La ciberseguridad se ha convertido en una actividad estratégica para las empresas. “Hay que estar preparados para su impulso”, señalaron los cerca de 400 expertos que se dieron cita en este IV Foro Regional de Barcelona de ISMS Forum celebrado el pasado jueves 16 de marzo.

En este evento se abordó la gobernanza de la seguridad y de las nuevas amenazas que provienen de las tecnologías como la Inteligencia Artificial (IA).

Como viene siendo habitual en los eventos de ISMS Forum, el foro tuvo dos paneles alternativos para así responder a las necesidades informativas de los asistentes.

El primer panel, donde los expertos abordaron las estrategias de ciberseguridad en estos momentos, presentado por David Esteban, CISO de Cellnex Telecom y miembro del Board de ISMS Forum de Barcelona.

Y otro segundo sobre tendencias en ciberseguridad que fue moderado por Xavier Macarrilla, Incident and Crisis Management en ADP y Board Member de ISMS Forum Barcelona, quien dio paso a los ponentes y a las mesas redondas.

En su presentación, David Esteban recordó los cambios geopolíticos que se están produciendo y que van acompañados de otros financieros con la reiterada subida de los tipos de interés y el repunte de la inflación.

    

DAVID ESTEBAN

También destacaron los cambios producidos en el entorno de ciberseguridad. Recordó que la aprobación en Bruselas del NIS2 o el Reglamento Dora serán clave para que las empresas adopten la ciberseguridad como algo estratégico.

“Las empresas revisan su estrategia y nosotros como expertos en ciberseguridad tenemos que acompañarles, estar involucrados en el negocio y señalar los riesgos existentes en ciberseguridad para tomar decisiones”, apuntó David.

Ecosistema de ciberseguridad en marcha

En su intervención, Mónica Espinosa, Directora del Centro de Innovación y Competencias en Ciberseguridad de laAgència de Ciberseguridad de Catalunya, explicó la situación actual y la relevancia del ecosistema de ciberseguridad donde cada vez más es habitual la colaboración del sector público con la empresa privada. “Nuestro objetivo final es crear una sociedad digital cibersegura. Para ello, necesitamos un ecosistema fuerte y ágil en un entorno cambiante en el que la irrupción de la Covid-19 y la llegada de nuevas tecnologías nos han obligado a tener respuestas ágiles ante las amenazas”.

MÓNICA ESPINOSA

En este entorno, recordó que “hay que ir más allá de la colaboración público- privada. Los modelos transaccionales en este entorno en el que estamos con los retos que abordamos no funcionan. Hay que ir a modelos de partenariado donde podamos crecer todos juntos”.

Al mismo tiempo, destacó el papel clave del l Centro Europeo de Competencia en Ciberseguridad (ECCC) que tiene como objetivo aumentar las capacidades y la competitividad en ciberseguridad de Europa, trabajando junto con una Red de Centros Nacionales de Coordinación (CNC) para construir una Comunidad de ciberseguridad fuerte.

Además, indicó que en España hay un órgano similar que es el INCIBE (Instituto Nacional de Ciberseguridad) que a través de la iniciativa RETECH (Redes Territoriales de Especialización Tecnológica) que acaba de ponerse en marcha, ha constituído unos nodos verticalizados para lograr que esos fondos que vienen de Europa a través de INCIBE tengan impacto en ese territorio. “Es un elemento de colaboración público y privada, donde colaboran distintas CCAA” apunto.

Desde su punto de vista, RETECH ayudará a impulsar iniciativas en ciberseguridad en nuestro país, a través de distintos verticales que impulsen cada CCAA. “Haremos un llamamiento el próximo 17 de abril para que los profesionales puedan implicarse en esta actividad. Ahí, cualquier interesado puede ponerse en contacto con nosotros desde el propio ISMS Forum”.

También, recordó el desarrollo de la DCA-Ciberseguridad que es la comunidad de la Digital Catalonia Alliance que integra empresas, centros de investigación, administraciones y otras entidades que desarrollan, integran, implementan u ofrecen soluciones tecnológicas basadas en el sector de la ciberseguridad. “En nuestro caso, gestionamos la parte de startups y financiación. Organizamos actividades e iniciativas de internacionalización”.

Regulación jurídica de la ciberseguridad

Uno de los debates que suscitó bastante interés fue aquel en el que se abordó el marco de cumplimiento en materia de ciberseguridad, lo que los expertos llaman Cibercompliance, moderado por Carlos A. Saíz, Vicepresidente de ISMS Forum, Director del Data Privacy Institute y jefe de Privacidad, Riesgos y Cumplimiento de Ecix Group.

Junto a él, contaron su visión de esta problemática; Olga Sánchez, GRC Security de CaixaBank, Josep Bardallo. Director de TI, CISO & DPO del Grupo Recoletas, Patricia Chenlo, Especialista en Cumplimiento y Manager en el Data Privacy de Repsol, y Xavier Vila, CISO de Validated ID.

CARLOS A. SAÍZ, XAVIER VILA, PATRICIA CHENLO, OLGA SÁNCHEZ Y JOSEP BARDALLO

Los ponentes abordaron la problemática que se avecina con la regulación del nuevo cuño como la directiva NIS2, el Reglamento Dora, Directiva de Servicios Digitales o Eidas, un marco normativo importante. Este marco normativo nos va a hacer trabajar de forma conjunta y aglutinar las áreas de Compliance, Ciberseguridad y Protección de Datos” apunta Bardallo”.

Por su parte, Olga Sánchez subrayó que “el sector bancario ya está acostumbrado a la normativa regulatoria de alto impacto. Hemos realizado un trabajo interno digital importante, de hecho, muchas de estas normas quieren guiar la transformación digital de las empresas. Sin embargo, para otras normas tendremos que adaptarnos a ese entorno normativo que se avecina”.

Desde Repsol, Patricia Chenlo señaló el esfuerzo que tendrá que hacer una multinacional española como esta para adaptarse a este nuevo entorno normativo: “Trabajaremos en el mapa de riesgos y en una buena respuesta a incidentes. Al ser empresa vinculada a infraestructura crítica, ya teníamos un plan robusto de respuesta a incidentes”.

En el debate quedó claro para estos expertos que gracias al NIS2, el papel de los CISO va a ser más estratégico que los Compliance Officer o DPO. Así, Xavier ViLa reconoció que “tendremos que adaptarnos a este nuevo escenario legal donde habrá una mayor colaboración entre todos los departamentos de las empresas. Pocas áreas estancadas van a haber”.

En el transcurso del propio debate, Carlos Saíz indicó que ISMS Forum iba a lanzar un curso sobre Cibercompliance, como elemento para explicar a los expertos en seguridad de la información, esta parte legal que se avecina “así como el desarrollo e implementación del sistema de Cibercompliance en las organizaciones. Al mismo tiempo, creamos un grupo de trabajo para analizar todas estas normas y qué es lo que implican”.

Sobre cómo afrontar estas tareas de cumplimiento, quedó claro que cada organización tiene un mapa de riesgos y unos objetivos de negocio. Para la directiva de CaixaBank “es muy importante tener claro el negocio en el que estás inmerso, para a partir de ahí, desarrollar esa estrategia normativa que será diferente a otras compañías. Se trata de poder desarrollar buenas prácticas sabiendo que no a todas las empresas se aplica la misma ley”.

Desde Repsol, Chenlo reconoce que una empresa energética como esta tiene mucha base en las infraestructuras críticas y cierta exigencia a nivel de cumplimiento “que extendemos en otras áreas de negocio de nuestra multinacional para disponer de un modelo robusto de ciberseguridad que permita eliminar cualquier brecha de seguridad que pueda aparecer. Nuestro problema es que distribuimos en 100 países con normativa distinta”:

Tendencias en ciberseguridad

Por su parte, en el segundo panel fue Xavier Macarrilla Incident and Crisis Management en ADP y Board Member de ISMS Forum Barcelona, quien dio paso a las intervenciones de estos ponentes que abordaron las tendencias en ciberseguridad.

En su intervención, dio la bienvenida a los 400 inscritos en este debate para destacar el papel de ISMS Forum como foro de debate sobre la seguridad de la información abierto a que empresas públicas y privadas, profesionales e investigadores compartan las buenas prácticas en esta materia.

Este panel fue arrancado por Ifigeneia Lella, CyberSecurity Expert Operational Cooperation Unit en ENISA (Agencia de la Unión Europea para la Ciberseguridad) explicó las conclusiones más importantes de la décima edición del informe ‘ENISA Threat Landscape’.

IFIGENEIA LELLA

Este reporte anual de la Agencia Europea de Ciberseguridad, destacó que, en el pasado año, las principales amenazas durante 2022 fueron: Spyware, Phishing, Adware, Ransomware, Supply Chain Threat y Persistent malware, con una tendencia de esos ciberataques a incrementarse, como así está sucediendo.

Así, indicó que el robo de información, bloqueo de actividades, extorsión, pago de multas por incumplimiento de normas, pérdida de confianza y serio daño a la reputación  son algunas de las consecuencias que hoy enfrentan empresas, entidades gubernamentales y organizaciones, como resultado de los ciberataques. Su denominador común es la generación de cuantiosas pérdidas económicas.

Esta experta sugirió el desarrollo de una estrategia integral de ciberseguridad con base en tres recomendaciones: gestión de riesgos, monitoreo de ciberseguridad especializado y selección de un calificado aliado estratégico.

También indicó la necesidad de implementar soluciones inteligentes que protejan a la compañía de accesos inapropiados, inspeccionen y limpien correos electrónicos de entrada y salida, verifiquen las actualizaciones de software y hardware a la vez que preserven y protejan los equipos (computadores, tabletas, teléfonos inteligentes) y demás dispositivos que intervengan en el manejo de información de la compañía, dentro y fuera de sus instalaciones.

Finalmente, con respecto a la seguridad de la red, recordó que las organizaciones deben disponer de soluciones centralizadas que optimicen el canal de Internet mediante políticas de firewall y control de contenido, administrando los accesos internos, externos y web. Su alcance debe comprender mecanismos para la prevención de intrusos, filtrado web, antimalware y control de aplicaciones.

En otro momento de su intervención resaltó que un componente fundamental de la estrategia de ciberseguridad es el monitoreo de la infraestructura, los usuarios y las aplicaciones. Solo así es posible tener visibilidad de las amenazas que pueden materializarse.

Para este fin, comentó que era vital contar con un servicio de monitoreo de ciberseguridad especializado que facilite recopilar, analizar y correlacionar datos de forma centralizada y automática, las 24 horas del día y los 365 días del año. Esto permitirá priorizar los eventos y disponer de una respuesta eficiente para cada incidente de ciberseguridad.

¿Cuáles son las amenazas de la Inteligencia Artificial?

En este panel, tuvo lugar una mesa redonda donde se abordó la problemática de la Inteligencia Artificial (IA) como amenaza. Un debate moderado por Antonio Fontiveros, Information Security Manager de Abertis y Board Member de ISMS Forum Barcelona, y en el tomaron parte Eduardo González, Global Head of CyberSecurity and Continuity en Banco Sabadell.

Junto a él, Emmanuel Roeseler, Director Strategic Accounts EMEA en Devo,   Martín de Riquer, CISO en Médicos sin Fronteras, y Ricard Flores, CISO de Wallbox, que profundizaron en esta cuestión de cuáles son las amenazas que provienen de esta nueva tecnología donde el ChatGPT es uno de sus principales exponentes.

EDUARDO GONZÁLEZ, EMMANUEL ROESELER, MARTÍN DE RIQUER, RICARD FLORES y ANTONIO FONTIVEROS

Eduardo González reconoció que su entidad lleva tiempo analizando el uso de la IA y sus riesgos. Desde su punto de vista de esos riesgos, el principal es el de la fiabilidad de la tecnología, ya que sería un error importante confiar al ChatGPT grandes tareas.

Desde esa perspectiva cree que va ligada esa fiabilidad a los riesgos derivados de la ética y de la privacidad: “Hay que ver la fórmula para restringir la privacidad de los datos que se expongan”.

Por su parte, Emmanuel Roeseler destacó que era el único responsable de la seguridad del debate: “Es bueno utilizar la IA en la actividad empresarial, pero para ello los modelos deben entrenarse. En nuestra compañía, Devo, hacemos uso de la IA en muchas actividades de la empresa”.

Martín de Riquer comentó que en su organización también la viene utilizando y que la propia IA va a aportar muchos beneficios en las organizaciones, lo que obliga a contextualizar bien su uso: “Hemos elegido el marco europeo de la IA para su uso porque no se puede utilizar cualquier herramienta de Inteligencia Artificial que no esté validada en el seno de las empresas”.

Para Ricard Flores, sobre las amenazas de la IA afirma que “en nuestro caso, el papel de calibrar la IA es clave en nuestro negocio, podríamos apagar barrios por la cuestión energética como contexto en el que operamos. Otra de las amenazas de la Inteligencia Artificial tiene que ver con la perversión del modelo que se haga en las organizaciones que puede generar problemas o reputaciones económicas en su interior”.

Otro tema que se abordó tuvo que ver con la propiedad de esos datos una vez que se suben a las plataformas de la IA de cada entidad. González recordó que en cualquier proyecto que se impulsa sobre esta tecnología en Banco de Sabadell “creamos un entorno colaborativo en el que participan profesionales de otros departamentos para valorar qué riesgos surgen del uso de la Inteligencia Artificial”.

Gestión de Respuesta de Incidentes en el Cloud

Este panel tuvo como colofón la presentación de la Guía ‘Incident Response in Cloud’ realizado por un grupo de profesionales vinculados a ISMS Forum en colaboración con CSA. Fueron Olga Forné, CISO Global de Abertis y Board Member de ISMS Forum Barcelona, y Toni García, CISO, CIO y CDO de LETIPharma y Board Member de ISMS Forum y ISMS Forum Barcelona quienes explicaron el valor añadido que aporta esta publicación, accesible desde la web de ISMS Forum.

OLGA FORNÉ y TONI GARCÍA

Ambos profesionales coincidieron en resaltar que con el uso de la información de dicha Guía que han volcado profesionales de distinta procedencia a nivel de protección de datos o ciberseguridad “se pretende anticiparnos al problema y gestionarlo lo mejor posible para mitigar su impacto en la organización. A ese respecto, es fundamental utilizar un lenguaje inteligiblepara todos los niveles de las organizaciones”.

“El objetivo de la Guía ha sido que fuera entendible desde cualquier parte de nuestra organización, porque hay pymes que no tienen área tecnológica. Desde esa perspectiva se ha buscado impulsar una publicación sencilla y fácil de utilizar”, aclaró Olga en otro momento de su intervención.

Por su parte, Toni resaltó que “se trataba de dar unas pautas reales para la gestión del incidente que surja en nuestro día a día. Para ello, cada empresa debe contar con unos protocolos de actuación que se puedan implementar de forma automática una vez surja dicho incidente de seguridad. Es importante realizar análisis forenses una vez concluye el incidente para cerciorarnos que este incidente se ha cerrado bien”.

Otro elemento clave de esta publicación, a juicio de Olga, es que “hemos introducido toda la regulación existente a medida que se va aprobando a nivel comunitario y de legislación nacional. Esta será una Guía dinámica donde nos hemos ocupado de esta normativa estatal y se referencia para que quien tenga interés pueda revisar dicha normativa”.

El evento finalizó con un cocktail donde los participantes pudieron hablar entre ellos abordando los diferentes temas acerca de la ciberseguridad que se habían desarrollado a lo largo del foro.