestival.es
www.rootedcon.com
www.cebit.de
Foro de Ciberseguridad
y Negocio
MIPS 2015 Moscú
Expo Tecnología TIC's
y Seguridad
24 de Marzo, Madrid
Del 13 al 16 de abril,
Moscú
Con el lema Estrategias para
combatir el Cibercrimen Deloitte
organizará este foro con la colaboración de BlueCoat Systems y
Red Seguridad.
En esta edición el evento ruso
se dividirá en cuatro sectores:
soluciones de seguridad, CCTV
y video vigilancia, incendios y
seguridad TI.
Este evento pretende acercar a
los fabricantes, mayoristas y distribuidores con los integradores y
usuarios corporativos finales de
las TIC.
www.deloitte.es
www.mips.ru
www.expo-tecnologia.com
MundoHacker Day
X1RedMasSegura 2015
XVII ISMS Forum Spain
Del 28 al 29 de abril, Madrid
Del 22 al 23 de mayo, Madrid
20 de mayo, Madrid
Durante dos días se reunirán
expertos del mundo hacker en
donde realizarán demos de seguridad informática y hacking, además habrá mesas redondas con
las grandes empresas del sector
TIC.
Durante estos dos días se tendrá la oportunidad de escuchar
a profesionales de la seguridad
transmitiendo sus conocimientos y experiencias sobre Internet
para hacerlas llegar a los usuarios finales.
Reconocidos expertos nacionales
e internacionales, profesionales y
autoridades analizarán los conflictos que las implementaciones de
seguridad pueden llegar a ocasionar en la privacidad de las
personas.
www.mundohackerday.com
www.x1redmassegura.com
www.ismsforum.es
9ENISE
MERIDIAN 2015
Del 19 al 20 de Octubre,
León
Del 21 al 22 de Octubre,
León
La novena edición del ENISE,
Encuentro Internacional de
Seguridad de la Información se
celebrará los días 19 y 20 de
octubre en León.
La Conferencia Meridian 2015
es un evento internacional
especializado en seguridad de
las Infraestructuras Críticas. El
Congreso Meridian 2015 tendrá
lugar este año en León.
Del 21 al 23 de abril, México
destacados
VII Seg2 Junio 2015, Madrid
El próximo mes de junio, se
analizarán los últimos avances
de las estrategias globales de
Seguridad, enfocadas a la gestión del fraude.
www.redseguridad.com
74
red seguridad
www.incibe.es
febrero 2015
al servicio de la seguridad
Socios Protectores:
www.fundacionborreda.org