Ciberseguridad en el Congreso CSTIC 2017: Be Secure

Ciberseguridad

Tras la ronda de ilustrativas sesiones sobre agilidad, transformación y gestión Lean que resumo como personas, personas y personas entra en escena ¡La Ciberseguridad!. Estamos en el Congreso CSTIC 2017 organizado por la Asociación Española de la Calidad (AEC) bajo el lema “Be Agile. Be Digital. Be Secure«.

Todos los asistentes estamos con la ciberseguridad a flor de piel tras los vaivenes de la importante oleada ransomware. Terreno abonado para los ponentes, empezando por Félix Antonio Barrio como Gerente de Industria, Talento y apoyo a la I+D en INCIBE. Un cargo que es toda una declaración de intenciones.

El cambio de orientación de este organismo materializado a finales del año 2014 con la puesta del largo del Instituto Nacional de Ciberseguridad de España, S.A. (INCIBE) nos ofrece el lujo de tener un organismo público de referencia en ciberseguridad. Para que todos tengamos una clara imagen de los beneficios que nos reporta, Félix nos hizo un acertado resumen de su ámbito de actuación:

INCIBE ¿Qué hacemos?

Servicios de ciberseguridad: Concienciación, detección, análisis, respuesta.
Tecnologías de ciberseguridad: Herramientas de detección de ciberdelitos, lucha contra el ciberdelito y el cibercrimen.
Apoyo al desarrollo de la industria, I+D+i y talento: Desarrollo de la industria nacional, fomento de la I+D+i, promoción e identificación de talento.

INCIBE ¿Que hacemos?

Como no puede ser de otra manera, durante toda su intervención Félix nos insiste en los mantras de la seguridad de la información:

Cuidar la configuración y uso del correo electrónico (Decálogo INCIBE)
Concienciación sobre prácticas seguras (Kit concienciación INCIBE)
Procedimientos de mínimo nivel de acceso a los sistemas
Sistema de auditoría/inspección y de copia de seguridad de los equipos

Solidaridad en compartir el conocimiento defensivo en ciberseguridad

Con los números en la mano nos explica que España figura habitualmente entre los cinco países más atacados del mundo, es decir, no lo estamos haciendo mal pero debemos seguir trabajando en consolidar la ciberseguridad mediante la concienciación y la promoción del talento: ¡otra de personas!

INCIBE ¿Cómo te ayudamos con la ciberseguridad?

Internet Segura 4 Kids

Logo is4k – Internet Segura 4 Kids

Internet Segura For Kids (IS4K) es un Centro de Seguridad en Internet para Menores destinado a sensibilizar y asesorar a menores y su entorno para que puedan aprovechar las ventajas de las nuevas tecnologías sin correr riesgos.

Promoción del Talento

INCIBE Eventos promoción cibertalento

Además de las actividades de impulso, como CyberCamp (difusión), CyberEx (maniobras) o el Cybersecurity Summer bootcamp (entrenamiento), también se trabaja en consolidar una red de Centros de Excelencia en ciberseguridad y en impulsar la investigación mediante las Jornadas Nacionales de Investigación en Ciberseguridad.

Protege tu empresa

INICBE Protege tu empresa

Un espacio web en el que tenemos todo el buen saber hacer del INCIBE concentrado y a nuestra disposición.

https://www.incibe.es/protege-tu-empresa

¡Excelente!

A continuación tomó el relevo Jesús Cabrera como CEO en ILIFE Security. Su objetivo fue concienciarnos porque …

TODOS TENEMOS COMPETENCIA,
TODOS SOMOS OBJETIVO.

Para reforzar su mensaje nos diseccionó las motivaciones, modus operandi y consecuencias en torno a Football Leaks. Así, partiendo de una clara motivación económica (en concreto, lucro en bitcoins), Jesús nos detalló que los métodos de ataque empleados fueron cuidadósamente adaptados tras estudiar a su objetivo. Finalmente, una copia de seguridad en el domicilio del CEO de la compañia objetivo fueron los datos atacados, llegando a ellos mediante correos suplantando identidades («phising») enviados justo antes de unos festivos para así tener tiempo para exfiltrar la información utilizando mecanismos de la internet profunda («Deep Web»). Colorin colorado, tus datos han volado.

