Bajo el lema “Resiliencia vs resistencia: Una filosofía integral de la seguridad”, el 16 Encuentro de la Seguridad Integral, celebrado por Seguritecnia y Red Seguridad el 4 de julio, fue todo un éxito de convocatoria. A este evento, celebrado en formato TV Experience, se inscribieron más de 600 profesionales para conocer más sobre la resiliencia y ciberresiliencia de las organizaciones, el impacto regulatorio en los distintos sectores o el poder de los datos.
La directora de Red Seguridad, Yolanda Duro, inauguró la jornada con el alegato de que la «concienciación e implicación dentro de las organizaciones es fundamental para que obtengan una seguridad integral y resiliente». A continuación, Enrique González, subdirector de las dos cabeceras organizadoras, introdujo la primera mesa redonda del encuentro, un panel titulado «Entorno de amenazas a la resiliencia: Un panorama que parece no tener fin». Luis Jiménez, subdirector general del Centro Criptológico Nacional; Rosa Kariger, Security Analysis & Prospective en Iberdrola; y José Ignacio Garrido, Global Head of Information Security de BBVA; junto a la moderación de Guillermo Llorente, director de Seguridad Corporativa de Mapfre, fueron los encargados de ahondar en este desafío.
Durante el coloquio, estos profesionales explicaron cómo había cambiado la sensación de seguridad física en la sociedad, «sintiéndonos ahora más inseguros que hace años», cuando la probabilidad de riesgo es menor. A lo que pusieron el foco en la ciberseguridad, un campo en el que sucede lo contrario, donde la incidencia a sufrir una amenaza es mayor, pero «tenemos menos conciencia», según expuso Jiménez.
Concienciación y colaboración en ciberseguridad
De acuerdo a esto, pasaron a profundizar en cómo las empresas y organizaciones se enfrentan a estas amenazas y riesgos. En este punto, la representante de Iberdrola matizó lo «importante que era la concienciación en ciberseguridad», ya que todavía «no ha calado el mensaje de que no solo están en juego los datos», sino que también una ciberamenaza puede interrumpir un proceso industrial o provocar un atentado en infraestructuras críticas.
Por último, opinaron sobre los beneficios y consecuencias de compartir información de ciberincidentes, donde Garrido señaló que «es fundamental» y, aunque la base de la construcción de la confianza es complicada, «se ha avanzado bastante». En dicho contexto, el representante de BBVA opinó que la transposición de NIS 2 «va a ayudar bastante» por su obligatoriedad de notificación de incidentes.
Ciberresiliencia desde el prisma de la IA Gen
A continuación, Miguel Ángel Thomas, Head of cybersecurity en NTT Data, explicó vía streaming que, para su compañía, la ciberresiliencia es la capacidad de una organización para minimizar el impacto de incidentes de ciberseguridad y potenciar la prevención. Además de ser el nivel más alto de madurez organizacional, involucrando a diversas áreas, desde la alta dirección hasta recursos humanos. «Los CEO deben priorizar la resiliencia cibernética como una estrategia empresarial proactiva para mitigar eficazmente las constantes amenazas», declaró.
Pero, con el incremento de la inteligencia artificial generativa (IA Gen) en el sector de la seguridad ¿cómo afecta en la ciberresiliencia? Para Thomas, la IA Gen se puede emplear en diferentes fases para detectar y analizar amenazas, descubrir vulnerabilidades y prevenir phishing. Al igual que para ayudar en la respuesta y recuperación de incidentes y en la mejora continua de la seguridad. Sin embargo, puntualizó que la IA Gen puede ser un «arma de doble filo», creando nuevos desafíos para las herramientas de protección tradicionales.
Inteligencia en seguridad híbrida
José María Blanco, director de Inteligencia & Research de Prosegur Security, tomó el relevo para detallar el concepto de inteligencia de su compañía. En concreto, consiste en formular preguntas para mejorar la toma de decisiones, ya que la seguridad se ha vuelto más compleja y las amenazas son híbridas. No obstante, para entender la inteligencia desde una visión estratégica se necesita saber primero el «para qué», seguido de «para quién».
De acuerdo a esto, desde Prosegur cuentan con un iSOC, su centro de operaciones de seguridad que combina fuentes tecnológicas, humanas y abiertas, junto a un procesamiento inteligente de datos para gestionar a distancia los servicios de seguridad y los procesos empresariales de sus clientes. «Al final los servicios de inteligencia tienen que ser como un traje a medida», declaró Blanco, además de «ser cohesionadores e integrados de todas las áreas de seguridad de una empresa».
La responsabilidad de la alta dirección
La segunda mesa redonda del encuentro versó sobre la responsabilidad de la alta dirección en la resiliencia de las organizaciones. Y para ello intervinieron Ángel Flores Alviz, jefe del Servicio de Planes y Operaciones del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC); Francisco Javier Baena Álvarez de Quevedo, coordinador de Informática de la Dirección General de Seguros y Fondos de Pensiones; Eugenio Ribón Seisdedos, decano del Ilustre Colegio de Abogados de Madrid; Carlos Balmisa García Serrano, secretario general técnico del Ilustre Colegio de Registradores de España; y Carla Redondo, secretaria general del Instituto Nacional de Ciberseguridad (Incibe), como moderadora.
