Dos interesantes mesas redondas

La protección de infraestructuras críticas y la concienciación de las empresas en ciberseguridad, a debate en Homsec 2017

María Fernández Peláez18/04/2017

El Salón Internacional de Tecnologías de Seguridad Nacional, Homsec 2017, celebró el pasado mes de marzo en Feria de Madrid su sexta edición en una firme apuesta por profundizar en el estudio de nuevas áreas de negocio que supondrán el descubrimiento de nuevos retos tecnológicos y favorecerán el conocimiento del sector de la Seguridad y la Defensa en nuestro país. Para abordar estas materias, se desarrollaron diversas conferencias y mesas redondas entre las que destacan la moderada por Miguel Ángel Abad Arranz, jefe del Servicio de Ciberseguridad y OCC, en la que se debatió sobre la aplicación del uso de la criptografía y resiliencia de redes y la titulada ‘Los simuladores y la concienciación en la empresa privada de la ciberseguridad’, que contó con el director académico U-TAD, Juan Corro, como moderador.

Pilar Jiménez Vales, directora de Operaciones de DF Epicom, Josep Albors, director de Comunicación de Eset, Arancha Jiménez Martínez, consulting partner y head of cibersecurity de Atos y David Ramírez Morán, analista principal del Instituto Español de Estudios Estratégicos, fueron los integrantes de la mesa redonda desarrollada en el área de Protección de Infraestructuras Críticas bajo el título ‘La protección de infraestructuras críticas, resiliencia de Redes y uso de criptografía’. El encuentro fue moderado por Miguel Ángel Abad, jefe de servicios de Ciberseguridad y OCC del CNPIC.

foto
De izda. a dcha.: David Ramírez Morán, analista principal del Instituto Español de Estudios Estratégicos; Pilar Jiménez Vales, directora de Operaciones de DF Epicom; Miguel Ángel Abad, jefe de servicios de Ciberseguridad y OCC del CNPIC; Josep Albors, director de Comunicación de Eset y Arancha Jiménez Martínez, consulting partner y head of cibersecurity de Atos.

Según apuntó Pilar Jiménez Vales, “los ciberexpertos afirman que todo lo que esté conectado es susceptible de sufrir vilnerabilidades y nosotros, al tener todo conectado, debemos protegernos" pues no sólo pueden suplantar la identidad de las personas sino también de las máquinas. Precisamente entre los objetivos de la seguridad está minimizar las vulnerabilidades, activar medidas de protección, etc. Para ello, continuó Jiménez Vales, los sistemas tienen que garantizar la disponibilidad, especialmente los destinados al manejo de las infraestructuras críticas. “Cada vez es más necesario asegurar la confidencialidad, autenticidad e integridad de la infromación. Cuando se montan sistemas de criptografía siempre hay que tener en cuenta estos cuatro parámetros: disponibilidad, confidencialidad, autenticidad e integridad”, manifestó.

En este sentido, según la directora de Operaciones de DF Epicom, “cuando nosotros, expertos en equipos, diseñamos sistemas criptográficos y nos enfrentamos a dar solución a las infraestructuras críticas nos dimos cuenta que teníamos que orientar todo nuestro diseño a un sistema operativo porque una infraestructura crítica tiene otros conceptos diferentes a los que necesita el Ministerio de Defensa, donde se montan redes clasificadas, dónde se montan salas seguras donde la protección se puede dar a muchos niveles”. Sin embargo, para acceder a una infraestructura crítica en situaciones de acceso remoto, posiblemente “se llegue desde casa a acceder a un servidor corporativo y cambiar cualquier parámetro, utilizando el wifi de casa, sin cifrar”.

foto
Pilar Jiménez Vales, directora de Operaciones de DF Epicom.

Por ello, viendo esas características, se ha diseñado un cifrador personal de bolsillo que se puede montar desde casa, desplegar fácilmente y nos puede proteger. La utilización de cifradores IP diseñados específicamente para su uso en infraestructuras críticas permite:

  • Disponer de una red cuando se requiere un despliegue rápido en situaciones puntuales y de emergencia.
  • Proteger las comunicaciones en operaciones de mantenimiento y de acceso remoto donde no se dispone de una infraestructura fija de red.
  • Disponer de una red de respaldo en caso de desastre, una red segura en la que apoyarse para recuperar el servicio.
  • Dar protección a comunicaciones personales o en arquitecturas cliente/servidor.

Existen soluciones criptográficas que se pueden desplegar y que, además, están diseñadas por DF Epicom, que son expertos en diseñar cifras de alta seguridad. Jiménez igualmente destacó cómo afecta la integridad en caso de disponibilidad, que es la característica principal que se debe proteger cuando se habla de protección de infraestructuras críticas en el ámbito de la ciberseguridad.

Por su parte, según explicó Josep Albors, el tema de las infraestructuras críticas preocupa mucho a las personas y a veces está incluso justificado aunque, según aclaró, no es el mismo sistema de control el de una central nuclear que el de una torre radio/televisión y el problema reside en que la gente tiende a unificar todo en el concepto de infraestructuras críticas.

foto
Josep Albors, director de Comunicación de Eset.

“La gente no se da cuenta de un punto importante: esas infraestructuras críticas, esos sistemas, aunque están desactualizados no están conectados y primero hay que acceder a ellos. Estos sistemas pueden tener diferentes fabricantes, diferente hardware, diferente software, diferentes métodos de acceso… A partir de ahí, hay muchos sistemas que están conectados y deberían gestionar mejor la seguridad de acceso remoto”, declaró Albors e hizo hincapié en la alarma que se genera cuando la prensa habla de dichos ataques puesto que “hay ocasiones en las que los medios dicen que se ha producido un ataque en una central nuclear, cuando realmente ese no era el destino del ataque sino un malware que ha infectado el ordenador”.

“El problema reside en que la gente tiende a unificar todo en el concepto de infraestructuras críticas”
Arancha Jiménez, consulting partner y head of cibersecurity de Atos, se encargó de apuntar alguno de los principales datos actuales en el sector de ciberseguridad en 2016 ya que “según los analistas es importante ver cuáles son los datos y estadísticas en los que nos movemos actualmente” siendo éstos: 529 millones de euros de identidades robadas; 431 millones de variantes de nuevo malware; 1.532 millones de dólares de pérdidas por robo o fuga de datos; 110 millones de dólares de costes en un sólo ataque (IoT).
foto
Arancha Jiménez, consulting partner y head of cibersecurity de Atos.

“No sólo tenemos ataques nuevos, sino que también existen más soluciones, riesgos y amenazas que afectan a infraestructuras críticas”, especificó Jiménez añadiendo que desde Atos, trabajan en tres grandes áreas: Ciberseguridad Fiscal, Investigación y Desarrollo y Sistemas de Misión Crítica. A continuación, Jiménez apuntó las principales iniciativas o tendencias presentes en entornos ICS (Seguridad Industrial), siendo algunas de las principales medidas el diseño y despliegue de arquitecturas seguras en modelos de referencia; el despliegue de herramientas de anomalías; el despliegue de soluciones de acceso remoto o redes de control industrial; la segmentación y aislamiento de redes; la monitorización de seguridad en redes y sistemas y la integración con SIEM. Para concluir, Arancha Jiménez enumeró varios ejemplos de iniciativas que está llevando a cabo la Comunidad Europea en materia de infraestructuras críticas como el Proyecto CIRAS, el Proyecto COPSEC, el Proyecto MASSIF y el Proyecto WITDOM.

Finalmente, el analista del Instituto Español de Estudios Estratégicos, David Ramírez, aseguró que, hoy en día, una infraestructura no conectada es una entelequia ya que “en infraestructuras críticas no nos referimos a un ataque pequeño sino que se tiene un interés específico, es decir, nos enfrentamos a ataques que se llevan a cabo incluso haciendo inversiones. Cuando tengo interés estoy dispuesto a poner financiación para que se lleve a cabo, con lo cual las amenazas a la que me voy a enfrentar no son una vulnerabilidad sino verdaderos profesionales que tienen sistemas de inversión bastante importantes”, admitió Ramírez.

foto
David Ramírez, analista del Instituto Español de Estudios Estratégicos.

A medida que aumentamos el nivel de la protección del sistema, continuó el experto, aumenta también el número de capas, lo que conlleva que el nivel de seguridad para llevar el control del sistema va a ser más complicado. Establecer las medidas que suponen corregir las vulnerabilidades de estos sistemas constituye una amenaza, a su vez, porque al fin y al cabo se tiene que introducir información a ese sistema.

Además, según explicó David Ramírez, al estar todo globalizado existen muchos proveedores de seguridad, lo que también genera un aumento de las vulnerabilidades. A estos grandes proveedores de sistemas les viene bien la normalización: tienes un producto y con ese producto llegas a cuantos más clientes mejor. En este sentido, si se produce una vulnerabilidad, son muchos los clientes que van a verse afectados. “Otra industria que tenga los mismos sistemas que tengo yo, puede hacer vulnerables los míos”, aseguró el ponente.

La solución a todos estos problemas sería, en palabras del analista "actuar como si el sistema ya estuviese comprometido, estableciendo sistemas de motorización e introduciendo diversidad en los sistemas”. El cifrado es la principal vía que se está aplicando para defendernos, convirtiéndose así en una de las tecnologías que dan la viabilidad de esta interconexión de forma segura. “En entornos abiertos, el cifrado es un punto de ataque pero también es una tecnología muy compleja. Asimismo, también se ha demostrado que las infraestructuras de clave pública también tienen sus problemas”, afirmó.

“Al estar todo globalizado existen muchos proveedores de seguridad, lo que también genera un aumento de las vulnerabilidades”

En este sentido, David Ramírez explicó que otro problema que se están encontrando es que “las infraestructuras más protegidas son también las más atacadas” ya que “muchas veces, lo que creemos que son soluciones, en realidad son nuestros puntos débiles”.

