Tras dos años celebrándose de manera virtual, Cibertodos recuperó la presencialidad con un gran número de asistentes. El evento, organizado por Isaca Madrid el 25 de octubre, completó su programa con ponencias y mesas redondas orientadas a la concienciación en materia de ciberseguridad.
Ángela María García, ingeniera informática y especialista en ciberseguridad en el Instituto Nacional de Ciberseguridad (Incibe), inauguró la jornada con una ponencia sobre los ciberriesgos en el tejido empresarial español. Durante su presentación, destacó la ingeniera social (phishing, smishing y vishing), el malware y los ataques de denegación de servicio como las principales amenazas que acechan a las empresas españolas.
A menudo, los objetivos de los ciberdelincuentes están motivados por fines económicos o por querer causar daños reputacionales. Ante estos, García enumeró una serie de medidas de protección. En esencia, estas pasan por la formación y la concienciación en ciberseguridad, cubrir la necesidad básica de contar con programas de antivirus y mantener tanto los dispositivos como las app actualizadas.
La primera mesa redonda de Cibertodos tuvo como objeto el modelo de las tres líneas de defensa (gestión de problemas, organización y auditoría interna). En ella participaron Sergio Padilla, David Muñiz, Carlos Juarros y Enrique Cervantes, CISO del Banco de España, Talgo, Fundae y Fintonic respectivamente. Los oradores subrayaron la importancia de la comunicación entre líneas de defensa, la necesidad de establecer los roles y responsabilidades de cada una de ellas y la no tan obvia idea de que es el modelo de las tres líneas el que debe adaptarse a la empresa, «y no la empresa a él».
Sin embargo, durante el debate se vislumbró la posibilidad del nacimiento de una cuarta línea de defensa. Este concepto está basado en la Directiva NIS 2, y que hace referencia al ejercicio de regulación que las instituciones europeas ejercen sobre las empresas, amparadas por el marco de legislación de la Unión Europea sobre ciberseguridad.
Ciberseguridad en tiempos de crisis
«Va a haber que ajustarse el cinturón». Así comenzó Jorge Uyá, COO de Entelgy Innotec Security, su ponencia sobre el futuro de la ciberseguridad en Cibertodos. Cubrir lo básico, hacer más con menos y aportar valor al negocio son tres principios clave que los departamentos de ciberseguridad tendrán que cumplir, y que fueron mencionados durante el coloquio. En este sentido, según Uyá, «la seguridad no es lo más importante; lo más importante es el negocio». La seguridad de la empresa y la propia compañía son dos conceptos que no se entienden el uno sin el otro. Pese a ello, el ponente recordó que el primero está hecho para hacer mejor al segundo.
Por otro lado, la estrategia de seguridad, la respuesta ante incidentes y la capacidad de resiliencia fueron tres factores mencionados que ahora cobran especial importancia por el papel que van a jugar en el futuro corporativo.
La ciberinteligencia, presente en Cibertodos
Antonio Cabrera, gerente de Ciberinteligencia de Seguridad Corporativa en Repsol; Iván Portillo, Ciberinteligencia y Seguridad en Financial Services EMEIA en EY; y Javier Rodríguez, profesional de las Fuerzas y Cuerpos de Seguridad del Estado con más de 20 años de experiencia en ciberinteligencia, protagonizaron el debate sobre esta última materia como anticipación a los riesgos y amenazas.
El primero en tomar la palabra fue Rodríguez: «Cada problema es un coste y cada coste un imprevisto», señaló. Precisamente aquí reside el principal valor de la ciberinteligencia: la ventaja económica que otorga cuando su efecto es la prevención de problemas. La otra cara de la moneda es la dificultad de encontrar un buen analista que pueda dotar de estos servicios al departamento en cuestión.
Por otro lado, aunque sin entrar en detalles, todos los ponentes comentaron que la relación CISO-CSO está cambiando. Es por ello que, en línea con la tónica general de la jornada de Cibertodos, los conferenciantes quisieron resaltar también la importancia de la comunicación.
Archivado en:
