El pasado jueves 30 de mayo tuvo lugar en Madrid la celebración de la XXI Jornada Internacional de Seguridad de la Información de ISMS Forum, el congreso privado nacional de referencia para los sectores de la ciberseguridad y la protección de datos, que este año adoptó el título “Cyber Risk Appetite in the new Digital Revolution".

Fueron más de 800 profesionales los que se reunieron en torno a más de 60 ponencias, workshops y talleres, con la presencia de 83 ponentes de primer nivel que compartieron las claves para afrontar el nuevo escenario de ciberamenazas. “Veremos a los mayores referentes del sector privado y expertos independientes, que se sumarán a los ya más de 725 expertos que han pasado hasta la fecha por el congreso y que han hecho posible que hoy la Jornada Internacional de Seguridad de la Información de ISMS Forum sea el mayor congreso internacional de seguridad de la información del sector privado que se organiza en España”, así comenzaba Gianluca D’Antonio, presidente de ISMS Forum, su discurso inaugural.

Durante la sesión de bienvenida, estuvo presente Miguel Ángel Ballesteros, Director General del Departamento de Seguridad Nacional (DSN) y Alberto Hernández, Director General del Instituto Nacional de Ciberseguridad (INCIBE). Ambos destacaron la necesaria apuesta público-privada en el marco de la Seguridad de la Información. “Varios son los años que el DSN lleva colaborando con ISMS Forum para avanzar en materia de ciberseguridad, especialmente con la participación de los ejercicios de gestión de crisis y, en general, con actuaciones dirigidas a mejorar y crear cultura de ciberseguridad. Por cierto, un mandato de la nueva Estrategia de Ciberseguridad Nacional”, explicó Ballesteros.

Una estrategia que, según el Director General del DSN, se adecúa a las exigencias de la Directiva NIS del Parlamento Europeo y del Consejo, apunta a la necesidad de movilizar los recursos de inversión necesarios e involucra al sector privado y ciudadano en una llamada a la corresponsabilidad. “Para avanzar en la ciberseguridad, sin duda, debemos estar todos comprometidos. Tenemos que salir de nuestra zona de confort y pensar desde otros planos, solo así seremos capaces de crear una fuerte y real cultura de la ciberseguridad.”

Por su parte, el director general de INCIBE aprovechó también la oportunidad para involucrar a la ciudadanía. “Creemos que la ciberseguridad debe construirse de forma conjunta, tanto desde el sector público como desde el privado, contando con la sociedad civil. Un ejemplo es la colaboración que mantenemos con ISMS Forum, y que se materializa en numerosas acciones como la realización de los ciberejercicios, el propio desarrollo del Libro Blanco del CISO, así como numerosos temas que tenemos encima de la mesa para llevar a cabo en el futuro.”

De izquierda a derecha, Alberto Hernández (INCIBE), Miguel Ángel Ballesteros (DSN) y Gianluca D’Antonio (ISMS Forum).

La segunda edición del Libro Blanco del CISO ya está disponible

En efecto, uno de los últimos proyectos llevados a cabo por la Asociación en colaboración con INCIBE ha sido la elaboración del Libro Blanco del CISO, un documento sin precedentes en España que constituye una primera aproximación para definir el estado de la figura del CISO, con el objetivo de poner en el mercado una guía de referencia para los directores de Seguridad de la Información, así como para las propias organizaciones en su definición organizativa.

Durante el transcurso del congreso, tuvo lugar la presentación de la segunda edición documento, que incluye una novedad importante: el informe sobre el rol del CISO a partir de los datos obtenidos de una encuesta realizada a 40 CISOs de diferentes empresas en España. Marcos Gómez, subdirector de Servicios de Ciberseguridad de INCIBE, y Gonzalo Asensio, CISO en Bankinter y miembro de la Junta Directiva de ISMS Forum, fueron los encargados de explicar las claves de esta nueva edición.

Gonzalo Asensio (Bankinter) y Marcos Gómez (INCIBE), respectivamente, durante la presentación de la segunda edición del Libro Blanco del CISO.

