La convergencia, presente y decisiva en el ideario de las ... · de este encuentro, como en 2009, ha sido el mayor peso específico de las prácticas reales, de casos de éxito de

30 SEGURITECNIA Julio - Agosto 2010

M ás de 150 profesionales se dieron cita en el salón de actos de la División de For-

mación y Perfeccionamiento del Cuerpo Nacional de Policía, que amablemente cedió sus instalaciones para la celebra-ción del “II Encuentro de la Seguridad Integral” (Seg2), organizado por dos de las cabeceras de editorial Borrmart, SE-GURITECNIA y RED SEGURIDAD. Durante los pasados 23 y 24 de junio, los asisten-tes tuvieron ocasión de comprobar que la convergencia es una línea de nego-cio que no sólo gana adeptos, sino tam-bién argumentos, a tenor de las aporta-ciones de un cualificado panel de po-nentes y contertulios, que dieron forma a unas jornadas “interesantes y prove-chosas”, de acuerdo con el feed-back general obtenido.

Amparo Valcarce, delegada del go-bierno en la Comunidad de Madrid fue la encargada de inaugurar las Jornadas elo-giando la labor de la editorial en su labor de dinaminzar un sector en pleno desa-rrollo, con un futuro prometedor. Des-tacó que la Seguridad Integral es un fac-tor determinante del crecimiento de la economía y del bienestar social porque crea confianza en los agentes económi-cos, generando riqueza y prosperidad.

Así mismo, enfatizó que los plantea-mientos para aboradar la Seguridad In-tegral deben ser innovadores, tanto en las estrategias de gestión como en las direcciones de Seguridad, con equipos multidisciplinares y, sobre todo, com-partiendo información.

Ana Borredá, directora general de Borrmart, agradeció, en primer lugar, al director de la División su entera colabo-ración para la organización del evento. Por otro lado, manifestó: “son muchos conceptos los que intervienen en la Se-guridad de las organizaciones: seguri-dad física, seguridad de la información, seguridad laboral, seguridad medioam-biental... diferentes visiones que hoy con-vergen por imperativo tecnológico, una evolución que ha dispuesto un nuevo marco económico-social”. En este sen-tido, Ana Borredá recordó que “las sofisti-cadas amenazas y los riesgos que surgen de esta nueva realidad combinan indis-tintamente elementos de ataque tradi-cionales con modernas prácticas, basa-das en el uso de las TI”, lo que convierte a la Seguridad Integral en el mejor plan-teamiento para abordar la Seguridad.

La segunda edición del Seg2 contó una vez más con la colaboración del Instituto Nacional de Tecnologías de

las Comunicaciones (Inteco) y estuvo patrocinado por Alcatel-Lucent, Alien-Vault, Eulen Seguridad, GMV, Microsoft, SonicWall, TB-Security y Telefónica Inge-niería de Seguridad (TIS).

Uno de los elementos diferenciales de este encuentro, como en 2009, ha sido el mayor peso específico de las prácticas reales, de casos de éxito de instituciones que ya han avanzado en términos de convergencia y que han traducido sus ventajas en términos de negocio, como es el caso del Ayun-tamiento de Madrid, Ono, Iberdrola, Mapfre y Grupo Prisa.

Traducir Seguridad en negocio, reto del CSOPalabras, conferencias y disparidad de opiniones. Equivocadamente alguien puede pensar que la convergencia de seguridad es solamente esto y que su materialización es una idea lejana. Sin llevarnos a engaño y reconociéndola como una tendencia (aunque ineludi-ble), la convergencia ha llegado para quedarse a muchas empresas que con-ciben como unitaria y global la concep-ción de la Seguridad y su gestión.

En la II edición del Seg2 brillaron con luz propia las exposiciones de institucio-

La convergencia, presente y decisiva en el ideario de las grandes organizaciones

El elevado nivel profesional del “II Encuentro de la Seguridad Integral (SEG2)”, organizado por SEGURITECNIA y RED SEGURIDAD, ha servido para corroborar que la convergencia de seguridad física y lógica no es una tendencia, sino una realidad organizativa y de negocio impulsada por la normativa actual.

