Programa Securmática 2018 - SEGUNDO MÓDULO - 25 DE ABRIL

09:00h.
Entrega de documentación
 
09:30h.
Modelo de gobierno de ciberseguridad y estrategias de mitigación de riesgos en Everis

Sara Rivera Paredes, Manager de Ciberseguridad responsable de GRC & BC. Everis Aeroespacial & Defensa.
Eduardo García Repiso, CISO. Everis.
Verónica Jiménez Romero, Responsable Nacional de Responsabilidad Civil Profesional y Especialista en Ciberriesgos. AON.

Modelo de gobierno de ciberseguridad y estrategias de mitigación de riesgos en Everis


Módulo: 2
Fecha: miercoles 25 de abril 2018
Hora: 09:30

Sinopsis: El sector tecnológico y de la ciberseguridad también tiene que preocuparse por su negocio y por proteger la información de sus clientes, así como de los productos y servicios que presta a los mismos. La conferencia versará sobre cuáles son los riesgos y amenazas de este sector y cómo Everis combina el gobierno de ciberseguridad con estrategias de mitigación, entre las que se encuentra la contratación de seguros de responsabilidad profesional y ciberseguros.


Ponente: Sara Rivera

Entidad: Everis Aeroespacial & Defensa

Curriculum: Manager de Ciberseguridad responsable de GRC & BC en Everis Aeroespacial & Defensa. Experta en consultoría de Riesgos Tecnológicos y Seguridad de la Información a nivel nacional e internacional. Cuenta con más de 10 años de experiencia en Ciberseguridad en diversos sectores y ha centrado su carrera profesional en el desarrollo de este ámbito ayudando a las principales compañías del país a afrontar sus retos. Su carrera en el campo de la seguridad de la información se inició en el año 2007 liderando diversas iniciativas y proyectos vinculados al gobierno, privacidad, riesgos, cumplimiento, auditoría y concienciación en materia de seguridad de la información. Es Ingeniero Informático e Ingeniero Técnico en Informática de Gestión por la Universidad Pontificia de Salamanca.


Ponente: Eduardo García

Entidad: Everis

Curriculum: Trabaja como CISO en Everis, siendo responsable de la gestión de la estrategia de seguridad de la información, tanto lógica como física, del grupo. Comenzó su carrera profesional ejecutando y liderando proyectos en el ámbito de las operaciones relacionados con el Gobierno IT, para posteriormente, especializarse en la ciberseguridad. Ingeniero en Informática por la Universidad Pontificia de Salamanca, dispone de certificaciones en el ámbito de la seguridad, como: CISA, CISM de ISACA, entre otras.


Ponente: Verónica Jiménez

Entidad: AON

Curriculum: Responsable Nacional de Responsabilidad Civil Profesional y Especialista en Ciberriesgos de Aon. Se incorporó a la compañía en 2009 y ha desarrollado su carrera asesorando sobre riesgos asegurables en el mercado de líneas financieras para empresas del sector tecnológico, industrial e instituciones financieras fundamentalmente. Jiménez Romero es Licenciada en Ciencias Biológicas por la Universidad Complutense de Madrid.

10:00h.
Coloquio
10:05h.
Ferrovial: gestionando la seguridad en flotas de vehículos conectados.

Román Ramírez Giménez, Gerente de Operaciones y Arquitecturas de Seguridad. Dirección Seguridad de la Información. Ferrovial.
Juan Carlos Díaz García, Director de Ciberseguridad en el área Business Security Solutions. PwC.

Ferrovial: gestionando la seguridad en flotas de vehículos conectados


Módulo: 2
Fecha: miércoles 25 de abril 2018
Hora: 10:05

Sinopsis: En la conferencia se analizará la problemática de seguridad que presentan las flotas de vehículos conectados, y se presentará en detalle la experiencia de Zity, el servicio de servicio compartido –carsharing– prestado con flota de vehículos eléctricos por Ferrovial Servicios.


Ponente: Román Ramírez

Entidad: Ferrovial

Curriculum: Gerente de Operaciones y Arquitecturas de Seguridad en la Dirección de Seguridad de la Información en Ferrovial. Tiene una carrera profesional de más de dieciséis años en tecnología y seguridad de la información, a lo largo de los cuales ha desarrollado funciones en empresas tan diversas como eEye Digital Security o PwC, pasando por una etapa como emprendedor con su compañía Chase The Sun. Ramírez es igualmente cofundador y miembro del equipo de dirección del congreso de seguridad técnica Rooted CON.


Ponente: Juan Carlos Díaz

Entidad: PwC

Curriculum: es Director de Ciberseguridad en el área Business Security Solutions de PwC. Lleva más de 13 años dedicado a asesorar y ayudar a compañías de todos los sectores, en múltiples ámbitos de la Seguridad, cubriendo desde la estrategia hasta la ejecución. Es Ingeniero en Informática por la Universidad de Extremadura, y posee las certificaciones de CEH, CISA, CISM, CISSP. Actualmente está focalizado en el desarrollo de negocio, la gestión de proyectos, y la innovación de soluciones y servicios de Ciberseguridad.

10:35h.
Coloquio
10:40h.
Pausa-café
11:15h.
Security Architecture: aplicación práctica para la definición de patrones de seguridad.

Javier Rubio Sanz, Gerente de Gobierno de Seguridad y Continuidad de Negocio. Dirección de Seguridad de la Información. Ferrovial.
Alejandro Rivas-Vásquez González, Director en el área de Ciberseguridad. Responsable de Energía, Industria e Infraestructura. KPMG.

Security Architecture: aplicación práctica para la definición de patrones de seguridad.


Módulo: 2
Fecha: miércoles 25 de abril 2018
Hora: 11:15

Sinopsis: En la seguridad es habitual enfrentarse a cuatro preguntas clave: ¿qué debemos de proteger? ¿por qué? ¿contra quién? y ¿cómo? Las respuestas a las tres últimas preguntas suelen repetirse con matices similares, independientemente del activo que deseamos proteger. Sin embargo, las posibles soluciones no siempre suelen tener en cuenta la eficiencia y la reusabilidad. Atacando esta problemática, Ferrovial y KPMG han desarrollado una aproximación, tomando como referencia el modelo de la Open Security Architecture, con el objetivo final de crear patrones de arquitectura de seguridad. Los patrones son guías visuales y de alto-nivel con una relación dinámica a guías de controles y de configuración más detallados. Esto permite mejorar la comunicación de los requerimientos de seguridad con los equipos de infraestructura, desarrollo cumplimento y auditoría, entre otros”.


Ponente: Javier Rubio

Entidad: Ferrovial

Curriculum: Gerente de Gobierno de Seguridad y Continuidad de Negocio desde agosto de 2012 en la Dirección de Seguridad de la Información de Ferrovial. Ingeniero Informático por la Universidad Pontificia de Salamanca en Madrid, dispone de un Postgrado en Buen Gobierno de las TIC por la Universidad de Deusto y de las certificaciones CISA, CISM, LA y LI 27001 y LA 22301. Su carrera en el campo de la seguridad de la información comenzó en el año 2005 en EY. En 2008 se incorporó a Deloitte, firma en la que llegó a ser el Gerente Responsable del Sector de Infraestructuras. En ambas firmas ha llevado a cabo diversos trabajos e iniciativas en materia de Seguridad de la Información, Gestión de Riesgos y Auditoría TIC.


Ponente: Alejandro Rivas-Vásquez

Entidad: KPMG

Curriculum: Director en el área de Ciberseguridad, responsable de Energía, Industria e Infraestructura en KPMG. Trabajó cerca de 15 años en las oficinas de Londres, asesorando a multinacionales en la cuantificación de riesgo tecnológico y ciber. También ha colaborado con el Gobierno Británico en la concienciación de miembros del consejo de administración del FTSE350 sobre su rol en materia de buen gobierno en ciber, con reconocimiento de Buckingham Palace. Desde su incorporación en Madrid en 2017 ha desarrollado un centro de excelencia enfocado a servicios gestionados de Arquitectura y Desarrollo Seguro, Threat Intelligence para M&A así como investigaciones de brechas de datos.

11:45h.
Coloquio
 
11:50h.
Riesgo-Requisito-Reputación: ciberseguridad en la gestión de infraestructuras críticas, una obligación.

Juan Luis Pozo, CISO y Director de Sostenibilidad Corporativa de Global Omnium.
Rafael Rosell, Director Comercial de S2 Grupo.

Riesgo-Requisito-Reputación: ciberseguridad en la gestión de infraestructuras críticas, una obligación.


Módulo: 2
Fecha: miércoles 25 de abril 2018
Hora: 11:50

Sinopsis: Global Omnium es la principal empresa de capital español dedicada a la Gestión del Ciclo Integral del Agua. Prestadora de servicios públicos básicos y esenciales para la población para el desarrollo sostenible en multitud de ciudades a nivel nacional e internacional –entre ellos desde hace más de 120 años el abastecimiento de la ciudad de Valencia–, en 2013 se convirtió en la primera Compañía en Europa (en cualquier sector) que certificó su modelo de gestión de riesgos para el negocio, convirtiendo la gestión de riesgos en elemento clave en cualquiera de sus procesos de toma de decisiones, por lo que igualmente ha afrontado con la misma filosofía de eficiencia y eficacia, convirtiendo su filosofía 3R en una OBLIGACIÓN en materia de buen gobierno en la gestión de los riesgos de ciberseguridad desde un punto de vista integral y orientado al aporte de valor al negocio. Así, desde hace tiempo, se ha desarrollado con S2 Grupo un ambicioso proyecto de monitorización de la ciberseguridad en los sistemas SCADA y de control industrial en las instalaciones de la compañía. El sistema posee un diseño mínimamente invasivo y no tiene capacidad de bloquear acciones de los operadores de la planta o interferir en el tráfico en las redes. Su concepción es la de un sistema de alertas y su ejecución garantiza que, en ningún caso, se va a introducir tráfico proveniente del exterior en la red de telecontrol. La base del sistema está en la identificación de aquellas situaciones que pueden suponer un riesgo para la infraestructura de control y en su rápida detección, partiendo del conocimiento preciso de la forma en que se explotan este tipo de sistemas. Una característica de la solución de monitorización de S2 Grupo es que permite trabajar con los protocolos industriales, analizando también el payload de los paquetes para identificar el fin de un determinado comando a nivel de la red industrial.


Ponente: Juan Luis Pozo

Entidad: Global Omnium

Curriculum: CISO (Chief Information Security Officer) de Global Omnium. Ingeniero Industrial y consultor experto de Gestión de Riesgos y Sostenibilidad Corporativa, Pozo es igualmente Consultor Senior en Análisis Estratégico de Organizaciones, Desarrollo Comercial y Modelos de Gestión, implantación de Sistemas de Gestión de PRL y de Sistemas de Gestión Ambiental y Auditor Interno de Seguridad Lógica y Física.


Ponente: Rafael Rosell

Entidad: S2 Grupo

Curriculum: Director Comercial de S2 Grupo. Ingeniero Superior Industrial, especialidad eléctrica, por la ETS de la Universidad Politécnica de Valencia, es Máster en gestión internacional de empresas y gestión de la calidad, y PDD por el IESE. Ha formado parte de equipos técnicos de evaluación y venta de proyectos en entornos industriales, y dirigido los equipos de ventas de entornos de ingeniería, como centros de Investigación y Desarrollo de tecnologías avanzadas en ámbitos como el clínico e industrial. Rosell es experto en la dirección de equipos de venta especializados y en el desarrollo de negocios tecnológicos.

12:20h.
Coloquio
12:25h.
Aguas Andinas: Orquestación de la Ciberseguridad Industrial en procesos críticos

Jesús Peña, Gerente de Riesgos y Continuidad de Negocio. Aguas Andinas.
María Taberna, Industrial IoT Cybersecurity Director. Oylo Trust Engineering.
Eduardo Di Monte, CEO de Oylo Trust Engineering & Cybersecurity Board Advisor for Utilities.

Aguas Andinas: Orquestación de la Ciberseguridad Industrial en procesos críticos


Módulo: 2
Fecha: miercoles 25 de abril 2018
Hora: 12:25

Sinopsis: Aguas Andinas tiene un Centro de Control Operativo que gestiona el transporte del agua que afecta a casi 8 millones de habitantes. Existe un alto grado de automatización y complejidad técnica en la gestión del ciclo del agua en Santiago de Chile, debido a sus condiciones meteorológicas. El objetivo de la charla es mostrar cómo se puso en marcha un modelo de detección, protección y orquestación en un ámbito industrial y, a su vez, en un proceso crítico de negocio con afectación directa a la población. En la primera parte de la conferencia se mostrará el modelo tecnológico implementado con una mirada técnica (detección avanzada no invasiva con inspección profunda en protocolos industriales, integración de plataformas, respuesta automatizada y orquestada en IT & OT). Luego, en una segunda parte, se hablará con un sentido estratégico (seguridad por capas, cambio cultural, incremento del riesgo operacional, infraestructura crítica, resiliencia)


Ponente: Jesús Peña

Entidad: Aguas Andinas

Curriculum: Gerente de Riesgos y Continuidad de Negocio en Aguas Andinas. Ingeniero de Telecomunicaciones por la Universidad Politécnica de Madrid, inició su carrera profesional en IBM con la construcción del modelo de servicio de gestión delegada de sistemas para grandes empresas. Desde 2000 formó parte del equipo de Seguridad Informática de Bankinter, donde desarrolló todo tipo de proyectos en el área de seguridad de la información, gestión de riesgos tecnológicos y continuidad de negocio. Actualmente es Gerente de Riesgos y Continuidad de Negocio en Aguas Andinas, la mayor empresa sanitaria de Chile, con dos millones de clientes del servicio de agua potable y depuración. Desde este cargo, es responsable de la gestión corporativa del riesgo, tanto de infraestructura crítica, tecnológico y operacional, siguiendo una estrategia de seguridad integral. Así mismo es responsable de los planes de gestión de desastres y coordinador de emergencias, formando parte del Sistema Nacional de Protección Civil.


Ponente: María Taberna

Entidad: Oylo

Curriculum: Industrial IoT Cybersecurity Director en Oylo Trust Engineering. Ingeniera superior de Telecomunicaciones por la UPC (Cataluña) y especialista en ciberseguridad de Sistemas de Control Industrial & IoT y respuesta ante incidentes. Inició su carrera profesional en global forensics, y actualmente, como Directora de Ciberseguridad Industrial IoT de Oylo Trust Engineering, se centra en el desarrollo de consultoría, diseño, innovación e implementación de medidas de seguridad para sistemas SCI/SCADA en infraestructuras críticas de sectores estratégicos. Dispone de múltiples certificaciones, GCIH, GCIA, Lead Auditor ISO 27001, Lead Implementer ISO 22301 e Implantación 31000. A su vez, colabora con diferentes universidades, instituciones privadas y eventos (UB-IL3, La Salle, ISMS, Netmind, SegurInfo).


Ponente: Eduardo Di Monte

Entidad: Oylo

Curriculum: CEO de Oylo Trust Engineering. Ingeniero en Telecomunicaciones y MBA por el Euro MBA Consortium, es especialista en la ciberseguridad industrial (IoT) y Continuidad de Negocio. Con más de 15 años de experiencia, los últimos 8 años ha dedicado de forma intensa a los aspectos de ciberseguridad en sistemas de automatización y control industrial, en especial de procesos soportados por Infraestructuras Críticas y Esenciales. Esto lo ha combinado con la coordinación de crisis, e implementación de modelos de resiliencia para procesos críticos. Profesor habitual del Instituto de Empresa, Universidad de Barcelona y La Salle. Cuenta con múltiples certificaciones: CSSA (Certified SCADA Security Architect) y Control System Cyber Security Advanced Training (U.S. Department of Homeland Security). A su vez es colaborador habitual en eventos como ponente (España y Sudamérica). En la actualidad es el CEO de Oylo Trust Engineering (http://trustoylo.com/), empresa especializada en Ciberseguridad IoT e Infraestructuras Críticas. A su vez también es CISO & CyberSecurity Board Advisor del sector Utilities.

