“No puede existir la transformación digital sin ciberseguridad”
ISMS Forum y su grupo de trabajo, Cyber Security Centre (CSC) celebró la Undécima Edición del Foro de la Ciberseguridad el pasado 12 de mayo de 2022 en el Hotel Novotel Madrid Center. El Encuentro de referencia para los profesionales de la seguridad de la información continuó en esta nueva edición aportando respuestas en los ámbitos de gobierno y estrategia, en aspectos tales como la innovación y el proceso de transformación digital, el compliance tecnológico o la alineación de los ciberriesgos a los riesgos para el negocio.
Entre los aspectos clave de la sesión, se abordaron la Identificación y la automatización de respuesta ante amenazas, se analizó el nivel observable del apetito de riesgo en las entidades en base a prácticas como los ciberejercicios multisectoriales, se evaluó la ciberseguridad como inversión de la mano de expertos en economía de empresa, y se revisó el papel del rol de CISO en el marco organizativo.
La ponencia inaugural del Track 1 corrió a cargo de Don Gibson, Head Of Cyber, Dept. For International Trade (DIT), HM Gov., donde habló en su ponencia online sobre la transformación de los enfoques de ciberseguridad al mercado. Gibson destacó los valores de la ciberseguridad, qué estamos defendiendo con la ciberseguridad en la transformación digital y su valor distintivo además de las claves para gobernar la ciberseguridad en este proceso de transformación actual.
Por otra parte, en el Track 2, Luis de Eusebio, Deputy Executive Director, Head of Capabilities Directorate and CIO, EUROPOL, habló sobre el rol de EUROPOL dentro de la política de ciberseguridad europea, “Nuestra función es el análisis de información y la generación de inteligencia en hechos criminales, nos dedicamos a apoyar a las policías europeas en todo el ciclo de investigación de una determinada operación, generamos análisis de esa información, es decir, lo que nosotros denominamos 'collect to connect', recogemos información y establecemos puntos comunes entre la información recibida de un estado miembro y otras policías. Intentamos ayudar en la coordinación de operaciones en el terreno y establecemos estrategias entre las distintas policías tanto a nivel estratégico, en determinadas materias que son de interés común a todas las policías, así como también en determinadas cuestiones que quizás tengan un carácter más táctico, pero son decisivas en orden de luchar contra el crimen trasnacional”, destacó Luis de Eusebio.
En la siguiente ponencia del Track 1, la Chief Cybersecurity Advisor de Microsoft EMEA, Lesley Kipling, expuso en su ponencia los anti-patrones en seguridad. “La misión de Microsoft es empoderar a todas las organizaciones y personas del planeta para lograr más, pero queremos hacerlo de manera segura, sostenible y con empatía digital. Queremos que la tecnología sea algo transparente”.
En el marco de este XI Foro de la Ciberseguridad se presentaron los resultados de los Ciberejercicios del 2022 de la mano de los expertos Neftali Mañes, Lead Solutions Architect Southern Europe, Cymulate; Vicente de la Morena, Country Manager Spain & Portugal, Riskrecon, a MasterCard Company; Fernando Campagnale, Chief Operating Officer & Board Member, Beygoo; Lucas Varela, Board Member, ISMS Forum Barcelona y Juan Manuel Zarzuelo, director - IT Risk, KPMG.
Juan Manuel Zarzuelo, como evaluador, destaca que “Teniendo en cuenta lo que han contado todos los compañeros, al final podemos observar una serie de parámetros que se repiten año a año en los ejercicios y este año hemos podido ver mejoras en algunos aspectos y otros que nos siguen generando mucha preocupación. Han mencionado que en la parte de ransom se ha visto como las empresas siguen siendo uno de los temas principales, vamos viendo mejoras en los controles y en la parte de los correos. En la parte de la navegación web ha habido compañeros que han marcado que sigue habiendo temas a mejorar y hay algún otro aspecto que también es relevante. En ámbitos generales sí que vemos mejora viendo la foto finish de todas las prácticas que se han hecho, se ve mejora con respecto al año pasado”.
Cyberex 2022, en el XI Foro de la Ciberseguridad.
Por otro lado, Pablo Valenzuela, Sales Engineer Manager, Recorded Future, centró su ponencia en Malware donde recomendó utilizar sistemas IDS, IPS o cualquier mecanismo de defensa para alertar de cualquier actividad maliciosa mediante reglas YARA específicas para los stealers, o integrar estas alertas con un sistema de UBA para aumentar su nivel de riesgo. Recomendó no reutilizar contraseñas, realizar campañas de phishing interno con el fin de concienciar, no descargar material de sitios con baja reputación, agregar feeds de inteligencia etc.
Pablo Valenzuela durante su ponencia.
La última mesa redonda bajo el título: ‘Retos del Buen Gobierno de la Ciberseguridad’ formada por Gonzalo Asensio, CISO, Bankinter; Board Member, ISMS Forum; Rafael Hernández, CISO, Cepsa; Board Member, ISMS Forum; Jesús Mérida, CISO, Iberia; Board Member, ISMS Forum; Esther Muñoz, subdirectora general de Ciberseguridad, Protección de Datos y Privacidad, Madrid Digital, Comunidad de Madrid; Alberto López, CISO, Solaria y como moderador Gianluca D’Antonio, Academic Director, IE Master of Cybersecurity; Partner, Deloitte; Presidente de ISMS Forum.
Durante la mesa redonda Jesús Mérida destacó que “El riesgo real es no entender el riesgo en sí mismo y el no facilitar o dotar a la empresa las medidas o medios adecuados para afrontar dicho riesgo… Hoy en día, todo el mundo tiene el riesgo de ciber como uno de los riesgos principales de las empresas. Prácticamente todas las empresas están abordando, por ciertos motivos, porque sea un plan preconcebido o porque la pandemia le ha abocado a ello, a transformación digital de sus procesos de negocio y no puede existir la transformación digital sin la ciberseguridad o al menos, es una irresponsabilidad absoluta el plantear procesos de negocio tecnológicos sin contar con ciberseguridad.”
El broche final del evento lo pusieron Guillem Colon, codirector de THIBER con ‘Mitos y Realidad en la Ciberescalada y Ciberdisuasión en la Guerra de Ucrania’ en el Track 1 y Kai Roer, managing the CLTRe Research Center, a KnowBe4 Company y su ponencia ‘The Security Culture Playbook’ en el Track 2.