¿Podemos considerarlo un caso aislado? Pensar que nuestra información no es valiosa para alguien es el mayor y principal error de seguridad.

Visto que parece que tenemos todas las de perder, le tocó a Agustín Solís como responsable de negocio de ciberseguridad en España en Thales Sistemas de Seguridad presentarnos el último bastión a defender:

Datos, el activo a proteger
(a toda costa)

Cuando todos los demás controles han fallado, la última barrera la tenemos que poner en el acceso al dato. Pero además, las nuevas normas europeas para la proteción de datos (GDPR) obligan a las empresas que operen en Europa a adoptar un papel activo en la seguridad de su sistema de información.

Un papel activo significa, por ejemplo, que están obligadas a analizar el riesgo de amenazas conocidas, establecer procedimientos de seguridad, medir la efectividad de las medidas de seguridad adoptadas y, en especial, informar de las brechas de seguridad a todos los potenciales afectados por las mismas.

Estar a la altura de estas obligaciones será muy difícil si no alineamos antes nuestro tratamiento de la información. La medicina preventiva que nos recomienda Agustín Solís es #todocifrado. Así de sencillo, así de exigente.

Sin duda, ayuda nos va a hacer falta. En Thales proponen Vormetric como su respuesta a esta demanda y así nos lo venden:

Cifrado completo fácil de implementar, transparente.
Separación de roles.
Auditoria y registro para análisis forense.
Gestión centralizada de las claves criptográficas.

Tema datos, guardar bajo siete llaves, visto. Centramos ahora la atención en la seguridad en el desarrollo de aplicaciones de software de la mano de Ramiro Carballo como Director en CAELUM. Todo un reto.

BSIMM – Building Security In Maturity Model
Unplugged !

El enfoque de Ramiro es establecer un marco de actividades que orienten el esfuerzo para mejorar la seguridad del producto software entregado. Como partimos de la expectiva de software seguro como valor esperado tenemos que trabajar la seguridad durante la construcción del software porque buscamos mejorar una característica intrínseca, es decir, algo que sucede antes de terminar el producto final (más detalle en calidad rentable de Masa K Maeda).

Para que nuestro esfuerzo no se lo lleve el viento, Ramiro nos propone establecer un nivel objetivo conforme al modelo BSIMM para la Madurez en la Seguridad del Software (Building Security In Maturity Model). Gracias al modelo BSIMM y sus 12 prácticas sabremos dónde estamos y cómo podemos mejorar. ¡Vaya! Una excusa menos.

Como colofón, cuando sintamos que nos falta de oxígeno por la ansiedad de mitigar los riesgos derivados de unas ciberamenazas que pueden llegar a paralizar nuestro negocio tenemos la propuesta de Javier Huergo como Responsable de Aseguramiento en Watch and Act Protection Services.

Frente al cáncer cibernético de nuestro siglo
¡Hazte un ciberseguro!

Según nos desvela Javier Huergo, las empresas españolas pierden en media 1,3 millones de euros anuales en ciberataques. Los activos en riesgo incluyen la reputación de la empresa, su marca o incluso, la usurpación de su identidad. Al igual que cualquier seguro se trata de establecer unas coberturas alineadas con el valor de nuestros activos de negocio.

Una interesante guinda para una intensa ronda sobre Ciberseguridad que vuelve a incidir con fuerza en la necesidad de involucrar a todas las personas de nuestra organización, porque …

La seguridad somos todos.

Finalmente, quiero agradecer a los esforzados de este Congreso AEC CSTIC 2017 tan completa jornada, fruto de su obsesiva (y contagiosa) vocación por la mejora continua en aspectos de Calidad entregada en los Sistemas y las Tecnologías de la Información y las Comunicaciones.

Let’s
“Be Agile. Be Digital. Be Secure»,
my friend.

Congreso CSTIC17

Miguel Ángel Nicolao

Miguel Ángel es CIO, Director de Innovación y co-fundador de Panel Sistemas. Sigue a @mnicolao11 en Twitter, o visita su perfil en Linkedin. También puedes contactar con él vía e-mail en esta dirección.