ISMS Forum analiza el papel de la seguridad de la información y la protección de datos
ISMS Forum organizó su vigesimotercera edición de la Jornada Internacional de Seguridad de la Información el pasado 25 de noviembre en modalidad presencial. Durante la jornada se reflexionó sobre el papel que ha jugado el profesional de la seguridad de la información y la protección de datos como garante y facilitador de la transformación digital, convirtiéndose en impulsor de la transformación del negocio.
Más de 700 profesionales se reunieron en torno a cuatro Tracks con más de 30 ponencias, y con la presencia de más de 50 ponentes de primer nivel que compartieron las claves para afrontar los nuevos escenarios que se presentan desde el punto de vista de la Cybersecurity Strategy en el Track 1, liderado por Marina Rodríguez, jefa de la Unidad de Ciberseguridad del DSN; Gianluca D’Antonio, presidente de ISMS Forum; y Alberto Francoso, jefe de Análisis del Servicio de Ciberseguridad de la OCC. En el Track 2, Cyber Security Trends, contamos con Roberto Baratta, Director of Loss Prevention, Business Continuity and Security, and DPO en Abanca; y miembro de la Junta Directiva de ISMS Forum. El Track 3, centrado en el ámbito de la privacidad, estuvo dirigido por Esmeralda Saracíbar, miembro del Comité Operativo del Data Privacy Institute; y Attorney, Partner and Governance, Risk & Compliance en Ecix Group. Por último, el Track 4, Cloud Security, IoT & Business Continuity, de la mano de Daniel Largacha, CISO de Mapfre; y director del Centro de Estudios en Ciberseguridad.
La primera ponencia que dio cuerda al Track 1 fue la de Boryana Hristova, DG Communications Networks, Content and Technology, Cybersecurity and Digital Privacy en la Comisión Europea, que centró su intervención en la seguridad y la estrategia de riesgo en la Europa digital a través de la Directiva NIS revisada, que prevé nuevas respuestas más adaptadas e innovadoras.
“En el marco de los requisitos de seguridad de la revisión de la Directiva NIS, destaca la responsabilidad de la alta dirección por el incumplimiento de las medidas de gestión de riesgos de ciberseguridad. También es importante contar con un enfoque basado en el riesgo, con medidas técnicas y organizativas adecuadas y proporcionadas que deberían incluir al menos: un análisis de riesgos y políticas de seguridad de los sistemas de información; la gestión de incidentes; la continuidad de la actividad y gestión de crisis; la seguridad de la cadena de suministro; la seguridad en la adquisición, desarrollo y mantenimiento de redes y sistemas de información, incluida la gestión y divulgación de vulnerabilidades; las políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad; y el uso de criptografía y cifrado”, comentó la experta.
Por otro lado, Roland Cloutier, responsable de ciberseguridad, riesgos y protección de datos del social media y plataforma de video sharing TikTok, fue entrevistado por Fanny Pérez, CISO de Codere, con la finalidad de compartir su experiencia y visión en el gobierno de la seguridad de una de las compañías que por sus características suponen mayor objeto de atención para los ciberdelincuentes.
“Estamos muy centrados en nuestra misión. Tenemos mucho trabajo que hacer, y debemos proteger nuestras infraestructuras, el hosting operation, a los usuarios y las plataformas cumpliendo con las normativas. Los procesos son importantes, siempre suele haber un comienzo y un final, sin embargo, en nuestro trabajo, no hay un final, tenemos que mantener la plataforma segura y protegida frente a todos los cambios que se producen diariamente”, contestó Roland a la pregunta sobre cómo mantener a sus líderes y a su equipo centrados en el trabajo cuando existen tantas presiones externas.
“La comunicación en el equipo es muy importante, cómo hablamos a nuestro equipo, qué piensan sobre su trabajo, y cómo les podemos recordar en qué tienen que estar focalizados y cómo tienen que priorizar. Todo cambia constantemente, por lo que tenemos que ser flexibles en nuestros proyectos para poder movernos a la misma velocidad que el negocio y lograr nuestros objetivos”, añadió.
