Las actuales amenazas a las que se ve sometido el sector financiero son una realidad a la que las entidades, públicas y privadas, deben hacer frente. La irrupción de nuevas tecnologías y nuevos métodos de ataque contra esta organizaciones pone de manifiesto la necesidad de estar preparados para un nuevo escenario regulatorio y de prevención con más ciberseguridad frente a ciberataques. En este contexto, tuvo lugar el 11º Congreso PICSE (Protección de Infraestructuras Críticas y Servicios Esenciales), organizado por la Fundación Borredá. Como ediciones anteriores, esta edición reunió a destacados profesionales vinculados con las infraestructuras críticas y los servicios esenciales.
La presentación del Congreso corrió a cargo de César Álvarez, coordinador de Proyectos de la Fundación Borredá, y Ana Borredá, presidenta de la Fundación Borredá, quienes dieron la bienvenida y fueron los encargados de dar paso a la primera intervención de la jornada.
La ciberseguridad con la transposición de la normativa europea
La jornada PICSE abordó el horizonte normativo y estratégico al que tendrán que hacer las infraestructuras críticas de aquí a los próximos meses.
Marina Rodríguez, jefa de la Unidad de Ciberseguridad y Lucha contra la Desinformación del Departamento de Seguridad Nacional, planteó cómo España dispone de un nivel de ciberseguridad «bastante aceptable», destacando cómo los mayores esfuerzos que ha hecho la Administración «no van dirigidos a definir el ordenamiento, sino a avanzar y mejorar el modelo de gobernanza». Puso de manifiesto cómo «la hiperactividad europea es patente en materia de ciberseguridad» y cómo se está planteando un fondo de ciberemergencia. Además, Rodríguez también comentó que el Reglamento Europeo de Ciberresiliencia centra la atención en la vulnerabilidad que tienen todos los productos, tanto a nivel técnic, como de diseño. Desde el punto de vista de la ciudadanía, Rodríguez alertó de la necesidad de «trabajar en políticas de autoprotección». Además, puso de manifiesto que «La falta de talento es un problema, así como la falta de unidad sobre los perfiles concretos que van a ser necesarios» en materia de ciberseguridad.
Álvaro de Losada Torres-Quevedo, jefe de la Oficina de Coordinación de Ciberseguridad, dependiente del Ministerio del Interior, habló del proceso de transposición de la Directiva NIS2 al ordenamiento español. Losada explicó que «esta directiva ha generado una enorme expectativa porque viene a cambiar el tablero de juego, tanto por la incorporación de nuevos sectores como por la propia definición de entidades esenciales, lo que va a aumentar mucho el número de sujetos obligados», comentó. Adelantó, además, cuáles van a ser los pilares fundamentales sobre el acuerdo de gobernanza: «la creación de un organismo superior que sea la autoridad competente en materia de ciberseguridad con capacidad decisoria, pero no ejecutiva; un nivel intermedio de autoridad, que hará labores ejecutivas; las denominadas autoridades de control, cuya labor recaerá sobre quienes ya las tengan, y, además, se contará con la participación colaborativa de las autoridades sectoriales y de las comunidades autónomas».
Por su parte, Ángel Flores, jefe del Servicio de Inteligencia y Coordinación de CNPIC, abordó el horizonte normativo de las entidades críticas y adelantó parte del argumentario que recoge el proyecto de ley que traspondrá la Directiva Europea sobre Resiliencia (Directiva CER). Flores señaló que, si bien el contenido es prácticamente el mismo, a diferencia de la anterior directiva, «ahora sí va a haber un régimen sancionador». Indicó, además, que «llevará aparejado un desarrollo reglamentario que ponga luz en cada uno de los artículos que se centran en esta ley de resiliencia en entidades críticas». La tarea asignada al CNPIC será «el desarrollo de una estrategia nacional de protección de resiliencia de las entidades críticas, la realización de una evaluación nacional de amenazas y riesgos para todos los sectores estratégicos, y la elaboración de un plan de protección y resiliencia de las entidades críticas», comentó.
A continuación, tomó la palabra Javier Candau, adjunto al subdirector general del Centro Criptológico Nacional, quien explicó cómo estaba estructurada la Directiva NIS2 y cómo esta consta de entidades consideradas «esenciales» y entidades «importantes». Candau también hizo referencia al Esquema Nacional de Seguridad, a la Red Nacional de SOC y a la plataforma nacional de notificación y seguimiento de ciberincidentes. Además, el experto comentó diversas medidas de ciberdefensa activa, herramientas fundamentales para conseguir que España se convierta «en un objetivo difícil de atacar», concluyó.
En último lugar, tomó la palabra Juan D. Peláez, responsable de Sector Financiero y TIC de INCIBE, quien explicó las labores que realizan desde su organismo, entre las que se encuentra prestar apoyo a la ciudadanía a través de herramientas como la Oficina de Seguridad del Internauta, Internet Segura for Kids o Incibe-Cert. Comentó que este último cuenta con planes específicos para sectores estratégicos como el financiero, que buscan reducir la cifra de los 58.000 ciudadanos víctimas de incidentes en materia de ciberberseguridad. Peláez puso de manifiesto cómo el volumen de incidentes en esta materia aumenta año tras año. El experto finalizó su intervención hablando del Reglamento Europeo DORA, que tiene como objetivo «mejorar la resiliencia operativa y la ciberseguridad en el sector financiero», específicamente en relación con los riesgos relacionados con las tecnologías de la información y la comunicación.
