“La tecnología se compra, pero la transformación digital se lidera”

La directora de Amtega, Mar Pereira, apoyó Isagal, I congreso de ciberseguridad organizado por ISACAMadrid en Galicia.

La seguridad y la confianza es esencial para la vida y la vida es ya digital”. Con esta reflexión Mar Pereira, Directora de Axencia para a Modernización Tecnolóxica de Galicia AMTEGA, inauguró el I Congreso de ISACA en Santiago de Compostela, celebrado en Santiago de Compostela el pasado miércoles 18 de septiembre.

Con la presencia de cerca de 150 miembros de la comunidad de profesionales de la Auditoría de TI, Ciberseguridad, Riesgos Tecnológicos y Gobierno de TI, residentes en el noroeste de España, arrancó el segundo evento organizado por IsacaMadrid fuera de la capital tras el celebrado en Bilbao el pasado mes de mayo.

Durante su intervención, Pereira afirmó que “la tecnología se compra, pero la transformación digital se lidera” para explicar cuál es la labor de la institución que dirige en la región. La directora de AMTEGA, organismo que se encarga de la transformación tecnológica de las instituciones gallegas, destacó la importancia de celebrar debates con expertos sobré qué se está haciendo y cómo debemos prepararnos para afrontar los retos de un contexto digital en el ámbito de la seguridad, la confianza y la calidad de los servicios tecnológicos, así como la necesidad de mantener la colaboración entre instituciones públicas y privadas para enfrentarse a los mismos.

Galicia cuenta con un Plan de Ciberseguridad enfocado a la concienciación y la formación, con un acuerdo con la Escuela Gallega de Administraciones Públicas, una constante colaboración con el Incibe, e implanta de manera trasversal a todas las consejerías las normativas en materia de seguridad y de protección de datos mediante la Comisión de Gobierno Electrónico y de Seguridad, en el que participan secretarios generales de todas las consejerías.

Mar Pereira habló también de la reciente puesta en marcha del Centro de Respuesta de Incidentes de Seguridad de la Información (CSIRT.gal), desde donde se da respuesta a cualquier crisis de ciberseguridad y destacó el trabajo realizado en la región con recursos, esfuerzos e infraestructuras, que continuará con la próxima aprobación de la Estrategia 20-30. Con ella se perfilarán las políticas a realizar en la próxima década para que Galicia pueda posicionarse en las tecnologías referentes de futuro “y la ciberseguridad será una de ellas, como la implantación 5G y la Inteligencia Artificial”, según adelantó la directora de AMTEGA.

La ciberseguridad y el sector industrial

La primera de las mesas redondas, «Gestión de Crisis en Ciberseguridad«, contó con la participación de Juan González Martínez, Director de Seguridad y Privacidad de Gradiant, Susana Rey Baldomir, Delegada de Protección de Datos (DPO) en Grupo Euskaltel (Euskaltel, R y Telecable), Jorge Chinea, Responsable de Servicios Reactivos de INCIBE- CERT, Carlos Pérez Saldaña, CISO de Abanca, y con la moderación de Antonio Fernandes, CyberSecurity Manager de Financiera Madera SA (FINSA).

Tras relatar cómo se organizan los equipos de sus distintas organizaciones para frenar los incidentes y ataques, cómo preparan a sus empleados y proveedores para estar concienciados y entrenados en materia de ciberseguridad, hablaron también de la importancia de la comunicación interna y externa y de la necesidad de concienciar a las pymes y a los directivos de todas las empresas. Según explicó Susana Rey “siguen viendo la ciberseguridad como un gasto y no como una inversión. Hay que trabajar en la gestión del riesgo y pedir recursos que el CEO esté dispuesto a asumir”.