Este Track, albergó la presentación del II Indicador de Madurez en Ciberseguridad del Observatorio de Ciberseguridad de ISMS Forum. Este nuevo documento realiza una comparativa con el anterior, ampliando información e identificando las áreas de mejora. Los encargados de su presentación fueron David Esteban, CISO de Cellnext Telecom y Miembro de la Junta Directiva de ISMS Forum Barcelona; Santiago Minguito, BISO Europe de PepsiCo y Miembro de la Junta Directiva de ISMS Forum Barcelona; Óscar Sánchez, Cyber Security Manager de PUIG y Miembro de la Junta Directiva de ISMS Forum Barcelona; Iván Sánchez, CISO de Sanitas y Miembro de la Junta Directiva de ISMS Forum; Pedro López, Director CyberSecurity & Data Protection Master (UCM + ISMS Forum).
“Hemos comparado los resultados de este año con el anterior y son muy interesantes. En 2020, un 24% de las empresas estaban en un nivel optimizado de madurez y en esta edición nos encontramos con un aumento significativo del 35%, si al nivel optimizado le sumamos el nivel maduro vemos que el 75% de las empresas se encuentran en un buen nivel de madurez en ciberseguridad. También hay una diferencia menor en cuanto al primer dominio de identificar, y una diferencia significativa en el de proteger y detectar, sin embargo, en el dominio de recuperación hemos retrocedido”, explicó Santiago Minguito.
El Track 2, contó con la participación de Steven Brown, Director of Cyber Security & Resilience, MasterCard (RiskRecon), cuya ponencia, “The eye of the cyber: driving operational resilience by reducing your cyber risk”, se centró en explicar el riesgo operativo sistémico al que estamos cada vez más expuestos debido a las relaciones comerciales, pudiendo afectar a la seguridad nacional, la seguridad pública y el crecimiento económico del país.
“Las organizaciones con capacidad de recuperación deben anticiparse, resistir, recuperarse y evolucionar frente a las amenazas a las que se enfrentan, solo así correrán menos riesgo de sufrir una brecha que las deje en desventaja en comparación con su competencia”, comentó el experto. “Para entender qué significa ser resiliente, debemos entender nuestro ecosistema. Las compañías están pasando a ofrecer un nuevo modelo de confianza a través de un enfoque que cuantifica, automatiza y prioriza el riesgo para construir la resiliencia cibernética y la confianza en toda la economía digital conectada”, añadió.
Asimismo, Dick Wilkinson, Chief Technology Officer del Poder Judicial de New Mexico, miembro del New Mexico Advisory Committee to the U.S. Global Leadership Coalition y colaborador en las revistas Forbes y CISO Magazine, reflexionó sobre los retos de la figura del CISO y las áreas de posible mejora ante un presupuesto limitado, ofreciendo consejos prácticos para que los CISOs puedan seguir aumentando su eficacia en materia de seguridad maximizando los recursos que ya tienen disponibles.
“Los responsables de seguridad se enfrentan a muchos retos y la mayoría de ellos pueden resolverse con dinero, pero ¿qué ocurre cuando se acaba el dinero?”, comentó Dick al comienzo de su ponencia. “Es necesario establecer relaciones para lograr los objetivos de seguridad y de negocio. El consejo técnico de centrarse en el talento y los recursos internos puede beneficiar a cualquier organización, independientemente de su situación financiera”, explicó.
El Track 3, orientado a la privacidad, fue inaugurado por Armand Heslot, Coordinator of Technology Expert Subgroup, European Data Protection Board, que impartió una ponencia sobre “Best practices for data privacy breaches management”.
“El RGPD impone una obligación de seguridad global a todas las entidades que procesan datos personales. Esta obligación legal única tiene como objetivo crear confianza y permitir la necesaria libre circulación de datos personales en toda Europa. Sin embargo, pueden producirse violaciones de datos y deben tratarse con la idea de que las personas afectadas deben ser conscientes de las violaciones para poder protegerse de las consecuencias negativas”, declaró el experto.
