La seguridad TIC fue abordada profusamente duramente la jornada. Miguel Rego, director general del Instituto Nacional de Ciberseguridad (Incibe), explicó el funcionamiento y las capacidades del CERTSI, órgano de los ministerios de Interior e Industria que presta servicios de respuesta a ciberincidentes a los sectores estratégicos.

 

Curiosamente, esclareció Rego, de las miles de solicitudes de ayuda que recibió el CERTSI en 2014, sólo el uno por ciento correspondió a infraestructuras críticas. Un porcentaje que podría parecer insignificante: sin embargo, apuntó, “al tratarse de grandes empresas, en este caso se cambia el ratio de cantidad por el de calidad”.Tras destacar las principales capacidades del CERT de Seguridad e Industria, Miguel Rego avanzó algunos de los proyectos que llevará a cabo durante 2015: la elaboración de un Esquema Nacional de Ciberseguridad Industrial, la puesta en marcha de un laboratorio SCADA Test Bed de pruebas gratuitas, el desarrollo de un servicio de alerta temprana para ofrecer atención sobre vulnerabilidades 0-day, impulsar la formación especializada en ciberseguridad y concienciar de la importancia de esta última a los directivos de las compañías.

 

Al hilo de ese apunte, Carlos Olea, director de Seguridad Operativa de Telefónica, hizo hincapié en que la protección de las organizaciones empresariales no sólo ha de basarse en las soluciones disponibles. Bajo su punto de vista, tan importantes como ellas lo son las “actitudes” de quienes las gestionan.Asimismo, reflexionó sobre la ausencia, de manera generalizada, de un enfoque integral de la seguridad en las compañías, asunto que consideró un reto a resolver. Para lograrlo, señaló al Esquema Nacional de Seguridad como herramienta de gran utilidad y animó a seguir fomentando la colaboración público-privada.Algo secundado por Andreu Bravo, subdirector de Seguridad de la Información y Ciberseguridad de Gas Natural Fenosa, quien se refirió a la coordinación de la empresa con órganos como el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) o el Incibe “para resolver incidentes a través del intercambio de datos”.

 

Entre las medidas implementadas, Bravo explicó que su compañía cuenta con un SOC de infraestructuras críticas, “orientado a la protección de las personas y los activos y a situaciones de alarma”, y con una Unidad de Inteligencia de Seguridad creada para identificar riesgos y amenazas tempranas antes de los incidentes y servir de apoyo en la toma de decisiones.A continuación, Olga Jesús Sánchez, gerente de Seguridad de la Información de CaixaBank, fue de la misma opinión al considerar vital la colaboración, pero no sólo con los organismos de la Administración, sino también entre organizaciones. “Nos estamos jugando la seguridad de las empresas, pero hay una debilidad importante en el hecho de que no existe una comunicación clara. Debemos saber qué está pasando para poner medidas preventivas por si nos toca a nosotros. En este sentido, en España falta colaboración”, se lamentó.

 

Por último, Rafael Pedrera, jefe de la Oficina de Coordinación Cibernética (OCC) impulsada por la Secretaría de Estado de Seguridad, explicó la misión de este órgano técnico: “Desarrollar mecanismos de coordinación de respuesta ante un ciberincidente que recaiga en los ámbitos competenciales de Interior y enlazar con el CERTSI, para establecer la respuesta técnica apropiada, y con la unidad tecnológica de las Fuerzas y Cuerpos de Seguridad del Estado con el objetivo de iniciar la investigación y persecución del delito”.

 

Entre las actividades de la OCC destacan la realización de ciberejercicios o el despliegue de operativos para la protección de las TIC en acontecimientos relevantes como la proclamación del rey Felipe VI.