El 94 por ciento de las empresas españolas sufrieron, al menos, un incidente grave en ciberseguridad durante 2022. Con esta contundente afirmación dio comienzo Yolanda Duro, directora de Red Seguridad, a la III Jornada de Alta Dirección, Concienciación e Implicación con la Ciberseguridad. Unos ataques que han obligado a los Consejos de Administración de las organizaciones a estar más implicados en la ciberseguridad y en la gestión y protección del dato. De ahí que Red Seguridad y la Fundación Borredá reunieran en este encuentro celebrado en formato TV Experience a CEO, CISO, delegados de protección de datos, empresas privadas, expertos y Administración Pública.
La inauguración de la jornada corrió a cargo de Vicente González, Cibersecurity Expert de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), quien comentó que la Directiva NIS 2 repercute en el papel de los CISO y de los Consejos de Administración, exigiendo una formación en ciberseguridad y el fomento de ésta entre los empleados de sus compañías.
Este ponente también explicó durante su intervención el Reglamento de Ciberseguridad actual y los siete objetivos estratégicos en los que la Agencia está implicada. Sin embargo, principalmente puso el foco en el último de ellos: la Cyber Skills Academy, el área de trabajo de conocimiento e información en materia de ciberseguridad de ENISA. No en vano, González acusó la necesidad que tiene España de formar profesionales en este ámbito. De ahí su sugerencia de «reciclar expertos procedentes de otros sectores, como el de la abogacía».
A continuación, María Rojo, CEO de Enthec, puso el foco en la importancia de controlar la información de proveedores y terceros. «Una compañía no puede garantizar ni verificar que toda la cadena de valor ofrezca un nivel de ciberseguridad suficiente para protegerla de un ciberataque», explicó. Y es que, tal y como continuó, ambos, proveedores y terceros, pueden utilizar información sensible de la compañía, interrumpir su relación con la empresa o traspasar sus brechas de seguridad.
Además, «los modelos de evaluación resultan muy caros y se encuentran desactualizados». Y para que sean eficaces, «los sistemas de evaluación de riesgos a terceros deben ser objetivos, precisos, inesperados y continuos, así como proporcionar información a tiempo real».
Por este motivo, para esta profesional, las compañías necesitan evaluaciones constantes y «adaptadas al flujo de información de cada proveedor». Por tanto, «las herramientas se tienen que adecuar al volumen de cada uno de ellos». Y este es precisamente uno de los «objetivos que pretende conseguir Enthec», concluyó Rojo.
Ciberseguridad y Alta dirección
Con la premisa de que el coste en cibercrimen pueda alcanzar los 10,5 trillones de dólares para 2025, la primera mesa redonda de la jornada giró en torno a la implicación de las empresas en materia de ciberseguridad. Bajo el título ‘Ciberseguridad y Alta dirección en el mismo barco y remando en la misma dirección’, los expertos debatieron sobre el compromiso de sus organizaciones con la ciberseguridad, las vías de colaboración, su día a día y la evolución de la ciberseguridad para los próximos años.
Los integrantes de esta mesa redonda fueron Juan Carlos Gómez, Global Chief Digital Security Officer de Telefónica; Francisco Lázaro, gerente de Ciberseguridad y Privacidad en Renfe; Antonio Simón Martínez, coordinador de Seguridad Informática y Ciberseguridad de Metro de Madrid; Gustavo Lozano, CISO de ING; Andrés Peral, director de Seguridad en Sistemas de Mapfre; y Santiago Aguirre, presidente de Savills.
Precisamente este último aseguró que en todos los departamentos de su compañía, la ciberseguridad es un pilar fundamental. Y que la implicación en ella va desde la Alta Dirección hasta los últimos integrantes de la compañía. De ahí que el 10 por ciento del presupuesto que manejan para tecnología vaya destinado a la ciberseguridad. Además, Aguirre explicó que los empleados están obligados a una serie de entrenamientos y evaluaciones al respecto. Por ejemplo, todos los empleados deben hacer cursos para habituarse a prácticas maliciosas como los correos phishing. Incluso este directivo ‘sacó pecho’ al señalar que “España se encuentra en el primer puesto en materia de ciberseguridad».
Desde Telefónica, Gómez manifestó que «en el Grupo están convencidos de la necesidad de la seguridad, con una implicación al máximo nivel». Para ello, explicó los diferentes órganos de gobierno con los que cuentan hasta llegar al Consejo Asesor de Ciberseguridad, donde participan «miembros externos de renombre que enriquecen la propia estrategia de ciberseguridad».
Respecto a la evolución de la ciberseguridad en unos años, este profesional concluyó que las empresas necesitarán más protección y más talento, haciendo hincapié en que «hay poca gente formada para su contratación».
Francisco Lázaro (Renfe): «Los profesionales tienen que tener el ADN en ciberseguridad»
En el caso de Francisco Lázaro, de Renfe, aseguró que las empresas son conscientes de la importancia de la seguridad porque es parte del negocio. Además, en relación a la Directiva NIS2, se mostró satisfecho, puesto que la normativa «es un ejercicio de liderazgo» y «ayudará a las compañías que aún no están al nivel en ciberseguridad a estarlo». «Hay que autoexigirse los primeros», completó en este sentido.
Y en cuanto al futuro, coincidió en la falta de profesionales en España que no están formados en ciberseguridad adecuadamente: «Los profesionales han de tener el ADN en ciberseguridad», señaló.
Por otro lado, para Antonio Simón Martínez, el compromiso de la ciberseguridad en Metro de Madrid es «a todos los niveles y con todas las medidas necesarias». Además, explicó que con la Directiva NIS 2, «la Alta Dirección debe velar por la seguridad y apostar por la formación en sus organizaciones». A lo que se le unen que las sanciones, al ser ahora mayores, «van a ejercer más presión y a ayudar a todo el ecosistema a que reme en la misma dirección».
En el caso de Mapfre, Andrés Peral señaló que «el compromiso en ciberseguridad era una garantía de supervivencia en caso de recibir un ciberataque», siendo la seguridad «un objetivo más de la compañía». También destacó la implicación de todas las áreas de su organización en esta materia. Y cómo el reglamento DORA iba a convertirse en parte de «la cotidianidad» de las compañías y de los consejos de administración, acercando más la ciberseguridad al día a día.
Por último, Gustavo Lozano, de ING, declaró que la seguridad era una absoluta prioridad para su empresa: «Si no hay seguridad para los clientes, no hay clientes en el banco», aseguró. De ahí que desde su compañía, la ciberseguridad esté aprobada al máximo nivel, encontrándose diferentes planes en función de los países donde opere, pero siempre estando integrados y coordinados. Asimismo, alabó también la Directiva NIS 2 por la exigencia de la formación a los empleados, lo que «permitirá anticiparse a posibles amenazas».
Vulnerabilidades sin descanso
Tras esta interesante mesa, Igor Unanue, CTO de S21sec, ofreció una previsión del panorama de amenazas para 2023 basándose en los datos recopilados durante el año anterior, donde llegaron a producirse ocho ataques de ransomware al día. Para este profesional, las tendencias de ataques en el sector industrial seguirán en alza, siendo Estados Unidos el país con un mayor número de vulnerabilidades, seguido de Europa.
En el segundo semestre, desde esta empresa de ciberseguridad se observaron numerosas vulnerabilidades en entornos OT que permitieron a los ciberdelincuentes acceder a ellos para obtener información sensible de las empresas, según explicó este profesional. En el caso de España, los ciberataques aumentaron un 40 por ciento respecto al primer semestre, tal y como señaló Unanue.
El representante de S21sec también expuso que los ataques a través de teléfonos móviles van a seguir creciendo debido a que las bandas organizadas consideran que es una vía «fácil». Al igual que el hacktivismo, que también cobró protagonismo y que seguirá en tendencia.
Posteriormente, Ander Ortiz, director de Ciberseguridad de Mnemo España, puso el foco en la gestión estratégica del ciberriesgo en momentos de alta incertidumbre. Hasta ahora, enfatizó, «a las empresas se las dividía en dos: las que habían sido atacadas y las que lo serían». Pero Ortiz señaló un tercer tipo: las que aún no saben que ya han sido atacadas. Por este motivo, ilustró con datos el coste de «no hacer nada», que podía llegar a repercutir en 4,35 millones de dólares, en la devaluación de la marca con pérdidas de 8,6 por ciento de cotización en Bolsa en un año o en sanciones y multas que supongan hasta un 20 por ciento de los ingresos, entre otras.
Para ello, este profesional propuso un plan de acción sencillo basado en el enfoque de que «los directivos dejen de mirar a otro lado, se prepararen para lo peor y acepten lo que venga».
Código de buen Gobierno
La jornada continuó con una segunda mesa redonda moderada por Gianluca D’Antonio, presidente de ISMS Forum y Socio de Risk Advisory en Deloitte. El tema principal fue el Código del buen Gobierno orientando a la Alta Dirección, elaborado por el Grupo de Trabajo de Cultura de la Ciberseguridad del Foro Nacional de Ciberseguridad. En ella participaron Jesús Sánchez, CISO de Naturgy; Elena de la Calle, del Departamento de Seguridad Nacional; Juan Francisco Cornago, Cybersecurity Business Development Manager de Sia; y Ángel Pedro Domínguez, coordinador en la Comisión Nacional del Mercado de Valores (CNMV).
Elena de la Calle explicó que el objetivo principal de este informe es «contribuir a mejorar la ciberseguridad en España», pero que no tiene un carácter normativo, sino de recomendaciones. Algunas de las 25 recomendaciones con las que cuenta versan sobre la estrategia de ciberseguridad, la gestión para la madurez de las organizaciones en ciberseguridad, la formación de los empleados y la dotación de recursos.
