Este séptimo encuentro contó con más de 150 profesionales asistentes, así como con los principales representantes institucionales, de la Industria y expertos en la materia, para abordar la eminente adopción empresarial de servicios en la Nube, haciendo hincapié en la confiabilidad y seguridad, y en el marco regulatorio que envuelve la Nube. El acto estuvo inaugurado por Gianluca D´Antonio, presidente de ISMS Forum Spain, director académico del IE Master of Cybersecurity y Chief Information Officer del Grupo FCC, acompañado de Mariano Benito, coordinador del Comité Técnico Operativo de Cloud Security Alliance y Teresa Ramos, directora del área de tecnología del IE Business School.
La ponencia inaugural la llevó a cabo Jim Reavis, Co-founder and Chief Executive Officer de Cloud Security Alliance, para presentar la cuarta edición de las “Guías de seguridad de áreas críticas en Cloud Computing”, considerada una referencia a nivel internacional sobre seguridad y privacidad en la Nube.
Con relación a la guía, destacó que se pueden encontrar dominios tales como Cloud Computing y arquitectura e infraestructura de la Nube, un dominio respecto al área legal donde el nuevo Reglamento Europeo de Protección de Datos supone uno de los aspectos de mayor interés en estos momentos. La guía también incluye el Cloud Compliance como aspecto a tener en cuenta en el marco regulatorio que envuelve la nube, y el ciclo de vida del dato o el gobierno de la seguridad en la Nube. En palabras de Jim, “La seguridad en el dato es primordial en la Nube”, concluyendo que “la seguridad como servicio y las tecnologías relacionadas como el Big Data, el Internet of Things, o el Mobility, entre otras, son el futuro.” Entre los principales keynotes, Mauricio Monti, EMEA Channel & Partner Manager de Cloudflare, presentó algunos de los últimos ataques DDoS y el impacto social y económico que han supuesto para el tejido empresarial e incluso a escala estatal. Entre los ejemplos, destaca el ataque que sufrió Hong Kong antes de la celebración de elecciones, detectado por Cloudflare, o incluso los ataques sufridos por Eurovisión. Mauricio destacó que “los ataques se han ido incrementando y que cada vez son más sofisticados”.
En su intervención, Kai Roer, Security culture specialist, author and speaker y presidente de Cloud Security Alliance Norway, puso de manifiesto la importancia de la cultura de la seguridad como componente indispensable en la gestión empresarial. Roer hizo especial énfasis en resaltar que el factor humano es muy importante en todos los aspectos y en particular en la Nube. “Es un error pensar que el ser humano no tiene nada que ver con la Nube”, concluyó Kai en su ponencia. Por su parte, Adenike Cosgrove, Cybersecurity Strategy EMEA de Proofpoint, aportó su visión sobre cuál es la mejor manera de securizar todos los aspectos que rodean Office 365. A lo largo de su ponencia explicó que los ataques vía email son cada vez más sofisticados y dirigidos, de manera que es imprescindible mantener medidas de protección avanzada que no dejen caer todo el peso en el usuario. Los emails fraudulentos han aumentado notablemente desde el tercer trimestre del año anterior, y alrededor del 90% de emails con enlaces fraudulentos fueron enviados de manera intencionada para captar información y así, comprometer la privacidad de los usuarios. Adenike concluyó su ponencia poniendo de manifiesto que “la Industria no está alineada con las amenazas a las que estamos expuestos”.
Una mesa redonda titulada “Security breaches from in house to cloud” reunió a los principales proveedores de seguridad para analizar el nivel de seguridad y confiabilidad, así como los riesgos y amenazas asociados al entorno Cloud, y la necesidad de implementar medidas de seguridad como forma de afrontar las barreras para la adopción de servicios en la Nube. Esta mesa estuvo moderada por Casimiro e integrada por expertos profesionales del sector cloud como Luis Corrons, director del Laboratorio de Panda Labs en Panda Security; Javier Larrea, Sr. Sales Engineer en Forcepoint; José Luis Laguna, director técnico en Fortinet; Marc Rodriguez, experto en ciberseguridad de Trend Micro; y Alejandro Fernández, especialista en soluciones de Gestión de Identidades, Gobierno de Datos y Accesos en Sailpoint. 
