Durante el día de ayer ISMS Forum celebró su VIII Encuentro Cloud Security Alliance España en CaixaForum de Madrid, jornada durante la cual se debatió los riesgos y oportunidades que ofrece la nube.
Este nuevo encuentro de ISMS Forum comenzó con una mesa redonda basada en la Adopción del Cloud: La historia interminable, con Gonzalo Asensio, CISO de Bankinter y Board member de ISMS Forum, Isabel Guillem, CISO de IE Business School y Gianluca D´ Antonio, Chairman de ISMS Forum.
“La duda que te puede dar el cloud no es la misma en una empresa que tiene sus propias técnicas de resiliencia que la que no” comentó Isabel.
¿Cuál es el rol del CISO en la adopción del cloud?
“Creo que el rol ideal sería tener la capacidad de decisión de qué tipo de cloud, la que se adapta mejor a nuestras necesidades. A día de hoy esto no ocurre”, comentó Isabel.
“Los CISOs hacemos aquí un poco el trabajo de psicólogos cuando escuchamos los beneficios de cada solución cloud y luego un trabajo operativo con el equipo. Al final hacemos un trabajo de asesoramiento entre la parte técnica y puramente tecnológica”, comentó Gonzalo.
“A día de hoy si tuviera todo mi contenido, mi información en la nube, dormiría menos de lo que duermo hoy” concluyó Asensio.
A este VII Encuentro sobre Cloud también asistió Abhijit Chakravorty, Associate partner, cloud Security CoC Europe IBM Security quien habló de 3 fases claves para el viaje de adopción del cloud:
- Estrategia: Comenzando formalmente en el viaje en la nube, o simplemente comenzando a mover las cargas de trabajo a la nube.
- Entorno híbrido: bien en la transformación de la nube y en una operación híbrida de estado estable.
- Adopción nativa en la nube: adopción madura en la nube u organización nacida en la nube.
Igualmente el responsable de IBM Security comentó algunos nuevos retos a los que nos debemos afrontar cuando aseguramos la nube hibrida, como por ejemplo:
- ¿Cómo entiendo y me mantengo al día con el cambio en el cumplimiento normativo?
- ¿Cuáles son mis responsabilidades de seguridad en la nube y por dónde empiezo?
- ¿Qué sombra de TI se está utilizando en mi organización?
- ¿Cómo aseguro el acceso a mis cargas de trabajo en la nube?
- ¿Cómo administro las políticas en mis entornos locales y en la nube?
- ¿Cómo aseguro mis datos críticos en la nube?
- ¿Cómo desarrollo aplicaciones de nube que sean seguras por diseño?
- ¿Cómo garantizar que la seguridad se aplique rápidamente a mis cargas de trabajo en la nube?
A media mañana comenzó en Caixa Forum la segunda mesa redonda sobre Securing Cloud ecosystem from ever-changing threats con Raúl Tejeda, System Engineer de Fortinet, José de la Cruz, Director Técnico de Tren Micro, José María Cayuela, Security Specialist Senior de Akamai, Iván Robles, Sales Engineer Manager de Prosegur Ciberseguridad y Eusebio Nieva, Director Técnico para España y Portugal de Check Point.
“Nosotros intentamos siempre avisar a nuestros clientes de todas las posibilidades de nuestras tecnologías, pero también de lo riesgos que podrían conllevar ciertos caminos o decisiones que toman respecto al uso de esa tecnología por falta de conocimiento. Intentamos por tanto guiarles, que nos utilicen, pero de una forma coherente. Algunas veces vienen con una idea clara, pero otras veces tenemos que advertirles de que ese camino no es el correcto y deben de modificarlo”, comentó Eusebio Nieva.
“Creemos que la parte de prevención, ese análisis de las amenazas que conlleva ir al cloud, hay que tenerla muy en cuenta y por ello lo que intentamos hacer con el cliente es sentarnos, analizar los riesgos, gestionarlos y poner un programa de supervisión que te permita mejorar. Al igual que dice Eugenio, hay que establecer un modelo de colaboración con el cliente que le puede permitir madurar, no solo a ellos sino a nosotros como proveedores”, aseguró Iván Robles.
“El negocio es quien mueve hacia donde va la compañía y cuando negocio dice que necesitamos estas soluciones de ciberseguridad, es cuando implican al CISO y a otros roles que son los que finalmente tienen que tomar las decisiones, decisiones que en muchos casos suponen ir hacia la nube. Y ahí estamos nosotros, para guiarles. Al final la nube son tendencias hacia donde debemos ir”, dijo José María.
“Respecto a los clientes, los fabricantes de seguridad debemos de dar una respuesta simplificada de manera que no solo sea sencillo para nuestros clientes, sino que seamos una herramienta para ellos. En Trend Micro somos capaces de poder gestionar su ciberseguridad independientemente de si están en la nube o no”, concluyó José de la Cruz.
“No podemos permitir que en este mundo tan dinámico, nuestro departamento de seguridad tenga que estar peleándose porque tienen unas herramientas para la nube, otros para el data center…etc. Hasta que no se consiga esa simplificación, las empresas van a seguir sintiendo miedo de pasarse a la nube” dijo Raúl Tejeda.
Durante este VII Encuentro sobre Cloud se habló también mucho sobre micro segmentación
Se dieron datos curiosos como por ejemplo que el El 91% de as empresas españolas admitió haber sufrido un ciberataque durante el último año.
En este sentido, si queremos implementar la micro segmentación al modelo “Zero Trust”, debemos de tener en cuenta el concepto de “Defense in Depth” . El modelo de Zero Trust…
- Pone en la tela de juicio el antiguo paradigma del firewall: Ahora no se confía en nada tampoco dentro del centro de datos.
- Prescribe la creación de micro-perímetros alrededor de los servidores, aplicaciones y repositorios de datos sensibles de la empresa.
- Proporciona visibilidad sobre cómo se están utilizando los datos.
- Proporciona aislamiento.
Según se explicó, la micro segmentación es para Forrester, una de las soluciones más destacadas de 2018 la cual un alto porcentaje de los CISOs planean integrarla este año. ¿Pero cómo introducir la micro segmentación? Para lograr una solución completa de micro segmentación se requieren tecnologías complementarias alcanzando así la confianza cero.
Otra de las mesas destacadas de la jornada trató sobre Data Breach in the cloud: Incident Response con Gonzalo Erro, Cybersecurity and Privacy Officer en Huawei, Miguel A. Arroyo, Reesponsable de seguridad en SEMIC, Alejandro Fernández, Identity and Access Management Specialist, Sallpoint y Luis J. Suárez, Presales Manager en Kaspersky mientras que la mesa fue moderada por Daniel Largacha, Director del centro de estudios en ciberseguridad de ISMS Forum.
“En el punto de análisis de riesgo y habiendo aplicado los controles específicos de seguridad, tenemos que ser conscientes de que, si o si vamos a sufrir incidentes de seguridad por lo que tenemos que estar preparados, Nuestra propuesta se basa en la visibilidad, que tengamos una visibilidad clara de lo que está pasando en cada momento. Teniendo mucha visibilidad en forma por ejemplo de alertas, ordenados de alguna forma y aplicando inteligencia, creemos que es el enfoque de gestión que las empresas deben tener para dar una mejor respuesta”, dijo Miguel A. Arroyo.
“Para nosotros saber quién tiene acceso a qué en cada momento es fundamental. La idea es reducir el riesgo mediante el sistema de gestión de identidades. Desde el punto de vista del fabricante, creo que la respuesta anti incidente está basada en una estrategia de identificación”, comentó Alejandro Fernández.
“Creo que un fabricante de ciberseguridad como proveedor de nube deben de caminar en la misma dirección e ir de la mano”, concluyó Luis J. Suárez.
Estas fueron algunas de las citas más destacadas del VII Encuentro Cloud Security de ISMS Forum durante el cual también se habló de GDPR y en el que presentaron un nuevo estudio sobre un nuevo estudio sobre seguridad en la nube y el cual puedes leer aquí.