Este 10 de junio hemos vivido una nueva edición del congreso iberoamericano, más importante, celebrado entorno a la figura del CISO. Organizado por CyberSecurity News

El CISO Day 2021 ha tenido lugar este jueves, 10 de junio, en formato híbrido desde las 09:30 a.m. El hecho de poder hacerlo de esta forma ha dado la oportunidad a que muchos profesionales del sector pudieran asistir de manera remota. Por otro lado, han sido más de 100 personas las que se han acercado al Hotel Nuevo Boston, Madrid, en busca de una celebración presencial como las de antes.

El congreso ha contado con el patrocinio de empresas como: Security Scorecard, Fastly, Darktrace, Mdtel, ZeroFOX, A3sec, Vmware, Oodrive, Zte y Esic. Y con los media-partners y colaboradores: Women 4 Cyber, Big Data magazine, ecommerce News, Axicom, Vinopremier, La Neurona y What ‘s new, con los que poder hacer networking.  Además de contar con el apoyo institucional del Centro Criptológico Nacional (CN-Cert).

Como en cada uno de nuestros eventos, día a día os iremos dejando los resúmenes de cada una de las ponencias que tuvimos el placer de tener en el congreso.

Sala Security Scorecard

Sala A3SEC Café Con CISOs

Sala auditorio

En esta ocasión, el CISO Day empezó de la mano de Carlos Seisdedos, un gran profesional del sector de la ciberseguridad y gran amigo de CyberSecurity News. Ya se anunció al inicio de que sería un evento con interesantísimas keynotes y muy buenas mesas redondas. El speech de bienvenida vino de la mano del S. Javier Candau.

¡Ya tenemos a Javier Candau, @CCNCERT en la inauguración del CISO Day!

📢 "Tenemos que utilizar con mucha inteligencia la defensa activa y la ciberinteligencia. Los defensores nos tenemos que adelantar a los atacantes."https://t.co/Rj3ZBKBpwl#CISODay21 pic.twitter.com/HZwdvimfzl

— CyberSecurity News (@CyberSecurityES) June 10, 2021

CISO Case Study: Automatizar el Onboarding de proveedores

El primer Case Study del CISO Day 2021 venía de la mano nuestro patrocinador Platinum, Security Scorecard. Era José Ferreira da Costa la persona que se subía al escenario para hablarnos sobre cómo se puede automatizar el onboarding de proveedores.

Además, aprovechaba su intervención para mostrarnos como su empresa podía medir, de manera instantánea y no intrusiva, la seguridad de cualquier empresa en el mundo. «Evalúe, comprenda y monitoree al instante el riesgo de seguridad de cualquier empresa en todo el mundo sin intrusiones y desde una perspectiva externa«.

Ciber IA autónoma: redefinición de la seguridad empresarial

Esta keynote era impartida por José Badía, Country Manager España y Portugal de Darktrace, patrocinador GOLD del CISO Day. Con su charla tenía como objetivo enseñar la IA como autoaprendizaje:

• Detecta, investiga y responde a las amenazas, incluso cuando está fuera de la oficina
• Protege a todo su personal y su entorno digital, estén donde estén, sean cuales sean los datos
• Defiende contra los ataques de día cero y otros ataques avanzados, sin interrumpir las operaciones de la organización

El Country Manager también compartía con los asistentes al evento la nueva «era» de ciberamenazas que estamos viviendo en el que cada día hay miles de ataques y les lanzaba la siguiente pregunta «¿Estamos preparados para este tipo de ataques los cuales son cada vez más sigilosos?» La respuesta es no ya que, desgraciadamente, los equipos de protección no están preparados para hacer frente a este tipo de ataques de la forma que ellos quieren.

Mesa I: CISO Round Table: CISO´s from different sectors

Pedro Ortolá, Sales Manager de Oodrive y moderador de la primera mesa que teníamos en esta tercera edición del CISO Day quería conocer en mayor profundidad cómo han vivido este período de cambios, los profesionales, desde el inicio de la pandemia hasta ahora, en términos de securización.

Antes de dar paso al resto de componentes de la mesa redonda, el Sales Manager aprovechó para contarnos un poco sobre la trayectoria de Oodrive, patrocinador SILVER del CISO Day 2021.

Los expertos que acompañaron a Ortolá en la mesa fueron: Juan Cobo, CISO de Ferrovial. Fernando Sánchez, CISO de Aplázame. Fanny y. Perez Santiago, CISO en CODERE. Toni García, CISO & CIO en Leti Pharma y Joaquín Castellón, CISO en Navantia.

La securización de la información es fundamental. Pero para llegar a este punto, es necesaria la clara conciencia por parte de directivos. En este sentido, cada vez son más los que piensan que los datos son hoy día una mercancía más importante que el ORO. Pedro Ortolá quería conocer la opinión de los expertos y además saber si darían algunos consejos al respecto.

Fanny empezó comentando «Yo creo que el tema de gestión del dato está con nosotros desde hace muchísimo tiempo. Siempre haciendo énfasis en que hay que proteger los datos personales. La mayoría de las empresas han sabido afianzarlo. Es cierto que hay otras amenazas como el ransomware y ahí hay que revisar si se cifra esta información cmpleta, ¿podemos recuperar el negocio? En ese sentido hay que ver y saber dónde habría que poner los controles. Es importante tener esquemas de respaldo«.

Tras ella Fernando continuó comentando que «primero hay que identificar es el tipo de información que tienes y entonces ver y reconocer qué regulaciones hay que cumplir. La información sensible no es solo de carácter personal. Una vez que tenemos todo esto es conveniente hacer un análisis de riesgo y con todo ello establecer un plan de acciones«.

Joaquín, CISO de Navantia añadía «por añadir algo es evidente que las formas que tenemos hoy en día nos lleva a saber que el perímetro se ha difuminado y nos lleva a concentrarnos en los datos aparte de la infraestructura. En Navantia trabajamos con mucha información sensible y estamos trabajando en esa seguridad del dato con algunas de las siguientes técnicas: implantación de dispositivos cifrados, herramientas para poder recuperar la información después de un ransomware…«

Juan Cobo comentaba, entre otras muchas cosas, que lo que él considera más importante son la «Organización, proceso y diseño«.

Y para terminar, Toni García nos decía que «casi todas las estrategias del dato acaban por una capa de protección que algunas compañías no pueden despegar. Recomendar, dar respuesta, recuperar y proteger, todo a la vez puede ser muy complicado de lograrlo pero todo aquello que podamos identificar de una manera rápida y extrapolarla al resto nos ayudará. Hay que conseguir tener controles que nos permitan recuperar«.

Keynote Visión de SecurityScorecard “Making the world a safer place”

En esta ocasión volvía a subir a la palestra nuestro platinum, Security Scorecard de la mano de José Ferreira da Costa, Regional Director, LATAM & IBERIA at Security Scorecard y Francisco José Arbulu Costa-Laurent, Partner 4Biz- Reseller de SecurityScorecard para España.

Ambos estuvieron compartiendo con todos los asistentes al CISO Day 2021 como surgió la empresa y cómo ha sido su trayectoria hasta llegar al momento en el que nos encontramos.

“La guerra en las redes sociales” + Cyber Woman Round Table

Tras la pausa del café y tras haber disfrutado de una agradable sesión de Little Panda Music DJ llevaba el turno de la segunda mesa redonda de la jornada.

La persona encargada de moderar la mesa redonda era Juan Grau, Regional Sales Director Southern Europe at Zerofox. Antes de empezar la mesa nos hizo una breve keynote donde el tema principal a tratar fueron las redes sociales, su evolución y lo que pueden generar estas en nuestras vidas.

Tras esta charla era el turno de la aparición de las expertas en el escenario. No cabe duda que el papel de la mujer en el mundo de la ciberseguridad es cada vez más grande y estamos super orgullosos. Un reflejo de esta realidad creciente es esta mesa compuesta por: Mar López, Jefa de la Unidad de Ciberseguridad y lucha contra la Desinformación del DSN (Gobierno de España). Julia Perea, Directora de Seguridad Digital en Telefónica España y miembro de W4C. Eva Román, Managing Consultant Technology & Cyber Security Practice y Ana Gómez, Head of Global Cybersecurity Awareness BBVA.

Durante esta sesión hablamos sobre un tema tan importante como es la visibilidad de la mujer en el sector de la ciberseguridad. Todas y cada una de ellas nos contó su cómo llegaron a interesarse por el mundo de la ciberseguridad y cómo llegaron a ocupar los grandes puestos que tienen hoy en día.

Durante la mesa redonda se volvió al tema de las redes sociales. Juan Grau preguntó acerca de la ingenuidad de los usuarios en las redes sociales. En su opinión, las mujeres son mucho más responsables al cuidado de la imagen y por lo tanto, podrían no ser víctimas de ciberdelincuentes a través de estos medios. Le preguntaba a Julia si ella creía que las mujeres pueden ser, por ello, un añadido importante de ciberseguridad en este caso.

Directora de Seguridad Digital en Telefónica España le contestaba con una gran frase «El empleado no tiene que ser el eslabón más débil de la cadena, sino la primera línea de defensa«. Continuó añadiendo que «La ciberseguridad no está en los departamentos de ciberseguridad. La seguridad está en todas las acciones preventivas que hacemos desde cualquier área. Esa manera de empatizar tiene que llegar a todos, independientemente del género, esa capacidad de educar y ser conscientes de que cada uno puede llegar a caer en un phishing«.

CISO Case Study: Reducción de costes y riesgos de ciberseguridad mediante la automatización del cumplimiento

Jose María Labernia, Head of IT Security and Internal Control at LafargeHolcim IT EMEA y Juan Sáez, Cybersecurity Analyst and Project Manager at Mdtel, patrocinador GOLD del CISO Day, compartieron con nosotros su caso de estudio.

Los reguladores siguen incrementando la lista de requerimientos de seguridad mientras ciberdelincuentes en todo el mundo aumentan sus actividades fraudulentas. Como resultado, es muy difícil para los profesionales de la ciberseguridad hacer frente a una amplia lista de requisitos, especialmente en empresas grandes y muy reguladas, con miles de activos que proteger.

En esta sesión, exploraremos cómo crear automáticamente, archivos de auditoría personalizados basados en la naturaleza de cada activo, lanzar comprobaciones de cumplimiento utilizando las API de Tenable.SC (anteriormente SecurityCenter), supervisar el ciclo de vida del cumplimiento técnico utilizando cuadros de mando personalizados y los beneficios que aporta. Veremos:

• Utilización de las API en Tenable.SC
• Cómo gestionar el ciclo de vida completo de la auditoría de cumplimiento de forma automatizada reduciendo costes
• Cómo crear controles de cumplimiento personalizados y automatizados en función de la naturaleza del activo
• Beneficios de la automatización

Keynote: Securizar a través de DevOps

La última keynote del congreso, pero no por ello menos importante, venía de la mano de otro de nuestros patrocinadores GOLD, Fastly. Jesús Martín Oya, General Director, Southern Europe & Middle East at Fastly fue quien nos habló de cómo securizar a través de DevOps.

Empezó comentando para los asistentes cómo fueron los orígenes de DevOps. «Nació para fomentar la necesaria colaboración entre los equipos de desarrollo y operaciones de cara a agilizar los procesos del lanzamiento de software desde el diseño hasta el despliegue. Y la opción de esta metodología se ha ido intensificando desde el 2009 y el dato actual está en integrar la capa de seguridad como un agente activo en los ciclos de vida de software y aplicaciones».

«Los ciberataques se han movido ya a la capa de aplicación y los ciclos de despliegue rápidos, contar con un equipo de seguridad que también forme parte de DevOps nos va a posibilitar el acceso a la visilibilidad y a los datos que necesitamos para responder a las anomalías, antes incluso de que sean problemas reales«.

Antes de terminar con su sesión, Jesús, lanzó un mensaje a los asistentes ¿Por qué fastly está en un evento de ciberseguridad?

«Es debido a una adquisición que hicimos el año pasado, una empresa llamada Signal Sciences, que proporciona un waf. Que ha recibido el reconocimiento de Gartner como la eleccion de los clientes en los últimos tres años«.

CyberStartup Moment: ESIC

Carlos López Ariztegui, Ingeniero Superior de Telecomunicación, Universidad Politécnica de Madrid ha presentado, entre otros, el máster en ciberseguridad que tienen preparado.

«El Máster en Ciberseguridad de ESIC y PwC prepara a futuros Gestores y Directivos que quieran desarrollar su carrera profesional para liderar la estrategia de ciberseguridad de las empresas. Así, se pretende que nuestros alumnos sean capaces de diseñar la estrategia y su implementación , definir y liderar el departamento y crear una gobernanza completa y gestión integral de los sistemas de ciberseguridad«.

Threat Hunting en redes OT: A la caza de la Amenaza Industrial + CISO´s in OT sector Round Table

Ignacio José García Egea, Director Técnico de A3Sec España, era el encargado de moderar la mesa redonda con la que cerrábamos el CISO Day 2021. Como bien venía anunciando el título de su keynote, iba a hablar sobre el Threat Hunting.

«¿Cómo hace A3Sec el Treat Hunting? Usamos las tres técnicas de Treat Huning básico pero aplicando unos artefactos, es decir, vamos dejando ficheros, cierta información de la compañía y vamos monitorizando hasta que el actor que nos está haciendo implicarnos en una amenaza. Así llegamos a tener todo el movimiento real de estos actores«.

Tras su charla, accedieron al escenario los componentes de la mesa redonda: Gersán Murcia Suárez, CISO para Canaragua Concesiones, Aguas de Telde y Teidagua. Jose Luis Gallego, OT CyberSecurity Architecture en Cepsa. Alejandro Scatton Londero, Cybersecurity Protection OT en Siemens y Diógenes Mariño Torrellas, CISO Corporación América Airports Uruguay.

Ignacio José se interesó por cómo tenían implementado el tema de OT en los sistemas. Quiso conocer cómo cubrir esa segregación.

Diógenes: «Es muy importante el contexto que tenemos actualmente. En el que la mayoría de aeropuertos hubo que replantear cómo hacer las cosas debido al covid. Respecto a esto teníamos un camino bastante adelantado en la segmentación de SERVICIOS y sistemas donde separamos un poco lo que es IT y OT donde también tenemos despliegues de EDR y ciertos sistemas de monitoreo constante de la plataforma y eso nos ha llevado  tener un control mediano respecto a la seguridad en estas plataformas. «

A la pregunta de que Ignacio le hacía a Jose Luis Gallego, ¿Cómo os planteáis este tema de la separación de IT y OT?, él contestaba que «En Cepsa, como en cualquier empresa, la ciberseguridad es muy importante y hacemos mucho hincapié en esta separación. Pero nos damos cuenta de que siempre falta algo, que siempre podemos ir un paso por delante , no queremos quedarnos atrás«.