Jesús Mérida - Computerworldcso.computerworld.es/pubs/CSO04/offline/download.pdfo Riesgos...

N Ú M E R O 4 - M A Y O 2 0 1 6

C S O . C O M P U T E R W O R L D . E S

“Lo más crítico en aspectos de seguridad

es la concienciación”

Jesús MéridaCISO de Técnicas Reunidas

http://cso.computerworld.es/home

http://cso.computerworld.es

CSO ESPAÑA

MAYO 2016 | CSO

SUMARIO

o EDITORIAL: La necesaria integración.

CIBER SEGURIDAD

o Ocho tecnologías de ciberseguridad que el Gobierno de EE.UU. trata de comercializar.

GESTIÓN DE L A SEGURIDAD

o Windows 10 Anniversary Update: la versión Enterprise gana en seguridad.

o ¿Estamos asistiendo al fin de las contraseñas?

o ‘Big data’, una oportunidad para mejorar la ciberseguridad.

o Las malas prácticas con Active Directory exponen a la organización.

LEGISL ACIÓN

o Directiva europea sobre ciberseguridad: más cooperación y nuevas obligaciones.o Riesgos globales, ciberseguros y complacencias.

ENTRE VISTA

o James Lyne, director de investigaciones globales de seguridad en Sophos.

E VENTOS

o Agility 2016: F5, del rendimiento de las aplicaciones a su securización.

OPINIÓN

o Riesgos globales, ciberseguros y complacencias.o Ponga un ‘big data’ en su vida.

o Isaac Gutiérrez, director de la unidad

de Ciberseguridad de Prosegur.

ENTREVISTA

o Entrevista a Jesús Mérida, CISO de Técnicas

Reunidas.

EN PRIMERA PERSONA

o Radiografía integral del CSO Español. Retos para los directivos encargados de la seguridad.

A FONDO

o El compromiso de los altos directivos favorece las inversiones en ciberseguridad.

EVENTOS



CSO ESPAÑA

MAYO 2016 | CSO

MAYO 2016

EDITORIAL

La necesaria integración

E l nuevo escenario digital que se está gestando ha traído, entre otros, una drástica transformación de las orga-nizaciones en particular y

de la sociedad en general. Se trata de un nuevo mundo que conlleva grandes desafíos y oportunidades para todos. Un mundo en el que la tecnología es el pilar sobre el que se sustenta esa nue-va sociedad. Entendiendo y asumiendo los grandes beneficios que aporta este proceso de transformación, también es cierto que es nada será como antes. Las fronteras desaparecen, la consoli-

dación se perfila como un concepto inherente en este escenario. Un esce-nario que debe aportar todo lo que se espera de él pero también es cierto que todo eso se tiene que hacer de una forma segura. En estos momentos de transformación, surge la tendencia de consolidación en torno a la seguri-dad. Parece que ya no debería tener mucho sentido hablar de dos segurida-des sino de una Seguridad con mayús-culas, ya que cada vez más es imposi-ble separar de una forma absoluta lo que está ocurriendo en el mundo digi-tal de lo que pasa en el mundo físico.

Por eso no se entiende que las empre-sas/organizaciones no contemplen la seguridad como un todo ya que lo que ocurre en un mundo afecta al otro y viceversa. Aun así es cierto que cada vez más surgen organizaciones y em-presas que contemplan la seguridad como un concepto holístico. Un inci-piente movimiento que será una reali-dad en un futuro próximo: la seguridad con mayúsculas. CSO

María José Marzalt @mjmarzal

R E D A C C I Ó N

Directora: María José Marzal @ [email protected] t @mjmarzal

Coordinadora editorial: Esther Macías @ [email protected] t @esmacis

Redactores y colaboradores: Alfonso Casas @ [email protected] t @acasasIDG

Mario Moreno @ [email protected] t @@mmoret02

Irene Muñoz @ [email protected] t @IreneMunozVal

Patricia Bachmaier @ [email protected]

t @PsBach Marga Verdú, Toñi Herrero, Reyes Alonso, Eugenio

Ballesteros, Beatriz Sánchez.

Departamento Audiovisual: Juan Márquez y Fran Duarte

Fotografía: Juan Márquez, Beatriz Garrigós, Pepe Varela

Diseño y producción digital: Missmustache.es

P U B L I C I D A DSenior Account Manager: Inma Pérez @ [email protected]

Account Manager: Maite Aldaiturriaga @ maite.alda@idg.

esA T E N C I Ó N A L L E C T O R@ [email protected] 902 103 235 / 913 496 789

W E BPublicidad online: Miguel Palomero @ [email protected]

Programación web: Joaquín Hevia @ [email protected]

E V E N T O SCoordinación: Marta García @ [email protected]ón y logística: Jaime Buitrago @ [email protected]: Toñi Hernández @ [email protected]

Grupo editorial IDG CommunicationsDirector general: Manuel Pastor Directora de Eventos: María José MarzalDirector de Marketing Services: Julio BenedettiResponsable financiero: José Luis Díaz

@ [email protected]

t @CSOspain

o cso.computerworld.es



https://twitter.com/mjmarzal

https://twitter.com/computerworldes


http://bit.ly/NEXTEL_CSO_may16

CSO ESPAÑA

MAYO 2016 | CSO

A FONDO

LA RELEVANCIA DEL CSO O CISO (DIRECTORES DE SEGURIDAD DE LA

INFORMACIÓN) HA AUMENTADO DR ÁSTICAMENTE EN LOS ÚLTIMOS

AÑOS; HAN PASADO DE SER LOS ‘FRIKIS’ DE LA OFICINA, ESPECIALISTAS

EN INFORMÁTICA, A DIRECTIVOS CLAVE QUE TIENEN MUCHO QUE TR AER

A LAS EMPRESAS, Y AÚN MÁS DE LO QUE PROTEGERLAS.

Radiografía integral del CSO español

Patricia Bachmaier



CSO ESPAÑA

MAYO 2016 | CSO

A FONDO

Es el cambio natural que llega con la disrupción digital: la seguri-dad no es algo que concierna solo a un equipo de la empresa, sino que ahora extiende sus ten-

táculos a lo largo de todos los departamen-tos, y el CSO es el encargado de dirigirlos.

Las necesidades de negocio han hecho imperativo incorporar de forma masiva nuevas tecnologías que permitan a las compañías continuar siendo competitivas en muchos nuevos ámbitos. “La utilización de lo que en IDC denominamos Tercera Plataforma (cloud, analítica de datos, las redes sociales o la movilidad en entornos distribuidos y, en algunos casos, sobre re-des que no son 100% fiables) hace que sea necesario extender los nuevos mode-los de seguridad más allá del permito tra-dicional”, explica José Antonio Lorenzo, director general de IDC España.

En la actualidad los directores de seguri-dad tienen dos funciones principales fijas, más allá de los proyectos que luego cada

CSO quiera desarrollar (o la empresa le deje desarrollar): “Por un lado, se ocupan de que todos los sistemas que tienen las empresas sean estables y se mantengan inaccesibles frente a intrusos que pueden provocar, desde una caída de los servido-res hasta robar información sensible o con-fidencial de las propias empresas”, comen-ta Albert Corbella, manager IT de Spring Professional, de Adecco.

“Por otro lado, los directores son tam-bién los responsables –en el caso de pla-taformas de pago– de asegurarse de que nuestros pagos tienen la máxima seguri-dad posible y que nadie hará un uso frau-dulento de nuestros datos de pago”, aña-de Corbella.

Sin embargo, fuera de estas vertientes, el papel de los directores de seguridad toda-vía depende de dónde lo ubiquen las em-presas, es decir, dentro del departamento de sistemas o dotándolo de entidad propia y abarcando aspectos que trascienden lo puramente tecnológico.

Expertos informáticos… y empresarios“La seguridad ha dejado de ser algo que concierne a los departamentos de siste-mas, ahora necesita una involucración activa por parte del negocio para permi-tir una gestión efectiva del riesgo”, expli-ca Fernando Maldonado Veloso, analis-ta de Delphos. “Su papel, por tanto, está a caballo entre la tecnología y el negocio. Ninguna empresa puede desarrollar una estrategia de seguridad sólo con tecno-

logía. Esta necesita cambiar procesos, modificar conductas… y evaluar el im-pacto sobre la empresa”.

Los CSO son perfiles que normalmente surgen de sistemas, “vienen de estos am-bientes y evolucionan hacia la seguridad, o directamente han ascendido de una posi-ción como la de ethical hacker”, añade Cor-bella en referencia a los especialistas que se dedican a encontrar posibles vulnerabi-lidades de las compañías para que puedan repararlas sin que un hacker las explote.“El CSO necesita contar con el total apoyo y

compromiso de la más alta dirección”



CSO ESPAÑA

MAYO 2016 | CSO

A FONDO

“La gran mayoría de profesionales de este ámbito son ingenieros informáticos que han complementado su formación con di-ferentes masters en seguridad informática o vulnerabilidad de sistemas”, explica el manager IT de Adecco. Pero no es el único

camino para llegar a ser CSO.Además de una importante experiencia

en ciberseguridad previa (como auditor, por ejemplo), una titulación universitaria en ingeniería, matemáticas o ciencias, un MBA o formación equivalente abre muchas

puertas en este negocio “es importante dis-poner de conocimientos no solo técnicos sino de negocio y certificaciones específi-cas como CISSP, CISM, CISA, CRISC o SIEM, entre otras”, señala Lorenzo.

Es normal ya que el perfil que está sur-giendo ahora necesita nuevas habilidades que exigen conocer también el mundo de los negocios; ya no sirve vivir en una bur-buja técnica sino que hay que imbuirse del entorno de la compañía. “Estos directivos no sólo miran a la tecnología sino que aho-ra alzan la vista hacia el negocio. Y trabajar estrechamente con él implica el desarrollo de nuevas aptitudes para comunicarse con las otras unidades de negocio, persuadir para modificar conductas…”, puntualiza Maldonado.

También es necesario gestionar la ambi-güedad de situaciones en las que quizá exista riesgo para el negocio, pero que pue-den verse compensadas por sus beneficios. En resumen, las habilidades propias del resto de directivos de la empresa. El nuevo CSO se enfrenta a muchos retos para los que necesitará contar con el compromiso de su organización, “con el total apoyo y compromiso de la más alta dirección”, ex-plica el director general de IDC. Si esto no es así, no será posible establecer un mode-

lo fiable y sólido para toda la compañía, adaptado a las nuevas exigencias en mate-ria de seguridad.

Tiempo de cambioEl CSO es una de las figuras que más debe evolucionar en paralelo a su tra-bajo: la constante aparición de nuevas tecnologías, la transformación de los malware, el corto ciclo de vida de los productos… “Desde IDC pensamos que es fundamental que el director de Segu-ridad, evolucione de los tradicionales modelos de seguridad basados en pro-teger y contener, es decir reactivos, ha-cia nuevos modelos basados en contro-lar y contener, diseñados en función de la criticidad de cada uno de los activos de la compañía”, explica Lorenzo.

Con este modelo que propone IDC se busca controlar y entender cada activo: de esta forma es más fácil limitar el impacto de un ataque a una sección específica de la empresa, además de la necesitada rapidez de respuesta, “hay que asumir que los “ma-los” suelen ir siempre por delante de los “buenos”.

Una de las claves es seguir mantenién-dose al día de la tecnología. “Por ejemplo, cómo afecta a la seguridad la adopción

“Los directores de seguridad deben saber cuándo hay que pisar el freno

y cuándo el acelerador”



CSO ESPAÑA

MAYO 2016 | CSO

A FONDO

de virtualización, cloud, IoT, etc. Pero también en las habilidades propias de cualquier directivo de la empresa: gestio-nar situaciones ambiguas, negociación, comunicación, etc.”, explican desde Del-phos. “Donde más ha cambiado hasta ahora la tecnología ha sido en su mayor proximidad al negocio; ha pasado de la periferia al centro de la actividad de las empresas: hoy resulta imposible pensar en nuevos canales, nuevos modelos de negocio, incluso nuevos productos y ser-vicios sin un alto componente tecnológi-co. Y esto cambia el papel que debe des-empeñar el CSO en la compañía porque ahora el riesgo de negocio se ha dispara-do”, señala Maldonado.

Con el crecimiento del e-commerce y del pago online, “este perfil está cada vez más enfocado a asegurar los datos de pasarelas de pagos y robo de información sensible”, explica Albert Corbella.

Su papel por tanto es el de mantener el difícil equilibrio entre el empuje del nego-cio por adoptar y hacer uso de nuevas tec-nologías y la necesidad de la empresa de salvaguardar sus activos según comenta el especialista de Delphos: “Pongámoslo de esta forma: deben saber cuándo hay que pisar el freno y cuándo el acelerador”.

Retos y más retosTodos los indicadores señalan que el porvenir no va a ser un camino de rosas; los cibercriminales están cada vez más especializados, ya no atacan ciegamen-te a los equipos que se encuentran sino que dirigen cada uno de sus ataques y sistematizan sus softwares maliciosos para detectar los dispositivos que más les interesan.

Según los datos recogidos por G Data, en el año 2015 se detectaron más de 6.115 archivos maliciosos en cuya confi-guración podía verse la lista de objetivos bancarios de los malwares. Y no solo afi-nan sus búsquedas de víctimas sino que lo acompañan de constantes variaciones de software; el año pasado se cerró el año con la nada despreciable cifra de más de cinco millones de nuevos tipos de malware.

Los expertos no dudan cuál es el siguien-te paso a dar por los directores de ciber-seguridad: “Ir más allá de la defensa de la empresa y comenzar a desarrollar la capa-cidad de anticipar brechas de seguridad y planificar una respuesta para reaccionar rápido y de forma eficiente para recupe-rarse con agilidad”, explica Maldonado. Debido a la gran habilidad de los cibercri-

minales es probable que mediante inge-niería inversa acaben penetrando en las empresas si se lo proponen; la pregunta no es sí te atacarán, sino cuando te ataca-rán, y si la empresa será capaz de detec-tarlo en un tiempo ajustado; actualmente, según un informe de Fujitsu, el tiempo que tarda una empresa en darse cuenta de que

alguien ha penetrado en sus sistemas su-pera los 160 días.

“Es muy posible que se produzcan bre-chas de seguridad”, comenta el experto analista de Delphos, “saber qué hacer cuando esto suceda es el siguiente paso en la evolución del CSO y una contribución de-cisiva para construir empresas resilentes”.



CSO ESPAÑA

MAYO 2016 | CSO

A FONDO

Un futuro de oro… para los que lleganDada la importancia que ha cobrado la seguridad en todas las organizaciones, se ve cómo las empresas han pasado de solicitar el perfil CSO de forma ocasional a incrementar su demanda y dotarse de presupuestos relevantes para contratar-los y retenerlos.

“Este rol está progresivamente adqui-riendo una mayor relevancia dentro de las organizaciones”, explica José Antonio Lorenzo. “Estamos observando cómo los nuevos directores de Seguridad están de-jando de depender de los responsables de Tecnología o CTO para pasar a depen-der directamente del CIO e incluso, en algunos casos todavía excepcionales, evo-lucionando hacia el nuevo concepto de Chief Risk Officer (CRO) reportando direc-tamente al CEO de la compañía o a su co-mité de dirección”.

Es un ascenso imparable que se enfrenta a la dificultad actual de encontrar miem-bros formados que sean capaces de enten-der todos los riesgos que vive una empre-sa; en el sector de ciberseguridad hay una escasez de profesionales formados debido al bajo interés de los estudiantes de aven-turarse en esta carrera.

Hay iniciativas que buscan promover esta idea en las aulas, aunque según el estudio “Educación Online: el catalizador de la re-forma educativa”, elaborado por el MIT, los profesores no promueven este camino en-tre el alumnado para que éste, sin tener en su imaginario la posibilidad de la ciberse-guridad, se centre en formación y carreras más conocidas (incluso aunque tengan me-nos futuro).

‘Spain is different?’En materia tecnológica EE.UU., el Reino Unido o Alemania siempre han ido por delante de España, aunque se trata de una tendencia que se está corrigiendo; las grandes empresas ya están invirtien-

do en el CSO, pero las pequeñas y me-dianas todavía se contienen: no es lo mismo un gasto así de importante para una gran compañía que para una pyme.

Aun así, el dinero no es el único freno, existe una tendencia que disuade todavía más a las organizaciones más pequeñas: es habitual que las compañías contraten a un experto con el objetivo de formarlo y convertirlo en CSO; sin embargo, después de una importante inversión en el profesio-nal, otras compañías pueden ofrecerle un sueldo más alto y acaba abandonando la empresa por lo general sin haber amorti-zado el gasto en formación.

“Cada vez más estamos viendo que las empresas españolas están abordando la

transformación de la seguridad tradicional, reactiva y perimetral, hacia el nuevo con-cepto de seguridad: proactiva y predictiva”, comenta Lorenzo de IDC.

“Sí es verdad que en las empresas más grandes es donde estamos viendo de for-ma más generalizada la trasformación del rol del responsable de seguridad, en su acepción tradicional, hacia el nuevo role del CISO (también conocido, entre otros acrónimos como CSO o CRO)”, con-tinúa Lorenzo. Para el experto es una cuestión de tiempo que progresivamente se generalice en España esta transforma-ción de la seguridad; y no solo en la gran empresa, sino también en la pequeña y mediana. CSO

El sueldo de un CSO“La banda salarial en la que se mueven los CISO depende del tamaño de la com-pañía, pero podemos decir que oscila de media entre los 70.000 y 125.000 Euros. La importancia de la seguridad y la difi-cultad de encontrar y retener a estos pro-fesionales, están empujando hacia arriba esta banda salarial”, comenta José Antonio Lorenzo, director general de IDC España.



CSO ESPAÑA

MAYO 2016 | CSO

EVENTOS

Mario Moreno, Viena .-

F5, del rendimiento de las aplicaciones a su securizaciónDUR ANTE LA CELEBR ACIÓN DEL EVENTO AGILITY 2016 CELEBR ADO EN VIENA,

LA COMPAÑÍA HA AÑADIDO A SU ESTR ATEGIA UN PASO MÁS EN EL MUNDO DE

LAS APLICACIONES: SECURIZARLAS.



http://bit.ly/Ciberseguridad_BCN

CSO ESPAÑAEVENTOS

MAYO 2016 | CSO

Mjorar la orquestación, la gestión y, sobre todo, la seguridad de las aplicaciones. F5 Networks tiene clara

su estrategia: cumplir tales premisas para afianzarse en el sector. La compa-ñía, que proporciona soporte a las or-ganizaciones que implementan arqui-tecturas de TI híbrida y cloud, ha realizado su puesta a punto en Viena (Austria), durante la celebración del Agility 2016 (17 y 18 de mayo), evento en el que han presentado nuevos pro-ductos y formatos. Si en su día, el mer-cado tradicional de F5 eran los balan-ceadores (Applications Contents Delivery), ahora ve el momento de con-solidar otras tecnologías no solo basa-das en asegurar la disponibilidad y la rapidez de las aplicaciones, sino en se-curizarlas. “Estamos haciendo una gran inversión en este aspecto”, asegura Ju-lian Eames vicepresidente ejecutivo y COO de F5 Networks.

Y, por supuesto, desde la compañía han aprovechado para hacer gala de salud competitiva y de presumir de alianzas clave como las de Cisco, VMwa-re o HPE. Éstas garantizan la marca y el

soporte, además de ofrecer apoyo co-mercial. “Tenemos acuerdos económi-cos que se basan en un quid pro quo. Notamos su importancia y actividad”, afirma Eames. Y, de buena salud, bue-

nos números. “En 2015 obtuvimos una cuota de mercado del 49%, facturamos 1.900 millones de dólares y operamos en 32 países”, explicó John McAdam, CEO y presidente de F5 Networks.

De este modo, la nueva estrategia cor-porativa se centra en expandir el tama-ño del mercado ADC, capturar la opor-tunidad en el segmento de cloud híbrida, extender sus herramientas, como la



CSO ESPAÑA

MAYO 2016 | CSO

EVENTOS

plataforma Silverline o proporcionar so-luciones de protección de identidad y acceso en las aplicaciones. Con todo esto, un lema fue propagado por los miembros de la empresa durante los dos días de celebración de la conferen-cia: “aprovechar la ocasión”. “Por ejem-plo, el tráfico global en la nube se cua-driplicará en 2019, y el 50% de las aplicaciones del 67% de las empresas estarán alojadas en cloud para finales de este año”, dijo Lizzie-Cohen Laum, vice-

presidenta sénior de ventas en EMEA. El cloud computing es tan buena oportuni-dad como reto y preocupación crecien-te en cuanto a la seguridad. Y, los clien-tes no confían en las organizaciones a la hora de proteger su privacidad.

Ofrecer seguridad a clientes insatisfechosEn este nuevo segmento al que se ha acercado, F5 ha lanzado varias soluciones ideadas para resolver deficiencias en la protección de aplicaciones críticas y re-

forzar las defensas. El objetivo es simpli-ficar y buscar modelos comerciales que hagan que la tecnología sea más accesi-ble apostando por servicios gestionados. “Estamos empujando productos como el WAF (Web Application Firewall), que es un sistema que se preocupa de inves-tigar a los usuarios, cómo interactúan con la aplicación para evitar que intenten contaminarla y sacar las bases de datos”, asevera Álex López, country manager de F5 Networks para España y Portugal. Así,

La compañía está apostando fuerte por la tecnología WAF (Web Application Firewall)



CSO ESPAÑA

MAYO 2016 | CSO

EVENTOS

la compañía ofrece visibilidad dentro de conexiones WebSocket HTML 5 para una amplia protección de políticas.

Entre las mejoras en este segmento, el BIG-IP 12.1 optimiza la defensa de apli-caciones e incluye métodos propios y personalizables de detección de bots, proporcionando análisis detallados y un amplio control de dispositivos ID. Ade-más, BIG-IP ASM acelera la lista negra de direcciones IP maliciosas en el hard-ware a tasas elevadas para amenazas en la capa siete, proporcionando cober-tura hasta que estas listas se actualizan. Por último, la actualización de BIG-IP Advanced Firewall Manager mitiga ata-ques en capas 3-7 en entornos ISP, y controla las acciones iniciadas por el usuario en el canal SSH con la aplicación de una política personalizada.

Asimismo, el lanzamiento de estas so-luciones está apoyado por una encuesta que ha elaborado la compañía y que pone de relieve como los consumidores de EMEA no tienen claras sus priorida-des de cara a la privacidad y la seguri-dad. El 75% de los clientes no tienen confianza en las empresas de marketing ni en los ‘social media’ en cuanto a la protección de sus datos; sin embargo,

los consumidores están compartiendo más información en las redes que nun-ca. Además, el 88% de los preguntados creen que las compañías deben mejorar las tecnologías de autenticación para una mayor seguridad. La encuesta, en la que no han tenido en cuenta a los consumidores españoles, refleja cómo el 43% de éstos está de acuerdo en que las empresas privadas puedan facilitar el acceso a dispositivos a las organiza-ciones gubernamentales, y el 21% pien-san que es el propio usuario quien debe ser responsable de protegerse contra las amenazas cibernéticas . Sin duda, se trata de datos que muestran todo el ca-mino que queda por hacer para los de-sarrolladores de ciberseguridad.

Gestión y orquestaciónEl mundo cloud ha sido la otra gran ten-dencia del evento. Las aplicaciones en la nube ofrecen muchos retos, y, la gestión y la orquestación son las otras dos gran-des propuestas de F5. Por ello, dentro de las soluciones ya señaladas, el BIG-IP 12.1 proporciona servicios de aplicación con integración en la nube pública y políticas de seguridad avanzada en entornos de nube híbrida y on-premises. Además, BIG-

IQ Centralized Management 5.0 aporta gestión ampliada, con escalabilidad y ren-dimientos optimizados. Por último, iWor-kflow 2.0 es la plataforma que permite la orquestación de servicios de la com-pañía con soluciones SDN, tales como Cisco ACI y VMware NSX, así como esce-

narios de implementación continuos mediante la utilización de herramientas DevOps. “Ya en los últimos 18 meses se empezó a fraguar el cambio en el mun-do IT. Nos estamos preparando para las nuevas demandas de los clientes”, apostilla Eames. CSO

Si el mercado de F5 se basaba en los balanceadores, ahora apuesta también por la seguridad de las aplicaciones



CSO ESPAÑA

MAYO 2016 | CSO

EVENTOS

El compromiso de los altos directivos favorece las inversiones en ciberseguridadIMPLANTAR UNA ESTR ATEGIA DE SEGURIDAD DE EXTREMO A EXTREMO REPRESENTA UN RETO PAR A LOS CIO EN UN MUNDO CADA VEZ MÁS MÓVIL Y

CONECTADO. SOBRE ELLO SE DEBATIÓ EN UNA MESA REDONDA ORGANIZADA POR COMPUTERWORLD.

Marga Verdú



http://bit.ly/MR_proteccion_datos

CSO ESPAÑA

MAYO 2016 | CSO

EVENTOS

Implantar una estrategia de segu-ridad de extremo a extremo re-presenta un reto para los CIO en un mundo cada vez más móvil y conectado. Monitorizar los inten-

tos de intrusión y los lugares del mun-do desde donde se producen es una tarea ingente porque… ¿qué porcen-taje de las amenazas que se llevan a cabo a diario somos capaces de moni-torizar? La realidad nos muestra que todos estamos expuestos, y que nos preocupa lo que no podemos ver.

En el altamente competitivo entorno corporativo actual, las compañías po-nen a prueba sus capacidades de ayu-da a las empresas en su recorrido hacia la Transformación Digital ofreciendo servicios innovadores de alta capaci-dad y rendimiento en los que los datos se transforman en el núcleo del nego-cio, haciéndose cada vez más acuciante la necesidad de proteger dicha infor-mación.

Algunos indicadores proporcionan una idea de la magnitud del problema al que se enfrentan las grandes em-presas: 205 días es el tiempo medio que éstas tardan en identificar una in-fracción, el 43% de las organizaciones

no cuenta con un plan de respuesta a incidentes, el 69% de los accidentes se detecta por parte de terceros, y cada vulnerabilidad cuesta a las empresas tiempo, dinero y reputación de marca. Con el propósito de hacer frente a es-tos nuevos desafíos, expertos en ma-teria de protección de la información señalan a los CIO y CISO como los ar-tífices que han de dirigir un estrategia de seguridad basada en metodologías que proporcionen respuestas, estable-ciendo un plan de defensa dinámica y sostenible basada en tecnologías que garanticen la seguridad integral de da-tos, redes y aplicaciones, y dotando de sistemas y políticas corporativas que aseguren una protección continua y de extremo a extremo.

Cambio de paradigmaConsciente de la cambiante realidad que tiene lugar en el terreno de las amenazas tecnológicas, Ángel Pérez Beumala, gerente de organización y seguridad de la información de Aber-tis Autopistas, afirmaba que a las em-presas, en general, les preocupa la seguridad de los datos, pero se en-cuentran inmersas todavía en un ejer-

Ramón Serres, CISO de Laboratorios Almirall.

Ángel Pérez Beumala, gerente de organización y seguridad de la información de Abertis Autopistas.

“Antes la seguridad se aplicaba a temas

físicos; ahora se tiende a proteger los

activos lógicos”

“En el sector Farma tenemos nuestro propio mapa de riesgos, y la seguridad que afecta a estos la estamos

planteando como una ventaja competitiva”



CSO ESPAÑA

MAYO 2016 | CSO

EVENTOS

cicio de comprensión. “En el pano-rama de la seguridad de los datos en sistemas y redes de movilidad predominan dos tipos de modelos tecnológicos: el perfil de compañía fuerte frente a otro perfil que de-nominamos como ‘no fuerte’. Al mis-mo tiempo, en el ecosistema tecno-lógico, se está dando un cambio de paradigma: si antes la seguridad se aplicaba a temas físicos, ahora se tiende a proteger los activos lógicos y la parte virtual de las personas. Se habla de nativos digitales, mientras que nosotros (los de más edad) so-mos inmigrantes digitales y, en este sentido, creo que tenemos un reto importante”.

Ramón Serres, CISO de Laborato-rios Almirall, hacía referencia a que riesgo y seguridad son dos concep-tos que van muy unidos, al tiempo que señalaba que Almirall presenta la misma problemática de seguri-dad que tiene lugar en el sector far-macológico en general. “En el sec-tor Farma tenemos nuestro propio mapa de riesgos, y la seguridad que afecta a dichos riesgos la estamos planteando como una ventaja com-

petitiva. Esto es especialmente re-levante en las iniciativas de trans-formación digital”. Respecto a la labor del CISO, destacó que ésta “consiste en proteger, no sólo a tra-vés de soluciones tecnológicas, sino logrando una influencia sobre la propia cultura de la empresa, trans-formándola en una compañía sen-sibilizada a todos los niveles de la Organización”.

El usuario es clavePartiendo de una perspectiva más centrada en la seguridad desde el punto de vista del usuario, Olga Sán-chez Campoy, responsable de gestión de seguridad informática de Caixa-Bank, apuntaba a la formación de los empleados como un tema clave en aspectos de protección. “Segui-mos apostando por temas tecnoló-gi c o s y , e n t e m a s r e l a c i o n a d o s con la d ig i ta l izac ión, hay que te-n e r c a d a v e z m á s e n c u e n t a a l usuar io que t raba ja con d ichos s istemas. En CaixaBank estamos inmersos en un proceso de digitalización bancario, por lo que hemos de tener un equipo preparado con procesos de

Xavier Gatius, director general del área de seguridad TIC de la Generalitat de Catalunya.

Olga Sánchez Campoy, responsable de gestión de seguridad informática de CaixaBank.

“Cada día el equipo directivo está más concienciado de la importancia de la seguridad en la

empresa”

“Hemos de plantear la protección desde un punto de vista

holístico”



CSO ESPAÑA

MAYO 2016 | CSO

EVENTOS

formación constantes para estos equi-pos de trabajo”, señaló esta respon-sable. Sánchez se congratula al mismo tiempo por el gran apoyo que le brin-da la organización. “Cada día tenemos más apoyo del equipo directivo, quie-nes tienen cada vez una mayor con-cienciación de la importancia de la seguridad en la empresa. Mi empresa ya no es una compañía cerrada. Aho-ra, está todo enlazado de tal manera que no se sabe dónde empieza la se-guridad”.

Apelando a una cultura de seguridad fundamentada en un conjunto de há-bitos y ámbitos a abordar, Xavier Ga-tius, director general del área de segu-r idad TIC de la General i tat de Catalunya, apuntaba que “los retos en seguridad TI ahora pasan por que la ciberseguridad sea tratada al más alto nivel, como ocurre con los temas fi-nancieros y fiscales”. Para Gatius, avanzar en seguridad pasa por olvidar el concepto de nativos digitales. “He-mos de dejar de lado este concepto ya que somos plenos desconocedores de las interfaces que usamos cada día, y la falta de seguridad viene de aquí. He-mos de afrontar un nuevo paradigma

de seguridad con estrategias diferen-tes, en las que hemos de plantear la protección desde un punto de vista holístico, y menos centrado en formas de protección que aportan un mayor riesgo por tener muchos flancos que cubrir”. Llegado a este punto, Gatius quiso lanzar un mensaje a los respon-sables de datos; en especial, a aque-llos que manejan información de ciu-dadanos y servicios públicos: “En la actualidad hay que abordar la ciberse-guridad al más alto nivel. El conoci-miento y la visión es imprescindible, y cuesta convencer de ello a muchos responsables que toman decisiones en las organizaciones. Una iniciativa política de ciberseguridad no se desa-rrolla para que actúe como un condi-cionante inhibidor, sino que es un fac-tor competitivo a nivel de producto. La seguridad no ha de ser financiada como un coste estructural sino como una aportación de valor”. Desde la perspectiva de la concienciación a las empresas en materia de seguridad, el director del Área de seguridad de la Generalitat apuesta por un impulsar un marco normativo. “Necesitamos un marco regulatorio que obligue a las

Eduardo Di Monte, director de coordinación y continuidad de negocio de Suez.

Carles Travé, responsable de seguridad y sistemas de información TI de RACC.

“Una política de seguridad basada

en la concienciación y educación de los

usuarios resulta fundamental”

“Las soluciones de seguridad en la nube son poco maduras;

lo mismo ocurre con IoT”



CSO ESPAÑA

MAYO 2016 | CSO

EVENTOS

empresas a hacer público el ataque en, como máximo, 72 horas después de haberse producido una brecha”.

Más concienciaciónCarles Travé, responsable de seguridad y sistemas de información TI de RACC –una organización de asistencia a ve-hículos y conductores en toda Catalu-ña y Baleares– hacía alusión a una política de seguridad de la compañía fundamentada en la formación de los empleados, y en un control de la se-guridad gestionada por terceros; en este caso por Hewlett-Packard Enter-prise. “En políticas relacionadas con la ciberseguridad, en RACC hemos puesto en práctica una política enca-minada a concienciar y a formar a los usuarios. Con más de 20 delegaciones en Cataluña y Baleares y 800.000 so-cios, tenemos partners que nos ayudan en seguridad en un contexto en el que también presentamos una granu-laridad importante con 3000 provee-dores”, señaló el responsable de se-guridad TI de RACC, a la vez que afirmó que, en el tema relacionado con los riesgos, la compañía ha elaborado un mapa de riesgos con la finalidad de

focalizarlos y ser más eficientes. No obstante, Travé reconoció que todos (empresas y usuarios) estamos expues-tos, por lo que una política de seguri-dad basada en la concienciación y educación de los usuarios en materia de protección resulta fundamental. “Los empleados suelen estar poco con-cienciados en seguridad, por lo que es necesario realizar una formación presencial en ciberseguridad para avanzar en aspectos relacionados con la ingeniería social”.

Seguridad como un elemento holístico“Vemos la seguridad como algo integral entre componente físicos y lógicos”, afirmó Eduardo di Monte, director de coordinación y continuidad de negocio de Suez, una compañía que trabaja en el sector de las emergencias médicas, quien considera la seguridad “como un elemento holístico [al igual que Xa-vier Gatius de la Generalitat de Cata-lunya] al que hay que dotar de com-ponentes que aseguren la continuidad de las repuestas frente a incidentes”. Di Monte ponía de manifiesto que dis-poner de elementos de ciberseguridad

Vesku Turtia, territory manager de FireEye en Iberia.

Karen Gaines, directora de consulting de seguridad y responsable de servicios de seguridad de Hewlett Packard Enterprise.

“La seguridad, en sí misma, constituye

un proceso de transformación

digital”

“Recalcamos la proactividad y la detección de la

amenaza antes de que penetre en la

infraestructura”



CSO ESPAÑA

MAYO 2016 | CSO

EVENTOS

que aseguren la continuidad del ne-gocio requiere de fuertes inversiones a nivel de grandes empresas; no obs-tante: “A día de hoy es necesario rea-lizar mayores inversiones en los mé-todos de detección de anomalías, a través de líneas de trabajo específicas”, afirmaba Eduardo Di Monte. Para este experto, la fusión de las seguridades física y lógica responde a una proxi-midad integral en materia de protec-ción. Asimismo, el director de coordi-nación y continuidad de negocio de Suez formula una petición a las em-presas de desarrollo IT relacionada con la seguridad en la nube: “Las so-luciones de seguridad en cloud son poco maduras. Existen proyectos que no han tenido en cuenta la seguridad, y lo mismo ocurre con IoT; dos eco-sistemas Ti en los que no existe un compromiso mínimo en materia de ciberseguridad.

Tras haber culminado con éxito un proceso de reestructuración que ha du-rado un año, tanto a nivel de organiza-ción como de líneas de productos, Ka-ren Gaines, directora de consulting de seguridad y responsable de servicios de seguridad de Hewlett Packard Enter-

prise, exponía cómo la organización aborda el tema de la ciberseguridad. “En HPE nos hemos organizado en cua-tro áreas de transformación digital en materia de seguridad: la primera de ellas, se orienta a la protección de la seguridad como parte importante den-tro de este proceso de digitalización, dado que la seguridad en sí constituye una transformación. En segundo lugar, realizamos servicios de consultoría y concienciación a los usuarios. En este sentido tenemos que proteger a las empresas, pero también asegurar la potencia computacional de los siste-mas”. Una tercera línea de actuación en política de seguridad de HPE se centra en la formación, de acuerdo con Gai-nes, para quien el elemento formativo está muy ligado con el de consultoría. “Todos los servicios de advisory son crí-ticos con el objetivo que ayudar a los clientes a saber qué está pasando en su infraestructura”. La cuarta área de seguridad en HPE está centrada en po-tenciar los servicios de consultoría en ciberseguridad, con el propósito de que las empresas, a las que les propor-cionamos este tipo de servicios, lleguen a entender el nivel en el que se encuen-

tran ellos mismos en materia de pro-tección TI. Esta directiva señala que HPE trabaja en líneas multidisciplinares en materia de ciberseguridad. “Tene-mos que abordar todas las tendencias diferentes con el objetivo de integrar los procesos más adecuados”.

Hacia una seguridad más inteligenteExpertos en el desarrollo de soluciones de ciberseguridad como, Vesku Turtia, territory manager de FireEye en Iberia, apelan a una protección frente ame-nazas basada en metodologías de de-tección a las que hay que añadir inte-ligencia. Turtia señala que la compañía de seguridad lleva 12 trabajando en la optimización de un productos de seguridad que sean proactivos, en lu-gar de reactivos. “Recalcamos la tarea de la proactividad y la detección de la amenaza antes de que penetre en la infraestructura; en lugar de actuar cuando la amenaza ya está dentro. Los elementos reactivos no pueden ver los ataques antes de que se produzcan”. Este responsable se hacía eco del acuer-do que FireEye ha suscrito con HPE, en virtud del cual ambas organizacio-

nes están trabajando de manera con-junta en sistemas de seguridad proac-tivos. “Estamos desarrollando sistemas de ciberseguridad que van a permitir detectar, prevenir y responder, pero desde una perspectiva diferente. Hay que tener en cuenta que hay nuevas amenazas que están creciendo que requieren de nuevos mecanismos de detección”, señala Turtia, al tiempo que destaca: “Cuando un atacante quiere entrar en la infraestructura TI de una empresa tarda de media 3 días en conseguir introducir el malware en el sistema”, asegura el responsable de FireEye en Iberia, al tiempo que ase-guró que han añadido inteligencia “a los sistemas de detección proactivos”.

Para ello, Turtia explicó que los in-vestigadores de la compañía realizan pruebas con máquinas virtuales pro-pietarias que responden inmediata-mente después de que el ataque se ha producido. “Lo importante aquí está en la rapidez de respuesta del sistema en la detección de la amenaza. De esta manera, conseguimos reducir a minu-tos los 205 días de promedio que sue-le tardar una organización en detectar y reaccionar frente a un ataque”. CSO



CSO ESPAÑA

MAYO 2016 | CSO

EL DEPARTAMENTO DE SEGURIDAD NACIONAL DE LOS ESTADOS

UNIDOS (DHS) HA ANUNCIADO TECNOLOGÍAS DE CIBERSEGURIDAD

DESARROLLADAS CON SUBVENCIONES PARA ENCONTRAR EMPRESAS

PRIVADAS QUE LAS CONVIERTAN EN PRODUCTOS COMERCIALES. LA

AGENCIA ESPERA DAR UN USO PRÁCTICO A LA INVERSIÓN DE MIL

MILLONES DE DÓLARES.

Ocho tecnologías de ciberseguridad que el Gobierno estadounidense está tratando de comercializar

Tim Greene

CIBERSEGURIDAD



CSO ESPAÑA

MAYO 2016 | CSO

El DHS (Departamento de Segu-ridad Nacional de los Estados Unidos) está dando a conocer ocho nuevas tecnologías de ciberseguridad desarrolladas

con subvenciones federales para encon-trar empresas privadas que las conviertan en productos comerciales. En su cuarta Cyber Security Division Transition to Prac-tice Guide, el DHS describe estas ocho tecnologías que abarcan desde herra-mientas de análisis de malware hasta pla-taformas de análisis de comportamiento y software de aleatorización para prote-ger aplicaciones de Windows.

El programa Transition to Practice del DHS identifica investigaciones de ciberse-guridad que están listas para pruebas pi-loto o para ser desarrolladas en produc-tos comerciales. En los cuatro años que lleva en marcha el programa se han con-cedido licencias de cuatro de las 24 tecno-logías desarrolladas a entidades comer-ciales y una se liberó como código abierto.

El programa TTP intenta dar un uso prác-tico a la ciberinvestigación no clasificada. “El Gobierno federal gasta más de 1.000 millones de dólares al año en investigacio-nes de ciberseguridad no clasificadas”, afirma el informe. “Sin embargo, solo una

pequeña parte de esas investigaciones se llegan a integran en el mercado”.

He aquí una descripción de las ocho tec-nologías nuevas del informe de este año:

REnigmaEste software ejecuta malware en una máquina virtual y registra lo que hace para que pueda ser reproducido y ana-lizado detalladamente. La idea es ofre-cer a los investigadores la oportunidad de ver el malware en funcionamiento para que puedan entender en profun-didad qué hace y cómo. Permite a los investigadores evitar la ingeniería in-versa manual. El avance tecnológico clave, desarrollado por el Johns Hopkins Applied Physics Laboratory, es la re-producción y el registro en una má-quina virtual. Gracias a esto, los inves-tigadores pueden utilizar herramientas de análisis sobre el malware mientras se está ejecutando, y la tecnología an-tianálisis del malware no es capaz de detectarlo. “Por ejemplo”, explica el informe, “si una muestra de código malicioso libera datos encriptados en la red, un analista puede utilizar RE-nigma para retroceder a los datos de texto no encriptados en la memoria o

recuperar la clave de encriptación usa-da para la exfiltración”.

SocratesEsta plataforma de software busca au-tomáticamente patrones en conjuntos de datos, y puede determinar los que representan ciberamenazas. Trata de ofrecer tanto capacidades de análisis como de computación, una combinación de la que suelen carecer los analistas humanos.

La plataforma puede realizar análisis de datos no supervisados, buscando pa-trones que pueden revelar consecuen-cias futuras. Socrates se ha utilizado para estudiar los patrones de viaje de grupos grandes para descubrir a socios desconocidos de personas de interés, por ejemplo.

PcapDBEste es un sistema de base de datos de software que captura paquetes para analizar el tráfico de red organizando primero el tráfico de paquetes en flujos.

Sus creadores comparan su función con la de las cajas negras de registro de los aviones. “Pcap permite la reconstrucción de las transferencias de malware, las des-

cargas, los mensajes de control y coman-do y los datos exfiltrados”, explican.

La plataforma optimiza los datos captu-rados para que puedan ser almacenados en menos espacio de disco y acceder a ellos más rápidamente para analizarlos. Al eliminar las características innecesa-rias, PcaDB puede almacenar meses de datos de tráfico en discos SCSI conecta-dos en serie (SAS), una ventaja a la hora de investigar intrusiones. “Al investigar un incidente cibernético, es clave contar con el historial más largo posible”, escriben sus creadores.

REDUCEEsta es una herramienta de análisis de software para revelar relaciones entre muestras de malware y desarrollar firmas que puedan utilizarse para identificar amenazas. El software realiza un análisis estático en muestras de malware para identificar secciones de código similares que conectan las muestras con grupos de malware analizados con anterioridad. Esto permite inferir rápidamente quién escribió el malware nuevo y cuáles podrían ser sus características técnicas.

A diferencia de algunas herramientas comerciales que solo comparan dos

CIBERSEGURIDAD



http://bit.ly/entrev_javier_santos_kpmg

CSO ESPAÑA

MAYO 2016 | CSO

muestras de malware al mismo tiempo, REDUCE puede comparar varias muestras simultáneamente. Cuando descubre simi-litudes en los patrones de código las ex-pone junto a la información existente so-bre esos patrones.

Esta herramienta está diseñada para ser utilizada por profesionales de seguridad sin mucha experiencia en ingeniería inversa.

Dynamic Flow IsolationDFI aprovecha las interconexiones de-finidas por software para aplicar políti-cas de seguridad bajo demanda basadas en las necesidades empresariales o en el estado operativo actual. Esto se con-sigue activando, desactivando o limitan-do la velocidad de las comunicaciones entre los usuarios individuales y los servicios de red. Se puede hacer de for-ma automática o manual. El software toma conciencia del estado operativo de la red integrándola con dispositivos como servidores de autentificación y sistemas de detección de intrusos. Tam-bién se integra con controladores SDN para cambiar las conexiones de red ad-misibles en respuesta a los cambios de estado de la red. Esto permite poner en cuarentena máquinas individuales o

CIBERSEGURIDAD



CSO ESPAÑA

MAYO 2016 | CSO

grupos y bloquear ataques activos para que no lleguen a los recursos críticos.

El software incluye un núcleo de aplica-ción de políticas implementadas en el marco de controladores SDN para actua-lizar las reglas de acceso de los conmuta-dores de la red. Funciona con hardware SDN ya existente y se puede transferir de un controlador SDN a otro.

TRACERTimely Randomization Applied to Com-modity Executables at Runtime (TRACER) es un medio para alterar la distribución interna y los datos de código cerrado de aplicaciones de Windows como Ado-be Reader, Internet Explorer, Java y Flash.

Debido a que estas aplicaciones son cerradas y tienen datos estáticos y dis-posición interna, los adversarios pueden crear ataques que pueden ser efectivos a gran escala.

Al distribuir aleatoriamente los datos in-ternos confidenciales y su organización cada vez que sale algo de la aplicación, los atacantes no pueden preparar ataques efectivos contra ellos. Incluso aunque du-rante una salida de datos se filtre algún dato o distribución, la próxima vez la or-ganización será distinta.

De este modo, TRACER puede frustrar los ataques de control-secuestro contra estas aplicaciones de Windows. Se instala en cada máquina y no interfiere con el funcionamiento normal. El inconveniente es que aumenta el tiempo de ejecución en una media de un 12%.

Otros sistemas de aleatorización, como Address Space Layout Randomization, la aleatorización de código basada en el compilador o la aleatorización de conjun-tos de instrucciones, realizan asignacio-nes al azar una sola vez. Los atacantes pacientes pueden esperar a que se filtren datos de las aplicaciones para crear ata-ques efectivos.

FLOWEREl FLOW AnalyzER de red inspecciona los encabezamientos de los paquetes IP para recopilar datos sobre los flujos bidireccionales que se pueden utilizar para identificar el tráfico de base y los flujos anómalos para detectar posibles infracciones y amenazas internas.

Los datos, recogidos a través de peque-ños dispositivos en toda la red y en su perímetro, también pueden usadorse como recurso para realizar investigacio-nes forenses sobre los incidentes.

Desde 2010, FLOWER se ha desplegado en más de 100 redes gubernamentales y empresariales. Ha detectado y mitigado ataques coordinados y se ha utilizado para crear firmas de ataque.

SilentAlarmEsta plataforma analiza los comporta-mientos de red para identificar compor-tamientos maliciosos y detener ataques, incluyendo ataques de día cero para los que no hay firmas. Los eventos de red se envían a su motor de análisis desde los sen-

sores existentes. El motor incluye nodos de información, segmentos de análisis ajustados a ciertos tipos de comportamientos de red, como intentos SMTP exitosos o fallidos o co-nexiones a Internet fallidas. Basándose en el comportamiento histórico, cada evento nue-vo se caracteriza como normal o anómalo.

Estas caracterizaciones se envían a no-dos de hipótesis que determinan si el comportamiento observado indica una actividad maliciosa. Si se detecta una ac-tividad maliciosa, SilentAlarm puede en-viar una alerta o intervenir. CSO

CIBERSEGURIDAD



CSO ESPAÑA

MAYO 2016 | CSO

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Windows 10 Enterprise gana en seguridad

Cuando se trata de defensa en capas y herramientas de se-guridad, menos suele ser más, igual que más puede a veces ser menos. Una em-

presa media utiliza unos 75 productos de seguridad para proteger su red. Para los expertos en seguridad, esto implica mu-cho ruido, monitorización y pruebas.

Dentro de las evoluciones acometidas en la nueva versión de Windows 10 An-

niversary Update, cabe destacar las rela-cionadas con la autenticación del sistema y las diferentes modalidades permitidas para acceder al sistema. En este sentido, Microsoft Passport, implementado en la versión Enterprise, permite desplegar al-ternativas al log-in habitual basado en claves, con la ventaja de tratarse de sis-temas basados en la doble autenticación. Siempre que el dispositivo disponga del hardware apropiado, podemos recurrir

al uso de huellas dactilares, el reconoci-miento facial, el escáner de ojos, em-pleando para ello el lector de huellas o la cámara web frontal del portátil.

La tecnología Passport también sopor-ta el uso de teléfonos móviles como se-gundo factor de autenticación, de mane-ra que el usuario puede emplear un código que previamente ha recibido por mensaje en su teléfono, a modo de prue-ba de identidad. La finalidad no es otra

que garantizar inicios de sesión más se-guros y verificables. El uso de números de identificación personal o PIN, puede conjugarse con medidas de autentica-ción de las tecnologías de Hello o Pass-port, todo a gusto del usuario.

La versión Enterprise de Windows 10 también soporta la administración de credenciales ‘Credential Guard’, caracte-rística diseñada para aislar la informa-ción relacionada con las credenciales,

CON LA LLEGADA DE ANNIVERSARY UPDATE DE WINDOWS 10, LA VERSIÓN

ENTERPRISE REFUERZA SUS TECNOLOGÍAS EMPLEADAS EN EL ÁREA DE SEGURIDAD.

A CONTINUACIÓN, OFRECEMOS TODA UNA SERIE DE CARACTERÍSTICAS Y

FUNCIONES QUE SERÁN AÑADIDAS A LA VERSIÓN QUE PRONTO VERÁ LA LUZ,

COMO SON: PASSPORT, CREDENTIAL GUARD, DEVICE GUARD, BITLOCKER O EDP.

Alfonso Casas



CSO ESPAÑA

MAYO 2016 | CSO


para que solo el software con privilegios pueda acceder a dicha información. En-tre una de sus principales ventajas des-taca la posibilidad de que Windows y los programas, incluyendo los navegadores web, puedan compartirlas con otro or-denador o páginas web de forma segura. Si echamos un vistazo al administrador de credenciales, accesible desde el panel de control de Windows, encontraremos tanto credenciales asociadas a la web, como las del sistema operativo. Es posi-ble añadir credenciales basadas en cer-tificados, así como otras más genéricas, con posibilidad de editarla, eliminarla, o ver la última fecha de modificación por si sospecháramos de una modificación no autorizada.

Administración de dispositivosOtra de las nuevas características de Win-dows 10 Enterprise es la denominada ‘Device Guard’. Combina una serie de ca-

racterísticas de seguridad, tanto hardwa-re como software, relacionadas con la empresa para que configuradas conjun-tamente, puedan bloquear un dispositivo para que solo ejecute aplicaciones de confianza. Incluso en los casos en los que un atacante consiga controlar el ‘kernel’ de Windows, es mucho menos probable que pueda ejecutar código malicioso. El dispositivo se inicia con el arranque se-guro de UEFI (interfaz de firmware exten-sible universal) para que no puedan eje-cutarse rootkits de arranque. Junto al módulo de plataforma segura TPM pro-porciona un componente de hardware aislado que protege la información con-fidencial, como las credenciales del usua-rio y los certificados.

Para la mayoría de las organizaciones, la implementación de una funcionalidad específica de Device Guard dependerá del rol del dispositivo y de su usuario principal, con posibilidad de desplegar

Con la última actualización de Windows 10, BitLocker va a permitir cifrar espacios determinados del disco en lugar de el disco duro al completo

Microsoft abandona SHA-1 La encriptación SHA-1, utilizada en los navegadores Explorer 11 y Edge, pasa a mejor vida con la nueva versión de Windows 10. Microsoft ya ha fijado el calendario que utilizará para acabar con el soporte a los sitios web que utilizan certificados SHA-1, con el fin de poder controlar la seguridad de su tráfico, como parte de un plan para eliminar de la red los sistemas de encriptación débil. De este modo, tanto Edge como Internet Explorer dejarán de mostrar el icono del candado para los sitios que respon-den a un certificado SHA-1. Este icono señala que los bits que van y vienen entre el navegador y el sitio web están encriptados, y por lo tanto no son vulnerables al espionaje. Desde hace algún tiempo, los fabricantes de navegadores coinciden en des-tacar que los certificados SHA-1 son inseguros, ya que su encriptación no es muy robus-ta. Los cibercriminales pueden crear certificados SHA-1 falsos, que luego utilizan para hacer creer a los usuarios que un sitio web falsificado es real. Así, los navegadores de Microsoft no bloquearán los sitios señalados con un certificado SHA-1 hasta el 14 de febrero de 2017. Entre la eliminación del icono del candado de este verano y el año que viene, los usuarios podrán seguir navegando por estos sitios web aunque estén marca-dos como inseguros. Google y Mozilla también se han comprometido a dejar de dar soporte a SHA-1 para el 1 de enero de 2017, aunque ambos han comunicado que pre-tenden acelerar el proceso.

Tanto Edge como Internet Explorer dejarán de mostrar el icono del candado para los sitios que responden a un certificado SHA-1.



CSO ESPAÑA

MAYO 2016 | CSO

políticas de seguridad en función del de-partamento al que pertenezca el usuario o dispositivo.

Mejoras en BitLockerDebido al elevado número de portáti-les y dispositivos que son robados, y pensando en la protección de los datos almacenados en los mismos, Microsoft

sigue aplicando novedades en su so-lución de cifrado, también conocida como BitLocker. Junto a la función de cifrado de dispositivo, añadida en Win-dows 10 Enterprise, los administrado-res ahora disponen de una adminis-tración simplificada con mejoras en MBAM, facilitando las solicitudes de recuperación bajo un mismo portal de

autoservicio. La última versión del sis-tema operativo de Microsoft permite cifrar solo un espacio determinado, en lugar de cifrar una unidad de disco duro completa, reduciendo drásticamente los tiempos de cifrado y centrándose en las áreas que interesan. Todo ello a través de las mejoras introducidas en BitLocker. Windows 10 Enterprise

también soporta una opción de inicio de confianza especial, que utiliza la modalidad UEFI junto con la versión 2.3.1 (o versiones más recientes). En este tipo de entorno, la configuración del firmware está bloqueada para evitar la ejecución de otros sistemas opera-tivos, así como cambios no autorizados en la configuración UEFI. De esta forma


El uso de números de identificación personal o PIN, puede conjugarse con medidas de autenticación de las tecnologías de Hello o Passport, todo a gusto del usuario.

Device Guard combina una serie de características de seguridad relacionadas con la empresa para que sea posible bloquear un dispositivo y solo ejecute aplicaciones de confianza.



CSO ESPAÑA

MAYO 2016 | CSO


también podemos bloquear el inicio desde dispositivos externos como uni-dades flash USB. Esto evita que los rootkits y otros programas maliciosos puedan ejecutarse, así como las nuevas prácticas de los ransomwares que en-criptan la información del disco. Los administradores tienen la posibilidad de anular esta configuración median-te el uso de una contraseña especial.

Protección de datos empresariales EDPLos sistemas DLP están destinados a pro-teger información corporativa confiden-cial mediante el cifrado. No obstante, este software suele resultar un tanto invasivo para los usuarios. Windows 10 incluye la característica EDP (Enterprise Data Pro-tection) que ofrece funcionalidades de DLP, pero con opciones más flexibles. Actúa de manera que separa los datos y contenidos de la organización, propor-

cionando una instalación específica para entornos empresariales. Cuando se ha-bilita, actúa para evitar la divulgación de datos accidental o maliciosa a través de aplicaciones o servicios como el correo electrónico, las redes sociales, o servicios basados en la nube. Está diseñado para prevenir la fuga de datos, especialmente en dispositivos que son propiedad de los empleados, tales como tabletas o teléfo-

nos inteligentes, bajo el contexto de uso de BYOD. De alguna manera, también los datos de los usuarios se aíslan de la parte corporativa, bajo el contexto de dispositivo personal, para no tener que buscar res-ponsabilidades en los empleados. De cara al administrador TI, EDP confiere la capa-cidad de borrar los datos corporativos en los dispositivos de forma remota, sin llegar a tocar los personales. El acceso es audi-tado y las cuestiones y las medidas aplica-das pueden ser monitorizadas y rastreadas.

Se integra con las principales plataformas de gestión existentes, como (MDM) para móviles, Microsoft InTune, o SCCM.

Por último, mencionar el servicio cloud Windows Device Health Attestation, que permite que las organizaciones puedan proteger los datos y la propiedad inte-lectual de los dispositivos utilizando di-

cha aplicación. Funciona con InTune y otros servicios MDM y ofrece una verifi-cación sobre el estado de los dispositi-vos que intentan acceder a la red corpo-rativa de la organización. Evita que los dispositivos poco fiables puedan obte-ner acceso a los recursos de la organi-zación. CSO

Windows 10 incluye la característica EDP (Enterprise Data Protection) que ofrece funcionalidades de DLP, pero con opciones más flexibles.

EDP confiere la capacidad de borrar los datos corporativos en los dispositivos de forma remota sin tocar los personales



CSO ESPAÑA

MAYO 2016 | CSO


¿Estamos asistiendo al fin de las contraseñas?

El pasado 5 de mayo se celebró la tercera edición del Día Mun-dial de la Contraseña. Esta jor-nada, al contrario de lo que se pueda pensar, no es síntoma

de salud de este tipo de tecnologías. En los últimos años ha crecido el debate y la sen-sación entre los expertos de que los siste-mas de autenticación tradicionales pue-den terminar desapareciendo. Y lo harían no solo desplazados por nuevas tecnolo-

gías sustitutorias, sino por la necesidad de cambiar una herramienta que proporcio-na, a partes iguales, inseguridad y pereza para los usuarios. Es más, varios estudios afirman que una de cada tres personas aún mantiene sus dispositivos móviles li-bres de códigos de desbloqueo.

Por añadido, los usuarios siguen mante-niendo los mismos vicios que antaño: uti-lizar una misma credencial para múltiples de aplicaciones diferentes, palabras sim-

TODOS LOS INDICIOS APUNTAN A QUE LOS MÉTODOS TRADICIONALES DE

AUTENTICACIÓN VAN A ACABAR POR DESAPARECER. SIN EMBARGO, AÚN ESTÁN

MUY VIVOS Y SIGNIFICAN UNA PUERTA ABIERTA PARA LOS HACKERS. YA SEA POR

LO OBSOLETO DE LA TECNOLOGÍA O POR LAS PRÁCTICAS DE LOS USUARIOS.

ABRIMOS DEBATE CON VARIOS EXPERTOS DEL SECTOR PARA ESCLARECER EL

FUTURO DE LA SEGURIDAD EN NUESTROS DISPOSITIVOS.

Mario Moreno



CSO ESPAÑA

MAYO 2016 | CSO


ples y cortas relacionadas con su vida pri-vada… Y, por descontado, las empresas dedicadas a la seguridad informática, como cada año por este día, vuelven a lan-zar los mismos consejos para concienciar de la importancia de tener una buena pro-tección online. Si la contraseña perfecta debe tener tener más de diez caracteres combinando todo tipo de símbolos, acu-mular varias credenciales, una por cada

servicio o aplicación, y ser susceptible al cambio si hay sospecha de intromisión; ¿por qué se sigue haciendo caso omiso? En un principio, esta receta resulta relati-vamente sencilla de elaborar.

Cada vez más y más tareas cotidianas se hacen a través de la red. Un auge apo-yado, también, por la explosión del Inter-net de las Cosas. Por lo tanto, la proble-mática se hace más grande y nuevas

soluciones son cada vez más necesarias en estos momentos. Pero, primero ha-bría que encontrar respuesta para la gran pregunta que acecha al sector:

¿Van a desaparecer las contraseñas?Francisco Sancho, responsable de pro-ducto, consumo y movilidad de Intel Security: “Ojalá. Pero, creo que hay un

problema histórico. Hay aplicaciones que están diseñadas sí o sí para utilizar claves como mecanismo de autentica-ción. Es una realidad que van a seguir existiendo por bastantes años”.

Fernando Maldonado, analista princi-pal de Delfos Research: “Hace diez años Bill Gates ya auguraba su fin al identifi-carlas como un eslabón débil de la segu-ridad. Y éste no acaba de llegar”.

Francisco Sancho, responsable de producto, consumo y movilidad de Intel Security.

Fernando Maldonado, analista principal de Delfos Research.

José Antonio Lorenzo, director general de IDC España.

Héctor Sánchez, director de tecnología de Microsoft Ibérica.



CSO ESPAÑA

MAYO 2016 | CSO


José Antonio Lorenzo, director general de IDC España: “Es necesario reempla-zarlas. La cantidad de información sen-sible que se maneja a través de cualquier dispositivo hace que los sistemas tradi-cionales ya no sean lo suficientemente sólidos. Además, muchas empresas ya han iniciado su movimiento a cloud. Por tanto, es necesario que las medidas se orienten tanto al acceso al terminal como a la información que se obtiene de él”.

F. M.: “Sin embargo, si continúan resis-tiendo por algo será. Hay dos cosas que las mantienen atractivas respecto a otros sistemas como los biométricos. Por un lado, si se produce un robo de las mismas se pueden cambiar con facilidad y; por

otro, no impactan en nuestra privacidad”.Héctor Sánchez, director de tecnología

de Microsoft Ibérica: “Cada persona tiene diferentes preferencias y no debemos simplificar sobre el futuro de las contra-

señas. En la actualidad, no podemos sa-ber si los usuarios seguirán usándolas, pero lo que sí debemos hacer es ofrecer sistemas alternativos a aquellos que no se sientan del todo cómodos o seguros introduciendo un PIN en sus dispositivos”.

¿Cuáles son las tecnologías que pueden sustituirlas?

F.M.: “Desde 2013 los smartphones ya ofrecen sistemas biométricos como al-ternativa, utilizando la huella dactilar, reconocimiento facial, lectura del iris… Hoy en día estas técnicas se encuentran también en coches o cajeros”.

J.A.L.: “Siguen sin ser suficientes. No solo hay que proteger la información

que se almacena, sino que hay que evitar que se envíe a destinos no seguros. En los últimos tiempos se está generando la utilización, dentro de las plataformas MDM, de Políticas de Prevención de Pér-

dida de Datos (DLP), que permiten ga-rantizar que toda o parte de la informa-ción esencial almacenada en un dispositivo no se pueda enviar de forma manual hacia localizaciones que no sean,

de acuerdo a las políticas de cada com-pañía, 100% seguras”.

H.S.: “Los métodos de verificación biométrica añaden nuevas formas de asegurar nuestros equipos y creaciones.

Las soluciones de las empresas La propuesta de MicrosoftEl gigante tecnológico cuenta con Windows Hello, una nueva forma de acceder a dis-positivos y servicios a través de la verificación de identidades usando un único atribu-to físico gracias a sensores especializados. “Con el hardware adecuado, solo necesita-mos mostrar al dispositivo nuestra cara o iris, o usar nuestra huella dactilar para desbloquearlo”, asegura Héctor Sánchez, director de tecnología de Microsoft Ibérica. “Además, Microsoft hace uso de módulos TPM (Trusted Platform Module) en Windows 10 y esto nos permite añadir importantes medidas de protección basadas en cripto-grafía durante el proceso de identificación de los usuarios”.

Intel y True KeyLa tecnología de Intel en este aspecto se llama True Key. Se trata de una plataforma que ya lanzaron hace un año y medio y que cubre tanto el enfoque de los sistemas de contraseñas tradicionales y el de la biometría. “Simplificamos lo que tiene que hacer el usuario para acceder al dispositivo a la vez que almacenamos contraseñas robustas. El producto almacena todas las claves en un repositorio único y el usuario, cuando quiera acceder a un servicio, simplemente reconociendo algo de su físico obtiene esa contraseña y hace login automático. Esto nos permite guardar contraseñas muy com-plejas y seguras sin necesidad de recordarlas”, explica Francisco Sancho, responsable de producto, consumo y movilidad de Intel Security.

Los usuarios siguen, año tras año, cometiendo los mismos errores al gestionar sus claves personales



CSO ESPAÑA

MAYO 2016 | CSO


Sin embargo, para acciones o servicios que requieran un extra de seguridad se pueden combinar ambos tipos de servi-cios, aplicando la seguridad multi factor al necesitar una contraseña y la autenti-cación biométrica. El uso de algo que se tiene (aplicación, teléfono), mas algo que se sabe (clave), y algo que se es (biome-tría), nos proporciona mecanismos más robustos y fiables”.

F.M.: “Además, los sistemas biométricos son más difíciles de hackear. Pero, ¡ojo!, una vez hackeados la crisis es también más difícil de gestionar, por no hablar de que con su robo el usuario percibirá que le han quitado un pedacito de su identidad.

F.S.: “Esto nos obliga a trabajar con al-goritmos más complejos, ya que con solo una foto podrían engañar al sistema de reconocimiento. Nosotros estamos in-corporando a la seguridad términos re-lacionados con el Internet de las Cosas. Por ejemplo, si estoy conectado a un equipo portátil desde mi router, mi im-presora, etc, y nuestro software lo detec-ta, el mecanismo de autenticación nos va a pedir una identificación menos robus-ta que si estoy en un cibercafé”.

H.S.: “Para eso necesitamos el hardwa-re adecuado”.

F.S.: “Se necesita una modernización. Y por ello, mientras haya sistemas que uti-lizan contraseñas, tenemos que seguir ofreciendo servicios en ese área”.

¿Qué ha llevado al declive de los métodos tradicionales de verificación?

F.S.: “El usuario ha acabado actuando de forma natural. Piensa, que es mucho más fácil utilizar una contraseña para todo y así no tener que recordar todas y cada una de ellas. Pero hay múltiples sis-temas: banca online, redes sociales… La información que se puede robar de cada uno de ellos es muy diferente”.

J.A.L.: “La sociedad no es consciente aún de lo necesario que es asegurar la infor-mación que se maneja. Es necesario ase-gurar que nuestro dispositivos no sean accesibles para ningún agente externo”.

F.M.: “La gente, por ejemplo, encuentra incómodo el tener que introducir contra-señas en los smartphones”.

H.S.: “En definitiva, una contraseña es menos segura que una huella o rostro, aunque los usuarios se han acabado acostumbrando durante años a desblo-quear sus terminales con todo tipo de contraseñas y patrones”. CSO

“Si los sistemas biométricos son hackeados, la crisis es también más difícil de gestionar que con las credenciales”, dice Fernando Maldonado (Delfos Research)



CSO ESPAÑA

MAYO 2016 | CSO


5 aspectos de seguridad reforzados en SharePoint

“EEl usuario siempre encon-trará una manera de ha-cer su trabajo, y si la se-guridad supone un obstáculo, encontrará

otro camino para llegar, menos complica-do y menos seguro”, ha explicado Navjot Virk durante el lanzamiento de la última versión de SharePoint, la plataforma de

gestión de contenido y colaboración de Microsoft. Con el fin de ofrecer un servi-cio securizado de manera más estrecha y granular, según comenta Jeff Teper, vi-cepresidente de OneDrive y SharePoint, la nueva versión de la plataforma Share-Point otorgará el balance adecuado en-tre productividad y seguridad en base a estas cinco novedades:

CON MÁS DE 200.000 ORGANIZACIONES UTILIZANDO DIARIAMENTE LA

PLATAFORMA, LA SEGURIDAD SE HA CONVERTIDO EN UNO DE LOS FACTORES

CLAVE EN LA ÚLTIMA VERSIÓN DE SHAREPOINT, PARA LA QUE MICROSOFT HA

HECHO TODO LO POSIBLE PARA MEJORARLA Y HACERLA MÁS “DIGERIBLE”, A LA

VEZ QUE MÁS AUTÓNOMA.

Ann Bednarz



CSO ESPAÑA

MAYO 2016 | CSO


Acceso diferenciadoMicrosoft ha introducido políticas de ac-ceso condicionado en SharePoint basa-do en el usuario, su dispositivo y su lo-calización; así, si se emplea un dispositivo no securizado, una localización sospechosa, o un usuario desconocido, las empresas van a poder controlar y limitar su acceso así como otras acciones.

Este nuevo nivel de granularidad tiene como fin mejorar la usabilidad de los con-

troles de SharePoint; “en vez de dejar que un usuario tenga acceso o no a la informa-ción sensible, se podrá habilitar según qué condiciones la lectura, la descarga u otras acciones”, explica Teper.

Unificar la auditoría de registrosLa nueva versión de la plataforma crea la unificación de auditorías en el acceso de los usuarios, de manera que pueden archivarse las actividades de cada usua-

rio. Dentro de esta gran inmensidad de datos registrados, Microsoft ha creado una función llamada eDiscovery que in-tegra el machine learning y que permite

analizar y facilitar el filtrado de la infor-mación generada por el control del logging.

Pero no es la única novedad al respecto, ya que los de Cupertino también han lan-

En la imagen vemos la apariencia de SharePoint Mobile App desplegada en diferentes entornos móviles, ya sea en terminal Windows, iOS, y Android.

La nueva versión de SharePoint online enfatiza la visibilidad de los documentos más importantes asociados al grupo de Office 365.

Microsoft ha decidido añadir una opción de clasificar los SharePoint en base a políticas específicas



CSO ESPAÑA

MAYO 2016 | CSO


zado una herramienta llamada SharePoint Insights que permite agregar usos y cum-plimientos de información cloud u on-pre-mises mediante el centro de informes Office 365 Reporting Center, una manera de tener una visión organizada de toda la plataforma empresarial.

“Todas estas funciones no están limitadas a la cloud, con SharePoint 2016, estamos basándonos también en el poder de la tec-nología híbrida para implementar las fun-ciones de las compañías”, ha explicado Virk.

La clasificación de sites en SharePointMicrosoft ha decido añadir una opción de clasificar los SharePoint en base a políticas específicas solo para un site definido, mientras que también permi-tirá agregar una lista blanca y negra de dominios respecto al hecho de compar-tir información. “Ahora es posible contro-lar como se comparte información sensible,

tanto interna como externamente”, expli-ca Virk; “además, muy pronto también ofreceremos la posibilidad de controlar el tiempo durante el cual es posible acceder a dicha información”.

Customer LockboxEs el nombre de una nueva herramien-ta que traducida al español significa literalmente “la caja fuerte del cliente”. Tiene como fin mejorar el control de quién accede a determinados servicios cloud de Microsoft.

“Por ejemplo, si un ingeniero de Microsoft necesita acceder a tu contenido debido a una petición tuya, se enviará una petición mediante Lockbox; solo en el caso de que permitas el acceso de nuestros ingenieros, podremos acceder a tu actividad, y siempre sujeto a un periodo controlado de tiempo y que puede monitorizar el propio cliente”, comenta Virk. “Es tu información y noso-tros no podemos leerla. No la usamos con

otros fines y por ello puedes consultar que está pasando en todo momento”, agrega Teper. “Además podrás ver qué hacen tus empleados en todo momento”.

Claves de cifrado BYOEn este contexto, es Microsoft la que quie-re dejar claro que propone conceder a las empresas el control total de su plataforma. Es por ello que da otro paso más permi-tiendo que gestionen sus propias claves de cifrado para proteger sus datos alma-cenados en SharePoint. Esta opción esta-rá disponible a finales de año. Los archivos

almacenados en SharePoint se dividen en porciones que se cifran individualmente y cuyas claves se guardan separadamen-te. “En el futuro queremos darte la posi-bilidad de gestionar tus propios cifrados en la plataforma, manejando la posibilidad de revocar claves y controlar quién acce-de con ellas”, concluye Virk. CSO

Microsoft quiere dejar claro que se propone conceder a las empresas el control total de su plataforma

CONTENIDO ADICIONAL

o Video SharePoint Security



https://youtu.be/0mvZr_Gc36U

CSO ESPAÑA

MAYO 2016 | CSO


‘Big data’, una oportunidad para mejorar la ciberseguridadLAS HERRAMIENTAS DE ANALÍTICA DE ‘BIG DATA’ ESTÁN EN PRIMERA

LÍNEA DE DEFENSA PARA CONSTRUIR MODELOS QUE AYUDEN PREDECIR EL

COMPORTAMIENTO Y LOS PATRONES DE ACTUACIÓN DE LOS CIBERCRIMINALES.

Toñi Herrero Alcántara



CSO ESPAÑA

MAYO 2016 | CSO


No cabe duda que big data ha supuesto un nuevo ca-pítulo en la revolución di-gital, convirtiendo gran-des volúmenes de datos

en información de valor. En cualquier caso lo fundamental de esta ingente cantidad de datos es su procesamiento, pues es este lo que los convierte en el activo tangible más valioso y con más potencial para las empresas e institucio-nes. El tratamiento de toda esa informa-ción digital –en la que hay muchos datos corporativos pero también personales de los propios usuarios– requiere de unas grandes medidas de seguridad para mantener la privacidad y seguridad de los mismos.

En el mundo de la seguridad, donde cada vez los ataques se cometen en me-nos tiempo y surgen amenazas nuevas en cuestión de segundos, es imprescin-dible contar con herramientas potentes que ayuden a gestionar y analizar toda esa información nueva para detectar posibles ataques en tiempo real. “En general, lo que nos debe preocupar del big data es la cantidad de información que se genera y almacena y, en muchas ocasiones, de carácter crítico. Si cuida-

mos la seguridad de la información que almacenamos en nuestra empresa, de-bemos ser aún más cuidadosos y estric-tos con el gran volumen de datos que se aloja en un entorno big data. No hay que olvidar que ese volumen ingente de datos dispersos, una vez procesado, tie-ne gran valor… lo que puede hacer que se produzcan fugas de datos o robos de información empleado distintas técni-cas. En lo que se refiere a la protección del dato en sí mismo, una buena solu-ción de cifrado puede dar respuesta a esta situación”, comenta Álvaro Roldán, responsable de Canal y Alianzas de Trend Micro Iberia, que remarca que la necesidad de tener en cuenta la natura-leza de los datos donde por cuestiones de privacidad o propiedad intelectual sea especialmente crítico el uso que se hace de la información.

Pero el big data también tiene otra aproximación al entorno de la seguri-dad, en concreto de la ciberseguridad, un área en constante cambio. Según señala IDC en su informe ‘Big Data y Analítica Predictiva: Sobre la Línea de la Ciberseguridad’, elaborado en 2015 para SAS, el número de ataques conti-núa aumentando, los tipos de actores

de amenazas han aumentado, y las vías de ataque han crecido y se han diversi-ficado en sofisticadas amenazas persis-tentes, ataques internos, fraude y deli-tos informáticos. Las soluciones de seguridad tradicionales no son suficien-tes para hacer frente a este nuevo con-cepto de amenaza y nuevo panorama de ataques. La mayoría de las amena-

zas de ciberseguridad actuales van des-de ataques DDoS, robo de datos inter-nos a ataques de troyanos, phishing... y los atacantes pueden ser desde acci-dentales e internos, un oportunistas, hacktivistas, criminales profesionales, etc. Aunque las bases de datos y sitios web siguen siendo objetivos tradiciona-les, IDC apunta amenazas y vulnerabili-

El ‘big data’ y su capacidad de procesamiento son una herramienta de inteligencia en las estrategias de ciberseguridad



CSO ESPAÑA

MAYO 2016 | CSO


dades en varias áreas nuevas, incluyen-do ataques a redes sociales y dispositivos móviles, dispositivos pro-piedad de los empleados (BYOD), nubes privadas, públicas o híbridas y el Inter-net de las cosas (IoT), donde una am-plia variedad de dispositivos están co-nectados a Internet. El informe de IDC recoge que la propagación de vectores de ataque y los agentes de amenaza contra un conjunto cada vez mayor de áreas objetivo se ha traducido en un crecimiento exponencial del nivel de complejidad de la seguridad cibernética para el CISO y el CIO. El resultado es que la mitigación proactiva de estas amenazas con las tecnologías actuales es casi imposible si no se aplica un nue-vo enfoque. Y en este punto es donde interviene el big data y sus herramien-tas. Para tener una idea de la cantidad de datos que necesita ser procesada, una red de tamaño mediano con 20.000 dispositivos (ordenadores portátiles, teléfonos inteligentes y servidores) transmitirá más de 50 TB de datos en un periodo de 24 horas. Eso significa que más de 5 Gbits deben ser analiza-dos cada segundo para detectar ata-ques cibernéticos, las posibles amena-

zas y malware atribuidos a los hackers. Hacer frente a tales volúmenes de da-tos en tiempo real plantea retos difíci-les. Además para el análisis de grandes volúmenes de datos es necesario crear modelos en la ciencia de datos que puedan detectar ataques cibernéticos, mientras minimizan los falsos positivos (falsas alarmas) y falsos negativos (en

su defecto para detectar amenazas rea-les). No en vano, “una de las ciberarmas más interesante viene de la mano del big data, mediante la cual podemos construir modelos para predecir el comportamiento y los patrones de ac-tuación de los cibercriminales”, señala José Antonio Rubio, presidente del Di-gital Trust Think Tank de IDG.

Ciberseguridad y ‘big data’El big data y su capacidad de procesa-miento son una herramienta de inteli-gencia en las estrategias de cibersegu-ridad ante la creciente proliferación de acciones delictivas en el ciberespacio. Y es que en la esencia del big data subya-ce la muy alta capacidad para procesar ingentes cantidades de datos de distin-to tipo (estructurados, semiestructurados y no estructurados) y desarrollos de mo-delos que sirven a los fines definidos por las organizaciones. Como se apunta des-de la Fundación Big Data, la capacidad de prevención se puede incrementar mediante la captura de los datos de ac-ceso y su proceso en tiempo real que permita su comparación con modelos de comportamiento no seguros permi-tiendo la detección de las ciberamenazas. “La importancia del big data aplicado a la ciberseguridad queda resaltada en la necesidad de incrementar las capacida-des de detección y análisis de las cibe-ramenazas a las Administraciones Pú-blicas, las infraestructuras críticas y otros sistemas de interés nacional”, apunta Francisco Javier Antón, presidente de la Fundación Big Data. La recopilación y tratamiento de grandes cantidades de

Hace tiempo que la tecnología de ‘big data’ forma parte de las soluciones de seguridad y los principales antivirus lo incorporan



CSO ESPAÑA

MAYO 2016 | CSO


datos puede ayudar a manejar el eleva-do número de amenazas al que nos en-frentamos hoy en día. De esta forma, se pueden categorizar las amenazas y, gra-cias al big data, mejorar los mecanismos de detección para que sean más eficaces. “Con la cantidad de datos que existen actualmente y los que se incorporarán con la evolución del IoT o los wearables, los sistemas serán capaces de detectar comportamientos anómalos para poder-los analizar de forma detallada y poder lanzar alarmas y/o sistemas preventivos”, indica Pere San Martín, director de Ar-vato Consulting.

Por tanto big data y seguridad mantie-nen una relación muy estrecha y son mutuamente importantes para sus res-pectivos futuros. “Desde hace años, par-te de la industria de la seguridad, y com-pañías como G DATA, están usando el big data para la protección de sus clien-tes. El big data desempeña un papel

esencial en todos esos servicios que, basados en la reputación, nos están permitiendo bloquear en tiempo real las nuevas amenazas sin necesidad de de-tallados análisis previos. El big data nos ayuda a saber de dónde proceden las amenazas y a afinar y optimizar nues-tras tecnologías en el futuro. Y Big Data también es el intercambio de millones de muestras de malware que hacemos diariamente la industria de seguridad TI”, señala Eddy Willems, experto en Ci-berseguridad en G DATA Software.

Una de las grandes aportaciones del big data es poder analizar mucha infor-mación y tener respuesta en tiempo real. También permite montar arquitec-turas para analizar toda esa informa-ción y buscar objetivos o riesgos de una manera rápida. “El big data facilita poner foco, bajar a mucho nivel de detalle y descubrir objetivos, y de un riesgo con-creto poder ver toda la información que

hay alrededor: quién lo está haciendo, dónde está localizado, con quién está trabajando, el riesgo que puede tener, cómo puede afectar y a quién. Facilita

una intervención rápida, de una acción más operativa para atajar ese riesgo”, señala Enrique Serrano, director general de Tinámica.

La ciberseguridad es una de esas áreas en la que un análisis de alto rendimiento y en tiempo real de ‘big data’ es imprescindible

Watson contra el cibercrimen Diseñada en IBM Cloud, Watson for Cyber Security es la primera tecnología que ofrece conocimiento de datos de seguridad a gran escala utilizando la capacidad de IBM Wat-son para razonar y aprender de datos desestructurados –80% de todos los datos de Internet que las herramientas de seguridad tradicionales no pueden procesar, inclu-yendo blogs, artículos, vídeos, informes, alertas y otro tipo de datos–. Watson for Cyber Security procesa también el lenguaje natural para comprender la naturaleza vaga e imprecisa del lenguaje humano en datos no estructurados. Como resultado, Watson for Cyber Security ofrecerá información de las amenazas emergentes, dará recomen-daciones sobre cómo frenarlas, proporcionando mayor velocidad y más capacidades a los profesionales de seguridad. La compañía irá incorporando progresivamente otras capacidades de IBM Watson incluyendo sistemas de análisis de datos para detecciones atípicas, herramientas de representación gráfica y técnicas para encontrar conexiones entre datos relacionados en diferentes documentos. Por ejemplo, IBM Watson puede encontrar datos de un tipo de malware emergente en un boletín de seguridad online e información sobre una estrategia de defensa en un blog de un analista de seguridad. A partir de otoño, IBM tiene previsto colaborar con ocho universidades –California State Polytechnic University, Pomona; Pennsylvania State University; Massachusetts Institute of Technology; New York University; UMBC; University of New Brunswick; University of Ottawa y University of Waterloo– que tienen algunos de los mejores pro-gramas de ciberseguridad del mundo con el fin de seguir entrenando a IBM Watson e iniciar a sus estudiantes en el aprendizaje de la computación cognitiva.



CSO ESPAÑA

MAYO 2016 | CSO


Y es que, a medida que el perímetro de una organización se ha vuelto más difuso (a razón de la flexibilidad del tra-bajo, del incremento del teletrabajo, del uso de múltiples dispositivos) las orga-nizaciones necesitan de un enfoque di-ferente en la seguridad. “Un nuevo mo-delo basado en la agilidad, en el contexto y con capacidades de predic-ción y prevención del riesgo. En este sentido, las tecnologías de big data y analytics se vuelven fundamentales para capturar las crecientes señales en este perímetro más difuso que inciden en la seguridad. Es decir, para poder evaluar correctamente los riesgos y defenderse de forma adecuada ante ello”, indica Jo-sep Curto, director general de Delfos Research. “Estamos hablando por lo tanto de que transforma profundamen-te todas las capas en las que la seguri-dad está implicada: SIEM, network mo-nitoring, autentificación y autorización de usuarios, gestión de identidades, gestión del fraude, y gobernanza, riesgo y cumplimiento”. Inicialmente todas las componentes tecnológicas de big data son susceptibles de ayudar a la mejora de la seguridad. Según indica Curto, los principales usos que se están haciendo

incluyen técnicas de reconocimiento fa-cial, que se han usado para la identifica-ción de perfiles de riesgo en eventos importantes y con grandes congregacio-nes de personas; y técnicas de almace-namiento y análisis de grafos, que se están usando para detectar patrones de comportamiento en fraude, en el que se diluye la acción mediante una red de personas.

Queda claro que la ciberseguridad es una de esas áreas en la que un análisis de alto rendimiento y en tiempo real de big data es imprescindible. Las compa-ñías necesitan poder controlar en tiem-po real y de manera integral todas las conexiones, interacciones y relaciones entre los activos de la red. Esto es posi-ble gracias a la aplicación de técnicas de análisis de comportamiento a toda la actividad que diariamente se rastrea con aprendizaje automatizado (machine learning), pudiendo discernir lo que se considera ‘normal’ de lo que debe ser analizado como conducta irregular ha-ciendo posible la priorización de poten-ciales incidencias para su investigación. Además, al conectarse herramientas de seguridad aisladas, se dispone de un contexto informacional del entorno del

negocio que enriquece el conjunto de datos. Así, la información finalmente disponible es más precisa, consistente, útil e inmediata, lo que permite la toma de decisiones más estratégicas y rápi-das. “Esto, en el ámbito de la cibersegu-ridad, constituye una gran ventaja para la detección temprana de amenazas, la prevención o la respuesta inmediata a ciberataques, así como para estar al día de la evolución de las amenazas ciber-néticas, ejercicio obligatorio para una defensa completa y constantemente efi-caz. Es decir, convertir sus sistemas in-ternos en verdaderas plataformas de

inteligencia de seguridad”, apunta Mar-cos Carrascosa, director de preventas en SAS España. Ahora, a través del uso de ciberanalítica, las empresas pueden predecir el comportamiento inusual y detectar una amenaza interna activa por la detección de anomalías en el comportamiento de interacción, tales como el acceso a una base de datos y descarga de un conjunto de archivos. A menos que una organización tenga la capacidad de modelar el comporta-miento normal y anómalo de las perso-nas y los activos de la red, será incapaz de detectar estos nuevos tipos de ata-



CSO ESPAÑA

MAYO 2016 | CSO


ques. Y como señala Enrique Serrano de Tinámica, la principal herramienta es el análisis predictivo. “No se trata solo de analítica para detectar, es analítica también para ver el futuro, para prede-cir, en el sentido de que puedes preve-nir en función de una serie de variables lo que puede ocurrir”.

Analítica predictiva y solucionesComo se detalla en el informe de IDC, la analítica presenta retos importantes para las operaciones de seguridad, incluyen-do la escalabilidad, pues el análisis de comportamiento requiere una rápida ingestión continuada de datos de múl-tiples fuentes. Impedir ciberataques so-fisticados demanda un mejor entendi-miento del big data con más analítica proactiva. Las organizaciones necesitan cambiar de estrategias reactivas a proac-tivas que busquen entender una ame-naza antes de que un atacante pueda causar daño. Esto requiere un monitoreo constante del comportamiento de red para que la actividad inusual pueda dis-tinguirse del comportamiento normal. Aplicar analítica predictiva y de compor-tamiento a todos los datos empresaria-

les y externos disponibles puede ayudar a las organizaciones a evaluar potencia-les amenazas, detectar posibles ataques y reunir mayor información. Esta analí-tica necesita ejecutarse en tiempo real para que las amenazas puedan mitigar-

se de forma proactiva antes de que ocu-rra una pérdida significativa. En un primer estudio del Instituto Ponemon, el 86% de los entrevistados dijeron que detectar ciberataques lleva demasiado tiempo, y el 85% no estaban priorizando los inci-

dentes. Mientras tanto, un 40% dijo que sus productos de seguridad no importan información de amenazas desde otras fuentes.

“La analítica predictiva aplicada a la ci-berseguridad es fundamental por los ahorros que ello conlleva. Para poder trabajar sobre patrones de ataque hay que analizar todo lo que ya ha ocurrido, y sobre millones de variables y sobre millones de datos, poder intuir que efec-tivamente eso es un ataque que se está produciendo en un sitio. Todas las em-presas tecnológicas que tienen sus cen-tros de contingencia, están actuando bajo la misma filosofía”, comenta Fran-cisco Javier Antón, presidente de la Fun-dación Big Data.

Los usos concretos de la analítica pre-dictiva, en lo que respecta a grandes empresas, pueden pasar por la detec-ción de patrones de comportamiento de sus empleados. Por ejemplo, una em-presa de distribución con pérdidas por tema de hurtos en sus almacenes pue-de ayudarse de la analítica predictiva para detectar pues puede ayudar a de-tectar qué personas potencialmente pueden comportarse de esa manera. “Por un lado hay una mayor vulnerabi-

Datos oscuros, a la luz Según IDC, más del 90% del big data son datos ocultos (dark data) y, en muchas oca-siones, esta información “escondida” es tan relevante a nivel empresarial como lo pueden ser los datos recogidos proactivamente. De hecho, Gartner define el dark data como “los activos de información que recopilan, tratan y almacenan las organizaciones durante sus actividades empresariales habituales, pero que no suelen utilizar para otros fines”. Una solución desarrollada por la startup Datumize se encarga de identi-ficar y convertir en útiles estos datos. Datumize Data Collector facilita la localización de todos estos datos no accesibles a priori para convertirlos en información relevan-te que permite comprender mejor los procesos internos e incrementar los beneficios mediante la optimización del negocio. “Nuestra tecnología puede implementarse en diferentes sectores verticales e integrarse en cualquier sistema, capturando datos a tiempo real y en el momento adecuado. Industrias como las del big data, internet de las cosas (IoT), energía, comercio electrónico, ocio, automoción o el retail son algunos de nuestros principales focos y en los que estamos viendo que la gestión del llamado dark data puede dar los mayores beneficios”, explica Nacho Lafuente, cofundador y CEO de Datumize. Incluso se puede usar esta información para mejorar la seguridad. “Hemos estudiado el caso de un cliente en que el análisis del tráfico que generan sus miles de usuarios, que son datos oscuros, puede ser utilizado por la empresa para configurar mejor los controles de acceso a sus sistemas internos y externos”.



CSO ESPAÑA

MAYO 2016 | CSO


lidad porque hay más datos y los datos pues tienen una tendencia a concen-trarse. Pero por otro lado también te ayuda a detectar esas vulnerabilidades y actuar en tiempo real. Hay más ries-gos pero también hay más oportunida-des de solventarlos”, señala el director general de Tinámica.

Hace tiempo que el big data forma par-te de las soluciones de seguridad y los principales antivirus incorporan algún sistema basado en estas tecnologías que permite recopilar y analizar gran-des cantidades de ficheros y enlaces sospechosos. Concretamente, todos los mecanismos de recolección de mues-tras o de análisis de comportamiento incorporan el big data de alguna forma. “En ESET, por ejemplo, hace ya años que nuestras soluciones de seguridad incor-poran un mecanismo automático de re-colección de muestras que ayudan a detectar nuevas amenazas reduciendo al mínimo la ventana de exposición al malware. Contamos con ESET Live Grid, un sistema de recopilación y análisis de amenazas a gran escala”, comenta Josep Albors, director del laboratorio de ESET. De hecho tradicionalmente la analítica ya ha sido importante en la creación de

patrones y en el análisis. “Ahora ya no es posible imaginar una solución de se-guridad que no tenga presente o vaya a incluir en el futuro capacidades funda-mentadas en las tecnologías de big data “, indica el director general de Delfos Research. Igualmente destaca la facili-dad que existe para montar soluciones a medida, basadas en la utilización de

Hadoop o Spark con analítica que nor-malmente lo hacemos con lenguaje de programación R o con Phyton y de sis-temas en la nube. Según describe José Antonio Rubio, del Digital Trust Think Tank de IDG, el conjunto de herramien-tas estaría formado por la tecnología estadística que permite que big data sea una realidad, como las reglas de in-ducción, los algoritmos genéticos o las redes neuronales artificiales. Y por otro lado con los sistemas que permiten el almacenamiento masivo de datos. De

ese binomio surgen modelos como Ma-pReduce, Apache Hadoop, Apache Spark o las bases de datos NoSQL. Para el pro-cesado de estos volúmenes ingentes de datos se han desarrollado a su vez len-guajes de programación de alto nivel, infraestructuras data warehouse o siste-mas de ficheros que están a nuestra disposición para hacer del big data una

realidad en el día a día de las organiza-ciones.

Desde Blue Coat, las soluciones de análisis de seguridad tienen que hacer frente a siete importantes casos de uso del mundo real: conocimiento de la si-tuación, seguimiento continuo, respues-ta y resolución a incidentes de seguri-dad, detección avanzada de malware, monitorización y análisis de pérdida de datos, monitorización y análisis de trá-fico web y gobierno de TI, gestión de riesgos y cumplimiento. Algunas de las

soluciones que están ahora en el mer-cado son SAS Cybersecurity, que emplea analítica de alto desempeño para pro-cesar y evaluar miles de millones de transacciones diarias de redes en tiem-po real, reduciendo el tiempo para de-tectar eventos de seguridad y mejoran-do la eficiencia de operaciones de seguridad. La herramienta de Blue Coat Security Analytics ofrece un análisis fo-rense de red y la solución de respuesta a incidentes para que las empresas pue-d a n r e s p o n d e r c o n r a p i d e z a cualquier incidencia de seguridad. Ac-túa como una cámara en la red, ya que aporta inteligencia clara y práctica sobre las amenazas de seguridad de aplicacio-nes, archivos y contenido web. Con ese panorama retrospectivo del tráfico de la red, puede identificar rápidamente los ataques avanzados y específicos que escapan a las herramientas de seguri-dad preventivas tradicionales. Mientras IBM cuenta con Qradar Security Intelli-gence Platform que ofrece una arquitec-tura unificada en la que se integran la gestión de sucesos e información de seguridad, la gestión de registros, la de-tección de anomalías, la investigación de incidentes y la gestión de la configu-

Las empresas ahora tienen mejores medios tecnológicos para identificar y responder al cambiante panorama de amenazas



CSO ESPAÑA

MAYO 2016 | CSO


ración y de las vulnerabilidades. Por su parte Trend Micro cuenta con Smart Protection Network, una infraestructu-ra de seguridad inteligente en la nube de Trend Micro que recopila datos de forma continua en todo el mundo para asegurar una protección ininterrumpi-da.

Principales beneficiadosLos gobiernos son uno de los principales sectores beneficiados del uso del big data y en concreto de la analítica predictiva para combatir las ciberamenazas. Los cuerpos de seguridad nacional ya están trabajando con técnicas de big data para perseguir todo este tipo de delitos y para descubrir delincuentes que están ocultos en la red. “El big data está siendo decisi-vo en la persecución de la pornografía infantil en la red, ya que estos delincuen-tes utilizan sistemas complejos de alma-cenamiento y distribución de los datos que hasta la fecha era muy difícil proce-sar”, indica Pere San Martín, de Arvato Consulting.

Otro de los sectores donde la analítica predictiva tiene una gran aplicación es el de los servicios financieros, para com-batir el fraude y mitigar los riesgos. “Tra-

bajamos mucho con los grandes bancos para tratar de adelantar riesgos: clien-tes de riesgo que pueden defraudar, riesgos con transacciones telemáticas, riesgos con medios de pago como tar-jetas... Por ejemplo, cada vez más el big data ayuda a anticipar ese riesgo, hay algoritmos que permiten que cruzando datos y dependiendo de la transaccio-nalidad del histórico de transacciones y el comportamiento que tiene una per-sona sea bastante predecible lo que va a hacer, entonces cuando hay una tran-sacción que se sale de su patrón el sis-tema te avisa”, explica Enrique Serrano, de Tinámica, quien señala la posibilidad de personalización que ofrece el big

data. “Es el análisis de patrones que an-tes se hacían con clusters, con lo cual se agrupaba, y ahora lo que haces es que el análisis de patrones sea individual”. Otra tipología de empresas beneficiadas del uso de la analítica predictiva para mejorar la ciberseguridad son las gran-des empresas que cuentan con grandes centros de datos. En la industria de ser-vicios públicos y energía, la investiga-ción de IDC encontró que la analítica avanzada y predictiva es crítica para promover una amplia variedad de ciber-mandatos, incluyendo el cumplimiento regulatorio.

Y es que con tantos datos, hay más riesgos pero también hay más oportu-

nidades de solventarlos. “Todo lo que está ocurriendo, por ejemplo, papeles de Panamá, todo eso va a ir a más. Un fallo personal, deliberado o no, da lugar a fugas de información y cada vez va a haber más ataques desde fuera para intentar acceder a los datos de las com-pañías y de las personas por parte de los competidores, de terceras personas que van a ofrecer servicios bloqueando la ley o traspasándola en cuanto a po-der acceder a datos de otros. El valor del dato, del smart data, cada vez va a ser mayor”, comenta Serrano.

Más tecnologías innovadorasLos adversarios transforman constante-mente sus ataques y encuentran formas creativas para penetrar las defensas. Lo que las organizaciones necesitan es la capacidad de detectar el más sutil cambio en la actividad y analizarla teniendo en cuenta el contexto. Pero el mundo digital produce más de 2,5 trillones de bytes de datos de todos los días, y el 80% de ella es no estructurado. Esto significa se ex-presa en lenguaje natural –hablado, es-crito o visual– que un ser humano puede entender fácilmente, pero los sistemas de seguridad tradicional no pueden.



http://www.trendmicro.es/es/tecnologia-innovacion/nuestra-tecnologia/smart-protection-network/index.html

http://www.trendmicro.es/es/tecnologia-innovacion/nuestra-tecnologia/smart-protection-network/index.html

CSO ESPAÑA

MAYO 2016 | CSO


“Desde el punto de vista de la seguri-dad, monitorizar un entorno es necesa-rio porque ataques de seguridad va a haber siempre. La clave está en el tiem-po de respuesta: cuando se detecta ese posible ataque, si reacciona rápidamen-te el impacto será mucho menor. Y eso se hace teniendo más contexto, casi en tiempo real”, remarca Emmanuel Roese-ler, director de Sistemas de Seguridad de IBM. Por eso uno de los retos pasa por la incorporación de tecnologías de aprendizaje automático (machine lear-ning) y de procesamiento del lenguaje natural, lo que da paso a una nueva era de ciberseguridad, la cognitiva, que usa tecnología que es capaz de comprender,

razonar y aprender. Con la gran ventaja de que un sistema cognitivo comprende y procesa la nueva información a una velocidad que está muy por encima de cualquier ser humano. Y un ejemplo pa-radigmático es Watson for Cyber Securi-ty, una nueva versión en cloud de la tec-nología cognitiva de IBM, entrenada en el lenguaje de la seguridad, fruto de un proyecto de investigación de un año. “Hay mucha información que puede ser útil para acortar ese tiempo de respues-ta. A día de hoy no se podía utilizar tec-nológicamente pero con Watson será posible porque Watson aprende mucho más rápido que el ser humano, consigue procesar mucha más información que el

ser humano”, explica el director de sis-temas de seguridad de IBM. “Pero no tiene la inteligencia de un ser humano, no aplica el sentido común, no va a po-der generalizar. Va a servir para apoyar a los analistas de seguridad de las em-presas para que tomen las decisiones adecuadas cuando toque tomar esas decisiones”. Por tanto con sistemas como Watson se podrá procesar mucha más información y en un tiempo mucho más que razonable. “La principal ventaja de usar sistemas más avanzados es el tiempo de respuesta y el contexto. Cuan-to más contexto, más fácil va a ser la de-cisión y con más contexto procesado vas a poder reducir el tiempo de respuesta”.

ConclusiónA medida que la amenaza cibernética aumenta y evoluciona, las organiza-ciones se están dando cuenta de que uno de sus recursos más fuertes para luchar contra esta amenaza radica en el creciente volumen de datos a su disposición –y el poder creciente de las tecnologías para actuar sobre es-tos datos–. Todos estos datos contie-nen pistas vitales de comportamiento para identificar las amenazas y los riesgos internos y externos. Con las crecientes capacidades de analítica avanzada y predictiva, las empresas ahora tienen mejores medios tecno-lógicos para identificar y responder al cambiante panorama de amenazas. No cabe duda de que en el futuro, grandes herramientas de análisis de datos estarán en la primera línea de defensa, que combina el aprendizaje automático, minería de texto y el mo-delado de ontologías para proporcio-nar programas integrales e integrados de predicción, detección y disuasión y de prevención de amenazas de se-guridad, de acuerdo con las últimas predicciones por el Instituto Interna-cional de Analytics (IIA). CSO



CSO ESPAÑA

MAYO 2016 | CSO


“Las malas prácticas con Active Directory exponen a la organización”

La gestión de los privilegios de usuario en un entorno de Win-dows, presenta numerosos re-tos para los administradores de TI, los cuales tienen la difícil ta-

rea de mantener la información de todos los usuarios accesible y a salvo, junto con el gran reto de securizar la infraestructura

de red. Los daños pueden ser más perju-diciales para la organización a medida que los usuarios pertenecientes al Active Direc-tory cuentan con un mayor número de privilegios. Además, como bien ha explica-do Derek Melber, MVP, MCSE Technical Evangelist, ADSolutions, “en muchos ca-sos, las vulnerabilidades son introducidas

por los propios administradores y sus ma-las prácticas de uso y gestión”.

Con la finalidad de mostrar buenas prác-ticas en la gestión y administración del Ac-tive Directory de Windows, Melber ha con-seguido reunir en Madrid a más de 90 administradores TI de grandes compañías, interesadas en el dominio y conocimiento

de herramientas que permitan llevar a cabo una personalización óptima de AD.

Melber ha destacado que “a pesar de que Microsoft está ampliando las posibili-dades de su Powershell, ahondando en opciones más avanzadas, conviene valorar el uso de herramientas adicionales que monitorizan los aspectos antes incluso de

DEREK MELBER, MVP, EVANGELISTA DE MCSE Y ADSOLUTIONS, RECOMIENDA A LOS

ADMINISTRADORES DE TI REVISAR DE MANERA CONSTANTE Y EXQUISITA EL ACTIVE

DIRECTORY DE WINDOWS CON EL FIN DE EVITAR DEGRADACIONES DE SERVICIO Y

EXPONER GRAVEMENTE LA SEGURIDAD DE LAS ORGANIZACIONES.

Alfonso Casas



CSO ESPAÑA

MAYO 2016 | CSO


crear objetos y usuarios”. Los asistentes han podido comprobar, de manera prác-tica, como determinadas gestiones rutina-rias pueden influir negativamente en la seguridad de las organizaciones. También los malos hábitos con AD exponen la se-guridad de las organizaciones y crean pe-ligrosas brechas de seguridad.

El peligro de actualizar manualmente el registro no radica en su uso, sino más bien, en la dificultad y complejidad de ac-tualizar todos los ordenadores de una or-ganización. Comenta Melber que en un entorno con 10 controladores de dominio, 100 servidores y 1.000 clientes, un único cambio en el registro requeriría de la mo-dificación de 1.110 ordenadores. Es posi-ble realizarlo desde una única consola, pero requerirá de 1.110 conexiones remo-tas al registro para desempeñar el trabajo. En el momento que sea necesario cam-biar otro parámetro del registro, se reque-riría de otras tantas alteraciones remotas. Esto hace que el método sea ineficiente.

Así pues, “el despliegue de políticas ba-sadas en la autenticación también permi-te hacer un seguimiento más avanzado de las cuentas y de su estado”, afirma Melber, quien añade que con el fin de poder mo-dificar roles con un solo clic, es posible

recurrir al potencial de herramientas como AD Manager”. Perteneciente a Ma-nageEngine, ofrece la posibilidad de des-plegar accesos directos a reglas de uso habitual, como pueda ser resetear la clave de los usuarios, desbloquear cuentas, o moverlas entre diferentes grupos.

Entre los múltiples consejos que Derek Melber ha repetido a lo largo del en-cuentro a los asistentes, destaca la ne-cesidad de trazar seguimientos constan-

Ireo está especializada en ADManager En nuestro país, Ireo (http://www.ireo.com) es mayorista de las distintas soluciones ManageEngine orientadas al software ‘help-desk’ y monitorización de infraestructu-ras. Destaca ADManager Plus, que ayuda a los administradores de TI en su día a día con una interfaz de usuario basada en web, además de manejar una gran variedad de tareas complejas, como es la administración masiva de cuentas de usuario y otros objetos de AD. Esta herramienta contempla el uso de aplicaciones móviles para poder desempeñar las tareas de gestión de usuarios. El software actúa como un recurso esencial durante las auditorías de cumplimiento como SOX o HIPAA. Ireo

“La mejor seguridad consiste en ser capaces de monitorizar cualquier cambio que se produzca en el AD de Windows”, comenta Derek Melber.



http://www.ireo.com/

http://www.ireo.com/

CSO ESPAÑA

MAYO 2016 | CSO


tes del Active Directory y comprobar cada uno de los cambios sospechosos que puedan haberse producido desde la anterior revisión.

Los servicios de dominio de Active Direc-tory con Windows Server 2012 incorpora-ron interesantes mejoras de cara a su ad-ministración, como la posibilidad de que con un solo inicio de sesión de red, los

administradores pudiesen administrar los datos de directorio y la organización a tra-vés de la red. Los usuarios autorizados también pueden acceder a cualquier pun-to de la red con un único inicio de sesión de red. La administración basada en direc-tivas facilita la administración incluso en aquellas situaciones de redes más com-plejas. CSO

Herramientas adicionales como ADSelfService Plus pueden hacer cumplir las medidas adoptadas en cualquier atributo de cuenta de usuario, incluso utilizando dispositivos móviles como el de la imagen.

La gestión de los privilegios de usuarios en un entorno de Windows, presenta numerosos retos para los administradores de TI.

Incidentes con Active Directory Las aplicaciones de misión crítica, los sistemas y la gestión de cuentas de correo elec-trónico residen en el Active Directory de Windows y, como resultado, un desastre AD puede tener un impacto costoso en los procesos de los negocios. En este sentido, se calcula que el coste del tiempo de inactividad de Active Directory puede ascender a 5 millones de dólares por hora para las organizaciones con un rango de empleados de entre 2000 y 5000, y a más de 5 millones por hora para las organizaciones con más de 5000 empleados. El coste de un desastre AD se eleva de inmediato, por lo que es fundamental recuperar todo de manera inmediata. Un reciente estudio demuestra cómo el 87% de las organizaciones han tenido inci-dentes o desastres con AD. A pesar de lo comentado, el 41% de las encuestadas dije-ron tener un sólido plan de recuperación ante desastres AD, y el 45% o no aprueba su plan por dificultad en la configuración, o no tienen los recursos apropiados para llevarlo a cabo. También se desprende que el 66% de los encuestados dijeron que se muestran reacios a hacer grandes cambios en las aplicaciones que utilizan AD, ya que no tienen un entorno válido en el que poner a prueba los cambios.



CSO ESPAÑA

MAYO 2016 | CSO

EN PRIMERA PERSONA

“La oferta tecnológica de seguridad es un puzle y tú eres el responsable de encajar las piezas”

JESUS MÉRIDA, CISO DE TÉCNICAS REUNIDAS

Técnicas Reunidas es un contra-tista general con actividad inter-nacional que se dedica a la in-geniería, diseño y construcción de instalaciones industriales

para clientes de todo el mundo, entre los que se encuentran compañías petroleras estatales y multinacionales, además de grandes grupos españoles. Su CISO, Jesús Mérida, desgrana la estrategia que sigue el grupo en materia de seguridad de la información.

¿Cómo ha cambiado la forma de en-tender y de aplicar el concepto de se-guridad en Técnicas Reunidas teniendo en cuenta el proceso de transforma-ción digital que están abordando todas las organizaciones?

Efectivamente el concepto de seguridad ha cambiado y lo que se ha hecho ha sido impulsarlo y dotarlo de una identidad glo-bal y para ello hemos creado un departa-mento dedicado exclusivamente a la segu-ridad de la información. Y matizo lo de

María José Marzal.-



CSO ESPAÑA

MAYO 2016 | CSO

EN PRIMERA PERSONA

seguridad de la información porque en Técnicas Reunidas no sólo nos centramos en la seguridad desde el punto de vista me-ramente tecnológico. En este sentido, nuestro reto es potenciar la alineación con negocio y para ello trabajamos estrecha-mente con aquellas áreas de dirección cuya operativa implica disponer de una mayor sensibilidad del dato. Hemos desarrollado multitud de proyectos de seguridad cu-briendo diferentes aspectos: protección de cifrado de documentos, monitorización de alertas… Entendemos que el negocio debe estar implicado porque es parte crítica en el tema de la seguridad y, en esta línea, queremos y necesitamos entender cuáles son sus necesidades para que la solución de seguridad que se implemente sea lo menos intrusiva para el usuario y conseguir que se sienta confortable utilizándola. No podemos actuar de inhibidor para negocio. Una de las funciones más importante de nuestro departamento es la de “evangeli-zar”; intentar que toda la organización en-tienda lo trascendente que es la seguridad y sobre todo cuando la relacionamos con el riesgo.

Técnicas Reunidas ha construido más de 1.000 plantas repartidas por todo el mundo, llegando muchas de ellas a es-

tar en zonas especialmente conflictivas como Extremo Oriente. ¿Cuáles son los puntos más críticos en seguridad?

A veces es más complejo gestionar obras remotas por el entorno. Hay que tener en cuenta que la exigencia del usuario en un proyecto, por ejemplo, en Arabia Saudí, en medio del desierto a 200 kilómetros de un núcleo urbano, implica que la infraestruc-tura no es la más adecuada. Hay unos lí-mites de transmisión de datos y para pa-liarlo hay que montar data centers. Es un trabajo que implica entender muy bien al cliente para poder ofrecerle las medidas de seguridad adecuadas sin entorpecer ni limitar su operativa ya que en este tipo de proyectos se trabaja en plazos ajustadísi-mos y el plazo de entrega es crítico. A pe-sar de ellos debo destacar que todos nuestros clientes entienden perfectamen-te nuestro trabajo y muestran un gran grado de colaboración, algo crítico para finalizar el proyecto con éxito.

¿Cómo resuelven, en general, los as-pectos de seguridad en dichas zonas?

Sí son áreas muy conflictivas y, en este sentido, siempre prefiero hablar de segu-ridad de la información. Intentamos explo-rar todo y también somos los responsa-

bles de las certificaciones. Tenemos tal nivel de interlocución con negocio que permite que entiendan que tomar medi-das de seguridad no es opcional.

Cuando Técnicas Reunidas inicia un proyecto de una planta de una refine-ría, la seguridad, como concepto glo-bal, ¿está contemplada desde el inicio?

Sí, es lo que estamos logrando con la creación de ese departamento que he co-

mentado anteriormente. Pero desde mi punto de vista lo más crítico en aspectos de seguridad es la concienciación. Una es-trategia de concienciación potente es el pilar sobre el que se sustenta la seguridad de la organización porque va a permitir establecer prioridades y crear un lenguaje único. Hay que entender que la seguridad lleva implícita normativas, procedimien-tos, legislación… y todos tenemos que en-tender que nuestras amenazas son las de

“ Una gran estrategia de concienciación es el pilar sobre el que se sustenta la seguridad

de la organización”



http://bit.ly/SERMAS_entrevista

http://bit.ly/entrevista_jesus_merida_CISO_tecnicas_reunidas

CSO ESPAÑA

MAYO 2016 | CSO

EN PRIMERA PERSONA

nuestros clientes. Si esto se consigue, el nivel de acogida de cualquier medida de seguridad es infinitamente mayor.

La transformación implica a concep-tos como cloud, big data, redes socia-les y la más impactante en cuanto a tráfico de datos es IoT, asociada a mul-titud de dispositivos. ¿Se incrementa el problema de la seguridad?

Efectivamente es una realidad que está ahí y tenemos que ser capaces de gestio-narla con las mayores garantías de segu-ridad del dato. Hay que tener en cuenta que las barreras se han diluido ya no te-nemos los firewalls que separan nuestra red de fuera. En este sentido, dispone-mos de una plataforma controlada y un listado de dispositivos permitidos y unos protocolos, además de los que se en-cuentran en periodo de análisis. Al hilo de este tema me gustaría señalar una de las funciones de nuestro departamento que es la de auditor.

Muchos de sus colegas del IBEX 35 ha-blan de ramsomware, hacktivismo, mafias internacionales... ¿Cómo lo contempla desde Técnicas Reunidas?

Todo eso está ahí y es real. No es algo

que se pueda obviar. Otro tema es que el riesgo hay que medirlo y ver si la probabi-lidad es alta, media baja.

¿Es cierta la carencia de profesiona-les altamente cualificados en aspectos de seguridad?

Efectivamente existe un gran porcentaje de puestos de trabajo específicos que cuesta mucho encontrar. En este sentido hemos decidido trabajar formando a nuestra gente. Creando nuestro propio plan de formación.

El mercado de la oferta tecnológica de seguridad crece de forma continua. ¿La tecnología disponible cumple con los requerimientos de Técnicas Reuni-das?

Como en todo hay que buscar la mejor relación calidad precio, aun así nosotros probamos todo. No compramos nada sin antes probarlo. Contestando a la pregun-tar, he de decir que en estos momentos la oferta tecnológica de seguridad es un puzle y tú eres el responsable de encajar las piezas. Por eso sí me gustaría que en algún momento surgiera una empresa que fuera capaz de garantizar todo el pro-ceso de seguridad desde el proceso hasta “ Hemos creado un departamento dedicado

exclusivamente a la seguridad de la información”



CSO ESPAÑA

MAYO 2016 | CSO

el final, desde el end-point hasta el proce-so de negocio… a los periféricos. Estoy se-guro que se ganaría una buena cuota de mercado.

Y, ¿es cara la tecnología para ciberse-guridad?

Sí, la tecnología para ciberseguridad es cara, por ello es necesario tener muy claro dirigir qué es lo que se quiere proteger y centrar los esfuerzos.

Últimamente se argumenta desde diferentes segmentos del mercado la necesaria integración de la seguridad física y la lógica. ¿Cuál es su opinión?

Por ahí debe ir la evolución.

Técnicas Reunidas esta en muchos países, ¿cuáles son los más exigentes con la seguridad?

Depende de cada empresa. En líneas generales hemos participado en precuali-ficaciones de clientes norteamericanos que exigen el blindaje completo de todo

el proceso. El cliente marca mucho pero sí es cierto que en EE.UU. entienden perfec-tamente y son conscientes de la necesidad de securizar; Europa está avanzando cla-ramente en este sentido y luego hay paí-ses que por sus circunstancias particula-res lo están asumiendo de forma muy rápida y otros como Extremo Oriente en donde en esos aspectos están un poco más atrasados.

¿Y España?En España nos estamos acercando poco

a poco a los niveles europeos y para lo-grarlo creo que es necesario desarrollar una cultura en torno a la seguridad.

¿Cómo entiende la alta dirección de Técnicas Reunidas la problemática de la seguridad?

Cada vez son más conscientes de la ne-cesidad de adoptar una política de seguri-dad. Otro aspecto importante es que nuestro departamento tiene un apoyo muy fuerte sobre todo desde la creación

del Comité de Seguridad que tiene repre-sentación en el comité de dirección. Hay que entender que la seguridad 100% no existe, por eso el reto está en mitigar el daño y en estar siempre alerta respecto a cualquier ataque ya que el espectro del defensor, es decir el nuestro, es mucho

más amplio que el del ciberdelicuente ya que éste solo sólo necesita de un pequeño resquicio para atacar.

¿Técnicas reunidas es una empresa segura?

Es confiablemente segura. CSO“ El negocio debe estar implicado porque es parte crítica en el tema de la seguridad”

EN PRIMERA PERSONA



CSO ESPAÑA

MAYO 2016 | CSO

ENTREVISTA

“El Internet de las Cosas debería aprender de seguridad”

JAMES LYNE, EL DIRECTOR DE INVESTIGACIONES GLOBALES DE SEGURIDAD EN SOPHOS

Redacción

JAMES LYNE HABLA CON CSO SOBRE LOS MAYORES RIESGOS DEL MOMENTO,

LAS CARENCIAS DE LAS EMPRESAS Y LAS TENDENCIAS EN CUANTO A

ESTRATEGIAS DE SEGURIDAD.



http://bit.ly/Fortinet_entrevista

CSO ESPAÑA

MAYO 2016 | CSO

ENTREVISTA

Con una conversación que acentúa la entrada de nuevos factores como el BYOT o el IoT, este “friki de la informá-tica” (como se define a sí mismo) ha querido resaltar la importancia de in-tegrar las diferentes soluciones de se-guridad:

Los ciberataques se están sofisti-cando cada vez más, ¿cuáles son los riesgos más importantes a los que se enfrentan las empresas y organizaciones?

Hay una gran cantidad de amenazas que afectan a las compañías a día de hoy, pero la más común es la infec-ción por medio de código malicioso, un tipo de ataque que compromete la información de la empresa y crea una amenaza interna. Es fácil para las em-presas distraerse del auténtico pro-blema con noticias sobre ciberataques más llamativos, por lo que pierden así la perspectiva de qué amenaza es la más probable y peligrosa. En particu-lar, es interesante ver cómo han me-jorado las estafas online; los hackers han aprendido a crear trampas para robar información en las que engañan a usuarios espabilados que normal-

mente sí sabrían evitar las estafas.Además, muchos negocios trabajan

desde una perspectiva desfasada en seguridad. Al tener un grupo de em-pleados con formación informática, las compañías tienen la falsa sensa-ción de seguridad, cuando en realidad son objetivos muy vulnerables.

¿Cuáles son los objetivos de los cibercriminales a día de hoy? ¿Cómo cree que evolucionarán?

La mayoría de los criminales tienen quieren simplemente conseguir dine-ro. Por supuesto también hay algunos hackers con fines políticos, o incluso con un plan más allá, pero en la ma-yoría de los casos quieren tus detalles bancarios. El interés financiero de es-tos criminales probablemente no va a desaparecer, aunque puede que sí cambien los mecanismos. Por otro lado, aquellos hackers cuyos fines son políticos van a ir aumentando signifi-cativamente.

Lo que deberíamos tener en cuenta es que cada vez tenemos más conec-tadas nuestras vidas personales y pro-fesionales, hecho que beneficia enor-memente a los cibercriminales. Una

cosa es segura: por las razones ya mencionadas solo podemos esperar que cada vez más grupos intenten sustraer nuestros datos.

¿Qué nos espera este año en tér-minos de ciberamenazas?

Es un cliché que ya se ha comentado, pero creo que el IoT va a ser una gran oportunidad para los hackers. Hasta ahora las brechas de seguridad se han dado en dispositivos que no interesan especialmente al cibercriminal normal. No contienen información personal o financiera hasta el punto de que me-rezca la pena atacarlos. Sin embargo, no hay que confundir que no haya grandes titulares sobre criminales

hackeando dispositivos IoT con que no haya vulnerabilidades en estos equi-pos: se trata de falta de interés. Aun así, en los próximos meses, son muy altas las posibilidades de que los hac-kers comiencen a atacar el IoT a su al-cance. Esta industria debería aprender de seguridad antes de que sus dispo-sitivos dejen de ser simplemente ju-guetes para convertirse en equipos que sangran datos personales o pro-fesionales.

La escalada de amenazas no se ha acompañado con un aumento de la inversión en seguridad o en perso-nal que cubra los riesgos, ¿qué piensa al respecto?

“Lo que interesa a los hackers es el dinero, sus mecanismos se van a ir

sofisticando cada vez más”



CSO ESPAÑA

MAYO 2016 | CSO

ENTREVISTA

Según el tamaño de la empresa, las organizaciones tendrán uno u otro tipo de problemas de seguridad: por ejem-plo, las grandes compañías tienen un presupuesto asignado a seguridad en paquetes de productos y servicios. Aunque una defensa en profundidad es una estrategia muy válida, requiere un control muy acertado de implemen-tación, una configuración precisa y un seguimiento de todo ello para que ten-ga un valor real. Tristemente muchas de estas soluciones son extremada-mente complejas y las organizaciones cometen el error de no apreciarlas.

Para las pequeñas empresas la situa-ción es diferente: normalmente el pre-supuesto es muy ajustado y no se pueden permitir el lujo de manejar varios controles de seguridad. Esto ya les dejaba en una posición vulnerable incluso antes de que hubiese tantas amenazas como ahora.

Hay muchas formas de solucionar estos problemas y priorizar la segu-ridad, pero es importante para los dos grupos de empresas que se den cuenta de que la seguridad es clave para el negocio. Esto permitirá a las compañías utilizar una gama más amplia de controles de seguridad y permitirá a la pequeña empresa be-neficiarse de mayor seguimiento con menor presupuesto.

¿Cuáles deberían ser las priorida-des de las compañías en esta área?

Es complicado generalizar en conse-jos de seguridad, sobre todo teniendo en cuenta que conocer las necesida-des de las empresas así como sus riesgos es lo que asegura la efectivi-dad. Dicho esto, creo que la protec-ción efectiva combinada end-to-end-point y de red es vital.

Sean cuales sean las políticas de im-

plementación, por ejemplo en el filtra-do de webs, deberían ser consistentes tanto en el trabajo como en casa. Por lo tanto, considero que una estrategia de seguridad que proteja al usuario de manera consistente, sea cual sea el lugar de uso, debería ser el pilar de la seguridad de cualquier negocio. Ha-ciendo esto, los equipos de seguridad podrán entonces enfocarse en cues-tiones más avanzadas.

¿Qué podrían o deberían ofrecer las compañías de seguridad, como Sophos, para cambiar esta situa-ción?

He pasado los últimos once años en Sophos viendo cómo las amenazas han evolucionado mientras que las prácticas de las empresas cambiaban. Durante este tiempo he trabajado con

el Laboratorio de la compañía y con el equipo de ingeniería para encontrar soluciones creativas que protejan a las personas. Creo que una de las co-sas más importantes que hemos he-cho ha sido integrar mejor la selección de funciones de seguridad, haciéndo-las más simples y fáciles de adaptar.

En este momento nos hemos enfo-cado especialmente en integrar el end-to-end-point y la red, un aspecto de nuestros servicios que permite una mejora en la seguridad que no se pue-de conseguir de forma aislada. Funda-mentalmente, la forma de los nego-cios de trabajar a día de hoy y la escalada sin precedentes del cibercri-men han forzado a la seguridad a cambiar, un emocionante camino que transforma la manera de implementar la seguridad. CSO

“La integración efectiva de protección ‘end-to-end-point’ y de red es

la prioridad en seguridad”

“El IoT va a ser una gran oportunidad para los hackers”



CSO ESPAÑA

MAYO 2016 | CSO

ENTREVISTA

“Somos la única empresa de seguridad con conexión entre el mundo físico y el lógico”

ISAAC GUTIÉRREZ, DIRECTOR DE LA UNIDAD DE CIBERSEGURIDAD DE PROSEGUR

¿Sigue siendo la apuesta por la ciber-seguridad un claro diferencial para Prosegur?

Somos la única empresa del mundo de seguridad física que contempla la ciber-

seguridad como uno de los ejes estraté-gicos, lo que nos permite ofrecer un con-cepto de seguridad 360. Hay que tener en cuenta que las organizaciones perci-ben cada vez más la seguridad como

María José Marzal

PROSEGUR CUMPLE DURANTE ESTE AÑO SUS PRIMEROS 40 AÑOS DE

OPERATIVA EN EL SECTOR DE LA SEGURIDAD, SIENDO UN REFERENTE A ESCALA

MUNDIAL. HACE APROXIMADAMENTE DOS AÑOS ANUNCIÓ LA CREACIÓN DE

UNA DIVISIÓN DEDICADA DE FORMA EXCLUSIVA A LA CIBERSEGURIDAD. SU

MÁXIMO RESPONSABLE, ISAAC GUTIÉRREZ, DETALLA ESTA ESTRATEGIA A CSO.



CSO ESPAÑA

MAYO 2016 | CSO

ENTREVISTA

como un todo; algo lógico ya que la co-nexión entre los datos de la seguridad física y la lógica cada vez es mayor. En cuanto al diferencial, es cierto que so-mos la única compañía de seguridad ca-paz de interpretar mensajes o alarmas que vienen del mundo físico y pasarlas al mundo lógico. Me explico, por ejem-plo, en la solución de securización de cajeros se plasma esta conexión entre el mundo físico y el lógico: nuestro negocio de gestión de efectivo y transporte de fondos dispone de una solución que se-curiza el cajero y además somos capaces desde nuestro centro de operaciones de gestionar cualquier tipo de incidencia que se produzca en un ATM. Un proceso que garantiza la seguridad de la opera-ción de principio a fin y esto casi ninguna empresa de tecnología lo puede ofrecer porque carecen de la conexión entre el mundo físico y el lógico. Prosegur es la única empresa que puede ofrecer esa conexión entre los dos mundos.

Prosegur tiene como clientes a los IBEX 35 y a las mayores empresas del mundo. ¿Cómo han recibido su incur-sión en el mundo de la ciberseguridad?

De forma general al principio causa

cierta sorpresa pero cuando escuchan nuestro mensaje, único y diferenciador, perciben el valor de nuestra propuesta. Muchos de ellos nos han probado y ahí les demostramos todo nuestro poten-cial y las garantías de trabajar con noso-tros. Es una cuestión de confianza. Y lo cierto es que cada vez más nos empie-zan a considerar como un partner en seguridad ya que perciben el valor de Prosegur en una propuesta de seguri-dad en mayúsculas. No hay que olvidar que nuestras soluciones incorporan muchísimo conocimiento sobre seguri-dad y esto, además, nos permite adap-tar y parametrizar nuestras soluciones a las necesidades específicas de seguri-dad de cada cliente.

¿Entiende que la integración de la se-guridad lógica y la física será algo no opcional?

Las empresas que en estos momentos lo conciben como dos mundos indepen-dientes están condenadas a que esas unidades se hablen y se integren y cada vez más. Cuando se elabora un plan de seguridad no se puede obviar ni la física ni la lógica. Hablamos de un plan de se-guridad integral y esto será una necesi-

dad crítica cuando se desarrollen todas las iniciativas alrededor de IoT y en ese nuevo escenario ya no tendrá ningún sentido separar los dos mundos. Esto es lo que ha visualizado Prosegur para el futuro próximo y ha desarrollado las so-luciones que permitan operar a las or-ganizaciones en ese nuevo escenario con una total seguridad.

¿Cree que el paso que ha dado Prose-gur abre un nuevo mercado por explo-tar?

El paso que hemos dado es muy inte-

resante puesto que somos la única em-presa privada de seguridad física que ofrece soluciones de ciberseguridad. No solo eso, sino que nuestras soluciones han sido diseñadas conjuntamente con el resto de unidades de negocio con lo cual enriquecen la solución. Una solu-ción en la que dejamos patente que la seguridad –sea la que sea– está en el ADN de Prosegur. De cara al mercado,

estoy seguro de que nuestros competi-dores seguirán la ruta que ha abierto Prosegur.

¿Cree que se ha formado ya un gap claro entre las empresas de seguridad y Prosegur?

Efectivamente. De hecho muchas grandes empresas están homogenei-zando el concepto de seguridad y es el mismo interlocutor para hablar del con-cepto de seguridad único y con mayús-culas.

Antes ha mencionado cómo IoT va a cambiar de forma drástica todo lo re-lacionado con la seguridad. ¿Qué está haciendo Prosegur en este sentido?

Prosegur está trabajando de forma muy decidida en todo lo relacionado con infraestructuras críticas y desarro-llado soluciones específicas en este sentido, como pueden ser los sistemas SCADA.

“Somos la única compañía de seguridad capaz de interpretar alarmas del mundo físico y

gestionarlas en el mundo lógico”



http://bit.ly/entrev_isaac_gutierrez_prosegur

CSO ESPAÑA

MAYO 2016 | CSO

ENTREVISTA

¿Cuál es su opinión acerca de aque-llas organizaciones que se escudan en la falta de seguridad para no abordar proyectos de transformación digital?

En este sentido podría afirmar que la tec-nología ha evolucionado tanto que la situa-ción podría ser la contraria y la seguridad de la información ya se ha posicionado como una palanca para transformar el ne-gocio. Son muchas las empresas que han

crecido mucho en base a su apuesta tec-nológica olvidando o relegando la parte de la seguridad y es ahora cuando pueden empezar a tener problemas y es obligato-rio que den los pasos necesarios para adaptarse a esta realidad. En definitiva, la seguridad debe ser una palanca para po-der transformar el negocio, nunca debe ser un obstáculo para este último y para ello debe ofrecer alternativas. Esto se con-

sigue contemplando la seguridad desde el minuto uno de cualquier proyecto.

Prosegur opera a nivel mundial, ¿cuál es el riesgo que se está asumiendo en la em-presa española en tema de seguridad?

Aquí depende del nivel de inversión de los CISO, pero existen muchas empresas que no son conscientes ni remotamente del riesgo que están asumiendo todos los

días. No podemos olvidar que los delitos relacionados con la ciberseguridad cons-tituyen una amenaza que está ya por de-lante del tráfico de armas y va a más por varios factores: porque es anónimo, la rentabilidad es enorme para ellos y, ade-más, la tecnología relacionada con la se-guridad evoluciona a un ritmo tremendo y esto es beneficioso para los buenos pero también para los malos. CSO

“La seguridad debe ser contemplada como una palanca para poder transformar el negocio”

“Existe mucha gente trabajando en la sombra para robar conocimiento o simplemente hacer daño”

Deep Web, ransomware, hacktivismo… ¿es para asustarse lo que existe?Sí, es para asustarse, pero es como en todo en la vida hay que marcar unas pautas para hacerle frente. Hay que tener en cuenta que el perfil del atacante está cambian-do de forma radical. Antes asaltaban un cajero físico y la policía lo podía detener. Ahora, en cambio, los efectos negativos no se perciben desde un principio. Además, hay que tener en cuenta que existe mucha gente trabajando en la sombra para robar conocimiento o simplemente hacer daño.

¿La empresa española está concienciada de esta situación?Cada vez son más conscientes de esta realidad sobre todo si lo perciben desde la óptica de negocio. Aun así, todavía falta dar muchos pasos para alcanzar un grado de concienciación más profundo sobre la seguridad. No hay que olvidar que son todavía bastantes los directivos que perciben la seguridad única y exclusivamente como un tema de costes.



CSO ESPAÑA

MAYO 2016 | CSO

LEGISLACIÓN

Directiva europea sobre ciberseguridad: más cooperación y nuevas obligaciones

El pasado 17 de mayo de 2016, fecha en la que se celebraba el Día de Internet, el Consejo de la Unión Europea (“el Consejo”) aprobó, en primera lectura, la

Directiva del Parlamento Europeo y del

Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de infor-mación en la Unión. Cabe recordar que en diciembre de 2015 el Consejo y el Parla-mento Europeo alcanzaron ya un acuerdo

informal sobre la citada Directiva. El obje-to de la Directiva es “lograr un elevado ni-vel común de seguridad de las redes y sistemas de información dentro de la Unión a fin de mejorar el funcionamiento del mercado interior”, siendo por tanto

uno de los instrumentos clave, junto con otras normas como el recién publicado Reglamento (UE) 2016/679 (Reglamento general de protección de datos), para im-pulsar el Mercado Único Digital. A tal fin, en el caso de los Estados miembros, se

EL PASADO 17 DE MAYO EL CONSEJO DE LA UNIÓN EUROPEA APROBÓ, EN PRIMERA

LECTURA, LA DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO RELATIVA A LAS

MEDIDAS DESTINADAS A GARANTIZAR UN ELEVADO NIVEL COMÚN DE SEGURIDAD DE

LAS REDES Y SISTEMAS DE INFORMACIÓN EN LA UNIÓN. LA ANALIZAMOS A FONDO.

Miguel Recio, abogado experto en protección de datos y TIC y fundador de GDPC



http://data.consilium.europa.eu/doc/document/ST-5581-2016-REV-1/es/pdf





http://www.consilium.europa.eu/en/press/press-releases/2015/12/08-improve-cybersecurity/

http://www.consilium.europa.eu/en/press/press-releases/2015/12/08-improve-cybersecurity/

CSO ESPAÑA

MAYO 2016 | CSO

LEGISLACIÓN

establecen, entre otras, las obligaciones tanto de adoptar una estrategia nacional de seguridad de las redes y sistemas de información como de crear un Grupo de cooperación para apoyar y facilitar la coo-peración estratégica y el intercambio de información.

Por lo que se refiere a las empresas, ya que establece también obligaciones para

el sector privado, hay que tener en consi-deración el ámbito de aplicación de la mis-ma, ya que por ejemplo los requisitos de seguridad y notificación previstos en ésta no serán aplicables a las empresas que suministran redes públicas de comunica-ciones o prestan servicios de comunica-ciones electrónicas disponibles para el público y se entenderá sin perjuicio de la normativa que ya es aplicable a las in-fraestructuras críticas europeas.

En la versión aprobada por el Consejo, a falta de la aprobación definitiva por el Parlamento Europeo, se prevé que los Es-tados miembros tendrán que identificar a los operadores de servicios esenciales en un plazo máximo de 27 meses desde la entrada en vigor de la Directiva. Confor-me al Anexo II de la citada Directiva, entre dichos operadores de servicios esenciales

se encuentran, a modo de ejemplo, los gestores de la red de distribución eléctri-ca, los operadores de instalación de cru-do, las empresas suministradoras de gas, las compañías aéreas, las entidades ges-toras de aeropuertos, las entidades de crédito, los proveedores de servicios de DNS o los registros de nombres de domi-nio de primer nivel.

Estos operadores de servicios esencia-les tendrán que adoptar “medidas técni-

cas y de organización adecuadas y pro-porcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que uti-lizan en sus operaciones”, tal y como es-tablece el artículo 14.1 de la Directiva. Y también tendrán la obligación de notifi-car “sin dilación indebida a la autoridad competente o al CSIRT los incidentes que tengan efectos significativos en la conti-nuidad de los servicios esenciales que prestan” (artículo 14.3).

Igualmente, y entre otras obligaciones, los proveedores de servicios digitales tendrán que adoptar “medidas técnicas y organiza-tivas adecuadas y proporcionadas para gestionar los riesgos existentes para la se-guridad de las redes y sistemas de informa-ción que se utilizan en el marco de la oferta de servicios en la Unión” (art. 16.3). Según el Anexo III, dichos servicios digitales son los relativos a mercados en línea, motores de búsqueda en línea (buscadores) y servi-cios de computación en nube.

El texto de la Directiva, según ha sido apro-bada por el Consejo, prevé también que las medidas nacionales de transposición con-templen sanciones “efectivas, proporciona-das y disuasorias” (art. 21). Por tanto, habrá que estar a lo que establezca la normativa

por la que se transponga a nuestro ordena-miento jurídico dicha Directiva.

Más margen de maniobraAl tratarse de una Directiva, y a diferencia de lo que ocurre con un Reglamento, al me-nos en teoría, que es aplicable directamen-te, queda un cierto margen de maniobra para que el legislador nacional adopte me-didas relativas a la transposición de aquélla. En este sentido, como se indica en el artícu-lo 3, incluso los Estados miembros pueden “adoptar o mantener disposiciones con el objeto de alcanzar un mayor nivel de segu-ridad de las redes y sistemas de información”.

Si bien quedan todavía algunos pasos formales para la aprobación definitiva de dicha Directiva, ya que falta la aprobación en segunda lectura por el Parlamento Eu-ropeo, y su publicación en el Diario Oficial de la Unión Europea, el Consejo ha ade-lantado ya que se espera que la misma entre en vigor en agosto de 2016, veinte días después de dicha publicación. Desde la entrada en vigor de la Directiva los Es-tados miembros tendrán 21 meses para adoptar las disposiciones legales, regla-mentarias y administrativas necesarias para su transposición al ordenamiento jurídico nacional. CSO

“El objeto de la Directiva es ‘lograr un elevado nivel común de seguridad de las redes y sistemas de información dentro de la Unión a fin de mejorar el funcionamiento del mercado interior”



CSO ESPAÑA

MAYO 2016 | CSO

OPINIÓN

Riesgos globales, ciberseguros y complacencias

El llamado riesgo digital ha pasa-do a convertirse en uno de los mayores riesgos globales a que se enfrenta la actual economía mundial. Una aseveración que

no sólo parte de tecnólogos reputados sino de organismos preocupados neta-mente por el ámbito económico, como es el caso del Foro Económico Mundial. En su última reunión los ciberataques tuvie-ron un nivel de protagonismo similar al

de otros grandes riesgos sistémicos como las catástrofes medioambientales o las migraciones involuntarias. Entre las posi-bles soluciones comentadas para paliar tal amenaza destaca la creación de están-dares internacionales, para luchar contra el cibercrimen y proteger activos de valor como las llamadas infraestructuras críti-cas.

Dentro del conjunto de medidas y pro-puestas que van surgiendo a nivel inter-

nacional para impulsar la innovación en esta materia, crear nueva regulación a nivel mundial y construir soluciones que maximicen la confianza digital, encontra-mos aquellas iniciativas que tienen como fin transferir el ciberriesgo a que se en-frentan las organizaciones. Así, tenemos los productos de ciberseguros que cada vez van encontrando mayor respuesta a nivel estadounidense y europeo. Si bien en su origen tales propuestas se centra-

ban prioritariamente en lo referido al ám-bito de la protección de datos, hoy en día las coberturas existentes incluyen la ges-tión de incidentes de ciberseguridad, su investigación y costes legales, la elimina-ción de virus informáticos o las pérdidas ocasiones por extorsiones informáticas.

Por otro lado, la contratación de este tipo de productos puede en principio lle-var aparejado una mejora de las medidas de seguridad existentes. Esto se debe a la

José Antonio Rubio, presidente del Digital Trust Think Tank de IDG



CSO ESPAÑA

MAYO 2016 | CSO

posibilidad de que las aseguradoras exi-jan un nivel de madurez mínimo al cliente antes de solicitar tal producto, o la posibi-lidad de acceder a primas reducidas. Asi-mismo, la contratación de estos produc-tos es una muestra de que la organización lleva a cabo la debida diligencia sobre todos los riesgos a que se enfrentan sus activos, siendo por tanto un elemento a su favor en posibles causas judiciales y un marchamo de excelencia ante los diferen-tes stakeholders.

¿Soluciones maduras?No obstante, dentro del carácter rotun-

damente positivo de estas iniciativas debe-mos preguntarnos si tales productos han alcanzado el grado de madurez suficiente como para considerarlos un elemento de excelencia. Para responder a esta pregun-ta debemos identificar la forma en que las empresas aseguradoras identifican y eva-lúan el nivel de riesgo de las organizacio-nes. En este sentido, en la mayor parte de ocasiones nos encontramos ante formula-rios con bloques de preguntas, las cuales el cliente debe responder afirmativa o ne-gativamente sin aportar ningún tipo de do-cumentación o evidencia posterior. Es de-cir, clientes bienintencionados pueden

creer erróneamente que cumplen con una medida de seguridad solicitada cuando la realidad es que tal elemento no existe en su organización, o en caso de hacerlo no cumple con los mínimos niveles de efecti-vidad. Por otro lado, clientes malintencio-nados pueden tratar de trasladar un pano-rama de madurez que nada tiene que ver con la realidad de la organización.

Ante esta situación muchas compañías aseguradoras sólo plantean breves e incom-pletas evaluaciones de la página web de los clientes, medida que dista de ser óptima y que además adolece de una continuidad en el tiempo. Es decir, no existe una cuantifica-ción constante y en tiempo real de cómo evoluciona la ciberseguridad de las organi-zaciones aseguradas, lo cual sumado a otros muchos factores de este tipo de productos (siendo uno de ellos el comentado anterior-mente) hace pensar en que son muchas las posibilidades de mejora existentes. Por tan-to, debemos acoger de forma positiva todas aquellas medidas que buscan elevar el nivel de seguridad de las organizaciones, sin caer en complacencias y buscando siempre me-jorar el nivel de madurez tanto de las orga-nizaciones como de los productos que pone a su disposición el mercado para mejorar la confianza digital global. CSO

“El llamado riesgo digital ha pasado a convertirse en uno de los mayores riesgos

globales a que se enfrenta la actual economía mundial”

“Los productos de ciberseguros cada vez van encontrando mayor respuesta a nivel

estadounidense y europeo”

OPINIÓN



CSO ESPAÑA

MAYO 2016 | CSO

OPINIÓN

Ponga un ‘big data’ en su vida

Ponga un big data en su vida. No sólo de pan vive el hom-bre, también de big data. No por no usar un big data amanece más temprano…

Aunque nos resistamos, cada vez todo es más big data. Puede que inicialmente esta tendencia se implementara y se ex-plotara más en los ámbitos de las eco-nomía y las finanzas, o en el deporte y ahora las apuestas deportivas, los jue-

gos y casinos online, pero en estos tiem-pos todo negocio que quiera mantener-se a flote, crecer o impulsarse necesita de esta tecnología, de esta potencia, de esta capacidad.

Si nos ceñimos al campo de la segu-ridad, y más concretamente al de la ciberseguridad, el espectro de aplica-ción es enorme: análisis y correlación de eventos, detección proactiva, miti-gación, prevención de ciberataques,

etc. en definitiva inteligencia en ciber-seguridad. El Big Data (y ya lo pongo en mayúsculas) es una tecnología que está aportando mucho en un ámbito como el de la ciberseguridad que nun-

ca acaba de alimentarse satisfactoria-mente de datos, nunca es suficiente, cuanto más mejor, y además la deses-tructuración ya no es un problema, no es un hándicap, porque asimismo otras

Marcos Gómez Hidalgo, subdirector de Servicios de Ciberseguridad de la Dirección de Operaciones de INCIBE

EL ‘BIG DATA’ ES UNA TECNOLOGÍA QUE ESTÁ APORTANDO MUCHO EN UN

ÁMBITO COMO EL DE LA CIBERSEGURIDAD QUE NUNCA ACABA DE ALIMENTARSE

SATISFACTORIAMENTE DE DATOS.

“Si nos ceñimos al campo de la seguridad, y más concretamente al de la ciberseguridad, el

espectro de aplicación de ‘big data’ es enorme”



CSO ESPAÑA

MAYO 2016 | CSO

tecnologías han hecho posible que el almacenamiento no supongo una ba-rrera, y que la capacidad de computa-ción esté ávida de procesar cada vez más datos e información.

En la ciberseguridad es una condición inevitable y necesaria conocer a tu opo-nente, a ese cibercriminal o ciberterro-rista, a ese hacktivista malicioso, a ese cracker que intenta vulnerar tus siste-mas, y qué mejor forma de conocerlo que sabiendo cómo opera, su modus operandi antes criptológico ahora se nos abre un poco más a expertos, fuer-zas y cuerpos de seguridad del Estado, organismos de inteligencia, y es más fácil conocer al malhechor, al ciberata-cante, y también lo que busca, y por tanto proteger mejor los sistemas y las

redes, los procedimientos, las perso-nas, la información.

Big Data nos da esto, pero nos tiene que dar mucho más, porque estamos en un proceso continuo de aprender que nos puede dar, de ayudarnos en di-señar mejores reglas, en poder definir mejor los indicadores de compromiso (IOC), en realizar ese performance & tunning de nuestras medidas y contra-medidas de ciberseguridad. No existe mecanismo infalible y por lo tanto los falsos positivos y los errores de la tec-nología existen, pero cada vez son me-nos, cuanta más información, más muestra, más datos reales, más fuentes (aunque inconexas), más fiable es la tec-nología, porque aprende, nos enseña, la enseñamos, y vuelve a aprender.

No se nos puede escapar que esta misma tecnología está siendo utilizada por organizaciones de toda índole para saber los puntos débiles de usuarios, empresas y gobiernos, y que hay go-biernos que se apoyan en ellas para defenderse o quizás algo más. Que una herramienta de conocimiento e inteli-gencia es válida para el bien y para el mal (la ciberdelincuencia, el cibeterro-rismo, y sobre todo la ciberguerra), y que cada vez la frontera entre ese bien y ese mal es más tenue. Conoce mejor a tu adversario nos adoctrina el Arte de la Guerra, pero conoce también mejor a tu aliado. Pero, y ¿si ese “alguien” está en la Deep Web?, ¿también nos servirá? Si, como dice algún estudio, en la última década se ha creado más información que en toda la historia de la humanidad (es verdad que ahora somos más, hom-bres, mujeres y máquinas, estas últimas producen más información dicho que-da), y nosotros parece que ya somos capaces de procesarla… ¿Cuál es enton-ces el desafío? ¿Ordenarla? ¿Blindarla? ¿Cifrar la más sensible y crítica? En el caso de INCIBE nuestro Modelo de In-teligencia en Ciberseguridad es capaz de analizar y procesar ya casi 10 millo-

nes de eventos diarios entre IP, URL, dominios, muestras de malware, etc. Y gracias a esa capacidad de los 50.000 incidentes que resolvimos en 2015 el 90% había sido detectado proactiva-mente por nuestros sistemas y exper-tos. Luego la utilidad en primera instan-cia está clara, nos ayuda a mejorar nuestros procesos, servicios, sistemas, etc., y en definitiva a prevenir y mitigar mejor los ataques en el ciberespacio.

No debemos olvidar por otro lado que el Big Data ha traído una oportunidad de desarrollo de negocio importante, que parece viene a quedarse, y que une diversos campos que antes tenían ver-daderas dificultades para entenderse o complementarse, la consultoría, la ope-ración de servicios gestionados, el aná-lisis de amenazas, la inteligencia en ci-berseguridad, etc. Es por ello que nos encontramos cada vez más con peque-ñas, medianas y grandes empresas que ya disponen en su portfolio de servicios o productos “algo” de Big Data, y tam-bién son cada vez más las empresas que demandan servicios o productos para el desarrollo de sus operaciones. Por todo ello, y como decía, ponga un Big Data en su vida. CSO

“No se nos puede escapar que esta misma tecnología está siendo utilizada por

organizaciones de toda índole para saber los puntos débiles de usuarios, empresas y gobiernos, y que hay gobiernos que se apoyan en ellas para defenderse o quizás algo más”



http://www.idg.es

Jesús Mérida - Computerworldcso.computerworld.es/pubs/CSO04/offline/download.pdfo Riesgos...

Documents

Transcript of Jesús Mérida - Computerworldcso.computerworld.es/pubs/CSO04/offline/download.pdfo Riesgos...