Otros paneles y ponencias del congreso
Además, el congreso PICSE, que estaba especialmente dedicado al sector financiero, ahondó en la evolución del sistema de protección de infraestructuras críticas; en el papel del dinero en efectivo como servicio esencial; y en las diferentes amenazas en el sector financiero como, en concreto, el fraude, la cadena de suministro, las amenazas internas, las amenazas persistentes avanzadas y los ataques a cajeros automáticos.
Soluciones y tecnologías de seguridad para las entidades críticas
El 11º Congreso PICSE contó con un panel dedicado a soluciones y tecnologías de seguridad, por parte de tres de los patrocinadores del evento: Prosegur, Eulen Seguridad y Scati.
Prosegur: Soluciones de seguridad adaptadas
Begoña Villar Pérez, gerente de Consultoría de Seguridad de Prosegur Security, destacó que su empresa ofrece distintas soluciones para distintos clientes. Prosegur cuenta con un porfolio muy amplio de servicios, entre los que incluyen la protección de datos, los planes de seguridad de medicamentos, las auditorías de seguridad, las gestiones de emergencia y seguridad ciudadana… Tal y como destacó Begoña Vilar, los pilares de su trabajo son tres: personas, datos y tecnología.
Durante su intervención, enfatizó las labores realizadas bajo el paraguas del programa Hybrid Security, «que es una estrategia de seguridad adaptable, evolutiva y predictiva que se adapta a cada cliente y cada entorno». Vilar refirió que, cuando abordan un nuevo proyecto, lo hacen «en tres fases». En la primera, se reúnen con el cliente y organizan e identifican todas las necesidades de la empresa. La siguiente etapa consistiría en la programación, el trabajo de campo y el análisis de riesgos. Finalmente, se entregarían los planes de acción y se revisarían con el cliente para ver si están satisfechos todos los requerimientos. En este sentido, «Prosegur se precia de trabajar en distintas áreas en el sector financiero, tanto en seguridad en banca como en los data center», destacó Vilar.
Scati: La importancia de la integración de tecnologías
Por su parte, Antonio Polo, sales director de EMEA & SEA de Scati, hizo hincapié en la necesidad de compartir conocimiento. Polo explicó que Scati desarrolla plataformas propias de integración de sistemas, videovigilancia y control de accesos con la última tecnología en inteligencia artificial y gestión del big data. De esta manera, los usuarios sacan el máximo provecho a sus sistemas, con los máximos estándares de IT y ciberseguridad. Este experto se refirió específicamente a infraestructuras críticas financieras, de las que dijo que poseen activos fundamentales y, por ello, son una víctima cada vez más vulnerable. «Las empresas no solo padecen amenazas físicas, sino también cibernéticas», sentenció.
Los ataques del entorno ciber pueden ser desde ransonware dirigidas a bases de datos financieras hasta phishing o vulnerabilidades de sistemas conectados a la nube. En cuanto al entorno físico, las empresas se pueden encontrar con malas praxis de empleados, accesos no autorizados, destrucción de material, etc. Por ello aseguro: «es tan importante la interoperabilidad, ya que garantiza la interacción entre sistemas de seguridad y la compartición de datos, que unifica la gestión, permite establecer el flujo de trabajo y, sobre todo, facilita la colaboración entre diferentes áreas».
Eulen Seguridad: La gestión de riesgos de la cadena de suministro
El último ponente de este panel fue Daniel Osihe Adams, responsable de Consultoría de Eulen Seguridad, el cual aportó datos de los peligros a los que se enfrentan las empresas y recalcó que la tecnología ha ampliado la superficie de ataque, por lo que hay que estar más preparados. Durante su intervención, el responsable de Eulen recalcó que «la ciberseguridad en la cadena de suministro, terceras partes o proveedores está adquiriendo una importancia cada vez más creciente como parte de la resiliencia del propio negocio».
La intervención de Osihe tuvo como eje central el control de la cadena de suministro. Según los últimos estudios, casi todas las empresas (83%) están muy preocupadas por la seguridad de sus proveedores, y en tres de cada cinco organizaciones existen proveedores externos que impactan en su nivel de ciberseguridad.
Para minimizar los riesgos que pueden acarrear los problemas que atraen los servicios externos, desde Eulen Seguridad proponen una serie de medidas tales como la implicación de la alta dirección con la definición, la aprobación, la asignación de recursos o la supervisión de un programa de seguridad en línea con la criticidad de los servicios externos prestados. Como ejemplo, comentó la necesidad de poner en marcha una metodología de gestión de riesgos efectiva con terceros, de tal manera que las partes implicadas en el servicio no aumenten el riesgo.
Archivado en: