Memoria ISMS 11.indd 1 13/2/12 13:57:26...Es un servicio público y gratuito para socios de ISMS...

Memoria ISMS 11.indd 1 13/2/12 13:57:26

1 1Redacción: ISMSForumSpain

Fotografía: DanielSastre ToniMaicas

Diseño: [email protected]

EQUIPODEGESTIÓN:

Directora General: NathalyReyArenas

Coordinador General:DanielFelipeGarcíaSánchez

Management Assistant: MaríaAngelinaCarabajal

Colaboradores: JuanAntonioIbáñez(Comunicación) ÓscarGonzález(Gosán:Asesoríafiscal) LauraDíazBettarel(Periodista) Webimpacto

Publicación:Madrid,febrerode2012


1 1Índice

SociosFundadores 4

Carta del Presidente 7

PresentacióndelaAsociación 8

Iniciativas 9

ÓrganosdeGobierno 10

Empresasasociadas 11

Actividades 2011 13

JornadasInternacionales 13

IXJornada:Amenazas,Compliance,RiesgosyPrivacidad: AGlobalApproach. 14

XJornada:CiberdefensayCiberseguridad: Laevolucióndelaamenazafrentealaprotección delasinfraestructurascríticas. 24

DataPrivacyInstitute(DPI) 34

CloudSecurityAlliance(CSA-ES) 38

Formación

CursodeGobiernoCorporativodelaSeguridad delaInformación(GCSI) 39

Workshops

ModelodeSeguridaddeConfianzaCero 40

PortalProtegetuinformacion.com 44

Otrasnoticias 45

ISMSenlosmedios 46


4

Agradecimientos

Apoyo institucional

LaAsociaciónagradeceexpresamentealaAgencia Europea para la Seguridad de las Redes y de la Información (ENISA)suapreciadacolaboraciónyapoyoinstitucional.

Socios FundadoresISMS Forum Spain nació en enero de 2007, respaldada por algunas de las más representativas empresas y organizacionescomprometidasconlaSeguridaddelaInformaciónenEspaña.LossociosfundadoresejercensulaborenmuydiversosámbitosquevandesdelaenseñanzasuperiorylaI+DhastalaConsultoría,pasandoporlossectoresdeBanca,Construcción,Energía,Seguros,ServiciosJurídicos,TecnologíasdelaInformaciónoTelecomunicaciones.


5

Gold Sponsors

ISMS Forum Spainhadesarrolladosulaborgraciasalgenerosoapoyoeconómico,logísticoyprofesionaldelassiguientescompañíaseinstitucionesquehanadoptadolafórmuladeGOLD SPONSORdelaAsociaciónen2011:

Otros Patrocinadores y Colaboradores

Alolargodelañonoshanprestadosuapoyoycolaboraciónpuntualotrasmuchasempresasyorganizaciones:


6

Memoria de ActividadesISMS Forum Spain

20 1 1


7

Estimados socios, colaboradores y amigos:

Me complace enormemente poner a su disposición esta nueva memoria en la que damos cuenta de las actividades e iniciativas puestas en marcha desde la Asociación durante 2011.

En primer lugar, debo agradecer la participación de socios, patrocinadores y colaboradores, pues sin ellos no sería posible consolidar cada año el gran nivel que han alcanzado las actividades organizadas por ISMS Forum. Hemos cumplido 5 años y durante este tiempo no hemos dejado de crecer y aunar más y más voluntades que no hacen otra cosa que enriquecer nuestra red activa y abierta de profesionales y empresas comprometidas con la Seguridad de la Información.

Actualmente, ISMS Forum engloba cinco áreas especializadas. Así, nuestras Jornadas Internacio-nales, que inauguraron la Asociación, se han visto complementadas por las actividades del Data Privacy Institute, el capítulo español del Cloud Security Alliance y el proyecto Protegetuinforma-cion.com, que continúan desarrollándose.

Para el próximo año entre nuestros objetivos está la creación de la Fundación Española de la Pri-vacidad e implantar el Instituto Español de Ciberseguridad. Este último es una apuesta decidida por ISMS Forum en vista al gran interés que se demuestra en la sociedad ante estos aspectos, ya que resultan vitales para asegurar la seguridad nacional, el crecimiento económico y el suminis-tro de los servicios esenciales a la sociedad, provistos por las Infraestructuras Críticas. Un tema extensamente tratado en nuestra última Jornada Internacional de Valencia.

Desde ISMS Forum queremos seguir apostando por una sociedad más segura y un sector fuerte y comprometido. Para ello, desde nuestro carácter abierto y neutral animamos a la participación de todos los actores implicados para abordar los nuevos retos derivados del progreso tecnológico y la globalización, fomentando la inteligencia colectiva y el networking entre todos los miembros de la Asociación.

Gianluca D’AntonioPresidente

1 1


8

ISMS Forum Spain es una asociación sin ánimo de lucro, creada en 2007 para promover el desarrollo, conocimiento y cultura de la Seguridad de la Información en España y actuar en beneficio de toda la comunidad implicada en el sector. Se constituye como un foro especializado de debate para que todas las empresas; organismos públicos y privados; investigadores y profesionales colaboren, intercambien experiencias y conozcan los últimos avances y desarrollos en el ámbito de la Seguridad de la Información. Todo ello desde la transparencia, la objetividad y la neutralidad.

ISMS Forum Spain nació respaldada por empresas representativas y organizaciones comprometidas con la Seguridad de la Información. Los socios fundadores proceden de muy diversos ámbitos que van desde la enseñanza superior y la I+D hasta la Consultoría, pasando por los sectores de Banca, Certificación, Seguros, Construcción, Servicios Jurídicos o Telecomunicaciones. La asociación se ha creado con una vocación plural y abierta; que quiere representar a todos los sectores implicados. Por ello invita a todos los profesionales, empresas e instituciones involucrados en la gestión de la Seguridad de la Información a asociarse.

ISMS Forum Spain tiene en la actualidad más de 100 empresas asociadas (cada una de las cuales puede nombrar hasta ocho socios de pleno derecho) y más de 750 profesionales asociados, ya sea a través de sus empresas o por iniciativa individual. Además, numerosos expertos del sector se han asociado de manera independiente. La Asociación para el Fomento de la Seguridad de la Información es ya, por tanto, la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.

Entre los principales objetivos de ISMS Forum Spain destacan:

• Darvisibilidad a un sector estratégico para el desarrollo económico, como es la Seguridad de la Información, y difundir eltalento de los profesionales que trabajan en él.

• Situar a las empresas y organizaciones españolas a la vanguardia de conocimientos e implementación de SGSI.

• Ser interlocutores en España de diversas asociaciones y foros internacionales relacionados con la Seguridad de la Información.

Para ello, entre otras actividades, ISMS Forum Spain:

• Organiza eventos y actividades formativas para sus asociados.

• Preparaherramientas divulgativas (informes y estudios monográficos; traducción y edición en castellano de manuales y guías de referencia) e informativas (newsletter).

• Ha creado el primer Registro online de Profesionales Certificados en España, el Data Privacy Institute (DPI) y el capítulo español de Cloud Security Alliance (CSA). Trabaja en la puesta en marcha de la Fundación de la Privacidad y el Instituto Español de

Ciberseguridad.

• Participa en foros nacionales e internacionales y coopera con instituciones públicas y privadas, nacionales e internacionales, para impulsar la cultura de la Seguridad de la Información.

Asociación Española para el Fomento de la Seguridad de la Información

El trámite para hacerse socio de ISMS Forum Spain se realiza online en www.ismsforum.es

ISMSForumSpainestáinscritaenelRegistroNacionaldeAsociacionesGrupoI,SecciónI,NúmeroNacional588718

Más información en: www.ismsforum.es

Síguenos en:


9

1. Jornadas Internacionales:

ISMS Forum Spain organiza dos Jornadas Internacionales por año. Se han convertido en referencia del sector y suponen un escena-rio compartido por los actores más influyentes del sector, siendo además un foro de aprendizaje e intercambio de experiencias para todos sus asociados. Reúnen a ponentes de alto nivel, auto-ridades de control nacionales e internacionales, grandes compa-ñías españolas comprometidas con la Seguridad de la Informa-ción, fabricantes, proveedores de servicios globales y expertos de primer nivel. Se han celebrado 10 ediciones, con 200 ponentes y más de 2.500 asistentes hasta hoy.

2. Data Privacy Institute:

Aglutina a todas las personas y organizaciones que tienen res-ponsabilidades e interés en el cumplimiento de la normativa so-bre Privacidad y la Protección de Datos de carácter personal. Su objetivo es promover la formación y la excelencia en esta área de creciente importancia. Por ello, ha puesto en marcha la Certified Data Privacy Professional (CDPP), que acredita un alto nivel de especialización en la normativa española en materia de Protec-ción de Datos de carácter personal, así como un dominio de los fundamentos que rigen la Seguridad de la Información. Se trata la primera certificación española dirigida a los profesionales de la Privacidad y se obtiene tras la superación de una prueba teórica, o acreditando una experiencia profesional de al menos 10 años, entre otros criterios.

3. Cloud Security Alliance:

El capitulo español de Cloud Security Alliance reúne a miembros representativos de los distintos actores de la industria del Cloud Computing en España. Se trata de un foro de debate que promue-ve el uso de buenas prácticas para garantizar la seguridad y priva-cidad en el entorno del Cloud Computing, siendo una de sus áreas de interés específico el ‘Compliance en la Nube’. ISMS Forum pon-drá en marcha el Certificate of Cloud Security Knowledge (CCSK) en castellano, que acredita a título individual a profesionales con conocimientos en materia de seguridad en el Cloud Computing, incluyendo gestión de riesgos y buenas prácticas.

4. Workshops:

ISMS Forum organiza workshops donde se abordan aspectos concretos de la Seguridad de la Información y donde las em-presas pueden intercambiar conocimientos, buenas prácticas y casos de éxito. Se trata de un punto de encuentro que fo-menta la inteligencia colectiva en aras de una excelencia en la gestión.

5. Protegetuinformación.com:

Es una herramienta didáctica e interactiva que divulga la cul-tura de la Seguridad de la Información y de la Protección de Datos entre la ciudadanía en general. Está dirigida a todos los grupos sociales (niños, jóvenes, adultos, mayores, padres y pro-fesionales), el Portal presenta distintos mensajes y aplicacio-nes adaptadas a cada perfil, siempre en un lenguaje sencillo y accesible.

6. Formación:

ISMS Forum Spain apuesta por la formación continua de los pro-fesionales de la Seguridad de la Información. De este modo se organizan distintos cursos como los de Analista de Riesgos en Seguridad de la Información y el Curso de Gobierno Corporativo de la Seguridad de la Información. Seguirán creándose nuevos cursos y nuevas convocatorias.

7. Registro de Profesionales

Certificados:

Es un servicio público y gratuito para socios de ISMS Forum Spain dirigido a los profesionales que trabajan en Seguridad de la In-formación y a las empresas, organizaciones e instituciones que puedan necesitar de sus servicios.

Iniciativas


10

LA JUNTA DIRECTIVALaJuntaDirectivaeselórganoderepresentaciónyadministracióndelaAsociación.EstácompuestaporunPresidente,unVicepresidente,unSecretario,unVicesecretarioyvocales.SusmiembrossonelegidosporlaAsamblea,mediantevotaciónlibreysecreta.

Actualmente,laJuntaDirectivaestácompuestapor:

Órganos de GobiernoLA ASAMBLEA DE SOCIOSLaAsambleaeselórganosupremodedecisiónygobiernodeISMSForumyestáconstituidaportodossusasociados.AlaAsambleacorresponde la aprobación de las directrices a seguir por laAsociación, así como la aprobación de los resultadosfinancieros de lamisma.

COMITÉ OPERATIVO Y DIRECCIÓNElComitéOperativoeselórganoencargadodetomardecisionesdemaneraágilpordelegacióndelaJuntaDirectiva,teniendounaimplicacióndirectaeinmediataenlamarchadelaAsociaciónyenelseguimientodesusactividades.Actualmente,elComitéOpera-tivoestáformadoporlossiguientesmiembros:GianlucaD’Antonio,CarlosAlbertoSaizPeña,LuisBuezo,JesúsMilányMiguelRego.LaactualDirectoraGeneraldeISMSForumesNathalyReyArenas.

Gianluca D’Antonio* Chief InformationSecurity Officer (CISO) del Grupo FCC. Presidente deISMS Forum Spain.

Carlos Alberto Saiz Peña* SocioDirectordelÁreaComplianceITdeEcija.Vicepresidente y Secretario deISMS Forum Spain.

David Barroso DirectordeS21secE-crime.

Andreu Bravo Responsable de SeguridaddelaInformacióndeGas Natural-Fenosa.

Luis Buezo* Director para EMEA de laPráctica de Seguridad deHP Technology Services.

Joan Camps Pons Director de Proyectosy de la Unidad Tecnológica del Consejo General de Colegios Oficiales de Médicos de España (CGCOM).

Alfonso Fernández Jiménez Directorde Desarrollo de Negocio de Sistemas Informáticos Abiertos (Grupo SIA).

Marcos Gómez SubdirectordeProgramasdelInstituto Nacional de Tecnologías de la Comunicación (INTECO).

José Francisco Pereiro Head of SecurityPracticedeBT España y Portugal.

Jesús Milán Lobo* ResponsabledeRiesgosTecnológicosySeguridaddeBankinter.

Jessica Valderrama Sales Security LeaderdeIBMEspañayPortugal.

Fernando Pescador DirectordelosServiciosInformáticosdelaUniversidad Complutense de Madrid (UCM).

Jaime Corró Bestard (DirectordeSeguridadLógicadelGrupo PRISA.

Miguel Rego Fernández* Director deSeguridadyRiesgosCorporativosdeONO.

Álvaro Rodríguez de Roa Director deSeguridaddelaInformaciónyGobiernoTIdeSGS ICS Ibérica.

Juan Miguel Velasco López-Urda DirectorAsociado de Servicios de Seguridad yProyectos de Seguridad de la Unidad deGrandes Clientes de Telefónica España.

* Miembro de Comité Operativo de la Junta Directiva.


11

Endiciembre de 2011,más de 100 empresas y organizacionesde los más diversos sectores se han asociado, y más de 750profesionalesformanpartedeISMSForumSpain,yaseacomomiembrosindependientesoatravésdesusempresas.Esmuyamplialavariedaddeempresasyorganizaciones,delosmásdi-versostamañosysectoresdeactividad:proveedoresyclientes

deserviciosrelacionadosconlaimplantaciónygestióndeSGSIseestánreuniendoentornoa ISMSForumSpaincomopuntodeencuentroneutral,perotambiéninstitucionesyorganismosprofesionales,investigadoresyexpertosacadémicos.Loscono-cimientos, la experiencia, el altonivel y la profesionalidaddesusmiembrosconstituyenelgranvalordelaAsociación.

Empresas asociadas

•AbastSystems•AbertisInfraestructuras•Accenture•AcensTechnologies•AgaexInformática•Agbar•AnyhelpInternational•Applus+,LGAITechnologicalCenter•ArborNetwork•AsistenciaSanitariaInterprovincial(ASISA)•AsociaciónEspañoladeDestrucciónConfidencialdeInformación(AEDCI)•AudisecSeguridaddelaInformación•Bankinter•BDOAuditores•Blancco•BritishStandardsInstitutionEspaña(BSI)•BTEspaña•CajamarCajaRural•CompañíaEspañoladePetróleos(CEPSA)•ConsejoGeneraldeColegiosOficialesdeMédico(OMC)•Deloitte•DestruccionConfidencialdeDocumentacion(DCD)•Ecija•Endesa•Ernst&Young•EulenSeguridad•EverisSpain

•Ferrovial•FomentodeConstruccionesyContratas(GrupoFCC)•Fortinet•FutureSpace•GasNaturalInformática•GigatrustSpain•GMVSolucionesGlobalesInternet•GNET•GrupoGenerali•GrupoIntermark96•GrupoMahou-SanMiguel•GrupoS21secGestión•Hewlett-PackardEspañola(HP)•IDNServiciosIntegrales•IndraSistemas•IngenieríaeIntegraciónAvanzadas(Ingenia)•Innovery(InnovationDiscovery)•InstitutoCIES•InstitutoNacionaldeTecnologíasdelaComunicación(INTECO)•InternationalBusinessMachines(IBM)•InternetSecurityAuditors(ISecAuditors)•InterxionEspaña•IronwallStrategicSecuritySystems•Isaca•JuniperNetworks•KasperskyLab•KPMGAsesores•LeaseplanServicios•Lloyd’sRegisterQualityAssurance(LRQA)

•McAfee•MutuaMadrileña•NumaraSoftware•Ocaso•OesiaNetworks•ONO•Open3sOpenSourceAndSecurityServices•PandaSecurity•Pricewaterhousecoopers(PWC)•PromotoradeInformaciones(GrupoPRISA)•Prosegur•RedSeguridad•Repsol•RevistaDintelAltaDirección•S2Grupo•SageLogic•SGSICSIbérica•SistemasInformaticosAbiertos(GrupoSIA)•Sm4rtSecurityServices•Spamina(CloudEmail&WebSecurity)•SteriaIbérica•Symantec•TecnocomTelecomunicacionesyEnergía•Telefónica•TrendMicro•UnidadEditorial•VerizonSpain


Jornadas InternacionalesISMS Forum Spain

12

I JornadaBalancemundialyretosdelagestiónprofesionaldelaSeguridaddelaInformaciónenEspaña.

II JornadaSeguridaddelaInformación:UnacuestióndeResponsabilidadSocialCorporativa.

III JornadaComplianceenSeguridaddelaInformación:Clavesytendencias

Unavisiónglobaldelpresenteyunamiradaalfuturo.

IV JornadaAmenazasinternasyexternasalaSeguridaddelaInformaciónhoy.

V JornadaLaorganizacióndelaseguridad:EllaberintodelCISO.

VI JornadaImpactosdelatransformacióneconómicaysocialenlaSeguridaddelaInformación.

Eldesafíodeprotegernuevosámbitosyhábitosdetrabajo.

VII JornadaSeguridaddelaInformación:¿Cómoinnovarentiemposdecrisis?.

VIII JornadaTheFutureofInformationSecurity:Nuevosretosydesafíosparaunfuturo+seguro.

IX JornadaAmenazas,compliance,riesgosyprivacidad:

AGlobalApproach.

X JornadaCiberdefensayCiberseguridad:Laevolucióndelaamenazafrentealaprotección

delasinfraestructurascríticas.


13

Actividades 2011 ,Jornadas InternacionalesISMS Forum Spainorganizados jornadas internacionales anualesque,yadesdesuprimerañodeactividad,sehanconvertidoencitasdereferenciadelsectorysirvencomoforodeaprendizajeeintercambiodeexperienciasparatodossusasociados.Lavocacióndeestosseminariosespresentaraponentes de alto nivel,enuncontextoquefaciliteademáselencuentroylacomunicaciónentrelosasociados,yconuncomponente internacional representativo.La asistencia a estas jornadas es gratuita para los socios de ISMS Forum Spain,incluyendoelalmuerzo.

Lasjornadasseorganizansiempredeformaquequedeuntiempoparaquelosparticipantesserelacionenentresíypuedanademásaccederycomentarconlosconferenciantessusinquietudes.Ya son más de 2.500 las personas que han participado en las 10 jornadas organizadas desde 2007, quienes han evaluado lasmismas a través de cuestionarios de calidad que han dado como resultadosiempreunapuntuación media de cuatro sobre cinco puntos,enloqueserefiereaorganización,contenidos,escenario,ponentesydocumentación.

Alconsiderarqueunaasociacióndeámbitonacionaldebebeneficiara todossussocios,dinamizandoel sectory fomentando laSeguridaddelaInformación,ISMSForumorganizaeventosentodoelterritorioespañol.SealternanjornadasenMadridconjornadasenotrasciudades.Así,sehancelebradoyajornadasenBarcelona,SevillayValencia.

Comopuedeobservarseenelcuadrodeasistencia,estasJornadasInternacionalescuentanconentre250y300asistentes, todosprofesionalesyexpertosenSeguridaddelaInformación,ejecutivosyaltosdirectivosrepresentandoalasempresasmásimportantesdeEspaña.

Asistencia a las Jornadas Internacionales de ISMS Forum Spain

Even

tos

2007 2008 2009 2010 2011

I Jornada 17/05/2007MadridMuseo

Reina Sofía

II Jornada 20/11/2007MadridPalacio

Municipal Congresos

III Jornada29/05/2008Madrid

Hotel Husa Princesa

IV Jornada 13/11/2008Barcelona

Torre Agbar

V Jornada28/5/2009Madrid

Auditorio Mutua

Madrileña

VI Jornada24/11/2009SevillaHotel

Barceló Isla de la Cartuja

VII Jornada25/5/2010MadridPalacio

Municipal Congresos

VIII Jornada30/11/2010Barcelona

Torre Agbar

IX Jornada26/05/2011MadridCasa de América

X Jornada29/11/2011Valencia

Ciudad de las Artes y

las Ciencias

Nº d

e as

isten

tes

256 258202

270 280 280250 255

280

200


14

Actividades 2011,IX Jornada Internacional

Actividades 2011 , IX Jornada Internacional


1515

Actividades 2011 , IX Jornada Internacional

Programa IX Jornada ISMS Forum Spain8:45 Acreditación 9:00

Bienvenida

Palabras de Bienvenida.Gianluca D’Antonio, Presidente de ISMS Forum Spain; Chief Information Security Offi cer (CISO) del Grupo FCC; Asesor de Seguridad (PSG) de la European Network and Information Security Agency (ENISA). Imma Turbau Fuertes, Directora General de la Casa de América.

9:15Inaugural

Keynote

Security, Privacy and the Generation Gap.Bruce Schneier, Chief Security Technology Offi cer de BT.

9:45Mesa

redonda

¿Cómo Implantar un Modelo de Seguridad Global que Conviva con las Necesidades y Requerimientos en Europa y Latinoamérica?Manuel Carpio, Director de Seguridad de Telefónica.Guillermo Llorente, Director de Seguridad de Mapfre.Enrique Polanco, Adjunto al Consejero Delegado y Director de Seguridad Corporativa del Grupo PRISA.Moderador: Miguel Rego, Director de Seguridad y Riesgos Corporativos de ONO.

10:45 Coffee-break11:15

Keynote

Information Security Metrics - Information that Matters to the Business.John Rakowski, Analyst & Advisor de Forrester Research.

11:45Debate

Internal Threats: Does Wikileaks Testify to the Need for Improved Network Visibility?Pedro Cutillas, CTO Enterprise EMEA & Vice-President Strategic Alliances EMEA de Juniper Networks.Rick Miller, Global Managed Security Services Leader de IBM.John Rakowski, Analyst & Advisor de Forrester Research.Moderator: Juan Miguel Velasco, Director Asociado de Servicios de Seguridad y Proyectos de Seguridad de la Unidad de Grandes Clientes de Telefónica España.

12:45Debate

Cross Border Data Flows vs. Multiple Privacy Regulations and Jurisdictions.Giovanni Buttarelli, European Data Protection Assistant Supervisor, EDPS.Peter Fleischer, Global Data Privacy Offi cer de Google.Ronald Koorn, Partner, Global Privacy Leader de KPMG.Daniel Pradelles, EMEA Privacy Offi cer de HP.Moderadora: Nathaly Rey, Directora General de ISMS Forum Spain.

13:45Presentación

Proyectos y Actividades de ISMS Forum Spain.Junta Directiva de ISMS Forum Spain.

14:30 Almuerzo - Lunch16:00Debate

Marcos Normativos de Protección de Datos en Europa y en Latinoamérica.Raúl Ferrada, Director General del Consejo para la Transparencia, Chile.María Marván, Comisionada del Instituto Federal de Acceso a la Información (IFAI), México.Artemi Rallo, Director de la Agencia Española de Protección de Datos (AEPD).Moderador: Carlos Alberto Sáiz Peña, Vicepresidente de ISMS Forum Spain; CDPP, Socio Director Compliance IT de Ecija.

16:45Debate

Reputación Corporativa en Internet.Álvaro Ecija, Socio de Ecija; Consejero de Playtelevision.José Antonio Gallego, Presidente de la Asociación Española de Responsables de Comunidad (AERCO).José Manuel Velasco, Director General de Comunicación y Relaciones Corporativas del Grupo FCC.Moderador: Alfredo Reyes Kraftt, CDPP, Vicepresidente Asociación Mexicana de Internet; Director de Negocios Digitales e Industria Bancaria en BBVA Bancomer, México.

17:30Clausura

A New Security Risk Approach for Privacy Regulations.Víctor Chapela, CEO de SM4RT Security Services, México.


16

Principales conclusiones / Por: Laura Bettarel

La respuesta a las crecientes amenazas y riesgos de seguridad y de privacidad debe tener una aproximación global y flexible

Con el objetivo de analizar las distintas estrategias jurídicas yorganizacionalesqueestáninfluyendoenlaregulacióndelapri-vacidadbajoelentornoactual,laIXJornadaInternacionalISMSForumSpain,reunióacercade30ponentesdeprimernivel,ex-pertosenseguridadenorganizacionescomoForresterResearch,Ecija,Google,GrupoPRISA,GrupoFCC,HP,IBM,JuniperNetworks,KPMG,Mapfre,ONO,yTelefónica.

Enesteeventosedebatiósobreaspectoscomoel“gap”,ohuecogeneracionalgeneradoporInternetylamaneradeentenderlaseguridadylaprivacidad,“¿CómoImplantarunModelodeSegu-ridadGlobalqueConvivaconlasNecesidadesyRequerimientosenEuropayLatinoamérica?”, losmarcosNormativosdeProtec-cióndeDatosenEuropayenLatinoaméricaylaReputaciónCor-porativaenInternet,entreotrostemas.

GianlucaD’Antonio,PresidentedeISMSForumSpainyCISOdelGrupoFCC,resumióalprincipiodeleventolaimportanciadede-batir sobre la Seguridad y Privacidadenunmomento comoelactual.“Elemergenteecosistemadigitalestágenerandomuchosriesgosydesafíos.Igualquecualquierecosistemasostenibleper-miteasusactoresinteractuarenbeneficiodetodos,unecosis-

temadigitaldebepermitirasusparticipantescomercialescrearvaloreconómicoyalmismotiempoofrecerbienestaralconjuntodelasociedad”.Paraellosedebeencontrarunequilibriodefac-torescríticoscomolaseguridad,laprivacidad,lacapacitacióndelusuario,laestructuraenlasreglasdelmercadoyelderechoalapropiedadintelectual.

Comopartedelacelebracióndeesteencuentro,quecontóconmásde250asistentesexpertosenmateriadeseguridad, ISMSForumpremióaHP, IBMySymantecpor sufirmecompromisoconeldesarrollode laSeguridadde la InformaciónenEspaña.Asimismo,sepresentóelprimerinforme:‘CloudComplianceRe-port’,elaboradoporelcapítuloespañoldeCSA-ES,queconstituyeprácticamentelaúnicareferenciaennuestropaísdelanálisisdelClouddesdelaperspectivadeEspaña.

Gap generacional: Los jóvenes tienen fluidez social, pero no tecnológica

Bruce Schneier, Chief Security Technology Officer de BT, hablóde la Privacidad y el “gap” o distancia generacional. Schneier,calificadoporlarevista“TheEconomist”comounodelosgurúsde la seguridadexplicóque“paraelpromediode laspersonasla seguridadesprincipalmentealgo relacionado conel controldelainformación(…)Todosesperamossercapacesdecontrolarla información;yasea ladele-mail, la informaciónbancariaonuestraubicación”.Peroeldesarrollodelatecnologíahahechopúblicascosasqueantesnoloeran.

“AntesdeFacebooknadieteníalanecesidaddeunapolíticadese-guridad,nideescribirla”.EsaquídondeInternetponeenevidencialasdiferenciasentrelasdistintasgeneraciones:“Losjóvenestienenunafluidezsocial,peronotecnológica.Lasocializaciónpertenecealosjóvenes;paraellosvivirlavidaenpúblicoesnormal”.

ISMS Forum reunió el 26 de mayo a 28 expertos en seguridad de empresas nacionales e internacionales para debatir sobre los nuevos retos que enfrentan las compañías en materia de Seguridad de la Información y analizar las distintas estrategias a seguir, en un entorno donde la movilidad y los servicios basados en Internet, hacen que sea más difícil establecer cuál es el perímetro y definir fronteras para los flujos de información.

Actividades 2011 , IX Jornada Internacional Actividades 2011 , IX Jornada Internacional

“Un ecosistema digital debe permitir a

sus participantes comerciales crear valor

económico y al mismo tiempo ofrecer

bienestar al conjunto de la sociedad”.

Gianluca D’Antonio,

Presidente de ISMS Forum.

Bruce Schneier.


17

YeseeselnegociodeFacebookydeotrasredessociales,hacernegocioconloquecompartimos.“Noimportasinosonnuestrossecretosmásíntimos”,mientrasmásusuarioscuentenloqueha-cen,máscompartanymásdiganquésitiosfrecuentan,másganalaredsocial.“Nosomosclientes.Losusuariossomoslosproduc-tosdeFacebookparasusclientes”.

SegúnSchneier,existenseis tiposdedatosqueFacebookre-copilasobresususuarios:losdatosdeservicioobásicosparala aperturade la cuenta; losdatosque se van sumando conel paso del tiempo: posts, fotos subidas por el usuario, etc.;en qué perfiles has entrado; los datos secundarios (la infor-maciónqueotrosubeacercadeti;datossobretushábitos;ydatosderivados(lascoincidenciasconel70%detusamigos:lugar,aficiones,tendencias,etc).Portanto,lidiarconlapriva-cidaddeesosseistiposdedatosescomplicadoylasredessondébilesenprivacidad.

DosreflexionesdelaintervencióndeSchneier:“Silagentecreequetienecontrol,comparte,sino,sonmenospropensosacom-partir”.Pero,lamayoríadelosusuariosqueentranenunaredsequedanconlaseguridadquevienepordefectoenlapáginawebalaqueseafilia;yestassuelensermuydébiles.

¿Cómo Implantar un Modelo de Seguridad Global?

LaprimeramesaredondadeldíagiróentornoacómosedebeimplantarunModelodeSeguridadGlobal.Enella,participaronGuillermo Llorente, Director de Seguridad de Mapfre; ManuelCarpio,Director de SeguridaddeTelefónica; y EnriquePolanco,AdjuntoalConsejeroDelegadoyDirectordeSeguridadCorpo-rativadelGrupoPRISA,conMiguelRego,DirectordeSeguridadyRiesgosCorporativosdeONO,comomoderador.

Losparticipantesde estamesa redondadefendieron la impor-tanciadecompartirinteligenciadeseguridadafindediseñardemaneraeficazlaspolíticasdeseguridadalasquedebensujetar-selosactivosdeinformación,paraManuelCarpio:“hemospasa-dodelneed to knowalneed to share.

¿Cómo entienden la seguridad global? En el caso de Mapfre,GuillermoLlorentecomentóquevenalaorganizacióncomountododondequieraqueestéy,desdeunaperspectivafuncional,valoranlasactividadescorporativasencaminadasaunfin.“Porejemplo,recursoshumanos,seguridad,tecnología,asuntoslega-les.Enesafunciónagrupamosunconjuntodeactividades:quevandesdeloscontrolesdeseguridadyaseanfísicosológicos,lasacreditaciones,laproteccióndelosbienes,etc.Peroesunafun-cióncorporativaqueenglobamúltiplesactividades”.

ManuelCarpioexplicóqueelcasodeTelefónicaeramuysimilar.“Tenemosunmodelocorporativoquesebasaenelprincipiodedelegacióndeautoridaddepartedeladireccióndelnegocio.Im-plantamosnuestromodeloencadaunodelospaísesenlosqueestamos,perosomosmuyrespetuososconlacultura.Unmodeloesunespejoenelquemirarseperonounafotocopia”.

En este sentido, Enrique Polanco incidió en la importancia deque laspropiasempresas respeten laseguridad,puessino,nosepuedenatenderlasamenazas.“Tenemosqueentenderquelaamenazaesglobal,esinternacional”.

Respectoaquéniveldereportetenerdentrodelaorganización,LlorentecomentóelcasodeMAPFREdondeSeguridadesunadelasáreascorporativasquedependendelapresidencia.“Existeuncomitéenelcualyoactúocomosecretarioyestánpresenteslasmáximasautoridadesdecadaunade lasunidadesdenegocio.


“No somos clientes. Los usuarios somos

los productos de Facebook para sus

clientes”. Bruce Schneier, BT.

“Es importante que participen las

distintas áreas de negocio, pues ellas

serán las encargadas de implementarla”.

Guillermo Llorente, MAPFRE.

De izquierda a derecha: Manuel Carpio, Guillermo Llorente, Enrique Polanco y Miguel Rego.


18

Enestecomitésepresentanysedefinenloscriteriosdeseguri-dad.Porelloesimportantequeparticipenlasdistintasáreasdenegocio,puesellasseránlasencargadasdeimplementarlas”.

EnelcasodeTelefónica,Carpiocomentóquelaempresafueunadelasprimerasenaplicarelconceptodeseguridadintegralasuesquemacorporativo,dondeelCSOreportaalpresidentedeTe-lefónica.Noobstante, comoempiezanaaparecer loschief riskofficer,elchieftecnicalsecurityofficer,etc.,esmuyimportantetenerunacoordinacióndetodos.

Polancoexplicóunodelosproblemasquehaidentificadoatra-vésdesutrabajoenPrisa:elevardemasiadolaseguridad.“Nomegustamimodelo.Elresponsablemáximodeseguridadestáennivelesmuyelevados ypuede caer enel errordeestar enunalíneajerárquicaseparadadequienesdecidenyaplicanlasórdenes.Porlocualteconviertesenconsejero”.Hayqueestarenlalíneajerárquicaycercadequienestomanladecisiónylaaplican.

“¿Quépuedenhacerlasempresasquenotienenunmodeloglo-bal?”,preguntóRego.“Noexistemodeloreceta”,respondióLlo-rente.Loseguro,segúnsuspalabras,esquenodebeestar100%centralizada.“Hay que identificar quémedidas puedes centra-lizar y cuáles no, establecer responsables funcionales en cadaárea.Despuésdefinirelnivelderiesgocorporativoyelnivelderiesgoasumibleencadapaís;hayquesercapazdeamoldarseaunescenariocambianteycomplejo”.“Nohayunmodeloúnicoperosíunalíneaúnicaadaptable”.

Dejandoclarolocomplicadodelapregunta,Polancoaclaróqueesmuyimportantetenerencuentalaspeculiaridadeslocalesyelniveldedelegación;peroalguientienequetenerlaresponsabili-dadydecircómosehace,tienenqueexistir“órganoscolegiadosparalatomadedecisionestácticas,noestratégicas”.

Enconclusiónparalograrunaseguridadglobalidóneahayque“conseguirelequilibrioadecuadoentrelacentralizacióndelase-guridadysuadaptaciónenelámbitolocal”.

“20 minutos para generar un impacto”JohnRakowski,Analyst&AdvisordeForresterResearchhablódelasmétricasenSeguridaddelaInformacióndurantesuconfe-rencia“InformationSecurityMetrics-InformationthatMattersto theBusiness”.Explicar la seguridadcuandohayproblemaspresupuestariospuedeserungranreto.“Tenemosquegenerarunamplio impactopara losdirectivosdeseguridad,daren ladiana”.ParaexplicarlopusoelejemplodeOzzyOsbourneque,parallamarlaatencióndelosdirectivosdeunadiscográficaquesólolehabíandado20minutosparareunirseconél,sesacóunapalomadesubolsilloylearrancólacabeza.“Lamoralejaesquesitúeresunejecutivodeseguridadsólotienes20minutosparaestarfrentealosdirectivos,portantotienesqueusarlamétricaadecuadaparaimpactarles”.

Setratadegenerarlainformacióninteresanteeneltiempoade-cuadoyenlacantidadcorrecta.“Tenemosquelograralinearlafuncióndeseguridadconelnegocio.Subirsuvalorantelosdirec-tivos.Queseconviertaenunvalorañadido”.

LospasospropuestosporRakowskiparacrearunaltoimpactoson:

1)Comprender las capacidadesde los informesactuales.Comoprofesionales de la seguridad tenemosquedaruna serie demétricasquepodemosusarpotencialmente.Hayqueempezarconunadocumentacióncontodalamétricaydecidirquémé-tricassonmásinteresantesdecaraalejecutivo.

2)Calibrarquéquierenellosencuantoainformes,averiguarquélesinteresa.Disminuirlabrechadelaseguridadporunladoyladirecciónporelotro.

3)Planificarydiseñarelinforme.Organizarunmarcoparaescri-birelinforme.

4)Ponerenprácticaesteinformesinperderdevistaelaspectodeestaralineadoconelnegocio,alineaciónfuncional,eficienciayeficacia,nivelesdecalidadydeservicio,medicióndeprocesos,innovación,yalineaciónenelcumplimientodelasleyes.

De izquierda a derecha: Juan Miguel Velasco, Rick Miller, Pedro Cutillas y John Rakowski.



19

Peroelprocesonoterminaenelpaso4.Tienequesercircular,deretroalimentaciónparaentrarygenerarelniveladecuadodese-guridaddelacomunicación.“Tienes20minutosparaunimpactodalesunbuendiagramaconceptualycéntrateenlosbeneficiosdeponerloenpráctica”.

Después de Wikileaks ¿Deberíamos mejorar nuestra NAV?

JuanMiguelVelasco,DirectorAsociadodeServiciosdeSeguri-dadyProyectosdeSeguridaddelaUnidaddeGrandesClien-tes deTelefónica España,moderó lamesa redonda“InternalThreats:DoesWikileaksTestifytotheNeedforImprovedNet-workVisibility?”enlaqueparticiparonPedroCutillas,CTOEn-terprise EMEA&Vice-President Strategic Alliances EMEA deJuniper Networks; RickMiller, GlobalManaged Security Ser-vices Leader de IBM, y John Rakowski, Analyst& Advisor deForresterResearch.

Laculturay laformacióndelpersonalfuerondestacadascomootradelasvariablesatenerencuentaenlaaplicacióndelasegu-ridad.“Elproblemasurgecuandoalguientieneaccesoautoriza-doymalasintenciones”aclaróRakowskiquienañadióquecasoscomolosdeWikileakssurgentodoslosdías,ladiferenciaesqueéstahallegadoalosmedios.

Losparticipantesdelamesaredondaestuvierondeacuerdoenquehayque impedirqueseafácil lafugade informacióndefi-niendoquéinformaciónessensibleyquiéntieneaccesoaqué,quecadapersonadentrodelaorganizacióntengaelniveldeac-cesoadecuado.

¿ReducirelaccesoaredessocialesoaInternetparadisminuirlosriesgos?Esanopareceserunasoluciónefectiva.Millerexplicóquesepodríatenerunenfoquemuyrestrictivo,perohayquete-

nerencuentaquelosprofesionalesdehoyendíahancambiado“tenemosquetenerenconsideraciónelriesgodecontrolesexce-sivos”puesnoestánacostumbradosaellos.

Cutillasexplicóquelasoluciónestenerserviciosyproductosquetenganaportacionesdevaloryquedetectenproblemasdese-guridadfácilmenteyquepodamosdarnoscuentadequealgoseescapadenuestrared.

ParaRakowskimásqueprohibir,hayque“implicarseconlagenteyserproactivo.PreguntarquéaplicacionesusasentuIpadoentumóvil,entonceslespuedesexplicarcómodebenusarloy,sinolopuedenhacer,darlesunarazón”.

La necesidad de armonizar la ley

GiovanniButtarelli,EuropeanDataProtectionAssistantSupervi-sor;PeterFleischer,GlobalDataPrivacyOfficerdeGoogle;RonaldKoorn,PartneryGlobalPrivacyLeaderdeKPMGyDanielPrade-lles,EMEAPrivacyOfficerdeHP,participaronenlamesaredonda“Cross BorderData Flows vs.Multiple Privacy Regulations andJurisdictions”,bajolamoderacióndeNathalyRey,DirectoraGe-neraldeISMSForumSpain.

Paralosparticipantesenlamesaredondaesungranmomentoparatrabajarporarmonizarlaley,pueselcrecimientoexponen-cial de los flujos de datos transfronterizos representa un granretoenlaprivacidad.Unpuntoimportantedentrodeladiscusiónfuenocentrareldebatesobreenquélugarestánlosdatossinoenquequienescontrolanlosdatosrespetenlasregulacionesdeprivacidad,sinimportardondeestén.

Enmateriaderegulacióndelaprivacidad,lamayoríadelosex-pertoscoincidieronenlanecesidaddeirhaciaunmarcohomo-

“Tenemos que lograr alinear la función

de seguridad con el negocio. Subir

su valor ante los directivos. Que se

convierta en un valor añadido”. John

Rakowski, Forrester Research.

“La solución es tener servicios y

productos que tengan aportaciones

de valor y que detecten problemas de

seguridad fácilmente y que podamos

darnos cuenta de que algo se escapa

de nuestra red”.

Pedro Cutillas, CTO.

John Rakowski.



20

géneodeproteccióndedatos, aunqueparaArtemiRalló:“noesalgoquevayamosa lograracortoniamedioplazo”.PeterFleischer,porsuparte,indicóqueaéltambiénlegustaríaquehubieraunaarmonizaciónglobal,“porque sería lamejorma-neradeprotegerlaprivacidad,peroesmuycomplicadoporquehaypaísesmuchomásestrictosensusnormasqueotros”.

Buttarelliexplicóque“elmarcoactualnoesalgototalmenteefi-cazniefectivo.Haytendenciasportantoaunamayorarmoniza-ciónaniveleuropeo.Tambiénhayexpectativasdeunmarcomásmodernoconuna regulacióndemayorflexibilidad, conmenoscargasadministrativas”.EntrelasdificultadesPradellescomentóque“elproblemadeladirectivaactualesquecadapaísdeEuro-pa la interpretadeunamaneradistinta”.Además, tampoco sepuederegulardemaneraexcesiva,SegúnFleischer“enunfuturohabrámásflujosdedatosylapreguntaesquiénvaaescribirunaleypararegulartodoeso”.

Comocierrealdebatesepropusolaposibilidaddequelaprivaci-dadestépresentedesdeelprincipioparaquecualquierdispositi-vodesoftwareseaconcebidoenvistasaminimizarlosprocesa-mientosnonecesariosdedatospersonales.

Pradelles apuntó a la investigación en tecnologías como con-diciónparagarantizardemanera satisfactoria lagestiónde la

privacidad.ButarellicoincidióconelresponsabledeHPenestepunto,afirmandoquecualquiersoftwarequesedesarrolleha-bríadecontarconloquesedenomina“privacidadpordefecto”.Noobstante,Pradellesapuntóquelaprivacidadvamuchomásalláquelaseguridad:“laprivacidadpordefectoopordiseñoseráimportanteynosoloserefierealsoftware,sinotambiénaservi-ciosyprocesosdentrodelasempresas”.

Marcos Normativos de Protección de Datos en Europa y en Latinoamérica

Paraencontrar lospuntosen comúnde lasdiferentes leyesenrelación con la privacidad,ArtemiRallo,Director de laAgenciaEspañoladeProteccióndeDatos (AEPD);RaúlFerrada,DirectorGeneraldelConsejoparalaTransparenciadeChile;yMaríaMar-ván,Comisionadadel InstitutoFederaldeAccesoa la Informa-ción(IFAI)deMéxico,debatieronjuntoaCarlosAlbertoSáizPeña,VicepresidentedeISMSForumSpain;CDPP,SocioDirectorCom-plianceITdeEcija,sobrelosMarcosNormativosdeProteccióndeDatosenEuropayenLatinoamérica.

TantoelrepresentantedeChilecomoladeMéxicoreconocieronel importanteaportedelmodelocreadoenEspañapara laga-rantíadelderechoalaproteccióndedatos.Respectoalaspecu-liaridadesdelosmodelosdesuspaíses,FerradacomentóqueenChileelConsejodelaTransparenciaeselencargadodeverificarqueelderechodeaccesoalainformaciónpúblicanocontradiceaspectos relacionadoscon la seguridadnacional, el interéspú-blicoo temasrelativosaderechosde laspersonas.“Enun30%deloscasosestudiadosporelConsejohemostenidoqueponde-rarambosderechos:elderechoaaccederainformaciónpúblicafrentealderechodelaproteccióndedatos”.

EnelcasodeMéxico,MarvánexplicóqueelsistemaaprobadoenlaLeyde2010“esunsistemafuerteentérminosdemultas


“El marco actual no es algo totalmente

eficaz ni efectivo. Hay tendencias por

tanto a una mayor armonización no sólo

a nivel europeo”.

Daniel Pradelles, HP.

De izquierda a derecha: Nathaly Rey, Daniel Pradelles, Ronald Koorn, Peter Fleischer y Giovanni Buttarelli.


21

quepodríanllevaramultasdehasta300.000euros”.Adiferen-ciadelmodeloespañolel institutonoserefinanciaráatravésdelasmultas.

Lacomisionadadel IFAI indicóqueenelcontenidodelacitadaleyseestableceunequilibrioentreproteccióndelainformaciónpersonaly la librecirculaciónde lamisma.Añadióque“esunalegislaciónmodernaquereconoceyprotegelosllamadosdere-chosdetercerageneración”.Comentó,porejemplo,quefacilitalas transferencias de datos personales dentro y fuera del país,siempre y cuandoel responsable informeenel avisodepriva-cidadlarealización,lafinalidaddelastransferenciasyeltitularacepteoconsientaéstas.

Respectoalosretosparalascorporacionesencargadasdelase-guridad, Rallo comentó que la AEPD está trabajando en comoverificaryforjarmodelosderesponsabilidadempresarialdeca-rácterpreventivo.Marvánañadióquelosmodelosfuturosdebenser “tecnológicamente neutrales con una nueva disciplina delanálisisderiesgodondelaprotecciónseaproporcionalaltipodedatos,elnúmerodedatosquesemanejan,eltiempoylasensibi-lidaddelosmismos”.

Reputación Corporativa en Internet

JoséManuelVelasco,DirectorGeneraldeComunicaciónyRela-ciones Corporativas delGrupo FCC, Álvaro Ecija, Socio de Ecija;ConsejerodePlaytelevision;y JoséAntonioGallego,PresidentedelaAsociaciónEspañoladeResponsablesdeComunidad(AER-CO),debatieronsobrelaReputaciónCorporativaenInternet,conlamoderacióndeAlfredoReyesKrafft,CDPP,VicepresidentedelaAsociaciónMexicanadeInternet;DirectordeNegociosDigitaleseIndustriaBancariaenBBVABancomer,México.

Lamesaredondaempezócontresformasdistintasdeentenderlaimagencorporativaylareputación.

ParaVelasco“lareputacióneselpremioaunabuenagestióndelacomunicación.Entendiendolacomunicacióncomoeldiálogoconlos

“En un 30% de los casos estudiados por

el Consejo hemos tenido que ponderar

ambos derechos: el derecho a acceder a

información pública frente al derecho de la

protección de datos”. Raúl Ferrada, Consejo

para la Transparencia en Chile.

Raúl Ferrada.



22

gruposdeinterés.Portantoyocreoquenosedebegestionarlarepu-tación,sinolacomunicaciónparalograrunabuenareputación”.

Gallegoentiendelaimagencorporativacomoloque“losmediostransmitensobreunaempresaylareputaciónloquesusclientesopinandeella”.ParaEcija,“unacosaesloquelaempresaquieredecirdeellamismayotraloqueopinenlodemás.ClaramenteconInternetylosmediossocialesunaempresaestáobligadaaescucharloqueestándiciendo,yaseabuenoomalo”.

Teniendoclaroquelasredessocialeshandadopieparaquelaspersonasopinenmásabiertamenteeinfluyanenlaima-gen corporativadeunaentidad ¿Cómogestionar las crisis?Lostresparticipantesestuvierondeacuerdoenquelaanti-cipación,laproactividadyunmensajebienestructuradosonesenciales.

Velascoexplicóque con todas las víasde comunicaciónactual“ocomunicasoerescomunicado.Portantosiestásenunaorga-nizaciónqueescentrodeatención,sevanagenerarcontenidossobreti,asíquelaestrategiabásicaeslaanticipación”.Porelloesmás importantequenunca laestrategiademensaje.SegúnVelasco“tenemosquedefinirbienquéesloquevamosacomu-nicar.Siacertamos,acertaremosmucho,perosinosequivocamoselerrorsemultiplicaráexponencialmente”.

Un reglamento eficiente para las empresas y eficaz para las personas

VíctorChapela, CEOde SM4RTSecurity Services enMéxico,habló de la “Nueva aproximación del riesgo en seguridadpara los reglamentos de privacidad”. Chapela aclaró que laclaveparaquelasempresaspuedanaplicar lasmedidases-tablecidasesqueseanfácilesde implementar.Deestama-neralasempresas“gestionaránlaseguridaddelaformamáseficientepara ellos, sinqueesté enperjuicio la efectividadde esasmedidas para el individuo o los titulares a los quequeramosproteger”.

¿Cómohacer algo eficiente y efectivo quepueda estar enunreglamento?Chapelaexplicóvariasconsideracionesatenerencuentaconelfindepoderabordareltemadelaprivacidaddeunamaneramássencilla.PrimerolaAutoregulacióndeSeguri-


“Si estás en una organización que es

centro de atención, se van a generar

contenidos sobre ti, así que la estrategia

básica es la anticipación”.

José Manuel Velasco, Grupo FCC.

De izquierda a derecha: Carlos Alberto Saiz, Artemi Rallo, Raúl Ferrada y María Marván.


23

dadatravésdeunatabladeequivalencias.“Porejemplo:elPSIyelDSSparalastarjetasdecrédito.SiyoyacumploconPSIen-toncesporendeyatengoelmínimonecesariodeacuerdoconlaley”.Comosegundopasohayquetenerencuentalostiposdedatosquesonmássensibles.“EnMéxicoelsecuestroesunpro-blema,entonceshayqueprotegerlosdatosqueensuconjuntopudieran conllevar un secuestro”. La tercera consideración eselcloudcomputing:nopodemosprotegerellugardondeestá,perosílospuntosdeaccesoalainformación.Y,finalmente,eltiempo.“Hayquedarlesseismesesparadefinirquécontrolesnecesitanyunañoenteroparaimplementarlo”.

Setratadecrearunreglamento“queseaeficienteparalasem-presasyeficazparalaspersonas”.

“Las empresas gestionarán la seguridad

de la forma más eficiente para ellos,

sin que esté en perjuicio la efectividad

de esas medidas para el individuo o los

titulares a los que queramos proteger”.

Víctor Chapela, SM4RT Security Services.


Víctor Chapela.

De izquierda a derecha: José Manuel Velasco y Antonio Gallego.


24

Actividades 2011 ,X Jornada Internacional

Actividades 2011 , X Jornada Internacional


2525

Actividades 2011 , X Jornada Internacional

Programa X Jornada ISMS Forum Spain

8:30 Registro9:00

Inauguración

Palabras de Bienvenida.GIANLUCA D’ANTONIO, Presidente de, ISMS Forum Spain; Chief Information Security Offi cer (CISO) del Grupo FCC; Miembro del Consejo de Expertos (PSG) de (ENISA). BRUNO BROSETA DUPRÉ, Secretario Autonómico del Sector Empresarial, en representación de la Generalitat Valenciana.

10:00Mesa

redonda

Information Security: Setting the Vision and Strategy for the Next Decade.BRUNO DARMON, Vicepresidente, EMEA, Checkpoint.ILIJANA VAVAN, Vicepresidenta Senior de Ventas Corporativas de Europa, Kaspersky.SIMON YOUNG, General Manager, Server Security EMEA, Trend Micro.Preside: RAMÓN POCH, Head of IT Advisory, Risk Consulting KPMG.

11:00 Coffee-break11:30

Ponencia

La Estrategia Española en materia de Ciberseguridad. JAVIER CANDAU, Subdirector General Adjunto del Centro Criptológico Nacional, CCN.

12:00Ponencia

Why security breaches are ocurring? The Data Breach Investigations Report 2011.JELLE NIEMANTSVERDRIET, Principal Consultant Forensics and Investigative Response, Verizon Business Security.

12:30Mesa

redonda

La Industria de la Seguridad de la Información en España. Retos y oportunidades.JOAQUÍN REIXA, Director General para el sur de Europa, Check Point.JESÚS SÁNCHEZ, Director General para España y Portugal, McAfee.MARCO BAVAZZANO, Director Security Strategist Organization, Symantec.Preside: GIANLUCA D’ANTONIO, Presidente de, ISMS Forum Spain; Chief Information Security Offi cer (CISO). del Grupo FCC; Miembro del Consejo de Expertos (PSG) de (ENISA).

13:30Presentación

Proyectos y actividades de ISMS FORUM SPAIN.Comité Operativo, ISMS Forum Spain.

14:00 Almuerzo15:45Mesa

redonda

La entrada en vigor de la normativa española en materia de infraestructuras críticas.FERNANDO SÁNCHEZ GÓMEZ, Director Centro Nacional de Protección de Infraestructuras Críticas, CNPIC.MANUEL CANALEJAS, Director de Consultoría, Prosegur.MANUEL CARPIO, Director de Seguridad de Infraestructuras y Prevención del Fraude, Telefónica.JOSÉ LUIS BOLAÑOS, Director de Seguridad y Protección, Gas Natural Fenosa.Preside: JOSÉ DE LA PEÑA, Director, Revista SIC.

16:45Mesa

redonda

El nuevo panorama de ciberamenazas. Casos de éxito y buenas prácticas.MANUEL CORNEJO, Director de Ingeniería de Sistemas, Juniper Networks.JAVIER SEVILLANO, Responsable de Seguridad Tecnológica, Bankia.FELIX MARTÍN, Responsable de desarrollo de negocio de Servicios de Seguridad, HP.JESSICA VALDERRAMA, , IBM Sales Security Leader.Preside: JESÚS MILÁN LOBO, Director de Riesgos Tecnológicos y Seguridad Informática, Bankinter.

17:45Ponencia

El headhunting de profesionales y directivos de la Seguridad ¿Qué está demandando el mercado?MIGUEL PORTILLO, Associate Director, Michael Page Executive Search.

18:15Clausura

Palabras de cierre.


26

LabienvenidacorrióacargodeGianlucaD’Antonio,PresidentedeISMSForumSpain;ChiefInformationSecurityOfficer(CISO)delGrupoFCC;yMiembrodelConsejodeExpertos(PSG)deENISA;ydeBrunoBrosetaDupré,SecretarioAutonómicodelSectorEm-presarial,enrepresentacióndelaGeneralitatValenciana.

Lasesiónpartiódeunaidea:laCiberseguridaddebeconsiderarsecomounBienPúblico.ElPresidentedeISMSForumabriólajor-nadaargumentandoquelaCiberseguridades“undeberdeEs-tado”queconsisteengarantizarlaseguridadylaproteccióndelosderechosylibertadesenelciberespacio.TalycomoplantealaprofesoradeBerkeleyUniversity,DeirdreK.Mulligan,laCiberse-guridadtienequesertratadacomounBienPúblico,equiparablealaSaludPública.Deestemodo,elEstadotienelaobligacióndeasumirunpapelrector,estableciendounmarcoparaelfomentodelestadopositivodelaseguridadyparaelmanejodelainse-guridad,unavezquelasciberamenazassehanmaterializado.Enestesentido,EspañanecesitadeunaestrategiadeCiberseguri-dadquedefinaunasmetasyobjetivosclaros,yenlaqueseesta-

blezcanaspectosclavecomo:aquiénsevaaasegurar,contraquéamenazas;conquémedios técnicos,educativos, regulatorios;ybajoquémodelodefinanciación.

EstaXJornadaInternacionaldeISMSForumcontóconlaparti-cipacióndedos institucionesclavesenmateriadeCiberseguri-dadcomosonelCentroCriptológicoNacional(CCN)yelCentroNacionaldeInfraestructurasCríticas(CNPIC),quienesaportaronvaloraciones, yexpusieron lasestrategiasestatalesde su com-petencia. Losdemásponentes, representantesde empresasdeprimernivelnacionaleinternacional,tuvieronlaoportunidaddedebatirymostrarsusposicionesanteellas.Así supusounforodedebateabiertoeintegradory,porello,degranvalorparalosasistentes.ParticiparonmultinacionalesquelideranelI+Ddese-guridadcomoCheckPoint,HP,IBM,JuniperNetworks,Kaspersky,KPMG,McAfee,Symantec,TrendMicro;yempresasespañolasdereferencia como Bankia, Bankinter, Gas Natural Fenosa, GrupoFCC,ProseguroTelefónica.

La estrategia española en materia de Ciberseguridad

Javier Candau, Subdirector General Adjunto del CCN ar-gumentó que España ha establecido una“líneamínima dedefensa” donde todas las administraciones tienen que ver-sereflejadas.Se tratadeunpaso importante,destacó,peroCandaunoescatimóargumentospararecalcarqueesnece-sariaunadotaciónpresupuestariasuficiente.Debemosestaren“permanente vigilancia y pensar que la red puede estarcomprometida”, pero“todo pasa por recursos materiales yeconómicos”,sentenció.

Actividades 2011 , X Jornada InternacionalActividades 2011 , X Jornada Internacional

“Existen sectores estratégicos que

también necesitan protección, pues

ofrecen servicios muy importantes

a la sociedad y su fallo puede causar

importantes problemas”.

Javier Candau, CCN.

Fernando Sánchez Gómez.

Principales conclusiones / Por: Juan Antonio Ibáñez

La Ciberseguridad debe considerarse un bien público y requiere la implicación de los Estados y las empresas

La X Jornada Internacional de Seguridad de la Información de ISMS Forum reunió en Valencia a expertos, profesionales, instituciones y empresas de primer nivel para debatir sobre el estado actual de la Ciberseguridad en España. Celebrada en la emblemática Ciudad de las Artes y las Ciencias de Valencia, tuvo como eje principal los retos que se presentan para el sector, con especial hincapié en las nuevas ciberamenazas y la recientemente publicada normativa sobre Protección de Infraestructuras Críticas. Contó con más de 250 asistentes, procedentes de 120 empresas e instituciones.


27

Candauexplicóquesetratade“laprimerareferenciaquesehacealaciberamenaza”comounpeligroreal,haciendoreferenciaalaestrategiadeseguridadaprobadaelpasadojunioenelCon-gresode losDiputados.Así en“las políticas sobre amenazas yriesgosparalospróximoscincoañosfiguranlasciberamenazas”,incluyéndoseunamenciónespeciala las InfraestructurasCríti-cas.Precisamente, laX Jornadasecentroenbuenaparteenelanálisisdelnuevopanoramadeciberamenzasderivadasdelrá-pidoprogresotecnológico,enparticularlasquepodríanponerenpeligroserviciosesencialesparalasociedad,provistosporestasInfraestructuras Críticas del país. El tema tiene una relevanciamáxima,puescomoconsecuenciadefallosdeseguridadodeci-berataquesterroristas,porejemplo,sepodríanproducir,ademásdemillonesdeeurosenpérdidas,víctimashumanas.

Porello,CandaucomentóquehayqueprotegerlasInfraestructu-rasCríticas,peroéstas,ensentidoestricto,sonsólolasconside-radasyclasificadascomocríticasparaelEstado,existiendootrasinfraestructurasqueaúnno“siendoapellidadascomocríticas”tambiénhayqueprotegerlas.Poresohayquematizarquehaysectoresmuy relevantesque“puedennoser clasificadoscomo‘críticos’desdelaAdministración;ysufrenmuchosataques”.Poreso“existensectoresestratégicosquetambiénnecesitanprotec-ción”,puesofrecenserviciosmuyimportantesalasociedadysufallopuedecausarimportantesproblemas”explicandolavisiónglobaldelaestrategiaaprobada.

Colaboración público-privada en la protección de IC

Este año 2011 ha sido clave para establecer el marco legal enmateriadeInfraestructurasCríticas,yaquesepublicaronlaLey8/2011por laque se establecenmedidaspara la ProteccióndelasInfraestructurasCríticasyelRealDecreto704/2011porelqueseapruebaelReglamentoparalaProteccióndelasInfraestruc-turasCríticas,quesondefinidascomo“elconjuntoderecursos,servicios,tecnologíasdelainformaciónyredes,queenelcasodesufrirunataque,causaríangranimpactoenlaseguridad,tantofísicacomoeconómica,delosciudadanosoenelbuenfunciona-mientodelGobiernodelaNación”.

Elanálisisde lanormativa recientementeaprobadacorrespon-dióaFernandoSánchezGómez,DirectordelCentroNacionalde

Javier Candau.


“Se requiere de una colaboración

público-privada, que es la base de

un adecuado estado de seguridad”.

Fernando Sánchez Gómez, CNPIC.


28

ProteccióndeInfraestructurasCríticas,CNPIC;ManuelCanalejas,DirectordeConsultoría,Prosegur;ManuelCarpio,DirectordeSe-guridaddeInsfraestructurasyPrevencióndelFraude,Telefónica;yJoséLuísBolaños,DirectordeSeguridadyProtección,GasNatu-ralFenosa;enundebateconducidoporJosédelaPeña,directordelarevistaSIC.Losponentestratarontemasrelacionadosconlaimplantacióndelanormativa,elniveldemadurezdelasempre-sasespañolasenseguridad,ylanecesariainterlocuciónpúblico-privada,unodelosretosfundamentalesparalospróximosaños,yaquecomoaseguróeldirectordeCNPIC:“Elespíritudelaleyes lacoordinaciónde todos losactores”,yaquenoenvanoenlaproteccióndelasInfraestructurasCríticasintervienentantolaAdministracióncomolasempresas.Porello,serequieredeunacolaboraciónpúblico-privada,quees“labasedeunadecuadoes-tadodeseguridad”.

De hecho, las empresas protegen sus Infraestructuras Críticasdesdequesecrean,porloquecuentanconunaexperienciamuyvaliosa.ComocomentóManuelCarpio,desdelosaños20Telefó-nica“sehaocupadodeprotegerlasInfraestructurasCríticasparaofrecerelservicioyparagarantizarlacontinuidaddelnegocio.EnestesentidoelimpactodelaLeyesmínimo”.

SegúnSánchezlaLeysóloestablece“unsistemademínimosynoentraavalorar”losmecanismosqueponenenmarchalasem-presasparaprotegersusInfraestructurasCríticas,sisoneficaces,eficientesysiestánprobados.Yesquesetratadeunagestiónvitalparaellas,yaquegarantizanlaprestacióndelservicioylarespuestaante losdañosoriginadosporposiblesciberataques.“Novamosadeciraunaempresaconmuchaexperienciaalres-pectocómolotienequehacer”,aseguró.

“EstanoesunaLeymás,noesunaleyconvencional.Tieneunascaracterísticasque ladiferenciade lasdemás.Noesunacargaimpositivamás.Sinoqueesalgoquevamásallá.Deloquesetrataesdecrearunapolíticadeprotecciónde InfraestructurasCríticasen laqueparticipemostodos”.Así,aseguróqueelRealDecretoimpulsatodaestapolíticadecooperaciónparaenmar-caruncamino,sinqueexistaunánimodesanción.

Desdeelpuntodevistadelasempresas,engeneral,semostrósuacuerdoa las afirmacionesdeldirectordelCNPIC. José LuísBolaños destacó que efectivamente la colaboración de las ad-ministracionespúblicasesesencial.“Elproblemanoseresuelveconmediosyrecursosde lasempresasproveedoras”,sinoqueesnecesarialacolaboracióndelaadministración,estableciendounasbasesyreglasdeljuego,yel“apoyoefectivodelasfuerzasdeseguridadelEstadoyde lasautonomíasen laprevenciónyreaccióncuandoocurrenlascosasyparaquenosevuelvanare-petir”,aseveró.“Lasempresashaninvertido,peroesonoresuelvelapelícula”.

Encuantoalcumplimientonormativo,ManuelCarpiocomen-tóque“estamospreparadosdeacuerdoa loquedice la Ley”.

De izquierda a derecha: Jesús Millán, Javier Sevillano y Manuel Cornejo.


“Es más imprescindible que nunca

unirse para encontrar la mejor forma de

defenderse en la próxima década”.

Bruno Darmon, Checkpoint.


29

Bolaños valoró además que el “concepto de InfraestructurasCríticas paranosotros tieneunmatiz especial con respecto anuestros clientes y los servicios que proporcionamos a la so-ciedad”,quientambiéndestacólaimportanciadellevaracabounagestiónglobaldentrodelasempresas.“Nopodemosestarendepartamentosestancos”.Enestesentido tambiénsepro-nuncióManuelCanalejas:“Si todas lasestrategiasno formanpartedeunaestrategiaglobaldeseguridadnuncallegaremosalpuntofinalqueesconseguirquelaempresaolainfraestruc-turaseasegura”.

Conrespectoalalegislaciónaplicable,CanalejasinterpelóalCN-PIC:“megustaríavermuchamásconcreciónen laexigencia”y“meencantaríavermuyconcretoydesarrolladocomovasereltemadecoordinación.Cómonosvamosacomunicarunosconotrosycómovamosaactuarencasosdeemergencia”.

Porúltimo,paraeldirectordelCNPIC“elgradodemadurezdelaprotecciónenEspañaesmuyaltoanivelgeneral”,yaquedebi-doalaamenazadelterrorismohasidonecesarioenlasúltimasdécadasprepararseanteposiblesataques.“Deloquesetrataes

deimpulsaruntemaqueamedioylargoplazopropicieuncam-biodeculturade la seguridadquealgunos lopercibendeunaformamásintensayotrosnolopercibenonoquierenpercibir”,concluyó.

Jelle Niemantsverdriet.

Ciudad de las Artes y las Ciencias de Valencia, lugar donde se celebró el evento.


“Los Estados necesitan controlar

la seguridad para facilitar que las

economías crezcan”.

Simon Young, EMEA.


30

Nuevo panorama de ciberamenazas

Elrápidoprogresotecnológicoylosnuevosusosgenerannuevasamenazasdeseguridad.Degranactualidadsonaquellasvincu-ladasalatendenciadelamovilidadyeldenominadocloudcom-puting, quepermite, entre otras cosas, almacenar informaciónenservidoresdeformadeslocalizada,quepuedeserconsultadaatravésdeInternetymediantemúltiplesdispositivos.Asísehanproducidofenómenoscomoladesaparicióndelostradicionalesperímetroscorporativosylageneralizacióndelosmovimientosde la información, inclusoconcarácter transfronterizo.Estore-presentaunretotantoparalosEstados, lasempresasyparalaciudadaníaengeneral.

DurantelaXJornadaInternacionaltambiénseabordóelpano-ramaactualdelaciberamenaza,queFélixMartín,LeadSolutionConsultant,HP,describiócomo“unnuevoparadigma”,provoca-doporunmayor interés de losnegocioshacia el ciberespacio,

unatendenciaculturaladarmásinformaciónendetrimentodela privacidad y el cambio tecnológicounido a la globalización.Entrelosproblemasmásdebatidosenlasesión,ademásdelosvinculadosalamovilidadyalcloud,seencontraronlosataquesdirigidos,losataquesdedenegacióndeservicios(DDoS),losata-quespersistentes(APT)ylasvulnerabilidadesdelsoftware,entreotros.

FélixMartínparticipóenundebateconducidoporJesúsMilán,miembrodelaJuntaDirectivadeISMSForum,DirectordeSegu-ridad,Bankinter;juntoaManuelCornejo,DirectordeIngenieríadeSistemas,JuniperNetworks;JavierSevillano,ResponsabledeSeguridadTecnológica, Bankia y JessicaValderrama, IBM SalesSecurityLeader.

Enloreferenteavulnerabilidades,Martínconfirmóqueseman-tienelatendenciadesde2006.Lasvulnerabilidadesdecrecenennúmero,sobretodoensoftwarecomercial,segúndatosrecogi-dosporHP.ElpuntocríticoloaportóJavierSevillano.“¿Porquéllevamosmuchosañostapandoagujerosynuncaconseguimosqueesténtapados?”,sepreguntó.Así,argumentóquecreequehayunproblemademodelo,porque“anuestrojuicioelquetienelaresponsabilidaddelosagujerosnoesaquelqueescapazdearreglarlo”.

Conrespectoalamovilidad,ManuelCornejoresaltóloscambiosdecomportamientodelosusuariosantelosnuevosdispositivos.Es un reto importante para los próximos años“securizar esosnuevosentornos”,yaquesedemuestraque,engeneral,losusua-riosestánmenosconcienciadosynotienenencuentalosaspec-

De izquierda a derecha: Gianluca D’Antonio, Joaquín Reixa, Marco Bavazzano y Jesús Sánchez.


“En cuanto a la madurez de las empresas

españolas en materias de seguridad

estamos algún paso por delante

con relación al control de fugas de

información”.

Jesús Sánchez, McAfee.


31

tosdeseguridad.Porello,considerópertinenterecordarque“elusuarioeseleslabónmásdébildelacadena”.

OtroaspectoimportantedestacadoporCornejoeslanecesidadde compartir la información sobre los ciberataques sufridos.“Para poder crear una inteligencia, para ser más proactivo; ocompartimosinformaciónonofunciona”,aseveró.

Los ciberdelincuentes sofistican sus ataques a empresas y Estados

LosretosdelaSeguridaddelaInformaciónparalapróximadé-cadafuerondebatidosenunamesainternacionalformadaporBrunoDarmon,Vicepresidente,Checkpoint;IlijanaVavan,Direc-tora Corporativa en Europa, Kaspersky; Simon Young, DirectorGeneral,EMEA,TrendMicro;yconducidaporRamónPoch,HeadofITAdvisory,KPMG.

Los ponentes coincidieron en destacar que todos los agentesimplicadosdebencomprometerseycolaborar,tantoanivello-calcomoglobal,paramejorarlaseguridad.Sisequierealcanzarun grado de prevención óptimo“necesitamos trabajar todosjuntos: lasempresas, losgobiernosy los individuos”,opinóIli-janaVavan.

Losciberdelincuentesformanuncolectivopoderoso,quecuen-tan con organizaciones criminales ymotivaciones económicasdetrás.Sehaproducido,además,unasofisticacióndelaamena-zaenlosúltimosaños.“Esmásimprescindiblequenuncaunirse

paraencontrarlamejorformadedefenderseenlapróximadé-cada”,continuóBrunoDarmon,destacandoquehanaumentadolosataquesselectivos;mientrasqueSimonYoungalertabasobrelosgrandesriesgosquesurgendelusodelosmediossociales,lamovilidadyelcloudcomputing.

Deestemodo,unaredmásreguladapodríaserunaayudaparamejorarlaseguridad.Youngdestacóquelosrequerimientosle-gales para las empresas, destinados a garantizar la seguridaddelainformaciónylaproteccióndedatospersonales,“deberíansermásfuertes”ytambiénquelosgobiernostendríanquede-sarrollarnuevosmarcoslegalesparaservicioscomoelcloud.DelamismaopiniónfueVavan,quienpropuso,además,crearmeca-nismospara“laidentificacióndequienentraenInternet”.Porsuparte,Darmonmatizóqueesmuyimportanteligarlaimplemen-tacióndelaregulaciónalaconcienciacióndelosempleadosparaconseguirlaprotecciónadecuada.


“En España el sector de la Seguridad

de la Información probablemente sea

uno de los menos afectados por la crisis

porque las empresas tienen la necesidad

de proteger sus activos”.

Joaquín Reixa, Checkpoint.

De izquierda a derecha: Simon Young, Ilijana Vavan, Bruno Darmon y Ramón Poch.


32

TalycomodestacóVavan,esmuynecesarioeducaratodalaciu-dadaníasobrequériesgoshayenInternet.Lacolaboracióndelosgobiernos es imprescindible en este sentido, quienes, por otrolado,seestánempezandoadarcuentadeque lasamenazasyriesgosson realesygraves, tantopara laspersonascomoparalasempresas.

En este sentido, los Estados “necesitan controlar la seguridadparafacilitarquelaseconomíascrezcan.Tododependedelcono-cimientoylainformación”,declaróYoung,poniendocomoejem-plolaestrategianacionalaprobadaenGranBretaña,queincluyepolíticasactivaseimportantespartidaspresupuestarias.

