Los retos siguen siendo los mismo ante los riesgos como el robo, sabotaje, extorsión, secuestro y desinformación, que han pasado del mundo físico al digital
El cibercrimen se ha profesionalizado contra todo tipo de empresas y el actual trabajo en el entorno personal lo complica
Se necesitan en todo a Europa 350.000 personas preparadas para atender estas necesidades de la nueva era
Se ha demostrado que los auditores y expertos no estaban locos antes de esta crisis al enviar un día a casa a los compañeros para comprobar que todo funcionaba correctamente
El III Congreso de Auditoría & GRC online, organizado por IsacaMadrid Chapter, contó con 1700 participantes de 19 nacionalidades en su segunda sesión
El Jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional, Javier Candau, fue el encargado de iniciar la segunda sesión online del III Congreso de Auditoría & GRC, (Gobierno, Riesgo y Cumplimiento), de la asociación de profesionales de la auditoría, ciberseguridad y privacidad ISACA Madrid Chapter, con más de 1700 asistentes de 19 nacionalidades distintas, a través de las pantallas.
Candau resumió la experiencia que el organismo oficial acumula mostrando vulnerabilidades y lecciones aprendidas con los ataques y crisis en materia de ciberseguridad ocurridos en los últimos años en nuestro país, en especial el año 2017, “clave porque ocurrieron muchos incidentes que dieron la importancia a la ciberseguridad que tiene ahora” según explicó. Habló de varias crisis como la vulnerabilidad Apache Struts, el #OpCatalunya, Emotet contra determinadas páginas web, el NotPetya, un incidente de ramsonware posterior al WannaCry, que fue el que más impacto ocasionó, con 230.000 equipos infectados en todo el mundo.
Reconoció que con este virus había que agradecerle a Telefónica que “lo comunicó a tiempo y se salvaron muchas otras empresas gracias a ese ejercicio de responsabilidad”. Candau contó cómo trataron de desarrollar la vacuna lo antes posible, pero se encontraron con problemas como el silencio de muchas empresas, que no hubo buena comunicación, ya que cada organismo lo hacía de una manera, y que la lección de las actualizaciones de software no estaba aprendida; “hubo quien nos pidió vacuna para Windows XP e incluso Windows 2000”.
Como responsable del CCN recomendó la página de consulta del organismo CiberCovid19 y las claves para hacer frente a cualquier crisis; no ocultarlo ni mentir, ser proactivos, previsores, coordinarse con el organismo, lo que es imprescindible para salvar la situación, trasmitir confianza “alertar pero no alarmar, implicar al gabinete de comunicación, que no llegue tarde y mal, y al grupo de interés, es decir, a los directivos o superiores, a las otras empresas del sector, a los trabajadores y a los ciudadanos”.
Para finalizar, Candau habló de que ya hay cierta respuesta en los casos de ciberespionaje, porque “los estados empiezan a responder ante estas conductas y ante un claro peligro de que se produzcan cibersabotajes a un servicio esencial”.
El congreso virtual continuó con la mesa redonda «Gobierno de la Seguridad al Servicio del Negocio: Diseño de una Estrategia de Resiliencia Operacional y Ciberresiliencia«, moderada por José Carlos Vargas Medina, CISO del Banco Falabella Perú, y Vicepresidente de ISACA Lima Chapter, en la que participaron José Luis Bolaños, ex-Director de Seguridad en Naturgy, Daniel Largacha, Global SOC Director MAPFRE, Pedro Pablo López Bernal, Presidente Continuam y Daniel Puente Pérez, CISO de Wolters Kluwer.
José Luis Bolaños, contó su experiencia desde Natugy en la gestión de riesgos y aseguró que el secreto del éxito en materia de resiliencia y ciberseguridad era la visión global del modelo de gestión del riesgo que implique y haga responsables a todos los trabajadores de una organización. Por su parte, Daniel Largacha, de Mapfre, explicó que llevar la cultura de la seguridad a las empresas que no lo tienen en su ADN, como pasa con la banca, siempre es un reto. Su empresa, presente en más de 40 países con diferente relevancia según el lugar, debe contar con una estrategia común pero con la particularidad de cada lugar, mantenida en el tiempo, que sirva para habilitar el negocio, no solo para protegerlo, y que sea independiente y autónoma.
Pedro Pablo López, como responsable de Continuam, organización sin ánimo de lucro, dijo que en su entidad la aplicación de la seguridad se realiza mediante una resiliencia organizativa y social “con un proceso que debe ser sostenible, que crezca en madurez, mediante la cooperación, y basado en pilares como la prevención, (amenazas, visión geoestratégica del mundo, el análisis de riegos…), la seguridad integral e integrada, la garantía de respuesta basada en la comunicación y los procesos o proyectos operativos para monitorizar y acabar con una crisis”.
Según él la resiliencia en materia de seguridad “debe ser ya 3.0, ser sostenible, solidaria, flexible y que nos permita imaginar cosas que no nos han pasado pero podrían ocurrir”. Daniel Puente, de Wolters Kluwer, habló de cómo la actual crisis ha demostrado que puede hacérsele frente en empresas como la suya, en la que la importancia de la seguridad es compartida desde la dirección de la misma.
Retos en ciberseguridad
Bolaños, explicó que los retos siguen siendo los mismo ante los riesgos como el robo, sabotaje, extorsión, secuestro y desinformación, que han pasado del mundo físico al digital que tienen una expansión exponencial, lo que supone una realidad difícil de gestionar, más ahora que todos estamos trabajando desde casa, con una interconexión total entre empresas, lo cual supone un preocupante panorama. “Vamos a tener situaciones de crisis que nos afectarán para las que hay que prepararse y anticiparse mediante una resiliencia organizativa, diseñada para que no se ponga en riesgo la viabilidad de una empresa”.
Largacha puso el foco en el hecho de que el cambio que se está produciendo por las circunstancias, “y los expertos en la seguridad debemos acompañar a nuestras empresas en este cambio sin perder de vista que los riesgos han cambiado porque, por ejemplo, se ha democratizado el cibercrimen”. Según explicó este “ha superado los ataques a la banca online y ha ampliado sus ataques a empresas y ciudadanos que se pueden ver expuestos. Al final, el cibercrimen se ha profesionalizado contra todo tipo de empresas y el actual trabajo en el entorno personal lo complica”.
Según los expertos de la mesa, estamos ante un cambio de era que eleva la importancia de la ciberseguridad, debemos estar preparados para emergencias y urgencias en la materia, seguir ahondando en la cultura de la ciberseguridad y conseguir que sea una prioridad de todos, no solo de los expertos de la materia. Los riesgos son los mismos de siempre pero han aumentado exponencialmente su volumen. Para ellos, la crisis COVID ha supuesto ya dos meses de pruebas. Por ella se pasan más datos a Cloud sin confirmar si se ajusta a la legislación, por ejemplo y “se ha demostrado que los auditores y expertos no estábamos locos antes de esta crisis al enviar un día a casa a los compañeros para comprobar que todo funcionaba correctamente.
Bolaños aportó una visión positiva al indicar que “si quedaba alguna duda entre directivos y autoridades de la necesidad de avanzar en materia de ciberseguridad y riesgos digitales, tras esta crisis la visión ha cambiado”. Según este experto la gestión de crisis no se enseña en ninguna escuela de negocios; es algo para lo que no se prepara a nadie.
Pedro Pablo López por su parte sorprendió al hablar de cinco líneas de defensa y no solo tres, e incidió en la necesidad de contar con el conocimiento y la capacitación para reaccionar a cualquier crisis que aparezca. “Se necesitan en todo a Europa 350.000 personas preparadas para atender estas necesidades de la nueva era” aseguró, mientras Lagarcha coincidió en la necesidad de contar con las personas que hacen funcionar las máquinas; “se está viendo en esta crisis del Covid19, donde la nueva seguridad en cuestión sanitaria debe ser coordinada por los recursos humanos” dijo.
