“Todas las decisiones que

tomamos a diario giran

en torno a los datos”
número 14 - ABRIL 2017
[Link]

Juan
Carlos
Sánchez CISO de Cesce
 EL PODER DE LA
Kaspersky Enterprise Cybersecurity INTELIGENCIA

Kaspersky
Enterprise Security
Protección fiable contra las •
•
Protección contra amenazas conocidas, desconocidas y avanzadas
Rápida detección de ataques dirigidos evitando así pérdidas financieras
ciberamenazas más recientes, •
•
Aplicación de seguridad a varios niveles integrada en su complejo entorno de IT
Ventajas exclusivas de protección en la nube, sin agentes o basada en agentes
reduciendo los riesgos de •
•
Trabajo con eficaces herramientas de investigación de incidentes
Aprovechamiento de nuestros profesionales y Security Intelligence Services
seguridad de información Proteja su negocio con soluciones de seguridad de eficacia demostrada

© 2016 Kaspersky Lab. Todos los derechos reservados. Las marcas registradas y logos son propiedad de sus respectivos dueños. [Link]
 sumario CSO ESPAÑA

A fondo Mesa Redonda ENTREVISTA en primera persona

o CASB: el mediador de servicios en la o GDPR: el impacto del nuevo marco o Ricardo Maté, director general de Sophos o Juan Carlos Sánchez, CISO de Cesce
nube llega para poner orden europeo de protección de datos para España, Portugal, Andorra y Gibraltar

eventoS
o EDITORIAL
c i b e r se g u r i da d

o El creciente riesgo de seguridad del ciudadano desarrollador

o Detectar amenazas internas es más fácil de lo que piensa
o La ciberseguridad en el ‘core’ de cualquier negocio
o HP Security Summit: las impresoras, en la mira de los cibercriminales
o IDG Security Day
e n t r e v i s ta

o Peter Cohan, profesor de estrategia en Babson College

e m pr e n d i m i e n t o e n se g u r i da d
o El niño que quiso desafiar al mundo cibercriminal y creó Buguroo

Le g i slac i ó n
o Implementación del HTTPS en entornos y aplicaciones web del sector público

o Fórum Ciberseguridad 2017: opi n i ó n

La ciberseguridad emerge como el mayor reto que afrontan las empresas o Ciberseguridad basada en el comportamiento

ABRIL 2017 | CSO

 Fujitsu
World Tour Ven .
9 de mayo
2017 Madrid, IFEMA Norte

Regístrate

Agrega la cita en Outlook

Event Partner
Human Centric Innovation

Digital Co-creation Platinum Sponsor

 @ cso@[Link]
t @CSOspain
CSO ESPAÑA
o [Link]

REDACCIÓN
Directora:
EDITORIAL

GDPR, el necesario impulso

María José Marzal @ mjmarzal@[Link] t @mjmarzal

Coordinadora editorial:
Esther Macías @ emacias@[Link] t @esmacis

de la sociedad digital
Redactores y colaboradores:
Alfonso Casas @ [Link]@[Link] t @acasasIDG
Mario Moreno @ [Link]@[Link] t @@mmoret02
Irene Muñoz @ [Link]@[Link] t @IreneMunozVal
Claudia Ortiz-Tallo @ [Link]-tallo@[Link] t @ClauOrtiztallo

E
Víctor Fernández, Marga Verdú, Reyes Alonso, Eugenio
Ballesteros, Beatriz Sánchez, José Antonio Rubio.
Departamento Audiovisual: Juan Márquez
xactamente un año es lo cómo hay empresas/organizaciones de Datos’ cuyo perfil es uno de los
Fotografía: Juan Márquez, Beatriz Garrigós, Pepe Varela
Diseño y producción digital: [Link]
que resta para que todas que todavía no tengan todos sus de- hándicaps que puede haber en la im-
las organizaciones cum- partamentos informáticos adecuados plantación de esta figura en la empre-
PUBLICIDAD
Senior Account Manager: Inma Pérez @ [Link]@[Link]
plan las directrices marca- al nuevo reglamento. Y no lo entiendo sa, ya que debería fusionar amplios
Account Manager: Maite Aldaiturriaga @ [Link]@[Link] das en el nuevo Reglamen- por varias razones; una por la seguri- conocimientos legales y de infraes-
Account Manager: Sergio Quero @ [Link]@[Link]
to General de Protección de Datos dad de sus propios datos y de sus tructuras tecnológicas. La carrera ha
ATENCIÓN AL LECTOr (GDPR). No se trata de una ley más. Se clientes y otra –y creo que ésta es fun- comenzado ya y es contrarreloj. Será
@ atencionalcliente@[Link] 902 103 235 / 913 496 789 trata de una regulación de ámbito eu- damental– porque de no cumplirse el el DPO, el CISO o el CIO, todavía no se
WEB ropeo de cumplimiento obligatorio y nuevo reglamento europeo las pena- sabe. Lo seguro es que dentro de 12
Publicidad online: Miguel Palomero @ mpalomero@[Link] aquí en nuestro país, con la excepción lizaciones pueden suponer sanciones meses sus organizaciones deben cum-
Programación web: Joaquín Hevia @ jhevia@[Link]
de las entidades financieras sobre las del 4% de la facturación. Cierto es plir el nuevo reglamento europeo. No
EVENTOS que pesan estrictas regulaciones, las que hay tiempo, doce meses para ade- hablamos de una ley más, estamos
Coordinación: Marta García @ [Link]@[Link]
Organización y logística: Toñi Hernández @ antonia.
empresas parece que piensan que cuarse a GDPR, pero es el justo. En ante un reglamento que supone los
hernandez@[Link] y Nasty Morales @ [Link]@[Link] GDPR va a ser lo mismo que la LOPD. este sentido, y con el objetivo de ace- cimientos de la nueva sociedad digital.
Y no: se trata de una regulación mu- lerar su implantación surge en las or-
Grupo editorial IDG Communications
cho más amplia sobre la que cimentar ganizaciones una figura imprescindi-
Director general: Manuel Pastor María José Marzal
Directora de Eventos: María José Marzal la nueva sociedad digital de una for- ble: el DPO (siglas en inglés) que aquí
t @mjmarzal
Director de Marketing Services: Julio Benedetti ma eficaz. Sinceramente no entiendo sería como ‘Delegado de Protección
Responsable financiero: José Luis Díaz

ABRIL 2017 | CSO

a fondo CSO ESPAÑA

CASB:
el mediador de servicios
en la nube llega para poner orden
Ya sea CASB en sus siglas en inglés (Cloud Access Security Broker) o

agente de seguridad de acceso a la nube en castellano, su valor crece

en importancia conforme pasan los meses. Incluso hay voces que le

otorgan un papel clave en el desarrollo de la nube en 2017. De ahí que

sea preciso explicar su rol para que no quepa dudas de la importancia

que puede adquirir dentro de cualquier empresa.

Víctor Manuel Fernández

ABRIL 2017 | CSO

 a fondo CSO ESPAÑA

E EL DATO
l CASB ya está aquí. Así, con
la frialdad que otorga las si-
glas, puede parecer cual-
quier cosa. Y si hablamos de Según Gartner, para 2020 el 95% de los
seguridad, las posibilidades incidentes de seguridad relacionados
son infinitas. Limitémoslas con una tec- con servicios cloud será pura responsa-
nología: la nube. El resultado es un ser- bilidad de los usuarios. Razón de más
vicio que, poco a poco, adquiere espe- para apostar por un servicio como CASB.
cial relevancia dentro de las empresas.
Es el Cloud Access Security Broker (CASB)
o agente de seguridad de acceso a la empresas disfrutan de una importante
nube, una categoría de herramientas de mejora de sus costes operativos, tam-
seguridad que ha adquirido un impor- bién lo es que la nube ha traído consigo
tante auge en los últimos meses. nuevos problemas relacionados con la
¿De dónde viene el interés por un ser- seguridad y el cumplimiento normativo.
vicio de estas características? De la cre- Por eso es tan importante un servicio
ciente preocupación de las empresas como CASB.
por controlar y gestionar la información
que circula por sus aplicaciones web. Y Comencemos por el principio…
eso que lo que realmente interesa pro- “En el principio era el Verbo”, cuenta la
teger, por encima de todas las cosas, es Biblia. En el caso que nos ocupa, más
el dato y todo lo que le rodea. No en bien son unas siglas las que represen-
vano, los ataques contra estos son cada tan el principio. Y es que, no hay nada
vez más sofisticados, y eso plantea unos mejor que comenzar por el principio
retos de seguridad para los que muchas para entender bien las cosas.
empresas no están preparadas. ¿Qué es un agente de seguridad de ac-
Hablábamos de la nube al comienzo ceso a la nube? Ni más ni menos que un
de este reportaje y es momento de vol- conjunto de nuevas tecnologías de se-
ver a centrarnos en dicha tecnología. Si guridad en la nube que hace frente a los
bien es cierto que gracias a ella muchas desafíos que presenta el uso de aplica- Alberto Ruiz-Rodas, ingeniero preventa de Sophos Iberia.

ABRIL 2017 | CSO

a fondo CSO ESPAÑA

ciones y servicios basados en dicha tec- que son muchos, pero también no son
nología, como es el caso de SaaS o IaaS, pocos los que temen su reverso tene-
por mencionar algunos. ¿Qué aporta? broso, eso que hace que muchas em-
Un extra de seguridad de acceso a la presas se piensen hasta dos y tres veces
nube, lo que permite “exigir métodos dar el paso que deben dar, inevitable-
adicionales con la intención de aportar mente, si quieren seguir compitiendo en
características ampliadas de seguridad el mercado.
para determinar quién puede acceder Porque todo se reduce a una cuestión
únicamente a cierta información”, rese- de seguridad: qué pasa con los datos,
ña Alberto Ruiz-Rodas, ingeniero pre- están seguros o no en la nube, quién se
venta de Sophos Iberia. ocupa de su integridad, etcétera. Más
Pero, ¿por qué es tan importante el aún cuando no son pocas las empresas
CASB? La culpa la tiene la seguridad y que no acaban de comprender del todo
más en concreto, los accesos a la nube. el impacto que tiene una excesiva adop-
En este sentido, Gartner revela en uno ción de aplicaciones en la nube por par-
de sus últimos estudios que más del te de los trabajadores, y sin olvidar que
25% de los gastos actuales de TI provie- de el momento en que la empresa que El papel de los servicios CASB es obligatorio cumplir de manera escru-
ne de fuera del departamento que la lleva sus datos y procesos a aplicaciones Una vez establecida su definición, es pulosa con la actual normativa de datos.
controla. Es decir, se apuesta por apli- en la nube quiera tenerlos protegidos momento de explicar el papel del CASB Es ahí, por lo tanto, donde entra en
caciones que quedan fuera del control de la misma manera como cuando tenía y, especialmente, por qué es tan impor- juego CASB, que es capaz de:
de dicho departamento porque intere- esos datos/aplicaciones alojados en su tante para la empresa. Y lo es desde el • Identificar y evaluar todas las apli-
san por diversas razones -mantener la data center con soluciones perimetra- momento en que cualquier empresa, caciones en la nube en uso.
productividad, permitir el acceso a la les”, precisa Javier Santiago, experto en sea cual sea su tamaño, decide subirse • Aplicar políticas de gestión de apli-
información sin importar el cuándo ni el seguridad cloud de Trend Micro Iberia. a la nube. Nadie duda de sus beneficios, caciones en la nube en los proxies
dónde, ni tampoco el cómo. De ahí que web o firewall existentes.
CASB tenga como propósito proteger a • Aplicar políticas granulares para di-
la empresa de ataques orientados a la
“Para 2020 el 95% de los incidentes de rigir el manejo de la información
información y a los usuarios, pero con seguridad relacionados con servicios ‘cloud’ importante, incluido el contenido
la ventaja de que son gestionados por
ella misma. Por eso, “es importante des-
será pura responsabilidad de los usuarios” relacionado con el cumplimiento.
• Cifrar contenido importante para

ABRIL 2017 | CSO

a fondo CSO ESPAÑA

La elección de CASB, una cuestión de proveedor

aplicar privacidad y seguridad. de acceso no permitido, los datos que
• Detectar y bloquear comportamien- se roben no sean útiles, es decir, estén
tos de cuentas inusuales, que pue- cifrados y no se pueda acceder a ellos”.
den indicar actividades malinten- La arquitectura de un servicio CASB varía de un proveedor a otro, aunque generalmen-
cionadas. ¡Marchando una de te cuentan con un mecanismo proxy, sobre el que se construye la solución. De esta
• Integrar la visibilidad en la nube y características! manera, se tiene la capacidad de inspeccionar todo el tráfico que va hacia y desde las
los controles con mayores solucio- Es hora de destripar un servicio CASB. aplicaciones en la nube, lo que permite conocer las actividades realizan los usuarios que
nes de seguridad, con el fin de evi- Y hablamos de destripar a analizar sus utilizan los servicios.
tar la pérdida de datos, la gestión características, de qué se compone o
del acceso y la seguridad web. qué ofrece a la empresa que se decida
a contar con este tipo de servicio. A bote proteger el acceso a la nube y la infor- la nube. Lo que está claro es que se tra-
Resumiendo, el servicio CASB es de pronto, y para comenzar, hay que rese- mación almacenada en la misma. Es ta de una solución muy eficaz para cu-
gran importancia para la empresa. Y lo ñar su modo de operar, como si se tra- más, un dato esencial a tener en cuen- brir una amplia variedad de situaciones.
es porque, como bien explica el ingenie- tara de un intermediario entre aplicacio- ta: la protección se considera desde el ¿Cuáles? Entre otras, las aplicaciones en
ro de preventa de Sophos Iberia, “por nes de nube y los usuarios. Con eso momento en el que ésta se crea, es de- la nube autorizadas y no autorizadas,
desgracia, se han descubierto vulnera- provee visibilidad y seguridad de los cir, considerando el dispositivo con el las cuentas personales y comerciales en
ciones en servicios cloud que permiten datos a la empresa. que acceden los usuarios, por lo que aplicaciones autorizadas, los dispositi-
el acceso a los datos a los atacantes. Otra característica de este tipo de he- entre las opciones de seguridad que vos móviles y de escritorio y los disposi-
Podemos ver desde los accesos y robo rramienta es que puede ofrecer opcio- ofrece se encuentran la clasificación de tivos gestionados y no gestionados.
de imágenes en servicios como iCloud nes de protección en distintas fases: información que se transfiere a la nube, Por lo tanto, se trata de un servicio
o acceso a datos almacenados en Dro- desde los equipos utilizados por los cifrado de datos sensibles o la accesi- de gran valor para la empresa, sea
pbox, por citar algunos ejemplos. De ahí usuarios para conectarse o la red que bilidad sólo a usuarios autorizados que cual sea su tamaño. Todo reside en su
la importancia de proporcionar una usan hasta las características de acce- consumen esta información. grado de implicación con la nube, el
capa extra de seguridad para que, en el so, hasta las aplicaciones en la misma tipo de uso que haga de ella y la can-
peor de los casos, aún en una situación nube. En este sentido, lo que busca es Valores añadidos a tener en tidad de aplicaciones y servicios que
cuenta utilicen en su día a día. Y una solución
¿Interesa instalar en una empresa un que, abarca las situaciones que se aca-
“Más del 25% de los gastos actuales de TI servicio de estas características? Todo ban de mencionar con total garantía.
dependerá de su decisión, de sus nece- Para eso, se aprovecha de caracterís-
proviene de fuera del departamento de TI” sidades y del grado de uso que haga de ticas como las que siguen:

ABRIL 2017 | CSO

a fondo CSO ESPAÑA

• Seguridad específica de las aplica- qué consiste este tipo de TI, decirle
ciones. Las principales aplicaciones que hace referencia a la inversión
en la nube se caracterizan por con- en soluciones de TI de terceros, in-
tar con API bien definidas que pue- cluidos servicios y aplicaciones en
de aprovechar un CASB para super- la nube, sin supervisión de la orga-
visar la actividad, analizar el nización de TI. Las aplicaciones en
contenido y modificar los ajustes de la nube contribuyen en gran medi-
configuración dentro de las cuentas da a la TI alterna, ya que los em-
de esa aplicación en la nube. En pleados o las líneas de negocio pue-
este sentido, la mayoría de los CASB den adoptar estos servicios
ofrecen soluciones de seguridad es- directamente y mejorar de inme-
pecífica de aplicaciones en la nube diato la productividad.
para aprovechar estas API.

Los cuatro pilares de CASB

• Control de acceso. Los agentes de
• Seguridad en línea con gateways. punto final ofrecen otra opción
El gateway de CASB se ubica entre para gestionar la actividad en la
los usuarios y sus aplicaciones en nube. Gartner habla de cuatro pilares de CASB, que son los siguientes:
la nube y puede proporcionar in- En conclusión, estamos ante un ser- · Visibilidad: ¿qué aplicaciones, tanto autorizadas como no autorizadas, están
formación valiosa sobre la activi- vicio muy a tener en cuenta. Sobre siendo utilizadas por los empleados, con qué frecuencia y en qué momento?
dad en la nube y brindar un vehí- todo, como bien afirma Javier de San- · Conformidad: los agentes de seguridad de acceso a la nube ofrecen la oportu-
culo para la aplicación de políticas tiago, cuando asistimos al fin del pe- nidad de entender si una empresa está cumpliendo con las regulaciones, tales
en tiempo real. rímetro con el paso de la nube, del como HIPAA, PCI, FISMA, etcétera., y siempre a través del gobierno de datos.
correo o de los workflows, entre otros · Prevención de amenazas: con el fin de ofrecer la prevención de amenazas de
• Análisis de TI alterna. Los disposi- elementos. De ahí que recurrir a CASB una manera efectiva, CASB mira a los usuarios internos para evaluar el riesgo
tivos de seguridad existentes, como tenga una explicación muy clara para potencial de su comportamiento. Se trata de vigilar su acceso a contenido para
los gateways de seguridad web y los la empresa: “Aprovechar al máximo el que no están autorizados.
firewalls, tienen datos de registro las bondades de la disponibilidad de · Seguridad de los datos, lo que comporta tanto su encriptación como la preven-
que se pueden usar para ayudar a toda su información mediante la ga- ción ante la pérdida de datos. En este sentido, el CASB da respuesta a preguntas
analizar la TI alterna. Por cierto, rantía de una protección acorde a sus del tipo a qué datos accede el usuario, qué tipo de datos comparte o si lo hace
para quien se esté preguntando en políticas de seguridad”. protegiendo su propiedad intelectual.

ABRIL 2017 | CSO

a fondo CSO ESPAÑA

La realidad del servicio

CASB en España
El panorama de CASB en nuestro país, por ahora, se puede calificar de escaso, por no
decir desalentador, directamente. Y es que son pocas las empresas que estén hacien-
do uso de dicho servicio. La razón es la escasa venta que se realiza del mismo, a pesar
de resolver el problema de la seguridad compartida. Los expertos no dudan en afirmar
que su presencia irá aumentando en las empresas conforme éstas adviertan el riesgo
que corren la información y datos contenidos en sus aplicaciones web. Cuestión de
tiempo, en definitiva.

Una figura llamada a traer Pero, además de seguridad, hay otro

seguridad valor por el que un servicio CASB es
Porque eso y no otra cosa es lo que bien valorado por la empresa: su
proporciona un agente de seguridad de transparencia. Pero, ojo, transparen-
acceso a la nube. Seguridad, ante todo, cia entendida como ese conjunto de
en definitiva, pero con facilidad de uso medidas extra que, a pesar de estar
por encima de todas las cosas. Una fa- implantado, no repercute en acciones
cilidad de uso que permita consolidar y operaciones adicionales por parte
las políticas definidas para las diferen- de los usuarios. El porqué de esta ma-
tes plataformas a proteger dentro de nera de actuar lo resume Alberto
la empresa. Es decir, “debe implicar Ruiz-Rodas de una manera muy sucin-
una configuración de integración míni- ta: “En caso de que no se haga de esta
ma, de modo que el impacto para los manera, los usuarios no utilizarán
administradores y usuarios se reduzca este tipo de servicios y, lo que es peor,
al máximo”, sostiene el experto en se- la implantación de la seguridad no
guridad cloud de Trend Micro Iberia. será efectiva”. CSO

ABRIL 2017 | CSO

 CIBERSEGURIDAD CSO ESPAÑA

El creciente riesgo
de seguridad del
ciudadano
desarrollador
Los ciudadanos desarrolladores pueden ayudar a
las empresas a crear aplicaciones más rápidamente,
pero ¿cómo va a afectar esta nueva estirpe de
desarrolladores a la seguridad empresarial?

George V. Hulme

ABRIL 2017 | CSO

CIBERSEGURIDAD CSO ESPAÑA

H
oy en día, shadow IT se de desarrollo Low-Code, el 62% de las
ha extendido más allá
de los smartphones, las
tabletas y los servicios
empresas encuestadas informan sobre
retrasos importantes en el desarrollo de
aplicaciones, muchas tienen más de 10
Algunas recomendaciones
en la nube, y se está ex- aplicaciones esperando a ser desarro- • Defina los lenguajes de programación con los que estos desarrolladores ciudadanos
pandiendo rápidamente al dominio de lladas. Además, el 76% de los profesio- pueden desarrollar. Los mejor serían lenguajes gestionados por memoria (Java, Ja-
los desarrolladores empresariales. Si nales de TI encuestados afirma que para vaScript, etc.). hay que sospechar que la mayoría de estos desarrolladores ciudada-
no se controla a esos desarrolladores desarrollar una aplicación personaliza- nos está construyendo aplicaciones basadas en la web o, probablemente, aplicacio-
en la sombra, o ciudadanos que cola- da se necesita una media de más de nes móviles.
boran, esta tendencia podría implicar tres meses. Alrededor de un 11% de los • Defina cómo se conectarán los desarrolladores a estas aplicaciones. ¿HTTPS o HTTP?
graves riesgos para los equipos de se- encuestados comenta que ese tiempo Asegúrese de proteger los datos en tránsito.
guridad empresariales. se alarga a un año. • Proporcione orientación sobre cómo encriptar los datos en reposo.
Lo que está impulsando el desarrollo Con retrasos como estos, no es sor- • Proporcione SDK móviles que puedan usar para asegurarse de que la empresa pue-
ciudadano es la enorme demanda de prendente que los gerentes comercia- da gestionar las aplicaciones correctamente. Convénzales de la necesidad de ges-
aplicaciones empresariales. Según Gart- les y el personal de muchas empresas tionar el ciclo de vida del software: ¿Cómo desplegamos? ¿Cómo revocamos el ac-
ner, hasta 2021, la demanda del merca- no estén contentos con el tiempo que ceso cuando alguien deje el grupo? ¿Cómo limpiamos los datos de la aplicación si el
do de desarrollo de aplicaciones crecerá tardan en conseguir las aplicaciones dispositivo se pierde o lo roban?
cinco veces más rápidamente que la que necesitan, por eso están desarro- • Cree un consejo asesor para ayudar a guiar a los desarrolladores ciudadanos para
habilidad de TI para proporcionar esas llando sus propias aplicaciones con que construyan mejores aplicaciones.
aplicaciones. Según un estudio de plataformas como Appian, Kony, • Es importante que los líderes de TI y los equipos de seguridad se den cuenta de que,
OutSystems, proveedor de plataformas OutSystems, Mendix, [Link] como en cambios informáticos anteriores, como BYOD y la consumerización de la
nube provocada por la computación en la nube, no van a poder frenar el ascenso
del desarrollador ciudadano. Van a tener que buscar a sus desarrolladores ciudada-
Si no se controla a esos desarrolladores nos internos y trabajar con las diferentes unidades de negocio para apoyar y guiar
a esta nueva ola de desarrolladores de forma segura, pero también tienen que per-
en la sombra o ciudadanos esta tendencia mitir que la empresa desarrolle las aplicaciones que necesita todo el mundo.
podría implicar graves riesgos para los • Según el estudio de Gartner, esta será la estrategia de la mayoría de empresas. En
2020, la empresa de estudios predice que el 70% o más de las grandes empresas
equipos de seguridad empresariales tendrán políticas de desarrollo de código por parte del ciudadano.

ABRIL 2017 | CSO

CIBERSEGURIDAD CSO ESPAÑA

y otras que les permiten crear esas No hay duda de esto. No obstante,
aplicaciones. Con estas plataformas es las empresas deben aprender a ges-
relativamente sencillo que cualquiera, tionar los esfuerzos de los desarrolla-
especialmente desarrolladores no pro- dores ciudadanos, porque en caso
fesionales, puedan construir y desple- contrario se arriesgan a perder el con-
gar aplicaciones empresariales tre- trol de la seguridad de las aplicaciones
mendamente funcionales. que utilizan sus empleados y a que
“En general, la idea de tener desarro- datos regulados terminen en aplica-
lladores ciudadanos es buena”, explica ciones y lugares que no deberían. “Si
Mike Thompson, director senior de las unidades de negocio están creando
desarrollo de aplicaciones móviles mi- aplicaciones sin el soporte del depar-
ddleware del proveedor de desarrollo tamento de TI, es poco probable que
móvil multiplataforma Kony. “Cuando creen una aplicación centrada en la
gente muy cercana a las operaciones seguridad, y eso debería asustar mu-
de la empresa tiene el poder de inno- cho a los equipos de seguridad de la
var a través de aplicaciones móviles, empresa”, explica John Britton, direc-
sus acciones pueden ser un factor cla- tor de seguridad de VMware.
ve en la transformación digital”. Britton comparte un ejemplo con no-
sotros. Hace un tiempo, acudieron a
su equipo para que limpiase una apli-
Lo que está cación sombra de TI que había sido de hash de contraseñas y las guardó seguridad de una empresa”, comenta
impulsando el desplegada en una empresa. Aunque sin encriptar. Cualquiera con acceso a Britton.
el desarrollador ciudadano intentó in- la base de datos podía acceder, posi- Esto provoca riesgos obvios, brechas
desarrollador cluir seguridad con nombres de usua- blemente, a la contraseña corporativa de seguridad y posibles riesgos de
ciudadano es la rio y contraseñas con un hashing co- de los empleados, porque mucha gen- cumplimiento normativo. A medida
rrecto en una base de datos, no te no se preocupa por usar bien las que crecen los desarrolladores ciuda-
enorme demanda incluyó una función para recuperar las contraseñas y reutiliza la misma en danos dentro de las empresas, estas
de aplicaciones contraseñas olvidadas. “El desarrolla- todas partes. Este es solo un ejemplo deben aprender a evitar situaciones
dor terminó renunciando a restable- de cómo una aplicación sombra de TI como la que explica Britton. “Otro ele-
empresariales cer las contraseñas, eliminó la función puede hacer peligrar enormemente la mento importante en el que deberían

ABRIL 2017 | CSO

CIBERSEGURIDAD CSO ESPAÑA

pensar las empresas para ayudar a a través de API simples, o buscar de- equipos de seguridad deben involu- quisitos de seguridad móvil”, comenta.
los desarrolladores ciudadanos a de- sarrolladores que puedan trabajar con crar activamente a los empleados de Además, asegura que debería consi-
sarrollar las aplicaciones que necesi- los desarrolladores ciudadanos duran- la empresa para identificar esas apli- derarse crear una tienda de aplicacio-
tan de manera apropiada es que los te o después del proceso de desarro- caciones y si hay información prote- nes en la empresa. “Si hay una tienda
departamentos de TI y seguridad los llo”, explica Thompson. gida que debería estar segura, ade- de aplicaciones de la empresa, es po-
forme de manera adecuada y riguro- Para aquellas empresas que no ten- más de asegurarse de que no se sible verificar las aplicaciones para ver
sa. Eso mejorará la calidad de las apli- gan programas específicos para los introduzcan inadvertidamente nue- si tienen fallos de seguridad y aplicar
caciones y la concienciación sobre desarrolladores ciudadanos —actual- vos vectores de ataque”, aconseja Vi- cierto nivel de medidas de seguridad
temas de seguridad y cumplimiento”, mente, la mayoría— el primer paso es kram Phatak, CEO de NSS Labs. externas”, aclara. “Los equipos de se-
asegura Britton. identificar cuándo alguien ha desple- Thompson afirma que una estrategia guridad pueden pedir a contabilidad
Según Thompson de Kony, un aspec- gado una aplicación fuera del ámbito directa es gestionar diligentemente el que busque en las órdenes de compra,
to crítico de cualquier plan para man- de TI. El segundo paso es determinar acceso a la red, las aplicaciones em- los recibos y los informes de gastos de
tener la seguridad y el cumplimiento si la aplicación implica algún riesgo o presariales en la nube y otras fuentes los empleados nombres de platafor-
empresariales es hacer que la incor- utiliza datos regulados. El reto es, por de datos de la empresa. Controlando mas Low-Code conocidas. Después,
poración de los controles necesarios supuesto, tener la capacidad de ver los datos —haciendo que el desarro- pueden hablar con los empleados
sea lo más sencilla posible para el de- cuándo surgen aplicaciones no auto- llador de aplicaciones ciudadano ten- para saber cómo hacen sus trabajos y
sarrollador ciudadano. “Esto puede rizadas. ga que trabajar con el equipo de TI de preguntarles qué herramientas usan”,
significar incorporar medidas de segu- “No se puede asegurar lo que no se la empresa para acceder a los datos explica Phatak.
ridad sólidas en el desarrollo de la sabe, así que ahora la vida de los corporativos, por ejemplo—, existe la Britton, de VMware, proporciona
propia plataforma, desarrollar servi- equipos de seguridad de las empre- oportunidad de instalar controles ins- orientación adicional. “El primer paso
cios de claves de seguridad accesibles sas es mucho más interesante. Los titucionales relacionados con los re- de la configuración de estas estrate-
gias para gestionar a los desarrollado-
res ciudadanos es reconocer que el
Las empresas deben aprender a gestionar los esfuerzos de los departamento de TI no puede decir
desarrolladores ciudadanos porque en caso contrario se arriesgan que no a todo. El segundo paso es es-

a perder el control de la seguridad de las aplicaciones que utilizan tablecer directrices para determinar
qué es lo que realmente pueden hacer
sus empleados y a que datos regulados terminen en aplicaciones y para qué necesitan una exención de-
y lugares que no deberían terminada”, aconseja el experto de la
compañía VMware. CSO

ABRIL 2017 | CSO

 CIBERSEGURIDAD CSO ESPAÑA

Detectar amenazas internas

es más fácil de lo que piensa

Expertos en seguridad debaten sobre cómo

evitar el peligro de sus propios empleados.
Ryan Francis

ABRIL 2017 | CSO

 CIBERSEGURIDAD CSO ESPAÑA

C
uando todo era físico, con procedimientos para prevenir las ame- que no todas las amenazas internas son El acceso es un privilegio, no un derecho.
cámaras de vigilancia y nazas, asegurando los terminales cor- iguales. “Cómo impedir las amenazas Hamesh Chawla, vicepresidente de in-
tarjetas de acceso, era fá- porativos y las herramientas apropiadas que vienen de personas descuidadas o geniería de Zephyr, comenta que las em-
cil saber si un infiltrado para proteger a los usuarios y permitir negligentes puede diferir de las amena- presas deberían proporcionar un acceso
tenía malas intenciones. que hagan su trabajo”, explica Matias zas que vienen de personas intenciona- “necesito saber” y auditar todas las me-
Ahora que la red es más virtual, no Brutti, hacker de Okta. “Los entornos damente maliciosas. La teoría del palo y didas adoptadas. Las auditorias deberían
siempre se puede saber si la persona laborales están cambiando constante- la zanahoria se aplica a este área tanto ser implementadas por quienes tenga
que está sentada en el siguiente cubícu- mente, así que es complicado monitori- como a cualquier otra”. poder para hacerlas, como roles de ad-
lo está accediendo a documentos confi- zarlos a nivel corporativo”. Añade que la disuasión de las amena- ministrador o raíz.
denciales. Aunque la amenaza interna Gran parte de la tecnología ha cambia- zas internas debería adaptarse al tipo de Geoff Webb, vicepresidente de estrate-
sigue refiriéndose a un empleado de la do, pero las restricciones son las mismas riesgo que se está intentando mitigar. La gia de Micro Focus, afirma que lo más
empresa, el intruso ya no es alguien lo- y las empresas tienen que seguir siendo pregunta se responde en base a factores importante que puede hacer una empre-
calizado dentro de los confines del edi- proactivas para detener los ataques ma- ambientales sobre la cultura de la em- sa es reducir el acceso de los trabajado-
ficio. El acceso a la red puede producir- liciosos, explica. “Deben entender sus presa, el estatus de la organización (prós- res con información privilegiada a los
se desde lugares públicos, como una amenazas y adaptar sus tecnologías para pero, deficiente, despidos, etc.) y cómo datos sensibles. “Muchas empresas tie-
cafetería cercana. atenderlas. Ahora más que nunca, la cla- trata/monitoriza/maneja legalmente a nen problemas para gestionar adecua-
“Para las empresas actuales, en las ve para tener éxito es contratar al equipo los contratistas. damente quién tiene acceso a los datos,
que las viejas líneas corporativas están apropiado e implementar las tecnologías Vendedores de seguridad hablan con incluso a los datos muy sensibles, sobre
desapareciendo con más frecuencia, los correctas”. nosotros sobre cómo combatir las ame- todo debido a las complejidades de la
retos solo van en aumento. Las empre- Steve Mancini, director senior de infor- nazas invisibles que pueden llegar a mano de obra moderna, el papel de las
sas tienen que adaptar sus políticas y mación de seguridad de Cylance, explica prácticamente cualquier parte de la red personas externas, el ritmo al que fluye
interna. la información y que los efectos de los
Nir Polak, cofundador y CEO de Exa- privilegios pesan sobre los empleados
Cuando todo era físico, con cámaras beam, lo resume: “Mini-Max” o minimice antiguos”.
el acceso en la medida de lo posible y Además de reducir el nivel de acceso de
de vigilancia y tarjetas de acceso, era maximice la monitorización del acceso los empleados, las empresas deberían
fácil saber si un infiltrado tenía malas en busca de patrones inusuales. Este es aplicar buenas prácticas de gobierno en
un tema habitual entre los vendedores las que la responsabilidad de certificar y
intenciones de seguridad. No proporcione a los em- revisar quién tiene acceso recaiga en los
pleados una puerta abierta a toda la red. gerentes de línea de negocios que admi-

ABRIL 2017 | CSO

 CIBERSEGURIDAD CSO ESPAÑA

nistren esos datos, explica. “Las empre- mación asegura que los empleados es-
sas deberían monitorizar la actividad de tén bien informados sobre protocolos de
los datos sensibles o valiosos, buscar respuesta a incidentes y los anima a ser
comportamientos anómalos que puedan proactivos para que informen sobre ac-
indicar que un trabajador está accedien- tividades sospechosas”.
do a ellos indebidamente o, como suele
ser el caso, que alguien ajeno esté su- Capacitación de concienciación
plantando a un usuario privilegiado des- Otro comentario habitual entre todos
pués de robar sus credenciales”, comen- los profesionales de seguridad entrevis-
ta Webb. “Como en toda buena tados es que para que los empleados
seguridad, para impedir las amenazas ayuden a detectar las amenazas internas
internas se requiere un enfoque múlti- es fundamental una capacitación de con-
ple. La buena noticia es que los pasos cienciación de seguridad.
más básicos suelen proporcionar el ma- Javvad Malik, defensor de seguridad de
yor valor, y ser sistemático y exhaustivo AlienVault, afirma que la concienciación y
proporciona grandes beneficios a la hora educación de los usuarios deben ser de
de proteger los datos sensibles”. fácil acceso y repetirse. Esto incluye recor-
Se tiene que poder aplicar una política dar qué comportamientos son o no son
interna a través de las tecnologías apro- aceptables, cuáles son los riesgos y cómo
piadas, por ejemplo, implementar una denunciar sospechas de infracciones.
monitorización de la actividad de los “Los supervisores directos también de-
usuarios para los departamentos de fi- berían formarse para que recuerden
nanzas y [Link]. puede ayudar a detectar ciertas cosas al personal regularmente,
y prevenir la posibilidad de abusar del Ahora que la red es más virtual, no y para que permanezcan atentos a cual-
acceso a información sensible”, explica quier comportamiento inapropiado”,
Shawn Burke, CSO global de Sungard siempre se puede saber si la persona que añade Malik.
Availability Services. Las empresas tam- está sentada en el siguiente cubículo está El factor más importante a la hora de
bién deberían realizar cursos rutinarios detener riesgos internos es proporcionar
de concienciación de seguridad y gober- accediendo a documentos confidenciales capacitación de concienciación de segu-
nanza de la información. Ese tipo de for- ridad continua a todos los empleados,

ABRIL 2017 | CSO

 CIBERSEGURIDAD CSO ESPAÑA

afirma Scottie Cole, administrador de se- vital crear y mantener un registro de ries- y transparencia —y aplicar las políticas sión del impacto del riesgo y la forma-
guridad y red de AppRiver. “Esto enseña gos que califique y cuantifique los ries- rigurosamente— puede ayudar a dete- ción de un equipo interno que asuma el
a los empleados qué se espera de ellos gos para remediarlos y, posteriormente, ner amenazas potenciales antes de que reto, puede cambiar la cultura de la em-
y les proporciona señales para identificar pasos de mitigación. Para demostrar el se conviertan en crisis. presa inmediatamente a un equipo que
riesgos. Los equipos de riesgos internos progreso, el equipo debería crear KPIs y Algunos profesionales de seguridad uti- se proteja a sí mismo”.
también deberían tener evaluaciones auditar e informar sobre los niveles de lizan el término “socializar” para indicar Es fundamental socializar el concepto
constantes y auditar los activos de la em- riesgo para mostrar el estado y mejorar cómo se debe implementar la capacita- de que todo el personal es responsable
presa, porque eso puede ayudar a iden- año tras año”. ción de concienciación. Kennet Westby, de disuadir y detectar las amenazas in-
tificar riesgos que de otro modo serían Schindilinger comenta que el equipo de presidente y cofundador de Coalfire Sys- ternas, explica Alvaro Hoyos, jefe de
ignorados”. gestión de riesgos debería ayudar a ase- tems, dice que el mayor impedimento es seguridad de información de OneLogin.
Dottie Schindlinger, experta en tecno- gurarse de que la política de “informan- identificar el riesgo y construir un pro- “Es similar a lo que se esfuerzan por
logía de gobernanza de Diligent, opina tes” de la empresa y sus procedimientos grama que lo combata. “Algo mucho más conseguir los programas de sensibili-
que esta formación debe complementar sean factibles, fáciles de navegar y posi- importante que cualquier política, con- zación de seguridad exitosos. También
la formación de seguridad actual que ya bles de implementarse rápidamente en trol o tecnología es conseguir que el en- es importante invertir en soluciones
realice la empresa. El equipo de riesgos caso de que se identifique una amenaza foque y el compromiso cultural de la em- técnicas, pero ninguna solución técnica
internos puede asumir el liderazgo a la interna. “Lo más importante es que el presa aborden la amenaza interna. puede reemplazar a un usuario final
hora de evaluar herramientas de softwa- equipo debería trabajar con la dirección Mediante la sensibilización, la compren- observador”.
re enfocadas a seguridad que ayuden a de la empresa para establecer una cultu-
identificar e impedir las amenazas inter- ra de transparencia y responsabilidad
nas, y proporcionar seguridad para la —asegurando que se apliquen las políti- Aunque la amenaza interna sigue
información sensible —especialmente la cas rigurosamente y que cualquiera que
información compartida con agentes ex- presente información sobre una posible refiriéndose a un empleado de la empresa,
ternos, como documentos de la junta amenaza sea recompensado, no penali- el intruso ya no es alguien localizado
enviados a directores externos—. zado o condenado al ostracismo—”.
Jo-Ann Smith, directora de gestión de Añade que la implementación de miti-
dentro de los confines del edificio.
riesgos tecnológicos y privacidad de ries- gación de riesgo y software de seguridad El acceso a la red puede producirse
gos de Absolute, menciona cómo el equi- es crítica para identificar, disuadir y de-
po de gestión de riesgos internos debe- nunciar incidencias. No obstante, el sof-
desde lugares públicos, como una
ría reunirse regularmente para actualizar tware solo no resuelve el problema. Es- cafetería cercana
las políticas. “Una vez implementado, es tablecer una cultura de responsabilidad

ABRIL 2017 | CSO

 CIBERSEGURIDAD CSO ESPAÑA

Eric Stevens, director de servicios de con- tamiento es inaceptable, recibir capaci-

sultoría de Forcepoint, afirma que, desde tación de concienciación de seguridad
una perspectiva disuasoria, es buen co- centrada en la política incumplida y ser
mienzo tener un plan bien definido y so- vigilados posteriormente para asegurar-
cializado. Explicar a los usuarios que se se de que han cambiado su comporta-
está ejecutando un programa de amena- miento”, explica. Las empresas deberían
zas internas, cuál es la intención del pro- estar comprobando siempre si hay ame-
grama, cómo es la buena gestión de datos nazas internas simulando amenazas
y asegurarse de que entienden su papel a nuevas, y no pensando en ello como si
la hora de proteger la empresa puede ayu- fuera una política que se puede imple-
dar a frenar los comportamientos descui- mentar sin cambiarla nunca, comenta
dados y a sacar a la luz a quien haga algo Brutti. Los equipos rojos deberían estar
mal intencionadamente. Los controles tec- perpetrando siempre ataques nuevos y
nológicos, como analíticas de usuario y/o los azules deberían intentar detenerlos
comportamiento final, pueden proporcio- y mejorar a partir de lo aprendido.
nar la monitorización necesaria del progra- Kris Lovejoy, CEO de BluVector, tiene
ma y alertar a la seguridad TI de compor- una táctica ligeramente distinta a la de
tamientos anómalos, recogiendo al mismo otros profesionales de seguridad. Cree
tiempo la evidencia forense necesaria. inteligencia de amenazas fiable que pue- presas deberían limitar el acceso a esos que bloquear el acceso ahogará la inno-
da identificar cualquier patrón de com- activos a los empleados y contratistas que vación. Afirma que las empresas no de-
Conozca sus activos portamiento típico de mafias organizadas los necesiten, además de monitorizar berían exagerar con la seguridad de sus
Si no sabe qué tiene en su red, es muy e individuos deshonestos. continuamente su comportamiento y ani- redes, sino buscar un equilibro que pro-
difícil que pueda determinar si alguien Steven Grossman, vicepresidente de es- mar a los propietarios de las aplicaciones teja a la empresa con la salud del negocio.
está accediendo a información a la que trategia y habilitación de Bay Dynamics, a calificar las alertas como sospechosas o “Como pasa con el agua, si bloqueas a los
no debería acceder. Malik opina que las explica que para reducir los riesgos inter- justificadas. “Ese tipo de calificación empleados y los contratistas, encontrarán
empresas deberían identificar sus activos nos de manera efectiva las empresas de- orientada al negocio reduce el ruido y los otro camino para evitar ciertos controles.
críticos y a sus propietarios, y clasificar berían entender qué activos, si se ven falsos positivos, dando relevancia a las Para hacer su trabajo, usarán sus correos
los datos. Deberían vigilar tanto las ins- comprometidos, provocarían el mayor alertas más importantes e inminentes. electrónicos personales, Dropbox u otros
talaciones como la infraestructura de la daño, dónde están esos activos y quién Los infractores de políticas no maliciosos mecanismos de transferencia de datos
nube. Esto debería mejorarse con una los maneja e interactúa con ellos. Las em- deberían ser avisados de que su compor- menos seguros”. CSO

ABRIL 2017 | CSO

 CIBERSEGURIDAD CSO ESPAÑA

La ciberseguridad
en el ‘core’ de
cualquier negocio
Así lo define Fernando J. Sánchez, director del Centro
Nacional para la Protección de las Infraestructuras
Críticas CNPIC, quien participó recientemente junto con
Rosa Díaz, directora general de Panda Security España,
en una mesa organizada por FIDE (Fundación para la
Investigación sobre el Derecho y la Empresa)
y FTI Consulting.

Alfonso Casas

ABRIL 2017 | CSO

 CIBERSEGURIDAD CSO ESPAÑA

“
La ciberseguridad comienza a es- de las organizaciones, no suponga un
tar en el core de cualquier nego- impacto mayor.
cio, y para aportar valor, las nor- Fernando Sánchez, subrayó como con
mativas van a ayudar a informar la directiva NIS se ha conseguido estable-
a los clientes sobre si estás cum- cer una serie de medidas (tanto físicas
plen o no con las leyes”. Así de tajante se como cibernéticas) de los contenidos mí-
mostraba Fernando J. Sánchez, director nimos para que un operador crítico ela-
del Centro Nacional para la Protección bore unos planes de seguridad. De hecho,
de las Infraestructuras Críticas CNPIC, en España contamos actualmente con un
durante su intervención en una mesa re- enlace de seguridad, designado como res-
donda sobre ciberseguridad, en la que ponsable de TI, que hace de locutor con
se abordaron temas relacionados con la los operadores críticos. Además, se ha
Normativa Europea y su trasposición en elaborado una guía de notificación, redac-
España, teniendo en cuenta los ciberata- tada junto con los operadores, y en vigor
ques y la protección de infraestructuras para dos años, que establece qué tipos de
críticas de nuestro país. El evento, orga- J. Sánchez, director del Centro Nacional sus ordenamientos jurídicos y aplicarla incidentes o modos operandi deben com-
nizado por FIDE (Fundación para la Inves- para la Protección de las Infraestructu- dentro de cada uno de los sectores. El prometer al operador a la hora de notifi-
tigación sobre el Derecho y la Empresa) ras Críticas CNPIC, ofrecieron su visión debate se centró en los pasos obligato- car al CNPIC. “Se trata de una guía elabo-
y FTI Consulting, congregó a expertos y sobre las claves de la Directiva NIS y su rios y normativos dados ya por nuestro rada de forma consensuada, con el fin de
responsables de organizaciones de dis- evolución en la adopción, para que las país, dentro del marco legal, para que allanar el camino ante la inminente apro-
tintos sectores preocupados por su organizaciones puedan transponerla a la adopción de la Directiva, por parte bación de la nueva normativa europea”,
adopción. Las empresas de diferentes puntualiza Sánchez. El director apuesta
sectores y sus asesores legales, deberán por buscar en mayor medida la colabo-
prestar especial atención a cómo el legis-
“Tenemos que saber custodiar la ración: establecer algún tipo de baremo
lador debe dar forma a diversos aspec- información y saber con quién la con el que la colaboración sea premiada,
tos que, ambiguos en la Directiva actual,
pueden llegar a generar un grave perjui-
compartimos, con confianza mutua y para incentivar medidas que animen al
operador a reportar incidentes y premiar
cio para los negocios. colaboración público-privada”, dice al que hace sus deberes con algún tipo de
Tanto Rosa Díaz, directora general de
Panda Security España, como Fernando
Fernando J. Sánchez, director del CNPIC certificación, aplicando la sanción solo al
incorregible.

ABRIL 2017 | CSO

 CIBERSEGURIDAD CSO ESPAÑA

Sofisticación de incidentes ten grandes paralelismos con la norma-

Sólo el pasado año, fueron registrados tiva actual, lo que es una ventaja ante la
105.000 ciberataques por parte de los implantación definitiva. Lo que más im-
tres CERT (equipos de respuesta a inci- porta a nivel institucional es que las nor-
dentes cibernéticos), 500 de los cuales, mativas se entiendan, para que no apa-
iban dirigidos a operadores críticos. En rezca la duplicidad, y sí una mejor
lo que llevamos de año, añade Sánchez, eficiencia normativa y económica entre
“se han producido ya 16.000, de los cua- los propios operadores”. En definitiva,
les, 128 apuntaban a operadores críti- puntualiza Sánchez, “hacer un todo más
cos. Siguiendo la tasa de progresión, a consistente para que el sistema engra-
finales de 2017 estaremos superando ne con lo que ya existe”.
los 700 incidentes, puntualiza el director
del CNPIC. Así pues, de estas cifras po- ¿Qué ocurre con el end-point?
demos extraer que los incidentes no Según un estudio de la consultora
solo crecen en número, sino que tam- Gartner, entre el 2 y el 8% de los PC cor-
bién se han vuelto más sofisticadas, lo porativos están infectados con distintas
que obliga a tener que contar con una modalidades de malware, como pueda
mayor colaboración y confianza mutua. ser Cryptolocker. Llegados a este punto,
Son la base fundamental de la seguri- Rosa Díaz, directora general de Panda
dad, argumenta Sánchez. Security España afirma que si tradicio-
“Estamos abocados a un mundo trans- nalmente los presupuestos de seguri-
versal, donde la única forma que tene- dad de las compañías estaban más en- “La colaboración y confianza mutua son la base de la ciberseguridad hoy en día”,
mos de protegernos, con ciertas garan- focados a proteger el perímetro de la destaca Fernando J. Sánchez, director del CNPIC.
tías, es involucrar a todos los agentes de red, esto es algo que tiene que cambiar
la sociedad, no solo a las agencias del con la adopción de medidas de protec- Los antivirus tradicionales no detectan
gobierno, sino también a las empresas ción proactiva y técnicas de ingeniería
que comercializan servicios, y al propio social que cada vez implican más a los el 50% del nuevo ‘malware’, siendo
ciudadano que cuenta con dispositivos usuarios. La ciberseguridad nacional se necesario recurrir a tecnologías
inteligentes”, destaca Sánchez. encuentra amenazada por el auge de
El director del CNPIC afirma que “exis- ataques patrocinados por estados, así más avanzadas

ABRIL 2017 | CSO

 CIBERSEGURIDAD CSO ESPAÑA

rar simultáneamente diversas líneas de

Interacción entre operadores críticos

defensa. “Se trata de pasar de una pos-
tura reactiva, a una posición proactiva”,
destaca Díaz.
Para Panda Security, el nuevo para- A finales del pasado año, el CNPIC incorporaba 54 nuevos operadores críticos al mapa de
digma de la seguridad se encuentra en riesgos que forman parte del sistema, sumando en la actualidad un total de 106 empresas
la clasificación 100% de las aplicaciones que prestan servicios esenciales para el buen funcionamiento del país. A los tradicionales,
que corren sobre una determinada pla- se les ha incorporado algunos agentes clave encargados de la distribución del agua y el
taforma para no dejar ejecutar nada transporte marítimo, aéreo, ferroviario y por carretera. Ya en 2014, se incorporaron otros
que no sea conocido para las solucio- tantos del sector eléctrico, suministro de gas y petróleo, así como del sistema financiero.
nes de la compañía. “Toda actividad es El CNPIC regula la protección de las infraestructuras críticas con el fin de poder canalizar
monitorizada y analizada en tiempo las actuaciones de todos los órganos de las Administraciones Públicas, impulsar la cola-
real, para evitar la ejecución de cual- boración e implicación de los gestores y propietarios de las infraestructuras que propor-
quier tipo de código malicioso”, destaca cionan servicios esenciales, y coordinar los esfuerzos y las inversiones para poder aportar
la directiva. un mayor grado de protección frente a amenazas de cualquier tipo que puedan surgir.
Preguntado el directivo del CNPIC por Para ello se hace necesario utilizar una red de comunicaciones segura en la que se garan-
la importancia que tiene para el Centro tice la confidencialidad y protección de los datos existentes.
Nacional el que gran parte de los Ope-
“El endpoint es el eslabón más débil de radores Críticos sean compañías de ca-
la cadena y los atacantes lo consideran rácter nacional, el director precisa que
objetivo prioritario”, comenta Rosa “tenemos claro que la seguridad en el
Díaz, directora general de Panda diseño es elemental y si hay empresas
Security España. españolas con gran capacidad, para el
CNPIC es algo transcendental, puesto
como por aquellos que van dirigidos que además de potenciar el mercado
contra infraestructuras críticas. La di- nacional, acabas fomentando también
rectiva de la compañía española de se- el empleo”. Del mismo modo, destaca
guridad propone el uso de diferentes Sánchez, “evitamos una potencial puer-
tecnologías para poder hacer frente a ta trasera, algo que está ocurriendo en
las vulnerabilidades que puedan perfo- algunos países”. CSO

ABRIL 2017 | CSO

CIBERSEGURIDAD CSO ESPAÑA

HP Security Summit:
las impresoras, en la mira de los cibercriminales

HP celebró el pasado 5 de abril un evento dedicado a la ciberseguridad,

HP Security Summit, en el que aprovechó para anunciar su nuevo lanzamiento de impresoras A3,

“las más avanzadas y seguras del mundo” según la compañía.

Claudia Ortiz-Tallo (londres)

ABRIL 2017 | CSO

CIBERSEGURIDAD CSO ESPAÑA

T
radicionalmente, las organi- Este producto está diseñado para pro- que con pérdida de datos es de 9,5 mi-
zaciones se han esmerado porcionar una experiencia de impresión llones de dólares.
en desplegar medidas de se- con características avanzadas de segu- Según datos que maneja HP, el 53%
guridad asociadas a los ser- ridad, colores asequibles a través de la de los responsables IT no son cons-
vidores y ordenadores PC de tecnología de impresión PageWide de cientes de que las impresoras son dis-
la red. Sin embargo, el panorama ha HP y mayor tiempo de actividad del dis- positivos susceptibles de ser manipu-
cambiado hasta tal punto que ya cual- positivo a través de la tecnología Smart lados. “Todo el mundo tiene que estar
quier dispositivo inteligente o conecta- Device Services de HP. Además, la com- preocupado por la seguridad”, contó
do corre el mismo peligro. Es el caso de pañía ha firmado con más de 500 distri- Lazaridis. “No estamos hablando de
las impresoras, que actualmente ya es- buidores en todo el mundo para que, pequeños grupos de hackers sino de
tán equiparadas al resto de los equipos así, sus socios puedan tener nuevas for- grandes organizaciones, incluso países
informáticos. Es por ello que las compa- mas de aumentar sus ingresos y sus hackeando a otros países”. Además, los
ñías deben apostar por una propuesta márgenes. endpoints se han convertido en el es-
integral de seguridad que garantice la labón más débil de la cadena de segu-
seguridad de los datos, la de los docu- Preocupación por la seguridad ridad en la empresa.
mentos, y las del propio dispositivo; El evento fue encabezado por el presi-
algo que HP puede ofrecer. dente en EMEA de la compañía, Nick La- La gran batalla en los endpoints
Lo sorprendente es que, a pesar de zaridis, el cual recalcó que “la seguridad Shane D. Wall, CTO de HP, enfocó su
que las empresas saben que las impre- es una palabra muy corta para un signi- ponencia hacia el futuro pero para ello
soras son puntos de acceso a la red con ficado tan grande”. Esto se debe a era necesario separarse de la tecnología
entrada y salida de datos, más de la mi- que vivimos en un mundo completa- puesto que para entender las tenden-
tad de los responsables de TI no son mente conectado y el cibercrimen, cada cias tecnológicas es preciso echar un
conscientes de las posibles brechas de vez más, se está convirtiendo en un pro- vistazo a la humanidad primero. Una
seguridad que se pueden originar. HP blema que supone mucho dinero. Más
quiso lanzar este mensaje en HP Secu- concretamente, el 32% de las compa-
rity Summit, un evento que organizó la ñías fueron víctimas de este tipo de ata-
multinacional en Londres para concien- ques en 2016, los cuales generan un
“La seguridad es una palabra muy corta
ciar acerca de este tema y para anunciar gasto de 445.000 millones de dólares al para un significado tan grande”
el nuevo lanzamiento de sus nuevas im- año. De hecho, el coste medio para una
presoras multifunción A3. gran empresa que haya sufrido un ata-
Nick Lazaridis, presidente EMEA de HP

ABRIL 2017 | CSO

 CIBERSEGURIDAD CSO ESPAÑA

vez llegados a este punto, es importan- David Ryan, vicepresidente y director en EMEA de HP Print

“Existen miles de millones de impresoras

te destacar cuatro conceptos: rápida
urbanización, cambios en las demogra-

en el mundo y solo el 2% son seguras”

fías (la gente vivirá más y las expectacio-
nes sobre la tecnología serán mayores),
hiperglobalización (cualquier tecnología
puede expandirse en poco tiempo) e in- David Ryan, vicepresidente y director en EMEA de HP Print, explica a CSO que la protección de
novación acelerada. De hecho, según el una impresora tiene diferentes niveles. En primer lugar, la protección del dispositivo en sí mis-
CTO, en 2020 habremos creado 40 ZB mo ya que la impresora se ha convertido en un PC más de la red. En segundo lugar, proteger
de datos, lo que equivale a todos los los datos en términos de encriptación y gestión de las impresoras, es decir, no solo las carac-
granos de arroz que caben en el océano terísticas que tienen sino cómo se usan. Y, en tercer lugar, la protección de los documentos en
pacífico. sí para que no caigan en manos del usuario incorrecto. “Lo que podemos ver en la industria
En cuanto a la seguridad, la gran ba- hoy en día es que hay diferentes herramientas a las que dar uso”, cuenta Ryan. “Cuanto más
talla se va a producir en los endpoints, quieras asegurar este tipo de dispositivos, más te darás cuenta que el único que realmente está
frente a unas amenazas que crecen a innovando en este área es HP”. Es importante tener en cuenta que el coste de tener una brecha
un 44% cada año. “Proteger los en- de seguridad es muchísimo más grande en comparación con invertir en la seguridad de tus
dpoints es una de las cosas que se tie- dispositivos, sistemas y redes. Una de las mayores diferenciaciones de HP con respecto a sus
ne que hacer para conseguir la segu- competidores, según Ryan, es que diseñan impresoras seguras desde su creación. “Existen
ridad general”, afirmó Wall. Existen miles de millones de impresoras en el mundo y solo el 2% son seguras”, garantiza Ryan. Es
tres niveles por los que los hackers relativamente baja la concienciación de este peligro. Según Ryan, los que toman las decisiones
podrían entrar: aplicaciones/Internet, en IT están pensando más en ordenadores, móviles y servidores que en impresoras. “Nosotros,
sistemas operativos o hardware/fir- desde HP, estamos realizando talleres educativos sobre seguridad para formar a nuestra ca-
mware. Ésta última, según Wall, es el dena de socios. Básicamente queremos aumentar la concienciación en este tema”, aclara el
más vulnerable puesto que si lo hacen vicepresidente de impresión. Además de pensar en impresoras multinacionales para el mundo
por ahí, pueden controlar todo el dis- corporativo, HP también lo hace para personas individuales. De hecho, han publicado una lista
positivo. Además, es muy difícil darse de consejos para el buen uso de las impresoras en las casas. Aun así, la gente generalmente
cuenta, el daño es permanente e im- no es consciente de esto. Los hackers buscan datos e información para ganar dinero, por lo
posible de recuperar. “Dentro de 30 que tendrían las mismas razones al hackear una impresora que un ordenador. “Todo disposi-
años todo estará conectado –inclu- tivo con una dirección IP es totalmente vulnerable. Cuanto más sofisticado sea un dispositivo,
yendo objetos como sillas o gafas–, más pasos hay que tener en cuenta para asegurarlo”, concluye Ryan.

ABRIL 2017 | CSO

CIBERSEGURIDAD CSO ESPAÑA

por lo que todo representará una que me haya cambiado de bando”, bro-
amenaza ya que todos los dispositivos meó Calce.
serán un posible target para los hac- Partiendo de la base de que la moti-
kers”, concluyó Wall. vación principal de los hackers es el di-
nero, el invitado quiso dejar claro que
El hacker que se pasó al otro las impresoras, para un criminal de
bando este calibre, se han convertido en las
Estamos acostumbrados a escuchar a puertas de entrada de muchas empre-
los encargados de proveer la seguridad sas. Muchas compañías se enfocan en
pero no a escuchar la propia perspecti- proteger algunos de los dispositivos
va de un hacker. Michael Calce, una vez pero la verdad es que la mentalidad de
conocido como Mafiaboy, acudió al estos cibercriminales no es atacar a
evento de HP para reflejar el otro punto éstos sino fijarse en aquellos puntos
de vista: qué es lo que realmente están en los que las empresas no pensarían.
buscando los cibercriminales. Como por ejemplo, las impresoras.
Con seis años, Calce obtuvo el primer “Podría enseñaros en 30 minutos a ser
ordenador y en tan solo cinco años, ya un hacker a través de un sistema ope-
se dedicaba a programar y hackear has- rativo gratuito al que todo el mundo
ta que fue reclutado por la TNT –el gru- podría tener acceso si quisiese”, afirmó
po más poderoso en ese momento de Calce. “Lo que realmente me da miedo
hackers– en 1997. “Todo el mundo en es pensar que los hackers puedan in-
esta sala debería de estar contento de fluir en unas elecciones”.

“Lo que realmente me da miedo es pensar “Proteger los endpoints es una de las
que los hackers puedan influir en unas cosas que se tiene que hacer para
elecciones” conseguir la seguridad general”
Michael Calce (Mafiaboy) Shane Wall, CTO de HP

ABRIL 2017 | CSO

CIBERSEGURIDAD CSO ESPAÑA

“Cualquier servicio que damos a nuestros

clientes tiene que ser seguro”
Luciana Broggi, directora de Servicios y
Soluciones en EMEA de HP

Una decisión conjunta Lo que hace HP es que se pone de nuestros clientes tiene que ser segu- En definitiva, HP ofrece a los clien-
Muchas compañías no son conscien- acuerdo con sus clientes acerca de los ro”, explicó Luciana Broggi, directora tes que adquieren sus soluciones
tes de los peligros a los que se pue- requisitos de seguridad, tratándose de Servicios y Soluciones en EMEA de una propuesta integral de seguridad
den enfrentar y dónde queda su segu- de una decisión conjunta. Y es que, HP. “A veces no podemos prevenir los en toda su gama de equipos, con el
ridad empresarial pero proteger sus cada impresora tiene más de 250 ajus- ataques pero nos aseguramos que la fin de poder supervisar las amena-
datos debe ser la prioridad de cual- tes que pueden ser personalizados. infección no ponga en peligro el dis- zas y prevenir comportamientos
quier organización en cualquier país. “Cualquier servicio que damos a positivo o los datos”. anómalos. CSO

ABRIL 2017 | CSO

 CIBERSEGURIDAD CSO ESPAÑA

IDG Security Day

El primer evento global de IDG dedicado exclusivamente a la seguridad
El grupo editorial de medios de comu- mejor defensa contra ataques ciberné- creación de credibilidad en el liderazgo; Consulting Group; John Gallant, jefe de
nicación tecnológicos convocará a la co- ticos cada vez más sofisticados. Esta y el papel de CyberInsurance. Contenido de IDG Estados Unidos; Emi-
munidad global de seguridad cibernética celebración tendrá lugar el miércoles Los miembros anunciados en el con- ly Heath, CISO en AECOM; Rudramurthy
en un evento sin precedentes en 10 paí- 21 de junio de este año con una pre- sejo que estarán presentes en IDG Se- KG, CISO en Digital India; Marlon Molina,
ses diferentes el próximo 21 de junio. sencia global en 10 mercados: Ámster- curity Day son: Bob Bragdon, redactor director de ComputerWorld University;
A medida que aumentan las brechas dam, Londres, Madrid, Mumbai, Mú- de CSO; Mark Connelly, CISO en Boston Dr. Hans-Joachim Popp, CIO de DLR.
de seguridad en todo el mundo, es cru- nich, París, Singapur, Estocolmo, Sídney
cial que las empresas evolucionen,
adopten nuevas formas de pensar y
y Washington DC. Además, IDG trasla-
dará la conversación en tiempo real a
­­Una oportunidad única
nuevas herramientas para asegurar sus través de las redes sociales: #IDGSecu- IDG Security Day será una oportunidad única para que los socios de IDG compartan
activos. En estos tiempos de incertidum- rityDay. ideas y desarrollen soluciones a los desafíos de seguridad de datos cruciales que
bre, IDG cree que es imperativo que los La agenda incluye discursos, talleres, enfrenta la comunidad empresarial global en la era digital. No hay que olvidar que
líderes de TI y de negocios se preparen paneles, mesas redondas y sesiones de el nuevo Reglamento General de Protección de Datos de Europa impondrá impor-
para tomar una visión holística de la se- preguntas y respuestas sobre los si- tantes obligaciones en relación con el tratamiento de datos personales, normas que
guridad de TI. guientes temas: protección contra ame- tendrán repercusiones en las empresas. “IDG Security Day es una iniciativa emocio-
Con este espíritu, IDG, grupo editorial nazas y prevención de infracciones; in- nante que refleja nuestra firme creencia en el poder de la colaboración para garanti-
internacional de medios de comunica- geniería social (incluyendo el phishing y zar nuestra seguridad colectiva”, explica Bob Bragdon, redactor de CSO. “Esperamos
ción tecnológicos, ha organizado IDG el conocimiento del usuario); gestión de que, aprovechando la profunda experiencia de IDG en seguridad de datos y nuestra
Security Day, un evento global para re- la regulación y el cumplimiento (incluye inigualable presencia global, podamos reunir a nuestros socios internacionales para
unir a los profesionales de TI con el fin GDPR); gestión de la informática y se- desarrollar soluciones que puedan implementarse con éxito tanto a nivel local como
de colaborar en la determinación de la guridad; gestión de riesgos de terceros; a escala internacional”.

ABRIL 2017 | CSO

 CIBERSEGURIDAD E S P E C I A L L E GI S L A C IÓN CSO ESPAÑA

GDPR: el impacto del nuevo marco europeo

de protección de datos

M. Moreno

ABRIL 2017 | CSO

 CIBERSEGURIDAD
especial legislación CSO ESPAÑA

A pesar de ser ya una norma vigente, el Reglamento General de Protección

de Datos comenzar á a funcionar con toda su fuerza de ley en mayo de 2018.

Las compañías han comenzado una carrera a contrarreloj por ajustar sus

pr ácticas y departamentos a la nueva disposición. Para acotar todas sus

posibilidades y características, CSO organizó una mesa redonda en la que

participaron varios de los expertos más relevantes del sector.

E
l camino que están recorriendo de la facturación. Las organizaciones encontrar en el mercado. No obstante, la que acudieron los nombres propios
juntos la Ley Orgánica de Pro- también han recibido el imperativo de está por definir todavía su ámbito de más importantes del sector y que sirvió
tección de Datos (LOPD) y el implantar cifrado y sistemas de doble actuación y si esa labor la asumirá el de guía para coordinar con éxito todos
nuevo Reglamento General de factor de autentificación en todas las propio CISO en determinadas compa- los compromisos de los que dispone el
Protección de Datos (GDPR) se bifurca- capas de datos. A partir de dicha fecha ñías. En cualquier caso, la GPDR ha ini- mandato.
rá en mayo de 2018 cuando se imponga saldrá caro saltarse las barreras del le- ciado una carrera entre las empresas Todos los participantes coincidieron
este último en toda la Unión Europea. gislador europeo que, como elemento españolas, que puede ser a contrarreloj en que la ley desencadena una preocu-
La nueva ley emplaza a las empresas a estrella, introduce también la figura del de no comenzar ya a preparar su aco- pación necesaria de las personas por
adecuar sus herramientas y departa- ‘delegado de protección de datos’ (DPO, gida, por poner coto a uno de los ámbi- los datos. “Supone un disparadero para
mentos a unas exigencias mucho más por sus siglas en inglés) si se dan las tos que más preocupa a toda firma que que las empresas se interesen por la
restrictivas y punitivas que obligan, por circunstancias necesarias. Se trata de ya opera digitalmente: la fuga de datos. protección y establezcan una estrategia
ejemplo, a informar de cualquier bre- un perfil a caballo entre los conocimien- Para resolver todos los interrogantes adecuada para el gobierno de los da-
cha a la Agencia de Protección de Datos tos legales y las infraestructuras tecno- que suscita la ocasión, CSO organizó el tos”, inició Álvaro Fernández, responsa-
so pena de sanciones por valor del 4% lógicas de seguridad que será difícil de pasado 3 de abril una mesa redonda a ble de ventas de productos de seguri-

ABRIL 2017 | CSO

 CIBERSEGURIDAD
especial legislación CSO ESPAÑA

dad empresarial de HPE Software. “Es pagar la infracción. Ahora, con la GPDR
una excelente oportunidad de negocio. hay que comunicar los ataques y cam-
Como usuario es una gran ayuda, pero bia el escenario”, aseveró Alfonso Mar-
como empresa nos permitirá un marco tínez, director regional de ventas para
en el cuál ordenar las distintas medidas España y Portugal de Gemalto. Hasta
a tomar y a ayudar a las organizacio- mayo de 2018 no se empezarán a apli-
nes”, sostuvo María Gutiérrez Puente, car gravámenes, pero las organizacio-
directora de ciberseguridad de Fujitsu nes tienen que empezar a aprovechar
en España. Sin embargo, deja abierta este tiempo de margen para poner a su
una duda que Joseba Enjuto, director disposición todas las herramientas ne-
de consultoría de Nextel S.A., dejó pa- cesarias para ajustarse a los márgenes
tente: otorga mucha más manga ancha legales. “Este período será el gran indi-
a las compañías para que puedan adop- cador de las compañías que se están
tar las soluciones que crean más apro- preocupando por la materia y las que
piadas para gestión del riesgo. “Tú jus- no”, espetó Enjuto. “Es un momento
tificas tus propias soluciones y para los para hacer una evaluación de cuál es tu
que no crean en seguridad es un peli- estado. Qué hay avanzado y qué no. Y,
gro. La ley no escrita del cumplimiento, a partir de ahí, implementar soluciones
cumplo y miento”. y hacer un grupo de trabajo involucran-
En cualquier caso, que la ley no gene- Alfonso Martínez, director regional Álvaro Fernández, responsable de ventas do a todas las áreas”.
re medidas de seguridad concretas a de ventas para España y Portugal de productos de seguridad empresarial de
implementar por las empresas no las de Gemalto. HPE Software. Mucho trabajo por hacer
exime de cumplir con sus prerrogativas Toda empresa digital y basada en tor-
y de recibir sanciones, llegado el caso “La seguridad no es un “La GDPR representa una no al dato tiene que recoger el testigo
extremo. El balance negativo no solo de la legislación y ajustarse al nuevo
sería patente en su cuenta de resulta- estado, sino un camino. oportunidad para las marco europeo. Sin embargo, hay sec-
dos, “la pérdida de imagen que conlleva tores más susceptibles, en concreto,
puede hacer mucho daño. Antes había Una constante de innovación empresas de revisar y poner en todos aquellos que operen con infor-
empresas que se podían permitir no mación de terceros, tal y como indicó
cumplir porque les salía más rentable y análisis” órbita las medidas adecuadas” Martínez. Ejemplo de ello podría ser el

ABRIL 2017 | CSO

 CIBERSEGURIDAD
especial legislación CSO ESPAÑA

Joseba Enjuto, director de consultoría María Gutiérrez, directora de bancario o el sanitario, aseguró, que
de Nextel S.A. ciberseguridad de Fujitsu en España. necesitan analizar dónde está la infor-
mación, reducir su impacto y delimitar
quién tiene acceso a cierto tipo de da-
La ley abre el cambio para “El cumplimiento de la nueva tos. Pero no solo las firmas tienen que
ponerse al día, la Agencia de Protección
aprender a gestionar los norma afectará a todas las de Datos todavía tiene que tasar cuáles
son los tratamientos pre autorizados y
riesgos de seguridad y áreas, no solo a la qué va a considerar un tratamiento,
algo que dará muchísimo trabajo a las
obtener beneficios” informática” empresas, según Enjuto. “La clave pasa-
rá por hacer un ejercicio de gestión de

ABRIL 2017 | CSO

 CIBERSEGURIDAD
especial legislación CSO ESPAÑA

legal, tendrá que discernir como apli- problema”, dijo Gutiérrez. En este pun-
car la ley en los departamentos y deci- to, la directiva introdujo el concepto de
dirá sobre derechos fundamentales”. ciberseguro, muy en auge en estos días,
Para Fernández las posibilidades pa- como movimiento para derivar el riesgo
san por integrar esas funciones en la hacia un tercero.
labor del Ciso o por establecer un Otra de las tecnologías que está fun-
puesto independiente. “En cualquier cionando como plataforma de impulso
caso, tiene que entender que sus fun- de la transformación digital y que tra-
ciones son globales y afectan integral- baja específicamente con los datos es
mente a la empresa”. Esta figura no el cloud. Para Fernández todas las em-
aplicará las medidas o determinará los presas saben de los beneficios de subir-
tratamientos, sino que será la respon- se a la nube, pero no todas confían. La
sable de proteger una información con GDPR ayudará a dar ese paso, sin mie-
una responsabilidad tanto interna do a las brechas o a perder reputación
como pública. “Deben ser muy cons- o dinero. “Es un habilitador del cloud”.
riesgos que va a ser el elemento que cientes de lo que eso supone y, por “Cada vez hay más soluciones que te
permitirá orientar las medidas de segu- ello, tiene que exigir a la organización dan la tranquilidad de irte a la nube.
ridad hacia donde sean necesarias”. que cumpla unos mínimos”. Hay que mirar que es lo que hay que
Lo que sí está claro es que de toda cifrar y no hacerlo de cualquier mane-
esta amalgama de nuevos artículos Cómo ayudarán las nuevas ra”, comentó Martínez.
surge una figura que tendrá un papel tecnologías Y, ¿qué hay del Internet de las cosas?
principal en los organigramas: el ‘dele- Una vez exploradas todas las posibili- “No es un mundo estandarizado y los
gado de protección de datos’. Con ella dades e interpretaciones del nuevo re- grandes ataques están viniendo por esa
nacen también varias cuestiones ¿Qué glamento, cabe adentrarnos en el cora- vía”, señaló Gutiérrez. “Es una de las
es un DPO? ¿Qué competencias tiene? zón de las organizaciones: el dato. grandes brechas a evitar”. Para Enjuto,
¿Cuál es su responsabilidad? ¿Quién ¿Cómo securizarlo? Anonimato y confi- en el mundo industrial tenemos unos
debe asumir ese cargo? “No tiene las dencialidad se antojan palabras clave. sistemas legacy con muchos problemas
características de un CISO ni de un per- “Los DLP (Data Loss Prevention) y la y ahora con el IoT estamos circulando
fil técnico puro”, apostilló Gutiérrez. biometría nos pueden ayudar a obtener por el mismo sendero y cometiendo los
“Ostentará muchísima competencia el acceso a la información en caso de mismos errores. CSO

ABRIL 2017 | CSO

 ESPECIALlegislación
CIBERSEGURIDAD
especial LEGISLACIÓN Powered by CSO ESPAÑA

GDPR
Siete preguntas que el CIO debe responder
para garantizar el cumplimiento

2 3
El nuevo reglamento general de protec- Estas son las siete preguntas que debe .- ¿Dónde está la información .- ¿Cómo puedo responder de
ción de datos aprobado por la UE Y co- hacerse ahora: sensible PII (Personally Identi- manera efectiva a los asuntos
nocido por las siglas GDPR afectará a fiable Information) que cae legales que requieran informa-

1
todas las organizaciones que operen en .- ¿Cuál es mi situación actual? bajo este reglamento? (Artículos 5, 24; ción? (Artículos 79, 58; 122, 123, 143)
Europa, incluyendo a las empresas ex- Realice una evaluación de riesgo 74) La información en cualquier formato Asegure que estén definidas las políti-
tranjeras que tengan archivados datos para determinar el nivel de pre- debe ser considerada: copia impresa, cas y procedimientos legales necesa-
personales de usuarios europeos. El no paración actual, incluyendo la tecnolo- audio, visual y alfanumérico. Debe ser rios. Evalúe la tecnología utilizada para
cumplimiento de este reglamento de- gía de la que dispone para cumplir la capaz de unificar registros para propor- aislar la información requerida por los
rivará en multas que pueden suponer normativa [Link] el nivel de cionar una visión de 360 grados y enten- abogados.
hasta el 4% del beneficio anual de una conocimiento interno de GDPR para ob- der dónde se utilizan los datos PII y
organización o 20 millones de euros y tener los recursos que necesitará para cómo se mueven entre bases de datos
se hará efectivo en mayo del 2018. la implantación. y aplicaciones.

ABRIL 2017 | CSO

 ESPECIALlegislación
CIBERSEGURIDAD
especial LEGISLACIÓN Powered by CSO ESPAÑA

4 5 6 7
.- ¿Cómo puedo asegurar que .- ¿Cómo puedo identificar la .- ¿Puedo informar de un in- .-¿Cómo puedo reducir mi perfil
los datos confidenciales están información para la disposi- cumplimiento dentro del plazo de riesgo general? (Artículos 5,
protegidos, almacenados y res- ción, de acuerdo con el “dere- previsto por el reglamento de 24; 39, 74). Realice una evaluación
paldados de forma segura? (Artículos cho a ser olvidado?” (Artículos 4, 15-22, la UE sobre protección de datos? (Artí- de riesgo rigurosa de políticas, procedi-
6, 32, 33, 34, 83) Evalúe la eficacia de la 24; 59, 63-71, 74). Obtenga asesora- culos 33, 34; 85, 86, 87, 88). 72 horas es mientos y tecnología. Invierta en tecnolo-
gestión total de registros. Determine si miento legal sobre cómo se definen los un objetivo difícil de alcanzar. Es nece- gía según sea necesario para lograr la
la copia de seguridad existente protege datos PII. Implemente una herramienta sario que exista una política y un siste- reducción del riesgo. Establezca tanto la
datos PII. Revise el cumplimiento de la de aplicación de políticas y un proceso ma de monitorización exhaustivo, y defensa proactiva como la gestión poste-
política de retención de datos para el que pueda ser monitorizado y verificado personal formado para informar cuan- rior al evento para proteger la reputación
borrado seguro de los datos. para el cumplimiento. do sea necesario. corporativa y evitar tanto las multas como
la limitación de actividades penales.

Realice una evaluación gratuita para Las soluciones de HPE Software

saber cómo está de preparado para
pueden ayudarle a gestionar la
cumplir con la GDPR en este link:
información sensible de acuerdo
con los requerimientos de la GDPR.
Descúbralas en este link:

ABRIL 2017 | CSO

EVENTOS CSO ESPAÑA

Fórum Ciberseguridad 2017

La ciberseguridad emerge como el mayor reto que afrontan las empresas en la era digital

En Fórum Ciberseguridad

Barcelona 2017, evento

organizado por IDG

Communications España junto

con la firma analista IDC Spain,

se dieron cita desarrolladores

de sistemas del ámbito de la

seguridad de la información y

CISO de grandes empresas.

Marga Verdú

ABRIL 2017 | CSO

 EVENTOS CSO ESPAÑA

L
as cifras en pérdidas que ocasionan tar una estrategia de seguridad en su
los ciberataques, en torno a empresa”. El primero de ellos se refiere al
350.000 millones de dólares solo contexto dinámico de las amenazas. “Esta-
durante el pasado año, llevan a la mos viviendo en un mundo en el que los
reflexión con respecto a la puesta en esce- ataques son cada vez más frecuentes, los
na de políticas de seguridad proactivas actores se están expandiendo y las acome-
que consigan minimizar el impacto que tidas que lanzan son cada vez más sofisti-
pueda ocasionar un ciberataque en una cadas. Asimismo, estamos asistiendo al
organización. Para debatir los aspectos nacimiento de nuevos fenómenos como
más candentes que rodean a las nuevas hacking-as-a-service-marketplaces, en el que
amenazas y cómo proteger a las organiza- personas y organizaciones criminales cola-
ciones de los cada vez más devastadores boran de forma casi orgánica y mantienen
efectos que pueden llegar a causar en sus un enfoque open source en el hacking, y co-
infraestructuras TI, expertos procedentes laboran de forma distribuida al estilo de las
del ecosistema de desarrolladores de sis- organizaciones de código abierto, con la
temas de ciberseguridad y CISO de grandes finalidad de desarrollar y lanzar nuevas
empresas se dieron cita recientemente en amenazas”, afirmó este experto, mientras rewall, debido a que no se conocen todas garantizar la protección a la infraestructura
Barcelona en el Fórum Ciberseguridad comentó que este es un fenómeno global las amenazas. No es realista ni eficiente requiere de herramientas y direccionadas
2017, que organizó IDG Communications y distribuido, con lo que los “malos” se vuel- pensar que las empresas tienen que seguir para proteger frente a este tipo de amena-
España, junto con la firma analista IDC Es- ven mucho más fuertes y resultan difíciles utilizando el mismo enfoque de ahora en zas”.
paña. de combatir. adelante”, añadió. Desde IDC, esta analista recomienda que
En su visión del mercado de la seguridad “En 2015 se lanzaron 480 millones de ti- Para Malhado, un enfoque que debería las empresas apuesten por la automatiza-
en nuestro país, Ricardo Malhado, senior pos diferentes de malware, lo cual repre- ser adoptado por las empresas para luchar ción, la integración y la visibilidad. “La
research analyst de IDC España, se centra- senta más de un millón de tipos de malwa- contra este contexto de amenazas pasa apuesta por automatizar un conjunto de
ba en su intervención titulada “La seguri- re lanzados cada día, y nos da una idea de por realizar una evolución tecnológica de procesos repetitivos, así como el procesa-
dad en la era post perimetral” en la seguri- lo que es dinámico en la escala de las ame- los sistemas de seguridad –dada la sofisti- miento de grandes volúmenes de datos, y
dad empresarial a través de una estrategia nazas, y también significa que las empresas cación creciente de los ataques–.” Por otro garantizar que los profesionales especiali-
consistente en tres pilares “que considera- no pueden seguir utilizando el mismo tipo lado, el cada vez más complejo entorno zados en ciberseguridad se dedican a labo-
mos fundamentales para aquellos empre- de enfoque de construir formas de blo- tecnológico de las empresas obliga a que res de mayor valor como la monitorización,
sarios que se estén planteando implemen- quear a las amenazas conocidas en el fi- las herramientas de seguridad que han de correlación y a poner remedio a los fallos

ABRIL 2017 | CSO

 eventos CSO ESPAÑA

relacionados con la ciberseguridad”.

La tercera recomendación de IDC, de Mario Maawad Marcos, director de prevención del fraude en CaixaBank
acuerdo con Malhado, se fundamenta en
llevar a cabo un cambio de mentalidad a la “Las amenazas pueden provenir de cualquier sitio”
hora de tratar la seguridad de los sistemas
TI. “Se trata de pasar de la reacción a la Mario Maawad Marcos, director de prevención del fraude en CaixaBank,
prevención. Hoy en día es imposible cono- reflexionó en el encuentro sobre lo difícil que resulta cuantificar el impacto
cer la totalidad de las amenazas que se de la prevención. “A veces lo que queremos transmitir no son los datos in-
ciernen sobre los sistemas, y las empresas ternos, que resultan imposibles de entender por los clientes. Pero, lo que
se preguntan cómo detectar, identificar y es importante, y la seguridad tiene mucho que ver con esto, es la percepción
procesar amenazas desconocidas. Este es de la confianza. Es sabido por todos que el activo más importante de una
el reto y, por ello, nosotros recomendamos empresa son los datos. De aquí viene que la Unión Europea quiera dar con-
apostar por el análisis de comportamiento, fianza desde la perspectiva de potenciar los negocios y generar confianza”.
de riesgo y de contexto; es decir, pasar a Desde la visión de Mario Maawad, la confianza tiene varias connotaciones
hacer análisis predictivo que permita hacer y la principal es que cuesta mucho ganarla pero se puede perder con facili-
ese cambio hacia la proactividad. dad; un concepto que va muy ligado a la seguridad. “Todas las empresas de
cualquier sector necesitan la confianza de sus clientes como un valor fun-
La importancia del contexto damental. Una de las diferencias que se ha dado en seguridad es el cambio
Para hablar de la importancia del contex- que ha habido con respecto a que las amenazas pueden provenir de cualquier sitio. No existe limitación física en la actualidad, lo cual
to e integración con IT a la hora de poner hace que cualquier servicio que queramos ofrecer a través de internet hayamos de protegerlo; todo tipo de amenazas externas pueden
orden en las alertas, Ramiro Cano, senior provenir de cualquier rincón del mundo”.
solution consultant de Servicenow, señaló Otro aspecto que, según Mario Maawad, tiene que cambiar es la percepción de seguridad desde la perspectiva del cliente, algo que ha
que, de media, cada organización cuenta de entrañar sencillez de manejo pero a la vez ha de estar dotado de medidas seguras que proporcionen confianza al cliente. El directivo
con 75 medidas de seguridad. “Es un nú- señaló que en la actualidad CaixaBank está inmerso en un proceso innovador de seguridad en cloud. “Antes era muy fácil saber quién
mero muy grande y difícil de manejar. Y era el malo –el malhechor dejaba muchas huellas como IP originales y también nosotros teníamos unos sistemas más antiguos–, pero
aquí es donde nosotros vemos un proble- ahora resulta realmente difícil, entre todos estos datos los ciberdelincuentes ya saben que nosotros disponemos de sistemas con los
ma, pero también una oportunidad de me- que vamos a intentar confeccionar un perfil. Por lo tanto, estos ciberdelincuentes se han sofisticado mucho y resulta muy difícil estable-
jora. En Servicenow somos expertos en cer un patrón de alguien que quiere realizar fraude; por ello hemos de trabajar bastante más”. No obstante, este experto señala que
gestión de procesos y en gestión de auto- “aunque ellos tengan muchos medios, podemos decir que nosotros estamos bastante bien. También hemos detectado que la acción del
matización de servicios, por lo que trata- fraude se ceba con el más débil, y como hay muchos débiles, hemos de intentar estar por delante de los demás en seguridad”.

ABRIL 2017 | CSO

 eventos CSO ESPAÑA

mos con nuestras herramientas gestionar

todo el ciclo de vida de extremo a extremo. Ramón Serres, CISO de Almirall
Pretendemos evitar procesos manuales,
que son propensos a presentar errores”. “Los ciberataques son una tendencia que se acrecienta cada día”
Cano afirmó que existen ciertas actividades
que tiene que ocurrir en el lado de la orga- En la exposición del caso de éxito de Almirall, Ramón Serres, CISO de la compañía,
nización, “lo mismo da que sea un depar- se mostró satisfecho con el nivel de seguridad de su empresa, si bien reconoció
tamento de IT que de seguridad, ya que que las amenazas van en aumento, por lo que no hay que bajar nunca la guardia.
tenemos diferentes departamentos que “Tenemos a nuestra disposición mucha información con respecto a lo que está
han de trabajar de manera interrelaciona- pasando en el mundo, y nos mostramos preocupados porque vemos que los ci-
da, lo que da lugar a una amalgama de pro- berataques son una tendencia que parece ir acrecentándose cada día. Por otro
cesos complejos, que es lo que sabe resol- lado, a medida en que vamos invirtiendo en tecnología, vamos constatando que
ver bien Servicenow”. eso que los informes nos dicen que está pasando en el mundo resulta ser una
Servicenow gestiona procesos de empre- realidad innegable”. Para el CISO de Almirall, “la tecnología hace visible un aspecto
sas y, a ese efecto, se dirige a los departa- que no tenía visibilidad pero, en la medida en la que vamos invirtiendo, vamos
mentos de TI de las empresas, pero quiere teniendo visibilidad de lo que pasa y de cómo nos afecta ese entorno agresivo que
llamar también la atención de los departa- hay en el mundo, lo cual representa un factor de preocupación importante”.
mentos que gestionan a clientes y RRHH. En cuanto a la transformación digital, Serres señaló que en el sector en el que se
“Estos servicios que proporcionamos a mueve la firma hay una voluntad de digitalizar la interacción con los pacientes, con María José Marzal (CSO) y Ramón Serres, CISO de Almirall.
nuestros clientes se sustentan en la base los médicos y los profesionales del mundo sanitario, y esa mayor interacción da
de la plataforma, y aquí hay algunas de las como resultado una mayor exposición debido al mayor uso de los canales digitales y, por lo tanto, “si el entorno está siendo cada vez más
características que hacen que seamos una agresivo, innegablemente nos estamos exponiendo más porque estamos desarrollando más canales de interacción, con lo cual seguimos in-
empresa diferenciadora, por esta capaci- crementando nuestro nivel de exposición. Almirall, al ser una compañía cotizada, le preocupa doblemente la ciberseguridad por el hecho de
dad de intercomunicar tanto de manera que cualquier cosa que nos pudiera pasar tendría un nivel de visibilidad y de impacto de la acción tremendo, y, por lo tanto, a nivel de dirección
interna con cualquier tipo de proceso, la seguridad es algo que preocupa seriamente”. A la pregunta de si los CISO han de ser facilitadores o más bien han de actuar poniendo freno
como de modo externo con cualquier tipo para no poner en riesgo la seguridad del sistema, Serres afirmó apostar por actuar como facilitador. “Obviamente, hay momentos en los que
de sistema”. Para este experto, la posibili- la respuesta ha de ser ‘no’, pero a pesar de esto hay que buscar soluciones que faciliten el negocio. Cuando hablamos de transformación digi-
dad de disponer de análisis predictivo con tal, no podemos poner barreras a esa transformación, sin embargo debemos acompañarla desde el principio y debemos hacer que esa trans-
un sistema de BI integrado dentro de la formación digital no implique un riesgo inmanejable para la compañía, con lo cual al final se trata de dar soluciones y acompañar para que
plataforma con los propios procesos, todo dentro de esas iniciativas de desarrollo de negocio no crezcan los riesgos a niveles superiores que la compañía no está dispuesta a aceptar”.

ABRIL 2017 | CSO

 eventos CSO ESPAÑA

ello cimentado con un modelo de alta dis- explicó que hace unos meses la firma
ponibilidad en cloud, que consiste en un “cazó” una forma de amenaza persistente
modelo multidistancia SaaS, constituye el (APT) que tuvo por objetivos empresas, go-
sistema de aproximación de Servicenow. biernos, organizaciones militares y empre-
“El problema que nosotros vemos en el sas de telecomunicaciones, a través de un
ámbito de la seguridad está relacionado proyecto al que llamó Project Sauron “por-
con la saturación. Dónde está la importan- que encontramos ese término entre el có-
cia cuando llegan demasiadas alertas que digo que estuvimos analizando. Esta histo-
nos informan de detección de intrusos, de ria empieza hace meses, cuando
seguridad perimetral… Otro problema sur- estábamos probando un producto nuevo
ge cuando una herramienta gestiona auto- con clientes de confianza, y que consta de
máticamente los logros de seguridad des- un sistema de detección de APT”. Selvi se-
de un solo sitio, y proporciona respuestas ñaló que el sistema encontró anomalías
de manera manual, a través de un único muy sutiles que estuvo investigando, y re-
conocedor del funcionamiento de seguri- sultó ser un malware dotado de un conjun-
dad del sistema”, afirmó Cano al tiempo to de herramientas muy avanzado, que
que hacía alusión a un tercer gran proble- además utilizaba técnicas que la firma ha-
ma: “Esta manera de trabajo en silos entre bía detectado en otros APT sofisticados.
el departamento de seguridad e IT. Son “Era como que hubiese cogido todas las Ramiro Cano senior solution consultant de Servicenow.
departamentos que están interrelaciona- buenas ideas otros grupos de actores y los
dos y han de trabajar juntos con un único hubiese puesto todos juntos, con lo cual, el
objetivo, y aquí es donde Servicenow entra resultado era un malware muy avanzado”. “El problema en el ámbito de la seguridad está
en juego con el objetivo de ayudar a sus Algunas de las características de Sauron
clientes”. es que se ejecutaba prácticamente solo en relacionado con la saturación”
memoria, y evitaba la persistencia siempre
Proyecto Sauron que podía y, cuando entraba a controlar un
Desde la perspectiva de una empresa que dominio, infectaba a los equipos pertene- ron, en los equipos que sí tenía persisten- de arranque”. Según indicó José Selvi, un
dedica gran parte de sus recursos a la in- cientes a ese dominio cada vez que arran- cia, su efecto era un tanto peculiar porque security provider es un módulo al que se le
vestigación en ciberseguridad, José Selvi, caba: No tocaba el disco, con lo cual era para enmascarar su presencia creó una pone autenticación de Windows, que rea-
senior security researcher de Kaspersky, muy difícil de detectar. No obstante Sau- especie de “security provider” en el modo liza acciones adicionales cada vez que se

ABRIL 2017 | CSO

 eventos CSO ESPAÑA

realiza un loggin, para por ejemplo realizar

comprobaciones adicionales de la contra- Xavier Gatius, director general de Cesicat
“Hay que innovar en ciberseguridad”
seña. De manera que, cuando arranca el
ordenador, el malware no se carga pero,
en cuanto un usuario hace loggin, el pro-
veedor de seguridad carga el código mali- Para hablar de la seguridad desde la perspectiva institucional, Xavier Gatius, direc-
cioso. tor general de Cesicat, fue el encargado de clausurar el evento, e hizo alusión a la
“Además, este malware no realizaba nin- visión estratégica, táctica y analítica que las organizaciones han de adoptar para
guna acción al principio cuando se cargaba, afrontar los retos que plantea la ciberseguridad. Desde la perspectiva del organis-
sino que esperaba a que se produjera al- mo que gestiona la ciberseguridad de la Generalitat de Catalunya, Gatius hizo
guna acción de la red que lo despertara. alusión a los tres grandes retos que plantea la ciberseguridad: “El primero es la
Ese algo era un paquete en la red que iba escalabilidad, dado el gran crecimiento que el sector TI experimenta cada año así
descifrando con la clave que tenía y, cuan- como crece el número de amenazas, incidentes y alertas; el segundo reto es el
do encontraba un paquete que iba para él, déficit de profesionales que hay en el sector, no solo en Cataluña sino también en
lo descifraba, y actuaba en función de las España y el resto del mundo; y, en tercer lugar, está una nueva visión que se ha de
instrucciones que iba recibiendo. Y si esto adoptar desde un punto de vista mucho más de negocio que desde la disciplina de
pareciese poco, cuando comunicaba con el la ciberseguridad, que creemos que es un elemento clave e indispensable para
actor y, como tener tráfico en internet a poder abordar el paradigma de la seguridad que se nos viene encima”.
través de un controlador de dominio es un Para este experto, algunos de los elementos imprescindibles de la escalabilidad
poco raro, cuando detectaban que había mantienen un punto de vista clásico, “por lo que creemos que hay que avanzar
infectado un sistema que a priori sí debía hacia procesos de automatización que sean capaces de absorber este volumen creciente que presenta una progresión no lineal que no
tener acceso a internet, le cargaban un mó- es asumible con un poco más de esfuerzo, sino que cada vez hay mucho más esfuerzo y por lo tanto, mucha más disparidad con los
dulo especial de Proxi, de manera que to- recursos de las organizaciones tanto públicas como privadas disponen. Por ello es imprescindible abordar esta automatización para in-
das las comunicaciones pasaban por ellos tentar segregar lo que tiene valor, lo que simplemente es actividad y que ha de tener un tratamiento mucho más automático y autónomo
e iban hasta internet; con lo cual, es mucho de lo que a fecha de hoy sucede”. Para Xavier Gatius, para poder abordar esta automatización en el Cesicat trabajan con el convencimien-
más difícil encontrar una anomalía entre to de que una palanca clave para aplicar este proceso pasa por la innovación. “Hay que innovar en ciberseguridad, y hay que tomar la
un montón de tráfico legítimo, que por una innovación desde un punto de vista disruptivo. Esta innovación pasa por el empleo de las nuevas tendencias TI como la inteligencia arti-
máquina en la que no hay tráfico, lo cual ficial, sistemas cognitivos y mecanismos que ayuden a los profesionales que nos dedicamos a esta disciplina, con el fin de automatizar
hace bastante difícil su detección. Asimis- las tareas mucho más, y nos permita ver qué está pasando, y si ello requiere de nuestra atención, o si debe ser gestionado de un modo
mo, cuando Sauron se comunicaba a tra- mucho más industrial y automático con respecto al nivel que empleamos hoy en día”.

ABRIL 2017 | CSO

 eventos CSO ESPAÑA

José Selvi, senior security researcher de Kaspersky. David Fernández, director de seguridad de BT y Cisco para Iberia.

“Sauron se ejecutaba prácticamente solo “La ciberseguridad está fallando”

en memoria”
vés de internet utilizaba canales cubiertos, el mundo habla de digitalización de mane- excepción somos inmigrantes digitales. No llando en muchos ámbitos”. Para este ex-
DNS, HTTP, SMT, con lo cual tampoco de- ra muy abierta. La ciberseguridad está fa- hemos nacido en la digitalización. El nativo perto, estamos asistiendo a filtraciones de
tectábamos ninguna conexión rara”. llando y una de las maneras en las que co- digital es mi hija de cuatro años que nació gran cantidad de información que curiosa-
mienza un error no tiene que ver con las con el tablet. De manera que transformar mente siempre pasan fuera de España.
Algunas recomendaciones tecnologías y los procesos internos, sino a las empresas en el ámbito digital es todo “Nunca pasa nada en los países de la UE y
David Fernández, director de seguridad con el ‘firewall persona’. En el plano profe- un reto, pero es un reto todavía mayor apli- todo les pasa a los americanos. A lo mejor
de BT y Cisco para Iberia, ofreció una serie sional nos está tocando liderar la transfor- car ciberseguridad o esa confianza digital tiene algo que ver con la introducción de
de recomendaciones para pasar a la ofen- mación digital de las empresas y, sin em- que deben tener todas las empresas, lo GDPR que implica que, a partir de ahora,
siva en la lucha contra el cibercrimen. “Todo bargo, todos los que estamos aquí sin cual implica que la ciberseguridad está fa- vamos a tener que notificar públicamente

ABRIL 2017 | CSO

 eventos CSO ESPAÑA

Daniel Pérez, sales engineer para Spain & Portugal de Zscaler, fue entrevistado Horatiu Bandoiu, channel sales manager SE & LATAM de Bitdefender.
por María José Marzal, directora de CSO.
“Se habla mucho de las APT que atacan a sistemas y
“Las amenazas crecen y son cada vez más
redes, pero poco se habla de la infraestructura de la
silenciosas”
nube y de la parte de virtualización”
los incidentes de ciberseguridad que afec- cosas justo en el momento adecuado; lo que Desde la visión de David Fernández, he- plica homogeneizar tecnologías y procesos,
ten a datos de carácter personal, a partir significa que tenemos que transformarnos mos de cambiar. “Lo primero que tenemos educar a los empleados. La cadena de valor
del año que viene; entonces empezarán a como profesionales. Tenemos que empezar que hacer es simplificar nuestras infraes- en el mundo de ICT ya está globalizada, por
pasar muchísimas cosas”. Para Fernández, a pensar en ese momento de agilidad, o en tructuras, arquitecturas, y aquello que nos lo tanto no tengo perímetro, y tengo que
ciberseguridad significa velocidad de cam- ese momento en el que los planes directores permita habilitar el negocio. Si, en seguri- evaluar el riesgo de mis proveedores tam-
bio. “Los malos utilizan técnicas ‘just in time’, tradicionales deberían de estar limitados dad, aplicamos complejidad inherente a bién. Un elemento no tecnológico para
es decir, mecanismos relacionados con como máximo a tres meses, ya que en poco nuestro negocio, va a resultar muy compli- mitigar ese riesgo es empezar a poner cláu-
aquellos procesos industriales para hacer las tiempo las cosas cambian muchísimo”. cado defender ese castillo. Simplificar im- sulas en los contratos con los proveedores

ABRIL 2017 | CSO

 eventos CSO ESPAÑA

Melchor Sanz, director de tecnología y preventa de HP, en la entrevista realizada por María Rodrigo Chávez, IT security services & solutions de Unisys.
José Marzal, directora de CSO.
“La microsegmentación basada en identidad de
“Cada vez que imprimimos, los comandos asociados
usuario consigue que la seguridad viaje con el usuario
al documento pueden camuflar ‘malware”
en lugar de hacerlo con el dispositivo”
en donde haga corresponsables en cierta dad en entornos de movilidad, IoT y cloud y notorios como el ransomware, que implica ciberdelincuentes siempre van un paso por
medida de los servicios que me presten Daniel Pérez, sales engineer para Spain & pagar. Hay que intentar no pagar, pero hay delante, mientras las empresas de ciberse-
esté acordes con aquel nivel de seguridad Portugal de Zscaler, señaló que las amena- muchos casos en los que se han pagado guridad vamos intentando ver por dónde
o riesgo que yo considero adecuado”. zan van a más, y los ciberdelincuentes son cantidades muy altas. Hay organizaciones van a ir, y poniendo los parches adaptando
más listos, se agrupan y comparten infor- criminales que se estima que han ganado la tecnología. Pero hay tanta tecnología que
Seguridad en entornos de mación de lo que han aprendido. “De ma- más de 1.000 millones de dólares con te- siempre encuentran vulnerabilidades”.
movilidad, IoT y cloud nera que las amenazas crecen y son cada mas de ransomware. Lo que hay que hacer En el caso concreto de la seguridad en lo
Para hablar de la evolución de la seguri- vez más silenciosas. Veo casos específicos es prevenir y concienciar a los usuarios. Los relacionado con Internet de las cosas, Da-

ABRIL 2017 | CSO

 eventos CSO ESPAÑA

niel Pérez afirmó que en IoT se están ma- (Bring Your Own Device). En 2015 empeza-
nejando muchos datos personales que se mos a ofrecer nuestro propio contenedor
van a procesar a través de big data, y aña- y, durante los dos últimos años y medio,
dió que el dato se paga muy bien en la web hemos empezado a adquirir empresas”.
oscura y, cómo muchas veces se va a la Maluquer explicó que Blackbarry dispone
venta masiva en el apartado residencial, se también de profesionales que ayudan a
busca el coste económico. “El ser humano desplegar esas infraestructuras en sus so-
está acostumbrado a aprender en muchas luciones, y también han entrado en el mun-
ocasiones a golpe de palo. De manera que, do de los wearables y también del PC y el
cuando empecemos a ver noticias de cosas Mac a nivel de gestión y de contenedor se-
que estén pasando, habrá fabricantes que guro. “Asimismo, llevamos algunos años en
van a tener que tomar cartas en el asunto el mundo de la automoción, y estamos
y algunos desaparecerán, pero no lo pode- también presentes en el mundo de la ae-
mos obviar”. Con respecto a la seguridad ronáutica y de las centrales nucleares. En
en cloud, Pérez subrayó que las herramien- cionar a una gran compañía–, además de las cosas, sea una realidad. Nosotros esta- nuestra estrategia nos da igual la platafor-
tas de seguridad de los proveedores en la ser responsabilidad de esta firma, el inci- mos ahí porque llevamos haciéndolo du- ma de adopción que el cliente tenga: híbri-
nube disponen de los elementos de la co- dente resulta mucho más notorio”. rante muchos años con nuestros dispositi- do, cloud, on premise… lo que sí podemos
munidad de los “buenos” para luchar con- vos Blackberry. Esos centros de control ofrecer es la seguridad punto a punto.
tra los ataques de los “malos”. “Cuando Hacia la empresa de las cosas donde todo se cifra ahora lo hacemos para También ofrecemos servicios de cibersegu-
hablamos de subir datos a cloud podemos Oriol Maluquer, enterprise sales manager todo: para las cosas y para las personas. ridad, más allá de la prevención hacia dis-
ver que hay una larga lista de certificacio- de Blackberry, en alusión a la seguridad en Hasta 2012 éramos Blackberry y, al hablar positivos no Blackberry”.
nes pero lógicamente hay que hacer una la empresa de las cosas, afirmó que se re- de seguridad, no existía nada más por lo
lista de la compra de lo que necesito, hay fiere a esos objetos conectados que tienen que ahí empezó el cambio. En 2012 inicia- Seguridad del dispositivo
que investigar y asegurarse del lugar en algún vínculo directa o indirectamente con mos el cambio estratégico y nos orienta- En su intervención, Melchor Sanz, director
donde se ponen los datos. En mi opinión, la empresa. “Hemos hablado repetidamen- mos hacia la gestión de dispositivos no Blac- de tecnología y preventa de HP, aludió a la
en la nube existen mayores medidas de te de la preocupación que hay en la empre- kberry, es decir, dispositivos iPhone, importancia del dispositivo y de su seguri-
seguridad. Si se produce una brecha de se- sa y del coste elevado que representan las Android y tablets, y empezamos a trabajar dad, además de la seguridad d el dato. “El
guridad en una empresa, la responsabili- brechas de seguridad. La visión de Backbe- en el tema de los contenedores, empeza- dispositivo maneja la información y la pre-
dad es de la empresa, mientras que si la rry es que la empresa de las cosas, es decir, mos a gestionar el contenedor seguro de senta pero, a la hora de presentar el dato o
brecha se produce en Amazon –por men- esa securización necesaria en la empresa de Samsung y nos abrimos al mundo del BYOD acceder a él lo hacemos a través de un in-

ABRIL 2017 | CSO

 EVENTOS CSO ESPAÑA

terfaz humano porque, de momento, nues- nido de la información que se borra auto-
tra capacidad de interacción con el disposi- máticamente o bajo demanda, etc. Todo
tivo sigue siendo humana y física. Nuestros esto son sistemas de seguridad.
ojos, manos, voz y oídos lo perciben en el
momento en que esa información física se El reto de la seguridad multicloud
transmite a través de un dispositivo tam- Enfocando su intervención en el reto de
bién físico, un dispositivo que la tiene que la seguridad multicloud, Rodrigo Chávez, IT
presentar, alojar y administrar… en ese mo- security services & solutions de Unisys,
mento, la información es vulnerable”. quiere poner el acento en la microsegmen-
Este experto señaló que la información tación basada en identidad de usuario con
como tal está pasando por el dispositivo, Stealth: un concepto que nació en el ámbi-
está siendo presentada en la pantalla, está to militar y que emplea una tecnología que
siendo almacenada en la memoria y, en trata de ocultar o hacer indetectables de-
muchos casos, está siendo almacenada terminados objetos como aviones que no
temporalmente en el disco duro. Un caso son identificados por los radares enemi-
extremo de esto pueden ser las impreso- duro para que, posteriormente de manera nuevo reglamento general de protección gos. “Esta tecnología también se aplica en
ras. “Alguien puede pensar que las impre- remota, se pueda acceder a la información. de datos es importante saber qué informa- el ámbito digital y es la que emplea Unisys
soras no necesitan seguridad. No obstante, Luego, tenemos que garantizar que todo el ción aloja la impresora y permanece dentro en su solución de seguridad, ya que mejo-
cada vez que imprimimos el documento flujo de la información esté securizado. En de ésta para garantizar que no estamos ra el empleo de la microsegmentacion de
viaja por la red y no suele viajar cifrado, y la cadena de información del dato, tanto el expuestos a correr riesgos de fuga de in- la información con el uso de técnicas de
cuando llega a la impresora, contiene una que está alojado en cloud como el que ma- formación y, sobre todo, a multas con el seguridad Stealth que lo que hace es volver
serie de comandos de impresión y esos co- nejamos de forma física, también ha e es- nuevo marco sancionador”. Con respecto invisibles a los microsegmentos y, lo que
mando pueden camuflar cierto tipo de tar securizado”. a las medidas de seguridad que ha instala- no se ve, no se puede robar”.
malware que de instrucciones para que al- Y es que muchos usuarios, de acuerdo do HP en sus impresoras, Sanz indica que “Nos encontramos también con el hecho
gún documento se quede alojado perma- con Sanz, todavía no son conscientes de la compañía ha integrado del orden de 300 de que las organizaciones quieren seguir
nentemente en el disco duro o en la me- que una impresora es cada vez más como opciones que administrar y securizar desde manteniendo el control sobre los entornos
moria de la impresora. De tal manera que un ordenador ya que tiene un procesador, el panel de control al borrado seguro del que quieren proteger, y no delegarla a pro-
alguien pueda sacar el documento impreso un sistema operativo, aplicaciones, disco disco duro, pasando por el borrado tempo- veedores. También vemos que las empre-
en papel, pero, sin darse cuenta, el docu- duro… toda esa información que maneja ral del disco duro, el acceso seguro a los sas quieren tener la facilidad de intercam-
mento ha quedado alojado en el disco la impresora ha de ser securizada. “Con el puertos, el cifrado de los trabajos, el conte- biar las cargas de trabajo entre el entorno

ABRIL 2017 | CSO

 EVENTOS CSO ESPAÑA

on premise y cloud con la misma facilidad y intrínseca del sistema de compartición de

sin tener que emplear medidas de seguri- recursos y, por otro lado, está el poco co-
dad extra. Y también vemos que las empre- nocimiento de algunos administradores de
sas quieren disponer del mismo nivel de cloud con respecto a las amenazas existen-
versatilidad a la hora de tener los procesos tes y de sus consecuencias”. Este experto
automáticos tanto en entornos cloud como hizo alusión a la presencia de ataques late-
en las infraestructuras propias”. Dicho en rales y transversales que han de ser gestio-
otras palabras: mantener el control de la nados por un hipervisor, y estamos pasan-
seguridad en la organización, mantener la do memoria de una máquina virtual a otra
agilidad y elasticidad de la implementación según la gestión que realiza el hipervisor.
y en la administración de políticas de segu- “Los fabricantes de hipervisores señalan
ridad, y también la independencia tecnoló- dispositivos, ya que nos llenamos de un la ingeniería de software; educar a todo el que eliminan el contenido de la memoria
gica tanto si es un entorno público como montón de reglas a nivel de firewall que mundo lleva mucho tiempo y dinero, y antes de pasar a otro contenido; pero sa-
privado, o si se trata de un entorno físico o son difíciles de mantener, y eso se traduce creemos que siempre habrá alguien dis- bemos que no es así: este es el gran truco.
virtual. en un elevado coste que no todas las orga- puesto a realizar el mal. En la parte de los Además, muchas veces hay clusters que
La manera de dar cobertura a estos retos, nizaciones pueden asumir. La alternativa a exploits tampoco se puede hacer nada, por- están compartiendo los mismos objetos de
según Chávez, pasa por hacer uso de las esto es la microsegmentación basada en que éstos se aprovechan de las vulnerabi- memoria para incrementar el rendimiento
tecnologías tradicionales, y también de tec- identidad de usuario para conseguir que la lidades, y el código de la mayoría de las del sistema. Esto es suficiente para que un
nologías basadas en identidad de usuario, seguridad viaje con el usuario en lugar de aplicaciones que utilizamos está lleno de atacante entre en una máquina virtual, y
es decir: microsegmentación basada en con el dispositivo. bugs. Pero algo que podemos hacer es in- empezar desde allí a desarrollar su ataque
identidad de usuario. Las empresas que terceptar los pilots a nivel de usuario”. avanzado”.
utilizan la primera opción realizan las fun- ATP en entornos cloud “Se habla mucho de los APT que están Bandoiu señaló que los ataques laterales
ciones tradicionales como es el estableci- Horatiu Bandoiu, channel sales manager atacando a sistemas, redes, pero poco se ocurren cuando una máquina virtual resul-
miento de perímetros dentro del entorno SE & LATAM de Bitdefender, fundamentó ha hablado de la infraestructura de la nube ta infectada. Por su parte, los ataques
que controlamos o en la nube; mientras su ponencia en torno a las ATP en entornos y de la parte de virtualización. Desde Bitde- transversales son más dañinos porque lo
que el segundo consiste en empezar a des- cloud. Según señala Bandoiu, los ataques fender hemos investigado este tipo de ata- que intenta el hacker es infectar el hipervi-
plegar todos los dispositivos que necesita- avanzados y persistentes suelen burlarse ques en cloud y hemos observado que en sor. “No hemos de olvidar que se trata de
mos para controlarlo. “Hasta el despliegue de las protecciones de tipo antimalware, así muchas ocasiones estos ataques pasan ataques persistentes y, una vez que se al-
todo va bien, el problema se presenta como de las soluciones de seguridad. “En desapercibidos, y hemos descubierto la canza el hipervisor, el hacker puede hacer
cuando necesitamos configurar nuestros la primera fase se están aprovechando de presencia de dos factores: la vulnerabilidad lo que quiera en el sistema”. CSO

ABRIL 2017 | CSO

 EVENTOS CSO ESPAÑA

Ramiro Cano, senior solution consultant de Servicenow. José Selvi, senior security researcher de Kaspersky.

David Fernández, director de seguridad de BT y Cisco para Iberia.

ABRIL 2017 | CSO

en primera persona CSO ESPAÑA

Juan Carlos Sánchez, CISO de Cesce

“Todas las decisiones que

tomamos a diario giran
en torno a los datos”
La transformación digital ha lanzado el reto de securizar uno
de los grandes valores de las empresas aseguradoras, el dato.
Todo ello en un contexto en el que el nuevo marco europeo de
protección asegura más control y castigos para las compañías
que no cumplan con sus requisitos a partir del año que viene.
Para Juan Carlos Sánchez, jefe de seguridad y gobierno TIC de la
Compañía Española de Seguros de Crédito a la Exportación (CESCE),
el nuevo reglamento “elimina la oportunidad de externalizar la
protección de la información”.

Mario Moreno

ABRIL 2017 | CSO

en primera persona CSO ESPAÑA

¿Cuáles son las tecnologías y proce- en sistemas que permitan que solo
sos clave para el área de seguridad aquella parte de la información que la
que dirige? compañía desea que se exponga sea la
En Cesce articulamos la ciberseguri- que se puede ver, y que el resto esté
dad en torno a tres dimensiones: proce- protegida.
sos, personas y tecnología. En la parte
de procesos, el cumplimiento es lo más Una de las tecnologías que más
importante para nosotros. Somos una está impactando en el sector de las
empresa de seguros internacionalizada. aseguradoras es el Internet de las
Por tanto, estamos obligados a estar cosas…
muy pendientes para poder cumplir con En este aspecto jugamos con una cier-
las regulaciones que nos aplican tanto ta ventaja con respecto a otras compa-
en España como en los distintos países ñías. Y es que nosotros aseguramos un
de América Latina donde operamos. intangible como es el riesgo económico.
Por otra parte, las personas confor- En este sentido, no nos afecta directa-
man el punto más débil. Todo gira en mente el IoT. Pero soy consciente de El interés de los atacantes reside en a otras. Las bases de datos son esencia-
torno a ellas. La labor que cabe dentro que está abriendo un abanico brutal los datos y éstos se han convertido les y las empresas han de darse cuenta.
de un departamento de seguridad es la para poder desplegar servicios a los en el elemento más importante y a
de evangelizar. Es esencial que la gente clientes. Y si nos metemos en el mundo la vez más crítico de las empresas de No obstante, a nivel regulatorio sí
sepa qué tiene que hacer y cómo se tie- blockchain podemos hablar de numero- seguros ¿Cómo se protegen? que parece que la Unión Europea ha
ne que proteger frente a las amenazas. sas aplicaciones para temas de contra- Cesce es una compañía algo particular, tomado las riendas de la situación
Y, cuando hablamos de tecnología nos tos inteligentes. Uno de sus puntos cla- trabaja en el sector del seguro de crédi- con la entrada del Reglamento Gene-
referimos a proteger la información. ve es el alto nivel de seguridad que to. Casi todos los procesos y decisiones ral de Protección de Datos (GDPR),
Para ello hay que hacer una inversión ofrece. que tomamos cada día giran en torno a una norma que protege más el en-

“
los datos. Son la gasolina que hace que torno del dato con un carácter más
todo funcione y debemos protegerlos. punitivo y restrictivo ¿Qué opinión
Cuando juegas con los grandes Intentamos alinearnos con las mejores le merece? ¿Cómo la está acogiendo
Cesce?
proveedores de ‘cloud’ prácticas a nivel internacional, como la
ISO 27001. El dato no es solo crucial en Ahora estamos en un proceso en el
estás más protegido” nuestra industria, pronto se extenderá que esta norma camina en paralelo con

ABRIL 2017 | CSO

en primera persona CSO ESPAÑA

la Ley Orgánica de Protección de Datos, tener un cierto conocimiento de las im-

y lo hará hasta 2018. Nosotros hemos plicaciones de seguridad a nivel tecno-
iniciado ya el proceso de transición. El lógico pero también has de conocer
enfoque cambia radicalmente. La nueva profundamente la legislación. Como en
ley se basa en el análisis del riesgo. Exi- muchos otros ámbitos se empiezan a
ge un análisis previo del estado de la demandar perfiles con competencias
seguridad de una compañía y de las me- mixtas.
didas a implantar para proteger la infor-
mación personal. En el enfoque anterior Otro de los grandes acuerdos inter-
primaba la ingeniería inversa. Primero nacionales en materia de datos es el
categorizabas los datos y la propia ley ‘Privacy Shield’, norma que trata de
te ofrecía una serie de medidas en fun- salvaguardar la información perso-
ción de su criticidad. Si hay una cosa nal en las transacciones entre orga-
cierta es que con el nuevo reglamento nizaciones de Europa y Estados Uni-
no existe la oportunidad de externalizar dos. Cesce opera en siete países en
la protección de los datos. La responsa- el mercado latinoamericano ¿Cómo
bilidad recae exclusivamente en la com- es la situación allí?
pañía que los recoge. Nos encontramos en un momento
complicado. Es lógico que la Comisión
Además, introduce una nueva figu- Europea haya dado una vuelta de tuerca
ra en las compañías, la del ‘delegado al antiguo Safe Harbour. Hay que prote-
de protección de datos’ (DPO, por sus ger todos los intercambios internacio-
siglas en inglés) ¿Asumirá usted la nales de datos. La tecnología cloud llegó
función en Cesce? ¿Qué característi- para quedarse y muchas empresas nor-
cas tiene el perfil? teamericanas operan desde sistemas
Es posible que asuma personalmente que están físicamente en el país. De al-
esas funciones aunque tenemos que guna manera había que solucionar este
definir todavía cómo será. En cualquier asunto y me parece bien que desde el
caso, se trata de una figura crítica y punto de vista europeo intentemos
compleja. De alguna manera tienes que apretar a las empresas estadouniden-

ABRIL 2017 | CSO

en primera persona CSO ESPAÑA

recida a la española. Veremos cómo jores prácticas internacionales a través

avanzan en los próximos años, pero de la Cloud Security Alliance. Podemos
confío en que llegarán los acuerdos. utilizar cualquiera de las guías que ofre-
ce para saber si tu proveedor está cum-
¿Cómo está conformado el equipo pliendo. Quizás en el caso de estas em-
de seguridad que dirige? presas el problema es menor, porque
Nos encuadramos dentro del departa- son grandes tecnológicas y están po-
mento de tecnología. Para nosotros es niendo mucho dinero en el plano de la
la manera de pegarnos a donde suce- seguridad. Cuando juegas con los gran-
den los problemas. Entiendo que otras des estás más protegido. El problema
empresas incluyan al CISO en el board. viene cuando te alineas con otros que
Es una dicotomía bastante frecuente: igual no ponen tanta ‘carne en el asa-
¿en qué lugar del organigrama debe si- dor’. En cuanto al resto de nuestros sis-
tuarse el departamento de seguridad? temas de información, hemos optado
En nuestro caso, creemos que es más por mantener nuestro core on-premise.
rápido estar alineados con el CIO. Tenemos un acuerdo de outsourcing con
IBM Global Services en España. Seguire-

“
¿Cómo ha abordado Cesce su tran- mos con nuestra estrategia cloud en los
sición hacia la nube desde el punto próximos años y profundizaremos para
Parte de la seguridad del Estado de vista de la seguridad? ir moviéndonos en el mundo de IaaS y
depende de Cesce” Hemos optado por una estrategia PaaS.
arriesgada pero a la vez conservadora
en algunos puntos. Por ejemplo, fuimos ¿Qué tiempos y protocolos maneja
ses, siempre con la mente puesta en ción Trump y los países del Sur. Suda- de los primeros que adoptamos Google a la hora de abordar un incidente?
que al final hay que hacer negocio y que mérica es un continente muy grande y para el correo electrónico, y nuestro sis- Lo más importante de nuestros pro-
esto es lo importante. tendemos a pensar que todas las regio- tema de gestión comercial es Salesfor- tocolos no es que estén escritos, sino
Ahora, para América Latina es muy di- nes son iguales. Hay países con legisla- ce. Hemos intentado analizar desde un que hayan sido probados. Muchas ve-
fícil aventurar como va a ser la evolu- ciones similares a la de los E.E.U.U. y punto de vista agnóstico hasta qué pun- ces crees que porque hayas planeado
ción, sobre todo a raíz de las tensiones otras, como la Argentina, que tiene una to se cumple o no la seguridad en la un modelo de actuación para una si-
políticas que hay entre la administra- legislación en materia de datos muy pa- nube. Para ello nos basamos en las me- tuación grave que tenga que ver con la

ABRIL 2017 | CSO

 en primera persona CSO ESPAÑA

continuidad del negocio basta con que tados. Al final, el mundo está conver-
esté reflejado en algún lugar. Nosotros giendo hacia una digitalización masiva
estamos en el segundo estadio de esa y si realmente no nos preocupáramos
estrategia que es la de hacer pruebas de proteger este conglomerado estaría-
y comprobar que lo que hacemos fun- mos locos. En esta nueva pirámide de
ciona. A día de hoy ya existen empre- Maslow digitalizada entra la necesidad
sas que se dedican a hacer simulacros de protegerte en el mundo virtual. Tam-
de ataques. poco hace falta llegar a extremos de
Desde que un incidente llega hasta crear una psicosis en la gente pero en
que lo tratamos pueden pasar unas un mundo interconectado la seguridad
dos horas. Luego, la remediación de- de la información va a ser una de las
pende de la dificultad. Lo más grave preocupaciones de gobiernos, personas
que puede ocurrir es que al final tengas e instituciones en los próximos años.
que tirar de backup o usar algún meca-
nismo para recuperar todos los datos. Cesce es un actor muy importante
Y eso tiene sus tiempos y está definido en España en este nuevo escenario.
para cada sistema. Manejamos información relevante y
por ello intentamos alinearnos con el
En los últimos tiempos, muchos de Gobierno y seguir sus estrategias. Esta-
estos incidentes se están relacionan- mos en proceso de certificarnos con el
do con una escalada internacional Esquema Nacional de Seguridad y aun-
de espionajes y ataques internacio- que no se nos puede tachar directa-
nales orquestados por estados mente de infraestructura crítica sabe-
¿Cómo definiría este panorama? mos que tenemos una responsabilidad
De hecho, los incidentes asociados a muy importante a la hora de proteger
lo que se puede llamar ciberguerra fue- esos datos porque parte de la seguridad
ron los que más crecieron en 2015 a ni- del estado depende también de noso-
vel porcentual. Pero es difícil saber has- tros. En este aspecto, también estamos
ta qué punto gobiernos extranjeros dados de alta como participantes del
pueden llegar a intervenir en otros es- Centro Criptológico Nacional (CCN).

ABRIL 2017 | CSO

 en primera persona CSO ESPAÑA

Además, nos apoyamos mucho en nues- más anticuada en el mundo de la tecno- ¿Cómo ve Cesce este segmento? dis al sol’ y no creo que sea factible im-
tros proveedores. logía es más propensa a terminar pagan- Hay mucha gente explorando esta po- plantar un sistema de ciberseguros en
do. La pyme española debe aprovechar sibilidad. Mi opinión es que se trata de las circunstancias actuales. No es nues-
Y, ¿qué hay sobre las amenazas este momento en que empiezan a surgir algo muy complejo. Cuando tú quieres tro target ahora mismo.
más comunes, del día a día? empresas que proveen seguridad como asegurar, como es el caso de Cesce, una
El phising es la estrella. Más gracias a las servicio y que ofertan tres o cuatro basics, transacción comercial, necesitas tener Por último, ¿hacia dónde se dirige
capacidades de los dispositivos móviles entre ellos dotar de un backup adecuado. muchísima información sobre las partes el mercado de la ciberseguridad?,
de acceder al correo electrónico y a otro Mi recomendación es que en la medida que están interviniendo en esa opera- ¿cómo ve el futuro?
tipo de informaciones. Por ejemplo, ya de lo posible contraten servicios de segu- ción: si son solventes, su historia de pa- Desembarcaremos en un mundo total-
hay movimientos contra el phising para ridad porque al final tendrá un ROI (Re- gos… Esto es lo que te permite valorar mente interconectado. El problema es
securizar la campaña de la declaración torno de la Inversión). Tenemos un espe- cuál es la prima que vas a cobrar por que Internet no se diseñó con la seguri-
de la renta. El ransomware es otro tema cial cariño a la pequeña y mediana seguro. Son temas bastante asépticos, dad en la cabeza y ya no se puede plan-
muy complejo. Nosotros somos una empresa porque muchas de ellas son cuentas con expertos financieros que tear una red alternativa completamente
compañía que da mucho soporte a las nuestros clientes. Sabemos de las dificul- analizan las operaciones y defines una nueva y que esté totalmente securizada.
pymes y sabemos lo duro que es para tades que han pasado durante la crisis y prima. Pero el problema que surge con Escribir sobre un papel en blanco sería
nuestros clientes pequeños recuperar procuramos darles financiación del segu- el ciberseguro es que también hay que mucho más sencillo. Intentar colocar ca-
sus datos. En tercer lugar, los ataques ro de crédito. Nos preocupa porque es el hacer una análisis muy pormenorizado pas de cebolla de ciberseguridad sobre
dirigidos van orientados hacia compa- tejido empresarial más abundante de de cuál es el riesgo en el que está incu- la red no va a ser fácil ni barato. A partir
ñías del ámbito del Ibex o empresas España, son nuestros clientes más nume- rriendo la compañía. Esto se podrá ha- de aquí, Cesce tiene retos importantísi-
grandes. Va contra la columna vertebral rosos y tenemos que cuidarlos. cer cuando el mercado esté mucho más mos, sobre todo a nivel de cumplimien-
de la organización, pero son todavía algo maduro en cuanto a implementación de to. A medio plazo nuestra obligación es
exótico, más de series de televisión. Dentro del sector, una de las corrien- sistemas de gestión de seguridad de la seguir profundizando en la seguridad.
tes que está cogiendo fuerza es la de información y certificación de las plata- Hay que evangelizar a las personas. La
Podemos decir, entonces, que las los ciberseguros (ofrecer seguros formas cloud con mejores prácticas. Por seguridad que no se ve es un mito, tiene
pymes forman el conglomerado más frente a incidentes y otras amenazas) ello, de momento todo esto es un ‘brin- que notarse y la gente tiene que enten-

“
débil a día de hoy. der que cuando trabaja en una compa-
Si hablamos de ransomware, por ejem- ñía con datos sensibles lo que está en
plo, cualquier empresa es susceptible de Internet no se diseñó con la seguridad juego es también su propio trabajo. Hay
sufrir un ataque. Lo que está claro es que que reclamar a los ciudadanos que sean
cualquiera de las organizaciones que esté
en la cabeza” celosos de cumplir las normas. CSO

ABRIL 2017 | CSO

 BUSINESS IT
CERTIFICATION

BUSINESS IT es la certificación que acerca a

los directivos a las tecnologías de la información.
Desarrollado en colaboración con 12 empresas
líderes en su campo, el programa enfoca
las tecnologías de la tercera plataforma de una
forma práctica y aplicada a casos de Negocio.

ALMACENAMIENTO GOBIERNO DE LAS TI

BIG DATA INTERNET DE LAS COSAS
CIBERSEGURIDAD MACHINE LEARNING
CLOUD COMPUTING MOVILIDAD
CUMPLIMIENTO LEGAL SOCIAL BUSINESS
GESTIÓN DE RIESGOS TI TRANSFORMACIÓN DIGITAL

[Link]/business-it
entrevista CSO ESPAÑA

Ricardo Maté, director general de Sophos para España, Portugal

Andorra y Gibraltar

“Uno de los grandes

desafíos es garantizar
la seguridad de los
dispositivos móviles”
Ricardo Maté Salgado dirige desde el pasado mes de enero el
negocio de la compañía de seguridad Sophos en España, Portugal,
Andorra y Gibraltar. Reforzar el posicionamiento de la compañía
de protección de redes y endpoints en la región es el objetivo de
Maté, un convencido de la necesidad de contrarrestar la fuerza
cada vez mayor de los ciberdelincuentes y de la ingente
industria que gestionan.

Esther Macías.-

ABRIL 2017 | CSO

 entrevista CSO ESPAÑA

Acaba de aterrizar en Sophos, ¿cómo Yo llegué en el último trimestre del ejer-

ha encontrado la compañía? cicio 2017. Hemos empezado el nuevo
Es una compañía que tiene una estrate- ejercicio el 1 de abril. Para este nuevo
gia fantástica dirigida a un segmento de ejercicio los objetivos son ambiciosos. Su-
empresas de entre 100 y 5.000 usuarios ponen seguir implantando la estrategia
(aunque también tenemos clientes con de la compañía a nivel global, crecer con
menos y más usuarios) y que se basa en este segmento y aprovechar las solucio-
aportar soluciones de seguridad end to nes que tiene la empresa y que están
end, desde el puesto de trabajo hasta los siendo tremendamente demandadas
servidores pasando por la red, haciendo para los usuarios. Por ejemplo, en el seg-
que esa seguridad sea sencilla tanto para mento de la protección del puesto de tra-
los usuarios como para los partners que les bajo (endpoint) se están dando una serie
venden esa tecnología. Mi llegada se ha de circunstancias. Los ataques que está
producido en un momento especialmente habiendo están creciendo de una mane-
dulce. A nivel global, la empresa está cre- ra muy importante y estos cada vez son
ciendo un 16%, por encima de lo que crece más inteligentes y dirigidos. Estamos mación en el caso de que vea que no es por garantizar la seguridad del puesto
el sector de la seguridad, que crece un 7%, viendo una ingeniería social importante. normal y hacer un análisis forense. Sirve de trabajo está la adquisición de Invin-
así que estamos más que doblando el cre- El ransomware crece en todo tipo de or- para todos los tipos de ransomwares que cea, que sobre todo tiene soluciones de
cimiento del sector. En España estamos ganizaciones. Los tradicionales antivirus se han conocido hasta la fecha (Crypto- machine learning para detectar malware.
creciendo más de dos veces lo que está no pueden detectar esto, de forma que locker, etc.). En España esta solución está Nuestra estrategia pasa por combinar
creciendo la compañía a nivel global. son necesarias otras soluciones. Noso- teniendo mucha aceptación. La prueba soluciones tradicionales de antivirus ba-
tros hace unos meses lanzamos Intercept de que lo estamos haciendo bien en el sadas en firmas con soluciones antiran-
¿Qué impronta quiere dejar como di- X, para identificar el ransomware en el área del endpoint es que Gartner nos ha somware y basadas en machine learning.
rector general de Sophos en España? momento y parar el cifrado de la infor- vuelto a ubicar en el cuadrante de los lí- La tendencia del mercado es, de hecho,

“
deres y cada vez nos posiciona de mejor el llamado next generation endpoint pro-
manera. tection, que debe contemplar todos es-
Sophos, a nivel global, crece un 16%, muy tos componentes.
por encima del 7% que aumenta el mercado Además, han realizado alguna com- Sophos es una de las compañías que
pra, como es el caso de Invincea. más preparadas están para acometer
de la seguridad de la información” Sí, como prueba de nuestra apuesta todos los retos del futuro en el terreno

ABRIL 2017 | CSO

entrevista CSO ESPAÑA

del puesto de trabajo. Y éste no es solo y lo que tiene que hacer es contrarres-
el PC o portátil sino también los disposi- tar la fuerza de los delincuentes que es
tivos móviles, algo de lo que aún no son una industria mucho más grande, de
conscientes muchas empresas. Uno de 2.000 millones de millones de dólares.
los grandes desafíos del mercado es ga- Sin duda es un mercado que está en
rantizar la seguridad de los dispositivos auge y solo hace falta abrir el periódico
móviles. Para ello nosotros tenemos So- cada día. Todos los días hay algún ata-
phos Mobile Control, nuestra herramien- que nuevo que afecta a empresas, go-
ta de gestión y securización de dispositi- biernos o particulares. Hay que defen-
vos móviles, que se incorpora a nuestra derse y poner todos los medios para
plataforma de gestión centralizada de intentar reducir los riesgos.
todos los productos de la cadena de va-
lor de Sophos, basada en la nube. Ade- ¿Y cuáles son los principales riesgos?
más incorpora la posibilidad de securizar En los últimos meses los más sonados
y gestionar dispositivos IoT basados en son algunos ataques de denegación de
dos sistemas operativos Windows for IoT servicio (DDoS) como consecuencia de
y Android for things, los dos sistemas todos esos miles de millones de disposi-
operativos emergentes en ese terreno. tivos IoT que están por el mundo y que
no tienen ninguna medida de seguridad.
Desde luego el de la ciberseguridad Los ataques de denegación de servicio
es un sector en pleno auge… van a seguir siendo algo de lo que se ha-
Sí, a nivel mundial genera del orden de ble mucho y aún no hay una solución
38.000 millones de dólares en factura- sencilla para resolver esta problemática.
ción y crece a un ritmo de un 7% al año Por otro lado, el ransomware quizás siga

“
Todos los días hay algún ataque nuevo
que afecta a empresas, gobiernos o
particulares”

ABRIL 2017 | CSO

 entrevista CSO ESPAÑA

siendo uno de los segmentos que más para poder reaccionar si caemos en esa
bajas están causando en las empresas y trampa. También hay ataques de phising
están afectando tanto a pequeñas como para robar tus credenciales y usarlas no
a medianas como a grandes empresas. solo para acceder al correo sino para co-
Es cierto que para los ciberdelincuentes sas más sofisticadas y sobre todo robos
es más fácil exigir un rescate o un sobor- financieros. Además, también vemos
no a una pequeña empresa que a una cada vez más el malvertising, es decir,
gran empresa y muchas veces es más que cuando vayas a una página en Inter-
lucrativo sacar 500 euros de una peque- net te redirija a otras y vayan generando
ña empresa que intentar sacar 5.000, un consumo en estas páginas a las cua-
50.000 o 100.000 de una grande. Las pe- les no querías acceder. Esto lo vemos
queñas empresas están siendo sujetos mucho en dispositivos móviles. Android
de ataques de ransomware y muy pocas es muy vulnerable en este sentido.
están protegidas frente a ello. Además
es cierto que los antivirus tradicionales Los dispositivos móviles son, desde
no cubren esta problemática. Muchas luego, los grandes olvidados a la hora
empresas se creen que están protegidas de implantar seguridad en estos ter-
teniendo un antivirus basado en firmas minales…
y no es así, y se están llevando sorpresas Sí, las empresas están protegiendo en
muy desagradables. También hay mu- mayor medida sus PC y portátiles y, sin
chos ataques con ingeniería social, muy embargo, no dedican el mismo esfuerzo
dirigidos y personalizados. El atacante a los dispositivos móviles. Es cierto que otro lado, en esos dispositivos móviles más débil en todo este escenario?
investiga sobre la persona y sobre su en- iOS es un sistema operativo más seguro hay mucha información corporativa, así Sin duda. Los grandes data centers se
torno. Es preciso tener las herramientas pero Android tiene bastantes huecos. Por que si acaban en manos de alguien que han ido dotando de elementos de segu-

“
puede usar dicha información para fines ridad cada vez más sofisticados y com-
no lícitos pueden incumplir la nueva ley plejos y, aunque aún sigue habiendo
Muchas empresas se creen que están de protección de datos. Las empresas tie- puntos de entrada a estos centros de
protegidas teniendo un antivirus basado en nen que tener la información cifrada. datos, el puesto de trabajo y los emplea-
dos siguen siendo el punto débil. La
firmas y no es así” ¿El empleado sigue siendo el eslabón concienciación de los usuarios es im-

ABRIL 2017 | CSO

 entrevista CSO ESPAÑA

prescindible. La nueva regulación de ¿Cómo ve a la competencia?

protección de datos no solo exige que Creo que hay espacio y mercado para
los usuarios tengan contraseñas y que todos. Cada uno tiene su estrategia. Yo
la información esté cifrada sino también he llegado de F5, que se dedicaba a pro-
se eduque y se cambien determinados teger aplicaciones; otras empresas se
procesos en las empresas. dedican a la protección ante ataques de
denegación de servicio; otras solo ha-
En la actualidad, ¿cuál es la radiografía cen firewall; otras solo están en el pues-
del negocio de Sophos en España? to de trabajo… Sophos se centra en el
A nivel corporativo un 45% de las ventas entorno medio del mercado mientras
provienen del área de protección del en- que hay jugadores que se dirigen a las
dpoint, un 50% de seguridad de red y un grandes corporaciones. En nuestro caso
5% de otros entornos de seguridad. En Es- lo importante es resaltar que somos la
paña la radiografía es muy similar. Nuestro única compañía de seguridad reconoci-
negocio está muy repartido entre la pro- da por los analistas como Gartner en
tección del puesto de trabajo y dispositivos las tres grandes categorías de produc-
y la de la red y los servidores. to: endpoint, UTM (protección completa
a nivel de red) y en cifrado de la infor-
¿Qué expectativas concretas tienen mación, algo tremendamente impor-
para el próximo año? tante porque lo exige la nueva ley de
Son ambiciosos y tenemos idea de am- protección de datos. Con nuestra tec-
pliar recursos en la Península Ibérica. nología las empresas se aseguran el
cumplimiento de la nueva ley. Además,
¿Cuántos empleados son en España un concepto clave de Sophos es el de
actualmente? seguridad sincronizada, es decir, todos
15 personas en Iberia, estamos todos los componentes de seguridad que te-
en Madrid. nemos se hablan entre sí.

El mercado de seguridad de la infor- ¿Qué opina de la teoría de que el anti-

mación es uno de los más atomizados. virus está muerto?

ABRIL 2017 | CSO

 entrevista CSO ESPAÑA

Sin duda esto no es así, lo que ocurre es y de las empresas respecto a la segu-
que se necesitan diferentes niveles de Perfil ridad, obligará a las empresas a tomar
protección para cubrir distintos tipos de más medidas para protegerse. Y así
ataques. Pero el antivirus sigue siendo Antes de su incorporación a Sophos, los reguladores serán capaces de me-
necesario. En todo caso, nunca se está lo Maté ha dirigido el negocio de F5 Ne- dir el impacto de los ciberataques.
suficientemente protegido. Nuestra re- tworks durante los últimos tres años, y Este es uno de los temas más opacos
comendación para las empresas es que acumula una larga trayectoria en em- dentro de las empresas. A ninguna
intenten protegerse lo mejor posible y presas del sector TI como NetApp, Poly- empresa le gusta reconocer que ha
que busquen soluciones que sean senci- mita Technologies o Sun Microsystems. sufrido un ataque y qué impacto ha
llas de implementar. Las grandes empre- Maté es ingeniero industrial por la Es- tenido. Esta normativa hará que las
sas pueden tener recursos para gestio- cuela Técnica Superior de Ingenieros empresas tengan más cuidado y que
nar estos aspectos pero la mediana Industriales (ETSII) de Madrid y MBA por la ciberseguridad se considere algo es-
empresa no dispone de ellos. el Instituto de Empresa. tratégico. Salvo muy grandes empre-
sas, que tienen sus CISO, el resto,
¿La mediana empresa está ya con- como decíamos sigue sin considerar la
cienciada de la necesidad de invertir Por parte de la industria los principa- que analizamos cada día. Sí hay conver- seguridad como algo estratégico y ca-
en coberseguridad? les jugadores están lanzando el men- saciones pero por debajo de la mesa. recen de un plan estratégico de ciber-
Las hay que están tomando medidas y saje de que los ‘malos’ colaboran mu- Quizás no exista ese diálogo tan abierto. seguridad.
las hay que solo reaccionan cuando tie- cho mientras que los ‘buenos’ no lo Al menos es mi impresión personal.
nen ataques. Pero en el caso del ranso- hacen. ¿Las alianzas son necesarias? ¿Pero el CISO es necesario en la me-
mware, si se les han encriptado varios Serían altamente recomendables. Lo Respecto al tema de la regulación, diana empresa?
servidores esos ficheros ya no son recu- que ha pasado tradicionalmente es que ¿cree que el hecho de que las empre- El CIO tiene que asumir ese papel en
perables. cada fabricante presume de sus labora- sas se vean obligadas a anunciar que la mediana empresa y pasar de ser un
torios y la cantidad de malware que es las han atacado será positivo? tecnólogo a ofrecer un valor de negocio
Cuando se produce un ransomware, capaz de detectar y los miles de ficheros Sí, incrementará la conciencia social a su empresa, y parte de ese valor es

“
¿qué política hay que seguir? Hay garantizar la seguridad de la informa-
quien paga el rescate de los datos. ción. Pero no solo el CIO: el director de
Nosotros siempre diremos que se res-
Los empleados siguen siendo recursos humanos y el propio CEO de-
pete la ley. el punto débil” ben ser conscientes de todo esto. CSO

ABRIL 2017 | CSO

entrevista CSO ESPAÑA

Peter Cohan, profesor de estrategia en Babson College

“El CISO debe aprender a

vender a los altos ejecutivos”
Peter Cohan, profesor de estrategia en Babson College, comparte
con CSO observaciones extraídas de su carrera y de su último libro
para explicar la importancia de la seguridad en los consejos de
administración y qué necesitan éstos y los líderes de seguridad
para avanzar en su relación.

Según Peter S. Cohan, profesor de es- siete startups, tres de las cuales se vendie- jo más importante de los líderes empresa- apuestan fuerte por las oportunidades de
trategia en Babson College, las juntas de ron por más de 2.000 millones de dóla- riales es mantener un crecimiento líder en crecimiento.
dirección están siendo —o necesitan res. Desde 2001, enseña estrategia y em- la industria. El libro examina lo que marca Hablamos de la sorprendente conexión
ser— más inteligentes en términos infor- prendimiento a los estudiantes de grado la diferencia entre el grupo de empresas entre su trabajo sobre el fomento del cre-
máticos, para asegurarse de que los eje- y MBA de Babson College. También es que llegan a los 10.000 millones de ingre- cimiento y el papel que juega la seguridad.
cutivos se centren en las áreas de creci- columnista de Forbes. Su duodécimo li- sos y siguen creciendo un 20% más que el Las reflexiones de Peter son valiosas para
miento correctas. Peter Cohan comenzó bro, Disciplined Growth Strategies, fue pu- resto. La conclusión es que estos líderes los líderes de seguridad que busquen lle-
su estrategia con la empresa de consul- blicado en febrero de 2017. del crecimiento están dirigidos por los gar a, o apoyar mejor, a los ejecutivos y
toría y capital de riesgo Peter S. Cohan & Disciplined Growth Strategies: Insights From CEO más competentes —abordan los de- miembros de la junta.
Associates en 1994. Ha completado más the Growth Trajectories of Successful and safíos de crecimiento con humildad inte-
de 150 proyectos de consultoría para em- Unsuccessful Companies sostiene que, en lectual, crean una visión y una cultura que ¿Ha informado a sus ejecutivos y jun-
presas de alta tecnología e invertido en un mundo que crece lentamente, el traba- atraen y motivan a los mejores talentos y ta de administración sobre el estado de

Michael Santarcangelo

ABRIL 2017 | CSO

 EVENTOS CSO ESPAÑA

su programa de seguridad? ¿Cómo fue? Al mismo tiempo, los CISO deben educar dad de la tecnología de información de la transformación digital.
Los ejecutivos se enfrentan a mucha pre- a los miembros de la junta sobre las me- empresa, así como los objetivos de segu-
sión para dirigir la organización hacia un jores prácticas de seguridad de la informa- ridad de la información de la empresa y ¿Cómo facilitamos la transición a jun-
crecimiento exitoso. La seguridad desem- ción entre las empresas similares, así los avances hacia su consecución. tas con más conocimientos de seguri-
peña un papel cada vez más importante como introducir a los miembros de la jun- Al investigar empresas para mi libro, dad mientras mejoramos el entendi-
en ese proceso. Gestionar la seguridad ta las tendencias importantes en piratería Disciplined Growth Strategies, descubrí miento de los líderes de seguridad en
correctamente marca la diferencia entre informática y defensa. Dichas reuniones que las empresas que están creciendo temas de junta/negocio?
centrarse en lo que importa y distraerse ayudan a los directores a evaluar las pro- más rápido están dirigidas por CEO que Las juntas deberían desarrollar una rela-
con violaciones de seguridad y similares. puestas de inversión de personal y capital siguen la máxima del antiguo CEO de In- ción con el CISO de la empresa. Para ha-
en nuevas tecnologías y los procesos que tel, Andrew Grove, quien afirmó que solo cerlo de manera efectiva, puede ser nece-
¿Qué significa que las juntas de direc- protegen a las empresas frente a un en- los paranoicos sobreviven. Más específi- sario que las empresas contraten a un
ción tienen que entender mejor la se- torno de amenazas a la seguridad de la camente, los CEO que estuve estudiando consultor que actúe como traductor y que
guridad? información en evolución constante. estaban siempre atentos a nuevas opor- pueda reducir el temor mutuo que existe
A medida que aumenta el riesgo de su- Asimismo, el CISO debe explicar a la junta tunidades que podrían aprovechar y a entre la junta y el CISO.
frir violaciones de seguridad, las juntas las noticias sobre violaciones de seguridad amenazas emergentes que podrían mi- La junta tiene miedo porque no tiene los
—cuyo papel a la hora de supervisar al significativas. Al hacerlo, el CISO debe estar nar sus estrategias de crecimiento. Es conocimientos técnicos de información de
CEO es actuar como fiduciarias en nom- preparado para responder preguntas so- más, contrataban a directores que com- seguridad para satisfacer su responsabili-
bre de los accionistas— corren un riesgo bre qué pasó, por qué pasó, si la empresa partían esa mentalidad. Ahora que en dad fiduciaria de proteger a los accionis-
cada vez mayor de quedarse cortas en sus es vulnerable al mismo tipo de ataque y 2017 nos encaminamos hacia un mundo tas. Y el CISO puede confiar mucho en sus
responsabilidades. Aunque no se espera qué medidas deben tomar para evitar que cada vez más inseguro, es vital que los conocimientos técnicos, pero sentirse in-
que los miembros de la junta sean exper- ese tipo de ataque suceda a la empresa. miembros de la junta sean más cons- cómodo a la hora de expresarlos de una
tos en seguridad de la información, deben Finalmente, los CISO deben proporcio- cientes de la tecnología y tengan más manera que pueda ser comprensible para
asegurarse de que la empresa cuente con nar a los miembros de la junta informes conocimientos de seguridad a medida los miembros de la junta.
el personal y procesos necesarios para trimestrales sobre el nivel de vulnerabili- que sus empresas busquen una mayor Un consultor podrá superar este escollo

“
defenderse contra las violaciones de se- comunicativo, transmitiendo la perspecti-
guridad de la información, para establecer va de la junta sobre los riesgos de seguri-
procesos para monitorizar el nivel de in-
Gestionar la seguridad correctamente marca dad de información al CISO, y ayudándole
formación de seguridad y para asegurarse la diferencia entre centrarse en lo que importa a dar respuesta a esas preocupaciones de
de dar los pasos correctos en caso de que una manera que puedan entender los di-
surja una violación de seguridad. y distraerse con violaciones de seguridad y similares” rectores.

ABRIL 2017 | CSO

 EVENTOS CSO ESPAÑA

¿Cuál es el sesgo de disponibilidad y las violaciones de seguridad de Target y juntas deberían categorizar esos riesgos ¿Cómo puede un líder de seguridad
cómo ayuda a que las juntas y los líde- Home Depot. Los directores de la indus- teniendo en cuenta dos dimensiones: acceder a la junta?
res de seguridad se entiendan? tria del entretenimiento hicieron pregun- frecuencia (alta o baja) y gravedad (alta El CISO debe aprender a vender a los altos
El sesgo de disponibilidad cambia la for- tas después del caso de Sony, y cualquier o baja). Haciendo esto, deberían estar ejecutivos. Si el CSO depende del CFO, él o
ma en la que la gente estima la cantidad de empresa que compita con Yahoo espera preparadas para responder mejor a pre- ella no tendrán acceso directo al CEO. El CISO
una variable futura. Cuando tenemos algo no tener un destino similar. Los CISO pue- guntas como: ¿las violaciones de seguri- solo puede tener acceso a los miembros de

“
fresco en la mente, normalmente debido a den utilizar estas noticias como excusas dad son repentinas (y con qué frecuen- la junta si el CEO cree que es esencial. En esa
noticias relevantes y destacadas, el sesgo situación, el CISO tendrá que convencer al
de disponibilidad hace que la gente sobre- En 2017 nos encaminamos hacia un mundo CFO de que lo deje hablar con el CEO. Si esa
estime lo probable que es que vuelva a su- conversación tiene éxito, el CFO puede acce-
ceder. Por ejemplo, si los telediarios de la cada vez más inseguro” der a llevar al CISO a una reunión con el CEO
mañana están llenos de noticias de perso- para conseguir su consentimiento para or-
nas que han sido mordidas por tiburones, para iniciar una conversación con la junta cia ocurren)?; ¿cuán severas son cada ganizar una reunión del CISO con la junta. Es
la gente pensará que los ataques de tibu- sobre seguridad de la información. una de las violaciones de seguridad — probable que el CISO necesite orientación
rones son más probables de lo que son en por ejemplo, ¿requiere que la empresa para estructurar las reuniones con el CFO y
realidad y no se meterá en el agua. ¿Por qué es importante entender que pague un rescate al hacker o expone in- el CEO para que conduzcan a un resultado
Cuando las noticias de la noche hablan los riesgos competitivos también nece- formación de los clientes y daña la repu- favorable. Esa orientación podría empezar
de violaciones de seguridad, los miembros sitan atención? tación de la empresa?—; ¿en qué lugar explicando las preocupaciones empresaria-
de la junta tienen más miedo de que una Los CISO deben comprender que los de la matriz están las vulnerabilidades les más importantes del CEO y evaluando
violación similar pueda colocar sus nom- miembros de la junta tienen otros asun- de seguridad respecto a otros riesgos cuáles podrían ser responsabilidad del CFO.
bres en las noticias. Las juntas hacen pre- tos importantes que considerar además empresariales inusuales? Cualquier ries- Entonces debería quedar más claro qué
guntas cuando tienen las cosas frescas en de la seguridad de la información. En cada go inusual que esté en una casilla de alta cuestiones del CFO podrían ser de interés
la cabeza, después de noticias relaciona- reunión, los miembros de la junta suelen frecuencia/alta gravedad de la matriz para el CISO. Un coach puede ayudar al CISO
das con violaciones de seguridad relevan- revisar el rendimiento financiero y las exigirá la atención inmediata de la junta. a escuchar a los altos ejecutivos, entender
tes para su industria, y ese deseo de infor- perspectivas de la empresa; evaluando Las empresas deberían usar este enfo- los retos empresariales específicos a los que
mación podría dar a los CISO la los asuntos legales y de cumplimiento y que para categorizar todos sus riesgos se enfrentan y prever cómo el CISO puede
oportunidad de reunirse con los miem- las inversiones de capital por encima de de seguridad, y los CISO deberían ase- usar su experiencia para ayudar a superar
bros de la junta. Por ejemplo, los directo- cierta cantidad. gurarse de que las vulnerabilidades de estos retos. Con esa mentalidad, el CISO au-
res de tiendas al por menor seguro que se Además, las juntas suelen enfrentarse seguridad estén incluidas en este marco menta sus posibilidades de acceder a la jun-
preocuparon al escuchar las noticias de a otros riesgos más esporádicos. Las de evaluación de riesgos. ta y aportar más valor. CSO

ABRIL 2017 | CSO

IDG Security Day
IDG, la mayor empresa de comunicación
de tecnología en el mundo, organiza
el SECURITY DAY, un evento global exclusivo
para los líderes de la seguridad de la
Madrid, 21 de junio de 2017
información, donde se encontrarán con
expertos, prácticas aceptadas mundialmente,
nuevas tendencias, ciber defensa, y los temas
que más interesa al responsable de
la seguridad corporativa, y a la empresa.

KEYNOTE SPEAKERs
Raj Samani
Es el gurú de la lucha contra la
ciberdelincuencia. Ponente internacional
y reconocido en todo el mundo como
una de las principales autoridades de la
Seguridad Informática.

Es asesor del Cloud Security Alliance, de

EL PRIMER EVENTO GLOBAL Infosecurity Europe, de varios comités
DEDICADO EN EXCLUSIVA Leer más de la Unión Europea, y en el Reino
Unido. Actualmente es Vicepresidente
A LA SEGURIDAD para EMEA de McAfee.

CIO CSO
Emprendiendo en seguridad CSO ESPAÑA

El niño que quiso desafiar

al mundo cibercriminal
y creó Buguroo
Pablo de la Riva siempre quiso ser arquitecto hasta que un

acontecimiento marcó su vida y redirigió su camino hacia

el mundo de la seguridad informática. Hoy por hoy, Pablo

es el fundador de Buguroo, una organización que ofrece

varias herramientas de protección automatizadas y un

servicio de hacking ético.

Claudia Ortiz-Tallo

ABRIL 2017 | CSO

 Emprendiendo en seguridad CSO ESPAÑA

D
icen que un clavo saca otro esas características es muy complicado”.
clavo. Eso es exactamente Es aquí donde entra en juego Buguroo.
lo que le ocurrió a Pablo de Con el beneficio que tenía Écija Solutions,
la Riva. La historia comenzó fundaron la startup e invirtieron en un sof-
cuando sus padres le rega- tware con el objetivo de automatizar el
laron un ordenador con 12 años. Hasta proceso por el que podían dar auditorías
entonces, a Pablo le gustaba la arquitec- a sus clientes sin necesidad de contratar
tura, pero todo cambió cuando el ordena- a más personal. El problema fue que no
dor empezó a tomar decisiones por sí solo podía pagar a todas las personas que es-
y a dirigirse a él de forma personal. taban a su cargo; así que escogió a un pe-
“¿Quién eres?”, dijo Pablo. “Qué más da queño grupo y empezaron a desarrollar
que sepas quién soy si yo no sé quién eres productos.
tú”, contestó el cacharro. Efectivamente, Al principio y de forma temporal, estu-
estaban hackeando a Pablo. A partir de ahí, vieron instalados en las oficinas de quien
cambió su perspectiva de lo que quería había sido su primer inversor, el grupo
hacer con su futuro y acabó montando Écija Solutions. Sin embargo, al cabo del
una empresa dedicada a la ciberseguri-
dad: Buguroo.
tiempo se dieron cuenta que ambas em-
presas tenían diferentes visiones de cómo
“Somos una empresa que está luchando
La empresa fue fundada por Pablo hace continuar el negocio por lo que buscaron por conquistar un nuevo terreno”
seis años. En aquellos entonces, el profe- otro inversor; y lo encontraron en Deloitte.
sional tenía un rol como responsable téc- Pero por segunda vez en su evolución, tu- que recibirán otra ronda a corto plazo, La clave del éxito
nico en Écija Solutions, una organización vieron que independizarse de la multina- una “ronda puente” para que en el futuro Buguroo quiere poner esfuerzo en una
más grande donde tenía a su cargo entre cional porque, al ser “una especie de fran- haya otra más grande. línea que tiene de antifraude, capaz de
150 y 200 personas. “Con este equipo, tu- quicia”, solo podían operar en su territorio, “Si me baso en el tiempo en el que lleva- proteger a los usuarios que usan las apli-
vimos mucho éxito y contábamos con una en este caso España. “No podíamos ven- mos funcionando, no me considero una caciones de manera transparente sin que
demanda de clientes bastante grande, der a Europa o [Link]. a no ser que el De- startup. Pero tampoco somos una gran ellos lo sepan. En otras palabras, garanti-
pero que no podíamos satisfacer de ma- loitte del país nos lo permitiera”, explica empresa consolidada que facture cientos zar que las personas sean quien dicen ser
nera fácil porque no teníamos suficiente Pablo. “Por ello optamos por un fondo de de millones”, explica Pablo. “Con lo cual, y garantizar que estos están actuando de
personal”, cuenta Pablo. “Pero claro, llega capital riesgo que nos dio tres millones de somos una empresa que está luchando forma libre. “Si no eres tú o estás siendo
un momento que encontrar personal de euros”. De hecho, el fundador asegura por conquistar un nuevo terreno”. manipulado, nosotros proporcionamos

ABRIL 2017 | CSO

 Emprendiendo en seguridad CSO ESPAÑA

unos parámetros a la aplicación para que cinas y teniendo unos cuantos empleados,
eso se sepa y no ocurra. Hay que partir de
la base de que tienes que desconfiar de
su verdadero foco en el próximo año es-
tará en Iberoamérica. Las facilidades que En la lista de Cool
los usuarios porque ellos no tienen el co-
nocimiento suficiente para saber si están
actuando libremente”, asegura Pablo.
dan el idioma y la cultura hacen que el
crecimiento pueda ser más fuerte a corto
plazo. Y, con todas las ventas que se con-
vendors de Gartner
Esta solución está orientada a que sean sigan allí, adquirirán una ronda mayor Pablo de la Riva, fundador de
las grandes entidades las que ofrezcan es- para ir a EEUU. “Los tres millones de euros Buguroo, explica que el mer-
tas medidas transparentes a los usuarios que nos han dado en España es mucho cado clásico lleva existiendo
que utilizan las aplicaciones. El que consu- dinero pero en Estados Unidos no, de he- cerca de 10 años, donde hay
me esto normalmente son los bancos ya cho es un chiste”, afirma Pablo. maneras muy obsoletas de pro-
que desde hace mucho tiempo este sector Según el experto en seguridad, estamos teger a los visitantes de los
ataques actuales. “Los hackers
venden kits en el mercado ne-
“Vamos a ser los mejores en detectar y gro que por 10 dólares puedes
lanzar una campaña que se
eliminar contenido protegido por el derecho salte las medidas que los gran-
de autor y el derecho de marca” des fabricantes, en su día, po-
sicionaron como una oferta Pablo de la Riva, CEO de Buguroo.
segura”, cuenta Pablo.
dedica una parte de su presupuesto a este todos en una carrera por construir solu- La lista Cool Vendors de Gartner reconoce a las compañías más innovadoras, im-
tipo de soluciones, superando a las otras ciones del futuro y a ver quién es capaz de pactantes y sorprendentes después de hacer un análisis exhaustivo de los nuevos
industrias. “Cuando quieres robar dinero, tener una mayor cuota de mercado y po- fabricantes que van apareciendo. En esta línea, Buguroo fue incluida en esta lista
lo primero que se te viene a la cabeza es der, así, convertirse en líder. “Afortunada- en España en 2016. Y es que la compañía ofrece varios productos innovadores:
un banco”, supone Pablo. “Pero todas las mente o desgraciadamente, según como por un lado, BugFraud Defense, una solución contra el fraude online de nueva
aplicaciones, sea la que sea, terminarán se mire, no se te dejan de ocurrir ideas. generación que provee protección en tiempo real para páginas web. Y por otro,
funcionando de la misma manera”. Pero unas de las claves para el éxito en ofrece BugSkcout y BugBlast, sus herramientas para security testing, cuya estruc-
Atacar el mercado norteamericano es este negocio es saber poner foco. Hay que tura diseñada en cloud le da la capacidad de auditar aplicaciones de gran tamaño
muy caro. Aunque Buguroo ha constituido centrarse en una cosa e intentar ser el me- y muchos tipos de vulnerabilidades diferentes obtenidos mediante diferentes
una sociedad allí, abriendo un par de ofi- jor en ella”, concluye Pablo. CSO escáneres y mostrarlos en un único panel.

ABRIL 2017 | CSO

webinars

Actualidad
[Link]/webinars

Próximamente Próximamente

Día de la Día de la
Seguridad TI Transformación
11deMayo Digital

23deMayo

Próximamente Ya disponible
Día de la Movilidad Día del
& BYOD almacenamiento

17deMayo
legislación CSO ESPAÑA

Implementación del HTTPS

en entornos y aplicaciones
web del sector público
El CERT Gubernamental/Nacional español, que es el CCN-

CERT, que es la Capacidad de Respuesta a Incidentes de

Seguridad de la Información del Centro Criptológico

Nacional (CCN) adscrito al Centro Nacional de Inteligencia

(CNI), publicó a comienzos de abril el informe de Buenas

Prácticas CCN-CERT BP-01/17 Recomendaciones de

implementación de HTTPS

Miguel Recio, abogado experto en protección de datos y TIC

ABRIL 2017 | CSO

 legislación CSO ESPAÑA

E
n dicho informe, el CCN-CERT que se intercambian a través de Inter-
indica que, en octubre de 2016, net, con independencia de cuál sea el
el tráfico HTTPS global de Inter- equipo o dispositivo utilizado. Supo-
net ya superaba al tráfico HTTP ne, por tanto, atender al principio de
y que dicha tendencia se confir- que sin seguridad no hay privacidad
maba en marzo de 2017, cuando el uso del (en inglés, “there is no privacy without
protocolo HTTPS se situaba casi en el 55% del security”).
tráfico a nivel global frente al HTTP. El informe incluye también un decá-
Frente al uso del protocolo HTTP, el logo de Recomendaciones de seguri-
HTTPS permite asegurar que el usua- dad para la implementación del HT-
rio pueda confirmar que está conec- TPS, que son las siguientes:
tado al entorno web deseado (auten- 1. Configurar el entorno, servidor o
ticación de identificación); y que el aplicación web para que se lleve a
tráfico intercambiado entre el usuario cabo una redirección automática de uso de contenidos mixtos. 5. Hacer uso de claves criptográficas
y el entorno web esté cifrado, aseguran- tipo 301 desde HTTP hacia HTTPS 2. Hacer uso de HSTS (HTTP Strict ECDSA de 256 bits y/o RSA de 2.048
do a la vez la integridad de los datos para cualquier petición web. Revi- Transport Security) para declarar bits para los certificados digitales
transmitidos, evitando que pueda inter- sar todos los contenidos y código que el servidor web sólo está acce- (X.509).
ceptado y manipulado por un tercero asociados al entorno, aplicación y sible mediante HTTPS. 6. Utilizar algoritmos de intercambio
(confidencialidad e integridad). páginas web (estáticas y dinámicas) 3. Hacer uso de Content Security Poli- de claves que proporcionen forward
Es decir, el HTTPS es una herramien- y sustituir todas las referencias a cy (CSP) para evitar la utilización de secrecy, preferiblemente ECDHE
ta y una medida clave para preservar “[Link] por “[Link] (o por refe- contenidos mixtos, indicando que, (256 bits), o alternativamente DHE
tanto la privacidad como la protección rencias relativas o absolutas sin es- por defecto, todos los recursos de- (2.048 bits), frente a RSA.
de los datos, sean personales o no, pecificar el protocolo), evitando el berían obtenerse mediante HTTPS. 7. Hacer uso de algoritmos de cifrado
Ampliar la política de CSP mediante que proporcionen cifrado autentifi-
las directivas “upgrade-insecure-re- cado AEAD, como por ejemplo AES
“Según el CCN-CERT, el uso del protocolo quests” o “block-all-mixed-content”. en modo GCM o ChaCha20 junto a
4. Hacer uso únicamente del protoco- Poly1305. Se deberían utilizar algo-
HTTPS se sitúa casi en el 55% del tráfico a lo TLS, y preferiblemente de las ver- ritmos de cifrado simétrico que
nivel global frente al HTTP” siones 1.1 y 1.2 del mismo (y de la proporcionen, al menos, 128 bits de
versión TLS 1.3 próximamente). seguridad. Se deberían utilizar algo-

ABRIL 2017 | CSO

 legislación CSO ESPAÑA

ritmos de hashing basados en SHA- seguridad, de prevenir y mitigar los

256 (o superior). incidentes y amenazas de seguridad.
8. Los certificados digitales deben de Al mismo tiempo, se trata de aumen-
incluir mecanismos de revocación tar el nivel de protección y de robus-
como CRL u OCSP o, preferiblemen- tez de los servicios web, lo que redun-
te, OCSP Stapling. da en la protección de los ciudadanos,
9. Hacer uso de HPKP (HTTP Public como usuarios de los servicios pro-
Key Pinning), o al menos de sus ca- porcionados por los organismos y en-
pacidades de notificación para tidades públicas.
identificar el uso de certificados di- Cabe señalar que, hasta el próximo
gitales ilegítimos. 19 de mayo de 2017, los organismos
10. Disponer de la versión más actuali- o entidades públicas de cualquier Ad-
zada (que al menos solucione las ministración Pública, ya sea central,
vulnerabilidades de seguridad co- autonómica o local, pueden solicitar
nocidas) de las librerías TLS, servi- un análisis de sus dominios, servido-
dores y aplicaciones web emplea- res y aplicaciones web y, al mismo
dos en la implementación de HTTPS. tiempo, formar parte del estudio de
Se trata así, mediante el uso bunas implementación del protocolo HT-
prácticas y las recomendaciones de TPS. CSO

“Frente al uso del protocolo HTTP, el

HTTPS permite asegurar que el usuario
pueda confirmar que está conectado al
entorno web deseado y que el tráfico
intercambiado entre el usuario y el entorno
web esté cifrado”

ABRIL 2017 | CSO

Opinión CSO ESPAÑA

Ciberseguridad
basada en el
comportamiento
Dentro del sector de la ciberseguridad hay un movimiento

importante que aboga por dejar atrás la seguridad centralizada “En la búsqueda de alternativas a la
y basada en contraseñas, para pasar a hablar de una seguridad
seguridad basada en la identidad se
empezó a hablar de la biometría como
basada en el comportamiento. posible solución”
José Antonio Rubio

ABRIL 2017 | CSO

opinión CSO ESPAÑA

E
l presidente de Estados Uni- te interesante. Como ejemplo tene-
dos, Donald Trump, maneja mos a grandes corporaciones que dan
un conjunto de ideas cons- “Tecnologías como blockchain están por hecho que las contraseñas de los
tantes desde los años 80, siendo también exploradas para encontrar usuarios han sido comprometidas,
muchas de las cuales se re- buscando determinar la identidad del
cogen en el libro The America we deser-
soluciones de autenticación donde usuario mediante una agregación de
ve que escribió en el año 2000. Tal po- no sea necesario confiar en contraseñas atributos.
sicionamiento poco a poco se deja Asimismo, tecnologías como block-
entrever en las decisiones tomadas
o en una autoridad centralizada” chain están siendo también explora-
durante sus primeros días como pre- das para encontrar soluciones de au-
sidente, pudiendo aventurar qué en- tenticación donde no sea necesario
foque se dará al ámbito de la ciberse- que no se encontrará en el empleo de miento del usuario. Esta pirueta llevó confiar en contraseñas o en una au-
guridad. Así, al igual que se busca cadenas de números y letras cada vez a hablar de la biometría basada en el toridad centralizada. De igual modo,
incrementar el presupuesto de Defen- más largos y complejos. comportamiento, donde se introdu- los enfoques de big data y machine
sa se espera que ese enfoque se tras- En la búsqueda de alternativas a la cían elementos extra de seguridad learning son también vistos con bue-
lade de igual modo al ámbito de la ci- seguridad basada en la identidad se como la forma en que se guiña un ojo nos ojos. En este caso empleando
berseguridad. No sólo para mejorar la empezó a hablar de la biometría como o se parpadea. Incluso dentro de este grandes volúmenes de datos sobre
protección de los activos digitales gu- posible solución. Para ello, contamos movimiento de biometría basada en el las diversas huellas digitales de los
bernamentales, sino también para pa- con tecnologías que permiten cosas comportamiento se engloban aspec- usuarios, que pasarían a ser analiza-
rar los ciberataques que sufren las tan variopintas como identificar a un tos como los patrones de navegación dos para encontrar esos patrones de
empresas estadounidenses. usuario mediante su voz, el reconoci- en Internet o la forma en que un usua- comportamiento. Este mercado tan
Se trata de un cambio natural que miento facial o huella dactilar, entre rio cliquea y se mueve por las panta- prometedor se espera siga creciendo
vendría impulsado por las debilidades muchas otras opciones. No obstante, llas web. a buen ritmo, siendo parte de la res-
inherentes a la gestión de la identidad, en ciertos contextos se alertó de que Empleando estos enfoques se podría puesta natural al creciente número
siendo conscientes que un gran núme- sería plausible que un atacante tratara dar respuesta a la falta de un períme- de ciberincidentes, las malas prácti-
ro de amenazas se ven materializadas de imitar a alguien empleando una tro corporativo tradicional, donde los cas que siguen existiendo en relación
precisamente por malas prácticas ra- foto o vídeo, por ejemplo, de la perso- componentes, usuarios y aplicaciones a la gestión de contraseñas y la falta
dicadas en este ámbito. Además, los na a suplantar. Así, se llegó a la con- son cada vez más heterogéneas. Ade- de concienciación general de los
dispositivos móviles o el Internet de clusión de nuevo de dar un salto más más, la creatividad en la búsqueda de usuarios en torno a la protección de
las cosas requieren de una agilidad allá para apoyarse en el comporta- soluciones en este ámbito es realmen- su identidad. CSO

ABRIL 2017 | CSO

POWERED BY

Los ataques DDoS

de más de 100 Gbps
aumentan un 140% anual
Así se desprende del Informe sobre el Estado de Inter-
net en materia de seguridad relativo al cuarto trimes-
tre de 2016 que elabora la compañía Akamai Tech-
nologies. Un informe que pone de manifiesto,
además, el crecimiento de los ataques a aplicaciones
web SQLi en un un 44% interanual.

Más información en la nueva sección

Seguridad Cloud de CSO

 NÚMEROS ANTERIORES

TODAS LAS REVISTAS A UN SOLO CLIC

[Link]