www.onemagazine.es
Entrevista a Javier Candau: que saber de la XI Jornadas CCN-CERT, en diciembre, y qué amenazas le preocupan
Ampliar

Entrevista a Javier Candau: que saber de la XI Jornadas CCN-CERT, en diciembre, y qué amenazas le preocupan

El CCN Cert, el organismo de ciberseguridad del CNI, organizará en diciembre su gran jornada anual. El Jefe de Ciberseguridad del Centro Criptológico Nacional, Javier Candau, responde en una entrevista con One Hacker cuáles son las grandes novedades… y qué les preocupa de los últimos ciberataques que ha vivido España –y de los que se verán en 2018-.

Javier Candau, jefe de Ciberseguridad del Centro Criptológico Nacional –CCN-, del CNI, es ingeniero industrial y ha sido teniente coronel de Artillería. Pero su gran fuertes es su pasión por defender a la Administración y las empresas más críticas para España de cualquier ciberataque, incluídos los que supone el robo de información que pueda poner en riesgo la Seguridad Nacional. Aprovechando la celebración de uno de los congresos ciber más multitudinarios de España, las XI Jornadas CCN-Cert –el 13 y 14 de diciembre, en los cines Kinépolis en Madrid- cuenta a One hacker qué le preocupa y cuáles serán los grandes protagonistas del evento. ¿Su consejo para vivir ciberseguro? “Trabajar como si se estuviese comprometido”. Orgulloso del equipo de personas del CCN Cert, de su capacidad técnicas y su vocación de servicio considera que “lo mejor es enemigo de lo bueno” y que se puede aprender mucho de libros de cómo “El arte de la guerra” o películas como

Lleváis ya más de una década organizando este evento, ¿qué conserva este congreso de la primera edición y que tiene de novedad?

Conserva el mismo objetivo que, a su vez, es una de las tareas encomendadas al Centro Criptológico Nacional (CCN): la formación y sensibilización de todo el personal de ciberseguridad de nuestro país. La promoción de la cultura de la ciberseguridad, a través de iniciativas de intercambio de conocimiento entre todos los actores implicados, es una de las señas de identidad del CCN desde hace más de diez años.

En cuanto a las novedades de esta undécima edición, diría que la ampliación en más de un 30% del contenido, con más de 40 charlas (se ha habilitado una sala más, lo que supone una capacidad total de 1.800 personas). Hay que tener en cuenta que nuestro público, pese a pertenecer al mundo de la ciberseguridad, es heterogéneo, tanto en lo que se refiere a niveles de responsabilidad (desde directivos a técnicos, pasando por expertos en la adecuación normativa, profesores de universidad o alumnos), como del sector del que provienen (bien sea del sector público, como de sectores estratégicos -energía, salud, defensa, telecomunicaciones, financiero, transporte, agua, comercio, etc.). Todo ello nos obliga a ofrecer un programa muy abierto que despierte el interés de todos los asistentes y que, sobre todo, les ayude en la difícil labor que tienen encomendada en sus respectivas organizaciones.

Qué tres cosas se pondrán aprender en esta XI edición...

En primer lugar la necesidad de compartir información, tanto de ciberamenazas como de ciberincidentes. Creo que ante un ataque complejo o generalizado no es posible una respuesta individual. Los organismos públicos y la industria de la ciberseguridad nacional (que, en numerosas ocasiones, da servicios al sector público y a las empresas estratégicas para el país) deben actuar como catalizadores de esta compartición de información.

En segundo lugar, la importancia de implantar el Esquema Nacional de Seguridad (ENS) en su ámbito de aplicación. No solo porque así lo exige la Ley, sino porque es una herramienta muy valiosa para poner al día a nuestras organizaciones en materia de seguridad. En el Esquema se abordan los principios básicos, los requisitos mínimos y las 75 principales medidas de seguridad en todos los ámbitos (marco organizativo, operacional y de protección).

Por último, me gustaría que todos los asistentes, una vez hayan escuchado las últimas novedades para protegerse de amenazas, técnicas de ataque y los retos tecnológicos, sean conscientes de la necesidad de incrementar la capacidad defensiva, de formar al personal en la materia y de estar siempre alerta. Sabiendo, eso sí, que siempre podrán contar con el CCN-CERT para mantener seguro nuestro ciberespacio y proteger la información sensible de nuestro país.

