NÚMERO 10 - DICIEMBRE 2016

[Link]

PREDICCIONES EN SEGURIDAD
PARA
2017
 SUMARIO CSO ESPAÑA

A FONDO ENTREVISTA EN PRIMERA PERSONA

o Predicciones en seguridad para 2017. o Melchor Sanz, CTO y Director o José Battat, director general
Preventa de HP Inc. de Trend Micro Iberia.

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN o EDITORIAL

S E G U R I DA D E N D I S P O S I T I VO S

o Impresoras subestimadas como plataforma de ataque.

o Melchor Sanz. CTO y Director Preventa de HP Inc.
o Una impresora insegura como puerta de entrada a la infraestructura de red.

C I B E R S E G U R I DA D

o Los dispositivos más hackeables del mercado.

E M PR E N D E D O R E S
o Las start-up de seguridad, algo más que una moda pasajera.

E N T R E V I S TA
o Olof Sandstrom, director de operaciones de Arsys

C I B E R ATAQ U E S
o Factores clave en la seguridad de IoT .

LE G I S L AC I Ó N
o La Inteligencia Artificial hace que los sistemas de seguridad sean más flexibles. o Acuerdo sobre transferencia de datos a [Link]. con fines policiales y judiciales.

DICIEMBRE 2016 | CSO

 @ cso@[Link]
t @CSOspain
CSO ESPAÑA
o [Link]

REDACCIÓN EDITORIAL

Sin seguridad la transformación

Directora:
María José Marzal @ mjmarzal@[Link] t @mjmarzal

Coordinadora editorial:

digital se tambalea
Esther Macías @ emacias@[Link] t @esmacis

Redactores y colaboradores:
Alfonso Casas @ [Link]@[Link] t @acasasIDG

F
Mario Moreno @ [Link]@[Link] t @@mmoret02
Irene Muñoz @ [Link]@[Link] t @IreneMunozVal
Claudia Ortiz-Tallo @ [Link]-tallo@[Link] t @ClauOrtiztallo
Víctor Fernández, Marga Verdú, Reyes Alonso, Eugenio inalizamos un año, el 2016, en hacerse con el preciado botín, los cuales un 25% sus presupuestos destinados a
Ballesteros, Beatriz Sánchez. el que las noticias relaciona- son tecnológicamente más sofisticados. su seguridad, lo que indica un incremen-
Departamento Audiovisual: Juan Márquez y Fran Duarte
das con ciberdelitos, ataques En este sentido, el protagonismo este to de esa concienciación que se echaba
Fotografía: Juan Márquez, Beatriz Garrigós, Pepe Varela
Diseño y producción digital: [Link]
programados, o robo de infor- año se lo ha llevado el ransomware una en falta en la mayoría de las organizacio-
mación han sido una constan- técnica que a simple vista no reviste de nes. Además, no hay que olvidar el as-
PUBLICIDAD
Senior Account Manager: Inma Pérez @ [Link]@[Link]
te. Tanto que las pérdidas que este tipo un gran alarde tecnológico pero que sí pecto regulatorio que en 2017 obligará
Account Manager: Maite Aldaiturriaga @ [Link]@[Link] de actuaciones han ocasionado en las ha puesto a muchas empresas al borde a empresas a hacer públicos los ataques
Account Manager: Sergio Quero @ [Link]@[Link]
empresas españolas asciende a 1,3 mi- de su viabilidad. Las organizaciones cada sufridos lo que puede impactar de for-
ATENCIÓN AL LECTOR llones de euros. Una abultada cantidad vez son ya más conscientes de esta si- ma muy negativa en la reputación de su
@ atencionalcliente@[Link] 902 103 235 / 913 496 789 que ya no permite evitar la inversión en tuación y ya no vale “el a mí no me va a marca. Todo ello indica que 2017 será un
WEB la protección de la empresa. Ya no se pasar” porque seguro que te pasa, ase- año en el que los ciberdelitos continua-
Publicidad online: Miguel Palomero @ mpalomero@[Link] está hablando de actos individuales sino guran los expertos en seguridad. Esta rán en línea ascendente pero también y,
Programación web: Joaquín Hevia @ jhevia@[Link]
de empresas delictivas y mafias organi- situación que podría lastrar el proceso es de esperar, que su negativo impacto
EVENTOS zadas que actúan por dinero. La ciber- de transformación digital ha provocado sea cada vez menor gracias a esa con-
Coordinación: Marta García @ [Link]@[Link]
Organización y logística: Jaime Buitrago @ [Link]@[Link]
delincuencia es un gran negocio. De he- que las organizaciones tomen concien- cienciación por parte de todos y a ese
Event Assistant: Toñi Hernández @ [Link]@[Link] cho, según los últimos datos recogidos cia y contemplen la seguridad como algo incremento en los niveles de inversión
ya mueve más dinero que el tráfico de fundamental y sin la cual la operación en en seguridad.
Grupo editorial IDG Communications
armas o de droga. Ahora, lo que más se el escenario digital es prácticamente im-
Director general: Manuel Pastor María José Marzal
Directora de Eventos: María José Marzal valora por parte de estas mafias son los posible. Tanto es así, que según PWC las
t @mjmarzal
Director de Marketing Services: Julio Benedetti datos personales y sus métodos para empresas españolas han incrementado
Responsable financiero: José Luis Díaz

DICIEMBRE 2016 | CSO

 A fondo CSO ESPAÑA

2017
PREDICCIONES EN SEGURIDAD

PARA
POR TAYLOR ARMERDING | CSO

DICIEMBRE 2016 | CSO

 A fondo CSO ESPAÑA

T
eniendo en cuenta que nadie donde se ofrecen servicios a los clientes.
sabe con certeza lo que va a Aquí están los pronósticos que vere-
pasar de aquí a un mes, ni mos a buen seguro en 2017 en las que
mucho menos en seis meses las hemos congregado básicamente
o un año, hemos recopilado bajo el paraguas de 15 predicciones, por
lo que nos dicen las compañías de segu- supuesto, pero a buen seguro que no
ridad y los analistas para ofrecer una serán las únicas que escuchemos a lo
predicción de lo que nos deparará el largo del nuevo año.
mercado de la seguridad en 2017.
Internet de las cosas maliciosas
Consultando la bola de cristal Los dispositivos IoT abarcan una gran
Una vez más, llegamos a la parte más cantidad de dispositivos, desde medi-
decisiva del año, a pesar de que nadie dores inteligentes, sensores, aparatos
puede predecir con certeza lo que va médicos, automóviles, cámaras y mucho
pasar el próximo mes, y mucho menos más. Ya este año 2016 hemos podido
en seis meses o un año. ver como muchos de ellos han sido re- dado que muchas organizaciones toda- Crimeware a tu servicio
Pero la seguridad no se detiene ni de- clutados como tropas zombis para per- vía no están inspeccionando sus aplica- Hacktivistas novatos y hackers por hobby,
bería de parar a las organizaciones. La petrar ciberataques, dado su elevado ciones más utilizadas para malware, motivados por las referencias de cultura
manera de seguir adelante y garantizar potencial y las pocas medidas de segu- permitiendo todo tipos de ataques como popular y atención mediática, se involu-
la continuidad de los procesos de nego- ridad que son implementadas en el fir- los distribuidos de denegación de ser- crarán cada vez más al juego de delin-
cio pasa inevitablemente por reforzar la mware de los dispositivos, que en mu- vicio (DDoS por sus siglas en inglés), los cuencia cibernética. Dispondrán de he-
seguridad en todos los ámbitos, ya sea chos casos no puede ser ni parcheado virus troyanos, sirviendo como puntos rramientas listas para usar para ataques
a nivel de infraestructura o en la parte ni actualizado. Esto empeorará en 2017 de entrada a redes empresariales para molestos como desfiguración web y es-

“
otros ataques como ransomware y ame- caneos de puerto, además de ataques
nazas persistentes avanzadas. Los ven- más dañinos a través de ataques DDoS
Casi todos los ataques empresariales cedores en el mercado de IoT serán y Ransomware de servicio. Aunque estos
aquellos que puedan codificar sus pro- adversarios no tendrán las habilidades
empiezan con phishing, a pesar de la pias soluciones y securizarlas para ga- para moverse de manera lateral, sus ata-
formación a empleados rantizar que su uso no pone en peligro ques podrán ser muy costosos y causar
a los que los utilicen. daños de grave reputación a las marcas.

DICIEMBRE 2016 | CSO

 A fondo CSO ESPAÑA

corporativo. Respecto a las empresas, las elecciones presidenciales, continua-

tendrán que permitir que su personal rá expandiéndose por todo el mundo.
utilice gadgets portátiles, realidad virtual Los drones serán usados para ciberes-
y dispositivos conectados por IoT dentro pionaje y ataques, empezando con in-
de la red, apoyados por aplicaciones tentos de hackear las señales de drones
cloud y soluciones de este tipo. y abrirán paso a “secuestros de drones”
Así pues, las empresas tendrán que en algunos años. Como ya sucediera en
cambiar sus enfoques de seguridad de 2016 con el incidente Tridente, que se
dispositivos endpoint a usuarios e in- aprovechó de las vulnerabilidades de
formación en todas las aplicaciones y navegadores móviles y el incidente Zero
servicios para protegerse en mejor me- day JPEG de iOS, más campañas de es-
dida contra el ransomware y otros ata- pionaje se dirigirán hacia los móviles,
ques. La denominada Seguridad Cloud beneficiándose de la batalla que enfren-
como servicio reducirá los costes de ta la industria de seguridad para ganar
comprar y mantener los firewalls y el acceso completo a sistemas operadores
DDoS: armas de obstrucción de países enteros, como apoyo a lo que hardware que tradicionalmente era ad- de móviles para análisis forense.
masiva podría ser un ataque militar físico. quirido por las compañías. Sin embar-
La potencia de un ataque DDoS en 2016 go, algunos encontrarán que el riesgo Piratear el voto, la campaña y los
aumentó a niveles alarmantes – subien- Incrementando la nubosidad de los incumplimientos de seguridad candidatos
do de 400Gbps de ancho de banda a Las instituciones financieras han estado significa que decidirán dejar sus datos Es de esperar que se produzcan más
1Tbps o más convirtiéndose como nor- algo lentas en lo que se refiere a adop- “sobre el terreno”. divulgaciones del estilo Wikileaks, de
ma – gracias a miles de dispositivos IoT ción de soluciones cloud. Sin embargo, fotos comprometidas, así como de do-
careciendo de la seguridad más básica. con más reglamentaciones, cumplimien- Espía vs espía cumentos corporativos, a través del
Estos ataques requieren protección es- to, y mejores funciones de seguridad El espionaje cibernético, ya desenfre- hacking SS7 y redes de diámetros que
pecializada que muy pocas organizacio- en el cloud, más empresas ya no van a nado con el robo de propiedad intelec- permitirán la explotación de datos de
nes de todo el mundo pueden propor- poder ignorar sus beneficios, empezarán tual estadounidense por parte de com- ubicaciones y conversaciones de telé-
cionar a día de hoy. Esa potencia será a adquirir cloud de manera masiva en pañías de Oriente y el pirateo de la fonos móviles. El hacking se convertirá
utilizada en algún momento de 2017 sectores clave de su negocio, trasladan- Oficina de Administración de Personal en una técnica común para investigar
para derribar infraestructuras críticas do algunos servicios más allá de lo que de EEUU, además del papel sospechoso a los competidores así como a la con-
e incluso la infraestructura de Internet ha sido hasta ahora el centro de datos de Rusia en su intento de intervenir en tienda de elecciones presidenciales a la

DICIEMBRE 2016 | CSO

 A fondo CSO ESPAÑA

cámara, el senado y el estado. El daño tes abiertas se incrementarán en 2017

a las figuras públicas puede oscilar en- contra sitios web, aplicaciones y dispo-
tre la vergüenza, como el hacking del sitivos IoT.
Comité Democrático Nacional, y el pe-
ligro físico del uso de datos basándose Apostando por la cobertura
en la ubicación, para lanzar un ataque Después de gastar más de 816 mil mi-
físico. La respuesta de EEUU será más llones en tecnología de seguridad a lo
agresiva, para incluir no solo tácticas largo de 2016 según Gartner, y ver que
cibernéticas, sino también medios di- las infracciones continuaban y los ren-
plomáticos, económicos, de aplicación dimientos en soluciones de seguridad
de la ley y otros medios políticos. no fueron lo esperado, las empresas se
darán cuenta que es mejor apostar por
Terrorismo online los seguros. Pero, aunque los asegura-

“
Aquí debemos pensar en modificación dores estarán contentos por el negocio
de semáforos, alteración de redes eléc- que supone, no será fácil garantizar
tricas, así como suministros de agua etc. La debilidad en los estándares de seguridad entornos de seguridad de primer nivel.
– igual no causan daños catastróficos,
pero perturbarán la vida cotidiana del
podría dar lugar a que se produzcan Empezarán a desarrollar programas que
manejan mejor la seguridad básica, ofre-
ciudadano, algo que va en contra de posibles spear-phishing potenciales ciendo incentivos para mejorar la de-
todos los desarrollos y evoluciones que tección y las capacidades de respuestas
esperamos de las nuevas Smart Cities. tas (generalmente conocidas como ban- productividad. Pero los hackers han a incidencias, parecido a los proveedo-
En algunos casos, el daño podrá ser más deras falsas), habrá gran ambigüedad aprendido que las aplicaciones son el res de seguros médicos. Y mientras los
significativo a través del uso de falsifi- sobre la identidad del atacante. punto débil de las defensas de seguridad ataques se hacen más comunes y los
cación de datos. Como respuesta, lo más cibernéticas de la mayoría de las orga- daños más extendidos, algunos asegu-
probable es que veamos acciones ci- Cacería en fuentes abiertas nizaciones, y que las empresas están radores recortarán sus ofertas de res-
bernéticas de represalia por parte de El código abierto se ha convertido en la haciendo un trabajo abismal para ase- ponsabilidad cibernética.
los gobiernos. Pero debido a las dificul- base del desarrollo global de aplicacio- gurar y gestionar sus códigos, aun cuan-
tades de atribución con ciberataques, nes porque reduce los costes, promue- do los parches son desplegados y ac- Como evitar el phising
que son todavía más difíciles gracias al ve la innovación, acelera el tiempo para tualizados. Esto significa que las Que los empleados sean los eslabones
uso extendido de direcciones incorrec- su comercialización e incrementa la vulnerabilidades de tipo exploit de fuen- más débiles de la seguridad ya es de

DICIEMBRE 2016 | CSO

A fondo CSO ESPAÑA

“
El ransomware tenderá a incrementarse,
evolucionarse, ser más furtivo y usar
procesos automáticos para atacar el cloud

gran tradición. Casi todos los ataques como peligrosos. Eso debilitará los es- grandes beneficios para los delincuen- tos – declinará en cuanto un criminal
empresariales empiezan con phishing, tándares de seguridad, conduciendo a tes cibernéticos, ya que las organizacio- de grado menor entre en ese espacio.
a pesar de la formación para empleados posibles spear-phishing potenciales nes entienden que cuesta una pequeña
realizada teniendo en cuenta las mejo- (ataques dirigidos a un grupo concreto fortuna cerrar una operación entera, El largo adiós a la privacidad
res prácticas de seguridad – los emplea- de personas) o programas malware. entonces es más probable que caigan La vigilancia gubernamental es eviden-
dos son humanos entonces siempre a la extorción. Los gusanos de ranso- te que se incrementará y adoptará nue-
serán falibles. Las organizaciones re- Ransomware por todas partes mware también incrementarán – malwa- vas formas más intrusivas, a través del
plantearán la manera que abordan la El ransomware tenderá a incrementar- re que no solo encripta archivos, sino uso de herramientas de rastreo y orien-
ciberseguridad en consecuencia. Aunque se, evolucionarse, ser más furtivo y usar que también deja el código en su lugar tación usados en la publicidad para mo-
tendrán que prestar más atención al automación para atacar el cloud, dis- para garantizar la repetición de nuevos nitorizar cualquier acto de ciberdelin-
incremento de popularidad de certifi- positivos médicos como maquinas IRM, ataques. Sin embargo, la relación de cuencia o terrorismo. Siguiendo los
caciones SSL gratuitas emparejadas con marcapasos cardíacos, infraestructuras confianza entre victimas de ransomwa- pasos del conflicto entre Apple y el FBI,
la iniciativa más reciente de Google de críticas y servidores de misión crítica. re y atacantes – basado en la suposición también habrá ataques incrementados
calificar sitios web exclusivamente HTTP Es un “modelo económico” que genera que el pago permitirá recuperar los da- en la encriptación por parte de agencias

DICIEMBRE 2016 | CSO

A fondo CSO ESPAÑA

de inteligencia, quienes argumentarán ble autenticación por SMS y por e-mail

que las claves de encriptación son ne- también dejará de ser una gran barrera
cesarias para encontrar y enfrentar a para los impostores que suelen crear
los terroristas. 2017 será un año fun- cuentas falsas. Este problema crecerá
damental en el debate sobre la infor- en el 2017, mientras que los anuncian-
mación, privacidad y seguridad. tes y las plataformas de anuncios adop-
tan tecnología más sofisticada, los im-
Caballeros, empiecen sus postores ganan experiencia y mejoran
superficies de ataque sus capacidades de replicar el compor-
Los coches conectados, típicamente tamiento de los usuarios reales.
contienen más de 100 millones de líneas
de códigos. Son cada vez más inteligen- ¿Falta de habilidades? Use la
tes, automatizados y sobre todo, conec- automatización
tados a Internet. Pero los fabricantes Las organizaciones pasarán a adoptar
de coches no saben exactamente que medidas de automatización en sus pro-

“
software está dentro de sus vehículos cesos para que los trabajadores cuali-
porque vienen implementados por ter- ficados no tengan que perder el tiempo
ceros y casi con toda probabilidad, con-
Los incidentes de seguridad en automóviles haciendo tareas mundanas y repetitivas.
tienen componentes de código abierto propiciarán batallas legales sobre la Esto les dará más tiempo a los profe-
con vulnerabilidades de seguridad – un sionales y responsables de sistemas para
ambiente idealizado para los hackers. responsabilidad entre el vendedor de software y el centrarse en lo que verdaderamente
Esto probablemente llevará a un hacking importa. La automatización también
automovilístico a gran escala, que pue-
fabricante del automóvil ayudará a los profesionales a hacer su
de incluir el secuestro de coches para trabajo de una forma más eficaz. Las
hacer chantaje, coches sin conductor dad entre el vendedor de software y online, se convierten en usuarios que notificaciones que recibirán serán me-
siendo hackeados para obtener su ubi- fabricantes de automóviles. compran tu aplicación, inician sesión a nos frecuentes y más relevantes, alivián-
cación y secuestrarlos, vigilancias no menudo, e incluso hacen compras su- doles de diversas tareas manuales como
autorizadas y recopilación de inteligen- Falsificación plantando la identidad de las personas. pueda ser el buscar mensajes relevan-
cia u otras amenazas. Esto conllevará a Los farsantes llevan toda la vida siendo Los sistemas CAPTCHA son cada vez tes entre el océano de avisos y spam
una batalla legal sobre la responsabili- un problema y trasladándolo al entorno menos eficaces, y la verificación de do- que habitualmente se recibe. CSO

DICIEMBRE 2016 | CSO

OPINIÓN CSO ESPAÑA

Percepción y realidad no
dad, ya que el 47% de las empresas espa-
ñolas afirma que esto ha contribuido al
éxito de los ataques.
Estos datos evidencian la importancia

siempre van de la mano

de tener empleados formados en ciber-
seguridad. Casi una de cada cinco empre-
sas (el 19%) admite que estas circunstan-
cias han derivado en un robo de datos

E
grave. Para una completa protección cor-
n los últimos años se ha avan- las empresas españolas encuestadas es porativa, siguen siendo necesarias las
zado mucho en las empresas consciente de que su seguridad se verá medidas de prevención como la seguri-
en cuanto a concienciación so- comprometida y que deben prepararse dad de endpoints, los firewalls y los siste-
bre ciberamenazas, pero no lo para hacer frente a las amenazas. Al mis- mas antispam. Estamos seguros de que
suficiente. El objetivo de una mo tiempo, el 48% reconoce que debe la mayoría de las amenazas de seguridad
auténtica protección TI debe basarse en mejorar su capacidad de respuesta ante pueden combatirse y minimizarse con
integrar a la perfección las áreas de per- estas incidencias con un óptimo análisis tecnologías avanzadas, inteligentes y al-
cepción, la realidad de las amenazas y el general del panorama. En resumen: son tamente eficientes. El resto no requiere
enfoque de seguridad. Según el último conscientes del riesgo pero no están pre- tecnología, sino una nueva mentalidad.
informe sobre seguridad corporativa de paradas para hacerle [Link] la lista de Si se produce un incidente, a pesar de
Kaspersky Lab, las empresas en España amenazas reales y vectores de ataques todas las precauciones, la empresa ha de
admiten que las ciberamenazas son más comunes, los virus, software malicio- contar con la tecnología, la inteligencia y
muy perjudiciales y que una completa so y troyanos sigue prevaleciendo en el los profesionales expertos adecuados
estrategia de ciberseguridad es uno de Top1 debido a que las empresas sufren para reducir los daños. Por supuesto, sin
los principales requisitos para mantener este tipo de incidente con mayor asidui- olvidar lo necesario que es formar en ci-
la compañía, la actividad, la reputación dad. Los ataques o pérdidas a través de berseguridad a toda la plantilla de la em-
y la información a flote. A pesar de la dispositivos móviles siguen siendo un presa, para que no se conviertan en el
rotundidad con la que admiten conocer punto débil en las organizaciones (44%) y agujero por el que los cibercriminales
el peligro, los enfoques generales sobre las acciones imprudentes de los emplea- acceden a la información corporativa por
la ciberseguridad son variables. El 49% de dos también son un agujero de seguri- un descuido o negligencia. CSO

Alfonso Ramírez, director general de Kaspersky Lab Iberia

DICIEMBRE 2016 | CSO

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CSO ESPAÑA

La inteligencia
artificial hace que los
sistemas de seguridad
sean más flexibles
E
stá de moda hablar de ciber- y la ciberdelincuencia ya es uno de los ne-
LOS AVANCES EN EL APRENDIZAJE AUTOMÁTICO ESTÁN HACIENDO QUE LOS seguridad. Por lo que supone, gocios más lucrativos que existen. Ilegal,
por lo que conlleva y por lo tétrico y dañino, pero es la realidad. Una
SISTEMAS DE SEGURIDAD SEAN MÁS FÁCILES DE ENTRENAR Y MÁS FLEXIBLES A que infiere. Aunque, más que realidad que es necesario combatir.
una moda, habría que hablar Últimamente, el aprendizaje automáti-
LA HORA DE HACER FRENTE A CONDICIONES CAMBIANTES, PERO NO TODOS LOS de una necesidad. Como diría un castizo, co y la inteligencia artificial están reci-
no está el horno para bollos. Crece el nú- biendo mucha atención por parte de to-
CASOS DE USO SE BENEFICIAN AL MISMO RITMO. mero de amenazas en la Red, se incre- dos, una expectación que sin duda está
mentan los ataques contra las empresas justificada. Uno de los efectos secunda-

POR MARIA KOROLOV | CSO |

DICIEMBRE 2016 | CSO

 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CSO ESPAÑA

La importancia de la seguridad cognitiva

rios es que ahora se está reetiquetando factores que se descartan por ser me-
casi todo como “aprendizaje automáti- nores o irrelevantes. “Descartamos la
co”, por lo que es muy difícil definir el mayoría de los datos”, afirma.
término. Igual que la palabra “nube” ha El IBM Institute for Business Value ha entrevistado recientemente a más de 700 Deep Instinct entrena al sistema de
llegado a significar prácticamente cual- profesionales de la seguridad para evaluar las perspectivas sobre los desafíos, be- aprendizaje profundo, en el laboratorio,
quier cosa que pase online, la etiqueta neficios y oportunidades para las tecnologías de seguridad cognitiva. Casi el 60% de para que reconozca todas las muestras
“inteligencia artificial” está llegando al los encuestados confía en que las tecnologías cognitivas madurarán lo bastante conocidas de malware.
punto de aplicarse a casi cualquier cosa pronto como para frenar significativamente a los ciberdelincuentes en un futuro El proceso lleva solo un día, comenta,
que incluya un ordenador. cercano. Mientras que solo el 7% dijo que sus organizaciones están actualmente en pero necesita unidades de procesamien-
“Hay mucho bombo publicitario”, expli- proceso de implementar soluciones de seguridad cognitiva, el 21% manifestó que to gráfico de gran potencia para analizar
ca Anand Rao, jefe de innovación de ana- implementaría estas soluciones en el período de los 2 o 3 años próximos, lo que los datos.
líticas de EE. UU. en Pricewaterhouse- representa un aumento de 3 veces en la tasa de adopción. El sistema entrenado resultante tiene
Coopers LLC. “La gente habla de que la Los profesionales de seguridad consideran que las tecnologías cognitivas, por un un tamaño aproximado de un gigabyte,
IA se está haciendo súper inteligente y lado, mejorarán la detección de las amenazas y por otro, optimizarán las capacida- demasiado para la mayoría de aplicacio-
tomará las riendas de la humanidad y las des de reacción ante incidentes (un 40 % de los encuestados) puesto que en la ac- nes, pero la empresa lo reduce a unos 20
decisiones humanas y demás”. tualidad las organizaciones tardan una media de 201 días en identificar y una media megabytes. Entonces se puede instalar
Una de las tareas de seguridad más co- de 70 días para contenerlas. en cualquier dispositivo de punto final,
munes es determinar si las aplicaciones como los móviles, y puede analizar las
recién descargadas o instaladas son ma- amenazas entrantes en unos milisegun-
liciosas. El enfoque tradicional es un sis- La startup Deep Instinct está intentan- llegado en seguida a la visión sobrehu- dos, incluso en una máquina muy lenta.
tema experto muy básico: ¿La firma de do aplicar técnicas de aprendizaje pro- mana. Y el reconocimiento de voz, ¿por “Un archivo medio de un megabyte tar-
la aplicación encaja con algún malware fundo al problema, aprovechando que qué no iba a funcionar en el ámbito de da menos de un milisegundo”, afirma
conocido? ahora mismo hay cerca de 1 billón de la ciberseguridad?”. David. “La parte compleja tiene lugar en
La desventaja de este enfoque antivirus muestras de malware conocido que se No obstante, incluso un sistema de nuestro laboratorio con una infraestruc-
estándar es que se tiene que actualizar pueden utilizar para propósitos de entre- aprendizaje automático basado en pro- tura realmente sofisticada, lo que llega
constantemente a medida que va apare- namiento. babilidades es limitado, explica. El nú- al cliente es un cerebro muy pequeño.
ciendo nuevo malware, así que es muy “El aprendizaje profundo ha revolucio- mero de factores que pueden ser iden- No ve toda esa complejidad”.
frágil. Un malware con un par de modifi- nado muchas áreas”, explica Eli David, tificados, sopesados y ajustados por los Mientras tanto, en el laboratorio, van
caciones menores puede pasar desaper- CTO de la empresa. “La visión artificial ha expertos para conseguir resultados añadiendo nuevas muestras de malware
cibido fácilmente. mejorado en un 20% o 30% al año y ha óptimos es limitado. Hay infinidad de a la colección de datos y cada tres o cua-

DICIEMBRE 2016 | CSO

 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CSO ESPAÑA

tro meses envían una actualización a to- al dirigirlo a datos físicos, Eureqa fue
dos esos cerebros que están trabajando capaz de redescubrir las leyes de New-
en los dispositivos de punto final. ton, explica Michael Schmidt, fundador
“Aunque el cerebro no se actualice du- y CTO de la empresa.
rante seis meses, sigue detectando archi- “Encuentra la manera más sencilla y
vos nuevos”, explica David. “Al aprendi- elegante de describir qué pasa y cuál
zaje profundo se le da muy bien ser es la relación”, aclara.
agnóstico respecto a los cambios o mu- La empresa ha puesto su motor a
taciones nuevas”. disposición de investigadores de ma-
La mayoría de los millones de muestras nera gratuita y ya ha sido útil para más
de malware que aparecen cada día son de 500 publicaciones, nos explica. Por
pequeñas mutaciones de malware ya ejemplo, en medicina ha ayudado a
existente. definir nuevos modelos para ayudar
“Incluso los malwares más nuevos de en el diagnóstico de enfermedades
agentes de amenazas avanzados o esta- como la degeneración macular y la
dos nacionales son un 80% similares a apendicitis.
otros más antiguos”, comenta David.
“Los métodos tradicionales no los detec-
“Una de las aplicaciones de IA de la UE es Y también es útil para ciberseguridad,
comenta.
tan, pero el aprendizaje profundo los de- averiguar automáticamente la anatomía de “Uno de los problemas más complica-
tecta perfectamente”. un ciberataque” dos es averiguar la anatomía de un ci-
La empresa está trabajando con labo- berataque”, afirma. “Una de las aplica-
ratorios de pruebas independientes para ciones de la IA de Eureqa es llevar a
cuantificar los resultados. Las primeras que utilizaban se había actualizado esa nuevos es que pueden dar una res- cabo ese proceso automáticamente”.
pruebas con clientes de la lista Fortune misma mañana, la nuestra tenía dos me- puesta, pero no saber cómo han lle- En cuanto el cliente se registra en el
500 demostraron que detecta entre un ses. Nuestra solución detectó el 99,9%, gado a ella. No obstante, no es siem- sistema basado en la nube, tarda una
20% y un 30% más de malware en com- la otra solo el 40%”. pre el caso. hora en revisar los datos y después da
paración con otras soluciones. De hecho, el principal trabajo de Eu- una respuesta rápidamente.
“Hace poco hicimos una prueba con Buscando las razones reqa, un motor de IA propiedad de Nu- “Hemos podido reproducir resultados
100.000 archivos en un importante ban- Uno de los inconvenientes de los sis- tonian, es encontrar explicaciones a que tardaron en conseguir meses o
co estadounidense”, explica. “La solución temas de aprendizaje profundo más por qué pasan las cosas. Por ejemplo, años en cuestión de minutos”, añade.

DICIEMBRE 2016 | CSO

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CSO ESPAÑA

Entrenamiento local y global zaciones regulares, los sistemas se ciones. Los clientes cambian sus hábi- siguiente actualización”, advierte Mike Stu-
En ciberseguridad, es importante que vuelven obsoletos porque los humanos tos de compra. Y, por supuesto, los te, científico jefe de la empresa de redes
los sistemas de aprendizaje automáti- siempre están creando cosas nuevas. hackers inventan malware nuevo dise- gestionadas Masergy Communications.
co se actualicen regularmente porque Los empleados hacen cosas nuevas. ñado para burlar los sistemas existen- Una de las posibles soluciones, según
todo cambia muy rápido. Sin actuali- Los proveedores modifican sus aplica- tes. Así que hay una ventana de vulne- él, es alejarse del enfoque genérico que
rabilidad hasta que sale la siguiente utilizan muchos proveedores de siste-
actualización. mas de seguridad.
Los delincuentes pueden comprar co- “Podemos trabajar con los patrones lo-
En ciberseguridad, es importante que los pias de los softwares de seguridad y po- cales, los patrones de los socios y los pa-
sistemas de aprendizaje automático se ner a prueba sus ataques hasta encon-
trar algo que funcione.
trones de toda la industria y actualizarlos
a diferentes ritmos”, comenta.
actualicen regularmente “Después pueden utilizar eso en todos los Masergy utiliza un cierto número de
clientes del proveedor hasta que salga la factores globales para encontrar la pro-

DICIEMBRE 2016 | CSO

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CSO ESPAÑA

babilidad de que esté sucediendo algo el modelo local, no tengo que compri- nuestro motor se le da muy bien estu- les, pero los datos únicos específicos de
sospechoso y después los combina con mirlo todo al conjunto de características diar un fragmento de código y decir: ‘Este cada cliente no se comparten con el res-
indicadores locales únicos. más reducido”. Además, eso permite fragmento de código no contiene las ca- to del sistema.
Un sistema global tiene en cuenta un ser más específico y mucho más exac- racterísticas esperadas de un código be- Eso hace que cada implementación
número limitado de entradas, asegura. to, asegura. Acuity Solutions, fabrican- nigno’”, explica Kris Lovejoy, CEO de Acui- del producto sea ligeramente distinta,
“El espacio no es infinito. Yo busco las te del dispositivo BluVector que utiliza ty. Después, el sistema va incorporando personalizada para cada uno de los
características que aparecen con más aprendizaje automático para detectar aprendizajes nuevos de los clientes. clientes. Incluso aunque el atacante
frecuencia”. ciberamenazas, combina también los “Entrenamos el motor antes de dárselo comprase una copia del sistema y en-
enfoques global y local. al cliente y a partir de ese punto es como contrase el código que lo burla, no po-
Perdidos en las nubes: Sus datos Basado en un programa de investiga- si hubiese abandonado el nido. Sigue dría hacer gran cosa.
privados han sido indexados por ción avanzada de las agencias guberna- aprendiendo dentro del entorno del “Es una defensa móvil a la que es impo-
Google mentales estadounidenses, el sistema cliente”, explica. sible aplicar ingeniería inversa porque
El enfoque local adicional permite aña- comienza con años de software bueno y El motor principal recibe actualizacio- estas tecnologías son específicas de su
dir muchas más entradas, explica. “En aprende cómo es el código benigno. “A nes trimestrales basadas en datos globa- entorno”, afirma Lovejoy. CSO

DICIEMBRE 2016 | CSO

OPINIÓN Powered by CSO ESPAÑA

El Internet
de las Cosas…
infectadas
E
l Internet de las Cosas es un ligente no lo es por estar conectada. Sería El mercado aún no está maduro y el nú- ra que los aviones lleguen a tiempo y no
tema de actualidad que está un electrodoméstico genial si hiciese que mero de fabricantes que ofrecen objetos choquen en el aire, etc. También hace
en boca de todos. Hemos vivi- la ropa saliera más limpia, o si detectara conectados seguros es aún reducido. que los servicios de emergencia funcio-
do unos años en los que la automáticamente si es blanca o de color El precedente del Internet de las Cosas nen e incluso garantiza que el tráfico flu-
lista de objetos conectados y, sobre todo, si supiese eliminar todas fue el ICS, el Sistema de Controles Indus- ya sin problemas.
incluía desde electrodomésticos hasta las manchas. Antes de conectar, debería- triales. Forma parte de nuestro día a día, ICS constituye la columna vertebral de
prendas textiles. La conexión parece ser mos analizar qué valor aporta. aunque la mayoría de las veces ni siquie- la economía, la seguridad y la salud de
la clave y el reto es añadir elementos en Tenemos que tener presente que esa ra somos conscientes: suministra el agua nuestro país. El problema a la hora de
el ecosistema del IoT, pero… ¿de verdad conectividad lleva de la mano unos ries- cuando abrimos el grifo, enciende nues- garantizar su seguridad es cómo y cuán-
necesitamos Internet en todo? gos de seguridad que hay que evaluar. tras luces y aparatos electrónicos, asegu- do se diseñaron estos sistemas. Muchos
Como reflexión personal basada en mi Muchos de los dispositivos carecen de
experiencia con las tareas domésticas, sistemas de seguridad tan básicos como
diría que, por ejemplo, una lavadora inte- un nombre de usuario y una contraseña. “Conexión sí, pero no a cualquier precio”
Mario García, director general de Check Point para España y Portugal

DICIEMBRE 2016 | CSO

 OPINIÓN CSO ESPAÑA

de ellos utilizan sistemas operativos an- los archivos puedan recuperarse. seguridad casi siempre se deja en segun-
tiguos que ya no reciben soporte o son El ataque al ferrocarril municipal de San do plano. El foco es la innovación y los
incompatibles con las nuevas soluciones Francisco es otro ejemplo de lo frágiles hackers no están en la ecuación.
de seguridad, como Windows 2000, Win- que son nuestras vidas diarias cuando el Y de nuevo no es ciencia ficción, no ha-
dows XP o DOS. También utilizan peque- malware se mueve del mundo virtual al blamos solo de hechos futuribles. El pri-
ños ordenadores dedicados, llamados mundo físico. mer ataque contra objetos conectados
PLC. Estos terminales tienen protocolos En este caso, los atacantes dijeron que ya ha sucedido. A principios de octubre,
especiales que no fueron diseñados pen- en ningún momento trataron de obte- se lanzó un ataque DDoS masivo contra
sando en su protección y, por lo tanto, ner el control de las operaciones del un gran número de sitios web a través
son vulnerables. tren. Pero ¿y si lo hicieran? ¿Qué habría de dispositivos IoT hackeados, como cá-
Por desgracia, esto no es solo un hecho pasado si un tren lleno de pasajeros maras de video y grabadoras de video
que se quede sobre el papel. Sin irnos asustados se hubiera convertido en el digital. Grandes empresas como Ama-
muy lejos en el tiempo, el mes pasado rehén de los hackers? zon o Twitter vieron cómo su servicio se
hemos vivido un hackeo contra ICS como El caso es que este ataque no es una caía sin poder evitarlo.
el de San Francisco. También hemos vis- novedad. En 2008 un caso similar ocu- No podemos permitirnos dejar la pro-
to cómo los clientes del ferrocarril muni- rrió en la ciudad de Lodz, en Polonia. tección “para una fase posterior”. La
cipal viajaron gratis después de que un Un adolescente convirtió el sistema de ciberseguridad debe ser una parte
ransomware infectara el sistema de pa- tranvías de la ciudad en su propio tren esencial de cualquier nuevo dispositivo
gos, gestionado por un ordenador con personal, provocando caos y descarri- que entre en el mercado. Tanto el ICS
Windows 2000. El presunto ataque bus- lando cuatro vehículos en el proceso. como el IoT deben estar un paso por
caba conseguir 73.000 dólares como res- Doce personas resultaron heridas en delante de los ciberdelincuentes, ya
cate por los datos robados. uno de los incidentes. que ya no solo nuestra vida virtual está
El portavoz de la Autoridad de Tránsito ¿Y qué tiene que ver el Internet de las en riesgo, sino también la real. Cone-
Municipal de San Francisco (SFMTA) de- Cosas con todo esto? Pues que en el xión sí, pero no a cualquier precio. CSO
claró que no consideraron en ningún mo- mundo de la ciberseguridad, como en el
mento pagar el rescate. Los especialistas “analógico”, la historia tiende a repetirse.
en ciberseguridad siempre recomenda- Al igual que las ICS, los dispositivos co- “Los dispositivos conectados no están
mos no hacerlo, ya que así se incita a los nectados no están diseñados para resis-
ciberdelincuentes a continuar con sus tir un ciberataque. En el ajustado calen- diseñados para resistir un ciberataque”
actividades. Además, no es seguro que dario de lanzamiento de producto, la

DICIEMBRE 2016 | CSO

 SEGURIDAD EN DISPOSITIVOS DE IMPRESIÓNS E G U R I D A D EN DISPOSITIVOS CSO ESPAÑA

IMPRESORAS
SUBESTIMADAS COMO PLATAFORMA DE ATAQUE

¿DE VERDAD SIGUES PENSANDO QUE ESA VIEJA

IMPRESORA DEL RINCÓN, ABANDONADA Y LLENA DE

POLVO, NO ES UN PELIGRO PARA LA EMPRESA?

POR JOSH BRANDON, CSO

DICIEMBRE 2016 | CSO

 SEGURIDAD
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN DISPOSITIVOS CSO ESPAÑA

Abandonadas en una esquina de la ofi- empresas atacadas en unos costes

cina; algunas de ellas incluso cogiendo medios de 133.800 dólares anuales.
polvo. Y sin embargo, una impresora es
una legítima y verdadera plataforma de ¿Por qué la amenaza
ataque. Muchas compañías no se preo- es tan seria?
cupan de actualizar el firmware de los Como ocurre con cualquier vulnerabili-
modelos antiguos, o no incluyen a todas dad, una impresora cabe en la franja de
las impresoras en las auditorías de se- dispositivos a los que no les prestamos
guridad (como por ejemplo aquella ol- demasiada atención. A menudo no se
vidada en el despacho del CEO). Son cierran los accesos a una impresa que
muchas las organizaciones que piensan está desactualizada y que funciona aún
que un hacker no se tomará la molestia bajo el firmware original que el fabrican-
de atacar a una simple impresora de in- te instaló. Según palabras de Chris Vickery,
yección de tinta que apenas tiene una un hacker de sombrero blanco y analis-
simple conectividad wifi. ta de seguridad en MacKeeper, “las im- el business Inteligence de la empresa. adicional en los sectores financieros y
Pues según analistas de seguridad presoras pueden parecer inocuas; pero Arianna Valentini, investigadora de se- de sanidad. En dichos sectores con re-
consultados por CSO, sí son lo suficien- no debemos olvidar que no dejan de ser guridad en IDC, asevera que además de gulaciones de seguridad tremendamen-
temente interesantes para los hackers. mini ordenadores con un gran potencial. los propios hackeos realizados en la im- te estrictas, una impresora tiene el mis-
Porque precisamente una impresora, al Tomar el control de una impresora den- presora, otro gran problema de seguri- mo riesgo que un PC.
parecer tan inocua, es justamente el tro de una organización puede ofrecer dad son los documentos que se olvidan Todos los expertos consultados afir-
motivo por el que suele ser un disposi- un punto de acceso para futuros ataques en la impresora una vez impresos. Mu- man que los problemas de seguridad de
tivo potencial para el atacante. y una posición sobre la que pivotar den- chos modelos antiguos no requieren la las impresoras son comunes en todas
Algunas veces el mejor vector de ata- tro de la red interna de la empresa”. introducción de contraseña para impri- las grandes marcas. Hay un problema
que para un hacker es aquél que me- Los ataques más peligrosos son preci- mir y es bastante habitual que alguien extendido de las viejas impresoras de
nos sospechas levanta. En cualquier samente aquellos en los que el atacante mande algo a imprimir y luego olvide Canon, Xerox, HP y muchos otros que
caso, un reciente estudio de IDC reve- logra el acceso a la intranet a través de recogerlo. Esto facilita en gran medida únicamente emplean el firmware origi-
ló que el 35% de las brechas de segu- la impresora. Otro ataque común es la el robo de secretos corporativos. nal o que no usan contraseña para im-
ridad que se producen en las oficinas captura de todos los documentos que Lawrence Pingree, investigador de se- primir a pesar de estar conectadas a la
son a través de una impresora o siste- han sido enviados a la impresora, lo que guridad de Gartner, afirma que las im- red corporativa vía LAN o wifi. Vickery
ma multifunción, repercutiendo a las podría ser un verdadero problema para presoras conllevan además un peligro mencionó que los frecuentes informes

DICIEMBRE 2016 | CSO

 SEGURIDAD
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN DISPOSITIVOS CSO ESPAÑA

sobre fallos de seguridad en las impre- administrador, debes hacer login como dicha cuenta, (así como la configura- menzado a implementar avanzadas op-
soras de HP pudieran estar más relacio- supervisor sin contraseña. En este punto, ción inicial del administrador) son am- ciones de seguridad de las que carecen
nados con la gran proliferación de im- se puede cambiar la contraseña del ad- pliamente conocidos y aparecen en el los modelos de años anteriores. Por
presoras de este fabricante, que con ministrador principal. Una vez que tienes manual de usuario. Ricoh afirma que ejemplo, las nuevas impresoras HP Pa-
fallos por encima de lo habitual. En cual- acceso para ver la cuenta del administra- los clientes son informados claramen- geWide emplean una nueva tecnología
quier caso, según Pingree de Gartner, dor, puedes entonces cambiar el firmwa- te en el manual sobre lo que deben denominada SureStar que detecta si la
HP está incrementando las medidas de re e instalar, por ejemplo, un firmare con configurar en la cuenta del administra- impresora está haciendo el reinicio uti-
seguridad de sus impresoras para evitar un Troyano para tomar el control de lo dor y del supervisor en los procesos de lizando la BIOS correcta. La propiedad
potenciales ataques de hacker a las or- que va a hacer el dispositivo. instalación. HP WhiteListing permite chequear que
ganizaciones. Poco después de que está informa- Es muy fácil sugerir una última reco- el firmware no ha sido hackeado. “Espe-
Vickery afirma que hay una nueva vul- ción salió a la luz, Ricoh se puso en mendación de seguridad: reemplaza las ramos seguir viendo lanzamientos de
nerabilidad en las impresoras Ricoh oca- contacto con CSO para rebatir los co- viejas impresoras por nuevos modelos dispositivos de fabricantes que se to-
sionadas por una puerta trasera de ac- mentarios de Vickery. Según Ricoh, ca- dotados de mayor protección. Según man muy en serio la seguridad y lo cier-
ceso en la cuenta del Administrador de talogar de puerta trasera la cuenta del Valentini de IDC, es en los últimos seis to es que lo vemos cada vez más” afirma
la impresora. Para utilizar la cuenta del supervisor no es algo acertado, ya que meses cuando los fabricantes han co- la consultora IDC. CSO

DICIEMBRE 2016 | CSO

EN PRIMERA PERSONA SEGURIDAD EN DISPOSITIVOS CSO ESPAÑA

MELCHOR SANZ. CTO Y DIRECTOR PREVENTA DE HP INC.

“Tecnológicamente estamos
dos años por delante de
nuestra competencia”
La seguridad se ha convertido en la ¿Cuál es el motivo por el que se están
principal preocupación en todo tipo de incrementando los ciberdelitos?
organizaciones. Los delitos en este Algo muy sencillo, los ciberdelincuen-
sentido registran incrementos año tes están robando la primera parte: la
tras año. ¿Cuáles son según su opinión identidad. El proceso es capturar los
los puntos imprescindibles que deben datos de usuario y contraseña y des-
abordarse en cualquier política de se- pués lo envían a un tercero. Esto es lo
guridad? que hacen normalmente y afecta a las
Básicamente los podemos englobar aplicaciones. No solo esto, en este
en tres puntos fundamentales: la proceso también se puede capturar el
identidad, el dato y el emisor de to- dato, documentos confidenciales de
dos esos datos. cualquier usuario.

