8 de junio de 2020. ISMS Forum -International Information Security Community- celebró el pasado 28 de mayo su primera edición del Foro Digital, Cyber Security & Data Protection Online Forum. Fueron más de 600 profesionales los que accedieron a la emisión simultánea de dos salas dedicadas a dominios específicos de ciberseguridad y protección de datos, que abordaron temas de actualidad tales como la futura Estrategia Digital Europea y el gobierno del dato, la continuidad del negocio ante incidentes de ciberseguridad de terceros y su compliance de privacidad, o la ciber resiliencia activa para la gestión y respuestas de esos incidentes, entre otros asuntos de interés. 

Sol Fernández-Rañada, DPO de Sanitas, Marcos García-Gasco, DPO en España de Airbus, y Carlos A. Saiz, vicepresidente de ISMS Forum, durante el Cyber Security & Data Protection Online Forum.

Gianluca D’Antonio y Carlos A. Saiz, presidente y vicepresidente de ISMS Forum respectivamente, fueron los encargados de presentar ambas salas. Durante la inauguración, pusieron en valor la Asociación, que ha sido capaz de abrirse camino en el entorno digital para seguir desarrollando su actividad ante la crisis del COVID-19, resaltando la importancia de reinventarse en condiciones adversas como las que estamos viviendo.

Una de las participaciones más destacadas del día fue la de Comisión Europea, que dio cuerda al programa de ponencias en ambos tracks. En el de ciberseguridad, intervino Kristina Kardum, DG Communications Networks, Content and Technology (EC) y, en el de privacidad, Paul Nemitz, Principal Advisor in the Directorate-General for Justice and Consumers (EC).

La digitalización: pros y contras en estos tiempos de crisis

Kardum dedicó su intervención a hablar de la futura Estrategia Digital Europea y el gobierno del dato, en la que explicó cuáles serán las prioridades digitales de la Unión Europea de ahora en adelante. “Hemos puesto énfasis en quién se va a beneficiar de esta estrategia y queríamos asegurarnos de que tanto los ciudadanos como las empresas podrán hacer uso de la tecnología para mejorar, crecer e innovar”, comentó. Para ello, la experta señaló la necesidad de contar con una economía digital competitiva y justa, al tiempo que convivimos en una sociedad democrática, abierta y sostenible. “Queremos invertir en competencias digitales para todos los europeos y proteger a las personas de las ciberamenazas porque la ciberseguridad es una de las principales prioridades de la Comisión”, añadió.

Por su parte, Paul Nemitz habló de la Estrategia de Datos Europea y sus implicaciones en el contexto actual de crisis. “La negligencia en cuanto al cumplimiento en seguridad de datos está sujeta a multas muy altas y medidas estrictas que pueden llegar a paralizar un negocio”, explicó. Según el experto, las tecnologías de la información y las comunicaciones son un elemento esencial en la vida cotidiana y están presentes en todas las áreas de importancia, desde la salud y la educación de nuestros hijos hasta la seguridad y el análisis, pasando por el proceso democrático en las elecciones.

Debido a esta omnipresencia, es justo que “como sociedad prestemos mucha atención a la forma en que se desarrolla esta tecnología, y debemos asegurarnos de que se desarrolle y funcione de acuerdo con los más altos principios de la ley, así como con todos sus préstamos secundarios, una política de inteligencia artificial, la inversión en investigación y desarrollo, y la adopción de esta tecnología en nuestras empresas. Ya hemos entendido que el ser humano está en el centro, y ya que lo digital está por todas partes, tenemos que establecer un control sobre aquello que trata de controlarnos”, expresó el ponente.

La siguiente ponencia vino de la mano de Jan Ellermann, Senior Specialist at Data Protection Function, EUROPOL, en la que habló de los retos de la protección de datos en estos momentos de pandemia. “En el contexto del COVID-19 nos hemos encontrado con un aumento de la delincuencia cibernética, lo que produce una gran ansiedad social al darnos cuenta de que estamos expuestos a estos ataques todos los días”, comentó.

Según Ellermann, la mala gestión de los datos puede dar lugar a que un criminal no ser condenado y advierte de la necesidad de darle la importancia que realmente tiene para poder cooperar. “hay que saber cuándo establecer reglas de exención, cuándo los datos nos pueden ayudar a detener a criminales peligrosos, y cuándo es óptima la colaboración entre todos para mejorar”, apuntó.

