IX Foro de la Ciberseguridad

La revisión de la Directiva NIS y la constitución del Foro Nacional de Ciberseguridad

ISMS Forum, en colaboración con el Cyber Security Centre, celebró el IX Foro de la Ciberseguridad el 17 de septiembre, esta vez en formato digital. Los más de 200 profesionales conectados conocieron las principales novedades del Foro Nacional de Ciberseguridad y de la revisión de la directiva NIS, entre otros muchos contenidos.

Foro Nacional de Ciberseguridad

De izquierda a derecha: Iván Sánchez (Sanitas), Elena Cerrada (Forcepoint) y Samuel Bonete (Netskope).

Por Juanjo S. Arenas

El encuentro comenzó con la inauguración de Iván Sánchez, CISO de Sanitas, quien cedió la palabra a Boryana Hristova, Legal Officer de la Comisión Europea. Esta profesional habló de la revisión de la Directiva NIS, cuya consulta pública se cierra 2 de octubre. Hristova destacó en su intervención la falta de uniformidad entre los Estados miembros a la hora de identificar los tipos de servicios: “algunos identificaron unos pocos servicios generales y otros entraron más en detalle”, especificó en este sentido.

A continuación tomó la palabra Staffan Truvé, CTO & Co-founder de Recorded Future, para hablar de la inteligencia de amenazas. Una inteligencia que permite a las organizaciones identificar y analizar los ciberriesgos a los que están expuestas. Este proceso, según recalcó, es clave en la entidad, ya que puede ayudar a ver la empresa desde el punto de vista de los ciberdelincuentes, conociendo sus puntos débiles.

Ciberseguridad por servicio

A continuación se dio paso a una mesa redonda formada por Elena Cerrada, Country Manager de Forcepoint; Pedro Viñuales, Global Presales Manager de Cytomic; José Luis Laguna, Director Systems Engineering de Fortinet; Fernando Anaya, Country Manager de Proofpoint; José de la Cruz, Technical Director Iberia de Trend Micro; Samuel Bonete, Regional Sales and Technical Director Iberia de Netskope; y Joaquín Gómez, NSX Sales Specialist de VMware. Esta mesa estuvo moderada por Iván Sánchez, y trató la aceleración de la ciberseguridad gracias a modelos por servicio.

Desde el punto de vista de Cerrada, de Forcepoint, “conocer el contexto del usuario desde el primer minuto ayudará en su securización, ya que es el eslabón más débil”. Además, recalcó la importancia de la personalización según el cliente. Una personalización que falta en los proveedores de cloud, tal y como denunció Anaya, de Proofpoint.

Por su parte, de la Cruz, de Trend Micro, aseguró que “cuando nos mudamos a la nube debemos tener claro que hemos de sacrificar algunos elementos en beneficio de otros, como por ejemplo la conectividad”.

Foro Nacional de Ciberseguridad

Una de las ponencias más destacadas fue la de Mar López, jefa de Ciberseguridad del Departamento de Seguridad Nacional. Esta profesional habló del recientemente constituido Foro Nacional de Ciberseguridad. “El Foro persigue el compromiso de todos en lo referente a la ciberseguridad, y tiene en cuenta, sobre todo, la colaboración público-privada”, aseguró al inicio de su intervención. “Con su creación hemos hecho historia, puesto que es la primera vez que se ha creado un foro de estas características”, complementó.

Se trata de una iniciativa compuesta por expertos, sociedad civil, asociaciones, entidades sin animo de lucro, etc. que busca generar conocimiento sobre ciberseguridad. Es por ello que el Foro propondrá iniciativas y contribuirá en el análisis de riesgos y amenazas. Además, apoyará en la gestión de crisis, en la realización de ciberejercicios y en la detección de las necesidades de la industria, entre otras muchas misiones.

Mar López (DSN): “Con la creación del Foro Nacional de Ciberseguridad hemos hecho historia, puesto que es la primera vez que se ha creado un foro de estas características”

De hecho, seguirá las tres líneas específicas de la Estrategia Nacional de Ciberseguridad: la cultura de ciberseguridad, el impulso a la industria y a la I+D+i y, por último, la formación, capacitación y talento en ciberseguridad.

“Pero todavía queda mucho por hacer, ya que es una iniciativa experimental. Necesitamos la contribución de todos”, concluyó López.

Ciberdelincuencia

Posteriormente intervino Carles Solé, CISO del Banco Santander España, quien comparó la pesca con la ciberdelincuencia. “Llevamos engañando a los peces con anzuelos desde hace 4.000 años. ¿Los humanos también seremos engañados por los ciberdelincuentes durante mucho tiempo?”, se preguntó.

Así, para abordar las problemáticas que entrañan estos malhechores, Solé especificó tres pilares a tener en cuenta: la concienciación, compartir información y lidiar con lo anómalo.

Por su parte, Lucas Varela, Digital Security en CaixaBank, habló del origen del ransom. “Tenemos que conocer a nuestro adversario”, destacó durante su ponencia.

Es por ello que para las organizaciones, implementar una estrategia de zero trust puede ser interesante. Precisamente para hablar de esta temática tomó la palabra John Kindervag, Field CTO de Palo Alto Networks. En concreto, el ponente habló de los cinco eslabones para establecer un entorno de zero trust: definir la superficie que vamos a proteger, mapear los flujos de transacción, contar con un arquitecto experto en zero trust, crear una política de zero trust y mantener una supervisión constante de la Red.

Foro Nacional de Ciberseguridad
De izquierda a derecha: Jesús Mérida (Iberia), Jorge Hurtado (Cipher) y Ricardo Hernández (ForeScout Technologies).

‘Zero trust’ en las organizaciones

Siguiendo con el zero trust, ISMS Forum organizó una mesa redonda en la que participaron Enric Máñez, Enterprise Security Sales Specialist de Akamai Technologies; Ricardo Hernández, Regional Sales Manager Spain & Portugal de ForeScout Technologies; Jorge Hurtado, Vice President EMEA de Cipher; y Álvaro García, Senior Sales Engineer de Crowdstrike; bajo la moderación de Jesús Mérida, CISO de Iberia.

“Sabemos que, en términos de ciberseguridad, el usuario es el eslabón más débil. El zero trust nos permite minimizar el impacto si uno de los trabajadores es afectado. Pero hemos de presentar esta estrategia como algo adaptable, flexible”, afirmó Máñez, de Akamai. A ello, Hernández, de ForeScout Technologies, añadió que “zero trust debería tener al alcance total de la red. Es una estrategia valida para dar un mayor nivel de seguridad a una estructura”.

Y es que, en opinión de Hurtado, de Cipher, zero trust es posiblemente una de las vacunas más eficaces para todas las amenazas que vienen de la pandemia, aunque se trate de un concepto relativamente nuevo.

No obstante, para García, de Crowdstrike, “lo más relevante es poner esta estrategia en marcha. Pero tenemos que cambiar nuestro paradigma: la concepción del incidente de ciberseguridad debe cambiar; hay que incluir la revisión activa de las alertas como parte fundamental de la cultura de ciberseguridad”, destacó.

Nivel de madurez en ciberseguridad

A continuación, Toni García, CISO de Grupo Damm; Santiago Minguito, BISO Europe de PepsiCo; y Óscar Sánchez, CISO de Puig, presentaron el Estudio del nivel de madurez en ciberseguridad de la empresa española. Durante este turno, dichos profesionales destacaron que el nivel de madurez en ciberseguridad de la mayoría de las empresas está entre “básico” y “maduro”. De hecho, más del 60 por ciento de las compañías cuentan con una política donde se definen los roles y responsabilidades. Y la mitad mantienen identificadas y documentadas las vulnerabilidades y amenazas.

Asimismo, más del 50 por ciento de las empresas dispone de medidas técnicas de seguridad. Pero solo el 20 por ciento asegura su correcto funcionamiento.

Por último intervino Thomas Rid, profesor de estudios estratégicos de la Johns Hopkins University’s School of Advanced International Studies, para hablar de la historia de la desinformación.