Mas de doscientos expertos convocados por el IX Foro de la Ciberseguridad analizan la problemática de este emergente sector
ISMS Forum, junto con el Cyber Security Centre acaban de celebrar el IX Foro de la Ciberseguridad aca Más de 200 profesionales del sector, entre expertos en ciberseguridad y abogados, se dieron cita de forma online en este evento que ha tratado temas como la creación del Foro Nacional de Ciberseguridad, la Revisión de la directiva NIS, o los retos para el CISO en la nueva Estrategia Digital.
Iván Sánchez, CISO de Sanitas y miembro de la Junta Directiva de ISMS Forum, fue el encargado de inaugurar el acto. “Promovemos la consolidación de un estado de conciencia sobre la necesidad de la Ciberseguridad para controlar y gestionar los riesgos derivados de la dependencia actual de la sociedad respecto a las Tecnologías de la Información y la Comunicación (TIC), siendo un aspecto clave para asegurar el desarrollo socio-económico del país”.
Foro Nacional de Ciberseguridad
Uno de los momentos claves de este foro tuvo lugar de la mano de Mar López, Jefa del Departamento de Ciberseguridad del Departamento de Seguridad Nacional (DSN), que realizó una presentación del Foro Nacional de Ciberseguridad.
En su intervención animó a los profesionales y a asociaciones como iSMS Forum a coordinarse y compartir conocimientos. “Para apoyar los pasos en esa colaboración que necesitamos entre todos, se crea el Foro Nacional de Ciberseguridad, una iniciativa del Consejo de Seguridad Nacional que aparece por primera vez en la Estrategia Nacional de Ciberseguridad de 2019, y está compuesto por representantes de la sociedad civil, expertos independientes, el sector privado, la Academia, asociaciones y entidades sin ánimo de lucro, con el objetivo de generar conocimiento sobre oportunidades, desafíos y amenazas a la ciberseguridad nacional”, comenzó Mar López.
“Tenemos una misión y visión concretas. En primer lugar, colaborar en el desarrollo de la Estrategia Nacional de Ciberseguridad y la consecución de sus objetivos, mediante el establecimiento de sinergias público-privadas que permitan dotar de una mayor protección a la sociedad española”
Otra cuestión que destacó esta experta es que “también vamos articular y cohesionar un entorno de colaboración público-privada que, a través de diferentes líneas de acción, genere el máximo conocimiento sobre los desafíos a la Seguridad Nacional en el ciberespacio, ya sean oportunidades o amenazas, y siempre en colaboración con el Consejo Nacional de Ciberseguridad”, explicó la ponente.
El Consejo Nacional de Ciberseguridad es el principal líder del equipo, junto con una estructura basada en una Presidencia correspondiente al Departamento de Seguridad Nacional, y dos Vicepresidencias a cargo de INCIBE y el CCN, además de 16 Vocalías, la Comisión Permanente de Ciberseguridad y otros actores que representaran ampliamente a la sociedad civil, sin limitar la posibilidad de convocar a otros representantes.
Se trata de un equipo multidisciplinar responsable de establecer la priorización de actuaciones que recoge la Estrategia de ciberseguridad y de elevar propuestas al Consejo para su ejecución y puesta en marcha.
Integración, flexibilidad, unidad de acción, transparencia y accesibilidad son algunos de los valores que constituyen este foro. Por este motivo, se plantea como un evento multidisciplinar y participativo, creando y dando acceso a diferentes oportunidades en materia de ciberseguridad.
Para ello, “se han aprobado tres líneas específicas de la Estrategia Nacional de Ciberseguridad, que son: la Cultura de Ciberseguridad, el impulso a la industria y a la I+D+i, y la formación, capacitación y talento en ciberseguridad”, según esta experta.
Revisión de la Directiva NIS
La ponencia que inauguró el encuentro fue impartida por Boryana Hristova, Legal Officer (European Commission), DG Communications Networks, Content and Technology, Cybersecurity and Digital Privacy, que realizó una aproximación de lo que conllevará la Revisión de la Directiva NIS.
“La Directiva NIS, aprobada en julio de 2016 por la Comisión Europea, es la primera legislación horizontal de ciberseguridad de la Unión Europea. Se basa en tres pilares, el primero relacionado con la capacidad de los Estados miembros para mejorar, a través de la redacción de estrategias nacionales de ciberseguridad, equipos de respuesta ante emergencias informáticas (CSIRTs), o un punto central de contacto (SPOC) para mantener la cooperación con la Unión Europea”
Hristova habló de un segundo pilar “ está dedicado a la cooperación europea, donde todas las autoridades se sientan juntas y discuten las diferentes formas de aplicar la directiva y cómo alinear sus enfoques hacia un punto en común.”
“Por último, queda el tercer pilar, núcleo de la directiva, que está dedicado a la responsabilidad de las empresas, las cuales tienen que cumplir con ciertas medidas de seguridad y notificar los incidentes relevantes”, comentó Boryana al inicio de su presentación.
Desde su aprobación en 2016, la aplicación de la Directiva NIS se ha realizado de forma distinta en cada país y a ritmos diferentes.
Por este motivo, se han realizado continuas visitas a todos los Estados miembros con el objetivo de encontrar las carencias y fortalezas, “todos los Estados miembros pudieron darnos su opinión de cómo veían la aplicación de la Directiva, cuáles eran las deficiencias en referencia al derecho internacional, si es que las había, y cuál era el valor añadido, con lo que pudimos constatar que teníamos enfoques muy diferentes institucionalmente, centralizados en algunos Estados miembros y muy descentralizados en otros”.
Demasiada libertad en su trasposición
Las observaciones han concluido que los Estados miembros han recibido demasiada libertad a la hora de aplicar la directiva, transponerla y adaptarla a sus leyes nacionales. Esta experta reconoce que “se han aplicado metodologías muy diferentes que han conducido a la identificación de diferentes tipos de servicios, unos identificaron unos pocos servicios generales, mientras que otros consiguieron entrar más en detalle”.
También indicó que “no contamos con un nivel uniforme, y desde la perspectiva del mercado interno esto es un problema, ya que el objetivo de la Directiva es asegurar que hasta el eslabón más débil estará protegido”.
A su juicio, “Nos encontramos con una gran segmentación en la notificación de incidentes, recibiendo quejas de que las empresas no cumplen con los diferentes procedimientos de notificación, plazos, plantillas, etc. por lo que también estamos estudiando el papel de las autoridades competentes, CSIRTs, y corporaciones a nivel europeo”, comentó Hristova”.
En su opinión, “la Directiva NIS trata asegurar la respuesta a las nuevas necesidades en ciberseguridad de los países teniendo en cuenta la creciente digitalización de la sociedad a través de un aumento de la preparación nacional e internacional que permita mejorar la resiliencia de los sectores económicos clave y la reducción de la fragmentación de los mercados internos, todo esto mediante la armonización de los requerimientos aplicados a las entidades del sector”.
“Todavía queda mucho trabajo por hacer, no puedo comentar nada en términos de contenido porque nadie sabe lo que va a salir de esta revisión, lo que sí puedo pediros es que participéis en la consulta pública que sigue abierta hasta el próximo 2 de octubre”, concluyó la experta.
El problema de la ciberdelincuencia
“A río revuelto, ganancia de estafadores” es el título de la ponencia que impartió Carles Solé, CISO de Banco Santander España y miembro de la Junta Directiva de ISMS Forum.
Carles hizo eco de cómo los ciberdelincuentes se aprovechan de cualquier situación para cometer fraudes online. Ejemplo de ello fue el huracán Katrina, donde los estafadores online sacaron partido de la gran campaña de ayuda humanitaria que se creó para timar a miles de personas.
Aunque el ejemplo más claro es el actual, puesto que, como señala el ponente, la situación de incertidumbre, desinformación, teletrabajo y confinamiento, ha llevado a que muchos se lancen al mercado online sin ser conscientes de sus consecuencias.
“Estamos instalados en una sociedad de la inmediatez que no es capaz de contrastar la información que le llega o a la que accede (…) lo que se ha visto durante esta pandemia, más allá de las campañas de phishing bancario, han sido campañas de estafas, muchas de ellas provenientes de aplicaciones de seguimiento de la Covid-19 en un mapa, y la aplicación funcionaba, pero sin darte cuenta estaba entrando en tu equipo”
“ También hemos visto el clásico pdf que entra por mail o el ataque a los equipos domésticos de los usuarios a través de los que consiguen entrar a las empresas”, declaró el experto.
“Tenemos que erradicar este mal entre todos. La primera de las acciones es la concienciación, explicar a nuestros ciudadanos o clientes que estas cosas ocurren, nosotros somos la primera defensa para no caer en estas redes. La segunda de las acciones reside en la importancia de compartir información, el conocimiento de que otras compañías los han tenido y cómo funcionan nos hace estar un paso por delante. La tercera y última acción consiste en saber lidiar con lo anómalo, ya que siempre estamos expuestos a los riesgos, y al igual que nosotros avanzamos, los cibercriminales también”, comentó Carles.
El peligro del ramsonware
La ponencia de Lucas Varela, Digital Security en CaixaBank, trató sobre los orígenes del ramsonware. “Con un ramson pequeñito yo puedo afectar a uno o varios ordenadores de particulares, pero el premio que puedo sacar de eso es mucho más limitado que en la industria. Si yo infecto una máquina de una gran compañía, desde esa máquina puedo adentrarme en toda la organización para lanzar un malware masivo y obtener mayor beneficio” comentó el experto.
Asimismo, Lucas hizo referencia a la profesionalización de aquellos que se dedican al cibercrimen, «¿Qué te va a costar más, lo que yo te voy a cobrar o tener tu negocio parado durante x meses parado? (…) muchas veces la gente no entiende por qué los cibercriminales se dedican a eso, son gente muy profesional, que ganan mucho dinero, algo que les incentiva para crear aún más grupos, y cuentan con un gran nivel de sofistificación e industrialización».
Por @LuisjaSanchez, Periodista Jurídico.