Blog / Eventos /

Blog de Internet Security Auditors: Crónica GigaTIC 2016: del gobierno y gestión IT, pasando por la Internet of Things (IoT) y la protección de datos, hasta la computación cuántica

Crónica GigaTIC 2016: del gobierno y gestión IT, pasando por la Internet of Things (IoT) y la protección de datos, hasta la computación cuántica


El pasado jueves 28 tuvo lugar en Barcelona el congreso anual gigaTIC, organizado por ITSMF e ISACA conjuntamente, con el lema ‘ El futuro es ahora: Gestionando la Era Digital’, y desde Internet Security Auditors acudimos a cubrir el que se ha convertido en uno de los eventos de mayor envergadura en Cataluña en relación al Gobierno y Gestión de Servicios TIC.

1. Tras la correspondiente presentación, empezamos el día con la que sería una de las ponencias más cautivadoras que asombró a todos los asistentes: bajo el título ‘ ¿Estamos preparados para la nueva era cuántica?’, el Dr. José Ignacio Latorre Sentís, profesor e investigador de física teórica de la Universitat de Barcelona y Alfonso Rubio-Manzanares, presidente de barcelonaqbit-bqb, nos trasladaron del universo de la física clásica determinista al universo de la física cuántica probabilística, deteniéndonos, como no podría ser de otra manera en este congreso, en la computación cuántica y el supercomputador cuántico más avanzado actualmente: D-Wave 2 de Google (incompleto aún, ya que se trata de una prueba de concepto).

Si algo nos quedó claro a todos los asistentes es que la computación cuántica de las próximas décadas pondrá en jaque nuestros sistemas actuales de cifrado de la información.

La criptografía RSA se volverá inservible. Para la década del 2030 posiblemente podremos romper criptografías basadas en RSA2048
La seguridad en los sistemas actuales de cifrado se basa en la dificultad de factorizar números de más de 2048bits; en este sentido, actualmente la comunidad científica ha conseguido desarrollar algoritmos para trabajar con hasta 5 Qubits en conjunto, y se calcula que serían necesarios cientos de millones de Qubits para romper cualquier clave  actual.

Motivado por este riesgo “inminente”, la US National Security Agency (NSA) anunció el pasado año planes preliminares para la transición hacia algoritmos  quantum-resistant.


2. Después de esta primera ponencia, de la mano de Luis Morán, itSMF España, y con el título ‘ Cinco retos digitales para definir la Nueva Generación de Gestión TI (ITSM2020)’, nos presentó un enfoque de los principales retos a asumir por las Organizaciones en la gestión de las TI para los próximos años, siendo estos:
  • Reto 1    La Gestión TI a dos velocidades (Bimodal IT)
  • Reto 2    La Gestión de los nuevos Servicios Digitales
  • Reto 3    La Conexión-Ágil, extremo a extremo, desde el negocio hasta la producción
  • Reto 4    La Gestión de Servicios alojados en Cloud Externos
  • Reto 5    La Gestión de Servicios en Pymes
La nueva cultura en las Organizaciones, la existencia de multitud de marcos de gobierno y gestión IT así como nuevos servicios digitales requieren nuevos modelos de trabajo
A destacar por su importancia, la transición la Gestión de las TIC a dos velocidades, que permita la operación de la organización tradicional bajo condiciones estables en convivencia con una organización que funcione con prácticas ágiles para poder entregar nuevos servicios de rápido cambio y adaptación a las necesidades de negocio sin penalizar ninguno de los dos paradigmas.

3. En nuestra tercera ponencia, nos dirigimos a una de las salas taller habilitadas para participar en un role play de poco más de 1h20min que lleva por título ‘ Newton Gam, gestión de cambios en seguridad’ dirigido de manera magistral por Juan Trujillo.  Las aproximadamente 20 personas inscritas nos dividimos en los diferentes roles que pueden llegar a participar en el proceso de Gestión de Cambios de ITIL v3 de la fase de Transición del Servicio del ciclo de vida de los Servicios (desde el equipo ‘Desarrollador de Aplicaciones’, ‘Consejo Consultor para Cambios (CAB)’, etc.).
Resulta crucial que el proceso de Gestión de Cambios se extienda a todas las partes interesadas desde un principio, con el fin de evitar interrupciones innecesarias en la prestación normal del servicio
Sin duda, un taller entretenido y ameno que nos permitió sacar a la luz los fallos más evidentes y comunes que en mayor o menor medida  todos los allí reunidos pudimos llegar a identificar en nuestras empresas o en organizaciones con las que colaboramos.

5. Después del entretenido taller, acudimos a la ponencia presentada por Montserrat Labrandero, de Orednarbal SL, bajo el título ‘ El enemigo está dentro’. En ella a modo de historia infantil con moraleja, se presentó un caso real donde se realizó una investigación durante meses en relación a una serie de emails amenazantes enviados desde cuentas anónimas del proveedor Gmail al Director General de una empresa del sector metalúrgico.
El golpe que te tumba es siempre el que no ves venir. La desconfianza es la madre de la seguridad
El nudo de la historia radicaba en que las sospechas recaían sobre el propio personal interno, que empleaba los sistemas de la compañía aunque nunca se pudo llegar a probar nada mediante las evidencias recabadas.


5. La última ponencia  de la mañana a la que asistiríamos sería la titulada ‘ Historia de una transformación ágil en grupo Ferrer’, que correría a cargo de Miquel Rodríguez, Director de Consultoría de Netmind. En la ponencia se presentó el despliegue entre el año 2014 y 2015 de un modelo de gestión ágil de proyectos en el área de Organización y Sistemas del Grupo Ferrer.
El éxito de la transformación fue conseguir que los equipos hicieran suyo el proyecto, compartiendo el objetivo y siendo capaces de flexibilizar y adaptar los modelos a cada su equipo de trabajo: no todos tenían porque trabajar de la misma forma
Sin duda a destacar de la exposición la duración del proyecto, algo más de un año, con el objetivo de impulsar la transformación hacía modelos ágiles (scrum, kanban, etc.) mediante oleadas de cambios, y asegurar así que los equipos habían interiorizado y asentado el cambio antes de iniciar nuevas mejoras.

6. Llegada la tarde, aunque quizás la calidad de las ponencias decayó un poco al tratarse temas y enfoques de sobra ya conocidos por la mayoría de audiencia del evento (COBIT, ISO 20.000-1, ISO 27.0001) o con cierto aire comercial mal disimulado por el ponente, cabe destacar sin duda la última de las exposiciones llevadas a cabo en el auditorio principal, presentada por Rafael García Gozalo, vocal asesor jefe del área internacional de la Agencia Española de Protección de Datos bajo el título ‘ Novedades en protección de datos: Reglamento europeo y Privacy Shield’.

Rafael García expuso que recientemente ha sido aprobado por el Parlamento Europeo (pendiente tan solo de su aprobación definitiva por el Consejo) el esperado Reglamento General de Protección de Datos (RGPD).
El Reglamento será de aplicación directa sin necesidad de transposición del Derecho de cada país. Será de obligado cumplimiento a los dos años desde su publicación (mediados del 2018)
Entre otros aspectos destacables, cabe subrayar que este reglamento nace con importantes indefiniciones susceptibles de ser interpretadas y que a falta de jurisprudencia al respecto, sin duda tendremos dos años por delante de duro trabajo por parte de los profesionales hacia el cumplimiento en la Organizaciones.

Asimismo, merece especial atención la flexibilidad del Reglamento, abriendo la puerta explícitamente en alguno de sus puntos al desarrollo e interpretación específico por cada uno de los países.

Finalmente, en relación a las transferencias de datos, Rafael García mostro la postura escéptica de las autoridades europeas reunidas en el Grupo de Trabajo del artículo 29, respecto al  acuerdo ‘ EU-US Privacy Shield’, por lo de momento las Organizaciones aún deberemos lidiar con esta situación poco definida y transitoria.


7. Como colofón y previo a la clausura del evento, tuvo lugar una interesante mesa redonda con el tema ‘ Securizando la Industrial Internet of Things’ en la que participaron los profesionales en la materia: Antonio Ayala, Director Comercial de Inycom, Carlos Puga, CIO de Opentrends, Marc Pous  CEO & Internet of Things giant, Joan Figueras Tugas, Seguridad Informática y Protección de Datos Personales, y Josep-Ramon Ferrer Escoda, Institucional Business Development Director DOXA Innova & Smart.


Autor: Ero Rodríguez - CISA, CRISC, ITILF, ISO 22301 L.A.
Departamento Consultoría

Suscríbete al Blog