Idioma: Español
Fecha: Subida: 2023-03-28T00:00:00+02:00
Duración: 1h 08m 39s
Lugar: Espinardo - Facultad de Informática - Salón de Actos
Lugar: Mesa redonda
Visitas: 776 visitas

CyberCamp UMU

Mesa redonda: Retos de la ciberseguridad en el siglo XXI

Descripción

CyberCamp es el evento referente para el desarrollo de la ciberseguridad y de la confianza digital de la ciudadanía y las entidades creado por el Instituto Nacional de Ciberseguridad de España (INCIBE). Desde 2014, CyberCamp se ha consolidado como una gran iniciativa gratuita para todos los públicos que ha promovido la cultura de la ciberseguridad a través de diferentes encuentros multitudinarios.

Transcripción (generada automáticamente)

Muy buenas tardes. Pasamos a la siguiente mesa redonda, como decía, el reto de ciberseguridad en el siglo XXI; en este caso; y enlazando con lo último que comentaba Antonio y lo que hemos ido viendo a lo largo de las distintas ponencias de la mañana; la ciberseguridad comprende distintos ámbitos, distintos tipos de actuaciones, y en esta mesa redonda, pues vamos a contar aquí con; tenemos la suerte de contar con un grupo de expertos de reconocido prestigio y yo te encantado de poder estar aquí junto con ello y poder aprender, y vamos a ver cómo decía distinto a temática y distinta problemática vista desde distintas perspectivas. En primer lugar, vamos a contar con el consumo de Abogacía. Dónde nos va a hablar en este caso, de perspectiva o retos que presenta la identidad y la privacidad? Nuestra sociedad, y quizá en este caso desde un punto de vista jurídico, después, pasaremos a Pablo López, el jefe del área de normativa y servicios de ciberseguridad del Centro Criptológico Nacional, donde en este caso no va a hablar del esquema nacional de seguridad, y el impacto en las administraciones como sirve de palanca tractora para para la ciberseguridad, a continuación, tendremos a Francisco Jesús Montserrat, en este caso, nos habla desde su perspectiva, estando en reír y dentro del equipo de Iris ser de los distintos incidentes que se enfrenta a una red nacional como las de revivir, y que posteriormente nos explicará qué es, y, por último, abordando otra perspectiva, en este caso la de las redes móviles, pues veremos aspectos de seguridad con a Aitor Ibargüen, de responsable en este caso de tecnología, de red de Euskadi; y más un placer ternero. Aquí con vosotros Muchas gracias por aceptar nuestro ofrecimiento a participar en esta mesa y, como vamos mal tiempo, pues vamos a pasar con el primer ponente, en este caso, con Samuel Parra, hace una breve descripción de cada 1 de ellos, porque el currículum de cada 1 de ellos impresionante y solo darle unas pinceladas, vale, en este caso Samuel Parra, abogado especialista en derecho tecnológico en el ámbito de la protección de datos personales, la privacidad y la transparencia en las administraciones públicas y la defensa jurídica en asuntos penales y civiles con componente tecnológico vale, Samuel Eto'o muy buenas tardes. Bueno, quiero comenzar agradeciendo a los organizadores que me hayan dado la oportunidad de compartir con vosotros unas cuantas reflexiones en el entorno de la ciberseguridad, la identidad y bueno manifiesta, que es para mí un honor y un lujo poder estar aquí hoy, y dirigirme además a algún foro tan excepcional como como el de hoy componentes. Además de prestigio, he compartido reflexiones muy rápidas, pero no quiero agotar mucho el tiempo del que disponga, porque creo que lo interesante es el debate que puede surgir después. Voy a compartir 2 reflexiones. 2 retos, 2 problemas que quiero yo que llegará muy pronto si estoy aquí desde mi perspectiva personal, es decir yo esto ya lo estoy casi empezando a intuir a nivel profesional y bueno pues quería compartir esto. Primero es lo que yo considero, que puede llamarse el robo de identidad digital, y cuando usó la palabra robo. Me refiero al concepto jurídico, si me es el código penal. Veréis que para que alguien pueda robar algo hace falta que lo que se apodere de él, que lo coja eso a día de hoy, coger apoderarse de la identidad digital parece que no es posible, es decir, yo no puedo coger identidad digital de alguien que esa identidad no está físicamente en el sitio, y ni siquiera tampoco a nivel informático. Yo no puedo copiar obligar a la identidad digital. Eso quizás sucede dentro de muchos años, pero a raíz de una normativa que están creando Francia me sugiera el siguiente. En Francia han aprobado está a punto de aprobarse ya una ley que va a prohibir el acceso a los menores de edad, a las plataformas de contenido pornográfico. Me diréis que eso es lo primero y bueno sí pero lo que va a hacer Francia y Francia y sé que son los primeros en el mundo, ese para obligar a las plataformas de contenido, pornográfico a acreditar la edad de la persona que accede; es decir, no va a ser suficiente con poner un banner que diga si mayor edad, botón, grandes rojos y pequeño, pero no vas a tener que preguntarle de verdad la edad, y no solamente al uso registrado, que sería quizá lo sencillo, sino también era susurro anónimo. Ese usuario, que quiere consumir 10 minutos o 2 de contenido ya y va a querer de exigir y la consecuencia de las plataformas que no lo hagan es que se va a impedir el acceso desde Francia a esas plataformas, Estados Unidos, República Checa, Francia, se bloqueará el acceso directamente. Esas plataformas no implementen un sistema y que verifiquen cómo se va a hacer esto de forma técnica. El Gobierno francés no lo ha concretado, están trabajando en ello y si se sabe que va a utilizar tecnología muy similar a la que existe actualmente, en la cual nosotros algunas empresas por ejemplo más conocida es Yotti. Nosotros, mediante una superación, ningún Cádiz inicial recaban una mínima información; nuestra a través de documentos oficiales como lo quieran hacer; al final nos dan una pequeña identidad digital nuestra que nos dice eso no mayor de edad si yo no, y eres o no de un país concreto; España cuando hemos conseguido superar este dice a través de su aplicación y estrella que persigue Francia cuando queremos acceder a una plataforma de este tipo al cargar la página web de contenido, pornográfico, lo que veremos nada más entrar para todo el mundo es un código QR. Ese código con tu aplicación a la que antes esa aplicación que sabe que el propietario del teléfono, por ejemplo, es su mayor edad, es el código QR. La plataforma le preguntará a la aplicación. Esta persona es mayor edad y responderá si yo no sé que si se abre el contenido se queda. No sea esa leyenda que persigue. Lo que pasa es que quieren ir más allá. La Unión Europea está trabajando ya una cosa que se llama la identidad digital europea, donde no solamente va a estar la edad, sino que va a haber muchos más elementos, muchos algunos obligatorios y otra que podemos incluir de manera voluntaria de la comunidad autónoma autónoma. Eres quieres pedir la subvención, que es solamente disponible para murcianos; tu identidad digital europea le dirá a esa plataforma de subvención si solo Murcia quieren que les prepara una beca que solo está disponible para lo que tengan titulado informática; tu identidad digital europea te dirá. Le dirá. A esa empresa privada esta ejecución pública, si tienes o no el título, y aquí ya no hablamos de una mini identidad digital, que sabe nuestra edad, sino que será una identidad mucho más completa. Si eres una propietaria de un número de teléfono, si es propietario de la cuenta de Twitter, Si me mi correo electrónico lo que queramos imaginar, y eso está haciendo eso ya se está construyendo. Cuando esto culmine, el robo de identidad digital será factible porque será posible robar apoderarse de los sistemas que contienen nuestra identidad digital y hacer lo que a cada 1 se podía imaginar con ella, y no me estoy decidiendo la suplantación de identidad, que eso es algo clásico ahora que por cierto, entrenamiento jurídico ni siquiera lo contempla penalmente, es un apoderamiento de identidad digital que ahora mismo quizá no se perciba porque no existe, pero si tira en breve la segunda reflexión que quiera compartir es el asunto de la privacidad o de la protección de datos personales. En entornos de inspector artificial. Tengo que merecen la normalmente me estoy refiriendo a modelos de interior artificial, basados en el lenguaje, tipo chatbot, con mucha gente las que no sabéis. Me imagino que si ahora mismo nuestra normativa de protección de datos nos otorga una serie de derechos a todos nosotros, por ejemplo, el derecho que se conoce como de acceso, que nos permite poder exigirle a una empresa que nos informe de qué información tienen nuestra personal o incluso el origen de esos datos, lo podamos preguntar a Telefónica Vodafone, diga qué datos tiene, míos y cómo. Las ha conseguido y están obligados a dar este derecho de acceso. Se me antoja difícil que se pueda ejercitar ante una infección artificial, porque no es que tenga una tabla en la base de datos que ponga, está mal, y si todo esto sale que no funciona. Así pues, cuando yo le queda exigir a la empresa que está detrás de o lo que creen, introdujo 2 años escribiendo que cuando preguntan sobre mí cosas, la Interior artificial dará información sobre mi ubicación, que Murcia, que estudiado trabajo, querría saber donde consiguió la información no nos mandan las. Las fuentes de la que se nutre la inteligencia o más allá nos van a dar el trozo de código fuente que utiliza la inteligencia para extraer esa información y luego colocarla en un chat. Yo creo que no hacerlo más allá; tendremos también otro derecho junto al de acceso. Hay otro que es el de supresión, un derecho que también tenemos que exigir a las empresas que si se cumplen los requisitos que dice la ley, se suprima nuestros datos personales. Como ejercemos este derecho ante un chasco, yo no puedo decirle oye borrar ese dato que tienes ahí en tu base dato, pero que a base de datos no nos da una base de datos. Comentarios por una información que se nutren vale, vale, pero yo no quiero que sigas hablando de mí; podremos exigir eso. Creo que desde hoy el ordenamiento jurídico no está preparado para dar una respuesta a este problema. Cuando el ciudadano quiera ejercer un derecho de supresión, porque lo que tampoco podrá pretender el ciudadano es que se deje de hablar de él en tampoco es exigible, pero sí limita la información que se facilite a través de este tipo de. Me preocupa esto porque del vídeo esta situación de algo muy similar el pasado antes de la irrupción del buscador, de Internet cuando alguien escribió un artículo en internet, en su blog personal, un medio de comunicación, digamos que en el escenario de los creadores de contenido, habiendo única protagonista, que era el editor del contenido, tú escribiese el contenido se quedaba ahí volcado, pero no me aparecían los buscadores de Internet. Por ejemplo, Google. El buscador de Internet no crea el contenido, no es un auditor, simplemente lo indexar; lo intensa recoge la información y te lo muestra el formato. Estamos acostumbrados de resultados, pues en ese momento, hace ya muchos años, también se planteaba la problemática de aplicar los derechos que teníamos ya reconocidos entonces en protección de datos estos 2 mismos frente a un buscador de Internet frente a un motor de búsqueda frente una araña que va recabando datos por internet, y nos encontramos también con la problemática de que el ordenamiento jurídico, 2 textos normativos no estaban preparados para esa respuesta. La consecuencia fue que estuvimos muchos años indefensos ante lo que sucedía con Google y la forma que tiene demostrar resultados hasta que finalmente, como llegó después muchísimos años, se consiguió que las leyes reconocieran derecho directamente frente a los buscadores o decirle a los tribunales, pero durante ese camino existiera una indefensión en los ciudadanos para poder ejercer sus derechos reconocidos en Flandes. Lo que me preocupa es que esto se vuelva a repetir otra vez y Carmen Tejera artificial. Haría este tipo de modelo de echar, sea una nueva excusa para relajar los los derechos que tenemos o incluso lo que es peor, que ya pasó con Google, que se llegue a atribuir derechos inicialmente pensado solamente para humanos, como, por ejemplo, la libertad de expresión, a máquinas ha mejorado? Sabéis, pero ahora motor de búsqueda, Google cualquiera será reconocido y libertad de expresión. Quizás espero que no. Dentro de 10 años no se reconozca la libertad de expresión a una máquina como podría ser o lo que venga después. Estas son las 2 reflexiones que quería con vosotros y queda abierto el debate. Muchas gracias. Vale, pues vamos a pasar este caso a Pablo López jefe del área de normativa y servicios de seguridad del Centro Criptológico Nacional, donde nos va a hablar del esquema nacional de seguridad como palanca de tractora de la seguridad marea un experto en este caso egiptólogo, en concreto, ex teniente coronel del Cuerpo General del Ejército y responsable, dentro del de la gestión de servicios de ciberseguridad, del desarrollo del plan de formación y curso para personal especialista en seguridad. La elaboración de normativa y distintos aspectos relacionados con la supervisión, adecuación a la seguridad. Pues nada, mientras fuimos la presentación, pues para mí sí que es un auténtico placer estar aquí porque yo me considero. Euskadi, Murcia me he criado aquí me he criado en San Javier, tengo casa en San Pedro del Pinatar, con lo cual para mí es un auténtico placer porque prácticamente he vivido toda mi infancia, mi adolescencia y mi pero la Academia General del Aire en Murcia, con lo cual para mí es un privilegio y, sobre todo, si invita a la Universidad de Murcia, y, sobre todo, porque para mí siempre es una prioridad atender al mundo académico, y creo que es donde está el talento, donde podemos conseguir resultados, y, sobre todo, yo creo que nuestro reto, a los que al final tenemos una competencia, en este caso como Centro Criptológico Nacional, como INCIBE Incibe, todos los actores de hace sudar nacional, en trasladaros, que es lo que estamos haciendo como lo estamos haciendo. Para que vosotros lo hagáis vuestro, porque el futuro va a ser vuestro sois los que tenéis que desarrollar evolucionar la aproximación que estamos llevando a cabo. Nosotros no es hablar de futuro. Para mí también es como quien dice. Pues un auténtico placer puedo coger ese inalámbrico entonces podemos contra ello. Yo, más que hablar del esquema nacional de seguridad, que es lo que voy a contar, pues voy a contar realmente lo que otros ponentes han tratado, es decir, y yo creo que la inauguración se ha dicho ahora. La diversidad se basa en 2 cosas fundamentales. No sé si hubiese oído los términos de superficie, ataque, superficie de exposición y yo voy a incidir en algo que es fundamental y que permite equilibrar. Es o no que se llama postura de seguridad la única manera que hemos encontrado o que nosotros, del boom del sector público, lógicamente hemos potenciado para conseguir ese equilibrio y ver cómo tenemos una postura adecuada se llama esquema nacional de seguridad. Por eso es la palanca tratará de la seguridad, porque es lo que permite replantearte, poner criterio cierto orden al adoptar unas medidas de seguridad que estén equilibradas. La potencial amenaza no tiene sentido. Poner un arco de Iglesia, no tiene sentido tener la mejor seguridad, tienes que tener la ciberseguridad, que te puedes permitir y que consigue disuadir a la potencial amenaza. Ese es el reto. La única manera de conseguirlo es lo que hemos encontrado nosotros en el esquema nacional de seguridad, porque es la guía que te acompañe, y tenemos muchos ejemplos para llevar a la práctica, porque no es algo que no somos nosotros de la chistera, y a mí también me gusta compartir estas mesas redondas con los ponentes en este caso con Paco, porque llevamos trabajando con ellos durante prácticamente 2 años en esto que os vamos a contar, es decir, que esto que os contamos qué sector se llama postura de seguridad, como conseguir ese equilibrio como modular adaptarnos a la amenaza, etc, etc. Para sobrevivir en este ecosistema, que es la necesidad de consumir tecnología, no la hemos sacado nosotros. Como la chistera no le ha enseñado vosotros la comunidad yendo de la mano, con proyectos como el caso de agredir, y ahora mismo estamos con la Agencia Catalana de Ciberseguridad, o estamos haciendo ecuaciones de entidades locales en Palencia, en A Coruña, Málaga o proyectos que hemos hecho en la Región de Murcia o próximamente, hacia la adecuación de San Javier no tenía que apoyar al pueblo. Es decir, al final lo que os quiero decir, que los proyectos que estamos desarrollando o evolucionando, tanto en el sector salud, después del Clínic también estamos en Cataluña, no en transporte; yo que suelo que se me quedan alguno en el tintero pero que es lo importante. Nosotros vemos estos proyectos son. Vamos a determinar realmente cuáles son vuestras necesidades a la hora de intentar adoptar esa mejor postura de seguridad y cómo podemos ayudarnos. Hace 3 años o 4 años empezamos con proyectos como eran obeso; es decir, hacía es un proyecto perfecto con tu siento y DS tu cortafuegos, tu protección de perímetro lo ponías y decías. Aquí lo tenéis. El resultado de 3 años es que nadie lo compraba y por qué nadie lo compra? Porque realmente no te has acercado a preguntar a realmente tiene la necesidad a vosotros los responsables para decirnos que realmente necesitas que te puedes permitir cuáles son tus recursos, cuál es tu nivel de madurez y sobre todo adaptarlo a esto que tenéis aquí que ha cambiado la amenaza? No. Entonces, cuando fuimos y fuimos con ese producto, lleven mano, me hubiera vuelto muy bien empaquetado con su lazo, etc. Nos dimos cuenta que primero hay que escuchar. Lo que hicimos fue escuchar y escuchando nos dimos cuenta que el camino a seguir se llama esquema nacional de seguridad, y si en el 2022 Así se encontró con un nuevo real decreto es porque no la hubiese enseñado vosotros. Ese real decreto a diferencia de otra ponencia estuve yo creo que fue negociado con el sector; salud con 6 en Palma de Mallorca porque soy mallorquín de nacimiento. Gusta hablarnos y el otro día estuve enorme ya que es el pueblo de mis padres en Granada y siempre haciendo lo mismo que últimamente en los últimos viajes me siento muy identificado donde están abriendo ese paréntesis. Ahora vuelvo a lo que quería comentar, habiendo de los ponentes que decía claramente. Se regulan España sin tener en cuenta la casuística y los casos de uso. Realmente a quién va dirigida esa reglamentación? Pues yo creo que gracias a Dios nosotros no ven; ese sí que responde a las necesidades porque no viene; es de 2022. Estaba trabajando desde 2019 a 2020 con casos de uso en Asturias con el en Navarra con anexa donde aprendimos esto que os decíamos, es decir, a escuchar y ver cómo se puede aterrizar la ciberseguridad y conseguir una postura un modelo, una adaptación que nos permita, no solamente ser resilientes sino ser estar a la altura de esa amenaza o esa potencial amenaza que analizamos que intentamos para matizar y, en función de ese contexto, adoptar, como sigo esa postura de seguridad que nos permita tener esa superficie, exposiciones o superficie ataque adaptada a lo que la amenaza en principio puede analizar y que haga que en principio no merezca la pena perpetrar ese ataque. Es decir, consigamos disuadirla, amenaza, ha cambiado los grupos de ataques, tan coordinados? Ya van. Al final, detrás de todo esto lo podéis entender, hay un negocio. Esto tiene que ser Word, un lógicamente. Intentan que al final el beneficio del ataque ya sea la extorsión, sea el rescate, sean información. Que yo tengo, ya sea el ruido, ya sea el ataque de falsa bandera, ya sea simplemente ese cabeza de puente por amenaza persistente, avanzada les tiene que beneficiar porque tienen que invertir recursos. Cuál es nuestro reto? Conocer a la amenaza para que los recursos que quiere invertir no le merezca la pena y elijan a otra víctima. Eso es acción y reacción de toda la vida, y es lo que estamos jugando, porque podemos venir aquí a contar cuál es la seguridad, pues se encontraron muchísimas cosas, pero la realidad es un principio de enfrentamiento en el cual tú tienes que hacer que la amenaza no tiene como víctima porque consigue disuadirla y la consigue disuadirle porque no le merece la pena invertir, porque estás a la altura y consellers, contrarrestar su sus intenciones porque todo el mundo analiza una situación, y si le merece la pena llevarla a cabo atacantes, complejos motivación, porque es difícil, pues beneficio económico. Al final es esto, no servicios o selección, objetivos basados en criterios de oportunidad y debilidades de su ciberseguridad. Es decir, aquí lo que manda hoy en día es la postura de seguridad y ahora viene el reto. Cómo conseguimos identificar y aterrizar una postura de seguridad que sea adecuada? Pues lo vamos a hacer en función de 3 parámetros fundamentales. Un estándar de referencia me da igual que sea el que se llame Unai, son 27.001 la que sea cual voy a utilizar. Nosotros somos la autoridad competente y tenemos capacidad de desarrollo y evolución, se llama esquema nacional de seguridad, y no es porque eso debido cumplimiento, sino porque tenemos capacidad, somos dueños del esquema y nos permite, de acuerdo a esta aproximación que os hemos comentado. Por eso utilizamos esquemas nacionales suya no porque sea de obligado cumplimiento como externa de referencia, porque es lo que nos permite criterio y orden para aterrizar el que esa postura de seguridad en función de tu nivel de madurez y, por supuesto, del contexto de la amenaza, sabiendo cuáles son tus problemas, tú brechas, tus debilidades, sabiendo cuál es el modus operandi tácticas y técnicas y procedimientos de la amenaza y contra un marco de referencia que es una ecuación perfecta para tener un criterio y orden que te permita priorizar en cada momento qué tipo de medida te puedes permitir. Esa es la ecuación perfecta que estamos intentando desarrollar, es decir, dar criterio y orden para que nadie nos diga lo que tenemos que hacer y nosotros podamos determinar cómo puedo priorizar en cada momento qué tipo de vida se adapta al medio. No puede ir un integrador, no pueden ir fabricante Por qué? Porque tengo interiorizada la ciberseguridad creo en esto y no solamente creo en esto, sino que tengo un criterio que, desarrollado, en este caso emanado un marco de referencia ha aterrizado de la manera más pragmática que en función de tu nivel de madurez brechas, dificultades que tengas y, por supuesto, adaptado al contexto de la amenaza. Es decir, tendré que focalizar mis recursos en aquellos aspectos que se potencialmente por ceder inteligencia, que amenazaba a intentar explotar tan sencillo como eso. No es un poco, porque lo llevamos a la práctica y tenéis casos de uso los que quiera. Yo pongo el ejemplo de Paco en pero muchísimos no, y luego veremos la prueba del algodón. La prueba del algodón ahora mismo son 55 entidades locales que están certificadas de acuerdo a un perfil de cumplimiento específico, de requisitos esenciales de seguridad, ayuntamientos de 10.050 habitantes, de 500. Ese es el reto. Ya veremos cómo lo hacemos, no teniendo en cuenta, como nos decía, que la admisión de la amenaza hay que conocerla, hay que tener un contexto. Verá que nos enfrentamos porque todo hay que contextualizarlo, y esto lo hacemos todos; el mundo físico también tengo que saber que me enfrento; aquí me enfrento; le ofreceré la mayor resistencia; sentido común, no. Pues vamos a ello, hay que tener recursos para conseguirlo y, sobre todo lo más importante, es decir, al final va a tener un problema, y la conclusión de estas etapas que tenéis ahí que la gestión de cualquier tipo de incidente es la misma. Como tú preguntas, alguien incidente puede alarmar, podemos utilizarlo como excusa, por supuesto, tenemos que salir reforzado del incidente, pero la clave, siempre la misma, hemos estado preparado. Y por qué hemos estado preparados para contener, mitigar mejor dicho, manejar. Vamos a decirle que vamos a manejar el problema, pero un incidente. Por qué? Porque hemos sido capaces de levantarnos Prudencio proactiva y porque hemos aplicado un marco de referencia que me ayuda a cualquier tipo de actuación. No puedo dejar las cosas en manos de ningún gurú de la ciberseguridad, tengo que tenerlo protocolizado; tengo que ser en cada momento cómo tengo que aterrizar las cosas como las puedo manejar, por que vuelva el sentido común, porque si lo tengo protocolizado y tengo un plan que lo que estoy diciendo, haciendo reduciendo la probabilidad de error reduciendo la propia incertidumbre, sea todo aquello que tengo protocolizado y enriquecido lecciones aprendidas me permitirá gestionar cualquier incidente o problema que vender el futuro. Ese es mi reto. Vale. Sobre todo reducir la probabilidad de error vale. Entonces el reto, prevención, un marco de referencia, al final, todo sentido común, es decir, pero lo difícil y por venir, y lo mejor era el discurso que teníamos hace 2 o 3 años o el año pasado o el anterior era decir. Bueno, tenemos que hacer esto más, aplicar buenas prácticas, pero siempre nos quedamos ahí sea. Nuestro reto ha sido como es decir ya de una vez el coma 1 sobre todo yo creo que fue a principios del año pasado febrero. No llegó un momento, que tenemos plataformas que tenemos recursos, que tenemos capacidades, pero la sensación, en el caso de mi parte de prevención creo que tengo responsabilidad en el Centro Criptológico Nacional era como estoy ya cansado de hacer cosas que no sirven para nada, es decir, entre comillas. Es decir, si no consigo que simplemente la ciberseguridad y consigo una postura de seguridad, ni se adopte un criterio más o menos realista. De nada sirve lo que estoy haciendo. Puedo tener, como ahora mismo tengo, 22.000 usuarios que están en la plataforma Ángeles, o puedo tener 2.200 organizaciones que meten datos en Nines, pero al final del camino, que es lo que estoy consiguiendo. Vale? Entonces fue un elemento de, sobre todo para nosotros, porque hubo que cambiar la aproximación febrero de este año, es decir, ya el análisis del perdón y la ciberseguridad, aunque sea así? No la planteamos en análisis de riesgos, no? La planteó? Tampoco en la categorización y en el alcance de los servicios que hace el NS no voy directamente a la postura de seguridad. Identificó las medidas que tú te puedes permitir de acuerdo tu nivel de madurez con un nivel mínimo que me da el contexto de la amenaza, y en función de eso me da un resultado. El perfil de cumplimiento. Requisitos esenciales de seguridad. Son 35 medidas. Categoría básica, MLS son 53 porque cogemos 35 porque es lo que tiene sentido que te permite seguir la amenaza y lo que se puede permitir. Las entidades locales, esas 35 medidas se corresponde con la categoría básica. Esa categoría básica se corresponde con análisis de riesgos residual que tengo que al final que asumir, pero le da la vuelta a la interpretación la aproximación al problema. Antes me iba al laboratorio hacia un análisis de riesgos. Después del análisis de riesgos, que es lo que hacía, identificaba o los servicios para identificar los servicios y su alcance a otro tiempo, es decir, pasaba meses y meses desde el punto de vista del cumplimiento. Sin aterrizar nada le hemos hecho al revés. Identifico que me puedo permitir en función del marco de referencia, mis debilidades brechas y lo Mateo con respecto a una aproximación, y plantearé conseguirle meses es adopta una postura adecuada, tecnologías certificadas para generar confianza. Mejora continua como estrategia. Así porque me da igual, como estoy ahora, voy a aprender y voy a evolucionar Por qué Porque creo en la seguridad. Me da igual cómo esté hoy que me importa? Vale. Si mañana puedo ser mejor que hoy. Ese es mi reto. Mejora continua siempre. Por eso me da igual 35, 53 que 60. Es aquello que me permita Eternal, medio formación, educación continua para vetar la mala praxis. No voy a extenderme. Desarrollo seguro, porque porque los fabricantes tienen que empezar de manera segura, porque la manera de que de reducir tu superficie, de exposición y mejorar tu postura de seguridad siempre lo mismo, superficie ataques, reducir superficie de exposición y mejorar tu postura de seguridad, adaptándola al medio ni mejor ni peor, que te puedes permitir en función del contexto de la amenaza por tu situación geopolítica y por atractivo que pueda ser para el atacante. Si es que es de sentido común, entonces tenemos que dedicar nuestros recursos para analizar esto. Es que no es otra cosa. De verdad, vigilancia continua para saber lo que está pasando. Termómetro tengo temperatura 37, 38, sé lo que está pasando No sé que tengo temperatura elevada, pues lo hacemos con semáforos rojo; amarillo y verde automatizar la respuesta intercambió información con la red nacional, y eso terminó rápidamente. Lo que se busca, esa adaptación a la postura de seguridad tiene que ser realista. Dejemos de buscar arcos de iglesia, veamos lo que nos puede permitir, pero siempre sentando bases para luego crecer. Eso es el nuevo esquema nacional de seguridad, pero que yo ya no ven. Yo, yo no cuento el esquema nacional de seguridad, cuento la herramienta que me permite aterrizar una postura de seguridad dimensionada. El problema, eso es lo que estamos haciendo de acuerdo. Todos optimiza todo sentido común es lo que estamos buscando. Siempre hacemos lo mismo y para nosotros es como nuestro leitmotiv nuestra narrativa. Es decir, tenemos un instrumento que se llama esquema nacional de seguridad. Tenemos un método, un modelo que se llama y tenemos la herramienta o el instrumento que nos permite llevarla a cabo, que siempre es el acompañamiento Por qué Porque Elena ese te lo permite todo, porque siempre nos encontramos un problema hay 2 maneras de enfrentarte a ello. El Gobierno es necesario yo sé que este es el mundo académico y me gusta, trastear los cacharritos, pero escasas ritos hay que ponerlos en orden y hay que darle un criterio. Implementar una defensa es así; el mundo técnico tiene que tener un criterio, igual que el mundo del cumplimiento tiene que empezar al mundo técnico, porque si no al final entre los 2 mundos al final sea un pan con 2 tortas modelo básico de organización y Gobierno y luego tenerlo más automatizado posible. Los procesos que me permiten mitigar, contener o manejar cualquier situación que se ve. Eso es lo que tenéis ahí esa es la realidad. Insistimos en el acompañamiento Por qué Porque el acompañamiento no es tener un, una cuenta de correo, el acompañamiento a llevarlo a cabo, y nuestras experiencias son esas en las que os he dicho Por qué Porque hay un tubo y yo te acompañe, te ayudo, te doy mi herramienta. Doy un paso para atrás. Nosotros no queremos liderar nada Por qué? Porque este es tu problema, lo tienes que hacer tú y yo yo lo voy a hacer es ayudar a resolver tu problema. Eso es lo que estamos haciendo. No entendéis necesitáis alguien que os guíe. Para que lo hagáis vuestro y lo mejor es vale. Ese es nuestro reto. Al final todo está basado en un total de dificultades. En función de esas dificultades hemos determinado cuál es la mejor postura, que te puedes permitir y te daban que eran 35 medidas. Esas 35 medidas siempre se basó en estos 3 pilares diagnóstico de cumplimiento y de seguridad. Ver hasta qué punto me encuentro. Voy a hablar ni de acto de inicio de cumplimiento, iniciada madurez. Hasta qué punto me puedo adaptar en función de mis brechas, y mis procedimientos y un marco normativo, una postura de seguro adecuada y luego otra cosa que nos preocupa muchísimo por la información que evitar la filtración de información. Eso es lo que hemos hecho siempre, aplicado el sentido común, un inventario. Vigilancia continua, mínima o privilegio. Esto se hace, el equipo ha estado trabajando durante este verano durante 3 meses sin vacaciones, para hacer este modelo, llevarlo a la práctica, es decir, queda muy bien contarlo y me toca a mí contarlo como responsable quizás, pero que sepáis que detrás de todo esto hay un trabajo muchísimo trabajo. Para aterrizar esto que estamos contando lo estamos llevando a la práctica. La medalla verla la práctica la tenéis. Hay un pantallazo. 