Foros CxO 2012

Sesión 2 (miércoles, 23 de mayo) 
CSOs, Directores de Seguridad, Utilities/Energía

Ponente y Moderador:

• Director de Seguridad Calidad Internacional
  IBERDROLA

Asistentes invitados:

• Director Adjunto de Seguridad Corporativa
  ACCIONA
• Gerente de Protección Personal
  ACCIONA
• Director de Calidad y Sistemas de Soporte
  AGUAS DE VALENCIA
• Subdirector de Seguridad de la Información
  ENDESA
• Director de Seguridad y Prevención de Riesgos
  GAS NATURAL FENOSA
• Director de Seguridad
  NATURGAS
• Director de Operación
  RED ELECTRICA DE ESPAÑA-REE

Ponentes:

D. Francisco J. García IBERDROLA Descargar ponencia

D. Pedro Maestre FUNDACIÓN DINTEL

D. Tino Pérez T-SYSTEMS Descargar ponencia

Segunda sesión de los Foros CxO'2012
CSOs, Directores de Seguridad, Utilities/Energía  

Por Carlos Useros

El pasado día 23 de mayo tuvo lugar la segunda sesión de los Foros CxO'2012.

El moderador, y primer ponente de la sesión, D. Francisco Javier García, Director de Seguridad de la Información y Comunicación de IBERDROLA comentó, con respecto a la internacionalización de la seguridad, que la realidad es que las empresas se encuentran en una auténtica aventura al salir de sus fronteras ya que se topan con diferentes formas de trabajar de las que se utilizan en España. La realidad es que hay un marco legislativo en cada lugar en el que se trabaja, siendo necesario convivir con todos ellos de la mejor forma posible. Existe una guerra entre la eficiencia y la eficacia entre las leyes de los diferentes países.

D. Tino Pérez, D. Jesús Rivero, D. Francisco J. García, y D. Pedro Maestre
(de izquierda a derecha)

Con respecto al Modelo de Gestión y Gobierno, no es lo mismo gestionar en la distancia que en nuestro propio territorio y es aquí cuando se plantea la duda de trabajar de manera centralizada, descentralizada, o incluso en “modo Mix”. Realmente existe un condicionante y es el binomio Cultura/Persona, es decir, siempre es necesario adaptarse a la cultura y a las personas de cada lugar para llevar a cabo una buena Gestión y un buen Gobierno. En España, por ejemplo, se intenta actuar de una forma dialogante, y en países en los que la forma de actuación es simplemente la orden y el mando, esta forma de actuar puede llegar a chirriar. Es por ello que la cultura de cada país es la que determina qué tipo de modelos de Gobierno son los adecuados.

En relación a las instalaciones estratégicas, la seguridad ha estado históricamente dividida en dos departamentos: Seguridad Física y Seguridad Lógica. Esto empieza a cambiar y cada vez es necesario tener en cuenta el beneficio común. La comunicación entre ambas seguridades debe aumentar y ya se empieza a hablar de la gestión de los 360º de la seguridad: bienes-personas-información. El mundo físico y el mundo lógico están condenados a entenderse y el objetivo global debe estar marcado por los objetivos de cada sección del negocio, definidos mediante el Plan Estratégico.

La ponencia técnica corrió a cargo de D. Tino Pérez, comentó que hoy en día cada vez hay más usuarios que no desarrollan sus obligaciones en un puesto de trabajo “al uso” en su oficina y no cuentan con una ubicación más o menos controlable, tanto desde el punto de vista físico como lógico. Los trabajadores cada vez salen más del país para reunirse con clientes, partners, etc., y además utilizan dispositivos nuevos que llegan al mercado, en muchos casos complicados de gestionar.

Comentó que desde T-Systems no se habla de Servicios Cloud, tal y como los conocemos hoy en día, sino que se habla de “Servicios Dinámicos”, mucho más adecuada al mundo de los negocios y que pretende que los clientes utilicen dinámicamente los servicios y paguen en función de lo que utilizan.

Existe algo muy importante, que son los entornos de colaboración, los cuales cada vez se integran más en la estructura de los servicios que se ofrecen por parte de la compañía. Antiguamente esto se asociaba al Correo electrónico, la Agenda, pero cada vez existe un mayor número de servicios que provee una compañía (CRMs, ERPs) que trabajan en algunos casos en entornos colaborativos. Al ligar los entornos colaborativos con la Seguridad, es evidente que aparecen nuevas amenazas que hay que vigilar.

Desde el punto de vista de la Seguridad, el PC fue un reto. Cuando se hablaba de “terminales tontos” nadie hablaba de antivirus y, en general, existían menos problemas de los que hay hoy en día. La era post-PC que vivimos genera grandes desafíos y crea oportunidades en las organizaciones, siendo la característica principal que los dispositivos se “llevan encima”, con el riesgo de robos, pérdidas, etc. Por ello, estos dispositivos deben gestionarse de una forma diferente a la habitual.

Casi cualquier empleado de una compañía (CEO, Recursos Humanos, Task Force, etc.) hace uso de dispositivos en movilidad y es necesario gestionarlos de manera adecuada, por un lado en relación con la seguridad y la complejidad de los mismos, para conseguir una adecuada movilidad gestionada; y por otro para conseguir una buena productividad en el entorno móvil.

Con respecto al Cloud y los servicios de Seguridad y su gobierno, es importante tener en cuenta diferentes aspectos:

• La seguridad es una forma de actuar más allá de tecnología y buenas prácticas: se “es” seguro mas allá de “está seguro”.
• La seguridad total NO existe
• Tecnología sí pero con procedimiento y buenas prácticas
• El paradigma Cloud aún no está demasiado normalizado más allá de algunas alianzas de proveedores (http://www.cloud-council.org/) y grupos de interés específicos (como el de seguridad https://cloudsecurityalliance.org/)

Los riesgos y los retos de la Seguridad en Cloud deben contemplar los siguientes puntos:

• Los grandes riesgos de la seguridad IT “clásica” se modifican en entornos cloud.
• Existen multitud de dispositivos de acceso y muchos “fuera de la oficina” (sobre todo en escenarios de BYOD)
• Los datos ahora están mas “repartidos” (IT interna y cloud, en muchos casos, múltiples clouds quizás gestionadas por un broker)
• El reparto de responsabilidades entre clientes, proveedores y terceros debe quedar más claro ahora

Haciendo una comparación de la seguridad existente en la nube privada y en la nube pública hay que tener en cuenta que en la nube privada (caso de T-Systems) hay un marco global que reduce el problema general de la seguridad: Acceso muy restringido y no público (por VPN, luego es necesario autenticarse para entrar y se cifra todo el tráfico de E/S); se trata a los Datacenters como recintos “seguros” y dispersos, dando la máxima disponibilidad; y, la gestión de servicios IT sigue la norma ISO 27001, que asegura un nivel mínimo muy razonable de seguridad y acordados mediante SLAs específicos con el cliente. En la nube pública persisten los problemas de seguridad clásicos (apenas visibles en nube privada): Ataques de hacking, robo de datos o denegación de servicio; mayor riesgo de caídas masivas de servicios; problemas regulatorios y de privacidad de datos ocasionales en ciertas geografías (casos claros: USA, Irán o China); y, modelos de Gestión y SLAs rígidos y no adaptables a las necesidades especificas del cliente.

Intervinientes:

D. José Mª Almazán ALAVA INGENIEROS	D. Joaquín Álvarez ENDESA	D. Néstor Azpiazu PROSEGUR	D. José L. Bolaños GAS NATURAL FENOSA
D. Benito Cuezva SCATI	Dª. Ana de Anca RED ELÉCTRICA DE ESPAÑA / REE	D. Jesús de la Mora SECURITAS	D. José L. Delgado AGUAS DE VALENCIA
D. Eduardo Esteban NATURGAS	Dª. Natalia García BILBOMÁTICA	D. Francisco Moar HOBERON/COPP	D. Luis Pérez ACCIONA
D. Miguel A. Rodríguez ACCIONA	Dª. Gloria Saavedra INFORMATICA	D. Javier Tormos INTERGRAPH ESPAÑA	D. Manuel Vasallo AUDISEC

| Más...