“La protección es necesaria

n ú m e r o 1 2 - F E B RERO 2 0 1 7
cso.computerworld.es
pero la detección
es obligatoria”

Jesús
Milán Lobo
CISO de Liberbank
KASPERSKY SECURITY AWARENESS
FORMACIONES DE CONCIENCIACIÓN EN CIBERSEGURIDAD
 sumario CSO ESPAÑA

A fondo ENTREVISTA en primera persona

o ‘Privacy Shield’ o cómo salvaguardar la protección de los datos o Jesús Romero, director de IBM Security o Jesús Milán Lobo, CISO de Liberbank
para IBM España, Portugal, Grecia e Israel

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

o EDITORIAL

c i b e r se g u r i da d

o Se busca profesional especializado en ciberseguridad

e v e n t os

o La ciberseguridad plantea nuevos retos al sector financiero

e m pr e n d i m i e n t o e n se g u r i da d

o eID, un sueño hecho casi realidad

Le g i slac i ó n

o La seguridad como factor determinante para elegir al encargado del tratamiento

opi n i ó n

o El CIO y el CISO como habilitadores de Negocio

o ¿Será la nube en 2017 un refugio seguro para los datos?

FEBRERO 2017 | CSO

 @ [email protected]
t @CSOspain
CSO ESPAÑA
o cso.computerworld.es

REDACCIÓN
Directora: EDITORIAL
María José Marzal [email protected] t @mjmarzal

La ciberguerra
@

Coordinadora editorial:
Esther Macías @ [email protected] t @esmacis

Redactores y colaboradores:
Alfonso Casas @ [email protected] t @acasasIDG
Mario Moreno @ [email protected] t @@mmoret02
Irene Muñoz @ [email protected] t @IreneMunozVal
Claudia Ortiz-Tallo @ [email protected] t @ClauOrtiztallo

E
Víctor Fernández, Marga Verdú, Reyes Alonso, Eugenio
Ballesteros, Beatriz Sánchez, José Antonio Rubio.
Departamento Audiovisual: Juan Márquez
La velocidad de cambio que Tanto es así que para este año lo que se radar de los ataques. El asunto es com-
Fotografía: Juan Márquez, Beatriz Garrigós, Pepe Varela
Diseño y producción digital: Missmustache.es
está viviendo el mundo nos estima es que crezcan los ciberataques plicado ya que si eres objetivo de esas
obliga a percibir como reales dirigidos por Estados y ya no estaríamos mafias el ataque se producirá seguro y
PUBLICIDAD
Senior Account Manager: Inma Pérez @ [email protected]
situaciones que antes –no hablando de caso de espionaje sino de es, entonces, cuando la compañía debe-
Account Manager: Maite Aldaiturriaga @ [email protected] hace tanto– solo recaían en la actos de guerra. El cómo lo harán tiene ría haber puesto en marcha su estrate-
Account Manager: Sergio Quero @ [email protected]
esfera de la ficción o la ciencia-ficción. su lógica, ya que para atacar a un país ya gia de seguridad no solamente defen-
ATENCIÓN AL LECTOr Guerras cibernéticas lideradas por ro- no vale solo con robar “inteligencia”, el diéndose del ataque hasta anular sus
@ [email protected] 902 103 235 / 913 496 789 bots se lidiaban en un escenario que objetivo se ha radicalizado y lo que este efectos sino anticipándose. Y esto es
WEB muy pocos podían prever que fueran a tipo de terrorismo pretende es atacar las posible: la tecnología existe y los profe-
Publicidad online: Miguel Palomero @ [email protected] ser viables en nuestro mundo. Pues sí, industrias consideradas “infraestructu- sionales también. Solo faltaría un poco
Programación web: Joaquín Hevia @ [email protected]
la carrera tecnológica ha supuesto gran- ras críticas” y parar o anular la actividad de concienciación por parte de todos.
EVENTOS des avances en todos los sentidos pero normal de un país. Para conseguir tal
Coordinación: Marta García @ [email protected]
Organización y logística: Toñi Hernández @ antonia.
como siempre todo tiene su lado nega- objetivo las mafias terroristas atacarían
[email protected] y Nasty Morales @ [email protected] tivo. En nuestro caso podríamos hablar a empresas encuadradas en el segmen-
del lado oscuro. Sí, porque es en ese es- to de bienes de consumo de primera
Grupo editorial IDG Communications
pacio donde, según afirman los analis- necesidad como el agua o la luz. Por lo
Director general: Manuel Pastor María José Marzal
Directora de Eventos: María José Marzal tas, se gestan los mayores ataques a tanto, serán las compañías eléctricas y
t @mjmarzal
Director de Marketing Services: Julio Benedetti empresas, organismos e incluso países. energéticas las que se encuentran en el
Responsable financiero: José Luis Díaz

FEBRERO 2017 | CSO

Contenidos Premium de seleccionados para VD.

Migración de las cargas

Migración ilimitada de
de trabajo Oracle a la Cloud
aplicaciones Oracle a Cloud
de la compañía
a fondo CSO ESPAÑA

‘Privacy Shield’
o cómo salvaguardar la
protección de los datos
2 de febrero de 2016. En esa fecha, la Comisión Europea y el Gobierno de

los Estados Unidos alcanzaron un acuerdo para la puesta en marcha

del nuevo escudo de privacidad EU-EE.UU. Lo que se conoce como

Privacy Shield viene a establecer un marco sólido que garantice la

transferencia de datos en mejores condiciones y con total seguridad.

Víctor Manuel Fernández

FEBRERO 2017 | CSO

 a fondo CSO ESPAÑA

P Sí, pero no
rivacy Shield. Un escudo de transacciones de datos al actual. Así, se
privacidad para sustituir un deja atrás Safe Harbor (‘Puerto Seguro’)
‘puerto seguro’. Un regla- para regularizar dichas transacciones
mento para sustituir a otro. por medio de Privacy Shield. No todos ven con buenos ojos la adopción
Y los protagonistas de este ¿Tan malo era el anterior que merecía de Privacy Shield. Algunas voces discrepan
cambio de regulación, los datos, su se- una nueva formulación? Para ponernos de su aprobación y puesta en marcha
guridad a la hora de ir de un lado a otro, en antecedentes, Safe Harbor era el desde un punto de vista práctico. Incluso
de cliente en cliente, de empresa en marco que regulaba la transferencia de hasta se permiten dudar de su existencia
empresa. datos entre EE.UU. y la Unión Europea. a largo plazo, como hace Sheila FitzPatrick,
Porque lo esencial es la seguridad. Hasta que apareció Edward Snowden y worldwide data governance counsel and
Son demasiados intereses, demasiado puso en tela de juicio la seguridad y el chief officer de NetApp: “La Comisión Eu-
dinero, demasiadas cosas las que están tratamiento que se hacía de los datos ropea va a conceder un año al acuerdo
en juego como para que los datos cir- de los ciudadanos europeos al otro Privacy Shield para comprobar si es un
culen de un lado a otro del Atlántico lado del Atlántico. Si para Gabinete Ca- marco eficaz que cumple con las obliga-
como si caminaran por un campo de ligari “la culpa fue del cha-cha-cha”, que ciones estipuladas por las leyes europeas
minas. Seguridad, en definitiva. Lo que Safe Harbor quedara en entredicho lo para protección de datos. No se llevará
parece que se consigue con la aproba- fue por la filtración de los procedimien- a cabo ninguna acción contra las compa- Sheila FitzPatrick, worldwide data
ción de este nuevo marco regulatorio tos de la NSA (Agencia Nacional de Se- ñías durante el primer año, aunque ya governance counsel and chief officer
que entró en vigor en julio de 2016, re- guridad norteamericana). se han presentado algunas objeciones. de NetApp.
solución del Parlamento Europeo y dic- Por eso, y debido a los diferentes cri- Veo esto como una oportunidad para que
tamen del Grupo de Trabajo del Artícu- terios que la Unión Europea y EE.UU. las compañías de EE.UU. consideren otros marcos, ya sea el BCR o las Cláusulas Con-
lo 29 (autoridades de protección de adoptaban en materia de vigilancia y tractuales Modelo, para que sigan operando legalmente bajo el acuerdo Privacy Shield.
datos) mediante. protección de datos de carácter perso- A largo plazo, no creo que sea un marco en el que se basen las compañías de EE.UU.”.
nal, el referido acuerdo quedó anulado
Del puerto al escudo por el Tribunal de Justicia de la Unión
Para los más avispados, advertirles de Europea. Todo ello con fecha del 6 de ra por la seguridad del tratamiento e Llega Privacy Shield
que no vamos a hablar del Puerto que octubre de 2015. intercambio de datos de parte de las Es el momento de entrar en harina y
separa Cantabria de Castilla y León (si Desde ese mismo momento, ambas empresas norteamericanas. El resul- contar qué es exactamente Privacy Shield
se permite la broma), sino del paso del partes iniciaron los trabajos para re- tado, el ya conocido: la llegada de Pri- y cuáles son sus características. Básica-
anterior marco legal que regulaba las dactar un nuevo documento que vela- vacy Shield. mente, lo que este nuevo marco regu-

FEBRERO 2017 | CSO

 a fondo CSO ESPAÑA

latorio pretende es proteger a cada estos tiempos, en los que las grandes
individuo de una manera más efectiva; plataformas de Internet propician la
especialmente, sus datos personales existencia de masivas transferencias de
cuando sean transferidos de la Unión información de ciudadanos europeos
Europea a EE.UU. Pero también preten- a empresas estadounidenses, la im-
de arrojar luz sobre la legalidad de estas plantación de un sistema que refuerce
transferencias por parte de las empre- las garantías, la protección de la infor-
sas. El quid de la cuestión. mación y los derechos de esos ciuda-
Sin ir más lejos, el artículo 25 de la danos, debe considerarse positivo, no
Directiva Europea de Protección de sólo desde el punto de vista de la pri-
Datos sólo permite que su transferen- vacidad sino desde una perspectiva
cia desde el territorio de la Unión se económica y de negocio”.
haga a aquellos países que garanticen
un nivel adecuado en la protección de Empresas: grado de afectación
los datos. Puesto que hablamos de datos, tanto
Y eso es lo que hace Privacy Shield: empresas como personas deberían ser
sentar las bases de un nuevo acuerdo los grandes beneficiados del nuevo mar-
y establecer un marco regulatorio en co legislativo que supone la entrada en
materia de protección de datos de ca- vigor de Privacy Shield. Y más si tenemos
rácter personal. Un acuerdo más res- en cuenta que, por primera vez, “incluye
trictivo y adaptado a la normativa eu- ‘Privacy Shield’ palia el vacío legal existente compromisos y garantías por escrito res-
ropea.
En conclusión, el nuevo marco regu-
y equipara las legislaciones de Europa y pecto al acceso a los datos por parte de
las autoridades públicas”, como explica
latorio palia el vacío legal existente y EE.UU. en materia de transferencia de datos José Vicente Espinosa, senior business
equipara las legislaciones de Europa Tech Arquitect de CA Technologies Iberia.
y EE.UU. en materia de transferencia transfieran al otro lado del Atlántico. Y un marco legal necesario como el Pero algunas voces no lo acaban de
de datos. Un texto que crea un nuevo Así, las empresas que dependen de comer, y más en una época como la ac- ver del todo claro, como es el caso de
sistema para proteger los derechos transferencias internacionales de da- tual. Que es lo que cree Francisco Pérez Sheila FitzPatrick, worldwide data go-
fundamentales de los ciudadanos de tos entre ambas partes ganan en cla- Bes, secretario general del INCIBE (Ins- vernance counsel and chief privacy offi-
la Unión Europea cuyos datos se ridad jurídica. tituto Nacional de Ciberseguridad): “En cer de NetApp, quien no tiene reparos

FEBRERO 2017 | CSO

 a fondo CSO ESPAÑA

‘Privacy Shield’ se trata de una buena Naturaleza y práctica

evolución de ‘Safe Harbor’
de ‘Privacy Shield’
en afirmar que “desde un punto de vis- tos de la Unión Europea. Una lista dis- Hemos pedido a Francisco Pérez Bes, se-
ta estrictamente práctico, la aprobación ponible, a la vista de todo el mundo cretario general del INCIBE, que analice
del acuerdo Privacy Shield no proporcio- (https://www.privacyshield.gov/welco- este nuevo marco legislativo desde un
na un respiro a las multinacionales con me), y que permite comprobar de una punto de vista práctico. En su opinión,
base en EE.UU. que transfieren datos manera sencilla qué compañía cumple Privacy Shield se basa en cuatro principios
personales de la UE a Estados Unidos. lo estipulado en Privacy Shield. fundamentales:
Por eso, y desde un punto de vista per- · “El primero consiste es fijar obligaciones
sonal, no apoyo el acuerdo Privacy ¿Seguridad? Pues… de control de los compromisos de protec- Francisco Pérez Bes, secretario general
Shield y creo que deberíamos usar unos Y llegamos al quid de este reportaje. ción de la información que han suscrito del INCIBE.
marcos más sólidos”. El porqué de la puesta en marcha de las empresas que almacenan y tratan da-
En lo que respecta a las empresas, so- Privacy Shield estaba claro: asegurar tos personales, bajo amenaza de sanciones económicas e, incluso, retirada de una
bre todo las radicadas en EE.UU. y que los datos de empresas y usuarios. Pues- lista pública donde puede consultarse si esa empresa se ha adherido al Privacy Shield.
estén adheridas este nuevo marco le- tos al habla con diversos responsables Este endurecimiento de las condiciones se extiende, incluso, a las transferencias ulte-
gislativo, están obligadas a poner en de compañías tecnológicas, algunos riores que dichas empresas pudieran hacer a terceros.
marcha “algunos controles y procedi- incluso dudan de que la seguridad sea · El segundo principio se refiere a un compromiso de transparencia y limitaciones, sal-
mientos de seguridad. Estos serán con- la que se pueda deducir de lo estable- vaguardias y mecanismos de supervisión claros en aquellos casos en los que pueda
trolados por el Ministerio de Comercio cido en el acuerdo alcanzado por EE. haber acceso de las autoridades públicas estadounidenses a dicha información. Eso
bajo la definición de ‘Principios de Pri- UU. y la Unión Europea. “¿Más seguros incluye la implementación de vías de recurso para los ciudadanos de la Unión Europea,
vacidad”, tal y como asegura Loïc Gué- que qué? Garantías 100% de seguridad al objeto de evitar una vigilancia masiva indiscriminada de los datos personales que se
zo, estratega de Ciberseguridad de no hay en nada”, advierte Loïc Guézo, transfieran desde Europa a los Estados Unidos.
Trend Micro para el sur de Europa. para después, no obstante, resaltar los · En tercer lugar, este acuerdo pretende reforzar la protección de los derechos indivi-
Y una cosa más para dichas empresas: puntos positivos que atisba en dicho duales de los ciudadanos europeos, a cuyos efectos se ofrecen mecanismos extrajudi-
una certificación anual para ellas. Como acuerdo: “Sí que se trata de una buena ciales de resolución de controversias, sin perjuicio de que pueda solicitarse el amparo
en el caso anterior, también será obli- evolución de Safe Harbor. Por ejemplo, de las autoridades nacionales de protección de datos, con una posibilidad última de
gatoria si quieren seguir recibiendo da- incluye una capacidad de mediación, solicitar un arbitraje e, incluso, el amparo de un defensor del pueblo europeo.

FEBRERO 2017 | CSO

a fondo CSO ESPAÑA

Un incentivo para
las empresas
“Aunque las compañías que estaban certificadas bajo el marco Safe Harbor ya
deberían cumplir con muchos de los requerimientos del Privacy Shield, invertir
tiempo y recursos en esta certificación demuestra un compromiso con la priva-
cidad de datos en el mercado global. Privacy Shield ofrece un incentivo más a las
empresas para asegurar que cuentan con los procesos y medidas técnicas nece-
sarias para proteger los datos, y extiende esas mismas obligaciones a los distin-
tos participantes en la cadena de suministro”, afirma José Vicente Espinosa, senior
business tech architect de CA Technologies Iberia.

liderada por la agencia nacional de pri- autoridades públicas. “En concreto – personales que se recogen, el motivo lo que engloba este acuerdo. Y el todo
vacidad de la UE”, sostiene el mencio- concreta José Vicente Espinosa, senior para el que serán procesados y con es que, además, también está pensa-
nado ejecutivo. business tech architect de CA Techno- quién serán compartidos esos datos do para proteger los derechos de los
Otros, en cambio, resaltan la natura- logies Iberia–, nos referimos al princi- personales”. ciudadanos frente a las transferencias
leza de varios puntos del acuerdo. En pio de “notificación”, que requiere que De todas formas, también conven- internacionales de sus datos por parte
especial uno de ellos: los compromi- los individuos reciban información so- dría no reducir Privacy Shield única- de las empresas tecnológicas que do-
sos y la garantía por escrito respecto bre la participación de una organiza- mente a la protección de datos. “Por- minan Internet con sus servicios de
al acceso a los datos por parte de las ción en el acuerdo, el tipo de datos que no debemos de olvidar el todo de gestión de información personal. Las

FEBRERO 2017 | CSO

 a fondo CSO ESPAÑA

obligaciones de comunicación segura, parte de las empresas, y evite un acce-

en el sentido de protegidas frente a so indiscriminado y sin control por par-
accesos no consentidos, son aspectos te de los gobiernos”.
que ya vienen recogidos en las norma-
tivas específicas de protección de la Consejos para la seguridad de las
información. Dicho con otras palabras, comunicaciones
el acuerdo requiere que las medidas En definitiva, la seguridad de los datos
de seguridad que deben proteger esos quedaría garantizada con Privacy Shield.
datos sean eficaces”, detalla el secre- Al menos, más de lo que lo estaba an-
tario general del INCIBE. teriormente con Safe Harbor. Pero la
rueda de la vida gira y gira, y la tecno-
Privacy Shield versus logía trae consigo nuevas maneras de
Safe Harbor relacionarse, nuevas formas de conec-
Ya contamos líneas más arribas del por- tarse con empresas y otras personas.
qué de la desaparición de la normativa Y los datos, siempre en juego.
Safe Harbor y la puesta en marcha de su Por eso, es entendible que puedan
sustituta, Privacy Shield. Sólo con la men- existir empresas y usuarios que no es-
ción del motivo expuesto muchos lecto- Penny Pritzker, por entonces secretaria de Comercio de EE.UU, y Vĕra Jourová, tén del todo convencidos acerca de la
res pensarán que era necesaria una vuel- comisaria europea de Justicia, en el anuncio de la versión definitiva del tratado de seguridad que pueda proporcionar el
ta de tuerca a la legislación anterior, datos ‘Privacy Shield’, en julio de 2016. marco recogido en el acuerdo Privacy
quizá un tanto laxa en lo que a la segu- Shield. “Hay que tener presente que la
ridad de los datos se refiere visto lo visto. más discrepan de Privacy Shield, como teriormente, hacer lo que quieran con innovación y los datos no se detienen
Para empezar, sí es cierto que no su- es la de Sheila FitzPatrick. Su razón es los datos”. en las fronteras. Con el Internet de las
pone un cambio radical respecto del plausible: “Temo que muchas compa- No obstante, lo importante de todo Cosas y otras innovaciones que hacen
acuerdo de Safe Harbor, consideran va- ñías traten el acuerdo Privacy Shield esto, como quiere resaltar Francisco Pé- uso de una comunicación intensiva, la
rios de los expertos consultados para de la misma forma que hicieron con rez Bes, es que “exista un procedimien- transferencia diaria de datos es una
este reportaje, aunque tampoco existía el marco Safe Harbor, limitándose a to claro y transparente que proteja los cuestión de necesidad, por lo que la
una necesidad clara de romper con el hablar con la boca pequeña de regis- derechos de los ciudadanos europeos, confianza entre los proveedores de ser-
esquema anterior. tros online, el pago de cuotas, la ob- y que regule de una manera adecuada vicios tecnológicos, clientes y regulado-
Hasta el punto que las voces que tención de certificaciones, para, pos- el uso de la información personal por res es un componente esencial”, ad-

FEBRERO 2017 | CSO

 a fondo CSO ESPAÑA

vierte el senior business tech architect

CA Technologies Iberia.
De ahí que, por si las moscas, no ven-
ga mal hacer caso a una serie de conse-
jos para, en la medida de lo posible,
asegurar las comunicaciones y así pre-
servar la integridad de los datos e infor-
mación de la persona y empresas. Des-
de herramientas técnicas que refuercen
la protección de las comunicaciones
online –ojo, siempre actualizadas–, es-
pecialmente el cifrado y la protección
de comunicaciones punto a punto, has-
ta el establecimiento de medidas de
carácter organizativo y buenas prácti-
cas en la transferencia de datos a ter-
ceros.
¿Más concreción? Dejemos que lo
haga, para concluir el reportaje, el se-
cretario general del INCIBE, Francisco
Pérez Bes: “El uso de VPN, cifrado de la
información, uso de contraseñas ro- nización, al objeto de tratar la informa-
bustas con doble nivel de identifica- ción propia y ajena como un activo
ción, permisos de accesos y control y El endurecimiento de las condiciones más, esencial para el desarrollo del ne-
seguimiento de la información, implan- gocio con independencia del sector en
tación de un SGSI, un CISO, etc. son
impuestas por ‘Privacy Shield’ se extiende, el que esa empresa desarrolle su acti-
medidas que pueden ir incorporándo- incluso, a las transferencias ulteriores que vidad”.
se poco a poco a las empresas con tal
de crear una estrategia interna y una
dichas empresas pudieran hacer a terceros Consejos que siempre viene bien co-
nocer. Todo sea por la seguridad de
cultura de seguridad dentro de la orga- nuestros datos. CSO

FEBRERO 2017 | CSO

 gestión de la seguridad de la información CSO ESPAÑA

Los expertos discrepan sobre hacia dónde

se dirige la seguridad de la nube

¿Será la nube
en 2017 un
refugio seguro
para los datos?
Ryan Francis

FEBRERO 2017 | CSO

 gestión de la seguridad de la información CSO ESPAÑA

L
as preocupaciones de seguri- utilizando la nube para mejorar la visi-
dad solían ser la mayor barre- bilidad con una retención más larga y
ra para la adopción de la nube un procesamiento continuo de sus ana-
pública. En 2017, ya no será el líticas”.
caso. Tim Prendergast, CEO Proporcionar la seguridad empresarial
de Evident.io, cree que ya está amplia- a través de la nube terminará reducien-
mente aceptado que la seguridad de la do el coste y la complejidad de la in-
nube pública es fuerte, ahora la princi- fraestructura de seguridad, y los siste-
pal preocupación es cumplir con las mas de dispositivos heredados serán
normas. Las empresas que están adop- reemplazados por modelos distribuidos
tando la nube tienen que ser capaces más ágiles, explica.
de demostrar que están haciendo las “Se está exigiendo cada vez más que
cosas de manera segura y conforme a la seguridad sea tratada como una he-
las regulaciones. rramienta básica fundamental con la
“Da igual que estemos hablando de que se pueda asumir que se está a sal-
PCI, HIPAA, NIST-800 53 o de las normas vo. La nube es la clave para permitir
de cumplimiento interno, las empresas esto, gracias a ventajas como las opcio-
tienen que ser capaces de demostrar nes de almacenamiento, la escalabili-
que pueden mantener el cumplimiento dad y la facilidad de despliegue”, co- Las preocupaciones de seguridad solían
al ritmo vertiginoso de los cambios de
la nube”, explica. Para resolverlo, ten-
menta Chasin. Pat O’Day, CTO de
BlueLock, predice que habrá muchas
ser la mayor barrera para la adopción de la
drán que acudir a soluciones de cumpli- empresas que cuando tengan que mo- nube pública. En 2017, ya no será el caso
miento y seguridad automáticas que les dernizar el hardware optarán por la
ayuden a medir e informar con facili- nube en lugar de por hardware nuevo.
dad, añade. “Debido a la virtualización, se está aban- es la manera de conseguirla. Además, presas que optan por un modelo que les
Según Scott Chasin, CEO y cofundador donando mucho el hardware. Las em- las rápidas innovaciones tecnológicas permita aprovechar el tiempo de evalua-
de ProtectWise, gracias a la nube, la se- presas se están cansando de tener que han impulsado una mayor competencia ción inmediato y tener siempre la última
guridad se convertirá en una herra- actualizar sus sistemas de TI con hard- (piense en el incremento de la inteligen- tecnología. Con la nube, incluso las em-
mienta. “En 2017, veremos más organi- ware nuevo cada cinco años. La gente cia artificial, por ejemplo), explica O’Day. presas más pequeñas pueden competir
zaciones de seguridad empresarial quiere tener más movilidad, y la nube Por estas razones, cada vez hay más em- en el plano tecnológico.

FEBRERO 2017 | CSO

gestión de la seguridad de la información CSO ESPAÑA

IaaS para ser explotado mente, aprovechar esas plataformas de

Corey Nachreiner, CTO de Watchguard, virtualización sólidas para establecer la
advierte que hay que ser consciente de infraestructura de su ataque. En 2017,
que habrá atacantes que exploten la creo que veremos a esos atacantes
infraestructura como servicio (IaaS), aprovechándose aún más de la IaaS pú-
como plataforma de ataque y como su- blica, tanto como superficie potencial
perficie de ataque. de ataque como plataforma potente
Durante los últimos cinco años, em- para construir sus redes de ataque y
presas de todos los tamaños han adop- malware. El año que viene habrá al me-
tado algún tipo de servicio en la nube; nos un ciberataque que ocupará todos
o bien ofertas de software como servi- los titulares, lanzado desde o dirigido a
cio (SaaS), como Office 365, Salesforce, un servicio IaaS público.
y Dropbox, o bien plataformas de in- Los empleados de seguridad de Big-
fraestructura como servicio públicas Panda no están de acuerdo con esta
(IaaS), como Amazon AWS y Microsoft opinión, como explican en esta declara-
Azure. ción: los clientes no tienen que preocu-
La IaaS pública, concretamente, está parse por la seguridad de proveedores
creciendo rápidamente entre las pe- de nube como AWS, Azure y Google, ya
queñas empresas. De acuerdo con el que estos proveedores de nube pública
informe State of the Cloud 2016 de Ri- cuentan con mejores prácticas de segu-
ghtScale, el 71% de las pequeñas y me- ridad que la mayoría de aplicaciones
dianas empresas están ejecutando al internas de las empresas. Stan Black,
menos una aplicación en AWS o Azure. CSO de Citrix, se pregunta si la depen-
Lamentablemente, a medida que más dencia de los proveedores de nube
empresas adopten estas plataformas, puede volverse en nuestra contra. “El
serán un mayor objetivo para los pira- reciente ataque a Dyn es solo un pe-
tas informáticos, asegura Nachreiner. queño ejemplo de lo que se vislumbra
“En el pasado, vimos a atacantes infec- en el futuro inmediato. Yo anticipo que
tar servidores que funcionaban en ser- la mayoría de fuentes de datos y ges-
vicios de nube públicos y, más reciente- tión de acceso en la nube van a ser cada

FEBRERO 2017 | CSO

gestión de la seguridad de la información CSO ESPAÑA

vez más atacadas”, asegura. Las empre- piada, sino también al reto de distri-
sas van a tener que revisar cuidadosa- buirla y darle forma, servicio y
mente los contratos con sus provee- seguridad de manera continua. La úni-
dores de nube para asegurarse de que ca manera de trabajar hacia la mejor
exista un proceso para los datos y ges- experiencia de cliente y de nube es
tión de acceso durante todo el ciclo de encontrar la estrategia de interco-
vida de los datos. Por ejemplo, cuando nexión apropiada para conectar múl-
se termine el contrato con su provee- tiples servicios de nube”, afirma Wa-
dor u otro suministrador, ¿qué pasa gle.
con esos datos o con el acceso del su- Glenn Weinstein, cofundador, vicepre-
ministrador a los datos? Haga pregun- sidente de servicios globales y CISO de
tas como: ¿Cómo gestionan el acceso? Appirio, asegura que en 2017 la migra-
¿Cómo envían mis datos y cómo se ción a la nube se verá cada vez más
almacenan?”, añade. Milind Wagle, CIO como estrategia de mitigación de ries-
de Equinix, explica que las necesida- gos. Delegar la seguridad industrial a
des multinube mantendrán al perso- los principales proveedores de nube,
nal de seguridad de la información como Amazon y Google, será visto
despierto durante toda la noche. “2017 como algo más seguro y escalable que
será el año en el que los centros de seguir invirtiendo en defensas perime-
datos corporativos ya existentes ma- trales en la red corporativa.
duren hacia una combinación diversa Roy Katmor, cofundador y CEO de en-
de entornos basados en la nube, cou- Las empresas van a tener que revisar Silo, predice que la seguridad de la red
bicados e in situ. Esto se complicará cuidadosamente los contratos con sus de la empresa se desplazará a la nube.
aún más por la creciente necesidad de Las empresas se sentirán aliviadas al
contar con una infraestructura geográ- proveedores de nube para asegurarse de consolidar la carga de la seguridad de
fica distribuida para apoyar una base que exista un proceso para los datos y red distribuida redireccionando el trá-
global de empleados y clientes. En res- fico corporativo y permitiendo que ser-
puesta a esta tendencia, los CIO y CSO gestión de acceso durante todo el ciclo vicios de seguridad de red en la nube
se enfrentarán no solo al reto de cons- de vida de los datos apliquen y gestionen las políticas de
truir la arquitectura multinube apro- seguridad. Al igual que otros servicios

FEBRERO 2017 | CSO

 gestión de la seguridad de la información CSO ESPAÑA

que se han trasladado a la nube han “Las amenazas van en aumento, tanto veedores de aplicaciones en nube im-
reducido los costes para los clientes, la si son maliciosas, accidentales o por cor- plementarán más funciones de audito-
seguridad de red como servicio redu- tesía de la madre naturaleza, por lo que ría y registro nativas para ayudar a los
cirá los gastos generales que conlleva la protección de datos es una necesidad profesionales a monitorizar y controlar
comprar y mantener varios cortafue- absoluta para la continuidad del negocio. la actividad de usuario en la fuente, en
gos físicos. En 2017, con el incremento de los SLA, lugar de forzar a los administradores a
predecimos que las soluciones DR segui- interceptar la actividad en ruta vía he-
Soluciones de copia de seguridad rán ampliando sus capacidades en el as- rramientas de terceros.
Weinstein, de Appirio, insiste en que pecto de copias de seguridad”, comenta. Por su parte, Ben Bernstein, CEO y
los CISO implementarán medidas para cofundador de Twistlock, predice que
minimizar los riesgos de seguridad Más predicciones los sistemas nativos de la nube impul-
planteados por los ordenadores por- Weinstein augura que la autenticación sarán redes de confianza cero. A me-
tátiles y de escritorio, reduciendo la de dos factores (2FA) se convertirá en dida que surjan más sistemas y aplica-
dependencia de los usuarios respecto
a ellos como dispositivos de almace-
namiento. Se diseñarán flujos de tra- soluciones de copias de seguridad sean Los expertos creen que la autenticación
bajo para que a los usuarios les resul- superfluas. Por ejemplo, muchas so-
te más fácil guardar los datos en la luciones DR tienen funciones de copia de dos factores (2FA) se convertirá en
nube que en sus propios discos duros. de seguridad, incluyendo recuperación una característica imprescindible de las
Habrá más marcas de portátiles que de un punto en el tiempo, que pueden
seguirán el ejemplo del Chromebook ser incluso más granulares que las op- aplicaciones en nube
de tratar la parte grabable del disco ciones de copia de seguridad tradicio-
duro como almacenamiento a corto nales, recuperando un segundo con-
plazo que se borra entre las sesiones creto, en lugar de una hora. Si puede una característica imprescindible de las ciones nativos en la nube, la protección
de usuario. Paul Zeiter, presidente de recuperar los datos de unos segundos aplicaciones en nube. Se espera que los de seguridad basada en el perímetro
Zerto, predice que se consolidarán las antes de un ataque, hasta un máximo proveedores ofrezcan tanto funciones será terrible. Un aumento de los mo-
copias de seguridad y la recuperación de 30 días, ¿por qué iba a preferir la 2FA nativas como integraciones prepa- delos de seguridad de confianza cero
de desastres (DR). “Los clientes podrán antigua copia de seguridad de hace 12 radas para SAML a los principales pro- en los que la protección sea nativa de
archivar a largo plazo con sus solucio- horas? O, en el peor de los casos, in- veedores de identidad en nube, como la nube, viajando con los datos y las
nes DR, lo que provocará que algunas cluso más antigua. Okta y ADFS. Además, cree que los pro- aplicaciones. CSO

FEBRERO 2017 | CSO

CIBERSEGURIDAD CSO ESPAÑA

Se busca
profesional especializado en ciberseguridad
Razón aquí: la entrada en vigor de la nueva ley de Protección de Datos pone en el candelero a una nueva figura que

será determinante en la estructura moderna de la empresa, el Chief Data Officer. El problema: no hay perfiles técnicos

suficientes en España, ni en Europa, para satisfacer la demanda.

