Saltar navegación

Activa JavaScript para disfrutar de los vídeos de la Mediateca.

Ciberjueves con EducaMadrid: Raúl Renales Agüero

Ajuste de pantalla

El ajuste de pantalla se aprecia al ver el vídeo en pantalla completa. Elige la presentación que más te guste:

Subido el 27 de noviembre de 2023 por EducaMadrid

58 visualizaciones

Más información Transcripción

Descargar la transcripción

Es responsable de Servicio de Ciberseguridad en la Administración Pública en el Ministerio de Justicia. 00:00:00
Profesional certificado de respuesta a incidentes, desarrollador de software orientado a ciberdefensa, 00:00:09
profesor de cursos de ciberseguridad y desarrollo seguro. 00:00:14
Ha realizado proyectos internacionales en Sudáfrica, Brasil, Argentina, México, Italia, Francia, Alemania, 00:00:18
madre mía, ha estado en todos los sitios del mundo, Inglaterra. 00:00:25
Estuvo participando en proyectos de prevención del bloqueo de capitales y bueno, estudiante de Criminología ahora mismo. 00:00:28
Sí, uno debe tener tiempo e inquietudes y ahora mismo estamos terminando la carrera de Criminología. 00:00:35
Un poco para cubrir ese hueco que hay de la Criminología digital, que no hay, 00:00:42
hay mucha ciencia acerca de la Criminología del día a día, de la Criminología del barrio y demás, 00:00:48
pero no hay mucha ciencia de la Criminología digital y estamos ahí un poco. 00:00:54
Aparte, pues viendo un poco las nuevas cosas que vienen. 00:00:58
Ahora, yo por ejemplo, mi trabajo de fin de grado está enfocado a inteligencia artificial y herramientas de investigación criminal. 00:01:01
O sea que es un nuevo mundo que se abre ante nosotros. 00:01:08
Bueno, lo primero de todo, muchas gracias por la invitación. 00:01:13
A nosotros generalmente nos gusta trabajar en donde estamos, 00:01:17
pero también nos gusta por ahí ir a contar qué hacemos y demás. 00:01:22
Con lo cual, así agradecer la invitación y poder compartir con vosotros la experiencia. 00:01:25
La charla la vamos a enfocar en dos grandes temas. 00:01:31
Uno que sería la Administración General del Estado como infraestructura crítica. 00:01:35
Algo que es bastante novedoso, porque viene de normativa que se ha publicado en el 2022 00:01:39
y nos está obligando a ciertas instituciones de la Administración General del Estado 00:01:45
a cerrar toda nuestra ciberseguridad en torno a una infraestructura crítica, que hasta hace nada no era así. 00:01:51
Y la segunda parte viene un poco a contaros qué es lo que hacemos en una Oficina Técnica de Seguridad, 00:02:00
que es un poco la ejecución de lo que vais a ver en la primera parte. 00:02:05
Bueno, primero ya me han hecho la presentación. 00:02:11
Yo trabajo en INECO, que es una empresa pública, y tenemos el encargo de la digitalización de justicia. 00:02:14
Dentro de la digitalización de justicia, nuestra parte se encarga de toda la parte de ciberseguridad. 00:02:22
La Oficina Técnica de Seguridad, gestión de identidad y accesos, normativa y cumplimiento. 00:02:30
Ahora estamos abriendo un nuevo grupo de trabajo que es relativo al PAM, 00:02:35
a lo que son las cuentas privilegiadas, que las estamos vigilando de manera exquisita para no tener problemas de seguridad y demás. 00:02:41
Bueno, la empresa, no os voy a aburrir con ella, pues es una empresa con más de 5.000 trabajadores, 00:02:49
con presencia en todo el mundo y con proyectos relevantes como el tren de la Meca, 00:02:54
el sistema de satélites Galileo, nuestra digitalización de justicia, o la red de aeropuertos del espacio. 00:03:01
Y empezamos con la charla a la que veníamos aquí a comentar. 00:03:09
Primero, infraestructuras críticas. Estoy convencido que si yo os pregunto, todos sabéis definirme que es una infraestructura crítica. 00:03:15
Todos sabéis que dentro de un Estado hay unos servicios que se consideran esenciales para el buen funcionamiento del Estado. 00:03:24
Si hacemos un repaso rápido, pues seguro que nos sale en la cabeza una central nuclear, 00:03:36
o un sistema de aguas del que bebemos luego en el grifo de casa, o el sistema bancario. 00:03:42
Imaginaos si mañana que es viernes a las 10 de la noche metes la tarjeta y nos sale dinero. 00:03:51
Pues lo mismo en Gran Vía hay altercados. Eso también es otra parte de infraestructura crítica. 00:03:57
No tiene por qué ser algo físico y demás. También puede ser un elemento que pueda generar o pueda distorsionar la paz dentro de un país. 00:04:03
A todas estas infraestructuras críticas están gestionadas por un organismo que se llama CNP y demás. 00:04:13
La normativa en el año 2022 cambió y empezó a entender que la Administración General del Estado, muchas partes de ella, se consideraba una infraestructura crítica. 00:04:26
Por ejemplo, en mi caso, imaginaos si por cualquier motivo somos afectados en justicia por un ransomware 00:04:42
y no podemos hacer lanzamientos judiciales o resolver casos con que el juez viste sentencia para que vayan adelante. 00:04:50
Imaginaos temas de hipotecas, temas de empresas, temas penales. Al final la justicia está metida en casi todos los recovecos de nuestra vida. 00:05:03
El 8 de diciembre de 2008 se apuesta por esta tendencia y queda reforzado en la ley del 28 de abril de 2011, 00:05:14
donde ya se define que estas administraciones deben estar sujetas al mismo criterio que puede tener una central nuclear. 00:05:25
Es el año pasado cuando el CNP elabora el nuevo catálogo de operadores críticos y allí nos meten al Ministerio de Justicia y a otras entidades. 00:05:34
Para que os hagáis una idea de cómo ha evolucionado todo esto, en 2014 las infraestructuras críticas que teníamos eran el sistema financiero y tributario, la energía y la industria nuclear. 00:05:46
Al año siguiente se le añade el transporte, el aéreo, el marítimo, el ferroviario y el terrestre. 00:06:00
No os podéis imaginar, parece mentira, no estamos acostumbrados a ir a un aeropuerto y pasar todas esas medidas de seguridad que son tediosas y demás. 00:06:06
No os podéis imaginar todas las medidas de seguridad que hay, que se ven y las que no se ven. 00:06:15
Yo ahora recientemente he tenido que realizar un trabajo fin de curso del director de seguridad con especialidad en infraestructuras críticas y me ha tocado hacer el trabajo sobre un puerto. 00:06:21
El puerto de Valencia que tiene cuatro terminales de pasajeros para recibir los ferris y los cruceros. 00:06:34
Pues es increíble la cantidad de seguridad que tienen este tipo de sitios porque están afectados por infinidad de movidas. 00:06:40
Temas de terrorismo, temas de trata de seres humanos, temas de contrabando de drogas, temas de salud pública. 00:06:48
Hay infinidad de cosas que pueden afectar a una instalación de este tipo. 00:06:58
En el 2015 también se mete el agua, en el 2016 el espacio exterior. 00:07:02
Y diréis, bueno, España no es una potencia lanzando cohetes ahí. 00:07:09
Bueno, ahora sí, porque tenemos el Miura, que si consiguen lanzarlo de vez en cuando pues va y hace sus cosas y vuelve. 00:07:14
Pero no nos damos cuenta que a veces el espacio es muy amplio y tenemos una red de satélites propia y tenemos por ahí cositas dando vueltas al planeta. 00:07:20
Y que si nos vulneran ese tipo de dispositivos o de ese tipo de vehículos espaciales podemos meternos en un embrollo bastante grande. 00:07:30
La industria química, bueno, vamos caminando. 00:07:39
Si os fijáis en el 2018 se mete salud y en el 2021 se mete la administración pública. 00:07:44
Y aquí es donde el CNPIC decide qué organismos de la administración pública van a ser susceptibles de tener que equipararse a una infraestructura crítica 00:07:51
desde el punto de vista de cumplimiento y desde el punto de vista de seguridad informática. 00:08:03
