redseguridad 076

8 red seguridad primer trimestre 2017 especial Jornada PIC evento ble de Desarrollo de Negocio de Ciberseguridad de GMV, quien cen- tró su presentación en la gestión de vulnerabilidades. Un aspecto que, según comentó, "está resurgien- do con una fuerza inusual en las organizaciones, algo similar a lo que ocurrió con la gestión de iden- tidades y eventos". Esto, a juicio del ponente, se debe a lo que deno- minó "el síndrome de la marmota". "Alguien descubre una vulnerabili- neos; consolidación, gestionando las duplicidades y criticidades; revisión, mediante la señalización de los fal- sos positivos y las excepciones; la creación de un cuadro de mando para administrar toda la informa- ción; distribución, formateando y asignando la información; y planifica- ción, automatizando criterios y rea- lizando un seguimiento. "A partir de aquí comenzaría de nuevo el primer paso", continuó. dad, pero no tiene capacidad para resolverla, por lo que pasa a otra persona, que tampoco, y así sigue una y otra vez sin solucionarse", concretó. Para resolver esto, se debe poner en marcha un buen sistema de ges- tión de vulnerabilidades, un proceso complejo que el responsable de GMV resumió en seis grandes bloques: lanzamiento, a través de la gestión de políticas y la planificación de esca- Sobre este aspecto se celebró una de las mesas redondas de la jornada, la cual reunió a los representantes de cinco grandes empresas considera- das operadores críticos, moderada por Miguel Ángel Abad , jefe del Servicio del Ciberseguridad del CNPIC. Para iniciar el debate, se planteó las diferencias entre la Directiva europea NIS y la legis- lación española sobre protección de las infraestructuras críticas. Para Juan Ignacio Calvo , CISO de Banca Comercial España de Banco Santander, “la principal similitud es que ambas buscan incrementar la seguri- dad de los operadores de los servicios esenciales. A partir de ahí existen pun- tos comunes como los escenarios de colaboración o los mínimos aplicables”, comentó. De la misma opinión se mostró Francisco Lázaro , CISO de Renfe, para quien ambas normas tienen “un gran parecido porque coinciden en su ámbi- to y objetivo”, pero también presentan algunas diferencias. Por ejemplo, Lázaro mencionó que, mientras la Directiva NIS se centra exclusivamente en la ciberse- guridad, la Ley PIC habla de seguridad integral. Además, añadió que la primera contiene un régimen sancionador y la segunda, no. Así también se manifestó Carles Solé, CISO de Caixabank. Para este profe- sional, las diferencias vienen de que la “Ley PIC está más basada en la parte física, a la que se le han incorporado las amenazas cibernéticas que puedan afectar a las anteriores. En cambio, la Directiva NIS viene de la ciberseguridad, las redes y los sistemas de información, y no habla tanto de la seguridad física”, explicó. Del mismo parecer fue Alfonso López-Escobar , responsable de Seguridad Lógica de la Empresa Metropolitana de Abastecimiento y Saneamiento de Aguas de Sevilla S.A. (EMASESA), quien añadió otras dife- rencias en torno a su ámbito de actua- ción. “Mientras que la Ley PIC consi- dera la existencia de doce sectores, en la Directiva NIS tan sólo aparecen siete”. De ahí que, apuntó el directivo, al trasponer esta legislación al ordena- miento jurídico español puedan pro- ducirse situaciones paradójicas, como la que ha ocurrido en Francia al no estar incluido el sector nuclear en la Directiva NIS. Por su parte, Juan Atanasio Carrasco , representante de las Centrales Nucleares Almaraz-Trillo (CNAT), destacó algunas de las dife- rencias entre ambas, como los reportes graves presentes en la Directiva NIS, y apuntó la posibilidad de informar mejor a los usuarios tras un incidente. “Puede ser bueno que cuando un incidente se cierre, se explique mejor su gravedad y categorización para facilitar las cosas”. Para finalizar, todos los integran- tes del debate alabaron el trabajo que se viene haciendo desde la Mesa de Coordinación de Ciberseguridad, impul- sada por la Secretaría de Estado de Seguridad a través del CNPIC, en tanto en cuanto está permitiendo fomentar las relaciones entre sus miembros y que se conozcan para poder intercambiar información y experiencias en beneficio de todos; y destacaron la colabora- ción positiva que están teniendo con el CERTSI como una forma de obtener información del exterior de sus propias compañías sobre los ciberincidentes de seguridad que se producen. La importancia de la colaboración público-privada en ciberseguridad De izq. a dcha.: Juan Ignacio Calvo, Juan Atanasio Carrasco, Miguel Ángel Abad (moderador), Carles Solé, Francisco Lázaro y Alfónso López-Escobar.