“Quiero agradecer a todas las personas implicadas en este proyecto por su esfuerzo, ya que llevo toda mi vida intentando explicarles a mis padres a qué me dedico y ya con este libro puedo decirles: leedlo y luego hablamos”, comentó Asensio. “Creo que este proyecto merece la pena porque hace unos años no se hablaba de la figura de un responsable del ámbito de la seguridad de la información, y hoy dices que eres CISO y la gente sabe lo que es”, añadió el representante de INCIBE.  

Ambos compartieron algunos datos sorprendentes extraídos del estudio relacionados con aspectos como la experiencia previa que suelen tener los CISOs, la prioridad que se les otorga a sus funciones o a quién reportan, entre otros. Por ejemplo, 3 de cada 10 de los encuestados tiene más de 10 años de experiencia, cuestión que, según el CISO de Bankinter, “deja hueco para las jóvenes promesas, pero también dice mucho sobre qué ritmo llevamos en España”.

Por otra parte, ante la pregunta de qué hace el CISO que no se mencione en esta segunda edición, Marcos Gómez explicó que, seguramente, “habrá que añadir el año que viene un apéndice más largo que el propio informe de la encuesta del rol del CISO que se ha incluido en este segundo tomo”.

La cooperación entre gobiernos, clave para construir una ciberseguridad sólida

La Jornada contó con la presencia de representantes de instituciones internacionales de la talla del gobierno británico, Comisión Europea (CE), la Agencia Europea de Ciber-defensa y el Servicio Europeo de Acción Exterior (SEAE). La primera ponencia que dio cuerda a este encuentro fue la de Peter Yapp, subdirector del Centro Nacional de Ciberseguridad (NCSC, sus siglas en inglés) de Reino Unido, hablando sobre lo que está haciendo el gobierno británico en la industria en términos de colaboración y en materia de ciberseguridad.

El experto señaló los esfuerzos del NCSC por trabajar conjuntamente con los departamentos de otros gobiernos para asegurar la creación de una fuerza sólida capaz de combatir el gran desafío que suponen las ciberamenazas. En esta línea, no olvidó subrayar el “compromiso incondicional” que Reino Unido desea tener con los estados miembros de la Unión Europea en esta área, siendo esta implicación cada vez más necesaria a medida que la tecnología avanza.

Agnieszka Wierzbicka, Salvador Llopis y Carles Solé, durante su intervención en la Jornada Internacional.

De colaboración y cooperación también se habló en el panel de expertos en el que participaron Agnieszka Wierzbicka, Policy Officer and Delegated National Expert del Servicio Europeo de Acción Exterior (SEAE), y Salvador Llopis, Project Officer for Cyber Defence Research and Technology de la Agencia Europea de Ciber-defensa. “Estoy muy contenta de que el sector público quiera cooperar con el privado para compartir sus experiencias y enfrentar los desafíos que ambos tienen diariamente”, comentó Wierzbicka. “Animo a los gobiernos de los demás países a construir conciencia con los ciudadanos porque es crucial y el primer paso para avanzar en ciberseguridad”, añadió.

¿Qué hace a una compañía resiliente ante los ciberataques?

Según Eva Ignatuschtschenko, Policy Lead (Cyber Security Incentives & Regulation) del gobierno británico,“una organización con la calificación más alta ha demostrado haber tomado las medidas adecuadas para administrar los riesgos de seguridad cibernética de la organización y, por lo tanto, aumentar la resiliencia operativa”. Por ello, la experta contó cuáles son los principales objetivos a alcanzar para lograr que una compañía sea verdaderamente resiliente ante los ciberataques: 1) Incentivar a las juntas directivas para que asuman la responsabilidad. 2) Proporcionar un modelo coherente para evaluar la resistencia cibernética a nivel organizativo en todos los sectores y tamaños. 3) Incentivar a las organizaciones para que traten la seguridad cibernética no como un problema de TI / seguridad, sino como un problema de gestión de riesgos. 4) Proporcionar una defensa antes y después de que ocurran los incidentes.

El Proyecto de Crisis Cibernéticas concluye con una “tendencia al alza” en concienciación

Tras el éxito de la primera y la segunda edición del proyecto de Gestión de Crisis Cibernéticas, Cyber Crisis Management Project en inglés, se llevó a cabo la tercera edición de la mano del Departamento de Seguridad Nacional (DSN) y de ISMS Forum, con el apoyo y la colaboración de terceras entidades públicas y privadas.

La presentación de los resultados se realizó durante la Jornada a cargo de Andrés Ruiz, responsable del Área de Ciberseguridad del DSN; Jesús Castaño, Responsable de la Sección de Innovación de la OCC, CNPIC; Eduardo Di Monte, CEO, Oylo; Carlos González, Active Resilience director, Oylo; y Anna Domínguez, Gerente de culturaciberseguridad.com.

“Enhorabuena a todos los participantes porque la tendencia es al alza en relación con los resultados globales. Hemos percibido una mejora respecto a años anteriores, en gran parte promovida por los propios ciber-ejercicios, que van creando conciencia”, comentó Carlos González.

Presentación de los resultados del Proyecto de Gestión de Crisis Cibernéticas.

En esta edición, los ejercicios se han distribuido en tres misiones, en cuya historia o trama podemos encontrar fake news, extorsión a trabajadores y robo de información sensible, entre otras acciones. “Todo empieza por el eco que se hacen los medios de comunicación de una noticia que puede ser veraz o no sobre sobresueldos, vamos a decir, machistas, dirigidos a altos directivos. A partir de ahí, se empieza a suceder una crisis reputacional”, explicó Anna Domínguez.

“Una de las cosas que hemos visto es que, tan malo puede ser no tomar una decisión porque no tienes la información adecuada para ello como equivocarte a la hora de tomar una decisión. La inacción puede ser, por lo tanto, igual de negativa para los intereses de la compañía que una decisión equivocada”, afirmó el Director de Resiliencia de Oylo. En este sentido, los participantes explicaron que la principal novedad de esta tercera edición es que, se tome la decisión que se tome, no tiene por qué estar bien o mal, lo importante es que esté debidamente justificada.

La finalidad del proyecto es crear concienciación sobre los riesgos existentes a todos los niveles, reforzar la comunicación y la coordinación (interna y externa) y, en definitiva, entrenar a las empresas en la gestión de ciber crisis. “Es imprescindible promover una cultura de la ciberseguridad en el ámbito de la seguridad nacional que debe llegar hasta el último ciudadano y empresa persiguiendo una mayor implicación de toda la sociedad para evolucionar desde la concienciación al compromiso”, señaló Andrés Ruiz.

 “Todos somos vulnerables y el que crea que no lo es, más”

Román Ramírez, Gerente de Arquitectura y Operaciones de Ferrovial y Coorganizador de la RootedCON, fue otro de los ponentes destacados que centró su participación en los sesgos cognitivos más comunes a través de los cuales los seres humanos somos influenciados cuando nos intentan vender productos o servicios. Uno de los más usuales es el sesgo de arrastre, es decir, la tendencia a convencer al usuario final de hacer algo porque muchas personas lo hacen. “Cuidado con estas chorradas porque, que el Ibex 35 esté haciendo una cosa no quiere decir que encaje en tu estrategia de ciberseguridad, a lo mejor no es útil para ti”, explicó el gerente.

Otro de los sesgos más peligrosos, según el experto, es el que está relacionado con la ilusión del control, esto es, convencernos de que podemos influir sobre los acontecimientos. “Es extremadamente peligroso pensar que por invertir 500.000 euros en un producto estás seguro. Cuando trabajas en ciberseguridad es esencial sentir que no tienes control sobre las cosas, para que te protejas como debes protegerte”, apuntó.

Finalmente, Ramírez recordó que el Foro Económico Mundial (WEF) califica los ciberataques como amenazas para la raza humana, por encima del colapso del ecosistema y la biodiversidad, de las migraciones a gran escala y de los desastres medioambientales provocados por el ser humano. En este sentido, según el experto, una de las cuestiones que más debería preocuparnos es el hecho de que las organizaciones, plenamente conscientes del nivel de riesgo que esta situación supone, no estén invirtiendo suficiente presupuesto en ciberseguridad.

El Libro Blanco del DPO: el próximo documento de referencia elaborado por la Asociación

ISMS Forum lanzará el primer Libro Blanco del DPO en España, un documento que persigue ser una guía para definir la posición de la figura del Delegado de Protección de Datos en las organizaciones. “El libro es un documento dinámico y no pretende sentar cátedra”, comentó Carlos A. Saiz, vicepresidente de la Asociación.

“Es interesante el que podamos tomarlo como lo que es, un documento práctico. Creo que es importante remarcar que el Libro Blanco del DPO quiere ser el libro de todos, no solo de los DPOs que tienen experiencia, sino también de aquellos que quieren insertarse en la profesión y se quieren formar para ello”, explicó Berta Balanzategui, Legal Counsel de GE Corporation.

Carlos A. Saiz (ISMS Forum) y Berta Balanzategui (GE Corporation) presentando el próximo lanzamiento de la Asociación: el Libro Blanco del DPO.

Uno de los aspectos en los que mayor foco ha puesto el grupo de trabajo es el Gobierno de la Privacidad. Para el vicepresidente de ISMS Forum, el DPO es importante, pero también lo son otras personas que tienen una función fundamental relacionada. A este respecto, la experta de GE Corporation recordó que el DPO no tiene que hacerlo todo. “A veces utilizo la fotografía de un hombre orquesta y eso no es un DPO. Si designamos a un DPO en nuestra organización, que sea un DPO de verdad, un mecanismo efectivo de accountability. Que no se dé una situación del tipo: a ese señor que ves allí me lo traes, que va a ser el DPO. Por eso hay que verlo desde el punto de vista de la revisión continua”.

El documento responderá a cuestiones como dónde está ubicado el DPO en el organigrama, de qué área depende, a quién reporta, si tiene independencia financiera y con qué recursos y capacidades cuenta, entre otras cuestiones. Además, se enfocará en presentar diferentes situaciones y casos de estudio provenientes de las propias experiencias de sus autores. “Estará disponible en breve, aunque se encuentra absolutamente abierto a sugerencias, dudas y quejas con cariño, porque realmente considero que puede haber muchas aportaciones”, afirmó Carlos A. Saiz.

La DPO Community lanzará la Guía para la Aplicación del Derecho a la Portabilidad

Esta comunidad, formada por Delegados de Protección de Datos, ha elaborado este informe de aplicación práctica que constituye un repositorio de casos simulados que pretenden ilustrar buenas prácticas en el ejercicio del Derecho a la Portabilidad. En su estructura, analiza el impacto de este derecho en el sector, los datos personales que incluye y su aplicabilidad, la información al interesado, plazos, medios y formato, así como las posibles limitaciones y/o responsabilidades del receptor.

Durante la presentación del documento en la Jornada Internacional, Susana Rey, DPO del Grupo Euskaltel, recalcó la importancia de la Guía por su poder didáctico al facilitar ejemplos prácticos de cómo se aplicaría este derecho en diversos sectores, así como no hay que hacerlo. “El derecho a la portabilidad no es el derecho de acceso, es otra cosa. El derecho a la portabilidad está limitado, en cambio el de acceso no. Este derecho se ha establecido para que los usuarios tengan más facilidad de cambiar de proveedor. Puedes pedir un derecho a la portabilidad entre proveedores de distintos sectores. No es una obligación para el receptor de los datos, en ningún momento existe la obligación por el derecho recogido en el reglamento de que tengamos que aceptar una portabilidad receptora, tenemos la obligación de pasar los datos a otro proveedor, pero no de aceptarlos por parte de otro”, apuntó.

De izquierda a derecha, Carlos A. Saiz (ISMS Forum), Fátima Cereijo (Control de Fraude y Privacidad, Abanca), Susana Rey, DPO, Grupo Euskaltel y Patricia Muleiro (DPO, Clínica Universidad de Navarra).

Asimismo, la experta insistió en el deber de ser “leal y transparente” porque se está viendo una tendencia a hacer mención del derecho a la portabilidad sin limitar su aplicación. “Es importante informar de ello en todo momento, sobre todo en la baja del servicio, porque si el derecho aplica, no informas, cursas la baja y el interesado lo desconoce, se le está negando el ejercicio del derecho, ya que cuando se acuerde y lo solicite, los datos ya no estarán o se habrán bloqueado y ya no se podrán recuperar”.

José Luis Piñar: “Debemos tener en una mano el Reglamento, y en la otra, la norma nacional”

En clave de privacidad, una de las intervenciones destacadas del día fue la de José Luis Piñar, Ex director de la Agencia Española de Protección de Datos (AEPD) y catedrático de Derecho Administrativo y Vicerrector de Relaciones Internacionales en la Universidad San Pablo-CEU, cuya conferencia se centró en las evaluaciones de impacto y cómo deberían enfocarlas los delegados de protección de datos a partir del artículo 24 del Reglamento Europeo de Protección de Datos (RGPD), que el catedrático considera “el más importante” de la normativa europea.

1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.

José Luis Piñar, Ex director de la Agencia Española de Protección de Datos (AEPD) y catedrático de Derecho Administrativo y Vicerrector de Relaciones Internacionales en la Universidad San Pablo-CEU, durante su intervención.

“Los responsables y encargados del tratamiento de los datos tenemos que aplicar las medidas que consideremos oportunas para garantizar y poder demostrar a la autoridad de control que cumplimos, y aquí es donde encajan las evaluaciones de impacto y la figura del delegado de protección de datos. La evaluación de impacto es lo que nos indica si podemos llevar o no a cabo un determinado tratamiento y bajo qué condiciones, ya que tendremos que explicárselo a la agencia”, apuntó Piñar.

Además, el ex director de la AEPD aprovechó para señalar que las evaluaciones de impacto suponen un ejercicio de “sinceridad y transparencia” hasta tener una fotografía clara y exacta del riesgo inherente, a partir de la cual se debe decidir qué medidas emplear para que ese riesgo se convierta en un riesgo residual, bajo o muy bajo.

Por último, el experto quiso destacar, pese a lo evidente que pueda parecer, la superioridad del Reglamento con respecto a cualquier normativa nacional como un aspecto que no debemos olvidar a partir de ahora. “Siempre es un buen momento para recordar que debemos tener en una mano el Reglamento, y en la otra, la norma nacional que se acoja a él”.

Sin duda, la XXI Jornada Internacional de Seguridad de la Información fue la cita ineludible de profesionales, expertos, compañías e instituciones públicas para debatir sobre el presente y el futuro que supone la Transformación Digital, y los ciberriesgos a los que se enfrenta el sector empresarial. “El Internet de las Cosas, la Inteligencia Artificial, la tecnología Blockchain, el 5G con realidades presentes: todo eso supone un gran reto. La ciberseguridad es un habilitador clave en la economía digital y la innovación, por lo que la sensibilización ciudadana y de las empresas, así como la capacitación profesional son imprescindibles en un entorno que ofrece serios retos y amplias oportunidades de progreso”, declaró Miguel Ángel Ballesteros, Director General del DSN.

El congreso ha sido posible gracias al apoyo de los siguientes patrocinadores: BlackBerry Cylance, Deloitte, Huawei, IBM, Panda, Riskrecon, Sophos, Accenture Security, Aiuken Cybersecurity, Akamai, Aruba, CheckPoint, Cipher, Crowdstrike, Cyberark, Cybereason, Forcepoint, Fortinet, Guardicore, Helpsystems, Infoblox, Kaspersky, McAfee, Netskope, Okta, OneTrust, Orange, Oylo Trust, Palo Alto Networks, Proofpoint, PwC, Qualys, Radware, Retarus, S21sec, Sailpoint, Samsung, Sentinel One, Symantec, Thycotic, Trend Micro y Varonis.

Sobre ISMS Forum Spain

La Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, es una organización sin ánimo de lucro fundada en enero de 2007 para promover el desarrollo, conocimiento y cultura de la Seguridad de la Información en España y actuar en beneficio de toda la comunidad implicada en el sector. Creada con una vocación plural y abierta, se configura como un foro especializado de debate para empresas, organizaciones públicas y privadas, investigadores y profesionales donde colaborar, compartir experiencias y conocer los últimos avances y desarrollos en materia de Seguridad de la Información. ISMS Forum Spain tiene ya a más de 230 empresas asociadas y más de 1000 profesionales asociados. La Asociación es ya, por tanto, la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.

Contacto

Cynthia Rica – Responsable de comunicación

crgomez@ismsforum.es

Twitter: @ISMSForumSpain

LinkedIn: ISMS Forum Spain

Teléfono: 91.563.50.62