A continuación, Domínguez, de la CNMV, señaló que uno de los objetivos de su institución a la hora de realizar este documento era incorporar la ciberseguridad a la seguridad corporativa de las sociedades, agrupando todos los principios básicos para gobernar la propia ciberseguridad. «Pretendimos que sea un código destinado a la Alta Dirección y que las sociedades cotizadas lo conozcan», completó.
Para Jesús Sánchez, de Naturgy, el Código del buen Gobierno refuerza los aspectos en ciberseguridad que su empresa ya tenía integrados. Respecto al papel del Consejo de Administración, hizo mención a que, aunque cada compañía tenga un consejo diferente, «debe haber una implicación en ciberseguridad por parte de éste». «Porque el consejo debe asegurar que haya un plan y una supervisión con cierta recurrencia en el seguimiento de la ciberseguridad», opinó.
Por último, Cornago, de Sia, señaló que las compañías están acostumbradas al cumplimiento; pero que al final «se olvidan de cómo las ayuda la ciberseguridad». Para este profesional, si no se tiene la visión de cómo ayuda la ciberseguridad a la sociedad, se entra en una «espiral sin salida» en la era digital. «Las organizaciones deben dirigir sus esfuerzos a esto porque la ciberseguridad no es una check list, sino una necesidad», afirmó.
Gobierno de la ciberseguridad y sus herramientas
A continuación, la directora de Operaciones de Procesia, Mar de las Heras, ofreció su punto de vista sobre la implantación del gobierno de la seguridad dentro de las organizaciones. Para ello explicó la experiencia de su compañía y el trabajo «mano a mano» con el Centro Criptológico Nacional para definir cómo debe entenderse el gobierno de la ciberseguridad. Y es que este último trata de optimizar el uso de tecnologías y actividades empleadas para maximizar el valor de la información y, al mismo tiempo, minimizar los costos y riesgos asociados. En esta línea, de las Heras consideró «clave» el papel del CISO, ya que es «un catalizador en la gestión del gobierno de la ciberseguridad».
Respecto al sistema operativo, esta profesional mencionó «microCens», una metodología que facilita la obtención de una certificación de conformidad según el Esquema Nacional de Seguridad y un modelo adaptable a cualquier organización y contexto.
Ciberseguridad, Alta Dirección y gobernanza de datos
En la última mesa de la jornada, moderada por Eduvigis Ortiz, presidenta de Women4Cyber Spain, las delegadas de Protección de Datos (DPO) de Iberia y Cepsa, Marta Cañas y Yolanda González, respectivamente, dialogaron sobre los retos de la gobernanza de datos y su implicación con la Alta Dirección. A razón de que el próximo mayo se cumplirán cinco años del Reglamento General de Protección de Datos, estas profesionales coincidieron en que «la regulación acelera el proceso y fomenta la independencia de los delegados de protección de datos dentro de las organizaciones».
Según Cañas, «se tiende a confundir la ciberseguridad con el Reglamento». Pero la primera «tiene que ver con la seguridad de la empresa» y el segundo «se preocupa de la información de los datos de los clientes o usuarios finales». Asimismo, González destacó que los delegados de protección de datos «no solo protegen datos, sino personas», y que la protección de datos personales es un derecho fundamental, protegido con las mayores garantías legales.
No obstante, como apuntó la representante de Women4Cyber, no todos los países donde operan mencionadas compañías están bajo el paraguas de la mencionada normativa. En este sentido, para la DPO de Iberia, «hay que fijarse en la legislación local de los países donde se opera, revisando siempre todos los procesos por si están acorde o si hay pautas que cambiar».
Y en un sentido similar, la profesional de Cepsa instó a poner el objetivo en los proveedores de tratamientos de datos, en especial con las transferencias internacionales de datos y su problemática con Estados Unidos.
La mesa redonda finalizó con el mensaje de sus integrantes de que «la ciberseguridad no es el fin, es el medio para proteger a la organización y a las personas».
Colaboración frente a la ciberdelincuencia
La última ponencia del encuentro corrió a cargo de Juan María Cabo Pimentel, jefe del Grupo de Ciberataques de la Policía Nacional. Este profesional explicó que los servicios online han facilitado la forma de interactuar de las personas, pero que también «han abierto la puerta a actividades delictivas» que antes eran casi inexistentes. Al respecto, puso el ejemplo de los ciberfraudes, que han tenido un crecimiento exponencial en estos años.
Para el representante de la Policía Nacional, el punto de partida para acabar con estos delitos es la colaboración: «La clave es establecer una vía de cooperación policial nacional, internacional y con el sector público y privado» porque «es imposible tener éxito sin que todos estemos dentro del mismo barco», afirmó.
Por último, cabe destacar que la jornada contó con la participación de varios expertos que mostraron cómo trabajan con la Alta Dirección de sus respectivas organizaciones en materia de ciberseguridad. Y que también opinaron sobre la llegada de la Directiva NIS 2. Estos profesionales fueron, en concreto, Ramón Ortiz, responsable de Seguridad de Mediaset España; Juan Cobo, CISO de Ferrovial; Elena García, CISO de Indra; y Raúl Castaño, CISO de Redeia.
Archivado en:
