En la presente edición, se abordaron en lo relacionado con el gobierno, aparte de las tenencias actuales… también los nuevos retos a los que se va a enfrentar el sector. Se habló, por ejemplo, de la integración y/o adaptación al modelo Zero Trust, la estrategia de seguridad en múltiples nubes, o la implementación de marcos de control y compliance sobre requisitos de seguridad y protección de datos.
La presencia institucional en el acto permitió analizar cuestiones centradas en la soberanía digital y el gobierno del dato, además de contar con invitados especiales en representación de Cloud Security Alliance que dieron a conocer las últimas iniciativas desarrolladas para el sector.
Durante el foro, uno de los momentos fundamentales fue la presentación de las actividades desarrolladas por su Comité Técnico Operativo a lo largo del año. Para la ocasión, los grupos de trabajo elaboraron una guía práctica para la gestión y respuesta a incidentes en la Nube, la adaptación de la Cloud Control Matrix a la tercera versión del Esquema Nacional de Seguridad, el planteamiento de ciberseguridad sostenible como eje de acción Green Cloud, y la novena edición del Estudio sobre el Estado de la Seguridad en la Nube en colaboración con terceras entidades en España y Latinoamérica.
Entre las diversas ponencias, destacó la de Cyril Voisin, EMEA Leader, Chief Security Advisors de Microsoft, que tocó el tema de Cloud Security Governance. Cyril destacó que “Lo que debemos hacer en seguridad es pasar a una postura de movimiento, evaluación y mejora continua para tener activos y ser valorados. En primer lugar, debemos controlar la gestión de acceso y el control de acceso. Hay una nueva filosofía para hacer este control de acceso de la manera correcta, se llama Zero Trust.
Básicamente, no confías en nada implícitamente, tratas de confiar en las cosas explícitamente, por lo que verificarás la ubicación, la identidad y el contexto. En segundo lugar, tiene la seguridad de la innovación y, a continuación, las operaciones de seguridad, en las que desea asegurarse una visibilidad completa. Es un ciclo de mejora continua.”
Por otro lado, ‘Cloud Trustworthiness: New Challenges’ fue el título de una de las mesas redondas del Track 1 y en la cual tomaron parte Javier Galindo, Information Security Architect, de Cepsa; José María Vigueras, Public Cloud Specialist Systems Engineer, de Fortinet; Daniel Howe, Senior Presales de Fastly y como moderador, Gonzalo Asensio, CISO de Bankinter. Una de las conclusiones es que no se puede esperar hasta seis meses para que, por tiempo de despliegue e iniciativa, se pueda disponer de un producto, cuando la competencia lo está desarrollando en un mes.
En cuanto a lo que fue el Track 2, Paul Simmonds, Director, de CSA UK, habló sobre cómo Zero Trust y Cloud son grandes compañeros y van de la mano. Zero Trust es necesario para obtener los beneficios reales de la nube. «Cloud te ahorrará dinero, pero si combinas la arquitectura y la filosofía de Zero Trust con la nube, obtendrás importantes beneficios” destacó Paul Simmonds.
Mientras tanto, en la mesa redonda “Cloud Governance” destacó la presencia de numerosos expertos del más alto nivel, con Fanny Pérez, CISO de Codere; Iván Sánchez, CISO de Sanitas; Jesús Mérida, CISO de Iberia; Juan Cobo, CISO de Ferrovial; Jesús Sánchez, Head of Global Cybersecurity de Naturgy; Elena García, CISO de Indra; y como moderador: Carles Solé; CISO de Santander España.
«La adopción y el viaje a la nube para quedarse es algo que ya empezó hace tiempo y que seguimos aprovechando cada vez con mayor madurez y con mayor valentía. La gestión de los servicios de seguridad, apoyado en la nube nos está abriendo muchas puertas».
«Todos los equipos de seguridad han sido, y lo van a seguir siendo, grandes consumidores, porque, al fin y al cabo, la revolución que supuso la nube en su momento ya partía de un nivel de madurez en seguridad, por lo tanto, su gestión se puede realizar de una manera más natural, automática, eficiente y por defecto en un entorno en el que realmente la seguridad viene del by design”, destacaba Elena García.
Por otro lado, y con ocasión de este XII Encuentro Cloud Security Alliance, han visto la luz varios estudios y proyectos que hemos comentado. Por un lado, en el Track 1, se presentó Estado del Arte 2022 con Ana Belén Galán, Discipline Senior Manager Security Engineer de BBVA-CIB y Mariano J. Benito, Responsable de Seguridad, de GMV; Coordinador del Comité Técnico Operativo del Capítulo Español de Cloud Security Alliance.
Otra guía que se presentó fue la Guideline Incident Response in Cloud, resultado del trabajo de Olga Forné, CISO Global de Abertis y Toni Garcia, CISO, CIO y CDO de LetiPharma. La última presentación del Track 1 se reservó para el Proyecto CRI por Alberto Francoso, Jefe de Análisis del Servicio de Ciberseguridad, OCC.
Dentro del Track 2, cabe destacar la presentación del estudio Cloud Control Matrix V.4 + Esquema Nacional de Seguridad V.3 que corrió a cargo de Diana Molero y Jorge Laredo, que son miembros del Capítulo Español de Cloud Security Alliance. En él se explica que el objetivo principal de la traducción de la última versión de la Cloud Control Matrix -CCM v4- es impulsar la adopción de servicios de Cloud en España, lo que permite tanto el cumplimiento normativo como la seguridad efectiva de los datos.
Al añadir el mapeo de CCM al ENS se facilita su uso por parte del sector público y sus proveedores, ayudando a utilizar los servicios cloud de modo seguro. Debido a su interés, se ha añadido el mapeo inverso en el mismo fichero, de tal manera que para cada medida de seguridad del Anexo II del ENS se identifican los controles de CCM que están relacionados.
Es cierto que CCM y ENS tienen propósitos y enfoques diferentes, pero cabe destacar que el grado de cobertura de CCM por parte de ENS es del 85%, lo cual es debido a lo especifico de algunos de los 197 controles de CCM, en comparación con las 80 medidas de seguridad del ENS. Su uso conjunto permite alcanzar un elevado grado de seguridad en las organizaciones y en su uso de los servicios Cloud.
Por último, también fue presentado el estudio de Green Cloud – ES, de la mano de Josep Bardallo, CISO y DPO de Grupo Recoletas y Sergio Padilla, RSI y Responsable de la Unidad de Riesgos y Seguridad de la Información de Banco de España donde presentan un primer diagnóstico externo para analizar las actuaciones, los riesgos y las oportunidades que se presentan en las compañías en esta materia, con la finalidad de de alcanzar los compromisos con la sociedad, la sostenibilidad y el medio ambiente; la gestión ética y el buen gobierno desde un sector en pleno auge.
Con esta iniciativa se trata de plantear un compromiso empresarial para reforzar el concepto de sostenibilidad en el entorno Cloud, y poner en valor la competitividad de un mercado que tiene en sus manos la posibilidad de reducir en gran medida la huella de carbono.
Un compromiso en forma de código ético o código de responsabilidad, que requerirá del apoyo de todos los actores implicados en el ámbito digital: consumidores de servicios digitales, empresas que los proveen, autoridades de control, organismos nacionales e internacionales… De esta manera,e el objetivo de Green Cloud – ES es crear consciencia sobre las responsabilidades empresariales que suponen un compromiso necesario, aunque no obligatorio.