Bueno, para que os hagáis una idea, más o menos tenemos unos 12 sectores cubiertos por todo esto. 00:08:08
Cada uno de los sectores tiene servicios que se consideran esenciales. 00:08:16
O sea, puede haber un sector que tenga varios servicios esenciales cubiertos. 00:08:20
Dentro de los servicios se dividen en operadores críticos, que es un poco como la unidad más básica que hay dentro de la infraestructura crítica. 00:08:25
Y luego cada uno de esos operadores críticos tiene uno o varios planes de protección. 00:08:35
Es un poco para que lo veáis en el esquema. Sé que esto es un poco rollo, es un poco de cumplimiento y demás. 00:08:41
Pero bueno, en cada uno de esos puntos tenemos un responsable de seguridad y enlace, un responsable de ciberseguridad y un responsable delegado de la seguridad. 00:08:47
En la diapositiva veréis las funciones de cada uno. 00:08:58
Por ejemplo, el delegado de seguridad es el enlace que tiene el organismo, que es infraestructura crítica, con lo que sería Secretaría de Estado. 00:09:02
Se gestiona desde el CNEPIC, pero al final acaba en gobierno, en Secretaría de Estado y demás. 00:09:12
Todas las comunicaciones que hay que hacer, si he sufrido un ataque o cualquier cosa bidireccional, van a través de él. 00:09:18
El responsable de seguridad y enlace, que a veces hace como de sustituto del anterior, se ocupa de estas mismas tareas de comunicación. 00:09:25
Y también un poco de canalizar las operativas, hacer que las cosas marchen dentro de la infraestructura. 00:09:36
Y por último tenemos el responsable de seguridad IT, que son figuras como puede ser la mía, como puede ser la de una persona que se dedique a llevar un departamento de ciberseguridad dentro de los organismos. 00:09:44
Para que os hagáis una idea, cuando a nosotros nos designan como operador crítico y infraestructura crítica, estamos obligados automáticamente a hacer las siguientes cosas. 00:09:58
La primera de todas es el plan, tenemos dos años para poder entregarlo, el plan de seguridad del operador. 00:10:11
El plan de seguridad del operador lo que hace es describir lo que sería mi organismo, pues esto es justicia, tiene estas características, tiene estas medidas de seguridad, 00:10:18
sus centros de datos se describen de esta determinada manera, tienen estas características, es un documento bastante extenso. 00:10:30
Nosotros nos designaron el año pasado, más o menos para el verano, y hemos conseguido entregarlo el 1 de agosto el plan de seguridad del operador, el PSO, 00:10:40
y lo hemos recibido ahora ya aprobado, porque esto tú lo elaboras, lo presentas y tienes dos meses para que el CNP te diga si está correcto o no. 00:10:54
Pues lo hemos recibido con un aprobado, con un, lo habéis hecho bien chavales, empieza a correr el reloj porque me tienes que entregar el segundo documento, 00:11:04
y el segundo documento es el plan de protección específico, que aquí es donde se dice que voy a hacer para proteger mi infraestructura. 00:11:11
Este estamos ya en proceso de elaboración, y vamos a entregarlo en nada. 00:11:21
La cuestión de este documento, pues es que nosotros tenemos que indicar los riesgos potenciales que vemos dentro de nuestra organización y cómo vamos a solventar esos riesgos. 00:11:26
Estos documentos, que no os lo he comentado al principio, son documentos dentro de lo que se denomina secretos de estado. 00:11:38
¿Por qué? Imaginaros que ahí va todo lo, cómo es justicia, y qué medidas de seguridad tiene, y de la misma manera que justicia podría decir otro organismo. 00:11:48
Están obligados a protegerse con medidas de protección, nosotros por ejemplo los protegemos, que David lo conoce, con una herramienta que se llama Carla, 00:11:59
que son solo las personas que pueden utilizarlo. Están inscritas a una especie de software que les permite acceder al documento, pero a nadie más. 00:12:07
O sea, si dejáramos el documento ahí en Gran Vía y alguien cogiera el pendrive y lo llevara a casa y se lo pinchara, no podía hacer nada con él, y funcionaba más o menos de esa manera. 00:12:18
¿Qué más cosas hay que hacer? Designar las tres funciones que hemos dicho antes, el responsable de seguridad y enlace, el delegado de seguridad y el responsable de seguridad o ciberseguridad. 00:12:29
Todo el protocolo de información que hemos visto, todas las personas que trabajen en la elaboración y cumplimiento de este plan de ley PIC para las infraestructuras críticas, 00:12:41
tienen que tener sacado el HPS, que es un nivel para poder acceder a ciertos niveles de información dentro del Estado español. 00:12:55
Y luego lo último, cuando ya cerremos todo el documento, tengamos a las personas y demás, es la mejora continua. 00:13:06
Todo esto, cada dos años, empieza de nuevo y empezamos otra vez a elaborar el documento, a generar nuevos riesgos, etc. 00:13:14
Esto es importante. Antes en el café hablábamos del mundo en el que vivimos. El mundo en el que vivimos de hoy no es el mundo en el que vivimos de hace dos años. 00:13:25
Hace dos años se hablaba de inteligencia artificial, pero no se habla al nivel que se habla ahora. O hace dos años había ciertos tipos de ataques que no se conocían y ahora se conocen. 00:13:36
Que tengamos una revisión continua nos permite ir actualizando las defensas del organismo a los ataques modernos que tenemos. 00:13:48
Y además, como hemos comentado en el café, en un contexto híbrido, de guerra híbrida, donde por un lado está globalizada, da igual que los focos de conflicto estén en el norte de Europa o en Oriente Medio, 00:13:58
sino que si algunos de los intereses que tienen los grupos que apoyan a cada una de las facciones están en contra con medidas que mi gobierno puede hacer para favorecer a unos o a otros, soy un objetivo. 00:14:14
Esto que parece algo así, nosotros desde hace dos años estamos luchando continuamente contra ataques provenientes de lo que sería el ámbito ruso. ¿Por qué? Porque se considera que España apoya a Ucrania. 00:14:31
Entonces una manera que tienen de devolvernos la moneda es que los grupos pro-rusos nos ataquen a nosotros. Y atacan a todo el mundo. Aquí da igual que sea administración pública, banco, ferretería, Peláez, lo que queráis. 00:14:48
Atacan a todo el mundo. Tienen sus objetivos prioritarios. De hecho, hay grupos que son más pequeños que atacan a lo que pillan. Hay grupos que son más mayores que suelen decir, esta semana tú, tú, tú y tú os voy a dar pal pelo. Y esta semana tú, tú, tú y tú vais a sufrir un ataque de denegación de servicio. Y lo hacen. Algunos llegan, otros no llegan. 00:15:03
Durante el mes de verano hemos tenido varios ataques de denegación de servicio en entidades públicas, siempre relacionados con grupos del ámbito pro-ruso. 00:15:26
Todo esto llevado a una gráfica sería más o menos esto. Que resumido es que desde que me designan hasta que yo presento el plan del operador, tengo dos años. Y que una vez que lo presento y me lo aprueban, tengo cuatro meses. Y a partir de ahí, cada dos años, tengo que hacer revisión de todo el proceso. 00:15:38
Bueno, os detallo en la diapositiva todo lo que sería, lo que contiene el índice del plan de seguridad del operador, ¿no? Pues suele tener una introducción, una descripción general de lo que es el sitio que se va a proteger, lo que se denomina operador. 00:16:05
La política general de seguridad y el marco de gobierno que tiene la entidad. La relación de servicios esenciales prestados por el operador de seguridad. 00:16:21
Nosotros en nuestro caso, pues todos tenéis muy a las claras que hacemos juicios, pero también registramos bebés y registramos defunciones, ¿vale? Y son cosas importantes porque un bebé que no se registra es un bebé que no se le puede llevar al médico, ¿vale? 00:16:35