SEGURITECNIA Julio - Agosto 2010 31

nes públicas y privadas que ya han dado sus primeros pasos en este terreno, como el Ayuntamiento de Madrid, Mapfre, Iber-drola, Ono y Grupo Prisa. Los diferentes ponentes emplazaron, con mayor o me-nor ahínco, a la audiencia a avanzar por la autopista de la coordinación de segu-ridades, una vía que desemboca en una visión holística de la misma, con ventajas incuestionables. Los directivos mencio-naron en diferentes momentos del en-cuentro que el profesional mejor prepa-rado para coordinar a todos los equipos humanos que tengan relación directa con la Seguridad será el que “se lleve el gato al agua”. Como ya se ha apuntado en esta publicación previamente a esta edición del Seg2, la figura del Chief Secu-rity Officer (CSO) no sólo ha de ser instau-rada en la empresa, sino que se le debe conferir responsabilidad de negocio, es decir, una línea de comunicación directa con el director general. Al máximo res-ponsable de la organización corresponde apreciar en la Seguridad un valor añadido frente a su competencia, un modo de re-valorizarse en cualquier mercado. Sólo si el Chief Executive Officer (CEO) entiende la Seguridad como una plusvalía para su or-ganización, concederá a los proyectos de convergencia de seguridad la importan-cia presupuestaria que merecen.

El director de Seguridad Corporativa del Ayuntamiento de Madrid, Juan Car-los Durán, indicó que bajo el paraguas de la Oficina de Seguridad Corporativa, se presta cobertura a Madrid Salud, la Co-ordinación General de Movilidad y la Co-ordinación General de Seguridad y Emer-

gencias. Este esquema revela que Durán es responsable tanto del Departamento de Sistemas, de Control de calidad, Se-guridad física, Formación y Relaciones con el Cuerpo Nacional de Policía (CNP).

Con este enfoque, se aprecia clara-mente la voluntad de gestionar la Se-guridad como un concepto global. “Las funciones de las que nos hacemos cargo son las que marca la Ley, las más espe-cíficas pueden ser las de control de ca-lidad, información técnica de contra-tos, ficheros de carácter personal o tar-jeta corporativa (que tiene que ver con el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD), así como las acreditaciones de la corporación mu-nicipal”, explicó Durán. En este sentido, el Ayuntamiento de Madrid afronta una dificultad añadida: su traslado al Pala-cio de Cibeles, todo un “reto”, según pa-labras del responsable de Seguridad Corporativa. “Son múltiples las activi-dades conjuntas de coordinación de la Seguridad en ocho áreas de gobierno y 21 juntas de distrito”, recordó Durán. “Definimos los dispositivos de seguri-dad para la Empresa Municipal de la Vi-vienda (EMV), la Empresa Municipal de Transportes (EMT), Campo de las Nacio-nes, etc., y queremos que cada una cree su sección de Seguridad para coordinar de manera óptima el control de 250 edi-ficios públicos con seguridad privada, a cargo de un total de 16 empresas y 700 vigilantes. La próxima meta será la inte-gración del control de seguridad de to-dos los edificios en la nueva sede del Ayuntamiento en Cibeles”, expuso.

Por su parte, José Antonio Blázquez, jefe de Sistemas e Infraestructuras de Se-guridad de la Oficina de Seguridad Cor-porativa del consistorio, intervino para explicar el funcionamiento del Sistema Integrado de Seguridad Corporativa del Ayuntamiento de Madrid (SISCAM) y su interrelación con el esquema del Centro Integrado de Seguridad Corporativa (CI-SECOM). “El principio fue desalentador hasta que, progresivamente, se fue re-novando con sistemas de última gene-ración tras numerosas auditorías. El ob-jetivo era proporcionar un grado de Se-guridad acorde a la criticidad del edificio”,

expuso Blázquez. Las líneas de actuación del SISCAM afectan a cuatro divisiones: el CISECOM, los Sistemas de Seguridad lo-cales, Protección de Datos y Acreditación Municipal, y controla la información de modo unitario, desde la proveniente de los circuitos cerrados de televisión (CCTV) hasta la de sistemas específicos como megafonía o alumbrado, pasando por el control de accesos y la tarjeta RFID que utilizan los más de 30.000 funcionarios del Ayuntamiento. “Nos adelantamos dos años a la LOPD y tres, a la obligatoriedad de informar al ciudadano sobre las zonas de grabación en lugares públicos”, apuntó Blázquez.

Un centro de control integradoLa necesidad de alcanzar la convergen-cia en las telcos llevó a la operadora Ono a dar el paso hacia un modelo de ges-tión de la Seguridad que no contempla mundos estancos, sino cada vez más co-nectados. “Desde nuestra experiencia, no existe un modelo convergente. Hay tantos modelos como compañías por-que cada una tiene su cultura y busca la mayor eficiencia posible”. Con estas pala-bras abrió su ponencia Miguel Rego, di-rector de Seguridad Corporativa de Ono, quien sustentó este argumento en que el modelo actual de amenazas “hace muy difícil fijar la ‘foto’ sólo en Seguridad física o lógica”, ya que las actuaciones delictivas que derivan en fraude presen-tan una visión global.

