Llegamos a ustedes gracias a:



Reportajes y análisis

CISO Summit 2019: Enfrentando el tema de ciberseguridad

[12/07/2019] El pasado viernes se realizó en Lima el CISO Summit, un evento organizado por CISObeat (asociación que integra a la comunidad de profesionales de la seguridad de la información) al que concurrieron los profesionales dedicados y preocupados por la seguridad digital (o ciberseguridad) de diversas organizaciones. Se trató de una jornada en la que se presentaron múltiples ponencias sobre temas como la ciudadanía digital, la actividad del Estado en la seguridad digital, la ciberseguridad empresarial, entre otras.

A continuación, les ofrecemos una breve reseña de lo que fue la jornada y de algunos de los temas que se desarrollaron en aquella ocasión.

Jorge Abanto, director de Investigación y Desarrollo de la Fuerza Aérea del Perú (FAP) y catedrático de la UPC.
Ciudadanía digital

Luego de las palabras iniciales de Ernesto Landa, fundador de CISObeat, y de Óscar Talavera, director del Área Académica de Ingeniería de la Universidad Peruana de Ciencias Aplicadas (UPC), se iniciaron las ponencias de la jornada. La primera de ellas fue la presentada por Jorge Abanto, director de Investigación y Desarrollo de la Fuerza Aérea del Perú (FAP) y catedrático de la UPC, quien desarrolló el tema "Ciberseguridad y ciudadanía digital.

Abanto sostuvo que nos encontramos ahora en medio de la Cuarta Revolución Industrial, aquella que se basa en la digitalización y la conectividad; y que, por tanto, se están enfrentando nuevos retos que requieren nuevos roles, es decir, un CIO 4.0 y un CISO 4.0.

En esta revolución, la productividad del negocio crece muy por debajo del cambio tecnológico, lo cual genera una brecha en el potencial de desempeño de la empresa. De hecho, el cambio tecnológico se desarrolla de forma más acelerada que los individuos y los negocios, y, por supuesto, de las políticas públicas.

En ese contexto es que han nacido las ciudades inteligentes o smart cities, las cuales son un esfuerzo de entregar una mejor ciudad a los ciudadanos, un lugar donde la comunidad y la sociedad se relacionan e interactúan a través de herramientas tecnológicas.

Pero al mismo tiempo surgen los ciudadanos digitales y, por tanto, el concepto de ciudadanía digital. De ésta, Abanto dijo: "supone la comprensión de asuntos humanos, culturales y sociales relacionados con el uso de las Tecnologías de la Información y Comunicación (TIC), así como la aplicación de conductas pertinentes a esa comprensión y a los principios que la orientan: ética, legalidad, seguridad y responsabilidad.

La ciudadanía digital, entonces, supone tener presente siempre algunos elementos que pueden surgir como la privacidad, el reconocimiento a la creatividad y los derechos de autor, el bullying cibernético, la huella digital y la reputación, la empatía digital, entre otros.

Al final, Landa sostuvo que en este nuevo mundo tenemos grandes retos, oportunidades y también responsabilidades.

Marushka Chocobar, secretaria de Gobierno Digital de la Presidencia del Consejo de Ministros (PCM).
CISO Summit 2019
El rol del gobierno

En el campo de la evolución digital, uno de los roles principales, sin duda, lo tiene el gobierno. Y por ello Marushka Chocobar, secretaria de Gobierno Digital de la Presidencia del Consejo de Ministros (PCM), mostró la posición del gobierno con respecto a la forma de enfrentar la seguridad. De hecho, comenzó estableciendo algunas definiciones.

Primero, indicó que por gobierno digital debemos entender "el uso integral de la tecnología en las entidades públicas, con el objetivo de lograr un Estado digital transparente, eficiente, seguro, productivo y cercano a nuestros ciudadanos.

Ya se han dado pasos hacia ese objetivo y uno de ellos ha sido la creación de un portal para atender a los ciudadanos. El portal del ciudadano que, de acuerdo con Chocobar, hasta el momento ha recibido más de 62 millones de visitas y cuenta con más de 600 páginas de orientación. El portal tiene como fin que para el 2020, el 100% del poder ejecutivo se encuentre en este sitio.

Estos avances han sido bien vistos por organismos del exterior. Por ejemplo, en el 2016 la OCDE dio un conjunto de recomendaciones para lograr una estrategia de gobierno digital adecuada. Una de esas recomendaciones, la de proteger la privacidad y garantizar la seguridad, ha sido reconocida por el organismo como un gran avance en el Perú.

Además, dijo Chocobar, se ha dado una ley de gobierno digital que establece lineamiento para temas como la identidad digital, la interoperabilidad entre entidades del Estado, la seguridad digital, los datos para la toma de decisiones, y la arquitectura digital, todos tomando como base los servicios digitales orientados al ciudadano.

Una de las novedades precisamente en el campo de la seguridad es que, de acuerdo con la ley, la Secretaría tiene la atribución de emitir opinión vinculante sobre las normas que regulan el gobierno digital; y emitir opinión previa para validar técnicamente los proyectos transversales en materia de seguridad digital.

Y, de hecho, ese fue otro de los puntos que resaltó Chocobar: mientras que en el entorno privado se habla de ciberseguridad, en el sector gubernamental se habla más bien de seguridad digital, ese es el término oficial.

El término viene de la OCDE y se le puede encontrar en sus documentos desde el 2015 -antes, se hablaba de 'seguridad en sistemas'- en adelante. Pero quizás lo más importante es que la OCDE señala de la seguridad digital que "los líderes deben tratar la seguridad digital como un riesgo económico y social, en lugar de considerarla únicamente como un problema técnico.

Por ello es por lo que también la OCDE, en conjunto con el BID, han establecido objetivos de las políticas para América Latina y el Caribe.

Uno de ellos es la comprensión de la seguridad digital y de la responsabilidad de los distintos actores en su gestión. Otro es el desarrollo de una estrategia nacional para la gestión del riesgo de la seguridad digital. El tercero es la colaboración con otras partes interesadas (empresas y sociedad civil, la comunidad técnica de Internet y el mundo académico). Finalmente, el cuarto es el fomento de la cooperación internacional y la asistencia mutua.

De hecho, estos lineamientos ya son parte de la legislación peruana, como se puede ver en el DS 050 del 2018 de la PCM, en el que se señala que "el estado de confianza en el entorno digital [...] se sustenta en la articulación con actores del sector público, sector privado y otros, quienes apoyan en la implementación de controles, acciones y medidas.

La forma de promover esta confianza es mediante la articulación de varios actores que se encargan de la ciberdelincuencia (Divindat, Ministerio Público, Fiscalía de la Nación, Ministerio de Justicia y Poder Judicial), la ciberdefensa (FAP, Marina y Ejército) y la ciberinteligencia (Dini). Todos bajo el manto del PE-CERT que se encargará de gestionar los incidentes de seguridad digital a nivel nacional.

Jeimy Cano, experto consultor internacional en ciberseguridad.
CISO Summit 2019
El directorio y la ciberseguridad

Los profesionales de la seguridad están convencidos que se tienen que tomar acciones para proteger a su organización; después de todo, es su trabajo. Sin embargo, es poco lo que se puede hacer si no se consigue concientizar a los tomadores de decisión más altos; es decir, a los miembros del directorio.

Precisamente sobre este tema fue otra de las presentaciones que se desarrollaron en la CISO Summit, esta vez a manos de Jeimy Cano, experto consultor internacional en ciberseguridad, quien propuso un enfoque denominado el Modelo I3.

En este modelo se definen tres 'Ies' sobre las cuales se debe tomar acción para conectar al directorio con la ciberseguridad. Una es los imaginarios, la otra es las interrogantes y la tercera es la inmersión.

En cuanto a los imaginarios, existen varios y existen acciones que se deben tomar para ellos. Uno de esos imaginarios es que la ciberseguridad es un tema de tecnología; para ello, entonces, se debe desarrollar el concepto de confianza digital. Otro imaginario es que se tienen las capacidades y competencias necesarias para afrontar lo inesperado; ante ello se requiere desarrollar el concepto de confianza imperfecta.

Un tercer imaginario en las empresas es que se puede atender los incidentes como otros lo hacen; ante ello se debe superar la mera imitación de los otros. Un cuarto imaginario lo constituye el pensar que la incorporación de tecnologías avanzadas los hace resilientes; contra ello se debe superar la falsa sensación de seguridad. Finalmente, otro de los imaginarios es aquel mediante el cual se cree que la empresa se puede recuperar ante cualquier falla; el reto asociado es desarrollar el concepto de postura vigilante y monitoreo proactivo.

La otra "I es la de las interrogantes que tiene el directorio. Para cada una de las posibles interrogantes se debe tener preparada una respuesta. Por ejemplo, ante la pregunta de si la empresa está segura, se puede responder que la seguridad es un ejercicio de confianza imperfecta. Si el directorio se pregunta cómo saber si se ha tenido una brecha de seguridad, la respuesta es realizar ejercicios de simulación, impactos calculados y respuestas ante los incidentes. Y de la misma manera se deben crear las respuestas a todas las interrogantes que puedan ir surgiendo en el directorio. Todo lo necesario para que se involucre en la seguridad.

Finalmente, la última "I es la pertinente a la Inmersión; es decir, cuestionar al directorio con preguntas que le hagan reflexionar sobre campos como la gestión de los riesgos; el gobierno, las políticas y los procedimientos; la participación externa y la colaboración interna; y, finalmente, la cultura de la ciberseguridad.

Por ejemplo, en el primer caso se puede preguntar cuáles son los datos más importantes de la compañía y quién puede acceder a ellos. De la misma forma, se pueden establecer cuestionamientos similares con cada una de las áreas para generar el interés del directorio, y su involucramiento.

Juan José Villena, consultor en soluciones de seguridad de Soluciones Orión.
CISO Summit 2019
Las mejores prácticas

La palabra de las empresas también estuvo presente en la CISO Summit con la participación de Juan José Villena, consultor en soluciones de seguridad de Soluciones Orión.

El ejecutivo ofreció una presentación en la que mostró las mejores prácticas en ciberseguridad y por qué es que se tienen que implementar; para ello Villena comenzó señalando los antecedentes de la ciberseguridad.

Por supuesto, el ataque más famoso de la historia es uno de los antecedentes que se mostraron; el ataque a Estonia en el 2007, realizado supuestamente por Rusia, encendió todas las alarmas de lo que ahora se podía lograr en el campo cibernético. La afectación de las principales industrias de un país era algo nuevo, especialmente si se toma en cuenta que no se había dado jamás a tal escala. La OTAN se puso en alerta, y Estados Unidos confirmó que se había abierto un nuevo campo de batalla: el ciberespacio. Ante ello, la superpotencia crea el Cybercommand.

Este tipo de incidentes no se han detenido; se estima que los países están desarrollando ciberarmas y defensas para proteger sus activos más críticos. En paralelo, los mercados de tecnologías como la nube y la Internet de las cosas van madurando, lo que generan nuevos vectores de ataques, para ataques que, a su vez, son cada vez más sofisticados (APTs). Aparecen nuevos conceptos como la Cyber Threat Intelligence, y comienzan a utilizarse tecnologías avanzadas como el aprendizaje automático y la inteligencia artificial en ambos lados de la guerra, en el ataque y la defensa.

Ello genera que se tengan que establecer estándares para el cibercumplimiento, se comienzan a utilizar la ISO 27001 y el NIST CS Framework, a la vez que se acuñan conceptos como gobierno, riesgo y cumplimiento. De hecho, también se crean modelos de madurez de la ciberseguridad, siendo el más conocido el ya mencionado NIST CSF, acompañado por otros como el CobIT y el Baldrige, a los cuales ahora se suma el modelo desarrollado por la propia Soluciones Orión. Este modelo establece cuatro capas de madurez: pasivo, reactivo, activo y proactivo.

Además, el ejecutivo señaló la necesidad de contar con un SIEM para ayudar con la gestión de incidentes.

¿Qué se debe mejorar en la ciberseguridad? De acuerdo con el ejecutivo, cinco cosas: las capacidades de prevención, las capacidades de detección (en tiempo real), las capacidades de protección, las capacidades de respuesta y las capacidades de recuperación (ciber resiliencia). Todo esto conforma la estrategia de ciberseguridad.