Los tres atributos de las organizaciones sólidas y preparadas en fases de incertidumbre

Daniel Madrid, Director, Information Security Consulting Iberia Practice Leader de Gartner, participó también en la sala dedicada a ciberseguridad y dedicó su charla a hablar sobre el rol del CISO en el escenario de nueva normalidad que vendrá como consecuencia de la crisis que ha provocado el COVID-19. Desde el punto de vista del experto, en este momento nos encontramos en una fase de incertidumbre indefinida en la que no sabemos cómo se van a comportar los clientes, los mercados y los modelos de negocio.

Ante un escenario de estas características, el ponente destacó la importancia de acercarse al término acuñado como techquilibrium, que define el punto de equilibrio adecuado que toda compañía debería intentar alcanzar entre sus capacidades tradicionales y digitales para ser capaces de conseguir los objetivos estratégicos a pesar de estar en un entorno de alta incertidumbre. “Dicho de otra manera, las organizaciones tenéis que reducir costes, pero también debéis ser capaces de invertir en iniciativas de transformación digital”, señaló.

Asimismo, Madrid explicó que tras varios research realizados desde Gartner, han concluido que existen tres atributos que separan a las organizaciones sólidas y preparadas, de las frágiles. Estos son, la triple A: anticipación, alineamiento y adaptabilidad. La anticipación se refiere a ser capaz de tener mecanismos que permitan identificar lo antes posible hacia dónde va a ir el mercado. En nuestro caso, las amenazas como responsables de ciberseguridad. Por su parte, el alineamiento implica ser capaces de, una vez que tenemos clara una directriz estratégica, alinear todos nuestros recursos internos y externos para ayudar a la consecución de los objetivos. Y, por último, la adaptabilidad, que supone adaptarse de forma rápida en un entorno de alta incertidumbre, a pesar de tener o no una visión estratégica definida.

Para todos ellos, desde Gartner recomiendan, respecto a la anticipación, adoptar una postura proactiva, acercarse al negocio, liderar cambios y buscar oportunidades. Desde el punto de vista del alineamiento, es importante transformar el rol del CISO dentro de la organización y ser habilitadores de transformación para la resiliencia a largo plazo. En el plano de la adaptabilidad, no está de más reconsiderar el rediseño de los programas de ciberseguridad a la hora de trabajar. Por último, y no por ello menos importante, el experto terminó con un mensaje: “No dejemos pasar las oportunidades derivadas de una crisis”.

La ciberseguridad nacional en el contexto actual: qué demanda de la Estrategia de Ciberseguridad Europea

Una de las mesas redondas más interesantes de la jornada estuvo formada por representantes de las instituciones públicas tales como Mar López, Jefa de Ciberseguridad del Departamento de Seguridad Nacional (DSN), Javier Candau, jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional (CCN), Alberto Francoso, Jefe de Análisis del Servicio de Ciberseguridad y OCC del CNPIC, y Marcos Gómez, subdirector de INCIBE-CERT de INCIBE.

Los profesionales aportaron sus puntos de vista acerca del contexto actual y si este puede propiciar un cambio en la concepción de la ciberseguridad por parte de las organizaciones públicas y privadas, además del nivel de resiliencia del sector en estos momentos. “Para nosotros, la importancia de la ciberseguridad sigue siendo la que es, pero esta crisis quizás sí ha provocado ese clic en la ciudadanía y en algunas empresas para darse cuenta de que se necesita de unos añadidos en ciberseguridad y tecnología que mantengan la continuidad del negocio”, explicó López. Asimismo, Alberto Francoso destacó que, desde el CNPIC, la necesidad de uso de las tecnologías en esta situación de crisis repleta de incertidumbre ha propiciado dudas en la parte de operadores críticos que les compete. Según el experto, “sí que han demandado cierta dirección estratégica para saber qué hacer y cómo abordar este trance”.

Por otro lado, hubo espacio para debatir sobre la nueva estrategia de ciberseguridad europea y qué nos gustaría desde España que se pusiera de relevancia. “Nosotros pedimos que sea un poco más vehemente en dos aspectos, es decir, estableciendo el conjunto de medidas de seguridad a aplicar, eso sí, basadas en auditorías. Esta combinación sería conveniente para todos los sistemas públicos y privados de la Unión Europea. Debemos intentar cambiar el paradigma de las empresas cuando reciben un incidente relacionado con la Directiva NIS, en el que intentan resolverlo por sus propios medios y notificar cuando es obligatorio”, comentó Candau.

“Nos falta una legislación de ciberseguridad que nos ponga a todos unos requisitos mínimos. Necesitamos un ciberespacio más seguro y confiable, ese es el desafío que tenemos que seguir trabajando desde España y desde el resto de Europa”, señaló Marcos Gómez.

La privacidad en la gestión de terceros: la recomendación es “no contratar”

La primera entrevista de la sala de privacidad la protagonizó Francisco Torres, DPO del Banco Sabadell, y Alfonso J. Menchén, DPO de Iberdrola España, con Carlos A. Saiz, vicepresidente de ISMS Forum, como moderador. La conversación giró en torno a la privacidad en la gestión de terceros, qué importancia tiene y cómo se gestiona a un proveedor que -pese a ser beneficioso para una organización- no proporciona ninguna acreditación en cuanto a la privacidad de los datos.

“Nos podemos encontrar con muchas casuísticas a la hora de hablar con un proveedor que no ofrece garantías en privacidad. Si hablamos de un gran proveedor, la negociación es más difícil que al estar en igualdad de condiciones, donde sí puedes exigir contrapartidas. Desde el punto de vista del DPO, lo que recomendamos directamente es no contratar. Si por el motivo que sea, y que ha de estar justificado, es necesario exigir garantías adicionales, y si no fueran suficientes, es el responsable de la contratación el que debe asumir el riesgo de forma documentada”, comentó Menchén.

En cuanto a los límites impuestos a los departamentos cuando se pretende ceder datos personales a un proveedor, Torres explicó que “se trata de tener legitimación suficiente para poder realizar la cesión, si es de trabajadores, por ejemplo, salvo aquellas que sean obligadas por la propia norma, es complicado, incluso teniendo el consentimiento del propio interesado”.

La crisis sanitaria desde el punto de vista del DPO

La siguiente entrevista de la misma sala abordó el impacto de la crisis sanitaria en la función del Delegado de Protección de Datos, y contó con la participación de Marcos García-Gasco, DPO en España de Airbus, Sol Fernández-Rañada, DPO de Sanitas y, de nuevo, a Carlos A. Saiz como entrevistador. Además, se habló de la transición al teletrabajo y las herramientas utilizadas, la gestión de los datos a distancia y la vuelta a la normalidad.

“Al principio estábamos un poco perdidos con esta nueva forma de trabajar, pero nos hemos adaptado muy bien a las circunstancias y creo que puede ser un punto de inflexión para que, de ahora en adelante, podamos incorporar estas metodologías más ágiles de trabajo”, contestó García-Gasco. “En nuestro caso, Sanitas tiene varias empresas, incluyendo una división de hospitales, otra de residencias de ancianos, y una división de dental, por lo que la crisis sanitaria se ha vivido de manera distinta en cada una de ellas. Ya estamos acostumbrados a teletrabajar y hemos tenido los medios para ello, pero es cierto que nuestro equipo informático ha realizado una labor encomiable para ayudarnos a movernos. Sin embargo, en la parte de la empresa que se dedica a provisión ha sido más difícil, pues ayudar a aquellos que se encontraban en las trincheras desde el teletrabajo ha requerido un gran esfuerzo por parte del equipo”, añadió Fernández-Rañada.

“La vuelta a la normalidad vendrá con nuevas propuestas detraining fuera de nuestras factorías, seguridad de la información, vídeos informativos para teletrabajadores, etc. se trata de centrar nuestros esfuerzos en el conocimiento”, expresó el DPO de Airbus España. “Mi mayor terror es que nos recorten el presupuesto para reforzar la estrategia de digitalización y atención en remoto que estábamos llevando antes de la crisis sanitaria, ya que tenemos que estar preparados”, añadió la experta de Sanitas.

Taiwan, ¿un ejemplo a seguir como respuesta al COVID-19?