MARÍA JOSÉ MARZAL

DICIEMBRE 2016 | CSO

EN PRIMERA PERSONA SEGURIDAD EN DISPOSITIVOS CSO ESPAÑA

Hablamos de dispositivos, ¿Cómo po- aplica las tecnologías precisas, el mis-

demos securizarlos frente a cualquier mo se convierte en un riesgo. De he-
ataque? cho, y según datos de un reciente in-
Lo normal es que el antivirus detecte forme, más del 66% de los riesgos de
un malware siempre que éste se en- una empresa están iniciados por un
cuentre en el sistema operativo pero mal hábito del usuario.
si es la BIOS es donde se encuentra el
malware, entonces es indetectable En estos momentos la oferta tecno-
tanto para el sistema operativo, como lógica alrededor de la seguridad es
para las aplicaciones. Ese malware es muy extensa. ¿En dónde se sitúa el di-
capaz de ver toda la información y ac- ferencial de HP?
ceder a ella desde cualquier dispositi- Nosotros no somos una empresa de
vo y, en este sentido, pude ser utiliza- seguridad. Somos una empresa de dis-
do por los ciberdelincuentes para positivos cuyo objetivo es que todos
cualquier objetivo sin que el dueño del nuestros dispositivos garanticen al
dispositivo sea consciente. Centrándo- usuario que tanto la BIOS como el sis- ¿Es este un diferencial claro de los No, y me explico. La seguridad, como
me en la pregunta, es imprescindible tema operativo no tienen ninguna dispositivos de HP frente a los de sus tal, nunca se ha relacionado con el dis-
contemplar dos aspectos: el hardware puerta trasera que permita la entrada competidores? positivo sino con el datacenter y las co-
y el software, por un lado y, por otro, de malware. Sí, por su puesto, HP es la única em- municaciones. Las organizaciones siguen
que el usuario este concienciado y presa tecnológica que sitúa la seguri- centradas en la seguridad perimetral que
sensibilizado de esta situación. Hablamos de fabricar dispositivos se- dad en el centro del proceso de dise- era el eje del anterior escenario pero en
guros más que de securizar dispositi- ño y fabricación de cualquier este nuevo mundo digital es algo que de-
¿Es tan preocupante la falta de con- vos. dispositivo. Es más, puede que el di- bería estar superado y centrar todos los
cienciación por parte del usuario? Efectivamente, en HP el apartado de seño no sea de los más atractivos, esfuerzos en el catalizador de esa trans-
Bajo mi punto de vista, sí. El usuario la seguridad va implícita en todos pero sí puedo afirmar que somos la formación digital que es el dispositivo. Ya
no está sensibilizado en modo alguno. nuestros dispositivos. No es algo que única empresa cuyos dispositivos in- no es suficiente securizar todo el área
Me explico, a un usuario le puedes po- se añada al finalizar su diseño. Noso- corporan anclaje de seguridad. perimetral del dispositivo, lo que hay que
ner a su disposición todas las herra- tros contemplamos la seguridad desde hacer es disponer de un dispositivo se-
mientas de seguridad pero si ignora la conceptualización del dispositivo y ¿El mercado reconoce vuestra labor guro y robusto, y aquí el mercado sí re-
los riesgos a los que se somete y no el momento que es diseñado. en esa seguridad del dispositivo? conoce nuestro valor.

DICIEMBRE 2016 | CSO

EN PRIMERA PERSONA SEGURIDAD EN DISPOSITIVOS CSO ESPAÑA

¿Podría objetivamente demostrar Son tres puntos fundamentales: se-

que los dispositivos de HP son los más guridad en la BIOS de la impresora, el
seguros del mercado? sistema de listas de aplicaciones más
Sí, es muy sencillo. Nuestros disposi- seguro del mercado y el sistema más
tivos incorporan más de 300 caracte- fiable de detección de cualquier intru-
rísticas de seguridad, algo que no pue- sión. No existe ningún fabricante en el
de decir ninguno de nuestros mundo que incorpore estas tres carac-
competidores. terísticas. Es más y, según diferentes
análisis, la tecnología de HP en cuanto
Hemos hablado de dispositivos de a la seguridad del dispositivo está dos
forma general. ¿Podríamos centrarnos años por delante de nuestra compe-
en la seguridad de uno de los disposi- tencia, y ahora hemos trasladado todo
tivos más olvidados en este sentido ese conocimiento a la impresión.
por las organizaciones: las impresoras?
Este segmento es el gran olvidado en Una vez securizada la impresora,
las estrategias de seguridad. Tenemos ¿cómo podemos garantizar la seguri-
que ser conscientes de que abordar una dad de todo el proceso?
política de seguridad obviando a las im- Antes de nada debemos recordar
presoras supone asumir un alto riesgo que todas las impresoras incorporan
con consecuencias de alto impacto ne- un disco duro en el cual se aloja todo
gativo para las organizaciones. dato que llega a la impresora, inde-
pendientemente de la operación que
¿Qué nivel de seguridad tienen las vaya a realizar: copia, escaneo…nor-

“
impresoras de HP? malmente ese disco duro esta sin ci-

En movilidad, instalamos una solución en

el móvil que permite que los documentos
viajen y lleguen cifrados a la impresora

DICIEMBRE 2016 | CSO

EN PRIMERA PERSONA SEGURIDAD EN DISPOSITIVOS CSO ESPAÑA

mento que estamos enviando desde de una impresión segura?

un smartphone a una impresora no No, es más muchas de estas funcio-
sea vulnerable. Hablamos de un pro- nalidades que hemos comentado son
ceso que va en plano y que debe ser incorporadas de serie en nuestras im-
securizado. Para ello, instalamos una presoras, lo único que hay que hacer
solución en el móvil que permite que es configurarlas.
los documentos vayan cifrados, lo
que indica que aquí damos un paso ¿Es HP reconocida en el segmento
más allá y no securizamos solo el dis- empresarial por este concepto de im-
positivo sino el proceso, el camino presión segura?
que va a recorrer, garantizando de Todavía no pero ya hemos diseñado
esta forma que la información que la estrategia precisa que nos posicio-
llega a la impresora no ha sido ataca- ne en ese segmento. Hay que tener
da en ningún punto. ¿Cómo lo hace- en cuenta que en lo que se refiere a
mos? Cifrando la información que impresión segura carecíamos –hasta
sale del dispositivo móvil hacia la im- ahora- de oferta en la gama alta,
presora. Es lo que se denomina como nuestro posicionamiento se centraba

“
impresión segura. más bien en la gama media. Esa bre-
cha la hemos superado con el lanza-
Nuestros dispositivos incorporan de serie más En este proceso, ¿la parte más dé- miento de 17 nuevos dispositivos de
bil puede ser el propio documento impresión A3, a lo que si añadimos la
de 300 características de seguridad impreso? reciente adquisición de la línea de im-
Efectivamente, y aquí también dispo- presoras de Samsung, las expectativas
nemos de mecanismos para securizar son realmente positivas. De esta ma-
frar lo que supone que los datos ahí ¿Podría explicar cómo debería ser ese documento en papel, como por nera logramos que la reconocida ca-
alojados son accesibles por cualquie- ese proceso? ejemplo, marcas de agua invisibles, lidad y robustez de todas nuestras
ra. Para hacer frente a esta situación, Partimos de que en el proceso hay patrones ultravioletas, y otras de im- gamas de dispositivos sea una reali-
en HP garantizamos que la informa- una impresora y un PC securizado presión segura. dad en las soluciones de impresión
ción que sale del dispositivo y llega a pero también disponemos de un mó- de gran volumen para todo tipo de
la impresora está securizada. vil que no lo está. Para que el docu- ¿Supone una gran inversión disponer empresas. CSO

DICIEMBRE 2016 | CSO

 SEGURIDAD
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN DISPOSITIVOS CSO ESPAÑA

Una impresora
insegura es la puerta
de entrada a la red
corporativa
EL USO DE SOLUCIONES DE SERVICIOS DE IMPRESIÓN

GESTIONADOS, COMO LOS QUE OFRECE LA COMPAÑÍA HP,

TAMBIÉN PUEDEN AYUDAR A DESARROLLAR E IMPLEMENTAR

UN PLAN DE SEGURIDAD QUE SE ADAPTE A LOS CAMBIOS DE

LAS NORMATIVAS Y AMENAZAS A LAS QUE SE ENFRENTAN

ACTUALMENTE LAS ORGANIZACIONES.

DICIEMBRE 2016 | CSO

 SEGURIDAD
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN DISPOSITIVOS CSO ESPAÑA

Durante los últimos meses hemos sido positivos móviles. Sin embargo, las “tec-
testigos de cómo varios ciberataques nologías en un segundo plano”, como
masivos han inutilizado las páginas webs las impresoras, suelen quedar general-
de grandes compañías, considerándo- mente en el olvido.
los como los más graves de la última Según un estudio de Spiceworks¹, el
década al afectar a más de mil millones 18% de los profesionales de TI encues-
de clientes en todo el mundo. Hay que tados considera que las impresoras son
añadir que en los últimos años, Estados un medio o presentan un elevado índice
Unidos ha sufrido varios ataques in- de riesgo en lo que respecta a las ame-
formáticos significativos. El departa- nazas o infracciones de seguridad. Y es
mento de Seguridad Nacional de Esta- que son los puntos ocultos de la seguri-
dos Unidos ha informado de que los dad, ya que pueden exponer las redes
hackers están utilizando un nuevo sis- y los datos de las organizaciones a dis-
tema para infectar routers, impresoras, tintas amenazas, y al no prestar aten-
televisiones inteligentes y todo tipo de ción sobre ellos, esta información ex-
objetos conectados con un malware puesta puede estarlo por largo tiempo.
que los convierte en una especie de
“ejército robot”. Con todo ello, podemos El riesgo de una impresora
afirmar que la ciberseguridad se ha insegura pias de documentos guardados, o inter- conectados. De hecho, en 2014, y según
convertido en una de las prioridades Cabe señalar que la piratería informáti- ceptar datos mientras se transfieren Forbes, las empresas notificaron un in-
tanto para los organismos guberna- ca de impresoras conectadas en red no electrónicamente a las impresoras. cremento anual del 48 % en los ataques
mentales como para las compañías. abarca únicamente los trabajos de im- Lo más preocupante de todo es que, cibernéticos realizados en sus redes. No
Al asegurar la informática de una em- presión fraudulentos. Los ataques ciber- dado que una impresora insegura es obstante, las infracciones de seguridad
presa, los ordenadores y servidores néticos, por ejemplo, pueden servirse una puerta de entrada a la red, los pira- o la pérdida de datos también puede
suelen ser los primeros dispositivos que de las impresoras para enviar faxes, re- tas informáticos pueden obtener acceso ser producto de amenazas internas a
se tienen en cuenta en cualquier in- enviar la información que imprime a otro a datos confidenciales o privados. impresoras inseguras. Por ejemplo, el
fraestructura de TI. La mayor parte de lugar del mundo, cambiar el mensaje del La amenaza de los ataques cibernéti- robo de documentos confidenciales de
las empresas se aseguran de que exista panel frontal o los ajustes de las impre- cos seguirá incrementándose a medida las bandejas de salida, o la recogida ac-
algún software de seguridad en los ser- soras, iniciar ataques de denegación de que los datos globales se multipliquen cidental de los mismos por parte de las
vidores, en los ordenadores y en los dis- servicio para bloquearlas, recuperar co- y aumente la cantidad de dispositivos personas equivocadas.

DICIEMBRE 2016 | CSO

 SEGURIDAD
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN DISPOSITIVOS CSO ESPAÑA

El cambiante entorno normativo Para proteger los datos, es funda-

Al igual que ocurre con los ataques ci- mental incluir la autenticación del
bernéticos y la posibilidad de fallos por usuario al imprimir desde un ordena-
parte de los empleados, las normativas dor o móvil. De esta forma, se garanti-
también obligan a las compañías a pen- za que cualquier usuario se identifique
sar de manera diferente acerca de la antes de usar o cambiar la configura-
seguridad de sus impresoras. El regla- ción de las impresoras. Los protocolos
mento general de protección de datos de cifrado de datos también pueden
de la UE impone ahora sanciones mucho evitar que los trabajos/documentos
más elevadas a cualquier empresa que puedan ser interceptados mientras na-
no logre mantener a salvo los datos per- vegan por la red o por la memoria de
sonales, independientemente del lugar la impresora. El uso de controles avan-
en que la empresa tenga su sede. zados de seguridad y la autenticación
a través de PIN, las soluciones biomé-
Cómo hacer más seguras las tricas o las tarjetas inteligentes que tie-
impresoras nen que utilizarse antes de conceder el
La respuesta a las amenazas externas e acceso, también pueden asegurar el
internas está en las 3 “D” de la seguridad panel de control de un dispositivo.
de las impresoras: asegurar los disposi- Las últimas impresoras HP con tecno-
tivos, los datos y los documentos. logías LaserJet y PageWide supervisan
Para el primer apartado, las impreso- automáticamente los ataques, envían
ras HP LaserJet y HP PageWide Enterpri- información al sistema de supervisión
se permiten la detección y frustración de incidencias de seguridad de la em-
de los ataques maliciosos a la BIOS; la presa, e inician la recuperación automá-
creación de listas blancas que garanti- tica a través de un reinicio si se ataca al
cen que solo se puedan cargar y ejecu- dispositivo, protegiéndolo aún más.
tar aplicaciones seguras en las impreso- El uso de soluciones de servicios de
ras; y la detección de intrusiones en impresión gestionada, como los que
tiempo de ejecución gracias a la super- ofrece HP, también pueden ayudar a
visión de la memoria en el dispositivo. desarrollar e implementar un plan de

DICIEMBRE 2016 | CSO

 SEGURIDAD
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN EN DISPOSITIVOS CSO ESPAÑA

seguridad que se adapte a los cambios planes corporativos de seguridad de im-

de las normativas y amenazas. Hace tan presión; un servicio de asesoramiento
solo una semanas, la compañía anunció preventivo en seguridad de impresión y
que ha rediseñado su oferta de Servi- del cumplimiento normativo a través de
cios de Impresión Gestionada (MPS, por la nueva gestión remota de las configu-
sus siglas en inglés) para fijar un nuevo raciones de seguridad; así como con la
estándar en seguridad, protegiendo los monitorización del parque de impresión
entornos de impresión corporativa fren- para detectar problemas potenciales y
te a los ciberataques con el nivel de se- suministrar informes de cumplimiento
guridad de impresión más potente dis- normativo sobre el estado de seguridad
ponible actualmente en la industria. de todos los dispositivos; reporting y re-
visiones mejoradas; y nuevos servicios y
Las nuevas capacidades HP Secure herramientas de gestión remota.
MPS incluyen servicios profesionales y Las impresoras instaladas con los blo-
soluciones de seguridad avanzadas, al queos físicos y protecciones en las ban-
mismo tiempo que amplían las capaci- dejas de entrada también pueden evitar
dades de gestión de los parques de im- el robo, pérdida, manipulación y falsifi-
presión. Los nuevos servicios y capaci- cación de documentos impresos. Según gligencia por parte de los empleados o tica maliciosa, las infracciones de segu-
dades integran el suministro de HP de el Instituto Ponemon², casi el 65% de a fallos en los procesos de negocio. Por ridad internas accidentales y las conse-
sus propios técnicos de soporte especia- las infracciones de seguridad son acci- lo tanto, la impresión con tecnología pull cuencias tanto financieras como en lo
listas en seguridad para implementar dentales o se deben a algún tipo de ne- y la protección física podrían eliminar referente a la reputación por incumpli-
comportamientos que puedan poner en miento normativo. CSO
peligro sus datos.

La respuesta a las amenazas está en las Para poder mejorar la seguridad de las
impresoras en red, sería necesario ase-
Nota¹ Encuesta de Spiceworks realizada a 107 profesionales de TI

en empresas con 250 empleados o más de América del Norte, Europa,

tres “D” de la seguridad de las impresoras: gurar los dispositivos, los datos y los Oriente Medio, África, Asia-Pacífico y China, realizada en nombre de

asegurar los dispositivos, los datos documentos. Únicamente mediante la HP en enero de 2015.

adopción de este tipo de enfoque inte- Nota² Instituto Ponemon: «2015 Global Cost of a Data Breach Study»
y los documentos que manejan gral de seguridad, es posible mejorar la (estudio de 2015 sobre el coste global de las filtraciones de datos),

protección frente a la piratería informá- octubre de 2015.

DICIEMBRE 2016 | CSO

 CIBERSEGURIDAD CSO ESPAÑA

LOS DISPOSITIVOS MÁS

HACKEABLES
MUCHOS DE LOS DISPOSITIVOS QUE UTILIZAMOS DÍA A DÍA SON MÁS VULNERABLES DE LO QUE PENSAMOS. SEGÚN GARTNER, HOY EN

DÍA HAY MÁS DE 3 BILLONES DE DISPOSITIVOS UTILIZADOS POR LOS USUARIOS QUE SE ENCUENTRAN CONECTADOS A INTERNET Y EL

PRÓXIMO AÑO LA CIFRA SUPERARÁ LOS 4 BILLONES. VEAMOS A QUÉ TIPO DE VULNERABILIDADES NOS ENFRENTAMOS.

REDACCIÓN CSO

DICIEMBRE 2016 | CSO

CIBERSEGURIDAD CSO ESPAÑA

Nos encontramos en plena campaña sitivos conectados como SmartTV, table- tivos iOS se han visto comprometidos Pero las tabletas también tienen
de Navidad y gran parte de los regalos tas, smartphones, portátiles, y consolas en varias ocasiones, el 97% de todo el otros riesgos. “Las tabletas son usadas
que se hagan serán tecnológicos. Diver- de videojuegos. Adicionalmente, un ter- malware afecta a Android, según un in- en gran medida como son utilizados
sas encuestas coinciden en afirmar que cio de todos los consumidores (33%) forme sobre seguridad en dispositivos los portátiles, y contienen documenta-
más del 65% de la población planea planean comprar productos asociados móviles realizada por Pulse Secure. ción con información sensible relacio-
comprar regalos electrónicos. Así lo in- a tecnologías emergentes como son los El ecosistema iOS ofrece algunas ven- nada con el trabajo”, dijo Bruce Snell,
dicó un informe de la Asociación de dispositivos para hogar inteligente, pul- tajas en temas de seguridad sobre su director de seguridad y privacidad de
Consumidores de Dispositivos Electró- seras o wearables, relojes smartwatch y competencia Android, incluyendo un Intel Security. “Pero a diferencia de los
nicos el pasado mes de octubre. El gas- drones. Desafortunadamente, muchos control más estricto de las aplicaciones portátiles, las tabletas no son tratadas
to en tecnología podría superar la cifra de estos dispositivos aumentarán la vul- que son comercializadas a través del con el mismo nivel de seguridad, es-
de los 35 millones de dólares en Estados nerabilidad de los hogares. App Store y la habilidad de proveer ac- pecialmente en compañías que des-
Unidos haciendo de estas fechas las más tualizaciones que mejoren la seguridad pliegan políticas de BYOD”.
rentables para los vendedores de este Las tabletas de sus dispositivos. Las actualizaciones
tipo de productos, indica Shawn DuBra- Al igual que sucede con un smartphone, de seguridad de Android, por otro lado, Los teléfonos Inteligentes
vac, jefe de economía y exdirector de la seguridad de una tableta depende típicamente tienen que ir a través de De acuerdo al Pew Research Center, el
investigación de la organización. en gran medida del sistema operativo proveedores individuales u operadores, 68% de los adultos estadounidenses hoy
Muchos de estos regalos serán dispo- que utiliza. A pesar de que los disposi- lo cual involucra retrasos de varios días. tienen un teléfono inteligente y las com-

DICIEMBRE 2016 | CSO

 CIBERSEGURIDAD CSO ESPAÑA

pras a través del móvil se prevé que pueden convertirse en un tesoro valio- videoconferencias, o hacer seguimiento El aumento en el uso de accesorios
sumen un total del 30% de todas las so para los cibercriminales potencia- de la ubicación del dueño del dispositivo. con Bluetooth hace que los smartpho-
ventas que se lleven a cabo durante este les. No son solo las cuentas en redes De acuerdo a Snell, un factor importan- nes sean más vulnerables, indicó Snell.
año, de acuerdo a Internet Retailer. Así, sociales, el comercio online o el acceso te en la seguridad de los teléfonos es, al “Algunos dispositivos usan las contra-
más de la mitad de los dueños de smar- a las cuentas bancarias las que expo- igual que con las tabletas, el sistema ope- señas predeterminadas de empareja-
tphones harán transacciones bancarias nen a los hackers para que pueden ro- rativo que utilizan. “La principal diferen- miento con otros dispositivos como
a través del móvil y 1,4 billones de per- bar o irrumpir en la información del cia está entre iOS y Android”, aseguró. 0000 o 1234, permitiendo así que los
sonas se conectan a Facebook cada mes usuario. También hay correos electró- El comportamiento de los usuarios cibercriminales puedan acceder al mis-
usando sus teléfonos. nicos, fotos y videos privados, contac- también es significativo, muestran al- mo sin esfuerzo alguno”, aseguró. Y
“Con nuevos modelos de teléfonos tos personales y de trabajo, credencia- gunos estudios. Según una investiga- eso no es todo, continuó. “El mayor
inteligentes y tabletas que cada vez les de acceso para redes domésticas y ción publicada este año por Kaspersky problema con la conectividad Bluetoo-
presentan períodos de reposición más empresariales, así como información Lab y B2b International, el 30% de th es que solo requiere la autenticación
cortos, estos dispositivos se convierten relacionada con la ubicación a la que usuarios de Android no protegen sus una vez”, dijo. “Después de emparejar
en regalos ideales para amigos y fami- se ofrece acceso. teléfonos con contraseñas, mientras una vez el dispositivo, éste es conside-
liares que buscan el último teléfono Además, los atacantes pueden activar que el 44% de usuarios de Android no rado de confianza. A partir de este ins-
del mercado”, opina Snell. Pero la ma- el micrófono del smartphone de forma tienen software anti-malware instala- tante, deja la puerta abierta a más ata-
yoría de usuarios no se dan cuenta que remota para escuchar conversaciones o do en sus dispositivos. ques a través del mismo”.

DICIEMBRE 2016 | CSO

 CIBERSEGURIDAD CSO ESPAÑA

Drones Dispositivos con cámara populares de seis fabricantes y encon- El informe ha tenido una repercusión
El mercado de drones sigue en pañales, Este año se ha visto un creciente nú- tró que todos tenían problemas de se- bastante mediática dado que la mayoría
pero a medida que estos dispositivos mero de informes de como los hackers guridad importantes como es el hecho de fabricantes se apresuraron a buscar
se hacen más populares, parece que pueden acceder a las cámaras que de la falta de encriptación para comuni- soluciones al problema. El fallo detecta-
se convertirán en objetivos más fre- monitorizan a los bebés, cámaras de cación y almacenamiento de datos y ad- do en los modelos de Summer Infant
cuentes de los ataques de los hackers, video vigilancia infantil y similares. To- virtieron que este podría ser solo la fueron resueltos en 48 horas”, aseguró
dijo Snell. Los atacantes pueden usar dos los dispositivos que dispongan de punta del iceberg. un portavoz de la compañía.
las vulnerabilidades del dispositivo para una cámara y que estén conectados Los delincuentes pueden usar estos TRENDnet encontró que todos los ata-
robarlo o, si es usado para entregas, son potencialmente vulnerables, ase- dispositivos para invadir la privacidad, cantes no solo necesitaría un acceso fí-
robar su carga. “La posibilidad de hac- guró el director de seguridad y priva- robar videos grabados, hacer segui- sico a la cámara, sino que debería reor-
kear un dron conectado a wifi es real”, cidad de Intel. “Hay numerosos sitios mientos de cuándo las personas están ganizar el circuito para poder sacar
alertó el experto. web catalogando cámaras sin protec- en casa, o usar estos dispositivos para provecho de esta vulnerabilidad. Pero
Por ejemplo, este verano, en la confe- ción que pueden mostrar videos pri- acceder a la red local. “Es importante la actualización de firmware ya está dis-
rencia de seguridad DefCon, un investi- vados”, añadió. acentuar que la mayoría de vulnerabili- ponible y todos los usuarios recibirán
gador de la firma de seguridad Planet A principios de otoño, por ejemplo, la dades discutidas en este artículo son una notificación vía correo electrónico
Zuda demostró cómo era posible hac- empresa de seguridad Rapid7 hizo una muy fáciles de explotar para los atacan- para cerciorarse de que realizan la ac-
kear un dron de la compañía Parrot. revisión de los monitores de bebés más tes”, aseguran. tualización.

DICIEMBRE 2016 | CSO

 CIBERSEGURIDAD CSO ESPAÑA

El modelo de Philips que fue analizado, mediato, incluyendo la protección de las está infectada, le brinda a un hacker el Otro juguete popular en estas fechas
el [Link] Wireless HD Baby Monitor, es comunicaciones entre el monitor, las acceso directo a los datos de los padres”, navideñas es la muñeca Hello Barbie de
un producto discontinuado que estaba aplicaciones y el servicio asociado a la dijo Snell. “Esto puede resultar en que Mattel, dijo. “De acuerdo al sitio de so-
siendo fabricado por otra compañía, Gib- nube. Según un portavoz de Gynoii, la el malware se instala y los atacantes porte técnico de la muñeca, una cone-
son Innovations, a través de la firma Phi- compañía ya ha actualizado el producto pueden acceder a la información per- xión a Internet permite la conexión a la
lips. Ambas compañías trabajaron juntas con el nuevo firmware. sonal o corporativa”. nube de ToyTalk donde se almacenan
y solventaron el problema el pasado mes Uno de estos juguetes es BB-8 Droid miles y miles de líneas de diálogo”, in-
de septiembre, poco después de que el Juguetes electrónicos de Star Wars, que puede ser controlado dicó. “Por supuesto, la política del pro-
informe de Rapid7 se publicara. Las em- Según Snell, diversos dispositivos que a distancia con una aplicación móvil. Se veedor manifiesta que el usuario debe
presas actualizaron los servicios en la conectan los niños con Internet pueden trata del eslabón más débil de la cade- tener especial cuidado con las conver-
nube que estaban comprometidos y su permitir a los delincuentes dirigir sus na, y no es sólo en el protocolo de co- saciones que graba con la muñeca”.
firmware, además de actualizar las apli- ataques al hogar y a la familia en cues- municación entre el teléfono y BB-8,
caciones de iOS y Android. tión. Por ejemplo, muchos niños utilizan sino que también hay un riesgo de mo- Pulseras y smartwatch
Elnaz Sarraf, vicepresidente de iBaby direcciones de correo electrónico y dis- dificación de firmware del juguete”, ex- A principios de este año, HP probó 10
Labs, notificó que su compañía había positivos de sus padres para acceder a plicó Chris Rouland, fundador y director de los smartwatch más populares y
tomado una serie de medidas para re- las aplicaciones que controlan sus ga- de tecnología de la empresa de seguri- encontró problemas de seguridad sig-
solver el problema de seguridad de in- dgets. “Si la aplicación móvil del niño dad Bastille Networks. nificativos en todos ellos. La mitad, por

DICIEMBRE 2016 | CSO

 CIBERSEGURIDADW CSO ESPAÑA

ejemplo, no tenía un código de acceso de HP, el mercado es tan nuevo que es Y, de hecho, en octubre, un investi- datos. Pasamos mucho tiempo miran-
u otro mecanismo de bloqueo, por lo difícil para los consumidores aprender gador de seguridad de la empresa do esto” indicó el portavoz.
que cualquier persona que recogiera acerca de los problemas de seguridad Fortinet demostró que las populares Fortinet, sin embargo, no da brazo a
el reloj podría acceder a la información con dispositivos específicos. HP, por pulsaras de Fitbit podrían ser ataca- torcer en su afirmación de que Fitbit tie-
almacenada. ejemplo, no dio a conocer las marcas de das a través de sus conexiones por ne una vulnerabilidad que permite a un
Muchos tuvieron problemas con la dis- los relojes probados. Bluetooth. Pero Sash Biskup, director atacante “inocular un dispositivo Fitbit
tribución de las actualizaciones de segu- Según Snell, de Intel Security, un hac- de seguridad de Fitbit, aseguró que con un código arbitrario que podría ser
ridad, con autenticación o con cifrado. ker que irrumpa en un dispositivo de mientras que un atacante pueda en- enviado a los equipos a los que el dispo-
Las aplicaciones asociadas a los dispo- seguimiento de ejercicio físico y a su pá- viar datos a una Fitbit y ver que los sitivo se conecta a través de Bluetooth”.
sitivos también tenían problemas de gina web asociada, potencialmente po- datos hacen eco de vuelta, no habría “Nos mantenemos en la declaración”,
seguridad, lo que plantea riesgos de la dría acceder a información privada. problema de seguridad, y que era im- dijo Sandra Wheatley Smerdon, vice-
privacidad personal. Y, si los hackers Pero, más que eso, los hackers podrían posible enviar esta información a un presidenta de la compañía para las
pueden acceder a un smartwatch, po- utilizar el dispositivo para entrar en el ordenador conectado o utilizar el comunicaciones corporativas globales.
drían también acceder al dispositivo smartphone, tableta, ordenador o red error de software para distribuir “No estoy al tanto si Fitbit ha arreglado
móvil o a la red a la que está conectado. doméstica asociados al fitness tracker, malware. “No hay una vulnerabilidad la falla y no hemos actualizado nues-
Además, de acuerdo con Daniel Miess- dijo Snell de Intel de Seguridad. “Es un con este error de software”, explicó. tra investigación, pero es algo que ha
ler, jefe de investigación de seguridad dispositivo de puerta de enlace”. “No es posible hacer nada con estos ocurrido”. CSO

DICIEMBRE 2016 | CSO

EN PRIMERA PERSONA CSO ESPAÑA

JOSÉ BATTAT, DIRECTOR GENERAL DE TREND MICRO IBERIA

“2017 marcará un punto

de inflexión en la evolución
de Trend Micro Iberia”
Hace escasamente un mes ha sido Micro disponemos de un fantástico equi-
nombrado director general de Trend po que nos va a permitir cumplir los ob-
Micro para España y Portugal. Tenien- jetivos de crecimientos marcados y, ade-
do en cuenta los crecimientos que más, hacerlo rápidamente. Este año 2017
viene registrando la compañía año será un año bisagra que marcará un pun-
tras año. ¿Cuáles son sus retos prin- to de inflexión en lo que se refiere a la
cipales en un mercado como el de la evolución de Trend Micro Iberia.
seguridad?
Efectivamente acabo de asumir esta po- Un punto de inflexión que, imagino,
sición y lo primero que me gustaría co- tendrá un objetivo último a corto plazo
mentar es que personalmente soy un Exacto. Vengo a posicionar a Trend Mi-
convencido de que las empresas crecen cro en lo más alto en el mercado de se-
gracias a su capital humano y en Trend guridad en Iberia.

MARÍA JOSÉ MARZAL

DICIEMBRE 2016 | CSO

 EN PRIMERA PERSONA CSO ESPAÑA

¿Un reto ambicioso? referencia es del área de protección de

Ambicioso puede, pero factible también. servidores y, como has comentado, so-
Esto ya lo hice en otras regiones. Me ex- mos la número uno en este segmento.
plico, yo me uní a Trend Micro hace 16 Ahondando en el aspecto tecnológico,
años asumiendo la operación del merca- me gustaría destacar la APT, otro área
do argentino y después de 16 años somos adonde según NCC Labs, también somos
los líderes con crecimientos del 100%. Mi una empresa referencial con la mayor
objetivo es hacer lo mismo aquí con inno- tasa de detección. Una vez dicho esto, el
vación y con talento. mensaje es que si diferentes analistas
nos consideran los número uno en seg-
¿Cuáles son las “armas” de Trend Mi- mentos clave de la seguridad, queda cla-
cro para conseguirlo? ro que nuestra tecnología es absoluta-
Hay dos puntos fundamentales; el pri- mente diferencial.
mero es que vendemos tecnología y hoy
nuestra tecnología está situada como la Pero no solo la tecnología es impor-
número uno en el cuadrante mágico de tante… cliente. Otro aspecto de Trend Micro que tengan un servicio especial y el que tiene
Gartner Group. Pero, a pesar de haber No, cierto, pero sí es el primer y funda- me gustaría mencionar y que es absolu- que dar el primer nivel es el canal. Por
alcanzado ese claro liderazgo, no nos he- mental paso. Y eso lo tenemos. Por lo tamente diferencial es que somos la úni- eso tenemos que hacer un esfuerzo para
mos quedado parados a esperar y por tanto, ahora debemos hacer un esfuerzo ca empresa de seguridad independiente que ese objetivo sea una realidad en bre-
eso acabamos de lanzar nuestra solución por mejorar nuestro nivel de servicio, ya y que lo sigue siendo después de más de ve ya que entendemos que ese nivel de
de inteligencia artificial para detectar que una magnífica tecnología con un ni- 28 años de historia. servicio será otro diferencial más de
amenazas lo que supone una capa de vel de servicio medio no te diferencia. nuestra propuesta.
mayor valor en nuestra oferta a los clien- Nuestro objetivo es seguir ofreciendo Como ha comentado, uno de sus re-
tes. una excelente tecnología, pero ahora con tos es la mejora del nivel de servicio. Trend Micro es la empresa que pro-
un excelente servicio y gracias a este bi- ¿Se supone una nueva política para el veerá la tecnología de seguridad de los
Otra firma de análisis, IDC, también nomio permitiremos al cliente vivir una canal? JJOO de Tokio en 2020. ¿Cuáles serán
les sitúa cómo líderes. ¿Se puede en- experiencia única. Este es el verdadero Sí, estamos a punto de lanzar una nue- las mayores amenazas a las que se en-
tender que en este segmento la tecno- diferencial. Y en este sentido uno de los va estrategia de canal para el 2017 cen- frentará?
logía sí es diferencial? focos de nuestra estrategia se va a dirigir trada en el servicio. En Trend Micro que- Efectivamente, Trend Micro securizará
Por supuesto. El informe al que haces a mejorar, a cambiar nuestro servicio al remos que todos nuestros clientes los JJOO de Tokio en 2020 y respecto a lo

DICIEMBRE 2016 | CSO

EN PRIMERA PERSONA CSO ESPAÑA

que preguntas, comentar que el Presi- escenario digital la seguridad ya se con-

dente del Comité Olímpico le preguntó a templa a nivel de compañía y por eso los
nuestra CEO que “una vez que les habían interlocutores pueden ser desde el CIO,
elegido, cómo sería esa protección” y al CSO, al CFO e incluso el CEO. Pero la
nuestra CEO le contestó: “no lo sé por la gran diferencia es que antes una empre-
sencilla razón que no se qué tipo de ame- sa era capaz de tener sus niveles de se-
nazas habrá en 2020. Lo que sí se es que guridad controlados securizando el PC y
tengo a toda mi empresa analizando per- el entorno físico, pero ahora todo es mu-
manentemente cualquier tipo de nueva cho más complejo: cloud, movilidad, re-
amenaza que pueda surgir para en ese des sociales…
mismo momento desarrollar la tecnolo-
gía que la deshabilite”. Es así, en los labo- Los clientes son conscientes de que
ratorios de Trend Micro trabajan miles de el entorno ha cambiado y la seguridad
ingenieros analizando la red y advirtien- debe también ser concebida de otra
do de cualquier tipo de amenaza nueva manera…
para automáticamente y desarrollar la Al 100%, no, pero creo que una gran cul-
tecnología precisa. pa es nuestra –de la industria TI- porque
no conseguimos hacerle ver al que toma
Observando el mercado de seguridad la decisión de invertir lo crítico que es
y su evolución. ¿Cómo ha pasado a si- operar en este nuevo escenario sin una
tuarse en el eje de los proyectos de política de seguridad adecuada. Hay que
transformación? entender que la seguridad en el mundo
La gran diferencia es que en este nuevo digital es mucho más compleja que en el

“
Sufrir una brecha de seguridad es cuestión
de tiempo y es un problema de falta de
concienciación ante una situación real

DICIEMBRE 2016 | CSO

 EN PRIMERA PERSONA CSO ESPAÑA

¿Es cierto que los niveles de inversión ¿Tras un ataque también se compro-
en seguridad se están incrementando? mete la marca, no?
Sí, es cierto, hay informes que aseguran Claro, hay casos concretos en los que
que la inversión en seguridad aumenta un han perdido un 40% en valor de marca
10% año tras año. Aun así, todavía me tras un ataque y miles de millones de eu-
cuesta entender la reticencia a incremen- ros. Estamos hablando de un pacto im-
tar los niveles de seguridad ya que si mi- presionante. Y aquí el caso más sonado
ramos el presupuesto global de IT, la se- ha sido el de Sony.
guridad de software, que es donde
operamos, representa una porción muy ¿Las empresas y organizaciones son
pequeña, no pasa del 3%. Por eso incre- conscientes de la amenaza real?, ¿Que
mentarla a un 4% generaría un nivel de existe una Deep Web y mafias interna-
seguridad óptimo y rebajaría los niveles cionales dispuestas a robar datos?
de riesgo operacional de las organizacio- En general somos conscientes, sabemos
nes. Es más, creo que como he dicho an- que existe pero como algo lejano que no
tes, se trata de un tema de concienciación. nos va a ocurrir y esto es lo que hay que

“
cambiar. Trend Micro trabaja con organis-
¿Cree que ayudará la entrada en vi- mos internacionales, con la Interpol para
gor de las próximas regulaciones de ayudar a las empresas en temas de ciber-
Hay informes que aseguran que la inversión obligado cumplimiento? seguridad y por ello, nuestra misión como
en seguridad aumenta un 10% año tras año Creo que sí. Es más, creo que todas las empresa es concienciar a las empresas.
organizaciones deberían hacer público
entorno analógico y, todavía, hay empre- ciación ante una situación real y esto es cuando tienen una brecha de seguridad. Las empresas son mucho de esperar
sas que no son conscientes del riesgo lo que hay que cambiar. Pero hay que ser No hay que olvidar que lo que se com- a que pase algo para invertir en segu-
que están asumiendo al actuar bajo la conscientes de que la evolución tiene un promete en una brecha de seguridad son ridad. ¿Es cierto?
idea de “a mí no me va a pasar” porque ritmo vertiginoso y nos cuesta aceptarlo los datos del cliente. Por eso, debemos Sí y aquí, por ejemplo, el ransomware
seguro que le pasa sino le está pasando y adaptarnos a este nuevo escenario di- hacer todo lo posible, no para ocultar está ayudando mucho en aras de esa
ya y no está siendo consciente. Sufrir una gital. Estamos viviendo un cambio de era brechas o ataques, sino para que estos concienciación porque lo ven como algo
brecha de seguridad es cuestión de tiem- y en 2020 todo será digital. no ocurran y los clientes confíen en este que, o bien les ha pasado, o posiblemen-
po. Es un problema de falta de concien- nuevo escenario digital. te les ocurrirá. CSO

DICIEMBRE 2016 | CSO

EMPRENDEDORES CSO ESPAÑA

EMPRENDIENDO EN SEGURIDAD

Las ‘startups’ de seguridad,

algo más que una moda
pasajera en España
EXISTE UN CLARO AUGE EN LA CIBERSEGURIDAD, UNA NECESIDAD REAL QUE CUBRIR

EN EL MERCADO, Y SERÁN LOS NUEVOS EMPRENDEDORES QUIENES MITIGUEN ESTA

EXIGENCIA. ¿CÓMO? PENSANDO COMO AUTÉNTICOS ‘HACKERS’.

Las técnicas de engaño en ciberseguridad transformación digital requiere inversión tante en el mercado. Es ahora cuando la dedores quienes quieren mitigar esta exi-
están emergiendo con rapidez. Cada vez en seguridad. gente está percibiendo el riesgo de no in- gencia. “Tras muchos años de cierta apatía
más, los virus y ataques informáticos ponen Según Gartner, las compañías destinaron corporar soluciones de seguridad en el di- y falta de concienciación sobre la seguri-
en su punto de mira a cualquier objeto o el año pasado casi un 5% más de presu- seño de sus sistemas. Entran en juego, por dad, pequeñas y grandes empresas em-
servicio electrónico. Aun así, se podría de- puesto a reforzar esta área, es decir, más tanto, el nuevo concepto de startups de piezan a tomar conciencia de las necesi-
cir que hoy en día las empresas son más de 75.000 millones de dólares. Este año, sin seguridad y su consecuente auge. dades y, sobre todo, de que invertir hoy
conscientes de que el desarrollo de nuevas embargo, la consultora prevé que se inver- Un panorama prometedor en España en seguridad es ahorrar en el futuro. Eso,
tecnologías implica protegerse de posibles tirán nada menos que 81.600 millones de Muchos de los expertos en este ámbito junto con el aumento creciente de las
ciberataques debido a que los métodos dólares en sistemas y soluciones de seguri- están de acuerdo con una cosa: hay una amenazas online, se augura una época
de autentificación y seguridad tradiciona- dad informática. Ante este escenario, la ci- necesidad real que cubrir en el mercado francamente interesante a este tipo de
les ya no son suficientes. Es un hecho: la berseguridad pasa a ser un sector impor- de la seguridad y son los nuevos empren- compañías”, asegura Javier Megías, CEO y

CLAUDIA ORTIZ-TALLO

DICIEMBRE 2016 | CSO

 EMPRENDEDORES CSO ESPAÑA

co-fundador de STARTUPXPLORE, una co-

munidad de startups e inversores de Es-
paña y Europa.
Estamos ante un contexto de fuerte cre-
cimiento, tanto de la oferta como de la
demanda. Como dice Víctor Domingo,
presidente de la Asociación de Internau-
tas, se está dando una confluencia de, por
una parte, un aumento de la necesidad
empresarial por la seguridad informática
y por otra, un aumento de respeto por
parte del ciudadano por su privacidad. Así
lo asegura también Miguel Rego, recién
exdirector general de INCIBE, quien dice
que aunque la creación de nuevos pro-
yectos tenga un cierto peligro de burbuja
en emprendimiento y una proliferación
exagerada de programas, esto no suce-
derá en el ámbito de la ciberseguridad. La Miguel rego, exdirector general Javier Megías, CEO y co-fundador Eduardo Arriols, profesor del grado en
velocidad a la que se mueven las amena- de INCIBE. de STARTUPXPLORE. ‘Ingeniería en Desarrollo de Contenidos
zas exige una gran agilidad en soluciones Digitales’ y dinamizador del área de
y respuestas que a veces solo pueden dar Ciberseguridad en U-tad.
las empresas pequeñas y jóvenes. Y es que, el mercado de seguridad a nivel
Algunos datos que proporciona Alberto mundial va alcanzar valores de entre 170
Bellé, analista de Delfos Research, señalan y 190 mil millones de dólares, según las La velocidad a la que se mueven las
que en España se ha estado produciendo estimaciones de las principales consulto- amenazas exige una gran agilidad en
una madurez del mercado de capital ries- ras de los mercados de TI. La demanda
go, así como en las iniciativas de startups, está creciendo a niveles superiores al 10%, soluciones y respuestas que a veces solo
experimentando un crecimiento de un y este crecimiento va a ser sostenido en pueden darla las empresas más jóvenes
26% en el número de empresas creadas. los próximos años.

DICIEMBRE 2016 | CSO

 EMPRENDEDORES CSO ESPAÑA

¿Habrá sitio para todas? y mejorarse pero la parte de negocio es

Existe una gran cantidad de empresas que más crítica; la solución ha de ser económi-
resuelven nichos específicos de mercado, camente atractiva para el posible cliente.
incluso se podría decir que el mundo está Las startup pueden proporcionar solucio-
experimentando un boom de startups de nes a problemas específicos mientras que
seguridad. Aun así, algunos profesionales las grandes ofrecen respuestas más com-
creen que el mercado evitará posibles pletas. En otras palabras, la investigación
riesgos de burbuja debido a la importan- detallada y la solución innovadora debe-
cia del segmento. rían dar una ventaja competitiva a las pe-
Así lo creen Megías, Rego, Bellé y Eduardo queñas sobre las grandes. Como dice Mi-
Arriols, presidente del Club de Ciberseguri- guel Rego, “la palabra competir en este
dad de U-tad, quienes piensan que el creci- sector es casi una palabra antigua, de si-
miento es muy atractivo y todas son nece- glos pasados. Hoy se coopera y se compite
sarias para conseguir restablecer confianza a la vez, se coopite”. “La clave es focalizar
en la transformación digital tras los cibera- mucho el esfuerzo en unos pocos produc-
taques. “Para que quepan todas, es clave tos sin intentar abarcar demasiado y bus-
que la internacionalización esté presente en car una estrategia de cooperación con los nes. Esto, según él, incentiva a que los nue- en que emprender un proyecto nuevo –sea
la estrategia de negocio como algo natural grandes”, asegura también Megías. vos emprendedores y sus proyectos sean de lo que sea- significa tener que enfrentar-
ya que aumenta la perspectiva de creci- Asimismo, Arriols defiende que cada vez incluso más atractivos que las grandes or- se a muchos desafíos.
miento. En cualquier caso y como siempre, hay más congresos sobre esta temática ganizaciones. Es ahí cuando los clientes in-
solo resisten las que están basadas en ci- donde ya no solo va gente técnica sino que teresados querrán requerir los servicios de Retos a los que se enfrentan
mientos sólidos y modelo de negocio via- también van los propios directivos de esos un emprendedor específico más que el de En el caso de la seguridad, se trata de un
ble.”, especifica Rego. En otras palabras, la proyectos, quienes han hecho investigacio- un proyecto o marca en concreto. “Si uno mercado donde hay muchísimas empresas
tecnología puede perfeccionarse, adaptarse nes previas y las presentan en esas reunio- piensa la cantidad de empresas que hay en y la competencia es intensa. Ser capaces de
España, lo que van a necesitar de seguridad ser visibles en un mercado con tantos acto-
es muy alto en comparación con las empre- res y con nuevos entrantes constantemen-
Algunos profesionales creen que el sas que hay dedicadas a esa ciberprotec- te no es fácil. Por un lado, los largos tiempos
mercado evitará posibles riesgos de burbuja ción”, argumenta. de la puesta del producto en el mercado y,

debido a la importancia del segmento Pero aunque los expertos crean que habrá
sitio para todas, también están de acuerdo
por otro, la escasez de factor humano, así
como la falta de un marco regulatorio inclu-

DICIEMBRE 2016 | CSO

 EMPRENDEDORES CSO ESPAÑA

Nichos de la industria
yendo un marco sancionador que ordene to internacional en todo lo que se hace y ser
la demanda y la oferta de este tipo de pro- extremadamente ágil ante un mercado de
ductos y soluciones. Esto provocará que amenazas cambiantes, innovando tan rápi-
comience una ralentización en la financiación, do como los hackers y los competidores. Hoy en día son varias las áreas dentro del mundo de la seguridad, por lo que existen
que haya un mayor escrutinio en las pro- “Esto último lo promovemos desde INCIBE muchas oportunidades para que emprendedores puedan fundar una nueva empresa.
puestas y un mayor nivel de exigencia al con acciones en colaboración con ICEX De hecho, Arriols está seguro de que lo que hace triunfar a las startups es la especializa-
equipo de emprendedores. Desde el punto como misiones comerciales y presencia en ción. “Antes la seguridad se veía muy uniforme y ahora se ha dividido en muchos servicios
de vista de la protección de los datos per- las principales ferias internacionales (Info- muy diferenciados”, explica. Igualmente, Alberto Bellé cree que las startups buscan su
sonales, Cecilia Álvarez -presidenta de la security, RSA, etc), misiones inversas y foros diferenciación en la resolución de retos muy específicos. “El mercado de seguridad es, a
Asociación Profesional Española de Privaci- de negocio como el desarrollado en 10ENI- diferencia de otros segmentos, un mercado muy atomizado, donde no hay un actor do-
dad- destacaría que un programa de segu- SE”, explica Rego. Otra clave que Belle da a minante, sino muchos proveedores que buscan la excelencia en áreas específicas”, expli-
ridad debe diseñarse teniendo en cuenta saber es la escalabilidad. Las empresas tie- ca. No obstante, destaca tres líneas de trabajo. Por un lado, las analíticas, que permiten
los riesgos de protección de datos persona- nen que ser capaces de escalar su creci- tanto la prevención de ataques como su detención en tiempo real y la mitigación de los
les y debe poder identificar cuándo hay da- miento, tanto a nivel producto y recursos daños. Por otro lado, la seguridad de Internet en todas sus modalidades y ámbitos de
tos personales en los activos comprometidos. como en la gestión de su financiación y la modelos de servicio. Y, por último, el testing de seguridad en los nuevos desarrollos y
En particular, lo anterior debería permitir a relación con los inversores. metodologías ágiles y DevOps, en los que hay un compromiso entre la fuerte presión
las organizaciones mitigar desde el diseño para llegar al mercado con rapidez y la necesidad de proteger la aplicación.
los riesgos de privacidad y reaccionar con En el ámbito español A su vez, tomando como referencia el Informe de Tendencias de Mercado de Cibersegu-
rapidez y eficacia cuando se produce el in- España está siendo un país emprendedor ridad, recientemente publicado por INCIBE, se han identificado una serie de oportunida-
cidente, en particular, cuando deba valorar en este ámbito. Cada vez más, surgen nue- des basadas en 20 tendencias del mercado. Miguel Rego destaca las siguientes: sector
si debe notificar a la AEPD o a los afectados vas ideas interesantes y con proyección in- Industrial y Movilidad; sector Economía; sector Ciudadanía; sector Gobernanza; y, por
en los casos impuestos por el nuevo regla- ternacional que poco a poco se van convir- último, el sector TIC.
mento europeo de protección de datos que tiendo en empresas reconocidas y
entrará en vigor en 2018. consolidadas y que acabaran convirtiéndo- cio de que hay varias que deberíamos des- y Hackdoor”, explica Rego.
A pesar de que cualquier empresa tenga se en auténticas pioneras en el panorama tacar, sin duda nos vemos en la obligación Para Megías, las startups más destacadas
que enfrentarse a ciertos duelos, es impor- mundial de la ciberseguridad. de permitirnos la licencia de mencionar las –aunque ya hayan abandonado el estadio
tante ser consciente de cuáles son las claves Desde INCIBE, trabajan varias iniciativas startups que fueron apoyadas en la Acele- seguramente- son compañías como Alien-
para llegar al éxito. Desde Delfos Research para fortalecer este sector y, por ello, llegan radora de INCBIE, Cybersecurity Ventures Vault o 4IQ, así como algunas más recientes
e INCIBE aconsejan tener vocación global a trabajar mano a mano con muchas ideas de 2015, entre ellas ElectronicID, Conti- como Eleven Paths. Su iniciativa permite
desde su nacimiento incluyendo el elemen- que luego resultan ser un éxito. “Sin perjui- nuum Security, Agora Voting, CounterCraft, que cualquier inversor sin experiencia o sin

DICIEMBRE 2016 | CSO

 EMPRENDEDORES CSO ESPAÑA

tiempo pueda invertir en empresas tecno-

lógicas recién nacidas a partir de 1.000 eu-
ros. Aproximadamente tiene –según él- el
80% de las startups de España, y quizás un
40% de Europa. Ahora sí, ninguna del ám-
bito de la ciberseguridad por el momento,
aunque les encantaría.
Belle, por su parte, señala que hay abun-
dante talento tecnológico en España –lo
que se refleja en la cantidad y calidad de
las startups que se crean- pero le gustaría
destacar tres empresas: BlueLiv, Counter-
Craft y Enigmedia. Domingo, en cambio,
asesora a este tipo de empresas en cuan-
to a la relación y comunicación con los
usuarios en materia de protección de da-
tos y con respecto a la privacidad de las
comunicaciones electrónicas.
La autoformación, la asistencia a congre-
sos, las conversaciones con profesionales
y muchas cosas más son las pautas que
acercan a los emprendedores al éxito. Sin
embargo, en el campo de la ciberseguri-
dad se necesita dar un paso más allá: pen-
sar como un auténtico hacker. “No se pue-
de animar a alguien a que sea hacker pero
sí a que piense como ellos. Es necesario
ver la seguridad desde las dos perspecti-
vas, el del profesional de seguridad y el del
hacker”, asegura Belle. CSO

DICIEMBRE 2016 | CSO

ENTREVISTA CSO ESPAÑA

OLOF SANDSTROM, DIRECTOR DE OPERACIONES DE ARSYS

“Arsys siempre ha
hecho de la seguridad
uno de sus pilares
estratégicos”
OLOF SANDSTROM SE INCORPORÓ A ARSYS EN 2006, CUANDO

COMENZABA A GESTARSE LA REVOLUCIÓN DE CLOUD COMPUTING. DIEZ

AÑOS DESPUÉS, CUENTA A CSO COMO HA SIDO EL VIAJE DEL PROVEEDOR

A LA NUBE DESDE EL PUNTO DE VISTA DE LA SEGURIDAD.

MARIO MORENO

DICIEMBRE 2016 | CSO

ENTREVISTA CSO ESPAÑA

Desde su llegada a Arsys ha sido tes- hacía un uso poco adecuado de nues-
tigo de primera mano de la transición tros datos personales y ahora, no tene-
de la compañía a la nube hasta liderar mos reparos en colgar nuestro currícu-
el mercado español como proveedor lum con todos nuestros datos
de servicios cloud computing ¿Cómo personales y ponerlo a disposición de
se ha vivido el cambio desde la divi- todo aquel que quiera consultarlo.
sión de seguridad? Tampoco tenemos hoy inconvenientes
Cuando me incorporé como director en conectar nuestros equipos profesio-
de seguridad en 2006 el sector tecnoló- nales en redes Wi-fi públicas y empezar
gico empezaba a sentar las bases de la a trabajar con total normalidad.
revolución Cloud que hemos vivido en
los últimos años. La consecuencia de Y, ¿cómo ha sido la evolución desde
este viaje hacia la nube ha sido un cam- el punto de vista del proveedor?
bio total en la concepción de la seguri- En realidad, Arsys siempre ha tenido
dad IT, más desde el concepto del pro- la seguridad como uno de sus pilares
pio usuario que desde el punto de vista estratégicos. Y, realmente no ha cam- enfoque. Hemos pasado de abordar la de datos como de las plataformas. Es
de los proveedores. Como usuarios, el biado tanto respecto a antes del cloud. seguridad de una forma departamental decir, los sistemas de redundancia, mo-
cambio ha sido radical porque hemos El malware, los ataques de denegación a hacerlo de manera integral. En 2010 nitorización, segregación y aislamiento
decidido utilizar los servicios en Cloud de servicios y otras muchas amenazas aunamos en Operaciones los principa- que deben implementarse sobre las
de una manera que los conceptos tra- siempre han estado ahí, y siempre he- les departamentos, que de una forma cinco capas que componen todo pro-
dicionales se han visto desbordados. mos destinado todos nuestros recursos u otra, participaban en aspectos como yecto Cloud: software, capacidad de
Por ejemplo, hace muy poco tiempo, para neutralizarlos. Lo único que he- la seguridad IT y física, la eficiencia computación, almacenamiento, redes y
nos escandalizábamos si una empresa mos debido hacer ha sido modificar el energética o la disponibilidad. data centers. En esas capas influyen

“
múltiples elementos. Sólo por citar al-
Las compañías se están subiendo en gunos de ellos, hablaríamos de diferen-
Los usuarios hemos decidido utilizar los masa a la nube; ¿qué tipo de seguri- tes tecnologías como firewalls, an-
dad demandan?
servicios en la nube de una manera que los Tenemos las habituales medidas de
ti-malware, sistemas de detección y
prevención de intrusos, sistemas SIEM
conceptos tradicionales se han visto desbordados seguridad que aplicamos a nuestros de gestión y correlación de eventos
servicios por defecto, tanto del centro para el análisis en tiempo real, redun-

DICIEMBRE 2016 | CSO

ENTREVISTA CSO ESPAÑA

tros hábitos de consumo IT y ahora ac- tía. No podemos olvidar que, en la in-
cedemos más tiempo a servicios distin- mensa mayoría de los casos, el eslabón
tos y desde más dispositivos. Esto más débil de la seguridad IT de cual-
implica que no podemos seguir cuestio- quier empresa es el propio usuario.
nando la seguridad hoy en día tal y
como lo hacíamos hace una década. ¿Cuáles son las amenazas a las que
Hoy, por ejemplo, no tiene mucho sen- hay que hacer frente en la actualidad?
tido que hablemos de asegurar un pe- Ahora mismo, el volumen de ataques
rímetro porque tal perímetro ya no que recibe cualquier servidor que esté
existe (o como mínimo está bastante conectado a Internet es muy alto y to-
difuso) y tenemos usuarios con varios talmente indiscriminado. En la mayoría
dispositivos (muchos de ellos persona- de las ocasiones los “malos” no atacan
les) y los datos que deben estar alma- un servidor porque es de una u otra
cenados en algún lugar al que se pueda empresa. Lo hacen simplemente por-

“
acceder fácilmente desde cualquier si- que está disponible y es vulnerable. Son
tio. Esto nos obliga a cambiar nuestro este tipo de ataques indiscriminados
El volumen de ataques que recibe cualquier enfoque y ser más creativos en nuestro los que ocupan actualmente la mayor
día a día como garantes de la seguridad parte de nuestro tiempo y los que ge-
servidor que esté conectado a Internet es IT de nuestras organizaciones, compa- neran mayores preocupaciones a nues-
ginando las medidas de seguridad con tros clientes.
muy alto y totalmente indiscriminado” la usabilidad de los servicios digitales. Los ataques de denegación de servicio
dancia de conectividad, de hardware, trás, gestionando y monitorizando la Esto, indefectiblemente, pasa por for- (DDoS) están reflejando un crecimiento
de suministro eléctrico (centros de infraestructura y aplicando su experien- mar y concienciar a los usuarios de los significativo en los últimos meses por lo
transformación, SAI y grupos electróge- cia a los datos que nos proporcionan riesgos a los que pueden exponer a su que se requiere una mejora sustancial
nos) y climatización (enfriadoras, bom- los sistemas. empresa cuando no securizan sus dis- de la capa de protección frente a este
bas de impulsión…), acceso biométrico, positivos móviles ni utilizan contrase- tipo de ataques, manteniendo siempre
sistemas de extinción de incendios de En definitiva, cloud computing deriva ñas de calidad, o llevan una base de activo el servicio del cliente.
gas, SCADA … Y, por encima de ellos, el en multitud de retos tanto para provee- datos de clientes en un móvil sin medi-
elemento más importante, la preven- dores, empresas y usuarios finales. das de cifrado, o la cuelgan en cualquier ¿Cuál es la inversión que le dedica Ar-
ción y el equipo humano que está de- Los usuarios hemos cambiado nues- servicio online del que no tienen garan- sys a la seguridad?

DICIEMBRE 2016 | CSO

 ENTREVISTA CSO ESPAÑA

“
Manejamos alrededor de un centenar de
iniciativas al año en torno a la seguridad
La seguridad es uno de los pilares so- ciones que combinen seguridad,
bre los que se sustenta el negocio de eficiencia y funcionalidades técnicas, fa-
Arsys como proveedor de servicios cilitando la adopción de la Nube entre las
Cloud para empresas. Nunca hemos empresas europeas. En este proyecto
dejado de invertir en la mejora de nues- Arsys colabora aportando un caso de uso
tros sistemas de seguridad y en proyec- con una de sus plataformas de almace-
tos de I+D capaces de mejorar nuestro namiento en la Nube (Cloud Storage), así
posicionamiento en esta materia. De como liderando el análisis de las posibles
hecho, anualmente manejamos alrede- estrategias de explotación y posibles mo-
dor de un centenar de iniciativas en dis- delos de negocio que todas las primitivas
tintas áreas de la empresa, y muchas de de seguridad desarrolladas en este pro-
ellas están encaminadas a mejorar los yecto pueden tener comercialmente. bilidades, como en la Prevención, al cumplan los niveles de protección que
principales indicadores de disponibili- Por su parte, SWEPT es un proyecto proteger la aplicación web desde den- exige la legislación española, que son
dad, seguridad, eficiencia energética y destinado a facilitar a las pymes euro- tro y monitorizar el tráfico de red en de los más altos de la UE. Privacy Shield
niveles de servicio de nuestras solucio- peas una presencia más segura en In- tiempo real, y en la Verificación, al com- es un acuerdo cuyo objetivo es garanti-
nes y de nuestros centros de datos. ternet, aunque no tengan excesivos co- probar que una web es segura y está zar que los datos que se transfieran en-
nocimientos tecnológicos. Para ello, su correctamente protegida. tre Europa y [Link]. gozan de un nivel
¿En qué consisten los proyectos euro- principal hito es el desarrollo de una de protección equiparable. En ese sen-
peos TREDISEC y SWEPT y cuál es la par- aplicación online, que está disponible Por último, ¿cómo les afecta la nueva tido, no podemos estar más de acuerdo
ticipación de Arsys? en versión beta desde el 30 de noviem- normativa Privacy Shield en materia de y manifestar nuestra satisfacción ante
El proyecto TREDISEC es una iniciativa bre, y que permite a las pymes gestio- datos y como puede incidir en los clientes? este tipo de medidas, ya que todo lo
de la Comisión Europea para abordar de nar la seguridad de sus páginas web Arsys es un proveedor nacido en Es- que suponga mejorar y ampliar la segu-
una manera integral los principales as- desde un enfoque multifacético, basa- paña cuyas infraestructuras están ubi- ridad de los datos, tanto de empresas
pectos de seguridad del Cloud Compu- do tanto en la Detección, al analizar la cadas en nuestro país. Eso siempre ha como de personas, son pasos en la di-
ting y desarrollar procedimientos y solu- web para identificar malvare y vulnera- garantizado que nuestros servicios rección adecuada. CSO

DICIEMBRE 2016 | CSO

 en la librería whitepapers de COMPUTERWORLD

[Link]

Transformación de la seguridad: Ideas para aumentar la satisfacción Solución de `firewall´ empresarial

entre en la nueva era de los de tus empleados y maximizar de Fortinet
`firewalls´ empresariales sus resultados

Demo Tealeaf 8 métodos esenciales para medir Puerto de Cartagena:

el rendimiento de tus empleados un caso de éxito
CIBERATAQUES CSO ESPAÑA

Factores clave en la
seguridad IoT
LOS EXPERTOS EN CIBERSEGURIDAD ADVIERTEN
QUE LA BAJA SEGURIDAD ADOPTADA POR MILES
DE MILLONES DE DISPOSITIVOS IOT QUE EN LOS
PRÓXIMOS AÑOS ESTARÁN CONECTADOS A LA RED,
CREARÁ UN ESCENARIO MUY VULNERABLE A SUFRIR
ATAQUES CON CONSECUENCIAS DEVASTADORAS.