Como eso, hay muchas cosas. Hay desahucios, hay subastas, gestionamos temas de entidades religiosas, víctimas del terrorismo. O sea, la justicia es un gigante, un monstruo que gestiona muchas cosas. 00:16:54
Entonces hay que explicar cuáles de esos servicios son críticos y cuáles no, ¿vale? La metodología, hay que explicar la metodología que utilizamos para análisis de riesgo, ¿vale? Que nosotros utilizamos la del PTN. Criterios de aplicación de medidas de seguridad y por último documentación complementaria que puede ser la descripción de tus centros de datos, muchas cosas que se pueden anexar para completar todo esto. 00:17:12
Luego ya en la parte de la protección del plan de protección específico, pues este ya es más concreto. Aquí vamos a aspectos organizativos que debería tener la organización, descripción de las infraestructuras, resultados de los análisis de riesgo, los planes de acción, o sea, en qué me voy a comprometer a mejorar mi seguridad para los próximos dos años y documentación complementaria, como digo, pues desde auditorías a cualquier tipo de documentación que enriquezca el documento. 00:17:39
Esto dicho así, parece que nos ponemos una tarde y lo hacemos con el chat GPT, pero lleva meses de trabajo, ¿vale? Hay mucho trabajo de recopilar información porque el nivel es de detalle. O sea, cuando tú describes un centro de datos, describes hasta la marca del chasis donde está el servidor X, ¿vale? Y los switches donde están conectados se describe todo el detalle, ¿vale? 00:18:08
Esto os lo he contado porque como administración pública de ámbito regional en algún momento llegará. Es obvio que se ha empezado por la parte de arriba, pero en algún momento llegará. El CCN empezó ayudando a entidades de la Administración General del Estado, pero ahora ya está en municipios y ya está en diputaciones y ya está en gobiernos regionales, ¿vale? 00:18:38
Con el tiempo llegará. Es que la ciberseguridad, hace unos años se podía decir si era una moda o no, ahora es el pan de cada día. Hoy comentaba con David que es que tenemos el problema de que no tenemos ni capacidad para encontrar gente para meter en nuevos proyectos. 00:19:05
O sea, si yo quiero crecer, mi primera brecha o mi primer gap es que no puedo conseguir a gente con una cierta calidad para poder defender mi castillo. Y hay mucho trabajo que hacer. Aquí yo siempre cuento la historia esta porque me decía David acerca de generar nuevos FPS y todo esto. 00:19:22
Yo ahí disiento un poco. Creo que la ciberseguridad es una especialización y se necesitaría que los chavales que empiecen no empiecen por ciberseguridad. Que empiecen administrando sistemas, desarrollando aplicaciones o que les guste mucho el derecho y se dediquen a derecho digital, que también es una parte importante. 00:19:44
Y que en algún momento en su vida, cuando tengan experiencia suficiente, cuando dominen algo, se especialicen en ciberseguridad. Ahora estamos vendiendo cursos de ciberseguridad a casco porro. Como si esto fuera tomar la pastilla azul o roja de Matrix. Y no es así. 00:20:06
La mayoría de los grandes profesionales que hay en este país es porque primero administraron sistemas y cuando los conocían al dedillo decidieron hacer ciberseguridad. Yo siempre lo cuento como opinión personal. Luego puede haber otras opiniones que disientan de ella. Pero creo que hay que construir esa base importante y luego ya crecerá hacia arriba. 00:20:25
Bueno, hasta aquí infraestructuras críticas. Espero no haberos aburrido y espero no haberos asustado con deciros que viene el lobo. Pero es algo que va a ocurrir en un tiempo. Tardo o temprano terminará. Y si no es la parte de administración pública o de infraestructura crítica, va a ser el adecuarte al esquema nacional de seguridad o lo que sea. 00:20:48
¿Por qué? Porque como nación no nos podemos permitir estar indefensos en la guerra híbrida general y global contra otras potencias. Y en algún momento alguien irá tocando en todas las puertas para que todo el mundo se securice. 00:21:18
Bueno, cuento la segunda parte. Esta segunda parte la tengo más cariño porque es un poco el día a día de mi trabajo. Es la oficina técnica de seguridad. Dentro de los organismos más o menos grandes y dentro de los centros de seguridad tenemos un elemento que se llama oficina técnica. 00:21:35
Que lo que hace es un poco gestionar proyectos y medidas y relaciones siempre relacionadas con ciberseguridad. Bueno, yo siempre que empiezo a explicar qué hacemos pongo esta diapositiva. 00:21:59
El Ministerio de Justicia es eso. Un laberinto. ¿Por qué? Porque tenemos distintos niveles de administración. Tenemos entidades tipo juzgado, entidades tipo órganos judiciales que son diferentes. Tenemos toxicológicos, institutos de medicina legal. Tenemos infinidad de historias. 00:22:16
Y todos ellos se interrelacionan entre sí. Y de un tiempo a esta parte todos ellos han empezado a tener o bien necesidades de seguridad o bien tienen que responder a cuestiones de seguridad. 00:22:42
Con lo cual tiene que haber alguien que descifre ese laberinto y que haga que una comunicación desde un equipo hasta otro llegue. O sea que tú te cojas la comunicación, andes por el laberinto y lo dejes en otro sitio. Esa es una de las principales funciones que tenemos. 00:22:56
Una oficina técnica de seguridad es un grupo de personas que trabajan dentro de lo que sería el centro de seguridad y se dedican a tareas transversales. Ahora vamos a ver las tareas que realizan y demás. Estas tareas transversales lo que hacen es una especie de orquestación de los servicios de seguridad. 00:23:14
Aquí tenemos como dos capas. La capa de equipos de seguridad que cada vez son más amplios. Tenemos el equipo de gestión de incidentes, el equipo de seguridad perimetral, el equipo de antivirus, navegación segura, correo seguro, auditorías. Tenemos un montón de equipos. 00:23:38
Esos equipos ya son tan grandes que incluso empiezan a tener problemas de relación entre sí. O sea, cuando auditorías pide que perimetral haga una determinada cosa, pues a veces hay que generar una especie de proyecto o de tarea para que uno haga lo que quiere el otro. 00:24:00
Pero auditorías, ¿qué tienen que hacer? ¿Cuál es el trabajo de auditoría? Auditar, ¿no? Si le ponemos a auditorías a perseguir que el otro haga tareas, no está auditando. Pero a mí me interesa que audite, ¿no? Para eso está la oficina técnica de seguridad, para desatascar esos casos. 00:24:22
Ahora, por ejemplo, que David lo conoce, porque hemos trabajado juntos, tenemos una relación muy buena con incidentes y con auditoría. De hecho, analizan todo a través de nosotros y les echamos esa mano para que ellos se dediquen concretamente a lo que tienen que hacer. 00:24:40
Es precisamente esta diapositiva. Gestionamos la comunicación. Hacemos que fluya. Yo he tenido la suerte de que la oficina técnica de seguridad y justicia la creamos nosotros, entramos de cero, y he visto cómo ha crecido todo y es una de las cosas de las que me siento más orgulloso de lejos. 00:25:02
O sea, porque cuando llegamos, la pregunta era, ¿tengo que hacer esto? ¿Con quién tengo que hablar? Porque hay infinidad de grupos que tienen que hacer esto. Entonces te costaba mucho tiempo de investigación determinar a quién hay que mandar las cosas, etc. Pues ahora ese tiempo se reduce porque ya hay un grupo de personas que están haciendo esa investigación y que están cogiendo expertise de cómo canalizar la comunicación. Pues esta es una de nuestras funciones. 00:25:23
¿Qué hacemos además? Analizamos todo lo que se quiera integrar dentro del ministerio. Por ejemplo, si se detecta una necesidad de un sistema anti-spam, pues nosotros analizamos qué tenemos ahora, qué tipo de comunicaciones tenemos, hasta dónde deberíamos llegar adquiriendo un equipo, qué marcas y modelos hay disponibles en el mercado que cubran las necesidades que yo tengo como equipo. 00:25:50
Me contacto con todos los proveedores para pedirle información técnica y cotizaciones para saber, aquí, aunque seamos un ministerio, la pela cuenta y vamos a gastar lo menos posible para que me coticen todas las aplicaciones. 00:26:20
Valoramos el impacto que tienen estas herramientas cuando yo las instale dentro de mi equipo. Valoramos cuestiones como si hay que hacer una migración de tecnología o no, o sea, si tengo que pasar de la marca X a la marca Y. Todo este trabajo se hace en la oficina de seguridad. 00:26:39
Y, curiosamente, también lo hacemos para software. Si alguien necesita un software nuevo, nosotros tenemos ahora que dar una opinión de seguridad para ver si se implanta en el catálogo. Nosotros lo analizamos, vemos si tienen gestión de vulnerabilidades, si han tenido vulnerabilidades críticas en el pasado que puedan poner en riesgo o desaconsejen el uso de este equipo. 00:26:59
Vigilamos también un poco la opinión que hay acerca del software, etc. Se hace un estudio bastante avanzado, además de las consecuencias que tiene la implantación dentro del ecosistema de justicia y todo esto. 00:27:25
Este es un trabajo que cada vez nos ocupa más tiempo. ¿Por qué? Porque cada vez estamos adquiriendo más software, sobre todo del tipo nube, que nos ayuda a hacer cosas y muchos relacionados con inteligencia artificial. 00:27:42
Con lo cual, tenemos que estar auditando, viendo dónde están los servidores para que cumplan con la normativa europea, viendo las medidas de seguridad, viendo el bastionado de esas plataformas en Azure o en AWS o donde sea. Tenemos que gastar ese tiempo y cada vez ya os digo que estamos dedicando más tiempo a este tipo de tareas. 00:28:01
Más cosas que hacemos. Arquitectura de seguridad. Somos los responsables de cuando se quiere implementar un cambio dentro de la arquitectura de la casa, valorarlo desde el punto de seguridad. 00:28:26
O sea, si tú vas a cambiar un flujo de cómo llaman unos servidores a otros, tiene que pasar por nosotros para validarlo desde el punto de seguridad, para ver que no tiene un posible efecto de seguridad. 00:28:40
Nosotros para esto tenemos un órgano, que es el Comité de Arquitectura de Seguridad, que cada vez que alguien quiere realizar un cambio, nos tiene que llamar para convocarlo, vienen, nos ponen el cambio, nosotros tenemos allí nuestros expertos que les dicen, esto va por aquí, esto va por allá, tenéis que hacer esto o esto no lo podéis hacer. 00:28:57
Y al final se acuerda una manera de hacerlo que no impacte en la infraestructura ni en la seguridad de la casa. Súper importante esto. De hecho, esta parte también está creciendo y estamos ahora buscando un arquitecto de seguridad nuevo para ampliar el servicio que estamos dando porque estamos teniendo una demanda excesiva. 00:29:19
Digamos que justicia está generando mucho cambio y muy rápido para acometerse un poco a los días de hoy, para modernizar o digitalizar la administración de justicia y esto nos está suponiendo que tengamos que ir creciendo en este sentido. 00:29:44
Más cosas que hacemos. Coordinación de equipos internos y externos. Hay ciertos equipos que tienen necesidad de ser coordinados y entonces nos ponen a nosotros ahí para gestionarles sus tareas, etc. Y cuando hablo de equipos externos me refiero a equipos que vienen temporalmente a realizar un trabajo puntual. 00:30:03
Por ejemplo, vamos a cambiar los concentradores de VPN y viene una empresa que ha ganado el pliego y viene a ponerlos. Entonces hay dos o tres personas que durante tres meses tienen una cuenta de justicia para poder trabajar dentro, asisten a los centros de datos para hacer los cambios y demás. 00:30:27
Pues todo eso se orquesta desde la oficina de seguridad. Se piden accesos, se les gestiona el proyecto, se les pide responsabilidades, se les lleva un control de cuándo acceden, cuándo no acceden y todo esto, con lo cual es súper importante. 00:30:49
Gestión de proyectos. Es algo en lo que gastamos aproximadamente el 50% de las energías de la oficina técnica de seguridad. Solo gestionamos proyectos de seguridad. No gestionamos la implantación de la aplicación X ni no. 00:31:04
Proyectos de seguridad. Más o menos el flujo que tenemos dentro de nuestro trabajo es cuando nosotros detectamos una necesidad que a lo mejor viene el jefe de área y te dice, oye, hay que comprar estos equipamientos de seguridad. Hacemos todo ese análisis y preparamos los expedientes. 00:31:23
Nosotros no hacemos expedientes. Preparamos documentación para que el funcionario X, responsable de hacer esa petición, genere el expediente y lo pase a contratación para que se haga el proceso de adjudicación y demás. 00:31:42
Nosotros hacemos todo ese proceso. Cuando se lo entregamos al funcionario hasta que lo volvemos a recibir, que es la parte de la adjudicación del expediente, es una caja negra. No sabemos lo que pasa ahí. Y aquí ya cuando está adjudicado, nos vuelve como proyecto. Y el proyecto se puede llamar implantación de componentes de ciberseguridad en la sede de no sé dónde. 00:32:00
Y con eso vamos generando un proyecto, hablando con todas las partes implicadas y demás. Este es el core más o menos de los proyectos que hacemos. Luego tenemos proyectos a medida que van surgiendo y demás. Pero más o menos la mayoría de los proyectos los gestionamos de esta manera. Nos nacen de las mismas necesidades que hemos analizado al principio de todo. 00:32:23
Una parte muy importante. Normativa y cumplimiento. Tenemos un equipo de cinco personas solo dedicadas a normativa y cumplimiento. Elaboramos las normas que se aplican a todo el Ministerio de Justicia en materia de ciberseguridad. Por ejemplo, ahora estamos haciendo una para el uso de los USB. ¿Por qué? 00:32:47
Porque diréis, coño, pues sí, por seguridad que nadie use USB, ¿no? Como van a traer de la calle un bicho, lo van a pinchar y todo va a correr. Ya, pero es que en justicia eso no funciona así. Porque hay sedes judiciales donde los expedientes vienen en un USB. 00:33:12
Entonces hay que dotar de medios para proteger esos expedientes y que pueda meter el señor el USB donde sea y que se descargue los expedientes. Entonces hay que hacer una serie de trabajos y demás. Pero todo eso hay que elaborar una norma. Porque hay zonas de la Administración de Justicia donde no se puede usar y hay zonas donde se debería poder usar. 00:33:27
Entonces todo ese tipo de normas se elaboran. Normas de uso de contraseñas, normas de uso del equipo laboral, el equipo de trabajo, tu PC, cuando te vas fuera del trabajo o no lo puedes ir por ahí llevando y haciendo lo que sea, pinchándolo en casa para luego meterte a sitios donde no te tienes que meter. Todo ese tipo de normativa la generamos ahí. Esa y la que nos llueve de la Unión Europea, claro. 00:33:48
De las normas que vienen de la Unión Europea. Hace poco ahora hemos tenido que estar trabajando, no sé si lo conocéis, con el tema del denunciante anónimo. 00:34:18
Que es una norma de la Unión Europea que dice que en todos los organismos tiene que haber un sistema de denuncia totalmente anónimo para casos de corrupción. Y eso está obligado por ley. Pues todo eso lo hemos tenido que aterrizar, acomodarlo a normativa y generar las medidas necesarias para poder hacerlas. 00:34:26
En la parte de cumplimiento, pues lo que os podéis imaginar, normas de lo que sería la empresa privada, la ISO 27001, que para nosotros es el esquema nacional de seguridad. Pues trabajamos en eso, trabajamos en cumplimiento, por ejemplo, ahora estamos imbuidos en el proceso de certificación del SOC para pertenecer a las organizaciones de SOC y cosas de ese estilo. 00:34:48
Algo que yo creo que es importante, el reporting. ¿Por qué? Yo tengo un jefe que nos echa la bronca porque hacemos muchas cosas pero luego no las sabemos transmitir. Y va luego el de desarrollo, le pone al botón de la aplicación de gris a rosa y lo venden como si hubieran hecho una base lunar en la Luna en la cara oculta. 00:35:12
A veces hay que saber venderse, hay que saber reportar, hay que tener cuadros de mando eficaces para que todo el mundo sepa lo que estás haciendo y en qué nivel de trabajo estás, pues ahí trabajamos también. 00:35:38
Y luego anualmente hacemos el informe INES que evalúa el estado del ministerio en torno a la ciberseguridad y es entregado al CCNF. 00:35:50
Apoyo en el cumplimiento del esquema nacional de seguridad. Aquí apoyamos de dos maneras. Una, en la certificación de sistemas. Nosotros este año estamos imbuidos en la certificación de 15 sistemas en el esquema nacional de seguridad de sistemas de lo que es la administración judicial. 00:36:05
Ya tenemos alguno certificado y vamos a dar ese salto a tenerlos a nivel alto la mayoría de ellos. Y aquí es súper importante que tengamos una metodología dentro de la casa y demás. 00:36:31
Esto es como el que hace una carrera, que cuando hace la segunda carrera pues ya le quitan asignaturas. Pues al haber hecho una adecuación de un sistema has pasado por muchos sitios que cuando vas al segundo ya están en forma y ya puedes pasar a otros temas y cuando haces el tercero pues menos necesidad. Así hasta que te centras casi solo en la parte de detalle de cada servicio y demás. 00:36:45
Nuestro trabajo es ese. Elaborar ese tipo de itinerarios para que podamos tener la información y entregarla para adecuar a los sistemas. Y lo segundo en lo que trabajamos es en la adecuación al esquema nacional de seguridad del puesto de usuario. Algo que es muy importante. 00:37:15
Y esto puede parecer complejo pero es súper sencillo. Nosotros nos preocupamos de que todos los equipos que están bajo nuestro ámbito cumplan una serie de normas y lo hacemos a través de un script que tienen las herramientas del CCNC que se llama Clara. 00:37:34
Que nos dice a qué nivel de cumplimiento está un equipo con respecto del esquema nacional de seguridad. Y esto se va pasando y vas obteniendo un resultado en porcentaje de a cómo estás, por ejemplo, del nivel alto, del nivel medio o del nivel bajo. 00:37:54
Y esto nos permite también decirle al puesto de usuario, oye, tienes que afinar en este punto, en este punto, en este punto y en este punto para adecuarnos al esquema nacional de seguridad. Y es algo bastante importante porque al final si conseguimos ponernos a un nivel por encima del 90% podríamos definir que nuestro puesto de usuario tiene un nivel de seguridad alto, bastante alto. 00:38:10
Mi experiencia cada vez que se pasa por ahí el script, en otros organismos también, es que normalmente están entre el 50 y el 65% los equipos de seguridad. El objetivo es llegar al 90%. Hay mucho trabajo por hacer porque cada cosita que vas cambiando y vas mejorando pues te da un pequeño porcentaje de aumento. 00:38:34
Con lo cual ahí se gastan bastante tiempo y demás. 00:39:00
Y ya para finalizar un poco, ¿qué hacemos? Pues tenemos unas personas dedicadas a gestiones administrativas de ciberseguridad. Altas de usuario, bajas de usuario, accesos de VPN, todo este tipo de tareas administrativas que hay que llevar un control porque nosotros, por ejemplo, revisamos nuestros accesos mensualmente. 00:39:05
O sea, el acceso al edificio, el acceso a las cuentas, el acceso a las cuentas privilegiadas de cierto tipo se audita cada mes. Y entonces es la oficina la que determina si hay que quitar o poner o pedir que se dé de alta o de baja a una determinada persona. 00:39:28
Es un trabajo administrativo que suele llevar una cola y demás, con lo cual es bastante largo. Y aparte de todo esto, hacemos muchas cosas más. Gestionamos vulnerabilidades, hacemos seguimiento de que se apliquen las recomendaciones de auditoría para el parcheado de vulnerabilidades. 00:39:47
Adecuamos, ¿sabéis lo que son las guías PCN Stick? Pues nos cogemos las guías, las partimos en tareas y se las entregamos a los equipos afectados. Por ejemplo, bastionado Microsoft, toma. Bastionado de equipo Fortinet, toma. Bastionado de Cisco, toma. 00:40:10
Y hacemos seguimiento para que se vayan cumpliendo lo que serían las buenas prácticas de estas guías. Y luego tenemos un cajón desastre de cosas que nos pueden llegar de todo tipo. Y poco más. Preguntas que queráis hacer. 00:40:31
Yo te quería hacer una pequeña pregunta para que podamos todos un poco tener el impacto de la ciberseguridad en alguna administración del estado. ¿Cuántas personas calculas que trabajan en torno a la ciberseguridad en tu ministerio? 00:40:49
¿Calculo o te lo digo exacto? Recuerda que somos los que damos los accesos y demás. Mira, en mi oficina somos 8. Y somos la oficina técnica, somos un subgrupo. Bueno, 48. 00:41:09
En lo que sería el grupo total de perimetral, navegación y correo seguro, gestión de identidades, certificación, auditoría, incidentes. Más o menos así. Diréis, es mucha gente. Claro, así se puede, tal. 00:41:28
Perís un juego de gente. Pues nos hace falta más. Aunque no os lo creáis, nos hace falta más. De hecho, yo creo que los equipos están sobrecargados. El departamento donde trabajaba David, el año que viene se va a duplicar. 00:41:44
¿Por qué? Porque ahora para salir a producción tienen que tener una auditoría favorable. Es que él hacía como 3 o 4 hombres. Entonces, para que os hagáis una idea, ha aumentado mucho la necesidad de las aplicaciones de que las tengamos que auditar para que salgan a la luz. 00:42:01
Entonces ahí necesitan más gente. Es una movida. Yo creo que incluso casi duplicándolo estaríamos ahí en un punto de equilibrio. Ni bien ni mal. Estaríamos casi en lo justo. Pero hacemos mucho trabajo. 00:42:21
De hecho, nuestro responsable, el CISO, siempre nos echa la bronca porque, claro, le vamos a contar los proyectos de semana en semana. Y siempre nos dice lo mismo. Es que esto no ha avanzado nada. Pero cuando al final del año, que tenemos que hacer un informe de todo lo que ha pasado en el año, ves todo lo que has hecho y dices, uah, la hostia. 00:42:41
Y si encima hubiese tenido más gente, hubiera podido hacer mucho más. Luego también es verdad que no es solo la cantidad. A veces la calidad interviene mucho. No vale tener 10 personas que son superjuniors que a veces llegan las cosas y se miran así los unos a los otros como diciendo, a ver si la coges tú para no cogerla yo. 00:43:00
O tener una persona senior que pueda hacer el trabajo de los 10 juniors. A veces es un poco esa la situación. El problema es que cada vez hay menos seniors. Paradójicamente. Yo no diría que nos estamos jubilando porque estamos la mayoría en los 50. 00:43:26
Todavía nos quedan 20 años hasta que nos jubilemos. Pero hay mucha gente que también sale del sector y se va a otros sitios. Este es un trabajo estresante en cierta manera. Ciberseguridad es un negocio en el que te levantas todos los días pero no sabes lo que vas a hacer. 00:43:46
Porque tú vas pensando que vas a hacer una cosa pero de repente alguien ataca a alguien como decía Gila y ya estaría. Ya estamos todos corriendo. 00:44:04
Te he oído hablar de varias herramientas del TCN. Vamos a ir incorporando unas. Una recomendación al respecto. Primero, en general, como grupo de herramientas, ¿son muy buenas herramientas o no lo son? Y segundo, en concreto, una que nos trae un poco de cabeza que sana para las vulnerabilidades, ¿es una buena herramienta? 00:44:16
Lo primero, desmitificar el tema de las herramientas del TCN. No son más que una selección de buenas herramientas de terceros. Lo que pasa es que luego les llaman como le quieren llamar. Ponen nombre de chicas de Almodóvar. Ana es buena herramienta para la gestión de vulnerabilidades. 00:44:41
Está basada en un software, no recuerdo el nombre por fuera, pero es una muy buena herramienta para hacer la gestión. Nosotros es que casi utilizamos, no te digo todo el catálogo porque es extenso, pero para cada. 00:45:02
Ayer, por ejemplo, Hermia me parece que se llama. Nos ofrecieron probar una nueva herramienta que se llama Hermia, que es para compartir secretos, que es la de Raúl Siles, me parece. Y vamos a entrar al trapo porque nos interesa. ¿Por qué? Porque hasta ahora, cuando yo me quejo mucho de que a veces somos ultra talibanes de la seguridad y a veces relajamos las medidas de seguridad, que te cagas. 00:45:19
Un tío que me ha ganado un expediente me dice, pásame la configuración de tu firewall y vas tú y se la pasas para que haga la migración sin ninguna medida de seguridad. Hermia nos permite hacer ese traslado de información, pero en un entorno cerrado y demás. Algo que hacíamos antes con Carla, pero menos restrictivo. 00:45:49
Yo si te recomendaría de usarla. No sé si conocéis la plataforma de formación del CCNC. Es muy buena para hacer formación sobre todo este tipo de herramientas. Yo cuando tengo un cierto tiempo he hecho un vistazo y he hecho muchos cursos ya ahí, pero intento ver si lo puedo hacer. Antes era privada, ahora está casi todo abierto. 00:46:11
De hecho, ha estado aquí Víctor Niquil de Ponente, que es el tipo de Elena, y estuvo hablando sobre ella también para que se viera como en alguna de las herramientas. Respecto a la herramienta que comentabas de Raúl Siler, spoiler, el 30 de noviembre saldrá la forma CCNC. 00:46:35
Sí, ya os digo que están un poco ahí on fire con ese tema, porque a nosotros que nos tienen un poco como metatester de todo lo que sacan, pues nos lo han propuesto. Y es porque seguro que van a intentar empujarlo para que vaya hacia adelante. 00:46:53
Creo que es una buena historia que tú puedas compartir cosas con terceros o con gente de tu organización teniendo un cierto control sobre quién lo puede ver y quién no. Esto es muy básico. Nosotros, por ejemplo, usamos una herramienta que yo creo que es muy recomendable, que es Carla. Carla en la vida real se llama Shilpa y es otra herramienta de ámbito español. 00:47:15
Es una cosa que hace muy bien el CCN, que es elegir las herramientas de proveedores españoles si los hay. Y esta herramienta, Shilpa, lo que hace es a cualquier tipo de documentación le pone un caparazón de seguridad y no deja que nadie que no esté dentro del caparazón pueda ver la información. Entonces, es algo súper interesante para compartir esta información con otros y demás. 00:47:41
Permiso a errores y fecha de cautiverio. 00:48:07
Sí, sí. Y eso es. Nosotros, para que os hagáis una idea, pues la estamos usando en casos como, bueno, entiendo que no lo sabéis. Imaginaos un caso de estos de supermediáticos. Ahora creo que hace poco se ha pasado con uno en la zona de Galicia. 00:48:09
El típico caso que cierran porque no pueden tirar más del hilo. La Guardia Civil ni la Policía Judicial pueden tirar más del hilo. Pero a los años, de repente, lo reabren y cogen al tiro. 00:48:31
Muchos de esos casos se resuelven con una aplicación que es una base de datos que está en los institutos de medicina legal y en los institutos toxicológicos. 00:48:47
Que lo que hacen es, cuando ellos tienen una huella de ADN o cualquier perfil biológico, lo pasan por la base de datos y si hay una similitud se levanta lo que llaman un pre-match. 00:48:59
Ese pre-match obliga a estos institutos a notificar a policía, guardia civil y policías forales o regionales que se ha encontrado esa huella. Y esa huella casa en algún sitio. Es como una pieza de puzzle que faltaba en alguno de los crímenes que se han dejado sin resolver. 00:49:16
Ya os digo que hace poco en Galicia ha salido uno de una chica que habían violado y habían matado en mitad del campo a un tío que era cazador. De repente aparece el pre-match y lo dio un perfil genético de un hermano o familiar de nivel cercano. 00:49:37
Y en otra cosa lo da y levanta la pieza y se puede meter esa pieza en ese sitio. Para hacer esa comunicación, que es ultra secreta, se utiliza este tipo de herramientas de protección de información. 00:49:59
Cuando el juez no quiere que nadie se entere que van a ir al laboratorio de droga a hacerle la redada, usan este tipo de herramientas. ¿Por qué? Porque si lo mete por el cauce habitual lo ve media sede judicial. 00:50:16
Si hay alguien ahí compinchado, hace así. Manolo, que la visitas mañana a las 8 de la tarde. Cosas de ese estilo. Bueno, aparte de que hay muchas más herramientas y podéis usarlas y demás. 00:50:31
Pero ya os digo, mi consejo es revisar la formación del CCN y ahí vais a adquirir expertise en las herramientas y demás. 00:50:44
Más preguntas. 00:50:54
Una pregunta un poco más compleja. ¿Cuál sería el nivel de liada de una institución, sea AG, sea provincial, administración local, como para que llegue el CCN y diga, quedas intervenido. A partir de ahora vas a hacer esto, esto, esto, esto. 00:50:56
No hay ningún nivel, para empezar. El caso Lesley, al final no era tan importante como parecía. Fue más mediático de lo que técnicamente era. Estaba mal construida la aplicación. 00:51:11
Fueron 60 millones de gastos iniciales. 00:51:32
Digamos que justificó un poco la situación. ¿Dónde debería estar la vara de medir o el listón para que venga el CCN y te gestione la ciberseguridad? Cuando tú no seas capaz de gestionarla. 00:51:36
Cuando el incidente te sobrepase tanto como que no puedas gestionarlo. Imaginaos que Comunidad de Madrid es atacada y tiene un ransomware general y pasan las semanas y nadie le da la vuelta. 00:51:49
Llegará un momento en el que alguien tendrá que intervenir. Eso hace nada, ha pasado. En el SEP. Ha pasado en el SEP. Toda la parte de vuelta del ransomware, que se preveía que iban a ser meses. 00:52:05
Al final fueron un mes y medio o algo así. Ahí entró el CCN. Está bien. Al final también tenemos que alegrarnos de tener un hermano mayor. 00:52:22
El no podamos a veces es no tener recursos. Porque a veces un ayuntamiento no tiene recursos para poder intervenir. Y no digo el caso del ayuntamiento de Sevilla, que seguramente tenga recursos para hacerlo. 00:52:37
Pero hay ayuntamientos de 70.000 habitantes, 50.000 habitantes, que gestionan mucha información pero no tienen recursos suficientes. De hecho ahí el CCN está haciendo un trabajo de ir metiéndose ya en este tipo de corporaciones locales y regionales. 00:52:57
Más preguntas. 00:53:17
Nos has comentado que dentro de tu departamento hay diferentes departamentos, cada uno dedicado a un área. Si tuvieras que priorizarlo, empezar de cero y decir por dónde empiezo y poner las piezas un poco en orden. 00:53:19
Aunque luego se haga crecer en paralelo, ¿por dónde empezarías? 00:53:47
Es evidente que el perímetro lo tienes que controlar. Tienes que tener una defensa perimetral externa con tus firewalls externos y una defensa interna para que los departamentos no tengan barra libre entre sí y se controle. 00:53:51
Nosotros, por ejemplo, hacemos filtrado de navegación de dentro a fuera, de fuera a dentro, pero también hacemos filtrado de navegación interna. Uno. Defensa perimetral. Dos. Pues seguramente me metería en todo el tema de correo seguro. 00:54:10
¿Por qué? Porque ahora, ¿por dónde vienen los ataques? Pues porque a Manolo le llega un email. Oye, ponme aquí las claves de tu trabajo que vas a ver la nómina. Manolo le dice nómina y claves en un mismo mail y las pone. 00:54:27
