Seg2 – VI Encuentro de Seguridadintegral
Seguridad en puertos
Desde hace algún tiempo se ha instalado un nuevo término entre los profesionales de la seguridad: “resiliencia”. Pero, ¿qué significa esta palabra? ¿Cómo se aplica a las organizaciones? ¿Se trata de una novedad o siempre ha estado presente? Preguntas como estas se fueron despejando desde el minuto uno de la sexta edición del Encuentro de la Seguridad Integral (Seg2) – organizado el 12 de junio, en Madrid–, gracias a ponentes de excepción, que trasladaron opiniones y planteamientos de todo tipo en torno a este concepto y otros muchos asuntos relacionados con la convergencia en la seguridad.

Enrique Polanco @enriquepolancog David González @dgonzalezmas
Consultor de Seguridad Global e Inteligencia. Director de Sistemas de Información
Socio Director de Global Technology 4E Autoridad Portuaria de Tarragona
Durante la siguiente conferencia también se abordó el tema de la seguridad integral. En esta ocasión, Enrique Polanco, socio director de Global Technology 4E, se refirió al hecho de que, ante situaciones excepcionales, las autoridades deben activar el plan de alerta de ciberseguridad de forma paralela a la seguridad física, puesto que no se pueden separar ambos cuando es preciso enfrentarse a amenazas reales y globales. Así, de hecho, sucedió con la proclamación de Felipe VI, lo que a ojos de Polanco es un hecho “altamente loable”.
Por desgracia, continuó, “es muy difícil encontrar en los planes de seguridad de cualquier empresa que, ante un evento de especial relevancia (como junta de accionistas, previsión de huelgas o manifestaciones, etc.), se incluya entre los procedimientos de seguridad habituales algunos como cambiar las contraseñas de los dispositivos de seguridad y comunicaciones, comprobar el estado de aplicación de las políticas de seguridad informática, reforzar la seguridad de las VPN de trabajo o restringir temporalmente el uso de determinados dispositivos altamente vulnerables. Eso sí sería una verdadera convergencia”, puntualizó.
Y es que, para el directivo, todos los elementos críticos de seguridad física reposan sobre tecnologías IP conocidas y con herramientas al alcance de todos para vulnerarlas. “Me gustaría que se generara una simbiosis; es decir, se unieran fuerzas para conseguir una meta de intereses comunes. Hay que pensar en procesos de inicio a fin”. Precisamente, esta afirmación sirvió para dar paso a David González, director de Sistemas de Información de la Autoridad Portuaria de Tarragona, quien ya está llevando a cabo esta simbiosis entre la policía portuaria y el departamento de Sistemas. “En la Autoridad Portuaria de Tarragona estamos totalmente convencidos de la absoluta necesidad de actuar de modo convergente en materia de seguridad, al igual que sabemos que así lo hará cualquier posible atacante”, afirmó durante su intervención.
De hecho, el Sistema de Monitorización Avanzado (SIMA) instalado en el puerto, que actúa sobre los sistemas de información (incluidos todos los dispositivos de seguridad conectados por IP), detecta las amenazas que se materializan y demuestra su utilidad de forma simbiótica para todos los departamentos de la organización. Y esta forma de actuar es extrapolable a todas las empresas, que deben crear un equipo multidisciplinar en el que tanto el departamento de TI como los CIO tienen mucho que aportar. “Los CIO deben aprovechar la oportunidad actual de ‘co-creación’ de los nuevos sistemas de gestión de la seguridad y participar activamente junto con los directores de seguridad integral”. Ahora bien, para González, no se trata de quitar competencias de un departamento y dárselas a otro, sino de organizarse para aportar lo mejor de cada uno. “Se puede delegar parte de la gestión de la seguridad lógica en el director de Seguridad Integral, aunque sin perder el control sobre esa seguridad, que obviamente deben ejercer los dueños de cualquier tipo de activo”, manifestó.
Durante su intervención, el invitado también advirtió de que la consumerización (la aparición de nuevas tecnologías de la información que llegan primero al mercado generalista y luego se propagan a las organizaciones) de las herramientas de explotación de vulnerabilidades “es un problema candente”.