El pasado 26 de noviembre se celebró una nueva edición de la Jornada Internacional de Seguridad de la Información, organizada por ISMS Forum. En esta ocasión, debido al escenario impuesto por la pandemia, el encuentro se organizó en modalidad online, aunque fue capaz de congregar a más de 800 profesionales en torno a tres interesantes tracks que se desarrollaron durante media jornada: Cybersecurity Strategy, Data Protection y Cybersecurity Trends.

Esta XXII edición contó con más de 30 slots y cerca de 70 profesionales de referencia

Esta XXII edición del congreso privado de ciberseguridad y la protección de datos contó con más de 30 slots y cerca de 70 profesionales de referencia, que compartieron su visión en torno al lema elegido para esta ocasión: Shaping a sustainable & disruptive Digital Risk Strategy, haciendo referencia a la necesidad de crear una verdadera estrategia digital que permita generar la estabilidad que el negocio necesita.

Además, la Jornada contó con la presencia de representantes de instituciones internacionales de la talla del World Economic Forum, el Cambridge Cybercrime Centre, la Comisión Europea, la European Data Protection Board, la European Defence Agency y el European Data Protection Supervisor.

Estrategia de ciberseguridad

Uno de los ponentes de referencia de este congreso fue Troels Oerting (World Economic Forum), que abordó la importancia del concepto de sostenibilidad en el ámbito de la ciberseguridad. Además, describió algunos de los aspectos más importantes para tener en cuenta a la hora de establecer una adecuad estrategia digital desde el punto de vista de la seguridad:

  • Estrategia de comunicación.
  • Contar con un plan que nos guíe cuando sucede un incidente de seguridad.
  • Decidir previamente si se paga o no el rescate, y saber de qué depende.
  • Tener muy claro quiénes son los que formarán parte del equipo de gestión de crisis, de comunicación.
  • Tener un plan de resiliencia para el antes, durante y el después.

Además, describió los nuevos tipos de cibercrimen, que van a aprovechar la superficie de ataque que se ha creado después de la COVID-19.

Por su parte, Maria Bada (Cambridge Cybercrime Centre) centró su ponencia sobre el nivel de madurez en ciberseguridad y su relación con la sostenibilidad de la empresa. Además, se centró también en la importancia de los KPI a la hora de mejorar la eficacia de las acciones y determinar si se han cumplido los objetivos marcados.

Los KPI muestran la historia de éxito o fracaso de la organización a la hora de tomar decisiones eficaces. El reto es saber identificar los criterios que son más aplicables a nuestra organización, ya sea una gran corporación o una pyme”.

«Los KPI muestran la historia de éxito o fracaso de la organización a la hora de tomar decisiones eficaces»

Por último, dejó también un mensaje importante para los CEO de las empresas, que deben tener una formación básica en seguridad y capacidad de resiliencia, ya que tienen que ser capaces de comprender las amenazas que les acechan.

Transferencias internacionales de datos

En clave europea, Karolina Mojzesowicz (European Commission) centró su intervención sobre la privacidad y la estrategia de datos a nivel europeo, especialmente en lo que respecta al intercambio de datos entre diferentes sectores, así como para ofrecer este “modelo europeo” a las prácticas de manejo de datos de las principales plataformas.

Este reglamento busca crear las condiciones adecuadas para que las personas y las empresas confíen en que sus datos serán manejados por organizaciones de confianza, basadas en los valores y principios por los que apuesta la Comisión Europea. De hecho, la Comisión tiene previsto invertir 2.000 millones de dólares en el desarrollo de la arquitectura de los instrumentos, de las infraestructuras de procesamiento de datos y del mecanismo de intercambio a través de los espacios de datos seguros.

Las personas y las empresas deben confiar en que sus datos serán manejados por organizaciones de confianza

Por otra parte, Ventsislav Karadjov (European Data Protection Board) expuso el punto de vista europeo de la privacidad desde el diseño y por defecto. En su opinión, el Reglamento General de Protección de Datos es tecnológicamente neutro y no especifica ninguna medida para cumplir los requisitos de protección de datos desde el diseño y por defecto. Por lo tanto, el controlador puede elegir las medidas más adecuadas según las circunstancias y rendir cuentas.

