El auditorio de la Torre Agbar, en Barcelona, estaba repleto a primera hora de aquel 13 de noviembre. El programa de la IV Jornada Internacional de ISMS Forum Spain atrajo a más de 270 expertos y profesionales de la seguridad de la información procedentes de toda la geografía española, y no era para menos, pues el abanico de ponentes conformaba un cúmulo de experiencia y de know-how internacional como para no perdérselo. Surgieron muchas ideas a lo largo de la jornada, pero destacaremos una que aparecía una y otra vez: parece que hay acuerdo en que la clave para combatir las amenazas no reside en la tecnología, sino en las personas…

Y es que cada día surgen nuevas amenazas a la seguridad de la información y las existentes, además, mutan y se readaptan constantemente para poder causar su impacto. Algunas están claramente ligadas al factor humano, otras son atribuibles a la tecnología y muchas otras encuentran su causa en desastres y fenómenos naturales. Esta jornada, titulada “Amenazas internas y externas a la Seguridad de la Información hoy”, analizó los desafíos a los que actualmente se enfrentan los responsables de proteger la información de las organizaciones. Entre los ponentes destacó el reconocido experto en ciber terrorismo y ex asesor de la Casa Blanca en este ámbito, Howard Schmidt, quien ha sido Chief Security Officer de Microsoft, jefe del Computer Exploitation Team del FBI, y Chief Security Strategist en eBay. Además en la actualidad es el presidente mundial de ISSA (Information Security Systems Association).

Schmidt dejó bien claro desde el inicio de su exposición que en el mundo global de las telecomunicaciones -en el que realmente no hay una autoridad mundial a cargo, sino que todos somos responsables al tiempo que nadie lo es de manera determinante- las amenazas actuales constituyen un problema de seguridad nacional. Un problema crítico que puede afectar directamente, además, al corazón económico de nuestras sociedades. Esto se agrava por el hecho de que la propiedad y la gestión de la mayoría de las infraestructuras críticas, en casi todos los países, está en manos privadas, como también lo está la garantía y supervisión de su seguridad física y lógica.

La concienciación internacional, gracias a diversas iniciativas y organismos –citó como ejemplo al ENISA-, va mejorando. Así, por ejemplo –y a raíz de los sucesos del 11 de septiembre de 2001 en Nueva York- se ha creado la alianza público-privada internacional IMPACT (International Multilateral Partnership Against Cyber-Threats), plataforma con sede principal en Malasia, que aúna a gobiernos, empresas e investigadores para combatir el ciberterrorismo a escala global, intercambiar información, estandarizar el cumplimiento de buenas prácticas, etcétera.

Para dar una idea del crecimiento exponencial del número de equipos a vigilar y proteger, Howard Schmidt recordó en en 2008 se alcanzó la cifra de mil millones de dispositivos de todo tipo conectados a la red (cifra a la que se llegó tras 25 años de evolución de las TIC), pero se estima que en sólo cinco años más esta cantidad se habrá duplicado. Cada vez serán más en proporción los dispositivos móviles, y hacia ellos se dirigirán la mayoría de los ataques en los próximos años, quitando el protagonismo en este triste asunto a su titular actual, el PC.

El gobierno de la seguridad, recordó, no es sólo un problema de tecnología, sino que implica y mucho a las personas (por ejemplo: la lucha contra el phishing ha traído consigo notables mejoras tecnológicas y eficaces filtros, pero el factor humano sigue ahí, y las personas siguen “picando”). El presidente de ISSA apuntó que la concienciación, y el establecimiento de procesos guiados por las mejores prácticas podrían ser factores clave a la hora de mejorar la seguridad, mientras que a menudo las organizaciones se centran en lanzar mensajes negativos de amenaza, vulnerabilidad, etcétera.

A continuación se celebró un debate moderado por Marcos Gómez Hidalgo, director de e-Confianza de INTECO, que fue pasando la palabra a Juan Miguel Velasco (director asociado de Servicios y Soluciones de Seguridad de Telefónica), Juan Salom (comandante jefe del Grupo de Delitos Temáticos de la Guardia Civil) y al propio Howard Schmidt que se unió al debate.

Velasco resaltó algunos datos que desde su observatorio privilegiado del tráfico puede aportar Telefónica. Así, frente a la cantidad total de 700 millones de correos que contabilizaron en el año 2004, en 2008 se llegó a la cifra de 5.000 millones (y eso sólo hasta el mes de septiembre). Pero más del 95% de ese tráfico de correo electrónico lo compone el malware (spam, virus, spyware...). También resaltó que en 2008 el phishing en España se duplicó con respecto al año anterior, y en Reino Unido se ha multiplicado nada menos que por 10. También la suplantación de identidad crece de manera preocupante, y además –recordó- sigue existiendo un “gap” importante, un plazo de tiempo excesivo, entre el delito y la investigación del mismo, y muchas lagunas legales en lo que se refiere a las evidencias electrónicas, lo que da una clara ventaja a los ciberdelincuentes.

Paraísos informáticos

Por su parte el experto de la Guardia Civil Juan Salom aseguró que España estaría preparada para un eventual ataque a infraestructuras críticas o estratégicas, y que un comité de expertos del Ministerio del Interior trabaja para combatir estas posibles amenazas, que aún no ha sufrido España como sí ha ocurrido en otros países (Georgia, Estonia o los Estados Unidos). Habló de los “paraísos informáticos que todos conocemos”, refiriéndose claramente a países en los que el cibercrimen campa más o menos a sus anchas, amparado en una sensación incluso de impunidad: sin poner nombres concretos, sí que dejó caer que Europa del Este y algunos países sudamericanos estarían en cabeza. Así actualmente uno puede comprar, mencionó como ejemplo, los datos de una tarjeta de crédito en vigor por entre uno y cinco dólares. El panorama no es demasiado alentador.

La segunda parte de la mañana contó con otras dos intervenciones de alto nivel. Chris Kenworthy, alto directivo internacional de McAfee, y Cormac Callanan, consultor del Consejo de Europa y de otros organismos internacionales como la INTERPOL en materia de seguridad de las TIC y de Internet.

Kenworthy insistió en uno de los mensajes básicos de esta jornada: “la seguridad no es una cuestión de tecnología sino, sobre todo, de personas”, y en que el principal objetivo de los cibercriminales es hoy la obtención masiva de datos sensibles (como datos de acceso online a cuentas bancarias) para su venta y uso posterior por parte del comprador. Se trata de un lucrativo negocio y ya no tiene nada que ver con el hacker de los viejos tiempos que saltaba barreras para ponerse a prueba a sí mismo, o para ganar en imagen frente a la comunidad de expertos en Internet. Hoy se trata de ganar dinero y permanecer anónimo, tan simple como eso.

Por su parte, Callanan desgranó las distintas líneas de trabajo que está desarrollando el Consejo de Europa para luchar contra las diversas amenazas a la seguridad de la información. El panorama no es excesivamente optimista pues él mismo reconocía que eran necesarios esfuerzos adicionales para coordinar, mejorar procedimientos, estandarizar y, en definitiva, simplificar y lograr un eficiente gobierno internacional de la seguridad. Animó a todos los presentes a visitar la web del Consejo de Europa sobre cibercrimen para recabar más información al respecto de la normativa europea y de las iniciativas que está llevando a cabo este organismo internacional. .

La mañana terminó con una excelente exposición de un caso práctico a cargo del director general en España de Paypal, Fernando Aparicio, que reconoció que su compañía es objetivo constante de tácticas de fraude tipo phishing y explicó las estrategias que están utilizando para combatirlo y para asegurar la autenticación de los usuarios y la integridad de los sensibles datos que maneja Paypal.

La sesión de la tarde comenzó con la exposición de un exhaustivo análisis de la situación actual de la seguridad en las Pymes en España. Su autor no podía ser otro que Pablo Pérez, gerente del Observatorio de Seguridad de la Información de INTECO, pues este organismo posee sin duda estudios e información de sobra para poder elaborar esta radiografía. Todavía queda mucho camino para que pueda considerarse en términos generales que estas organizaciones -que conforman la gran mayoría del tejido empresarial español- cumplen con la LOPD, se preocupan activamente por la seguridad de la información o han implementado un SGSI en condiciones. Su presentación se acompañó de gráficos muy ilustrativos al respecto.

Guido Stein puso el toque más humanista de la jornada a continuación. El profesor del IESE, experto en gestión de personas en las organizaciones, disertó acerca de conceptos como la confianza, el liderazgo o la comunicación, tan importantes y a menudo tan olvidados en los departamentos de Seguridad de la Información de las organizaciones. Utilizando el salto de un pequeño caracol como metáfora visual, aportó muchas ideas y sobre todo hizo reflexionar al público acerca de estos conceptos, cuya aplicación excede el ámbito profesional y abarca también, sin duda, el personal.

La jornada terminó con una mesa redonda en la que participaron responsables de seguridad de la información de Gas Natural, de ASERCO (Grupo Agbar), del Banco Sabadell y del Centro de Telecomunicaciones y Tecnologías de la Información (CTiTI) de la Generalitat de Catalunya. El debate giró en torno a las políticas internas como herramienta de generación de actitudes proactivas y contramedidas a las amenazas. De nuevo, las personas y su importancia a la hora de combatir las amenazas, o el factor humano y psicológico de la seguridad.