Securmática 2017> Crónica

A la XXVIII edición del congreso acudieron más de 350 profesionales

SECURMÁTICA 2017 ahonda en la concienciación y la participación proactiva de la alta dirección para desarrollar estrategias y proyectos adecuados de ciberseguridad IT y OT



Bajo el epígrafe “La ciberseguridad llega al gobierno corporativo”, los pasados 25, 26 y 27 de abril se celebró la XXVIII edición de Securmática. Un evento en el que un inmejorable elenco de ponentes, tanto de las administraciones públicas como del sector privado, invitaron a los 350 asistentes a reflexionar sobre la evolución de la seguridad TIC y el mayor grado de compromiso que está adquiriendo los consejos y comités de dirección en la materia. Cuestiones que fueron abordadas, además, a través una ilustrativa exposición de proyectos de referencia en los que quedó patente el hecho de que la ciberseguridad ya no se limita al departamento de TI; tiene un alcance multidimensional que afecta a todos los niveles de una organización y plantea un punto de inflexión para garantizar la continuidad de negocio y la reputación corporativa.





La armonización de la seguridad IT y OT

La ciberseguridad empieza a tomar forma en las más altas esferas de las organizaciones y a plantearse como uno de los puntos estratégicos de las empresas, donde una mala gestión del riesgo puede poner el peligro la supervivencia de las mismas. Sobre este hilo conductor se desarrolló la XXVIII edición de Securmática los pasados 25, 26 y 27 de abril. Un encuentro que cada año refrenda su interés, en esta ocasión, con la asistencia de 350 profesionales que se dieron cita para conocer de primera mano cómo se está transformando la ciberseguridad y, a su vez, cómo está adquiriendo un alcance multidimensional dentro de una organización para hacer frente al constante avance de las ciberamenazas. Securmática abrió sus puertas con el honor de contar en su inauguración con Mar España, Directora de la Agencia Española de Protección de Datos (AEPD), quien recaló en su intervención en el momento histórico en el que se encuentra el mundo de la ciberseguridad empujado, especialmente, por la llegada de la Directiva NIS y el Reglamento General de Protección de Datos europeo (RGPD). Y es que, ambas legislaciones ensalzan la ciberseguridad extendiendo su importancia a los órganos directivos tanto de administraciones públicas como de entidades privadas, introduciendo a los mismos una actitud proactiva a la hora de liderar, establecer y ejecutar estrategias en esta dirección. Dentro de este marco, la AEPD está inmersa en un proceso de adecuación a los requerimientos del RGPD, y en el desarrollo de guías y herramientas que ayuden a las empresas privadas que las permitan reforzar las medidas técnicas, organizativas y de seguridad en este sentido. “Nuestra intención es, además, trasladar al sector que la privacidad sin ciberseguridad es un derecho vacío”, afirmó España. “Desde la Agencia queremos reforzar la competitividad de las empresas y que exista una vía flexible y solidaria en la resolución de conflictos en materia de privacidad y seguridad de la información”, concluía España.


Mar España

Tras las palabras de la Directora de la AEPD, los asistentes tuvieron la oportunidad de conocer en primera persona el papel que está jugando la ciberseguridad en la transformación digital de Telefónica, de la mano de Chema Alonso, Chief Data Officer (CDO) y Responsable de la Unidad de Seguridad Global de la operadora. Para ello, Alonso profundizó en un proyecto que se presentó recientemente y de forma pública con el nombre de Aura, un nuevo modelo de relación con sus clientes asentado en la inteligencia cognitiva a través del cual, los usuarios podrán gestionar su experiencia digital con la compañía, al tiempo que controlan de forma transparente y segura los datos que generan por el uso de sus productos y servicios.



Chema Alonso

El camino es la colaboración

Manuel Carpio, Socio Director de Intelsynet, fue la persona encargada de moderar la segunda parte de la jornada que comenzó con la transformación del CISO en el ámbito de la ciberseguridad industrial. Andreu Bravo, CISO de Gas Natural Fenosa, abordó este tema reflexionando sobre el proceso de evolución y revolución industrial en el que hoy estamos inmersos. De acuerdo con Bravo, “tanto empresas como personas utilizamos directa o indirectamente sistemas de control industrial a diario; por tanto, su protección nos interesa a todos” afirmó el directivo. A partir de esta premisa, Bravo explicó como su entidad ha abordado esta problemática destacando un modelo integrado de seguridad IT y OT.