55 entidades locales que en principio han adoptado este medio con dificultades, con problemas. Habló de alcaldes que al final se bajan del tractor para atender a su alcaldía o de secretarios, que tienen a 5 ayuntamientos a su cargo, es decir, no hablamos de personal experto, hablamos de personas que ya creen que sea, es un problema y tienes que tender la mano para que al final no lo lleven una práctica definitivas. Esto concepto de mejora continua. Al final, análisis global e identificación de las medidas, apoyo a la gestión y sobre todo, acompañamiento. Identificamos ahí esquema nacional de seguridad, modelo sea y luego siempre ponemos nuestro barrio, porque si os gusta, la seguridad la tenéis que sentir, la tenéis que interiorizar y nuestro guerrero tiene corazón. Eso es lo que se os pidamos. Es decir, que no vengáis a al estado de arte no creéis en esto y lo hagáis vuestro, porque si lo hacéis vuestro, la ciberseguridad de mañana es también y nada más. Un auténtico placer y como siempre, de esta exposición. Vamos a pasar a nuestro siguiente ponente. En este caso, vamos a dar de nuevo la bienvenida. Gasta a Francisco Jesús Montserrat con compañero formado aquí que a día de hoy está trabajando como técnico de seguridad, en la, en este caso, en el Equipo de Respuesta a Incidentes, csif de reír y donde pueda estado realizando diversa. Funciona en la gestión de incidentes de seguridad que han pueden este tiempo, vale y cuenta con una experiencia que ha hecho, que participa en distintos foros nacional e internacional. Como Cecil punto sí tiene la palabra y el período al caso de nuevo, pues Muchísimas gracias. Estudie la facultad de Murcia Bueno, como algunos lo llamábamos, y bueno, me fui a Madrid, vengo mucho tuviera por aquí y entonces, pues sigo muy en contacto con Murcia. En primer lugar, desde luego agradecer Antonio Skármeta, y la Facultad y a la universidad una charla, porque siempre es bueno venir y contar un poco la de siempre. En principio, para cambiar. En principio, básicamente, como seguía muy cebolleta, me fui hace mucho tiempo y además voy a contar un poco lo que si es centrarme en incidente, que más o menos manejamos, el último tiempos, que, aunque muchos conozcáis somos técnicamente una ECTS, una cosa es decir del Gobierno que singular, y por eso la estructura técnica de cómo puede ser a nivel informático el supercomputador de Barcelona, pero también los telescopios o un centro que hay en Castilla -para experimentar; solo hidrógeno somos una cosa para investigación y la educación y la formación, y empezó hace mucho tiempo antes que internet, ya que hay algunos pioneros, que también estuvieron ante incluso aquellos que mucha gente de ese tipo básicamente damos la conectividad a Internet, a las universidades o centros de investigación, a ministerios, a las redes de educar. Ahora la educación desde más o menos un serio poniendo al principio no era con IP después ya con TCPIP, etc, etc. Fuimos subiendo de capacidad. Ahora nuestro enlace, después de último ampliación son de 100 gigas y tenemos el nuestro. Encarecen después, las instituciones se conectan en cada nodo. Con la BBC que haga falta, en el caso de la Región de Murcia, pues se conectan a través de la Fundación íntegra, y ahí sí que se conecta a la universidad. Se conecta la red de los colegios se conectan algunos centros de investigación que hay etc etc y claro ya en el año 95 antes de que hubiese Google y que hubiese segundo, 95 cuando todavía no había te TCP, y en los ordenadores había problemas de seguridad ya se formó el equipo de seguridad, el famoso entre comillas, y que fue de los primeros equipos de seguridad españoles. En el primero luego fue el primero en ser reconocido, no lo hizo; yo fui fue otro murciano que Rubén, que fue para allá él creó; organizó y básicamente era una labor de coordinación con las universidades, con los centros de investigación para resolver problemas de Surat y pudiera haber y trabajar en temas de criptografía y demás que pasa por los incidentes que había, eran sobre todo máquinas, sin actualizar máquinas que se comprometían y nadie sabía qué pasaba y cuál era el principal y después la experimentación, ya sea alumnos españoles o de fuera de España, que querían probar cosas nuevas. Qué pasa, que haya habido un grave problema que ha solido durante mucho tiempo? Era la falta de información, es que no había Google. Cómo sabía cómo arreglar el problema? Si eras el técnico y lo segundo, como sabías a quién avisar? Si no había un directorio centralizado para poder llamar, le hacía llamadas a la centralita y decías Hola, alguien de esta universidad en Wisconsin, etc, etc. Eso básicamente hacía que los equipos de seguridad tuviéramos un papel de coordinación, de empezar a movernos, de hablar entre nosotros y de que tener bien conocidas nuestros usuarios para poder decirle. Oye, tienes un problema y, básicamente nos dedicábamos y fuimos evolucionando sobre todo a base de enviar correos de un lado para otro, porque porque al final ya en el año 4.000 10, 2015 empezó a haber mucha gente que decía oye estás atacando etc etc y había mucha coordinación ni necesidad de hacer esto. Después, todo eso básicamente en ese momento todavía no había falta de cultura, no había cultura de seguridad, amonestaciones lo que ha comentado ahora Pablo, el Comité de Seguridad era impensable. En la mayoría de sitios estaban el servicio informática, quedaba con y poco más entonces fue poco a poco, viéndose ya parte de una vía digámoslo apoyo institucional que pasa que ya en 2010, 2015 empezaron las cosas primero y el volumen era muy grande y lo que era la parte, un poco lo que era la operación del servicio el enviar correos de oye mira tienes un virus etc etc a la INCIBE por otro lado ya las universidades empiezan a tener sus propios equipos de seguridad, ya van creciendo, van teniendo su concepción y, por otro lado, se empieza a apoyar muchísimo a la institución. Es a nivel de. Oye, mira, te hace falta que sea seguro? Si eres un organismo público tienes que tener una serie de medidas de seguridad, y eso hace que nos podamos dedicar a, sobre todo a la seguridad interna. Nuestra por suerte, no tuvimos muchos ataques, grandes de compromiso ni idiomas. No había ransomware en su momento, pero lo que sí que teníamos era problemática, que era los ataques en el troncal todo lo que eran ataques de denegación de servicio que podían impedir que diéramos esa conectividad global que tenían la universidades, y nos pusimos en eso. Por qué? Porque ya cada vez más pasaba Lambda que van comprometiendo pues un servidor de una casa, una lo que sea y empieza a haber muchísimo tráfico aparte. Si os acordáis del año 2015 2017, la crisis económica y había muchos ataques de Anonymous junto con otra serie de cosas que hacían que hubiera ataques continuamente y sobre todo los ataques de servicio para nosotros y tenga una imagen que se puede ver muy bien es que se llena la tubería que el tráfico que tiene que pasar de agua limpia, y además se desborda, pues se desborda, porque un tráfico malo y se puede producir un daño colateral que ese es el daño colateral, pues si os podéis imaginar. Si por la misma conexión va la red de un hospital y la red de los colegios educativos y por lo que sea, se satura la red de colegios educativos, porque es el día que hacer un examen online, pues entonces puede que no, que el hospital no tenga conectividad internet y una serie de aparatos no funcionen. Por lo tanto, nosotros tenemos que proteger todo lo que había para que nos hubiera esa protección. Pues empezó a desplegar de empezamos a desplegar una serie de ataques, pero primero también comentó Es un poco para que veáis un poco lo que estamos hablando, que se puede ver en la gráfica de arriba, lo que es un tráfico normal, casi no se ve, no se ve porque nos la organización tenía medio de tráfico al día, cuando hay un ataque de nación del servicio, de repente se amplía el tráfico, y aparte de poner un gráfico, este tipo de acequias son entrada y salida, lo que es entrada es hacia abajo y lo que soy hacia arriba y esto era todo que entraba pues claro, eso se desborda, se llena y no sólo llena esa instrucción, sino también a lo que hubieran dado. Pero también hay ataques que no son o que no se ven en volumen, como estoy aquí porque porque lo que hacen son saturar las conexiones. Es decir, los cargos que se tiene en la anotación en lo que van haciendo es van viendo si hay una gestión nueva y establece. Qué pasa? Que si en vez de 10.000 sesiones simultáneas por segundo llegan 100.000, pues el pago se pueden saturar. Entonces, claro, las herramientas que hay que tener no es solo medir el volumen de tráfico que tiene, sino también las características del tráfico. Son conexiones nuevas, son paquetes nuevos, viene todo del mismo sitio que tienen que venir o, de repente, te quieren mucho tráfico de China, Ucrania o claro saber quizás vale, pues, y también el equipamiento de red que hay. No te permite el momento, es decir, filtro de Ucrania. Filtros y dejó pasar lo de España porque no sabe no puede analizar en tiempo real el fútbol. Si él tiene memoria muy limitada. No está pensado para eso. Por lo tanto, entonces, cuando empezaron a pensar que hicimos vale. Vamos a empezar a protegerlo y la protección inicial que teníamos. Todas. La operadores no es un operador como tal, pero funciona como un proveedor de Internet era bloquear al usuario o la sirve si de repente me llega mucho tráfico de una IP, de la universidad bloqueo. Es verdad que atacante consigue bloquear el sistema, pero así lo que conseguimos es que el resto de instituciones de la red funcione claro. Eso no era lo ideal, y pasamos a centros de limpiezas a una máquina muy gordo, una máquina digámoslo gorda en medio del troncal que mediante técnicas de ingeniería de tráfico. Dirigimos solamente el tráfico atacado a esas máquinas. Esas máquinas son capaces de limpiar. Ahora mismo tenemos la capacidad que son de 400 gigas, de lo que limpieza en la máquina y aparte tenemos aplicadas contramedidas de forma día digamos automática entonces para que solo ataque gigantes, contexto de negación que no se produzcan, de forma que ni siquiera ese tráfico llegue a la máquina, y aun así hay ataques. Digámoslo continuamente. También hay que pensar que todos estos sistemas requieren un tiempo de aprendizaje. No es que tenga un paquete, y es un ataque. Claro, eso puede hacer que algunos ataques pequeñitos no se vea, y esto es lo último, son 4 ejemplos de cómo se ve el tráfico. Cuando hay un ataque de abajo del todo por ejemplo a la derecha es un ataque digámoslo en el cual ha habido un tráfico lícito y otro ilícito, cuando llega el lícito directamente envuelto, el tráfico a la máquina de limpieza, que ya se pueda analizarlo, y ahí el operador ve que el tipo de está llegando mucho paquetes desde China y es una hora de países de fuera, y los que no sean malos queman las máquinas y, por lo tanto, que lo que hacemos Pues o qué hacer operador restringe o limita el tráfico por por países, de forma que deja pasar lo que puede ser de España, que es lo que tiene más sentido, y entonces ya todo rojo lleva pasando más los otros 2 de la izquierda. Son 2 enormes, 1 que hubo de 20 sobre todo en paquetes por segundo de 100.000, hemos llegado a tener millones de paquetes por segundo de conexiones, nueva, intentando conectarse, un servidor web y, sin embargo, el que está en azul es muy interesante en el sentido de que es es un filtro que tenemos aplicado siempre permanentemente ha terminado tráfico, tráfico que en principio no debe pasar por internet como pueden ser paquete, TNT, un protocolo, pero grandes de consultas, pues eso lo tenemos muy limitado, dejamos pasar solo 10 paquetes por segundo, y cuando hay un ataque que produce ese tipo de amplificación, directamente canta y no llega y los filtramos directamente en el troncal de forma automática, sin tener que estar tocando el router, sino que ya está metido, por así decirlo también, bueno sea como atraer reflexiones solamente que primero que los primates hubieran existido siempre, lo que pasa es que ahora, como han comentado ponente anteriores, cada vez somos más dependientes de Internet. Por lo tanto, es más peligroso después, sobre todo también ha comentado Pablo, hay que tener planes de actuación, hay que saber qué hacer, tener un test, saber tener definido si me van a atacar, si se me que la web que hago no hago nada porque no es interesante, pero si me cae el gestor denomina. Si la gente no paga, no cobra a fin de mes, seguro que es más problemático y después hay que reconocer que tanto el NDS como las 27.000 personas Belenenses está potenciando muchísimo, y eso me han dicho muchas universidades que haya una concienciación mayor de seguridad, la parte digámoslo no técnica de programa, sino la parte digámoslo administrativa de la seguridad. El gestionar, tener ese catálogo de riesgos y de problemas, y de contramedidas es lo que nos está haciendo avanzar. Cada vez haya menos problemas. Bueno, pues ya después la mesa. Bueno, pues a continuación vamos a contratar, como contamos aquí con Aitor, techo, que en este caso es director de infraestructura, arquitectura de red y servicios de valor añadido, de Euskaltel y MásMóvil, y que se encuentra participando como investigador y como responsable en varios proyectos de I más D de distintos programas a nivel regional, estatal y de donde nos va a hablar de servicio en las redes. Para intentar ser breve, que sea el último que pasamos de hora y creo que me agradecerá y si se intenta ser un poco rápido lo que querían, lo que quería contar en esta breve presentación es bueno, parecido un poco lo que comentaba Antonio antes, centrarme en lo que las sociedades de las redes móviles, pero voy a centrarme en algo más, digamos ahora mismo las redes de 4 o 5 G, que es lo que tenemos ahora prácticamente implantado o que se terminan implantar en en este año que viene entonces querella, básicamente el grupo MásMóvil, como todos los operadores móviles, estamos evolucionando continuamente y centrar la la presentación de una pregunta simple san hacía esta pregunta Las redes móviles son cada vez más seguras, pero si pensamos en la evolución de cualquier cosa pensamos que una evolución siempre va mejor, pero quizás cuando hablamos de seguridad no está tan claro. Es una reflexión personal, pero yo creo que la evolución tecnológica. En el caso de las redes móviles, fundamentalmente viene enfocado a dar nuevas funcionalidades, a tener un mayor uso y aumentar el negocio, y eso es lo que realmente mueve este mundo normalmente. Con lo cual, a priori, no parece que una evolución orientada más funcionalidades necesariamente tendrá que ser más sabor, no. Su desarrollo llegó al final, pero es un poco por por porcentual. Al principio la parte de abajo, porque un par de ejemplos de noticias que hemos buscado rápidamente, que van en la línea de lo que nos hacía el coronel antes de que los ciberdelitos están aumentando notablemente en los últimos años. Si realmente leemos eso, no parece que las redes sean cada vez más seguro. Cuando llegamos al móvil hablamos de banda ancha móvil, pero casi estamos hablando de lo que es la banda ancha a día de hoy también y banda ancha fija, pero lo que viene todo el día con nosotros, que nos acompaña, como decíamos antes, del terminal móvil y es lo que nos da un exceso continuista. Entonces la evolución que se va dando en las redes digamos que hay unos puntos donde podemos identificar que tenemos riesgo, no por simplificarlo mucho, a varios puntos en la red, no, pero podemos empezar desde la red de acceso, radio donde podemos tener tipologías de ataques en base a imitar estaciones, base, estaciones, base falsas, que intenta capturar nuestro tráfico, tenemos puntos de las redes donde se tienen que interconectar con otras redes, y eso así es imposible evitarlo, tienes que hacer para dar el servicio. Entonces tenemos puntos de interconexión de número 7, pero tenemos puntos de interconexión de roaming. Necesitamos hacerlas porque, si no el roaming, no es posible. Por otro lado, donde buena parte de determinados tenemos las das, incoó un elemento de autenticación, pero es un elemento físico que al final los malos pueden tener. En sus manos pueden ponerse en medio de la comunicación del teléfono, pueden intentar atacar por el ahí tenemos ataques a nivel de aplicación bastante comunes. Desgraciadamente, en los últimos meses, basados en en su planta de identidad, de una aplicación o les missing son muy comunes porque tienen un rédito de negocio muy muy claro, y finalmente bueno, no es realmente la red, pero el terminal es parte del servicio de urgencias a los clientes y en ese término aplicaciones y esas aplicaciones pueden ser maliciosas. Todo esto, junto es un montón de puntos de debilidad donde podría aprovecharse un atacante y un ejemplo de unos ataques que son masivos son más de red que de determinar, pero bueno, por poner casos muy grandes ha habido casos últimamente de caídas de redes, de operadores de tierras, de los más grandes del mundo en Estados Unidos, con caídas o con robos de información, que últimamente es muy más habitual, casi que las medidas de información de 80.000.000 de usuarios o Portugal, con una caída que tuvo 3 días sin servicio a la final, se cifran en unas pérdidas