VIII Foro de la Ciberseguridad de ISMS Forum

La normativa en ciberseguridad, en el punto de mira: el camino hacia la cooperación

Noticia

ISMS Forum Spain celebró el VIII Foro de la Ciberseguridad el pasado jueves 19 de septiembre de 2019 en el Auditorio Caja de Música del Ayuntamiento de Madrid. Fueron más de 320 profesionales del sector, así como máximos expertos, representantes institucionales y empresas tales como BSA The Software Alliance, ENISA y el Geneve Center for Security Policy (GCSP), los que se reunieron para analizar las principales novedades y tendencias en ciberseguridad del momento

viiiforociber

Gianluca D’Antonio, presidente de ISMS Forum, y Daniel Largacha, director del Centro de Estudios en Ciberseguridad de ISMS Forum (Cyber Security Centre, CSC, en inglés) fueron los encargados de inaugurar el acto y dar paso a la ponencia que inició el encuentro, impartida por Isabelle Roccia, Senior Manager for Policy EMEA (BSA The Software Alliance).

Gianluca D’Antonio (ISMS Forum) y Daniel Largacha (ISMS Forum), respectivamente, durante la sesión de bienvenida.

La experta comenzó hablando del incremento de las vulnerabilidades del software que han llevado a los gobiernos de todo el mundo y a la Comisión Europea a desarrollar cada vez más políticas de ciberseguridad. “En un periodo de 5 años, de 2012 a 2017, el número de vulnerabilidades detectadas en todo el mundo ha aumentado en un 38%”. Como resultado, el coste de los ciberataques se ha incrementado hasta alcanzar una media de 6,4 millones de euros (2018). Para Roccia, las soluciones habituales no son capaces de detectar muchos de estos ataques, por lo que es necesario invertir más tiempo y recursos en crear herramientas y leyes que se focalicen en la ciberseguridad “identificando e interrumpiendo a los actores maliciosos a través de políticas y procesos que sean sostenibles, recíprocos y transparentes", declaró la ponente.

El panorama normativo de la UE, en evolución

La Unión Europea (UE) ha centrado su acción en dos grandes aspectos: la Directiva NIS y el Reglamento General de Protección de Datos (GDPR). La primera fue adoptada en 2016 y transpuesta por casi todos los Estados miembros. “Es posible que la Comisión quiera hacer algunas cosas más a partir de la revisión de su aplicación antes de noviembre de 2020, como examinar la definición de OSE, ya que varía de un Estado miembro a otro, o la necesidad de aclarar más la estructura jerárquica de la Oficina de Evaluación de Impacto Ambiental”, explicó Roccia. Por otro lado, el RGPD, aplicable desde mayo de 2018, establece una base de referencia para las medidas de protección de datos de las organizaciones que procesan datos personales de la UE, dentro y fuera de Europa.

Asimismo, Roccia expuso algunas de las propuestas presentadas en los últimos años que siguen en proceso legislativo de la UE, como la labor del Centro de Competencia de la UE, cuyo objetivo será gestionar los fondos comunitarios y privados de ciberseguridad en el marco del próximo marco financiero plurianual 2021-2027, o el proyecto de legislación Dual-use export controls que representa una desviación del actual régimen de controles internacionales, ya que pretende introducir medidas unilaterales, como una lista de control autónoma de la UE.

Principios para una política eficaz en materia de ciberseguridad

El Marco de Políticas de Ciberseguridad Internacional de BSA The Software Alliance pretende servir como una herramienta para los responsables de la formulación de políticas que consideren la legislación fundacional sobre ciberseguridad y/o examinen las lagunas y carencias de las políticas existentes. Este marco se desarrolla sobre la base de 6 principios generales:

Principios básicos del Marco de Políticas de Ciberseguridad Internacional de BSA The Software Alliance.

La experta concluyó con la presentación del BSA Framework for Secure Software, un marco de control y evaluación encargado de analizar el amplio espectro de lenguajes de codificación, procesos de desarrollo, usos previstos, perfiles de riesgo y soluciones tecnológicas entre los productos de software. Se centra en “cómo mantener la ciberseguridad y el ciclo de vida del software”, en palabras de Roccia.

Isabelle Roccia (BSA The Software Alliance), durante su ponencia en el VIII Foro de la Ciberseguridad.

La primera mesa redonda del día contó con la participación de Carlos Muñoz, Security Advisor (McAfee); José Luis Laguna, Systems Engineer Manager (Fortinet); Samuel Bonete, Country Manager (Netskope); Alberto Cita, Director and Systems Engineer Spain & Portugal (Symantec); Julián Domínguez, Security Advisor (Varonis); David Fuertes, Senior Threat Researcher (Palo Alto); y como moderador Rafael Hernández, CISO de CEPSA y miembro de la Junta Directiva de ISMS Forum.

Durante el debate, todos aportaron su visión sobre el Security Orchestration, Automation and Response (SOAR). Si nos atenemos a la definición de SOAR, hablamos de una plataforma de orquestación y automatización capaz de incorporar hits de inteligencia cuyo objetivo es desarrollar procesos orientados al análisis de riesgo y respuesta a incidentes. Nos permite saber cómo ha ocurrido la amenaza, por qué ha ocurrido y qué medios hay que utilizar para solventarla. También es una forma de automatizar tareas sencillas e incidencias que son muy repetitivas generando una respuesta rápida y ganando en operación, flexibilidad y tiempo. Cuanto más relevante es la operación de seguridad en la empresa, más importante es conseguir escalar en esta seguridad, y conseguir herramientas que nos lo permitan debe ser el objetivo de cada entidad.

Al ser un entorno nuevo, uno de los problemas que se planteó sobre el SOAR es la gran cantidad de recursos internos y servicios profesionales de terceros que necesita para desarrollar su infraestructura, ya que es necesario que las empresas posean el software para poder ejecutarlo. Como consecuencia, muchas de estas entidades carecen de un proceso de formalización de la ciberseguridad que permita implementar esta tecnología y herramientas. Sin embargo, se estima que -aunque el proceso de implementación sea lento- las organizaciones lo terminarán incorporando, puesto que permite recolectar y normalizar la inteligencia proveniente de diferentes fuentes, de los distintos elementos que forman parte de la infraestructura de seguridad de red de la organización, para hacer un trivial automático de playbooks (conjunto de acciones que se deben llevar a cabo para reducir el tiempo necesario para hacer un triaje de una amenaza, responder y contenerla), lo que les lleva a desarrollar una mayor eficacia en la prevención y respuesta a posibles amenazas y, por tanto, a la mejora de sus infraestructuras.

Posteriormente, Paul Fearns, Senior Cloud Security Architect EMEA (Akamai Technologies), lanzó una crítica hacia el gran número de personas que utilizan la misma contraseña para diferentes cuentas de usuario, ya que “si hay un bridge en una web los atacantes pueden coger esa contraseña y reproducirla las veces que quieran”.

Algunos de los sistemas más hackeados tienen que ver con la venta al por menor y las webs en streaming, aunque también podemos destacar los servicios financieros o servicios de seguros. No obstante, cualquiera que tenga una web es susceptible de sufrir este tipo de ataques. “En el primer semestre de este año se lanzaron 1,4 millones de contraseñas en Internet, sin embargo, muchas de ellas son hackeadas incluso sin que nos demos cuenta”, apuntó.

De izquierda a derecha, Rafael Hernández (CEPSA), Carlos Muñoz (McAfee), José Luis Laguna (Fortinet), Samuel Bonete (Netskope), Alberto Cita (Symantec), Julián Domínguez (Varonis) y David Fuertes (Palo Alto).

Inteligencia Artificial para evitar la saturación

En su ponencia Improve visibility with ML/AI for better security control, Frederic Saint-Joigny, Senior Director EMEA Cyber Security (Aruba), expuso los peligros de no contar con un buen control de seguridad que identifique las amenazas ocultas. “Los atacantes son lentos, van con cuidado y cuando ven que no se les detecta empiezan a operar”, comentó el experto. En los últimos años muchas empresas han decidido externalizar sus operaciones de seguridad pasándoselas a un tercero, y es que los productos de seguridad son irregulares – muchas veces como resultado de una mala correlación entre los mismos-, y pueden llegar a saturar al analista generando alertas innecesarias. Por esta razón, resulta esencial el machine learning, ya que automatiza la construcción de modelos analíticos.

ENISA y la Directiva NIS: la cooperación entre países como objetivo

Otra de las intervenciones destacadas del día fue la de Evangelos Ouzounis, Head of Unit, Secure Infrastructures and Services (ENISA). Desde 2008, con la Directiva 2008/114/EC, ENISA ha ido implementando diferentes medidas de crecimiento y actuación en su política con el objetivo de fomentar la ciberseguridad y sus infraestructuras. El experto centró su discurso en una de las más recientes, la Directiva NIS, que es la primera directiva de la UE relacionada con la seguridad de redes y sistemas de información. Gracias a esta normativa, se han podido empoderar figuras como la del CISO, y se encarga -entre otras cosas- de identificar las empresas que cuentan con “infraestructuras críticas” a las que se les aplicarán medidas legales especiales para garantizar su seguridad.

La NIS ayuda a la gestión del intercambio de información eficiente a través de un grupo de cooperación a partir del cual los diferentes Estados miembros se organizan y debaten las buenas prácticas que deben implantar en sus países, aunque no estén obligados a aplicarlas. También elabora “informes de incidentes para operadores de servicios esenciales y proveedores de servicios digitales” que no se centran en la gestión de crisis, sino que se encargan de registrar los problemas y ofrecer información sobre ellos.

“Si los incidentes influyen en más de un país, debemos tratar de identificar y de buscar la cooperación entre ellos para llegar a una solución conjunta” explicó Ouzounis. Grosso modo, las legislaciones derivadas de la Directiva NIS preparan a los Estados miembros para que sean capaces de dar respuesta a incidentes de gran escala, por ejemplo, a través de un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) y una legislación nacional competente en la materia.

Evangelos Ouzounis (ENISA), durante su ponencia en el VIII Foro de la Ciberseguridad.

Ciber resiliencia, holística y segmentación de la ciberseguridad, a debate

La segunda mesa redonda, formada por Óscar Rodríguez, Sales Engineer (Proofpoint); José de la Cruz, Technical Director Iberia (Trend Micro); Víctor García, Iberia Territory Manager (Radware); Diogo Pata, Presales Manger (Cytomic); Stefano Lamonato, Southern Europe Pre Sales Manager (Crowdstrike); Alfonso Barajas, Global Alliances (OneTrust); y moderada por Jesús Mérida, CISO y miembro del Cyber Security Centre de ISMS Forum, trató sobre los Servicios IT y la ciber resiliencia.

Los expertos coincidieron en que la evolución de la nube es clara. La seguridad es compartida y es una responsabilidad del cliente saber qué tipo de seguridad ha elegido y complementarla con otros tipos si es necesario. La inteligencia artificial, por su parte, es muy útil en este sentido, pues le ahorra al cliente la tarea de configurar los dispositivos diariamente. De la misma manera, es conveniente tener un control exhaustivo sobre los permisos que facilitamos a los desarrolladores y qué parámetros permitimos para poder tomar acciones rápidas en caso de un ciberataque ya que, como indicó a su vez José Manuel Canelada (Systems Engineer Manager Southern Europe, Infoblox) durante su ponencia Holistic Threat Intelligence for Digital Transformation, el gran problema de la seguridad es que “solo un pequeño porcentaje de los eventos es detectado, disponemos de centenares de herramientas con diferentes posturas de seguridad, lo que nos lleva a que solo el 4% de estos sean tratados”.

Por su parte, el experto nos habló del concepto de holística, que “no es más que la orquestación de la seguridad, cómo hacer que todos nuestros sistemas trabajen juntos”, pues aun teniendo herramientas de lo más punteras en el mercado “no disponemos de la capacidad necesaria para tratar los eventos de forma coherente, siendo capaces de saber si están interrelacionados y cuáles de estos son más críticos”. El tiempo es el factor más importante, el desarrollo de nuestra estrategia de ciberseguridad tiene que orientarse a dar prioridad a aquellas amenazas que ponen en riesgo nuestra organización. “El problema actual de la ciberseguridad no es parar las amenazas, bloquearlas, es manejar de forma coherente todas las alertas, toda la información de los eventos que se genera” añadió José Manuel.

“La holística nace de la incapacidad para trabajar sobre diferentes niveles y silos, además de la necesidad de evolucionar a un sistema colapsado donde nuestra herramienta de provisión de inteligencia sea capaz de unificar y definir una postura concreta para nuestros indicadores de compromiso, permitiéndonos crear nuestros propios indicadores, y una vez que los tengamos empujar esta inteligencia ya unificada y controlada contra cualquiera de nuestros elementos de seguridad” concluyó.

De izquierda a derecha, Jesús Mérida (ISMS Forum), Óscar Rodríguez (Proofpoint), José de la Cruz (Trend Micro), Víctor García (Radware), Pedro Viñuales (Cytomic), Stefano Lamonato (Crowdstrike), Alfonso Barajas (OneTrust).

Por otra parte, Avishag Daniely, director of Product Management (Guardicore), nos puso un ejemplo práctico durante su intervención bajo el título Learn how segmentation can be simplified in multi and hybrid cloud environments – Real life cases, sobre la botnet “Smominru”. Se trata de un malware que mina la moneda criptográfica Monero y roba credenciales propagándose a gran velocidad. En menos de un mes alcanzó a más de 5.000 empresas, de las cuales más de 450 eran españolas.

