Adrián García Porta. - Se ha celebrado en Madrid, la XII Spanish Cloud Security Alliance Summit, a este evento asistió personal institucional para analizar cuestiones tales como la soberanía digital y el gobierno del dato, y de invitados especiales en representación de Cloud Security Alliance que presentaron las últimas iniciativas desarrolladas para el sector.
Uno de los aspectos más relevantes del foro fue la presentación de las actividades desarrolladas por su Comité Técnico Operativo durante el año. En esta ocasión, los grupos de trabajo han desarrollado una guía práctica para la gestión y respuesta a incidentes en la Nube, la adaptación de la Cloud Control Matrix a la tercera versión del Esquema Nacional de Seguridad, el planteamiento de ciberseguridad sostenible como eje de acción Green Cloud, y la novena edición del Estudio sobre el Estado de la Seguridad en la Nube en colaboración con terceras entidades en España y Latinoamérica.
1. - Gobernanza de la seguridad en la nube:
La responsable de la ponencia en este tema, Cyril Voisin, EMEA Leader, Chief Security Advisors, Microsoft, destaco que en primer lugar, debemos controlar la gestión de acceso y el control de acceso. Explicó la nueva filosofía para hacer este control de acceso de la manera correcta, llamada Zero Trust. Básicamente, no confías en nada implícitamente, tratas de confiar en las cosas explícitamente, por lo que verificarás la ubicación, la identidad y el contexto. En segundo lugar, tiene la seguridad de la innovación y, a continuación, las operaciones de seguridad, en las que desea asegurarse una visibilidad completa. Es un ciclo de mejora continua.
2. - Confianza en la nube: Nuevos retos:
Con respecto al este tema tratado en una mesa redonda compuesta por por Javier Galindo, Information Security Architect, Cepsa; Jose María Vigueras, Public Cloud Specialist Systems Engineer, Fortinet; Daniel Howe, Senior Presales, Fastly y como moderador, Gonzalo Asensio, CISO, Bankinter, se puso de manifiesto, que por tiempo de despliegue e iniciativa, no se puede esperar a tener un producto 6 meses, cuando la competencia lo está desarrollando en un mes. No se puede esperar a que haya un equipo de infraestructura que despliegue unas máquinas virtuales que aporten seguridad y protocolo. Se pueden observar despliegues a diario, lo podemos ver en nuestros teléfonos, cada poco tiempo tenemos que actualizar nuestras aplicaciones, es constante, entonces el hecho de adaptarse rápidamente a esto, si no es con Saas, es complicado.
3. - El nuevo "Zero Trust" Centro de Avance de la Alianza de Seguridad en la Nube:
A este respecto de puso de relive de manos de Paul Simmonds, Director, CSA UK, que tanto la nube como el "Zero Trust" van de la mano. El "Zero Trust" es necesario para obtener los beneficios reales de la nube. la Nube te ahorrará dinero, pero si combinas la arquitectura y la filosofía de "Zero Trust" con la nube, obtendrás importantes beneficios.
4. - Gobernanza de la nube:
Dentro de esta segunda mesa redonda, que contó con la participación de Fanny Pérez, CISO, Codere; Iván Sánchez, CISO, Sanitas; Jesús Mérida, CISO, Iberia; Juan Cobo, CISO, Ferrovial; Jesús Sánchez, Head of Global Cybersecurity, Naturgy; Elena García, CISO, Indra; y como moderador: Carles Solé; CISO, Santander España, se debatió que la adopción y el viaje a la nube para quedarse es algo que ya empezó hace tiempo y que se sigue aprovechando cada vez con mayor madurez y con mayor valentía. La gestión de los servicios de seguridad apoyado en nube abre muchas puertas. Todos los equipos de seguridad han sido y lo van a seguir siendo, grandes consumidores, porque, al fin y al cabo, la revolución que supuso la nube en su momento ya partía de un nivel de madurez en seguridad, por lo tanto, su gestión se puede realizar de una manera más natural, automática, eficiente y por defecto en un entorno en el que realmente la seguridad viene del by design.
Proyectos enmarcados dentro del encuentro:
- En el marco de este XII Encuentro Cloud Security Alliance, se han presentado diferentes estudios y proyectos mencionados anteriormente. Por un lado, en el Track 1, se presentó Estado del Arte 2022 con Ana Belén Galán, Discipline Senior Manager Security Engineer, BBVA-CIB y Mariano J. Benito, Responsable de Seguridad, GMV; Coordinador del Comité Técnico Operativo del Capítulo Español de Cloud Security Alliance. También se presentó Guideline Incident Response in Cloud por Olga Forné, CISO Global, Abertis y Toni Garcia, CISO, CIO y CDO, LetiPharma. La última presentación del Track 1 fue el Proyecto CRI por Alberto Francoso, Jefe de Análisis del Servicio de Ciberseguridad, OCC.
- En el Track 2 se presentó el estudio Cloud Control Matrix V.4 + Esquema Nacional de Seguridad V.3 de la mano de Diana Molero y Jorge Laredo, ambos miembros del Capítulo Español de Cloud Security Alliance donde se explicó que el objetivo principal de la traducción de la última versión de la Cloud Control Matrix (CCM v4) es impulsar la adopción de servicios de Cloud en España, permitiendo tanto el cumplimiento normativo como la seguridad efectiva de los datos. Al añadir el mapeo de CCM con el ENS se facilita su uso por parte del sector público y sus proveedores, ayudando a utilizar los servicios cloud de modo seguro.
Dado su interés se ha añadido el mapeo inverso en el mismo fichero de forma que para cada medida de seguridad del Anexo II del ENS se identifican los controles de CCM que están relacionados. CCM y ENS tienen propósitos y enfoques diferentes, pero cabe destacar que el grado de cobertura de CCM por parte de ENS es del 85% siendo esto debido principalmente a lo especifico de algunos de los 197 controles de CCM en comparación con las 80 medidas de seguridad del ENS. Su uso conjunto permite alcanzar un elevado grado de seguridad en las organizaciones y en su uso de los servicios Cloud.
- Por último, se presentó el estudio de Green Cloud – ES, de la mano de Josep Bardallo, CISO y DPO, Grupo Recoletas y Sergio Padilla, RSI y Responsable de la Unidad de Riesgos y Seguridad de la Información, Banco de España donde exponen un primer diagnóstico externo para analizar las actuaciones, los riesgos y las oportunidades que se presentan en las compañías en esta materia, en aras de alcanzar los compromisos con la sociedad, la sostenibilidad y el medio ambiente; la gestión ética y el buen gobierno desde un sector en pleno auge.
Con esta iniciativa se trata de plantear un compromiso empresarial para reforzar el concepto de sostenibilidad en el entorno Cloud, y poner en valor la competitividad de un mercado que tiene en sus manos la posibilidad de reducir en gran medida la huella de carbono. Un compromiso en forma de código ético o código de responsabilidad, que requerirá del apoyo de todos los actores implicados en el ámbito digital, desde los consumidores de servicios digitales o las empresas proveedoras de los mismos, como de las autoridades de control y organismos nacionales e internacionales.
Por tanto, el objetivo de Green Cloud - ES es crear consciencia sobre las responsabilidades empresariales que suponen un compromiso necesario, aunque no obligatorio.