El pasado 11 de mayo, en el marco de los cines Kinepolis (Madrid) se celebró el XII Foro de la Ciberseguridad, un evento organizado por ISMS Forum que con el paso del tiempo se ha convertido en todo un referente en materia de seguridad de la información en nuestro país.

Las instalaciones de Kinepolis Ciudad de la Imagen (Pozuelo de Alarcón, Madrid) acogieron una nueva edición del Foro de la Ciberseguridad, un encuentro organizado por ISMS Forum que reúne a los principales expertos en ecosistema tan complejo como es el de la seguridad.

Uno de los proyectos más ambiciosos es el estudio sobre el coste de la inciberseguridad en términos de PIB

Según la organización, en la edición de este año se dieron cita más de 700 profesionales de este sector, entre CISO y responsables de diferentes áreas de seguridad empresarial, abogados, auditores o expertos de diversa índole. El objetivo era conocer las últimas estrategias y tecnologías en materia de ciberseguridad, así como las tendencias emergentes y las buenas prácticas reconocidas.

El coste de la inciberseguridad

Uno de los proyectos más ambiciosos que ha puesto en marcha ISMS Forum es el estudio denominado El Coste de la Inciberseguridad en España en términos de PIB, en el que colaboran expertos como Sergio Álvarez, CEO de SciTheWorld, y Pedro López, Profesor Titular de Organización de Empresas de la Universidad Complutense de Madrid.

Es notorio que, en la actualidad, la ciberseguridad se ha convertido en un elemento estratégico para la mayoría de las organizaciones, pero, según Daniel García, managing director de ISMS Forum, “igual que sabemos el impacto del cambio climático en el PIB —que es del 2,6%— y del coste de la ciberdelincuencia en el mundo —que supone el 8% del PIB global—, podríamos calcular el coste de la falta de medidas de seguridad en las empresas y su impacto en el PIB”.

Precisamente, este proyecto busca medir la falta de recursos humanos en el ámbito de la ciberseguridad, de acciones concretas en este área o incluso de sanciones que no sirven para que las empresas se movilicen y ponga en marcha acciones en materia de ciberseguridad. El objetivo es que, a través de una metodología de trabajo y unas métricas determinadas, se pueda tener también un indicador de inciberseguridad.

Al final, se trata es de saber qué porcentaje del PIB nacional está costando no tomar estas medidas para prevenir los incidentes de ciberseguridad, incluso se podrá determinar cuál es el ahorro que podrían conseguir —tanto para la Administración Pública como para las empresas—si se implementasen.

Implantación de NIS2

En la edición de este año también se hicieron públicos los detalles de la implantación de la directiva NIS2 en nuestro país. Alberto Francoso, jefe de Análisis del Servicio de Ciberseguridad de la Oficina de Coordinación Cibernética, apuntó que el objetivo de esta directiva es eliminar las divergencias —algunas de ellas especialmente pronunciadas— entre los estados miembros en la aplicación de la directiva sobre la seguridad de las redes y sistemas de información.

En la edición de este año también se hicieron públicos los detalles de la implantación de la directiva NIS2 en nuestro país

En su opinión, se trata de “definir normas mínimas relativas al funcionamiento de un marco regulador coordinado, el establecimiento de mecanismos para que las autoridades competentes de cada estado miembro cooperen de manera eficaz, la actualización de la lista de sectores y actividades sujetos a las obligaciones de ciberseguridad, y la disponibilidad de vías de recurso y medidas de ejecución eficaces que son fundamentales para garantizar el cumplimiento efectivo de estas obligaciones”.

Además, en España será el Consejo Nacional de Ciberseguridad quien se encargará de la trasposición de la directiva NIS2 a través de la Comisión Permanente de Ciberseguridad, donde se creará un grupo de trabajo para elaborar un borrador de la futura norma para su posterior revisión por parte de los expertos. El objetivo es que pueda ser tramitada en el Parlamente Español a finales de este año.

Medir la madurez en ciberseguridad

Otro de los protagonistas de este congreso fue la plataforma de assesment para evaluar el nivel de madurez en ciberseguridad de las empresas. Olga Forné, CISO Global de Abertis, y David Llorente, ambos miembros del Board de ISMS Forum de Barcelona, fueron los encargados de presentar este estudio, que está basada en cinco dominios: ciberataque, protección, detección, respuesta y recuperación después del ciberincidente.

Básicamente, permite que las empresas puedan tener un informe personalizado sobre su grado de implantación de estrategias en materia de ciberseguridad y, además, acceder a una comparativa con respecto a su sector. Según Olga Forné, “Este es un elemento clave para que cualquier empresa conozca qué inversiones y recursos debe destinar para ser competitivo en esta materia”.

Con cuatro años de historia a sus espaldas, este estudio recoge de forma anónima la respuesta de los encuestados y revela cómo las empresas han mejorado su relación con la ciberseguridad a medida que se invierten más recursos. En palabras de David Llorente, a lo largo de estos cuatro años se puede observar que son ya un 42% las empresas que optimizan sus recursos, mientras que apenas llegan al 2% aquellas que apenas tienen herramientas en este ámbito.

Confianza digital en la IA

La intervención de Ángel Pérez, CISO de Autopistas, junto con Rubén Cabezas, delegado de Protección de Datos del Banco de Santander, sirvió para presentar otra de las iniciativas de ISMS Forum, esta vez centrada en las buenas prácticas de la inteligencia artificia (IA).

En este sentido, los ponentes anunciaron que se va a crear un grupo de trabajo que busca definir un documento que ayude a implementar estas herramientas. Las herramientas que utilizan las empresas deben estar alineadas con el marco normativo existente que, además, En los próximos meses se va a complicar más con la llegada del Reglamento Europeo de IA. Y, a futuro, también deberá contemplar otra directiva adicional que regulará la responsabilidad civil extracontractual relacionada con la IA.

Las herramientas que utilizan las empresas deben estar alineadas con el marco normativo existente

Básicamente, se trata de controlar el algoritmo desde un punto de vista ético, lo que va a implicar que haya siempre un ser humano pendiente de su desarrollo y actividad para evitar sesgos.

Orientaciones para el cifrado de datos

Esta jornada sirvió también para la presentación de la Guía de Orientaciones para la supervisión de sistemas criptográficos como medida de seguridad en protección de datos. Se trata de un documento publicado por la Agencia Española de Protección de Datos (AEPD) en colaboración con la Asociación Española para el Fomento de la Seguridad de la Información (ISMS Forum) y la Asociación Profesional Española de Privacidad (APEP).

La protección de datos debe verse como un elemento que nos haga más competitivos, si la convertimos en efectiva y eficiente

Estas orientaciones pretenden ser una ayuda en la tarea del cifrado de datos y están especialmente dirigidas a los encargados de tratamiento y DPO. A grandes rasgos, el objetivo es ofrecer una serie de directrices acerca de cómo utilizar la criptografía y el cifrado, herramientas que son fundamentales para la protección de los datos, así como las obligaciones que se derivan de su uso de cara a ofrecer seguridad jurídica a los profesionales que las implementan.

Uno de los mensajes clave de esta intervención fue la necesidad de que el trabajo de cifrado debe ser realizado por profesionales cualificados siguiendo unas directrices determinadas. “La protección de datos no debe concebirse como una carga administrativa más. Es un elemento que nos debe hacer competitivos si la convertimos en efectiva y eficiente”.