El pasado jueves 28 tuvo lugar en Barcelona el congreso anual gigaTIC, organizado por ITSMF e ISACA conjuntamente, con el lema ‘El futuro es ahora: Gestionando la Era Digital’, y desde Internet Security Auditors acudimos a cubrir el que se ha convertido en uno de los eventos de mayor envergadura en Cataluña en relación al Gobierno y Gestión de Servicios TIC.
1. Tras la correspondiente presentación, empezamos el día con la que sería una de las ponencias más cautivadoras que asombró a todos los asistentes: bajo el título ‘¿Estamos preparados para la nueva era cuántica?’, el Dr. José Ignacio Latorre Sentís, profesor e investigador de física teórica de la Universitat de Barcelona y Alfonso Rubio-Manzanares, presidente de barcelonaqbit-bqb, nos trasladaron del universo de la física clásica determinista al universo de la física cuántica probabilística, deteniéndonos, como no podría ser de otra manera en este congreso, en la computación cuántica y el supercomputador cuántico más avanzado actualmente: D-Wave 2 de Google (incompleto aún, ya que se trata de una prueba de concepto).
Si algo nos quedó claro a todos los asistentes es que la computación cuántica de las próximas décadas pondrá en jaque nuestros sistemas actuales de cifrado de la información.
“La criptografía RSA se volverá inservible. Para la década del 2030 posiblemente podremos romper criptografías basadas en RSA2048”
Motivado por este riesgo “inminente”, la US National Security Agency (NSA) anunció el pasado año planes preliminares para la transición hacia algoritmos quantum-resistant.
2. Después de esta primera ponencia, de la mano de Luis Morán, itSMF España, y con el título ‘Cinco retos digitales para definir la Nueva Generación de Gestión TI (ITSM2020)’, nos presentó un enfoque de los principales retos a asumir por las Organizaciones en la gestión de las TI para los próximos años, siendo estos:
- Reto 1 La Gestión TI a dos velocidades (Bimodal IT)
- Reto 2 La Gestión de los nuevos Servicios Digitales
- Reto 3 La Conexión-Ágil, extremo a extremo, desde el negocio hasta la producción
- Reto 4 La Gestión de Servicios alojados en Cloud Externos
- Reto 5 La Gestión de Servicios en Pymes
“La nueva cultura en las Organizaciones, la existencia de multitud de marcos de gobierno y gestión IT así como nuevos servicios digitales requieren nuevos modelos de trabajo”
3. En nuestra tercera ponencia, nos dirigimos a una de las salas taller habilitadas para participar en un role play de poco más de 1h20min que lleva por título ‘Newton Gam, gestión de cambios en seguridad’ dirigido de manera magistral por Juan Trujillo. Las aproximadamente 20 personas inscritas nos dividimos en los diferentes roles que pueden llegar a participar en el proceso de Gestión de Cambios de ITIL v3 de la fase de Transición del Servicio del ciclo de vida de los Servicios (desde el equipo ‘Desarrollador de Aplicaciones’, ‘Consejo Consultor para Cambios (CAB)’, etc.).
“Resulta crucial que el proceso de Gestión de Cambios se extienda a todas las partes interesadas desde un principio, con el fin de evitar interrupciones innecesarias en la prestación normal del servicio”
5. Después del entretenido taller, acudimos a la ponencia presentada por Montserrat Labrandero, de Orednarbal SL, bajo el título ‘El enemigo está dentro’. En ella a modo de historia infantil con moraleja, se presentó un caso real donde se realizó una investigación durante meses en relación a una serie de emails amenazantes enviados desde cuentas anónimas del proveedor Gmail al Director General de una empresa del sector metalúrgico.
“El golpe que te tumba es siempre el que no ves venir. La desconfianza es la madre de la seguridad”
5. La última ponencia de la mañana a la que asistiríamos sería la titulada ‘Historia de una transformación ágil en grupo Ferrer’, que correría a cargo de Miquel Rodríguez, Director de Consultoría de Netmind. En la ponencia se presentó el despliegue entre el año 2014 y 2015 de un modelo de gestión ágil de proyectos en el área de Organización y Sistemas del Grupo Ferrer.
“El éxito de la transformación fue conseguir que los equipos hicieran suyo el proyecto, compartiendo el objetivo y siendo capaces de flexibilizar y adaptar los modelos a cada su equipo de trabajo: no todos tenían porque trabajar de la misma forma”
6. Llegada la tarde, aunque quizás la calidad de las ponencias decayó un poco al tratarse temas y enfoques de sobra ya conocidos por la mayoría de audiencia del evento (COBIT, ISO 20.000-1, ISO 27.0001) o con cierto aire comercial mal disimulado por el ponente, cabe destacar sin duda la última de las exposiciones llevadas a cabo en el auditorio principal, presentada por Rafael García Gozalo, vocal asesor jefe del área internacional de la Agencia Española de Protección de Datos bajo el título ‘Novedades en protección de datos: Reglamento europeo y Privacy Shield’.
Rafael García expuso que recientemente ha sido aprobado por el Parlamento Europeo (pendiente tan solo de su aprobación definitiva por el Consejo) el esperado Reglamento General de Protección de Datos (RGPD).
“El Reglamento será de aplicación directa sin necesidad de transposición del Derecho de cada país. Será de obligado cumplimiento a los dos años desde su publicación (mediados del 2018)”
Asimismo, merece especial atención la flexibilidad del Reglamento, abriendo la puerta explícitamente en alguno de sus puntos al desarrollo e interpretación específico por cada uno de los países.
Finalmente, en relación a las transferencias de datos, Rafael García mostro la postura escéptica de las autoridades europeas reunidas en el Grupo de Trabajo del artículo 29, respecto al acuerdo ‘EU-US Privacy Shield’, por lo de momento las Organizaciones aún deberemos lidiar con esta situación poco definida y transitoria.
7. Como colofón y previo a la clausura del evento, tuvo lugar una interesante mesa redonda con el tema ‘Securizando la Industrial Internet of Things’ en la que participaron los profesionales en la materia: Antonio Ayala, Director Comercial de Inycom, Carlos Puga, CIO de Opentrends, Marc Pous CEO & Internet of Things giant, Joan Figueras Tugas, Seguridad Informática y Protección de Datos Personales, y Josep-Ramon Ferrer Escoda, Institucional Business Development Director DOXA Innova & Smart.
Autor: Ero Rodríguez - CISA, CRISC, ITILF, ISO 22301 L.A.
Departamento Consultoría