La suplantación de identidad, los de-sastres naturales, las fugas de informa-ción, los sabotajes o la interrupción de

Juan Carlos Durán.

José Antonio Blázquez.


de Iberdrola señala que para logarlo es necesario consolidar la figura del director de Seguridad (CSO, como se le denomina con siglas inglesas), cuá-les son sus competencias y requisitos para serlo, de acuerdo con la tenden-cia internacional que está impulsando la instauración de este puesto directivo en el esquema de negocio. “Conseguir esto no es fácil; nos ha costado sangre, sudor, lágrimas y noches de insomnio alcanzar este cambio”, aseguró García, que recomendó a los asistentes una vi-sión estratégica, reduciendo los ‘reinos de taifas’ de las diferentes seguridades a favor de una visión global”.

No faltaron los “padrinos”Tanto Mapfre como Grupo Prisa osten-tan el honor de ser pioneros en lo que a Seguridad Integral se refiere. Ambas organizaciones coincidieron en apos-tar por esto antes que nadie y de man-tenerse fieles a una estrategia y a un modo de entender la Seguridad Cor-porativa.

Por esto y por haber apoyado con convicción al Seg2 desde su nacimiento, Guillermo Llorente y Enrique Polanco, directores de Seguridad Corporativa de Mapfre y Grupo Prisa, respectivamente, son tratados por esta editorial como “pa-drinos” de este evento, tal y como re-cordó en su intervención Mercedes Oriol, subdirectora de RED SEGURIDAD: “Desde los inicios de esta idea nos regalaron con generosidad su total confianza en nues-tro trabajo, sus conocimientos en cuanto a los proyectos que llevan a cabo en sus organizaciones y su aliento a que siguié-semos adelante con un asunto, como el de la Seguridad Integral, que tiene mu-cho recorrido”.

“¿Desde qué punto de vista se afronta la Seguridad y por qué ahora?”. Son las cuestiones básicas que toda or-ganización ha de hacerse a la hora de afrontar una estrategia corporativa de Seguridad, según estimó Guillermo Llorente, de Mapfre, una aseguradora que prácticamente ha equiparado el porcentaje de negocio que proviene del exterior con el generado en España en el último ejercicio.

redados desde los inicios de cada ac-tividad, siempre por separado. En este sentido, García entiende que se están dando unos primeros pasos a favor de la convergencia, pero que cada uno “ca-mina por sitios diferentes y falta un en-granaje central que gestione de forma unificada los procesos”. En su opinión, si no se unen personas, bienes e informa-ción, la convergencia quedará en una moda de la cual se seguirá hablando en foros de este tipo sin que se llegue a generalizar como estrategia. “Seguimos encerrados en nuestros despachos y no modernizamos la organización, a pesar de que el marco regulatorio nos está pi-diendo la convergencia”, subrayó García. “¿Cuántos departamentos (de seguridad física) de los aquí presentes tienen su mapa de procesos? Difícilmente nos va-mos a entender con ellos si no”.

El directivo de Iberdrola reiteró que es necesario hablar en el mismo idioma, pues con la llegada de nuevos dispositi-vos tecnológicos se difuminan las fron-teras entre seguridad física y lógica. “La alta dirección no entiende que la Segu-ridad es una garantía para el negocio y cuando se entienda, nuestros esfuer-zos se alinearán en beneficio de vender más”, aclaró.

Un equipo dedicado al seguimiento, gestión y mejora continua de la Segu-ridad. Éste es el objetivo que persigue Iberdrola, desde una posición aventa-jada, pues cuenta con una baza estra-tégica muy importante: una gestión de recursos flexible y la externalización de las funciones secundarias. El directivo

la cadena de producción pueden ser fruto de amenazas convergentes, en opinión de Rego, por lo que se torna in-dispensable combatirlas en el mismo sentido, desde la convergencia.

Como drivers tecnológicos que im-pulsan la convergencia, Rego citó la in-tegración de los sistemas de control de accesos, los sistemas de seguridad so-bre redes IP y la integración de fuentes de información y logs.

Atendiendo al director de Seguridad Corporativa de Ono, el reto fijado por la organización a corto plazo es el desarro-llo de un modelo de gestión de riesgos centralizado: “Así obtenemos un control más fiable desde el punto de vista fi-nanciero, de negocio y operacional”.

En definitiva, el directivo opina que es un buen momento para implementar la convergencia en las telcos, gracias a la presión del cumplimiento regulatorio y la gestión del fraude. “La convergen-cia de ‘lo físico’ y ‘lo lógico’ es la primera fase para desarrollar el concepto de Se-guridad del negocio”, concluyó Rego.

En la senda de la armonización“¿Están convergiendo las segurida-des?”. Con esta pregunta al aire ini-ció su ponencia el director de Segu-ridad de la Información y las Comu-nicaciones de Iberdrola, Javier García Carmona, que, parafraseando a Fran-cisco Umbral, opina que en esta mate-ria “cada uno quiere hablar de su libro”. El portavoz de Iberdrola explicó la esca-sez de “matrimonios” entre seguridad fí-sica y lógica en términos culturales, he-

Javier García Carmona.

Miguel Rego.


La aplicación de la convergencia es una realidad para Grupo Prisa, donde la inteligencia empresarial coordina to-das las áreas, desde seguridad laboral a física, pasando por medioambiental y de las TIC.

ClausuraLa clausura del acto corrió a cargo de Fernando Sánchez, director del Cen-tro Nacional para la Protección de In-fraestructuras Críticas, el cual hizo hin-capié en la importancia que tendrá el Real Decreto de Protección de Infra-estructuras Críticas como herramienta que posibilite la puesta en contacto de la seguridad física y lógica, dos mun-dos tradicionalmente separados, ade-más de trazar las reglas de juego para determinar las responsabilidades mu-tuas tanto de la empresa como del sector público. S

áreas, según el testimonio de Guillermo Llorente.

Cómo incorporar el concepto de Inteligencia en la SeguridadEl broche final a las ponencias lo puso Enrique Polanco, director de Seguridad Corporativa de Grupo Prisa, que, como era de esperar, no defraudó en su in-tervención. En consonancia con otras contribuciones del ejecutivo a favor de la convergencia, Polanco defendió un nuevo concepto aplicable a la Seguri-dad: la Inteligencia.

“Inteligencia es adelantarse a las con-secuencias que para mi empresa puede suponer, por ejemplo, un cambio po-lítico en Colombia”, apuntó Polanco, quien valoró el hecho de ir por delante, con la ayuda de herramientas analíticas, como uno de los principales logros que ante sí se le presentan a la Seguridad.

Por otro lado, Enrique Polanco, un firme convencido de la Seguridad In-tegral, entiende que ha llegado el mo-mento de trasladar esta idea a la alta di-rección: “Tenemos que empujar esta estrategia para que se difunda en los medios de comunicación generalistas, además de en revistas especializadas como SEGURITECNIA o RED SEGURI-DAD. Si no nos entienden va a ser muy difícil que comprendan que la seguri-dad física es también una garantía para las Tecnologías de la Información, y que un sistema de videovigilancia, como CCTV, puede ser fácilmente hackeado a través de la Red”.

El director de Seguridad Corporativa de la aseguradora defendió que se ne-cesitan equipos multidisciplinares: “La Seguridad es un estado que se consi-gue mediante un proceso en el que in-tervienen activos, amenazas, riesgos, respuestas a incidentes, etc. Por eso te-nemos a un especialista en cada área”. Llorente explicó, de manera meridiana-mente clara, que la virtud de un direc-tor de Seguridad es coordinar de forma eficiente a todos aquellos profesionales que trabajan en algún aspecto relacio-nado con esta extensa materia, un he-cho que avala el pleno sentido de una estrategia convergente.

La importancia del ‘compliance’La experiencia de Llorente en Mapfre ha consistido en que la Seguridad aporte valor, según sus palabras: “Se define como global y se entiende como inte-gral”. Con esta filosofía se constituyó el Centro de Control General (CCG) de la aseguradora, sobre el que recae la pro-tección integral de activos corporati-vos y el cumplimiento regulatorio, entre otros frentes”.

El esquema del CCG de Mapfre coor-dina con precisión el Centro Operativo de Administración de usuarios (COAS), el Centro Operativo de Seguridad de la Información (COSI), el Sistema de Con-trol de Accesos (SCA) y la Central Recep-tora de Alarmas (CRA). La fórmula del éxito de esta manera de entender la Se-guridad pasa por rodearse de los me-jores profesionales en cada una de las

Guillermo Llorente.

Enrique Polanco.


Una solución global para atajar el problema en su conjunto

“El único camino para que numerosas aplicaciones dis-tintas, que antes operaban sobre infraestructuras priva-das y particulares, puedan seguir realizando su función y permitir que las empresas continúen trabajando sin ningún problema”. Así definió el concepto de Red Juan Larragueta, country manager de SonicWall, que apoyó este encuentro, atribuyéndole así un papel crucial para el buen funcionamiento de las compañías actuales.

El directivo regional de SonicWall afirmó que actual-mente no hay recursos suficientes para disponer de re-des específicas para cada una de las necesidades que tiene una empresa, por lo que “debemos globalizar el uso de las infraestructuras, y hemos de hacerlo de forma eficiente e inteligente”.

Larragueta explicó que, en el terreno de la informática, tradicionalmente se ha trabajado dando respuestas con-cretas a problemas puntuales: “cuando tienes un gran problema, córtalo en trocitos, soluciona cada uno de ellos y, por definición, el contratiempo habrá quedado resuelto”. “Pero hoy no nos lo podemos permitir”, apos-tilló. En su lugar, el directivo abogó por analizar el pro-blema partiendo de los detalles, pero sin perder de vista el conjunto, para poder así aplicar una solución global.

En este sentido, Larragueta aseguró que en SonicWall los departamentos existen exclusivamente por su con-tribución al conjunto: “Los procesos requieren el trabajo multidisciplinar de muchas áreas –alegó–, pero sólo si todos aquellos departamentos involucrados en la solu-ción tienen éxito, es posible garantizar el triunfo global”.

Por otro lado, explicó que existen numerosas aplicacio-nes (streaming de vídeo o de audio, juegos online, servi-dores FTP, redes Peer to Peer, etc.) que comparten ancho de banda con otras de tipo empresarial y que podrían poner en peligro el buen funcionamiento de estas últi-mas. Además, gran parte de ellas suponen una fuente de amenaza para la red corporativa, ya que no se tiene in-formación suficiente acerca de la persona o del sitio del que provienen los archivos que se dejan entrar.

Por ello, el country manager de SonicWall afirmó que “lo importante ahora es securizar las aplicaciones”, al contrario de lo que ocurría con las infraestructuras con las que se ha venido trabajando hasta hace un año.

La Seguridad en el ‘Internet de las máquinas’

“La guerra contra los robots ya ha comenzado y, de mo-mento, ellos nos van ganando”. Como Isaac Asimov en su libro Yo, Robot, Manuel Carpio, director de Seguridad de la Información y Prevención del Fraude de Telefónica, alertó durante su ponencia acerca de los retos que plan-tea a la Seguridad lo que se conoce como “el Internet de las cosas”, un entorno en el que las máquinas superarán en inteligencia a los seres humanos.

Carpio, que fue invitado al evento por Telefónica Inge-niería de Seguridad (TIS), patrocinadora del evento, ex-plicó que, en un primer estadio, la seguridad se funda-mentaba en una defensa pasiva e iba orientada a pro-porcionar una alta disponibilidad de los servicios para garantizar la continuidad. Esta ‘Seguridad 1.0’ era inca-paz de proteger verdaderamente un ordenador.

Con la evolución de la tecnología, Internet se hizo cada vez más móvil y las amenazas se volvieron más sofisticadas. Una vez que el equipo se encontró debi-damente blindado, los ciberdelincuentes tuvieron que buscar nuevas capas a las que dirigir sus ataques: la del usuario (phishing) y la del negocio. La ‘Seguridad 2.0’, que es el estadio en el que nos encontramos actual-mente, debe ocuparse, por tanto, de proteger también al usuario, que, según Carpio, “es el elemento más débil de la cadena” por su falta de capacitación; y al negocio, proporcionando seguridad “a otros activos que no son la información, como el honor, la imagen y la marca”.

“Lo que se ha venido haciendo hasta ahora es ‘acción-reacción”, afirmó Manuel Carpio, y añadió que este modo de actuación no puede mantenerse en el nuevo con-texto creado tras la irrupción de la llamada Web 3.0, en la que los ordenadores, mediante técnicas de inteligencia artificial, serán capaces de entender los contenidos publi-cados en las páginas web y de obtener, así, conocimiento, algo hasta ahora sólo reservado a los humanos.

“El Internet que tenemos hoy es el ‘Internet de las per-sonas’: una persona se relaciona con otra a través de un ordenador –aclaró el directivo de Telefónica–; pero avan-zamos hacia una situación en la que las máquinas habla-rán con otras máquinas, directamente y sin intervención humana, y serán capaces de tomar decisiones”. Y esta fase “está a la vuelta de la esquina”, advirtió Carpio.

Juan LarraguetaCountry manager de SonicWall

Manuel CarpioDirector de Seguridad de la Información y Prevención del Fraude de Telefónica


Seguridad integral para proteger las infraestructuras críticas

“La seguridad de las infraestructuras críticas se plantea desde el punto de vista de la convergencia”, afirmó du-rante su ponencia Ricardo Cañizares, director de Consul-toría de Eulen Seguridad, que patrocinó este segundo encuentro. Es por esto que el directivo considera que se va a avanzar rápidamente hacia la Seguridad Integral, como se está haciendo ya en el terreno de la Protección de las Infraestructuras Críticas (PIC).

Cañizares comenzó diciendo que el momento en el que se empezó a hablar verdaderamente de convergen-cia fue en febrero de 2005, cuando dos asociaciones, ASIS e ISACA, la primera dedicada al sector security y la se-gunda a la Seguridad de la Información, decidieron crear, ante la convergencia de las amenazas, la “Alianza para la Gestión del Riesgo Empresarial”. Se inició entonces un ca-mino sin retorno hacia la integración de las seguridades en el que el directivo distinguió varios hitos: la ponencia del director nacional de la compañía, Carlos Blanco, sobre la necesidad de converger la gestión de los riesgos en las empresas en el “II Encuentro Nacional de la Industria de la Seguridad en España (ENISE)” en 2008; la celebración de la primera edición del Seg2 en 2009; la incidencia del III ENISE, en octubre de ese mismo año, en el nuevo mo-delo de empresa de Seguridad; y la presente convocato-ria del II Seg2, tras el éxito de la primera.

A partir de este momento, “esperamos que la evolu-ción de la convergencia vaya mucho más rápido”, pro-nosticó Cañizares, y explicó que el motivo que le llevaba a pensar esto era la forma en que había evolucionado en los últimos años la seguridad de la información.

“En este terreno, la evolución ha sido más rápida que en el caso de la seguridad de la información”, afirmó. Es-pecialmente decisiva ha sido la Directiva 2008/114 de la UE, que, según Cañizares, “establece que la responsabi-lidad principal y última de proteger las infraestructuras críticas europeas corresponde al Estado y a los opera-dores de las mismas”. Por su parte, este año se ha elabo-rado un borrador de Real Decreto en el que se esta-blece que estructura crítica es aquélla “para la que no existe alternativa”, en palabras del directivo, y que ha de ser protegida frente a ataques deliberados de todo tipo, ya sean físicos o provenientes de Internet.

Jorge ArasánzDirector de Desarrollo de Negocio de la División de Empresas de Alcatel-Lucent

Ricardo CañizaresDirector de Consultoría de Eulen Seguridad

Seguridad basada en el usuario y ofrecida desde la Red

“La Red es la clave de la Seguridad”. Con esta afirma-ción resumió Jorge Arasánz, director de Desarrollo de Negocio de la División de Empresas de Alcatel-Lucent, uno de los patrocinadores del II Seg2, la visión con la que la firma pretende hacer frente a los diferentes retos que han surgido para las empresas a raíz de la tenden-cia actual hacia el trabajo en entornos distribuidos.

“En los últimos años, se ha producido una dispersión generalizada de los usuarios”, aseguró Arasánz, y se-ñaló una serie de razones para este fenómeno. En pri-mer lugar, las compañías, por motivos económicos, se han visto obligadas a reducir sus plantas “y a dispersar a su personal utilizando mecanismos como el teletra-bajo”. Igualmente, algunas empresas se han fusionado con otras radicadas en sitios diferentes y han ido apa-reciendo así distintas sedes. Al mismo tiempo, se han desarrollado nuevas formas de comunicación con el cliente, como los SMS o la interacción a través de redes sociales, y ha aparecido un nuevo perfil de usuario.

A todo esto hay que sumar la creciente tendencia ha-cia el cloud computing, “basado en multitud de escena-rios distribuidos”, comentó Arasánz, quien añadió que “no hay una única nube”, pues muchas entidades han creado su propia infraestructura virtual. Asimismo, fre-cuentemente las empresas externalizan algunos de sus servicios y aplicaciones, lo que hace que también se dis-perse la responsabilidad ante un fallo de seguridad.

Como consecuencia de todo esto, “al final, la infor-mación puede llegar a estar distribuida entre un mon-tón de sitios”, aseguró Arasánz. “¿Y cómo podemos pro-tegerla, teniendo en cuenta, además, que las amena-zas son cada vez más sofisticadas?” La solución, según el experto de Alcatel-Lucent, pasa por securizar la pro-pia red corporativa.

Jorge Arasánz apuesta por situar “en el corazón de aquello que tenemos que proteger” tres elementos fun-damentales: “las personas que trabajan en una compa-ñía, sus ideas, sus identidades; la forma en la que traba-jan, que son los procesos; y todo el conocimiento del que disponen, que es la información”. Estos tres elemen-tos se relacionan entre sí mediante la red de comunica-ciones, por lo que es posible protegerlos a través de ella.