La “Auditoría & Gestión de Riesgos Tecnológicos en el Sector Industrial” fue el tema a tratar por Belén Pérez Rodríguez, Responsable del área de Ciberseguridad de Balidea, Carlos Eloy López Blanco, Digital Risk Officer de Hijos de Rivera, David González González, CISO de COREN, Iago Crespo, BISO (Business Information Security Officer) de UFD Distribución Electricidad (Grupo Naturgy). En la mesa se habló del estado de la ciberseguridad en la industria, de cómo impacta en las empresas lo establecido en la Ley de Protección de Infraestructuras críticas (LPIC), de cómo los análisis de riesgo en el sector industrial suelen ofrecer bajos resultados para presentar a la alta dirección, por lo que lo ideal es que sea realizado de manera interna en las empresas, con la confluencia de todos los departamentos.

En este sentido, Belén Pérez indicó que “no se pueden hacer análisis de riesgos en el sector industrial sin hablar con la gente de la planta” en relación a la manera subjetiva en la que se ven los riesgos desde el punto de vista de los responsables de OT (Seguridad de dispositivos industriales) o IT (Tecnología de la Información), dos mundos inicialmente separados que cada vez convergen más en la empresa a la hora de implementar normas y controles.

Galicia, sus profesionales y su formación

El debate sobre  “Estado de la Situación de la Función de Auditoria y Control en Galicia”, en que participaron José Luis Rivas, Auditor forense jefe de LIFe (Laboratorio de Informática Forense europeo), Victor Salgado, Socio-Manager en Pintos & Salgado Abogados, José Ignacio Quiroga, Manager Risk Advisory IT en Deloitte, Javier Cabana, CIO de Cooperativas Lácteas Unidas (CLUN), y Ricardo Cañizares, Jefe técnico en Eulen Seguridad como moderador puso el foco en las dificultades de implementar las tres capas del control interno (gestión operática, gestión de riesgos y auditoría interna) en el tejido empresarial gallego, donde la mayor parte son pymes.

No obstante en la mesa coincidieron en que el análisis de riesgos y la auditoría tecnológica se están normalizando, ayudadas por la aplicación de los nuevos marcos normativos, y ya son complementarias de la auditoría financiera o corporativa. La aplicación del Esquema Nacional de Seguridad, la directiva NIS y el RGPD no solo no han mermado las necesidades de auditoría, sino que han ayudado a que la alta dirección de las empresas sea cada vez más consciente de la importancia que tiene establecer de los necesarios controles. Para los participantes del debate, la profesión auditora va a experimentar un “auge absoluto” aunque se automatice, puesto que el profesional del ámbito de la seguridad y nuevas tecnologías aportará más valor y análisis en un entorno en el que los riesgos van a aumentar significativamente.

Con Ramón Suárez, Mentor 5.0 y miembro de la Junta Directiva de la Asociación Gallega de Blockchain e IoT (AGALBIT) como moderador,  analizaron el estado de “La Formación y los Profesionales en Galicia”  Puri Cariñena Amigo, del Centro de Investigación en Tecnoloxías Intelixentes (CITIUS), Universidade de Santiago de Compostela (USC), Fernando Suárez Lorenzo, Presidente del Colexio Profesional de Enxenería en Informática de Galicia (CPEIG), Julio Sánchez Agrelo, Decano del Colexio Oficial de Enxeñeiros de Telecomunicación de Galicia (COETG) y María Eugenia Pérez, responsable de educación de la Xunta de Galicia.

Como expertos en formación coincidieron en la necesidad de formar especialistas y de contar para ello con los profesionales de la empresa, quienes están al tanto de las novedades, constantes cambios y avances. Así, es necesaria la implicación de los profesionales de la empresa para completar  la formación tanto universitaria como en la FP, que normalmente cuenta con profesores universitarios que no están tan al día de los constante cambios del sector.

En la mesa se habló de idoneidad de las titulaciones universitarias gallegas tecnológicas  así como la oferta en Formación Profesional. Sin embargo, se explicó que existe la necesidad de contar con grados y estudios de base que luego se deben especializar en ciberseguridad mediante másteres, así como formación on line orientada a profesionales adultos que precisan de fórmulas distintas a la presencial.

“El perfil en materia de ciberseguridad de las empresas en Galicia” fue el último tema de debate que contó con la participación de Rafael Ave, Director de Ciberseguridad de BE:SEC by Emetel, Iago Fortes, Managing Director de Inprosec, David Ortiz, Responsable de Negocio de Ciberseguridad de Inycom, Adriel Reguira, Cybersecurity Manager de Tecdesoft, Manuel Santamaría, Director del área de ciberseguridad de Tarlogic. Juan Elosua, Codirector de Tegra, Galician R&D Cybersecurity Center ejerció de moderador en un debate que perfiló cuáles eran las carencias profesionales en el sector en la Comunidad Autónoma gallega.

Según estos expertos, en un entorno profesional de constante cambio, hay que formarse y reinventarse constantemente más allá de lo que ofrecen los másters. Por eso se reiteró la necesidad de colaboración empresarial, de revisar la aportación salarial que termina determinando la marcha de muchos jóvenes gallegos preparados, y la necesidad de formar también a los trabajadores del sector más maduros, que carecen de la especialización necesaria en ciberseguridad. Definitivamente, terminaron por consensuar que son las propias empresas las que deben ayudar a alinear la oferta y la demanda, mediante la formación (becas, profesionales que se convierten en profesores) de los perfiles especializados con el fin de contar con los recursos humanos específicos.

Verdades sobre el estado de la ciberseguridad en España

La jornada se cerró con la intervención de Román Ramírez, Experto en Ciberseguridad, Co-fundador de RootedCon y colaborador del organismo de seguridad nacional por convencimiento y compromiso social, como él mismo explicó en su animada charla, ya que insistió en la necesidad de que la sociedad civil y los expertos independientes ayuden a orientar al Consejo de Seguridad Nacional (CSN) en su labor porque, según él “valores y ética no implica no colaborar con la comunidad en la que estamos todos”.

Ramirez valoró el papel del CSN, ya que en temas de ciberseguridad “debemos tener una cabeza rectora que sepa todo lo que pasa en este país, por encima de lo que diga Policía, la Guardia Civil, Incibe o el Centro Criptológico Nacional. Es necesario que exista esa estrategia, que supera diferencias y cuestiones políticas”. Así se podrá pueda hacer frente a las organizaciones que son una amenaza y sí que están bien estructurados, según explicó.

Como experto asesor relató que ha criticado varios aspectos e iniciativas de la estrategia en materia de ciberseguridad; la necesidad de contar con personas que sepan detectar vulnerabilidades, de formar parte de comunidades y redes y “potenciar la colaboración de los centros de investigación en la cadena de suministro porque en realidad necesitamos personas que sepan detectar vulnerabilidades”.

Por esa razón criticó abiertamente la promoción de un Foro de Ciberseguridad Nacional formado por “¿quién?, ¿por amigos de algún partido político? Para Ramírez, no sirve de nada impulsar programas de apoyo de I+D+I desde los gobiernos, “porque ese dinero se lo quedan las empresas del Ibex”.

En cambio, el fundador de RootedCon  se manifestó  a favor de promover “una ley que obligara a las empresa y a la Administración Pública a comprar productos españoles en materia de ciberseguridad. Ellos mismos, los políticos, dicen que hay que “potenciar la empresa española y su internacionalización”. La innovación se apoya consiguiendo que las empresas que innovan vendan, para empezar, en su propio país, en este caso España”.

En cuanto a las buenas intenciones del sector cuando insiste en fomentar el talento en ciberseguridad, Ramírez proclamó ante la audiencia una verdad incómoda; “no es que no haya talento, es que no queréis pagarlo. Hay muchos casos de talento español a quienes les pagan desde compañías extranjeras un poquito más y además trabajando desde su casa”. Igualmente reiteró la falta de apoyo en nuestros emprendedores patrios. “Hay starups españolas que ha cerrado con magníficos productos en ciberseguridad porque nadie les compraba nada. El dinero para fomentar todo esto acaba en las grandes empresas del Ibex 35 que tienen departamentos concretos de dicados a captar los fondos europeos pensados para esto”.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio