redseguridad 077

ciberinteligencia

sobre la mesa

que ofrecen este tipo de servicios, tal y como apuntaron varios de los presen- tes en la mesa redonda. En este sentido, Frieiro, de Deloitte, matizó que "algunas empresas están exigiendo habilitaciones para los profe- sionales que participan en estos proce- sos", y "habrá que ver qué dice al res- pecto el nuevo reglamento que se está preparando sobre seguridad privada". De momento, según dejaron claro los expertos asistentes, ninguna ley habla expresamente de ciberinteligencia. Por otro lado, en opinión de Ramos, y al tratar con activos críticos, "tiene sentido que se pida algún tipo de garantía a las empresas que ofrecen estos servicios". No obstante, para Maestre, de EY, esto puede "ser difícil de legislar". Otra cosa es "la propia responsabilidad que deben tener las organizaciones para tener esto con- trolado", añadió. Eso sí, en algunos casos, en opinión de Zubieta, "se están exigiendo determinadas certi- ficaciones" para los profesionales que realizan estas labores, pero de momento no es una obligación. Conclusión La mesa redonda finalizó con la sensa- ción de que lo primero es definir qué se entiende por ciberinteligencia, porque, en palabras de Mitxelena, de S21sec, "parece que a todo se le llama así". Por lo tanto, habría que establecer qué visión se le va a dar a este concepto, y qué proceso de transformación ha de experimentar la inteligencia para convertirse en ciberinteligencia. "Hay que definir la transformación digital de la inteligencia, no la digitalización de la inteligencia", puntualizó. Y es que, según el directivo, "no todo lo que se hacía en el entorno físico vale aquí; y viceversa, no todos los que venimos del mundo digital vamos a enseñar a hacer ciberinteligencia". En este sen- tido, para Mitxelena, se necesita ana- lizar los datos, trabajar con la informa- ción extraída y juzgar con prospectiva para saber qué hacer. Por lo tanto, es preciso crear una nueva materia que defina cómo deben ser los profesionales de este ámbito, y de qué forma las empresas deben incorporar la ciberinteligencia a sus procesos, todo ello con un objetivo claro, según el directivo: "Hacer de esta palabra un activo importante de las organizaciones".

Diez expertos del sector dieron su punto de vista sobre los servicios de ciberinteligencia aplicados ámbito de la seguridad.

gencia, o subcontratar el proceso en modo servicio". Lo malo en el primer caso, según puntualizó Maestre, de EY, es que "montar una célula de inteligencia con sistemas y analistas propios requiere un volumen de inversión que no es fácil poner en valor". Para la directiva, "es difícil que una organización tenga la inversión necesaria para poder mon- tar plataformas de analistas técnicos desde un primer momento". Por eso, lo habitual es recurrir a servicios externali- zados, en los que, según reveló Frieiro, de Deloitte, no se ofrece el servicio entero de inteligencia. "Una vez que se produce la información, la forma en la que la consume el cliente la decide él". Ahora bien, la dificultad aquí reside en "cómo poner a disposición del cliente información útil que le permita finalizar el ejercicio de inteligencia", agregó. Para Ramos, de ISACA, este tipo de servi- cios "suelen externalizarse" y lo normal es que "se deje que el cliente la con- suma como crea necesario", comentó. Claro que, para ello, es preciso esta- blecer una relación de confianza entre ambas empresas, sentimiento al que, a juicio de Mitxelena, "se llega con el tiempo y la necesidad". Para el repre- sentante de S21sec, habitualmente las organizaciones apuestan por modelos SaaS de ciberinteligencia, "con plata- formas remotas, un modelo cómodo para ellas, puesto que no requiere inversión". Y es que, según el directivo, "la venta de tecnología de ciberseguri- dad sólo se da en aquellas compañías que tienen la capacidad de tomar deci-

siones o proteger los datos de forma confidencial". En estos casos, la cola- boración entre los equipos es clave. Precisamente, éste fue otro de los temas que se abordó durante la mesa redonda. Para Freire, de Deloitte, por ejemplo, "se debe exigir la comparti- ción de información". En cambio, para Mitxelena, de S21Sec, depende de qué inteligencia sea. "Cuando se trata de un elemento final, es responsabili- dad de la empresa cliente; pero cuan- do es uno genérico de riesgo, tiene que haber canales para hacer efectiva la cooperación, especialmente entre el sector público y privado", aseguró. Sin embargo, hay quien esto lo ve como una utopía, porque, "si en temas de seguridad, como incidentes, no se es capaz de compartir informa- ción entre las propias administraciones públicas y entre éstas y el sector priva- do, mucho menos en inteligencia", en palabras de Maestre, de EY. Por eso, para Castillejo, de Cyrity, "habría que darle un impulso a esto en España más allá de hacer grupos de trabajo sec- toriales o de infraestructuras críticas", señaló. Eso sí, lo que mejor funciona, a juicio de Maestre, de EY, es "el canal informal de comunicación", porque no existe una estructura formal creada para facilitar la posibilidad de compartir información entre empresas. Aspectos legales Y tan importante puede llegar a resul- tar el hecho de compartir información para la ciberinteligencia como el exigir una serie de requisitos a las empresas

16 red seguridad segundo trimestre 2017