La industria en EspañaEnlamesadedicadaalasoportunidadesdelaindustriadelaSeguridad de la Información en el contexto nacional,MarcoBavazzano,DirectorSecurityStrategistOrganization,Syman-tec, y Gianluca D’Antonio, Presidente de ISMS Forum Spain;ChiefInformationSecurityOfficer(CISO),GrupoFCC;yMiem-bro del Consejo de Expertos (PSG), ENISA; también situaroncomopuntode referenciaelmodelo inglésporsubúsquedadeunespaciocibersegurocomogarantíayatracciónparalosnegocios.

Ambos compartieronmesa con JoaquínReixa,DirectorGene-ral para el sur de Europa, Checkpoint; y Jesús Sánchez,Direc-torGeneralparaEspañayPortugal,McAfee;quiendestacó,encuantoalamadurezdelasempresasespañolasenmateriadeseguridad,que“estamosalgúnpasopordelante”conrelaciónalcontroldefugasdeinformación.TambiénEspañaespioneraenlaaplicacióndealgunasmedidascomoelcifrado,coincidióReixa, quien relacionóademásesta situación conel gradoderegulación,queesmuyalto,conrespectoaotrospaísesdelen-torno,enespecial,enmateriadeproteccióndedatosdecarác-terpersonal.


De izquierda a derecha: José de la Peña, Fernando Sánchez, Manuel Carpio, José Luis Bolaños y Manuel Canalejas.

Auditorio.


33

Porotrolado,Bavazzanoopinó,tomandocomoreferencialade-mandadelmercado,quesedebedeirhaciasolucionesintegra-dasyconvergentes.“Comoproveedor,encontramosquevamosalgunospasospordelantede lanecesidad.Desdeunpuntodevistadeconvergencialanecesidadcreoqueexiste”,explicó.

Desdeunenfoqueeconómico,JoaquínReixaopinóqueenestemo-mentoenEspañaelsectordelaSeguridaddelaInformación“pro-bablemente seaunode losmenosafectadospor la crisisporquelasempresastienenlanecesidaddeprotegersusactivos”.“Aunquesiempreexisteelriesgodelafaltadepresupuesto”,matizó.

Brechas de seguridadJelleNiemantsverdriet,PrincipalConsultantForensicsandInves-tigativeResponse,VerizonBusinessSecurity,analizólamateria-lizacióndebrechasdeseguridadenlasorganizaciones,ayudán-dosedelasconclusionesdel“DataBreachInvestigationsReport2011”.Segúnéste,se robaron3,8millonesderegistrosen2010,una cifra significativamentemás baja con respecto a estudiosprevios(en2009,porejemplo,seregistraron143,6millones),co-mentó.

Ensuopinión,unelemento reseñableesqueseestámostran-douncambiodetendenciaenlosrobos.Debidoalapresión,sesospechaque losnuevosdelincuentes“vanapor lospequeñosconejos,noaporelgranelefante”,declaró.Esdecir,ahoralosci-berdelincuentesatacanmuchaspequeñascompañías,aquienessustraenmenosdatos.Elproblemagravequesurgeesque“se

estáextendiendoestaprácticayesmuchomásdifícildedetectarquelasanteriores”.

Porotrolado,Niemantsverdrietresaltólarelevanciadeloslogsenlainvestigacióndelasbrechasdeseguridad.“Esfácil.Todoloquesenecesitanson logs.Todoestáenesos logs”,declaró,porloqueresultavitalleerlosysaberlosinterpretaradecuadamen-te.Para laprevención, recomendócentrarseenunconjuntodemedidasbásico,basándoseenlosprocesosylaspersonasantesqueenaumentarlainversiónymejorarlatecnología.“Muchosepodríahaberevitadocumpliendosólocon lobásico”, comentó.Tambiénhizohincapiéenlanecesidaddemonitorizaralperso-nalinterno,elaborarunplanderespuestarevisableanualmenteycolaborarconlapolicíaylosserviciossecretosparacompartirinformación.

El profesional de la Seguridad de la Información

En la jornada tambiénsededicóunespacioalprofesionalde laSeguridaddelaInformación,enelquesehablódeperfilesylasi-tuacióndelmercadolaboral.Paraello,secontóconMiguelPortillo,AssociateDirector,MichaelPageExecutiveSearch,quienexplicóquedebidoalacrisis“haymenosprocesosdeselecciónperosonmuybuenasoportunidades”.Tambiéndestacóquecadavezhayunamayorconcentracióngeográfica,sobretodohaciaMadrid.Encuantoasalarioscomentóque“enEspañasepagamal,entreun20o30%pordebajodelosvecinosdelaUniónEuropea”.


Miguel Portillo.


34

I Foro DPI 21-01-2010 Recetas para la Privacidad de Datos.

II Foro DPI 23-05-2010 Dos años de Reglamento de la LOPD.

III Foro DPI 03-11-2010 Problemas actuales en Privacidad y la Seguridad de la Información.

IV Foro DPI 18-10-11 Estado actual de la Protección de Datos y próximos retos.

Actividades 2011 ,Data Privacy Institute (DPI) / Por: Juan Antonio Ibáñez

La Protección de Datos se enfrenta a retos que hacemuy po-cosañoseran impensables.Elprogreso tecnológicoy lagloba-lización,hanhechoemergerunnuevoescenariodondesurgenriesgosydebatessobreconceptoscomoelderechoalolvidoolaaplicacióndelanormativaenentornosenlosquelainformaciónfluyeanivelinternacionalylosdatosestándeslocalizadosbajomodelosdecloudcomputing.Comoescenariodereflexiónyde-bate,elDataPrivacyInstitute(DPI)deISMSForumSpainreunióenelIVForodelaPrivacidad,quetuvolugarenMadridel18deoctubreenMadrid,avariosdelosactoresimplicadosenelsector,tantoempresasdereferencia(Écija, Tuenti, KPMG, Telefónica, HP, Mapfre, Cepsa, Symantec, Grupo Prisa) comoexpertosy repre-sentantesdeorganismospúblicos(Agencia Española de Protec-ción de Datos, la Agencia Madrileña de Protección de Datos y la Agencia Catalana de Protección de Datos).

Bajoeltítulode“Estadoactualdelaproteccióndedatosypróximosretos”,eleventohizoespecialhincapiéenloscambiosnormativos

yenlosdesafíosquepresentanlosnuevosserviciosyprácticasenInternet,comoelcloudcomputing,elbehavioralmarketingolasredessociales;quehancrecidodeformaexponencial,tantoenelámbitoempresarialcomoenelpersonal.AdemásseanalizaronlasprimerasresolucionestraslareformadelrégimensancionadordelaLeyOrgánicadeProteccióndeDatos(LOPD).LasededelConsejoGeneraldeColegiosdeMédicos,miembrofundadordeISMSFo-rumacogióesteIVForodelaPrivacidaddebidoalaimportanciaqueparaelcolectivotienelaProteccióndeDatosdelospacientesydesucompromisoconlaprivacidad.

“Estamos necesitados de una

actualización del marco legal”.José Luís

Rodríguez Álvarez,Agencia Española de

Protección de Datos (AEPD).

De izquierda a derecha: Carlos Alberto Saiz, José Luis Rodríguez y Joan Camps Pons.

Conclusiones del IV Foro DPILa protección de datos ante las grandes transformaciones tecnológicas y la globalización

Actividades 2011 , IV Foro DPI


35

EldirectordelaAgencia Española de Protección de Datos(AEPD),JoséLuísRodríguezÁlvarez,fueelencargadodelaaperturadehonorconunaponenciasobrelosretosdelaProteccióndeDatosenlospróximosaños,aunquehizoénfasisenelestadoactual,ca-racterizadoporunanormativaquepodríahaberquedadoobsole-taparaalgunosproblemassurgidosporunprogresotecnológicoacelerado.“Estamosnecesitadosdeunaactualizacióndelmarcolegal”,haciendoreferenciaalaDirectiva95/46/CE.“Losavancestecnológicosplantean continuamentenuevos retospara todaslasinstitucionesquenosonfácilesdeabordarconlasnormati-vasactuales”,explicó.AunqueprecisóqueenEspaña“contamosconunaltoniveldegarantíadelosdatospersonales,porencimademuchospaísesdenuestroentorno”.Tambiénapelóa lares-ponsabilidadde lasempresasenel respectoa laproteccióndelosdatospersonales,así comoa laciudadaníageneralaexigirelcumplimientodelalegislación.“Yocreoquelaconcienciadelosciudadanosdetodosestosriesgosmoveráaincrementarlosnivelesdeprotección.Loserámáscuandohayaunamayorcom-petencia”,apostillóamododecomentariopersonal.

Conrespectoalasredessociales,declaróqueesimprescindibleunmayorcompromisodelascompañíasenlaproteccióndelosmeno-resdelared,urgiendoqueseperfeccionenmetodologíasqueper-mitancomprobarlaedadmínimaexigidaparaparticiparenellas.Asimismo,paraRodríguezÁlvarez,elcloudcomputingnosepuedeconvertirenunavíaparaeludirlanormativadeProteccióndeDatosyadvirtióalosusuariosque“quiencontratarespondeconarregloalalegislaciónespañola”,haciendoreferenciaalanecesidadderevi-sardeformaexhaustivalascláusulascontractuales.

“Hay posibilidad de que las autoridades

de control españolas actúen en cloud

computing”.Emilio Aced, subdirector

general de la Agencia Madrileña de

Protección de Datos.

Precisamenteelrespetoalaprivacidadylaseguridadenelclo-udcomputingfueunodelosaspectosabordadosprofusamente

en la jornada,yaquese tratadeunfenómenoemergentequepermitetransferenciasinternacionalesdedatospersonalesyelalmacenamientodeestosenservidoresrepartidosendistintospaísesdelmundo,conlegislacionesdistintas.DeahíquetantolosmiembrosdelaprácticadeseguridaddeHP yKPMG,CésarPeñacoba y JaumeSoler, respectivamente, comoel subdirectorgeneraldelaAgencia Madrileña de Protección de Datos,EmilioAced,destacaran,enlíneaconlaopinióndeldirectordelaAEPD,elvalordelaauditoríaylacontratacióndeproveedoresfiables,cuyospropioscontratosincluyanelrespetoexplícitoalaleyna-cionalsobreProteccióndeDatos,allídondelosdatossegestio-nen.“Hayposibilidaddequelasautoridadesdecontrolespaño-lasinvestiguenyactúenporquecontractualmentedebedeestarcontemplado”,aseguróAced.

“Tenemos que saber qué información

nuestra se está publicando”.Ramón

Miralles, coordinador de Auditoría

y Seguridad de la Información de la

Agencia Catalana de Protección de Datos.

Elconceptodederechoalolvidofueunodelosmásdiscutidosenlajornada.EldirectordelaAEPD,alertóquelo“queestáenjuegoesqué tipodesociedadqueremos.Unaen laque laspersonaspuedancambiarounasociedadenlaqueelrecuerdopermanen-tedelpasadoimpidalareinserciónonoscoarteononosdejede-sarrollarnoscomopersonas”.EnloestrictamentelegalRodríguezÁlvarezexplicóquelaspersonasdebendepoderejercerlosde-rechosdecancelacióntambiénenInternet.Setrataderetosqueapelanallegislador,perotambiénalaindustriaqueestáobliga-daa“atenderlaspeticionesdelosciudadanosconrespectoalaLeydeProteccióndeDatos”.

Otros ponentes, durante la jornada aportaron perspectivas di-ferentesalrespecto.ElcoordinadordeAuditoríaySeguridaddela Informaciónde laAgencia Catalana de Protección de Datos,RamónMiralles,a títulopersonal,hablóde la ideade la“auto-determinación informativa”. “El Derecho al Olvido no existe”,

De izquierda a derecha: Nathaly Rey, Emilio Aced, César Peñacoba y Jaume Soler.

Actividades 2011 , IV Foro DPI


36

comentó,haciendoreferenciaaquelaspersonasdeberíanteneraccesoatodalainformacióndisponiblesobreellos,siendoésteunderechoalainformacióndecualquierciudadano.“Tenemosquesaberquéinformaciónnuestraseestápublicandoyasípo-demosactuar”,concluyó.OtromatizfueintroducidoporNataliaMartos,DirectoradePrivacidadenelGrupo PrisayConsejeraGe-neraldePrisaDigital,aldiferenciarentreinformaciónpublicadacomonoticiaenunmediodecomunicacióna“lopublicadoenunaredsocialdondelapersonapuedecancelarloquehadado”,mostrándose“contrariaalasobrerregulación”.

“Hay que buscar soluciones que no sólo

sean costosas para el que está prestando

el servicio”. Paula Mª Eliz Santos, Letrada

de la Dirección de Asesoría Jurídica de lo

Consultivo en Telefónica España,

EnestamismamesadedicadaalpanoramanormativonacionaldelaprivacidadenInternet,tambiénseabordaronlosprotoco-losdeseguridadutilizadosporlasempresasdeservicios,desta-cando la dificultad tecnológica actual como por ejemplo paraidentificarmenores.“Ladiligenciadenuestrosprofesionalesesmáximaparaidentificarperfilesquesonpotencialesmenoresde14años”yprocederasuidentificaciónrealatravésdedocumen-tos acreditativos verificados o de sus propios padres, comentóÓscarCasado,DirectorJurídicoydePrivacidadenTuenti.Anteladificultaddecrearmecanismosfiables“loquehacefaltaesque“sesiententodoslosactoresparabuscarsolucionesquenosóloseancostosasparaelqueelestáprestandoelservicio”,declaróPaulaMªElizSantos,LetradadelaDireccióndeAsesoríaJurídicadeloConsultivoenTelefónica España.

“No se tiene en cuenta la diligencia

del responsable como causa de

exención”, Ricard Martínez. Presidente

de la Asociación Profesional Española de

Privacidad (APEP) y Profesor de Derecho

Constitucional en la Universitat de

Valencia.

Porotro lado, seanalizaron lasprimeras resoluciones tras lareformadel régimensancionadorde la LeyOrgánicadePro-teccióndeDatosderivadade la LeydeEconomíaSostenible,acargodelsubdirectordeInspeccióndelaAgencia Española de Protección de Datos,JoséLópezCalvo,quiencomunicóque

De izquierda a derecha: Ricard Martínez y José López Calvo.

De izquierda a derecha: Carlos Alberto Saiz, Óscar Casado, Natalia Martos, Paula M. Eliz Santos y Ramón Miralles.

Actividades 2011 , IV Foro DPIActividades 2011 , IV Foro DPI


37

desdeeltresdemarzosehabíanproducidounaltonúmerodeapercibimientos,213,siendomuydestacableque144estuvie-ranrelacionadoscon lavideovigilancia.RicardMartínez,Pre-sidente de laAsociación Profesional Española de Privacidad (APEP)yProfesordeDerechoConstitucionalenlaUniversitat de Valènciaincidiósobre“elfrutodelamodulacióndelassan-ciones”.“Nose tieneencuenta ladiligenciadel responsablecomocausadeexención”,aseguró,abriendodebateconLópezCalvo,quienmostrósudesacuerdo,matizando laafirmacióndeMartínez.

