Las capacidades del CISO deben evolucionar rápidamente, en este entorno de crisis económica mundial, para adecuarse a la transformación de modelos de servicio, internacionalización de amenazas y hábitos de consumo.

Los responsables de seguridad de la información deben ser capaces de asumir una gestión global del riesgo en entornos cambiantes.

El entorno del Parque Tecnológico de La Cartuja, en Sevilla congregó el pasado 24 de noviembre a más de 200 expertos en Seguridad de la Información en torno a la VI Jornada Internacional de ISMS Forum Spain. Titulado "Impactos de la Transformación Económica y Social en la Seguridad de la Información", este encuentro facilitó el debate en torno a los retos funcionales e internacionales del CISO, las implicaciones de seguridad en los modelos de outsourcing y cloud computing, los riesgos de la fuga de datos o las amenazas inherentes a las redes sociales. La célebre frase “renovarse o morir” podría constituirse en lema del congreso, como veremos por las conclusiones de los distintos ponentes.

 

La jornada estuvo poblada de comentarios y anécdotas que conformaron un adecuado análisis de la situación actual y de cómo la crisis mundial (todos los expertos internacionales admitieron que influía notablemente en el mercado de la seguridad) ha hecho evolucionar los riesgos tradicionales y a la vez plantea a la industria la necesidad de afrontar nuevos planteamientos.

La introducción de la jornada corrió a cargo de Gianluca D’Antonio, presidente de ISMS Forum Spain y CISO del Grupo FCC, quien recordó lo importante que es entender el pasado y el presente para comprender lo que puede deparar el futuro. Apuntó asimismo que ISMS Forum lleva ya tres años organizando dos jornadas internacionales anuales para reflexionar sobre el futuro de la sociedad de la información, en las que expertos internacionales colaboran aportando su experiencia acerca de lo que ocurre más allá de nuestras fronteras. Ya en la introducción se avanzó la sensación generalizada de que 2010 se anuncia duro, pues la crisis seguirá con nosotros, introduciendo así el contexto de las siguientes conferencias sobre el impacto de la crisis en el sector y cómo ésta afecta a la seguridad. Sobre el cloud computing, D’Antonio mencionó que, aunque lleva ya dos años entre nosotros, requerirá aún tiempo y conocimiento para aprovechar estas nuevas formas de hacer negocio, sabiendo gestionar el riesgo que esto también entraña. A este respecto, se entregó a todos los asistentes una llave USB con la nueva versión 2 del documento denominado “Guía para la Seguridad en áreas críticas de atención en Cloud Computing”, que ha sido traducido por cortesía del ISMS Forum Spain desde el original en inglés de Cloud Security Alliance.

Enrique Polanco, director de Seguridad Corporativa del Grupo PRISA, impartió la conferencia inaugural, que analizó los desafíos de seguridad a los que se enfrentan las corporaciones españolas que tienen intereses en el extranjero y el reto de los cambios económicos y sociales. Entre los factores que potencian el riesgo destacó la diversidad de legislaciones -sobre todo en lo concerniente a seguridad privada- además de la inestabilidad política y los diferentes grados de corrupción o de libertad de expresión en algunos países. Todo ello puede comprometer las operaciones de las compañías españolas con intereses en Latinoamérica. Recomendó la implantación de un Sistema Integral de la Seguridad, fruto de unificar la gestión de la .Seguridad de la Información, Física, Laboral y Medioambiental. “El nuevo Director de Seguridad Corporativa es un "Risk Manager", resumió Polanco, enfatizando las funciones del CISO como gestor del riesgo global que debe abordar los cambios desde un punto de vista internacional. “El primer paso para poder dar con las soluciones adecuadas es conocer bien los problemas a los que nos enfrentamos” aseveró.

El caso expuesto del Grupo PRISA da una idea de este contexto. Presente en casi toda Iberoamérica, con una notable dispersión geográfica (y por tanto sujeta a entornos legales y sociales muy diversos), debe afrontar notables desafíos que hace 20 años se consideraban riesgos emergentes y ahora han pasado a ser estratégicos y operativos. “Y no podemos olvidar – aseveró Polanco- que hoy la amenaza es global, difícil de prever, y puede tardar sólo unos segundos en propagarse”.

Sin embargo, el responsable de seguridad de PRISA añadió que algunos países latinoamericanos, como Argentina y Chile, destacan en asuntos como la protección de datos; de hecho, explicó que Argentina incorpora el concepto de “habeas data” en su Constitución, aunque por lo general existe poca regulación al respecto. Por último, habló acerca de los esfuerzos que se están realizando en el ámbito internacional en pro de un ambiente global más seguro y de una adecuada gestión de riesgos “global”, principalmente desde la OTAN. Allí se estudia en profundidad lo que se conoce como el Futuro Ambiente de Seguridad (o FSE por sus siglas en inglés), que valora el riesgo desde varios niveles, estratégico, regional y transnacional. La vulnerabilidad -acentuada por la crisis económica- y la amenaza creciente son los dos vectores a contemplar en esta gestión del riesgo.

La siguiente ponencia fue impartida por Andrew Jaquith, analista Senior de Forrester Research en Estados Unidos. Comenzó insistiendo en que la economía actual está realmente mal, y las amenazas se incrementan a ritmos vertiginosos. Las consecuencias serán que el outsourcing forzará a las empresas a centrarse en proteger los datos, en vez de proteger los dispositivos, como venía siendo común hasta ahora; este cambio será debido a la tendencia hacia el outsourcing, la consultoría estratégica, y el incremento de relaciones con terceros. Adelantó algunos datos, como que la externalización mediante offshoring crecerá a un 25% en el 2010 en Europa, respecto al 20% actual; siendo un 23% la previsión para los Estados Unidos en este año próximo.

Por ello recomendó la realización de estrategias de protección de datos que no dependan de los dispositivos, mediante diversas fórmulas; en unos casos accediendo de forma remota a la información, mediante clientes ligeros; en otros casos con datos replicados y la posibilidad de eliminar los datos en caso de pérdida o robo; o bien utilizando procesos de información en "burbujas" de seguridad (con virtualización por ejemplo); bien protegiendo los datos con plantillas de confidencialidad de la información dentro del propio documento o, por último, realizando una monitorización de la red, permitiendo o bloqueando el intercambio de datos con marcas de agua de tipo hash y fingerprint y tecnología DLP. “Focalizarse en la protección de los datos, no en la de los dispositivos permite a los CISOs decir sí a las nuevas oportunidades emergentes, como el uso del cloud computing, que se está incrementando exponencialmente”, indicó.

Jaquith presentó la clasificación de Forrester sobre cloud computing, en una torre de cuatro capas, desde de la infraestructura física IaaS hasta la prestación de servicios basados en web y el SaaS. Indicó, sin embargo, que los CISOS son aún cautelosos respecto a la nube, pues les preocupan las cuestiones de seguridad, privacidad y adecuación legal y normativa. Para resolver los miedos relativos a cada uno de los riesgos, sugería una posible solución. Además, los análisis muestran la tendencia de los responsables ejecutivos de las empresas (directores financieros, gerentes, servicios jurídicos…) a influir cada vez más en las decisiones de tecnología, que necesitan que esté perfectamente alineada con la estrategia empresarial. Además, problemas intrínsecamente  tecnológicos se han convertido en problemas de negocio, como es el caso del fraude, la propiedad intelectual, el espionaje industrial, el gobierno corporativo, la retención de empleados, la integridad del negocio, e incluso la ética corporativa. Algunos de los consejos que dio a los presentes: “El Plan del año pasado conviene revisarlo y actualizarlo en aras de alinearlo con el negocio”; “Ser proactivo en la gestión de riesgos, y aplicar métricas y Gobierno Corporativo”. El analista concluyó que las competencias clave del nuevo CISO incluyen ser capaz de darle la vuelta al concepto tradicional de seguridad, mirando al futuro respecto a las funciones que serán necesarias para este replanteamiento de la seguridad. “La nube será lo mejor que le habrá podido ocurrir a la industria de seguridad”, llegó a pronosticar Andrew Jaquith adelantando el motor de dichos cambios evolutivos.

