El tema de la ciberseguridad es ya una cuestión de cultura, aseguró Mar López Gil, vocal asesora del Departamento de Seguridad Nacional, en la inauguración de la Conferencia de Alto Nivel sobre Aseguramiento (High Level Conference on Assurance, HLCA) 2019 de ISACA Madrid.
En su intervención, López Gil aludió a la necesidad de que la sociedad misma debe tomar más conciencia sobre esto.
Aún queda mucho trabajo de divulgación y concienciación por hacer “debemos salir de la zona de confort y crear más ‘cultura’ de la ciberseguridad para el conjunto de la sociedad”.
Una aseveración compartida por todos los asistentes.
López Gil resumió el proceso de elaboración de la Estrategia Nacional de Seguridad de 2019 que acaba de presentarse. Y en ese marco, el papel fundamental de la futura Comisión Permanente de Ciberseguridad, como célula de apoyo al Consejo de Seguridad Nacional en materia de gestión de crisis y del Foro Nacional de Ciberseguridad que se debe constituir entre todos los agentes públicos y privados.
Estas son dos de las novedades que presenta la nueva Estrategia.
En una de las mesas de debate María Álvarez Caro, representante de Google, Jorge Pérez coordinador del Internet Governance Forum (IGF); João Luis Silva, presidente de Internet Society España; Ángel Gómez de Ágreda, coronel jefe del Área de Análisis Geopolítico Ministerio de Defensa; fue moderada por Antonio Martínez, socio y «Business Development Manager» (gerente de Desarrollo de Negocios) de Áudea, analizaron la polémica de la gobernanza en Internet.
Tras definir que Internet es uno de los elementos que más ha contribuido a la riqueza de la humanidad en los últimos tiempos, los intervinientes aclararon que los gobiernos territoriales clásicos intentan poner normas por lo que se debe resolver la tensión entre el modelo de sociedad territorial y la globalidad de la Red.
Para María Álvarez, la red, hasta ahora, contaba con una gobernanza técnica, pero la evolución hacia la pluralidad de cuestiones como las «Fake News», ha hecho que “la gobernanza evolucione hacia las cuestiones relativas al contenido”.
La clave de la cuestión para los expertos de esta ponencia es lograr un orden global que se coordine con la soberanía de los países.
Por eso auguraron que será inevitable la presencia de los Gobiernos y que se constituya un foro de gobernanza con protocolos, aunque, para Álvarez, “esa regulación debe basarse en valores, y no ser demasiado intervencionista”.
Por su parte, Juan López, socio de Cybersecurity & IT Risk de EY, introdujo el tema de las amenazas híbridas ciber y físicas, centrándose en los drones, porque se trata de una tecnología que pueden estrellarse donde sus pilotos quieran, por lo que pueden ser una herramienta para cualquier ataque efectivo y barato a una compañía.
El riesgo para las corporaciones son el sabotaje, el espionaje industrial visual o conversacional, y el espionaje electrónico.
Aunque la legislación española ha puesto freno, (hay que tener licencia profesional, limitaciones de vuelo en espacios abiertos, etc).
En España hay 5.500 drones registrados y más de 3.600 licencias. El operador de un dron puede estar a un kilómetro.
López-Rubio desveló que se intenta tener registrados los drones para que haya responsabilidad de los dueños y los compradores.
¿CÓMO NOS AFECTA LA LEY DE SECRETOS EMPRESARIALES?
Violeta Beltrán, directora de la Unidad Legal, Patentes y Proyectos públicos de Biopolis, Susana Bayón, de Repsol, Luis Ignacio Vicente del Olmo, de Telefónica Patent Office, Josep Cuñat, socio responsable de Ciberseguridad en Auren, bajo la moderación de Javier Fernández-Lasquetty, socio en Elzaburu, coincidieron en la idoneidad de esta Ley y su aprobación.
Los ponentes indicaron que la figura del “secreto” va a permitir rentabilizar inversiones y proteger trabajo, información o productos que no deberían conocerse fuera de la compañía.
También se entiende que va a mejorar las condiciones de las patentes, que no son legislativamente tan protegibles, por lo que, según los participantes, esta Ley es un avance y una potente herramienta para posicionarse en el mercado, fomentar la innovación y proteger aquello que tanto cuesta conseguir en las empresas.
En opinión de Josep Cuñat, “la ley viene a imponer que la empresa que quiera proteger sus secretos, deberá hacerlo técnicamente” y para que exista esa protección hay que utilizar recursos en áreas como el control, la auditoría y los riesgos.
Con la Ley de secretos empresariales se van a proteger elementos que pueden evolucionar como, por ejemplo, algoritmos.
Lo que no ocurre con la patente, que tan solo protege durante unos años y exclusivamente el elemento registrado tal y como era en el momento de dicho registro.
Eduardo Solís, director de «Business Security Solutions» (Soluciones de seguridad para empresas) de PWC, explicó en su ponencia, “Alcanzando la madurez en la función internacional de seguridad: control y reporting”, que las empresas deben definir dicha expansión desde una política de seguridad, tanto global como local.
Se trata de definir una nueva estrategia. Primero hay que estudiar cada país o negocio del grupo para dar forma a la función de control y reporting del grupo entero.
Francisco Javier Sánchez, responsable de Proyectos de Inteligencia Artificial en el Grupo SIA, planteó en su ponencia, “Aplicación de técnicas de inteligencia artificial en servicios de ciberseguridad: detección temprana de fraude y vigilancia digital”, que si tenemos brechas de seguridad, tardamos en encontrarlas ¿qué estamos haciendo mal?
Con la Inteligencia Artificial, el «big data», etc, el problema ha crecido exponencialmente.
Para ello cree necesario la monitorización, es decir, sistemas de medición de todo aquello que no queramos perder.
La inteligencia artificial no da un resultado pero sus algoritmos buscan reglas para reducir ese tiempo que vamos por detrás, con técnicas de Machine Learning, para agrupar usuarios, detectar fraudes y riesgos y técnicas de reacción personalizada.
PRINCIPALES IMPLICACIONES DEL CUMPLIMIENTO DE LA DIRECTIVA NIS
Silvia Barrera, jefe de la Sección Relaciones Internacionales del Centro Nacional de Protección de las Infraestructuras Críticas (CNPIC); Francisco Villalba de CNPIC; Cándido Arregui, CISO (jefe de Seguridad de la Información) de AENA, Carlos Manchado, CISO (jefe de Seguridad de la Información) de Naturgy; Jorge Uyá, ‘Chief Operating Officer’ (director de Operaciones) de Entelgy-Innotec, moderados Félix de Andrés, gerente de ‘Risk Advisory’ (Asesoría de Riesgos) de Deloitte, debatieron sobre las principales implicaciones de la Directiva NIS (Network and Information Security; seguridad de las redes y los sistemas de información en español).
Con la Directiva, que establece sanciones de hasta 1 millón de €, el regulador europeo quiere que haya una cultura de la comunicación de ciberincidentes, porque estos ya son transfronterizos y evitar así que sea más barato delinquir que cumplir la Ley.
805 de los operadores críticos españoles son empresas privadas y son los primeros interesados en cumplir sus normas de seguridad.
En España hay 132 operadores de servicios esenciales, y 400 operadores críticos, y aún faltan por determinar (se hará antes del 9 de noviembre de este año) algunas otras compañías que deben estar sujetas a esta regulación.
Como ya comentó a Confilegal Vicente Moret, letrado de la Comisión Mixta de Seguridad Nacional de las Cortes Generales y experto en sectores regulados, la aprobación de la Directiva NIS, primero, y el Real Decreto-Ley 12/2018, segundo, suponen un intento de convertir la ciberseguridad en un sector de actividad casi regulado.