“La principal misión de la auditoría

es la concienciación”. Miguel Ángel

Ballesteros, Auditoría interna en Cepsa.

Lasestrategiasparalaaplicaciónefectivadelasmedidasdese-guridadestablecidasenelReglamentodedesarrollodelaLeyOrgánicadeProteccióndeDatosdecarácterpersonal(RLOPD)fueron analizadas porMiguel Ángel Ballesteros, Auditoría in-ternaenCepsa;ElenaMora,Marco regulatorioenMapfre; Ja-vierCarbayo,AsociadoSeniorenEcija,yMiguelCebrián,SeniorSystems Engineer enSymantec, comomoderador.Todos ellosestuvierondeacuerdoendestacarelgranvalordeconciencia-ciónquetienelaauditoría.“Desdemiexperiencia laprincipalmisióndelaauditoríaeslaconcienciación”,aseveróBallesteros.Ademásesaobligaciónsedebe“aprovecharparaconvertirlaenunvalordiferencial”,enformadecertificaciones,porejemplo,comentóCarbayo.Porsuparte,Moraincidióenlanecesidaddelapoyode laaltadirecciónyelplandeacción.“Esmásefecti-voincluiraspectosdesdeelmomentodeconcepcióndelaideaqueaposteriori”,argumentó.

Certified Data Privacy Professional (CDPP) y Fundación de la PrivacidadEnsuponenciaNathalyRey,directoradeISMSForumSpain,anun-ciólacreacióndeunaFundación de la Privacidad,queestaráabier-taaempresase institucionese informóde labuenamarchadelaprimeracertificaciónespañoladirigidaalosprofesionalesdelaprivacidad,creadaporISMSForum,elCertified Data Privacy Profes-sional (CDPP).UncertificadoquepermiteacreditarunaltoniveldeespecializaciónenlanormativaespañolaenmateriadeProteccióndeDatosdecarácterpersonal,tantoenuncontextolocal,comoenuncontextoeuropeoeinternacional,asícomoundominiodelosfundamentosquerigenlaSeguridaddelaInformación.

ClausuróelactosuSecretarioGeneraldelConsejo General de Co-legios de Médicos(miembrodeISMSForumysededelIVForodelaPrivacidaddelDPI),SerafínRomero,quienaludióaHipócratesparavisibilizarelcompromisotradicionaldelacomunidadmédi-caconlaProteccióndeDatosdelospacientes,unsectorqueseenfrentaactualmentea“importantes retos”derivadosdelpro-gresotecnológicoyaque,porejemplo,esposible“desdeArgenti-naestarinformandodeunaresonanciahechaaquí”,comentó.

De izquierda a derecha: Miguel Cebrián, Elena Mora, Miguel Ángel Ballesteros y Javier Carbayo..

Actividades 2011 , IV Foro DPIActividades 2011 , IV Foro DPI

Más información en:www.ismsforum.es/dpi


38

Actividades 2011 ,Cloud Security Alliance España (CSA-ES)

Cloud Security Alliance publica el primer Informe Cloud Compliance para España

ElcapítuloespañoldeCloudSecurityAlliance(CSA-ES)hapubli-cadoelprimerInformeCloudCompliance.Esteinformehasidolaprincipallíneadetrabajodeladivisióndesdesuinicioen2010durantelaVIIJornadaInternacionaldeISMSForumSpain.Unodelosprincipalesobjetivosdeesteinformeesproveerdeunaspautas metodológicas que ayuden a abordar la necesidad deComplianceenCloudComputing.

Elinformesecentraentresáreasprincipales:

•Grupodetrabajo1:PrivacidadyComplianceenlaNube,condu-cidoporMiguelÁngelBallesteros.

•Grupodetrabajo2:SistemasdeManagementenSeguridaddeInformaciónyGestióndeRiesgosenlaNube,bajoladireccióndeAntonioRamos.

•Grupodetrabajo3:Contratación,evidenciaselectrónicasyau-ditoríaenlaNube,dirigidoporMaríaLuisaRodríguez.

“ComplianceesuncomponentecríticoeneltrabajoqueCSAde-sarrolla,yqueprovocaque laadopcióndebuenasprácticasdeseguridadenCloudComputingseacadavezmáslejana”,afirmaJimReavis,co-fundadorydirectorejecutivodeCSA,“Cadadivi-sióndeCSAenelmundoconcentrasusesfuerzosenestainiciati-va,queesclaveparanosotros”.

Este primer informe de ámbito nacional ha prestado especialinterésa laprivacidadyaaspectosrelacionadoscon lacontra-taciónylasauditoríascomoclavesfundamentalesdelarelaciónentreclienteyproveedordeserviciosen“lanube”.Tambiénseproponen diferentes recomendaciones y se especifica que unaempresa cliente establecida en el territorio del Espacio Econó-mico Europeo, independientemente de dónde esté ubicado suproveedordeservicios,serálaresponsableentérminosdepro-teccióndedatosyleserádeaplicaciónlaleydelEstadoenqueestáestablecida.

LuisBuezo,PresidentedelCapítuloEspañolCloudSecurityAllian-ce,explicaquenoconvienever sólobeneficiosen la computa-ciónenlanubeyolvidarlosriesgosylasobligacioneslegales.Lacuestiónesbuscarunequilibrioentreambosaspectosyaque,“lasimpledeterminacióndelalegislaciónaplicableyaesunreto”.

“LaevolucióndelaNubeserágradual,ylasexigenciasdeCom-plianceseránserunode losparámetrosprincipalesquedeter-minaránlavelocidaddeestaevolución”,valoraBuezo.“Estamosmuysatisfechosdehabercompletadoelprimerolosmuchosob-jetivosqueladivisiónespañoladeCSAsehabíapropuesto”.

ElcapítuloespañoldeCSAtrabajaparaampliarelalcancedelin-formeaotrasáreasquenohansidocubiertasenestaversiónyparaimplementarlacertificaciónCCSKencastellano.

“Las exigencias de Compliance

serán uno de los parámetros

principales que determinarán la

velocidad de la evolución

del Cloud Computing”. Luis Buezo,

presidente de CSA-ES.

Más información en:

www.cloudsecurityalliance.es y www.ismsforum.es/csa


39

Enmarzoyjuniode2011secelebraronlaIIyIIIEdicióndelCursodeGobierno Corporativo en Seguridad de la InformacióndeISMSForum.Estecursonacióconelobjetivodeformaryespecializaraprofesionalesenlasmetodologías,estrategias,estándaresylastécnicasrelacionadasconelgobiernodelaSegu-ridaddelaInformación,deformaqueadquieranlacapacidaddedefinir,desa-rrollareimplantarunplanestratégicodeSeguridaddelaInformacióndentrodecualquierorganización.

ElprofesoradoestácompuestoporexpertosdelaAsociaciónyen2012elcursocontaráconnuevasconvocatorias,dirigidasaprofesionalesquetrabajanenSe-guridaddelaInformación,oenlagestióndelastecnologíasdelainformaciónylacomunicación,seaenelsectorprivado,oparalasAdministracionesPúblicas.Estecursoofrecelaoportunidaddeadquirirnuevosconocimientosparadesem-peñarpuestosyrolesdemayorresponsabilidadenelámbitodelaseguridad.

Ensusdiferentesediciones,loscursosdeISMSForumhansidovaloradosmuypositivamenteporlosalumnosconunaaltapuntuaciónenloscuestionariosdecalidad.Yasoncasi60losprofesionalesquehanpasadoporlasaulasdeISMSForum.Deestamanera,laAsociaciónconfirmasuapuestaporlaformación,unaramaqueseguirácreciendoconnuevasconvocatoriasynuevoscursos.

Curso de Gobierno Corporativo de la Seguridad de la Información (GCSI)

Actividades 2011 , Formación


www.ismsforum.es/formacion

DÍA 1 Estándares y buenas prácticas de referencia •Objetivos,estructurayelementos.•Modelosdereferencia:-ISO27014/ISACA.•Estándaresybuenasprácticas:-ISO27001/ISO27002.-ITILV3.-COBIT.-ISO38500.-CMMI.-SABSA.DÍA 2 Organización, roles y responsabilidades •Modelosorganizativosyfuncionales.•ElComitédeDirección.•ElCISO.•ElComitédeSeguridad.

•Elpropietariodelprocesoodelactivo.•Losusuarios.DÍA 3La identifi cación y gestión de riesgos •Lagestiónderiesgostecnológicosenlagestiónderiesgoscorporativos.•Elprocesodeanálisisygestiónderiesgosdeseguridad.•Metodologíasyherramientasdereferencia.

DÍA 4Cumplimiento legal •Gobiernodeseguridadycumplimiento.•Normativanacionaldereferencia:-LOPD.-LSSICE.-PropiedadIntelectual.

-CódigoPenal.-Otralegislacióndeinterés.•Normativainternacionaldereferencia:-SOX.-BasileaIII.DÍA 5El proceso de defi nición estratégica en la empresa •Elementosparaladefiniciónestratégica:-Misión,visión.-Losvaloresylaculturacorporativos.-Objetivosestratégicos,tácticosyoperativos.•Elprocesoydesarrollodelaplanificación:-Planesestratégicos,tácticosyoperativos.•Gestión,revisiónymejora:

-Métricaseindicadores.-ElbalanceScorecard.DÍA 6El desarrollo de la estrategia de Seguridad •Definicióndeobjetivosdeseguridad.•Lapolíticadeseguridaddelainformación.•DesarrolloyejecucióndelPlanDirectordeSeguridad.•Revisiónymejora.ISO27004.DÍA 7El arte de presentar •Cómoplanificar,estructurar,diseñaryexponerpresentaciones.DÍA 8Caso Práctico •Diseñodeunmodelodegobiernocorporativo.

Programa


40

ISMS Forum celebró el 28 de abril un encuentro para discutir sobre el planteamiento defendido por Forrester Research y su “Zero Trust” o “Confianza Cero”, según el cual, el tráfico generado por los empleados y colaboradores que se encuentran dentro de la organización, debe ser objeto del mismo nivel de desconfianza que el tráfico generado desde fuera del entorno corporativo.

Actividades 2011 , Workshop

ISMS organiza un debate sobre el Modelo de Seguridad de Confianza Cero

Ladesapariciónprogresivadelperímetro,lanecesidaddecentrarlaseguridadeneldato,laimportanciadeconocerentiemporeallosriesgosyproblemasdeseguridad,lamonitorizacióndeltrá-ficoylaconcienciaciónsobreelusodelaredytodoslosdispo-sitivosqueseconectenaella,así comoel conocimientode lasdebilidadesdecadaorganizacióndesdeelpuntodevistade laseguridad,fueronlasprincipalesconclusionesdelajornadaor-ganizadaporISMSForum.

El evento contó con la participaciónde 14 ponentes de primernivel,responsablesdelaseguridadenorganizacionescomoTe-lefónicaEspaña,Cepsa,laGuardiaCivil,ONO,Endesa,juntoaex-pertosdelasempresasArborNetworksIberia,Buguroo,BlanccoIberiaySwivelIberia.

GianlucaD’Antonio,PresidentedeISMSForumSpainyCISOdelGrupo FCC, inauguró la conferencia con la explicacióndelMo-

delodeSeguridaddeConfianzaCeroysuaplicaciónengrandescorporaciones.SegúnD´Antonio,sehapasadodelmodelo“trustbutverify”–unaestrategiareactivafocalizadaenlaestructuradered-al“verifyandnevertrust”oconfianzacero.

“Verificarsiempre.Setratadeunmodeloproactivo,centradoeneldatoyfocalizadoenelusuario,verquépuedehaceresteusua-riodelaredysabercuálessonsusprivilegios”.

D’Antonio explicó que cada vez esmayor el robodedatos porpartede“insiders”quenonecesariamentesonempleadosdelaorganizaciónsinoidentidadessuplantadas.Segúnel“2010DataBreachInvestigationsReport”deVerizonBusiness,elrobodeda-tosporpartedeinsidershaaumentadoun26%yyaalcanzael48%delasincidenciasrelacionadasconestetipodedelitos.“NecesitamosconstruirunNetworkAnalysis&Visibility(NAV).Esdecir,capacidadparaprotegerelaccesoalainformación,mo-nitorizar toda laactividad,filtrarel contenidoparaquenoseaaccesibleatodoelmundo.Tengoquesercapazdesaber:¿Quiénnavega por mi red? ¿Por qué tiene acceso a mi red? ¿Cómo?¿Cuándo?¿Conquédispositivo?¿Aquéinformaciónaccede?”.

De izquierda a derecha: Javier Carreras, Nathaly Rey y Gianluca D’Antonio.



41


Seguridad Vs. Wikileaks

Alberto Cita, Consulting Engineer de Arbor Networks Iberia,empleóelcasodeWikileaksparaintroducirsuconferencia“Losriesgosdeseguridaddelasorganizacionesylanecesidaddeme-jorarelanálisisylavisibilidaddeloqueestápasandoenlaRedcorporativa”.

Citaquisodejarclaroquetantolossistemasenlíneacomoaque-llosofflinecorrenriesgosdefiltracióndelosdatosdeunaorgani-zación.Unejemplosonlosllamados“Bots”queseinstalanenelsistemasinconocimientodesupropietarioycontactanconotrosistemaparaponerseasudisposición.Esasícomounbotmasterenvíainstruccionesalosbotspararealizar“tareas”comoconver-tirseenunsitedephishing,envíodespamoproporcionardatosdecuentasbancarias,etc.

“El‘trusted’yanoesválidotenemosqueiraunmodelodese-guridad de confianza cero, ahora hay quemonitorizar todo eltráfico. Estees el desafíoporqueestas redesdan servicioauncentenardeempleados”.Citapresentóunasoluciónque lo fa-cilita:PeakflowX,deArborNetworks.AtravésdelaexportacióndedatosdeflujosIPenlosdispositivosderedsepuedemediradistancialoqueestáocurriendoyhacerun“NetworkBehavioralAnalysis”.Estasoluciónproveedeinformaciónderedaniveltran-saccionalmásdatosdelplanodelcontroldered.Deestamanerasecreanlíneasbase(estadísticasyrelacionales)quepermitenlaidentificacióndeanomalíasentiemporeal.

ParaCita,laimplementacióndeunmodelodeSeguridaddeCon-fianzaCerorequiere“visibilidadyseguridadderedglobalparadetectarlaanormalidad”.

“Se ha pasado del modelo ‘trust but verify’ al ‘verify and never trust’.

Gianluca D’Antonio, presidente de ISMS Forum.

Gianluca D’Antonio.

Alberto Cita. Abel González Lanzarote.


42

Seguridad desde el código fuente

Abel González Lanzarote, Business DevelopmentManager deBuguroo,secentróenelModelodeconfianzaceroaplicadoalaestructuraalcódigofuente.“Másdel90%delasvulnerabi-lidadesestánenelcódigo.Elproblemaesquenotenemosencuenta la seguridadaldesarrollar lasaplicaciones, ya seaportiempoopor coste. La soluciónes implantardesde labaseeldesarrolloseguro:gestionarlaseguridaddesdeelorigen,desdeelcódigofuente”.

González propuso una tecnología para poder cumplir con losobjetivosdeseguridad:BugurooBoyScout,queauditasimultá-neamentevarioscódigosydetectamásdel94%desusvulne-rabilidades.Discriminafalsospositivosyfacilitaelaccesodesdelanubeparacualquierorganización,grandeopequeña,conuncosteadecuadoasuniveldeuso”.Paraéllaclaveestáentener“accesodesdelanubeconescalabilidadilimitadaypoderdeter-minarporperfilesquiénpuedeaccederaquéynoesperaraqueelcódigoestéterminado”.

Se acabaron los usuarios de confianza

AlexRocha,CountryManagerdeSwivelIberia,explicóque“lascontraseñas ya no son seguras: Sabemos que hay passwordmuy sencillas como 12345…almenos el 50%de las personasusa contraseñasdemenosde 7 caracteres; esdecir poco se-guras. Igual la seguridad corporativa es fuerte dentro demiorganización,perolademigmailno…Entonces,siyomeenvíoeltrabajoamigmail,yanotodoesseguro…”.Conestaaccióntansimplesepuededebilitarlacadenadeseguridaddelaem-presa.

Rochatambiénhablódelafrecuenciaconlaquelascontraseñassedejandebajodeltecladoodelmonitorcomootraevidenciadeladebilidaddelascontraseñas.Algoquetampocopuedesolven-tarseconlosdatosdeautenticación,puesnoofrecenunagranseguridaddebidoasucarácterestáticoypermanente.

ParaevitarproblemasRochaexplicóelmodeloPinSafebasadoencuatrodígitosquenuncacambian,peroquepuedenofrecercuatromillonesymediodeposibilidadesyhacernuestrascon-traseñasmásseguras.

“PinSafeesunasolucióndeautenticación fuerte. Laclaveestáenquenunca tenemosque teclearnuestropin, pero tenemosunpin.Funcionaconunprotocolopatentadoqueasociaunpinacadaunodelosusuarios.Estepinvacambiandodeposiciónse-gúnelusodeunacadenadeseguridad.Elpinnocambia,cambialacadenadeseguridad”.

Destrucción de datos

Laposibilidaddequelosdatosquehansidoborradosdeundiscoduropuedanserrecuperadosrepresentaunriesgoparalasorga-nizacionesquedebenbuscarsolucionesparagarantizarlades-truccióndeesosdatospues“formatearnoesborrardemaneradefinitiva”segúnexplicó JavierCarrerasAmorós,ManagingDi-rectordeBlanccoIberiaensuconferencia“Retosenlagestióndelciclodevidadeldato:Controldedispositivosyborradoseguro”.

Carreraspropusoelborradodelainformaciónconunprotocoloseguro.“Senecesitaunsoftwaredesobrescrituraquedestruyatodalainformaciónyrealiceuninformedeborradoquedicequé,quién,cuándo,cómoyporquésehaborrado.Actualmente–aña-dió-lainformaciónestádispersaenmúltiplesdispositivos,pro-ponemosunasoluciónindependientedelhardware.Paratodasdebehaberuninformedeborrado”.

Laclave,segúnCarreras,estáenel“borrado”,esdecir, lacrea-cióndeunprotocoloseguroparaelborradodelainformación;el“informe”,queconsisteenlaemisióndeunreporteconto-doslosdatosnecesariosyconbaselegal;yla“auditoría”.Esteúltimoaspectoserefiereaqueelprocesodeborradodebesersupervisadointernamenteytodoslosinformesdebenincluirseenunabasededatosunificada.De estamanera, si todos losdatosestánenunabasecomún,sepodránrealizarauditoríasconmayor facilidad.“Si no se hahechonadahasta ahoranoes una cuestión de dinero, sino de concienciación”; añadió elrepresentantedeBlancco.

El fin de la perimetralidad interna y externa

Enlamesaredonda“Estrategiasyclavesparalaimplantaciónde los pilares de modelo” participaron Pedro Morcillo, Co-mandante,JefeáreadeRedesySeguridaddelaGuardiaCivil;Rafael Hernández, Responsable de Seguridad DSI de Cepsa;TomásGómezPérez, Subdirectorde informáticadel Sistema


Alex Rocha. Javier Carreras Amorós.



43


Público de Saludde la Rioja; con lamoderaciónde JuanMi-guel Velasco, Director Asociado de Servicios de Seguridad yProyectosdeSeguridadde laUnidaddeGrandesClientesdeTelefónicaEspaña.

Enestedebatequedóclaroquehandesaparecidolosperímetrosyquenohaydiferenciasportiposdeusuariosinternosyexter-nos.Elusodedispositivosmóviles,tablets,smartphones,queseconectana la reddeunaorganizaciónhahechoquehayaaúnmásriesgosdeseguridadquedebengestionarse.

VelascointrodujoeldebateanalizandolasituacióndeSonytraselrobodedatosycómoafectóalvalordelacompañíaenbol-sa y planteó la primeraduda:“¿Tenemosunperímetro? ¿Hayusuariosbuenosyusuariosmalos?”.EnelcasodeCepsa,Her-nández comentó que la perimetralidad interna y externa seestáacabando.“Cadavezseusanmásdispositivosmóviles.Eldispositivopersonal-deempresacadavezestámásextendido.Hayherramientasqueayudanahaceresetrabajoperoesmuyimportantetenerencuentalatecnologíaylagestióndelatec-nología”.

ParaelsubdirectordeinformáticadelSistemaPúblicodeSa-luddelaRioja,ladificultaddeestablecerunperímetro,prin-cipalmenteporelusodedispositivosqueseconectanalared,haobligadoalaorganizaciónaimpedirlos.“Demomentosolopodemos gestionar los positivos que nosotros entregamos.Porloquenodamosaccesoalosdispositivosquenocontro-lamos”.

PedroMorcillodelaGuardiaCivilcomentóque“ennuestropro-yectotenemosunordenadordeinternetyotrodeintranet”.

¿Se puede monitorizar al empleado?

Enlamesaredonda“Implicacioneslegalesdelamonitorizacióndelaactividaddelosempleados”quecontóconlaparticipacióndeJavierCarbayo,AsociadoSeniordelÁreadeGovernance,Risk&Compliance,deEcija;AnaGonzálezRomo,deldepartamentodeSeguridaddelaInformacióndeEndesa,DiegoBueno,SeniorManager IPBR, ITAdvisory enKPMG; Javier Santos,Gerentede

OperacionesdeSeguridaddeONO;ylamoderacióndeAntonioRamos,presidentedeISACAMadrid;sellegóalaconclusióndeque la clave está en establecer unanormativadeusoque seaconocidaporelempleado.“Laconcienciaciónesnecesariaperotienequeserdearribaabajo”,explicóRamosenrelaciónconelcumplimientodelosprotocolosdeseguridadporpartedetodoslosempleados.

Respecto a si lamonitorización de los empleados es un tematécnicoojurídico,haydiversidaddeopiniones.ParaCarbayo,deEcija,“esuntemalegalquenormalmentesearticulaatravésdemedidastecnológicas.Sebuscatenerunacapacidadparacum-plirunanormativayqueenelcumplimientodelamismanosevioleotra”.EnelcasodeEndesa,Gonzálezconsideraquesetratade“untemaorganizativoquepasaporlaspolíticasylasnormasqueestablece laempresa”.DesdeKPMG,Buenoexplicaqueesuntematécnicoquedependedelaestrategiadeseguridad:“Hayqueanalizar losriesgosa losqueseestásometidoytomarlasmedidasadecuadas”.Santos,deOno,lovecomojurídico-organi-zativo:“Ennuestrocasotenermáscapacidaddemonitorizaciónnoshacetenerquehacermenosesfuerzotecnológico.Tienequehaberconcienciaciónyqueelusuariosepaqueloestamosmo-nitorizando”.

EncualquiercasocomoexplicóJavierCarbayo“lanormativanosdaunas ciertas fronteras.Que cada vez estánmásdefinidas ynuestro trabajoes identificarcuálesson lasfronteras,según laactividaddelempleadoysaberquenotienenquesuperarciertoslímites”.

GianlucaD’Antonioconcluyóeleventohaciendoénfasisso-brelaimportanciadepermitirelusoprivadoymoderadodela red y los sistemasde la organización a cambiodepodermonitorizaralosusuarios,perosincorrerelriesgodequeelCISO se tomemásatribuciones.“Elnegocio es el que tieneque prohibir. El departamento de seguridad hace el análi-sisderiesgo,proponecontrolesyaconsejaalnegociosobrecómocontrolar estos riesgos. Somosunasesor internoquefacilitalatomadedecisiones,peronosomoslospropietariosdelainformación”.


De izquierda a derecha: Juan Miguel Velasco, Pedro Morcillo, Rafael Her-nández y Tomás Gómez Pérez.

De izquierda a derecha: Javier Santos, Diego Bueno Torres, Ana González Romo y Javier Carbayo.


44

Actividades 2011 , Protegetuinformacion.com

Protegetuinformacion.compremiado con el Trofeo de la Seguridad TIC

Protegetuinformacion.com es el resultado de una iniciativa deISMSForumSpain,conlaayudadelMinisteriodeIndustria,Turis-moyComercioenelmarcodelPlanAvanzaaprobadoenConsejodeMinistrosen2005ycuyoobjetivoesgeneralizarelusodelasNuevasTecnologíasenlasociedad.

ElportalnacióparacontribuiraladifusiónylaconcienciacióndelapoblaciónenmateriadeseguridadasícomoparafomentarelusoresponsabledeInternetylasNuevasTecnologías.Paraello,sedirigeacincogrupossocialesconcretos( jóvenes,adultos,mayores,

padresyprofesionales),ofreciendoinformación,consejosyotrasherramientasdivulgativas e informativasútilesparaunaprove-chamientoseguroyeficazdelared.

A travésdeun lenguaje sencilloyaccesiblea los ciudadanossetratantemasdeespecialrelevanciacomolabancaelectrónica,lasredessocialesylaproteccióndedatospersonales.ISMSForumin-culcahábitosentrelapoblaciónespañola,quefomentanlasegu-ridadde los internautasa lahorade interactuarcon lasNuevasTecnologías.


www.protegetuinformacion.com

El proyecto Protegetuinformacion.com ha sido reconocido en 2011 con el Trofeo de la Seguridad TIC de la revista Red Seguridad, en la categoría de Trofeo a la Formación, Capacitación, Divulgación o Concienciación en Seguridad TIC. El premio se entregará en una ceremonia que se celebrará en los primeros meses de 2012.


45

ISMS Forum premia a HP, IBM y Symantec por su compromiso con la Seguridad de la Información

DurantelaIXJornadaInternacionaldeISMSForum,laAsociaciónentregósendospremiosaHP,IBMySymantecenreconocimientoa sufirme compromiso conel desarrollode la seguridadde lainformaciónenEspañayasuincondicionalapoyoaISMSForum,desdesuconstituciónenelaño2007.

LospremiosfueronentregadosporGianlucaD’Antonio,Presiden-tedeISMSForum,aDamiánParedes,GeneralManagerdeHP;Isi-droCarrasco,DirectordeServiciosTecnológicosyMantenimientodeIBMSPGI(España,Portugal,GreciaeIsrael)deIBMyGabrielMartín,DirectorGeneraldeSymantecIbérica.

Enrique Polanco, miembro del Consejo Asesor de ISMS Forum ISMSForumSpainhanombradoaEnriquePolancocomoelpri-mermiembrodesuConsejoAsesor,unórganocreadoparaapo-yarlosprocesosdetomadedecisióndelaAsociaciónycontribuirensudesarrolloestratégicoyexcelenciaoperacional.Suvaliosaaportaciónresideenel reconocidoprestigioprofesional,desta-cadaexperienciaylosconocimientosavanzadostantodelsectorcomodelapropiaAsociación,yaquefuemiembroconanteriori-daddelaJuntaDirectivadeISMSForum.

ISMS Forum Spain lanza nueva webISMSForumhadesarrolladosunuevawebconmotivodemejorardeformaeficazlacomunicacióncontodossuspúblicosinternosyexternos,haciendoespecialhincapiéensussocios,patrocina-

doresycolaboradores.Setratadeunapáginaintuitivaydinámi-caconlaquesebuscadifundirlasnovedades,proyectosydemásinformacióninteresantegeneradaenlaAsociación.Además,seincluyen funcionalidades como la posibilidad de hacerse socioonline, la inscripcióneneventoso ladescargadedocumentos.www.ismsforum.es.

Juniper Networks, KPMG y Prosegur, nuevos Gold Sponsors de ISMS Forum

En2011,ISMSForumhaincorporadotresnuevosGoldSponsors:Juniper Networks (NYSE: JNPR), empresa especializada en elnegociode la innovaciónde lared;KPMG,redglobaldefirmasdeserviciosprofesionalesqueofrecenserviciosdeAudit,TaxyAdvisory;yProsegur,empresalíderenserviciosintegralesdese-guridadenEspaña.AtravésdeunacolaboraciónanualseunenalrestodeGoldSponsorsdelaAsociación:CheckPoint,HP,IBM,Kaspersky,McAfee,Symantec,TelefónicayTrendMicro.

Graciasalrespaldodeestascompañíasyalapoyopuntualre-cibidoporpartedenumerosasempresasyorganizacionesdelsector, laAsociaciónpuedeorganizaractividadesdegrancali-dadcomosusJornadasInternacionales,quesehanconvertidoyaenreferenciaparaelsectordelaSeguridaddelaInformaciónenEspaña.

Entrega de premios.

Actividades 2011 , Otras noticias

Web ISMS Forum.


46

Actividades 2011 , ISMS en los medios


Notas


48


Memoria ISMS 11.indd 1 13/2/12 13:57:26...Es un servicio público y gratuito para socios de ISMS...

Documents

Transcript of Memoria ISMS 11.indd 1 13/2/12 13:57:26...Es un servicio público y gratuito para socios de ISMS...