Pasasteis de un aforo de poco más de 200 personas a más de 1.400, ¿cuál es la principal demanda de los asistentes?

Al término de las jornadas todos los años realizamos una encuesta entre los asistentes y, si hacemos caso a su valoración, el 98,53% de los encuestados valoran positivamente la presentación y contenidos de las ponencias en general (Excelente, Muy bien o Bien) y el 98,15% considera de forma positiva a los ponentes. Del mismo modo, los conocimientos adquiridos son valorados por el 96,79% como Excelente, Muy bien o Bien. Esto quiere decir que, aunque, evidentemente, no nos podemos relajar, tanto en el contenido como en el conocimiento adquirido por los asistentes la puntuación en muy elevada.

Además, el espíritu de estas jornadas siempre ha sido abordar el problema tecnológico sin filtros de marcas comerciales y traer experiencias que puedan ayudar a otras organizaciones y empresas a mejorar su aproximación a la ciberseguridad.

Qué aspecto de la cultura de ciberseguridad falta en la Administración...

Creo que no solo en la Administración, también en el sector privado falta una mayor concienciación en la materia y destinar más recursos para formar a personal experto (el principio de invertir en ciberseguridad al menos una cantidad equivalente a la inversión en seguridad física debería ser de obligado cumplimiento). Trabajar como si se estuviese comprometido es un punto básico para cualquier organización. Para ello es necesario que la Dirección esté comprometida con la ciberseguridad, que se promueva la formación y sensibilización en todos los niveles, que se aumente la capacidad de vigilancia de las redes y los sistemas y, sobre todo, que se incremente el intercambio de información con otros organismos.

Frente a qué nuevas amenazas estamos menos protegidos...

Creo que España está relativamente preparada en materia de ciberseguridad, sobre todo desde los últimos dos o tres años. En el caso de los ataques de nivel bajo o medio, nuestras defensas son muy buenas, bastante automatizadas y nos protegemos bien. Algo distinto es el caso de los ataques complejos. En estos casos, hasta principios de esta década, el atacante estaba muy motivado y sabía aprovechar nuestros fallos de seguridad.

Ahora, afortunadamente, la tendencia se está invirtiendo. Las compañías de seguridad son más proclives a compartir información, existe mayor movimiento entre los CERT Gubernamentales, los servicios de inteligencia también han incrementado la información y los medios disponibles, etc. Creo que ahora estamos en el camino correcto. Solo falta un pequeño empujón en los planes de inversión de todas las organizaciones (públicas y privadas) para conseguir que la ciberseguridad se extienda y el escudo protector alcance a un mayor número de entidades.

Qué tres ciber amenazas, que nadie se espera, llegarán en 2018...

En realidad, los agentes de la amenaza cuentan con una gran capacidad de adaptación y de investigación para obtener nuevos métodos de ataque con los que alcanzar sus objetivos. Seguramente, se seguirán descubriendo vulnerabilidades en los programas desconocidas por el fabricante o llegarán al dominio público algunas solo conocidas por atacantes de alto nivel para utilizar exploits de día cero; se utilizarán vectores de infección desconocidos (no identificados con anterioridad) y se apostará por el empleo de técnicas de diversión que enmascaren los ataques reales que comprometan las redes.

La charla de esta edición de 2017 que no hay que perderse...

No me gustaría destacar ninguna frente a las demás. El equipo de expertos del CCN-CERT realiza una profusa tarea de selección de las ponencias (este año recibimos más de 120 propuestas de ponencia, desde que se abrió el período de CFP) y creo que todas tienen una altísima calidad. Cada asistente podrá elegir en función de sus necesidades y de las de su organización, teniendo en cuenta que hay tres grandes bloques: Por un lado el de amenazas, ataques y retos tecnológicos, en segundo lugar el de ENS y cumplimiento normativo y en tercero el de prevención en ciberseguridad.

El ponente que más ha costado traer...

En este sentido creo que tenemos suerte. Dado el alcance y la magnitud de estas jornadas, así como la calidad de las mismas, son los expertos los que nos proponen asistir. Siempre hay algún tema especial que queremos abordar, y en ese caso, buscamos al personal, propio o externo, más adecuado. Pero, por lo general, no tenemos grandes dificultades en conseguirlo. Además, intentamos que las ponencias e ideas vengan principalmente de dentro de nuestras fronteras para potenciar el talento nacional.

En 2017, ¿de qué, de forma concreta, os sentís especialmente orgullosos en el CCN CERT... que se pueda contar?

Del equipo de personas que lo componen. Todos ellos trabajan bajo una presión muy alta, con horarios en ocasiones intempestivos, pero siempre tienen muy claro su cometido y la labor que tienen asignada. Esta no es otra que la de contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas.

Así, por ejemplo, en la crisis del WannaCry, desde un primer momento se redobló el trabajo para conocer más información sobre el modo de proceder de este código dañino, sus características técnicas, la forma de cifrar y ocultar la información, su persistencia en el sistema, el modo de detenerlo, cómo desinfectarlo y, sobre todo, se desarrolló una vacuna con la que poder impedir que el virus se ejecutara. Así, en menos de 24 horas, el 14 de mayo, se contaba ya con una herramienta que impedía la ejecución del ransomware: CCN-CERT NoMoreCry. Esta actuación fue reconocida nacional e internacionalmente y se nos otorgó un premio por la "apremiante y eficaz respuesta al ataque global del ransomware WannaCry". En definitiva, creo que somos un instrumento de defensa y reacción ante las ciberamenazas en el que el sector público cada vez confía más.

Un consejo que nadie dice para vivir ciberseguro

Incorporar la ciberseguridad a nuestras vidas como algo natural. Al igual que ya nadie duda en cerrar la puerta de su casa cuando llega la noche, o que es necesario abrocharse el cinturón de seguridad cuando se monta en un coche, debemos incorporar a nuestras rutinas un mejor manejo de las nuevas tecnologías y las comunicaciones.

Tenemos que actuar en el ciberespacio con la misma cautela con la que actuamos en nuestra vida. Al igual que no contamos nuestras intimidades, no le dejamos la llave a cualquiera o estamos alerta cuando nos movemos por zonas inseguras, lo mismo deberíamos hacer cuando usamos las redes sociales, el portátil o el móvil.

¿Cómo vais a velar porque la Administración cumpla la directiva NIS y la RGPD?

En este sentido creo que nuestra experiencia en el cumplimiento del Esquema Nacional de Seguridad (ENS) es fundamental. Del mismo modo, estamos trabajando conjuntamente con la Agencia Española de Protección de Datos, AEPD, para facilitar a todo el sector público las claves para una correcta implantación del nuevo RGPD. A ello hay que añadir el desarrollo del Centro de Operaciones de Seguridad (SOC) para la Administración General del Estado (AGE) que persigue la puesta en marcha de servicios horizontales para todos sus miembros, y que estamos llevando a cabo con la Secretaría General de Administración Digital (SGAD). Para estas dos nuevas leyes, el cumplimiento del ENS permite el cumplimiento de prácticamente la totalidad de los requisitos impuestos en las mismas.

Lo más preocupante que está ocurriendo en el mundo ciber y que los expertos desdeñan...

No creo que lo que sucede no esté atendido por los expertos en ciberseguridad. Lo que ocurre es que cada vez más nuestra vida cotidiana depende de los sistemas; cada vez más nos relacionamos a través de internet, realizamos compras, hacemos gestiones administrativas, contratamos servicios… Y no hemos prestado la misma atención desde el punto de vista de la seguridad. Por ello necesitamos que los sistemas que se ponen en servicio sean lo suficientemente seguros para generar la confianza necesaria.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)


Normas de uso

Esta es la opinión de los internautas, no de Desarrollo Editmaker

No está permitido verter comentarios contrarios a la ley o injuriantes.

La dirección de email solicitada en ningún caso será utilizada con fines comerciales.

Tu dirección de email no será publicada.

Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.