Mario Moreno

FEBRERO 2017 | CSO

CIBERSEGURIDAD CSO ESPAÑA

Son ya muchos los factores que cla- brecha por la cual es muy difícil en-
man a las empresas que introduzcan
perfiles concretos relacionados con la
ciberseguridad. La cobertura que es-
contrar al experto adecuado, con la
formación adecuada, que logre conte-
ner las ofensivas de los hackers. “La
Por qué necesita un CDO
tán dando los medios de comunica-
ción a las grietas de las grandes com-
pañías, una nueva ley de protección
forma en que las compañías afrontan
su seguridad ha cambiado muy rápi-
damente, y esto genera que el perfil
(Chief Data Officer)
de datos más punitiva y el cambio en de los profesionales se renueve. Hasta Con la aplicación del Reglamento General de Protección de Datos de la Unión Euro-
el comportamiento de los atacantes ahora bastaba con asegurar un perí- pea (GDPR) que llegará el 25 de mayo de 2018, las organizaciones que manejan
que, con cada vez más recursos, están metro bien definido, basado en la im- cualquier dato personal relacionado con residentes de la UE deben empezar a pre-
empezando a abordar a los usuarios plementación de un grupo de produc- pararse ya (si aún no lo han hecho).
como principal puerta de entrada a las tos concretos. Pero esta aproximación “El GDPR está poniendo las prácticas de protección de datos a la vanguardia de las
corporaciones, configuran los miedos reactiva ya no es suficiente”, asevera agendas de negocios en todo el mundo”, indica Steve Durbin, director del Foro de
de quienes han decidido comenzar a Álex López, country manager en Iberia Seguridad de la Información (ISF). “Su alcance no se puede comparar a ninguna otra
reclutar profesionales para garantizar de F5 Networks. ley internacional, y estimamos que más del 98% de los miembros de la ISF se verán
su seguridad. De hecho, éstas han em- Las consecuencias de un ataque con afectados por sus requerimientos porque procesan la información de los residentes
pezado a acudir tímidamente al mer- éxito deberían ser imperativo suficien- de la UE”.
cado aleccionadas por las adverten- te como para que las empresas deci- Los próximos 18 meses serán críticos para las compañías ya que han de determinar
cias de sufrir en sus propias carnes dieran contratar. A saber; la crisis de la aplicabilidad de la normativa y los controles y capacidades que necesitarán para
una de estas embestidas. Pero, la ve- confianza respecto a los clientes, la gestionar sus obligaciones de cumplimiento y riesgo. Es en este marco donde emer-
locidad a la que han evolucionado to- pérdida de prestigio y los derivados ge la figura del CDO, que ha de guiar a las empresas durante este viaje y asumir
dos estos desafíos ha originado una económicos. Caso llamativo es el de varias capacidades:
• Determinar la aplicabilidad del GDPR a sus actividades de procesamiento de
datos personales.
En 2020 habrá más de un millón de • Evaluar los requisitos de control exigidos por la nueva legislación.
puestos de trabajo relacionados con • Evaluar las capacidades organizacionales para entregar los resultados requeridos
por el GDPR.
la ciberseguridad que no podrán ser • Comprender las consecuencias financieras y operacionales del incumplimiento.
cubiertos, según IDC • Prepararse para la entrada en vigor antes del 25 de mayo de 2018.

FEBRERO 2017 | CSO

CIBERSEGURIDAD CSO ESPAÑA

Yahoo, protagonista de uno de los ma- debe a la llegada de tecnologías como

yores escándalos de la historia recien- las de seguridad en la nube, servicios
te y que ha llegado incluso a compro- gestionados de seguridad (MSSP), se-
meter su proceso de venta a Verizon guridad en IoT, smart cities o la ciber-
tras dejar al descubierto cerca de defensa.
1.000 millones de cuentas. Junto a la personalidad del CISO, sur-
El segundo síntoma del cambio de es- girá ineludiblemente la del CDO. Éste,
cenario es que el perímetro de seguri- además de servir de guía para la adop-
dad se ha difuminado. Cada vez hay ción de la nueva ley, hará de puente
más vectores de ataque y el trabajador con los demás departamentos a la hora
y el endpoint se han convertido en los de concienciar, formar, implantar me-
objetivos principales. A esto se le suma didas y poner límites al uso de los da-
la recién entrada en vigor de la nueva tos; hoy en día uno de los activos más
ley de Protección de Datos que será valiosos de las organizaciones. Asimis-
efectiva a partir del 25 de mayo de mo, se complementará con otra de las
2018. La normativa se alinea con los figuras más preciadas en la industria,
derechos de los usuarios y establece el científico de datos. No por tener un
sanciones de hasta el 4% de la factura- perfil más genérico son más fáciles de
ción para quien sufra una fuga de in- encontrar. La carestía afecta a todo el
formación. Y establece, además, man- ecosistema tecnológico por igual.
datos por los que las empresas deberán La figura del CDO emergerá como una de Los expertos también anuncian el
implantar cifrado y sistemas de doble las más preciadas de la industria desembarco del CRO (Chief Risk Offi-
factor de autentificación en todas las cer) e incluso de puestos relacionados
capas de datos, así como la obligación con el hacking ético y con el análisis de
de informar a las autoridades compe- do también la demanda de profesiona- Los profesionales más demandados seguridad de código fuente. En gene-
tentes sobre cualquier lance. “El creci- les en el sector”, expone Alfonso Mar- Según Gartner, el mercado global de ral, habrá una demanda muy hetero-
miento exponencial de incidencias de tín, gerente senior de ciberseguridad seguridad informática y servicios pasó génea dependiendo de las necesida-
seguridad que afectan a cosas tan se- de Indra. En este marco emerge una de 61.354 millones de dólares en 2012 des y las actividades de cada empresa.
rias como las elecciones de la primera nueva figura en el entorno laboral: el a 86.000 millones en 2016. Martín ex- “En cualquier caso, el CDO va a ser el
potencia del mundo, está incrementan- CDO (Chief Data Officer). plica que el incremento de la cifra se más demandado, cada vez más, pues

FEBRERO 2017 | CSO

 CIBERSEGURIDAD CSO ESPAÑA

los datos son uno de los principales cia de reciclar empleados con perfiles
objetivos, y las empresas con informa- similares. “A la hora de buscar hay
ción sensible van a necesitar la mayor que orientarse hacia candidatos que
atención posible a este tema”, aposti- cuenten con habilidades asociadas,
lla Luis Redondo, jefe de servicios de como razonamiento cognitivo o ma-
ciberseguridad de MTP. “Una fuga de temáticas”, indica López. “En nuestro
este tipo puede provocar el hundi- caso, los principales canales que em-
miento de cualquier compañía”. pleamos son el boca a boca y las re-
des como Linkedin”, asegura Redon-
Dónde encontrarlos do. De estas declaraciones se asume
De la creciente demanda deriva otro pro- un problema que afrenta tanto a las
blema substancial: dónde encontrar per- empresas como a la Administración
files técnicos. Otro estudio realizado por Pública a formar a gente joven con
Esys, la Fundación Empresa Seguridad y poca experiencia profesional, pero
Sociedad, pone de relieve que el 22,73% con potencial y conocimientos en di-
de los ingenieros españoles tiene una ferentes áreas de la tecnología. Para
La competencia se ha convertido en el
formación inadecuada en ciberseguridad, López la formación tradicional no es principal caladero donde las empresas
y el 45,45% tiene un nivel mejorable. “De
las universidades, centros de formación
adecuada: “Se necesitan unas certifi-
caciones mucho más especializadas,
acuden para encontrar talento
y otras instituciones educativas no sale más investigación, inversión, profeso-
el número suficiente de profesionales res especializados… Una formación na con el Máster Indra en Cibersegu- nen no solo la facilidad para encontrar
con la formación adecuada”, confirma de calidad resulta vital y es urgente ridad. Según cuenta Juan Corro, trabajo, sino posibilidad de elegir en-
Martín. De hecho, IDC predice que para tomar medidas para lograrla”. director académico del área de inge- tre varias ofertas”.
2020 habrá más de un millón de puestos Uno de los centros que está propo- niería de U-tad, están haciendo gran- En los próximos años la demanda se
de trabajo relacionados con la ciberse- niendo medidas en este sentido es des esfuerzos por volcar en los conte- acentuará de forma considerable ya
guridad que no podrán ser cubiertos. U-tad. La organización universitaria nidos tecnologías novedosas y las que “cada vez más empresas van a ser
La competencia se ha convertido en especializada en economía digital ha experiencias de profesionales. “El nivel hackeadas”, confirma Redondo. Para
el principal caladero donde las em- sido una de las primeras en impartir de empleabilidad de estos perfiles, en paliar esta brecha, el sector se consig-
presas acuden para reclutar talento. programas de big data. En la actuali- concreto el de los egresados en inge- na a tres conceptos clave: inversión,
Además, se ha expandido la tenden- dad, está aportando su granito de are- niería, es del 100%. Los alumnos tie- concienciación y formación. CSO

FEBRERO 2017 | CSO

 EVENTOS CSO ESPAÑA

La ciberseguridad plantea nuevos retos al sector financiero

Los procesos de fusión y adquisición, las nuevas

tecnologías de pago y los procesos de digitalización

son grandes oportunidades para las entidades

financieras, pero aumentan significativamente su

exposición y, por tanto, su riesgo a ser atacadas por

las organizaciones criminales. En este punto, los

modelos preventivos no son suficientes: es necesario

definir un nuevo modelo que permita minimizar el

impacto y las consecuencias de los ciberataques

mediante una detección y respuesta r ápida y efectiva,

como se puso de manifiesto en un encuentro

organizado por CSO.

Irene Muñoz

FEBRERO 2017 | CSO

EVENTOS CSO ESPAÑA

El sector financiero se ha convertido como una herramienta y la inteligen- diseñada para simplificar, integrar y de la seguridad, ya que la función de
en uno de los objetivos prioritarios cia como una forma de orientar la es- automatizar operaciones de seguri- esta ha cambiado completamente. Así
del cibercrimen. Los atacantes com- trategia y las acciones hacia una de- dad tanto en la nube como on premi- lo puso de manifiesto Jesús Milán, CISO
prometen entidades financieras y ob- fensa que ponga los esfuerzos donde se. “Estamos yendo a modelos 100% de Liberbank, quien afirmó que “el va-
tienen información de clientes, de em- está el riesgo para la organización”, servicio, 100% suscripción y orienta- lor, cada día más, va a estar en el co-
pleados y del negocio para afirmó Julio García, enterprise account dos también a servicios en la nube”, nocimiento de lo que está ocurriendo
posteriormente realizarles chantajes manager de FireEye. explicó García. dentro y fuera, y eso es uno de los
millonarios. La firma ha desarrollado el modelo principales retos que estamos tenien-
FireEye, firma especializada en ciber- Intelligence Led-Security para ofrecer Retos a corto plazo do, porque el equipo de seguridad tra-
seguridad, tiene la misión de entregar a las organizaciones una visibilidad El mundo digital y conectado actual dicional viene de una gestión, de unos
su conocimiento e inteligencia a las más amplia y profunda de las meto- está provocando que se lleve a cabo conocimientos y de unos skills que no
organizaciones para que conozcan de dologías de ataque empleadas por los una profunda reestructuración del sec- son los que necesitamos”. Asimismo,
primera mano qué está ocurriendo en ciberdelincuentes. FireEye Helix, su tor financiero y está planteando diver- Milán sostuvo que las organizaciones
el mercado. “Utilizamos la tecnología plataforma Intelligence-Led, ha sido sos retos a las entidades en el ámbito no deben poner el foco únicamente

FEBRERO 2017 | CSO

eventos CSO ESPAÑA

“Utilizamos la tecnología como “El control que tienen los “Donde tenemos el principal riesgo “El valor, cada día más, va a estar
una herramienta y la inteligencia departamentos de sistemas es en software” en el conocimiento de lo que está
como una forma de orientar es realmente poco. Al final ocurriendo dentro y fuera”
Armando Nieto, Presidente y CIO de
la estrategia y las acciones terminas siendo un usuario de esas Jesús Milán, CISO de Liberbank
Divina Pastora Seguros
hacia una defensa que ponga los plataformas; tienes que confiar
esfuerzos donde está el riesgo en que el Google o el Salesforce
en la detección temprana de los ata- tar durante los próximos años se basa
para la organización” de turno hacen las cosas
ques, también han de tener capacidad en aplicar la seguridad en todas las
correctamente” para responder a ellos. nuevas plataformas y tecnologías
Julio García, enterprise account Desde el punto de vista de Juan Car- como el cloud computing que las com-
manager de FireEye Juan Carlos Sánchez, jefe de Unidad los Sánchez, jefe de Unidad de Gobier- pañías están implantando. “El control
de Gobierno y Seguridad TIC no y Seguridad TIC de Grupo CESCE, que tienen los departamentos de sis-
el principal reto que se deberá afron- temas es realmente poco. Al final ter-
de Grupo CESCE

FEBRERO 2017 | CSO

eventos CSO ESPAÑA

minas siendo un usuario de esas pla- mática de Banco Popular, resulta

taformas; tienes que confiar en que el necesario que las compañías tomen
Google o el Salesforce de turno hacen conciencia de la importancia de la
las cosas correctamente. Y entende- seguridad y de que esta constituye
mos que las hacen, pero hay que con- un eje determinante en ellas. Además,
seguir estar un poco más encima de dadas las amenazas reales que están
ellos, que puedas ver cómo están im- teniendo lugar en España, el experto
plementando las medidas de seguri- en seguridad destaca que el sector
dad, que puedas integrar tu platafor- público debería compartir la infor-
ma de seguridad con la suya”, apuntó mación de la que disponga al respec-
Sánchez. to para que las entidades financieras
Por su parte, Armando Nieto, presi- puedan evitar sufrir ciberataques.
dente y CIO de Divina Pastora Segu- “Los bancos compartimos mucho sin
ros, afirmó que la seguridad ha sido ningún problema. Creo que eso por
la máxima prioridad de la compañía la vía pública se debería trabajar, que
desde su creación, por lo que ha im- toda la banca conozca los casos con-
plementado medidas de protección cretos para que la ayuden a prevenir.
tanto en el acceso físico como en las El sector público debe promover eso”,
comunicaciones con los distintos pro- declaró Bentabol.
veedores, llegando a invertir un 40% Luis Ballesteros, CISO de WiZink,
del presupuesto destinado a tecnolo- apuesta por abordar una seguridad
gía en seguridad. “Donde tenemos el global en la que se pongan múltiples “Toda la banca debe conocer los “Ninguna de las directivas
principal riesgo es en software. […] capas y por fomentar la colabora- casos concretos para que la europeas da soluciones técnicas
Nosotros contratamos a hackers para ción público-privada. “Creo que las
que cada dos años nos den una pali- regulaciones deberían poner orden ayuden a prevenir” concretas: dan generalidad para
za”, detalló Nieto. en lo que veníamos haciendo desde
Gonzalo Bentabol, director de que sigan siendo válidas con el
hace tiempo todas las empresas.
Seguridad Informática de Banco tiempo y para todas las compañías”
Alianza público-privada Ninguna de las directivas europeas
Desde la perspectiva de Gonzalo Ben- da soluciones técnicas concretas:
Popular Luis Ballesteros, CISO de WiZink
tabol, director de Seguridad Infor- dan generalidad para que sigan

FEBRERO 2017 | CSO

eventos CSO ESPAÑA

siendo válidas con el tiempo y para dan existir dentro de la organización.

todas las compañías”, estimó Balles- “Tenemos que involucrar a toda la
teros. compañía, desde el comité de direc-
En opinión de Pedro Pablo López, ción hasta los empleados. Además,
CISO de Rural Servicios Informáticos tenemos que gestionarlo en el contex-
(RSI), ha llegado el momento de de- to de la transformación tecnológica.
jar de ser “artesanos de la seguri- […] Hay que saber quién utiliza los da-
dad” para concebir esta como una tos y cómo los utiliza”, sostuvo Bernál-
industria. “Pasar de la seguridad ar- dez.
tesanal a una seguridad con unos La tecnología que proporciona Fi-
skills mucho más globales. No pen- reEye a sus clientes se encuentra en
sar tanto en el concepto de seguri- constante cambio y es adaptada a
dad, sino en el de resiliencia. No va- los sistemas en función de la evolu-
mos a ir nunca tan deprisa como los ción de las amenazas. La compañía
malos, entonces tenemos también de ciberseguridad realiza un análisis
que ser generosos y empezar a com- de los problemas y después crea
partir”, puntualizó López. módulos con herramientas de secu-
Además, en ese proceso de indus- rity analytics con los que poder ata-
trialización, el CISO considera nece- jarlos.
sario que tanto los fabricantes de Su solución, que detecta y blo-
dispositivos como de software no quea ataques procedentes de las
lancen sus productos al mercado sin páginas web y del correo electró-
estar lo suficientemente testados en nico, así como el malware latente
“No hay que pensar tanto en el “Hay que saber quién utiliza los
cuanto a seguridad. alojado en los recursos comparti- concepto de seguridad, sino datos y cómo los utiliza”
Para Alberto Bernáldez, CISO de Li- dos, actúa en todas las fases del
berty Seguros, las personas constitu- ciclo de vida de los ciberataques a
en el de resiliencia”
Alberto Bernáldez, CISO
yen el activo más importante de la través de un motor que realiza
Pedro Pablo López, CISO de Rural
seguridad, ocupando la parte superior análisis con información de estado de Liberty Seguros.
de la pirámide, y deben compartir y para detectar amenazas descono- Servicios Informáticos (RSI).
explicar los posibles riesgos que pue- cidas.

FEBRERO 2017 | CSO

en primera persona CSO ESPAÑA

Jesús Milán Lobo, CISO de Liberbank

“La protección es
necesaria pero la
detección es obligatoria”
“La seguridad es un habilitador, nunca un hándicap”, sentencia el
máximo responsable de seguridad de la información de la entidad
financiera Liberbank, quien desvela a CSO su aproximación a este
concepto y la estrategia del banco al respecto.

Tiene un gran bagaje en el mundo Lo primero que me gustaría decir es

de la seguridad, tanto desde el pun- que me siento muy afortunado por ha-
to de vista de suministrador como ber tenido la oportunidad de “vivir” la
de cliente, ¿cómo afronta esta nue- seguridad desde diferentes puntos de
va etapa? vista, desde varios roles. En mi último

María José Marzal

FEBRERO 2017 | CSO

 en primera persona CSO ESPAÑA

destino antes del actual, en Telefónica, Sí, es verdad. Hace ya mucho tiempo
disfrute muchísimo ya que se me per- que se ha perdido la imagen de ‘la cá-
mitió percibir la seguridad desde una mara de seguridad donde estaba el di-
óptica mucho más abierta a todos los nero’. Cierto es que el dato es el princi-
sectores y, sobre todo, la posibilidad de pal activo de los bancos, pero no
llevarlo a cabo a nivel internacional. Esto solamente de los bancos sino en la ma-
último, sin duda puede ser de los aspec- yoría de los sectores.
tos más enriquecedores porque mu-
chas veces el ritmo de nuestro trabajo De acuerdo, pero en los bancos el
nos impide ver qué ocurre más allá de dato es el dinero…
nuestras fronteras; por eso, el haber te- Cierto y esto te imprime una mayor
nido la oportunidad de, por ejemplo, motivación. Los diferentes estudios pu-
charlar con el responsable de seguridad blicados afirman que el mayor porcen-
de JP Morgan, se amplía enormemente taje de ataques está dirigido a la banca
la visión predeterminada que puedas y los troyanos bancarios tienen mayor
tener sobre la seguridad en un determi- difusión que en otro tipo de organiza- big data, movilidad… ¿Cómo se está La seguridad es un habilitador, nunca
nado sector, en este caso el financiero. ciones. abordando desde Liberbank? un hándicap. En modo conceptual, lo
Estamos en ello y, de hecho, hay mo- cierto es que cuanto más abierto estés
Ahora está al frente del departa- Actualmente el concepto que está vimientos encaminados a ese objetivo. más riesgos asumes, y esto obliga a
mento de seguridad de un banco, marcando la estrategia de todas las No hay que olvidar que la transforma- analizar todo. En este sentido, se puede
Liberbank, sector encuadrado como organizaciones, incluidas las del sec- ción pasa por incrementar la eficiencia decir que cloud implica un problema de
altamente crítico en cuanto a segu- tor financiero, es el de Transforma- del banco o generar nuevas vías de in- seguridad. Pues no. El problema surge
ridad, en donde lo importante son ción Digital, lo que supone la adop- greso y para ello es necesaria la entra- cuando no tienes en cuenta la seguri-
los datos. ción de nuevos modelos como cloud, da de las nuevas tecnologías como big dad, cuando no se incluye en el proceso
data, cloud, movilidad… de diseño de cualquier nuevo proyecto.

“
Esto sí es un problema.
¿La seguridad, tal y como algunos
Si no se combina con la usabilidad, la afirman, puede ser un hándicap a la ¿En Liberbank la seguridad se con-
seguridad fracasa estrepitosamente” hora de adoptar cualquiera de estas templa desde el principio en cual-
nuevas tecnologías? quier proyecto sea del tipo que sea?

FEBRERO 2017 | CSO

en primera persona CSO ESPAÑA

Sí, sin duda alguna y de ahí el movi- ¿El cliente de Liberbank o de cual-
miento de crear una organización con quier otra entidad valora este es-
un responsable a nivel de comité de di- fuerzo por ser más seguro?
rección que ofrezca solvencia a todo el Lo primero que debo matizar es que
proceso de transformación digital. la seguridad es inherente al servicio fi-
nanciero. Aun así, mi impresión es que
¿Liberbank está incrementando el los clientes sí lo valoran, sobre todo
capítulo dedicado a inversión en se- cuando son conscientes de que esa se-
guridad? guridad esta embebida en el ADN de la
Sí, claramente. entidad y no se percibe como un obstá-
culo a la usabilidad. Si no se combina
¿A la hora de gestionar la seguri- con la usabilidad, la seguridad fracasa
dad de Liberbank siente mucha pre- estrepitosamente porque las personas
sión? son como la naturaleza y se abren ca-
Sí, vives en una situación de riesgo y minos.
es parte de tu trabajo. Lo importante es
saber que has hecho los deberes de lo La normativa va a obligar a hacer
básico como, por ejemplo, en gestión públicas todas las incidencias. ¿Pue-
de identidades, donde todavía se sigue de ser un problema?
utilizando la modalidad usuario/contra- No lo creo. No hay que olvidar que la
seña. banca es un entorno regulado y hay
En este sentido, me parece absurdo que informar al supervisor de ciertas
abordar proyectos muy avanzados y so- incidencias, en este caso Banco de Es-
fisticados cuando la base no está re- paña. Si un banco tiene una indisponi-
suelta y me estoy refiriendo a un servi- bilidad no solamente generada por un
cio básico de monitorización que te ataque sino por una caída del host, hay
permita saber lo que está ocurriendo obligación de informar al Banco de Es-
en tu organización. Insisto, la protec- paña. Esto no cambia. Es cierto que
ción es necesaria pero la detección es esto no era obligatorio en otros secto-
obligatoria. res, pero en banca, insisto, la única no-

FEBRERO 2017 | CSO

en primera persona CSO ESPAÑA

que la tecnología se mueve por olas de Eso no es una realidad en España. Pero
marketing. Hay veces que se hace rea- en líneas generales todas las iniciativas
lidad el dicho “lo mejor es enemigo de de la banca a nivel mundial son muy
lo nuevo”. Respecto al nivel de la tecno- similares.
logía actual, debo puntualizar que es
suficiente para abordar los proyectos. ¿Es cierto que los ataques más da-
ñinos son provocados por los “insi-
¿Es cierto que los CISO están obli- ders”?
gados a construir su puzle de segu- Es cierto que la persona es el elemen-
ridad porque ningún fabricante ofre- to más débil de la cadena de seguridad
ce una visión integral? y hay que trabajar en ello, no solo en la
Es algo en lo que los fabricantes están parte de concienciación en el sentido
trabajando. Todos intentan ofrecer toda de que perciban la seguridad como un
la cadena de valor de la seguridad. La habilitador y no un stopper, sino que
cuestión es que todos no son buenos en también puede aportar valor a su tra-
todo y aquí es donde surge la disyuntiva bajo. Ahora bien, siempre he dicho que
de si elegir la mejor tecnología para cada la norma sin control no sirve de nada,

“
área o ir hacia un modelo más homogé- se pueden introducir innumerables
neo fácilmente gestionable. normas pero serían inútiles sin articular
La seguridad es un habilitador, un sistema de control que sea lo más
nunca un hándicap” Por su bagaje profesional, ¿cuál automático posible.
cree que es el nivel de seguridad de
la banca española? ¿Seguirá extendiéndose la ciberde-
vedad es que ahora hay que informar querimientos en aspectos de Yo la percibo en una situación bastan- lincuencia?
más, incluso de incidencias sin repercu- seguridad? te buena y perfectamente equiparable El futuro es muy difícil de evaluar y la
sión en la operativa del negocio. En mi opinión la tecnología es un me- a las entidades de otros países. Es una realidad es que hay nuevos riesgos aso-
dio. Nunca un fin. Dicho esto creo que cuestión de percepción del país. Por ciados a la conectividad y que no esta-
Mucha tecnología y muchos sumi- tenemos excesiva aproximación a la ejemplo, he estado trabajando con tec- mos haciendo los deberes. No es que la
nistradores pero, ¿la tecnología dis- tecnología como si fuera un fin en sí nología de reconocimiento facial para ciberdelincuencia vaya a crecer pero sí
ponible satisface del todo sus re- misma, y hay que tener muy presente operar en cajeros automáticos en Perú. habrá nuevos vectores. CSO

FEBRERO 2017 | CSO

entrevista CSO ESPAÑA

Jesús Romero, director de IBM Security para IBM España, Portugal,

Grecia e Israel

“El CISO se está

convirtiendo en un
habilitador de la
transformación digital”
El máximo responsable del negocio de seguridad en IBM España
es un convencido de que los CISO están en un momento crítico en
su evolución. “Están llamados a desempeñar un rol mucho más
crítico en todo este proceso de transformación digital”, asegura,
explicando, además, cuál es la visión del Big Blue para ayudar
a estos directivos a superar los crecientes retos a los que sus
organizaciones se enfrentan.

María José Marzal

FEBRERO 2017 | CSO

entrevista CSO ESPAÑA

La seguridad es uno de los pilares En este sentido, creo que IBM es la

de la transformación digital. ¿Cuál empresa que cubre mayor espectro de
es la propuesta de valor diferencial oferta en el segmento de la seguridad.
de IBM? Esto es algo que puedo refrendar con
El movimiento diferencial de IBM y datos: somos la mayor organización del
una clave importante de su propuesta mundo en seguridad con más de 8.000
de valor es que IBM Security está con- empleados que genera un negocio su-
cebida como una unidad integrada. Me perior a los 2.000 millones de dólares.
explico, las tecnologías de la unidad de Por lo tanto, somos la organización
software, los servicios de integración o más grande a nivel mundial dedicada a
consultoría, la parte de la seguridad de seguridad, tanto por número de perso-
los grandes contratos de outsourcing nas dedicadas como por volumen de
de IBM… toda esta actividad se integra negocio. IBM tiene a escala mundial 18
en una única división alineada y coor- centros de I+D exclusivo de seguridad
dinada. Esto es absolutamente diferen- pero, además, de forma continua ex-
cial a lo que hay que añadir una estra- plora el mercado y realiza adquisicio- mentos tener un ecosistema de te: un profundo conocimiento de las
tegia clara, orientada a nuestros nes estratégicas. De acuerdo a esta herramientas de seguridad que se in- necesidades y de los casos de uso de la
clientes con independencia total y que política hemos ido añadiendo a los me- tegran entre sí con las de terceros e seguridad. No tiene nada que ver lo
cubre la seguridad de extremo a extre- jores en nuestra propuesta de seguri- incluso de competidores y, además, que puede necesitar una entidad finan-
mo. dad y esto nos permite en estos mo- disponen de una inteligencia de segu- ciera que un ministerio o una eléctrica.

“
ridad que es clave a la hora de cons- El tener la confianza de las mayores or-
truir una arquitectura de ciberseguri- ganizaciones a nivel mundial implica
En España ya se está percibiendo como dad. poder ofrecer a los clientes propuestas
con una menor asunción de riesgo ope-
sólida la tendencia, ya madura en otros ¿Esa solvencia tecnológica que racional. No hay que olvidar que nues-
apunta es definitiva para los clien-
países, de situar a los CISO en el Consejo de tes?
tras tecnologías de seguridad lideran
más de 20 cuadrantes activos de dife-
Administración de las empresas. Aun así queda Efectivamente, estamos en más de rentes firmas de análisis. Confían en
12.000 grandes empresas a nivel mun- nuestra propuesta de seguridad y la
mucho camino por andar” dial. Esto nos da una ventaja importan- evolución de nuestra cuota de mercado

FEBRERO 2017 | CSO

entrevista CSO ESPAÑA

lo confirma. Un CISO, viendo las ame- ceros desarrollen API de integración y

nazas y las previsiones de analistas, nuestro compromiso es abrir todas
debe apostar por alguien que le dé nuestras tecnologías de seguridad. La
confianza. La seguridad es una práctica mayor base de datos de amenazas la
madura y lo que un CISO busca son re- hemos abierto y puesto al servicio de la
cursos internos y externos que le cu- comunidad de forma totalmente gratui-
bran sus necesidades en un modelo de ta. Esto refleja el compromiso de IBM
seguridad integral. Busca lo mejor y lo con la sociedad y las empresas.
más acompasado, pero con algo clave:
colaboración. Es necesario colaborar a ¿Las empresas son conscientes de
todos los niveles, y lo es por una senci- la situación de riesgo que conlleva
lla razón: los ciberdelincuentes colabo- operar en el nuevo escenario digital
ran y comparten información. Por eso sin una política de seguridad ade-
el gran déficit que tenemos en “el otro cuada?
lado” es la colaboración. Sí, pero cuando hablamos de seguri-
dad hay que segmentar por tipo de
¿Ha hecho IBM algo en este senti- sector y tamaño de la empresa. Se po-
do? dría afirmar que, por lo general, la se-
IBM está desarrollando una apuesta guridad está en los consejos de admi-
por la apertura muy importante. Hemos nistración de las grandes empresas y
abierto nuestro producto estrella de se- organizaciones españolas. Hay que te-
guridad para que nuestros clientes y ter- ner en cuenta que los incidentes de ci-

“
Para IBM la seguridad se escribe con tres
‘c’: ‘c’ de colaboración, ‘c’ de Cloud y ‘c’
de Cognitive”

FEBRERO 2017 | CSO

entrevista CSO ESPAÑA

berseguridad tienen mucha repercu- Creo que debemos ir más allá del
sión mediática y esto obliga a las ROI y hablar de continuidad de nego-
empresas a tomar medidas. De hecho, cio, de los riesgos asociados y de ha-
en España ya se está percibiendo como bilitar a negocio. Estamos en un mo-
sólida la tendencia, ya madura en otros mento trascendental en las
países, de situar a los CISO en el Con- organizaciones que implica noveda-
sejo de Administración. Aun así queda des como la multicanalidad o IoT. Ima-
mucho camino por andar. ginar todo ese nuevo escenario sin
una política de seguridad solvente es
¿El rol del CISO está escalando den- imposible ya que supondría un desas-
tro de la organización? tre absoluto.
Los CISO están en un momento crítico
en su evolución. Tienen que estar aten- Aun así son muchas las organiza-
tos porque están llamados a desempe- ciones que apuntan a la seguridad
ñar un rol mucho más crítico en todo como un hándicap a la hora de abor-
este proceso de transformación digital, dar cualquier proceso de transfor-
tanto que en muchos casos se está mación.
convirtiendo en un habilitador de la Cierto y hay diferentes estudios de
transformación digital. Aun así, son analistas que sitúan a la seguridad
conscientes de que la seguridad total como un hándicap en, por ejemplo, dar
no existe y lo que en estos momentos el salto a cloud. En cambio cuando ha-

“
buscan es tener un riesgo residual ra- blamos de la seguridad bien entendida
zonable para su negocio. En ese con- sabemos que todos los proyectos en
texto creemos que tenemos los servi- los que la seguridad ha ido embebida Estamos en más de 12.000 grandes
cios y la tecnología para ayudar a los desde el propio diseño el resultado es
CISO en sus retos. mayor eficiencia, mayor seguridad y
empresas a nivel mundial. Esto nos da una
más oportunidades de negocio. ventaja importante: un profundo conocimiento de las
Muchas organizaciones justifican
la escasa inversión en seguridad por ¿Esta situación de riesgo se tradu- necesidades y de los casos de uso de la seguridad”
la dificultad de conseguir un ROI. ce en un incremento en seguridad?

