El recién celebrado XII Foro de la Ciberseguridad, organizado por ISMS Forum, volvió a demostrar la capacidad de convocatoria y creatividad de esta asociación profesional, que a lo largo de sus dieciséis años de vida, se ha convertido en un referente en materia de seguridad de la información en nuestro país.

El marco de los cines Kinépolis se convirtió en un pequeño ecosistema en el que profesionales de la ciberseguridad, CISOs, abogados, auditores que en un número superior a los 700 expertos llenaron los tres paneles que la organización puso en marcha para conocer las últimas estrategias en materia de ciberseguridad, las tendencias emergentes y las buenas prácticas del uso de dichas herramientas.

Uno de los proyectos más ambiciosos de esta asociación de expertos en la seguridad de la información es el estudio que se ha puesto en marcha, bajo el nombre ‘El Coste de la Inciberseguridad en España en términos de PIB’.

En dicho proyecto, ya colaboran expertos como Sergio Álvarez, CEO de SciTheWorld, y Pedro López, Profesor Titular de Organización de Empresas de la Universidad Complutense de Madrid.

Fue Daniel García, Managing Director de ISMS Forum, quién destacó que la ciberseguridad se ha convertido en un elemento estratégico para muchas empresas. Sin embargo, “igual que sabemos el impacto de la falta del cambio climático en el PIB que es del 2,6% y del coste de la ciberdelincuencia en el mundo que supone el 8% del PIB global, podríamos calcular el coste de la falta de medidas de seguridad en las empresas y su impacto en el PIB”.

    

DANIEL GARCÍA

Este proyecto “quiere medir la falta de recursos humanos, acciones o sanciones que no movilizan a tomar acciones en materia de ciberseguridad. A través de una metodología de trabajo y unas métricas, queremos tener un indicador de inciberseguridad”.

Al final de lo que se trata es de saber “qué porcentaje del PIB nacional nos está costando no tomar dichas medidas para prevenir los incidentes de ciberseguridad. Y se podrá definir cuál es el ahorro que tanto la Administración como las empresas pudieran hacer si implementasen dichas medidas”, apuntó.

Guía DevSecOps

La publicación de la Guía DevSecOps durante el XII Foro de la Ciberseguridad fue un aspecto de gran importancia. Para ello, Francisco Lázaro, CISO y DPO de Renfe y Board member de ISMS Forum, David Moreno, CISO de Tendam, y Enrique Cervantes, CISO de Fintonic, han explicado en qué consiste el proyecto elaborado por el grupo de trabajo de ISMS Forum.

“Es un trabajo que va a aportar luz, porque está pensado de una forma explicativa de los conceptos principales dentro de este nuevo modelo”, apunta Francisco Lázaro.

David Moreno, CISO de Tendam, nos explica la estructura de la guía indicando que “está dividida en dos bloques. El primero con la introducción del DevOps partiendo de la pregunta si es un modelo válido para todas las empresas. En la segunda parte aterriza a esa gestión de proyectos de DevSecOps.”

“El cambio cultural es lo más importante y es ahí donde tenemos que poner el foco”, incide David.

Además, Enrique Cervantes nos recalca la importancia de la variedad del equipo en el que se ha trabajado en este proyecto, porque “DevSecOps es un concepto tan amplio como maneras aplicarlo”.

Cuenta atrás para la implantación de NIS2

Este evento sirvió para conocer los detalles de la implantación de la directiva NIS2 en nuestro país. Fue Alberto Francoso, Jefe de Análisis del Servicio de Ciberseguridad de la Oficina de Coordinación Cibernética, quien comentó que el objetivo de la Directiva NIS2 es eliminar las divergencias tan pronunciadas entre los Estados miembros en la aplicación de la directiva sobre la seguridad de las redes y sistemas de información.

Se trata, en su opinión, de “definir normas mínimas relativas al funcionamiento de un marco regulador coordinado, el establecimiento de mecanismos para que las autoridades competentes de cada Estado miembro cooperen de manera eficaz, la actualización de la lista de sectores y actividades sujetos a las obligaciones de ciberseguridad y la disponibilidad de vías de recurso y medidas de ejecución eficaces que son fundamentales para garantizar el cumplimiento efectivo de dichas obligaciones”.

