Los pasados 26, 27 y 28 de abril, Securmática abrió sus puertas a los más de 350 profesionales que se dieron cita en este congreso de SIC, decididamente gestado para arrojar luz ante lo que hoy es una encrucijada nada trivial para el profesional de la ciberseguridad. Con un programa acorde con la realidad del sector y un excelente plantel de ponentes encargados de clarificar asuntos de gran calado, como el periplo de las organizaciones para adaptarse al nuevo repertorio normativo (RGPD y futura Directiva NIS), la evolución del papel del CISO, la formación constante y la necesidad de impulsar una mayor coordinación entre las instituciones públicas y privadas para hacer frente al constante avance de las ciberamenazas, todo ello se completó con una nutrida y ejemplarizante exposición de proyectos de referencia llevados a cabo por las organizaciones privadas y públicas más madrugadoras y exigentes en la materia.

Bajo el rotundo lema “CISO: ¿Qué le está pasando a la ciberseguridad?”, el XXVII Congreso de Securmática, consolidado ya como el punto de encuentro de referencia para los expertos en ciberseguridad profesionales, iniciaba una nueva edición de tres jornadas conducido por un plantel de ponentes del más alto nivel, tanto de las administraciones públicas como del sector privado, los cuales sumergieron a los 350 asistentes en el actual y crecientemente complejo panorama de la seguridad TIC y de la información invitándoles a reflexionar sobre la dinámica que está adquiriendo el sector en todos sus ámbitos, especialmente, en sus aspectos técnicos, organizativos y legales.

Adaptación normativa

Así pues, tras las palabras del Comandante Jede del MCCD, diferentes organizaciones del Estado tomaron el testigo para ahondar en los procesos de evolución y adaptación en los que están inmersos para alinear sus estrategias a los nuevos marcos regulatorios. En este sentido, Joaquín Castellón, Director Operativo del Departamento de Seguridad Nacional del Gabinete de la Presidencia del Gobierno, fue el responsable de profundizar en los logros de la Ley de Seguridad Nacional y Ciberseguridad que, por primera vez, abre hueco a la seguridad cibernética en el Parlamento español gracias a la reciente creación de una comisión mixta de seguridad Congreso-Senado.

Elvira Tejada

Elvira Tejada de la Fuente, Fiscal de Sala y Coordinadora de la lucha contra la criminalidad informática de la Fiscalía General del Estado, tomó la palabra para realizar una ponencia magistral sobre la tipificación penal de los ataques contra los sistemas de información. No obstante, la Fiscal reivindicó la necesidad de denunciar los incidentes informáticos por parte de usuarios y empresas como “única vía posible de actuar con mayor efectividad”.

Fernando J. Sánchez

La positiva evolución de los marcos regulatorios también fue destacada por Fernando J. Sánchez, Director del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), que ilustró a la audiencia con las novedades de la reciente revisión del Plan Nacional de Protección de las Infraestructuras Críticas (PNPIC) que también, por primera vez, abre la participación a los operadores de infraestructuras críticas y establece la creación de una Mesa de Coordinación PIC, la cual, en palabras del directivo, “aplicará un necesario grado de exigencia en el intercambio de información y la comunicación de incidentes cibernéticos”, dando un papel específico al CISO.

En línea con dicha exigencia, Javier Candau, Jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional (CCN), resaltó la futura conexión de los sistemas LUCIA y REYES para alcanzar una visión global de los incidentes de ciberseguridad sufridos por las Administraciones Públicas y las empresas de interés estratégico para el país.

Esteban Gándara

Acto seguido, Esteban Gándara, Comisario Jefe de la Unidad Central de Seguridad Privada de la Secretaría de Estado de Seguridad del Ministerio del Interior -en una ponencia esperada y no exenta de polémica- arrojaba luz sobre algunos de los conceptos que sobre la ciberseguridad establece la Ley de Seguridad Privada, cuya gestación, precariamente consensuada con los agentes concernidos en ciberseguridad, ha generado no poco desconcierto en el sector. Esta pieza legal aún adolece de desarrollo reglamentario.

Miguel Rego Alberto Hernández

Tras Gándara, Miguel Rego y Alberto Hernández, Director General y Director de Operaciones de Incibe, respectivamente, explicaron a la audiencia cuál es el plan del Instituto para mejorar las capacidades de sectorización, verticalización y alineamiento de los servicios de seguridad del CERTSI con el PNPIC y la Directiva NIS.

En la recta final de esta primera jornada también hubo cabida para algunos casos prácticos que mostraron cómo el trabajo conjunto entre el sector público y el privado ofrece excelentes resultados. Es el caso de la colaboración que se está desarrollando entre Centro de Cibercrimen Europeo y las empresas privadas de ciberseguridad, a través de los llamados Advisory Groups, como explicaron José Durán Martín, Comandante de la Guardia Civil, Institución a la que representa en el Grupo de Acción Conjunta contra la Ciberdelincuencia (J-CAT) de la Europol y José Alemán Hernández, Service Marketing Manager de S21sec. Por su parte, Lucas Varela Negreira, Responsable del Equipo de eCrime y Security Analytics del Equipo de Seguridad de Caixabank y Ramón Vicens Lillo, Vicepresidente de Threat Intelligence de Blueliv detallaron a la audiencia cómo, también, la colaboración entre compañías proveedoras y clientes para desarrollar un buen plan de seguridad puede convertirse en motor del negocio digital.