El Encuentro continuó con otra mesa redonda titulada “Giving an access to the bad guy”, moderada por Luis Ballesteros, CISO de WiZink, donde se abordó la seguridad centrada en las identidades y accesos, y la gestión de los mismos, como forma de garantizar la protección de la información asegurando que el usuario es quien dice ser y que accede de manera autorizada, facilitando asimismo el cumplimiento normativo y generando mejoras en el servicio e incluso creando nuevas oportunidades de negocio. En la mesa participaron Ricardo Rodriguez, country Manager Spain, Italy and Portugal en CenturyLink; José María Cayuela, security Specialist Senior en Akamai; Roberto Baratta, global Executive VP and Director of Loss Prevention, Business Continuity and Security en Abanca; y Adolfo Hernández, advance Cyber Defense Manager Banco Sabadell.
Durante el segundo bloque de contenidos se presentaron dos estudios realizados por Cloud Security Alliance España: Cloud Control Matrix v3 (versus Esquema de Seguridad Nacional v2 (ENS) (RD 951/2015)) y la V Edición del Estudio del Estado del Arte de la Seguridad en la Nube. La presentación del primer estudio corrió a cargo de Miguel Ángel Amutio, Subdirector Adjunto de Coordinación de Unidades TI de la Secretaría General de Administración Digital del Ministeriode Hacienda y Función Pública; y Jorge Laredo, Miembro del Comité técnico operativo de Cloud Security Alliance España. La Tercera Edición de la Cloud Control Matrix tiene como objetivo impulsar la adopción de servicios de Cloud en España, permitiendo tanto el cumplimiento normativo como la seguridad efectiva de los datos para las empresas. Esta guía recoge los aspectos de seguridad necesarios en la computación en la nube y considera la relación del Esquema Nacional de Seguridad con las normas y estándares de gestión adaptados al mismo. Es un marco de 133 controles cuyo objetivo es impulsar la adopción de servicios de cloud en España.
El segundo estudio se presentó de la mano de la Mariano J. Benito, coordinador del Comité Técnico Operativo del Cloud Security Alliance, junto a Josep Bardallo, CISO de Grupo Recoletas, director de Ciberseguridad de SVT Cloud y miembro del Comité Técnico Operativo de Cloud Security Alliance España. El objetivo de este estudio es explorar y conocer el estado de la adopción de servicios Cloud, y el papel que juega la seguridad en la adopción de esta tecnología, desde la perspectiva de los usuarios. Identifica las expectativas en seguridad que tienen los usuarios en los servicios en la Nube, su satisfacción con dichos servicios, la disponibilidad de información y certificaciones a su alcance en la adopción de estos servicios, o los modelos y servicios más demandados.
Benito y Bardallo destacaron durante su presentación que “Shadow IT sigue siendo un aspecto de gran interés dentro del estudio habiendo una posición de mayor conocimiento y menor permisividad o tolerancia hacia el fenómeno, cobrando impulso los Departamentos de TI para mejorar la calidad de sus servicios hasta igualar los percibidos por los usuarios de Shadow IT.” También señalaron que la concienciación en el mundo Cloud es baja y continúa la tendencia de años atrás. Finalmente, destacaron la importancia percibida por el usuario acerca de “tener un conocimiento más exhaustivo acerca del compliance y el marco regulatorio”.
Sobre Cloud Security Alliance España
El capítulo español de Cloud Security Alliance (CSA-ES) reúne a miembros representativos de la industria del Cloud Computing en España. Se trata de un foro de debate que promueve el uso de buenas prácticas para garantizar la seguridad y privacidad en el entorno del Cloud Computing, siendo una de sus áreas de interés específico el Compliance en la Nube. CSA-ES contribuye al desarrollo de conocimiento en materia de seguridad y cumplimiento en la nube por medio de estudios propios y de terceros, así como a través de la organización de Encuentros de Cloud Security Alliance España, a la vez que promueve la guía de las mejores prácticas de seguridad cloud que publica el Cloud Security Alliance Global. ISMS Forum y CSA-ES han impulsado la primera certificación profesional en castellano sobre Seguridad de la Información en Cloud Computing, el Certificate Of Cloud Security Knowledge (CCSK).
Sobre ISMS Forum Spain
La Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, es una organización sin ánimo de lucro fundada en enero de 2007 para promover el desarrollo, conocimiento y cultura de la Seguridad de la Información en España y actuar en beneficio de toda la comunidad implicada en el sector.

Fuente: El Derecho