redseguridad 076

actualidad tecnológica noticias especial red seguridad primer trimestre 2017 21 cillos que 'escalan' en el sistema para obtener credenciales y robar informa- ción. Tras estas intervenciones iniciales, las Jornadas STIC CCN-CERT se divi- dieron en los paneles dedicados a las APT y al ENS. En el primero intervi- nieron profesionales como Roberto Amado, de S2 Grupo; César Lorenzana y Francisco Javier Rodríguez, de la Guardia Civil; Francisco Lázaro, de Renfe; o Diego Cordero y Juan Luis García, de Sidertia. Álvaro García, de la empresa FireEye, abrió no obstante el bloque para apun- tar algunas tendencias en torno a las APT. Entre ellas, mencionó que hay un repunte de ataques sobre los PLC y sis- temas que están detrás de los SCADA, el uso de formatos para ataques de phishing como PPTM y DOTM, la uti- lización de scripting Rcon Tools más malware cifrado o, en el contexto del Internet de las Cosas, el ransomware sobre vehículos y transporte. El segundo bloque contó con la presencia de profesionales como Miguel Ángel Amutio, del Ministerio de Hacienda y Adminstraciones Públicas; Carlos Gómez, María José Lucas y Guillermo Mora, del Ministerio de Empleo y Seguridad Social; o Francisco Sampalo, del Grupo de Trabajo de Administración Electrónica-CRUE Universidades Españolas, entre otros. Carmen Serrano, de la Generalitat Valenciana, llamó la atención en torno a la necesidad de construir aplicacio- nes seguras que encajen con el ENS. Como recordó esta profesional, la Ley 39/2015 sobre transformación digital ha obligado a revisar todas las apli- caciones de la Administración. "Son aplicaciones que ya no están cerradas como antes, sino que cada vez están más abiertas a otras administraciones y usuarios", explicó. Sin embargo, los desarrolladores "se olvidan de la segu- ridad". Por ello demandó un cambio de cultura, para concienciar y formar equipos de desarrollo y a responsables funcionales que implementen seguri- dad en las soluciones que fabrican. En este módulo dedicado al ENS también tuvo lugar una mesa redonda en la que participaron Gema Campillos, del Ministerio de Energía, Turismo y Agenda Digital; Andrés Calvo, de la Agencia Española de Protección de Datos; Daniel Acuña, de la empre- sa pública Isdefe; Fernando Sánchez, director del Centro Nacional para la Protección de las Infraestructuras Críticas; y Luis Jiménez, subdirector general del CCN. El tema central que abordaron fue la comunicación de inci- dentes y la "ventanilla única" a la que deberán dirigirse, a partir de 2018, operadores y proveedores de servi- cios digitales para informar sobre los incidentes que sufran, tal como exige la Directiva NIS. Al respecto, por ejem- plo, Campillo opinó que "será difícil que haya una única ventanilla", pero también habrá "que reducir la cantidad de autoridades a las que se notifican incidentes". Por su parte, Sánchez, del CNPIC, destacó que lo más importan- te "es la armonización, no el número de ventanillas", a lo que Andrés Calvo, de la AEPD, añadió la coordinación entre industria y autoridades. En esta última línea también coincidieron Daniel Acuña o Luis Jiménez. Segunda jornada La segunda jornada del evento comen- zó con la intervención de Eduardo Arriols, de InnoTec. En su ponen- cia, este especialista analizó cómo la automatización está cambiando la gestión de los edificios median- te la implementación de plataformas Tomando como base la importancia que ha alcanzado la ciberseguridad en las organizaciones de todo el mundo en los últimos años, durante el segundo día de las Jornadas CCN-CERT tuvo lugar una mesa redonda sobre esta cuestión aplicada a las Administraciones Públicas españolas, con la presencia de representantes tanto de compañías de seguridad como del Centro Criptológico Nacional. Precisamente, el jefe del depar- tamento de ciberseguridad de este orga- nismo, Javier Candau, definió el año 2016 como “malo” en términos de inver- sión en ciberseguridad por parte de las Adiminstraciones, puesto que “en agosto finalizó la contratación para todo el año”. A continuación, comentó que el esfuerzo inversor ha estado “descompensado”, puesto que el 60 o 70 por ciento del presupuesto de seguridad se dedica a comprar tecnología. “Hay que adquirir también servicios de ciberseguridad y ciberinteligencia. Tenemos que armonizar esto y que las Administraciones paguen una sola vez por ciertas cosas y de forma horizontal”, añadió. Por su parte, Rosa Díaz, directora general de Panda Security, reveló que, “de la inversión total en software TIC en las Administraciones Públicas, sólo el 4 por ciento es software de seguridad”, por lo que demandó un aumento de la inversión en este sentido. El resto de los ponentes estuvieron de acuerdo con este planteamiento. Por ejemplo, Héctor Sánchez, CTO de Microsoft, precisó que hace falta más inversión en servicios de seguridad y en tecnologías como cloud , SaaS, PaaS… “Todos ellos necesitan que se facili- te por parte de la Administración, y que no haya pegas a su uso”, matizó. En este sentido, Félix Muñoz, director general de InnoTec, comentó que “hay muchas comunidades autónomas y Administraciones Públicas que ni siquie- ra disponen de presupuestos para reno- var los equipos de usuario, y muchos menos para dotarse de servicios de seguridad”, puntualizó. Asimismo, Juan Luis Clavijo, repre- sentante de Palo Alto Networks, com- paró la falta de concienciación en España en este sentido con respecto a Estados Unidos. “Afortunadamente, las nuevas directivas de la UE, como la Directiva NIS y el Reglamento de Protección de Datos, están mejorando la concienciación en las altas esferas de las Administraciones Públicas y el entorno privado”, comentó. A ello también se refirió José Miguel Rosell, socio director de S2 Grupo, para quien Europa lleva sus ritmos a la hora de legislar, porque es muy garantista con los derechos de las personas y las empresas. “Pero gracias a la transfor- mación digital, se están incrementando los presupuestos e introduciendo tecno- logía segura, junto con nuevos servicios de ciberseguridad”, añadió. Por último, Xavier González, CTO de Opennac, apuntó la necesidad de que también las redes corporativas sean seguras. “Al margen de directivas y concienciación, no sólo es necesario que las aplicaciones sean seguras, sino que toda la base también lo ha de ser”. Para finalizar, Candau reveló sus cua- tro peticiones para 2017 en este ámbito: una mayor dotación presupuestaria para las Administración Públicas, servicios horizontales para ser más eficientes en el gasto público, que la ciberseguridad esté en la agenda de los dirigentes políticos, y no ser tan lentos a la hora de implementar protecciones de seguridad para las nuevas tecnologías como IoT, smart cities o la Industria 4.0. Las Administraciones Públicas y la ciberseguridad