El Jefe del Centro Criptológico Nacional realizó la apertura institucional de CISO DAY 2023 donde resaltó la importancia del intercambio de información y la colaboración en el CISO DAY 2023

En la conferencia inaugural del CISO DAY 2023, Javier Candau, Jefe del Centro Criptológico Nacional, abordó los desafíos y problemas a los que se enfrentan los Chief Information Security Officers (CISO) en el ámbito de la ciberseguridad. Candau resaltó la importancia de la implementación de normativas como el Esquema Nacional de Seguridad y la Ley de Ciberresiliencia.

Esquema Nacional de Seguridad y Ley de Ciberresiliencia temas clave en el CISO DAY 2023

Durante la conferencia, el enfoque se centró en el Esquema Nacional de Seguridad, aprobado el año pasado, y en la Ley de Ciberresiliencia. Candau destacó que el Esquema Nacional de Seguridad no afecta a la información clasificada, sino al sector privado que presta servicios a la Administración. Además, mencionó la flexibilidad en su aplicación y el esquema de acompañamiento diseñado por la Unión Europea para fortalecer la ciberseguridad.

Para cumplir con el ENS muchas son las organizaciones que han de someterse a una auditoría, pero en palabras del Jefe de Centro Criptológico Nacional, estas no deben ser acciones aisladas, sino que “tenemos que ir a un concepto de auditoría continua, pero con un pleno convencimiento de la organización”. Además, resaltó la relevancia de la Ley de Ciberresiliencia en la implementación de medidas de ciberseguridad en todos los dispositivos conectados a Internet.

Necesidad de contar con CISOs en empresas de más de 250 empleados de los sectores recogidos en la NIS2

Javier Candau quiso también explicar como la directiva NIS, que abarca 18 sectores (energía, banca, infraestructuras de mercados financieros, sector sanitario, transporte, infraestructura digital, aguas potables, aguas residuales, administración pública (con exclusión del poder judicial, parlamentos y bancos centrales), gestión de servicios TIC (Business to Business) y espacio, investigación, química, alimentación, servicios postales, proveedores digitales, fabricación y gestión de residuos)  es un aspecto indispensable en el trabajo del CISO. Candau subrayó la necesidad de contar con profesionales especializados en ciberseguridad en cada empresa con más de 250 empleados que pertenezca a alguno de los sectores implicados , así como el cumplimiento de obligaciones relacionadas con la protección de datos y la ciberseguridad.

Durante la conferencia, se expuso la vulnerabilidad a la que están expuestas las organizaciones y se presentaron casos de ataques ocurridos en 2022. Estos incidentes demostraron la necesidad de fortalecer la protección de las redes y resaltaron la complejidad creciente que enfrentan los CISO en su labor.

En este contexto, se propusieron principios rectores para abordar los desafíos de la ciberseguridad. Estos incluyen la auditoría continua, el principio del mínimo privilegio, la vigilancia continua y la respuesta integrada. Se resaltó la importancia de reducir la superficie de exposición y se presentaron instrumentos como la Plataforma Nacional y la Red Nacional de SOC para fortalecer el intercambio de información y mejorar la seguridad.

Asimismo, se hizo hincapié en la necesidad de cambiar el modelo de defensa, fomentando la colaboración y el intercambio de capacidades entre las organizaciones. Se resaltó la importancia de compartir información relevante en el ámbito de la ciberseguridad y se hizo referencia a la directiva NIS, que insta al intercambio de eventos de ciberseguridad.

Esta conferencia inaugural concluyó con el llamado a empoderar al CISO y a adoptar medidas de defensa activa. Se resaltó la importancia de la reducción de la superficie de exposición, la vigilancia continua, el intercambio de información y el fortalecimiento de la defensa en la ciberseguridad.