Con el lema “Innovación y cambio: manos a la obra”, la XXVI edición de Securmática despejó la broza en el camino de la ciberseguridad nacional. Durante tres días, un inmejorable elenco de ponentes puso de manifiesto la necesidad de una mayor coordinación entre las administraciones públicas y el sector privado, la convicción de que España se encuentra a la vanguardia en innovación y la certeza de que, a pesar de la evolución tecnológica, sólo con trabajo y colaboración será posible hacer frente a los crecientes ciberriesgos.

Con el bagaje de contar con una Estrategia de Ciberseguridad Nacional cada vez más consolidada, unas administraciones públicas implicadas en la protección de la sociedad digital, una colaboración público-privada creciente y un sector tecnológico y usuario a la vanguardia mundial en lo que a innovación se refiere, la flor y nata de la gestión de la ciberseguridad nacional volvió a degustar el menú propuesto por Securmática, caracterizado por seguir evidenciando, plenamente enfocado y sintonizado con el fiel reflejo de la realidad, lo que de verdad se está haciendo.

El camino es la colaboración

Las estructuras del Estado han dado un importante paso adelante en los últimos años y se encuentran inmersas en la puesta en marcha de múltiples planes que pretenden conseguir un ciberespacio seguro. Este hecho quedó patente durante la primera jornada de esta vigésimo sexta edición de Securmática, que fue inaugurada por Francisco Martínez, Secretario de Estado de Seguridad, quien puso de manifiesto su convicción de que para poder avanzar y hacer frente a los desafíos de la ciberseguridad “es imprescindible que haya coordinación entre los agentes con competencias e intensificar la colaboración público-privada. Y este foro de expertos es una buena muestra de esa colaboración”.

Martínez también recalcó que “la creciente dependencia de Internet y de las TIC es un signo de nuestro tiempo. Internet of Things es parte imprescindible de nuestra vida y supone un mundo lleno de oportunidades, pero genera riesgos y vulnerabilidades”.

Joaquín Castellón

La intervención del Secretario de Estado dio paso a una jornada marcada por la participación institucional. En primer lugar, Joaquín Castellón, Director Operativo del Departamento de Seguridad Nacional de la Presidencia del Gobierno, hizo un repaso a los logros del Plan Nacional de Ciberseguridad, así como de los planes derivados del mismo. En su ponencia previó “un horizonte de desarrollo que posiblemente pase por la creación de estructuras específicas de ciberseguridad” y remarcó que es el momento de dar el salto definitivo a todos los niveles.

Javier Candau

Uno de los organismos encargados de dar ese empujón es el Centro Criptológico Nacional, cuyo Jefe del Área de Ciberseguridad, Javier Candau, expuso en su ponencia “Servicios de alerta ante ataques a la Ciberseguridad Nacional por robo de información a empresas y organismos” una idea que sobrevoló el congreso durante los tres días: la necesidad de colaboración entre empresas y organismos receptores, y de un intercambio de información eficiente. “Intercambiar es igual a Confianza entre administración y empresas. De lo contrario, no funcionará”, aseveró.

El testigo lo tomó Fernando J. Sánchez, Director del Centro Nacional para la Protección de las Infraestructuras Críticas, que además de ilustrar a la audiencia sobre la gestión de la ciberseguridad en los Planes Estratégicos Sectoriales y en los Planes de Seguridad de operadores críticos ya designados, mostró su satisfacción por haber sabido construir un sistema de infraestructuras críticas y de colaboración con operadores en el que se abordan la seguridad de un modo integral, aunando la física, la cibernética y la personal.

Miguel Ángel Amutio Miguel Ángel Amutio y José Antonio Mañas

La innovación de la que hizo gala Sánchez se extendió a la ponencia de Miguel Ángel Amutio, Subdirector Adjunto en la S.G. de Coordinación de Unidades TIC de la Dirección de Tecnologías de la Información y las Comunicaciones (MINHAP). En ella, Amutio habló sobre la oportunidad de aumentar el nivel de seguridad de los sistemas de información y comunicaciones de la Administración General del Estado mediante la prestación de servicios centralizados de seguridad gestionada en un Centro de Operaciones de Seguridad.

Antonio Villalón y Javier Candau

En esta primera jornada, eminentemente institucional, también hubo espacio para el análisis práctico de las capacidades operativas para la detección de compromisos por parte de amenazas avanzadas persistentes, a cargo de Javier Candau y Antonio Villalón, Director de Seguridad de S2 Grupo, y para sendos proyectos territoriales en Cataluña y Castilla y León.

En el primero de ellos Xavier Gatius, Director General del Centro de Seguridad de la Información de Cataluña (CESICAT), y Jesús Romero, Socio de Riesgos Tecnológicos de PwC, hicieron un repaso al periplo del propio CESICAT y marcaron como reto la transformación de la entidad basada en la excelencia operativa.

Por su parte, Luis Miguel Navas, Jefe de la Sección de Servicios de Internet y Seguridad del Servicio de Red Corporativa de la Dirección General de Atención al Ciudadano, Calidad y Modernización de la Consejería de Hacienda de la Junta de Castilla y León, y Óscar Riaño, Jefe de Área de Consultoría Zona Norte de GMV, detallaron la evolución de los Servicios Avanzados de Seguridad de la Red de la citada Junta de Castilla y León.

David Navarro e Isaac Rubio

Abrieron fuego Isaac Rubio, Responsable de Banca Electrónica de Abanca, y David Navarro, Country Manager SPGI en Trusteer IBM, exponiendo el programa de prevención de fraude en línea de Abanca y apostando por facilitar el acceso seguro de los clientes a los servicios.

Juan Manuel Matalobos y Borja Larrumbide

De igual modo, Borja Larrumbide, Responsable de la Normativa de Seguridad Global y del Departamento de IT Risk Institutional Affairs, y Juan Manuel Matalobos, Responsable de IT Risk Compliance, ambos del Grupo BBVA, departieron acerca de la necesidad de coordinación con las administraciones públicas, y sobre el nuevo departamento que tiene como objetivo transmitir a los distintos reguladores sus inquietudes y recomendaciones.

Expuesto por Jordi André, Responsable del Área de Ciberseguridad de Seguridad de la Información de Caixabank, Lucas Varela –de la misma entidad– y Julio San José, Socio de EY, otro buen ejemplo de trabajo conjunto fue la elección por parte de Caixabank del servicio de Simulación Continua de Ciberataques (SCC) de EY.

Asimismo, la iniciativa de ING BANK NV presentada por Miguel Ángel Sánchez, su Information Security Officer / Data Protection Officer y Alejandro Ramos, su IT Security Manager, aunó el carácter financiero y la innovación española, dado que el Proyecto Canguro define un marco de control en los accesos de personal de TI a sistemas críticos mediante autenticación fuerte y monitorización avanzada.

Por su innovación también destacó el enfoque de Bankinter en lo referente a la seguridad en las nuevas aplicaciones móviles. Alberto Pérez-Lafuente, Director de Estrategia y Gestión de la Innovación, y Fernando Vega, Director de Seguridad de la Información, explicaron los beneficios de una tarjeta virtual como solución para pagos móviles.

Una de las tendencias que están calando en los últimos tiempos es la de que la ciberseguridad comienza a estar presente en el ADN de las compañías, o lo que es lo mismo, es un elemento que éstas tienen muy en cuenta para el desarrollo de sus planes de negocio. Ése es el caso de Equifax, que ha creado –con un alcance mundial– un Marco de Gestión y Gobierno Global de la Seguridad de la Información. Su CISO, Eduardo García, recalcó jugosos detalles como el hecho de que toda la empresa esté certificada en ISO 27001.

Otra compañía inmersa en el fortalecimiento de su protección es Sanitas. Su Arquitecto de Seguridad, Antonio Cerezo, y Daniel Martínez, Experto en Seguridad de Red de la Dirección de Ciberseguridad de Indra, expusieron cómo aquella organización ha optado por una estrategia de protección más proactiva frente a las APTs, tanto a nivel del puesto de trabajo como en el análisis en “sandboxing”.

Finalmente, Narciso Mazas, Coordinador del Área de Ergonomía y Psicosociología Aplicada Regional Norte de Premap Seguridad y Salud, y Agustín Moyano, Gerente de producto del Departamento de Consultoría de Nextel, explicaron cómo la primera de estas compañías ha adoptado la plataforma NextRisk para lograr una gestión integral de la seguridad en tiempo real.

Oportunidad de crecimiento

Miguel Rego, Director General de INCIBE, dio comienzo a la tercera y última jornada, exponiendo el trabajo que se está realizando en la elaboración de un Esquema Nacional de Ciberseguridad Industrial. “En seis años se va a multiplicar por dos la cifra de negocio en este campo. Hay una gran oportunidad de crecimiento y tendencia a la regulación específica a nivel nacional”, aseguró.

A reglón seguido, el turno volvió a ser para algunas de las compañías con una apuesta más intensa en materia de ciberseguridad. Ferrovial es una de ellas. Su Security Governance and Business Continuity Manager, Javier Rubio, explicó junto a Karen Gaines, Directora General de HP Security para Iberia, el caso de Amey, una de sus principales filiales en Reino Unido, que optó por externalizar su infraestructura tecnológica con la solución Virtual Private Cloud de HP.

Otra de esas organizaciones es Renfe, que ha decidido hacer frente a las APTs confiando en la tecnología de Blueliv. Francisco Lázaro, CISO de Renfe, y Ramón Vicens, Vicepresidente de Threat Intelligence de Blueliv, relataron la puesta en marcha de un proyecto en el que la colaboración ha resultado esencial.

La 26 edición de Securmática se cerró con tres ponencias de sumo calado. En la primera, impartida por David Carrascosa, Responsable de gestión de identidades y control de accesos BSIS del Grupo Banc Sabadell, y Javier Zapata, Director de Cybersecurity, Big Data & Security de Atos Iberia, se detalló cómo la gestión de cuentas y accesos privilegiados ha de ser integral para generar más valor.

En la segunda, el turno fue para Carles Solé, Director de Seguridad de la Información de CaixaBank, y Xavier Gracia, Director del CyberSOC de Deloitte. Ambos pusieron de manifiesto la necesidad de invertir en formación, retener el talento y trabajar conjuntamente de cara a tener el mejor Cyber Security Response Team posible.

Finalmente, Manel Leal, Responsable de Seguridad Tecnológica de Abertis, contó con el apoyo de José Francisco Pereiro, Director de Servicios de Seguridad de BT Iberia, para mostrar a la audiencia la transición de la compañía hacia la movilidad como factor crítico para el desarrollo del negocio, apostando para ello por la tecnología de MobileIron para su gestión y despliegue.