Javier López-TelloDirector general de AlienVault

Javier OsunaJefe de la División de Consultoría, Seguridad y Procesos de GMV

La gestión de la continuidad pasa por la convergencia

“La gestión de la continuidad de negocio no entiende de departamentos, ni de seguridad física o lógica, sino que hace referencia a que la empresa pueda seguir tra-bajando”. Con esta afirmación, Javier Osuna García-Malo de Molina, jefe de la División de Consultoría, Seguridad y Procesos de GMV, compañía que respaldó este II Seg2 con su patrocinio, vinculó la gestión de la continuidad con el concepto de convergencia de las seguridades.

Osuna definió la gestión de la continuidad de negocio como “un proceso de gestión holístico que identifica las amenazas potenciales a las que se encuentra expuesta una organización, así como su impacto sobre las opera-ciones del negocio y que, en caso de que tales amena-zas se materialicen, proporciona un marco de “resiliencia” al hacer que dicha organización sea capaz de dar una res-puesta que salvaguarde los intereses de los stakeholders clave, la reputación, la marca y las actividades de creación de valor”. Aclaró que el término “resiliencia” hace referen-cia a la capacidad que tiene un material para, tras sufrir al-gún tipo de impacto, volver a su situación inicial de forma que se le siga reconociendo como tal.

Según Osuna, para gestionar correctamente la conti-nuidad, es necesario elaborar una buena política de con-tinuidad, para lo cual se han de seguir cinco pasos: deter-minar qué se pretende conseguir con dicha política; defi-nir la actividad a la que se dedica la organización; evaluar los riesgos; establecer las estrategias a poner en mar-cha en caso de incidente; desarrollar la capacidad de res-puesta de la organización; y verificar, mediante los planes de prueba, que la política de continuidad funciona e ir re-visándola y corrigiéndola.

Este profesional aseguró que en los últimos años se han sucedido una serie de cambios (evolución tecnoló-gica, normalización, externalización de servicios, etc.) que han hecho que surjan nuevas amenazas, “y el negocio, a fecha de hoy, no es lo suficientemente potente como para identificarlas”. No obstante, añadió que, a la hora de determinar el impacto que los distintos riesgos pueden tener sobre una organización, es más fácil hacerlo “a tra-vés del negocio que a través de sistemas, como la Segu-ridad. De ahí la necesidad de que las diversas partes de una compañía estén integradas”.

Una tecnología de correlación inteligente de eventos

“Dar inteligencia a la Seguridad Integral”. Éste es, según Javier López-Tello, director general de AlienVault, compa-ñía patrocinadora del encuentro, el objetivo de SIEM (Se-curity Information & Events Management), la tecnología de gestión de eventos que comercializa su compañía.

López-Tello explicó que en 2001, cuando empezaron a venderse los primeros sistemas de detección de intru-sos (IDS), éstos eran vistos como “la panacea de la segu-ridad”, pues se trataba de soluciones capaces de detec-tar cualquier tipo de ataque. No obstante, una vez que los IDS comenzaron a implantarse en las organizacio-nes, tanto los proveedores como los usuarios “nos di-mos cuenta de que era una tecnología que no alcan-zaba las expectativas que esperábamos”. Fue entonces cuando un grupo de ingenieros decidió desarrollar una herramienta basada en código abierto para dar inteli-gencia a esos IDS, con la idea de crear un motor de co-rrelación que hiciera ‘digeribles’ los resultados de esos sistemas. Surgió así el proyecto Open Source Security In-formation Management (OSSIM) de AlienVault.

Este economista aseguró que los sistemas SIEM permi-ten cumplir con los requerimientos normativos, ya que proporcionan análisis en tiempo real de cualquier tipo de amenaza o ataque, así como almacenamiento ma-sivo de logs, firmados digitalmente para poder utilizarlos como pruebas en procedimientos judiciales.

La solución SIEM que ofrece AlienVault está basada en un sensor que conecta los logs procedentes de las distintas tecnologías de seguridad o aplicaciones de negocio y donde se diferencian los eventos de seguri-dad de aquéllos que no lo son para enviar tan sólo los primeros al management server.

“A diferencia de otras soluciones SIEM que existen en el mercado, nosotros incorporamos además a nuestra herramienta todo un set de productos basados en open source que ofrecen tres tipos de servicios: monitoriza-ción, ejecución y auditoría”, explicó el director de la com-pañía. Y toda la información recogida por estas tecnolo-gías se envía al management server, “que lo que hace es darle inteligencia, correlacionar todos los logs, y, a través de unos cuadros de mando centralizados, permite a los operadores de seguridad gestionar las amenazas”, aclaró.


