00:00:08
[Música]
00:00:11
buos Bueno lo primero Muchas gracias a
00:00:13
al centro cristológico nacional por por
00:00:16
permitirnos participar Un año más en lo
00:00:18
que ya se está convirtiendo en en este
00:00:21
momento del año en el que hacemos un
00:00:23
balance con todos vosotros y os contamos
00:00:25
qué es lo que hemos estado haciendo En
00:00:27
qué hemos estado ocupados Qué cosas han
00:00:30
salido mal Qué cosas nos han salido bien
00:00:32
y Y bueno pues este es el momento Así
00:00:35
que vamos a por
00:00:39
ello sí no ahora vale esta ya la
00:00:43
conocéis Vale Voy a empezar
00:00:46
fuerte estas tres personas no tienen un
00:00:49
cargo de relacionado con la
00:00:51
ciberseguridad en el ayuntamiento y sin
00:00:54
embargo Probablemente sean las tres
00:00:58
personas que más hecho por la
00:01:00
ciberseguridad del ayuntamiento y por la
00:01:02
ciberseguridad de la ciudad de Madrid no
00:01:04
Fernando de Pablo de sobra conocido para
00:01:07
muchos antiguo secretario general de
00:01:08
administración digital en el verano
00:01:11
2020 aceptó el ofrecimiento del alcalde
00:01:14
para para liderar la oficina digital del
00:01:18
ayuntamiento de Madrid y liderar la
00:01:19
transformación digital de la ciudad ahí
00:01:23
aote pronto dices Bueno vamos a liderar
00:01:25
la transformación digital de la ciudad
00:01:26
pero no hay bueno la ciberseguridad no
00:01:29
sé estará o no estará no Bueno pues en
00:01:31
el ADN de Fernando venía que en todo lo
00:01:35
que quería hacer y todo lo que quería
00:01:36
transformar la ciudad uno de los Pilares
00:01:38
fundamentales iba a ser la
00:01:39
ciberseguridad tanto es así que se
00:01:42
incluyó como uno de los compromisos de
00:01:44
alcaldía los típicos compromisos En los
00:01:46
que dice el alcalde vamos a hacer esto
00:01:48
por ejemplo ahora vamos a soterrar la
00:01:50
cinco etcétera etcétera en la
00:01:52
legislatura anterior se incluyó la
00:01:54
creación del centro de
00:01:57
ciberseguridad Por eso digo que es es
00:01:59
una persona que ote pronto bueno Quién
00:02:01
es el responsable de seguridad Quién es
00:02:02
el director del centro Cuál es el equipo
00:02:05
pero yo les digo muchas veces a otras
00:02:08
ciudades que hay una parte absolutamente
00:02:11
esencial Y es que
00:02:14
la dirección de la transformación
00:02:17
digital de la ciudad tiene que estar
00:02:20
tiene que llevar ese Pilar de
00:02:22
ciberseguridad si no Vais a hacer la
00:02:24
guerra cada uno por vuestro lado y no va
00:02:26
a funcionar no eh arriba a la derecha
00:02:29
pues e Alfonso Castro gerente
00:02:32
informática del ayuntamiento de Madrid
00:02:33
que fue el que con esta idea de Fernando
00:02:35
con esta visión se materializó dentro de
00:02:38
informática del ayuntamiento de Madrid
00:02:39
pero se materializó una subdirección
00:02:41
general de seguridad de la información
00:02:43
para para los que sois de este mundillo
00:02:45
un 30 de seguridad no en un momento en
00:02:48
el que no había muchos de estos no
00:02:51
eh ejecución realidad creación de una
00:02:54
subdirección dotación de recursos
00:02:56
eh personas dinero hay que decirlo
00:03:00
claramente la ciberseguridad cuesta
00:03:02
dinero claro que sí y abajo a la derecha
00:03:05
Juan corro que es nuestro gerente desde
00:03:07
hace un año y medio diría no eh y y y
00:03:11
sobre este papel me gustaría destacar
00:03:14
e una cuestión importante y Es que a
00:03:16
veces nuestros nuestros líderes es fácil
00:03:20
hablar no es fácil que un ministro que
00:03:23
un secretario de estado que un concejal
00:03:25
diga esto es muy importante esto es una
00:03:28
prioridad vamos a hacer esto vamos a
00:03:30
hacer esto otro no pero para mí la
00:03:32
diferencia Es cuando alguien pasa a los
00:03:35
hechos y cuando alguien duplica las
00:03:38
personas que trabajan en ciberseguridad
00:03:40
en un ayuntamiento esos son hechos y eso
00:03:42
no es un discurso político de ningún
00:03:44
tipo no entonces bueno mi mi
00:03:46
agradecimiento a estas tres personas y
00:03:49
Resaltar la importancia de que esa
00:03:51
dirección esa capa ejecutiva de cada una
00:03:53
de las organizaciones eh vea la
00:03:56
ciberseguridad como una prioridad Este
00:03:58
es mi update de todos los años de cómo
00:04:00
va nuestra organización yo tengo una
00:04:02
obsesión por por ir cambiando la
00:04:04
estructura intentando adecuarla lo mejor