FEBRERO 2017 | CSO

 entrevista CSO ESPAÑA

Sí, se está invirtiendo más, sobre ¿Cree que los diferentes gobiernos
todo, las grandes organizaciones. Tam- deberían tomar cartas en este asun-
bién es cierto que si miramos a países to de la ciberseguridad?
como Reino Unido o Estados Unidos Absolutamente. Es esencial su com-
percibimos que toda nos queda camino promiso, coordinación, impulso y ayu-
por recorrer en materia de seguridad. da al tejido de seguridad TIC.
Aunque lo destacable es que se ha
avanzado mucho, por ejemplo, hace no ¿El obligado cumplimiento de la
tanto resultaba impensable que un próxima normativa: PSD2 y GDPR
CEO se implicara en aspectos de segu- ayudará a incrementar la seguri-
ridad y hoy ya esa casi una realidad. dad?
Sí, sin duda alguna. Es bueno garanti-
¿Cree que la ciberdelincuencia se- zar que de forma obligatoria todas las
guirá la línea ascendente? compañías tengan que cumplir una
Este año van a subir los ataques desde norma. Una vez más se eleva la impor-
grupos gubernamentales o criminales y tancia de la seguridad.
el ransomware se transformará y ataca-
rá a elementos de IoT. También se prevé Un aspecto que todavía no ha al-
que las infraestructuras críticas sean canzado la relevancia deseada es la
atacadas. Para paliar los efectos de es- reputación asociada a la seguridad…

“
tos ataques es necesario disponer de un Efectivamente, el aspecto de la re-
sistema de gestión de la seguridad. En putación es crítico. El daño que se
concreto, desde IBM abogamos por la puede ocasionar es de una magni- Es necesario colaborar a todos los
colaboración entre entidades, estamos tud increíble. De hecho, hay analis-
adentrándonos en un nuevo escenario tas que aseguran que más de la mi- niveles, y lo es por una sencilla razón:
que puede llegar a penalizar la falta de tad de los clientes de una empresa
entendimiento con tu entorno. En este dejarían de comprar por Internet a
los ciberdelincuentes colaboran y comparten
sentido, para IBM la seguridad se escri- una empresa que haya tenido un in- información. Por eso el gran déficit que tenemos en
be con tres ‘c’: ‘c’ de colaboración, ‘c’ de cidente grave de seguridad. Es in-
Cloud y ‘c’ de Cognitive. creíble. CSO ‘el otro lado’ es la colaboración”

FEBRERO 2017 | CSO

Emprendiendo en seguridad CSO ESPAÑA

eID,
un sueño
hecho casi realidad
La presencia física de las personas será cada vez menos necesaria.

El equipo de Electronic IDentification ya ha creado soluciones para

ofrecer garantías a los internautas y, así, poder identificarse e incluso

firmar desde cualquier dispositivo móvil sin tener que desplazarse.

¿Hasta dónde están dispuestos a llegar?

Iván Nabalón, CEO de Electronic IDentification.

Claudia Ortiz-Tallo

FEBRERO 2017 | CSO

 Emprendiendo en seguridad CSO ESPAÑA

“La tecnología y la inteligencia artificial

ayudan a que los patrones biométricos se
distingan de forma automática; en cambio,
el ojo humano puede fallar”
Nacieron en una industria totalmente servicios de identificación, firma y notifi-
distinta en la que se encuentran ahora. caciones electrónicas fáciles de usar e
¿Su objetivo? Cambiar la participación integrar en cualquier sistema, aplicación
ciudadana, cambiar el modelo de de- y dispositivo, con las máximas garantías
mocracia, usar la tecnología y aprovechar de las normativas de identificación digital
la seguridad para dar más confianza a y blanqueo de capitales.
las relaciones. Pero llegaron muy pron- “Yo fundé el proyecto. Dejé mi trabajo
to, se trataba de algo muy complicado en una multinacional –de la que era
para explicárselo a los ciudadanos y a miembro del comité de dirección– y más
las instituciones. Al menos por el mo- adelante se fueron sumando muchos “Somos una empresa española que empieza a ser muy reconocida en Europa”, dice Nabalón.
mento… expertos y amigos del sector”, explica
Aun así, el proyecto sigue vivo en su la- Iván Nabalón, CEO de eID. “Al principio po para salir al exterior. Estamos muy Los interesados
boratorio de pruebas. Fue ahí donde éramos tres, luego fuimos cuatro y a capacitados”, confiesa Nabalón. La necesidad de este negocio está orien-
analizaron el voto electrónico, además raíz de tener los primeros clientes des- Sin embargo, aún no tienen oficinas en tada al sector financiero puesto que es el
de otras innovaciones. Se dieron cuenta pués de casi tres años hemos ido cre- el extranjero, sólo en Vallecas (Madrid). que tiene el dinero y las innovaciones tec-
de que esto iba a tardar años pero que ciendo hasta ser un equipo de 22”. Se- Pero pronto conseguirán expandirse ya nológicas necesarias. Aun así, quieren di-
todas esas tecnologías podían usarse gún lo describe el fundador, se trata de que se encuentran en un proceso de am- rigirse a todos los sectores regulados que
para otro negocio. ¿Y quién mejor que el gente con la que ya había trabajado en pliación de capital para su internaciona- tengan carencias en su transformación
sector financiero para darle utilidad a la el pasado y que tiene muchísimo nivel lización. “Hemos hecho muchas pruebas digital así como las telecomunicaciones, la
firma electrónica? Es aquí cuando apare- profesional, los cuales además ya ha- con bancos de fuera y ahora lo que que- administración pública y la industria elec-
ce Electronic IDentification, un fabricante bían participado en proyectos interna- remos es hacer enserio el abordaje”, trónica. En definitiva, cualquier sector que
de software español, para desarrollar cionales. “Yo creo que es un buen equi- cuenta el CEO. necesite seguridad en sus transacciones.

FEBRERO 2017 | CSO

Emprendiendo en seguridad CSO ESPAÑA

Desde eID aseguran que Video ID es el primer método de identificación por vídeo El software con el que cuenta eID es multidispositivo.
remoto válido para verificar la identidad de una persona.

“También se están haciendo avances en sona al acudir a una oficina física. De esta
el ámbito del viaje. La gente está empe- “Es imposible romper nuestro sistema ya manera, cualquier persona puede optar
zando a poder cruzar fronteras identifi-
cando su origen con la biometría de su
que cuenta con cifrado. Es un sistema de por su propia firma electrónica con tan
solo un clic. Ambas cosas se complemen-
cara”, manifiesta Nabalón. alta seguridad” tan. Según el fundador, su proceso de
Santander fue el primer banco en ad- identificación tiene más evidencias y más
quirir esta tecnología. En cuanto a Eu- presas fintech también están adoptan- una aplicación que funciona con cámara seguridad técnica que la de una oficina
ropa, el primer banco fue SelfBank. Más do esta solución. para identificar en tiempo real a una per- comercial. “Cuando vas a una oficina se
tarde se unieron Evo Banco y alguna sona través de cualquier dispositivo y con cumplen ciertos requisitos: enseñas el
cartera de inversiones como es Maga- La oferta de eID y su seguridad el mismo nivel de seguridad técnica y DNI para que una persona humana lo
llanes o KPMG. Además, muchas em- El servicio más disruptivo es el videoID, jurídica que el que experimenta una per- revise y haga una fotocopia que queda

FEBRERO 2017 | CSO

 Emprendiendo en seguridad CSO ESPAÑA

como prueba de ese acto. En nuestro caso, Dos veces al año hay análisis de pene-

Una democracia electrónica

es un vídeo grabado en alta definición tración, muchas políticas y medidas de
para comprobar tu biometría y tu docu- seguridad”, cuenta Nabalón. “Además,
mento de identidad, por lo que aumentas esto lo llevan a cabo analistas que es-
la seguridad técnica. Encima, la tecnología tán cualificados. Es imposible romper Lo que intentaban Nabalón y su equipo era crear una red social muy orientada a la
y la inteligencia artificial ayudan a que los nuestro sistema ya que cuenta con ci- participación ciudadana con garantía legal. Esto significa que la participación que
patrones biométricos se distingan de for- frado. Es un sistema de alta seguridad”. tuvieran los ciudadanos pudiera ser defendida, poder darles un testigo para legiti-
ma automática; en cambio, el ojo huma- marles y ofrecerles soberanía en el terreno online. Pero claro, resulta un proyecto
no puede fallar”, explica Nabalón. Y es Confianza de cara al usuario muy complicado sin ciberseguridad puesto que sería difícil saber que el ciudadano
que, eID goza de un algoritmo matemá- Sería comprensible que la gente no se es quien dice ser.
tico que te dice que la persona que está atreviese a aceptar este tipo de sistema “Al final lo que queríamos era legitimar a los ciudadanos para que participaran con
el objetivo de cambiar este modelo. Si ahora votamos cada cuatro años, nuestro
objetivo es que esa participación pudiera ser efectiva en cada momento. Para eso
“eID goza de un algoritmo matemático que teníamos que identificar personas a distancia para saber quiénes eran con garan-
tías”, explica Nabalón. “Al fin de acabo es lo mismo que estamos haciendo ahora
dice que la persona que está saliendo en el con los bancos y sus clientes: identificar a las personas detrás de los dispositivos
vídeo es la misma que aparece en la foto” con el mismo nivel de garantía legal y seguridad técnica”.

saliendo en el vídeo es la misma que apa- por miedo a ser robados o espiados. que siempre es muy molesto. Por lo que, ro”, manifiesta el profesional. El equipo
rece en la foto del DNI. Por lo que se pue- Pero hay una cosa que está clara y es acudir a una oficina física ya no sería hizo una estadística con uno de los
de concluir que un humano se podría que es un proceso muy conveniente para necesario para procesos administrativos, clientes para ver el nivel de rechazo de
equivocar y una máquina no. ellos. Si un cliente tiene que ir a darse solo para asesoramiento. la gente al uso del video. Como era de
Pero, ¿y si hackean el sistema? Hasta de alta en una cuenta bancaria o firmar “No somos una red social que trafica esperar, el resultado fue del 1%. Aun-
los propios métodos de seguridad pue- un documento, por ejemplo, éste tendría con los datos de las personas. Todo el que, sorprendentemente, el poco re-
den ser atacados. “No hay nada impo- que dejar de trabajar y desplazarse has- tema de la privacidad está muy prote- chazo que había provenía de la gente
sible pero llevamos casi cuatro años ta su banco donde tendría que esperar gido con nosotros. Además cuando se joven. Y es que la gente mayor ya ha
trabajando en la seguridad –tanto en el una cola. En cambio, el sistema de eID trata del sector financiero yo creo que asumido esto como parte de sus vidas,
código, como en la red o como en la trata un proceso de firma de dos a tres la gente supone que si el banco ha ac- no tienen miedo de usar las nuevas tec-
arquitectura– para que esto no suceda. segundos sin tener que imprimir nada, cedido a tener esto es porque es segu- nologías.