Kenneth Corbin / IDG

DICIEMBRE 2016 | CSO

CIBERATAQUES CSO ESPAÑA

Los últimos acontecimientos que he- servicio del mes pasado al proveedor electrodomésticos, termostatos, avio- como electrodomésticos, fabricados por
mos vivido en el apartado de ciberse- de acceso Dyn, el cual provocó inte- nes - hay riesgos reales para la vida y marcas que no emplean en sus proce-
guridad han sacado a la luz como el rrupciones temporales en páginas y para la propiedad de las personas”. sos, especialistas en seguridad que sí
auge en el uso de dispositivos IoT servicios tan populares como son Twi- es posible encontrar en otras empresas
puede exponer a compañías y a paí- tter y Spotify, entre otras. Falla de seguridad tecnológicas de la talla de Apple o Goo-
ses en nuevas modalidades de ata- Pero ese incidente podría ser sólo un Schneier y otros testigos ofrecieron una gle. Schneier describe esta condición
ques. De hecho, diversos cyber exper- preludio de ataques mucho más gra- evaluación del estado de seguridad en como una “falla del mercado”, argumen-
tos advierten que con miles de ves con consecuencias potencialmente base a la explosión en el uso de dispo- tando que la economía simplemente no
millones de nuevos dispositivos co- catastróficas en el mundo físico, ad- sitivos IoT, donde se proyecta que miles incentiva a los fabricantes a desplegar
nectados, los ataques de hacking vierte Bruce Schneier, un experto en de millones de dispositivos estarán co- medidas de seguridad desde la fase ini-
coordinados podrían convertirse - li- seguridad y profesor en Harvard’s Ken- nectados en los próximos años, muchos cial del diseño y producción de los dis-
teralmente – en una cuestión de vida nedy Escuela de Gobierno. de los cuales, son objetos cotidianos positivos.
o muerte. Schneier asegura que “ es más peli-
Los legisladores de diversos países, groso a medida que nuestros sistemas
entre los que se encuentra Estados se vuelven más críticos. El ataque de
Unidos, convocaron recientemente Dyn fue benigno, se redujo a un par de Una seguridad de IoT inadecuada podría
una audiencia sobre seguridad IoT en sitios web, pero IoT afecta al mundo de provocar consecuencias devastadoras
respuesta al ataque de denegación de una manera directa, física - coches,

DICIEMBRE 2016 | CSO

 CIBERATAQUES CSO ESPAÑA

Por lo tanto, los puntos de entrada en

la oleada del os nuevos productos co-
nectados crean un ambiente donde Cómo hacer del IoT un entramado seguro
esos dispositivos pueden ser compro-
metidos y utilizados en potentes bot- El grupo asesor de Internet BITAG, que incluye a representantes de revocar los certificados cuando están comprometidos. “Por defecto,
nets que podrían ser utilizados contra organizaciones como Cisco Systems, Google, AT&T y Comcast, ha los dispositivos IoT no deben ser accesibles a través de las conexiones
cualquier infraestructura de un país explicado en un estudio que la seguridad del IoT doméstico es un de red entrantes, incluso desde dispositivos que están en la misma
determinado. problema primordial en estos días y que una de sus causas es que casa, porque podrían haber sido comprometidos. Y no será suficien-
“En resumen, la seguridad de IoT sigue los consumidores no actualizan el software de los dispositivos. “La te confiar en un cortafuegos para bloquear comunicaciones inseguras”.
siendo lamentablemente inadecuada”, mayoría de los usuarios nunca tomarán medidas por sí mismos Por último, el informe también recomienda que los aparatos utilicen
dice Kevin Fu, director ejecutivo de la fir- para actualizar el software”, avisa el grupo que recomienda a los IPv6, la última versión de Internet Protocol. Permite conexiones de
ma de ciberseguridad Virta Labs y profe- fabricantes al desarrollo de mecanismos para actualizaciones au- extremo a extremo entre dispositivos a través de Internet y tiene al-
sor asociado de la Universidad de Michi- tomáticas y seguras. Además, señala que algunos de los dispositivos gunas características de seguridad que el IPv4 más antiguo no lo con-
gan. “Ninguno de estos ataques son de consumo se envían con nombres de usuario y contraseñas dé- templa. Otros expertos han dicho que IPv6 será necesario solo para
fundamentalmente nuevos, pero la so- biles, lo que puede provocar que sean fácilmente infectados por proporcionar direcciones IP únicas para los miles de millones de dis-
fisticación, la escala de la interrupción, y malware que los convierta en robots. Este último hecho se hizo positivos IoT previstos. Sin embargo, la implementación del nuevo
el impacto en la infraestructura no tiene evidente a principios de este año cuando los botnets de Mirai cau- protocolo en redes puede ser un proceso difícil que no está exento
precedentes”. Fu está particularmente saron estragos en Internet debido a la vulnerabilidad de las cámaras de riesgos. Otras recomendaciones de BITAG no hacen referencia a
preocupado por las implicaciones de un de seguridad, entre otros aparatos. Por ello, BITAG ha lanzado la seguridad directamente, sino a los dolores de cabeza que algunos
hack IoT en el espacio de la salud, donde varios consejos para los vendedores de soluciones domésticas ba- consumidores han tenido con el Internet de las Cosas. El documento
los nuevos dispositivos en red se desplie- sadas en el Internet de las Cosas tanto para el software como para aconseja a las tecnológicas que fabriquen dispositivos que puedan
gan en entornos sensibles con implica- el hardware. Así, esas sugerencias podrían entrar pronto en funcio- trabajar sin conexión, ya que los errores y ciertos tipos de ataques
ciones evidentes en el mundo real. namiento en los productos de empresas que el grupo representa. pueden comprometer a un hogar entero. También deberían poder
“Vamos a tener algunos problemas La más básica es que los proveedores de IoT deben asumir que, even- funcionar si falla el servicio de la nube que lo acompaña. ¿Habrá algu-
graves si no respondemos a estas pre- tualmente, lo que construyan tendrán vulnerabilidades. Por ello, ne- na manera de asegurar que un dispositivo IoT sea cien por cien segu-
guntas”, dice Fu. “Temo por el día en cesitan herramientas de actualización automáticas que no obliguen ro desde su origen? BITAG ha sugerido la creación de un logotipo por
que todos los sistemas hospitalarios se a los usuarios a hacer nada. El informe pide a los fabricantes que in- parte de la industria para los productos que cumplan con un conjun-
encuentren caídos, por ejemplo, por- cluyan en sus procesos la autenticación de todas las comunicaciones, to de mejores prácticas para evitar que los consumidores tengan que
que un ataque de IoT haya derribado el cifrado de los datos almacenados en el dispositivo y una forma de revisar las especificaciones de cada dispositivo.
todo el sistema de salud”.

DICIEMBRE 2016 | CSO

CIBERATAQUES CSO ESPAÑA

El papel de un gobierno en la

Tres minutos bastan para hackear un dispositivo IoT

seguridad de IoT
La cuestión del papel apropiado que
debe jugar un determinado gobierno
en el fortalecimiento de la seguridad de Por su parte, otro estudio de ForeScout Technologies revela que El informe ha comprobado que dichos dispositivos representan
IoT, es complicado. Los legisladores de muchos de los dispositivos IoT pueden ser hackeados en tan un riesgo muy significativo para las organizaciones, ya que la
ambos lados del océano reconocen que solo tres minutos. Samy Kamkar, uno de los hackers éticos más mayoría de ellos no se fabrican con seguridad incorporada. Y a
la regulación de las tecnologías indivi- prestigiosos del mundo ha sido el encargado de dirigir el informe los que sí les pusieron una cierta seguridad “rudimentaria”, fun-
duales no es suficiente, dado el rápido que se ha centrado en siete dispositivos que las compañías uti- cionaban con un firmware peligroso y anticuado.
ritmo de desarrollo tecnológico y la ra- lizan normalmente, incluyendo sistemas de seguridad conecta- Además, el estudio saca otras conclusiones: si los dispositivos
pidez con que las amenazas a la segu- dos y medidores de energía, sistemas de videoconferencia, im- IoT se infectan, los hackers pueden poner backdoors para crear
ridad están evolucionando. presoras conectadas, etc. un ataque DDoS, y con los teléfonos de voz IP se pueden explo-
Diversos especialistas sugieren que “El Internet de las Cosas está aquí para quedarse, pero el au- tar parámetros de configuración para evadir la autenticación,
organizaciones como el Instituto Na- mento de su presencia en las empresas está creando una su- dejando paso a la grabación de llamadas.
cional de Estándares y Tecnología, o la perficie de ataque mucho más grande que, además, ofrece pun- La huella digital del IoT continúa expandiéndose sin mostrar
Fundación Nacional de Ciencias, po- tos de entrada fácilmente accesibles para los atacantes”, ha dicho síntomas de desaceleración. Gartner prevé que en 2020 haya
drían desempeñar un papel útil formu- Michael DeCesare, presidente y CEO de ForeScout Technologies. 20.000 millones de dispositivos conectados, siendo un tercio de
lando especificaciones basadas en “La solución comienza con una visibilidad continua en tiempo éstos vulnerables en las redes empresariales, gubernamentales,
principios que podrían ayudar a fabri- real y con el control de los dispositivos en el instante en el que sanitarias e industriales de todo el mundo.
cantes y desarrolladores de aplicacio- se conectan, ya que no se puede asegurar lo que no se ve”.
nes a incorporar fuertes protecciones
de seguridad desde el principio. drían extenderse a la cadena de pro- tiembre, cuando el Congreso de Esta- “En el mundo de las cosas peligrosas,
“Creo que el elemento principal por ducción de cualquier fabricante. Pero dos Unidos se movilizó rápidamente restringimos la innovación cuando es
el que se debe comenzar es por los es- al considerar el papel del gobierno, él para autorizar la creación del Departa- necesario, es por lo que no se puede
tándares”, dice Dale Drew, vicepresi- va un paso más allá, argumentando mento de Seguridad Nacional. Sin construir un avión y hacerlo volar sin
dente senior y jefe de seguridad de que esperar a que los ataques se suce- duda, es un error esperar a que algo antes haberlo probado”, destaca Sch-
Level 3 Communications, un proveedor den solo puede empeorar la situación suceda para poner remido al proble- neier. “Puede ser que la era de la Inter-
de backbone de Internet. Schneier y poner en jaque al ser humano. ma, cuando la magnitud de los cibera- net de diversión y juegos haya termi-
también propone fuertes medidas de El directivo recuerda la secuela que taques pueden llegar a tener una re- nado, porque Internet es ahora mucho
seguridad en los estándares que po- produjeron los ataques del 11 de sep- percusión inimaginable. más peligroso”.CSO

DICIEMBRE 2016 | CSO

LEGISLACIÓN CSO ESPAÑA

Acuerdo sobre transferencia

de datos a [Link]. con fines policiales y judiciales
LA COOPERACIÓN POLICIAL Y JUDICIAL ENTRE LOS

ESTADOS UNIDOS DE AMÉRICA ([Link].) Y LA UNIÓN

EUROPEA (UE) EN EL CASO DE INFRACCIONES PENALES

SERÁ AHORA MÁS EFICIENTE GRACIAS A QUE, EL

PASADO 2 DE JUNIO DE 2016, SE FIRMÓ EL CONOCIDO

COMO ACUERDO PARAGUAS (EN INGLÉS, “UMBRELLA

AGREEMENT”) Y A QUE FINALMENTE HA SIDO OBJETO DE

UNA DECISIÓN DEL CONSEJO, TAL Y COMO SE REQUERÍA.

MIGUEL RECIO, ABOGADO EXPERTO EN PROTECCIÓN DE DATOS Y TIC

DICIEMBRE 2016 | CSO

 LEGISLACIÓN CSO ESPAÑA

T
ras la adopción de dicho acuer-
do por el Consejo el 2 de di-
ciembre de 2016, finalmente se
publicaron en el Diario Oficial
de la Unión Europea tanto la
Decisión (UE) 2016/2220 del Consejo, de
2 de diciembre de 2016, relativa a la cele-
bración, en nombre de la Unión Europea,
del Acuerdo entre los Estados Unidos de
América y la Unión Europea sobre la pro-
tección de los datos personales en rela-
ción con la prevención, la investigación, la
detección y el enjuiciamiento de infraccio-
nes penales como el Acuerdo entre los
Estados Unidos de América y la Unión Eu- de la prevención, investigación, detección transferidos serán utilizados para “fines tar “medidas razonables para garantizar
ropea sobre la protección de datos per- y enjuiciamiento de infracciones penales, específicos autorizados por la base jurídi- que los datos personales se conservan
sonales relativa a la prevención, investiga- incluido el terrorismo”. ca de la transferencia” sin que puedan uti- con la exactitud, pertinencia, puntualidad
ción, detección o enjuiciamiento de En concreto, el Acuerdo se basa en prin- lizarse posteriormente de manera “incom- y exhaustividad necesaria y adecuada
infracciones penales. cipios dirigidos a hacer que las transferen- patible con los fines para los que se para el tratamiento lícito de los datos”.
El Acuerdo pretende ser un “marco jurí- cias de datos personales sean más segu- transfirieron.” Seguridad de la información y notifica-
dico duradero” que sirva para garantizar ras y que son los siguientes: Transferencia ulterior: de manera que ción de incidentes de seguridad de la in-
“un alto nivel de protección de los datos Limitación de los fines y de la utilización: los datos personales únicamente podrán formación: teniendo que adoptar “medi-
personales intercambiados en el contexto lo que supone que los datos personales “transferirse a un Estado que no esté obli- das técnicas, de seguridad y organizativas
gado por el presente Acuerdo o a un or- necesarias para la protección de los datos
ganismo internacional únicamente cuan- personales”. A tal fin se considerarán la
El Acuerdo pretende ser un marco jurídico do se haya obtenido el consentimiento destrucción accidental o ilícita; la pérdida
duradero que sirva para garantizar un alto previo de la autoridad competente que accidental, y la difusión, alteración, acce-

nivel de protección de los datos personales envió inicialmente los datos”.

Calidad e integridad: lo que implica que
so, u otro tipo de tratamiento no autori-
zado. Y en cuanto a la notificación de in-
intercambiados las Partes del Acuerdo tengan que adop- cidentes de seguridad que supongan “la

DICIEMBRE 2016 | CSO

 LEGISLACIÓN CSO ESPAÑA

pérdida o destrucción accidental, o el ac-

ceso no autorizado, la divulgación o la al-
teración no autorizados de los datos per-
sonales, en los que existiese un riesgo
importante de menoscabo, la autoridad
competente receptora evaluará con pron-
titud la probabilidad y la magnitud de los
daños causados a las personas y a la in-
tegridad del programa de la autoridad
competente de transferencia, y adoptará
rápidamente las medidas oportunas para
atenuar los daños.” En dicho caso, habría
que notificar tanto a la autoridad compe-
tente de la transferencia como a la perso-
na a la que se refieren los datos persona-
les, salvo que, por ejemplo, la notificación
pudiera poner en peligro la seguridad
pública o nacional. de las personas afectadas, y otras consi- nes políticas o religiosas u otras creencias, tratamiento se lleve a cabo solo caso por
Periodo de conservación: lo que implica deraciones jurídicas aplicables”. la pertenencia a un sindicato o datos per- caso; ocultar, eliminar o bloquear los da-
que las Partes “establecerán en sus mar- Categorías especiales de datos: lo que sonales relativos a la salud o la vida sexual tos tras haber procedido a los fines para
cos jurídicos específicos aplicables los pe- supone que “sólo podrá llevarse a cabo el con las garantías adecuadas de conformi- los que fueron tratados”.
ríodos de conservación de documentos tratamiento de datos personales que re- dad con la ley”. Entre dichas garantías se Además, el Acuerdo incluye los derechos
que contengan datos personales cuyo ob- velen el origen racial o étnico, las opinio- encuentran, por ejemplo, “permitir que el de acceso y rectificación de las personas
jeto sea garantizar que los datos persona- a las que se refieren los datos personales,
les no se conservan durante más tiempo así como la posibilidad de acceder a recur-
del necesario y apropiado”. A tal fin, las
Ante un incidente, éste deberá ser sos administrativos y judiciales.
Partes “deberán tener en cuenta la finali- notificado tanto a la autoridad competente Este Acuerdo tiene una duración indeter-
dad del tratamiento, la naturaleza de los
datos y la autoridad que la tramita, la re-
de la transferencia como a la persona a la minada, previéndose que sea revisado de
manera conjunta y que pueda ser suspen-
percusión sobre los derechos e intereses que se refieren los datos personales dido en caso de incumplimiento. CSO

DICIEMBRE 2016 | CSO

 a l i d a d
A c t u
webinars
[Link]/webinars