Luis Miguel García de la Oliva, subrayó que, hace cinco años, su compañía inició un camino diferente en Seguridad con Trustworthy Computing, “un cambio en el modo de elaborar el software, porque ahora cualquier duda lleva a parar la pro-ducción; la presencia de la Seguridad en la cadena de valor del producto es priori-taria”, señaló García. Al mismo tiempo, el directivo avistaba un paralelismo con lo que pretende el RD con las Administra-ciones. “Coincidimos en el fondo común de los textos, aunque falta saber cómo se va a llevar a cabo”, dijo.

Centrado en el ENS, Tomás Villalba, coronel jefe de la Oficina de Seguridad Communication Information System (CIS), valoró positivamente la prórroga de hasta tres años para todas las adminis-traciones. “Es un importante paso, pero muchos sistemas quedan fuera y debería ser más ambicioso para saber con garan-tía si se aplica o no el Esquema”, indicó.

Por su parte, Rosa García Ontoso, con-sultora de Sistemas de Información de la Agencia de Informática de la Comunidad de Madrid, incidió en el beneficio repor-tado por LOPD de cara a estos esque-mas: “La calidad de los datos afectará a todas las empresas, y desde una senten-cia del Tribunal Constitucional de 2000, se restringe en gran medida el traspaso de datos entre administraciones. Los da-tos se recogen con una finalidad y no se pueden emplear para otra”. S

ciento de las infraestructuras críticas de este país”.

Olof Sandstrom, presidente de la Co-misión de Seguridad de Asimelec, de-claró que el proyecto de RD de PIC no le ha gustado “ni por las exigencias de pre-supuesto, ni por las medidas que se es-tán pensando. Faltan muchísimos deta-lles en cuestiones como seguridad peri-metral, protección contra incendios, etc.”.

Sofía Moreno, responsable de la Se-cretaría de la Plataforma e-Sec de AETIC, opinó por contra que éste es un “buen punto de partida”, aunque no le queda claro cómo se van a convertir dichos textos en “una oportunidad real para la industria”. Su misión debe ser no sólo la de brindar servicios al ciudadano, sino también la de generar oportunidades de negocio a los proveedores TI, desde el punto de vista de AETIC.

Juan Antonio Gómez-Bule, cofunda-dor del Consejo Nacional Consultivo de CyberSeguridad (CNCCS), manifestó res-pecto a las oportunidades de negocio y al cambio de modelo productivo que “nos falta capacidad de acción y nos so-bra tutelaje. Nos falta el fomento de la tecnología nacional, que genere a la in-dustria mayores oportunidades”. Con-sideró también que la Administración no tiene que ser un ente opaco ni debe ocupar roles de la empresa privada.

El director de Estrategia de Plataforma, Seguridad y Privacidad de Microsoft,

M uy interesante. Éste fue el calificativo más pronun-ciado entre las butacas del

salón de actos de la División de Forma-ción y Perfeccionamiento del CNP sobre la mesa redonda “Reales Decretos del Esquema Nacional de Seguridad (ENS) y el Esquema Nacional de Interoperabi-lidad (ENI) en el ámbito de la Adminis-tración Electrónica; y el futuro Real De-creto sobre Protección de Infraestruc-turas Críticas (PIC) y su repercusión en la convergencia”, que estuvo moderado por Marcos Gómez, subdirector de Pro-gramas de Inteco.

Javier Candau, jefe de Área de Políti-cas y Servicios del Centro Criptológico Nacional (CCN), que ha participado ac-tivamente en la redacción de este Real Decreto (RD) del ENS, explicó que la norma “establece un marco completo de servicios básicos que debe implan-tar la Administración, en el que muchos sistemas actuarán como soporte de es-tos servicios”.

Gianluca D’Antonio, director de Se-guridad de la Información de FCC, con-sideró, sin embargo, que el todavía bo-rrador (al cierre de este número) del RD sobre Protección de Infraestructuras Críticas contiene errores, entre los que destacó que “sólo aparece una cláusula en la que se reconoce que el sector pri-vado puede participar con voz, pero sin voto, a pesar de representar el 80 por

Reales Decretos: buen punto de partida a falta de mayor concreción

La convergencia, presente y decisiva en el ideario de las ... · de este encuentro, como en 2009, ha sido el mayor peso específico de las prácticas reales, de casos de éxito de

Documents