ISMS Forum, junto al Capítulo Español de Cloud Security Alliance, celebró recientemente el XI Encuentro de Cloud Security Alliance España donde más de 300 profesionales inscritos en modalidad online y más de 120 profesionales de manera presencial se dieron cita en este evento híbrido que se ha consolidado como uno de los congresos nacionales más importantes en materia Cloud.
En el encuentro tuvo lugar el debate entre Pablo López, Jefe Área Normativa y Servicios de Ciberseguridad del Centro Criptológico Nacional; y Miguel Ángel Amutio, Jefe de la División para la Ciberseguridad, Planificación y Coordinación de la Secretaría General de la Administración Digital, sobre el nuevo Esquema Nacional de Seguridad (ENS).
“La mayoría de las brechas de seguridad en entornos Cloud se producen por fallos de configuración. En este sentido, un modelo de servicio en la Nube exige una Certificación de Conformidad (ENS Nivel ALTO) y una vez analizadas las dimensiones de seguridad, el siguiente paso consiste en un análisis de riesgos que permita obtener una declaración de aplicabilidad (medidas de seguridad a considerar) y un perfil de cumplimiento adaptado al ecosistema en cuestión que determinará un bastionado de seguridad validado.
Es decir, el valor añadido consiste en adoptar las mejores prácticas y aplicar una guía de configuración segura donde es necesario detallar cómo se cubren las diferentes responsabilidades”, comentó Pablo López.
Por su parte, Andrés Peral, Director de Seguridad en Sistemas de Información de Mapfre, compartió con la audiencia las lecciones aprendidas durante los últimos años en lo que respecta al posicionamiento de seguridad en la Nube y la evolución que ha experimentado la estrategia de seguridad en este medio. El experto puso especial énfasis en que “la aproximación no debe ser únicamente la de hacer un viaje seguro a la Nube si no que la Nube se ha convertido en un elemento clave del ecosistema tecnológico de las compañías cuya seguridad es necesario gobernar y mantener en el tiempo”.
Análisis de la normativa regulatoria
Luis Buezo, Director, WW AI & Data Platforms, HPE Pointnext Services, Presidente del Capítulo Español de Cloud Security Alliance, y Miembro de la Junta Directiva de ISMS Forum;fue el encargado de inaugurar el acto junto a Mariano J. Benito, CISO de GMV y Coordinador del Comité Técnico Operativo del Capítulo Español de Cloud Security Alliance.
El Encuentro tuvo como ejes principales el marco regulatorio nacional y transnacional, con el nuevo Esquema Nacional de Seguridad y la Directiva NIS como objetos de atención; así como la European Alliance for Industrial Data and Cloud, una alianza europea centrada en el papel de la ciberseguridad del Edge y la Cloud, como infraestructuras para la generación y el fortalecimiento de la industria europea.
Pearse O’Donohue, Director for the Future Networks Directorate at DG CONNECT (Comisión Europea), dió comienzo al Track 1, “Cloud Security Strategy”, con su ponencia “The European Alliance for Industrial Data and Cloud”.
“Si todo está conectado, todo puede ser hackeado y, dado que los recursos son escasos, tenemos que hacer frente a la magnitud del desafío de la resiliencia cibernética”, comentó el experto al inicio de su ponencia.
La seguridad del código es una parte muy importante de nuestra resiliencia cibernética, ya que los procesos de vida son cada vez más dependientes en todos los sectores, de hecho, en una reciente encuesta realizada por la Cloud Security Alliance destacan que el 58% de sus encuestados están preocupados por la seguridad […]
La falta de confianza o la percepción de debilidad en el ámbito de la seguridad ha sido uno de los principales obstáculos para la adopción de la nube en Europa, tenemos que ser capaces de controlar la seguridad de los datos, no solo por el aumento de los ciberataques, sino también por la preocupación de muchas empresas y gobiernos por el acceso ilegal a los datos por parte de jurisdicciones lejanas, donde en algunos casos tenemos operadores en la Nube y otros proveedores que están sujetos a las leyes de terceras empresas”, declaró O’Donohue.
Por otro lado, Bart Preneel, profesor en la Universidad de Lovaina, fue el encargado de dar comienzo al Track 2, “Cloud Security Trends & Policies”, con su ponencia “Technology and control”, en la que habló sobre el control tecnológico. “Las tecnologías digitales están cada vez más presentes en nuestras vidas. Somos adictos a los teléfonos inteligentes con sofisticados sensores y potentes procesadores.
Desde su punto de vista “los edificios, los coches y las ciudades se están convirtiendo en entornos inteligentes omnipresentes y autónomos, mientras que los rastreadores de fitness y los dispositivos médicos entran en nuestro espacio personal. Para gestionar este complejo ecosistema, se está ofreciendo un número creciente de servicios en la Nube; y algunas de las interacciones que requieren baja latencia se están desplazando hacia el Edge.”
También comentó que “las aplicaciones varían desde el almacenamiento de datos, el análisis de datos (para informar a los usuarios o para mostrar anuncios) hasta el control de sistemas físicos (por ejemplo, vehículos autónomos). Estos avances plantean interesantes preguntas sobre quién tiene el control de esta tecnología y de los datos.
O, en el caso de proteger criptográficamente los datos, ¿quién tiene el control sobre esas claves? Estas preguntas pueden plantearse a nivel del ciudadano, de la empresa o del Estado nacional. Las respuestas requieren una combinación inteligente de medidas legales, técnicas y económicas”, añadió Preneel.
Controles de ciberseguridad
El XI Encuentro de Cloud Security Alliance España fue el escenario de la presentación de la cuarta versión de la matriz de controles de seguridad Cloud Control Matrix (CCM v4), por Diana Molero y Jorge Laredo, ambos miembros del CSA-ES. Se trata del esquema de controles de ciberseguridad que se alinea con las mejores prácticas de CSA y es considerado el estándar de facto para la seguridad y privacidad en la Nube.
También resultó de gran interés el caso de estudio presentado por Miguel Ángel Pérez, Global Head of Cloud Security Products en Telefónica, y Rafael Hernández, CISO de Cepsa y Miembro de la Junta Directiva de ISMS Forum.
“El mundo ha cambiado, la Cloud es una palanca para la transformación digital, el lenguaje de la Cloud es específico, nuevo, se trata de todo un ecosistema que nos exige evolucionar. Es un entorno con los mismos problemas que los escenarios tradicionales pero que exige nuevas herramientas. El principal atributo de la Cloud es ‘el cambio constante’ y la desaparición del perímetro”
Tamibén comentó que en el Cloud el inventario se modifica constantemente y muchas cargas tienen tiempos de vida muy cortos, las estrategias tradicionales basadas en el despliegue de agentes no sirven. Se impone más que nunca desde una perspectiva de seguridad fijar patrones y buscar comportamientos anómalos”
Para este experto, los errores de configuración, los sobrepermisos y la velocidad que impone el ‘T2M’ (Time To Market) en las organizaciones son un caldo de cultivo excelente para cometer pequeños errores que pueden dar al traste con una instalación”, declaró Miguel Ángel Pérez.
Por último, tuvo lugar la presentación del IX Estudio del Estado de la Seguridad en la Nube, un documento que busca investigar y conocer el Estado del Arte de la adopción de la Computación en la Nube, así como el papel que juega la seguridad en la adopción de estos servicios. Todo ello, desde el punto de vista de los Usuarios de Servicios en la Nube. El documento estará disponible en la web de ISMS Forum en los próximos días.
Por @LuisjaSanchez, Periodista Jurídico