#XJornadasCCNCERT (Encuentro de Ciberseguridad Dic16)

El 13 de Diciembre pude asistir a las X Jornadas de la CCN y he de decir que el contenido fue espectacular. Antes de resumir esa completa jornada, he decir algunas reflexiones previas:

  1. Me quedo con el “sinsabor” provocado por la escasa presencia de expertos legales en ciberseguridad y derecho tecnológico, en contraste con los responsables de seguridad. (Éstos últimos no cuentan con la formación necesaria para implementar protocolos legales e interpretar la “arquitectura” compleja legal presente y futura). Trabajemos JUNTOS.;)
  2. A destacar respecto a las metodologías: más “seguridad by design”, fomentar la mejora continua, fortalecer el análisis de riesgos e implementar buenas prácticas.
  3. Conclusión: La importancia de la colaboración interdisciplinar e interinstitucional entre autoridades públicas y sectores privados.

La seguridad del ciberespacio y la protección de la información sensible han entrado de lleno en las preocupaciones de gobiernos, empresa y ciudadanos. En este sentido, el CCN, a través de sus múltiples funciones ha ido encaminada a reducir los riesgos y las amenazas, propiciar la coordinación y comunicación, actuando como estandarte de la defensa del ciberespacio, preservando la información clasificada y sensible, evitando la interrupción de servicios y defendiendo el patrimonio tecnológico español.

Por un lado, se recalcó la importancia de la “seguridad by design” en el desarrollo de aplicaciones.  Carmen Serrano (Generalitat Valenciana) resaltó que la mayoría de los proyectos incluyen la seguridad al final, cuando no debería ser así, ya que el coste de solucionar las vulnerabilidades es mayor cuanto más tarde se deciden las mismas. Por ello lo recomensable es el cambio de cultura en este sentido.

problema.jpg

La parte más interesante del evento creo que la pude encontrar en la mesa redonda donde las autoridades  (MINETAD-SESIAD, AEPD, CCN, CNPID) pudieron hablar acerca de la ventanilla única y la nueva directiva NIS. El problema mayor lo encontraron en las duplicaciones de notificaciones que se pueden dar y en la identificación de las autoridades destinatarias de las mismas. El público opinaba que era primordial la comunicación interna y externa entre las autoridades. Se hablaba de que lo más importante si cabe es saber a quién dirigirse y notificar cuando hay una brecha de seguridad o vulnerabilidad cibernética, por lo que se necesitarán protocolos, herramientas, infraestructuras de comunicación, políticas de responsabilidad. Desde mi opinión, ahí está la respuesta al problema.La AEPD (Andrés Calvo) consideraba que no era necesario legislar más de lo que hay, y que los responsables de ficheros (aún sin entrar en vigor la obligación de notificar en RGPD) ya están notificando. Las sanciones serán disuasorias -dijo-.imag6820

La CCN encuentra la solución en (i) lLa interoperabilidad. Diferentes formatos en función de las herramientas; (ii) La armonización; (iii) La cooperación (Europa nos lo exige). Para ello se deberían crear mecanismos de cooperación. (muy muy acertado y relevante).

Además, desde la mesa redonda se opinaba que “no estábamos solos ya que contamos de instituciones como ENISA, entre otros” para enfrentarnos al problema de la ciberseguridad.

El ministerio MINESTAD-SESIAD ha dado a conocer la consulta pública de la transposición de la directiva europea NIS ( Directiva (UE) 1148/2016)  que se basa en los siguientes aspectos; (i) El ámbito de aplicación de la norma: pueden incluirse, si se estima conveniente, además de los sectores relacionados en el anexo II, otros sectores económicos; (ii)  El régimen sancionador de los prestadores de servicios ; (iii) Las competencias para la supervisión de las obligaciones: pueden recaer en una o varias autoridades. La Directiva sólo obliga a designar una de ellas como punto de contacto para la cooperación transfronteriza; (iv)  Las funciones de respuesta a incidentes: pueden atribuirse a uno o varios CERTs. La Directiva sólo exige que cumplan los requisitos y realicen las funciones enumeradas en el anexo I; (v)  La notificación de incidentes: puede hacerse a la autoridad competente o al CERT.

David Lopez (Gobierno Aragón) IMAG6884.jpgdeclararó la necesidad que exista de conexión entre prcedimientos, normas e instrucciones técnicas donde cada norma tuviera  un procedimiento e información precisa. Esa normativa tendría “armonizada” sería homogénea en las diferentes administraciones públicas por lo que sería más facil implementar los protocolos.  La clave : “LA MEJORA CONTINUA” + ANÁLISIS RIESGO (APP Pilar)

Por otro lado, el Profesor Oscar Delgado (Doctor en Ing. Informática) habló de la seguridad termodinámica y dijo que quien posee más del 51% de las cadenas de bloques podría romper la seguridad del sistema.  Incluso puso una cifra: 477,7 M €. Su conclusión fue que no existe un buen modelo formal de seguridad sobre la cadena de bloques (o al menos, hasta que no aprendan a jugar a teoría de juegos los ciberatacantes) IMAG6836.jpg

Ya por último, Microsoft recordó ser el primer proveedor cloud con la certificación nivel alto de la LOPD.

IMAG6887.jpg

He de dar las gracias por la invitación y toda la organización en este estupendo evento, un año más.

Esto es todo por hoy, mañana más 🙂

Un saludo a todos!

Licencia Creative Commons
Esta obra está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s