Crónica 2019

Con cerca de 450 asistentes, la trigésima edición del congreso de referencia de ciberseguridad corporativa, bajo el lema ‘CISOs: lo que sí se está haciendo’, volvió a batir récord de participantes. En ella se mostraron, en primicia, desde el nuevo Centro de Operaciones de Ciberseguridad del Grupo Santander hasta el enfoque con el que la española GMV protege el GPS europeo Galileo o cómo el CCN pondrá en marcha el SOC de la AGE, además de casos de uso en todo tipo de sectores. En su seno, cita ineludible durante treinta años de los ejecutivos más comprometidos con el enriquecimiento y consolidación del desempeño de su profesión, también se planteó la necesidad de crear una asociación sin condicionantes que defienda el rol del CISO.

Hablar de los retos actuales y de los que vienen en la seguridad de la información, la privacidad y las nuevas tecnologías fue el eje común de las más de 20 ponencias que conformaron el programa de la trigésima edición de Securmática bajo el lema “CISOs lo que sí se está haciendo”, organizada por Revista SIC. En la conferencia inaugural, Julia Olmo, Embajadora en Misión Especial para las Amenazas Híbridas y la Ciberseguridad, repasó la evolución de la ciberseguridad de las últimas tres décadas vinculada a la Seguridad Nacional y su ineludible y cambiante contexto internacional, recordando la importancia de contar en ella tanto con políticos, como con militares, policías y, por supuesto, el sector privado. Precisamente, recordó que la nueva Estrategia de Ciberseguridad Nacional 2019, aprobada en abril, “pretende aportar herramientas y recursos para hacer frente a los retos que vivimos”.

El primer bloque, moderado por el Director de Revista SIC, José de la Peña, fue abierto por Manuel Carpio, Cybersecurity Senior Advisor de Inerco y Santiago Moral, CEO de BlueVoyant España, con su ponencia ‘En compañía de CISOs’. Ambos, con un solvente pasado en la función, repasaron cómo ha evolucionado la figura de este directivo en los últimos 20 años, aunque destacaron que el perfil profesional “sigue sin estar reconocido y definido de forma explícita en ningún documento oficial”. Por eso, manifestaron la necesidad de crear una asociación profesional que defienda su trabajo como “coordinador y estratega”, apuntó Carpio. Moral resaltó la importancia de aprender de los jóvenes talentos, apostar por la innovación y trabajar por ser más resilientes, en un cometido estresante que jamás tendrá final.

Un centro de ciberseguridad español, referencia mundial

A continuación, el CISO Global del Grupo Santander, Daniel Barriuso, moderado por Luis Fernández, Editor del SIC, explicó por qué la entidad ha apostado por Madrid para su nuevo SOC que, con más de 3.600 metros cuadrados y 360 expertos, ofrece servicio a más de 20 países y 144 millones de clientes. “Es una piedra angular de la protección cibernética en el Grupo y algo más que una instalación física, ya que conlleva un cambio en la forma de trabajar, de comunicar y de abordar la ciberseguridad”. ”Entre otros, tenemos el reto de tener ciclos muy cortos entre predecir, detectar y remediar para ser ágiles y dinámicos”.

El TISO –Technology Information Security Officer– de BBVA España, Martín Suárez, así como el Responsable CISO Office en CS&SER España de la entidad, Julio Molina de la Calle, resaltaron que “hoy, el papel fundamental del CISO debe ser el de un facilitador que entienda el negocio y que sepa trabajar en equipo para que le vean como una persona que acompaña y permite avanzar teniendo la seguridad controlada”.

El segundo bloque del primer día fue presentado por el experto internacional en ciberseguridad operacional financiera y gobernanza TI Alberto Partida, quien dio paso a la CISO del Grupo AXA, Silvia Villanueva, y al Manager de Ciberseguridad de Mnemo, Francisco Escobar. A través de una original presentación, con aspecto de cómic, defendieron el papel del ‘súper CSO’ –Chief Security Officer– como un héroe que“precisa ser global y contar con rapidez y fortaleza de respuesta y acción”. Además, “es importante ser holísticos, agiles y eficientes para lograr una visión integral”, añadieron.

La seguridad ya forma parte del ADN de la red

El Director de Productos y Servicios para el segmento Empresas de Telefónica, Hugo de los Santos, y el CEO de ElevenPaths y VP de Seguridad Global de Telefónica, Pedro Pablo Pérez, mostraron el reto que plantea ‘La Seguridad en 2020” en un mundo hiperconectado. Dicha seguridad “Se ha convertido en una herramienta que soporta el negocio y permite crear nuevas líneas de ingresos”, destacaron. Pérez comentó que Telefónica ha apostado al máximo por la seguridad consiguiendo que ésta sea un atributo de la red como lo es la rapidez, la cobertura o la latencia, mostrando varios casos de uso que ya aplican a hogares y empresas.

Entender y saber gestionar el riesgo

El tercer bloque, moderado por el catedrático de la Universidad Politécnica de Madrid, José Antonio Mañas, comenzó con la ponencia sobre la “Gestión de la ciberseguridad en entorno de integración continua de compañías”, con la experiencia de MásMóvil. Su CISO, Daniel Martínez, junto con el Director de Advisory Services de EY, Joaquín Castillón y el Executive Director Advisory Services de la firma, Javier del Riego, hablaron del riesgo de absorber o comprar empresas, “con las que también se incluye un ‘paquete’ de riesgos”, recalcó Martínez. Su consejo para trabajar con éxito fue “identificar lo más crítico para la organización y poner foco en protegerlo”. Además, los expertos de EY destacaron la necesidad de realizar auditorías 360º marcando un plan director de seguridad de máximo nivel.

Cerró la primera jornada la ponencia sobre ‘Transformación, Operaciones de Seguridad y Protección del cliente final, en Euskaltel” por parte de su CISO, Idoia Uriarte, y del Vicepresidente del Área de Servicios Gestionados de S21sec, Jorge Hurtado. “En nuestro plan digital hemos intensificado acciones como las campañas de suplantación y phishing, que han permitido identificar a las personas con las que hay que trabajar más”. La compañía también ha puesto en marcha, junto con S21sec, un Centro Integrado de Operadores de Seguridad para “evitar el ‘sobrealertamiento global”, explicó Hurtado, destacando la importancia de evitar falsos positivos a través de su contextualización y un enfoque pragmático que permita conocer las posibles amenazas para hacerlas frente, también con ejercicio de red team.

Ciberseguridad en el sector del juego

Con la moderación de Rafael Ortega, Head of Business Spain de BlueVoyant, comenzaron dos interesantes ponencias, que pusieron sobre la mesa los retos en ciberseguridad del sector del juego, especialmente, ante el auge de su actividad online, que mueve en España cerca de 700 millones de euros y 1,5 millones de personas. Luis Miguel Brejano, CISO de Codere, explicó su apuesta por los servicios que ofrece Aiuken Cybersecurity a través de su SOC virtual. Su Director Comercial, Luis Muñoz, detalló cómo la compañía que dirige Juan Miguel Velasco cumplió con todos los requisitos que demandaba Codere, especialmente, ante el arduo proceso de selección de su RFI –Request for information–, compuesto por 50 controles y que evaluaba la madurez en los procesos, personas y tecnología de los candidatos.

Pero, ¿qué sucede cuando todo eso falla? José Luis Sebastián, Jefe de Compras y Coordinador Corporativo de Seguros de Codere, y Claudia Gómez, Directora de Líneas Financieras &Aon Cyber Solutions de Aon España, explicaron la decisión de optar por un seguro de ciberriesgos y crime, y su complicado proceso de contratación: “la gran mayoría de las aseguradoras excluyen de sus servicios el sector del juego”. Pero, al final, se logró una ‘póliza maestra’ para cubrir responsabilidades y procedimientos regulatorios, y pérdidas económicas del asegurado, entre otros aspectos, además de contar con seguros locales.

Proveedores y sistemas de protección, a examen

Sergi Carmona, CISO de Suez España –empresa especializada en el tratamiento del agua–, y Gerard Cervelló, Director de Operaciones de Blueliv, dieron a conocer su experiencia en la evaluación de riesgos a través en la creación de un sistema de scoring, orientada a analizar la posición de ciberseguridad en proveedores. Blueliv proporcionó a Suez España una plataforma basada en un panel de control con información de alto nivel sobre la posición de ciberseguridad de estas empresas.

Miguel García-Menéndez, Chief Process Officer de Alastria, fue el encargado de moderar la segunda parte de la jornada. Cándido Arregui, CISO de Aena, y Andrea De Nigris, Information Security Service Manager de Capgemini,desgranaron el servicio de Oficina de Seguridad que ésta última ofrece a Aena, y lo hicieron con un símil futbolístico. “Su rol es como el del centrocampista que ayuda a finalizar el juego y hacer frente a los incidentes de seguridad y coordinarse con áreas como legal, marketing, etc.”, además de “ejercer como entrenador, ya que debe lidiar con la junta directiva, las distintas regulaciones y la filosofía de la compañía”.

Acto seguido, Francisco Lázaro, CISO y DPO de Renfe, e Isabel Tristán, Directora Comercial de Soluciones de IBM Security, expusieron cómo a medida que las amenazas evolucionan es necesario actualizar los sistemas de protección. Para estos profesionales, el SIEM es el ‘viejo rockero que nunca muere’, pero la evolución del IoT generará más de 100 millones de dispositivos conectados. Por ello, es fundamental que los SIEM puedan integrar información de seguridad OT, aplicar inteligencia artificial para detectar comportamiento anómalo y facilitar el cumplimiento normativo y marcos como NIS-D, NIST, ISO27001/27002 e IEC 62443.

El blockchain se reivindica

La Fábrica Nacional de Moneda y Timbre (FNMT) lleva más de un año trabajando sobre la cadena de bloques. Antonio Requena, Socio de Soluciones de Seguridad de Negocio de PwC, y Ángel Laín, Jefe de Área de Calidad, Desarrollo de Negocio y Cumplimiento normativo de la FNMT, explicaron un caso de uso concreto y pionero sobre la identidad digital distribuida a partir de la cual empezar a desarrollar servicios para llegar a una comercialización y el desarrollo de una solución. Además, recordaron las distintas iniciativas europeas creadas para evitar la fragmentación del mercado o sistemas propietarios no interoperables, como el eSSIF–European Self Sovereign Identity Framework–, donde la FNMT-RCM participa en representación de España.

Gestión de incidentes y gobierno de la ciberseguridad

Jorge Dávila, Director del Laboratorio de Criptografía de la Universidad Politécnica de Madrid, dio paso a la última parte de la jornada. En ella, Francisco Javier Santos, Director de Seguridad Global (CSO) del Grupo Santalucía, y Sergio Gómez Rodríguez, Senior Manager de Ciberseguridad en IT Advisory de KPMG, describieron la implantación de la plataforma Service Now/ SecOps, que ha ayudado a automatizar y a dotar de agilidad y eficiencia la gestión de incidentes.

A continuación, Floren Molina, Responsable de Ciberdefensa y MSS de Iberia de Accenture, e Ignacio Horcajo, Former CISO Team y Director de Infraestructuras en Latinoamérica, África, Oriento Próximo y Sur de Europa de Accenture, desgranaron cómo se organiza la ciberseguridad en esta compañía que cuenta con 467.000 puestos de trabajo y oficinas en 50 países. En general, Accenture engloba la seguridad de la información en cinco grandes áreas: Client Data Protection; Technology Environment –donde se engloba el SOC–; End-UserDevices; Risk Management; Awareness and Training, para la sensibilización y formación de los usuarios; e Incident Response.

Inteligencia en mundo hiperconectado

La tercera y última jornada de Securmática comenzó con el bloque moderado por el Catedrático Emérito de la Universidad Carlos III de Madrid, Arturo Ribagorda, y la ponencia “Mapfre: gestión integral operativa de la (ciber)seguridad”, a cargo del Security Director Head of Global Control Center-CERT de Mapfre, Daniel Largacha y del COO y PMO para España de Cipher, de Prosegur, Germán Martín. Destacaron el ‘ASA Model’ como ejemplo de inteligencia para predecir posibles amenazas. “La clave para hacerlas frente es actuar con rapidez, gestionar vulnerabilidades y, sobre todo, correlacionar alertas”.

A continuación, José Ramón Coz, GNSS Cyber Internal Auditor (CIA) de la Agencia Espacial Europea (ESA) y Juan Antonio Abánades, Head of GCS Segment Security de GMV, mostraron en primicia los ‘Retos de ciberseguridad en entornos críticos: el segmento de control terreno de Galileo’. “Galileo es un sistema de sistemas y se gestiona a través de más de 500 contratos diferentes y la planificación es fundamental para hacerlo seguro, sin impacta en su operatividad”, recordó Coz. Abánades resaltó la filosofía de la ‘seguridad por diseño’ utilizada por GMV para ser un referente en ciberseguridad en la gestión del segmento de control terreno encargado de supervisar y monitoriza los 26 satélites operativos, así como de proteger la información confidencial.

Vulnerabilidades en motos colaborativas

El segundo bloque, presentado por el Asesor Estratégico de TI de Aenor, Carlos Manuel Fernández Sánchez, comenzó con una conferencia del Gerente de Ciberseguridad en Acciona, Juan Carlos Sánchez, y del Director Estratégico de Entelgy Innotec Security, Enrique Domínguez sobre ‘La ciberseguridad en el servicio Motosharing Acciona Mobility’. En dicho servicio, que cuenta con más de 1.000 motos que se pueden usar a través de una aplicación móvil, es esencial realizar auditorías de seguridad continuas “para dar con vulnerabilidades, gestionarlas de forma automática, y anticiparse a posibles formas de acceder al sistema con una visión holística”.

Saber para prever en IoT sanitarios

A continuación la Jefa del Servicio de Seguridad en la Dirección General de TIC de la Consejería de Hacienda de la Generalitat Valenciana, Carmen Serrano, y la Jefa de Servicio en el Área de Seguridad y Ciberinteligencia de S2 Grupo, Maite Moreno, presentaron su visión sobre cómo se realiza la Integración segura de dispositivos industriales en la Generalitat Valenciana. “Las Administraciones no han sido ajenas a la transformación digital y en ella hemos incorporado la seguridad a través del ENS”, comentó Serrano, que destacó el trabajo de su departamento sobre dos grupos de dispositivos: los de IoT más básicos, sin mecanismos de seguridad de serie, y los dispositivos médicos con un impacto potencial muy alto (ecógrafos, TACs, etc). Para hacerlos seguros se realizó un proyecto con la empresa S2 Grupo, que ha permitido usar una metodología para aplicar medidas de seguridad específicas en función de su criticidad.

La gestión de la identidad en la Administración

Cerró la XXX edición de Securmática un bloque moderado por el Profesor de la Universidad Carlos III de Madrid, Carlos Galán. En él, Santiago Rodríguez, Director del Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social-GISS, y Jacinto Grijalba, Cyber Security Sales Manager de Micro Focus, impartieron una ponencia sobre ‘La seguridad más allá del cumplimiento normativo en la Gerencia de Informática de la Seguridad Social’.“Es un entorno complejo, con sistemas muy distribuidos y todos tienen que cumplir el ENS”, comentó Rodríguez. Micro Focus destacó su trabajo en la gestión de la identidad y el software, implementando también el análisis de comportamiento del usuario y automatizando procesos.

Un SOC para protegerlos a todos

La conferencia de clausura del congreso abordó ‘El Centro de Operaciones de Ciberseguridad para la Administración General del Estado-AGE y fue impartida por el Director de la División de Planificación y Coordinación de Ciberseguridad de la Secretaría General de Administración Digital, Miguel Ángel Amutio, y el Jefe del Área de Normativa y Servicios de Ciberseguridad del CCN, Pablo López. “Su razón de ser es implementar la seguridad y ver cómo somos capaces de tratar los incidentes y gestionarlos”, precisó López, quien además resaltó que “muchas entidades no tienen recursos suficientes en este campo en el que se precisa reducir los tiempos de respuesta”. Para ello, desde el CCN se están usando dos aproximaciones ofreciendo un SOC virtual –vSOC– para las entidades y organismos con menos recursos y el SOC para la Administración General del Estado. “Es fundamental incrementar la vigilancia y monitorización para conseguir una disuasión efectiva”.