“Los ataques podían haberse prevenido mediante la segmentación, ya que las redes eran demasiado planas”, afirmó Daniely. La segmentación ayuda a blindar las diferentes áreas para que no exista una conexión cruzada o infección lateral que consiga infectar toda nuestra red. Al no haber segmentación, los atacantes se desplazaron lateralmente infectando los dispositivos y recabando toda la información. “El 25% de los sistemas se volvieron a infectar de nuevo más tarde.  Hay que limpiar correctamente el sistema para que no se reinfecte e impedir que el atacante vuelva a ser una amenaza”, concluyó Avishag Daniely.

“La ciberinteligencia hace que sea muy fácil la ciberdelincuencia, si alguien nos quiere atacar lo puede hacer de manera inmediata, ya que nosotros damos nuestra información porque necesitamos utilizar diversos servicios, el problema viene cuando terceros utilizan esa información para su beneficio”, explicó Pertti Jalasvirta, Associate Fellow, Geneve Center for Security Policy (GCSP).

Según datos aportados por el experto, en 2019 el gasto global producido por la cibercriminalidad ha sido de 1,2 trillones de dólares, pero debido al exponencial aumento del negocio de la cibercriminalidad, se estima que en 2024 pasarán a ser 5,2 trillones de dólares los que se gastarán en prevenir y solventar estos ataques. “¿Cómo podemos ser líderes en este campo? Estudiando las vulnerabilidades en la parte técnica, procedimientos y personas” aseguró Jalasvirta, así como prestando atención a la estrategia política global, ya que tiene repercusión inmediata en el ciber mundo. En esta línea, el ponente insistió mucho en un elemento muy clave de la ecuación, y es que “no importa cuánto se invierta en tecnología, donde hay que invertir es en la formación del personal”.

Pertti Jalasvirta (GCSP), durante su ponencia en el VIII Foro de la Ciberseguridad.

La aplicabilidad de la normativa en España: qué se debe tener en cuenta

La mesa redonda que dio cierre al VIII Foro de la Ciberseguridad estuvo formada por Francisco Lázaro, CISO y DPO (Renfe) y miembro de la Junta Directiva de ISMS Forum; Elena Matilla, CISO (REE); José Ramón Monleón, CISO (Orange) y miembro de la Junta Directiva de ISMS Forum; y Fanny Y. Pérez, CISO (Liberbank), en la que se trató la ENS, la NIS y la gestión de riesgos de terceros.

El debate se centró en la propuesta que ISMS Forum realizó en el marco de la consulta pública del “Proyecto de Real Decreto por el que se desarrolla el Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información”, en la que se considera la extensión de la colaboración de CSIRTs Nacionales (públicos y privados) mediante la inclusión de las capacidades del CSIRT.ES, o la involucración de los proveedores de servicios de la cadena de suministro con las obligaciones del operador en aquellos servicios afectados por el reglamento. “No podemos ser resilientes y garantizar la prestación del servicio si nuestros prestadores no tienen la ciberseguridad por defecto en diseño y nos prestan los servicios con los mínimos requisitos de seguridad que nos exigen a nosotros”, apuntó Elena Matilla.

También se habló de otro de los apartados del Real Decreto en relación a la supresión de los criterios geográficos para la determinación de la severidad de un incidente de seguridad, donde Francisco Lázaro destacó la importancia de la flexibilidad en la integración del reglamento. “Tenemos que ser flexibles al principio, hasta llegar a un periodo en el que nos podamos cohesionar correctamente para reportar los mismos incidentes en la misma tipología y con la misma criticidad, y así poder compartir y recibir estas informaciones de otras partes para autoprotegernos.” Por su parte, Fanny Y. Pérez defendió la propuesta de “reforzar los temas de colaboración a través de CERT, para poder compartir los incidentes que nos afectan desde el punto de vista de bases de datos de conocimiento”.

Otro de los puntos importantes que figuran en este documento es la “designación por capacidad”, que consiste en formar al Responsable de Seguridad de la Información en la actividad sobre la que va a ser responsable, así como establecer la relación que este debe tener con el Director de Seguridad. Lázaro destacó la importancia de este apartado, ya que “el CISO deber tener unas funciones acotadas y reconocidas, sabiendo cuál es su campo de actuación”, señaló.

“Hay muy poco profesional para toda la necesidad que hay”, afirmó José Ramón Monleón, recordando que todavía existen muchas empresas que no tienen un Responsable de Seguridad de la Información como tal. “Los profesionales deben tener el conocimiento mínimo de ciberseguridad necesario para su actividad profesional.”

Un año más, el VIII Foro de la Ciberseguridad de ISMS Forum se consolidó como uno de los mayores congresos nacionales en el que más de 320 asistentes disfrutaron de debates de alto rango en materia de ciberseguridad.