II Foro de Ciberseguridad de ISMS Forum Euskadi
Tenia pendiente el escribir una pequeña crónica de lo que ha sido mi paso por el ISMS Forum Euskadi de este año.
Agradecer la invitación a Kerman Arcelay, a los organizadores por la excelente gestión del evento y a los ponentes por dedicar su tiempo en compartir tan preciado conocimiento.
Creo importantes este tipo de eventos que permiten interactuar y discutir ideas con compañeros que se enfrentan a los mismos retos de seguridad. La vorágine del día muchas veces nos hace permanecer atrincherados en nuestros zulos llegando a perder el contacto con esa realidad física que tanto siempre nos aporta.
Remarcar que toda la información viene derivada de mis notas por lo que disculparme todos los ponentes por los errores que pueda contener el relato.
Abría el evento con una presentación y bienvenida Alberto Bernáldez , CISO, Liberty Seguros; Board Member, ISMS Forum Euskadi quien daba paso al primero de los ponentes:
CIBERSEGURIDAD INDUSTRIAL: ESTRATEGIA, RIESGO E INVERSIÓN,
Eduardo D., Managing Partner, EDAN Ventures
- Estrategia del miedo
- Gasto de X€ en auditorias que luego no se les da continuidad
- Proyectos de seguridad a 3 años. ¿tienen sentido?
- Zero trust / Desconocimiento / La gente lo confunde con un producto
- Empresas se alían con un fabricante que les promete el pack completo. ¿Es interesante esta postura?
NUEVA ESTRATEGIA
-
- Tenemos mucha información que no podemos procesar.
- Enviar solo lo necesario al SIEM y filtrar antes de enviar.
- Tener un único punto de control (Dashboard)
- Recursos limitados/negocio/vulnerabilidades. Priorizar y centrarse en lo importante
- Los presupuestos para seguridad no son ilimitados
- Disponer de KPI a alto nivel mas allá de eventos del SIEM y vulnerabilidades
- Contar con el apoyo de la dirección
- Con el 80% de esfuerzo conseguir el 20% necesario
- CISO: Buscar balance entre empresas grandes y Startups
- Las grandes empresas tienen productos que cubren necesidades actuales pero les cuesta innovar
- Las Startups mas alineadas con el mercado
CONCLUSION
-
-
- La estrategia del miedo se acabo
- Desafíos en la gestión del dato
- Visión integral y global para CISO con KPI más allá de los técnicos
- StartUps ayudan en el proceso de innovación
-
ADAPTACIÓN DE LA INDUSTRIA EN EUSKADI AL ESTÁNDAR ISA/ICS 62443
Iñaki Torrecilla Gubia, ICS Security Architect, Ziur.
- ZIUR: Asesoría, observatorio, análisis, estudios, Proyectos. Ámbito de Gipuzkoa
- Estudio situación empresas industriales (ISA/ICS 62443). Explica como se trabaja con la norma
- Nos habla de las diferentes directivas (NIST2, ISO27001, ENS…).
- Los datos son esenciales para la industria.
- Ahora hay que conectar con el mundo externo lo que deriva en peligros en ciberseguridad
- Estrategia de Seguridad: Auditoria / Plan director / Implantaciones / Vulnerabilidad / Riesgo
- Nos habla de Niveles de Seguridad (SL1…SL4) Riesgos que se asumen al no cubrir ciertos elementos, protección ataques intencionados con actores motivados…
- Requisitos Fundamentales: FR1: Control de acceso, FR2: Control de uso, FR3: integridad de sistema, FR4: confidencialidad del dato, FR5: flujo del dato, FR6: respuesta eventos, FR7: disponibilidad recursos.
- Procesos de auditoria: Documentación, análisis de datos,.. resultados de la auditoria
- Expone ejemplo de auditoria:
- Sin control de acceso remotos
- Contraseñas apuntadas
- Dispositivos no seguros
- Equipos sin logout
- Uso de servicios no necesarios
- Rangos de red inadecuados
- Sin sistemas de monitorización
- Sin bastionado de equipos
- Documentación incompleta
CONCLUSIÓN
-
-
- Nivel Seguridad Desfavorable
- Necesarios planes de concienciación
- Falta de documentación
- Disposición a cambiar de metodología
-
TENDENCIAS DE ORGANIZACIÓN Y REPORTE DEL CISO EN EL SECTOR INDUSTRIA,
Iñigo García Merino, Siemens Gamesa.
-
- Todo esta conectado con todo: IT/OT/Oficinas/Producción/R&D/LAB
- Organización de Ciberseguridad: CISO reporta generalmente al CIO
- Nos habla del cambio organizativo vivido por Gamesa.
- 2015 Gamesa (CEO/CFO/CIO/Aplicaciones-Seguridad(2 recursos)
- 2017-2024(CEO/CFO/CIO/Ciberseguridad(11 recursos)
- 2024 Siemens Energy + Siemens Gamesa: EVP / Digital forma parte del consejo de administración (Ciberseguridad 160 recursos)
- El Desarrollo de funciones de seguridad ha sido exponencial
- Comunicación con la dirección es la asignatura pendiente
- Reporte de seguridad a dirección: Foto standard: Estrategia / incidentes de seguridad / Riesgos
- Fase 1: Generalmente se dispone de una Slide y 10’ para presentar al consejo de dirección (Riesgos/Acciones y progreso / conclusiones y próximos pasos)
- Fase2: Dashboards con indicadores de ciberseguridad. utilizar mensajes claros importante y relevantes / utilizar colores para resaltar el riesgo (rojo/amarillo/verde), usar métricas que se puedan comparar con el mercado. 8 métricas máximo. Explicar el target de los indicadores. Explicar como la implementación de un sistema reporta una mejora.
CONCLUSIÓN
-
-
- Cuadro de Mando único: Mensaje principal
- Métricas entendibles: Adecuadas a reporte dirección
- Gestionar las expectativas de la dirección
-
IA AL SERVICIO DE LA CIBERSEGURIDAD,
Karen Lorena Espitia Morales, Solutions Engineer, Netskope.
- Nos expone un ejemplo de como seria un día de nuestras vidas sin IA y los servicios que ofrece
- 7aM.no funciona biometría facial / 9AM Coche google Maps no funciona / 11AM servicios de Google no funcionan / 1PM compra online no funciona web /perfilados/ 3PM pago tarjeta bloqueado / 5PM filtro Spam no funciona
- Nos habla de IA (Inteligencia artificial / ML (machine learning / DL (Deep learning)
- Riesgos: Sesgos / violación de privacidad / Seguridad / propiedad intelectual
- Nos habla de los servicios que se ofrecen desde su empresa y como esta funciona: Secure Web & Cloud con su modulo IA para identificar Amenazas, ML para detectar Phishing, referencias a Mitre, capacidad de monitorización (chat, LinkedIn..)
- Ejecuta un Demo.
EVOLUCIÓN DE LA CRIPTOGRAFÍA HACIA PQC: ¿PERO QUÉ CIFRADO… USO?,
José Ignacio Escribano Pablos, Cybersecurity Researcher, GuardedBox; Cybersecurity Analyst, DinoSec.
Raul Siles, Founder and Cybersecurity Architect, GuardedBox; Founder and Senior Cybersecurity Analyst, DinoSec.
-
- Nos hablan del Post Quantum Crypto (PQC)
- Como nos tenemos que preparar a día de hoy para cuando llegue la era cuántica.
- Problemas para la criptografía tal como la conocemos
- Criptografía: simétrica / asimétrica
- No sabemos cuando va a llegar el ordenador cuántico que rompa la criptografía
- Criptografía Post-Cuántica: Buscar que no se pueda resolver por ordenadores cuánticos
- Búsqueda de nuevos algoritmos: KEM / Firma Digital. Se están analizando candidatos. Estandarización del NIST
- Ciertos navegadores han desplegado TLS Post Cuántico
- Cloudfare habilita ya encriptación Post-Cuántica
- La estamos usando y no nos estamos enterando
- Nos habla de los ataques KyberSlash
- Porque es importante migrar a PQC. Se pueden capturar ahora y procesar la información en un futuro cuántico
- Necesidad de empezar a proteger y utilizar algoritmos Post-cuánticos
- NSA, NIST y CISA tienen guías de preparación
- Necesidad de hablar con los proveedores para ver como se esta evolucionando
- Estrategia de migración del CCN-Cert (Proyecto de 4 fases) / Estrategia de migración de NSA
- Hablan de su producto GuardedBox y como esta protege nuestros secretos. Se trata de una solución SAS con cifrado extremo a extremo y uso en diferentes entornos.
- Disponen de la certificación ENS alta
- Tipo de cifrado: Reposo / Transito / Extremo a Extremo / En uso
- Se comenta la evolución de GuardedBox a la época post cuántica.
- Demo del producto
CONCLUSIÓN
-
-
- The end is Near ( No lanzar este tipo de mensajes para asustar) / No se sabe cuando va a llegar, pero si hay que ser previsor e ir planificando
- PQC es una revolución a la vez que una amenaza
- Pensar en un plan de transición
- Protege tus secretos
- Prepárate para una tecnología que aun no ha llegado.
-
MESA REDONDA: NUEVAS AMENAZAS, ¿MISMOS RIESGOS?,
- David Marqués 🔓, Head of Defensive, Advens
- Koldo Valle Garcia, CISO, Grupo Elecnor; Board Member ISMS Forum Euskadi
- Pablo Estevan , Systems Engineer Manager Public Sector Iberia, Palo Alto Networks
- Modera: Oscar González Ouro, CISO, Grupo Eroski; Board Member, ISMS Forum Euskadi
NUEVAS AMENAZAS
-
- Su último fin sigue siendo el dinero
- IA
- Falta presupuesto
- Alta capacidad de los atacantes
- La presencia de muchos mas actores
- Las empresas se tiene que dedicar a sus negocios vs actores todo el tiempo para hacer el mal
- Robar los datos de las empresas
- Ataques a vulnerabilidades de los sites en Internet
- Los actores van mutando los ataques
¿LOS RIESGOS SON LOS MISMOS?
-
- Impacto reputacional
- Los riesgos son parecidos pero el impacto es mucho mayor
- Las empresas tienen menos tiempo para actuar.
- Las empresas se tienen que adaptar a las nuevas amenazas
- Los procesos tienen que ser mas automatizados
- Debemos apoyarnos en Partners
- Ser conscientes que las empresas están en el foco
- Integración de todos nuestros sistemas para mayor visibilidad
CAMINO A LA AGILIDAD CRIPTOGRÁFICA,
Javier Fernandez Avila, Regional Sales Manager, Sectigo.
-
- Agilidad criptográfica: poder cambiar entre diferentes algoritmos
- Que los sistemas sigan siendo seguros aunque se descubran nuevas vulnerabilidades
- Necesidad de estar preparados para amenazas post cuánticas
- Certificados digitales: Caducan con mas frecuencia, amenaza cuántica, se complica la gestión de su ciclo de vida, proliferación de identidades (IOT/contenedores…)
- 5 pilares CLM (gestión del ciclo de vida de los certificados): Descubre / Despliega / Renovar / Sustituir / Integrar
- Posibilidad de su producto en la integración con terceros
MESA REDONDA: GOBIERNO DEL CICLO DE VIDA DE UN INCIDENTE
- José Luis Pozo Valverde, Responsable del Área de Preventa, DotForce.
- Roberto Heker, Director, NextVision.
- Borja Perez, Country Manager Iberia, Stormshield.
- Modera: Kerman Arcelay, CISO, Metro Bilbao; Board Member, ISMS Forum Euskadi.
-
- Concepto de incidente (categorización) puede ser diferente para cada empresa
- Tener claro lo que puede tener impacto para la empresa y las líneas rojas
- El tiempo de detección de un incidente se estima en 204 días
- Como podemos mejorar con el uso de la IA
- Evitar el caos cuando se produce un incidente con una buena preparación previa. Ejecutar simulacros.
- Preparar un buen plan de respuesta ante incidentes
- LA IA es una herramienta pero a día de hoy no esta preparada para gestionar un incidente. Se trata de ahorrar tiempo al analista
- Sigue haciendo falta el factor humano a la hora de gestionar los incidentes
- La IA es una tecnología que comparten buenos y malos, y es el analista el que puede marcar la diferencia.
- LA importancia de tener un buen análisis de riesgos.
- Considerar la cadena de suministro
- Simulaciones y documentación de forma continua
- Identificar a todos los interesados
- Tener una buena coordinación con el DPO
ISMS E IA , CUANDO SE COMBINAN DOS INTELIGENCIAS,
Francisco Lázaro Anguis , CISO y DPO, Renfe; Co-Director del Grupo de Inteligencia Artificial & Board Member, ISMS Forum.
- GIA (Grupo de inteligencia artificial) :
- Generan y difunden conocimiento
- Ser un actor relevante e influyente
- Facilitar la participación dinámica
- Encuestas de adopción y gobierno de la IA
- Sabemos que lo que se dice fuera de nuestras empresas tiene mas empaque y valor
- Introducción a la IA: Sistemas inteligentes / aprendizaje automático…
- IA: Ética y Compliance: Estudiar el marco legal
- Modelo de gobierno de la IA: Principales directrices / Elementos de gobernanza / Gestión riesgo
- “Se nos va todo el vino en catas”- Que traducido son POC (Pruebas de concepto)
- Cuando no sabemos que hacer creamos un comité
- La IA no es algo nuevo. Ya hay empresas que llevan años trabajando en ello.
- Todo lo que haga la compañía tiene que venir bajo un marco legal
- IA y Ciberseguridad:
- Riesgos asociados
- Gestión del riesgo
- Proyecto con algoritmos
- Protección contra ataques
- Como herramienta adversa
- La cantidad de información que manejamos va a obligar a las empresas a hacer uso de la IA para poder gestionarla.
- Fraude Phishing / DeepFake (Audio-Video)
- Manipulación del mercado
TALENTO EN CIBERSEGURIDAD
- Iratxe Lejarreta, Profesora, Maristak Durango Ikastetxea.
- Iker Pastor López, Departamento de Tecnologías Informáticas, Electrónicas y de la Comunicación, Universidad de Deusto.
- Eduardo Jacob , Catedrático de Ingeniería Telemática, Dpto. Ingeniería de Comunicaciones, Universidad del País Vasco / Euskal Herriko Unibertsitatea
- Josuè Sallent Ribes, Coordinador del Grado de Ciberseguridad, Universidad de Vitoria Gazteiz.
- Modera: Alberto Bernáldez, Liberty Seguros; Board Member, ISMS Forum Euskadi.
Se cierra el evento con un interesante debate en el que se habla del talento y la seguridad. El mensaje que se transmite es el de que el talento existe pero falta gente.
Aquí aproveche para lanzar alguna pregunta posterior a alguno de los ponentes como. ¿Existe algo mas que el dinero para retener el talento? ¿Qué recursos tienen las empresas pare retenerlo? ¿Falta talento o las empresas no saben valorarlo? ¿Se paga ese talento? ¿Cómo se motiva ese talento?
Volver a agradecer a todos los miembros de ISMS por la organización del evento.
Link Evento: https://www.ismsforum.es/evento/768/ii-foro-de-ciberseguridad-de-isms-forum-euskadi/