para los operadores brutales, no para las incluso para empresas que utilizan. Con esto, hacia la tendencia tecnológica de las redes, que decía que era para dar más funcionalidades, ha llevado una evolución, como comentaba antes Antonio; una evolución de unas soluciones más cerradas a unas soluciones basadas en tecnologías y tecnologías. De no ver, esto es bueno. Se supone que está pensado para obtener servicios más dinámicos para desarrollar más rápido, para ser más eficiente. Va orientado todas, pero los interfaces, se crean múltiples. Interfaces en nuestra arquitectura, basada en servicios; se crean múltiples micro interfaces, digamos, entre distintos componentes, cada 1 de ellos; es nuevo punto donde puede ser, ataca, y luego, pues, aparecen nuevas necesidades, nuevas funcionalidades. Pongo aquí un pequeño ejemplo que están muy de moda últimamente, que es bueno la capa de exposición de red o las a la tipificación de la red; es decir, poner una que los operadores expongan una, de forma que desarrolladores de servicios pueden utilizar capacidades de la red que están expuestas en esa zona, muy bien da más funcionalidades, pero también estamos abriendo una puerta. Llegamos a un posible uso. Esto es, digamos, con todas las funcionalidades, no. Con todas las medidas, desde la parte más social, los atacantes aparecen porque tienen premio. Al final, si atacan, consiguen algo. La conectividad cada vez más es más crítica para para cualquier modelo de negocio. En el mundo entonces atacar la conectividad, solo ataca la conectividad, ya da más rendimiento a los atacantes porque es más crítica para los, pero además el contenido que transitamos por esa conectividad cada vez es más crítico para todos. Nosotros. Existen más interrelación entre los servicios, las identidades que comentábamos antes, la exposición de una información, el obtener información muestra en un entorno, les pueden, les puede valer para atacar otro entorno, porque el líder, como nos comentaban antes, que era una práctica no no muy correcta y en general la vida se convierte en más digital, y entonces el contenido digital, las identidades digitales se convierten en un valor muy importante. Robar esos esas identidades da un buen premio al atacante y, finalmente, el universo al cual se puede atacar la explicación de cómo esta evolución de los últimos años desde un mundo donde era muy local estamos en un mundo en que es muy global las raíces global. Nadie piensa en una red interna que sea de un país, no se hablaba en el mundo, pero es que el negocio en los negocios que hay detrás también son globales, sea cada vez más una Amazon, un player o cualquier pimer. Nuestra puede estar trabajando en Internet con todo el mundo por el mismo motivo. Un atacante puede convertirse en un atacante en todo el mundo y no necesariamente. Entonces, con todo esto, es contando un poco la evolución. Y por qué estamos en una situación que puede parecer, pero en cuanto a seguridad. Sin embargo, evidentemente esta es la parte positiva. Según se van desarrollando nuevos estándares, según se va evolucionando la red también hay un trabajo en la evolución de la tecnología de seguridad centradas en las redes móviles. Los estándares de 5 g de 5 G sea del 5 g. Pleno incorporan unas cuantas funcionalidades orientadas de forma exclusiva en mejorar la seguridad de una pequeña tabla, sin entrar en mucho en detalle, pero aparecen nuevas funcionalidades, como un identificativo, que es nuevo, que es el que se manda, encriptado por la red que se Suzy y que sustituye al IPSI de toda la vida. Bien, ese tipo de funcionalidad está orientada a que un atacante que antes podía conocer el IPSI por ciertas técnicas no empezara a utilizar ciertos ataques, como ataques vía SMS, otro tipo de ataques en la que sabe van bien, pues como éste hay otras tantas funcionalidades que se van a que se van introduciendo. En esto se va a introducir. Es verdad que todas estas mejoras tecnológicas, algunas de ellas, requieren la introducción no solo del 5G, sea como red, sino el cambio de ciertas funcionalidades en este caso, pues la evolución de la física, por ejemplo, y entonces es verdad que los operadores también las que generan los fabricantes tecnológicos estamos obligados a tener también un mecanismo de compatibilidad hacia atrás, que para los temas de seguridad suele ser un hándicap también. Es decir, no podemos meter una nueva tecnología y que al día siguiente todos funcionen sólo con esa nueva tecnología, y eso implica que ciertas técnicas de ataque inicialmente vienen, vienen enfocadas a eso; es decir, intentó forzar desde un, desde una estación base, mala mecanismos de compatibilidad hacia atrás y tu móvil 5G hacerle funcionar en 3; o hacerlo funcionar en 2; que el móvil es compatible porque tiene mecanismos de compatible hacia atrás; y esto te mete en un bucle de seguridad, pero en general estos mecanismos poco retorcidos, pero son cosas que puede pasar, pero en general el tráfico sí que se acusa a los nuevos estándares; poco a poco se va evolucionando y digamos que la tecnología de seguridad mejore. Por otro lado, hay otras tendencias ya más tecnológicas, más generales de incorporar la seguridad; es muy importante incorporar la seguridad en el diseño; vía una tendencia hasta ahora, hasta hace unos años de pensar en la seguridad como elementos de seguridad de la red que mejoran la seguridad del conjunto de la red y perimetrales, y estaba muy bien, era una forma de, partiendo de una red que igual no era tan segura incorporarla. Saudí pero realmente sí que está claro que que la seguridad buena está en cada componente de la solución. Entonces, con los nuevos estándares, se incluye el concepto de la seguridad en el propio diseño de cada día. Esta parte es fundamental para para que las redes móviles de futuro, de las actuales y de futuro, sean seguras de por sí incluye también al incluir en el diseño, incluye también una obligación de que toda la cadena de suministro, desde que desde cuándo se diseña un nuevo una nueva solución de telecomunicaciones hasta que se implanta, incorpore el diseño de toda la cadena las necesarias garantías para que para que esa solución sea segura, entonces por terminar ahora hay una conciencia de necesidad de seguridad mayor, que también disminuye el riesgo y, bueno, pues por poner 3 conceptos básicos. Por un lado, todos los agentes de la cadena yo, nosotros como operador lo hemos hecho así pero el resto de los de los componentes de la cadena, desde los fabricantes integradores y demás, están imponiendo cada vez más recursos destinados a la propia ciberseguridad. Recursos económicos, recursos humanos. Porque la seguridad primero es un componente fundamental, es una debilidad importante de la sociedad. Como sociedad que depende de los de las tecnologías de comunicación incorporamos a las entidades regulatorias que están en esta cadena de seguridad, incluyendo normativas. Comentaba hace momento que tanto desde la Unión Europea en el marco nacional con la protección de datos, también lo incluyó dentro de este ecosistema, pero el esquema nacional de seguridad fundamental, el 2 de Europa, todos estos incluyen una serie de conceptos que que obligan no solo a los operadores en nuestro caso, sino también incluso a los fabricantes, y la seguridad privada requiere un esfuerzo continuo. Eso está claro, es que exige una interrelación entre todos los agentes de un ecosistema de telecomunicaciones y requiere una actuación rápida, porque el otro entorno, el entorno de los malos, también aprende, también evoluciona, y también mediante mecanismos cada vez más complejos, con lo cual, concluyendo, diría que, efectivamente, la evolución tecnológica asegura nuevas funcionalidades, pero un esfuerzo continuo y continuado de todos los agentes que participamos en la cadena de generación de la evolución tecnológica y nuevos servicios nos permite volver a recuperar el entorno de riesgo aún a una situación controlada. Lo dejó controlado porque el riesgo nunca se nunca desaparece, siempre está ahí y es un punto donde tenemos que estar. Estará alertas y eso es un poco la situación, un poco también en vosotros, que al final estoy estudiando la carrera de informática. Podéis trabajar yo creo que es un ámbito de la seguridad que ofrece un montón de oportunidades. Como decía, estamos dedicando recursos y también necesitamos capital humano para trabajar en esto en todos los ámbitos. Ya es muy importante que trabajáis en el futuro, cuando este sistema carrera, incluso por poner un ejemplo, es bueno incluso más. Más sencillo no, e incluso talleres de cinético que nos permiten a todo el entorno de telecomunicaciones, avanzar, es decir que descubren debilidades que permiten compartirlas, que permiten desarrollar revoluciones tecnológicas, soluciones de estándares de entornos de 20, que al final generan una mejora continua. La seguridad y la seguridad es una mejora, es no, es un punto en el que llega. Si ya ya está. Muchas gracias y todos tenemos tiempo para alguna pregunta que sea breve. 