Claves de la segunda edición del congreso de Auditoría y GRC de ISACAMadrid Chapter.
La evolución tecnológica obliga a una constante transformación digital. La implantación de nuevas tecnologías, la automatización de procesos, la introducción cada vez mayor de la inteligencia artificial y la utilización servicios cloud por parte de las empresas y organizaciones hacen necesario que estas garanticen una Estrategia de Gobierno de Ciberseguridad y una adecuada gestión de los riesgos tecnológicos y Compilance.
Estas fueron los temas sobre los que los profesionales del sector realizaron un amplio repaso de los avances y retos que se plantean en el II Congreso de Auditoría y GRC que ISACAMadrid Chapter celebró el pasado día 21 en la sede de Bankia. La jornada, a la que asistieron la mayoría de los 370 inscritos, contó con interesantes ponencias y mesas redondas en materia de ciberseguridad, metodología para el control interno de los procesos tecnológicos, revisiones y auditorías, y todo ello enfocado al cumplimiento normativo y legislativo, que cada vez es más exigente.
Los expertos del sector participantes ofrecieron su experiencia práctica y sus logros profesionales con el fin de compartirlos e intercambiar conocimientos necesarios para hacer frente a los riesgos derivados de la evolución tecnológicaque, según constataron en muchas de las intervenciones, se produce a un ritmo al que es complicado adaptarse.
La trasformación digital, sus riesgos y sus normativas
Tras la bienvenida por parte del presidente de ISACAMadrid Chapter, Ricardo Barrasa, y del anfitrión Ignacio Cea, director corporativo de Estrategia e Innovación Tecnológica de Bankia, La periodista especializada Mónica Valle, quién actuó como maestra de ceremonias, presento a Rafael Tesoro Carretero, Programme Officer – EU policies de la DG CONNECT, Comisión Europea, quien explicó cómo la UE actúa en materia de Ciberseguridad y en competencias Digitales Avanzadas.
Tesoro Carretero explicó como la UE se ha lanzado cuatro proyectos piloto para preparar la Red Europea de Competencia en Ciberseguridad, con una dotación de 63,5 millones de €, destacó la implicación de 160 empresas y compañías de todo el territorio como partners, y la de los 26 estados miembros comprometidos con uno u otro proyecto. Con estos proyectos se espera establecer y operar un piloto para una Red Europea de Competencia en Ciberseguridad y desarrollar una Hoja de Ruta de Innovación e Investigación Europea en Ciberseguridad». Se espera que estos cuatro proyectos piloto de la UE refuercen la capacidad de ciberseguridad de la UE y aborden los futuros desafíos para un mercado único digital europeo más seguro.
Tras él, Ramsés Gallego, Embajador de ISACA Barcelona y muy entusiasta pese a estar recién llegado de otro evento en Kenia, dejó claro que la reputación digital de las empresas debería ser una de las disciplinas claves en la gestión de la reputación de cualquier empresa o institución. Según explicó, “Hoy por hoy no es una simple gestión reputacional, es un gestión de crisis” y destacó que hay compañías que tienen esta importante asignatura superada, como es el caso de Apple, “que gobierna muy bien sus riesgos reputacionales porque cuenta con una gran capacidad de influenciar en la opinión de un colectivo. La reputación hay que medirla de cualquier manera porque solo se puede mejorar lo que se conoce”. Según él “en inglés encontramos 3 conceptos clave en la reputación online: Information, misinformation, disinformation, algo que sin duda hace referencia a la realidad del mundo de las fake news”.
Tras la intervención tuvo lugar la mesa redonda que trato el tema “Impacto de la Transformación Digital en la Estrategia de Governance, Risk & Compliance de la Organización”, moderada por Israel Hernández, Socio – Partner. Business Security Solutions. IT Risk & Cybersecurity de PWC y en la que participaron Iván Sánchez López, CISO de Sanitas, Manuel Carpio, Cybersecurity Senior Advisor en INERCO, Pablo Montoliu, Chief Innovation & Information Officer (CIIO) de AON y Santiago Moral, CEO de BlueVoyant Spain, en la que se destacó que la transformación digital, o evolución digital, es un concepto del que ya se lleva hablando 30 años, que aporta nuevas herramientas y modelos de trabajo, lo que supone tener que controlar riesgos siempre cambiantes.
Según los ponentes, en el mundo anglosajón nos llevan una mayor ventaja en lo que al papel del CISO se refiere, como los responsables de aportar la necesaria visión del riesgo en la transformación digital de las compañías; en España la evolución del Gobierno, Riesgo y Cumplimiento se está realizando a golpe de regulación. “La normativa es la que nos ha ayudado a convencer a los directivos de nuestras empresas de la importancia del riesgo y de la gestión del mismo”, explicó Montoliú
Regulación, análisis predictivos y externalización
Francisco Pérez Bes, Secretario General de INCIBE, habló de La Gestión del Riesgo, una Aproximación a la Regulación de la Ciberseguridad, arrancó su intervención con firmeza al asegurar que “La ciber seguridad es un tema de Seguridad Nacional y hay que tomársela muy en serio”. En su ponencia insistió en la necesidad incluir la ciberseguridad como una cultura a todos los niveles en organizaciones y empresas, de hablar de la protección de la información en su conjunto y de que los profesionales deben ser conscientes de que en un mundo de riesgos cambiantes hay que estar alerta porque estos nunca se acaban de gestionar completamente. Lo que si podemos gestionar es el impacto que un ataque puede suponer si lo comunicamos adecuadamente, lo que permitirá controlar la imagen que se ofrece al exterior, así como el daño y el coste que supone el mismo.