Otra cuestión que abordó es que en nuestro país será el Consejo Nacional de Ciberseguridad quien se encargue de la trasposición de dicha Directiva NIS2 a través de la Comisión Permanente de Ciberseguridad, donde se creará un grupo de trabajo para elaborar un borrador de la futura norma para luego ir revisando artículo por artículo entre estos expertos. Se espera que a final de año se pudiera tramitar en el Parlamento español.

Medir la madurez en materia de ciberseguridad

La plataforma de assesment para evaluar el nivel de madurez en ciberseguridad de cada una de las empresas fue protagonista de este XII Foro de la Ciberseguridad. Para ello, fueron Olga Forné, CISO Global de Abertis, y David Llorente, ambos miembros del Board de ISMS Forum de Barcelona, quienes explicaron su utilidad y funcionamiento para ponerla a disposición de las entidades a finales de este año.

              

OLGA FORNÉ y DAVID LLORENTE

“Las empresas que lo desean pueden tener un informe personalizado sobre su grado de implantación de estrategias en materia de ciberseguridad y realizar una comparativa con su sector. Este es un elemento clave para que cualquier empresa conozca qué inversiones y recursos debe destinar para ser competitivo en esta materia”, apuntó Olga.

Por su parte, David habló de la evolución de este estudio que recoge de forma anónima la respuesta de los encuestados, con cuatro años de historia, revela cómo las empresas han mejorado su relación con la ciberseguridad al invertir más recursos. “En estos cuatro años de este estudio, las empresas que optimizan sus recursos son un 42% mientras que aquellas que apenas tienen herramientas son solo el 2%”

La madurez de la empresa, según explicaron los expertos, está basada en cinco dominios, “ciberataque, protección, detección, respuesta y recuperación después del ciberincidente, entendido como un proceso continuo”, explicaron.

Generar confianza digital en la IA

La intervención de Ángel Pérez, CISO de Autopistas, junto con Rubén Cabezas, Delegado de Protección de Datos del Banco de Santander, sirvió para presentar otra de las iniciativas de ISMS Forum, centrada en las buenas prácticas de la IA. Los ponentes anunciaron que se va a crear un grupo de trabajo donde se busque “definir un documento que ayude a implementar estas herramientas”, apunto Ángel.

Por su parte, Rubén recordó que “las herramientas que utilizan las empresas deben estar alineadas con el marco normativo existente y que en los próximos meses, con el Reglamento Europeo de IA, se va a complicar más, al igual que cuando se implemente otra directiva que regule la responsabilidad civil extracontractual relacionada con la IA”.

Sobre el mencionado Reglamento, Ángel Pérez recordó que se establecen niveles de riesgos, “se trata del control del algoritmo desde un punto de visa ético, lo que va a implicar que haya siempre un ser humano pendiente de su desarrollo y actividad para evitar sesgos”.

Orientaciones para el cifrado de datos

Este XII Foro de la Ciberseguridad fue también escenario de la presentación de un trabajo en el que la Agencia Española de Protección de Datos (AEPD) ha publicado, en colaboración con la Asociación Española para el Fomento de la Seguridad de la Información (ISMS Forum) y la Asociación Profesional Española de Privacidad (APEP), bajo el nombre de la ‘Guía de Orientaciones para la supervisión de sistemas criptográficos como medida de seguridad en protección de datos’.

Estas orientaciones, que pretenden ser una ayuda en la tarea del cifrado de datos a encargados de tratamiento y DPOs, fue presentado conjuntamente por Luis Salvador, Director de División de Innovación Tecnológica de la Agencia Española de Protección de Datos y por Carlos A. Saíz, Vicepresidente de ISMS Forum, Director del Data Privacy Institute, socio y responsable del área de privacidad, riesgo y cumplimiento Ecix Group.

Para Carlos, “esta guía pretende dar unas directrices de cómo utilizar la criptografía y el cifrado, las cuáles son herramientas fundamentales para la propia protección de los datos. Es evidente que hay muchas herramientas que se utilizan, pero es importante explicar las obligaciones que se derivan de su uso de cara a ofrecer seguridad jurídica a los profesionales que las implementan”.

                          

CARLOS ALBERTO SAÍZ

Por su parte, Luis recordó que “con estas orientaciones, desde la AEPD, queremos lanzar el mensaje que el trabajo de cifrado, clave para la protección de muchos datos en las organizaciones, lo tienen que hacer profesionales cualificados siguiendo unas directrices. La protección de datos no debe concebirse como una carga administrativa más. Es un elemento que nos debe hacer competitivos si la convertimos en efectiva y eficiente”.