Hace un par de semanas tuvo lugar en Madrid el primer encuentro internacional CIIP sobre Ciberseguridad y Protección de Infraestructuras Críticas. El encuentro se desarrolló en la División de Formación y Perfeccionamiento de la Subdirección General RRHH de la DG de la Policía y la Guardia Civil con una muy alta participación tanto de gestores de Infraestructuras Críticas como de consultores que estamos trabajando en estos temas.

La inauguración oficial de las jornadas corrió a cargo del Secretario de Estado de Seguridad, D. Antonio Camacho, quien destacó la importancia que en los últimos tiempos ha tomado la seguridad para el conjunto de la sociedad y especialmente la seguridad de las infraestructuras críticas para todos los gobiernos del mundo. En su intervención lanzó una serie de datos que ponen los pelos de punta a cualquiera y que ponen de manifiesto la importancia de los temas tratados en el encuentro durante estos días. Habló, en términos generales, del ya disponible Catálogo de Infraestructuras Estratégicas de España, promovido a instancias proyecto de Directiva de la UE para la identificación y designación de infraestructuras críticas europeas (ICE) de diciembre de 2006, y desarrollado en España en base a lo establecido por del Acuerdo del Consejo de Ministros sobre Protección de Infraestructuras Críticas. Este Catálogo, tal y como se establece en el Real Decreto está considerado como material SECRETO y recoge información de unas 3.700 Infraestructuras Estratégicas en España, algunas de las cuales son Críticas. El Secretario de Estado comentó que aproximadamente el 80% de las Infraestructuras Estratégicas catalogadas están en manos privadas y que en los estudios que se han realizado en materia de seguridad sobre una población de unos 600 directivos de ICs, el 54% de las encuestadas reconocen haber sufrido ciberataques organizados.

En los últimos años el panorama global de la seguridad ha sufrido grandes cambios que afectan, tanto a la percepción que la sociedad tiene de la seguridad, como a la forma en la que organizaciones de todo el mundo plantean sus estrategias de seguridad.

Sin duda alguna, los lamentables atentados del 11-S contra el World Trade Center neoyorkino hicieron tambalear los principios básicos de seguridad —en todos los sentidos— que hasta entonces habían predominado en la materia; si hasta ese momento la seguridad estaba dividida en parcelas perfectamente delimitadas, sin ninguna relación necesaria a priori entre ellas, y cada una preocupada en luchar contra unas amenazas palpables y relativamente predecibles (accesos físicos, robos, seguridad perimetral, piratas…), a partir del once de septiembre de 2001 el panorama internacional de la seguridad dio un vuelco que, hoy en día, debido a factores como la globalización de la sociedad o la ubicuidad de las organizaciones, ya se considera irreversible.

Me encanta la iniciativa GOTO de Toni y, sin ninguna acritud, me uno a ella para darles mi visión de episodios profesionales que nos toca vivir con más frecuencia de la que sería deseable. Hablo, en este caso, de los Consultores de la LOPD, una clase especial de consultores de seguridad, mitad abogados, mitad técnicos y al final en muchos casos, desgraciadamente, ni lo uno, ni lo otro.

Si como ha dicho Toni en su post el “Consultor Junior” es por definición un oxímoron y como tal, lo único que nos puede traer es algún que otro problema, además de un trabajo relativamente mal hecho por muy importante que sea la firma para la que trabaja, el caso se complica cuando lo que hace el supuesto consultor es implantar un Sistema de Gestión de la LOPD o auditar la LOPD de una organización.

En este caso la LOPD es como todos ustedes saben una ley, y por tanto de obligado cumplimiento, aunque a veces no lo parezca. Además, en el caso de nuestro país, está acompañada por un reglamento que para ser de mínimos es bastante exigente, y de un régimen sancionador que pone los pelos de punta al que se lo estudia con un poco de detalle.

En las conferencias de enise que les comenté en la pasada entrada, celebradas los pasados 27, 28 y 29 de octubre en León, tuve la suerte de asistir a una conferencia que, como ya he comentado en un post anterior, me gustó especialmente.

Habló D. José Manuel Maza, magistrado del tribunal supremo. Una persona que emana personalidad por los cuatro costados y que dijo muchas cosas en muy poco tiempo. Entre otras cosas habló de lo lejos que están las leyes que aplican los magistrados de la realidad del momento en el que nos encontramos, y de lo atados de manos que se encuentran en muchas ocasiones con el código penal que nos ha tocado vivir.

Hizo un comentario que me llamó mucho la atención: D. José Manuel estaba un poco disgustado porque había tenido que ausentarse de su puesto en un momento en el que se iba a debatir la postura que se tenía que adoptar, en general, con los asuntos relacionados con las redes P2P y la pornografía infantil.

enise es ya un clásico, joven, pero ya un clásico. A mí me gusta. Cada año parece que reúne a más gente del sector. Casi todos somos empresas proveedoras de servicios o de productos en el ámbito de la seguridad e instituciones públicas. Casi todas en el ámbito de la seguridad de la información, aunque se hacen tímidos intentos de dar cabida a proyectos y soluciones de seguridad fuera de ella. Hemos sido 520 los asistentes y 110 empresas e instituciones han estado representadas en León para ver que se está haciendo en España en esta materia. Es un foro de encuentro, un lugar y un momento para reposar y reflexionar sobre el sector. Un momento para establecer relaciones y recoger ideas.

El tema general del encuentro ha sido la innovación tecnológica en seguridad TIC. Ha habido algo de innovación, no demasiado, porque como dijo uno de los ponentes, exagerando un poco, esto parece como en la película “El día de la marmota”: Un año más vuelvo a estar aquí, hablando de lo mismo, a los mismos….para acto seguido hacer una exposición interesante con cosas totalmente nuevas. Bueno, no deja de ser una visión que, personalmente, no comparto, puede ser que una persona, un año después, no tenga nada nuevo que presentar. Cada uno es libre de exponer lo que estima oportuno en un evento de estas características. Nosotros, desde S2 Grupo, tenemos muchas cosas que contar y les adelanto que el año que viene estaremos allí, participando, para demostrar que esto no tiene porque ser así.

La semana pasada tuvo lugar en Estocolmo, la 4ª conferencia europea sobre investigación en seguridad, Security Research Conference (SRC’09).

El nivel de participación fue francamente alto, más de 500 inscripciones, lo que pone de manifiesto el interés generalizado que despiertan todos los temas relativos a la seguridad dentro y fuera de nuestras fronteras. La delegación española estaba compuesta por 49 personas de empresas, universidades y organismos públicos.
Aunque como es habitual en estos eventos el nivel de profundidad alcanzado en las exposiciones de los ponentes no puede ser mucho, sí nos permite hacernos una idea de los campos en los que se está investigando y desarrollando iniciativas a nivel europeo poniendo de manifiesto las áreas de interés de los distintos actores o stakeholders (ciudadanos, administración, empresas, etc…)

En los tiempos que corren, creo que ya nadie duda de que disponibilidad es seguridad. Por si tenemos aún algún escéptico entre nosotros le invito a que se fije en la foto adjunta e intente preguntárselo a los pobres 22,000 “pollos” (servidores) que por una falta de disponibilidad del sistema de acondicionamiento de aire de su “granja” (CPD) perecieron todos en unas horas y nos dejaron esta siniestra imagen.

La noticia, que fue publicada el pasado mes de junio por distintos medios de comunicación, nos contaba como una tormenta fulminó el sistema automático de ventilación de una granja y los animales fallecieron asfixiados.

Los centros WARP (Warning, Advice and Reporting Point) británicos surgen de la misma necesidad de los ISAC de proteger las infraestructuras nacionales mediante la compartición de información sensible, en este caso del gobierno británico. Los centros WARP se centran en prestar servicios a la sociedad en cuatro grandes grupos:

Servicio de alertas seleccionados

Continuando con la serie de centros de seguridad que comenzamos la semana pasada, en esta entrada vamos a introducir el “concepto” de ISAC. Éste surgió a partir de la preocupación por la seguridad nacional del gobierno estadounidense, que tuvo como reflejo una directiva presidencial por parte del presidente Bill Clinton el 20 de mayo de 1998, por la que instaba a todas las entidades privadas que formaban parte de la infraestructura crítica de la nación a compartir información sobre amenazas, vulnerabilidades, incidentes y soluciones y respuestas dentro de estos sectores críticos. En esta misma directiva se define ISAC como Information Sharing and Analysis Center.

Aunque supongo que tod@s los lectores conocerán el término SOC (Security Operation Center), creo que es importante aportar nuestra visión particular sobre los objetivos y el funcionamiento de los mismos a través del análisis de distintos tipos de Centros de Seguridad que hemos tenido la oportunidad de conocer y estudiar en alguno de los proyectos que hemos realizado; ésta es la primera de las entradas semanales que dedicaremos a este tema.

Un Centro de Seguridad en general y un Centro de Seguridad Gestionada (SOC) en particular, es un centro de servicios especializado en la prestación de servicios de seguridad a sus clientes. Los Centros de Servicios, en general, son centros especializados en la provisión de servicios de valor añadido a sus clientes que buscan de forma incesante la gestión eficaz y eficiente de sus recursos humanos y materiales para la consecución de sus objetivos.