Pues me metería en temas de antiespan, lo que sería correo seguro y todo esto. Antivirus, por supuesto, que es securizar el puesto de usuario. Los hay mejores y peores, pero hay que saber seleccionar un buen antivirus para que te quite de muchos quebraderos de cabeza. 00:54:44
¿Vale? Una vez que tienes ya securizado, ya me metería en. Vale, tengo esto. A partir de ahora que necesito responder incidentes porque ya el Fargo me va a decir cosas, el antivirus me va a decir cosas, el correo me va a decir cosas, la vida me va a decir cosas, o sea, el usuario de securidad me va a decir que tiene un jaleo. 00:55:07
Gestionar incidentes. Luego mejora continua. Auditorías. Y a partir de ahí ya empieza el ecosistema a rodar solo. Las auditorías piden que se resuelvan vulnerabilidades, con lo cual hay que tener un servicio de gestión de vulnerabilidades. Empiezas a tener temas de normativa y cumplimiento, pero bueno, más o menos el orden sería por ahí. Siempre lo primero, el perímetro. 00:55:31
¿Vale? Venga, más preguntas. No cobro, eh. 00:55:58
¿Qué pinta el NS? 00:56:03
El NS, todo. El NS es el marco que nos damos para nivelar nuestra seguridad. O sea, es el que me va a decir si tengo que tener una contraseña de 18 caracteres o no. O el que me va a decir si un usuario puede ser administrador local de su máquina o no. 00:56:04
Te he dicho dos cosas que parecen pelo grulladas, pero están en el NS. O si tienes que caducar la sesión del usuario. La movida de todo esto, que yo es lo que discuto en todos lados, es que si nos dan un checklist de cosas que tenemos que hacer para securizar, coño, hagámoslas. 00:56:25
¿Qué nos cuesta seguirlas? Hay cosas que no podemos hacer por cuestiones de política interna de la casa. Me refiero que hay medidas del NS, pero eso se anota y se dice, esto no se puede hacer porque eleva un riesgo de que esta aplicación se caiga. 00:56:42
Pues nada, esto no se puede hacer y asumimos el riesgo. Eso es lo que hay que hacer. Pero el NS es básicamente todo. De hecho, si empezáramos por el cero, me cogería el NS para ir guiándome en lo que tengo que hacer. 00:57:00
Porque el esquema nacional de seguridad me dice que si quiero hacer seguridad perimetral tengo que tener unos equipos en la parte exterior que comuniquen mi organismo con la parte exterior de interior a exterior y también me dice que tengo que tener otros interiores. 00:57:20
Pero el NS me dice una cosa más y muy interesante, que las tecnologías tienen que ser diferentes. Fíjate en lo que me ha ayudado ya. ¿Por qué? Porque si me pillan el Cisco no me pillan el Forti o si me pillan el Palo Alto no me pillan el Sofos. Fíjate en lo que me ha ayudado ya con haberme leído una línea del esquema nacional de seguridad. 00:57:38
Otra pregunta en relación a eso de aquí, para situarte un poco. Nosotros hemos comerciado con la FED de ciberseguridad hace un par de años. Por ahí, claro, no sabíamos por dónde empezar porque empezamos tirando del NS. 00:58:02
Había ya muchas cosas pero estamos intentando estructurarlas. Yo soy el que tira de todo eso. Mi gran pregunta o lo que a mí me ayudaría es que yo veo que para que esto realmente tire para adelante hace falta lo que es el alto nivel del NS. No me refiero a estar en el nivel alto sino que la directiva se implique realmente y eso de ahí acaba llegando a las calidades adecuadas. 00:58:14
Si tú lees novelas de ciberseguridad en todas sale este capítulo. La implicación de la dirección. ¿Qué es lo que pasa? Pues pasa lo que pasa en todos los sitios. 00:58:44
Cuando a ti te da el arrechucho en la patata, dejas de fumar. Pues cuando a ti te pegue el arrechucho, pues los de arriba dirán, ostia, cuidado, vamos a poner más carne en el asador en este punto que lo mismo nos va a costar la cabeza alguno. Y esto funciona, sí, en todos los lados. Pero sí que es verdad que la implicación es importante. 00:59:05
¿Habéis intentado certificaros en el NS en alguna historia? 00:59:27
Estamos ahora con una editorial para hacer el plan de aplicabilidad y estamos ahí generando normativas, pero lo que pasa es que ahora mismo estamos en un cambio de consejería, de educación a digitalización, que también debemos saber qué significa eso. 00:59:30
Pero claro, la directiva que más o menos parecía que ya estaba dispuesta a hacer un comité de seguridad, por ejemplo, pues ahora tenemos que vender eso todo a los nuevos y a ver si… 00:59:47
¿A vosotros os afecta el COX o sabéis lo que es el COX? El COX es como una especie de gran centro de operaciones de ciberseguridad que van a montar para todas las entidades públicas y yo creo que al principio van a ser de la Administración General del Estado. Bueno, pues el COX nos ofrece auditorías de NS para sistemas de manera gratuita. 00:59:56
Es que seguramente, lo que te comentaba, cuando se esto estabilice, a depender de la consejería de digitalización, seguramente la nueva agencia de ciberseguridad, la comunidad de Madrid, que empieza en enero, pues a lo mejor tiene algo que decir sobre eso, ¿no? Y viene por ahí la dirección. Estamos en un buen momento un poquito. 01:00:21
Sí, pero bueno, ¿qué es eso? Es un poco la historia de siempre. 01:00:39
Venga, más preguntas. 01:00:46
Yo, Raúl, a título personal, a mi opinión, nosotros yo creo que lo mejor que tenemos es que nos hemos basado siempre en unos valores y entre ellos está la utilización prácticamente al 100% del open source. 01:00:47
Hemos estado en otros organismos y demás y efectivamente han tenido muchísima gente y han crecido mucho en el ámbito de la ciberseguridad y bajo mi punto de vista creo que tiene un poco de dato por la utilización de empresas, en este caso, da la casualidad que todas son americanas y como Microsoft, Google, etc. 01:01:03
¿Cuál es tu opinión con respecto a la ciberseguridad y el utilizar open source? Ya que CCNC, si no me equivoco, y las herramientas que tiene, en gran medida están basadas en Microsoft y estas otras empresas, americanas, son los buenos, creo que es lo que dicen, hasta que un día luego no sean y nos vendamos todos a… 01:01:28
Voy a intentar sintetizar acá Raúl, es verdad que a mayor Microsoft, mayor importancia que vaya ransomware que se utiliza por otras empresas. 01:01:52
Yo sin embargo, a ver, dos cosas, estoy de acuerdo con el tema del open source porque te da libertad y no solo la libertad de hacer lo que quieras, sino la libertad de saber que tu información está donde está y no va a estar en otro sitio aunque tú no lo sepas. 01:02:01
¿Cuál es el riesgo de estas empresas americanas? Que por delante son todo muy buenas palabras y al final la información que almacenamos en servidores de Azure o en servidores de AWS o de donde sea, o de Google, esa información es accesible para otro. 01:02:22
Llámale administrador de sistema, llámale el jefe del nodo madrieste o llámale lo que sea, pero es accesible y no tienes garantía, entre comillas, porque yo sí que sé, la retórica es que es posible, o sea, te pueden garantizar que la información no va a salir de ahí, pero no sabes si la información va a ir al gobierno de Estados Unidos. 01:02:44
¿Por qué? Porque Microsoft le debe pleitesía al gobierno de Estados Unidos y si le dice así, le tiene que dar lo que le pida. Entonces, sabemos que es ilegal, pero a ver, todos también sabemos que los reyes son los padres, y lo siento si alguno no lo sabe. 01:03:07
Pero esto es así. Entonces, si tú vas por el open source, tienes la seguridad de que cierta información que tú estás manejando se quede en tu tejado, que luego a lo mejor por otro lado llega, pero eso. Y a la segunda, a mayor, creo que me dicen, mayor nivel de implantación de Windows, mayor facilidad para el ransomware. 01:03:25