Para el ponente, “hay un claro problema de concienciación” porque todo el mundo quiere colaborar, pero no están dispuestos a abrir las puertas para que se conozca nuestra información. Por ello, la cooperación público privada es muy importante, por ejemplo, “para establecer sinergias que formen un todo mayor que el de todas las partes”. El moderador quiso apuntar que en 2013 se aprobó una estrategia de ciberseguridad por la cual existe un consejo que trabaja en desarrollar todas las dudas que se plantea en ese sector.

Los simuladores y la concienciación en la empresa privada de la ciberseguridad

Bajo este título se desarrolló la siguiente mesa redonda que contó con la presencia de Francisco Lázaro, director del Centro de Estudios en Movilidad e Internet de las Cosas, ISMS Forum, Paloma Llaneza, miembro del comité operativo del Centro de Estudios en Movilidad e Internet de las Cosas, ISMS Forum; Raul Fernández Villota, product manager CyberRange de Indra, Fernando Valdés Verelst, subdirector general de Entorno Institucional y Programas de Innovación para la PYME de la Dirección General de Industria y de la Pequeña y Mediana Empresa y Juan Corro, director académico de la U-TAD, como moderador de la misma.

foto
De izda. a dcha.: Raul Fernández Villota, product manager CyberRange de Indra; Francisco Lázaro, director del Centro de Estudios en Movilidad e Internet de las Cosas, ISMS Forum; Juan Corro, director académico de la U-TAD; Fernando Valdés Verelst, subdirector general de Entorno Institucional y Programas de Innovación para la PYME y Paloma Llaneza, miembro del comité operativo del Centro de Estudios en Movilidad e Internet de las Cosas, ISMS Forum.

Para Fernando Valdés Verelst, “hablar de Industria 4.0 es hablar de hiperconectividad, de redimensionar el papel del cliente en la industria productiva, y aquí la ciberseguridad juega un papel muy importante”. Su papel durante el encuentro fue el tema de la sensibilización “porque es uno de los retos pendientes de nuestras empresas”. Según Valdés Verelst, ya hay todo un cibercrimen operando en torno a las empresas para monetizar esos datos robados de la empresa y, por ello, hay que incorporar la ciberseguridad como algo vital en los negocios. “Nosotros apoyamos a todas las empresas para llevar cabo esa transformación digital. La concienciación y sensibilización son muy importantes”, aseguró y recalcó la importancia de implantar formación para el personal interno porque “los riesgos de seguridad empiezan en los trabajadores” y, ante esto, “las empresas tienen que empezar a establecer medidas preventivas y no reactivas”.

foto
Fernando Valdés Verelst, subdirector general de Entorno Institucional y Programas de Innovación para la PYME.
“Hay que incorporar la ciberseguridad como algo vital en los negocios”

Según Francisco Lázaro, es necesario aclarar qué entendemos por IoT. “Cuando hablamos de IoT hay que pensar que están cambiando los sistemas de información: en 2020 se calcula que habrá 20.000 millones de elementos de IoT lo que significa que todo esto podrá ser atacado”, afirmó Lázaro y aludió al bajo nivel de concienciación que hay sobre este tema. “Las medidas de seguridad empiezan en el diseño del servicio y del producto. Hay que sensibilizar y para hacerlo en temas de ciberseguridad resulta muy complicado porque no se visualiza el daño, sino que se ve cuando ya ha pasado. Precisamente, el IoT va a permitir que entendamos mucho más fácilmente el problema pero hasta que no se vea más a menudo el problema, éste no se va a demandar debido a la falta de concienciación”.

foto
Francisco Lázaro, director del Centro de Estudios en Movilidad e Internet de las Cosas, ISMS Forum.

Por su parte, Raúl Fernández Villota se encargó de hablar de CyberRange, una plataforma de entrenamiento para mejorar las habilidades de los profesionales en el ámbito de la ciberseguridad. “Nuestra filosofía es que según entrenas, vas a actuar”, señaló Fernández Villota añadiendo que realizan formaciones sobre casos reales de uso. “El paradigma de IoT abre el mundo de defendernos de los ataques de forma sectorial”, concluyó.

foto
Raul Fernández Villota, product manager CyberRange de Indra.

Finalmente, Paloma Llaneza se encargó de hablar del marco regulatorio de la ciberseguridad. “Existe un acartonamiento del sistema legal. Primero va la tecnología, luego el derecho y, posteriormente, el cambio de mentalidad. El tema es que el derecho aparece cuando la gente lo solicita. Nos encontramos en un entorno donde si yo no tengo securizada mi casa, es un problema de seguridad a nivel social. Las empresas tienen que asumir que existen nuevas normativas”, afirmó Llaneza y concluyó aludiendo al Reglamento General de Protección de Datos que entra en vigor en mayo: “El derecho ha llegado para quedarse. La regulación es la nueva frontera de la ciberseguridad”.

foto
Paloma Llaneza, miembro del comité operativo del Centro de Estudios en Movilidad e Internet de las Cosas, ISMS Forum.

Comentarios al artículo/noticia

Nuevo comentario

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con las condiciones de uso.

TOP PRODUCTS

ÚLTIMAS NOTICIAS

OPINIÓN

OTRAS SECCIONES

SERVICIOS