Hola buenos días a todos y a todas eh Muchas gracias por asistir a nuestro último webinar del año a ver Me avisan que no se escucha un segundito principio Yo escucho bien voy a hacer aquí un testing a ver probando probando sí sí sí sí parece que sí vale pues nada una vez que hemos solucionado los problemas de de audio continuamos eh Muchas gracias por el aviso Pues nada eh Como decía buenos días a a todas y a todos por animaros a a este último webinar de de 2023 que que hemos organizado eh con la verdad es que con poco tiempo Pero bueno hemos tenido un un éxito relativo bastante interesante porque hay muchísimas personas que se han se han registrado con lo cual bueno vemos que es un tema de de de interés para para vosotras y vosotros y nada Nuestro objetivo hoy es bueno raí de como sabéis la incorporación de del le Security al grupo up Time institute llevamos unos meses eh trabajando eh Muy enfocados en una nueva digamos en un nuevo vector que que para nosotros eh No habíamos profundizado con anterioridad como es la las infraestructuras digitales en sí mismas los los Data Center y eh queríamos compartir con vosotros antes de que acabara el año Cuál ha sido el el resultado digamos de de esta experiencia que hemos tenido en este tiempo en relación a a Bueno pues esta línea de trabajo que hemos hemos comenzado y por mi parte bueno poco más presentarme como veis aquí soy Antonio Ramos founding Partner of lead Security eh llevamos eh Como digo desde febrero de de este año como parte del grupo uptime institute eh pero con manteniendo digamos nuestra nuestra línea de actividad histórica como agencia de calificación de de ciberseguridad para esta presentación y por eso le he dejado aquí unos créditos he contado con con la inestimable ayuda de mi de mi colega en institute Alin que es el responsable de desarrollo corporativo global y desarrollo de negocio en Europa y bueno como lo hemos hecho juntos pues hay que dar los créditos aquí a los a los autores Así que eh Por eso le mantengo aquí como coautor de de la de la presentación como corresponde eh nuestra idea es compartir los próximos 35 o 40 minutos eh contando Cuál ha sido como digo nuestra nuestra experiencia en estos en estos últimos tiempos de investigación específica relacionada con con este tema y a partir de ahí pues bueno tener un turno de preguntas para para que podáis compartir pues vuestras inquietudes dudas o sugerencias preguntas que tengáis para lo cual Pues sabéis que tenéis en en el menú de de la herramienta la opción de realizar preguntas y estaremos pendientes de de ellas para que para poder responder todas las posibles y si no fuera posible Pues luego a continuación del del webinar nos ponemos en contacto con vosotros para para nuestra nuestra respuesta bueno para los que no conociera uptime institute eh Porque como tal la compañía Pues por el nombre nos encontramos que a veces no no se le conoce sí que eh rápidamente reconocida en cuanto decimos que es la propietaria del estándar o de los estándares de tiers para para Data centers Entonces cuando cualquier Data Center dice que es un tier 3 o tier 4 que está certificado tier 3 o tier 4 pues ha sido gracias a a la participación de apt y luego hay muchas otras circunstancias en las que el datacenter no está certificado como tal pero pues ha seguido las buenas prácticas del del estándar para su diseño su construcción y también de manera más creciente en su operación no porque al final eh No solo es que tengas un buen diseño del Data Center no es eh que lo construyas de acuerdo a esas especificaciones sino que además luego esté operado en el día a día Pues con unos procedimientos y digamos unas unos unos procesos adecuados a a esta clasificación que que ha desarrollado en los últimos 25 años aproximadamente esta digamos esta capacidad de de generar conocimiento en el mundo de los Data centers pues ha llevado a a uptime a trabajar pues en proyectos en todo el mundo y últimamente pues quizás digamos yo creo que hay dos áreas de Gran cacim crecimiento una es en la parte de resiliencia digital que ahora veremos con un poco más de de detalle y geográficamente hablando Pues también lo que tiene que ver en middle East con todo el desarrollo digamos de tecnológico que está sufriendo este área este área global muy importante también es yo creo el grupo de intelligence que con el que cuenta uptime porque es una fuente constante de de conocimiento y también yo valoro muy positivamente o o creo que es de mucho valor el membership de que ofrece puesto que eh permite a las compañías que forman parte de de ese membership de ese grupo el acceso a conocimiento y digamos la capacidad de compartir experiencias y conocimiento en un en un ámbito de confianza y de Eh bueno de compartición no entre entre expertos en la materia por lo tanto H eh podríamos decir que appt ese como dices último claim no un socio único eh de infraestructuras de confianza tanto para empresas eh con sus propios datacenters como proveedores de servicios de colocation o de Cloud o de Edge computing así como también de gobiernos por todo el mundo que vemos cómo requieren Cómo utilizan estos estándares para para asegurar la resiliencia de las infraestructuras digitales que se instalan en en esos países no eh perdón como decía el insecurity para los que no nos conozcáis pues empezó su andadura por finales de 2010 eh Después de 4 o 5 años el que estuvimos desarrollando el marco referencial pues en 2015 comenzamos nuestra andadura comercial realizando proyectos Pues en el ámbito privado y también en el ámbito público Estableciendo relaciones Pues con con el gobierno con las administraciones diferentes administraciones para colaborar siempre en materia de Pues de ciberseguridad y ciberresiliencia podríamos decir y este proceso Pues bueno culminó en 2023 en febrero de 2023 con nuestra incorporación al grupo upt institute como digo para desarrollar todas las capacidades en materia de de ciberseguridad hay un hito muy relevante para nosotros que veis aquí entre 2020 y 2021 que es la institución de pinakes como servicio con el sector financiero español eh que es utilizado por digamos por la industria financiera como mecanismo de evaluación del riesgo de terceros eh en cumplimiento con las guías de la Eva y ahora con los requisitos de Dora Eh Esto para nosotros supuso un antes y un después porque al final pues efectivamente que todo el sector financiero deposite la confianza en nuestro método de calificación pues para nosotros supuso un como digo un un respaldo importante y digamos una confirmación de que el trabajo en los últimos pues esos 10 años eh iba dando sus frutos claramente no eh para acabar un poco con nuestro con nuestro repaso que podemos contar de nosotros pues como veis aquí en estos más de 10 años porque ya mira ahora en una semana hacemos 13 años tenemos más de 100 servicios calificados incluso nuestro modelo de autoevaluación que es digamos de self ses que llamamos Pues habrá yo diría más de 400 organizaciones evaluadas con esta con esta metodología y la forma digamos de evaluar conla más de 300 capacidades de ciberseguridad es decir es un es un mecanismo exhaustivo es un mecanismo justo contrastado y que permite obtener un nivel de conocimiento muy detallado y muy específico de las capacidades de ciberseguridad de un servicio que se ofrece Entonces eso es lo que nos ha permitido pues como decía antes pues por ejemplo tener el respaldo del sector Financiero en cuanto a la utilización de este mecanismo como herramienta de entendimiento del nivel de seguridad de de los servicios que que utilizan eh estas capacidades y yo creo que esto es importante por entrando en materia básicamente lo que se centran es en todos los medios en todos los mecanismos procesos tecnologías que se utilizan para operar un servicio es decir el objetivo de la calificación es tener un entendimiento como decía profundo y detallado de Cuál es el nivel de seguridad que ofrece un servicio una vamos a decir un una sistema informático eh dado que actualmente la mayoría de de los procesos corporativos se fundamentan en un sistema de información la capacidad de digamos o la llegada que tiene este mecanismo pues es muy amplio porque al final en la medida en la que un proceso un servicio está soportado por un por un sistema informático por una tecnología Pues es de relevancia El aplicarlo y se puede aplicar para entender como digo Cuál es ese nivel de preparación ese nivel de protección para en relación a los ciberriesgos de hecho la manera en la que está construido el el sistema como veremos un poco más adelante está enfocado a asegurar una medida un nivel de protección adecuado y luego una mayor capacidad de recuperación cuanto mayor es el nivel de de ición que se obtiene por lo tanto en ese sentido es muy relevante tanto para usuarios como proveedores para poder entender el riesgo que existe en una relación entre entre dos partes la importancia que como digo derivado del hecho de que cada vez O cada Sí cada vez es más difícil eh imaginar un proceso o de negocio o o un servicio que no esté soportado por tecnología es lo que está haciendo que cada vez las los ciberriesgos o las ciberamenazas tengan un posicionamiento más preeminente y está haciendo que también los reguladores se fijen en la necesidad de esa resiliencia digital de de las compañías de las organizaciones y de los servicios en general si nos fijamos en Europa recientemente pues eh hemos visto que tenemos eh directivas nuevas en materia de resiliencia operacional para el sector financiero como es Dora eh seguridad de las redes y de los sistemas como es la nueva directiva nis la nis 2 conocida coloquialmente que está en proceso de transposición eh También la directiva de resiliencia de entidades críticas que conocemos como protección de infraestructuras críticas tradicionalmente también actualizando una ley de hace ya pues 10 años más de 10 años eh También está llegando una directiva de ciberresiliencia orientada a que todos los productos que contengan software y Hardware a la hora de comercializarse tengan que realizar algún tipo de o proporcionar algún tipo de garantías de ciberseguridad hay una una directiva que está llegando para establecer un escudo digital alrededor de Europa o sea que vemos que hay cada vez más una mayor eh digamos el regulador se va fijando más en en la necesidad de que las tecnologías soporten digamos o tengan un nivel de seguridad adecuado al servicio que nos están prestando de hecho ese fue el origen por ejemplo de todo lo que tiene que ver con La regulación de infraestructuras críticas y en el fondo tenemos que pensar que en la medida en la que esas tecnologías no sirven solamente para digamos pues como empezaron No pues para llevar la contabilidad o para hacer documentos sino que la tecnología forma parte intrínseca eh de los procesos de producción de cualquier compañía eh tiene sentido que esos medios que se utilicen para para la prestación de ese servicio tengan un nivel de garantía suficiente como para que podamos confiar en que no nos dejan pados no y que van a estar ahí para cuando los los necesitemos Y de ahí pues toda est esta creciente digamos eh regulación en materia de ciberseguridad y podíamos pensar que esto es caprichoso pero al final es que eh si miramos a las noticias pues vemos que realmente los los ataques están ahí no y los las amenazas existen incluso cuando pensamos que nuestros sistemas están poco conectados o que la la conectividad es muy pequeña podemos ver que siguen existiendo vectores de ataque no eh tenemos ejemplos Pues aquí tenemos de los últimos meses solamente y muy relacionados con con infraestructuras digitales pues algunos ejemplos de ransomware por ejemplo en algunos Data centers globales que han afectado Pues a la capacidad de prestación de servicios ataques dirigidos no solo a la propia prestación del servicio sino a captar información de los clientes del Data Center para luego utilizar es inform ación en ataques de ingeniería social a través de los típicos sistemas de ticketing o incluso el caso paradigmático de Cloud nordic como veis ahí abajo a la derecha donde un ataque de ransom cifrado a al cifrar todas las los sistemas ha imposibilitado la prestación de servicios tanto del Data Center como alcanzando a todos los clientes eh que utilizaban ese datacenter para la prestación de servicios incluyendo las copias de backup con lo cual ha sido un verdadero Bueno pues un verdadero desastre digamos desde un punto de vista tecnológico por el grado afectación que ha tenido no De hecho no debemos eh olvidar que por mucho que usemos servicios en la nube y demás Hay una un creciente proceso de de concentración digamos eh que si queréis poder recordar un poco a la de la misma manera que Eh bueno nosotros solemos utilizar un símil que es que estamos en la era digital Y de igual manera que en la Revolución Industrial las capacidades de generación de energía inicialmente estaban distribuidas y se fueron concentrando es decir pues desde las máquinas de vapor en que la generación de la energía se hacía en la propia máquina hasta los días actuales en que la energía se consume no de las catenarias Bueno pues ese mismo proceso digamos paralelamente se está se está produciendo en la energía si queréis de de de esta era digital no esta era del conocimiento de manera que se está produciendo una concentración tanto corporativa como eh tecnológica en cada vez menos infraestructuras digitales que por lo tanto se convierten o hacen que cada vez sean más críticas por el efecto concentración que conlleva esto es una tendencia que hemos visto históricamente en todos los procesos productivos y que irremediablemente está llegando al mundo de digamos de la de las infraestructuras digitales Entonces el hecho de que cada vez más procesos eh dependan en tecnología y que esos digamos esas capacidades se vayan concentrando en cada vez menos proveedores hace que el riesgo cada vez eh sea mayor teniendo esto en cuenta lo primero que que hicimos o lo primero que hemos hecho ha sido eh lanzar una una encuesta global eh a los propietarios de Data Center y a los usuarios de de Data Center de centros de procesamiento de datos para entender un poco su visión sobre los aspectos de ciberseguridad relacionada con con los Data centers eh La idea es compartir con vosotros o con los asistentes en el día de hoy esta esta información y repasar ligeramente para ver bueno contrastar con con vosotros y con vosotras eh vuestro vuestra visión no lo primero que nos gustaría destacar o un hallazgo que encontramos interesante es eh Como tenéis ahí arriba a la derecha que uno de cada cuatro eh encuestados declararon haber surgido sufrido Perdón un fber ataque en los pasados 12 meses esta cuesta la hicimos justo antes del verano si no recuerdo mal mayo junio aproximadamente y y podía a priori podíamos pensar que uno de cuatro son pocos pero yo creo que de aquí hay aspectos bastante Bueno yo creo que hay que considerar uno de cuatro es los que lo declaran es decir son ya aquellos que ha sido evidente el el impacto de del ataque y luego pensemos que est hablando de propietarios de infraestructuras con lo cual al final podríamos pensar que los ataques van mu dirigidos a los sistemas pero nos encontramos también que van claramente dirigidos a las a las infraestructuras propiamente dichas Y eso para nosotros también es un un aspecto bastante bastante relevante obviamente no y no es que como decimos aquí los los propietarios o los las organizaciones que operan centros de procesos de datos no desplieguen soluciones de Ciber seguridad que lo hacen pero sí que es cierto que muchos de ellos están con digamos el enfoque es bueno Esto es una parte ciber que corresponde a la parte d ti de de mi organización y en esa parte sí que hay un grupo de Ciber que se está ocupando de esto sin embargo eh vemos que los sistemas que se utilizan para operar los Data Center que es una mezcla de sistemas it y ot podríamos decir entendiendo por it por sistemas más más típicos de de pues servicios en la nube ticketing mailing ese tipo de cosas y los ot estos sistemas industriales más pegados a la monitorización de la infraestructura o de la capacidad de generación de energía o a los sistemas de de acondicionamiento de aire este tipos de de sistemas más industriales Pues también están Están expuestos a a estas amenazas eh Y esto ocurre incluso aunque como nos han dicho en algunas ocasiones el sistema esté aislado de la red no es una es una referencia común Esto del Air Gap no que que se utiliza ya sabéis que utilizar algún ang que si no no quedamos bien pero bueno sí estos el comentario habitual es que estos sistemas están aislados y que por tanto se siente digamos una cierta sensación de tranquilidad diciendo bueno no me preocupa el mi sistema está aislado y por tanto no está expuesto a amenazas externas luego veremos que esto no es tan así ni siempre tan claro no pero es que incluso aunque esto fuera así Eso no significa que no haya amenazas iales para para este tipo de de sistemas puesto que como decimos eh estos sistemas cada vez están más interconectados vale cada vez eh es más necesario eh que los sistemas que gestionan las infraestructuras generen información que es utilizada por si otros sistemas corporativos pues desde para temas de sostenibilidad como para controlar los accesos físicos o como para proporcionar información de consumos eh es muy habitual que esta información al final tenga que ser reportada a otros medios Y eso implica que estos sistemas estén conectados pero como digo Aunque estuvieran desconectados También tenemos circunstancias en las que es necesario tocar esos sistemas desde parchear losos actualizarlos eh o solventar incidentes que puedan tener esos sistemas por fallos de operación no O por adolescencia no nos encontramos también en muchas ocasiones que que los sistemas que se utilizan Pues están utilizando sistemas no soportados ya por los fabricantes Otro aspecto bastante interesante eh fue lo relativo a la utilización de estándares por la industria para la digamos Bueno pues el acompañamiento y la validación de la seguridad en en este tipo de infraestructuras y como podéis ver en la Gráfica hay una amplia mayoría de de organizaciones que utilizan la ISO 27000 como sistema de referencia Y esto es digamos es muy natural porque al final una de las grandes bondades de la de la ISO 27001 es que es un sistema de gestión que es muy flexible y que se adapta a a muy diferentes realidades no sirve para el operador de un Data Center igual que para un gestor de un hipers scaler no se puede utilizar en ambas circunstancias porque al final lo que nos está definiendo es bueno Cuál es el marco que permite a una organización identificar los requisitos de seguridad eh Y supervisar losos y monitorizar losos y hacer una mejora continua de los mismos a lo largo del tiempoos Estableciendo indicadores métricas y procesos de seguimiento y monitorización obviamente esto es un esquema que es como digo válido y que es muy de valorar que se utilice en la industria pero lo que también observamos es que hay por ejemplo en Estados Unidos hay digamos una utilización bastante significativa de todo lo que tiene que ver con los estándares nist hay también creemos bastante interesante una utilización del estándar I 62443 razonable que como ve sabéis es un estándar que se utiliza para eh sistemas de control industrial fundamentalmente y eso enlaza con la parte de ot que hemos estado comentando pero para nosotros digamos la gran lección aprendida de aquí es que estos esquemas no están pensados para es decir estos estos Marcos o estos sí estos estándares o referenciales no están orientados al mundo de la infraestructura digital Entonces no te ofrecen realmente guía de Cómo mejorar el nivel de seguridad o cómo puedes digamos qué medidas son las que tienes que aplicar específicamente en el mundo de datacenter y ahí vemos que hay como como un vacío que en el que es muy interesante que bueno que se puedan desarrollar eh referenciales o buenas prácticas orientadas específicamente al mundo de las infraestructuras digitales porque tienen particularidades es decir no es lo mismo Pues hablando por ejemplo de sistemas de control Industrial no es lo mismo un escada de una planta potabilizadora o de una refinería o se puede utilizar para para operar un Data Center entonces todas estas particularidades hacen que sea necesario eh que la industria yo creo que se desarrolle en este en este ámbito eh este digamos esta situación de eh utilizar sistemas generales o referenciales generales como hablábamos en el de la de la ISO 27001 se traduce también a como veis ahí a la derecha A que haya como mucha variabilidad o un reparto casi equivalente en la estrategia de evaluaciones de ciberseguridad aquí nos hemos dado cuenta que también falta como digamos un un entendimiento común de lo que es una evaluación de ciberseguridad de de una infraestructura digital porque encontramos desde organizaciones que nos responden como veis ahí eh mensualmente eh Y no pocas un 13 por igual que casi cada 6 meses no 16 por eh pero entendemos que una evaluación de seguridad de la manera que la entendemos nosotros no se puede llevar a cabo semanalmente porque es que tardas una semana en hacerla con lo cual estarías haciendo continuamente eh Como poco eh estas evaluaciones por lo tanto entendemos que aquí lo que se están haciendo pues son algún tipo de escaneos automáticos o monitorización de la superficie de manera automática algo muy orientado a detección de de elementos técnicos que sean vulnerables y no tanto una evaluación exhaustiva que te permita tener un entendimiento de de todos los elementos que forman parte de tu de tu plan de seguridad o de tu plan de de ciberseguridad por lo tanto Aquí vemos que seguro que Para futuras versiones hacemos una una revisión más o aclaramos un poco más este concepto antes de de preguntarlo y luego también en la parte de la izquierda si veis eh yo creo que es muy interesante también la reflexión sobre eh o la respuestas de las de los encuestados y las encuestadas sobre Cuáles son los problemas de de ciberseguridad mayores que que ellos han experimentado y aquí vemos Que obviamente la gestión de parches es de las más relevantes como no podía ser de otra manera al final sabemos todos que los sistemas tienen que estar actualizados Para evitar ser eh fácilmente vulnerables y el hecho de cómo gestionar el digamos la actualización de los sistemas sobre todo si hablamos en entornos o t es eh más complejo Que en un entorno it tradicional y supone un reto pero también vemos Que justo por debajo de de la gestión de parches tenemos otros dos elementos bastante importantes como son las configuraciones de red y la configuración de sistemas al final el tener unos sistemas bien basados configurados de manera segura es supone un reto y evidentemente son aspectos que con los que los digamos los operadores de las infraestructuras han tenido algún algún incidente tampoco queremos dejar de llamar la atención sobre los aspectos relacionados con los terceros vemos que son casi un 20% y ahí eh de nuevo tenemos que entender que siempre o cuando empezamos a indagar o a profundizar en nuestros sistemas cada vez cobra más importancia el papel que tienen los terceros al final necesitamos de terceras partes que nos actualicen los sistemas o que nos ayuden a su mantenimiento pero es que incluso en algú caso están encargados de monitorizar y de operarlo con lo cual los terceros que tienen digamos acceso a nuestro sistema se convierten obviamente en en un vector de de ataque relevante no eh dicho esto pues eh Cuál es la mayor prioridad que nos han dicho las las encuestadas y los encuestados pues se han enfocado sobre todo en la seguridad de las redes obviamente al final pues es un un elemento fundamental la conectividad en cualquier infraestructura digital pero también eh tenemos que que llamar la atención sobre la importancia de la digamos de los controles de acceso y de la seguridad de las instalaciones porque ahí vemos Que efectivamente claro al final eh estas infraestructuras pues tienen un componente físico Claro que puede ser objeto de de de un ataque por lo tanto se convierte en un elemento fundamental no andando un poco sobre esto que comentábamos de los terceros eh nos también preguntamos en la en la encuesta a para abar un poco en este tema y nos encontramos con que bueno pues el 70 por c eh está nos Comenta o nos informa de que sí que está realizando algún tipo de evaluación de de sus terceros y esto eh pues eh yo creo que todos podemos dar fe de que o por lo menos nosotros en nuestra historia hemos hecho muchas visitas a muchos decentes para evaluar el el nivel de servicio que proporcionan y las medidas que se tienen implementadas pero no deja de sorprender que haya un 30% que no realice ningún tipo de evaluación y por ot parte la segunda parte también es bastante relevante porque encontramos que un 38 por Es decir cuat de cada 10 está permitiendo la conexión de terceros a sus redes internas es decir hay en cuatro de cada 10 casos hay proveedores que se están conectando directamente a nuestras redes y en algunos casos estamos viendo ahí un 30% pues sabemos que no se está haciendo ningún tipo de evaluación por lo tanto eh hay situaciones en las que estamos permitiendo la conexión directamente sin posiblemente sin realizar ningún tipo de evaluación o sin entender Realmente si ese tercero no supone un riesgo y esto es muy relevante porque al final tenemos que pensar que bueno no hace falta que que que os convenzamos de esto seguro pero sabéis que la seguridad es tan fuerte como su es labor más débil y por lo tanto de nada sirve que nosotros sigamos elevando nuestro nivel de seguridad si nuestros proveedores no no hacen ese viaje con nosotros no si no nos si no nos acompañan en esa elevación del nivel de seguridad Pues siempre Tendremos que el el dagón más débil es el que marca nuestro nivel de seguridad Entonces es muy importante que podamos asegurar que estos terceros digamos están alineados con nosotros y que ofrecemos un nivel de seguridad común conjunto que es el nuestro el más elevado no Entonces ahí es un trabajo muy importante y de hecho si lo pensáis en el fondo es