Digamos que Windows, Microsoft en general, mayor cantidad de vulnerabilidades, mayor posibilidad de ransomware, menos securizado quizá, que existe más Linux. Los malos han desarrollado más cosas para Windows que para Linux. 01:03:47
Al final es una guerra de porcentajes. O sea, hay más para Windows porque la gente usa más Windows. Es así. Si de repente todo el mundo usara más Linux, hay una pequeña leyenda urbana que dice que Linux es invulnerable. No, es igual de vulnerable que los demás. 01:04:00
Con lo cual, ¿qué más te da? A ver, no te digo qué más te da porque ahora sí que es verdad que si utilizas sistemas Linux o tal, pues vas a tener una probabilidad menor de recibir un ataque de este tipo. Fíjate que hasta hace cuatro días los MAC eran considerados equipos bastante seguros y en este transcurso de la guerra de Ucrania, no sé si sabéis lo que pasó en la guerra de Ucrania. 01:04:19
Cuando había mucho avance táctico de Rusia contra Estados Unidos o de Estados Unidos contra Rusia porque unos tenían unas vulnerabilidades y otros tenían otras, ¿vale? Los Zero Day, famosos. ¿Qué han hecho? Pues Estados Unidos, que conoce que Rusia está atacando por este Zero Day, lo ha sacado al mercado y lo ha quemado. 01:04:43
De tal manera que han empezado a sacar, a sacar, a sacar y ahora resulta que Macintosh también tiene sus historias. Con lo cual, a veces es un poco el juego de las probabilidades. Sí que es verdad que Microsoft es más permeable porque hay más atacantes orientados hacia esa plataforma. También es verdad que si se configura bien el sistema, las probabilidades bajan. 01:05:05
Claro, esa es un poco la idea. Vale, yo os puedo contar, hace seis años estuve en un incidente importante, todo equipos Windows, pero el problema no era Windows, el problema era que había una capacidad de poder caminar por las redes como si aquello fuera la casa de uno. 01:05:33
Los niveles de seguridad de las contraseñas y usuarios eran del estilo PP123 y cosas así. Y era una empresa clave para que se puedan celebrar elecciones en este país. Y no es Indra, es otra, la que hace las papeletas. 01:05:59
A un mes, fijaos la situación, a un mes de unas elecciones locales y municipales y regionales, le meten un ransomware a la empresa que tiene que mandar todas las papeletas a todos los sitios. ¿Cómo te lo comes? Un mes exacto. ¿Casualidad? Ataque dirigido. Pues ahí va el tema. 01:06:25
Quien entró, también os lo decimos porque estuvimos en el análisis del incidente, quien entró probablemente por casualidad o de una determinada manera, vendió a quien fuera el acceso y al que le vendió estuvo esperando pacientemente el tiempo necesario para poder hacer las cosas. 01:06:47
Cuando digo estuvo esperando pacientemente, estuvo haciendo inventario de las máquinas que había. ¿Para qué? Para saber a cuál había que dar primero, cuál era la base de datos, cuál no les interesaba, todo ese tipo. 01:07:09
Y cuando llegó el momento adecuado, se detonó el ransomware. ¿Vale? Con lo cual, fijaros la situación. 01:07:23
A veces las cosas parecen sencillas y otras no tanto. Venga, más preguntas. 01:07:49
Si nos puedes contar ya la parte, no de trabajo, sino de ocio, pero también de cuidada y seguridad, de Honeycomb y Honeysec, ya que va a ser la semana que viene, pues cuéntanos un poco lo que es. 01:07:57
Aparte del trabajo, uno tiene hobbies y en Guadalajara, que es de donde soy yo, tenemos una asociación de ciberseguridad, que lo que hacemos es principalmente ayudar a chavales que salen del FP, que quieren orientarse al mundo de la seguridad informática, pues a que den sus primeros pasos. 01:08:11
O sea, que no se tiren directamente a ir a una empresa, sino que haces tus cursos, certificate en esto, y luego nosotros ya tenemos un cierto nivel de relación con empresas, pues los vamos moviendo por distintos sitios para que vayan teniendo sus primeros trabajos y vayan haciendo eso. 01:08:33
Todo eso, que es una de las partes que hacemos, eclosiona en noviembre en un pequeño congreso de seguridad muy familiar que hacemos en Guadalajara, que son el 2, el 3 y el 4 de noviembre, y hablamos un poco de todo. 01:08:51
El año tenemos a Ciberpoli, a Lorenzo de Securizame, a Ruth Sala hablando de normativa y temas de ciberseguridad, tenemos gente del INCIBE, tenemos bastante variado el tema de charlas. 01:09:06
El viernes por la mañana hacemos un taller de ciberinvestigación para Cuerpos y Fuerzas de Seguridad del Estado, que va el David, invitado, y el sábado tenemos un taller de Guazú y una especie de vermouth que hacemos para cerrar el congreso. 01:09:22
Y el jueves, por la tarde, hacemos Hack & Beers, que es una forma lúdica de tomarte una cerveza hablando de ciberseguridad, y ahí doy yo una charla de inteligencia artificial y herramientas de investigación criminal, de cómo se está moviendo el mundo ahora en ese ámbito e incluso qué nuevos retos nos pueden traer. 01:09:43
Todos los eventos son gratuitos, todos los eventos todavía para la parte del viernes por la tarde hay entradas, porque tenemos aforos reducidos y tenemos que controlarlo mucho, pero vamos, los talleres están ya cerrados, para Hack & Beers queda algo también de entradas, ese tipo de cosas. 01:10:05
Así que estáis invitados, si queréis ir el viernes a las charlas, por allí estaremos. Y esto un poco de casi persona de vida ambulante de conferencias de seguridad, animaros a ir a conferencias de seguridad, se aprende un montón. 01:10:22
Pero un montón, incluso personas que están empezando te enseñan a que tú veas cosas que no las estabas viendo desde ese punto de vista. Hay que saber escuchar y ver, y asistir a los sitios y ver lo que todo el mundo opina sobre la ciberseguridad. Y por suerte en este país casi tenéis una cada 15 días. 01:10:39
El sábado pasado hubo una en la Navidad, en Madrid, y había cosas que no se venían en curso ni en la tele, como hackeo de vehículos y cosas así que no son tan habituales. 01:10:59
Nosotros estamos la semana que viene, la semana siguiente están en Asturias, en Oviedo y así. Más o menos de aquí a final de año, cada 15 días tenéis una en un sitio diferente que podéis elegir y demás. 01:11:10
Luego llegan las Navidades y empezamos con Alcalá, Cuenca y así. Vamos de árbol en árbol como la ardilla de la dandería. Y además es divertido, conoces a mucha gente. Yo por ejemplo a David le conozco de habernos visto por primera vez en una conferencia de seguridad. Luego hemos trabajado juntos. 01:11:25
Pero la primera vez que nos vimos fue en una conferencia de seguridad. Conocéis a un montón de gente, tenéis formaciones que es que ni pagando las vais a encontrar porque hay veces que hay cosas que no se pueden explicar de manera arreglada ni legal. 01:11:43
Así que bueno, animaros mucho a este tipo de historias, que también es cultura y es ciencia. Aquí en España tenemos la suerte de que tenemos muy buenos profesionales de ciberseguridad y que son muy permeables. 01:11:59
Los puedes ver tanto en las jornadas del CCNC como en RUTED, que es pagando. Pero puedes ver al mismo tío gratis en Alicante. Perfectamente. Y te van a contar las cosas. Aquí en España el que no va es porque no quiere. Porque tiene oportunidades de todo tipo para poder asistir a estos eventos. 01:12:18
Así que nada, lo he dicho. He invitado a Stein. 01:12:44
Pues muchas gracias. 01:12:47
Idioma/s:
es
Idioma/s subtítulos:
es
Autor/es:
EducaMadrid
Subido por:
EducaMadrid
Licencia:
Reconocimiento - No comercial - Sin obra derivada
Visualizaciones:
58
Fecha:
27 de noviembre de 2023 - 15:16
Visibilidad:
Público
Duración:
1h′ 12′ 54″
Relación de aspecto:
1.78:1
Resolución:
1280x720 píxeles
Tamaño:
472.09 MBytes

Del mismo autor…

Ver más del mismo autor

EducaMadrid, Plataforma Educativa de la Comunidad de Madrid

Plataforma Educativa EducaMadrid