A lo largo del coloquio, los panelistas dejaron más que patente la necesidad de que los directivos se impliquen en la seguridad de sus organizaciones. Pero no solo desde el punto de vista del conocimiento de las amenazas a las que se exponen; también a la hora de asignar recursos tanto financieros como humanos para implementar medidas más efectivas. De hecho, afirmaron que la alta dirección debe comprender que la seguridad no es solo un aspecto técnico de la empresa, sino que forma parte de la responsabilidad estratégica corporativa y que va a garantizar la continuidad de negocio y la confianza de sus clientes.
El camino a seguir para garantizar el cumplimiento de la Directiva NIS 2
José Ángel Capote Molina, Spain Cyber Security and Privacy Oficer en Huawei, habló durante su ponencia sobre la Directiva NIS 2 y sobre el camino que deben seguir las organizaciones que les afecte para garantizar su cumplimiento normativo.
El primer paso que han de realizar estas entidades es que todos los integrantes de la compañía, desde la alta dirección hasta el último empleado, sean totalmente conscientes de cuál es su responsabilidad y obligaciones. Los siguientes, según Capote, son identificar los activos que componen el servicio esencial a proteger para poder gestionar los riesgos e implementar un sistema de reporting de incidentes acorde a los niveles de servicio que exige la regulación.
Y por último, que cada integrante de la empresa «ponga su granito de arena en su día a día para cumplir con la normativa».
El impacto de la regulación
Otro de los temas estrellas del evento fue la regulación. Para ello, se celebró una mesa redonda formada por Iván Sánchez, CISO de Rural Servicios Informáticos (RSI); Jacinto Muñoz, Security Risk and Governance Director de Mapfre; Idoia Mateo, CISO del Banco Santander; Damián Ruiz, CISO de Singular Bank; y Andrés Ruiz, subdirector general de Integridad de las Telecomunicaciones de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales (SETELECO), como moderador.
Aunque la mayoría de estos panelistas pertenecen a un sector −el financiero− con un alto volumen de normativa, los panelistas afirmaron que existe una serie de desafíos no sencillos de abordar. Uno de ellos es la seguridad de la cadena de suministro: «Es importante garantizar la seguridad de nuestros terceros y su resiliencia, así como exigirles la misma seguridad que se les exige a las organizaciones por normativa», aseguraron en este sentido.
Convergencia de la resiliencia y la ciberresiliencia
El último patrocinador de la jornada vino de la mano de Ricardo López García, director de consultoría y ciberseguridad de Grupo Eulen. Este profesional explicó que en la era digital que vivimos, casi todos los procesos de las organizaciones dependen de sistemas de información y tecnologías. Así, la gestión de riesgos en ciberseguridad desafía los modelos tradicionales de probabilidad e impacto. Además, las compañías cada vez están más hiperconectadas, con un mayor peso en sus cadenas de suministro, lo que requiere un «marco común de gestión de servicios».
Ante este escenario, desde Eulen apuestan por un enfoque integral que combina la resiliencia y la ciberresiliencia para permitir una visión holística de la gestión de riesgos, ya que dicha integración asegura que tanto los desafíos físicos como los digitales se aborden de manera coherente y coordinada, mejorando la capacidad general de una organización para afrontar y superar adversidades. En concreto, lo abordan desde tres capas: marco de normativo y gobierno, protección de servicios, y operación de la seguridad digital.
El poder de los datos
Como broche de oro final tuvo lugar un debate bajo la moderación de Enrique González y compuesto por Roberto Baratta, Director of Loss Prevention, Business Continuity and Security & DPO de Abanca; y Francisco Lázaro, CISO y DPO de Renfe, sobre el poder de los datos desde las áreas de ciberseguridad y de protección de datos de las compañías, porque ¿existe entre ambas áreas algún tipo de conflicto frente a los datos?
Para el representante de Abanca se trata de un cuestión solventada, ya que entre cada área de su compañía existe cierta independencia, pero en dirección a la alta dirección «trabajan coordinadas». Por su parte, Lázaro apostilló que para ambos departamentos el objetivo es el mismo: el cumplimiento legal. Además, profundizaron en los riesgos que trae consigo la inteligencia artificial, para ambos profesionales entendida como «una tecnología más», que requerirá de un enfoque cuidadoso y ético, incluyendo la creación de comités especializados para analizarla.
Expertos en seguridad
Por último, cabe destacar que diversos expertos del sector de la seguridad se conectaron vía digital al evento para exponer sus puntos de vista de temas como los pilares que deben sustentar una estrategia de resiliencia en una organización, los desafíos más importantes a los que se enfrentan las organizaciones en términos de resiliencia, la Directiva NIS 2 o el panorama actual de las ciberamenazas, entre otras cosas.
Estos profesionales fueron Damián Ruiz Soriano, presidente del Clúster de ciberseguridad de Madrid (CyberMadrid); Joaquín del Toro, presidente de la Alianza Española de Seguridad y Crisis; David Sanz, Senior Director Customer Experience EMEAI South de Commvault; Vanesa Gil, presidenta de Isaca Madrid; Raúl Benito Álvarez, Territory Sales Manager de Bitdefender; Jorge Puerta, Country Manager de Ingecom Ignition; Eduvigis Ortiz, presidenta de Women4cyber Spain; Antonio Gaona, director de seguridad e inteligencia de Codere México; y Elena Salas, presidenta de Asis International capítulo 143 España.
Archivado en: