Junio 2018

• •

ad de Negocio de 0ylo Trust

Ulilities, profun­ad industrial en

e profesionales ridad, el cual una alarman-

re la oferta y la analizado por

erente del Área ustria y Apoyo a cibe, quien des­rie de medidas está llevando a

uta para la pro-ción y retención 1 sector.

11

1 1 ;ticas de los cualifi­een unos requisitos nejo de información mente, Félix Barrio,Talento, Industria y lncibe, desde la óp­• analizó el mercado · ciberseguridad, el , complejo reto ante1 existente entre lade talento. En este

losó toda u na serieo qu,��s¡��

��-�-�·=

·=, -���-�=--r -�-'f'"��� �

- ,¡,._-.;.�- -=;,..,, ... "''rl:--�=-�,'1'�f1'' ....

'A -�•�r

. � ! . . " . '

.. . ¡Í,.., ! . . .-. - t1:f- \' .-.(-... � - \i_ - •· 7,

�� �,..� . / l '\ .

,,.,,, _ ·- (11 ,i, ► ¡�· . ...:.: \t ,:,

'j/:�

'�►J�; íJ_.fJi�; -

� .. �,,..-· ' :__' ii �) . r· • o .;�.. -

Jordi Aymerich, lnformation Security Manager de Grupo Ri­chemont para EMEA, y Gerard Cervelló. Director General de Blueliv, explicaron qué pasos acometieron para implementar una seguridad que cumple con el RGPD, donde la monitoriza­ción externa a través de la ciberinteligencia es vital para mitigar las amenazas en brechas de datos.

La importancia de contar con un S0C para orquestar la seguri­dad de cualquier negocio fue intensamente manttestada por JoséRamón Monleón, CIS0 Corporativo de 0range España y Juan Miguel Velasco, CEO de Aiuken Cybersecurity, Lo corroboraron a través del proyecto de creación de un iS0C para 0range, que ha supuesto un gran salto cualitativo para la operadora.

a cabo el Instituto para la promoción, captación y retención del talento entre las que se encuentran CyberCamp, Summer BootCamp, competiciones técnicas CTF, CyberEmprende, CyberSecurity Ventures, así como MOOC gratuitos, entre otras muchas iniciativas, de las que agradeció "la colaboración con el sector privado".

Claves en la mitigación de amenazas

La segunda jornada del encuentro co­menzó bajo la batuta de Manuel Carpio,reputado experto, quien dirigió las suce­sivas conferencias bajo un nuevo prisma como el que mostraron Eduardo García,

CISO de Everis, Sara Rivera, Manager de Ciberseguridad responsable de GRC & BC de la misma, junto con Claudia Beatriz Gómez, Directora de Líneas Financieras de Aon Risk Solutions. Estos tres profe­sionales detallaron cómo se combina el gobierno de la ciberseguridad en una gran tecnológica transnacional como Everis con estrategias de mitigación, entre las que destaca la contratación de seguros de responsabilidad profesional y ciberseguros.

Por su parte, y de la mano de Ferro­vial y PwC, los asistentes disfrutaron a continuación de una de las conferencias estelares de la XXIX edición del congreso,conociendo la auténtica revolución que se avecina con los vehículos conectados y cómo se gestiona la ciberseguridad en las flotas conectadas. En concreto, Román Ramírez, Gerente de Operacio­nes y Arquitecturas de Seguridad en la Dirección de Seguridad de la Información

.• -- - J..::.:a. _ .-,_

El proyecto de Acciona de gestión avanzada de vulnerabilidades lle­vado a cabo junto con Capgemini fue el leit­motiv de la exposición de Alberto Ruiz, CIS0 de Acciona , y JuanCarlos Pascual, Jefe de Proyecto de Gestión de Vulnerabilidades en Capgemini.

H.ifP::.;..

�-�1, · ... �--· ��··· J',

de Ferrovial, y Juan Carlos Díaz, Director de Ciberseguridad en el área de Business Security Solutions de PwC, desvelaron

_ cómo se articula la seguridad del servicio Zity, tratando de proteger la confidencia­lidad de los datos, la disponibilidad del servicio, la reputación de la compañía, la seguridad de las comunicaciones así como de la plataforma en general.

Finalizando este bloque, AlejandroRivas-Vásquez, Director en el área de Ciberseguridad, responsable de Energía, Industria e Infraestructura de KPMG, y Javier Rubio, Gerente de Gobierno de Seguridad y Continuidad de Negocio en la Dirección de Seguridad de la Informa­ción de Ferrovial, compartieron con la audiencia un proyecto llevado a cabo entre ambas firmas sobre la creación de una metodología basoda en patrones de arquitectura segura, un modelo ca­racterizado por su "nproximación a la industriallzaclón deformo certificada de la

de trabajnr di'.' tllflirentes equipos

.,::. :�

�· J ••. � �

-� - ... �_¡·'y en diferentes geografías", como bien resaltó Rubio. Como ejemplo, el experto de Ferrovial detalló el proyecto de Oficina Externa donde se quería conectar un en­torno de TI corporativo a su entorno de centro de datos, así como la experiencia en el desarrollo de patrones de seguridad para microservicios.

Ciberseguridad en entornos OT

Con Miguel García-Menéndez, Vi­cepresidente del Centro de Seguridad Industrial (CCI) como moderador, daba comiendo un análisis del estado del arte de la ciberseguridad en la gestión de las infraestructuras críticas, donde se destacó la importancia de concienciar a la alta dirección, "también a nivel de adminis­tración pública", como apelaba Juan LuisPozo, CISO y Director de Sostenibilidad Corporativa de Global Omnium, quien presentó junto con Rafael Rosell, Director Comercial de 52 Grupo, el proyecto llevado

103

1 :��

11 ti "¾ ..•

�Jesús Mérida, CIS0 de Técnicas Reunidas, y Jorge Uya, Di­rector de Operaciones de lnnotec -Grupo Entelgy-, fueron los encargados de exponer un modelo cuyo objetivo era aumentar las capacidades de monitorización y respuesta de Técnicas Reunidas. destacando el trabajo de los analistas para aportar ciberinteligencia y reducir el número de falsos positivos.

Alejandro Ramos, Responsable Global de Seguridad Digital de Grupo Telefónica y Pedro Pablo Pérez, Vicepresidente de Seguridad de Telefónica y CEO de ElevenPaths, describieron a la audiencia un proyecto de seguridad avanzada ligada a la parte de anticipación, donde resalta la labor de los 16 CSIRTs y las fuentes de inteligencia que posee la operadora.

a cabo conjuntamente ambas compañías. Dicho proyecto conllevó el diseño de un SOC focalizado en las operaciones OT denominadoCiberSOC yen el que destacó la implantación de una infraestructura real de demostración y entrenamiento.

De igual forma, Jesús Peña, Gerente de Riesgos y Continuidad de Negocio de Aguas Andinas, y Eduardo Di Monte, CEO deOylo Trust Engineering & Cybersecurity Board Advisor for Utilities, profundizaron sobre la orquestación de la ciberseguridad industrial en procesos críticos. Por un lado, desde un punto de vista estratégico, donde nuevamen­te se destacó la importancia de concienciar a la junta directiva, además de atender a la gestión del riesgo integral, la toma dedecisio· nes en base a datos, el uso de metodologías multimarca y tener la capacidad de detectar anomalías, entre otros aspectos. Y. por otro, desde un punto de vista táctico, a través de la identificación de activos, aplicación de medidas de control y protección a través de un modelo de datos único, y la creación de un sistema de orquestación y visualización de la ingesta de datos.

A continuación, la audiencia tuvo la oportunidad de conocer de primera mano el proyecto de Acciona de gestión de vulnerabilidades que ha llevado a cabo junto con Capgemini. En este sentido, Alberto Ruiz, CISO de Acciona, y Juan Carlos Pascual, Jefe de Proyecto de Ges­tión de Vulnerabilidades en Capgemini, explicaron cómo "el cambio cultural ha sido fundamental", según Pascual, con el apoyo del CISO como figura conciliadora. Ahora, "dotar,de madurez al proceso, es vital�punt�1Ízab;i�8ui�.

104

Acto seguido, Javier García Carmena, CEO de Dara Norte Consulting, subía a la palestra para moderar las ponencias vespertinas de la segunda jornada de Securmática. Por un lado, Jordi Ayme­rich, lnformation Security Manager de Grupo Richemont para EMEA, y Gerard Cervelló, D.irector General de Blueliv, explicaron qué pasos llevaron a cabo para implementar una seguridad que cumple con el RGPD y en donde, en este caso, un punto destacado fue la monitorización externa como medida para mitigar las amenazas de brechas de datos a través del uso de la ciberinteligencia.

Seguidamente, Enrique Cubeiro, Jefe de Operaciones del Mando Conjunto de Ciberdefensa del Ministerio de Defensa, acaparó la atención de los presentes expli­cando la realidad de una idea en la que al mismo tiempo que crecía en interés se lle­naba de polémica: la ciberreserva. Cubeiro quiso aclarar en su intervención la injusta difusión que han hecho la gran mayoría de medios de comunicación desglosando 1 O ideas clave de este proyecto y desmintiendo contundentemente "la falacia de querer buscar 2.000 hackers gratis", según afirmó.

Securmática llegaba a su tercera y última jornada de la mano de Samuel Linares, Socio de iHacklabs, quien tomaba el testigo para presentar un proyecto de detección y gestión integral de amenazas, alertas e incidentes para Técnicas Reuni­das que llevó a cabo lnnotec, a través de la implantación de un modelo de aumento de las capacidades de monitorización y respuesta. Jesús Mérida, CISO de Técnicas

1�1,r�o

, ..

. . . _."':. ___ _ , ·. -r.::. -�·!'

1-:--:¡¡¡¡¡¡.

�

-

Ignacio Gómez, Responsable del dominio de Digital ldentity de Accenture Security Iberia. detalló la estrategia de migración ha­cia una nueva arquitectura de aplicaciones creada para Banco Sabadell. En este caso. el objetivo era dotar de mecanismos de au­tenticación y autorización haciendo frente a los nuevos desafios de las arquitecturas emergentes y la omnicanalidad.

ciones de lnnotec-Grupo Entelgy-, fueron los encargados de exponer este proyecto en el que, sin duda, "una de las claves es el trabajo de los analistas para reducir el número de falsos positivos", resaltaba Mérida. En este sentido, destaca el trabajo que desarrolla lnnotec para aportar valor al análisis de alertas además de inteligen­cia, permitiendo a su cliente una toma de decisiones más rápida y acertada.

Por su parte, Alejandro Ramos, Res­ponsable Global de Seguridad Digital de Grupo Telefónica y Pedro Pablo Pérez, Vicepresidente de Seguridad de Telefóni­ca y CEO de ElevenPaths, describieron a la audiencii'.co�QP".2.Yesto _9��$1. �

-1.... ·

-

able del dominio enture Security de migración ha-de aplicaciones

ell. En este caso, canismos de au­haciendo frente as arquitecturas lidad.

Entelgy-, fueron er este proyecto , de las claves es ; para reducir el ivos", resaltaba estaca el trabajo ,ra aportar valor iás de inteligen­ite una toma de icertada. ro Ramos, Res­ridad Digital de o Pablo Pérez,Jad de Telefóni-

La organizadón de 1� función del (§SO co1no C-i.l�edh11·0" a debe:Je

� .... ... ___ ,�

,:\ Íh

A_�.l l

<¡f�.-.:

"'

{-. l-:¡f1

Securmática contó como broche de oro con un interesante debate sobre si los CIS0s deben organizarse como colectivo para defender los intereses profesionales de la función, a cargo de Francisco Lázaro. CIS0 y DP0 de Renfe, David Matesanz. Regional lnformation Security 0fficer para Europa de Daimler, Elena Malilla, CIS0 de Red Eléctrica de España (REE). Carmen Serrano. Jefe de Servicio de Seguridad de la D. G. de TIC de la Generalitat Valenciana. y Caries Solé, CIS0 de CaixaBank.

Como colofón a su XXIX edición, Securmática, en su perma­nente compromiso desde hace casi tres décadas de dar visibilidad y apoyo a las inquietudes y vislumbrar el rumbo en permanente evolución que el colectivo de CISOs viene experimentando, conformó una mesa de debate con la intención de ahondar sobre la compleja cuestión inherente a los profesionales en quienes recae de forma más directa la responsabilidad de llevar la ciberseguridad a buen puerto en sus organizaciones. El título de dicho debate lo dice todo: lDeben los CISOs organizarse como colectivo para defenderse los intereses profesionales de la función?

Para debatir sobre este tema Francisco Lázaro, CISO y DPO deRenfe, David Matesanz, Regional lnformation SecurityOfficer para Europa de Daimler, Elena Matilla, CISO de Red Eléctrica de España (REE), Carmen Serrano, Jefe de Servicio de Seguri­dad de la D. G. de TIC de la Generalitat Valenciana, y Caries Solé, CISO de CaixaBank, subieron al estrado para unirse al moderador de la mesa, José de la Peña, Director de Revista SIC.

Las opiniones de estos profesionales coincidían en la nece­sidad de defender los intereses de los CISOs como colectivo. La duda surgía sobre la idoneidad de unirse u organizarse para participar en futuras regulaciones (futura ley de transposición de la directiva NIS a la legislación española, ENS, reglamentos, normativas sectoriales ... ). Para Solé, "el problema se presenta cuando la figura se convierte en ley: la impo�ición del DPO por ley, por ejemplo, me parece un error, porque cada organización

opera de distinta manera y, por lo tanto, no debería de estar impuesto desde fuera". Ante esta afirmación, disentía Serrano quien argumentaba que, "en la Administración, la única solu­ción para que se creen ciertos puestos y se les dote de recursos es a través de una normativa". Lázaro también opinaba que es importante regular la figura del CISO en este sentido, recal­cando que, por ejemplo, "el DPO no puede ser despedido por incumplimiento de su organización que motive sanción, una previsión que no existe para el responsable de seguridad de la información". Ante dicho comentario, la mesa se volvió a dividir con la argumentación de Matesanz al añadir que "asociarse para defender los intereses es algo antiguo, ya que los CISOs somos profesionales que abrazamos el cambio, y el mercado, si es necesario, ya lo regulará".

No obstante, Matilla, quien estuvo muy activa en la sesión, manifestó una interesante cuestión al plantear la necesidad, antes de asociarse, de tener claras cuáles deben ser las funciones del CISO porque "hay unas tareas básicas pero otras difieren según el negocio, incluso, entre la Administración Pública y la empresa privada". Además, "orgánicamente dependemos también de distintos grupos jerárquicos que generar diversidad de ubicación", destacaba. En este sentido, todos los integrantes de la mesa coincidieron en la importancia de unirse para com­partir conocimiento, formación y definir funciones, entre otras cuestiones y, a partir de ahi, desarrollar una hoja de ruta sobre cómo llevarlo a cabo. •

avanzada ligada a la parte de anticipa­ción. En esta estrategia, Pérez destacó la labor de los 16 CSIRTs que posee la operadora y donde las fuentes de inte­ligencia juegan un papel clave. "Más de un millón de IOCs ponen eri perspectiva lo grande que puede ser este proyecto y su complejidad", explicaba Ramos. Todo, como siempre, "visto desde una perspectiva global pero entendiendo la localidad", apostilló Pérez .

Esta intervención dio paso al último bloque de conferencias del evento que contó con Santiago Moral, CEO para España de BlueVoyant, como moderador, dando paso a José Ramón Monleón, CISO

. � ..... �Jo,,�-·-,.

Corporativo de Orange España y Juan Miguel Velasco, CEO de Aiuken Cyber­security, que transmitieron a la audiencia la importancia de contar con un SOC para orquestar la seguridad de cualquier nego­cio. Y lo demostraron a través del proyecto de creación de un iSOC para Orange, que ha supuesto un salto cualitativo para la operadora, permitiéndola no solo el go­bierno de la ciberseguridad, sino además marcarse el "objetivo de evolucionar el la­boratorio de CPEs a un Centro de Excelencia de Seguridad de loT y routers, con el fin de realizar certificaciones de productos", añadía Monleón destacando asimismo el desar!ollo de servicios de SOC para clientes.

Acto seguido, Ignacio Gómez, Res­ponsable del dominio de Digital ldentity de Accenture Security Iberia, detalló la estrategia de migración hacia una nueva arquitectura de aplicaciones para Banco Sabadell. En este caso, el objetivo era dotar de mecanismos de autenticación y autorización para hacer frente a los nuevos desafíos de las arquitecturas emer­gentes y con omnicanalidad en cuanto a escalabilidad, resiliencia y flexibilidad. "Una vez más, la colaboración entre los diferentes equipos -seguridad, desarrollo de aplicaciones, etc.- fue clave para con­seguir los objetivos propuestos", tetminó destacando Gómez. • SIC

105