FEBRERO 2017 | CSO

 Emprendiendo en seguridad CSO ESPAÑA

Un proyecto que promete

Existen empresas que utilizan un meca-
nismo legal parecido pero menos avan-
zado, ya que utilizan videoconferencia
–estilo Skype– cuyo proceso tarda entre
12 y 20 minutos. Pero claro, hay una gran
diferencia en comparación con los 18 y
20 segundos que puede tardar eID. “Sí
que hay competidores potenciales pero
todavía no tienen una tecnología tan so-
fisticada, eficiente y fácil como la nuestra”,
reconoce Nabalón. Aun así, ya están ob-
servando el mercado norteamericano,
el europeo y el latinoamericano. “Tene-
mos que hacer hincapié en que somos
una empresa española que empieza a
ser una marca muy reconocida en Euro-
pa. Nos empiezan a llegar propuestas y
clientes muy interesantes”, afirma.
Eso sí, aunque sea pronto para decir Detección automática del documento de
que serán un referencia europea, la “El plan de la democracia siempre será identidad y verificación de su autenticidad
empresa cree que su tecnología triun- algo que tendré dentro” a través de visión computerizada.
fará no solo en Europa sino en el mun-
do entero. “Pensamos que en los próxi-
mos dos o tres años, los 15.000 bancos “El plan de la democracia siempre será nanciero, que tiene un recorrido muy cambiar el mundo –o así lo expresa-
que hay en el mundo adoptarán este algo que tendré dentro. El foco esta grande y la verdad es que ahora mismo ba el fundador–, no cabe duda que
proceso”. El fundador tiene la confianza puesto en esto porque cuando tienes estamos muy enfocados en crecer y Nabalón y su equipo tienen un gran
que pueden hacer algo importante a una startup no puedes estar a muchos crecer”, concluye Nabalón. proyecto entre manos que, antes o
nivel global, incluso competir con los pájaros y flores. Esto hemos visto que Aunque los orígenes de la empresa después, podrá derivar en otros mu-
fabricantes americanos. funciona, que funciona en el sector fi- en un principio fuesen destinados a chos sueños. CSO

FEBRERO 2017 | CSO

webinars

Actualidad
Ya disponible

Sistemas
Hiperconvergentes

www.idgtv.es/webinars

Próximamente Día del Software

Defined Data
Center 2017

Día de DevOps
2017

La nueva norma en La transición

el alamacenamiento empresarial de Oracle
a Cloud
legislación CSO ESPAÑA

La seguridad como factor determinante

para elegir al encargado del tratamiento
A finales de enero de 2017, con el

objetivo de ayudar, en particular,

a las pymes a que se preparen para

cumplir con el Reglamento General de

Protección de Datos (RGPD), la Agencia

Española de Protección de Datos

(AEPD) publicó tres importantes guías,

estando dedicada una de ellas a los

encargados del tratamiento.

Miguel Recio, abogado experto en protección de datos y TIC

FEBRERO 2017 | CSO

 legislación CSO ESPAÑA

D
ichas guías son la “Guía del
Reglamento General de
Protección de Datos para
responsables del tratamien-
to”, una “Guía para el cum-
plimiento del deber de informar” y las “Di-
rectrices para elaborar contratos entre
responsables y encargados”.
En este último caso, las directrices de
la AEPD incluyen algunas preguntas y
respuestas sobre la figura del encarga-
do del tratamiento y su relación con el
responsable del tratamiento así como zativas apropiadas”. Es decir, el responsa- al responsable del tratamiento para ase- personales que son objeto de tratamien-
un anexo con un modelo de cláusulas ble del tratamiento tiene “un deber de gurar el cumplimiento en materia de pro- to.
contractuales con la finalidad de que diligencia en la elección” del encargado del tección de datos personales, una vez que Es así que, si el responsable del trata-
puedan ser utilizadas, en su caso, tanto tratamiento, siendo clave, entre otros as- éste haya realizado una evaluación de miento elige un encargado del trata-
por responsables como encargados del pectos, que el mismo ofrezca garantías riesgos que permita determinar cuáles miento que no adopte las medidas de
tratamiento de los sectores público y suficientes por lo que se refiere a contar son las medidas de seguridad apropiadas seguridad necesarias, se podría estar
privado. con “conocimientos especializados, fiabi- para garantizar la seguridad de los datos vulnerando también el derecho funda-
Conforme a lo previsto en el RGPD, la lidad y recursos, con vistas a la aplicación
AEPD explica en sus directrices, respon- de medidas técnicas y organizativas que
diendo a la pregunta “¿Puede el responsa- cumplan los requisitos del Reglamento, “Si el responsable del tratamiento elige
ble del tratamiento elegir cualquier encar- incluida la seguridad del tratamiento”. un encargado de éste que no adopte las
gado del tratamiento?”, que la decisión del Sin perjuicio de lo anterior, y haciendo
responsable del tratamiento sobre la elec- referencia al RGPD en lo relativo a la segu- medidas de seguridad necesarias, se
ción del encargado del tratamiento tiene ridad del tratamiento, la AEPD destaca podría estar vulnerando también el derecho
que hacerse también sobre la base de que que el encargado del tratamiento tiene la
este último “ofrezca garantías suficientes obligación “de adoptar todas las medidas fundamental a la protección de datos
respecto a la implantación y el manteni- de seguridad necesarias”, por lo que se personales”
miento de las medidas técnicas y organi- trata de una obligación también de ayudar

FEBRERO 2017 | CSO

 legislación CSO ESPAÑA

mental a la protección de datos perso-

nales.
Por otra parte, al elegir al encargado del
tratamiento, por lo que se refiere a las me-
didas de seguridad, la AEPD indica en sus
directrices que las medidas de seguridad
que se vayan a adoptar e implementar
puede hacerse sobre la base de una “lista
exhaustiva de las mismas o de la remisión
a un estándar o marco nacional o interna-
cional reconocido”.
Unido a lo anterior, también, en dicha
elección, el responsable del tratamiento
podrá tener en consideración si el encar-
gado del tratamiento se ha adherido a un responsabilidad que debe hacerse sobre
código de conducta o si cuenta con una “El encargado del tratamiento tendrá que la base de garantías jurídicas y prestando
certificación que permitan demostrar el especial atención a las medidas técnicas y
cumplimiento de las medidas de seguri-
asegurar también que quienes traten datos organizativas que proporcione también el
dad. personales bajo su autoridad cumplan encargado del tratamiento.
Al respecto, en cuanto a las medidas de
seguridad, el RGPD no incluye una lista de
con las instrucciones del responsable del Por último, la AEPD ha creado una sec-
ción web dedicada al RGPD y está prepa-
las mismas, sino que proporciona una lis- tratamiento y cumplan con la obligación o rando ya una herramienta de autoevalua-
ta orientativa de medidas, capacidades y deber de confidencialidad” ción online que permita a las pymes
recursos que, en su caso, tendrán que “valorar de forma rápida y sencilla si sólo
ofrecer tanto el responsable como el en- realizan tratamientos que en principio
cargado del tratamiento. del tratamiento y cumplan con la obliga- tratamiento de datos personales, sea una plantean un bajo o muy bajo riesgo para
Y el encargado del tratamiento tendrá ción o deber de confidencialidad. persona u organización que ayude al res- los derechos de los interesados, y ofrecer-
que asegurar también que quienes traten Se trata, por tanto, de que el encargado ponsable del tratamiento a asegurar el les el acceso a las medidas de cumplimien-
datos personales bajo su autoridad cum- del tratamiento, como parte de la cadena cumplimiento. Es decir, elegir a un encar- to que el Reglamento Europeo exige en
plan con las instrucciones del responsable de contratación por lo que se refiere al gado del tratamiento es un ejercicio de estos casos”. CSO

FEBRERO 2017 | CSO

Opinión CSO ESPAÑA

El CIO y el CISO
como habilitadores
de Negocio
La coordinación entre ambos directivos requerirá

de nuevos engranajes, dado que lo que prima en este

nuevo contexto es la rapidez.

C
ada vez somos más conscien- nos 30.000 millones de dispositivos conec-
tes del papel predominante tados y las empresas deberán crear nue-
que tiene y tendrá la tecnolo- vas cadenas de valor digitales para poder “Se acrecienta la importancia de las
gía en el seno de las organiza-
ciones. Tanto es así que re-
sobrevivir en mercado. Así se acrecienta
la importancia de las infraestructuras digi-
infraestructuras digitales, donde roles como
cientes estudios indican que en 2020 el tales, donde roles como el CIO y CISO ga- el CIO y CISO ganan tanto visibilidad hacia
75% de los negocios serán digitales, a lo nan tanto visibilidad hacia negocio como negocio como nuevos retos a afrontar”
cual se suma el hecho de que habrá al me- nuevos retos a afrontar.

José Antonio Rubio, presidente del Digital Trust Think Tank de IDG

FEBRERO 2017 | CSO

 opinión CSO ESPAÑA

Por un lado, el CIO deberá lidiar de una do nuevos elementos con las máximas ga-
forma más clara con el problema de la ob- rantías posibles. Además, la coordinación
solescencia tecnológica, derivado de esa entre el CIO y CISO requerirá de nuevos
presión constante de negocio para lanzar engranajes, dado que lo que prima en este
servicios y productos disruptivos vía cana- nuevo contexto es la rapidez. No todos los
les digitales. Enlazado con lo anterior será negocios digitales alcanzan los éxitos espe-
fundamental el diseño de estrategias res- rados, siendo uno de los factores que pro-
pecto al empleo de big data, movilidad y pia ese fracaso la falta de disrupción en
cloud computing, no habiendo lugar para mercado que no de buenas ideas. Una idea
la improvisación en esa toma de decisio- excelente pierde toda o casi toda su fuerza
nes. Máxime cuando las restricciones pre- si no se es capaz de posicionarla en merca-
supuestarias seguirán presentes y se pe- do antes que la competencia, por lo que las
dirá hacer más con menos. áreas de negocio necesitarán que el CIO y
Por otro lado, el CISO deberá tener muy el CISO se conviertan en habilitadores de
presente el riesgo de las amenazas persis- negocio ágiles y eficaces, compartiendo
tentes, la necesidad de seguir mejorando y ambos un enfoque y visión holística.
puliendo la madurez del proceso de ciber- En relación con lo anterior también será
seguridad corporativa y el hecho de que necesario adecuar la visión del riesgo en
tendrá que asegurar y aportar resiliencia a función de los resultados de negocio. Es de-
nuevas arquitecturas digitales de forma casi cir, deberá haber una transición del análisis
que constante. A lo cual debemos sumar la de riesgos puramente técnico a otro donde
lucha por la adquisición de talento en el el principal factor para la aceptación del ries-
campo de la ciberseguridad, y su creciente “CIO y CISO no sólo deberán proteger los go será el componente de negocio. Todo
involucración en decisiones de negocio. Si activos digitales, sino impulsar las iniciativas ello con el objetivo central de construir una
hasta ahora muchas de las cuestiones que identidad de marca asociada a la confianza
se le planteaban iban dirigidas a saber si de negocio y ayudar a la creación de una digital, donde el CIO y CISO no sólo deberán
ciertas caracterizaciones de productos o identificación de la marca corporativa con la proteger los activos digitales, sino impulsar
servicios eran posibles, ahora lo que se es- las iniciativas de negocio y ayudar a la crea-
pera de este rol es que de forma asertiva excelencia digital” ción de una identificación de la marca cor-
indique cómo se podrán trasladar a merca- porativa con la excelencia digital. CSO

FEBRERO 2017 | CSO

cso.computerworld.es