Desde el día 17 hasta el día 20 de mayo, ha tenido lugar la RSA Conference 2021, evento al que asistimos presencialmente el año pasado en San Francisco de la mano de Inprosec. La experiencia fue tan positiva que este año hemos repetido, esta vez presentando al mundo el proyecto InprOTech.
En esta edición, debido a la pandemia, se ha realizado de manera virtual, por ello nos hemos volcado en el diseño de nuestro stand virtual, un catálogo de servicios y un vídeo de presentación de InprOTech. Y por supuesto la nueva página web de InprOTech.
En este resumen os explicaremos las charlas y discusiones más interesantes, a nuestro parecer, de toda la RSA Conference.
DÍA 1
En el primer día del evento, tuvimos la oportunidad de disfrutar y escuchar a criptógrafos expertos en el Keynote de apertura. Durante esta sesión tuvimos el placer de disfrutar de la presencia de Carmela Troncoso, una gallega que se ha hecho un hueco en el panorama internacional de la criptografía.
Los protagonistas de esta sesión fueron Ross Anderson, Ronald Rivest, Adi Shamir, y como no, Carmela Troncoso.
Durante la sesión discutieron sobre los retos en materia de privacidad, como el compromiso entre privacidad y robustez o privacidad y eficacia. Y cómo no, también se hizo referencia al Covid-19 y a la trazabilidad de los contagios, siendo éste un tema bastante delicado con la situación en la que nos encontramos.
DÍA 2
Durante el 2º día de evento, nos sorprendieron dos sesiones realmente interesantes.
En primer lugar: “Cómo hacer las preguntas correctas para tener éxito en tus proyectos de seguridad”. Esta charla se centro en la importancia de plantearse las preguntas adecuadas en entornos y situaciones en las que no contamos con el 100% de la información necesaria. Para ello se nos plantean 3 acciones relacionadas con la ciberseguridad:
-
- Descubrir: se debe conocer la audiencia ante la que estamos trabajando, realizar preguntas de seguimiento relevantes para el contexto y así ser receptivo, adoptar listas de comprobación para situaciones de tensión y así minimizar las respuestas erróneas.
- Planificar: utilizar un lenguaje inclusivo con un cliente, ampliar el marco de la pregunta para obtener soluciones creativas, pero combinándolas con preguntas específicas para una cobertura adecuada
- Persuadir: formular preguntas de manera que la otra persona sea empático y piense desde tu perspectiva, vincula los objetivos de ciberseguridad con los objetivos empresariales
En segundo lugar: “De lo existencial a la realidad: 3 expertos sobre la evolución de las amenazas a los ICS”. Los expertos compartieron su experiencia en la gestión de riesgos emergentes debido al crecimiento y sofisticación de los ataques Ransomware que tienen como objetivo los entornos OT. Durante la conferencia, se incidió en que la mayoría de los ataques de ransomware entren a través de IT, pero debido a una incorrecta segmentación de redes IT/OT, se expanden a entornos críticos donde el impacto es todavía mayor.
Los protagonistas realizaron 3 recomendaciones claves para enfocar la gestión de la ciberseguridad:
-
- Aumentar la visibilidad de la red OT
- Identificar y priorizar los activos de OT y quién es el responsable
- Aumentar las capacidades de respuesta a incidentes.
DÍA 3
Del tercer día del evento nos gustaría destacar dos sesiones.
En primer lugar, la sesión «Smart IoT: IoT Botnet Attacks on Power Grids Exploiting Their Weak Points«, en la que Tohid Sheraki, explicó cómo un ciberdelicuente puede aprovechar los problemas de privacidad de los datos en las redes eléctricas inteligentes para explotarlos a través de botnets y provocar apagones en todo el sistema. A su vez, explicó una serie de propuestas que deben de aplicar los gobiernos, los proveedores de IoT y las empresas públicas para reducir estos riesgos al máximo.
En segundo lugar, “Generando confianza y resiliencia: Gestión del riesgo de privacidad para las PYMES” en él Dylan Gilbert y Naomi Lefkovitz discutieron sobre la relación entre la ciberseguridad y el riesgo de privacidad, así como de la estructura del marco de privacidad y del núcleo del mismo. Por otra parte, a través de ejercicios interactivos, se aplicó el modelo “Ready, set,go” para la implementación de la privacidad con un caso hipotético, para así interiorizar su funcionamiento.
DÍA 4
El último día llegaba con un gran número de sesiones interesantes para nuestro equipo de InprOTech. Destacaremos tres.
Primero, “Eliminación de silos de IT/OT e implementación de la confianza cero para los dispositivos IoT/OT”. Tradicionalmente el OT y el IT han operado en escenarios separados, pero la transformación digital ha eliminado las brechas entre ellos, lo cual provocó un crecimiento de los riesgos y las malas prácticas.
Durante la sesión, Phil Neray, expuso diferentes estrategias relacionadas con IT/OT:
-
- El impacto ambiental y humano de la OT es enorme, por lo que es necesario implementar servicios IT para prevenir daños y pérdidas económicas.
- Necesidad de una buena comunicación con tu equipo para evitar ciberataques
- Parchear cuando sea posible, implementar MFA, formar a los empleados y eliminar accesos remotos innecesarios.
- Monitorización continua, detectando dispositivos no autorizados.
Segundo, “Vinculación del ciberriesgo industrial con el riesgo empresarial y los directivos”. Durante la sesión se hizo hincapié en la importancia de la ciberseguridad en entornos industriales. Uno de los factores críticos es la parte humana, ya que falta consciencia de los riesgos por parte de directivos y trabajadores, por ello esta concienciación es una de la principales labores a tener en cuenta.
Al tratarse de un taller dinámico, tras repasar la definición clásica del riesgo y buscar una definición actualizada añadiendo la resiliencia, se han planteado una serie de preguntas para el debate:
-
- ¿Cómo se ha definido el ciberriesgo para los ICS?
- ¿Qué estructura de gobierno han utilizado? ¿Funciona?
- ¿Qué artefactos han encontrado útiles para los consejos de administración y los ejecutivos?
Finalmente, “Qué deben saber los CISOS y CDOS sobre el diseño de estrategias de ética de datos: la perspectiva de un abogado”, con Jeewon Kim Serrato, Mark Aldrich, Brett Cook y Dave Cohen como protagonistas, se estableció la importancia de la ética de datos, el cumplimiento vs. el ciclo de vida de los datos y los fundamentos de la privacidad.
Uno de los aspectos más importantes de la charla fue mantener un proceso constructivo de fomento de la transparencia, asignación de responsabilidades y seguimiento de estrategias de solución.
Conclusión
Tras la finalización de un evento de este calibre, siempre se consigue reflexionar profundamente tras escuchar diferentes perspectivas sobre nuestro sector
Lo que está claro, es que el evento nos ha servido a todo el equipo para confirmar la necesidad creciente de implementar programas de ciberseguridad industrial, debido a la evolución hacia industrias digitalizadas, expuestas continuamente a los peligros de Internet.
Una de las cuestiones más repetidas durante el evento es la importancia de una correcta segregación y segmentación de redes, así como la importancia de la visibilidad para poder adelantarse a cualquier tipo de incidente que afecte a la disponibilidad, confidencialidad o integridad.
Para finalizar, y como decíamos el año pasado, el networking que se genera en este tipo de eventos, es una oportunidad que no se puede desperdiciar. Este año nos ha servido para dar a conocer y expandir la marca InprOTech a lo largo del mundo.
¡Hasta el año que viene!