La celebración de la XXV Jornada Internacional reunió a 1.000 expertos para analizar las tendencias, estrategias y retos de la ciberseguridad en el mundo digital. La ciberseguridad se ha convertido en un elemento estratégico de cualquier organización como proceso de mejora continua, pero genera grandes pérdidas por los ciberataques que se producen.

La 25º Jornada Internacional de Seguridad de la Información titulada "Building Effective Cybersecurity & Privacy Governance: The Path to Resilience” tuvo lugar el pasado jueves 16 de noviembre en el Estadio Cívitas Metropolitano con la asistencia de expertos en seguridad de la información. Cuatro paneles de ponencias que se celebraron simultáneamente, según el interés del experto que asiste al evento, para conocer las políticas, estrategias y tendencias de ciberseguridad, Inteligencia Artificial, seguridad en la nube, continuidad del negocio, privacidad y protección de datos.

Durante el evento, se presentó el Código de Buen Gobierno de la Ciberseguridad, basado en trece principios. En este debate participaron Gianluca D. Antonio, presidente de ISMS Forum y coordinador del grupo de trabajo que ha realizado este proyecto, y Raúl Amigorena, director de Seguridad de la Información de Inditex. Esta iniciativa forma parte del Foro Nacional de Ciberseguridad, en el que ISMS Forum fue coordinador de la iniciativa público-privada realizada durante este año.

Los ponentes señalaron que el objetivo del Código es proponer a las organizaciones un modelo de buen gobierno de la ciberseguridad que ayude a los órganos de gobierno de las organizaciones y, en especial, al órgano de la Administración, a tomar las decisiones adecuadas. De ahí que sea necesario su implicación desde el principio.

Ciberseguridad & IA

En otra de las mesas redondas, se presentó el primer estudio que refleja el coste para las empresas de no aplicar medidas de seguridad. El llamado Indicador de ciberinseguridad fue presentado por Santi Minguito miembro, ISMS Forum y Board Member, ISMS Forum Barcelona, Oscar Sánchez, director de ciberseguridad en PUIG y Board Member, ISMS Forum Barcelona; y Pedro López, profesor titular de Organización de Empresas, Universidad Complutense de Madrid.

Los expertos señalaron en sus intervenciones los primeros resultados sobre el peso que tienen los ataques de ciberseguridad frente al PIB español subrayando que las pérdidas generadas por el cibercrimen son muy importantes en nuestro país.

Este estudio es pionero en su género y se contrapone a otro que realiza ISMS Forum a través de otro grupo de trabajo y que va ya por su cuarta edición, el Indicador de madurez en ciberseguridad 2023. En esta ocasión, participaron David Esteban, CISO, Cellnex Telecom y Board Member de ISMS Forum Barcelona, David Llorente, Board Member, ISMS Forum Barcelona, y Toni Garcia, CISO, CIO y CDO, LETIPharma y Board Member de ISMS Forum & ISMS Forum Barcelona.

Sobre estas conclusiones, resaltaron que a lo largo de estos cuatro años ese índice ha mejorado, a través de varios indicadores, pero que en este último año ha tenido cierto retroceso. Este informe tiene el objetivo de generar claridad sobre el estado del arte de la ciberseguridad empresarial nacional y facilitar información útil para las empresas con la generación de un indicador anual que permite interpretar la evolución de los riesgos cibernéticos y su relación con otros factores.

Otra de las presentaciones de esta jornada tuvo que ver con la puesta en marcha de un grupo de trabajo transversal que analice las implicaciones entre Ciberseguridad e IA, en el que participaron Ángel Pérez, CISO, Autopistas, y Francisco Lázaro, CISO y DPO, Renfe y Board Member de ISMS Forum. Los ponentes señalaron el carácter transversal de la Inteligencia Artificial, tanto a nivel de privacidad como de seguridad en la nube o en los temas propios de ciberseguridad de la propia ISMS Forum.

Este grupo presentó cinco trabajos distintos, todos ellos relacionados con la IA: Su gobernanza en España, la importancia de los profesionales de seguridad utilizando la nueva herramienta, su ética y compliance, políticas de ciberseguridad en las empresas, así como los modelos de gobierno que ayudan a desarrollar nuevas estrategias.

La importancia de la privacidad

En el evento, el área de privacidad tuvo un papel específico donde los expertos pudieron conocer las relaciones de la privacidad con las políticas de ciberseguridad y qué retos se plantean dentro de este sector con la irrupción de las nuevas tecnologías de IA.

El panel lo inició la directora de la Agencia Española de Protección de Datos (AEPD), Mar España, quien analizó los principales hitos de esta institución en sus primeros treinta años de vida. Comentó el crecimiento notable de las reclamaciones, que se situaban por encima de las 15.000 en el 2022, y cómo el regulador ya ha abordado las primeras relacionadas con la IA. De hecho, la propia AEPD ya lanzó recientemente una guía para resolver las dudas sobre IA en el propio Reglamento General de Protección de Datos (RGPD).

En otro momento de su exposición, subrayó que las políticas de seguridad no pueden obviar las estrategias de privacidad, ya que es fundamental que se respeten los principios de legalidad y de privacidad desde el diseño, como señala el RGPD Europeo. A este respecto, su recomendación es que las figuras de los CISOs, como responsables de seguridad, y DPOs, de las políticas de supervisión de la privacidad, sean diferentes, aunque trabajen coordinados.

En otra de las mesas redondas del track 4 se dieron a conocer las nuevas iniciativas del Data Privacy Institute (DPI), grupo de trabajo de ISMS Forum que acaba de celebrar su 16º reunión de la DPO Community, a la que acudieron un centenar de DPOs de grandes empresas. En esta mesa fueron ponentes Carlos Saiz, vicepresidente de ISMS Forum y director del Data Privacy Institute, y Daniel García, managing director de ISMS Forum.

Estos expertos señalaron que entre los objetivos de 2024 están la celebración del Foro de la Privacidad el próximo 21 de febrero, así como la actualización del Libro Blanco del DPO que data del 2018 para incluir todo lo concerniente a las herramientas de IA. También se revisará el Observatorio de la Privacidad en su quinta edición y se seguirá trabajando en las Certificaciones ya existentes CDPP y CPCC.

Por último, fue presentada por parte de Rubén Cabezas, director del Privacy Office y DPO en Santander, Pilar Alapont, DPO y jefa del Área de Derecho de Nuevas Tecnologías y Protección de Datos, Consum, S. Coop. V., y Xabier Alberdi, EU Head of Data Protection y DPO Iberia en Cabot Financial, la guía Ética y Privacidad en la IA, en la que intervinieron a través del grupo de trabajo de ISMS Forum dieciocho profesionales de la seguridad y privacidad que han trabajado de forma conjunta en dicha publicación técnica.

Los ponentes señalaron que esta guía analiza las relaciones existentes entre el RGPD Europeo y el Reglamento de IA que se está discutiendo en Bruselas en su fase final, donde elementos como el uso de los datos en estas herramientas, la gestión de riesgos o la posibilidad de hacer perfiles de los usuarios son elementos que preocupan a las empresas y ciudadanos. En el documento también se aborda el marco regulador europeo y el derecho comparado, así como el impacto de ese futuro Reglamento de IA desde un punto de vista ético.