Ana Belén Soriano, Socio de Risk Advisory, y Fernando Vega Campos, Gerente de Risk Advisory de Deloitte en su ponencia “Anticipando Riesgos e Incumplimientos, incorporando Análisis Predictivo” explicaron modelos de gestión de los riesgos de las empresas en función de los elementos a controlar, cuyo aumento complica el proceso. Se ha pasado de no tener modelo, a tener un modelo manual, luego GRC y ahora la automatización del proceso, que debe caminar hacia “una herramienta que recabe información de todos los procesos y los evalúe, para llegar a la monitorización y auditoria continua, o incluso llegar a preveer los incumplimientos o incidentes del futuro. Vega Campos explicó qué es Predictive Analytics y Machine Learning; el análisis predictivo que utiliza herramientas estadísticas (como machine learning), para analizar datos históricos y tratar de predecir qué va a ocurrir.
La externalización de las compañías, la gestión de riesgos de terceros y la auditoría de los proveedores de cloud preocupa y mucho entre los profesionales del sector. Hazel Diez, CISO de Santander Global Tech, José Ramón Monleón, CISO de Orange España, Elena Mora, Subdirectora Marco Regulatorio de Seguridad de Mapfre, Javier Rubio, Gerente de Gobierno y Continuidad de Negocio de Ferrovial, moderados por José Miguel Cardona, Socio de la División de Seguridad de la Información de Auren, dejaron clara la necesidad de conocer para controlar los riesgos que aportan los proveedores y terceros, y de que los profesionales de la ciberseguridad debe tener presencia en las negociaciones y contrataciones con esos terceros para limitar los riesgos desde el primer momento, y durante toda la relación con los terceros.
Normativas, modelos de gestión, análisis y auditoría
El congreso continuó con interesantes ponencias como “Evite posibles Brechas: Gestione los Riesgos de Proveedores de acuerdo con el RGPD” de Ignasi Riera, Privacy Consultant EMEA de OneTrust, quien de nuevo habló de los proveedores y la necesidad de auditarlos para evitar brechas de privacidad y asegurarse del cumplimiento del reglamento de protección de datos. Alejandro Delgado, Director comercial y socio de Audisec, por su parte, trató los “Nuevos Modelos de Análisis de Riesgos en Ciberseguridad y Auditoría de Sistemas de Información” y explicó cómo racionalizar el esfuerzo de control y auditoría mediante la automatización.
Con la mesa redonda sobre “Principales Retos asociados al Gobierno y la Gestión de los Datos” quedó o clara una afirmación realizada por Michele Lurillo, Founder, Business Intelligence and Performance Management de Synergo, que resulta ya incontestable: “el75% del valor de las empresas no es físico, son los datos”. Moderada por Carlos Bachmaier, DPD – CISA/CISM/CRISC/CGEIT, también participaron Eduardo López, Business Development Director en Grupo SIA, Pedro Pablo López Bernal, Gerente GRC & PIC de RSI
Luis Malagón, Business Unit Director – Data Governance & Truedat en Bluetab Solutions
Carlos Ollero, Senior Manager, EMEIA Data Governance & Analytics de EY.
Todos se mostraron de acuerdo con la importancia del ciclo de la vida del dato y del gobierno del mismo para las empresas, que les sirve para avanzar en la trasformación digital y vigilar que se cumplen las normativas, porque el dato no es una opción; es el negocio. Según explicó Ollero, “hay que trasmitir el concepto y la cultura del dato a las empresas, porque el paradigma ha cambiado y ya no podemos seguir con tablas Excell; hay que cuidar los archivos y dar valor al dato”.
Los datos en materia de ciberseguridad y control de riesgos deben ser mostrados y hacerlos valer ante los directivos de las empresas. Sobre “Cuadro de Mandos de Seguridad, ¿Qué y Cómo Medimos?, las grandes herramientas de los CISO para convencer a la alta dirección de las medidas de seguridad que son necesarias, y hacer valer aquellas que están funcionando, se desarrolló la última de las mesas de la jornada, que contó con la participación de Javier Candau, Jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional, Gorka Díaz de Orbe, CISO de Bankia, Elena García, CISO de Indra, Manel Pons, Consultancy director de Prosegur Ciberseguridad y moderada por Ricardo López, CSO de Sareb.
Para finalizar la jornada los asistentes disfrutaron de la interesantísima narración se la experiencia de la “Gestión de la incertidumbre” de Víctor García (Socu), piloto de combate, que convenció a todos de que trabajo en equipo, cuyo componente es la lealtad, y el no perder de vista el objetivo común es la base del éxito junto con una metodología clara (OODAA loop) que permita estar preparado para la adaptación al cambio y la toma de decisiones ante cualquier Situational Awareness (S.A).
ISACAMadrid Chapter es la mayor asociación profesional del sector con 1250 asociados, durante 2018 formaron a 300 personas, un 35% más que en 2017. Durante este año tiene previsto expandir su radio de acción de eventos en el País Vasco, Valencia y Galicia, donde cuenta con un gran número de socios, comenzará a integrar a los jóvenes profesionales y a establecer relaciones con las universidades para dar a conocer y empoderar las áreas de la ciberseguridad y la auditoría informática en los estudios superiores. La realización de un encuesta del estado de la ciberseguridad en España y la apuesta por nuevas certificaciones son algunas de las novedades que introducirán es sus actividades durante 2019, año en el que sus eventos podrán ser vistos en streaming, servicio que se ha inaugurado durante este congreso.