La vigésimo tercera edición de Respuestas SIC emplazó, en sus ediciones de Barcelona y Madrid, a alrededor de 250 profesionales los pasados 1 y 3 de octubre, respectivamente, con el propósito de debatir sobre la protección y gestión segura de las aplicaciones corporativas. En este escenario se analizaron las implicaciones en ámbitos tradicionales, web, nube y movilidad; y se intentó dar respuesta a interrogantes sobre la asunción de seguridad en los desarrollos de software, los controles de seguridad adecuados, más allá de la criticidad, y los límites efectivos de política corporativa; además de constatar la necesidad de integradores con alto nivel de experiencia y consultores altamente especializados.
Sesión de Madrid
Las aplicaciones corporativas, que manejan información de la organización y datos personales, son uno de los objetivos principales de los modernos ciberataques y las nuevas amenazas. Y ello afecta tanto a las desarrolladas en casa, como a las hechas por encargo o las de terceros, ya que llevan aparejados diferentes riesgos de seguridad en su desarrollo, puesta en explotación y uso, los cuales intentan controlarse desde el lado normativo, procedimental y técnico. Sobre esta problemática giró la última convocatoria de Respuestas SIC, que llevó por título “Gestión segura y protección de las aplicaciones corporativas”.
Sesión de Barcelona
El inicio del evento estuvo a cargo de Jorge López Hernández-Ardieta, Responsable CRG (CyberSecurity Research Group) de Indra, quien, en su conferencia sobre “Aplicaciones corporativas: gestión segura y protección en los entornos de hoy”, precisó contundentemente que “sin un software seguro una organización está perdida. Estamos en una situación insostenible en el corto y medio plazo; de manera que es imprescindible un cambio de rumbo drástico”.
Partiendo de los datos extraídos de un estudio de la universidad Carnegie Mellon, según el cual más el 90% de los incidentes de seguridad tienen su origen en defectos de software ya conocidos, el ponente planteó cuatro asuntos clave: de qué soluciones se dispone para producir software más seguro; si podemos alcanzar niveles de garantía de seguridad en el software de terceros; qué retos introducen los nuevos escenarios como movilidad o computación en la nube, y qué podemos hacer para abordarlos; y qué puede aportar un ciberSOC a este escenario. En este último punto, el ponente propuso “incorporar en el SOC capacidades avanzadas que aporten valor en la mejora de la seguridad de las aplicaciones, lo que implica un concepto de SOC distinto al tradicional”.
Además, Hernández-Ardieta comentó que los esfuerzos para mejorar la calidad del software no deberían limitarse exclusivamente al considerado como crítico, debido a la interdependencia de todos los sistemas; al tiempo que valoró la mejora gradual en los procesos de software, donde abogar por una mayor seguridad en la cadena de suministro, un análisis del código, una mayor inversión en I+D+i, y una mayor simplicidad de las aplicaciones.
Representantes de la industria
Tras esta primera intervención, y ya en el segundo bloque de la jornada, tomaron la palabra los representantes de las 6 compañías patrocinadoras del evento, quienes desde sus específicas parcelas tecnológicas mostraron cómo resolver la problemática que competencialmente están en disposición de afrontar. Concretamente participaron Daniel Medianero, responsable de producto de Buguroo; Raúl Flores, Field System Engineer Leader para Iberia (sesión de Madrid) y Salvador del Real, Field System Engineer (sesión de Barcelona) de F5 Networks; Samuel Bonete, Ingeniero Senior de Sistemas, de Fortinet; Jesús Vega, Director Regional de Ventas para Iberia, de Imperva; Daniel Arnanz, consultor preventa de Symantec; y Tomás Lara, Director Regional de Ventas para Iberia de Trend Micro.
De sus intervenciones se extrajeron diversas conclusiones de valor como fueron las de propugnar la vuelta a circunscribir la realidad al activo que realmente se quiere proteger en las compañías: la información y el dato; no dejar de considerar la seguridad como un proceso en vez de como elementos independientes, y volver la mirada de forma mucho más pormenorizada al mundo de la aplicación, más allá de la red y el servidor. Sobre la Internet de las cosas, se apuntó hacia su resolución adaptando la tecnología utilizada en grandes entornos a los ámbitos domésticos y de usuario. Igualmente, se consideró imprescindible tener en mente el componente de negocio pues no en vano, como dijo el representante de Imperva, Jesús Vega “todos estamos aquí para únicamente dos cosas: ganar dinero o ahorrar dinero”.
En el tercer bloque, donde se enmarcó el debate sobre la visión de los usuarios, escenarios actuales, limitaciones y necesidades futuras, participaron los siguientes profesionales de dos grandes compañías: Raúl Medel, Responsable del Departamento de Seguridad Corporativa y CISO de Línea Directa Aseguradora; y José Ramón Monleón, Gerente de Seguridad de la Información Corporativa de Orange España.
El primero recalcó la importancia de una idea: la creatividad del CISO. En su opinión, “el CISO sigue ganando peso, pero aún no tanto como el CIO. Y la clave para este ascenso es la creatividad. Ha de ser creativo, porque aunque haya una cláusula contractual que impele a pagar 2 millones de euros a un usuario que roba los datos corporativos, al final se quedará en nada, porque el usuario no tiene ese dinero”.
Para José Ramón Monleón el cambio fundamental ha de pasar por acercarse más al negocio, para, después, empezar a preocuparse más por las aplicaciones. “Aún la parte técnica y la de negocio ven la seguridad de las aplicaciones de un modo distinto, pero tenemos que hacer un esfuerzo por acercar posiciones”.
Sobre la nube, Medel se mostró cauteloso con exportar a este entorno los datos corporativos; mientras que Monleón habló de la ventaja de tener nube propia –modelo por el que ha optado su compañía–, “donde al utilizar nuestras propias aplicaciones podemos de verdad dar garantías de protección al cliente”.
En el turno de preguntas, ambos intervinientes manifestaron contar con una política de desarrollo seguro de software y prestar especial atención a la formación en seguridad del usuario final. Expresaron su acuerdo sobre la utilidad de las herramientas existentes en el mercado, pero también dejaron constancia de la necesidad de contar con un socio que realmente ayude en la evolución, “porque ahora son estas herramientas, pero en el futuro serán otras; de manera que hay que hacer también un trabajo importante de creatividad en ver qué se necesita, cómo se hace la implantación adecuada y cómo se paga la inversión”, como matizaba el responsable de Orange España.
Preguntados también por el papel de integradores y consultores, sobre los primeros sí destacaron su vital aportación -al menos aquellos de probada experiencia- en la acometida del proyecto, “para luego quedarse ya la empresa con el mantenimiento y la administración” (Raúl Medel); mientras que, sobre los segundos, Monleón esgrimió una lanza a favor de los consultores especializados de alto nivel.
Finalmente, emplazaron la seguridad de las aplicaciones a su incorporación de serie en su desarrollo, “para poder dejar así espacio libre para reforzar la protección en otras esferas sin perder tanto tiempo en la seguridad asociada a la definición de la aplicación en sí”.