Andreu Bravo

La complejidad que está adquiriendo en la actualidad la labor del CISO como parte de una multinacional también fue abordada a continuación por Santiago Moral, Global CISO de Grupo BBVA y Pedro Ignacio Pastor Rivas, Head of Engineering Risk & Corporate Assurance Spain de Grupo BBVA, quienes explicaron cómo se conjuga la existencia de profesionales con este rol dentro una misma compañía, y que dicha entidad bancaria aborda a través de “grupos de personas capacitadas que se instrumentan por comunidades en la que cada tipo de función -forensía, etc...- se nutre de información, conocimiento y gestión de procesos”, destacaba Moral.



Santiago Moral Rubio Pedro Ignacio Pastor Rivas

A continuación, Manuel Fernández, Director de Seguridad de la Información y Entorno Corporativo de Grupo Inversis Banco y Juan Miguel Velasco, CEO de Aiuken Solutions, ahondaron sobre la protección inteligente y en tiempo real frente amenazas a sistemas web transaccionales. En este caso, Inversis expuso su experiencia como cliente del innovador servicio Delphos Aiuken para ofrecer mayor seguridad a los usuarios finales y empleados que interactúan con sus aplicaciones y servicios de internet.



Luis Ángel Fernández Juan Miguel Velasco Manuel Fernández

Gabriel Moliné, Gerente de Seguridad de la Información de la SAREB y Daniel López, Security Sales Executive para España y Portugal de HP Enterprise Services, fueron los encargados de cerrar el primer bloque de la jornada desarrollando el servicio que la multinacional tecnológica está dando a SAREB, destacando el contexto particular en el que opera esta entidad especificando el hecho de establecer una estrategia de negocio solo para 15 años, tras los cuales el banco desaparecerá, y la necesidad de basarse, por dicho motivo, en la externalización de los servicios de seguridad.



Gabriel Enrique Moliné Sosa Daniel López Rojo

La primera jornada terminó con un interesante debate sobre la transposición de la Directiva NIS y las implicaciones en una nueva configuración de la Estructura Nacional de Ciberseguridad, que contó con un solvente plantel de ponentes: Gema Mª Campillos, Subdirectora General de Servicios de la Sociedad de la Información de la Secretaría de Estado para la Sociedad de la Información y la Agenda Digital; Luis Jiménez, Subdirector del Centro Criptológico Nacional (CCN); José Ignacio Carabias, Jefe de Operaciones del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC); Joaquín Castellón, Director Operativo del Departamento de Seguridad Nacional del Gabinete de la Presidencia del Gobierno, y Carlos Gómez, Comandante Jefe del Mando Conjunto de Ciberdefensa. Dichos profesionales coincidieron en la idea de que la Directiva NIS supone un paso adelante en el camino de la ciberseguridad para España, aunque es importante y necesaria la coordinación entre las diferentes autoridades competentes tanto a nivel nacional como internacional, desde un punto de vista operativo, de gestión de crisis y de capacidades.




Asimismo, quedó patente la necesidad de resolver las dudas que el sector privado tiene en el área de las sanciones económicas. Aún inmersos en la transposición de la Directiva, Campillos explicó que podrían haber sanciones tipificadas tanto en la legislación general como en las normativas sectoriales, “pero siempre tratando de evitar una duplicidad de sanciones por la misma conducta”, puntualizaba.





Innovación privada

Con un carácter didáctico, Manuel Giralt, Socio del Área de Risk en España, Advisory Services de EY, Miguel Ángel Benito, Responsable del Área de Seguridad del Servicio de Salud de las Islas Baleares y Esther Álvarez, Senior Manager en EY, abrieron la segunda jornada de Securmática abordando la gestión de la Seguridad de la Información en los Servicios de Salud de la región concernida, bajo la batuta de Román Ramírez, Fundador de Rooted CON, como moderador de este nuevo bloque de ponencias.



Manuel Giralt Herrero Miguel Ángel Benito Tovar Esther Álvarez Salazar

Tras la puesta en contexto por parte de Benito de dicho proyecto, enmarcado dentro del plan estratégico de seguridad 2016-2020 de las Islas Baleares, Álvarez pasaba a explicar el proceso de ejecución del servicio Advanced Security Framework proporcionado por EY destacando tres pilares para la prevención, detección, respuesta y mejora continua a través de métricas que permitan la adecuada toma de decisiones a la dirección.




A continuación, James Gill, Global CSIRT Manager de Banco Sabadell y Xavier Gracia, Socio de Cyber Risk Services de Deloitte, explicaron su experiencia de trabajo con la plataforma MISP (Malware Information Sharing Platform). Gill no dudó en apuntar que MISP “es una de las mejores plataformas para ayudarnos a catalogar toda la información -la mayoría desestructurada- aportando calidad a los feeds de los proveedores, optimizando la información recibida, además de permitir al banco la eliminación de la duplicidad del trabajo analítico, una detección más rápida, mejorar la inteligencia y la atribución de amenazas, habilitar la interoperabilidad y apoyar la automatización a través de diversas características de importación y exportación”, afirmaba.



James Gill Xavier Gracia Lacalle

Con Tomás Roy, Director de Estrategia de Seguridad del CESICAT, se dio paso a la prevención holística del fraude por parte de Abanca. Jorge Domingo Samayoa, Fundador y CEO de Plus Technologies, y Fátima Cereijo, Gerente de la Oficina de Prevención de Fraude y Pérdidas de Abanca, fueron los encargados de explicar un proyecto de prevención del fraude tanto externo como interno, mediante la tecnología de Plus TI de monitorización en tiempo real de forma que pudieran obtener un scoring de tanto de empleados como de clientes y oficinas, y de la operativa del negocio, permitiéndoles tener una visión global de la prevención del fraude como entidad.



Fátima Cereijo Conde Jorge Domingo Samayoa

Posteriormente, se conjugó una presentación llevaba a cabo por Sergio Iglesias, Responsable de Cybersecurity Analytics de Grupo BBVA y Pablo González, Responsable del Equipo de Data Scientist de GMV, en la que se ejemplificó un gran ejercicio de innovación en el uso de técnicas de análisis de comportamiento y aprendizaje de máquina en la lucha contra el fraude. En base a este reto, los sistemas de machine learning permiten discernir entre las transferencias realizadas por los usuarios legítimos de las realizadas por los nuevos troyanos.



Sergio Iglesias Pérez Pablo González Lafuente

El modelo de gobierno de la ciberseguridad así como la implantación de un programa de ciberseguros global en Iberdrola, fue objeto de análisis de una ilustrativa ponencia realizada por Rosa Kariger, CISO de Grupo Iberdrola, María Ortiz de Guinea, Responsable del área Casualty de la Dirección de Gerencia de Riesgos y Seguros de Iberdrola, y Carmen Segovia, Responsable Nacional de Ciberriesgos de Aon Risk Solutions. Durante sus respectivas intervenciones, la audiencia conoció de primera mano cómo fue el proceso de adquisición del seguro por parte de Iberdrola, la fase de negociación que se llevó a cabo de la mano de Aon, así como el cierre y la implementación del programa de seguros.



Rosa Kariger Carmen Segovia María Ortiz de Guinea

Finalizando el bloque matinal de la segunda jornada, Eduardo di Monte, Director de Seguridad y Continuidad de Negocio de Aquae Security (Grupo AGBAR) para España y Chile, y Daniel Solís, CEO y fundador de Blueliv, cogieron el testigo para explicar los procesos de simulación de ciberataques en las diferentes cadenas de ataque o killchain, contra sus activos tecnológicos y empleados. Bajo este paraguas, Aquae Security ha verificado la robustez de sus medidas de seguridad, así como el nivel de concienciación y de reacción de los usuarios y equipos implicados, apostando por la depuración y el tratamiento de datos y el análisis de los mismos a través de expertos.



Eduardo di Monte Daniel Solís



Los siguientes paneles estuvieron moderados por Susana Asensio, Directora de Proyecto de Investigación y Desarrollo de CCI quien introdujo, en primer lugar, la ponencia sobre protección de los sistemas de control industrial de la compañía EDP. Una charla efectuada por Arturo Eloy Díaz, Responsable de Seguridad Lógica de la empresa energética y Óscar Navarro, Director de Ciberseguridad Industrial de S2 Grupo. Díaz trasladó a la audiencia la casuística que llevó a la empresa a ir mejorando y evolucionando a seguridad del negocio. A partir de la preocupación de EDP por la protección de sus infraestructuras, S2 Grupo puso en marcha el diseño de la solución de monitorización de los equipos y redes DMS del DCD. Un proyecto que se abrió a cuestiones de gran calado como la diferencia entre los profesionales IT y OT que, ahora, están llamados a trabajar juntos para atajar diversos problemas de ciberseguridad.



Óscar Navarro Arturo Eloy Díaz Rodríguez

Alberto Hernández, Director general de INCIBE, cerró la segunda jornada del encuentro ahondando en la ciberseguridad en sistemas de control. En este sentido, como entidad pública, INCIBE ha creado una serie de iniciativas entre las que el directivo destacó un sistema de detección a través del cual, “podemos avisar de forma proactiva a un operador que hay una vulnerabilidad”. Junto a ello, el Instituto tiene una herramienta capaz de conocer si un sistema de control es vulnerable o no denominada SCADA LAB Project. Hernández concluyó con un tercer proyecto para la detección pasiva de ataques en la red de control que en la actualidad está en fase de innovación y de trabajo. A través de todas ellas, “queremos fomentar la innovación, la concienciación y la colaboración con los operadores”, concluía Hernández.



Alberto Hernández Moreno

La tercera y última jornada se abrió dando continuidad al tema de los sistemas de control que es donde recaen los riesgos del Internet de las Cosas. Un ecosistema para el que Juan Carlos Pascual, Consultor Senior de Capgemini y José Francisco Ruiz, Responsable del Servicio de Common Criteria de Applus+, han desarrollado un proyecto cuyo objetivo es proporcionar una evaluación de seguridad para todos los aspectos que se relacionan con el IoT -componentes, interoperabilidad, integración en el negocio y uso- y así establecer un sistema de certificación acorde a las necesidades reales de protección de los dispositivos IoT.



José Francisco Ruiz Gualda Juan Carlos Pascual

Tras esta ponencia, los profesionales Leonardo Amor, Head of Security de Telefónica Business Solutions y Juan Carlos de Miguel, Associate Partner de IBM Security, ahondaron sobre la gestión y automatización de la respuesta a incidentes en Telefónica pero con un matiz particular: su carácter internacional. Uno de los factores clave era mejorar la integración entre todos los equipos que participan en la gestión del incidente. Una vez que se estableció un lenguaje común, se tuvieron en cuenta las capacidades y canales de detección, las notificaciones y el procedimiento de respuesta. Todo con un marcado carácter de mejora continua



Leonardo Amor Juan Carlos de Miguel

Jorge Dávila, Director del Laboratorio de Criptografía LSIIS - Facultad de Informática de laUniversidad Politécnica de Madrid , recogió el testigo para moderar el siguiente bloque que tuvo como protagonistas a Silvia Villanueva, CISO Transversal para la Región de EMEA-LATAM de AXA y Juan Carlos Díaz, Senior Manager de Ciberseguridad de PwC, quienes trataron los retos existentes y las soluciones que permiten desarrollar un programa de cibertransformación para dar respuesta a toda la responsabilidad que pueda tener la alta dirección en materia de ciberseguridad y en un entorno internacional, incluyendo tanto enfoques estratégicos como tácticos y operativos.



Silvia Villanueva Juan Carlos Díaz García

El despliegue internacional de la estrategia de ciberseguridad de AXA Global Direct fue el principal foco en el que se centraron Gorka Díaz, CISO Internacional de AXA Global Direct y Sergio Gómez, Manager de Ciberseguridad en IT Advisory de KPMG. Ambos ponentes explicaron cómo se llevó a cabo dicho proyecto tras la realización de un análisis en cada una de sus entidades locales, que ha permitido elevar su nivel de madurez, con un enfoque eficiente de gestión de riesgos y consumo de su presupuesto.



Gorka Díaz Orbe Sergio Gómez Rodríguez

La recta final del evento fue protagonizada por el Proyecto Norbide 2017 y la evolución de la gestión de identidades en el Servicio Vasco de Salud (Osakidetza), para cuya explicación el encuentro contó con Pedro Totorikaguena Arana, Responsable de Producción de Sistemas Informáticos del Servicio Vasco de Salud y Álvaro Fernández, Consultor Senior de Gestión de Identidades y Accesos del departamento de Ingeniería de Nextel. Entre sus constantes mejoras operativas destacaron la inclusión en el sistema de todo el personal externo, la publicación del servicio en Internet, la autenticación y autorización centralizada de aplicaciones a través del Oracle Access Manager, y el diseño de un catálogo corporativo de roles.



Pedro Totorikaguena Álvaro Fernández Peña


Carlos Gómez Gallego César Hernando Ceña

Como broche a las tres jornadas, el Ministerio de Justicia fue protagonista del proyecto a través del cual se profundizó en la clave para un acceso seguro a la red a través de dispositivos móviles. César Hernando, Jefe de Sección Comunicaciones de la Subdirección General de Nuevas Tecnologías de la Justicia de la Secretaría General de la Administración de Justicia del Ministerio de Justicia y Carlos Gómez, Security and Innovation Office de Aruba CTO, explicaron cómo cubrieron las necesidades clave de este Ministerio con un acceso de invitados y eventos –a través de clave y un portal autenticación-, usuarios internos y, delegación de responsabilidades. SIC