un poco lo que transmite la directiva nis no lo que está de hecho el nombre es para Elevar el nivel común de seguridad Bueno por lo que está buscando es que digamos efectivamente no existan esos esos puntos débiles o esos puntos toos esos puntos de falla también queríamos reflexionar un poco sobre lo que hemos hablado al principio en cuanto a si los sistemas están conectados o no Y como veis aquí eh hemos preguntado por los distintos sistemas que se utilizan habitualmente en un en una infraestructura de estas características para entender en qué grado están conectados no y veis que en la izquierda en azul más claro tenéis la parte de monitorización Y prácticamente veis que uno de cada dos Incluso en algunos casos un poco más un poco menos no pero uno de cada dos sistemas Realmente está conectado con lo cual esa frase tan utilizada No mi sistema está aislado pues realmente no es tan así no incluso podríamos ver que en ese 50% no siempre es tan aislado como pensamos no y en la parte más de la derecha con azul un poco más oscuro es cuando esos sistemas incluso permiten control remoto eh ahí Obviamente el número baja pero estamos hablando que en algunos casos estamos hablando del 25 30% de sistemas que permiten su operación remota no Por lo tanto ahí vemos que todo cuadra con que hayya usuarios haya terceros que se están conectando a nuestros sistemas y la necesidad de asegurar que esos terceros tienen un nivel de seguridad adecuado y que esa conexión que están permitiendo esa aunque sea para monitorizar no nos supone un riesgo Porque todos sabemos que en el punto desde el momento en que existe una conexión pues ex la posibilidad de utilizar de forma mal intencionada esa conexión no entonces bueno todo esto es importante tenerlo en cuenta a la hora de entender que realmente estamos manejando infraestructuras que necesitan de un de un nivel de de protección adecuada y a nuestro juicio y aquí entramos un poco en ese punto que comentábamos antes de las revisiones semanales o semestrales o anuales eh es muy habitual que nos encontremos con con calificaciones de seguridad como las que ofrecemos desde evaluaciones de seguridad para entender el nivel de seguridad con con un esquema objetivo basadas en lo que llamamos caja negra o una monitorización externa no son sistemas que lo que hacen es desde el exterior y sin digamos sin necesidad de ningún tipo de intervención por parte del evaluado eh intenta entender cuál es el nivel de seguridad de de esa infraestructura no pensamos que estos mecanismos pues siendo un indicativo eh tienen una capacidad muy limitada no es un es una capacidad de automatización muy reducida quee veis que ahí básicamente se evalúan cco o 10 aspectos de de seguridad Que obviamente son básicos y que en el caso de que Eh no estuvieran bien eh Son un problema de seguridad pero son muchos otros elementos los que forman parte de una evaluación de seguridad como ahora veremos y nosotros solemos decir que esto es como eh intentar evaluar el nivel de o las capacidades de un Data Center simplemente dando una vuelta por fuera del Data Center no viendo la estructura del edificio o las conexiones que le llegan y intentar con eso hacernos una una un entendimiento del de de esa infraestructura digital pensamos que no obviamente no es suficiente y que es necesario entrar dentro y evaluar muchas otras características de de la infraestructura para poder dar una opinión sobre cómo de seguro Cómo cuáles son las capacidades de ese datacenter por eso nuestra propuesta es un poco más detallada un poco más no bastante más detallada eh evaluando 14 dominios 73 secciones como decíamos antes y hasta 320 capacidades de ciberseguridad final Establecer un programa de ciberseguridad en una organización es es muy complejo y tiene que cubrir desde aspectos como tenéis aquí arriba a la izquierda desde la el plan de gestión o la el sistema de gestión pues estar alineado por ejemplo con la ISO 27001 como hemos hablado pero también tiene que tener en cuenta pues como veis a abajo a la derecha la gestión de la cadena de suministro es decir esos terceros que se están conectando como de seguro son la propia seguridad de de las de las instalaciones desde un punto de vista físico Cuál es el plan proceso de gestión de de incidentes por ejemplo esto es fundamental Qué tipo de de revisiones o de testing de challenge a la seguridad están haciendo para asegurar que las medidas continúan funcionando los planes de mantenimiento por ejemplo todo lo que tiene que ver como hemos hablado con la gestión de la vulnerabil idades controles de acceso fundamental tanto lógico como físico la formación y la concienciación del personal todos estos aspectos deberían o de nuestro juicio forman parte de la evaluación de ciberseguridad que se debe hacer de una infraestructura digital para poder opinar claramente o dar una una opinión sobre cuál es el nivel de seguridad que que se tiene implementado es decir tiene que ser una evaluación que vaya cubra tanto aspectos perdón de confidencialidad como integridad o disponibilidad es decir tenemos que asegurar que la información se mantiene dis o sea accesible Perdón solo para aquellos que necesitan saber en función de de sus roles de sus permisos íntegra es decir que no es se puede ser modificada por nadie sin autorización y disponible es decir obviamente para los que estáis más en el mundo de las digitales de los Data centers eh siempre la disponibilidad digamos ha sido un elemento fundamental de de vuestro día a día y nos tenemos que que explicar este aspecto No pero en general sí que entendemos que tiene que ocir como decimos desde la confidencialidad pasando por la integridad hasta la disponibilidad del del servicio y para terminar queríamos compartiros un par de de ejemplos que que tenemos el primero de ellos está relacionado con nuestra calificación y certificación en el esquema Nacional de seguridad de de IBM Cloud en el cual pues empezamos hace ya tres o cuat años ya no recuerdo con con la certificación del servicio de infraestructure service de infraestructura ahora recientemente lo hemos ampliado al mundo de la de las plataformas y al final digamos que lo que estamos o nuestra apuesta con este o lo que consigue IBM con esta colaboración es por un lado eh dado a la realización conjunta de Las evaluaciones de lad que os H comentado anteriormente que es este servicio financiero servicio para el sector financiero y el ns Pues por un lado creo que había habido solido por un lado permite les permite una eficiencia en el proceso de auditoría al armonizar procesos de de auditoría que esto para todos los que son proveedores de servicios pues sabemos que es un aspecto que que les causa cierta cierta problemática es decir como antes comentábamos que todos hemos visitado un Data Center no para hacer esa revisión de seguridad Bueno eso está bien pero cuando te das cuenta que hay una visita Todas las semanas o cada dos semanas Pues también se convierte en una en un problema no porque al final los recursos que tienes que a esa revisión no están dedicadas a la operación del Data Center o a otras funciones no entonces el Mostrar o el Sí el convencer O sí digamos o aportar información sobre tu nivel de seguridad se convierte en un trabajo per sé no y yo pensamos que eso es un trabajo que puede hacer la calificación por sí misma sin necesitar de recursos destinados a ello y eh armonizar Y aunar en una única en un único proceso de evaluación eh eh todas esas evaluaciones puesto que al final la seguridad del Data Center o la seguridad de una infraestructura o de un servicio Como es este caso es la que es y es cierto que hay distintos referenciales y que tienen distintos requisitos pero la seguridad sigue siendo las misma por lo tanto no tiene sentido hacer evaluaciones diferentes con requisitos cambiantes sino ser capaz de mostrar o de informar de mi nivel de seguridad sin necesidad de tener que hacer procesos iOS no y es ahí donde la la calificación aporta valor gracias a lo que hemos visto de eh esos 14 dominios esas 73 secciones eh Y esa evaluación objetiva de todas esas 300 capacidades no eh Al final al aportar una calificación en las dimensiones de confidencialidad integridad y disponibilidad en cinco niveles pues permite que los usuarios entiendan Cuál es el nivel de seguridad sin tener que hacer esos procesos repetitivos no bueno eh Por acabar con el ejemplo de de IBM Pues están haciendo este proceso para todo su huella o su huella principal en Europa incluyendo Madrid recientemente porque Bueno pues es el nuevo área que se ha que se ha incorporado y como digo es un proceso que le permite esta eficiencia en relación a al otro lado de la moneda pues podamos decirlo así no si no soy un operador de un Data Center sino que soy un cliente de un Data Center eh o un usuario de servicios de terceros que todos en el fondo sois somos usuarios de servicios de terceros eh También digamos Aquí vemos la perspectiva desde el otro lado no un gran utilizador de servicios de terceros como es mafre que eh utiliza el sistema de calificación de elit para entender cuál es el nivel de ciberseguridad de sus de sus proveedores no a raíz de bueno de un apuesta importante por la seguridad en la cadena y suministro derivado de un incidente con un tercero pues mafre lo que ha hecho ha sido avanzar en un proceso de que se llama pend risk management o c partte risk management gestión del riesgo de proveedores o de terceras partes y lo que ha hecho ha sido en base a una clasificación de sus proveedores en función de la criticidad del servicio que les está que les están proporcionando pues establecer una serie de niveles objetivos de calificación que deberían de de obtener esto lo compaginan eh con otro elemento importante que es la digamos la dureza del proceso de evaluación no puces como veis ahí a la derecha en la pirámide eh los proveedores con menos criticidad se les exige un menor nivel de seguridad suficiente para lo que hacen pero menor que a los más críticos y aparte de pedírselos un menor nivel de seguridad también se les pide un mecanismo de evaluación más ligero que es simplemente con una autoevaluación y eso va creciendo en función de la criticidad del servicio es decir servicios más críticos requieren más eh nivel de seguridad demostrar un mayor nivel de seguridad y demostrarlo con un mecanismo que es cada vez más riguroso Empezando por el self assessment subiendo a la que se suelen Llamar las desktop audits las auditorías en remoto y terminando con los rating que son pues una auditoría in situ de del proveedor no Entonces en este caso vemos como desde el otro lado un gran comprador de servicios de terceros basados en tecnología está utilizando la calificación para entender el nivel de seguridad de sus proveedores sin sin tener que ser ellos los que hagan proactivamente el proceso sino que el proveedor en un único proceso de de eh medición que ya será autoevaluación auditoría remota o insito en función de su criticidad le muestra a su cliente y de hecho a todos los clientes que quieran utilizarlo eh su nivel de seguridad consiguiendo un enfoque mucho más eficiente no y bueno para terminar eh lo que también os queríamos eh contar es que eh este proceso de calificación eh convierte digamos a la seguridad en un valor de negocio para las organizaciones lo que históricamente hemos visto y esto es una comparativa por ejemplo entre los promedios de los los clientes que teníamos en promedios en los distintos niveles como ha evolucionado entre 2021 y 2022 ahora Sacaremos la de 2023 con el siguiente siguiente edición del estudio que hagamos no pero veis que las barras azul clarito son eh los niveles que se obtuvieron en 2021 y las barras en en azul oscuro son las que se obtuvieron en 2022 yo creo que se puede ver claramente como existe un desplazamiento hacia la derecha en en la distribución de los servicios es decir los servicios han ido aumentando su nivel de seguridad a lo largo de solamente un año y esto se consigue Gracias a que al poner en valor la ciberseguridad del servicio o de la estructura eh se convierte en un valor de negocio y eh Hay incentivos a la Mejora y esto yo creo que es al final muy importante porque pensándolo si lo pensáis fríamente todos dependemos de todos esto es una gran sociedad interconectada que la digitalización lo ha llevado al extremo y no importa quién falle al final de una manera u otra nos acaba repercutiendo entonces en la medida en la que construyamos un ecosistema Más estable más robusto más resiliente la sociedad mejora porque eh todos vamos a utilizar la tecnología con mayor confianza y con menos escepticismo y con menos dudas por lo tanto al final esta Apuesta por la transparencia en la evaluación de las medidas de seguridad aporta este valor que que estamos persiguiendo no y este que sí sería pues eh nuestro el mensaje con el que nos gustaría con el que gustaría terminar no yo creo que más o menos hemos Eh sí son 45 minutos eh en resumen eh hemos visto como las infraestructuras digitales son cada vez más importantes cada vez tienen un papel más relevante en la sociedad y hemos eh A través de la revisión digamos de nuestra de la encuesta que hemos hecho hace unos meses como eh esas infraestructuras eh tienen cierto nivel de protección Pero cómo existe digamos una una una capacidad de mejora y sobre todo lo que nos gustaría es animaros a los que seáis propietarios de de una infraestructura de este tipo a evaluar el nivel de ciberseguridad del mismo es decir entender eh Cuáles son eh las medidas de seguridad y la robustez de las medidas de seguridad y la madurez de los procesos que tenéis implementados para proteger vuestra infraestructura de ciberamenazas y para aquellos que sois usuarios de esas tecnologías animaros a utilizar la calificación como mecanismo de entendimiento Por qué Pues porque a vosotros os va a facilitar la vida porque eh No tendréis que hacerlo por vosotros mismos y por otra parte el proveedor yo creo que y es lo que nos dicen por ejemplo muchos de nuestros proveedores también le simplifica el proceso porque pasan de un modelo en el que tienen que estar dando la información a cada uno de sus clientes a un modelo más normalizado donde pueden compartir esa información con con terceros y esto es lo que os queríamos comentar no animaros a seguir andando en la ciberseguridad de las infraestructuras digitales porque pensamos que existen amenazas como hemos visto que hay eh ataques que se están produciendo y que hay regulación que viene y cada vez va a ser una demanda creciente y por otra parte también animaros a conocer los los servicios de de calificación Si no los conocíais y eh en en la medida en la que os interese también la encuesta que hemos realizado Puos an animaros también a ponernos a ponernos en contacto con con nosotros para andar en su en su conocimiento Ahora cuando terminemos el webinar no digo ahora pero vamos en los próximas días horas recibiréis un mail para agradeceros vuestra presencia para pediros vuestra opinión sobre cómo ha ido y ahí pues podréis también solicitar cualquier información adicional que que queráis y por mi parte nada más no sé si tenéis alguna pregunta alguna duda si hay algo que en lo que queráis que que ahondemos pues estamos a a vuestra disposición de momento no veo por aquí ninguna pregunta tampoco queremos Bueno pues si no hay más preguntas o no hay preguntas daros las las gracias por por habernos acompañado esta mañana y dadas las fechas en las que estamos pues obviamente desearos felices fiestas un próspero 2024 y que nos veamos pronto en en un próximo webinar o en persona si es posible que siempre es mucho más agradable y por nuestra parte nada más Muchas gracias y y buenos días a todas y a todos nos vemos en la próxima chao