El creciente protagonismo de la ciberseguridad ha llevado a la celebración de un encuentro cuyo objetivo es ser de utilidad a las administraciones, empresas e industria para analizar la situación actual del sector. El suceso inédito de «cero energético» acaecido recientemente en España «abre un debate técnico en el que conceptos como ‘resiliencia‘ son el núcleo esencial de los profesionales de la seguridad», comentó Ana Borredá, presidenta de la Fundación Borredá, en la inauguración del 12º Congreso PRYC sobre Protección, Resiliencia y Ciberseguridad. En el evento, celebrado por Red Seguridad y la propia Fundación Borredá en Madrid el 6 y 7 de mayo, Yolanda Duro, directora del mencionado medio, destacó cómo la Directiva NIS2 «refuerza la protección y amplía las obligaciones de las empresas, representando también una oportunidad para los perfiles especializados en ciberseguridad”.
Precisamente, la resiliencia y la gobernanza fueron los asuntos que se abordaron en el primer panel de la mañana. Javier A. Gil-Ruiz Gil-Esparza, director de la División de Ciberseguridad para la Transformación Digital del Ministerio para la Transformación Digital y de la Función Pública, moderó un debate que llevó por título «Cooperación y coordinación para una ciberseguridad resiliente», y que contó con la participación de Rubén Vega, Teniente Coronel Jefe de C5 sección de Planes del EM del Mando Conjunto del Ciberespacio (MCCE); Vicente González, Cybersecurity Expert de la Agencia de la Unión Europea para la Ciberseguridad (ENISA); Elena de la Calle, consejera técnica del Departamento de Seguridad Nacional (DSN); Leandro Gobierno, jefe de Área de la Oficina de Coordinación de Ciberseguridad (OCC); Marco Antonio Lozano, responsable de Sectores Estratégicos Turismo, Ocio e Industria de Contenidos Digitales de Incibe-CERT; y Alma Aguilar, adjunta al subdirector del Centro Criptológico Nacional (CCN). Esta última adelantó: «hemos creado un grupo de trabajo donde se está trabajando conjuntamente para que la trasposición de la NIS2 sea haga de la manera más fácil posible».
Directiva NIS2: La cadena de suministro, en el punto de mira
María Carrillo, directora de contenido, legal y compliance de Formalize, matizó a continuación que «la ciberseguridad no se trata solo de evitar ataques, sino también de proteger la dependencia digital». Por su parte, Alfonso Pastor, director comercial de Leet Security, intervino para presentar un método único para medir el nivel de seguridad en los servicios. De este modo, explicó, «se solventa otro problema relacionado con la cadena de suministro, ya que no recae únicamente sobre los operadores la responsabilidad de evaluar a todos sus proveedores».
La siguiente intervención corrió a cargo de Capucine Bardet, Country Manager Spain de Prim’x; y Pierre Caceres Casanova, ingeniero técnico de la compañía, quienes abordaron el debate sobre el cifrado y su impacto en el cumplimiento normativo en la Directiva NIS2. Para la experta en ciberseguridad, «no se trata solo de alertar sobre los riesgos, sino de entender las normativas vigentes». Ambos destacaron que es importante no solo aplicar medidas de seguridad, sino también estar preparados para responder y adaptarse a posibles incidentes.
La jornada continuó con la mesa «Los CISO ante la NIS2: ¿preparados para el impacto?» Esta charla, moderada por Vanesa Gil, Head of Cybersecurity Institutional Affairs, Corporate Security de BBVA, contó con representación de responsables de ciberseguridad de grandes compañías. El debate abordó cómo los consejos de administración deben tener en cuenta los riesgos para la toma de decisiones estratégicas en el desarrollo de las operaciones de la empresa, así como las responsabilidades que deben asumir para llevar a cabo actividades esenciales. Aportaron sus impresiones Pedro Iván Montes, experto en ciberseguridad y CISO en activo; Francisco Lázaro, CISO y DPD de Renfe; y Jesús Sánchez, CISO de Naturgy. Montes expuso, en concreto, dos cuestiones que considera fundamentales para el sector: el control de la cadena de suministro y la necesidad de fomentar la resiliencia en todas las empresas que tienen una actividad digital.
Consecuencias para el sector financiero
Tras una pausa para el café, se retomó la jornada con la mesa «Protección de datos e identidad digital: el desafío de blindar la información en las organizaciones en la era de las tecnologías». En ella intervinieron, bajo la moderación de Mabel González, subdirectora de la Agencia de Ciberseguridad de la Comunidad de Madrid, Marta Cañas, DPO de Iberia; Patricia Chenlo, Compliance Specialist & Data Privacy Manager de Repsol; y Manuel Rodríguez, IT Manager de Aresbank. Los expertos analizaron las consecuencias que tiene para en el sector financiero la implementación de la Directiva NIS2 y qué tienen en común en contraposición con las directivas y el reglamento actuales.
«¿Cómo automatizar el cumplimiento de la Directiva NIS2?» fue la intervención donde Jorge Ferrer, Principal Solutions Engineer de OneTrust, presentó una plataforma de gestión que ofrece diversas integraciones con el fin de facilitar la gestión de datos en los flujos de diversas aplicaciones. Eduardo Solís, Cyber Strategy Lead en España y Portugal de Accenture, centró su intervención en la resiliencia empresarial y en la recuperación de datos e infraestructura bajo el concepto de Compañía Mínima Viable. Este término alude al conjunto de procesos de negocio críticos y toda la infraestructura de soporte que debe priorizarse para poder recuperar el negocio mínimamente, sin poner en riesgo la viabilidad empresarial. El concepto da respuesta a dos cuestiones fundamentales: en primer lugar, qué actividades impactan más a los clientes; y en segundo, qué procesos de negocio tienen algún tipo de obligación legal, contractual o regulatoria que nos puede afectar. Para ello, Accenture ha desarrollado y patentado una solución que, a través de código, permite la recuperación del entorno productivo bajo demanda.
La importancia de la concienciación
A continuación, Mar Sánchez Caro, Country Manager Iberia & Latam Cyber Guru, incidió en la concienciación, pues considera que «es evidente que los CEO deben estar preparados y conscientes de lo que se requiere». Apuntó, además, que uno de los retos más importantes con los que se encuentran es la sobrecarga y la fatiga de información. «La cantidad de cumplimiento y las normativas que debemos tener en cuenta pueden ser abrumadoras», apuntó Sánchez Caro.
La moderación del último panel de día corrió a cargo de Yolanda Duro. Bajo el título de «Incidentes y cadena de suministros: la debilidad que nos pone en jaque», contó con la participación de Ramón Ortiz, CISO de Rheinmetall; Elena García, Chief Security Advisor de Microsoft; José Carlos Herrera, CISO de Sigma Group; y Laura Parra, de Cellnex, quienes debatieron sobre lo positivo de que exista una política y un procedimiento específico sobre cómo debe ser la interacción y los controles de seguridad.
La directora de Red Seguridad clausuró la jornada agradeciendo la participación a todos presentes en el acto, así como a los representantes de la administración pública que participaron en el mismo.
Archivado en: