Hacemos un repaso a la primera de las visitas que recibió nuestro escenario principal en CISO Day 21 en la Sala Auditorio.

La tercera edición del CISO Day se celebró el pasado 10 de junio (creado por Cybersecurity News) y contó con la presencia de grandes expertos del sector Ciberseguridad. Dividido en dos salas, el evento de este año ha apostado por la hibridación, es decir, tanto presencial como streaming para ponentes y otros asistentes. La actual pandemia ha obligado a ello, pero eso no significa que haya sido peor, ¿verdad? Los tiempos requieren adaptación, y eso hemos hecho. Dicho esto, vamos a entrar en materia.

El onboarding de proveedores

Como hemos comentado antes, CISO DAY 2021 ha estado dividido en dos salas diferentes. En esta ocasión, tras haber visto el resumen de la entrevista de A3SEC a Banco Santander, vamos a pasar a la primera ponencia realizada en la otra sala. Antes de nada, comentar que Javier Candau, jefe del departamento de ciberseguridad del CCN, fue el encargado de realizar la apertura institucional. Durante el tiempo que tuvo disponible, compartió algunas ideas muy interesantes, tales como: auditoria y vigilancia continua, intercambio de ciberincidentes, las modificaciones en el nuevo NIS 2.0. Para más información, os recomendamos ver el vídeo. Tras ello, pasamos a la primera ponencia que corrió a cargo de José Costa, Director Regional de Security Scorecard, quien habló de su experiencia en la gestión global de la ciberseguridad.

En ella, el Sr. Costa habló de la automatización del proceso de incorporación de proveedores de compañías externas. El primer tema tratado fue si se puede medir instantáneamente y no intrusivamente la seguridad de cualquier empresa. Según Costa: -“Sí, lo podemos hacer con Security Scorecard. La gran mayoría de las BBDD empiezan a través de terceras partes, y con Security Scorecard logramos detectar la postura de seguridad de cualquier organización alrededor del mundo”-. Otra cuestión tratada fue cuál es el factor que determina la contratación de un proveedor, entre los cuales vimos: valor, calidad del servicio, indicadores de mercado/credenciales, velocidad de inicio de operaciones.

Los objetivos de Security ScoreCard

En Security Scorecard ofrecen, además, evaluaciones de seguridad de forma muy sencilla a través de portafolios para clasificar el riesgo y alertas de cambio de puntuación detectadas. Tras esto, se realiza una clasificación y evaluación en términos de puntuación y una coordinación con el contratante para mantener o poner fin al servicio. Los indicadores  muestran el resultado de la monitorización de la calidad del servicio ofrecida por el vendedor; cuanto peor sean, mayor probabilidad existe de ignorar el peligro por parte del proveedor. El objetivo de la compañía es anticiparse a los incidentes vía cuestionario, para lo cual creó Atlas. Con este programa, el Remitente envía, rastrea y valida cuestionarios de ciberseguridad; el Receptor responde de forma eficiente, precisa y coherente. Gracias a Atlas se acelerar el proceso de intercambio, lo cual facilita las pruebas de ciberseguridad a las organizaciones.