En este momento, me viene a la mente el comentario que Miguel Ángel Alarios, Presidente de la Real Academia de Ciencias Físicas, Químicas y Matemáticas, hizo en su presentación en la Conferencia Anual de ISA España (que tuve el honor de clausurar). Decía Miguel Ángel desde su humildad, que él siempre intentaba dar charlas, cursos, etc. para tener la oportunidad de aprender en los turnos de preguntas y ruedas de debate, de todos los asistentes, alumnos, etc.

No puedo estar más de acuerdo. Para mí una de las experiencias más enriquecedoras son las discusiones, debates e intercambio de conocimiento, experiencias y opiniones que habitualmente ocurren en estos eventos, tras las presentaciones, en mesas redondas y también, como no, en los momentos de “relax” delante de unas cervezas, cafés o lo que tercie.

Pues bien, a modo de resumen, quiero compartir con vosotros algunas notas, tal cuál, es decir, como las tomé en su momento, que pueden convertirse fácilmente en conclusiones de muchos de los eventos que os he mencionado y que pueden ser semilla de relexiones mucho más profundas y, con suerte, de nuevos debates y discusiones en los que todos aprendamos unos de otros.

Aquí las tenéis:

– Se tiene constancia de ataques a sistemas SCADA desde 1982, sin embargo, hoy en día estos ataques comienzan a ser públicos en los medios de comunicación y el número de actores interesados en los mismos (por distintas causas) es infinitamente mayor.

– No debes basar tu seguridad en un único punto, medida o capa de protección. Debes utilizar el paradigma de la Defensa en Profundidad para controlar cada uno de los puntos de fallo de tu organización.

– La seguridad a través de la oscuridad, ya no funciona. Necesitamos “ojos”, sensores y medios para saber qué está ocurriendo en nuestra organización, pero también en el mercado, en la tecnología, en los protocolos…

– No podemos separar la Ciberseguridad (security) y la Seguridad Física (safety). Es necesaria una integración entre ambas y existen distintas iniciativas al respecto como el Consorcio LOGIIC o el Grupo de Trabajo 7 de ISA99, por ejemplo.

– A la pregunta de ¿cómo empezar en estos ámbitos?, una de las respuestas válidas podría ser, comprendiendo tu negocio y realizando una aproximación de análisis de riesgos.

– Son necesarias organizacionas a nivel nacional que desarrollen una labor adecuada para mejorar el nivel de protección del país y promuevan el conocimiento necesario en el mundo de la Ciberseguridad Industrial.

– La siguiente generación de sistemas SCADA deberían incluir capacidades de monitorización de Ciberseguridad, y no sólo las correspondientes a aspectos funcionales y operacionales, como lo hacen en la actualidad.

– Las Smart Grid y la Internet de las Cosas (Internet of Things) son dos de los mayores retos en Ciberseguridad e integración a los que nos enfrentamos en el futuro próximo.

– Los usuarios finales deben exigir a sus proveedores requisitos de Ciberseguridad. La Ciberseguridad nunca más es ya una opción, sino una obligación para todos nosotros.

– Por tanto, la Ciberseguridad es un factor que debemos exigir a todos los fabricantes en el diseño de sus dispositivos industriales.

– Los fabricantes de sistemas industriales, de forma general y por ahora, son los grandes ausentes en todos los eventos y encuentros relacionados con la Ciberseguridad Industrial. ¿Por qué? ¿Es una estrategia de comunicación? ¿Quién será el primero en dar un paso firme y público?

– El conocimiento de los ataques ha de ser la base para establecer las defensas.

– La disponibilidad e integridad prevalecen sobre la confidencialidad en los entornos industriales. Hasta ahora, parecía claro que la Disponibilidad era el factor clave, si bien Eric Byres, está introduciendo recientemente su posición, defendiendo que es realmente la Integridad el factor predominante en estos entornos.

– Ninguna solución puntual es infalible y si es tecnológica, aún menos

– Las buenas prácticas y estándares en Ciberseguridad Industrial son esenciales, pero no suficientes.

– Aunque incluido en la mayor parte de normativas y buenas prácticas, pocas empresas realizan monitorización continua de sus redes y ciberseguridad.

– La tecnología de los sistemas industriales, originalmente propietaria, ha evolucionado. Sin embargo, sus usarios, NO.

– La Ciberseguridad sigue en los sótanos de las empresas y les cuesta llegar a las áreas de negocio y de dirección.

– La Formación y Concienciación son aspectos clave en estos momentos para mejorar la situación en lo que a Ciberseguridad Industrial se refiere.

– Algunos de los aspectos clave de una estrategia de ciberseguridad (también industrial), son la cooperación internacional, la existencia de un plan de acción y el respaldo político y económico.

– La Ciberseguridad es como una orquesta: si queremos escuchar una música agradable y armoniosa, y no un ejercicio de dodecafonismo, necesitaremos contar con los distintos instrumentos que la integran (iniciativas, grupos, organismos, actores, etc.) y que todos sigan una partitura común que enfatice sus fortalezas, siempre dirigidos y coordinados por un actor que tenga la partitura global adecuada.

– El Cumplimiento en muchos casos, se convierte en un acto de Cumplo y Miento (cortesía de Javier Larrañeta ;)). Cumplir una ley o una normativa de seguridad no quiere decir, ni es lo mismo, que estar seguro o protegido.

– La Colaboración P9 es totalmente necesaria: Public-Private-Partnership + Public-Public-Partnership + Private-Private-Partnership

Se me quedan muchas cosas en el tintero, pero sirvan estas como germen de nuevas discusiones y comentarios que nos permitan mejorar el nivel de la Ciberseguridad. Recordad, la Ciberseguridad es un compromiso de todos.

Cuando empecé a acercarme a este campo, lo primero que descubrí es que no existía ningún tipo de contenido o documento publicado en Internet en nuestro idioma (español), por lo que comencé a estudiar el contenido existente en inglés (proveniente principalmente de Estados Unidos). Esto me llevó a familiarizarme con los términos de SCADA Security (Seguridad SCADA) o ICS Security (Industrial Control System Security, Seguridad de los Sistemas de Control Industrial) que aún hoy en día son los más utilizados.

De forma natural, inicialmente comencé a utilizar esos términos en español cuando me refería a los aspectos más técnicos o tecnológicos.  De hecho, incluso años después, el primer taller que trató estos temas en España, que impartimos en el marco del 1er Encuentro Internacional CIIP organizado por el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas), lo denominamos así: Taller sobre Seguridad en Productos y Sistemas de Supervisión y Control Industrial (SCADA).

Sin embargo, desde el principio he pensado (como ya lo hacía en el ámbito corporativo) que un enfoque meramente tecnológico es insuficiente y, sin duda, los términos “Seguridad SCADA” (recordemos que SCADA significa Supervisory Control And Data Acquisition) o “Seguridad de los Sistemas de Control Industrial”,  hacen referencia únicamente a un subconjunto, sistema o conjuntos de sistemas de una infraestructura industrial, con una aproximación principalmente tecnológica. ¿Dónde quedan las perspectivas de Procesos y Personas, en estos términos?

En mi opinión, estos términos no están siempre utilizándose de forma correcta, sino que son referenciados de forma general (y equivocada) ante cualquier noticia, artículo o contenido que tenga algo que ver son la Seguridad Lógica (o Ciberseguridad) en los entornos industriales.

¿Cómo denominar entonces este campo? La primera aproximación lógica podría ser utilizar el término Seguridad Industrial. Sin embargo a aquellos que conozcan bien el sector industrial y su terminología, no les sorprenderá el hecho de que la utilización de este término supondría una ambigüedad total y causa de mal entendidos en el mundo de la planta, producción o fabricación, ya que “Seguridad Industrial” lleva ya años utilizándose para hacer referencia a la gestión de los riesgos, principalmente físicos, laborales y medioambientales, en el sector industrial. Al tratarse de un término muy arraigado, en parte debido a la importante normativa de obligado cumplimiento en la prevención de riesgos laborales, el utilizarlo para los aspectos “ciber” no haría si no, confundir a los profesionales industriales ya familiarizados con el uso existente del mismo. Es interesante señalar que este problema no existe en el mundo anglosajón, ya que en inglés se puede utilizar el término safety para referirse a la seguridad de las personas físicas y la palabra security para denominar a la seguridad lógica y de la información. Sin embargo, en castellano necesitamos incorporar algún término que ayude a realizar esta distinción.

Tras analizar y conocer en detalle las distintas posibilidades, y la importancia que las perspectivas de los Procesos y las Personas (además de la Tecnología) tienen en el sector industrial (como así lo reconocen las nuevas revisiones, aún en borrador, por ejemplo de ISA 99), decidimos comenzar a utilizar públicamente (en nuestros trabajos internos ya lo utilizábamos y con algunos clientes, tímidamente ;)) el término de Ciberseguridad Industrial.

Creemos que este término es mucho más correcto para definir las prácticas, procesos y técnicas necesarios para proteger de forma adecuada las infraestructuras industriales de las ciber-amenazas. De igual forma que en el ámbito corporativo se fue evolucionando de la seguridad informática, a la seguridad de la información (information security primero y information assurance, después) y finalmente al concepto de Ciberseguridad, creemos que en al ámbito industrial cuando se quiere hacer referencia al alcance global de su protección, debería utilizarse el término Ciberseguridad Industrial.

Durante los últimos meses he tenido la oportunidad de compartir estas ideas y aproximaciones con profesionales dedicados a estos temas en nuestro país (algunos de ellos competidores, y sin embargo amigos, verdad Elyo ;)) y con otros muchos a nivel internacional (entre los que se encuentran Eric Byres, sobradamente conocido, o Auke Austria o Annemarie Zielstra del CPNI.NL), y todos coinciden en que, efectivamente, el término Ciberseguridad Industrial (Industrial Cyber Security, en inglés) es el más correcto para hacer referencia a esa globalidad.

Nosotros llevamos tiempo utilizándolo. En lo que llevamos de año hemos impartido y participado en diversos cursos y eventos que suman más de 500 asistentes del ámbito industrial (incluyendo las 3 ediciones de nuestro Curso de Ciberseguridad Industrial, la Conferencia Anual de ISA o los Wonderday de Wonderware, entre otros), en los que hemos utilizado y presentado nuestro concepto de la Ciberseguridad Industrial con muy buena aceptación. Os invitamos a que vosotros comencéis a utilizarlo correctamente a partir de ahora.

La Ciberseguridad Industrial tiene un alcance mucho mayor que la Seguridad SCADA o la Seguridad de los Sistemas de Control Industrial, incluyendo las perspectivas de Procesos, Personas y Tecnologías para la protección de las organizaciones e infraestructuras industriales. Por ello, que mejor forma de finalizar este artículo que con mi propuesta de definición de la Ciberseguridad Industrial:

Ciberseguridad Industrial es el conjunto de prácticas, procesos y tecnologías, diseñadas para gestionar el riesgo del ciberespacio derivado del uso, procesamiento, almacenamiento y transmisión de información utilizada en las organizaciones e infraestructuras industriales, utilizando las perspectivas de personas, procesos y tecnologías.

Nota importante: todo lo comentado en este artículo es fruto del trabajo en equipo realizado durante todos estos años con mis amigos y además compañeros Nacho Paredes y José Valiente.

En primer lugar, los asistentes. Finalmente fueron 36 personas las que pudieron asistir al curso (lamento aquellos que os tuvisteis que quedar en lista de espera) que representaron a las principales compañías industriales de nuestro país, especialmente aquellas del ámbito energético. Esto no hace sino confirmar que, en efecto, el sector más maduro en lo que respecta a la Ciberseguridad Industrial probablemente es el energético (o quizás el que más normativas de obligado cumplimiento tiene y quienes primero están siendo notificados en nuestro país por el CNPIC, Centro Nacional de Protección de Infraestructuras Críticas). CEPSA, Enagás, Endesa, Iberdrola o Repsol entre otros, y distintas Centrales Nucleares, estuvieron representados.

Pero también tuvimos la suerte de enriquecer aún más el grupo con fabricantes (como Yokogawa), ingenierías (como Técncas Reunidas, la mayor ingeniería de nuestro país y la quinta del mundo), certificadoras (como Applus) o proveedores de servicios de seguridad (como S21sec). Un grupo multidisciplinar que hizo que pronto surgiese el debate según se iba avanzando en el contenido y a medida que los trabajos en grupo se iban desarrollando.

Momentos álgidos fueron cuando Nacho Paredes mostró ejemplos de Sistemas de Control Industrial vulnerables y accesibles públicamente desde Internet y sin duda la defensa que al final del segundo día, cada grupo de trabajo tuvo que realizar ante el resto del foro, de su presentación a la alta dirección del Plan de Ciberseguridad Industrial que fueron desarrollando durante los dos días.

La competencia fue “feroz” y cada grupo valoró al resto en base a la calidad de la información presentada y su adecuada comunicación. Finalmente los ganadores fueron los representantes del sector nuclear con una excelente presentación en la forma y en el fondo. Se notó su experiencia para defender estos aspectos ante la alta dirección. ¿El premio sorpresa? Unas botellas de vino “personalizadas” identificándolos como ganadores del Primer Curso de Ciberseguridad Industrial

Esto nos sirvió como aperitivo para la cena que ese día organizamos (y que el fabricante de dispositivos de seguridad Sourcefire tuvo a bien patrocinar) y que nos permitió establecer lazos personales más cercanos (aunque los trabajos en equipo y los debates ya habían propiciado ese contacto personal, tan importante).

Finalmente llegó el momento esperado de comprobar el último día, cómo todo lo que habíamos estado describiendo podía llevarse a cabo  de forma real en un entorno controlado basado en la maqueta que preparamos para las pruebas.

Tras introducir distintas herramientas y métodos de análisis y ataque, llegó el momento del nuevo reto, en este caso, hacking ¿Quién sería el primero en vulnerar el sistema saltándose los firewalls, pasando por la red corporativa y llegando a la red industrial para activar la sirena, el ventilador y hacer caer la bola del mundo?

Fue muy ameno comprobar cómo los distintos participantes lograban vulnerar unos y otros dispositivos, pero no acababan de recabar toda la información necesaria para llegar al objetivo. Finalmente el ganador que logró activar la sirena, el ventilador y hacer caer la bola del mundo fue el CISO de Técnicas Reunidas quien se llevó otra botellita personalizada

La percepción y valoraciones del curso por todos los asistentes ha sido muy positiva, habiendo recibido numerosas felicitaciones por su parte. Mi opinión es que el alto nivel y variedad de los asistentes, unido a la oportunidad de colaborar y trabajar en equipo, junto con los debates promovidos por las distintas cuestiones planteadas han hecho que el aprendizaje en el curso haya sido elevado de manera importante. De hecho así comenzaba mi presentación del curso: anticipando que todos los asistentes al mismo (tanto profesores como alumnos) aprenderíamos mucho los unos de los otros si lográbamos compartir nuestras experiencias, opiniones y percepciones. Finalmente fue así y creo que este primer grupo ha sido un claro ejemplo de colaboración y compartición de información.

Ahora, como habíamos convenido, sólo nos queda crear el foro de discusión e intercambio de información “Ciberseguridad Industrial Alumni”  para que todos esos debates e intercambios iniciados en el curso, tengan su continuidad y puedan convertirse en un espacio colaborativo enriquecedor para todos.

Ya para finalizar, para aquellos que os quedasteis en lista de espera del anterior y para los que me estáis preguntando cuándo habrá nuevas convocatorias, estoy encantado de comunicaros que ya hemos fijado dos nuevas ubicaciones para impartir el Curso en Junio. Los lugares y fechas serán los siguientes:

– Gijón: 12 al 14 de Junio
– Madrid: 20 al 22 de Junio

En pocos días publicaremos ya la información detallada sobre cada convocatoria, formulario de inscripción … y alguna novedad que queremos incluir, que esperamos que os resulte de interés. Mientras tanto si queréis manifestar ya vuestro interés en asistir e ir reservando plaza, podéis hacerlo directamente con un email a mi dirección (samuel.linares [at] gmail [dot] com).

Más detalles en breve!

Pues bien, gracias a ISA (International Society of Automation), durante los próximos 14, 15 y 16 de Febrero, se celebrará en Madrid el Primer Curso de Ciberseguridad en Entornos Industriales y Protección de Infraestructuras Críticas que se imparte en nuestro país.

A continuación incluyo los detalles del mismo (podéis inscribiros aquí: http://www.isa-spain.org/actividad.asp?id=216).

RESUMEN

Las Infraestructuras Críticas son aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas. Por tanto cada vez más su adecuada Protección no sólo se hace necesaria, sino obligatoria a raíz de la publicación de numerosos marcos regulatorios y directivas internacionales a lo largo de todo el planeta.

Analizar y comprender el riesgo asociado a estas infraestructuras y su relación básica con los Sistemas de Control Industrial es necesario para cualquier profesional de la seguridad involucrado o relacionado con áreas como las TIC, energía, industria química y nuclear, sistemas financieros y tributarios, alimentación o transporte, entre otros.

Este taller llevará a los participantes a través del estudio del estado del arte de la Protección de Infraestructuras Críticas y la Ciberseguridad en Entornos Industriales en todo el mundo, tanto en lo que a legislación y normativa se refiere, como a los estándares, iniciativas, marcos de gestión y tecnologías aplicables, consiguiendo así una visión global de la gestión de la seguridad en este tipo de organizaciones que permita al final del día establecer claramente los siguientes pasos a seguir para asegurar una correcta supervisión, gestión e implantación de las medidas necesarias adecuadas.

Después de completar este taller el asistente podrá:

1. Identificar y definir los conceptos de Ciberseguridad en Sistemas de Control Industrial e Protección de Infraestructuras Críticas, sus definiciones y relaciones, analizando los riesgos e impacto en el negocio y en nuestras vidas,  desde las distintas perspectivas de cumplimiento, tecnológicas y de seguridad.
2. Descubrir y analizar el estado del arte de la Protección de Infraestructuras Críticas a nivel internacional (USA y Canadá, Latinoamérica, Europa) en cuanto a regulaciones, iniciativas, estándares, sectores, organizaciones, metodologías, etc.
3. Detectar y analizar la situación actual de la Seguridad en el Sector Industrial y las amenazas y vulnerabilidades de los Sistemas de Control Industrial reconociendo su riesgo asociado.
4. Discutir aspectos organizacionales y de gestión importantes: Director de TI vs. Director de Seguridad vs. Director de Planta vs. Director de Producción/Fabricación. Diseñar y proponer un marco de gestión adecuado en las Infraestructuras Críticas y Entornos Industriales
5. Identificar, describir y adoptar marcos y estándares aplicables en estos entornos: ISA 99, ISO 27001, BS 25999, NIST SP 800-82, etc.
6. Establecer, implementar y adoptar un Programa de Seguridad de los Sistemas de Control Industrial y Diseñar un Plan de Seguridad y Protección de la Infraestructura Crítica.

CONTENIDO DETALLADO

El taller seguirá una metodología participativa de forma que todos los asistentes, mediante la discusión, puesta en común y trabajo en equipo, tengan la oportunidad de asimilar, retener y aplicar más efectivamente los conocimientos adquiridos durante la sesión.

De forma general el contenido de la misma será el siguiente:

1. Introducción. Descripción de la situación socio económica actual y el impacto que la Protección de Infraestructuras Críticas y la Seguridad en Entornos Industriales (o la falta de ellas) puede tener en nuestras vidas, personales y profesionales, en nuestras organizaciones y en nuestros países. (20 min)
2. Términos y Conceptos. Definición e identificación de los distintos términos y conceptos claves: infraestructura crítica, infraestructura estratégica, servicios esenciales, sectores afectados, operadores críticos, plan de seguridad del operador, plan específico de protección, sistemas de control industrial, informática industrial, etc. (30 min)
3. Estado del arte internacional de la Protección de Infraestructuras Críticas: Estados Unidos y Canadá, Latinoamérica y Europa). Revisión del estado de este campo en los distintos países, incluyendo regulaciones, leyes, directivas, iniciativas, sectores, organizaciones sectoriales, grupos de trabajo y estándares. (60 min)
4. Relación entre Protección de Infraestructuras Críticas y Ciberseguridad en Sistemas de Control Industrial: entendiendo el riesgo. Análisis del enlace entre el entorno industrial, el corporativo y su impacto en las organizaciones clave para la supervivencia de un país. Análisis en detalle de un caso práctico: Stuxnet. (60 min). Trabajo en grupos para el análisis de Stuxnet y búsqueda de posibles analogías en distintos entornos (financiero, energético, telecomunicaciones, etc. uno por grupo). (20 min)
5. Aproximación a los Sistemas de Control Industrial. Aspectos básicos de los sistemas de control. Definiciones y explicación de conceptos y componentes claves: SCADA, DCS, RTU, IED, PLC, HMI, FEP, PCS, DCS, EMS, sensores, comunicaciones, wireless (radio, Wifi, microondas, celulares), protocolos (ModBus, ProfiBus OPC, etc.) y capas de red. (60 min). Trabajo en equipo: identificación en grupos de los distintos elementos de un sistema de control sobre documentación proporcionada (15 min)
6. Vulnerabilidades y Amenazas de los Sistemas de Control. El perímetro. Vectores de ataque (líneas de comunicación, accesos remotos y módems, accesos de fabricantes, conexiones a bases de datos, manipulaciones del sistema, etc.). Análisis y contramedidas. (60 min). Trabajo en equipo: análisis de un caso práctico e identificación de vulnerabilidades y contramedidas a adoptar (30 min)
7. Situación Actual de la Ciberseguridad en los Entornos Industriales. Estudio de la tendencia hacia la convergencia entre los sistemas industriales y los corporativos (o de TI tradicional). Resultados de algunos estudios. Ejemplos y casos reales de convergencia y proyectos de convergencia. Análisis de los hechos: “imaginemos un mundo donde un simple resfriado pudiese matarnos: bienvenido al mundo de los sistemas industriales”. Análisis de la seguridad de los sistemas industriales. Regreso al futuro: la seguridad en los sistemas industriales. Algunos casos reales propios sobre problemas de seguridad en los entornos industriales. (60 min)
8. Aspectos Organizacionales y de gestión: Director de TI vs. Director de Seguridad vs. Director de Planta vs. Director de Producción/Fabricación. Aspectos humanos de la seguridad en entornos industriales y protección de infraestructuras críticas. Estudio de distintas alternativas de organización. (30 min).
9. Diagnóstico de la Seguridad en Entornos Industriales. Análisis y puesta en común del diagnóstico de la Seguridad en Entornos Industriales (visión del usuario, del fabricante, de la organización, de las ingenierías, etc.). Siguientes pasos. (30 min). Discusión pública y puesta en común entre los asistentes (15 min).
10. Estándares Aplicables. Descripción general y aplicación en estos casos de ISA 99, ISO 27001, BS 25999, NIST SP 800-82, NERC CIP Standards, etc. (90 min)
11. Recomendaciones y Siguientes Pasos: Estableciendo un Programa de Seguridad de Sistemas de Control Industrial. Diseño de un plan de seguridad y protección de la infraestructura crítica. Estructura. Contenido. Aproximación práctica. (90 min). Trabajo en equipo: análisis de un caso práctico y desarrollo esquema/contenido mínimo de un Plan de Seguridad/Protección. “Role-play” presentación a Dirección del Programa de Ciberseguridad Entorno industrial o Protección Infraestructuras Crítica (120 min)
12. Taller Práctico HOL “Hands On Lab” (360 min). Objetivos:
a. Comprender y aplicar los conceptos relaciones con el diseño de redes seguroas
b. Descubrir y analizar vulnerabilidades en sistemas de control
c. Desarrollar y aplicar estrategias y técnicas de defensa

Este taller permitirá a los asistentes experimentar las dos caras de la Ciberseguridad de los Sistemas de Control:
– Un atacante intentando tomar el control del sistema
– Un gestor intentando defender el sistema de control

Durante los ejercicios, los asistentes serán capaces de identificar componentes vulnerables en la infraestructura del sistema de control, identificar cuáles sería los principales vectores de amenaza y desarrollar las estrategias de mitigación más adecuadas. Para conseguir estos, loa sistentes aprenderán a utilizar aplicaciones software estándares relacionadas con la seguridad como tcpdup/wireshark, OpenVAS o Metasploit, entre otros.

AGENDA

FORMADORES

Samuel Linares
Samuel Linares es Director de Servicios TI y Seguridad de Intermark Tecnologías, Experto Evaluador de la Comisión Europea y Gerente del Equipo de Seguridad M45 del Cluster TIC de Asturias. Con más de 16 años de experiencia en seguridad, integración de sistemas y dirección de proyectos, lidera y ha creado los servicios de Seguridad y TI ofrecidos por Intermark Tecnologías y anteriormente de Tecnocom, una de las 3 mayores compañías del sector TIC en España, implementando numerosas soluciones de seguridad en clientes, desde planes directores de seguridad, auditorías o hacking éticos, hasta diseños de arquitecturas de red y servicios seguras. Cuenta en su haber con varias certificaciones como CRISC (Certified in Risk and Information Systems Control), CGEIT (Certified in Governance of Enterprise IT), CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CISSP (Certified Information Systems Security Professional), GIAC Systems and Network Auditor (GSNA), GIAC Assessing Wireless Networks (GAWN), BS 25999 Lead Auditor, BS 7799 Lead Auditor por BSI (British Standards Institution) desde 2002, NetAsq CNE y CNA, Juniper JNCIA-FW, Checkpoint CCSA y CCSE o Sun SCNA y SCSA, entre otras. Samuel es Ingeniero Técnico en Informática por la Universidad de Oviedo, Experto Universitario en Protección de Datos por el Real Centro Universitario Escorial Maria Cristina y Davara&Davara y en la actualidad está cursando el Grado de Psicología en la Universitat Oberta de Catalunya.

Ignacio Paredes
Ingeniero Superior en Informática y actualmente trabaja como consultor de seguridad de la información en Intermark Tecnologías. Desde el año 1999 ha desarrollado su carrera profesional involucrado en proyectos de tecnologías de la información y telecomunicaciones para empresas de distintos sectores (telecomunicaciones, industria, logística, ingeniería, administración pública). Es experto en el diseño e implantación de soluciones de seguridad tanto a nivel físico y lógico como organizativo. Con amplia experiencia en campos como el diseño seguro de redes, hackings éticos, la seguridad en entornos industriales, la seguridad en aplicaciones, planes de continuidad del negocio, la implantación de sistemas de gestión de la seguridad ISO 27001, gestión y tratamiento de riesgos.
Entre otras, posee las certificaciones CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CRISC (Certified in Risk and Information Systems Control), CISSP (Certified Information Systems Security Professional), PMP (Project management Professional), GIAC Systems and Network Auditor (GSNA), GIAC Assessing Wireless Networks (GAWN), ISO 27001 (BS 7799) Lead Auditor por BSI (British Standards Institution), EC-Council Certified Ethical Hacker, NetAsq CNE y CNA, Sun SCNA y Sun SCSA.

José Valiente
Diplomado en Informática de Gestión por la Universidad Pontificia de Comillas, es Especialista en Consultoría Tecnológica y de Seguridad.  Con más de 15 años de experiencia trabajando en Consultoras como Davinci Consulting y Tecnocom en  proyectos de Seguridad y TI para Gran Cuenta y Administración Pública. Cuenta con múltiples certificaciones de soluciones de fabricantes de seguridad y TI (Cisco CCNA y CCDA, System Security Mcafee,  Security Specialist Juniper, Websense Certified Enginer, F5 Bigip Specialist y Radware certified security Specialist)
Actualmente es Gerente de Seguridad en Intermark Tecnologías y experto en la dirección de proyectos para gran cuenta y administración pública. Dirige proyectos de implantación de SGSIs en compañías del IBEX 35 y administración pública, con equipos de trabajo de alta capacitación en seguridad y cuenta con amplios conocimientos en ITIL y PMI, impartiendo formación a empresas del sector financiero y administración pública.

Francisco Uría
Licenciado en Derecho por la Universidad de Oviedo. Experto en Derecho de las Tecnologías de la Información y Comunicación, así como en Seguridad de la Información y Protección de Datos, desempeña en la actualidad las funciones de Consultor Legal dentro de la Dirección de Servicios de TI y Seguridad de Intermark Tecnologías. Además, es ISO 27001 Lead Auditor por BSI (British Standards Institution) y Especialista en Contratación Informática por el Real Centro Universitario de El Escorial.
Actualmente, es también el Responsable del Servicio de Gestión de Órganos de Gobierno de Gobertia Gestión del Conocimiento y Secretario de Consejos de Administración de las empresas de Grupo Intermark.

LUGAR

El curso tendrá lugar en MADRID:
Hotel Meliá Avenida América – C/ Juan Ignacio Luca de Tena, 36
Transporte Urbano: Autobús 146, salida Plaza del Callao y Autobús 114, salida desde Terminal Avenida de América

COSTE

El coste del curso será (I.V.A. INCLUIDO):
– Miembros ISA: 850 euros
– No miembros ISA: 1000 euros
– Sección Estudiantes: 200 euros

Nota: Como bonificación a los no miembros de ISA, se incluye dentro del costo del curso su inscripción gratuita por un año a ISA (costo normal: 100 euros aproximadamente)
Los estudiantes deberán hacer las inscripciones a través de la Sección de Estudiantes de ISA España a la que estén suscritos.
El coste comprende los gastos de impartición del curso, comidas, cafés, y documentación.
Los asistentes deberán llevar un ordenador personal el tercer día.

Esperamos que tenga muy buena acogida y satisfaga vuestras expectativas. Os esperamos a todos en Febrero!!!

Si estuviéseis interesados en organizar alguna otra convocatoria en otras fechas, lugares o “in company”, ponte en contacto conmigo

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Hoy se ha celebrado en Barcelona el workshop “Industrial Control Systems Security” en el que los participantes en el estudio hemos discutido el borrador del mismo y consensuado los contenidos que aparecerán en su versión final. El workshop ha sido todo un éxito, tanto en su organización como en su participación con más de 40 expertos de distintos países y organizaciones (usuarios finales, integradores, fabricantes, universidades, centros de investigación) discutiendo sobre este tema de tanto interés.

Aunque no quiero adelantar su contenido hasta su publicación oficial, sí podemos decir que el mismo se ha basado en el envío de encuestas a más de 100 expertos europeos, entrevistas personales con más de 20 (entre los que tengo el orgullo de encontrarme) y el estudio del estado del arte, publicaciones, estándares, etc. existentes a nivel no sólo europeo, sino también internacional.

El resultado, un entregable excelente con un contenido de mucho valor que resume fielmente la situación existente en este ámbito y una serie de recomendaciones para Europa y los Estados Miembros. Vayan desde aquí mis felicitaciones al equipo de ENISA y de S21Sec que lo han desarrollado y cómo no, también para todos los “stakeholders” que hemos participado en el mismo.

Mencionaré únicamente como adelanto la recomendaciones generales que hace el estudio en su actual estado de borrador (ya las he ido adelantando hoy en mi twitter):

– Recomendación 1: Creación de Estrategias Nacionales y Paneuropeas de Seguridad de los Sistemas de Control Indutrial (SCI en adelante)

– Recomendación 2: Creación de Guías de Buenas Prácticas para la Seguridad de los SCI

– Recomendación 3: Creación de Plantillas de Planes de Seguridad de SCI

– Recomendación 4: Aumentar la Concienciación y Formación

– Recomendación 5: Creación de un “test-bed” común, o alternativamente, una Certificación de Seguridad de SCI

– Recomendación 6: Creación de CERTs de SCI Nacionales

– Recomendación 7: Aumentar la Investigación en Seguridad de SCI, mejorando los Programas de Investigación existentes

Dicho esto, una de mis conclusiones personales es que, en este campo, en cuanto a iniciativas, política, organización, investigación, etc., Europa está al menos 5 años por detrás de Estados Unidos, y que España está al menos 5 años por detrás de Europa, y por tanto, mi impresión es que España está al menos 10 años por detrás de Estados Unidos. Una década es mucho tiempo, pero creo que no lograremos equipararnos al mismo nivel antes, sinceramente. Ojalá me equivoque…

En cualquier caso, creo que iniciativas como esta deben ser el comienzo de un largo camino hacia la mejora de la seguridad en este ámbito, tan necesaria si queremos contar con la competitividad que todos predicamos en los últimos tiempos.

Dejadme lanzar una pregunta al aire: ¿Por qué no se organiza en nuestro país un grupo de trabajo de especialistas en este ámbito de igual forma, aunque sea informalmente? Todos somos competidores, pero estoy seguro que podemos ser colaboradores en muchos casos…. ¿o vivo en el país de los pájaros y flores?

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Entre ellos podéis acceder a la ponencia que tuve oportunidad de impartir: “Regreso al Futuro: La Seguridad en los Entornos Industriales”. Si quereis ir directamente a la ponencia, escoged el capítulo 7 (Samuel Linares Fernández).

Que la disfrutéis!

Exagerando un poco, permitidme una analogía bastante sencilla.  Ante una epidemia, una enfermedad, les decimos a la gente cómo prevenirse, qué deben hacer, etc. además de darles medicinas. La situación actual en cuanto a pérdida de información es similar a una epidemia. Basta repasar algunos números: en 2005 (no me atrevo a poner los datos actuales porque ya estos me marean…), 250 millones de personas en USA perdieron o les fue robada información personal sensible. El coste de gestionar este éxodo de información fue estimado en unos 55 billones de dólares (billón arriba billón abajo ).

La gente sigue facilitando su información porque creen que están haciendo lo correcto, muchas veces colaborando con personas (que les están engañando), otras publicando información personal en redes sociales sin ser conscientes de las implicaciones que todo esto tiene, etc.

Necesitamos un antibiótico para esta epidemia y por supuesto, educar a las personas para evitar el contagio (se está fallando en ambos puntos). Estamos asistiendo a una auténtica pandemia de la información y no estamos abordando correctamente (a veces ni lo abordamos) el principal problema o punto débil en la situación: las personas.

En mi opinión, las compañías deben evaluar su nivel de conciencia(ción) de seguridad: ¿cómo de bien saben proteger los empleados la información sensible de la compañía? (y la suya propia, por supuesto). Deberíamos compartir esta reflexión con muchos de los responsables y directores de organizaciones, pero también con los propios usuarios “de a pie”. ¿Todo el mundo es consciente que lo que está publicando en Facebook (o en este blog) tiene la misma privacidad que si lo pusiese en el muro de su calle…. Si por su calle pasasen varios cientos de millones de personas?

La respuesta, en el caso de las organizaciones, pasa por elaborar e implantar un Programa de Conciencia(ción) en Seguridad. Crear una programa así no supone descubrimientos científicos, ni ciencia ficción: no deja de ser marketing. Si un empleado no ve valor en el contenido de la información que se le proporciona entonces, ¿por qué hacerle caso, y mucho menos seguir sus indicaciones? Es extremadamente importante que las iniciativas, acciones e información que se desarrolle  y promueva tenga aplicación en sus vidas personales (evitar virus en sus casas, información en redes sociales, mensajería instantánea, acceso a cuentas bancarias por internet, etc.). Lo que hagamos debe ser aplicable a su vida personal y esa será la única forma de tener cierto éxito en nuestra labor.

El Programa de Conciencia(ción) debe ser continuo y visto como un valor importante de la compañía por la dirección y los empleados. Debemos identificar canales de comunicación adecuados como intranet, correo, panfletos, posters/carteles, podcasts, vídeos, etc.: Debemos intentar transmitir el mismo concepto 7 veces de 7 formas distintas.

Concluyo ya resumiendo lo que para mí serían los tres pilares base y clave de mi visión de la Conciencia(ción) en Seguridad:

• – Diles lo que vas a decirles. Díselo, y después diles lo que les dijiste.
• – La concienciación (awareness) es una responsabilidad individual y un esfuerzo de equipo.
• – ¡Comunica, comunica y comunica!

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

Por iniciativa de cuatro empresas asturianas, despegará el proceso de constitución del comité regional de itSMF España, comunidad mundial de referencia para compartir prácticas en el gobierno y gestión de servicios de las Tecnologías de la Información (TI). Este comité asturiano nace con varios objetivos: ser la referencia local en la gestión de servicios de TI, difundir conocimientos especializados en la región y conectar Asturias con los líderes mundiales en gestión informática.

Las empresas asturianas promotoras de esta iniciativa son ProactivaNET®, única herramienta española de gestión integral de servicios de TI, Intermark Tecnologías, especializada en consultoría en gobierno de TI y dos compañías punteras en la gestión de TI: Central  Lechera Asturiana (CAPSA) y Duro Felguera.

Uno de los primeros objetivos de este comité será incorporar nuevos participantes. Están invitadas a participar especialmente, aquellas organizaciones que quieran extender el concepto de excelencia empresarial al ámbito de las nuevas tecnologías y además incorporar las nuevas prácticas recomendadas por los expertos internacionales de itSMF. Alejandro Castro, coordinador del grupo de interés y futuro comité regional de itSMF España afirma: “este comité aspira a ser la referencia local en el gobierno y gestión de las TIC a través de un foro especializado en el que poder compartir información, experiencias, mejores prácticas y casos prácticos con las empresas de referencia a nivel internacional”. Con la creación de este comité se pretende también proporcionar más recursos a los profesionales de la región para mejorar su capacitación, acercando a Asturias todo tipo de actividades de formación o de intercambio de conocimiento relacionadas con la gestión de servicios de TI. Asimismo, podrán formar parte activamente en los foros y mesas de debate organizados por itSMF España con profesionales que están liderando la evolución internacional de las TI.

La presentación oficial del grupo de interés y el lanzamiento de la constitución del comité tendrá lugar en el V Congreso Nacional itSMF España los días 15 y 16 de noviembre en Madrid, donde se presentará el proyecto y las actividades planificadas para el año 2011.

Aún no me sigues en twitter? (@infosecmanblog): http://twitter.com/infosecmanblog

• Transferencia internacional de datos.

• Soberanía.

• Preservación de datos de tráfico – Law Enforcement.

• Evidencias.

Creo que por su contenido puede ser un congreso muy interesante. Es un aforo limitado a 200 personas por lo que si estáis interesados en asistir debería reservaros ya una plaza,

El Lugar: Auditorio de la Secretaría de Estado para las Telecomunicaciones (SETSI) Madrid. C/ Capitán Haya Nº41

La Fecha: 20/10/2010

PROGRAMA PROVISIONAL

• 09:00 – 09:30 Recepción de asistentes y acreditaciones

• 09.30 – 09.45 Apertura institucional

• 09.45 – 10:05 Tendencias cloud

• 10.05 – 10:25 Aspectos legales

• 10.25 – 10:45 Gestión de la Seguridad

• 11:00 – 11.30 Coffee

• 11:30 – 12:15 Experiencias en la nube

• 12:15 – 14:15 Soluciones de nube

• 14:15 – 14.30 Clausura Institucional

• 14:30 – 15:30 Cocktail & Networking

• 15:30 – 18:30 Talleres técnicos

Más información aquí.

Canal Twitter: http://twitter.com/nubetic; tag: #nubeTIC