12:55h.
Coloquio
13:00h.
Acciona: Eficacia en la gestión de vulnerabilidades

Alberto Ruiz, Chief Information Security Officer (CISO) de Acciona.
Juan Carlos Pascual, Jefe de Proyecto de Gestión de Vulnerabilidades en Capgemini.

Acciona: Eficacia en la gestión de vulnerabilidades


Módulo: 2
Fecha: miércoles 25 de abril 2018
Hora: 13:00

Sinopsis: Acciona ha tomado la iniciativa para la implantación de un programa efectivo de gestión y remediación de vulnerabilidades prestando atención a cada uno de los puntos de actuación para conseguir implementar un programa eficaz. A ocho meses del comienzo, los resultados muestran la efectividad del programa y ponen de manifiesto que el control sobre las vulnerabilidades es un punto vital para la prevención de incidentes de ciberseguridad.


Ponente: Alberto Ruiz

Entidad: Acciona

Curriculum: CISO de Acciona. Con anterioridad también lo ha sido en el Grupo MásMóvil (Yoigo, MásMóvil, Pepephone, LlamaYa), Yoigo (Telia Sonera Group), Sanitas y Ericsson. Ingeniero por la UPM, Ruiz cuenta con numerosas certificaciones de ciberseguridad (SANS Institute, CISSP, ITIL; ISO 20000, etc.).


Ponente: Juan Carlos Pascual

Entidad: Capgemini

Curriculum: Consultor Senior en Capgemini y en la actualidad lidera la iniciativa Application Centric Security de esta firma. Titulado en Informática, CISA, CISM, CSSLP y PIC (Deusto Business School), cuenta con más de 20 años de experiencia en Seguridad informática, y experiencia en empresas como IpsCA o Sogeti en puestos de gerencia y técnicos relacionados con la gestión de seguridad y vulnerabilidades, incluyendo la gestión y coordinación de equipos de hacking ético y análisis de vulnerabilidades en aplicaciones. En su desempeño actual trabaja en proyectos nacionales e internacionales relacionados con la incorporación de la seguridad en el diseño y la verificación y validación de la seguridad.

13:30h.
Coloquio
13:35h.
Almuerzo
 
15:30h.
Richemont: mitigando las amenazas de Data Breaches con “inteligencia”.

Jordi Aymerich, Information Security Manager. Richemont.
Gerard Cervelló, Director General de Blueliv.

Richemont: mitigando las amenazas de Data Breaches con “inteligencia”.


Módulo: 2
Fecha: miércoles 25 de abril 2018
Hora: 15:30

Sinopsis: Dada la necesidad del cumplimiento normativo y las acciones y medidas requeridas por el GDPR, en lo referente a Data Breaches, existe una clara estrategia para adelantarse a la amenazas y potenciales problemas mediante el uso de inteligencia. Todo ello, con el objetivo de mitigar posibles daños de imagen, sanciones y reporting a los usuarios afectados, avanzándose a las contramedidas que exige dicha normativa. En esta ponencia, se explicará el uso que realiza la firma internacional Richemont de las capacidades de threat intelligence para complementar las necesidades requeridas por el GDPR


Ponente: Jordi Aymerich

Entidad: Grupo Richemont

Curriculum: Information Security Manager EMEA del Grupo Richemont. Desde hace hace más de 15 años, Aymerich, ingeniero de Telecomunicaciones por la UPC y certificado como CISSP, CISA y CISM ha desempeñado tareas vinculadas con la ciberseguridad en compañías suizas y españolas; entre ellas cabe destacar WiseKey, Solvis y ANCERT, entre otras. Sus especialidades: Gestión y protección de la información, Ciberinteligencia, Firma Electrónica y PKI, Gestión de Identidades y Accesos.


Ponente: Gerard Cervelló

Entidad: Blueliv

Curriculum: Director General de Blueliv. Ingeniero en Telecomunicaciones por la Universidad Politécnica de Cataluña, cuenta con 20 años de experiencia en la industria TIC, con especial foco en criptografía aplicada y ciberseguridad. En su dilatada carrera ha trabajado en varios países, incluyendo Estados Unidos y Emiratos Árabes Unidos, tanto en grandes empresas como Philips, como en start ups como iSOCO o Scytl Secure Electronic Voting, donde ocupó diversas posiciones que permitieron a la compañía dominar el mercado del cibervoto. Cervelló es, además,autor de varios artículos en revistas internacionales, coautor de tres patentes y ha asesorado a varios gobiernos sobre cómo implementar elecciones ciberseguras.

16:00h.
Coloquio
16:05h.
Ciberreserva, el camino de la idea a la realidad

Enrique Cubeiro, Jefe de Operaciones del Mando Conjunto de Ciberdefensa. Ministerio de Defensa.

Ciberreserva, el camino de la idea a la realidad


Módulo: 2
Fecha: miércoles 25 de abril 2018
Hora: 16:05

Sinopsis: Partiendo de un breve viaje virtual a un futuro muy próximo (ficticio, pero plausible), el ponente tratará de justificar la necesidad de la Ciberreserva, explicará de dónde parte la idea y como ha ido evolucionando (desmontando por el camino algunas falsas etiquetas), para finalizar presentando el modelo que propone el Mando Conjunto de Ciberdefensa y los criterios sobre los que debería fundamentarse.


Ponente: Enrique Cubeiro

Entidad: Ministerio de Defensa

Curriculum: Jefe de Operaciones del Mando Conjunto de Ciberdefensa. El Capitán de Navío Enrique Cubeiro nació en Madrid, ingresó en la Armada en el año 1981 y fue promovido a su empleo actual en julio del 2013. A lo largo de su carrera, ha ocupado diversos destinos en la estructura de la Armada, destacando entre ellos el mando de los buques “Bergantín”, “Serviola” y “Patiño”; ha participado en numerosas operaciones, entre las que destacan la operación Sharp Guard para el embargo a la antigua Yugoslavia, Active Endeavour de la OTAN para prevenir el movimiento de terroristas y de armas de destrucción masiva en el Mediterráneo, y, más recientemente, la Operación Atalanta de la Unión Europea para la lucha contra la piratería en el Océano Índico. Durante su mando del buque Patiño en esta última operación, se produjo el apresamiento de los primeros piratas juzgados y condenados en España por el delito de piratería. Cuenta con más de 2000 días de mar. Es Especialista en Comunicaciones, diplomado de Estado Mayor de las Fuerzas Armadas y cuenta con un máster en Ciberdefensa por la Universidad de la Alcalá de Henares. Ha sido Premio Defensa 2002, en la modalidad de Trabajos de Investigación desarrollados por concurrentes a cursos de Altos Estudios Militares por su monografía “Sistemas de mando y Control, una visión histórico-prospectiva” y Premio Álvaro de Bazán en los años 2012 y 2014 por artículos publicados en la Revista General de Marina sobre el reclutamiento de personal y la piratería en Somalia, respectivamente. Desde septiembre del 2013 es el Jefe de Operaciones del Mando Conjunto de Ciberdefensa. En este puesto ha desempeñado puestos de presidente y vocal representado al Ministerio de Defensa en diferentes Grupos de Trabajo interministeriales responsables de desarrollar diversas líneas de acción de la Estrategias Nacionales de Seguridad Marítima y Ciberseguridad.

16:35h.
Coloquio
16:40h.
Fin del segundo módulo
19:30h.
Cena de la Ciberseguridad y entrega de los XV Premios SIC.