La protección de datos debe considerarse en una fase temprana y no puede ser solo una comprobación formal de última hora antes de iniciar el proceso de incorporación. Tiene que ser parte integrante de todos los debates al desarrollar cualquier nuevo producto o servicio, en todas las etapas del diseño, de las actividades de procesamiento, incluidas las licitaciones de adquisición, la contratación externa, el apoyo al desarrollo, el mantenimiento, las pruebas de almacenamiento, etc.”.

Otra de las ponencias destacadas fue la de Maite Boyero, miembro del CDTI y principal enlace para el programa de Sociedades Seguras, integrado en el Programa Marco de la Unión Europea – Horizonte 2020. En su opinión, los principales desafíos se centran en mejorar la ciberseguridad en la transformación digital, asegurando la autonomía estratégica en las herramientas tecnológicas de la ciberseguridad, así como las innovaciones en el desarrollo e implementación de hardware y software seguro, pruebas y certificación. De hecho, la idea es prestar una especial atención a ámbitos como la privacidad y seguridad desde el diseño en las tecnologías digitales y sus aplicaciones (5G, industria 4.0, IO, Blockchain, tecnologías cuánticas, dispositivos móviles y connectec movilidad y energía cooperativa y autónoma).

Por último, la jornada contó también con la participación de Mario Beccia (European Defence Agency, EDA), que abordó la temática de ciberseguridad transnacional. “El programa de defensa cibernética de la EDA incluye proyectos para hacer frente a desafíos como la conciencia de la situación cibernética, la protección avanzada contra amenazas persistentes, la ingeniería de sistemas para la defensa cibernética, la conciencia de la seguridad cibernética, el diseño de cursos de capacitación en defensa cibernética y muchos otros. La pandemia de COVID-19 ha puesto de relieve la necesidad de soluciones fiables y escalables que proporcionen comunicaciones fiables, ubicuas y seguras”.

«La pandemia de COVID-19 ha puesto de relieve la necesidad de soluciones fiables y escalables que proporcionen comunicaciones fiables, ubicuas y seguras

Además, presentó el proyecto PESCO para la ciberdefensa, cuyo objetivo es desarrollar, establecer y poner en funcionamiento el Cyber and Information Domain Coordination Center (CIDCC) como elemento militar multinacional permanente.

COVID-19 y ciberseguridad

Es evidente que el entorno de trabajo tradicional ha cambiado. La irrupción de la COVID-19 ha cambiado los modelos de trabajo, lo que ha derivado en la necesidad de encontrar una nueva forma de proteger un perímetro de red cada vez más difuso.

En palabras de Pedro Martínez Busto, director de Desarrollo de Negocio de Aruba, el modelo zero trust es una opción, pero hay que tener en cuenta diferentes factores. El primer paso es identificar todos los dispositivos y, para ello, es importante hacer uso de nuevas tecnologías, como la inteligencia artificial, que permiten mejorar la comprensión del comportamiento de los dispositivos y los usuarios.

Es el momento de utilizar estas tecnologías para incrementar la seguridad; tenemos que ser capaces de relacionar importantes cantidades de información procedentes de diferentes sistemas, para ofrecer de forma sencilla una visión global de lo que está pasando y generar alertas que nos ayuden a detectar cualquier ataque”.

Guía práctica para la gestión de riesgos de terceros en privacidad

Este evento sirvió también como marco para la presentación de la Guía práctica para la Gestión de Riesgos de Terceros en Privacidad, que corrió a cargo de Alfonso J. Menchén, delegado de Protección de Datos en Iberdrola España.

El objeto de la Guía es establecer unas pautas generales, recomendaciones o buenas prácticas que permitan a las empresas concretar e implementar el principio general de la diligencia debida, especialmente a la hora de elegir a sus proveedores.