Crónica 2018

Bajo el lema “Ciberseguridad: el ADN de la transformación”, los pasados 24, 25 y 26 de abril se celebró la XXIX edición de Securmática, un evento en el que un potente elenco de ponentes, tanto del sector privado como de las administraciones públicas, atrajo la asistencia de más de 425 expertos para fijar el estado del arte real de la gestión de la ciberseguridad y reflexionar sobre los retos venideros en los que la transformación del negocio se está erigiendo en un proceso neurálgico que debe acompasarse eficazmente con la gestión de la ciberseguridad y la privacidad, precisamente en un año donde da comienzo una nueva etapa de cumplimiento normativo relacionado con la protección de los datos personales.

Como ilustre inaugurador del encuentro, Securmática tuvo el honor de contar con Julián Sánchez Melgar, Fiscal General del Estado, quien resaltó el compromiso de la Fiscalía General del Estado con la lucha frente al cibercrimen y al ciberdelito, destacando la globalidad del problema. “Hoy nadie discute que el desarrollo de las TIC afecta a todos, como miembros individuales y como sociedad, y que tiene una positiva incidencia en las instituciones del estado”. “Pero, también, origina grandes riesgos para la seguridad nacional e internacional afectando al pleno ejercicio de los derechos y libertades fundamentales de las personas”, afirmaba. Como consecuencia de esta problemática, la fiscalía española ha apostado por potenciar la especialización en la materia articulando un equipo de trabajo encabezado por Elvira Tejada, Fiscal de la Sala de Criminalidad Informática, y compuesto por una red de 150 fiscales especializados que colaboran con empresas y las Fuerzas y Cuerpo de Seguridad del Estado a fin de mejorar la investigación, persecución y la respuesta legal adecuada frente al cibercrimen y los ciberdelitos. “La articulación de este grupo de fiscales especialistas contribuye al seguimiento y control de las ciberincidencias, así como su evolución en sus distintas manifestaciones en todo el territorio nacional”. Además, “constituye un claro referente para encauzar el contacto de la Fiscalía con todos los ciudadanos”, terminaba puntualizando.

Tras la intervención de Sánchez Melgar, se dio paso a la primera parte del congreso, moderada por Luis Fernández, Editor de Revista SIC, y centrada en el ámbito financiero, que volvió a dejar patente su gran capacidad para hacer frente las múltiples amenazas a las que está continuamente expuesto. Actualmente, uno de sus mayores retos es gestionar de forma eficaz la seguridad en estos momentos de transformación. En este sentido, Daniel Barriuso, CISO Global de Grupo Santander, explicó cómo la transformación digital se ha convertido en un proceso y una prioridad clave para la entidad y, como tal, la ciberseguridad se erige como principal área de atención estructurándose en tres elementos fundamentales: un marco o framework que establece los principios, roles, responsabilidades de forma global en el Grupo; un plan de transformación a tres años, cuyo objetivo es establecer las capacidades necesarias para poder afrontar las amenazas actuales y emergentes; así como un equipo humano especializado y alineado a dicho marco de trabajo tanto a nivel global como para cada una de las subsidiarias. Uno de los momentos álgidos de su conferencia fue el anuncio de la conformación de un potente SOC mundial centralizado en Madrid para todo el grupo financiero cuya puesta en pleno funcionamiento se espera para final de año.

De igual forma, en la búsqueda de un mayor control a través de la gestión de la ciberseguridad, el Grupo BBVA ha trabajado con GMV Secure e-Solutions en la puesta en marcha de una plataforma denominada ‘Faro Corporativo’, a fin de modelar y homogeneizar toda la actividad de seguridad del Grupo, tanto física como lógica, y a nivel global. Inés Díaz Ochaviaga, Banking Corporate Security del Grupo BBVA, y Javier Zubieta, Director de Marketing y Comunicación de GMV Secure e-Solutions, desvelaron los detalles de este proyecto que, además, ahora permite a la entidad actuar en tiempo real teniendo un mayor control de su seguridad.

Acto seguido, Fernández cedía el testigo de conducción a Rafael Ortega, reputado experto en ciberseguridad –hoy en BlueVoyant–, quien daba paso a Daniel Zapico, Manager de Ciberseguridad de EY, y Julio San José, Socio Responsable de Ciberseguridad para Servicios Financieros de la misma, para explicar el trabajo que ha llevado a cabo la consultora con Banco Sabadell en el desarrollo, implantación y simulación de planes de contención en ciberseguridad donde resultó clave el diseño de escenarios asociados a unos niveles de severidad excepcionales articulando medidas de excepción y previendo los recursos necesarios para ser aplicados. Porque para Zapico, “la gestión de crisis clásica ya no es suficiente y un modelo basado en escenarios es clave”.

El nuevo modelo de crimen organizado, facilitado enormemente por las TIC, fue objetivo de análisis por José Carlos Moreno, Intelligence Security Manager de Grupo Santander, y José María Blanco, Director de Ciberinteligencia Estratégica de Prosegur, quienes en su ponencia Internet enable crime, disertaron sobre el uso de internet y las tecnologías como instrumento de delitos. Ante esta problemática, “la inteligencia de ciberseguridad, en cuyo epicentro se sitúa el análisis, se presenta como un pilar clave para el proceso de cambio en el que estamos inmersos y la capacidad de adaptación a la complejidad futura”, apuntaba Blanco. En este sentido, Prosegur Ciberseguridad trabaja junto al Banco Santander en el área de vigilancia digital, alertas y notificaciones en aras de salvaguardar los intereses empresariales y el de sus marcas vinculadas.

A continuación, Jesús Milán, CISO de Liberbank, y Roberto Peña, Director de Ciberseguridad de Mnemo, añadieron un matiz más: la importancia de conocerse a sí mismo a través de una aproximación proactiva, poniendo a prueba los sistemas corporativos. En este sentido, ambos profesionales explicaron cómo Mnemo diseñó un interesante modelo de inteligencia de amenazas para LiberBank, ofreciendo una aproximación práctica a la gestión avanzada de vulnerabilidades.

Jorge Dávila, Director de Laboratorio de Criptografía LSIIS de la Facultad de Informática de la Universidad Politécnica de Madrid, dio paso al bloque vespertino protagonizado, en primer lugar, por el Centro Criptológico Nacional (CCN), que presentó su catálogo de productos de seguridad TIC para la Administración, conocido bajo las siglas CPSTIC. Estefanía López, Responsable Técnico de desarrollo del Catálogo de Productos de Seguridad TIC de CCN-PYTEC, fue la encargada de explicar esta iniciativa empezando por aclarar que “un producto certificado no significa que sea seguro”. En este sentido, el CPSTIC clasifica, por un lado, los productos cualificados para el manejo de información sensible y, por otro, los denominados productos aprobados, que reúnen las características de los cualificados y además poseen unos requisitos superiores para el manejo de información clasificada.

Posteriormente, Félix Barrio, Gerente del Área de Talento, Industria y Apoyo a la I+D+i de Incibe, desde la óptica de su organismo, analizó el mercado de profesionales de ciberseguridad, el cual se enfrenta a un complejo reto ante la alarmante brecha existente entre la oferta y la demanda de talento. En este sentido, Barrio desglosó toda una serie de medidas de apoyo que está llevando a cabo el Instituto para la promoción, captación y retención del talento entre las que se encuentran CyberCamp, Summer BootCamp, competiciones técnicas CTF, CyberEmprende, CyberSecurity Ventures, así como MOOC gratuitos, entre otras muchas iniciativas, de las que agradeció “la colaboración con el sector privado”.

La segunda jornada del encuentro comenzó bajo la batuta de Manuel Carpio, reputado experto, quien dirigió las sucesivas conferencias bajo un nuevo prisma como el que mostraron Eduardo García, CISO de Everis, Sara Rivera, Manager de Ciberseguridad responsable de GRC & BC de la misma, junto con Claudia Beatriz Gómez, Directora de Líneas Financieras de Aon Risk Solutions. Estos tres profesionales detallaron cómo se combina el gobierno de la ciberseguridad en una gran tecnológica transnacional como Everis con estrategias de mitigación, entre las que destaca la contratación de seguros de responsabilidad profesional y ciberseguros.

Por su parte, y de la mano de Ferrovial y PwC, los asistentes disfrutaron a continuación de una de las conferencias estelares de la XXIX edición del congreso, conociendo la auténtica revolución que se avecina con los vehículos conectados y cómo se gestiona la ciberseguridad en las flotas conectadas. En concreto, Román Ramírez, Gerente de Operaciones y Arquitecturas de Seguridad en la Dirección de Seguridad de la Información de Ferrovial, y Juan Carlos Díaz, Director de Ciberseguridad en el área de Business Security Solutions de PwC, desvelaron cómo se articula la seguridad del servicio Zity, tratando de proteger la confidencialidad de los datos, la disponibilidad del servicio, la reputación de la compañía, la seguridad de las comunicaciones así como de la plataforma en general.

Finalizando este bloque, Alejandro Rivas-Vásquez, Director en el área de Ciberseguridad, responsable de Energía, Industria e Infraestructura de KPMG, y Javier Rubio, Gerente de Gobierno de Seguridad y Continuidad de Negocio en la Dirección de Seguridad de la Información de Ferrovial, compartieron con la audiencia un proyecto llevado a cabo entre ambas firmas sobre la creación de una metodología basada en patrones de arquitectura segura, un modelo caracterizado por su “aproximación a la industrialización de forma certificada de la manera de trabajar de diferentes equipos y en diferentes geografías”, como bien resaltó Rubio. Como ejemplo, el experto de Ferrovial detalló el proyecto de Oficina Externa donde se quería conectar un entorno de TI corporativo a su entorno de centro de datos, así como la experiencia en el desarrollo de patrones de seguridad para microservicios.

Con Miguel García-Menéndez, Vicepresidente del Centro de Seguridad Industrial (CCI) como moderador, daba comiendo un análisis del estado del arte de la ciberseguridad en la gestión de las infraestructuras críticas, donde se destacó la importancia de concienciar a la alta dirección, “también a nivel de administración pública”, como apelaba Juan Luis Pozo, CISO y Director de Sostenibilidad Corporativa de Global Omnium, quien presentó junto con Rafael Rosell, Director Comercial de S2 Grupo, el proyecto llevado a cabo conjuntamente ambas compañías. Dicho proyecto conllevó el diseño de un SOC focalizado en las operaciones OT denominado CiberSOC y en el que destacó la implantación de una infraestructura real de demostración y entrenamiento.

De igual forma, Jesús Peña, Gerente de Riesgos y Continuidad de Negocio de Aguas Andinas, y Eduardo Di Monte, CEO de Oylo Trust Engineering & Cybersecurity Board Advisor for Utilities, profundizaron sobre la orquestación de la ciberseguridad industrial en procesos críticos. Por un lado, desde un punto de vista estratégico, donde nuevamente se destacó la importancia de concienciar a la junta directiva, además de atender a la gestión del riesgo integral, la toma de decisiones en base a datos, el uso de metodologías multimarca y tener la capacidad de detectar anomalías, entre otros aspectos. Y, por otro, desde un punto de vista táctico, a través de la identificación de activos, aplicación de medidas de control y protección a través de un modelo de datos único, y la creación de un sistema de orquestación y visualización de la ingesta de datos.

A continuación, la audiencia tuvo la oportunidad de conocer de primera mano el proyecto de Acciona de gestión de vulnerabilidades que ha llevado a cabo junto con Capgemini. En este sentido, Alberto Ruiz, CISO de Acciona, y Juan Carlos Pascual, Jefe de Proyecto de Gestión de Vulnerabilidades en Capgemini, explicaron cómo “el cambio cultural ha sido fundamental”, según Pascual, con el apoyo del CISO como figura conciliadora. Ahora, “dotar de madurez al proceso, es vital”, puntualizaba Ruiz.

Acto seguido, Javier García Carmona, CEO de Dara Norte Consulting, subía a la palestra para moderar las ponencias vespertinas de la segunda jornada de Securmática. Por un lado, Jordi Aymerich, Information Security Manager de Grupo Richemont para EMEA, y Gerard Cervelló, Director General de Blueliv, explicaron qué pasos llevaron a cabo para implementar una seguridad que cumple con el RGPD y en donde, en este caso, un punto destacado fue la monitorización externa como medida para mitigar las amenazas de brechas de datos a través del uso de la ciberinteligencia.

Seguidamente, Enrique Cubeiro, Jefe de Operaciones del Mando Conjunto de Ciberdefensa del Ministerio de Defensa, acaparó la atención de los presentes explicando la realidad de una idea en la que al mismo tiempo que crecía en interés se llenaba de polémica: la ciberreserva. Cubeiro quiso aclarar en su intervención la injusta difusión que han hecho la gran mayoría de medios de comunicación desglosando 10 ideas clave de este proyecto y desmintiendo contundentemente “la falacia de querer buscar 2.000 hackers gratis”, según afirmó.

Securmática llegaba a su tercera y última jornada de la mano de Samuel Linares, Socio de iHacklabs, quien tomaba el testigo para presentar un proyecto de detección y gestión integral de amenazas, alertas e incidentes para Técnicas Reunidas que llevó a cabo Innotec, a través de la implantación de un modelo de aumento de las capacidades de monitorización y respuesta. Jesús Mérida, CISO de Técnicas Reunidas, y Jorge Uya, Director de Operaciones de Innotec -Grupo Entelgy-, fueron los encargados de exponer este proyecto en el que, sin duda, “una de las claves es el trabajo de los analistas para reducir el número de falsos positivos”, resaltaba Mérida. En este sentido, destaca el trabajo que desarrolla Innotec para aportar valor al análisis de alertas además de inteligencia, permitiendo a su cliente una toma de decisiones más rápida y acertada.

Por su parte, Alejandro Ramos, Responsable Global de Seguridad Digital de Grupo Telefónica y Pedro Pablo Pérez, Vicepresidente de Seguridad de Telefónica y CEO de ElevenPaths, deleitaron a la audiencia con un proyecto de seguridad avanzada ligada a la parte de anticipación. En esta estrategia, Pérez destacó la labor de los 16 CSIRTs que posee la operadora y donde las fuentes de inteligencia juegan un papel clave. “Más de un millón de IOCs ponen en perspectiva lo grande que puede ser este proyecto y su complejidad”, explicaba Ramos. Todo, como siempre, “visto desde una perspectiva global pero entendiendo la localidad”, apostilló Pérez.

Esta intervención dio paso al último bloque de conferencias del evento que contó con Santiago Moral, CEO para España de BlueVoyant, como moderador, dando paso a José Ramón Monleón, CISO Corporativo de Orange España y Juan Miguel Velasco, CEO de Aiuken Cybersecurity, que transmitieron a la audiencia la importancia de contar con un SOC para orquestar la seguridad de cualquier negocio. Y lo demostraron a través del proyecto de creación de un iSOC para Orange, que ha supuesto un salto cualitativo para la operadora, permitiéndola no solo el gobierno de la ciberseguridad, sino además marcarse el “objetivo de evolucionar el laboratorio de CPEs a un Centro de Excelencia de Seguridad de IoT y routers, con el fin de realizar certificaciones de productos”, añadía Monleón destacando asimismo el desarrollo de servicios de SOC para clientes.

Acto seguido, Ignacio Gómez, Responsable del dominio de Digital Identity de Accenture Security Iberia, detalló la estrategia de migración hacia una nueva arquitectura de aplicaciones para Banco Sabadell. En este caso, el objetivo era dotar de mecanismos de autenticación y autorización para hacer frente a los nuevos desafíos de las arquitecturas emergentes y con omnicanalidad en cuanto a escalabilidad, resiliencia y flexibilidad. “Una vez más, la colaboración entre los diferentes equipos -seguridad, desarrollo de aplicaciones, etc.- fue clave para conseguir los objetivos propuestos”, terminó destacando Gómez.