Icono del sitio LexGoApp Blog

Los negocios en la Nube, clave para la transformación digital y la gestión de riesgos en la seguridad de la información

ISMS Forum, junto al Capítulo Español de Cloud Security Alliance, celebró el IX Spanish Cloud Security Alliance Summit hace unos días en la capital de España.  Más de 250 profesionales del sector, así como máximos expertos, representantes institucionales y empresas, se dieron cita en este evento que se ha consolidado como uno de los congresos nacionales más importantes en materia Cloud.

Luis Buezo, presidente del Capítulo Español de Cloud Security Alliance y Miembro de la Junta Directiva de ISMS Forum Spain inauguraba. “Podemos decir que la Nube se configura como habilitador y potenciador del negocio. Primero, favoreciendo y habilitando esa transformación digital y, además, permitiendo la gestión de los riesgos de la seguridad de la información”.

Recordó que “Hace ya nueve años, empezamos con un objetivo de Compliance, pero hemos ido abarcando muchas más áreas con diferentes estudios en los que estamos trabajando, pudiendo decir que, hoy en día, Cloud Security Alliance España es una organización de referencia a nivel nacional en tema de seguridad de Cloud Computing”.

Luis Buezo (presidente del Capítulo Español de Cloud Security Alliance y Miembro de la Junta Directiva de ISMS Forum Spain) durante la sesión de bienvenida.

La ponencia que inauguró el encuentro fue impartida por Bart Preneel, Cryptographer and professor (Leuven University). El experto se centró en los riesgos que conlleva la Nube y la falta de visibilidad que actualmente presenta, destacando el escepticismo que los criptógrafos muestran hacia el sistema Cloud, pues es cierto que acumula una ingente cantidad de datos que atañen a nuestra privacidad. Si bien la Nube “da flexibilidad, aumenta la eficacia, la eficiencia, da elasticidad y reduce costes” en palabras de Preneel.

“Gracias a la Nube, todos nuestros datos se procesan y se recogen, docenas de empresas utilizan nuestros datos – sin tener en cuenta la publicidad–. Podemos diferenciar las empresas que nos quieren vender algo de aquellas que tienen una interfaz en línea con nosotros. Hay que saber cuáles son las empresas que tienen relación con nosotros y qué hacen con nuestros datos, aunque esto resulte muy difícil, ya que el ecosistema es muy ágil y va cambiando en el tiempo”.

Otro de los ponentes, Alan Tang, Deputy Director of Global Cybersecurity and Privacy Protection Office en Huawei. Su ponencia giró en torno a la seguridad y la privacidad en la Inteligencia Artificial. La tecnología avanza a pasos agigantados, de ahí que ejercer un control sobre ella sea imposible, aun así, se establecen parámetros y medidas legales orientadas al uso responsable de la tecnología.

En este sentido, el experto habló de una investigación propia realizada en relación a los marcos legales descubriendo que, aunque vengan de diferentes países y organizaciones con distintas opiniones, en el fondo los conceptos, valores y principios son los mismos en cuanto a la seguridad de la AI. La colaboración y la transparencia son fundamentales para el desarrollo y las aplicaciones de la AI” concluyó.

 

Seguridad y servicios en la Nube

La primera mesa redonda del día “Cloud security complexity” contó con la participación de Javier Larrea, SE (Forcepoint), David Baldomero, Senior Systems Engineer (McAfee), Samuel Bonete, Country Manager (Netskope), Avishag Daniely, (Director of Product Management (Guardicore), Joeri Van Hoof, CSE (Fortinet) y moderada por Toni García, CISO (Grupo Damm). La mesa redonda estuvo enfocada a la creciente complejidad de la infraestructura de seguridad, así como al aumento de consumo de microservicios en la Nube (SaaS, PaaS, IaaS).

Una de las conclusiones a la que llegaron nuestros expertos fue que la Nube pública cruzada se vuelve aún más difícil de operar para la funcionalidad de seguridad nativa de la Nube. No hay ningún servicio de seguridad de AWS o casi ningún servicio de seguridad que se conecte con Azure o viceversa. Hay una necesidad de productos de terceros que pueden funcionar en la Nube e integrarse con todos ellos. Al igual que las instalaciones, también los sistemas de Nube pública tendrán que hablar entre sí de seguridad.

De izquierda a derecha. Toni García (Grupo Damm), Javier Larrea (Forcepoint), David Baldomero (McAfee), Avishag Daniely (Guardicore) y Joeri Van Hoof (Fortinet).

 

A título de “Emerging Technology risks – “Just Enough” Security”, comenzó la segunda mesa redonda, formada por José de la Cruz, Director Técnico (Trend Micro), Juan José Navarro, Technical Account Manager (Radware), José Luis Paletti, Ingeniero preventa (Cytomic), y moderada por Josep Estévez, Responsable de seguridad y arquitectura IT (Melià Hotels International).

Las intervenciones se focalizaron en la prevención de Incidentes en la Nube y la necesidad de adoptar medidas que garanticen una aproximación segura a la Transformación Digital. La mayoría de los ataques recibidos hoy día ocurren de manera distribuida, a través de múltiples vectores. Es necesario ser conscientes de qué hacemos para abordar la seguridad de una compañía.

En palabras de los participantes de la mesa, lo que deben tener en cuenta los CISOs es que los sistemas de IoT son muy potentes. Principalmente, los datos que se manejan a nivel de Inteligencia Artificial y redes robots, que son un gran enjambre para sensores. A través del análisis de patrones podemos saber qué está ocurriendo, y estos son los puntos que el CISO debe dominar para comprender la arquitectura del dispositivo, hacia dónde va, o qué impacto tiene con el objetivo de protegerse de los ataques.

Estudio seguridad en la Nube

Mariano J. Benito, CISO (GMV) y Coordinador del Comité Técnico Operativo del Capítulo Español de Cloud Security Alliance, y Erik de Pablo, Director de investigación de ISACA Madrid Chapter, fueron los encargados de presentar la 7ª edición del Estudio del Estado del Arte de la Seguridad en la Nube, que pone a disposición de las entidades interesadas en la seguridad en la Nube una perspectiva histórica singular para entender los factores que están facilitando o dificultando la evolución de los modelos de computación hacia este escenario.

Las necesidades de las entidades en la Nube son diferentes, desde la gestión de la migración hasta la retirada de la misma a la hora de cambiar de proveedor.

De izquierda a derecha. Alfonso Gómez (Banco de España), Maite Avelino (Experta Independiente), Mariano J. Benito (GMV), Erik De Pablo (Director Investigación), Manuel Caldas (Experto Independiente), y Jorge Antonio Rojas (Experto Independiente).

 

 

Por último, Román Ramírez, technology and cybersecurity expert (Rooted), puso el broche final a la jornada con su ponencia “Cibercrimen: sensatez y ciudadanos”, en la que habló de lo fácil que es generalizar a la hora de hablar de cibercrimen e incidió en la importancia de saber de dónde vienen los ataques y qué ciberdelito se está cometiendo.

Según el experto, estas son las premisas del cibercrimen: es muy barato, es transnacional y omnipresente. Además, presentó una “fórmula” para evaluar el desarrollo del cibercrimen. “Cuánto me cuesta la infraestructura para lanzar el ataque, cómo de difícil es que el ataque se ejecute, cuál es la pena máxima que me va a caer, cuál es el ingreso máximo por periodo, y cuántos periodos va a durar la campaña que voy a lanzar”.

Ramírez defiende la Amenaza Persistente Avanzada (APT, en inglés), sin embargo, “no estamos expuestos a que nos ataquen día a día, el problema está cuando las agencias de inteligencia se unen al crimen organizado”, puesto que no cuentan con la tecnología necesaria para desarrollar un operativo y deciden utilizar la subcontratación a terceros.

Para concluir, el profesional de Rooted hizo un llamamiento a la sensatez: los mensajes que le mandamos a la ciudadanía les hacen pensar que el ciberespacio es una jungla. Por esto, la realización de estudios que verifiquen los ataques que se producen, cuáles son reales y cuáles no, así como su proveniencia, son cada vez más esenciales.

Por @LuisjaSanchez, Periodista Jurídico.

Salir de la versión móvil