Tomás Clemente: “Trabajar de forma colectiva ayuda a reducir el riesgo de ciberataques”

Calatayud reúne la próxima semana a profesionales de la seguridad en la red en las III Jornadas Aragonesas de Protección de Datos. Uno de los ponentes es el Senior Solutions Architect Specialist Security at Amazon Web Services, Tomás Clemente
TomasClemente
photo_camera El Senior Solutions Architect Specialist Security at Amazon Web Services, Tomás Clemente

Del 16 al 17 de abril, Calatayud reunirá a profesionales de la seguridad en la red en las III Jornadas Aragonesas de Protección de Datos, organizadas por la AADPD. Uno de los ponentes de esta cita es el Senior Solutions Architect Specialist Security at Amazon Web Services, Tomás Clemente, quien participará en uno de los paneles del martes 16, para abordar la idea de que existe una necesidad de priorizar la ciberseguridad como una obligación estratégica, tanto para el sector privado como para el sector público.

PREGUNTA.- Participa en las III Jornadas de Protección de Datos, Transparencia y Ciberseguridad. ¿Es importante poner en común conocimientos sobre la seguridad informática?
RESPUESTA.- Sin duda. Compartir información y conocimientos de seguridad es beneficioso para toda la comunidad profesional por muchas razones. Podemos ampliar nuestro conocimiento y experiencia. Nos ayuda a trabajar mejor colectivamente, a desarrollar mejorar defensas y reducir así el riesgo de ciberataques. Y, sobre todo, fomenta la confianza entre compañías, clientes, gobiernos y el público en general. Estamos encantados de participar en estas jornadas y aportar nuestro grano de arena.

P.- ¿Cómo ha evolucionado el panorama global de ciberseguridad?
R.- Hoy en día la tecnología está presente en todos los aspectos de nuestra vida. Desde el uso de ordenadores y teléfonos móviles en el trabajo o en casa para usar aplicaciones financieras, médicas, dispositivos de IoT, etc… Esta proliferación de dispositivos y tecnologías se traduce en una mayor superficie de ataque y cambios significativos en los tipos, frecuencias y el impacto de las ciberamenazas.

A lo largo de los años, se ha producido un aumento notable en el número de ciberataques. Las ciberamenazas se han vuelto más sofisticadas y diversas, y van desde los ataques tradicionales de malware y suplantación de identidad hasta las amenazas persistentes avanzadas (APT), el ransomware y los ataques a infraestructuras críticas. Estos ataques son complejos y aprovechan tanto vulnerabilidades técnicas como humanas, lo que los hace difíciles de detectar.

2-Cartel

Todo esto hace que gobiernos y reguladores de todo el mundo hayan respondido a las crecientes amenazas a la ciberseguridad mediante la introducción de nuevas leyes, reglamentos y requisitos de cumplimiento. Hay mucho foco puesto en la mejora global y consistente de la resiliencia de todo tipo de servicios tecnológicos, tanto a nivel de infraestructura como a nivel de diseño de aplicaciones y arquitectura.

En general, hoy existe una necesidad de priorizar la ciberseguridad como una obligación estratégica tanto para el sector privado como para el sector público.

P.- ¿Cómo están trabajando desde AWS en materia de ciberseguridad y protección de datos?
R.- En AWS la seguridad es nuestra máxima prioridad. AWS presta servicios en la nube a millones de clientes de todo el mundo con una amplia variedad de casos de uso y más de 240 servicios. En España, más del 75% de las empresas del Ibex 35 confían en AWS y contamos con decenas de miles de clientes, desde grandes empresas como Santander y BBVA, hasta start-ups como Glovo y Cabify, e instituciones del sector público como Renfe, Correos y el mismo Gobierno de Aragón. Nuestros clientes confían en nosotros porque AWS está diseñado para ser el entorno de computación en la nube más flexible y seguro disponible en la actualidad. Nuestros servicios y nuestra infraestructura, como los centros de datos que AWS opera en Aragón desde 2022, están diseñados para satisfacer los más altos requisitos de seguridad, aplicables a fuerzas armadas, bancos, gobiernos y otras organizaciones de alta sensibilidad.

Esto está respaldado por los 143 estándares de seguridad y certificaciones de cumplimiento que ha pasado AWS. Es importante destacar que en España nuestros servicios están certificados en el Esquema Nacional de Seguridad (ENS) a nivel ALTO. También fuimos el primer proveedor de tecnología cloud en España en acreditar un servicio de seguridad en la nube en el Catálogo de Productos y Servicios STIC (CPSTIC) del Centro Criptológico Nacional (CCN), y hemos continuado la labor hasta llegar a 13 servicios cualificados a día de hoy. Además, el año pasado anunciamos la obtención de la cualificación AAA de Pinakes, que evalúa más de 320 capacidades de ciberseguridad, que creó el Observatorio del Centro de Cooperación Interbancaria (CCI).

Desde el punto de vista de protección de datos, hemos obtenido la certificación de nuestros servicios con la norma ISO 27018 respecto a la protección de datos personales en la nube. Y estamos adscritos al código CISPE que garantiza que cumplimos los requerimientos establecidos en el RGPD para procesadores de datos personales. Todo esto garantiza que nuestros clientes pueden usar los servicios de AWS para procesar datos en conformidad con el RGPD.

Además, AWS proporciona un amplio conjunto de herramientas de seguridad en la nube a sus clientes, con más de 300 servicios y funcionalidades de seguridad y cumplimiento para ayudar a los clientes a cumplir sus objetivos, desde la seguridad de la red hasta la administración de la configuración, el control de acceso y el cifrado de datos. Hemos creado tecnología muy avanzada para que nuestros clientes puedan construir la mejor seguridad de la manera más fácil posible.

En definitiva, AWS trabaja constantemente para poner a disposición de todos nuestros clientes un conjunto de herramientas que les permite innovar y construir seguridad de manera fiable y confiable.

P.- ¿Cuáles son sus consejos para que las empresas se sientan seguras en el boom de la IA que estamos viviendo?
R.- En términos generales, la IA representa una gran oportunidad para España y Aragón. Según el estudio independiente Desbloqueando el potencial de la IA en Europa en la Década Digital, encargado por AWS y llevado a cabo por Strand Partners, el 36% de las empresas españolas han adoptado tecnologías IA, lo que supone un aumento del 29% desde el año 2022. Mantener esta tasa de adopción de la IA podría llegar a aportar 55.000 millones de euros adicionales a la economía de España para 2030. Una gran oportunidad para nuestro país, pero también para las empresas, ya que el 72% de las organizaciones españolas afirman que la adopción de IA ha supuesto un aumento de sus ingresos.

IA
La IA representa una gran oportunidad para España y Aragón

Desde AWS queremos democratizar el acceso seguro a la inteligencia artificial para empresas de todos los tamaños. Llevamos años creando servicios en la nube para la IA y aprendizaje automático. Por ejemplo, en 2017, lanzamos Amazon SageMaker, una solución integral para el aprendizaje automático, con todas las herramientas necesarias para crear, entrenar e implementar modelos de aprendizaje automático. De hecho, más de 100.000 clientes en todo el mundo están utilizando AWS para ejecutar sus cargas de trabajo de aprendizaje automático. Ahora estamos facilitando el acceso a una gran variedad de modelos fundacionales e infraestructura de IA necesarios para que cada empresa pueda crear sus aplicaciones de IA en base a sus necesidades, a través del servicio Amazon Bedrock.

En mi opinión, hay varios puntos clave a tener en cuenta en una estrategia de seguridad en torno a la IA. El primero es la ciberseguridad de los sistemas que soportan la IA, que es un área de trabajo similar a la construcción de controles de seguridad en sistemas tecnológicos tradicionales. El segundo es el uso de datos. Los servicios de IA usan datos para mejorar constantemente, así que es importante saber qué pasa con nuestros datos cuando se usan en una IA, ya sea cuando se usan en entrada o se producen en salida, o cuando se utilizan para entrenar un modelo fundacional. El tercero tiene que ver con el uso desarrollo y el uso responsable de la IA, adoptando un enfoque justo, preciso y centrado en las personas.

P.- Compañías aéreas, entidades financieras e instituciones han sufrido recientemente ciberataques, ¿se aprende de ellos? ¿Cuáles son los retos de las compañías españolas en seguridad?
R.- Desde AWS percibimos dos tipos de retos, tecnológicos y estructurales. Los retos tecnológicos son constantes en el mundo de la ciberseguridad y nos obliga a mejorar continuamente la seguridad de nuestros servicios tecnológicos. En este sentido, desde AWS trabajamos constantemente en mejorar la protección de nuestros servicios existentes y en el desarrollo continuo de funcionalidades de seguridad que permitan a nuestros clientes mejorar sus propios controles y ejecutar sus aplicaciones de manera segura.

Los retos tecnológicos son constantes en el mundo de la ciberseguridad y nos obliga a mejorar continuamente la seguridad de nuestros servicios tecnológicos

El segundo reto, estructural, tiene que ver con la falta de alineación entre la oferta y la demanda de profesionales de ciberseguridad. El World Economic Forum estima que en todo el mundo faltan 4 millones de profesionales de ciberseguridad, y que el 71% de las organizaciones tienen puestos clave sin cubrir. Sólo en España INCIBE estimó que faltaban 30.000 profesionales. Es clave que nos focalicemos en la formación de nuevos y mejores profesionales. Y en AWS estamos contribuyendo también en esto a través de diferentes programas de formación en España.

Proporcionamos información sobre prácticas recomendadas, herramientas de cifrado y otro tipo de orientación que nuestros clientes pueden aprovechar para ofrecer medidas de seguridad a nivel de aplicación. Y hemos estado colaborando con el CCN para la creación de guías de configuración de servicios de AWS. Además, está apoyando también la formación de los ciudadanos españoles y aragoneses, con programas como AWS Academy y AWS re/Start. Por ejemplo, gracias a un acuerdo con el Gobierno de Aragón ya estamos formando a más de 2.000 estudiantes aragoneses de Formación Profesional. AWS ha formado a más de 200.000 personas en tecnologías en la nube desde 2017 en nuestro país.

P.- ¿Cómo pueden ayudar los centros de datos de AWS en Aragón a las empresas españolas a protegerse?
R.- La Región de infraestructura de AWS en Aragón está operativa desde noviembre de 2022 y ya están impulsando la transformación digital de nuestro país. Estimamos invertir en la construcción y operación de los centros 2.500 millones de euros durante 10 años, con un impacto en el PIB de 1.800 millones y apoyando anualmente en torno a 1.300 empleos.

En total, AWS cuenta con millones de clientes en todo el planeta, que pueden ejecutar sus aplicaciones desde cualquiera de las 33 regiones con las que cuenta la compañía en el mundo, entre ellas la de Aragón. Empresas de referencia en España como Telefónica, Insud Pharma, IE y Adif están ejecutando cargas de trabajo desde nuestros centros de datos de Aragón, y aprovechan las capacidades y servicios de seguridad que hemos desplegado, desde la seguridad de la red hasta la administración de la configuración, el control de acceso y el cifrado de datos. Todos factores importantes para la construcción de una postura de seguridad sólida.

Los centros de datos de AWS en Aragón permiten a los clientes locales que tengan requisitos de residencia de datos almacenar su contenido en España, con la garantía de que mantienen el control total sobre la localización de sus datos. Además, los clientes que desarrollan aplicaciones en cumplimiento con el Reglamento General de Protección de Datos (RGPD) tienen acceso a otra región de infraestructura segura de AWS en la Unión Europea (UE), respetando los más altos estándares de seguridad, cumplimiento normativo y protección de datos. Hoy AWS también cuenta con la certificación del Esquema Nacional de Seguridad (ENS) categoría Alta, lo cual significa que su infraestructura cumple con los más altos niveles de seguridad y cumplimiento para agencias estatales y organizaciones públicas en España.