La ponencia “Digital tools and data protection in Taiwan’s response to COVID-19” fue la que puso el broche final a esta sala de privacidad, y vino de la mano del Dr. Nicholas Martin, Senior Researcher, Fraunhofer Institute for Systems and Innovation Research (ISI).

Taiwán, una pequeña isla a 180 kilómetros al este de China, contaba con menos de 500 contagios el pasado mes de mayo. Para las autoridades sanitarias, la relación existente entre los contagios y el número de habitantes, de al menos 23 millones, ha sido calificada como un éxito. Ese triunfo sería aún mayor si se tiene en cuenta que es uno de los pocos países en el mundo que no estableció un confinamiento preventivo ni paralizó gran parte de las actividades del país.

“La tecnología ha sido un factor muy importante, se han monitorizado las cuarentenas digitalmente, se han vigilado los movimientos masivos, y se han utilizado los datos para ver si alguien había contraído el virus o provenía de otro país”, explicó el ponente.

En referencia al sistema de respuesta llevado a cabo por Taiwán, el experto comentó que “la estrategia de contención del COVID-19 del país se basó en un uso extensivo, pero medido y centrado en el ser humano de la tecnología de la información, e infracciones sustanciales, no ilimitadas, de la privacidad, pero con base legal; número limitado de individuos afectados, algunas salvaguardias; impedimento de cierres a gran escala y restricciones de la libertad civil”. Todo esto, según el investigador, implica una gran aceptación social de tales medidas y nos lleva a preguntarnos cuál es el peso relativo que debe darse a las diferentes dimensiones de la protección de datos relacionadas con el consentimiento y la voluntad, frente a las salvaguardias institucionales.

Fake News y desinformación en tiempos de pandemia

El cierre de la sala de ciberseguridad lo abordó Michael Kaiser, President and CEO de Defending Digital Campaigns, que dedicó su intervención a hablar sobre el impacto que generan las noticias falsas y hasta dónde llega el poder de esos mensajes en Internet, más aún cuando nos encontramos en un contexto adverso y confuso.

Describió las tipologías más comunes de estas fake news, muchas de ellas realizadas por los ejércitos cibernéticos de los estados, y cómo éstas explotan una vulnerabilidad cognitiva en nuestro cerebro. Es decir, en ocasiones su impacto es tan fuerte en nuestra mente que su efecto persiste incluso después de descubrir que la noticia era falsa.

Además, proporcionó ejemplos que ya conocemos, en las que se demuestra que el contenido se utiliza como arma: alterar la intención de voto de la gente en las elecciones; manipular los mercados de valores para obtener ganancias financieras; o crear desestabilización y división en un Estado originando una ciberguerra. La desinformación está tan arraigada hoy día que es difícil distinguirla y defenderse de ella. En este sentido, Kaiser recomienda comprobar siempre la fuente original de la información.

Esta primera edición del Foro Digital, Cyber Security & Data Protection Online Forum, de ISMS Forum contó con la asistencia de más de 600 profesionales, que disfrutaron de contenidos de alta calidad que, en el contexto actual que vivimos, aportan mayor claridad al sector de la ciberseguridad y la protección de datos.

Este evento es posible gracias al apoyo de Akamai, Huawei, OneTrust, Trend Micro, BeyondTrust, Deloitte, Forescout, Palo Alto Networks y Proofpoint.

Sobre ISMS Forum

ISMS Forum Spain es una organización sin ánimo de lucro fundada en enero de 2007 para promover el desarrollo, conocimiento y cultura de la Seguridad de la Información en España y actuar en beneficio de toda la comunidad implicada en el sector. Creada con una vocación plural y abierta, se configura como un foro especializado de debate para empresas, organizaciones públicas y privadas, investigadores y profesionales donde colaborar, compartir experiencias y conocer los últimos avances y desarrollos en materia de Seguridad de la Información. ISMS Forum Spain tiene ya a más de 250 empresas asociadas y más de 1.250 profesionales asociados. La Asociación es ya, por tanto, la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.

Contacto

Cynthia Rica – Responsable de comunicación

crgomez@ismsforum.es

Raquel García – Asistente de comunicación

rgarcia@ismsforum.es

Twitter: @ISMSForum

LinkedIn: ISMS Forum

Teléfono: 91.563.50.62