Adaptación a la regulación, control de fraude, CASB y concienciación

La segunda jornada de Securmática cambió de tercio para tratar otro de los temas más candentes en la actualidad y que tiene como protagonistas a las entidades financieras, caracterizadas por su capacidad de innovación constante pero atenazadas por el fraude digital y acuciadas por las regulaciones como la SecuRe Pay y la futura PSD2.

Vicente Moscardó Israel Hernández

Carles Solé Vicente de la Morena

De igual modo, Carles Solé, Director de Seguridad de la Información de Caixabank y Vicente de la Morena, Responsable Comercial de Grandes Empresas de la Unidad de Seguridad de IBM, explicaron a la audiencia cómo las nuevas ciberamenazas pueden mitigarse con el uso de la ciberinteligencia y de tecnologías solventes para sustentarla.

Santiago Minguito Xavier Gracia

Destacaron, asimismo, los enfoques de Santiago Minguito, Director de Seguridad de la Información, Regulación y Prevención de Fraude de Banco Sabadell y Xavier Gracia, Director de CyberSOC de Deloitte, en lo que toca a poner en funcionamiento un sistema para incorporar la seguridad en todo el ciclo de vida del software, por un lado, y de Idoia Mateo, Chief Operational Risk Officer Global de Produban (Banco Santander) y Julio San José Sánchez, Socio en la aplicación de la práctica de gestión de riesgos tecnológicos al sector financiero de EY, por otro, que departieron sobre la nueva realidad que les ha obligado a dotarse de una plataforma tecnológica y una metodología global con la finalidad de ser capaces de dar respuestas a los niveles corporativos actuales de demanda y reporte de ciberseguridad.

Santiago Moral Rubio, actual Global Head Cybersecurity & Digital Trust del Grupo BBVA y Doctor en Análisis y Gestión de Riesgos de Ciberseguridad por la Universidad Rey Juan Carlos, marcó un punto de inflexión a las jornadas concitando gran atención de los asistentes al ofrecer un planteamiento muy novedoso en cuanto a la aplicación de las matemáticas del comportamiento y la analítica de redes complejas para desarrollar una estrategia de gestión de riesgos y prevención del fraude.

Por su parte, Eduardo Di Monte, Security & Business Continuity Director de Aquae Security y Juan Miguel Velasco, CEO de Aiuken Solutions, recalcaron a través de la exposición de un caso práctico -centrado en los emergentes escenarios CASB- el papel que juega la tecnología para ayudar al CISO a gestionar controles eficientes que no limiten las iniciativas de negocio.

A reglón seguido, el turno volvió a ser para algunas de las organizaciones que mejor se están moviendo en materia de ciberseguridad, como la Dirección General de Tráfico (DGT), cuyo proceso de evolución hacia la mejora en la prestación de servicios cuidando todas las garantías de seguridad fue detallado por Jesús Cuadrado, Jefe de Explotación, Soporte y Servicios en la Gerencia de informática de la DGT y José Francisco Pereiro, Director de Servicios de Seguridad de BT Iberia.

Finalmente, Andrés Núñez Barjola, Delegado de Madrid de S2Grupo y Montserrat Bajo Martínez, Responsable de concienciación y formación de seguridad de la información de Endesa, explicaron la importancia de la capacitación de los usuarios para alcanzar un óptimo nivel de seguridad de la información mediante la concienciación y la formación continua.

Nuevas iniciativas y retos para el CIO

La recta final del congreso dio comienzo con Adolfo Hernández Lorente, Subdirector y Cofundador de Thiber, que –dando continuidad al énfasis que en el tema viene haciendo SIC– abordó la actual casuística en el emergente mundo de los ciberseguros, la cual, está marcada en la actualidad por una oferta de pólizas muy heterogéneas. Por este motivo, desgranó toda una serie de recomendaciones para tratar este asunto con la máxima efectividad posible.

Javier Sevillano Izquierdo, Chief Security Technology Officer de Vodafone y Roberto López Navarro, Jefe de la División de Servicios Gestionados de GMV Secure e-Solutions, explicaron cómo implementar una estrategia holística de ciberseguridad en una empresa tan global como es el Grupo Vodafone, que proporciona servicios móviles en 26 países y que se apoya fuertemente en las capacidades y casuísticas locales.

Durante esta última jornada, también hubo lugar para adentrase en la Deep Web de la mano de María Carmen Aguilar Carneros, Responsable de Concienciación, Auditoría y Cumplimiento del Departamento de Seguridad de la Información de la Dirección de Seguridad y Compras de Ferrovial, y Juan Antonio Calles, Cyber Security Senior Manager de KPMG España. Ambos expertos explicaron a la audiencia cómo la Red Tor se eleva como uno de los medios más utilizados para intercambiar contenidos y vender activos financieros fraudulentos, además de servir para la captación de terroristas y contactos ilícitos, y articular amenazas muy serias a infraestructuras.

Para finalizar, Securmática se cerró su 27ª edición con dos ponencias de sumo calado. Por un lado, Denis Ontiveros, CISO de BP, recaló también en la importancia de la evolución del Director de Seguridad de la Información como eje fundamental para aportar valor a la estrategia y los procesos de negocio en compañías con una clara vocación de asumir la transformación digital, ciberseguridad incluida.

Por el otro, y como broche final, Manuel Carpio Cámara, Director de Seguridad de la Información y Prevención del Fraude de Telefónica, y uno de los expertos más admirados y respetados en la profesión, explicó el reto de los CISO ante la inexorable y generalizada realidad que sobreviene a Europa por las nuevas regulaciones: la obligación de notificar de incidentes de ciberseguridad, que deparará un severo impacto en todos los frentes concernidos. SIC