red seguridad 075

actualidad tecnológica noticias 30 red seguridad cuarto trimestre 2016 especial Van der Heide añadió que en Tailandia no suelen darse casos de malware tan sofisticado como en otros países, sin embargo, las vulnerabilidades son enormes. "La gente no tiene un ordena- dor, pero utiliza su teléfono móvil para realizar operaciones bancarias. Esto es un problema si se tiene en cuenta que los fabricantes casi nunca sacan actua- lizaciones", lamentó. Freddy Bautista, jefe del Centro Cibernético Policial en Policía Nacional de Colombia, explicó que la aprobación del ColCERT se produjo después de que el presidente del país recibiera "un hackeo de sus comunicaciones". A partir de entonces, el país latinoame- ricano elaboró una política nacional de seguridad tecnológica dependiente del Ministerio de Defensa. No obstante, en los últimos años "se ha visto la necesi- dad de abrir más este asunto y ahora el Ministerio de Tecnología está adqui- riendo un mayor protagonismo". No en vano, el país suramericano está promo- viendo "un modelo más colaborativo y más incluyente" para hacer frente a las amenazas en la Red. En cuanto a las principales cibera- menazas para la sociedad colombiana destacó tres: el ransomware , la suplan- tación de identidad en correos electró- nicos y los falsos antivirus. Finalmente, Lino Santos, coordinador de Operaciones del Portuguese National Cybersecurity Center, sostuvo que "no existe una varita mágica para hacer frente a las amenazas", por lo que la mejor estrategia "debería ser aumentar la madurez de los equipos de respuesta". Santos puso además en valor la colaboración de los CERT nacionales con otros centros de carácter privado. Es el caso de Portugal, donde existe un memorando de colaboración en su red de CERT y donde se ha creado un grupo informal para el intercambio de información entre entidades. También existe un grupo más pequeño "para desarrollar aplicaciones y generar herramientas útiles para esta comuni- dad", concluyó. Directiva NIS La recientemente aprobada Directiva NIS volvió a la palestra durante la segunda jornada, esta vez para dedi- carle una mesa redonda. Lo primero que se puso en claro es que se trata de una norma que establece unos míni- mos comunes a todos los países de la Unión Europea a la hora de proteger sus redes y sistemas de información. Pero además, también "va a permi- tir que muchas compañías tengan la misma seguridad", lo que implica "que tengan que invertir en soluciones de este tipo", consideró Alejandro Ramos, director de seguridad de la Información de Telefónica. Para este profesional, la Directiva va a requerir, no obstan- te, "muchos profesionales de ciber- seguridad", por lo que España debe encontrar "verdaderos expertos" que sepan cómo utilizar las tecnologías de protección de la Red. No se mostró convencido, sin embar- go, en el beneficio que supondrá para las empresas compartir los incidentes que sufran –la Directiva NIS obliga a ello–. "Habrá mucha información, pero a partir de los seis meses vamos a saber qué le pasa a todo el mundo", sentenció. Para Alfonso López-Escobar, res- ponsable de Seguridad Lógica de EMASESA, la Directiva NIS es "más una oportunidad que un desafío". Por un lado, plantea retos como conse- guir la convergencia de seguridades, encontrar la forma de dotar a los opera- dores de recursos y medios para prote- gerse, la singularidades de cada país o las interconexiones entre los diferentes proveedores con los que cuentan los operadores críticos. Pero, por otro, López-Escobar apun- tó oportunidades como el estableci- miento de criterios comunes y metodo- logías de análisis de riesgos, la gene- ración de confianza digital entre las compañías que colaboren entre sí o la creación de negocio. Por su parte, Antonio Simón Martínez, responsable de Seguridad Informática de Metro de Madrid, mostró sus dudas sobre si las transposiciones nacionales serán equivalentes y si habrá un mismo nivel de exigencia a los operadores críticos en todos los países de la Unión Europea. Martínez también planteó sus dudas respecto al modelo que se esta- blecerá para que las organizaciones notifiquen los incidentes de cibersegu- ridad que sufran y cómo se aplicarán las sanciones. Infraestructuras críticas Pero si en algo ha avanzado España en los últimos años que ahora recoge la Directiva NIS es en la protección integral de sus servicios esenciales. El director del CNPIC, Fernando Sánchez, intervino para enumerar los principa- les cambios que ha experimentado el Plan Nacional de Protección de Infraestructuras Críticas (PNPIC), tras su revisión este año. Entre ellas, des- tacó la inclusión por primera vez de la ciberseguridad en un documento de estas características (la primera versión del PNPIC se aprobó en 2007, antes que la Ley y el Reglamento PIC), así como la consideración de los ope- radores críticos como partícipes del sistema de seguridad nacional en el plano operativo. Por otro lado, Sánchez avanzó que el organismo que dirige está traba- jando en el reporte de incidentes y, en ese sentido, el PNPIC establece cinco niveles de incidentes, depen- diendo de su gravedad. Cuando se trata de eventos de nivel 1 o 2, no es necesario comunicarlos, pero cuando alcanzan un grado superior los operadores han de informar de ello. Además, "el CERTSI tiene un La mesa de los CERT internacionales contó con la participación de especialistas de Italia, Colombia, Portugal y Tailandia.