ISMS Forum, junto al Capítulo Español de Cloud Security Alliance, celebró el pasado jueves 30 de septiembre el XI Encuentro de Cloud Security Alliance España donde más de 300 profesionales inscritos en modalidad online y más de 120 profesionales de manera presencial se dieron cita en este evento híbrido en el que se abordaron cuestiones como con la que hemos iniciado esta información en relación con la seguridad en la nube.
El encuentro tuvo como ejes principales el marco regulatorio nacional y transnacional, con el nuevo Esquema Nacional de Seguridad y la Directiva NIS como objetos de atención, así como la European Alliance for Industrial Data and Cloud, una alianza europea centrada en el papel de la ciberseguridad del Edge y la Cloud, como infraestructuras para la generación y el fortalecimiento de la industria europea.
Pearse O’Donohue, director for the Future Networks Directorate at DG CONNECT (Comisión Europea), destacó en su ponencia “The European Alliance for Industrial Data and Cloud” una idea fundamental del IoT: "Si todo está conectado, todo puede ser hackeado y, dado que los recursos son escasos, tenemos que hacer frente a la magnitud del desafío de la resiliencia cibernética".
"La seguridad del código es una parte muy importante de nuestra resiliencia cibernética -continuó este experto-, ya que los procesos de vida son cada vez más dependientes en todos los sectores, de hecho, en una reciente encuesta realizada por la Cloud Security Alliance destacan que el 58% de sus encuestados están preocupados por la seguridad […] La falta de confianza o la percepción de debilidad en el ámbito de la seguridad ha sido uno de los principales obstáculos para la adopción de la nube en Europa, tenemos que ser capaces de controlar la seguridad de los datos, no solo por el aumento de los ciberataques, sino también por la preocupación de muchas empresas y gobiernos por el acceso ilegal a los datos por parte de jurisdicciones lejanas, donde en algunos casos tenemos operadores en la Nube y otros proveedores que están sujetos a las leyes de terceras empresas”, declaró O’Donohue.
Por otro lado, Bart Preneel, profesor en la Universidad de Lovaina, habló sobre el control tecnológico dentro del espacio dedicado a "Cloud Security Trends & Policies". "Las tecnologías digitales -afirmó- están cada vez más presentes en nuestras vidas. Somos adictos a los teléfonos inteligentes con sofisticados sensores y potentes procesadores. Los edificios, los coches y las ciudades se están convirtiendo en entornos inteligentes omnipresentes y autónomos, mientras que los rastreadores de fitness y los dispositivos médicos entran en nuestro espacio personal. Para gestionar este complejo ecosistema, se está ofreciendo un número creciente de servicios en la Nube; y algunas de las interacciones que requieren baja latencia se están desplazando hacia el Edge".
“Las aplicaciones varían desde el almacenamiento de datos, el análisis de datos (para informar a los usuarios o para mostrar anuncios) hasta el control de sistemas físicos (por ejemplo, vehículos autónomos). Estos avances plantean interesantes preguntas sobre quién tiene el control de esta tecnología y de los datos. O, en el caso de proteger criptográficamente los datos, ¿quién tiene el control sobre esas claves? Estas preguntas pueden plantearse a nivel del ciudadano, de la empresa o del Estado nacional. Las respuestas requieren una combinación inteligente de medidas legales, técnicas y económicas”, añadió Preneel.
La importancia de una guía de configuración segura
En el encuentro tuvo lugar el debate entre Pablo López, jefe Área Normativa y Servicios de Ciberseguridad del Centro Criptológico Nacional, y Miguel Ángel Amutio, jefe de la división para la Ciberseguridad, Planificación y Coordinación de la Secretaría General de la Administración Digital, sobre el nuevo Esquema Nacional de Seguridad (ENS).
“La mayoría de las brechas de seguridad en entornos Cloud se producen por fallos de configuración. En este sentido, un modelo de servicio en la Nube exige una Certificación de Conformidad (ENS Nivel ALTO) y una vez analizadas las dimensiones de seguridad, el siguiente paso consiste en un análisis de riesgos que permita obtener una declaración de aplicabilidad (medidas de seguridad a considerar) y un perfil de cumplimiento adaptado al ecosistema en cuestión que determinará un bastionado de seguridad validado. Es decir, el valor añadido consiste en adoptar las mejores prácticas y aplicar una guía de configuración segura donde es necesario detallar cómo se cubren las diferentes responsabilidades”, comentó Pablo López.
Por su parte, Andrés Peral, director de seguridad en Sistemas de Información de Mapfre, compartió con la audiencia las lecciones aprendidas durante los últimos años en lo que respecta al posicionamiento de seguridad en la Nube y la evolución que ha experimentado la estrategia de seguridad en este medio. El experto puso especial énfasis en que “la aproximación no debe ser únicamente la de hacer un viaje seguro a la Nube si no que la Nube se ha convertido en un elemento clave del ecosistema tecnológico de las compañías cuya seguridad es necesario gobernar y mantener en el tiempo”.
Presentación de la cuarta versión de la matriz de controles de seguridad Cloud Control Matrix
El XI Encuentro de Cloud Security Alliance España fue el escenario de la presentación de la cuarta versión de la matriz de controles de seguridad Cloud Control Matrix (CCM v4), por Diana Molero y Jorge Laredo, ambos miembros del CSA-ES. Se trata del esquema de controles de ciberseguridad que se alinea con las mejores prácticas de CSA y es considerado el estándar de facto para la seguridad y privacidad en la Nube.
También resultó de gran interés el caso de estudio presentado por Miguel Ángel Pérez, Global Head of Cloud Security Products en Telefónica, y Rafael Hernández, CISO de Cepsa y Miembro de la Junta Directiva de ISMS Forum.
“El mundo ha cambiado, la Cloud es una palanca para la transformación digital, el lenguaje de la Cloud es específico, nuevo, se trata de todo un ecosistema que nos exige evolucionar. Es un entorno con los mismos problemas que los escenarios tradicionales pero que exige nuevas herramientas. El principal atributo de la Cloud es ‘el cambio constante’ y la desaparición del perímetro. En Cloud el inventario se modifica constantemente y muchas cargas tienen tiempos de vida muy cortos, las estrategias tradicionales basadas en el despliegue de agentes no sirven. Se impone más que nunca desde una perspectiva de seguridad fijar patrones y buscar comportamientos anómalos. Los errores de configuración, los sobrepermisos y la velocidad que impone el T2M (Time To Market) en las organizaciones son un caldo de cultivo excelente para cometer pequeños errores que pueden dar al traste con una instalación”, declaró Miguel Ángel Pérez.