El siguiente ponente, Carlos Alberto Saiz, Vicepresidente del ISMS Forum Spain, adelantó los próximos proyectos y actividades, presentando el ISMS Forum Spain como asociación sin ánimo de lucro, con el objetivo de fomentar la seguridad de la información en España, como se demostraba en esta VI jornada, comenzada hace ya 3 años, con más de 1.500 asistentes a lo largo de las 6 jornadas celebradas. Resumió y asintió sobre el contenido de las intervenciones anteriores, donde se ha hablado de Adecuación Normativa y Legal, se ha hablado de Gestión de Riesgos y de la crisis económica global, así de cómo los CISOS deben acercarse al negocio, alejándose de la tecnología y acercándose al lenguaje del negocio. Carlos comentó los números del ISMS Forum Spain, que cuenta con 90 empresas asociadas y 600 profesionales dados de alta; entre ellos los 245 profesionales que representan a 130 organizaciones que han participado en esta VI edición, provenientes de la industria, proveedores, instituciones y clientes finales, cifra que se va incrementando edición a edición. Se anunció la nueva fecha para la siguiente edición, el 25 de mayo de 2010 en el Palacio de Congresos de Madrid, en el marco del VII VI Jornada Internacional de ISMS Forum Spain; orientada a cómo vincular competitividad, innovación y tendencias en el mundo de la seguridad y cómo la tecnología, CIOs y CISOS podemos aportar al negocio.

Como actividades del ISMS Forum Spain, comentó que se han añadido y distribuido nuevas publicaciones gratuitas, actualizado el registro de profesionales certificados, se ha comenzado a realizar acciones formativas, etc. Precisamente destacó el reciente Curso de Analista de Riesgos en Seguridad de la Información, dirigido por Jesús Milán e impartido en septiembre de 2009, contando con unos 20 asistentes; anunciando que se realizaría una segunda edición para la primavera de 2010.

Otra de las recientes actividades del ISMS Forum Spain es la creación del Data Privacy Institute, foro de referencia en la materia y abierto tanto a personas como a empresas; donde se celebrará, en junio de 2010, el primer examen de certificación, si bien existirá un esquema de “Grandfathering” para profesionales. Esta certificación, denominada “Certified Data Privacy Professional” está orientada a profesionales abogados, consultores, CISOs, responsables de LOPD en las Administraciones Públicas, etc. y contendrá un cuerpo común de dominios de conocimiento, incluyendo los fundamentos, un marco general, el marco sectorial, etc. Además, en este sentido, se están planteando las Segunda Jornadas de Privacidad en el Sector Sanitario, con fecha para el 21 de enero de 2010, en Madrid, donde se tratará sobre la historia clínica informatizada, la receta electrónica, etc.

Otra de las iniciativas que se lanzarán en breve, en concreto en enero de 2010 es el DLP Forum, incluyendo el sitio web http:///www.dlpforum.es y patrocinado por las compañías McAfee, Symantec e Infowatch para la promoción e intercambio de experiencias relacionada con la tecnología Data Leak Prevention.

Una tercera iniciátiva, con la web http://www.protegetuinformacion.es, constituye este portal informativo, gracias a una subvención del Plan Avanza 2, con contenido cerrado y delimitado, prevista su presentación para finales del 2010 con la colaboración del Ministerio de Industria, Turismo y Comercio.

Además de las iniciativas para este nuevo año, Carlos finalizó su intervención con las ventajas de formar parte de ISMS Forum, que incluyen formar parte de la comunidad de profesionales de seguridad, acceso libre a las Jornadas Internacionales, descuentos en las acciones formativas, inclusión en el registro de profesionales, tasas de examen reducidas para la certificación en el Data Privacy Institute, poder participar en los grupos del Linkedin y foros de debate, acuerdos con Masters y Escuelas de Negocios, etc. Finalizó su intervención recordando las condiciones de acceso, de 500 € la cuota anual corporativa, con derecho a nombrar 8 socios de pleno derecho; o bien la cuota anual para profesionales, que es de 60 € para unirse a los más de 600 profesionales y 90 profesionales asociados.

A continuación, el experto en Cloud Computing, Nils Pullman, Cofundador y CISO de Cloud Security Alliance impartió una conferencia titulada “A New Landscape to Protect: What’s Coming Up on Information Security Challenges?. Comenzó su exposición aludiendo que existe una novedosa tendencia de “consumerización” de la tecnología", algo que Gartner lo llamó en el 2005 la tendencia más significativa que afectará a IT en los próximos 10 años. Se refiere a que una nueva generación está creciendo con la tecnología de consumo, y esto hace que los dispositivos tecnológicos y los "gadgets" se incorporen al mundo laboral. De esta forma, las TIC se convierte en una herramienta para fomentar la creatividad. Sin embargo, entre las predicciones de las amenazas creadas por los consumidores IT se encuentran los ataques sobre aplicaciones SaaS y los ataques de Phishing originados desde las redes sociales.

Nils enumeró alguna cifras sobre los millones de usuarios de ebay (85,7 millones en 2008), Zynga (60 millones, Google Voice (1.419 millones de usuarios un 40% de uso diario), Skype (521 millones de usuarios registrados) además del dato de crecimiento del 700% anual de minutos invertidos en FaceBook. Los mayores riesgos en estos entornos se centran en que no es posible probar la identidad del usuario, existe la posibilidad de revelación de información sensible o la pérdida completa de la privacidad y la focalización de ataques en las redes sociales fomentan la facilidad para los ataques basados en ingeniería social, y en especialización de los frameworks de distribución de código malicioso para estas redes.

Por otro lado, el juego online, los mundos virtuales y las redes sociales tienden a converger, con los  nuevos riesgos que ello acarrea, citando a anécdota del mundo virtual SecondLife, con 16 millones de residentes registrados, en que en un solo día de agosto cambiaron de manos 120 millones de dólares virtuales. Estas transacciones virtuales tienen su impacto en el mundo real, pues allí empresas como Nike y Adidas venden en realidad calzado; Pontiac y Toyota venden coches reales, se alquilan servicios de seguridad y servicios de escort, y los perfiles se compran y venden en eBay con dólares reales. Este fenómeno de venta de perfiles, denominado Gold Farming, tiene como consecuencia el explotar a la juventud, principalmente de sudeste asiático, para generar dinero virtual que se blanquea posteriormente en moneda real.

Nils planteó la problemática que plantea la velocidad de infección respecto a la velocidad de defensa de estas amenazas. "Cada 4-5 segundos se descubre un nuevo sitio propagador de malware", comentó Nils. De las páginas afectadas, 85% se encuentran en sitios web legítimos que han sido hackeados y los ataques se incrementan de forma transversal por las redes sociales llegando a los puestos de usuario. Se dieron datos sobre los 14 millones de PCs que se comprometieron por “botnets” en el segundo trimestre de 2009, un incremento del 16% sobre el trimestre anterior. Sobre los 150.000 nuevos ordenadores vendidos, fueron infectados un 20% de cada uno de ellos. Según el número de bots continúa creciendo, se empieza a ofrecer Malware as a Service para controlar a todos estos equipos. Aparte que la protección antivirus no es suficiente, al requerirse entre 2 y 5 días para cada nueva firmas, y más de 14 días para analizar y contrarrestar nuevos algoritmos de infección. El crimen libera nuevo malware más rápido que las actualizaciones de sistema antivirus, y cada vez hay más mutaciones.

¿Cómo afecta esto respecto a los nuevos planteamientos de Seguridad TIC? En el viejo mundo, la gente utilizaba lo que le ofrecían, la infraestructura IT era estática, las webs se enlazaban unas a otras... Sin embargo, en el nuevo mundo, las tecnologías funcionan casi en el “Just-in-time”, crecen los servicios SOA, la computación en la nube, los modelos de pago por uso), todo ello produce un adelgazamiento en las infraestructuras y potencia los entornos ágiles y las  infraestructuras flexibles. El nuevo Internet trata sobre la gente, cómo ésta hace uso de Internet y cómo se interconectan entre sí. De esta forma, la seguridad es un paraguas común para todo ello adaptándose a las tendencias de agilidad y velocidad. La gente utiliza lo que le gusta

¿Cuál es la parte mala en todo esto? Nils realizó un juicio crítico con el inmovilismo en la visión tradicional de la seguridad. Para los profesionales de la seguridad, la adecuación normativa y legal es el nuevo estándar, la nueva línea base. Solemos ser reacios al cambio y adversos a estructuras flexibles. Los fabricantes, por su parte, ofrecen soluciones para problemas antiguos, cada vez son menos y menos innovadores y comprenden la seguridad principalmente desde el punto de vista técnico. Nils sentenció que “los malos tiene todas las ventajas sobre los buenos; y además que son más participativos y colaborativos", finalizando su intervención con la idea de que "el mayor error que ha cometido la industria es que hasta ahora ha trabajado en solitario".

Un debate posterior, en el que participaron Vicente Aceituno, Presidente de ISSA Spain; Manuel Cortés Márquez, de Accenture; Peter Stremus, de IBM ISS Bélgica y Bart Vansevenant, Director de estrategia de Verizon Bélgica y moderado por Nils Puhlmann, sacó a la luz algunos temas polémicos, como por ejemplo cuestionando si el mercado estaba realmente evolucionando.

Este debate postulaba si las cosas estaban o no cambiando; pues aunque las tecnologías de información habían cambiado los medios y los canales de comunicación, los problemas eran los mismos, las soluciones las mismas, la tecnología muy similar... Se plantea que el negocio actual en las redes sociales y de consumo es la publicidad, no los millones de usuarios registrados, comentándose que han cambiado los medios y los canales de comunicación con las nuevas tecnologías, pero se mantienen las expectativas de los usuarios, de las empresas, etc. También se apostó por un proceso gradual de concienciación en seguridad de la información, como un método más eficaz en lugar de “endurecer” la legislación con sanciones ejemplares. Bart Vansevenant, por su parte, comentó algunas anécdotas relacionadas con las investigaciones en análisis forense que revelaron fugas de datos en empresas de transporte europeas, en que existía una rotación anual con sus vicepresidentes de ventas. A lo largo del debate también se llegaron a importantes conclusiones, pues tras alguna pregunta planteada sobre la necesidad normativa, se consensuó que es mucho mejor aplicar una política de concienciación en seguridad que vaya "calando" mejor que aplicar una sanción ejemplar. “Las PYMES son una gran oportunidad para hacer grandes cosas con pocos esfuerzos” se llegó a decir. Se cerró el debate comentando que el sector de la Pequeña y Mediana empresa constituye una gran oportunidad para hacer grandes cosas en seguridad con un pequeño esfuerzo.

 

La última intervención de la mañana, fue llevada a cabo por Oleg Mikhalsky, Director de Infowatch (Rusia) y se centró en la identificación de problemas y retos de la protección de la información sensible y la prevención de fugas de datos externas e internas mediante la tecnología DLP. Una de las anécdotas del día fue la pregunta al auditorio sobre aquellas empresas que están realizando actualmente implantaciones relacionadas con tecnología Data Loss Prevention. A pesar de que gran parte del sector coincide es que es uno de los nuevos puntales de generación de negocio, con tendencia actual en inversiones de seguridad con gran crecimiento, solamente un puñado de asistentes alzó la mano, lo que introdujo una paradoja entre las expectativas del mercado y los proyectos actuales que en realidad se están acometiendo en la materia.

Después del almuerzo, la conferencia de Marcos Gómez Hidalgo, Subdirector e-Confianza del INTECO, abordó su experiencia sobre los servicios y oportunidades para la Pyme española en Seguridad de la Información. Comenzó enumerando las actividades del INTECO respecto a Gestión de Incidentes de Seguridad , Centro Demostrador, Observatorio de la Seguridad, etc. y las perspectivas de extender el proyecto para darle continuidad en el largo plazo. Resumió el objetico del INTECO en el hecho de formar y concienciar a la PYME en materia de seguridad informática, especialmente en Sistemas de Gestión de Seguridad de la Información y en la implantación de los estándares ISO 27001. En resumen, dar un impulso al SGSI en el tejido industrial español, ejerciendo de tercero de confianza en la industria. El planteamiento incluye ser centro verificador de las 144 empresas certificadoras, y certificar a empresas de entre 25 y 45 empleados, hasta 250 empleados en total.

Tras una consulta lanzada sobre las principales motivaciones de las PYMES a la hora de certificar su SGSI, se comentó que el rasgo común sin duda ninguna es que a los directivos de las empresas se les había concienciado al asimilar el riesgo de las sanciones de la AEPD. Las recomendaciones principales era elegir condicionantes tecnológicos y la existencia de un responsable de seguridad. Como resultado, un 98% de las empresas pasaron con éxito el proceso de certificación.

Marcos comentó, respecto al comportamiento medio de las micropymes en materia de seguridad, que su perfil de comportamiento es similar a cómo funcionaría un internauta individual; teniendo en cuenta el dato de que existen en España 3 millones de PYMES y 24 millones de internautas. El 30% de los encuestados dicen tener una deuda pendiente con el hecho de ponerse al día en seguridad; aparte, un 50% de los encuestados están familiarizados con términos como el “phishing”; aunque desconocen otros como malware, troyano o keylogger. Marcos finalizó su intervención con datos también interesantes; indicando que se resuelven desde el INTECO unas 20.000 incidencias de seguridad anuales; de las que un 30% se refieren al fraude por internet.

A continuación se inició el debate de la tarde, que fue uno de los más interesantes y entretenidos del día, salpicado de anécdotas, chascarrillos y algo también de polémica; además de llegar a consensos, y conclusiones muy productivas. En este debate intervinieron Francisco Hernández Guerrero, Fiscal del Servicio de Criminalidad Informática del Ministerio Fiscal, Rafael San Miguel Carrasco, de Yumei, Pedro Pablo Pérez, Gerente de Marketing de Seguridad de Telefónica España y Manuel Vázquez López, Jefe de la Brigada de Investigación Tecnológica de la Comisaría General de Policía Judicial; moderado por Antoni Bosch, Director del Data Privacy Institute – ISMS Forum.

Pedro Pablo habló de las dificultades de detección y respuesta del crimen electrónico en redes sociales, derivadas de la captación, la acción a distancia y la internacionalización. Manuel, en base a su experiencia en la Brigada, nos contó que la lucha contra el cybercrimen se juega hoy en un ámbito global. “La acción preventiva suele corresponder a las empresas y organizaciones, pero cuando los controles fallan, es cuando entra en escena la acción policial”, comentó. Añadió que las redes sociales han servido para iniciar movilizaciones, incluso a veces causas nobles; pero muchas otras veces se ha utilizado para la comisión de delitos. Los menores, por ejemplo, no tienen la personalidad formada, por lo que son objeto de delitos a través de estas redes sociales, como es el caso del Cyberbulling. "La ciencia es como un cuchillo", comentó. Las redes sociales son un elemento de nuestro tiempo; pero la tecnología va más rápido que las consideraciones morales y legales. Si se otorga capacidad a los menores, hay que ser coherentes en las formas de persecución. El debate cobró especial interés a raíz de comentar el éxito de inscripciones de menores en el portal de gestión de talentos del espectáculo Yumei, tras participar en el casting de un conocido programa de televisión, según comentó Rafael Sanmiguel. En este punto se abrió un interesante debate sobre legalidad, moralidad y responsabilidad de los padres, con aportaciones de todos los componentes de la mesa, y sentando cátedra en los temas por la autoridad y calidad de los ponente. Por ejemplo, Francisco Hernández realizó una interesante reflexión sobre el hecho de que “si se otorga capacidad a los menores, hay que ser coherentes en las formas de persecución en las redes sociales” respecto a la responsabilidad de los padres. Manuel Vázquez comentó el hecho de que si se dan demasiadas pistas para facilitar la ingeniería social; es posible por ejemplo mediante fotografías en diferentes situaciones, generar el perfil psicológico y anímico de una persona y las nuevas generaciones se aprovechan de las nuevas posibilidades de beneficiarse de ello. Aunque fue ecuánime en la utilización de estas redes: “prefiero que mis hijos estén en una red social que viendo determinados programas de la televisión que transmiten valores incorrectos” concluyó, como resumen de su planteamiento.

Pedro Pablo recordó respecto a la responsabilidad de los padres y la capacidad de filtrado de acceso a Internet, que los padres contratan para sus hijos un control parental para sus líneas ADSLs, en clara referencia al servicio Canguro.Net que presta Telefónica. Toni Bosch aprovechó el debate del filtrado de acceso para introducir el tema del paquete europeo de telecomunicaciones, lo que hacía cada vez más y más interesante el debate, a juzgar por los asistentes, que estaban tan concentrados en el interesante debate que no parpadeaban. A pesar de los puestos de responsabilidad y los cargos que ocupaban representando a sus respectivas organizaciones, los ponentes no dudaron en “mojarse” y entrar al trapo en la cuestión. Francisco Hernández sugirió que si tal vez las empresas de comunicaciones estaban inflando las necesidades de consumo de ancho de banda con grandes velocidades y orientadas a la descarga masiva; tal vez no debieran pretender cortar el acceso por descargar determinados contenidos. Todos los ponentes coincidieron en que existe un nuevo pacto social; en el que ni las empresas deben pretender extralimitarse en las restricciones, ni la sociedad debe por su parte parapetarse en posiciones radicales de desprecio a toda regulación. Manuel, matizó que desde la Policía nunca se han realizado investigaciones de forma directa contra usuarios de redes P2P, aunque sí sobre enlaces y propietarios de páginas. A lo largo del debate fueron varias las ocasiones en que surgió la polémica, sin miedo a expresar opiniones. Se comentó que “cualquier incidente informático se magnifica, porque es un asunto que vende. El problema es que los políticos hacen más caso a la prensa que a sus asesores, porque representan la opinión de los ciudadanos.” En general, el debate de la tarde fue muy ameno, pero a la vez muy profundo y uno de los platos fuertes del día.

El resumen y el cierre de la jornadas fue responsabilidad de Gianluca D’Antonio, de nuevo como Presidente del ISMS Forum Spain. Comentó sobre la emisión, por parte de FCC, empresa de la que es Director de Seguridad de la Información, de un informe de vigilancia, con todas las publicaciones donde se hace referencia a la empresa, imagen y reputación corporativa, tanto para bien como para mal; y poder gestionar los riesgos que esto conlleva. Al respecto, comentó que la reputación en las redes sociales puede afectar a las distintas economías, pues orienta el consumo de los clientes como ha ocurrido con alguna empresa o producto. Insistió en que la seguridad de la información se trata hoy en día de vigilancia digital, de reputación corporativa. Son funciones transversales, no solamente tecnología.

Gianluca habló de las nuevas competencias del CIO, apuntando un 71% de gestión del riesgo y conformidad normativa. Entre los nuevos atributos del CISO habría que destacar los siguientes: jefe, visionario, escritor, vendedor, planificador, negociador, organizador, presentador CISO y las denominadas ”soft skills” o habilidades directivas relacionadas con la inteligencia emocional y comportamiento. Los retos del CISO son ser aceptado, ser creíble, ser útil, ser eficiente, ser atractivo, ser competitivo, ser innovador. En resume, SER Y PARECER. Concluyó comentando que los CISOs estamos enfrascados en el día a día y no somos visibles; pareciendo que la empresa va por otros derroteros, instándonos a orientarnos más al negocio y a entremezclarnos con el lenguaje de la organización, como cierre de su intervención y de la jornada.