00:04:06
posible a la realidad esto es lo que
00:04:09
teníamos el año pasado con nuestras
00:04:10
verticales clásicas de cumplimiento de
00:04:12
ingeniería de shock de
00:04:14
auditorías y este año nos hemos metido
00:04:18
en un lío estuve haciendo una ronda por
00:04:21
varios ibes 35 y vi una cosa que me
00:04:25
llamó la atención y era que en contra de
00:04:28
algunas tendencias de todo to esta
00:04:30
separación de responsabilidades etcétera
00:04:33
Pues vi algunos ibes 35 que asumían
00:04:36
debajo del ciso la
00:04:38
administración Pues de la parte de
00:04:40
firewalls de la parte de perimetral
00:04:43
incluso de la parte de gestión de
00:04:44
identidades y a bote pronto me resultaba
00:04:47
un poco extraño no pero después de ver
00:04:49
varios cisos y algunas de estas cosas Yo
00:04:51
creo que están materializadas también no
00:04:53
todas Pero algunas en el shock de la aje
00:04:55
me parecía que era la típica situación
00:04:58
en la que desde decimos Cómo deberían de
00:05:00
ser las cosas pero luego las cosas no se
00:05:03
materializan y me parecía que que era
00:05:06
algo que tenía mucho sentido no lo
00:05:07
hablamos dentro de nuestra organización
00:05:08
y efectivamente pues hemos materializado
00:05:10
eh desde hace unos meses ya pues todo lo
00:05:13
que es la administración directa de los
00:05:15
servicios de seguridad perimetral
00:05:17
e incluida la parte también del waaf de
00:05:21
aplicaciones y en muy breve tiempo pues
00:05:23
vamos a asumir toda esta parte de
00:05:25
gestión de identidades no Y de lo poco
00:05:28
que llevo en este mundo lo primero
00:05:30
quería decir es que no hemos
00:05:33
reconocido el trabajo que hacen nuestros
00:05:36
departamentos de operaciones en el día
00:05:37
día no lo hemos reconocido y yo soy el
00:05:40
primero me he dado cuenta de la dureza
00:05:42
que significa ser el responsable de que
00:05:45
los firewalls estén funcionando todo el
00:05:47
rato de que la los usuarios puedan
00:05:49
Navegar de que las aplicaciones
00:05:50
funcionen etcétera etcétera etcétera no
00:05:52
hemos sido conscientes de de la
00:05:54
complejidad de esa
00:05:56
tarea y lo único que hacemos desde ciber
00:05:59
es pedir y pedir y pedir y les decimos
00:06:01
tienes que actualizar tienes que poner
00:06:03
esto tienes que poner lo otro no a una
00:06:05
gente que está sufriendo en un 24 por si
00:06:08
para que las cosas funcionen no entonces
00:06:09
bueno mi reconocimiento para toda esa
00:06:11
gente no voy a pedir un aplauso por no
00:06:12
hacerlo más más formal e y y bueno este
00:06:16
es nuestro escenario es algo muy
00:06:18
reciente Y si tengo la oportunidad de
00:06:20
venir el año que viene aquí os daré más
00:06:22
os daré un feedback eh más directo de
00:06:24
cómo ha ido esto creo que es el camino
00:06:27
por el que nosotros tenemos que seguir
00:06:29
est no significa que todo el mundo tenga
00:06:30
que hacerlo vale vale un update de la
00:06:33
parte de cumplimiento normativo por la
00:06:35
parte nosotros eh conseguimos la
00:06:37
certificación de la Bueno aquí vamos muy
00:06:39
por detrás no sé dónde está Nacho de as
00:06:40
pero vamos Nacho ast nos gana aquí por
00:06:42
goleada Y eso está genial eh nosotros
00:06:46
más humildemente conseguimos la
00:06:47
certificación de la carpeta ciudadana
00:06:49
hará un año aproximadamente y estamos
00:06:51
embarcados ahora en un crecimiento de la
00:06:53
certificación para
00:06:56
alcanzar todos los sistemas gestionados
00:06:58
por nuestros organismo que dan servicio
00:07:01
a los trámites que están en la en las
00:07:04
sedes administrativas del ayuntamiento
00:07:07
no entonces Bueno pues estamos en un en
00:07:09
una espiral muy grande para alcanzar el
00:07:11
para extender el alcance la
00:07:12
certificación y estamos luchando con
00:07:14
ello el año pasado en esta misma sala
00:07:17
pero en la 25 Carlos Córdoba habló de la
00:07:19
certificación del soc yo salí detrás Y
00:07:22
le dije sujétame el cubata le dije
00:07:24
Carlos el año que viene vengo y cuento
00:07:27
que el soc del ayuntamiento de Madrid
00:07:29
está certificado no lo he conseguido
00:07:33
pero porque no se ha publicado el
00:07:34
esquema de certificación entonces creo
00:07:37
que Carlos lo ha contado hoy un poco por
00:07:38
encima creo que mañana hay otra charla
00:07:40
vale van con un enfoque mucho más
00:07:41
ambicioso y y asumo el reto de nuevo en
00:07:46
cuanto que nos den la oportunidad vamos
00:07:48
a certificar noos si ese es el camino
00:07:49
para cualquiera que que quiera tener un
00:07:51
soque en la
00:07:52
administración vale este tema lo voy a
00:07:54
contar porque eh esta esta pasión que
00:07:57
tengo yo por compartir entre empleados
00:08:00
públicos principalmente no y de
00:08:02
contarnos las cosas qué hacemos qué nos
00:08:04
funciona qué no nos funciona a veces
00:08:06
cuento esto y a la gente le genera mucho
00:08:08
interés y y justo lo estaba hablando No
00:08:10
sé si si era con Nacho no yo creo que
00:08:13
era con con Carlos del mando también con
00:08:15
otra persona un poco Este cambio que
00:08:18
nosotros hicimos que no fue un cambio
00:08:20
liderado por ciber vale hace un año y
00:08:23
medio
00:08:25
aproximadamente cambiamos radicalmente
00:08:27
la forma en la que publicamos las
00:08:29
aplicaciones para los empleados de
00:08:32
negocio voy a llamar no para los tic que
00:08:34
entramos a administrarlas las VPN y los
00:08:38
faos sino los no sé 95 por de los
00:08:41
empleados del ayuntamiento que necesitan
00:08:43
una serie de una serie de de
00:08:45
aplicaciones para hacer su trabajo del
00:08:46
día a día pues en el modelo clásico
00:08:49
levantaban el cliente VPN se conectaban
00:08:52
dentro de la red y hacían x cosas Bueno
00:08:54
pues por iniciativa de nuestro
00:08:57
precisamente de Alfonso Castro de
00:08:58
nuestra anterior gerente pasamos a un
00:09:00
modelo en el que íbamos a exponer los
00:09:03
aplicativos de negocio de los empleados
00:09:05
directamente en internet yo recuerdo ese
00:09:08
día yo voté que no y lo que me dijo mi
00:09:11
gerente fue eh bien no está muy bien
00:09:14
pero vamos a poner argumentos técnicos
00:09:16
encima de la mesa no bueno discutimos
00:09:17
sobre arquitecturas y sobre ingeniería
00:09:20
no llegamos a un acuerdo y al final lo
00:09:22
que llegamos es a una cuestión bastante
00:09:23
práctica que me dijo él si consigues
00:09:25
demostrar que es inseguro Pues tú tienes
00:09:27
te he dotado de recursos para que tengas
00:09:29
una capacidad de hacking de pentesting
00:09:31
de red Team
00:09:42
empléate de rting no fuimos capaces de
00:09:45
superar esto
00:09:46
eh básicamente publicamos nuestros
00:09:49
aplicativos Pues en este caso en nuestro
00:09:51
cdn con toda la parte de protección de
00:09:53
ataques contra negación de servicio con
00:09:55
toda la parte de waaf por supuesto
00:09:57
nuestros empleados ya el ayuntamiento es
00:09:59
muy Cloud friendly o como queramos
00:10:01
llamarle eh nuestros empleados acceden a
00:10:04
muchos aplicativos que están
00:10:05
directamente en la nube esa publicación
00:10:08
de O sea la estrategia es un punto único
00:10:11
para publicar aplicaciones para
00:10:12
empleados con la protección de dos con
00:10:14
la protección wf con una autenticación
00:10:16
fuerte en nuestro caso con azure entra
00:10:18
con doble factor mfa acceso condicional
00:10:21
monitorización de todos los logs y luego
00:10:23
ya directamente Pues eso pasa hacia
00:10:25
dentro no entonces una de las he marcado
00:10:28
ahí la VPN en rojo ojo porque esto que
00:10:31
no era idea de
00:10:32
Ciber debería de llevarnos a un a un
00:10:35
sitio al que a mí sí me gustaría llevar
00:10:38
y es a sacar de la red interna al
00:10:42
999,5 por de los empleados del
00:10:44
ayuntamiento porque si no necesitan nada
00:10:46
de la red interna y está todo publicado
00:10:48
fuera voy a hacer que cuando estén
00:10:51
trabajando en el día a día no tengan
00:10:52
unip en la red interna y yo creo que
00:10:54
todos
00:10:58
convendría no significa que que todo el
00:11:01
mundo tenga que hacer esto lo esta
00:11:02
hablando con Mariano ahora que me
00:11:03
acuerdo que lo hemos hablado en en el
00:11:05
pasillo vale pero es lo que nosotros
00:11:07
estamos haciendo es bueno pues una idea
00:11:09
para compartir con
00:11:11
vosotros
00:11:13
vale la otra idea que estamos
00:11:15
desarrollando muy fuerte este año
00:11:17
tuvimos un hicimos un ejercicio de
00:11:19
resting y las cosas Salieron muy bien
00:11:20
para el resting y muy mal para nosotros
00:11:22
no Y y Y nosotros que nos preciamos
00:11:26
mucho de hacer mucho pen testing mucho
00:11:28
hacking nos dimos cuenta que que no
00:11:30
estábamos haciendo un ciclo adecuado no
00:11:33
entonces en el último año hemos entrado
00:11:35
mucho en en una secuencia Más directa y
00:11:40
más práctica
00:11:42
de no auditoría vertical de algo sino
00:11:47
realmente de tratar de simular
00:11:49
exactamente lo que hacen los malos de
00:11:51
tratar de entrar en nuestros sistemas en
00:11:53
nuestro caso de tratar de vulnerar toda
00:11:54
la parte de azure entra samel etcétera y
00:11:58
entrar en en un un ciclo continuo de
00:12:01
prueba revisión de logs revisión de los
00:12:04
casos de uso ha saltado la alerta en el
00:12:06
cm sí o no está bien el playbook como
00:12:09
decía Nacho tenemos que cambiarlo no
00:12:11
tenemos que cambiarlo y que eso sea un
00:12:14
proceso realmente ágil no un tema de
00:12:16
vamos a hacer dos o tres cosas al año y
00:12:18
ya lo vamos viendo sino de entrar en un
00:12:21
ciclo realmente en el que estemos
00:12:24
probando Cómo se tratan de vulnerar
00:12:26
nuestros controles revisando nuestras
00:12:28
capacidad de monitorización de detección
00:12:30
involucrando a ingeniería para tratar de
00:12:32
desplegar esos nuevos controles
00:12:35
e si si vemos si nos quedamos solo por
00:12:38
ejemplo en las en las en las en los
00:12:42
controles del ns no como no puede ser de
00:12:44
otra manera pues genérico Y dir usted
00:12:46
tiene que tener un mecanismo doble
00:12:47
factor un refuerzo etcétera etcétera no
00:12:49
pero luego Cuando entras en los detalles
00:12:51
y entras en todo el tema de
00:12:53
autenticación con azure con entra el
00:12:55
acceso condicional el usuario está en
00:12:58
riesgo en ris desencadena acciones de
00:13:01
respuesta marcas la la cuenta como
00:13:03
medium ris le pides reseteo de
00:13:05
contraseña o no pues todas esas
00:13:08
cuestiones requieren un nivel de detalle
00:13:09
importante y luego otra cuestión que
00:13:12
nosotros por suerte desde junio de 2020
00:13:14
Pues cuando fuimos a a desembarcar en
00:13:16
Office 365 con el apoyo de Fernando y de
00:13:19
Alfonso desembarcamos con mfa para los
00:13:22
27,000 empleos municipales con mucho
00:13:25
esfuerzo y mucho dolor pero aquello nos
00:13:28
colocó en una posición muy interesante
00:13:30
de Cara a futuro pues nosotros ahora le
00:13:33
dedicamos mucho tiempo precisamente por
00:13:36
Cuál es nuestra arquitectura y nuestra
00:13:38
exposición en internet a todo el tema
00:13:40
que yo creo que es lo que va a venir
00:13:42
después no porque a lo mejor pensabais
00:13:44
que después de emplear el mfa pues ya se
00:13:45
van a acabar todos vuestros problemas
00:13:47
pero no es así no entonces pensamos
00:13:49
mucho en herramientas como Evil jeans
00:13:51
que está ahí que es lo que utilizan los
00:13:52
malos pues para las contraseñas
00:13:55
pero sobre todo para robar los tokens de
00:13:57
sesión y Entonces ese token lleva el
00:14:00
claim de mfa Y entonces ya te has
00:14:02
saltado toda la parte correspondiente no
00:14:04
entonces aquí lo que buscamos este ciclo
00:14:06
que hablábamos antes es decir No tiene
00:14:09
que ser un trabajo de ingeniería que
00:14:11
piensa unas reglas de acceso condicional
00:14:13
y luego varias semanas después pues el
00:14:16
shock ve algo y varias semanas después
00:14:19
pues hablamos con el rí a ver sino un
00:14:23
ciclo continuo en el que necesitamos
00:14:26
invocar realmente los que es de verdad Y
00:14:29
hacer que nuestro rting con Antonio que
00:14:31
no puede estar hoy aquí realmente use
00:14:33
Lil jeans es más lo que queremos es que
00:14:35
nuestro shock desencadene estas estas
00:14:38
herramientas que permiten robar el token
00:14:40
robar la sesión y que ellos mismos
00:14:42
puedan ver cuáles son las detecciones
00:14:45
que estamos teniendo si lo estamos
00:14:46
viendo si no lo estamos viendo y cómo
00:14:48
corregirlo no entonces un ciclo muy
00:14:50
rápido que
00:14:52
itere sobre los caminos que de verdad
00:14:54
usan los
00:14:55
malos este año hemos participado por
00:14:58
primera vez en en en el cibex de incibe
00:15:00
Y le doy muchas gracias a incibe por
00:15:02
invitarnos Aunque yo creo que fuimos
00:15:03
segundo plato Pero como dice alguien por
00:15:06
el segundo plato cena y eso está muy
00:15:07
bien participamos y ha sido muy
00:15:10
interesante eh Es verdad que tiene una
00:15:13
parte sobre todo el Table top más más
00:15:15
genérica más pero para nosotros ha sido
00:15:18
muy interesante poner estas cosas en
00:15:19
marcha y Y aprovechando que está aquí el
00:15:23
comandante del mando conjunto pues le
00:15:24
lanzo esta esta idea que que nos
00:15:27
gustaría que má de alguna manera pues
00:15:30
participase en esos ejercicios que
00:15:31
coordina el mando y que me parece que
00:15:33
pueden ser muy relevantes para todos
00:15:34
nosotros no Simplemente como
00:15:36
ofrecimiento vale la parte del 24 por7
00:15:40
de respuesta esto yo lo digo muchas
00:15:41
veces que es verdad que obtener el
00:15:43
presupuesto no es del todo fácil pero
00:15:45
poner 24 por7 en el pliego es muy fácil
00:15:48
no Y entonces Bueno pues si si has
00:15:49
conseguido la partida económica se
00:15:51
materializa pero luego qué viene detrás
00:15:53
de eso no lo que viene normalmente es
00:15:55
que ese 24 por7 te lo dan unos técnicos
00:15:57
de nivel un donde estén con unos
00:16:00
conocimientos tremendamente limitados
00:16:02
entonces aquí enganchara con la parte de
00:16:04
Nacho que es tienes que tener los
00:16:08
mecanismos de respuesta afinados a la
00:16:12
última palabra de cada párrafo es decir
00:16:14
cada cosa que quieres que se haga a las
00:16:16
3 de la mañana no va a haber nadie para
00:16:19
para para hacer un debate sobre lo que
00:16:21
tienes que hacer no Entonces te obliga a
00:16:23
tener unos playbook tremendamente
00:16:25
detallados y otra serie de reflexiones
00:16:27
no la más fácil probablement es bueno
00:16:29
Pues si el soc necesita algo tendrá que
00:16:31
tener alguien a quien llamar No esa
00:16:32
puede ser fácil mi teléfono por las
00:16:34
noches pues está encendido pero
00:16:36
seguramente vamos a
00:16:38
necesitar si de verdad está pasando algo
00:16:40
grave pues que alguien a las 3 de la
00:16:42
mañana de sistema de redes de otros
00:16:44
departamentos haga cosas van a estar
00:16:46
disponibles o sea entonces la parte del
00:16:48
24 por7 es fácil escribirla conseguir el
00:16:51
presupuesto puede ser pero introduce
00:16:53
nuevos retos que nosotros estamos
00:16:55
experimentando
00:16:56
eh vamos que se me va vale esto
00:17:01
eh yo creo que no no solemos ser todos
00:17:04
muy transparentes con los incidentes que
00:17:06
tenemos entonces yo voy a ser
00:17:07
semitransparente no nos ha vuelto a
00:17:09
pasar lo que nos pasó hace un año más o
00:17:11
menos un incidente de
00:17:13
ransomware que no afecta al Core de la
00:17:15
organización pues nuestro Core tiene
00:17:17
muchas medidas seguro que los malos
00:17:19
encontrarán una manera de
00:17:23
[Música]
00:17:25
saltáis de gobierno miles de aplicativos
00:17:28
etcétera entonces lo que nos ha pasado
00:17:30
es un una infraestructura eh gobernada o
00:17:36
gestionada por un proveedor externo en
00:17:39
principio separada de la organización y
00:17:41
de repente pues ese proveedor externo
00:17:43
decide Pues que hombre vamos a poner una
00:17:44
dcl aquí porque es más cómodo entrar
00:17:46
desde casa Y bueno pues ponemos una DS y
00:17:49
le ponemos una contraseña normal y ya
00:17:51
está no Bueno pues eso acabó en un
00:17:53
ransomware esa infraestructura tenía
00:17:55
cosas desplegadas por la ciudad esta
00:17:58
obsesión de la que yo hablo siempre en
00:18:00
estas charlas no de Oye pues la ciudad
00:18:02
tiene su parte it pero tiene su parte de
00:18:04
re semafórica alumbrado
00:18:07
Galerías todas estas cosas de las que
00:18:10
solemos hablar no
00:18:11
entonces ahí está la foto de cuando
00:18:14
estuvimos allí de de cuando vimos ese
00:18:16
router de telefónica en este caso que
00:18:18
telefónica no tiene ninguna culpa nada
00:18:20
de esto no y Y cómo desde ahí pues
00:18:23
estaban saltando todos los controles de
00:18:25
seguridad no fuimos allí obviamente
00:18:27
coordinamos la respuesta conseguimos que
00:18:29
que el incidente estuviese contenido y
00:18:31
aquí es donde le doy otro mini punto a
00:18:34
mi gerente porque nosotros Dios Oye
00:18:36
Bueno pues a partir de aquí por ejemplo
00:18:38
decía Nacho no informe Pos incidente y
00:18:40
vamos a perseguirlo No pues ahí mi
00:18:42
gerente
00:18:44
dijo A lo mejor hay que ponerse más
00:18:46
serios no Entonces dijo vamos a buscar
00:18:49
una figura que es vale ha pasado
00:18:52
esto siempre puede pasar algo va el ccm
00:18:56
responde contiene aísla efecto en lugar
00:19:00
de mandar el típico informe normal de
00:19:02
tendrás que cambiar cosas vamos a buscar
00:19:04
una figura formal le llamamos expediente
00:19:08
de
00:19:09
investigación expediente de
00:19:10
investigación de Ciber incidente vale Y
00:19:13
entonces de una manera formal el
00:19:14
responsable de seguridad la informción
00:19:16
le dice al director general
00:19:18
correspondiente a la vista de esto que
00:19:20
ha pasado infórmeme sobre contratos
00:19:23
recursos clausulado operaciones puntos
00:19:26
de contacto etcétera etcétera
00:19:29
al estilo de cuando te llega la
00:19:31
comunicación incómoda de la agencia de
00:19:32
protección de datos no y efectivamente
00:19:35
hemos hecho eso ha llegado la respuesta
00:19:37
y luego hay una parte de valoración
00:19:39
también no de Oye pues
00:19:41
eh la situación del sistema la lo que se
00:19:45
ha hecho en la respuesta y y y todas las
00:19:48
toda toda la gestión completa pues
00:19:49
merece una valoración una valoración de
00:19:51
uno a cinco y donde se dice esto tiene
00:19:55
tal nivel Y dónde decimos una serie de
00:19:58
acciones que hay que hacer a un mes
00:19:59
vista y una serie de acciones
00:20:01
obligatorias que hay que hacer a 6 meses
00:20:03
vistas y que llevarán seguimiento y se
00:20:04
llevarán al comité municipal no Entonces
00:20:07
me parece que es un camino que nosotros
00:20:08
no habíamos explorado y que me parece
00:20:10
muy relevante por la parte de Ciudad
00:20:12
inteligente que siempre cuento seguimos
00:20:15
con La Iniciativa de iot matlab que es
00:20:17
esa colaboración entre la upm y el
00:20:19
ayuntamiento de Madrid donde tenemos un
00:20:21
laboratorio al que llevamos productos
00:20:23
antes de ir a la calle y para probarlos
00:20:25
a nivel de interopera o sea de
00:20:27
interoperabilidad y de seguridad
00:20:30
pero este año hemos decidido dar un paso
00:20:33
más no Entonces estamos en el el mundo
00:20:36
del laboratorio está genial pero la
00:20:38
calle es donde se librarían las batallas
00:20:41
entonces hemos dado el paso realmente de
00:20:44
abrir esos armarios que hay en la calle
00:20:47
donde intuí que hay infraestructura
00:20:50
municipal Y seguramente si los abrís
00:20:52
Pues habrá un
00:20:53
rj45 al que podréis conectaros Y eso es
00:20:57
si sois malos claro y hacer cosas no
00:20:59
entonces Bueno pues pues hemos abierto
00:21:01
esta línea de trabajo ahí tenéis una una
00:21:03
raspberry en este caso con un módulo 4G
00:21:06
desde el que podemos escanear toda esa
00:21:09
infraestructura que no voy a decir cuál
00:21:10
es lógicamente no Y podemos descubrir
00:21:12
todo el trabajo que tenemos que hacer
00:21:14
que es mucho
00:21:15
vale vale esta me gusta mucho y esto se
00:21:18
lo digo mucho a a mi equipo de Ciber no
00:21:22
eh
00:21:24
normalmente intentamos abordar una serie
00:21:26
de retos una serie de problemas que
00:21:28
tenemos en la organización y hay algunos
00:21:31
que son complejos son montañas que son
00:21:33
difíciles de mover Y entonces hacemos
00:21:37
otras cosas y entonces nos dedicamos a
00:21:39
hacer otras cosas que yo llamaría más
00:21:42
sencillas no voy a publicar esta cosita
00:21:45
voy a mandar esta pildorita no y
00:21:47
entonces pues el niño hace así he tirado
00:21:49
todos los bolos no pero realmente Esos
00:21:53
grandes melones que están ahí no podemos
00:21:56
mirar hacia otro lado si realmente Hay
00:21:59
un problema de fondo qué es lo que pasa
00:22:01
pues que nos falta impulso nos falta
00:22:04
apoyo de la dirección nos falta
00:22:06
presupuesto que es lo que nos falta no
00:22:08
Entonces yo le insisto mucho a mi equipo
00:22:09
que no podemos mirar para otro lado en
00:22:12
esas grandes montañas que tenemos que
00:22:13
mover y que si realmente ahí hay un
00:22:16
problema tenemos que tratar de abordarlo
00:22:18
y escalarlo a la capa que sea
00:22:23
necesaria vale eh 248 Inteligencia
00:22:26
artificial el ayuntamiento de Madrid
00:22:27
creo que está sio bastante pionero
00:22:29
hablamos con otras administraciones y yo
00:22:31
creo que que se están haciendo varios
00:22:33
proyectos con Inteligencia artificial eh
00:22:36
Muy interesantes obviamente siempre
00:22:38
enfocados a a que los empleados tengan
00:22:40
herramientas mucho más potentes para
00:22:41
atender a la ciudadanía y ciberseguridad
00:22:44
se ha incrustado ahí desde el principio
00:22:45
con lo cual nuestras conversaciones son
00:22:47
sobre guardarrailes sobre auditorías a
00:22:50
los llm sobre alucinaciones etcétera
00:22:52
etcétera no entonces en lugar de ver
00:22:54
esto con una perspectiva un poco alejada
00:22:56
pues hemos incrustado una persona que
00:22:58
escuche en el grupo de Inteligencia
00:23:00
artificial del ayuntamiento y y estamos
00:23:04
aprendiendo un montón de cosas en un
00:23:05
mundo super nuevo en la en en cuando
00:23:08
mandé la ponencia una de mis ideas era
00:23:10
hablaros de cómo estamos usando la ia
00:23:12
también y la realidad es que eh A mí me
00:23:15
ha transformado la vida Yo tengo como
00:23:17
vicio por las noches otos est otras
00:23:19
cosas Mi vicio por la noch es programar
00:23:21
con mi python y mis cosas y Monica se
00:23:23
ríe e entonces
00:23:27
eh la Inteligencia artificial ch gpt e
00:23:29
copilot y en este caso y yo pues hacemos
00:23:32
un gran equipo entre los dos y
00:23:34
desarrollamos herramientas que yo creo
00:23:36
que hubieran tardado meses en
00:23:37
desarrollarse no tenemos una herramienta
00:23:39
que le llamamos a
00:23:41
Polo que nos permite tener un pequeño
00:23:45
buscador esto es como una cmdb pero a
00:23:48
tope No yo os preguntaría revisad un
00:23:50
poco esta lista y preguntaros si en
00:23:53
vuestra organización podríais ir a un
00:23:54
sitio a una caja de búsqueda buscar y
00:23:57
que saliese todoo esto O sea pones una
00:24:00
caja de texto y si eso está si es el
00:24:03
nombre de una playan si es la ip de un
00:24:06
servidor si es un grupo de 365 si es un
00:24:09
usuario si es un túnel si es una
00:24:10
actividad de tratamiento si es algo de
00:24:12
esto O sea tenéis un único sitio donde
00:24:14
pudierais Buscar todo esto os podéis
00:24:15
imaginar que para la gente de ciber y
00:24:18
para la gente del equipo por ejemplo de
00:24:19
soc es tremendamente interesante esta
00:24:23
herramienta yo creo que nunca la
00:24:25
hubiésemos
00:24:26
tenido Pues un tipo de esto salió en
00:24:29
unas pocas horas con la ayuda de ech gpt
00:24:32
de copilot etcétera no O sea no
00:24:34
menospreciéis la potencia que tienen
00:24:37
este tipo de herramientas para ayudaros
00:24:39
a a la programación tenemos un piloto
00:24:41
también super chulo con cí Aprovechando
00:24:43
que estamos en el grupo de Maya pues
00:24:45
vamos a utilizarlo para nosotros mismos
00:24:47
no la parte de copilot de Microsoft Yo
00:24:49
creo que es caro y hay que empeñar un
00:24:50
riñón copilot for Security Perdóname
00:24:53
Federico pero pero vamos a utilizar esa
00:24:56
potencia realmente para cuando se genere
00:24:59
una nueva alerta vamos a pasarle a
00:25:01
nuestro agente de Inteligencia
00:25:02
artificial todo el histórico de todo lo
00:25:05
que hemos hecho con todas las alertas
00:25:07
que hemos gestionado y él nos va a hacer
00:25:09
una propuesta de qué es lo que
00:25:10
tendríamos que hacer con esta nueva
00:25:11
alerta No Y por supuesto lo revisará un
00:25:14
humano vale está de abajo tiene que ver
00:25:17
para finalizar con los temas de ia sobre
00:25:20
si el discurso es que los malos vanara y
00:25:23
nosotros pues no la usamos porque que si
00:25:27
el compliance que si lo legal que si
00:25:29
esto que si lo otro no yo para mí el
00:25:31
escenario de futuro es el escenario de
00:25:34
una guerra de ias nosotros tendremos
00:25:37
nuestras piezas componentes servicios
00:25:40
componentes basados en Inteligencia
00:25:41
artificial luchando para detectar
00:25:43
disrupter los ataques de los balos
00:25:45
usando esto no entonces creo que es
00:25:47
importante que nadie se quede atrás en
00:25:49
este sentido voy fuera de tiempo pero la
00:25:52
parte de compartir esta parte es un poco
00:25:54
la clásica que siempre cuento red
00:25:56
Nacional de shock ccn a muerte por
00:25:58
supuesto eh todas las redes y los sitios
00:26:01
donde estamos la parte de protap a los
00:26:03
cisos de comunidades autónomas que
00:26:04
siempre me encanta compartir que me han
00:26:05
permitido asimilarme a a una comunidad
00:26:08
Autónoma quería comentar brevemente
00:26:10
ciber ciudades XL estamos en una
00:26:12
iniciativa para contactar con la gente
00:26:14
que lleva ciber en las grandes ciudades
00:26:16
de España estamos David Esteban de
00:26:18
Barcelona Juan García Galera de Málaga
00:26:20
hemos contactado con Zaragoza Sevilla
00:26:22
Valencia Bilbao La idea es hacer
00:26:24
comunidad eh que no se sienta sola esa
00:26:28
gente y que podamos compartir cosas
00:26:31
somos asociados del isms parece que era
00:26:33
un trauma no porque no sé es un
00:26:35
organismo público al mejor asociarte a
00:26:37
este tipo de cosas pues no pasa nada nos
00:26:38
asociamos a esto y aprendemos mucho y
00:26:41
comentaba antes que me encanta hacer
00:26:44
visitas
00:26:46
a a estas grandes empresas que tienen un
00:26:49
nivel de madurez muy alto y de la que yo
00:26:51
creo que podemos aprender mucho nuestra
00:26:53
página web hemos abierto Twitter y
00:26:55
linking alguien nos decía estáis locos
00:26:57
tenemos nuestros trolls sí los tenemos
00:26:59
pero no pasa nada no los alimentamos y
00:27:00
ya está es importante que contemos las
00:27:02
cosas que estamos haciendo Y por
00:27:06
supuesto necesitamos más gente que se
00:27:08
una a este equipo
00:27:10
eh Y tenemos ofertas
00:27:13
disponibles y os dejo con este vídeo a
00:27:16
ver si
00:27:20
salta dejando la persona de ilon más a
00:27:23
un lado y centrándonos solo en spacex
00:27:25
esto es un cohete de 70 m que deben ser
00:27:28
como 25 pisos es un edificio de 25 pisos
00:27:30
de altura que cae a 4000 km porh del
00:27:35
espacio y acaba atrapándolo una torre
00:27:39
con unas pincitas
00:27:42
no esto que se supone que no era posible
00:27:45
a nivel de ingeniería ha sido posible
00:27:47
entonces Yo me pregunto si en el sector
00:27:49
de
00:27:50
Ciber estas cosas que nos pasan de no es
00:27:53
que esto es muy difícil es que no somos
00:27:55
capaces de identificar bien al usuario
00:27:58
es que cuando al usuario le engañan pues
00:28:00
le roban el token Y yo que sé pues es
00:28:02
que claro la vida es muy complicada No
00:28:04
mi opinión es que el sector de Ciber
00:28:06
tiene que madurar muchísimo y que si de
00:28:09
verdad es un tema de ingeniería creo que
00:28:11
hay cosas más complicadas que se están
00:28:12
haciendo hoy en día que que los retos
00:28:15
que tenemos por delante y ya está que
00:28:17
muchísimas
00:28:21
gracias gracias a ti siempre José Ángel
00:28:24
pues te lanzo una pregunta es que están
00:28:26
mal colgadas estas sillas aquí te lanza
00:28:28
una pregunta que ya has estado dando los
00:28:30
detalles pero bueno así también pues
00:28:32
puedes contar alguna cosilla más en la
00:28:35
charla del año pasado si es que te
00:28:36
tienen ya fichados uno de los 10
00:28:39
mandamientos era la implantación de un
00:28:41
inventario ti que enlaza la perfección
00:28:43
como paso básico para todas las
00:28:44
actividades e iniciativas cíber Cómo
00:28:46
estáis con eso y cómo encajé el
00:28:48
inventario y la cmdb en vuestro día a
00:28:51
día eh me pasaba un artículo Miguel
00:28:54
Ángel Rodríguez que es un subdirector
00:28:55
nuestro en informática del ayuntamiento
00:28:57
de Madrid que me hablaba la cmdb ha
00:28:59
muerto viva la cmdb de otra manera no y
00:29:02
hablaba realmente de un poco esta idea
00:29:04
de Apolo no Exactamente igual no que es
00:29:08
necesitamos por lo menos ciber necesita
00:29:11
en tiempo real la información sobre
00:29:14
todos los activos de la compañía Cuando
00:29:18
digo todos los activos es estas cosas
00:29:20
que hemos puesto aquí no no es decir Oye
00:29:22
sí sí tengo una cmdb de de máquinas de
00:29:25
servidores y de usuarios fenomenal Vale
00:29:27
y los secretos de zure y los grupos de
00:29:29
365 y las reglas del firewall no bueno
00:29:33
eso hay que abrir un ticket y te lo
00:29:35
mandan por otro sitio no entonces bueno
00:29:38
nuestra idea en este caso es todo
00:29:41
automatización todo
00:29:43
apis no hay secretos dentro de la casa
00:29:46
porque lógicamente el acceso a Polo es
00:29:47
para la gente que lo necesite Descargar
00:29:50
toda la información de todos esos
00:29:52
sistemas y hacerla disponible para qui
00:29:54
lo necesite y la realidad al final es
00:29:56
que nuestra gente de sistemas y nuestra
00:29:57
gente de redes dice Oye me dais acceso a
00:29:59
Polo porque la verdad es que igual lo
00:30:01
veo mejor que nuestras consolas no
00:30:03
fantástico Pues de nuevo gracias por
00:30:05
haber estado con nosotros Un año más por
00:30:07
contarnos todo esto compartir y por
00:30:09
vuestro trabajo Enhorabuena a todo el
00:30:10
equipo que sabemos que trabajáis con
00:30:12
pasión por eso pues por las noches te
00:30:14
dedicas a programar gra as que claro
00:30:17
Gracias de nuevo por haber estado con
00:30:18
nosotros otro aplauso para
00:30:26
él i
