Entrevista

Francisco Valencia: "Se hacen necesarios acuerdos policiales globales en la lucha contra el cibercrimen"

Entrevista
Francisco-Valencia-Securit_EDEIMA20170608_0009_1.jpg

Entrevistamos a Francisco Valencia, Director General de Secure&IT y experto en ciberseguridad.

P - ¿Qué es lo que mueve a Secure&IT a organizar la jornada tecnológica Seamos prácticos: medidas organizativas y técnicas de adecuación al RGPD?

R - En Secure&IT pensamos que, como empresa especializada en seguridad de la información y en cumplimiento, una de nuestras funciones es transmitir conocimiento a la sociedad y concienciar a las personas acerca de la necesidad de estar protegidos ante ciberataques.

En nuestra compañía apostamos mucho por la formación y la concienciación: publicamos consejos de seguridad en redes sociales, hemos puesto en marcha una revista semestral, impartimos charlas a menores en colegios e institutos y celebramos eventos de este tipo, en los que la participación es gratuita. En definitiva, tratamos de hacer cuanto esté en nuestra mano para lograr una mayor seguridad.

En esta ocasión, nos hemos centrado en el nuevo GDPR porque creemos que usuarios y empresas se enfrentan a la implantación de este nuevo modelo de privacidad con mucha incertidumbre.

P- Para quién no conozca Secure&IT ¿podría presentarnos ésta, su compañía?

R- Somos una empresa creada en 2009, formada por abogados, ingenieros, consultores, peritos judiciales, hackers y expertos en redes y sistemas informáticos, que trabajamos exclusivamente en ofrecer servicios de seguridad de la información, cumplimiento y continuidad de negocio a empresas e instituciones de cualquier sector y tamaño.

Entre nuestros servicios destacan:

- Servicios de consultoría, auditoria y formación en seguridad,

- Adecuación a estándares ISO27001, ISO22301, ISO20000, PCI-DSS, etc.,

- Adecuación a cumplimiento en derecho TIC, incluyendo GDPR, Código Penal, Propiedad Intelectual, etc.,

- Gestión de contratos informáticos,

- Peritajes judiciales informáticos forenses,

- Instalación de sistemas de seguridad 8firewalls, antimalware, criptografía, gestión de derechos, etc.),

- Vigilancia de la seguridad desde nuestro SOC-CERT,

- etc.

P - Retomando el tema de la necesidad de la adecuación al RGPD ¿por qué es trascendental asumir dicha adecuación en el gobierno IT de las empresas y corporaciones?

R- El nuevo marco normativo, tanto si nos referimos a delitos penales, como si hablamos de protección de datos de carácter personal, tiene la filosofía de que sea la empresa quien establezca sus propias medidas de seguridad, en base a un análisis de riesgos que debe realizar. Eso implica no solamente al gobierno TI, sino también al corporativo. Todas las áreas de la empresa involucradas en la gestión de información (incluyendo asesoría jurídica, tecnologías de la información, económico-financiero y recursos humanos) deben participar en el proyecto.

P - ¿WannaCry marca un antes y un después en el ámbito de las ciberamenazas o simplemente se trata de una constatación más de una realidad vigente de la que no somos o no queremos ser conscientes de su existencia?

R- WannaCry no ha sido el primer ataque informático, ni será el último, ni ha sido el más grave. Solo ha sido el más mediático. Se han detectado intentos de ciberataques contra infraestructuras críticas; contra gobiernos y administraciones; contra empresas (como los ataques a Sony, Ashley Madison o Yahoo), en los que se ha robado información muy sensible para las compañías; y contra personas. Esa información ha sido vendida y empleada para chantajes, robo de activos financieros o para investigación, que permita alcanzar los objetivos de delitos “tradicionales” (como tráfico de armas, de drogas o de personas). Por ejemplo, se puede emplear una cuenta bancaria de una víctima para pasar dinero entre países o usarla como un canal de robo de dinero.

P- ¿Qué instrumentos normativos considera que faltan o requieren mejorarse por parte del Legislador en el sector de la Ciberseguridad?

R- El legislador, tanto nacional como europeo, está haciendo bien sus deberes. Se echa en falta una mayor eficacia y eficiencia en la implantación de esta normativa. La persecución de los ciberdelitos es compleja porque pasamos de un mundo dividido por fronteras, a otro que no las tiene; de un mundo con reglas, a otro que no las tiene. Se hacen necesarios acuerdos policiales globales en la lucha contra el cibercrimen, pero al tiempo, es necesario garantizar la accesibilidad a los contenidos y la independencia de la Red, que es una fuente de crecimiento global.

P- ¿En qué consiste la ‘Seguridad 360º’ de Secure&IT?

R- A través de lo que en Secure&IT se ha denominado “Seguridad 360°” es posible ofrecer una cobertura completa al cliente. ¿Cómo? Ayudando a las organizaciones a establecer un Sistema de Gestión de Seguridad de la Información, basado en cuatro pilares fundamentales: la Protección de Datos y el cumplimiento normativo; los Procesos Corporativos de Seguridad; la Seguridad Informática, y la Seguridad Gestionada, a través de nuestro Centro de Operaciones de Seguridad (SOC).

De esta manera se puede hacer un seguimiento constante de la empresa; llevar a cabo auditorías en todas las materias (Protección de Datos, Seguridad Informática y Procesos); establecer un plan de actuación; asegurarnos de que la empresa cumple la normativa; implantar las medidas tecnológicas necesarias; establecer procesos corporativos de gestión de la seguridad; certificar a la organización conforme la norma ISO 27001; integrar los sistemas de TI en un SOC y, además, impartir formación continuada.

P- En cuanto al Compliance IT ¿han pensado en crear un sello de calidad que certifique el nivel óptimo de cumplimiento regulatorio en la materia por las empresas y resto de corporaciones?

R- Secure&IT dispone de un certificado propio, llamado GOLD SECURITY, que garantiza que la empresa titular tiene implantado no solo un programa de cumplimiento legal, sino también de ciberseguridad y de procesos corporativos de seguridad de la información. Este certificado se obtiene durante un periodo de tres años de trabajo, en los que se llevan a cabo auditorías, formación y concienciación, proyectos de seguridad y vigilancia de la misma.

Uno de los hitos dentro de un GOLD SECURITY es la certificación de la empresa conforme ISO27001 o Esquema Nacional de Seguridad (dependiendo del entorno), pero esta certificación no es el fin, sino como digo, sólo un hito más que viene a respaldar nuestro propio sello.

P- Para terminar, ¿por qué los despachos de abogados deberían conocer Secure&IT y sus soluciones? ¿Qué puede ofrecerles? 

R- Los despachos de abogados son expertos en sus diferentes materias (civil, penal, mercantil, etc.), pero no suelen disponer de especialistas en derecho tecnológico, precisamente por lo ambigua que es esta materia. Curiosamente, en el mundo tecnológico sucede lo mismo, los ingenieros en Informática o Telecomunicaciones no estudian ciberseguridad en sus carreras. Este es el primer punto en el que pueden contar con nosotros: nuestros peritos judiciales y abogados TIC les pueden ayudar a entender desarrollos de software, a valorar activos tecnológicos, o a interpretar y defender evidencias digitales. Otro de los aspectos es la protección del propio despacho. Ante amenazas como WannaCry, pueden ver en riesgo su seguridad o, incluso, su continuidad. Por otro lado, los despachos son víctimas habituales de ciberataques realizados por su entorno (por ejemplo, de la parte contraria en un proceso). Ya no se trata de un riesgo de hacer una copia y proteger la información, sino que es necesario establecer canales seguros de comunicación con sus clientes. Deben entender que el correo electrónico, el fax o las conversaciones telefónicas pueden no ser seguras ni confidenciales.