Crónica 2018

La XXIX edición del encuentro registró un récord de asistencia: más de 425 expertos

Securmática 2018 analiza la capacidad de gestión y control de la ciberseguridad dentro de los procesos de transformación del negocio

Bajo el lema “Ciberseguridad: el ADN de la transformación”, los pasados 24, 25 y 26 de abril se celebró la XXIX edición de Securmática, un evento en el que un potente elenco de ponentes, tanto del sector privado como de las administraciones públicas, atrajo la asistencia de más de 425 expertos para fijar el estado del arte real de la gestión de la ciberseguridad y reflexionar sobre los retos venideros en los que la transformación del negocio se está erigiendo en un proceso neurálgico que debe acompasarse eficazmente con la gestión de la ciberseguridad y la privacidad, precisamente en un año donde da comienzo una nueva etapa de cumplimiento normativo relacionado con la protección de los datos personales.

Los pasados 24, 25 y 26 de abril y bajo el lema “Ciberseguridad: el ADN de la transformación”, Securmática abría un año más sus puertas a un excelente foro de reflexión y debate donde ponentes del más alto nivel, tanto del sector privado como de las administraciones públicas, mostraron a una audiencia superior a los 425 asistentes cómo la seguridad de la información, la automatización, la gestión, el control, la aplicación de técnicas de inteligencia de ciberseguridad y la visualización de los datos e incluso, la gestión de riesgos a través de ciberseguros, se imbrican en las organizaciones para hacer frente al constante avance de las técnicas y prácticas de ataque. Todo bajo el común denominador de las lecciones aprendidas que han dejado ataques como WannaCry, la capacidad de involucrar a la alta dirección y la nueva realidad sancionadora del Reglamento General de Protección de Datos, presentes durantes las tres jornadas del evento.


Como ilustre inaugurador del encuentro, Securmática tuvo el honor de contar con Julián Sánchez Melgar, Fiscal General del Estado, quien resaltó el compromiso de la Fiscalía General del Estado con la lucha frente al cibercrimen y al ciberdelito, destacando la globalidad del problema. “Hoy nadie discute que el desarrollo de las TIC afecta a todos, como miembros individuales y como sociedad, y que tiene una positiva incidencia en las instituciones del estado”. “Pero, también, origina grandes riesgos para la seguridad nacional e internacional afectando al pleno ejercicio de los derechos y libertades fundamentales de las personas”, afirmaba. Como consecuencia de esta problemática, la fiscalía española ha apostado por potenciar la especialización en la materia articulando un equipo de trabajo encabezado por Elvira Tejada, Fiscal de la Sala de Criminalidad Informática, y compuesto por una red de 150 fiscales especializados que colaboran con empresas y las Fuerzas y Cuerpo de Seguridad del Estado a fin de mejorar la investigación, persecución y la respuesta legal adecuada frente al cibercrimen y los ciberdelitos. “La articulación de este grupo de fiscales especialistas contribuye al seguimiento y control de las ciberincidencias, así como su evolución en sus distintas manifestaciones en todo el territorio nacional”. Además, “constituye un claro referente para encauzar el contacto de la Fiscalía con todos los ciudadanos”, terminaba puntualizando.


Julián Sánchez Melgar

Tras la intervención de Sánchez Melgar, se dio paso a la primera parte del congreso, moderada por Luis Fernández, Editor de Revista SIC, y centrada en el ámbito financiero, que volvió a dejar patente su gran capacidad para hacer frente las múltiples amenazas a las que está continuamente expuesto. Actualmente, uno de sus mayores retos es gestionar de forma eficaz la seguridad en estos momentos de transformación. En este sentido, Daniel Barriuso, CISO Global de Grupo Santander, explicó cómo la transformación digital se ha convertido en un proceso y una prioridad clave para la entidad y, como tal, la ciberseguridad se erige como principal área de atención estructurándose en tres elementos fundamentales: un marco o framework que establece los principios, roles, responsabilidades de forma global en el Grupo; un plan de transformación a tres años, cuyo objetivo es establecer las capacidades necesarias para poder afrontar las amenazas actuales y emergentes; así como un equipo humano especializado y alineado a dicho marco de trabajo tanto a nivel global como para cada una de las subsidiarias. Uno de los momentos álgidos de su conferencia fue el anuncio de la conformación de un potente SOC mundial centralizado en Madrid para todo el grupo financiero cuya puesta en pleno funcionamiento se espera para final de año.


Daniel Barriuso


Inés Díaz Ochaviaga

Javier Zubieta

De igual forma, en la búsqueda de un mayor control a través de la gestión de la ciberseguridad, el Grupo BBVA ha trabajado con GMV Secure e-Solutions en la puesta en marcha de una plataforma denominada ‘Faro Corporativo’, a fin de modelar y homogeneizar toda la actividad de seguridad del Grupo, tanto física como lógica, y a nivel global. Inés Díaz Ochaviaga, Banking Corporate Security del Grupo BBVA, y Javier Zubieta, Director de Marketing y Comunicación de GMV Secure e-Solutions, desvelaron los detalles de este proyecto que, además, ahora permite a la entidad actuar en tiempo real teniendo un mayor control de su seguridad.

Acto seguido, Fernández cedía el testigo de conducción a Rafael Ortega, reputado experto en ciberseguridad –hoy en BlueVoyant–, quien daba paso a Daniel Zapico, Manager de Ciberseguridad de EY, y Julio San José, Socio Responsable de Ciberseguridad para Servicios Financieros de la misma, para explicar el trabajo que ha llevado a cabo la consultora con Banco Sabadell en el desarrollo, implantación y simulación de planes de contención en ciberseguridad donde resultó clave el diseño de escenarios asociados a unos niveles de severidad excepcionales articulando medidas de excepción y previendo los recursos necesarios para ser aplicados. Porque para Zapico, “la gestión de crisis clásica ya no es suficiente y un modelo basado en escenarios es clave”.


Daniel Zalpico

Julio San José

Conoce al enemigo y a ti mismo

El nuevo modelo de crimen organizado, facilitado enormemente por las TIC, fue objetivo de análisis por José Carlos Moreno, Intelligence Security Manager de Grupo Santander, y José María Blanco, Director de Ciberinteligencia Estratégica de Prosegur, quienes en su ponencia Internet enable crime, disertaron sobre el uso de internet y las tecnologías como instrumento de delitos. Ante esta problemática, “la inteligencia de ciberseguridad, en cuyo epicentro se sitúa el análisis, se presenta como un pilar clave para el proceso de cambio en el que estamos inmersos y la capacidad de adaptación a la complejidad futura”, apuntaba Blanco. En este sentido, Prosegur Ciberseguridad trabaja junto al Banco Santander en el área de vigilancia digital, alertas y notificaciones en aras de salvaguardar los intereses empresariales y el de sus marcas vinculadas.


José Carlos Moreno

José María Blanco


Jesús Milán

Roberto Peña

A continuación, Jesús Milán, CISO de Liberbank, y Roberto Peña, Director de Ciberseguridad de Mnemo, añadieron un matiz más: la importancia de conocerse a sí mismo a través de una aproximación proactiva, poniendo a prueba los sistemas corporativos. En este sentido, ambos profesionales explicaron cómo Mnemo diseñó un interesante modelo de inteligencia de amenazas para LiberBank, ofreciendo una aproximación práctica a la gestión avanzada de vulnerabilidades.



Productos seguros y captación de talento

Jorge Dávila, Director de Laboratorio de Criptografía LSIIS de la Facultad de Informática de la Universidad Politécnica de Madrid, dio paso al bloque vespertino protagonizado, en primer lugar, por el Centro Criptológico Nacional (CCN), que presentó su catálogo de productos de seguridad TIC para la Administración, conocido bajo las siglas CPSTIC. Estefanía López, Responsable Técnico de desarrollo del Catálogo de Productos de Seguridad TIC de CCN-PYTEC, fue la encargada de explicar esta iniciativa empezando por aclarar que “un producto certificado no significa que sea seguro”. En este sentido, el CPSTIC clasifica, por un lado, los productos cualificados para el manejo de información sensible y, por otro, los denominados productos aprobados, que reúnen las características de los cualificados y además poseen unos requisitos superiores para el manejo de información clasificada.


Estefanía López intervino por parte del CCN


Félix Barrio

Posteriormente, Félix Barrio, Gerente del Área de Talento, Industria y Apoyo a la I+D+i de Incibe, desde la óptica de su organismo, analizó el mercado de profesionales de ciberseguridad, el cual se enfrenta a un complejo reto ante la alarmante brecha existente entre la oferta y la demanda de talento. En este sentido, Barrio desglosó toda una serie de medidas de apoyo que está llevando a cabo el Instituto para la promoción, captación y retención del talento entre las que se encuentran CyberCamp, Summer BootCamp, competiciones técnicas CTF, CyberEmprende, CyberSecurity Ventures, así como MOOC gratuitos, entre otras muchas iniciativas, de las que agradeció “la colaboración con el sector privado”.


Claves en la mitigación de amenazas

La segunda jornada del encuentro comenzó bajo la batuta de Manuel Carpio, reputado experto, quien dirigió las sucesivas conferencias bajo un nuevo prisma como el que mostraron Eduardo García, CISO de Everis, Sara Rivera, Manager de Ciberseguridad responsable de GRC & BC de la misma, junto con Claudia Beatriz Gómez, Directora de Líneas Financieras de Aon Risk Solutions. Estos tres profesionales detallaron cómo se combina el gobierno de la ciberseguridad en una gran tecnológica transnacional como Everis con estrategias de mitigación, entre las que destaca la contratación de seguros de responsabilidad profesional y ciberseguros.


Eduardo García

Sara Rivera

Claudia Beatriz Gómez

Por su parte, y de la mano de Ferrovial y PwC, los asistentes disfrutaron a continuación de una de las conferencias estelares de la XXIX edición del congreso, conociendo la auténtica revolución que se avecina con los vehículos conectados y cómo se gestiona la ciberseguridad en las flotas conectadas. En concreto, Román Ramírez, Gerente de Operaciones y Arquitecturas de Seguridad en la Dirección de Seguridad de la Información de Ferrovial, y Juan Carlos Díaz, Director de Ciberseguridad en el área de Business Security Solutions de PwC, desvelaron cómo se articula la seguridad del servicio Zity, tratando de proteger la confidencialidad de los datos, la disponibilidad del servicio, la reputación de la compañía, la seguridad de las comunicaciones así como de la plataforma en general.


Román Ramirez

Juan Carlos Díaz

Finalizando este bloque, Alejandro Rivas-Vásquez, Director en el área de Ciberseguridad, responsable de Energía, Industria e Infraestructura de KPMG, y Javier Rubio, Gerente de Gobierno de Seguridad y Continuidad de Negocio en la Dirección de Seguridad de la Información de Ferrovial, compartieron con la audiencia un proyecto llevado a cabo entre ambas firmas sobre la creación de una metodología basada en patrones de arquitectura segura, un modelo caracterizado por su “aproximación a la industrialización de forma certificada de la manera de trabajar de diferentes equipos y en diferentes geografías”, como bien resaltó Rubio. Como ejemplo, el experto de Ferrovial detalló el proyecto de Oficina Externa donde se quería conectar un entorno de TI corporativo a su entorno de centro de datos, así como la experiencia en el desarrollo de patrones de seguridad para microservicios.


Alejandro Rivas-Vásquez

Javier Rubio


Ciberseguridad en entornos OT



Juan Luis Pozo

Rafael Rosell

Con Miguel García-Menéndez, Vicepresidente del Centro de Seguridad Industrial (CCI) como moderador, daba comiendo un análisis del estado del arte de la ciberseguridad en la gestión de las infraestructuras críticas, donde se destacó la importancia de concienciar a la alta dirección, “también a nivel de administración pública”, como apelaba Juan Luis Pozo, CISO y Director de Sostenibilidad Corporativa de Global Omnium, quien presentó junto con Rafael Rosell, Director Comercial de S2 Grupo, el proyecto llevado a cabo conjuntamente ambas compañías. Dicho proyecto conllevó el diseño de un SOC focalizado en las operaciones OT denominado CiberSOC y en el que destacó la implantación de una infraestructura real de demostración y entrenamiento.



Jesús Peña

Eduardo Di Monte

De igual forma, Jesús Peña, Gerente de Riesgos y Continuidad de Negocio de Aguas Andinas, y Eduardo Di Monte, CEO de Oylo Trust Engineering & Cybersecurity Board Advisor for Utilities, profundizaron sobre la orquestación de la ciberseguridad industrial en procesos críticos. Por un lado, desde un punto de vista estratégico, donde nuevamente se destacó la importancia de concienciar a la junta directiva, además de atender a la gestión del riesgo integral, la toma de decisiones en base a datos, el uso de metodologías multimarca y tener la capacidad de detectar anomalías, entre otros aspectos. Y, por otro, desde un punto de vista táctico, a través de la identificación de activos, aplicación de medidas de control y protección a través de un modelo de datos único, y la creación de un sistema de orquestación y visualización de la ingesta de datos.


A continuación, la audiencia tuvo la oportunidad de conocer de primera mano el proyecto de Acciona de gestión de vulnerabilidades que ha llevado a cabo junto con Capgemini. En este sentido, Alberto Ruiz, CISO de Acciona, y Juan Carlos Pascual, Jefe de Proyecto de Gestión de Vulnerabilidades en Capgemini, explicaron cómo “el cambio cultural ha sido fundamental”, según Pascual, con el apoyo del CISO como figura conciliadora. Ahora, “dotar de madurez al proceso, es vital”, puntualizaba Ruiz.


Alberto Ruiz

Juan Carlos Pascual

Acto seguido, Javier García Carmona, CEO de Dara Norte Consulting, subía a la palestra para moderar las ponencias vespertinas de la segunda jornada de Securmática. Por un lado, Jordi Aymerich, Information Security Manager de Grupo Richemont para EMEA, y Gerard Cervelló, Director General de Blueliv, explicaron qué pasos llevaron a cabo para implementar una seguridad que cumple con el RGPD y en donde, en este caso, un punto destacado fue la monitorización externa como medida para mitigar las amenazas de brechas de datos a través del uso de la ciberinteligencia.


Jordi Aymerich

Gerard Cervelló


Seguidamente, Enrique Cubeiro, Jefe de Operaciones del Mando Conjunto de Ciberdefensa del Ministerio de Defensa, acaparó la atención de los presentes explicando la realidad de una idea en la que al mismo tiempo que crecía en interés se llenaba de polémica: la ciberreserva. Cubeiro quiso aclarar en su intervención la injusta difusión que han hecho la gran mayoría de medios de comunicación desglosando 10 ideas clave de este proyecto y desmintiendo contundentemente “la falacia de querer buscar 2.000 hackers gratis”, según afirmó.


Enrique Cubeiro

Securmática llegaba a su tercera y última jornada de la mano de Samuel Linares, Socio de iHacklabs, quien tomaba el testigo para presentar un proyecto de detección y gestión integral de amenazas, alertas e incidentes para Técnicas Reunidas que llevó a cabo Innotec, a través de la implantación de un modelo de aumento de las capacidades de monitorización y respuesta. Jesús Mérida, CISO de Técnicas Reunidas, y Jorge Uya, Director de Operaciones de Innotec -Grupo Entelgy-, fueron los encargados de exponer este proyecto en el que, sin duda, “una de las claves es el trabajo de los analistas para reducir el número de falsos positivos”, resaltaba Mérida. En este sentido, destaca el trabajo que desarrolla Innotec para aportar valor al análisis de alertas además de inteligencia, permitiendo a su cliente una toma de decisiones más rápida y acertada.


Jesús Mérida

Jorge Uyá


Alejandro Ramos

Pedro Pablo Pérez

Por su parte, Alejandro Ramos, Responsable Global de Seguridad Digital de Grupo Telefónica y Pedro Pablo Pérez, Vicepresidente de Seguridad de Telefónica y CEO de ElevenPaths, deleitaron a la audiencia con un proyecto de seguridad avanzada ligada a la parte de anticipación. En esta estrategia, Pérez destacó la labor de los 16 CSIRTs que posee la operadora y donde las fuentes de inteligencia juegan un papel clave. “Más de un millón de IOCs ponen en perspectiva lo grande que puede ser este proyecto y su complejidad”, explicaba Ramos. Todo, como siempre, “visto desde una perspectiva global pero entendiendo la localidad”, apostilló Pérez.



José Ramón Monleón

Juan Miguel Velasco

Esta intervención dio paso al último bloque de conferencias del evento que contó con Santiago Moral, CEO para España de BlueVoyant, como moderador, dando paso a José Ramón Monleón, CISO Corporativo de Orange España y Juan Miguel Velasco, CEO de Aiuken Cybersecurity, que transmitieron a la audiencia la importancia de contar con un SOC para orquestar la seguridad de cualquier negocio. Y lo demostraron a través del proyecto de creación de un iSOC para Orange, que ha supuesto un salto cualitativo para la operadora, permitiéndola no solo el gobierno de la ciberseguridad, sino además marcarse el “objetivo de evolucionar el laboratorio de CPEs a un Centro de Excelencia de Seguridad de IoT y routers, con el fin de realizar certificaciones de productos”, añadía Monleón destacando asimismo el desarrollo de servicios de SOC para clientes.


Acto seguido, Ignacio Gómez, Responsable del dominio de Digital Identity de Accenture Security Iberia, detalló la estrategia de migración hacia una nueva arquitectura de aplicaciones para Banco Sabadell. En este caso, el objetivo era dotar de mecanismos de autenticación y autorización para hacer frente a los nuevos desafíos de las arquitecturas emergentes y con omnicanalidad en cuanto a escalabilidad, resiliencia y flexibilidad. “Una vez más, la colaboración entre los diferentes equipos -seguridad, desarrollo de aplicaciones, etc.- fue clave para conseguir los objetivos propuestos”, terminó destacando Gómez.


Ignacio Gómez

La organización de la función del CISO como colectivo, a debate

Securmática llegaba a su tercera y última jornada de la mano de Samuel Linares, Socio de iHacklabs, quien tomaba el testigo para presentar un proyecto de detección y gestión integral de amenazas, alertas e incidentes para Técnicas Reunidas que llevó a cabo Innotec, a través de la implantación de un modelo de aumento de las capacidades de monitorización y respuesta. Jesús Mérida, CISO de Técnicas Reunidas, y Jorge Uya, Director de Operaciones de Innotec -Grupo Entelgy-, fueron los encargados de exponer este proyecto en el que, sin duda, “una de las claves es el trabajo de los analistas para reducir el número de falsos positivos”, resaltaba Mérida. En este sentido, destaca el trabajo que desarrolla Innotec para aportar valor al análisis de alertas además de inteligencia, permitiendo a su cliente una toma de decisiones más rápida y acertada.

Como colofón a su XXIX edición, Securmática, en su permanente compromiso desde hace casi tres décadas de dar visibilidad y apoyo a las inquietudes y vislumbrar el rumbo en permanente evolución que el colectivo de CISOs viene experimentando, conformó una mesa de debate con la intención de ahondar sobre la compleja cuestión inherente a los profesionales en quienes recae de forma más directa la responsabilidad de llevar la ciberseguridad a buen puerto en sus organizaciones. El título de dicho debate lo dice todo: ¿Deben los CISOs organizarse como colectivo para defenderse los intereses profesionales de la función?

Para debatir sobre este tema Francisco Lázaro, CISO y DPO de Renfe, David Matesanz, Regional Information Security Officer para Europa de Daimler, Elena Matilla, CISO de Red Eléctrica de España (REE), Carmen Serrano, Jefe de Servicio de Seguridad de la D. G. de TIC de la Generalitat Valenciana, y Carles Solé, CISO de CaixaBank, subieron al estrado para unirse al moderador de la mesa, José de la Peña, Director de Revista SIC.

Las opiniones de estos profesionales coincidían en la necesidad de defender los intereses de los CISOs como colectivo. La duda surgía sobre la idoneidad de unirse u organizarse para participar en futuras regulaciones (futura ley de transposición de la directiva NIS a la legislación española, ENS, reglamentos, normativas sectoriales…). Para Solé, “el problema se presenta cuando la figura se convierte en ley: la imposición del DPO por ley, por ejemplo, me parece un error, porque cada organización opera de distinta manera y, por lo tanto, no debería de estar impuesto desde fuera”. Ante esta afirmación, disentía Serrano quien argumentaba que, “en la Administración, la única solución para que se creen ciertos puestos y se les dote de recursos es a través de una normativa”. Lázaro también opinaba que es importante regular la figura del CISO en este sentido, recalcando que, por ejemplo, “el DPO no puede ser despedido por incumplimiento de su organización que motive sanción, una previsión que no existe para el responsable de seguridad de la información”. Ante dicho comentario, la mesa se volvió a dividir con la argumentación de Matesanz al añadir que “asociarse para defender los intereses es algo antiguo, ya que los CISOs somos profesionales que abrazamos el cambio, y el mercado, si es necesario, ya lo regulará”.

No obstante, Matilla, quien estuvo muy activa en la sesión, manifestó una interesante cuestión al plantear la necesidad, antes de asociarse, de tener claras cuáles deben ser las funciones del CISO porque “hay unas tareas básicas pero otras difieren según el negocio, incluso, entre la Administración Pública y la empresa privada”. Además, “orgánicamente dependemos también de distintos grupos jerárquicos que generar diversidad de ubicación”, destacaba. En este sentido, todos los integrantes de la mesa coincidieron en la importancia de unirse para compartir conocimiento, formación y definir funciones, entre otras cuestiones y, a partir de ahí, desarrollar una hoja de ruta sobre cómo llevarlo a cabo.