1 Alejandro quieren, son. Si hace falta, más. En primer lugar, gracias a todos los ponentes por esta experiencia, quería hacerle unas preguntas a Pablo López. En primer lugar, por dar la enhorabuena por una ponencia el enorme entusiasmo que ha puesto en la misma, se nota que siente la seguridad a tope, y creo que es ese día y bueno, me gustaría hacerle otra pregunta. Es la primera de ellas, es decir, que en el nuevo real decreto, en el 311.022 habéis escuchado para adaptarse a al entorno y que sea práctico? La pregunta era. Si también habéis escuchado a las pequeñas y medianas empresas, también las tenemos contempladas en ese año y en esa misma línea, la siguiente pregunta es si se plantea en algún momento liberar herramienta, como puede ser micro Claudia o Pilar, para que también estas empresas puedan tener el foco de su problema, de su superficie de ataque, porque creo que facilitaría camino de adaptación y de proteger la cadena de suministro y, en tercer lugar Qué opinión le merece usted o cómo cree que se puede tratar el tema de las administraciones públicas, que están exigiendo medidas que ellos de momento no están cumpliendo, lo cual es bueno, porque fuerza la palanca de octubre, es decir, pero lo bueno que hay que opine usted. Gracias. Vamos a ello, por ejemplo, la personación a las pymes, la personación, que os hemos contado a entidades locales es parecida. Adaptar la postura de aseguran en función de tu nivel de madurez INCIBE también está detrás de hacer lo mismo, vale, y y lo que estamos ahora mismo trabajando es hasta qué punto pueda darse esas pymes. De hecho, la semana que viene vamos a León en unas jornadas de entretenido rural. Yo creo que hablaremos de ese tema, es decir, vamos a intentar trasladar la misma aproximación que os hemos contado el entorno de pymes. Lo que pasa es que es distinto el nivel de madurez. El tipo de medidas que puede aplicar a lo mejor sí pero no es lo mismo dentro un ecosistema que tiene su propia idiosincrasia, pero estamos en ello, es decir, vamos a trabajar para que por lo menos es la práctica, como lo hacemos siempre hemos hecho lo mismo, es decir, mi propuesta. Cuando me ha llegado esto de hacer algo para pymes siempre ha sido lo mismo, les digo quién está detrás de ello y que dotarle en ese colegio es mi propuesta, coger una pyme en la Diputación de León en este caso la cabra comercial de Comercio, mejor dicho, y trabajar con ella, ver hasta qué punto tiene sentido esta aproximación y cómo podemos adaptar para que luego las pymes incide o quien sea. Lidere el proyecto una onda integradora, consultora porque no lo he dicho, pero si me extiendo, es decir, todo esto es cooperación público -privado. Ahora mismo tengo todo mi equipo trabajando en todos estos proyectos, que digo que cada semana realmente detrás de ese proyecto hay 5 empresas tengo procesa por un lado tengo por otro, tengo, hace sea por otro que lo desarrolla tengo a quien más tengo por otro lado, vamos a seguir, te tenemos paz, tenemos claro Yo creo que Paco va tan Sainz de cada proyecto hay y no empresas, sino personas que creen en esto y coger la camiseta del CCN pues usted decía que la aproximación es nosotros, y con nuestra aproximación nuestro conocimiento, transferirlo, utilizar nuestras herramientas y que las pymes lo puedan utilizar. Pero eso lleva su camino, es la primera pregunta lo de liberar las herramientas? Pues estamos en ello, es decir, al final hay que buscar cómo esas herramientas se mantienen en soporta. Porque nosotros usted decía yo cuando digo que no quiero liderar nada es que ya he pasado por llevar la operación de un de un shock, por ejemplo, en el Ministerio de Justicia es algo que nosotros no estamos para ellos, pero hay empresas que tienen que darlo a cabo. Lo que sí podemos es hacer esa transferencia de conocimiento. Pues, es decir, las herramientas que estamos haciendo con ellas. Hay varias alternativas. La alternativa que yo estoy detrás de ella es llevarlo toda plataforma, llena de herramientas si conoce soportable gobernanza decisiones amparo y marca por ejemplo si conoces por ejemplo la plataforma De Angelis. Estamos enterrando a Ángeles Elena etc. Para hacer algo que sea por servicios, es decir, que realmente no se conoce. Ahora es otra herramienta que en principio es gratuita, pero está dimensionada para que yo puedo permitirme yo tengo presupuesto del año para mantenerlas. Entonces tengo que dimensionar las peticiones. Es una samba, vale adaptarlo para que yo lo pueda mantener en el tiempo. Si alguien quiere utilizar una voz a nivel industrial, como quien dice 11 Si como puede ser aquí en la Comunidad Autónoma de Región de Murcia, tiene una cuota al día, si pasa esa cuota al día o al mes, entonces tienes que tener tu propio. Pues no lo que voy a hacer al copago por servicio y en este caso mantenerlo las herramientas nuevas. Por ejemplo, la plataforma que os digo que es para adecuar el NHS. Lo que intentamos es que haya es decir que la plataforma, para que entiendan o entender lo que quiero, lo que yo estoy pensando, por ejemplo, es que esa plataforma no está hecha para él, está hecha pensando que las entidades, que al final tiene que adecuarse las integradoras y consultoras que tiene que apoyar a las entidades, que es el caso que luego voy a responder a la última pregunta, vale, y luego las sentidas de certificación, nosotros las mantenemos, la soportamos, pero lo que queremos es que alguien las utilice y también las manteca con unas cuotas somos administraciones, es decir, realmente que permita dar el servicio. No estamos en ellos, no es fácil como. Pero la intención, por lo menos en la parte de prevención, es hacerlo. Así decir, que sean consumibles por cualquiera, pero siempre al final hay que buscar un equilibrio para que esto su paso por el tiempo. Quiero del sector público. Hombre, al final es si intenta no y estamos en ello y hemos empezado por las entidades locales. Hay muchos proyectos que nos estamos llevando a la práctica no. Es decir, hemos empezado por aquellas entidades que menos que más dificultades tienen. El sector público. Al final tú dices. Entiendo que eres una empresa y que dice. Se ponen una, una vara de medir que es compleja, a veces no dificil de llegar, pero había que empezar por algo, no y yo creo que al final también somos conscientes cuando era un pliego pedimos determinadas requisitos, es que haya el pliego, haya concurrencia y sobre todo lo que os decía y vuelvo poco ha terminado la ponencia hemos intentado sacar algo real -decreto escuchando previamente, pero tienes que exigir un MIR y entonces habrá que darle continuidad, todo ello y es algo que nosotros estamos liderando porque coincide un poco con lo que habrá decirlo, es decir, que estamos haciendo no es un poco ese cambio disruptivo o sea cómo voy a pedir algo si no sé ni lo que pido y la facilidad para hacerlo, sólo te puedo decir que estamos trabajando en ello.

Propietarios

UMtv (Universidad de Murcia)

Publicadores

Raquel Lopez Segura

Comentarios

Nuevo comentario

Serie: CyberCamp UMU (+información)

Jornada de Inauguración y Firma Oficial de Convenio CyberCamp

Descripción

CyberCamp es el evento referente para el desarrollo de la ciberseguridad y de la confianza digital de la ciudadanía y las entidades creado por el Instituto Nacional de Ciberseguridad de España (INCIBE). Desde 2014, CyberCamp se ha consolidado como una gran iniciativa gratuita para todos los públicos que ha promovido la cultura de la ciberseguridad a través de diferentes encuentros multitudinarios.