Por segundo año consecutivo, Leonardo Cervera-Navas, director del European Data Protection Supervisor, asistió a la Jornada Internacional de ISMS Forum, donde habló sobre las relaciones internacionales y el tratamiento de los datos. En su intervención, Leonardo destacó el interés del EDPS por las iniciativas políticas para lograr la “soberanía digital”, en la que los datos generados en la Unión Europea se procesen de acuerdo con los valores y la legislación de la UE. “Tanto los exportadores como los importadores de datos deben comprender que se puede transferir datos fuera de la Unión Europea de acuerdo con la legislación, pero no puede despojarse a los datos de un nivel de protección que sea esencialmente equivalente al de la UE”, comentó.
Entre los elementos esenciales para realizar una transferencia de datos conforme a la legislación, destacó la conclusión de decisiones de adecuación con terceros países, la firma de cláusulas contractuales estándar con operadores económicos fuera de la UE, y la adopción de medidas complementarias por los mismos.
Por su parte, Mar España, directora de la Agencia Española de Protección de Datos, compartió los retos de la protección de datos ante una nueva dimensión del mundo digital
“Se está avanzando rápidamente hacia usos masivos y generalizados de la información, con consecuencias que pueden afectar de forma directa y significativa a las personas. No se puede ni debe detener ese avance, pero es necesario trabajar para mejorar las garantías que permitan que esa mayor disponibilidad y utilización de los datos personales no reduzcan el nivel de protección alcanzado. Es necesario subrayar que la verdadera innovación no puede llevarse a cabo sin tener en cuenta los derechos fundamentales de las personas y que un derecho fundamental no constituye un obstáculo, sino un garante de beneficio global para la sociedad”, declaró Mar.
El Track 4, Cloud Security, IoT & Business Continuity, contó con la intervención de Daniel Largacha, CISO de Mapfre y director del Centro de Estudios en Ciberseguridad, con una ponencia titulada “Protegiendo el Directorio Activo for fun…and rest”, donde planteó diversas técnicas dentro del entorno de Directorio Activo para mejorar el entorno de control y las capacidades preventivas, detectivas y reactivas.
“Los ataques de ransomware copan la primera posición en las preocupaciones cibernéticas de hoy en día. No existe una fórmula magistral que aporte protección completa, existen tecnologías que, aunque suelen ser caras, nos pueden ayudar. También podemos buscar técnicas dentro de una aproximación ZeroTrust que pueden resultar muy efectivas, pero que no tienen por qué implicar un desembolso económico fuerte”, explicó Largacha.
Por último, la Jornada Internacional de ISMS Forum contó con la participación de Bob Carver, Principal Cybersecurity Threat Intelligence and Analytics (Verizon), que fue entrevistado por Jesús Mérida, CISO de Iberia.
“Creo que es importante preguntarse qué estamos haciendo para saber que nuestro negocio no está comprometido. Uno de los puntos es saber qué activos necesitamos tener en nuestra red de trabajo, si es una empresa pequeña o una gran multinacional, qué activos tenemos en todo el mundo, a quién pertenecen, cuál es el sistema operativo… y luego preguntarnos si estamos haciendo lo correcto con el presupuesto que tenemos disponible para securizar nuestra red de trabajo”, respondió Carver a la pregunta sobre cómo podemos asegurarnos de que nuestra seguridad es la adecuada.
“Las regulaciones son buenas porque fuerzan a las personas a proteger sus redes, pero, por otro lado, empujan a las personas a centrarse en ser lo más compliance posible, desviando el foco de lo que es importante: la ciberseguridad de nuestro entorno”, añadió el experto.
Una vez más, la Jornada Internacional de Seguridad de la Información se ha consolidado como uno de los mayores congresos nacionales en el que más de 700 asistentes del sector asistieron a debates de alto rango en materia de ciberseguridad, protección de datos, Cloud, IoT y continuidad de negocio.